Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Pomieszczenia oraz warunki techniczne

Data publikacji: 15-06-2020 Autor: Tomasz Cygan

Rozporządzenie Ministra Cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo (DzU z 2019 r., poz. 2479) zmieniło obowiązki operatorów dotyczące pomieszczeń oraz warunków technicznych.

 

Jak stanowi art. 14 ust. 2 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo, powołane przez operatora usługi kluczowej są obowiązane między innymi dysponować pomieszczeniami służącymi do świadczenia usług z zakresu reagowania na incydenty, zabezpieczonymi przed zagrożeniami fizycznymi i środowiskowymi, a także stosować zabezpieczenia w celu zapewnienia poufności, integralności, dostępności i autentyczności przetwarzanych informacji, z uwzględnieniem bezpieczeństwa osobowego, eksploatacji i architektury systemów. Zapewnienie należytych pomieszczeń jest obowiązkiem operatora usługi kluczowej w przypadku powołania wewnętrznej struktury. Skoro struktura ma charakter wewnętrzny, to wszelkie elementy niezbędne do jej funkcjonowania powinien zapewnić operator usługi kluczowej. Inaczej sytuacja wygląda w przypadku podmiotów świadczących usługi z zakresu cyberbezpieczeństwa, które obowiązki w zakresie pomieszczeń oraz stosowanych zabezpieczeń muszą spełnić same.
 
Biorąc pod uwagę równoważność wyboru pomiędzy wewnętrzną strukturą oraz podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa, pojawia się pole do rozważań identycznych jak w przypadku serwerowni: budować własną czy kolokować dane i usługi. Operator usługi kluczowej staje więc przed wyborem, czy spełniać samodzielnie warunki lokalowe wymagane przez prawo, czy przerzucić ciężar ich spełnienia na podmiot trzeci, określając szczegóły w tym zakresie w umowie z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa.
 
> WEWNĘTRZNA STRUKTURA ORGANIZACYJNA – OBOWIĄZKI
 
Orientacja na tworzenie własnej wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo nakłada na operatora usługi kluczowej konieczność realizacji obowiązków określonych w rozporządzeniu Ministra Cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo.
 
Warto zauważyć, że nie wszystkie obowiązki realizowane przez wewnętrzną strukturę organizacyjną odpowiedzialną za cyberbezpieczeństwo muszą być wykonywane w specjalnych pomieszczeniach. Tylko obowiązki wskazane wprost w przepisach prawa muszą być w nich realizowane. Jak stanowi § 2 ust. 2 rozporządzenia, opisane w nim zabezpieczenia pomieszczenia lub zespołu pomieszczeń adekwatne do przeprowadzonego szacowania ryzyka dotyczą tylko realizacji obowiązków takich jak:
 
  • zarządzanie incydentami w ramach wdrożonego systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej (art. 8 pkt 4 ustawy);
  • stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa w ramach wdrożonego systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej (art. 8 pkt 6 ustawy);
  • zapewnianie obsługi incydentu (art. 11 ust. 1 pkt 1 ustawy);
  • zapewnianie dostępu do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań (art. 11 ust. 1 pkt 2 ustawy);
  • klasyfikowanie incydentu jako poważnego na podstawie progów uznawania incydentu za poważny (art. 11 ust. 1 pkt 3 ustawy);
  • zgłaszanie incydentu jako poważnego do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV (art. 11 ust. 1 pkt 4 ustawy, art. 12 ustawy);
  • współdziałanie podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe (art. 11 ust. 1 pkt 5 ustawy);
  • przekazywanie do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV informacji:
 
  1. o innych incydentach,
  2. o zagrożeniach cyberbezpieczeństwa,
  3. dotyczących szacowania ryzyka,
  4. o podatnościach,
  5. o wykorzystywanych technologiach (art. 13 ustawy).
 

 

W tych przypadkach rozporządzenie wymaga, aby obowiązki wewnętrznej struktury organizacyjnej odpowiedzialnej za cyberbezpieczeństwo były realizowane w pomieszczeniach lub zespołach pomieszczeń zabezpieczonych w sposób adekwatny do przeprowadzonego szacowania ryzyka. Oznacza to, że stosowane zabezpieczenia pomieszczeń lub ich zespołów powinny zostać wplecione we wszystkie procedury dotyczące szacowania ryzyka, a także, w dłuższej perspektywie, pomieszczenie lub ich zespoły będą podlegały zmianom w zakresie zabezpieczeń. Co istotne, wszelkie działania w tym zakresie powinien realizować operator usługi kluczowej i muszą one być dokumentowane, w sposób określony w systemie zarządzania bezpieczeństwem.
 
[...]
 
Autor jest adwokatem, doświadczonym konsultantem i wykładowcą, autorem publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautorem bloga poświęconego ochronie danych osobowych, audytorem wewnętrznym normy ISO/IEC 27001:2014-12.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"