Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Bezpieczeństwo usług i sieci

Data publikacji: 16-07-2020 Autor: Tomasz Cygan

Uchwalona w dniu 11 grudnia 2018 roku dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/1972 ustanawiająca Europejski kodeks łączności elektronicznej wprowadziła do porządku prawnego pojęcia: bezpieczeństwo usług i sieci oraz incydent związany z bezpieczeństwem. W ten sposób do ,,bezpieczniackiego słowniczka pojęć” dołączą kolejne wyrażenia posiadające definicje legalne.

 

Pojęcia te będą wykorzystywane w szczególnym kontekście: przy świadczeniu usługi łączności elektronicznej, co oznacza usługę zazwyczaj świadczoną za wynagrodzeniem za pośrednictwem sieci łączności elektronicznej, która obejmuje – z wyjątkiem usług związanych z zapewnianiem albo wykonywaniem kontroli treści przekazywanych przy wykorzystaniu sieci lub usług łączności elektronicznej – następujące rodzaje usług:

 

  • „usługę dostępu do internetu”, zdefiniowaną w art. 2 akapit drugi pkt 2 rozporządzenia (UE) 2015/2120;
  • „usługę łączności interpersonalnej”;
  • usługi polegające całkowicie lub częściowo na przekazywaniu sygnałów, takie jak usługi transmisyjne, stosowane na potrzeby świadczenia usług łączności maszyna – maszyna oraz na potrzeby nadawania.

 

> Treść rozporządzenia


Jednym z celów dyrektywy jest wdrożenie rynku wewnętrznego w dziedzinie sieci i usług łączności elektronicznej, prowadzące do realizacji i rozpowszechniania sieci o bardzo dużej przepustowości, powstania zrównoważonej konkurencji, interoperacyjności usług łączności elektronicznej, dostępności, bezpieczeństwa sieci i usług oraz korzyści dla użytkownika końcowego. Czas na implementację jej zapisów do krajowych porządków prawnych upływa w dniu 21 grudnia 2020 roku. W związku z tym rok 2020 może okazać się ważnym rokiem dla komunikacji elektronicznej.


Zgodnie z art. 2 punkt 21 dyrektywy „bezpieczeństwo sieci i usług” oznacza zdolność sieci i usług łączności elektronicznej do odpierania, na danym poziomie pewności, wszelkich działań naruszających dostępność, autentyczność, integralność lub poufność tych sieci i usług, przechowywanych, przekazywanych lub przetwarzanych danych lub związanych z nimi usług oferowanych przez te sieci lub usługi łączności elektronicznej lub dostępnych za ich pośrednictwem. Oznacza to, że bezpieczeństwo sieci i usług obejmuje zdolność sieci i usług łączności elektronicznej do odpierania naruszeń. Zabezpieczenia muszą obejmować same sieci i usługi, bo to one odpierają działania.


Jednocześnie sama dyrektywa jedynie wymienia, a nie definiuje, co stanowi naruszenie bezpieczeństwa. Wobec braku takiej definicji należy rozważyć, co oznacza dostępność, autentyczność, integralność oraz poufność. I tak zgodnie z normą PN-ISO/IEC 27000:2014:

 

  • dostępność oznacza właściwość bycia dostępnym i użytecznym na żądanie autoryzowanego podmiotu;
  • autentyczność oznacza właściwość, która polega na tym, że podmiot jest tym, za kogo się podaje;
  • integralność oznacza właściwość polegającą na zapewnieniu dokładności i kompletności;
  • poufność oznacza właściwość zapewniającą, że informacja nie jest udostępniana ani ujawniana nieuprawnionym osobom, podmiotom i procesom.


Co istotne, definicja wskazuje na kombinację tych parametrów z elementami, które powinny być bezpieczne. Innymi słowy, dostępność, autentyczność oraz poufność muszą obejmować:

 

  • sieci i usługi;
  • dane przechowywane, przekazywane lub przetwarzane;
  • usługi oferowane przez te sieci lub przez usługi łączności elektronicznej;
  • usługi dostępne za pośrednictwem sieci lub za sprawą usług łączności elektronicznej.

 

Dany poziom pewności można natomiast określić, posiłkując się wytycznymi opisanymi w literaturze (tabela Wytyczne dotyczące metod doboru próby dla instytucji audytowych) oraz wskazaniami wynikającymi z przepisów prawa (rozporządzenie delegowane Komisji (UE) nr 480/2014 z dnia 3 marca 2014 r., uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1303/2013, ustanawiające wspólne przepisy dotyczące Europejskiego Funduszu Rozwoju Regionalnego, Europejskiego Funduszu Społecznego, Funduszu Spójności, Europejskiego Funduszu Rolnego na rzecz Rozwoju Obszarów Wiejskich oraz Europejskiego Funduszu Morskiego i Rybackiego oraz ustanawiające przepisy ogólne, dotyczące Europejskiego Funduszu Rozwoju Regionalnego, Europejskiego Funduszu Społecznego, Funduszu Spójności i Europejskiego Funduszu Morskiego i Rybackiego):

 

  • kategoria 1 – system funkcjonuje prawidłowo, nie są potrzebne żadne lub są wymagane tylko niewielkie usprawnienia;
  • kategoria 2 – system funkcjonuje, potrzebne są pewne usprawnienia;
  • kategoria 3 – system funkcjonuje częściowo, potrzebne są znaczne usprawnienia;
  • kategoria 4 – system zasadniczo nie funkcjonuje.


Jak stanowi art. 2 punkt 42 dyrektywy – „incydent związany z bezpieczeństwem” oznacza zdarzenie, które ma rzeczywisty niekorzystny skutek dla bezpieczeństwa sieci lub usługi łączności elektronicznej. Dyrektywa w motywie 94 ustanawia w tym zakresie kilka obowiązków dla dostawców publicznych sieci łączności elektronicznej oraz dostawców publicznie dostępnych usług łączności elektronicznej:

 

  • obowiązek wprowadzenia środków w celu ochrony bezpieczeństwa sieci;
  • obowiązek wprowadzenia środków w celu ochrony bezpieczeństwa usług;
  • obowiązek wprowadzenia środków w celu zapobiegania skutkom incydentów związanych z bezpieczeństwem;
  • obowiązek minimalizacji skutków incydentów związanych z bezpieczeństwem.


Z kolei przepisy rozdziału V dyrektywy zatytułowanego „Bezpieczeństwo” nakładają na państwa członkowskie obowiązek zapewnienia:

 

  • podejmowania przez dostawców udostępniających publiczne sieci łączności elektronicznej lub świadczących publicznie dostępne usługi łączności elektronicznej właściwych i proporcjonalnych środków technicznych i organizacyjnych w razie wystąpienia zagrożenia dla bezpieczeństwa sieci lub usług;
  • powiadamiania przez podmioty udostępniające publiczne sieci łączności elektronicznej lub świadczące publicznie dostępne usługi łączności elektronicznej bez zbędnej zwłoki właściwego organu o incydentach związanych z bezpieczeństwem, które miały znaczący wpływ na funkcjonowanie sieci lub usług;
  • w przypadku szczególnego i znacznego zagrożenia wystąpieniem incydentu związanego z bezpieczeństwem w publicznych sieciach łączności elektronicznej lub w ramach dostępnych publicznie usług łączności elektronicznej informowania przez podmioty udostępniające sieci łączności elektronicznej lub świadczące usługi łączności elektronicznej swoich użytkowników, na których takie zagrożenie może mieć wpływ, o wszelkich możliwych środkach ochronnych lub naprawczych, które użytkownicy mogą podjąć;
  • w stosownych przypadkach informowania przez podmioty udostępniające sieci łączności elektronicznej lub świadczące usługi łączności elektronicznej swoich użytkowników o samym zagrożeniu;
  • wypełniania przez podmioty udostępniające publiczne sieci łączności elektronicznej lub świadczące publicznie dostępne usługi łączności elektronicznej wiążących instrukcji wydawanych przez właściwe organy, w tym instrukcji dotyczących środków wymaganych, aby zaradzić incydentowi związanemu z bezpieczeństwem lub aby zapobiec wystąpieniu takiego incydentu, gdy zidentyfikowano znaczne zagrożenie, oraz terminów wdrożenia;
  • przekazywania właściwym organom przez podmioty udostępniające publiczne sieci łączności elektronicznej lub świadczące publicznie dostępne usługi łączności elektronicznej informacji potrzebnych do oceny bezpieczeństwa ich sieci i usług, w tym do oceny udokumentowanych polityk bezpieczeństwa;
  • poddania się przez podmioty udostępniające publiczne sieci łączności elektronicznej lub świadczące publicznie dostępne usługi łączności elektronicznej audytowi bezpieczeństwa przeprowadzanemu przez wykwalifikowany niezależny podmiot lub właściwy organ i udostępnienia właściwemu organowi wyników takiego audytu z zastrzeżeniem, że koszty wspomnianego audytu ponosi dostawca.

 

[...]

 

Autor jest adwokatem, doświadczonym konsultantem i wykładowcą, autorem publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautorem bloga poświęconego ochronie danych osobowych, audytorem wewnętrznym normy ISO/IEC 27001:2014-12.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"