Ramy prawne

Rozporządzenie w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo

10 września 2018r. weszło w życie rozporządzenie Ministra Cyfryzacji w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo. Rozporządzenie określa szczegółowe wytyczne dla operatorów usług kluczowych zdefiniowanych w ustawie o krajowym systemie cyberbezpieczeństwa z dnia 5 lipca 2018 r.

 

Zgodnie z zapisem ustawy operatorzy usług kluczowych to firmy i instytucje świadczące usługi o istotnym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej. Operatorzy usług kluczowych są identyfikowani na podstawie kryteriów określonych w rozporządzeniu z dnia 11 września 2018 r [1]. Wykaz tych podmiotów jest prowadzony przez ministra właściwego do spraw informatyzacji. Wpisanie do wykazu wiąże się z nałożeniem zadań określonych w ustawie. Są to zadania związane z zapewnieniem bezpieczeństwa świadczonych usług kluczowych oraz ciągłości świadczenia tych usług, tj. wdrożenie systemu zarządzania bezpieczeństwem, obsługa i zgłaszanie incydentów, systematyczne przeprowadzanie audytów bezpieczeństwa. Do ich realizacji operator powołuje struktury wewnętrzne odpowiedzialne za cyberbezpieczeństwo lub też zawiera umowę z podmiotem zewnętrznym, który świadczy usługi z zakresu cyberbezpieczeństwa. Warunki organizacyjne i techniczne zarówno dla struktur wewnętrznych jak i podmiotów zewnętrznych określa niniejsze rozporządzenie z dnia 10 września 2018r.

 

Warunki organizacyjne

Zarówno podmiot, który świadczy usługi z zakresu cyberbezpieczeństwa, jak i wewnętrzna struktura operatora odpowiedzialna za cyberbezpieczeństwo, są zobowiązane posiadać i utrzymywać normy bezpieczeństwa informacji i obsługi zdarzeń naruszających bezpieczeństwo systemów

- posiadać i utrzymywać w aktualności system zarządzania bezpieczeństwem informacji spełniający wymagania Polskiej Normy PN-EN ISO/IEC 27001;zapewnić ciągłość działania usłudze reagowania na incydenty, polegającej na podejmowaniu działań w zakresie rejestrowania i obsługi zdarzeń naruszających

- bezpieczeństwo systemów informacyjnych zgodnie z wymaganiami Polskiej Normy PN-EN ISO 22301;

- posiadać i udostępniać w języku polskim i angielskim deklarację swojej polityki działania w zakresie określonym dokumentem RFC 2350 publikowanym przez organizację Internet Engineering Task Force (IETF);

- zapewnić wsparcie operatorowi usługi kluczowej w trybie całodobowym przez wszystkie dni w roku, z czasem reakcji adekwatnym do charakteru usługi kluczowej;

Do wykonania powyższych zadań podmiot angażuje personel, który posiada odpowiednie umiejętności i doświadczenie w zakresie:

- identyfikowania zagrożeń w odniesieniu do systemów informacyjnych,

- analizowania oprogramowania szkodliwego i określania jego wpływu na system informacyjny operatora usługi kluczowej,

- zabezpieczania śladów kryminalistycznych na potrzeby postępowań prowadzonych przez organy ścigania.

 

Warunki techniczne

Rozporządzenie określa również szczegółowe kryteria techniczne w stosunku do pomieszczeń:

- system sygnalizacji włamania i napadu klasy 2 według Polskiej Normy PN-EN 50131-1;

- system kontroli dostępu klasy 2 według Polskiej Normy PN-EN 60839-11-1, zapewniający osobie przyznanie dostępu do pomieszczenia przez rzecz posiadaną przez tą osobę oraz zapamiętanie zdarzenia przyznania dostępu danej osobie wraz z datą i czasem;

- system wykrywania i sygnalizacji pożaru z powiadamianiem do centrum odbiorczego alarmów pożarowych;

- szafy służące do przechowywania dokumentów oraz informatycznych nośników danych o istotnym znaczeniu dla prowadzonej działalności, klasy S1 spełniającymi wymagania Polskiej Normy PN-EN 14450, chyba że inne przepisy wymagają wyższej klasy odporności szaf;

- zewnętrzne drzwi wejściowe do pomieszczeń o klasie odporności RC4 według wymagań Polskiej Normy PN-EN 1627, wyposażone w zamki o klasie nie niższej niż klasa odporności drzwi;

- wewnętrzne drzwi do pomieszczeń o klasie odporności RC2 według wymagań Polskiej Normy PN-EN 1627, wyposażone w zamki o klasie nie niższej niż klasa odporności drzwi;

- okna o klasie odporności RC4 według wymagań Polskiej Normy PN-EN 1627, o ile na podstawie przeprowadzonego szacowania ryzyka dostęp do nich rodziłby nieakceptowalne ryzyko nieuprawnionego wejścia do pomieszczenia;

- ściany zewnętrzne o odporności na włamanie równoważnej odporności muru o grubości 25 cm wykonanego z pełnej cegły;

- ściany wewnętrzne o odporności na włamanie adekwatnej do klasy odporności drzwi.

 

Podmioty powinny dysponować prawem do wyłącznego korzystania z pomieszczeń, a poziom zabezpieczeń technicznych powinien być dostosowany do szacowanego ryzyka.

Zarówno podmioty świadczące usługi z zakresu cyberbezpieczeństwa, jak i  wewnętrzne struktury organizacyjne operatorów kluczowych odpowiedzialne za cyberbezpieczeństwo muszą dysponować sprzętem komputerowym i narzędziami informatycznymi, które umożliwiają automatyczne rejestrowanie zgłoszeń incydentów, analizę kodu oprogramowania uznanego za szkodliwe, badanie odporności systemów informacyjnych na przełamanie zabezpieczeń, a także zabezpieczanie śladów kryminalistycznych na potrzeby postępowań prowadzonych przez organy ścigania. Podmioty są także zobowiązane do operowania środkami łączności, które umożliwiają wymianę informacji z Zespołem Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT).

 


[1]  Rozporządzenie Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych • Opublikowane w Dz. U. poz. 1806