Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



17.09.2019

PLNOG23 czyli sieci 5G,...

Największa polska konferencja telekomunikacyjna powraca do Krakowa! Wśród nowości ścieżka...
05.09.2019

Cloudya – nowa usługa NFON

Po ponad dekadzie ciągłego rozwoju technologii Cloudya, swobodna i niczym nie ograniczona...
02.09.2019

Na dużą skalę

Kaspersky Hybrid Cloud Security
02.09.2019

Bezpieczny brzeg sieci

Fortinet Secure SD-Branch
02.09.2019

Nowoczesne centra danych

AMD EPYC
30.08.2019

Dostęp do AI i ML

VMware Cloud Foundation
30.08.2019

Lekkość i moc

Toshiba Portégé A30-E
30.08.2019

Bez przestojów

APC Easy UPS On-Line
29.08.2019

Duże moce

Lenovo ThinkSystem SR635 i SR655

Zasoby ludzkie a cyberbezpieczeństwo

Data publikacji: 23-05-2019 Autor: Tomasz Cygan

Sprowadzenie zagadnień cyberbezpieczeństwa wyłącznie do zabezpieczeń technicznych i informatycznych to zdecydowanie za mało. Ubiegłoroczne regulacje w postaci ustawy o krajowym systemie cyberbezpieczeństwa oraz rozporządzenia Ministra Cyfryzacji dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa wskazują na dużą rolę czynnika ludzkiego w krajowym systemie cyberbezpieczeństwa.

 

W spomniana ustawa z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (DzU z 2018 r., poz. 1560), zwana w dalszej części artykułu ustawą, oraz rozporządzenie Ministra Cyfryzacji z dnia 10 września 2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo (DzU z 2018 r., poz. 1780), zwane w dalszej części rozporządzeniem, wyraźnie podkreślają rolę zasobów ludzkich.

> RODZAJE PODMIOTÓW I ICH OBOWIĄZKI

W zależności od rodzaju podmiotu – operator usług kluczowych, dostawca usług cyfrowych, podmiot publiczny – przepisy inaczej kształtują status prawny oraz obowiązki osób wchodzących w skład systemu cyberbezpieczeństwa.

W przypadku operatorów usług kluczowych niezbędne jest:
 

  • wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa,
  • powołanie wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo lub
  • zawarcie umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa.


W przypadku dostawców usług kluczowych niezbędne jest:
 

  • wyznaczenie przedstawiciela posiadającego jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej przez dostawcę usługi cyfrowej, który nie posiada jednostki organizacyjnej w jednym z państw członkowskich Unii Europejskiej, ale oferuje usługi cyfrowe w Rzeczypospolitej Polskiej, o ile nie wyznaczył przedstawiciela posiadającego jednostkę organizacyjną w innym państwie członkowskim Unii Europejskiej,
  • podanie w zgłoszeniu incydentu istotnego kierowanym do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV imienia i nazwiska, numeru telefonu oraz adresu poczty elektronicznej osoby uprawnionej do składania wyjaśnień dotyczących zgłaszanych informacji (oprócz analogicznych danych osoby składającej zgłoszenie),
  • zapewnianie obsługi incydentu istotnego i incydentu krytycznego we współpracy z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV przez przekazanie niezbędnych danych, w tym danych osobowych. Mimo że w tym przypadku przepis nie określa wprost udziału czynnika ludzkiego, można to wywnioskować z jego brzmienia – zgodnie z treścią art. 2 punkt 10 ustawy obsługa incydentu to czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych i ograniczenie skutków incydentu.


W przypadku podmiotu publicznego realizującego zadanie publiczne zależne od systemu informacyjnego niezbędne jest:

 

  • wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa,
  • podanie w zgłoszeniu incydentu istotnego, kierowanym do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV, imienia i nazwiska, numeru telefonu oraz adresu poczty elektronicznej osoby uprawnionej do składania wyjaśnień dotyczących zgłaszanych informacji (oprócz analogicznych danych osoby składającej zgłoszenie),
  • zapewnianie obsługi incydentu istotnego i incydentu krytycznego we współpracy z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, poprzez przekazanie niezbędnych danych, w tym danych osobowych. Choć w tym przypadku przepis również nie stanowi o udziale czynnika ludzkiego, wynika to z treści wspomnianego powyżej art. 2 punktu 10 ustawy (obsługa incydentu to czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych i ograniczenie skutków incydentu).


> BUDOWA LUB OUTSOURCING STRUKTURY BEZPIECZEŃSTWA IT

Z zestawienia powyższych obowiązków widać, że jedynie w przypadku operatorów usług kluczowych pojawia się obowiązek stworzenia lub outsourcingu struktury odpowiedzialnej za cyberbezpieczeństwo. Zgodnie z treścią art. 14 ustawy operator usługi kluczowej jest zobowiązany do powołania wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo lub zawarcia umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa.

W przypadku wybrania pierwszego rozwiązania – wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo – samo brzmienie przepisu prowadzi do wniosku, że powierzenie pracownikowi IT obowiązków z zakresu cyberbezpieczeństwa, np. dopisanie ich do zakresu obowiązków, nie jest wystarczające. Konieczne jest „powołanie struktury”, czyli hierarchicznej, uporządkowanej i zorganizowanej konstrukcji osobowej mającej zapewnić niezakłócone świadczenie usług kluczowych przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienie obsługi incydentów. W drugim przypadku operator usługi kluczowej musi zawrzeć umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa, co również prowadzi do wniosku, że za sprawy cyberbezpieczeństwa będzie odpowiedzialny profesjonalny przedsiębiorca. Szczegółowe wytyczne w zakresie jego kompetencji określa § 1 rozporządzenia.

 

[...]

 

Adwokat, doświadczony konsultant i wykładowca, autor publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautor bloga poświęconego ochronie danych osobowych, audytor wewnętrzny normy ISO/IEC 27001:2014-12. 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"