W Dz.U. z 2019 r. pod poz. 2479 opublikowano rozporządzenie Ministra Cyfryzacji z 4.12.2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo.
Rozporządzenie wykonuje przepisy ustawy z 5.7.2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560 ze zm.; dalej: CyberbezpU) i zwraca uwagę na obowiązki dotyczące incydentów określone w:
Podmiot świadczący usługi z zakresu cyberbezpieczeństwa jest obowiązany spełnić następujące warunki organizacyjne: |
system bezpieczeństwa chodzi o posiadanie, utrzymywanie i aktualizowanie systemu zarządzania bezpieczeństwem informacji spełniający wymagania Polskiej Normy PN-EN ISO/IEC 27001 w zakresie obejmującym co najmniej świadczone usługi |
obsługa incydentu chodzi o zapewnienie ciągłości działania usłudze obsługi incydentu oraz wsparcie operatorowi usługi kluczowej z czasem reakcji adekwatnym do charakteru usługi kluczowej |
deklaracja polityki działania czyli posiadać i udostępniać w języku polskim i angielskim deklarację swojej polityki działania w zakresie określonym dokumentem RFC 2350 publikowanym przez organizację Internet Engineering Task Force (IETF) |
w zakresie realizowanych wymienionych wyżej obowiązków dotyczących incydentów dysponować personelem posiadającym umiejętności:
– rodzajów usług kluczowych, na które incydent miał wpływ, – liczby użytkowników usługi kluczowej, na których incydent miał wpływ, – momentu wystąpienia i wykrycia incydentu oraz czas jego trwania, – zasięgu geograficznego obszaru, którego dotyczy incydent poważny, – wpływu incydentu na świadczenie usługi kluczowej przez innych operatorów usług kluczowych i dostawców usług cyfrowych, – przyczyny zaistnienia incydentu i sposobu jego przebiegu oraz skutków jego oddziaływania na systemy informacyjne lub świadczone usługi kluczowe na potrzeby postępowań prowadzonych przez organy ścigania |
dysponować prawem do wyłącznego korzystania z pomieszczenia lub zespołu pomieszczeń w przypadku realizacji wymienionych wyżej obowiązków w zakresie incydentów |
przeprowadzić analizę ryzyka mającą na celu dobór adekwatnych środków bezpieczeństwa fizycznego i technicznego pomieszczenia lub zespołu pomieszczeń, w których świadczone są usługi z zakresu cyberbezpieczeństwa, w której uwzględnia się wszystkie istotne czynniki mogące mieć wpływ na bezpieczeństwo, w szczególności:
|
Istotne są też w tym przypadku warunki techniczne, które trzeba spełnić. Podmioty świadczące usługi z zakresu cyberbezpieczeństwa oraz wewnętrzne struktury organizacyjne operatorów usług kluczowych odpowiedzialne za cyberbezpieczeństwo mają obowiązek spełniać dwie grupy warunków technicznych. Po pierwsze, dysponować sprzętem komputerowym oraz wyspecjalizowanymi narzędziami informatycznymi umożliwiającymi:
Po drugie, dysponować redundantnymi środkami łączności umożliwiającymi prawidłową i bezpieczną wymianę informacji z podmiotami, dla których świadczą usługi, oraz właściwym Zespołem Reagowania na Incydenty Bezpieczeństwa Komputerowego działającym na poziomie krajowym.
Podmioty świadczące usługi z zakresu cyberbezpieczeństwa oraz wewnętrzne struktury organizacyjne operatorów usług kluczowych odpowiedzialne za cyberbezpieczeństwo, które wykonują czynności związane z realizacją wymienionych wyżej obowiązków w zakresie incydentów są obowiązane stosować następujące zabezpieczenia pomieszczenia lub zespołu pomieszczeń adekwatne do przeprowadzonego szacowania ryzyka, w tym co najmniej: |
ściany i stropy pomieszczenia lub zespołu pomieszczeń, w których będą świadczone usługi z zakresu cyberbezpieczeństwa, powinny mieć klasę odporności ogniowej co najmniej EI 60, określoną w Polskiej Normie PN-EN 13501, a budynek, w którym będą świadczone usługi z zakresu cyberbezpieczeństwa, powinien mieć klasę odporności pożarowej nie niższą niż klasa B |
drzwi do pomieszczenia lub zespołu pomieszczeń spełniające co najmniej wymagania klasy 2 określone w Polskiej Normie PN-EN 1627, wyposażone w zamek spełniający co najmniej wymagania klasy 4 określone w Polskiej Normie PN-EN 12209, o ile na podstawie przeprowadzonego szacowania ryzyka dostęp do nich rodziłby nieakceptowane ryzyko nieuprawnionego wejścia do pomieszczenia lub zespołu pomieszczeń |
konstrukcję pomieszczenia lub zespołu pomieszczeń zapewniającą odporność na próbę nieuprawnionego dostępu |
okna spełniające co najmniej wymagania klasy 2 określone w Polskiej Normie PN-EN 1627, o ile na podstawie przeprowadzonego szacowania ryzyka dostęp do nich niesie nieakceptowalne ryzyko nieuprawnionego wejścia do pomieszczenia lub zespołu pomieszczeń |
szafy o podwyższonej odporności ogniowej, zabezpieczające przed próbami włamań oraz pożarami, odpowiednio do wartości danych oraz ewentualnych innych zagrożeń, na podstawie przeprowadzonego szacowanego ryzyka, służące do przechowywania dokumentacji papierowej oraz informatycznych nośników danych mających istotne znaczenie dla prowadzonej działalności |
system kontroli dostępu obejmujący wszystkie wejścia i wyjścia kontrolowanego obszaru, w którym co najmniej rozpoznanie osoby uprawnionej następuje w wyniku odczytu identyfikatora lub odczytu cech biometrycznych, oraz rejestrujący zdarzenia |
stały nadzór osoby uprawnionej nad osobami niewykonującymi czynności związanych z realizacją wymienionych wyżej obowiązków dotyczących incydentów przebywającymi w pomieszczeniu lub zespole pomieszczeń, w których wykonywane są te czynności |
system sygnalizacji napadu i włamania spełniający co najmniej wymagania systemu stopnia 2 określone w Polskiej Normie PN-EN 50131-1, stale monitorowany przez personel bezpieczeństwa oraz wyposażony w rezerwowe źródło zasilania i obejmujący ochroną wejścia i wyjścia kontrolowanego obszaru oraz sygnalizujący co najmniej:
|
system sygnalizacji pożarowej obejmujący urządzenia sygnalizacyjno-alarmowe, służące do samoczynnego wykrywania i przekazywania informacji o pożarze, a także urządzenia odbiorcze alarmów pożarowych i urządzenia odbiorcze sygnałów uszkodzeniowych, przy czym obiekty wyposażone w stałe urządzenia gaśnicze i objęte całodobowym nadzorem co najmniej jednej osoby nie muszą być wyposażone w system sygnalizacji pożarowej |
Podmioty świadczące usługi z zakresu cyberbezpieczeństwa oraz wewnętrzne struktury organizacyjne operatorów usług kluczowych odpowiedzialne za cyberbezpieczeństwo realizujące inne obowiązki niż wymienione wyżej obowiązki dotyczące incydentów mają obowiązek wprowadzić zabezpieczenia adekwatne do przetwarzanych informacji na podstawie przeprowadzonego szacowanego ryzyka, a także z wykorzystaniem dobrych praktyk, mając na celu skuteczne:
Ponadto, w przypadku wykonywania czynności związanych z realizacją wymienionych wyżej obowiązków dotyczących incydentów, poza pomieszczeniami wyposażonymi w opsane wyżej zabezpieczenia podmioty świadczące usługi z zakresu cyberbezpieczeństwa oraz wewnętrzne struktury organizacyjne operatorów usług kluczowych odpowiedzialne za cyberbezpieczeństwo zapewniają bezpieczny zdalny dostęp do systemu obsługującego usługi z zakresu cyberbezpieczeństwa, przez co najmniej:
Podmioty świadczące usługi z zakresu cyberbezpieczeństwa oraz wewnętrzne struktury organizacyjne operatorów usług kluczowych odpowiedzialne za cyberbezpieczeństwo dostosują pomieszczenia lub zespoły pomieszczeń do wymogów określonych w przepisach niniejszego rozporządzenia w terminie 6 miesięcy od dnia wejścia w życie rozporządzenia, czyli do 7.7.2020 r.
* Pola wymagane
Zasady przetwarzania danych osobowych: Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.