Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



07.08.2019

Kurzinformation it-sa, 8-10...

It-sa is one of the leading international trade fairs for IT security. With around 700...
08.07.2019

Narzędzie EDR

ESET Enterprise Inspector
08.07.2019

Usuwanie skutków awarii

Veeam Availability Orchestrator v2
08.07.2019

Indywidualna konfiguracja

baramundi Management Suite 2019
05.07.2019

Technologia Ceph

SUSE Enterprise Storage 6
05.07.2019

Szybkie i bezpieczne...

Konica Minolta bizhub i-Series
05.07.2019

Edge computing

Atos BullSequana Edge
04.07.2019

Terabitowa ochrona

Check Point 16000 i 26000
04.07.2019

Obsługa wideokonferencji

Poly G7500

Zasoby ludzkie a cyberbezpieczeństwo

Data publikacji: 23-05-2019 Autor: Tomasz Cygan

Sprowadzenie zagadnień cyberbezpieczeństwa wyłącznie do zabezpieczeń technicznych i informatycznych to zdecydowanie za mało. Ubiegłoroczne regulacje w postaci ustawy o krajowym systemie cyberbezpieczeństwa oraz rozporządzenia Ministra Cyfryzacji dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa wskazują na dużą rolę czynnika ludzkiego w krajowym systemie cyberbezpieczeństwa.

 

W spomniana ustawa z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa (DzU z 2018 r., poz. 1560), zwana w dalszej części artykułu ustawą, oraz rozporządzenie Ministra Cyfryzacji z dnia 10 września 2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo (DzU z 2018 r., poz. 1780), zwane w dalszej części rozporządzeniem, wyraźnie podkreślają rolę zasobów ludzkich.

> RODZAJE PODMIOTÓW I ICH OBOWIĄZKI

W zależności od rodzaju podmiotu – operator usług kluczowych, dostawca usług cyfrowych, podmiot publiczny – przepisy inaczej kształtują status prawny oraz obowiązki osób wchodzących w skład systemu cyberbezpieczeństwa.

W przypadku operatorów usług kluczowych niezbędne jest:
 

  • wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa,
  • powołanie wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo lub
  • zawarcie umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa.


W przypadku dostawców usług kluczowych niezbędne jest:
 

  • wyznaczenie przedstawiciela posiadającego jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej przez dostawcę usługi cyfrowej, który nie posiada jednostki organizacyjnej w jednym z państw członkowskich Unii Europejskiej, ale oferuje usługi cyfrowe w Rzeczypospolitej Polskiej, o ile nie wyznaczył przedstawiciela posiadającego jednostkę organizacyjną w innym państwie członkowskim Unii Europejskiej,
  • podanie w zgłoszeniu incydentu istotnego kierowanym do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV imienia i nazwiska, numeru telefonu oraz adresu poczty elektronicznej osoby uprawnionej do składania wyjaśnień dotyczących zgłaszanych informacji (oprócz analogicznych danych osoby składającej zgłoszenie),
  • zapewnianie obsługi incydentu istotnego i incydentu krytycznego we współpracy z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV przez przekazanie niezbędnych danych, w tym danych osobowych. Mimo że w tym przypadku przepis nie określa wprost udziału czynnika ludzkiego, można to wywnioskować z jego brzmienia – zgodnie z treścią art. 2 punkt 10 ustawy obsługa incydentu to czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych i ograniczenie skutków incydentu.


W przypadku podmiotu publicznego realizującego zadanie publiczne zależne od systemu informacyjnego niezbędne jest:

 

  • wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa,
  • podanie w zgłoszeniu incydentu istotnego, kierowanym do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV, imienia i nazwiska, numeru telefonu oraz adresu poczty elektronicznej osoby uprawnionej do składania wyjaśnień dotyczących zgłaszanych informacji (oprócz analogicznych danych osoby składającej zgłoszenie),
  • zapewnianie obsługi incydentu istotnego i incydentu krytycznego we współpracy z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, poprzez przekazanie niezbędnych danych, w tym danych osobowych. Choć w tym przypadku przepis również nie stanowi o udziale czynnika ludzkiego, wynika to z treści wspomnianego powyżej art. 2 punktu 10 ustawy (obsługa incydentu to czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetyzację, podejmowanie działań naprawczych i ograniczenie skutków incydentu).


> BUDOWA LUB OUTSOURCING STRUKTURY BEZPIECZEŃSTWA IT

Z zestawienia powyższych obowiązków widać, że jedynie w przypadku operatorów usług kluczowych pojawia się obowiązek stworzenia lub outsourcingu struktury odpowiedzialnej za cyberbezpieczeństwo. Zgodnie z treścią art. 14 ustawy operator usługi kluczowej jest zobowiązany do powołania wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo lub zawarcia umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa.

W przypadku wybrania pierwszego rozwiązania – wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo – samo brzmienie przepisu prowadzi do wniosku, że powierzenie pracownikowi IT obowiązków z zakresu cyberbezpieczeństwa, np. dopisanie ich do zakresu obowiązków, nie jest wystarczające. Konieczne jest „powołanie struktury”, czyli hierarchicznej, uporządkowanej i zorganizowanej konstrukcji osobowej mającej zapewnić niezakłócone świadczenie usług kluczowych przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienie obsługi incydentów. W drugim przypadku operator usługi kluczowej musi zawrzeć umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa, co również prowadzi do wniosku, że za sprawy cyberbezpieczeństwa będzie odpowiedzialny profesjonalny przedsiębiorca. Szczegółowe wytyczne w zakresie jego kompetencji określa § 1 rozporządzenia.

 

[...]

 

Adwokat, doświadczony konsultant i wykładowca, autor publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautor bloga poświęconego ochronie danych osobowych, audytor wewnętrzny normy ISO/IEC 27001:2014-12. 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"