Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



07.04.2021

Lubelskie Dni Informatyki

Koło Naukowe Informatyków już po raz XIII zorganizuje Lubelskie Dni Informatyki.
07.04.2021

Bariery językowe przełamane

Cisco Webex
06.04.2021

Nowość w portfolio Bakotech

Progress Software
06.04.2021

Kontrola służbowych urządzeń

Hexnode MDM
02.04.2021

Red Hat Inc.

Firma Red Hat Inc. udostępniła Red Hat OpenShift 4.7 – najnowszą wersji czołowej...
02.04.2021

Rozpoznawanie twarzy

QNAP QVR
02.04.2021

Układy EPYC Serii 7003

Firma AMD zaprezentowała nowe wydajne procesory serwerowe, czyli układy EPYC Serii 7003,...
02.04.2021

Mobilna wydajność

Satellite Pro C50-G
01.04.2021

Nowa linia monitorów

AOC V4

Centrum operacyjne w projekcie zmian ustawy o krajowym systemie cyberbezpieczeństwa

Data publikacji: 28-12-2020 Autor: Tomasz Cygan
W celu zebrania pełnej wiedzy na temat systemu zabezpieczeń funkcjonującego w danej organizacji potrzebne są działania analityczne i testujące jakość posiadanego oprogramowania. Efektem może być agregacja wszystkich aktualnych informacji w jednym miejscu, a także powiązanie ich z panującym ruchem sieciowym. 
 
Projekt zmian w ustawie o krajowym systemie cyberbezpieczeństwa przewiduje duże modyfikacje w obowiązkach operatorów usług kluczowych. Innowacje te mają dotyczyć realizacji zadań podmiotu. Przepis art. 14 ustawy w brzmieniu sprzed zmiany nakazywał operatorowi usługi kluczowej w celu realizacji zadań, o których mowa w art. 8, art. 9, art. 10 ust. 1–3, art. 11 ust. 1–3, art. 12 i art. 13, powołanie wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo lub zawarcie umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa. Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa, ustawy Prawo telekomunikacyjne oraz ustawy Ordynacja podatkowa wprowadza do krajowego systemu cyberbezpieczeństwa w miejsce wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo oraz podmiotów świadczących usługi z zakresu cyberbezpieczeństwa znaną w świecie cyberbezpieczeństwa konstrukcję SOC (operacyjnego centrum bezpieczeństwa), definiując ją oraz wskazując na zadania i rolę SOC w systemie cyberbezpieczeństwa RP.
 
> Rewolucja w przepisach
 
Jak stanowi projektowany art. 2 punkt 3d ustawy o krajowym systemie cyberbezpieczeństwa, SOC to niezbędny zespół, który pełni funkcję operacyjnego centrum bezpieczeństwa w danym podmiocie. Z samej definicji wynika, że SOC nie może być jednoosobowy – regulacja posługuje się bowiem określeniem „zespół”, w którego skład w praktyce wchodzić mogą operatorzy bezpieczeństwa, analitycy bezpieczeństwa, badacze bezpieczeństwa, menedżerowie bezpieczeństwa, osoby odpowiedzialne za reagowanie na incydenty, za działania z zakresu informatyki śledczej oraz za prowadzenie audytów zgodności.
Doprecyzowanie definicji SOC zawiera projektowany art. 14 ust. 2 ustawy o krajowym systemie cyberbezpieczeństwa, który stanowi, że operator usługi kluczowej powołuje SOC wewnątrz swojej struktury lub zawiera umowę dotyczącą prowadzenia SOC na jego zlecenie z innym podmiotem. SOC powołany przez operatora usługi kluczowej może realizować zadania, o których mowa w art. 14 ust. 1 ustawy o krajowym systemie cyberbezpieczeństwa, także na rzecz innych podmiotów. Projektodawca pozostawia więc możliwość przewidzianą w poprzednim brzmieniu art. 14 ustawy o krajowym systemie cyberbezpieczeństwa, który także dopuszczał możliwość wykonywania zadań operatora usług kluczowych w ramach zasobów wewnętrznych (wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo) lub zewnętrznych (podmioty świadczące usługi z zakresu cyberbezpieczeństwa). W przypadku zawarcia umowy dotyczącej prowadzenia SOC operator usługi kluczowej na podstawie projektowanego art. 14 ust. 4 ustawy o krajowym systemie cyberbezpieczeństwa informuje, w terminie 14 dni od dnia zawarcia lub rozwiązania umowy, organ właściwy do spraw cyberbezpieczeństwa określony w art. 41 ustawy o krajowym systemie cyberbezpieczeństwa o:
 
  1. zawarciu takiej umowy,
  2. danych kontaktowych podmiotu z którym zawarta została umowa,
  3. zakresie świadczonej usługi,
  4. terminie obowiązywania umowy,
  5. rozwiązaniu umowy.
 
Projekt nie wprowadza z kolei żadnych zmian w zakresie zadań SOC w porównaniu do wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo oraz podmiotów świadczących usługi z zakresu cyberbezpieczeństwa. W praktyce bardzo często rozumie się kompetencje SOC jako polegające na wykrywaniu incydentów oraz reagowaniu na nie w czasie rzeczywistym oraz monitorowaniu systemów i ruchu sieciowego (w tym przypadku spotkać można rozróżnienie SOC i NOC rozumianego jako network operations center). W ramach SOC mają być realizowane następujące zadania:•zgodnie z art. 8 ustawy wdrożenia systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej, zapewniającego:
 
  1. prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem,
  2. wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym:
    • utrzymanie i bezpieczną eksploatację systemu informacyjnego,
    • bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu,
    • bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej,
    • wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej oraz zapewniających poufność, integralność, dostępność i autentyczność informacji,
    • objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym,
  3. zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej,
  4. zarządzanie incydentami,
  5. stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, w tym:
    • stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym,
    • dbałość o aktualizację oprogramowania,
    • ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym,
    • niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub zagrożeń cyberbezpieczeństwa,
    • stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa.
 
Zgodnie z art. 9 ustawy:
 
  1. wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa,
  2. zapewnienia użytkownikowi usługi kluczowej dostęp do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami w zakresie związanym ze świadczoną usługą kluczową, w szczególności przez publikowanie informacji na ten temat na swojej stronie internetowej, 
  3. przekazania organowi właściwemu do spraw cyberbezpieczeństwa dane, o których mowa w art. 7 ust. 2 pkt 8 i 9 ustawy, nie później niż w terminie trzech miesięcy od zmiany tych danych.
 
Zgodnie z art. 10 ust. 1 – 3 ustawy opracowania, stosowania i aktualizowania dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, a także sprawowania nadzoru nad dokumentacją dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, zapewniającego:
 
  1. dostępność dokumentów wyłącznie dla osób upoważnionych zgodnie z realizowanymi przez nie zadaniami,
  2. ochronę dokumentów przed niewłaściwym użyciem lub utratą integralności,
  3. oznaczanie kolejnych wersji dokumentów umożliwiające określenie zmian dokonanych w tych dokumentach.

[...]

 

Adwokat. Inspektor ochrony danych. Wykładowca. Publicysta. Audytor wewnętrzny normy PN – ISO/IEC 27001:2014 – 12. Ukończył kurs „Data Protection and Privacy Rights” organizowany przez Radę Europy Help Programme, kurs „Cybersecurity for Critical Urban Infrastructure” prowadzony przez Massachusetts Institute of Technology oraz kurs „Cybersecurity Risk Management” prowadzony przez Rochester Institute of Technology.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"