Ta strona może korzystać z plików cookies (tzw. „ciasteczek”). Przeglądając ją, wyrażasz domniemaną zgodę na ich zapisywanie na Twoim komputerze. Możesz je także wyłączyć.     Tak, zgadzam się.  Sprawdź w naszej Polityce Prywatności.

 

Ustawa o krajowym systemie cyberbezpieczeństwa okiem audytora – BEZPŁATNY ARTYKUŁ

Ustawa o krajowym systemie cyberbezpieczeństwa okiem audytora – BEZPŁATNY ARTYKUŁ

11 cze 2019

Czy moja firma jest operatorem usługi kluczowej?
Czego wymaga od nas nowe prawo w zakresie cyberbezpieczeństwa?
Jak przygotować się do spełnienia tych wymagań?

Na te i inne pytania odpowiadają na łamach serwisu computerworld.pl eksperci DEKRA, którzy na co dzień prowadzą audyty z zakresu bezpieczeństwa informacji, zarządzania ryzykiem i ciągłością działania oraz bezpieczeństwa danych osobowych:

 

Czy moja firma jest operatorem usługi kluczowej?

Zgodnie z art. 5.1 ustawy o krajowym systemie cyberbezpieczeństwa przedsiębiorstwo, które zostało uznane za operatora usługi kluczowej, otrzyma urzędową decyzję w tej sprawie. Biorąc pod uwagę krótkie terminy, w jakich operator musi dostosować się do nowych przepisów, warto z wyprzedzeniem samodzielnie sprawdzić, czy dana firma spełnia przesłanki OUK, a wiec, czy dana branża została wymieniona w załączniku nr 1 do ustawy.

Należy pamiętać, że obowiązki nałożone na OUK wpływają również na łańcuch dostawców, np. serwis instalacji przemysłowych itp.

 

Czego wymaga prawo od OUK i innych uczestników krajowego systemu cyberbezpieczeństwa?

Wśród licznych działań, które musi zrealizować organizacja włączona do krajowego systemu cyberbezpieczeństwa, w pierwszej kolejności należy m.in.: powołać zespół do wdrożenia systemu bezpieczeństwa, przeprowadzić proces analizy ryzyka, stworzyć proces zarządzania incydentami bezpieczeństwa, przeprowadzić działania edukacyjne.

Następnie OUK musi wdrożyć wymaganą dokumentację oraz środki techniczne i organizacyjne adekwatne do oszacowanego ryzyka. Okres dostosowawczy kończy wykonanie audytu wewnętrznego, zamknięcie działań, które z niego wynikną oraz przesłanie raportu do właściwego podmiotu.


Specjalne wymagania stawiane są również innym uczestnikom krajowego systemu cyberbezpieczeństwa, w tym podmiotom świadczącym usługi z zakresu cyberbezpieczeństwa.

Rozporządzenie Ministra Cyfryzacji  z dnia 10.09.2018 r. określa specyficzne warunki organizacyjne i techniczne, wśród których są m.in.:

- posiadanie i utrzymanie w aktualności systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 (PN-EN ISO/IEC 27001)
- zapewnienie ciągłości działania w zakresie rejestrowania i obsługi zdarzeń naruszających bezpieczeństwo systemów informacyjnych zgodnie z normą ISO 22301 (PN-EN ISO 22301)
- dysponowanie personelem, który posiada umiejętności i doświadczenie w obszarze identyfikowania zagrożeń dla systemów informacyjnych, analizy szkodliwego oprogramowania oraz zabezpieczania śladów kryminalistycznych.

Szczegółowe wytyczne rozporządzenia dotyczą również pomieszczeń, sprzętu komputerowego, narzędzi informatycznych oraz środków łączności.

 

Jak wybrać ludzi do zespołu odpowiedzialnego za system bezpieczeństwa?

Pracownicy, których organizacja chce zaangażować w tworzenie systemu bezpieczeństwa, muszą posiadać odpowiednie kompetencje w zakresie bezpieczeństwa informacji. Warto opracować program rozwoju wybranych pracowników w zakresie cyberbezpieczeństwa, w tym dla osoby, która będzie odpowiedzialna za kontakty z podmiotami krajowego systemu cyberbezpieczeństwa.

Istotne jest zapewnienie odpowiedniego poziomu szkolenia, które będzie odzwierciedlało zidentyfikowane przez firmę ryzyka oraz środki, jakie umożliwią skuteczne przeciwdziałanie tym zagrożeniom.

 

Jak przygotować dokumentację?

Rodzaje dokumentów dotyczących cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej określa rozporządzenie Rady Ministrów z dnia 16.10.2018 r.

Dokumentację normatywną zgodnie z rozporządzeniem stanowi:

- dokumentacja dot. systemu zarządzania bezpieczeństwem informacji zgodna z normą ISO 27001 (PN-EN ISO/IEC 27001)
- dokumentacja dot. systemu zarządzania ciągłością działania usługi kluczowej zgodna z normą ISO 22301 (PN-EN ISO 22301)
- dokumentacja techniczna systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej
- dokumentacja ochrony infrastruktury, z wykorzystaniem której świadczona jest usługa kluczowa
- dokumentacja wynikająca ze specyfiki świadczonej usługi kluczowej w danej branży.

 

Dokumentacja operacyjna dotyczy procedur i instrukcji wynikających z dokumentacji normatywnej, poświadcza każdorazowe wykonanie procedury oraz opisuje sposoby dokumentowania wykonania czynności w ramach ustalonych procedur.

Audyty dokumentacji powinny obejmować zarówno jej zgodność z wymaganiami rozporządzenia (ustawy), jak i jej adekwatność i skuteczność.

 

Jak przeprowadzić analizę ryzyka?

Analiza ryzyka w obszarze ochrony danych osobowych, którą organizacje prowadzą w odniesieniu do spełnienia wymagań rozporządzenia RODO/GDPR nie jest wystarczająca w odniesieniu do zapewnienia bezpieczeństwa systemu informacyjnego. Warto jednak skorzystać z wiedzy, którą organizacja już zdobyła w trakcie dostosowywania się do wymagań RODO.

Dobre praktyki dotyczące zarzadzania ryzykiem znajdziemy także w międzynarodowych normach, np. ISO 31000 i ISO 27005.


Dokument Przeczytaj cały artykuł »


Informacje Od DEKRA Sprawdź ofertę DEKRA w zakresie cyberbezpieczeństwa »

Kontakt DEKRA Skontaktuj się z autorem:

T. +48.502.765-112 | Kom. +48.601.143-050 | assessment.pl@dekra.com

 

Kontakt dla mediów

Rzecznik Prasowy Grupy DEKRA w Polsce
Filip Wesołowski
T. +48.71.780-47-72
T. +48.661-244-393
@ rzecznik.pl@dekra.com

Newsletter

Najnowsze informacje wprost do Twojej skrzynki e-mail...