CYBERBEZPIECZEŃSTWO – termin tak szeroki jak rozbudowywana pamięć komputera.

Cyber Security znane jest od  początku rozwoju informatyki (cybernetyki).

Wraz z rozwojem zagrożeń informatycznych wiele dziedzin życia i środowisk wspomagających informatykę musiało ewoluować do stworzenia Systemu Cyberbezpieczeństwa. Ochrona świata  wirtualnego przed atakami cyberprzestępców spotkała się również z organizacją Systemu Cyberbezpieczeństwa,  jako programu europejskiego, a tym samym Krajowego.

W Polsce na bazie Dyrektywy Unijnej została wdrożona Ustawa z dn. 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, która wprowadziła rozwiązania systemowe dla ochrony podstawowych  gałęzi gospodarki krajowej. Przyjęty Dyrektywą Unijną rozdział usługodawców rynku, nasz Ustawodawca zaakceptował i zaimplementował w rodzimych aktach wykonawczych. Zgodnie z ustawą w Polsce powstały trzy Zespoły Reagowania na Incydenty w cyberprzestrzeni tj.:

• CSIRT MON – odpowiedzialny za instytucje wojskowe,
• CSIRT GOV – odpowiedzialny za instytucje rządowe i administracji publicznej oraz
• CSIRT NASK – odpowiedzialny za pozostałe (zarazem największe) jednostki gospodarki krajowej.

Ustawodawca dokonał podziału sektorów gospodarki względem Krajowego Systemu Cyberbezpieczeństwa na następujące kategorie:

• Operatorzy Usług Kluczowych,
• Dostawcy Usług Cyfrowych,
• Podmioty Publiczne.

W niniejszym blogu przedstawimy najważniejsze cechy i czynności Operatorów Usług Kluczowych, natomiast w następny edycjach będziemy omawiać pozostałe podmioty Krajowego Systemu Cyberbezpieczeństwa.

Operator Usługi Kluczowej to podmiot uznany i oznaczony do pełnienia tej roli na podstawie decyzji administracyjnej  przez właściwego ministra sektorowego.

Na Operatorze Usługi Kluczowej ciążą obowiązki wprost wynikające z ustawy oraz aktów wykonawczych (rozporządzeń). Są to m.in.:

• powołanie struktur wewnętrznych lub skorzystanie z usług zewnętrznych firm do odpowiedzialnych za cyberbezpieczeństwo;
• wdrożenie wymaganej przez Krajowy System Cyberbezpieczeństwa uregulowań dla zapewnienia właściwej kompatybilności pomiędzy Zespołami Reagowania;
• wytworzenie właściwej i znormalizowanej dokumentacji, o której mowa w Rozporządzeniu Rady Ministrów z dn. 16 października 2018 (Dz.U.2018.2080).
• cykliczne przeprowadzenie audytu bezpieczeństwa informatycznego przez podmioty zewnętrzne zgodnie z art. 15 Ustawy;
• wyznaczenie osoby odpowiedzialnej za utrzymanie kontaktów z podmiotami Krajowego Systemu Cyberbezpieczeństwa.

Przygotowanie się Operatora Usługi Kluczowej zgodnie z ustawą jest obarczone wyznaczonymi terminami biegnącymi od dnia otrzymania decyzji administracyjnej.

Po 3 miesiącach  – należy powołać  struktury wewnętrzne, wyznaczenie osoby odpowiedzialnej, wdrożenie procedur zarządzania incydentem, przeprowadzenie szkoleń bezpieczeństwa informacji dla pracowników oraz własnych klientów, proceduralnie zgłasza incydenty poważne oraz usuwa podatności.

Po 6 miesiącach – wdrożenie rozwiązań technicznych i organizacyjnych adekwatnych do szacowanego ryzyka, stosuje wdrożoną i znormalizowaną dokumentację, Zbiera informacje zagrożeniach i podatnościach oraz stosuje środki zapobiegające powstałym incydentom.

Po 12 miesiącach – Operator wykonuje audyt bezpieczeństwa w rozumieniu ustawy, przekazuje sprawozdanie z audytu wskazanym w Ustawie podmiotom nadrzędnym (Dyrektor Rządowego Centrum Bezpieczeństwa, Minister, Szef ABW).

Jeżeli Twoja organizacja (firma, podmiot) potrzebuję wsparcia merytorycznego i technicznego w związku z potrzebą wywiązania się z wyżej wymienionych wymagań to prosimy o kontakt z nami.

Zbudowaliśmy zespół z kompetentnych i posiadających praktykę  zgodną z art. 15 Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.

Nasz zespół Audytorów:

• przygotuje organizacje zgodnie z ustawowymi terminami,
• dokona przeglądu obecnej dokumentacji uzupełniając ją o niezbędne wymagania ustawowe,
• określi i wydzieli obszary podległe pod ustawę cyberbezpieczeństwa.

Polecamy się uwadze w tym temacie.