Krajowy System Cyberbezpieczeństwa już działa

W sierpniu 2018 r. weszła w życie roku ustawa o krajowym systemie cyberbezpieczeństwa. Jej celem jest wdrożenie uregulowań prawnych umożliwiających implementację dyrektywy NIS, dotyczącej bezpieczeństwa sieci i informacji w Unii Europejskiej. Głównym założeniem nowych przepisów jest zapewnienie ochrony cyberprzestrzeni na poziomie krajowym. Ich wejście w życie oznacza nowe obowiązki dla podmiotów publicznych, przedsiębiorstw zdefiniowanych jako operatorzy usług kluczowych, takich jak służba zdrowia, energetyka, transport, bankowość, oraz dostawców usług cyfrowych, internetowych platform handlowych, usług przetwarzania w chmurze i wyszukiwarek internetowych.

- Operator usługi kluczowej jest zobowiązany do wdrożenia systemu zarządzania bezpieczeństwem w systemie informacyjnym używanym do świadczenia usługi kluczowej. Ma także obowiązek systematycznego szacowania ryzyka i dostosowania do niego środków bezpieczeństwa. Poza tym musi opracowywać i uaktualniać dokumentację dotyczącą cyberbezpieczeństwa systemu informacyjnego oraz przechowywać ją przez co najmniej dwa lata – tłumaczy Juliusz Brzostek, Dyrektor Centrum Cyberbezpieczeństwa w NASK.

Przedsiębiorcy zostali też zobowiązani do raportowania incydentów do właściwego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) – będą na to 24 godzin od momentu wykrycia incydentu. Później trzeba będzie współdziałać z CSIRT w obsłudze incydentu, w tym zapewnieniu dostępu do informacji oraz usunięciu podatności systemu. Zespoły reagowania będą z kolei współpracowały ze sobą na poziomie krajowym w celu zapewnienia spójnego i kompletnego systemu zarządzania ryzykiem. Mają też zapewnić właściwą obsługę zgłoszonych incydentów. Operatorzy usług kluczowych będą musieli raz na dwa lata przeprowadzać audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Pierwszy audyt powinien odbyć się w ciągu roku od doręczenia decyzji o uznaniu za operatora usługi kluczowej. Zadania CSIRT poziomu krajowego w tym zakresie pełni Państwowy Instytut Badawczy NASK, nadzorowany przez Ministerstwo Cyfryzacji.

Do realizacji swoich zadań firmy z kluczowych branż będą mogły powołać struktury wewnętrzne odpowiedzialne za cyberbezpieczeństwo. Ustawa dopuszcza też outsourcing, czyli zawarcie umowy z podmiotem zewnętrznym, który świadczy takie usługi.

Dostawcy usług cyfrowych w przypadku wystąpienia incydentu będą musieli zapewnić utrzymanie procesów wykrywania zagrożeń, reagować zgodnie z procedurami, a także przedstawić ocenę powagi incydentu wraz z pełną dokumentacją. W miarę możliwości organizacja powinna też utrzymać realizację usługi lub też przywrócić ją po ustąpieniu zakłócenia. Zarządzanie ciągłością działania obejmuje ustanowienie i wdrożenie odpowiednich planów awaryjnych, a także ocenę zdolności w zakresie przywracania gotowości do pracy. Sprawność systemu uczestniczące w nim podmioty będą musiały monitorować, a także ulepszać na podstawie wyników przeprowadzonych testów i audytów.

Obsługa incydentów w świetle ustawy o KSC

Operatorzy usług kluczowych zobowiązani są do:

• klasyfikowania incydentu na podstawie kryteriów określonych w rozporządzeniu (Rozporządzenie Rady Ministrów z 31.10.2018 r. w sprawie progów uznania incydentu za poważny);

• zgłoszenia incydentu poważnego do właściwego CSIRT, nie później niż w ciągu 24 godzin od momentu jego wykrycia;

• współdziałania z CSIRT w obsłudze incydentu, w tym zapewnienia dostępu do informacji oraz usunięcia podatności systemu.

Dostawca usług cyfrowych w przypadku wystąpienia incydentu powinien:

• zapewnić utrzymanie procesów wykrywania zagrożeń, systemu zgłaszania incydentów oraz reagować na nie zgodnie z procedurami;

• ocenić powagę incydentu oraz prowadzić jego pełną dokumentację;

• w miarę możliwości prowadzić realizację usługi lub przywrócić ją po ustąpieniu zakłócenia;

• w ramach zapewnienia ciągłości działania, wdrożyć plany awaryjne oraz dokonać oceny zdolności w zakresie przywracania gotowości do pracy;

• monitorować system oraz ulepszać go na podstawie przeprowadzonych testów i audytów.

Operatorzy usług kluczowych mają obowiązek raportowania incydentów poważnych, a dostawcy usług kluczowych incydentów istotnych. Należy je zgłaszać do CERT Polska na stronie https://incydent.cert.pl/ poprzez znajdujący się na niej formularz online.

PAO

Materiał powstał przy współpracy z NASK