Wdrożenie wymagań ustawy o krajowym systemie cyberbezpieczeństwa jako operator usługi kluczowej - omówienie działań

Transkrypt

1 Wdrożenie wymagań ustawy o krajowym systemie cyberbezpieczeństwa jako operator usługi kluczowej - omówienie działań Dr Roman Marzec Dyrektor ds. Bezpieczeństwa i Kontroli Wewnętrznej; Pełnomocnik ds. Ochrony IK

2 Podstawa prowadzonych działań Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U poz. 1560) wraz z rozporządzeniami wykonawczymi Zawiadomienie o wszczęciu postępowania w sprawie uznania Grupy LOTOS S.A. za operatora usługi kluczowej: Wytwarzanie paliw ciekłych (z r.) Analogiczne zawiadomienia w spółkach GKL

3 Obowiązki operatora (Spółki): 3 miesiące od otrzymania decyzji: Powołanie wewnętrznych struktur do zarządzania cyberbezpieczeństwem, w tym wyznaczenie punktu kontaktowego (poinformowanie ministerstwa o wyznaczonej osobie w ciągu 14 dni). o W przypadku zawarcia umowy na świadczenie usługi z zakresu cyberbezpieczeństwa poinformowanie ministerstwa w ciągu 14 dni. funkcjonuje Zespół FIB, opracowano koncepcję Security Operations Center Uruchomienie procesu zarządzania incydentami bezpieczeństwa przygotowywana jest procedura korporacyjna zgłaszania incydentów Rozpoczęcie edukacji użytkowników usługi kluczowej w zakresie cyberbezpieczeństwa e-learning Cyberbezpieczeństwo dla pracowników GKL, w GL S.A. planowane szkolenia dla kierownictwa/osób zaangażowanych (w ramach doradztwa) Wdrożenie programu systematycznej analizy ryzyka i zarządzania ryzykiem

4 Obowiązki operatora (Spółki): 6 miesięcy od otrzymania decyzji: Stworzenie formalnej dokumentacji dot. cyberbezpieczeństwa Dokumentację stanowią: 1) dokumentacja dotycząca systemu zarządzania bezpieczeństwem informacji wytworzona zgodnie z wymaganiami normy PN- EN ISO/IEC 27001; 2) dokumentacja ochrony infrastruktury, z wykorzystaniem której świadczona jest usługa kluczowa; 3) dokumentacja systemu zarządzania ciągłością działania usługi kluczowej wytworzona zgodnie z wymaganiami normy PN-EN ISO 22301; 4) dokumentacja techniczna systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej; 5) dokumentacja wynikająca ze specyfiki świadczonej usługi kluczowej w danym sektorze lub podsektorze. wniosek o PWK na doradztwo dla GL S.A. Wdrożenie zabezpieczeń proporcjonalnych do oszacowanego ryzyka 12 miesięcy od otrzymania decyzji: Przeprowadzenie audytu bezpieczeństwa (kolejne audyty raz na 2 lata)

5 Security Operations Center 5

6 SOC co to takiego?

7 SOC co to takiego?

8 Przykładowy Proces zgłaszania i obsługi incydentu w SOC Obsługa incydentu Przekazywanie danych

9 SOC koncepcja wdrożenia [III] W GL S.A.: - Linia 2 (Dział Reagowania) Min 7 osób /Max 13 osób Ousourcing: - Linia 1 (Dział Monitoringu) - Linia 3 (Dział Usług Zaawansowanych)

10 10 SOC koncepcja wdrożenia [III] Za: Wysoki poziom kompetencji dostarczany od firmy trzeciej specjalizującej się w dostarczaniu zaawansowanych usług bezpieczeństwa. Utrzymanie kompetencji linii 2 w strukturach organizacji, jako kluczowej kompetencji w sprawnym procesie reakcji na incydenty. Linia 1 po stronie Outsourcera redukuje ryzyko utrzymywania nadmiarowego stanu kadry w celu utrzymania minimalnego składu osobowego do obsadzenia stanowiska analityka w trybie 24/7. Przeciw: Stosunkowo długi czas szkolenia pracowników SOC linii 2. Linia 1 = Dział Monitoringu; Linia 2 = Dział Reagowania, Linia 3 = Dział Usług Zaawansowanych

11 11 SOC koncepcja wdrożenia [IV] W GL S.A.: - Linia 1 [w godz. 8-16] (Dział Monitoringu) - Linia 2 (Dział Reagowania) Min 9 osób /Max 17 osób Ousourcing: - Linia 1 [w godz. 16-8] (Dział Monitoringu) - Linia 3 (Dział Usług Zaawansowanych)

12 12 SOC koncepcja wdrożenia [IV] Za: Wysoki poziom kompetencji dostarczany od firmy trzeciej specjalizującej się w dostarczaniu zaawansowanych usług bezpieczeństwa Utrzymanie kompetencji linii 2 w strukturach organizacji, jako kluczowej kompetencji w sprawnym procesie reakcji na incydenty Utrzymywanie kompetencji SOC linii 1 w strukturze organizacji w godzinach pracy biurowej pozwala przyspieszać działania obsługi incydentów pomiędzy linią 1 i linią 2 Pozyskanie kadry dla linii SOC linii 1 w godzinach pracy biurowej jest zadaniem prostszym od pozyskania i utrzymania linii 1 w trybie 24/7 Linia 1 po stronie Outsourcera po godzinach pracy biurowej redukuje ryzyko utrzymywania nadmiarowego stanu kadry w celu utrzymania minimalnego składu osobowego do obsadzenia stanowiska analityka w trybie 24/7 Linia 1 = Dział Monitoringu; Linia 2 = Dział Reagowania, Linia 3 = Dział Usług Zaawansowanych

13 SOC koncepcja wdrożenia [IV] Przeciw: Stosunkowo długi czas szkolenia pracowników SOC linii 2 Wymagany proces przekazywania obsługiwanych zdarzeń SOC linią 1 pomiędzy Zamawiającym, a Outsourcerem Linia 1 = Dział Monitoringu; Linia 2 = Dział Reagowania, Linia 3 = Dział Usług Zaawansowanych

14 Doradztwo na dostosowanie GL S.A. do wymogów ustawy o krajowym systemie cyberbezpieczeństwa, w tym wymogów normy PN-EN ISO 27001:

15 Zakres doradztwa Etap 1. Audyt oceniający zgodność z normami ISO (dla całej obszaru działalności) oraz ISO (dla zidentyfikowanych usług kluczowych) oraz mającymi zastosowanie przepisami prawa i innymi. Ocena ryzyka oraz identyfikacja obszarów GL S.A. zaangażowanych w zarządzanie bezpieczeństwem różnych grup informacji. Analiza istniejących w GL S.A. zasad zarządzania bezpieczeństwem informacji i systemami informatycznymi w kontekście wymagań ISO

16 Zakres doradztwa Etap 2. Harmonogram wdrożenia/dostosowania do wymagań ISO (dla całej obszaru działalności), ISO (dla zidentyfikowanych usług kluczowych) oraz ustawy. Opracowanie niezbędnej dokumentacji. Szkolenie dla kadry kierowniczej/wybranych grup pracowników w Grupie LOTOS S.A. GL S.A. będzie miała prawo do przekazania wypracowanych rozwiązań innym podmiotom w ramach GKL. Oczekiwany termin zakończenia prac: r.

17 17 Projekt ustawy o zarządzaniu kryzysowym Projekt ten zwiera również kilka zmian dotyczących infrastruktury krytycznej, o których warto nadmienić podczas tej prezentacji, ponieważ wspomniane rozwiązania dotyczą usług kluczowych nie do końca uwzględniają te, które dotyczą infrastruktury krytycznej.

18 Infrastruktura krytyczna - należy przez to rozumieć systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia, instalacje, usługi kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców. Infrastruktura krytyczna obejmuje systemy: a) zaopatrzenia w energię, surowce energetyczne i paliwa, b) łączności i sieci teleinformatycznych, c) sieci teleinformatycznych, d) finansowe, e) zaopatrzenia w żywność, f) zaopatrzenia w wodę oraz odprowadzenia ścieków g) ochrony zdrowia, h) transportowe, i) ratownicze, j) zapewniające ciągłość działania administracji publicznej, k) produkcji, składowania, przechowywania i stosowania substancji chemicznych i promieniotwórczych, w tym rurociągi substancji niebezpiecznych;

19 Infrastruktura Krytyczna Podstawowe urządzenia i instytucje świadczące usługi niezbędne do należytego funkcjonowania produkcyjnych działów gospodarki infrastruktura ekonomiczna, która obejmuje urządzenia świadczące usługi w zakresie transportu, komunikacji, energetyki, irygacji itd. infrastruktura społeczna, w skład której wchodzą urządzenia i instytucje świadczące usługi w dziedzinie prawa, bezpieczeństwa, kształcenia, oświaty, służby zdrowia itd.

20 INFSTRAKTURA KRYTYCZNA NA PODSTAWIE NARODOWEGO PROGRAMU OCHRONY INFRASTRUKTURY KRYTYCZNEJ

21 kryteria wpływu na bezpieczeństwo - ustające wagę roli dla bezpieczeństwa państwa, jego obywateli, instytucji i przedsiębiorstw kryteria systemowe parametry ilościowe i podmiotowe kryteria przekrojowe określające skutki zniszczenia bądź zaprzestania funkcjonowania IK.

22 Europejska infrastruktura krytyczna Należy przez to rozumieć systemy oraz wchodzące w ich skład powiązane ze sobą funkcjonalnie obiekty, w tym obiekty budowlane, urządzenia i instalacje kluczowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców, wyznaczone w systemach, o których mowa w pkt 2 lit. a i h, w zakresie energii elektrycznej, ropy naftowej i gazu ziemnego oraz transportu drogowego, kolejowego, lotniczego, wodnego śródlądowego, żeglugi oceanicznej, żeglugi morskiej bliskiego zasięgu i portów, zlokalizowane na terytorium państw członkowskich Unii Europejskiej, których zakłócenie lub zniszczenie miałoby istotny wpływ na co najmniej dwa państwa członkowskie;

23 Ochrona infrastruktury krytycznej Ochronie infrastruktury krytycznej należy przez to rozumieć wszelkie działania zmierzające do zapewnienia funkcjonalności, ciągłości działań i integralności infrastruktury krytycznej w celu zapobiegania zagrożeniom, ryzykom lub słabym punktom oraz ograniczenia i neutralizacji ich skutków oraz szybkiego odtworzenia tej infrastruktury na wypadek awarii, ataków oraz innych zdarzeń zakłócających jej prawidłowe funkcjonowanie;

24 Zagrożenie hybrydowe Należy przez to rozumieć zaplanowane i skoordynowane działania prowadzone przez podmioty państwowe lub niepaństwowe w sposób utrudniający przypisanie odpowiedzialności za nie sprawcy, które zmierzają do osiągnięcia celów politycznych i strategicznych oraz łączą różne środki wywierania nacisku i uzależniania od potencjalnego agresora, takie jak polityczne, militarne, ekonomiczne, społeczne, prawne czy informacyjne, w tym z wykorzystaniem mniejszości narodowych, etnicznych i religijnych.

25 Koordynator do spraw ochrony infrastruktury krytycznej i sztaby koordynacyjne Planowane jest wprowadzenie instytucji koordynatora do spraw ochrony infrastruktury krytycznej u wszystkich operatorów infrastruktury krytycznej. Operatorzy infrastruktury krytycznej we wszystkich systemach infrastruktury krytycznej będą wyznaczać osobę koordynująca działania na linii operator organy administracji publicznej. Wzmocnienie skuteczności koordynacji działań w przypadku wystąpienia lub możliwości wystąpienia klęski żywiołowej przewiduje się również na szczeblu województwa, powiatu i gminy poprzez możliwość tworzenia tzw. sztabów koordynacyjnych. Sztaby te mają przejmować kontrolę nad sytuacją kryzysową, usuwaniem jej skutków, w tym odtwarzaniem zasobów i usług świadczonych przez infrastrukturę krytyczną (zarządzanie sytuacją kryzysową).

26 Obecnie zgodnie z Ustawą z dnia 18 marca 2010 r. o szczególnych uprawnieniach ministra właściwego do spraw energii oraz ich wykonywaniu w niektórych spółkach kapitałowych lub grupach kapitałowych prowadzących działalność w sektorach energii elektrycznej, ropy naftowej oraz paliw gazowych (Dz. U. Nr 65, poz. 404 z póź. zm.), oraz Rozporządzeniem Prezesa Rady Ministrów z dnia 14 lipca 2010 r. w sprawie pełnomocnika do spraw ochrony infrastruktury krytycznej (Dz. U. Nr 135, poz. 906).

27 Pełnomocnik ds. ochrony infrastruktury krytycznej jest pracownikiem spółki. Monitoruje działalność spółki, odpowiada za utrzymywanie kontaktów z podmiotami właściwymi w zakresie ochrony infrastruktury krytycznej do którego zadań należy: 1) zapewnienie ministrowi właściwemu do spraw energii informacji dotyczących dokonania przez organy spółki czynności prawnych, 2) przygotowywanie dla zarządu spółki oraz rady nadzorczej spółki informacji o ochronie infrastruktury krytycznej; 3) zapewnienie zarządowi spółki doradztwa w zakresie istniejącej w spółce infrastruktury krytycznej; 4) monitorowanie działalności spółki w zakresie ochrony infrastruktury krytycznej; 5) przekazywanie informacji o infrastrukturze krytycznej dyrektorowi Rządowego Centrum Bezpieczeństwa na jego wniosek; 6) przekazywanie i odbieranie informacji o zagrożeniu infrastruktury krytycznej we współpracy z dyrektorem Rządowego Centrum Bezpieczeństwa.

28 Pełnomocnikowi ds. ochrony infrastruktury krytycznej przysługuje prawo do: 1) uczestniczenia, z głosem doradczym, w posiedzeniach zarządu spółki dotyczących spraw: - rozporządzania składnikami mienia, stanowiącymi rzeczywiste zagrożenie dla funkcjonowania; ciągłości działania oraz integralności infrastruktury krytycznej; - rozwiązania spółki; - zmiany przeznaczenia lub zaniechania eksploatacji składnika mienia spółki; - zmiany przedmiotu przedsiębiorstwa spółki; - zbycia albo wydzierżawienia przedsiębiorstwa spółki lub jego zorganizowanej części oraz ustanowienia na nim ograniczonego prawa rzeczowego; - przyjęcia planu rzeczowo-finansowego, planu działalności inwestycyjnej lub wieloletniego planu strategicznego; -przeniesienia siedziby spółki za granicę. 2) żądania od organów spółki wszelkich dokumentów, informacji oraz wyjaśnień dotyczących powyższych spraw.

29 Pełnomocnik ds. ochrony infrastruktury krytycznej sporządza dla zarządu spółki oraz rady nadzorczej raport o stanie ochrony infrastruktury krytycznej. Raport jest sporządzany co kwartał lub na żądanie zarządu spółki lub rady nadzorczej. Raport powinien zawierać informacje dotyczące ochrony infrastruktury krytycznej w zakresie: - ochrony fizycznej; - ochrony technicznej; - ochrony prawnej; - ochrony osobowej; - ochrony teleinformatycznej; - planów odbudowy i przywracania infrastruktury krytycznej do funkcjonowania. Pełnomocnik ds. ochrony infrastruktury krytycznej sporządza sprawozdanie kwartalne z wykonanych obowiązków, które składa ministrowi właściwemu ds. Skarbu Państwa oraz dyrektorowi Rządowego Centrum Bezpieczeństwa.

30 Pełnomocnik ds. Ochrony Infrastruktury Krytycznej -oczekiwania - Kompetencje i doświadczenie wybiegające poza obszary bezpieczeństwa związane z pięciopakiembezpieczeństwa ; - Kompetencje związane z zarządzaniem zespołami projektowymi i zadaniowymi; - Kompetencje związane z metodyką projektową; - Obszar zadań i odpowiedzialności znacznie szerszy od wymagań określonych w ustawie o specjalnych uprawnieniach ministra właściwego ds. energii; - Maksymalna eliminacja nadzoru i koordynacji działań zza biurka.

31 Oczekiwania dotyczące przyszłych regulacji w zakresie Infrastruktury Krytycznej - Przegląd i zmiana kompleksowego systemu ochrony Infrastruktury Krytycznej w oparciu o różne regulacje prawne unormowanie dokumentacji bezpieczeństwa, ujednolicenie zasad ochrony, wprowadzenie sankcji; - Możliwie pilne wdrożenie projektowanego przez RCB nowego sposobu kwalifikowania obiektów do wykazu Infrastruktury Krytycznej (z systemu obiektowego na system usługowy): Wiedza operatorów IK o wzajemnych powiązaniach technologicznych i organizacyjnych; Wspólne plany ciągłości działania dla usług krytycznych. - Wdrożenie mechanizmów koordynacji przez ME/RCB/Urzędy Wojewódzkie dla planów awaryjnych realizowanych w sytuacjach kryzysowych przez kilku operatorów Infrastruktury Krytycznej; - Udział operatorów Infrastruktury Krytycznej przy opracowywaniu standardów oraz wytycznych dotyczących bezpieczeństwa strategicznych zasobów; - Ujednolicenie zasad kwalifikowania obiektów i ochrony informacji w obszarze obowiązkowej ochrony; - Wprowadzenie funkcji Zastępcy dla Pełnomocnika/Koordynatora ds. Ochrony IK.

32 Grupa LOTOS S.A. Dr Roman Marzec