Warunki organizacyjne Zarówno podmiot, który świadczy usługi z zakresu cyberbezpieczeństwa, jak i wewnętrzna struktura operatora

Podobne dokumenty
Projekt z dnia z dnia r.

Projekt z dnia 15 czerwca 2018 r. z dnia r.

Polityka Ochrony Cyberprzestrzeni RP

Rozporządzenie Wykonawcze Komisji (UE) 2018/151

Poradnik dla samorządów - ustawa o krajowym systemie cyberbezpieczeństwa

Miejsce NASK w systemie cyberbezpieczeństwa państwa. Juliusz Brzostek Dyrektor NC Cyber NASK Państwowy Instytut Badawczy

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

DZIENNIK URZĘDOWY. Warszawa, 17 kwietnia 2019 r. Poz. 20. ZARZĄDZENIE Nr 20 MINISTRA GOSPODARKI MORSKIEJ I ŻEGLUGI ŚRÓDLĄDOWEJ 1)

Ustawa o Krajowym Systemie Cyberbezbieczeństwa

Rozporządzenie Rady Ministrów w sprawie zakresu działania oraz trybu pracy Kolegium do Spraw Cyberbezpieczeństwa

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO, ICH DOBÓR ORAZ ZAKRES STOSOWANIA

Kto zapłaci za cyberbezpieczeństwo przedsiębiorstwa?

Ustawa o krajowym systemie cyberbezpieczeństwa - ciągłość świadczenia usług kluczowych.

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Miejsce NC Cyber w systemie bezpieczeństwa teleinformatycznego państwa

Krajowy System Cyberbezpieczeństwa. Krzysztof Silicki p.o. Dyrektora NASK PIB, Wiceprzewodniczący Rady Zarządzającej ENISA

z dnia. o krajowym systemie cyberbezpieczeństwa

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Nowe obowiązki przedsiębiorców w zakresie cyberbezpieczeństwa.

Czas na implementację Dyrektywy do porządków prawnych państw członkowskich upływa 9 maja 2018 roku.

Spis treści. Analiza Zagrożeń Instrukcja Użytkowania

Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

Nowe obowiązki przedsiębiorców w zakresie cyberbezpieczeństwa.

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

ZARZĄDZENIE Nr 14 /2013. w sprawie przeprowadzenia samooceny kontroli zarządczej

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

WYMAGANIA I STANDARDY ZWIĄZANE Z PRZETWARZANIEM DANYCH MEDYCZNYCH

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Warszawa, dnia 13 sierpnia 2018 r. Poz. 1560

Polityka bezpieczeństwa i instrukcja zarządzania czy trzeba je prowadzić zgodnie z RODO

Maciej Byczkowski ENSI 2017 ENSI 2017

Ustawa o krajowym systemie cyberbezpieczeństwa

Kwestionariusz samooceny kontroli zarządczej

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Instrukcja postępowania z kluczami oraz zabezpieczenia pomieszczeń i obiektu Urzędu Miasta i Gminy Frombork. Postanowienia ogólne 1.

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) / z dnia r.

Prezentacja systemu sygnalizacji pożarowej wraz z transmisją do Alarmowego Centrum Odbiorczego i Kasetą Straży Pożarnej

Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP

Wdrożenie wymagań ustawy o krajowym systemie cyberbezpieczeństwa jako operator usługi kluczowej - omówienie działań

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

Zamawiający: Warszawa, dnia 12 lutego 2018 r. Muzeum Łazienki Królewskie w Warszawie ul. Agrykola Warszawa Dział Konserwacji

REMONT INSTALACJI ELEKTRYCZNYCH W BUDYNKU DOMU STUDENTA NR 4 (Delta) PIĘTRO POWTARZALNE

USTAWA. z dnia. o krajowym systemie cyberbezpieczeństwa. Rozdział 1. Przepisy ogólne

SZCZEGÓŁOWY HARMONOGRAM KURSU

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

REGULAMIN ZARZĄDZANIA RYZYKIEM. w Sądzie Okręgowym w Krakowie

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata znaczenie i najbliższe działania

Bezpieczeństwo systemów SCADA oraz AMI

Reforma ochrony danych osobowych RODO/GDPR

Czy technologie XX wieku mają szanse z cyberprzestępczością XXI wieku?

Szczegółowe informacje o kursach

Promotor: dr inż. Krzysztof Różanowski

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Sejfy i Szafy myśliwskie w klasie S1

Beyond.pl. Opis techniczny Beyond.pl Data Center 1

Data Center Beyond.pl

OBOWIĄZKI I ODPOWIEDZIALNOŚĆ ZA ZADANIA ZWIĄZANE Z OCHRONĄ DANYCH OSOBOWYCH W SZKOLE GŁÓWNEJ HANDLOWEJ W WARSZAWIE

PROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0)

Certified IT Manager Training (CITM ) Dni: 3. Opis:

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.

KWESTIONARIUSZ SAMOOCENY W ZAKRESIE STOSOWANIA STANDARDÓW KONTROLI ZARZĄDCZEJ

Amatorski Klub Sportowy Wybiegani Polkowice

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE TK BATO SP. Z O.O.

PL-Wrocław: Usługi ochroniarskie 2013/S

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Metryka dokumentu: RFC-2350 CERT Alior Data wydania pierwszej wersji: wydania kolejnej jego wersji.

Zdrowe podejście do informacji

INSTRUKCJA POSTĘPOWANIA W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Deklaracja zgodności EC

Szkolenie otwarte 2016 r.

Samodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych

Zarządzenie Nr 39/2011 Burmistrza Miasta Kościerzyna z dnia 1 marca 2011 r.

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

2. Cele i polityka zabezpieczania systemów informatycznych, w których przetwarzane są dane osobowe

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

Uchwała wchodzi w życie z dniem uchwalenia.

Rozporządzenie eprivacy

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH

Europejska inicjatywa dotycząca przetwarzania w chmurze. budowanie w Europie konkurencyjnej gospodarki opartej na danych i wiedzy

Załącznik Nr 3 do Zarządzenia Nr 84 z dnia 15 listopada 2010 roku KWESTIONARIUSZ SAMOOCENY

Zasady ochrony danych i prywatności Usługi Przetwarzania w Chmurze IBM

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

DZIENNIK URZĘDOWY MINISTRA SPRAWIEDLIWOŚCI

Marcin Soczko. Agenda

Transkrypt:

Cyberpolicy http://cyberpolicy.nask.pl/cp/ramy-prawne/102,rozporzadzenie-w-spraw ie-warunkow-organizacyjnych-i-technicznych-dla-podmiotow-s.html 2019-01-31, 16:45 Rozporządzenie w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo 10 września 2018r. weszło w życie rozporządzenie Ministra Cyfryzacji w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo. Rozporządzenie określa szczegółowe wytyczne dla operatorów usług kluczowych zdefiniowanych w ustawie o krajowym systemie cyberbezpieczeństwa z dnia 5 lipca 2018 r.

Zgodnie z zapisem ustawy operatorzy usług kluczowych to firmy i instytucje świadczące usługi o istotnym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej. Operatorzy usług kluczowych są identyfikowani na podstawie kryteriów określonych w rozporządzeniu z dnia 11 września 2018 r [1]. Wykaz tych podmiotów jest prowadzony przez ministra właściwego do spraw informatyzacji. Wpisanie do wykazu wiąże się z nałożeniem zadań określonych w ustawie. Są to zadania związane z zapewnieniem bezpieczeństwa świadczonych usług kluczowych oraz ciągłości świadczenia tych usług, tj. wdrożenie systemu zarządzania bezpieczeństwem, obsługa i zgłaszanie incydentów, systematyczne przeprowadzanie audytów bezpieczeństwa. Do ich realizacji operator powołuje struktury wewnętrzne odpowiedzialne za cyberbezpieczeństwo lub też zawiera umowę z podmiotem zewnętrznym, który świadczy usługi z zakresu cyberbezpieczeństwa. Warunki organizacyjne i techniczne zarówno dla struktur wewnętrznych jak i podmiotów zewnętrznych określa niniejsze rozporządzenie z dnia 10 września 2018r. Warunki organizacyjne Zarówno podmiot, który świadczy usługi z zakresu cyberbezpieczeństwa, jak i wewnętrzna struktura operatora

odpowiedzialna za cyberbezpieczeństwo, są zobowiązane posiadać i utrzymywać normy bezpieczeństwa informacji i obsługi zdarzeń naruszających bezpieczeństwo systemów - posiadać i utrzymywać w aktualności system zarządzania bezpieczeństwem informacji spełniający wymagania Polskiej Normy PN-EN ISO/IEC 27001;zapewnić ciągłość działania usłudze reagowania na incydenty, polegającej na podejmowaniu działań w zakresie rejestrowania i obsługi zdarzeń naruszających - bezpieczeństwo systemów informacyjnych zgodnie z wymaganiami Polskiej Normy PN-EN ISO 22301; - posiadać i udostępniać w języku polskim i angielskim deklarację swojej polityki działania w zakresie określonym dokumentem RFC 2350 publikowanym przez organizację Internet Engineering Task Force (IETF); - zapewnić wsparcie operatorowi usługi kluczowej w trybie całodobowym przez wszystkie dni w roku, z czasem reakcji adekwatnym do charakteru usługi kluczowej; Do wykonania powyższych zadań podmiot angażuje personel, który posiada odpowiednie umiejętności i doświadczenie w zakresie: - identyfikowania zagrożeń w odniesieniu do systemów informacyjnych,

- analizowania oprogramowania szkodliwego i określania jego wpływu na system informacyjny operatora usługi kluczowej, - zabezpieczania śladów kryminalistycznych na potrzeby postępowań prowadzonych przez organy ścigania. Warunki techniczne Rozporządzenie określa również szczegółowe kryteria techniczne w stosunku do pomieszczeń: - system sygnalizacji włamania i napadu klasy 2 według Polskiej Normy PN-EN 50131-1; - system kontroli dostępu klasy 2 według Polskiej Normy PN-EN 60839-11-1, zapewniający osobie przyznanie dostępu do pomieszczenia przez rzecz posiadaną przez tą osobę oraz zapamiętanie zdarzenia przyznania dostępu danej osobie wraz z datą i czasem; - system wykrywania i sygnalizacji pożaru z powiadamianiem do centrum odbiorczego alarmów pożarowych; - szafy służące do przechowywania dokumentów oraz informatycznych nośników danych o istotnym znaczeniu dla prowadzonej działalności, klasy S1 spełniającymi wymagania Polskiej Normy PN-EN 14450, chyba że inne przepisy wymagają wyższej klasy odporności szaf; - zewnętrzne drzwi wejściowe do pomieszczeń o klasie

odporności RC4 według wymagań Polskiej Normy PN-EN 1627, wyposażone w zamki o klasie nie niższej niż klasa odporności drzwi; - wewnętrzne drzwi do pomieszczeń o klasie odporności RC2 według wymagań Polskiej Normy PN-EN 1627, wyposażone w zamki o klasie nie niższej niż klasa odporności drzwi; - okna o klasie odporności RC4 według wymagań Polskiej Normy PN-EN 1627, o ile na podstawie przeprowadzonego szacowania ryzyka dostęp do nich rodziłby nieakceptowalne ryzyko nieuprawnionego wejścia do pomieszczenia; - ściany zewnętrzne o odporności na włamanie równoważnej odporności muru o grubości 25 cm wykonanego z pełnej cegły; - ściany wewnętrzne o odporności na włamanie adekwatnej do klasy odporności drzwi. Podmioty powinny dysponować prawem do wyłącznego korzystania z pomieszczeń, a poziom zabezpieczeń technicznych powinien być dostosowany do szacowanego ryzyka. Zarówno podmioty świadczące usługi z zakresu cyberbezpieczeństwa, jak i wewnętrzne struktury organizacyjne operatorów kluczowych odpowiedzialne za

cyberbezpieczeństwo muszą dysponować sprzętem komputerowym i narzędziami informatycznymi, które umożliwiają automatyczne rejestrowanie zgłoszeń incydentów, analizę kodu oprogramowania uznanego za szkodliwe, badanie odporności systemów informacyjnych na przełamanie zabezpieczeń, a także zabezpieczanie śladów kryminalistycznych na potrzeby postępowań prowadzonych przez organy ścigania. Podmioty są także zobowiązane do operowania środkami łączności, które umożliwiają wymianę informacji z Zespołem Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT). [1] Rozporządzenie Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych Opublikowane w Dz. U. poz. 1806

ZAŁĄCZNIKI Rozporządzenie w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa (pdf, 238.23 KB) 18.10.2018 12:00 Print tą stronę Generate PDF z tej stronie ustawa o krajowym systemie cyberbezpieczeństwa, ustawa o krajowym systemie cyberbezpieczeństwa rozporządzenia, ustawa o krajowym systemie cyberbezpieczeństwa rozporządzenia wykonawcze, warunki organizacyjne i techniczne cyberbezpieczeństwo Previous Next