Cyberpolicy http://cyberpolicy.nask.pl/cp/ramy-prawne/102,rozporzadzenie-w-spraw ie-warunkow-organizacyjnych-i-technicznych-dla-podmiotow-s.html 2019-01-31, 16:45 Rozporządzenie w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo 10 września 2018r. weszło w życie rozporządzenie Ministra Cyfryzacji w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo. Rozporządzenie określa szczegółowe wytyczne dla operatorów usług kluczowych zdefiniowanych w ustawie o krajowym systemie cyberbezpieczeństwa z dnia 5 lipca 2018 r.
Zgodnie z zapisem ustawy operatorzy usług kluczowych to firmy i instytucje świadczące usługi o istotnym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej. Operatorzy usług kluczowych są identyfikowani na podstawie kryteriów określonych w rozporządzeniu z dnia 11 września 2018 r [1]. Wykaz tych podmiotów jest prowadzony przez ministra właściwego do spraw informatyzacji. Wpisanie do wykazu wiąże się z nałożeniem zadań określonych w ustawie. Są to zadania związane z zapewnieniem bezpieczeństwa świadczonych usług kluczowych oraz ciągłości świadczenia tych usług, tj. wdrożenie systemu zarządzania bezpieczeństwem, obsługa i zgłaszanie incydentów, systematyczne przeprowadzanie audytów bezpieczeństwa. Do ich realizacji operator powołuje struktury wewnętrzne odpowiedzialne za cyberbezpieczeństwo lub też zawiera umowę z podmiotem zewnętrznym, który świadczy usługi z zakresu cyberbezpieczeństwa. Warunki organizacyjne i techniczne zarówno dla struktur wewnętrznych jak i podmiotów zewnętrznych określa niniejsze rozporządzenie z dnia 10 września 2018r. Warunki organizacyjne Zarówno podmiot, który świadczy usługi z zakresu cyberbezpieczeństwa, jak i wewnętrzna struktura operatora
odpowiedzialna za cyberbezpieczeństwo, są zobowiązane posiadać i utrzymywać normy bezpieczeństwa informacji i obsługi zdarzeń naruszających bezpieczeństwo systemów - posiadać i utrzymywać w aktualności system zarządzania bezpieczeństwem informacji spełniający wymagania Polskiej Normy PN-EN ISO/IEC 27001;zapewnić ciągłość działania usłudze reagowania na incydenty, polegającej na podejmowaniu działań w zakresie rejestrowania i obsługi zdarzeń naruszających - bezpieczeństwo systemów informacyjnych zgodnie z wymaganiami Polskiej Normy PN-EN ISO 22301; - posiadać i udostępniać w języku polskim i angielskim deklarację swojej polityki działania w zakresie określonym dokumentem RFC 2350 publikowanym przez organizację Internet Engineering Task Force (IETF); - zapewnić wsparcie operatorowi usługi kluczowej w trybie całodobowym przez wszystkie dni w roku, z czasem reakcji adekwatnym do charakteru usługi kluczowej; Do wykonania powyższych zadań podmiot angażuje personel, który posiada odpowiednie umiejętności i doświadczenie w zakresie: - identyfikowania zagrożeń w odniesieniu do systemów informacyjnych,
- analizowania oprogramowania szkodliwego i określania jego wpływu na system informacyjny operatora usługi kluczowej, - zabezpieczania śladów kryminalistycznych na potrzeby postępowań prowadzonych przez organy ścigania. Warunki techniczne Rozporządzenie określa również szczegółowe kryteria techniczne w stosunku do pomieszczeń: - system sygnalizacji włamania i napadu klasy 2 według Polskiej Normy PN-EN 50131-1; - system kontroli dostępu klasy 2 według Polskiej Normy PN-EN 60839-11-1, zapewniający osobie przyznanie dostępu do pomieszczenia przez rzecz posiadaną przez tą osobę oraz zapamiętanie zdarzenia przyznania dostępu danej osobie wraz z datą i czasem; - system wykrywania i sygnalizacji pożaru z powiadamianiem do centrum odbiorczego alarmów pożarowych; - szafy służące do przechowywania dokumentów oraz informatycznych nośników danych o istotnym znaczeniu dla prowadzonej działalności, klasy S1 spełniającymi wymagania Polskiej Normy PN-EN 14450, chyba że inne przepisy wymagają wyższej klasy odporności szaf; - zewnętrzne drzwi wejściowe do pomieszczeń o klasie
odporności RC4 według wymagań Polskiej Normy PN-EN 1627, wyposażone w zamki o klasie nie niższej niż klasa odporności drzwi; - wewnętrzne drzwi do pomieszczeń o klasie odporności RC2 według wymagań Polskiej Normy PN-EN 1627, wyposażone w zamki o klasie nie niższej niż klasa odporności drzwi; - okna o klasie odporności RC4 według wymagań Polskiej Normy PN-EN 1627, o ile na podstawie przeprowadzonego szacowania ryzyka dostęp do nich rodziłby nieakceptowalne ryzyko nieuprawnionego wejścia do pomieszczenia; - ściany zewnętrzne o odporności na włamanie równoważnej odporności muru o grubości 25 cm wykonanego z pełnej cegły; - ściany wewnętrzne o odporności na włamanie adekwatnej do klasy odporności drzwi. Podmioty powinny dysponować prawem do wyłącznego korzystania z pomieszczeń, a poziom zabezpieczeń technicznych powinien być dostosowany do szacowanego ryzyka. Zarówno podmioty świadczące usługi z zakresu cyberbezpieczeństwa, jak i wewnętrzne struktury organizacyjne operatorów kluczowych odpowiedzialne za
cyberbezpieczeństwo muszą dysponować sprzętem komputerowym i narzędziami informatycznymi, które umożliwiają automatyczne rejestrowanie zgłoszeń incydentów, analizę kodu oprogramowania uznanego za szkodliwe, badanie odporności systemów informacyjnych na przełamanie zabezpieczeń, a także zabezpieczanie śladów kryminalistycznych na potrzeby postępowań prowadzonych przez organy ścigania. Podmioty są także zobowiązane do operowania środkami łączności, które umożliwiają wymianę informacji z Zespołem Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT). [1] Rozporządzenie Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych Opublikowane w Dz. U. poz. 1806
ZAŁĄCZNIKI Rozporządzenie w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa (pdf, 238.23 KB) 18.10.2018 12:00 Print tą stronę Generate PDF z tej stronie ustawa o krajowym systemie cyberbezpieczeństwa, ustawa o krajowym systemie cyberbezpieczeństwa rozporządzenia, ustawa o krajowym systemie cyberbezpieczeństwa rozporządzenia wykonawcze, warunki organizacyjne i techniczne cyberbezpieczeństwo Previous Next