Wprowadzenie do cyberustawy

Wprowadzenie do cyberustawy

Wejście w życie ustawy o krajowym systemie cyberbezpieczeństwa stawia przed podmiotami realizującymi usługi kluczowe i usługi cyfrowe ogromne wyzwanie. 
Jest to pierwszy w Polsce akt prawny który niezwykle kompleksowo i z nastawieniem na skuteczność, traktuje obszar bezpieczeństwa. Bezpieczeństwa w szerokim zakresie. 
Bezpieczeństwo Usług Kluczowych/Cyfrowych to “osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia usług oraz zapewnienia obsługi incydentów” (cytat za Art. 3 Ustawy). Musimy więc mieć świadomość wszystkich obszarów niezbędnych do zapenienia bezpieczeństwa. 
Na pewno możemy powiedzieć czym cyberbezpieczeństwo nie jest: 
 - nie jest wdrożeniem systemu SIEM, 
 - nie jest ustanowieniem SOC/CSIRT, 
 - nie jest wdrażaniem zaawansowanych narzędzi monitorowania bezpieczeństwa,
 - nie jest ustaleniem wektorów ataków i procedur reakcji,
 - nie jest żadnym pojedynczym działaniem, o których dotychczas mowa była w literaturze dotyczącej wdrożenia dyrektywy NIS.
Niestety bardzo często wdrożenie dyrektywy NIS (a co za tym idzie Cyberustawy) rozumiane jest jako skuteczne wdrożenie firmowych Security Operations Center (SOC). Jest to jeden z wątków skutecznego zapewnienia cyberbezpieczeństwa. Na pewno w naszym kraju nowy, podobnie jak fakt, iż instytucje i firmy, często konkurujące ze sobą, dzielą się z podmiotami godnymi zaufania informacjami na temat groźnych incydentów. 
Samo przekonanie wszystkich zainteresowanych do pokazywania słabości zajmie z pewnością dużo czasu. Stąd wydaje się nam upraszczanie tematyki zawartej w ustawie o cyberbezpieczeństwie. Tymczasem już pierwszy akapit rozdziału 3 Cyberustawy określa obowiązki operatorów usług kluczowych w następujący sposób: “Operator usługi kluczowej wdraża system zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej” [Art. 8 ustawy]. Dalej jest mowa o tym, co się przez to rozumie. Wymagane jest: wdrożenie zasad zarządzania ryzykiem, wdrażanie odpowiednich i proporcjonalnych do ryzyka zabezpieczeń, zarządzanie incydentami, stosowanie bezpiecznych środków łączności, bezpieczne zarządzanie systemami, monitorowanie informacji o zagrożeniach i podatnościach. 
Wprawne oko dostrzeże konieczność implementacji systemu bezpieczeństwa opartego o mechanizmy międzynarodowego standardu ISO/IEC 27001 (które są podstawą dla wielu narodowych wymagań bezpieczeństwa), amerykańskich standardów NIST lub wymagań COBIT. Tak też była projektowana dyrektywa NIS. Celem było to aby wprowadzić do systemu prawnego wymagania, które dla chętnych w UE są dostępne od wielu lat. 

Potwierdzeniem tej tezy są dwa projekty rozporządzeń, które dołączone zostały do druku RCL ustawy, którym kierowano ją do Sejmu. Rozporządzenie “w sprawie warunków organizacyjnych i technicznych dla wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo oraz podmiotów świadczących usługi z zakresu cyberbezpieczeństwa dla operatorów usług kluczowych” powołuje się wprost na międzynarodowe standardy takie jak ISO/IEC 27001 w zakresie bezpieczeństwa, ISO 22301 w zakresie ciągłości działania oraz dokumenty techniczne RFC 2350 - w zakresie wytycznych dla zarządzania incydentami. 
Podobne odwołania na międzynarodowe standardy zawiera projekt rozporządzenia “w sprawie dokumentacji cyberbezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia usług kluczowych”. 

Nad wszystkimi mechanizmami pracowaliśmy od pierwszego wdrożenia wymagań ISO/IEC 27001 w roku 2003. Praktyczne doświadczenie pomoże nam uniknąć wdrożeń “cudownych narzędzi” i “doskonałych cyberprocedur”, a zapewni skuteczne mechanizmy radzenia sobie z problemami cyberbezpieczeństwa.

Zapraszamy do wpsółpracy.

Powrót do artykułów

Zapraszamy do kontaktu

Formularz kontaktowy znajduje się poniżej, a dane kontaktowe w sekcji: Kontakt

Formularz kontaktowy

O nas | Formularz kontaktowy

(c)2018, Wszelkie Prawa Zastrzeżone
Zadzwoń do nas:
Ryszard Kluska
Wiceprezes Zarządu
601 366 281
lub napisz:
ryszard.kluska@grupablue.pl