Cyberbezpieczeństwo w firmach branży S&S. Cz.2
Marek Ryszkowski
W części pierwszej artykułu, która ukazała się w nr. 1/2021 „a&s Polska”, przywołano Dyrektywę Parlamentu Europejskiego i Rady (UE) w sprawie cyberbezpieczeństwa w unijnej cyberprzestrzeni oraz polską ustawę i sześć rozporządzeń wydanych na podstawie jej delegacji, stanowiących łącznie z ustawą bazę normatywno-prawną Krajowego Systemu Cyberbezpieczeństwa (KSC). Wspomniano w niej także o metodyce audytowania stanu cyberbezpieczeństwa, opracowanej i wdrożonej przez Urząd Dozoru Technicznego (UDT), która została nazwana przez jej twórców metodyką Framework UDTCyber.
Audytorzy UDTCert zapewne już ją stosują do audytowania stanu cyberbezpieczeństwa w podmiotach prawa handlowego lub podmiotach o innym statusie prawnym, które są – w rozumieniu ustawy o krajowym systemie cyberbezpieczeństwa (w cz. I artykułu pod lp. 1) – operatorami usług kluczowych lub dostawcami usług cyfrowych. Przywołano również ustawowe definicje terminów: cyberbezpieczeństwo, usługa kluczowa, operator usługi kluczowej i dostawca usługi cyfrowej.
Wspomniano w pierwszej części artykułu także o tym, że zastosowanie niektórych metod teorii systemów może być użyteczne w rozważaniu przez kierownictwo podmiotów decyzji – budować system cyberbezpieczeństwa w zarządzanym podmiocie czy nie budować go. Jeżeli z analizy i syntezy problemu wyłoni się decyzja (wniosek decyzyjny): budować, w dalszych działaniach kierownictwa będzie niezbędna dogłębna znajomość nie tylko ustawy i rozporządzeń, o których wspomniano wyżej, lecz także metodyki Framework UDTCyber.
Zapewnienie bezpieczeństwa danych (aktywom informacyjnym) podlegających obligatoryjnej lub fakultatywnej ochronie w polskim systemie prawnym, przetwarzanych w systemach i sieciach teleinformatycznych jest obowiązkiem nie tylko decydentów unijnych i krajowych, lecz także zarządców podmiotów prawa handlowego i podmiotów o innym statusie prawnym, działających w polskiej, zatem także unijnej przestrzeni prawnej.
Zobaczmy zatem najpierw, czym jest owa metodyka UDT-u, nazwana Framework UDTCyber. Oto, co na jej temat można przeczytać na stronie internetowej UDT-u oraz w numerze 2/2020 biuletynu UDT-u – INSPEKTOR, TECHNIKA i BEZPIECZEŃSTWO:
Metodyka oceny Framework UDTCyber opracowana została przez Urząd Dozoru Technicznego na potrzeby przeprowadzania audytu (wszystkie podkreślenia i wstawki w nawiasach […] – MR) organizacji [podmiotów] w obszarze cyberbezpieczeństwa. Jest ona oparta na międzynarodowych metodykach, tj. NIST Cybersecurity Framework i ISO/IEC 27001, wytycznych i wymaganiach norm: PN-ISO/IEC 27002 i PN-EN ISO 22301 oraz na wymaganiach Ustawy o Krajowym Systemie Cyberbezpieczeństwa – UoKSC (Dz. U. 2018 poz. 1560). Metodyka [ta] to struktura ramowa systemu oceny stanowiąca jednocześnie podstawę do budowania programu [chyba systemu] cyberbezpieczeństwa w organizacji. Konieczność stworzenia niniejszej metodyki i opracowania na jej podstawie systemu oceny, stosowanego podczas audytu cyberbezpieczeństwa wynikała z potrzeby wiedzy jak dobrze zbudować oraz ocenić wdrożony program [lokalny lub ponadlokalny system] cyberbezpieczeństwa1).
Warto zastanowić się nad znaczeniem wiedzy dla kierownictwa podmiotów, także tych z branży S&S, co się kryje pod podkreślonymi fragmentami powyższego tekstu, który opublikowany został na stronie internetowej UDT-u. Instytucja ta, z mocy przepisów ww. ustawy i rozporządzeń wykonawczych, uzyskała niemałe kompetencje i znaczącą pozycję w Krajowym Systemie Cyberbezpieczeństwa (KSC). Kompetencje te wymieniono poniżej, bo wiedza o nich może być ważna dla niektórych czytelników.
UDTCert w obszarze cyberbezpieczeństwa realizuje audyt cyberbezpieczeństwa na zgodność z wymaganiami ustawy o KSC z dnia 5 lipca 2018 r. oraz:
- certyfikuje system zarządzania bezpieczeństwem funkcjonalnym (FSM – Functional Safety Management);
- certyfikuje system zarządzania bezpieczeństwem informacji wg wymagań PN-EN ISO/IEC 27001;
- certyfikuje system zarządzania ciągłością działania wg wymagań PN-EN ISO 22301;
- prowadzi szkolenia w obszarze audytu, certyfikacji i analizy zagrożeń w obszarze cyberbezpieczeństwa.
Zamierzałem przedstawić najważniejsze z przedsięwzięć, które zamieścili autorzy UDT-u w swojej metodyce audytowania stanu cyberbezpieczeństwa w podmiotach – operatorach usług kluczowych lub dostawcach usług elektronicznych. Jednakże próby pozyskania tekstu tej metodyki z UDT-u okazały się bezowocne. Także przyczyn tego stanu rzeczy nie zdołałem dociec. Postanowiłem zatem w tej sytuacji skoncentrować się na dyspozycjach rozporządzenia ministra cyfryzacji, wyszczególnionego w pierwszej części tego artykułu pod. lp. 72). Określa ono warunki organizacyjno-prawne i techniczne wpisania określonego podmiotu przez uprawniony organ właściwy do spraw cyberbezpieczeństwa3) do rejestru ww. operatorów i dostawców4). Niżej przywołane zostaną tylko te warunki i wymagania, które mogą być najistotniejsze dla zarządców podmiotów prawa handlowego z branży S&S, gdyż katalog wspomnianych wymagań i warunków, technicznych i organizacyjno-prawnych jest imponująco obszerny.
Paragraf pierwszy rozporządzenia określa warunki organizacyjne, których spełnienie jest niezbędne do uzyskania uprawnień podmiotu świadczącego usługi z zakresu cyberbezpieczeństwa. Natomiast jego paragraf drugi określa warunki techniczne, jakie obowiązane są spełniać podmioty świadczące usługi z zakresu cyberbezpieczeństwa, oraz wewnętrzne struktury organizacyjne operatorów usług kluczowych odpowiedzialne za cyberbezpieczeństwo. Z mojego doświadczenia wynika, że warunki techniczne bardziej powinny interesować kierownictwo firm branży S&S, bowiem ich spełnienie jest znacznie kosztowniejsze, od spełnienia warunków organizacyjnych, zapewnienia bezpieczeństwa cyberbezpieczeństwa. Utrzymanie tych warunków w czasie na wymaganym poziomie także generuje niemałe koszty.
Oto wybrane postanowienia § 2 ust. 2 ww. rozporządzenia. Część znaczną tych postanowień przedstawiono niżej w formie cytatów.
Podmioty świadczące usługi z zakresu cyberbezpieczeństwa oraz wewnętrzne struktury organizacyjne operatorów usług kluczowych odpowiedzialne za cyberbezpieczeństwo, które wykonują czynności związane z realizacją obowiązków, o których mowa w art. 8 pkt 4 i 6, art. 11 ust. 1 pkt 1–5, art. 12 i art. 135) [podkr. MR] ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, są obowiązane stosować następujące zabezpieczenia pomieszczenia lub zespołu pomieszczeń adekwatne do przeprowadzonego szacowania ryzyka (…).
Metody szacowania ryzyka i zarządzania nim mogą być zapewne takie same lub podobne, jak w wypadku szacowania ryzyka dla bezpieczeństwa informacji niejawnych, tj. opatrywanych klauzulami tajności ŚCIŚLE TAJNE, TAJNE, POUFNE I ZASTRZEZONE.
Dla zapewnienia cyberbezpieczeństwa w danym podmiocie są to m.in. wyszczególnione niżej zabezpieczenia:
- ściany i stropy pomieszczenia lub zespołu pomieszczeń, w których będą świadczone usługi z zakresu cyberbezpieczeństwa, powinny mieć klasę odporności ogniowej co najmniej EI 60, określoną w Polskiej Normie PN-EN 1350-16), a budynek, w którym będą świadczone usługi z zakresu cyberbezpieczeństwa, powinien mieć klasę odporności pożarowej nie niższą niż klasa B, określoną w przepisach wydanych na podstawie art. 7 ust. 2 pkt 1 ustawy z 7 lipca 1994 r. – Prawo budowlane (Dz.U. z 2019 r. poz. 1186, z późn. zm.);
- drzwi do pomieszczenia lub zespołu pomieszczeń spełniające co najmniej wymagania klasy 2 określone w Polskiej Normie PN-EN 1627, wyposażone w zamek spełniający co najmniej wymagania klasy 4 określone w Polskiej Normie PN-EN 12209, o ile na podstawie przeprowadzonego szacowania ryzyka do-stęp do nich rodziłby nieakceptowane ryzyko nieuprawnionego wejścia do [tego] pomieszczenia lub zespołu [tych] pomieszczeń;
- konstrukcję pomieszczenia lub zespołu pomieszczeń zapewniającą odporność na próbę nieuprawnionego dostępu;
- okna spełniające co najmniej wymagania klasy 2 określone w Polskiej Normie PN-EN 1627, o ile na podstawie przeprowadzonego szacowania ryzyka dostęp do nich niesie nieakceptowalne ryzyko nieuprawnionego wejścia do pomieszczenia lub zespołu pomieszczeń;
- szafy o podwyższonej odporności ogniowej, zabezpieczające przed próbami włamań oraz pożarami, odpowiednio do wartości danych oraz ewentualnych innych zagrożeń, na podstawie przeprowadzonego szacowanego ryzyka, służące do przechowywania dokumentacji papierowej oraz informatycznych nośników danych mających istotne znaczenie dla prowadzonej działalności;
- system kontroli dostępu obejmujący wszystkie wejścia i wyjścia kontrolowanego obszaru, w którym co najmniej rozpoznanie osoby uprawnionej następuje w wyniku odczytu identyfikatora lub odczytu cech biometrycznych, oraz rejestrujący zdarzenia;
- stały nadzór osoby uprawnionej nad osobami niewykonującymi czynności związanych z realizacją obowiązków, o których mowa w art. 8 pkt 4 i 6, art. 11 ust. 1 pkt 1–5, art. 12 i art. 13 ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa, przebywającymi w pomieszczeniu lub zespole pomieszczeń, w których wykonywane są te czynności;
- system sygnalizacji napadu i włamania spełniający co najmniej wymagania systemu stopnia 2 określone w Polskiej Normie PN-EN 50131-1, stale monitorowany przez personel bezpieczeństwa oraz wyposażony w rezerwowe źródło zasilania i obejmujący ochroną wejścia i wyjścia kontrolowanego obszaru oraz sygnalizujący co najmniej: a) otwarcie drzwi, okien i innych zamknięć chronionego obszaru, b) poruszanie się w chronionym obszarze, c) stan systemu, w tym generujący ostrzeżenia i alarmy;
- system sygnalizacji pożarowej obejmujący urządzenia sygnalizacyjno-alarmowe, służące do samoczynnego wykrywania i przekazywania informacji o pożarze, a także urządzenia odbiorcze alarmów pożarowych i urządzenia odbiorcze sygnałów uszkodzeniowych, przy czym obiekty wyposażone w stałe urządzenia gaśnicze i objęte całodobowym nadzorem co najmniej jednej osoby nie muszą być wyposażone w system sygnalizacji pożarowej.
Zarządców firm branży S&S zainteresować powinny także dyspozycje §3 cytowanego rozporządzenia. Stanowi on bowiem, że podmioty i struktury, o których mowa wyżej, realizujące inne obowiązki, niż wymienione w przypisie 5, zobowiązane są: wprowadzić zabezpieczenia adekwatne do [wartości lub znaczenia dla podmiotu] przetwarzanych informacji na podstawie przeprowadzonego szacowanego ryzyka, a także z wykorzystaniem dobrych praktyk.
Celem tych działań ma być m.in. skuteczne:
- monitorowanie i wykrywanie incydentów bezpieczeństwa informacji;
- reagowanie na incydenty bezpieczeństwa;
- zapobieganie incydentom bezpieczeństwa informacji;
- zarządzanie jakością zabezpieczeń systemów, informacji i powierzonych aktywów;
- aktualizowanie [oceny] ryzyk w przypadku zmiany struktury organizacyjnej, procesów i technologii, które mogą wpływać na reakcję na incydent.
Cytowane przepisy stanowią tylko część wymagań organizacyjno-prawnych i technicznych, które są niezbędne do spełnienia przez dany podmiot, by miał on szansę na uzyskanie statusu operatora usługi krytycznej lub dostawcy usługi cyfrowej. Zarządcy podmiotów ubiegających się o taki status powinni o tym wiedzieć.
Natomiast kierownictwo podmiotów, które w § 5 rozporządzenia określono jako świadczące usługi z zakresu cyberbezpieczeństwa oraz wewnętrzne struktury organizacyjne operatorów usług kluczowych odpowiedzialne za cyberbezpieczeństwo zobowiązano do dostosowania pomieszczenia lub zespołu pomieszczeń, w którym/których te usługi są świadczone, do wymogów określonych w przepisach przywołanego w tym tekście rozporządzenia, w terminie do 6 miesięcy od dnia jego wejścia w życie. Termin ten minął w lipcu 2020 r.
1) www.udt.gov.pl
2) Mowa o Rozporządzeniu Ministra Cyfryzacji z 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo. Rozporządzenie ogłoszono w DzU z 23.XII.2019 r. poz. 2479, z 14-dniowym vacatio legis, czyli weszło ono w życie 7 stycznia 2020 r.
3) Organami właściwymi do spraw cyberbezpieczeństwa są: 1) dla sektora energii – minister właściwy do spraw energii; 2) dla sektora transportu z wyłączeniem podsektora transportu wodnego – minister właściwy ds. transportu; 3) dla podsektora transportu wodnego – minister właściwy ds. gospodarki morskiej i minister właściwy ds. żeglugi śródlądowej; 4) dla sektora bankowego i infrastruktury rynków finansowych – Komisja Nadzoru Finansowego; 5) dla sektora ochrony zdrowia z wyłączeniem podmiotów, o których mowa w art. 26 ust. 5 – minister właściwy ds. zdrowia; 6) dla sektora ochrony zdrowia obejmującego podmioty, o których mowa w art. 26 ust. 5 – Minister Obrony Narodowej; 7) dla sektora zaopatrzenia w wodę pitną i jej dystrybucji – minister właściwy ds. gospodarki wodnej; 8) dla sektora infrastruktury cyfrowej z wyłączeniem podmiotów, o których mowa w art. 26 ust. 5 – minister właściwy ds. informatyzacji; 9) dla sektora infrastruktury cyfrowej obejmującego podmioty, o których mowa w art. 26 ust. 5 – Minister Obrony Narodowej; 10) dla dostawców usług cyfrowych z wyłączeniem podmiotów, o których mowa w art. 26 ust. 5 – minister właściwy ds. informatyzacji; 11) dla dostawców usług cyfrowych obejmujących podmioty, o których mowa w art. 26 ust. 5 – Minister Obrony Narodowej (art. 41 ustawy).
4) Rejestr ten prowadzi minister cyfryzacji (art. 7 ust.1 ustawy).
5) Art. 8. Operator usługi kluczowej wdraża system zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej, zapewniający: 4) zarządzanie incydentami; 6) stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa. Art. 11. 1. Operator usługi kluczowej: 1) zapewnia obsługę incydentu; zapewnia dostęp do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań; 3) klasyfikuje incydent jako poważny na podstawie progów uznawania incydentu za poważny; 4) zgłasza incydent poważny niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV; 5) współdziała podczas obsługi incydentu poważnego i incydentu krytycznego z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe. Art. 12. 1. Określa, co powinno zawierać głoszenie, o którym mowa w art. 11 ust. 1 pkt 4. Natomiast Art. 13. Stanowi, że operator usługi kluczowej może przekazywać do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV informacje: 1) o innych incydentach; 2) o zagrożeniach cyberbezpieczeństwa; 3) dotyczące szacowania ryzyka; 4) o podatnościach; 5) o wykorzystywanych technologiach.
6) Nie wątpię, że kierownictwu firm z branży S&S są doskonale znane przepisy norm i aktów prawnych przywołanych w tekście cytowanego wyżej artykułu ustawy o Krajowym Systemie Cyberbezpieczeństwa, zatem nie uważam za potrzebne omawianie ich w tym artykule. Przepisy te dotyczą bowiem dobrze znanych zasad dobierania środków budowlano-mechanicznych, elektronicznych i ochrony czynnej (liczby, organizacji i wyszkolenia personelu bezpieczeństwa) do globalnych i lokalnych zagrożeń cennych aktywów niematerialnych (intelektualnych ) i materialnych podmiotów, które takie aktywa posiadają. Zwłaszcza takich aktywów, których utrata może grozić bankructwem lub zachwianiem rynkowej pozycji danego podmiotu albo narazić jego management na konsekwencje prawne z powodu niezapewnienia należytej ochrony takim aktywom.
|