Operatorzy usług kluczowych – Audyt, obsługa incydentów, listy kontrolne
Przywołując Ustawę o Krajowym Systemie Cyberbezpieczeństwa, należy zwrócić uwagę na zakres obowiązków ciążących na Operatorach Usług Kluczowych w tym przeprowadzanie systematycznych audytów bezpieczeństwa systemów informacyjnych. Wymogu tego strzeże wprost art. 15 Ustawy. Operatorzy Usług Kluczowych są zobligowani, aby w terminie do roku od otrzymania decyzji administracyjnej o dołączeniu do grona OUK, przeprowadzić audyt bezpieczeństwa systemu informacyjnego. W przyszłości OUK będą musieli czynność audytową powtarzać co najmniej raz na 2 lata. Zgodnie z wymogiem ustawowym warunkiem koniecznym dla przeprowadzenia audytu teleinformatycznego, jest odpowiednia akredytacja wskazanego w art.15 ust.2 podmiotu.
Operatorów (OUK), którzy w ramach całorocznej działalności przeprowadzili już audyt bezpieczeństwa wynikający z regulacji Krajowych Ram Interoperacyjności, art. 15.ust. 6 Ustawy traktuje ulgowo i zalicza tenże w poczet wymaganego audytu.
Kopia dokumentu (co ważne) wynikowego Audytu Bezpieczeństwa (raport, sprawozdanie) na wniosek właściwych organów ds. cyberbezpieczeństwa musi zostać im udostępniona.
Dla Operatorów Usług Kluczowych, którzy zaniedbują powyższy obowiązek (art. 73 ust.1 pkt.11) są przewidziane kary finansowe regulowane przez art. 73.ust.2 pkt.10 wynoszące do 200 tys. zł.
Incydenty
Podstawową cechą funkcjonowania Krajowego Systemu Cyberbezpieczeństwa jest nałożony na m.in. na Operatorów Usług Kluczowych obowiązek zbierania informacji o zagrożeniach cyberbezpieczeństwa oraz obsługa i zarządzanie incydentami w zakresie bezpieczeństwa informacji.
Operatorzy Usług Kluczowych muszą umieć obsługiwać “incydenty zwykłe”, czyli zdarzenia i sytuacje, które poprzez wystąpienie mogą mieć negatywny wpływ na poziom bezpieczeństwa. Natomiast w przypadku wystąpienia “incydentów poważnych” OUK zobligowani są do pełnej współpracy z określonymi zespołami ds. reagowania na incydenty np.: CSIRT MON, CSIRT NASK lub CSIRT GOV za które odpowiadają m.in. ABW, MON czy też Ministerstwo Cyfryzacji. W tym zakresie jest również określony czynnik czasu dokonania zgłoszenia (24h), co powoduje, że Operator Usługi Kluczowej powinien być proceduralnie przygotowany na obsługę incydentów poważnych oraz krytycznych.
Najbliższe terminy szkoleń
Zgodnie z definicją incydent poważny, związany jest z niemożnością dalszego świadczenia usługi kluczowej lub istotnym spadkiem jej jakości, natomiast incydent “krytyczny” to incydent, w wyniku którego, spada poziom bezpieczeństwa i porządku publicznego z dużą szkodą dla społeczeństwa.
W opisanej sytuacji Operatorzy Usług Kluczowych mają obowiązek przekazywać do właściwego CSIRT informacje, które dotyczą:
Incydentów;
Zagrożeń cyberbezpieczeństwa;
Szacowania ryzyka;
Wykorzystywanych technologii.
Podatności na incydenty systemów informacyjnych;
Listy Kontrolne
Przeprowadzanie audytów bezpieczeństwa systemów informacyjnych oraz obsługa incydentów są istotne dla optymalnego funkcjonowania Operatora Usługi Kluczowej w sferze wykonywania usługi. Aby kluczowe procesy były przeprowadzone w odpowiedni sposób, podmioty potrzebują sformalizowanych procedur, które powinny zawierać najważniejsze informacje z zakresu obsługi powyższych działań. Do takich dokumentów możemy zaliczyć np. listy kontrolne, które będą wpływać na poziom świadomości pracowników organizacji oraz ułatwią wykonywanie procedur związanych z obsługą incydentów i przeprowadzeniem audytów. Wydaje się, że optymalnym poziomem przygotowania obsługi incydentów oraz audytów jest posiadanie list kontrolnych dotyczących:
Wymagań organizacji w zakresie cyberbezpieczeństwa;
Zarządzania podatnościami systemów informacyjnych;
Zarządzania incydentami i informowania o zagrożeniach;
Procesów zarządzania ryzykiem;
Środków zarządzania ciągłością działania;
Środków bezpieczeństwa organizacyjnego i fizycznego;
Środków bezpieczeństwa informatycznego.
Sprawdź pozostałe Poradniki
Czym się zajmujemy?
Zainteresowaliśmy Cię? Napisz do nas i porozmawiajmy o Twoim projekcie
O Autorze
