Operatorzy usług kluczowych – Audyt, obsługa incydentów, listy kontrolne

Przywołując Ustawę o Krajowym Systemie Cyberbezpieczeństwa, należy zwrócić uwagę na  zakres obowiązków ciążących na Operatorach Usług Kluczowych w tym przeprowadzanie systematycznych audytów bezpieczeństwa systemów informacyjnych. Wymogu  tego strzeże wprost art. 15 Ustawy. Operatorzy Usług Kluczowych są zobligowani, aby w terminie do roku od otrzymania decyzji administracyjnej o dołączeniu do grona OUK, przeprowadzić audyt bezpieczeństwa systemu informacyjnego.  W przyszłości OUK będą musieli czynność audytową powtarzać co najmniej raz na 2 lata. Zgodnie z wymogiem ustawowym warunkiem koniecznym dla przeprowadzenia audytu teleinformatycznego, jest odpowiednia akredytacja wskazanego w art.15  ust.2 podmiotu.

Operatorów (OUK), którzy w ramach całorocznej działalności przeprowadzili już audyt bezpieczeństwa wynikający z regulacji  Krajowych Ram Interoperacyjności, art. 15.ust. 6 Ustawy  traktuje ulgowo i zalicza tenże w poczet wymaganego  audytu.

Kopia dokumentu (co ważne) wynikowego Audytu Bezpieczeństwa  (raport, sprawozdanie) na wniosek właściwych organów ds. cyberbezpieczeństwa musi zostać im udostępniona.

Dla Operatorów Usług Kluczowych, którzy zaniedbują powyższy obowiązek (art. 73 ust.1 pkt.11) są przewidziane kary finansowe regulowane przez art. 73.ust.2 pkt.10 wynoszące do 200  tys. zł.

Incydenty

Podstawową cechą funkcjonowania Krajowego Systemu Cyberbezpieczeństwa jest nałożony na m.in. na Operatorów  Usług Kluczowych obowiązek zbierania informacji o zagrożeniach cyberbezpieczeństwa oraz obsługa i zarządzanie incydentami  w zakresie bezpieczeństwa informacji.

Operatorzy Usług Kluczowych  muszą umieć obsługiwać “incydenty zwykłe”, czyli zdarzenia i sytuacje, które poprzez wystąpienie mogą mieć negatywny wpływ na poziom bezpieczeństwa. Natomiast w przypadku wystąpienia “incydentów poważnych” OUK zobligowani są do pełnej współpracy z określonymi zespołami ds. reagowania na incydenty np.: CSIRT MON, CSIRT NASK lub CSIRT GOV za które odpowiadają m.in. ABW, MON czy też Ministerstwo Cyfryzacji. W tym zakresie  jest również określony czynnik czasu dokonania zgłoszenia  (24h), co powoduje,  że Operator Usługi Kluczowej  powinien być proceduralnie przygotowany na obsługę incydentów poważnych oraz krytycznych.

Zgodnie z definicją incydent poważny, związany  jest z niemożnością dalszego świadczenia usługi kluczowej  lub istotnym spadkiem jej jakości, natomiast  incydent  “krytyczny” to incydent, w wyniku którego, spada poziom bezpieczeństwa i porządku publicznego z dużą szkodą dla społeczeństwa.

W opisanej sytuacji Operatorzy Usług Kluczowych mają obowiązek przekazywać do właściwego CSIRT informacje, które dotyczą:

Incydentów;

Zagrożeń cyberbezpieczeństwa;

Szacowania ryzyka;

Wykorzystywanych technologii.

Podatności na incydenty systemów informacyjnych;

Listy Kontrolne

Przeprowadzanie audytów bezpieczeństwa systemów informacyjnych oraz obsługa incydentów są istotne dla optymalnego funkcjonowania Operatora Usługi Kluczowej w sferze wykonywania usługi. Aby kluczowe procesy były przeprowadzone w odpowiedni sposób, podmioty potrzebują sformalizowanych procedur, które powinny zawierać najważniejsze informacje z zakresu obsługi powyższych działań. Do takich dokumentów możemy zaliczyć np. listy kontrolne, które będą wpływać  na poziom świadomości pracowników organizacji oraz ułatwią wykonywanie procedur związanych z obsługą  incydentów i  przeprowadzeniem audytów. Wydaje się, że optymalnym  poziomem przygotowania obsługi incydentów oraz audytów jest  posiadanie list  kontrolnych dotyczących:

Wymagań organizacji w zakresie cyberbezpieczeństwa;

Zarządzania podatnościami systemów informacyjnych;

Zarządzania incydentami i informowania o zagrożeniach;

Procesów zarządzania ryzykiem;

Środków zarządzania ciągłością działania;

Środków bezpieczeństwa organizacyjnego i fizycznego;

Środków bezpieczeństwa informatycznego.

Zainteresowaliśmy Cię? Napisz do nas i porozmawiajmy o Twoim projekcie

O Autorze

PBSG
Od 2006 roku pomagamy polskim przedsiębiorcom i organizacjom administracji publicznej w zarządzaniu bezpieczeństwem danych i systemów teleinformatycznych. Przez kilkanaście lat działalności zdobyliśmy niezbędne doświadczenie, dzięki któremu wypracowaliśmy pozycję lidera w obszarze systemowego zarządzania organizacją. Dzisiaj zatrudniamy ponad 180 ekspertów biznesowych i technicznych w ramach grupy kapitałowej. Ponadto współpracujemy z kilkudziesięcioma specjalistami z różnych dziedzin w zakresie zarządzania i wymagań branżowych, aby jak najbardziej dopasować ofertę do realiów i potrzeb polskich firm.