Krajowy system cyberbezpieczeństwa staje się bytem uregulowanym prawnie. Tym sposobem cyberbezpieczeństwo definiowane jako „odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy” uzyskuje osadzenie w ustawie nazywanej skrótowo ustawa o KSC. Regulacja jako implementacja dyrektywy NIS, ma wymiar nie tylko krajowy ale i ogólnoeuropejski. Cyberbezpieczeństwo dotyczy systemów informacyjnych, które są zdefiniowane jako: system teleinformatyczny (z ustawy o informatyzacji) wraz z przetwarzanymi w nim danymi w postaci elektronicznej.
Ustawa KSC określa krajowy system cyberbezpieczeństwa, czyli wprowadzenie mechanizmów zarządzania zapewniających cyberbezpieczeństwo. Zarządzanie cyberbezpieczeństwem ma być realizowane bazując na zarządzaniu ryzykiem, zdefiniowanym jako skoordynowane działania w odniesieniu do oszacowanego ryzyka. Szacowanie ryzyka dotyczy wystąpienia niepożądanych zdarzeń i jego konsekwencji. Jeżeli dojdzie do wystąpienia incydentu bezpieczeństwa, wymagane jest oszacowanie ryzyka, w tym prowadzenie dynamicznej analizy ryzyka, w kontekście zaistniałego incydentu.
Szacowanie ryzyka w ustawie jest zdefiniowane jako „całościowy proces identyfikacji, analizy i oceny ryzyka”, wpisuje się zatem w podstawowy model procesu zarządzania ryzykiem IT.
Przyjrzyjmy się bardziej szczegółowo kwestiom ryzyka określonym w Ustawie o krajowym systemie cyberbezpieczeństwa.
- Spójny i kompletny system zarządzania ryzykiem mają zapewnić CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego): CSIRT MON, CSIRT NASK i CSIRT GOV współpracując ze sobą oraz z organami właściwymi do spraw cyberbezpieczeństwa, ministrem właściwym do spraw informatyzacji oraz Pełnomocnikiem Rządu do Spraw Cyberbezpieczeństwa.
- Każdy z CSIRT ma za zadanie:
- szacowanie ryzyka związanego z ujawnionym zagrożeniem cyberbezpieczeństwa oraz zaistniałymi incydentami, w tym prowadzenie dynamicznej analizy ryzyka;
- przekazywanie informacji dotyczących incydentów i ryzyk podmiotom krajowego systemu cyberbezpieczeństwa
- Obowiązek zarządzania ryzykiem został przypisany operatorom usług kluczowych, którzy zostali zobowiązani do systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem. Operatorzy usług kluczowych zostali także zobowiązani do wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym:
- utrzymanie i bezpieczną eksploatację systemu informacyjnego,
- bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu,
- bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej,
- wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej oraz zapewniających poufność, integralność, dostępność i autentyczność informacji,
- objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym.
- Dodatkowo operator usługi kluczowej może przekazywać informacje dotyczące szacowania ryzyka do CSIRT MON, CSIRT NASK lub CSIRT GOV.
- Obowiązek zarządzania ryzykiem został przypisany także dostawcom usług cyfrowych. Dostawcy mają podejmować właściwe i proporcjonalne środki techniczne i organizacyjne określone w rozporządzeniu wykonawczym 2018/151 w celu zarządzania ryzykiem, na jakie narażone są systemy informacyjne wykorzystywane do świadczenia usługi cyfrowej. Środki te mają zapewnić cyberbezpieczeństwo odpowiednie do istniejącego ryzyka.
- Minister właściwy do spraw informatyzacji jest odpowiedzialny za:
- udostępnianie uzyskanych z Grupy Współpracy (współpraca na poziomie eruopejskim) informacji i dobrych praktyk związanych z procedurami postępowania przy zarządzaniu ryzykiem oraz klasyfikacji informacji, ryzyka i incydentów;
- zapewnienie rozwoju lub utrzymania systemu teleinformatycznego wspierającego szacowanie ryzyka na poziomie krajowym;
- Pojedynczy Punkt Kontaktowy przekazuje:
- Grupie Współpracy dobre praktyki w odniesieniu do identyfikowania operatorów usług kluczowych, w tym w odniesieniu do występujących w dwóch lub większej liczbie państw członkowskich Unii Europejskiej zależności dotyczących ryzyka i incydentów;
- organom właściwym do spraw cyberbezpieczeństwa, CSIRT MON, CSIRT NASK, CSIRT GOV, sektorowym zespołom cyberbezpieczeństwa oraz innym organom władzy publicznej dobrych praktyk w zakresie identyfikowania operatorów usług kluczowych przez państwa członkowskie Unii Europejskiej, w tym w odniesieniu do transgranicznych zależności, dotyczących ryzyka i incydentów.
- Pełnomocnik Rządu do Spraw Cyberbezpieczeństwa w ramach koordynowania działań i realizowania polityki rządu w zakresie zapewnienia cyberbezpieczeństwa nadzoruj proces zarządzania ryzykiem krajowego systemu cyberbezpieczeństwa z wykorzystaniem zagregowanych danych i wskaźników opracowanych z udziałem organów właściwych do spraw cyberbezpieczeństwa, CSIRT MON, CSIRT NASK i CSIRT GOV.
- Rada Ministrów przyjmuje Strategię Cyberbezpieczeństwa Rzeczypospolitej Polskiej, która ma uwzględniać m.in. podejście do oceny ryzyka.
- Informacje o podatnościach, incydentach i zagrożeniach cyberbezpieczeństwa oraz o ryzyku wystąpienia incydentów nie będą udostępniane na podstawie dostępu do informacji publicznej.
- Przetwarzając dane osobowe CSIRT MON, CSIRT NASK i sektorowe zespoły cyberbezpieczeństwa mają stosować analizę ryzyka przetwarzania tych danych.
- Ustawa o KSC przewiduje kary pieniężne, w tym:
- dla operatorów usług kluczowych którzy nie przeprowadzają systematycznego szacowania ryzyka lub nie zarządzają ryzykiem wystąpienia incydentu – wysokość kary pieniężnej do 150 000 zł;
- dla operatorów usług kluczowych którzy nie wdrożyli środków technicznych i organizacyjnych uwzględniających wymagania – wysokość kary pieniężnej do 100 000 zł;
Podsumowanie
Określony w ustawie o KSC sposób zarządzania ryzykiem wpisuje się w podstawowy model procesu zarządzania ryzykiem IT. Ryzyko zostało zdefiniowane jako kombinacja prawdopodobieństwa wystąpienia zdarzenia niepożądanego i jego konsekwencji, definicja ta jest zgodna z normami ISO w zakresie ryzyka, co zapewni, zaadoptowanie istniejących metod szacowania ryzykiem do zarządzania cyberbezpieczeństwem zgodnie z zapisami ustawy o KSC.
Ustawa o KSC kładzie ogromny nacisk na komunikację ryzyka. Komunikacja ryzyka ma się odbywać zarówno na poziomie krajowym i ogólnoeuropejskim. Komunikowanie ryzyka jest ważniejsze od samego oszacowania, gdyż tylko ryzyko zakomunikowane może być właściwie obsłużone.
—————Postscriptum—————
Na koniec 2 pytania, przy czym 2 dotyczy czasu odpowiedzi, a więc zanim zaczniesz czytać pytanie włącz stoper (odpowiedzi poproszę zapisać w komentarzach):
- Czy ta fraza jest prawdziwa „istotność skutku zakłócającego incydentu dla świadczenia usługi kluczowej”?
- Ile czasu zajęło Ci zrozumienie tej frazy?