Organizacje, które zajmują się dostawą wody oraz energii czy świadczeniem usług w zakresie ochrony zdrowia (szpitale z oddziałem SOR) należą do grupy Operatorów Usług Kluczowych (OUK) ze względu na ich istotność dla funkcjonowania społeczeństwa. Reguluje to ustawa o Krajowym Systemie Cyberbezpieczeństwa (UoKSC). Obecnie procedowane jest rozszerzenie grona podmiotów objętych obowiązkami wynikającymi z tej ustawy o Podmioty Istotne. Grupa ta obejmie z kolei firmy kurierskie, produkcyjne czy telekomunikacyjne. Jakie wymagania muszą spełniać tego typu organizacje?
Warunkiem przyznania danemu podmiotowi statusu OUK jest świadczenie przez niego tej usługi przy wsparciu systemu informatycznego. Jest on przyznawany w wyniku decyzji administracyjnej, która to wyznacza terminy realizacji poszczególnych obowiązków.
Operator Usługi Kluczowej zobowiązany jest przeprowadzić raz na dwa lata audyt bezpieczeństwa systemu informacyjnego, który wspiera świadczenie tej istotnej dla funkcjonowania społeczeństwa usługi. Pierwszy z nich musi odbyć się w ciągu 12 miesięcy od nadania organizacji tego statusu. – mówi Tomasz Szczygieł, ekspert ds. cyberbezpieczeństwa w DEKRA Certification.
Działania do wykonania:
- Powołanie osoby odpowiedzialnej za cyberbezpieczeństwo
- Opracowanie planu działań dostosowujących system zarządzania organizacji do wymogów ustawy i wykonanie pierwszego audytu
- Powołanie wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo lub zawarcie umowy z podmiotami świadczącymi usługi w zakresie cyberbezpieczeństwa
- Wykonanie szacowania ryzyka
- Opracowanie instrukcji zarządzania incydentami
- Przeprowadzenie działań edukacyjnych wobec użytkowników usługi kluczowej
- Rozpoczęcie procesu obsługi incydentów
- Usunięcie poważnych luk w zabezpieczeniach systemów i usług
3 miesiące
- Wdrożenie odpowiednich i adekwatnych do oszacowanego ryzyka środków technicznych i organizacyjnych
- Zebranie informacji o zagrożeniach i podatnościach
- Wdrożenie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego
- Wdrożenie wymaganej dokumentacji
6 miesięcy
- Wykonanie audytów wewnętrznych
- Wprowadzenie działań korygujących
- Wykonanie audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej
W wyniku przeprowadzania badania powinno zostać sporządzone sprawozdanie, które operator przekazuje na uzasadniony wniosek organowi właściwemu do spraw cyberbezpieczeństwa, dyrektorowi Rządowego Centrum Bezpieczeństwa (jeśli OUK jest jednocześnie właścicielem elementów infrastruktury krytycznej) oraz Szefowi Agencji Bezpieczeństwa Wewnętrznego.
Warunkiem poprawności przeprowadzonego badania audytowego są kompetencje realizującego go zespołu audytorów (powinno być ich minimum dwóch). Wśród wymaganych certyfikatów potwierdzających je jest certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001, wydany zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 roku o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz. 1398 oraz z 2018 poz. 650 i 1338), w zakresie certyfikacji osób.
Warto w tym miejscu zwrócić uwagę, że wymagane przepisami prawa certyfikaty, uprawniające do przeprowadzenia audytów w ramach UoKSC, uzyskiwane są w ramach procesów weryfikacji kompetencji osób, takich jak przywołany certyfikat audytora wiodącego SZBI według PN-EN ISO/IEC 27001, a nie są to certyfikaty potwierdzające uczestnictwo w akredytowanych szkoleniach. Oznacza to, że audytor chcący uzyskać taki certyfikat zdaje egzamin przed niezależną komisją egzaminacyjną, np. w ramach programu realizowanego przez DEKRA Certification – dodaje Tomasz Szczygieł.
Innym sposobem dopuszczonym w UoKSC zapewnienia kompetencji zespołu audytorskiego jest zlecenie przeprowadzenia audytu jednostce akredytowanej w zakresie oceny zgodności bezpieczeństwa systemów informacyjnych. Przykładem takiej jednostki jest DEKRA Certification.
