- Email: biuro@kicb.pl
- Rondo Organizacji Narodów Zjednoczonych 1, 00-124 Warszawa
Niniejszy materiał stanowi interpretację wymogów w zakresie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) dla podmiotu ważnego będącego podmiotem publicznym. Wymogi te zostały określone w załączniku nr 4 do projektowanej nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa, która na dzień sporządzenia niniejszego opracowania znajduje się na etapie prac sejmowych. Celem dokumentu jest praktyczne wyjaśnienie zakresu obowiązków wynikających z projektowanych przepisów oraz wskazanie, w jaki sposób podmiot publiczny powinien je rozumieć i wdrażać w swojej organizacji.
Coraz częściej obserwuje się, że brak SZBI lub jego wyłącznie formalne wdrożenie staje się źródłem realnego ryzyka. Dotyczy to szczególnie podmiotów publicznych, jednostek samorządu terytorialnego, a także organizacji przetwarzających informacje wrażliwe lub krytyczne. Brak realnego zaangażowania kierownictwa, niedostosowanie dokumentacji do rzeczywistych procesów czy kopiowanie rozwiązań „z szablonu” prowadzą do luk w bezpieczeństwie i fałszywego poczucia zgodności z przepisami.
W polskich realiach bezpieczeństwo informacji jest ściśle powiązane z obowiązkiem zapewnienia ochrony danych, ciągłości działania oraz odporności organizacji na incydenty. SZBI umożliwia realizację tych obowiązków poprzez:
identyfikację i ocenę ryzyk związanych z przetwarzaniem informacji,
wdrażanie adekwatnych środków organizacyjnych i technicznych,
ustanowienie jasnych ról, odpowiedzialności i procedur,
stałe monitorowanie oraz doskonalenie przyjętych rozwiązań.
Takie podejście pozwala organizacji wykazać, że działa w sposób odpowiedzialny i zgodny z obowiązującymi przepisami, szczególnie w sytuacjach kontroli lub wystąpienia incydentu bezpieczeństwa.
SZBI opiera się na jasno określonych ramach, których najbardziej rozpowszechnionym standardem jest norma PN-EN ISO/IEC 27001. Norma ta porządkuje kwestie związane z bezpieczeństwem informacji, wymagając m.in. podejścia opartego na analizie ryzyka, formalnego ustanowienia polityk i procedur, zaangażowania kierownictwa oraz ciągłego doskonalenia systemu.
W praktyce ISO/IEC 27001 stanowi czytelny i uznany punkt odniesienia dla organizacji, które muszą udowodnić, że bezpieczeństwo informacji nie jest przypadkowe, lecz zarządzane w sposób metodyczny.
Wymogi określone w tej części należy rozumieć jako minimalny katalog środków organizacyjnych i technicznych, które podmiot publiczny powinien wdrożyć w ramach SZBI zgodnie z wymaganiami projektowanej nowelizacji KSC, której przyjęcia należy spodziewać się w najbliższych miesiącach.
Podmiot publiczny powinien posiadać formalnie ustanowione zasady zarządzania bezpieczeństwem informacji, obejmujące co najmniej:
identyfikację i klasyfikację informacji,
określenie zasad ich przetwarzania, przechowywania i udostępniania,
przypisanie odpowiedzialności za bezpieczeństwo informacji.
Zarządzanie to powinno mieć charakter systemowy i być udokumentowane.
Analiza ryzyka polega na obowiązku przeprowadzania przez podmiot analizy ryzyka dla systemów informacyjnych, w tym systemów wykorzystywanych do realizacji zadań publicznych. Analiza ta powinna identyfikować zagrożenia, podatności oraz skutki ich wystąpienia, uwzględniać ryzyko dla poufności, integralności i dostępności informacji oraz stanowić podstawę do doboru adekwatnych zabezpieczeń. Wyniki analizy ryzyka powinny prowadzić do doboru odpowiednich środków technicznych i organizacyjnych, ich formalnego udokumentowania oraz konsekwentnego wdrożenia w systemach informacyjnych. Podmiot publiczny powinien również stosować mechanizmy kontroli dostępu do systemów i informacji, w szczególności poprzez nadawanie uprawnień zgodnie z zasadą minimalnych uprawnień, okresową weryfikację zasadności posiadanych dostępów oraz niezwłoczne cofanie dostępów w przypadku braku podstaw do ich dalszego utrzymywania.
Wymogi bezpieczeństwa przetwarzania danych obejmują zapewnienie bezpieczeństwa danych przetwarzanych w systemach informacyjnych, w postaci elektronicznej oraz w kopiach zapasowych, przy czym kopie zapasowe powinny być wykonywane regularnie oraz odseparowane logicznie i fizycznie od systemów produkcyjnych. Podmiot publiczny powinien stosować aktualne i skuteczne oprogramowanie antywirusowe oraz inne mechanizmy ochronne adekwatne do występujących zagrożeń. Niedopuszczalne jest korzystanie z systemów i oprogramowania, dla których producent nie zapewnia wsparcia bezpieczeństwa, dlatego podmiot powinien monitorować cykl życia oprogramowania, planować i realizować aktualizacje oraz eliminować rozwiązania przestarzałe.
Wymogi obejmują również podnoszenie świadomości poprzez szkolenie użytkowników systemów informacyjnych, w tym kierownika podmiotu, w zakresie zagrożeń cyberbezpieczeństwa, podstawowych zasad cyberhigieny oraz zasad reagowania na incydenty.
Jeżeli podmiot publiczny korzysta z usług zewnętrznych lub powierza przetwarzanie informacji innym podmiotom, jest zobowiązany do zapewnienia, że usługi te spełniają wymagania SZBI oraz do sprawowania nadzoru nad sposobem realizacji tych usług. Umowy z dostawcami i wykonawcami powinny zawierać postanowienia dotyczące bezpieczeństwa systemów i informacji, odpowiedzialności za naruszenia, zasad reagowania na incydenty oraz dostępu do informacji niezbędnych do zapewnienia bezpieczeństwa. Podmiot powinien również posiadać wiedzę o wykorzystywanych zasobach informacyjnych i technicznych, w tym o tych, które są obsługiwane przez podmioty trzecie.
System Zarządzania Bezpieczeństwem Informacji nie ma charakteru jednorazowego wdrożenia. Podmiot publiczny powinien dokonywać przeglądu SZBI co najmniej raz w roku, przeprowadzać przegląd niezwłocznie po wystąpieniu poważnych incydentów oraz aktualizować SZBI w przypadku zmian organizacyjnych, technologicznych lub prawnych. Celem przeglądów jest zapewnienie ciągłej adekwatności i skuteczności stosowanych środków bezpieczeństwa.
Wymogi SZBI należy interpretować jako obowiązek zapewnienia należytej staranności w ochronie systemów informacyjnych wykorzystywanych do realizacji zadań publicznych. Ich spełnienie ma kluczowe znaczenie dla zapewnienia ciągłości działania administracji publicznej, ochrony danych obywateli, budowania zaufania do instytucji publicznych oraz zgodności z projektowanymi, a już niebawem obowiązującymi przepisami nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa.
Dla ułatwienia prezentujemy jeszcze raz wykaz podmiotów ważnych określonych w załączniku do nowelizacji KSC, a także omówioną treść załącznika nr 4 dotyczącego standardów SZBI.
podmioty ważne – kliknij
kryteria SZBI podmioty publiczne- kliknij
Najnowsze komentarze