Ustawa o krajowym systemie cyberbezpieczestwa Opis regulacji podstawowe
Ustawa o krajowym systemie cyberbezpieczeństwa Opis regulacji, podstawowe pojęcia, nowy system współpracy, obowiązki podmiotów publicznych i prywatnych Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Plan wystąpienia • Ustawa o krajowym systemie cyberbezpieczeństwa • Kluczowe pojęcia • Obowiązki poszczególnych podmiotów • Zgłaszanie incydentów oraz właściwe CSIRT • Zgłaszanie incydentów przez przedsiębiorców telekomunikacyjnych • Trochę o rozporządzeniach Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Ustawa o krajowym systemie cyberbezpieczeństwa • Implementacja dyrektywy Cel ustawy: 2016/1148 (Dyrektywa NIS) • implementacja dyrektywy NIS • Wejście w życie – 28 sierpnia br. • utworzenie efektywnego systemu bezpieczeństwa • Pierwsza kompleksowa regulacja teleinformatycznego dotycząca cyberbezpieczeństwa funkcjonowania państwa. w Polsce, dotycząca obsługi incydentów zarówno w sektorze publicznym jak i prywatnym Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Rozporządzenia wykonawcze • Rozporządzenie RM ws. usług kluczowych (RC 39) • Rozporządzenie RM ws. incydentu poważnego (RC 38) • Rozporządzenie RM ws. dokumentacji (RD 387) • Rozporządzenie MC ws. warunków organizacyjnych (111) • Rozporządzenie MC ws. certyfikatów (112) • Rozporządzenie RM ws. Kolegium Cyberbezpieczeństwa (RD 388) • Rozporządzenie MC ws. formularza (113) • Rozporządzenie MC ws. kryteriów (114) Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Podmioty krajowego systemu cyberbezpieczeństwa 1) 2) 3) 4) 5) Organy właściwe do spraw cyberbezpieczeństwa; CSIRT poziomu krajowego; Operatorzy usług kluczowych i dostawcy usług cyfrowych; Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa Podmioty świadczące usługi z zakresu cyberbezpieczeństwa (CSIRT komercyjne) 6) Rządowe Centrum Bezpieczeństwa (w zakresie zarządzania kryzysowego i ochrony infrastruktury krytycznej) 7) Przedsiębiorcy telekomunikacyjni 8) Administracja publiczna 5
Operator usługi kluczowej Jest to podmiot, który: • należący do jednego z sektorów, podsektorów oraz rodzajów podmiotów wymienionych w załączniku do ustawy, • świadczy usługę wymienioną w wykazie usług kluczowych; • świadczenie tej usługi kluczowej zależy od systemów informacyjnych; • incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej. 6
Wykaz usług kluczowych • „Art. 5. ust. 2. Organ właściwy do spraw cyberbezpieczeństwa wydaje decyzję o uznaniu podmiotu za operatora usługi kluczowej, jeżeli: 1) podmiot świadczy usługę kluczową; 2) świadczenie tej usługi zależy od systemów informacyjnych; 3) incydent miałby istotny skutek zakłócający dla świadczenia usługi kluczowej przez tego operatora. ” • Rozporządzenie Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych • Opublikowane w Dz. U. poz. 1806 Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Istotny skutek zakłócający • liczby użytkowników zależnych od świadczonej usługi; • zależności innych sektorów od usługi świadczonej przez ten podmiot; • wpływu, jaki incydent mógłby mieć na działalność gospodarczą i społeczną lub bezpieczeństwo publiczne; • udziału podmiotu świadczącego usługę kluczową w rynku; • zasięgu geograficznego związanego z obszarem, którego mógłby dotyczyć incydent; • znaczenie podmiotu dla utrzymywania wystarczającego poziomu świadczenia usługi przy uwzględnieniu dostępności alternatywnych sposobów jej świadczenia. 8
Wyznaczanie operatora usługi kluczowej OW bada rynek, szukając potencjalnych OUK OW wszczyna post. adm. i zbiera inf. o podmiocie OW sprawdza, czy podmiot spełnia wymogi z rozporządzenia OUK realizuje obowiązki wynikające z ustawy OUK ma 3 -12 m-cy na dostosowanie się do wymogów OW wskazuje OUK (decyzją administracyjną) Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Obowiązki dla operatorów Po trzech miesiącach od dostarczenia decyzji operator: • szacuje ryzyko dla swoich usług kluczowych; • zarządza incydentami (bez sankcji); • wyznacza osobę kontaktową; • prowadzi działania edukacyjne wobec użytkowników (bez sankcji); • obsługuje incydenty we własnych systemach; • zgłasza incydenty poważne; • usuwa wskazywane podatności. Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Obowiązki dla operatorów Po sześciu miesiącach od dostarczenia decyzji operator: • wdraża odpowiednie i adekwatne do oszacowanego ryzyka środki techniczne i organizacyjne; • zbiera informacje o zagrożeniach i podatnościach; • stosuje środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego; • stosuje wymaganą dokumentację. Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Obowiązki dla operatorów Po roku od dostarczenia decyzji operator: • przygotowuje pierwszy audyt w rozumieniu ustawy; • Przekazuje sprawozdanie z audytu, wniosek, wskazanym w ustawie podmiotom. Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Warunki organizacyjne • „Art. 14. 1. Operator usługi kluczowej w celu realizacji zadań (…) powołuje wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawiera umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa. ” • Rozporządzenie Ministra Cyfryzacji z dnia 10 września 2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo • Opublikowany w Dz. U. poz. 1780 Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Obsługa incydentów w polskim prawie • Rozporządzenie KRI: § 20. 2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie [realizację] następujących działań: 13) bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących; Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Obsługa incydentów w polskim prawie • Ustawa – Prawo telekomunikacyjne Art. 175 a. 1. Przedsiębiorcy telekomunikacyjni są obowiązani niezwłocznie informować prezesa UKE o naruszeniu bezpieczeństwa lub integralności sieci lub usług, które miało istotny wpływ na funkcjonowanie sieci lub usług (…). Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Pozaprawne regulacje • PN-ISO/IEC 27035 • ITIL i Resilia • Rekomendacje z serii 800 wydawane przez NIST • Rekomendacje ENISA • … Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Etapy obsługi incydentu wg ISO • Planowanie i przygotowanie • Wykrycie i raportowanie • Ocena i decyzja • Reakcja (contain, eradicate, recover) • Lessons learned Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Etapy obsługi incydentu wg ITIL • Identyfikacja • Rejestrowanie • Kategoryzacja • Nadawanie • Wstępna diagnoza • Eskalacja • Śledztwo i diagnoza • Rozwiązanie i przywrócenie usługi • Zamknięcie incydentu Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Etapy obsługi incydentów wg UKSC Obsługa incydentu – czynności umożliwiające: • wykrywanie, • rejestrowanie, • analizowanie, • klasyfikowanie, • priorytetyzację, • podejmowanie działań naprawczych, • ograniczenie skutków incydentu; Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Incydenty 1/2 incydent – każde zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo; incydent poważny – incydent, który powoduje lub może spowodować poważne obniżenie jakości lub przerwanie ciągłości działania świadczonej usługi kluczowej; Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Incydenty 2/2 incydent w podmiocie publicznym – incydent, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego realizowanego przez podmiot publiczny, o których mowa w art. 4 pkt 7 -15; incydent istotny – incydent, który ma istotny wpływ na świadczenie usługi cyfrowej; incydent krytyczny – incydent, skutkujący znaczną szkodą dla bezpieczeństwa lub porządku publicznego, interesów międzynarodowych, interesów gospodarczych, działania instytucji publicznych, praw i wolności obywatelskich lub życia i zdrowia ludzi; Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Progi incydentów poważnych • „Art. 11 ust. 1. Operator usługi kluczowej (…) klasyfikuje incydent jako poważny na podstawie progów uznawania incydentu za poważny [oraz] zgłasza incydent poważny niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia, do właściwego CSIRT (…)” • Projekt rozporządzenia Rady Ministrów w sprawie progów uznania incydentu za poważny • Dostępny na stronie RCL • Obecny etap legislacyjny: wysłano na Stały Komitet Rady Ministrów • Oczekiwane przyjęcie: październik Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
CSIRT Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Czy dane osobowe będą przetwarzane? • Krótko: tak • Charakter uboczny przetwarzania (celem głównym obsługa incydentu) • Gros przetwarzanych danych nie będzie dotyczył danych osobowych • Dane „zaszyte” w malware • Wymieszane bazy danych z różnych źródeł Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Dane osobowe podczas obsługi incydentu …możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak (katalog otwarty): • imię i nazwisko, • numer identyfikacyjny (PESEL, NIP, …? ) • dane o lokalizacji, • identyfikator internetowy (IP, e-mail, …? ) • lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej; Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Dane osobowe podczas obsługi incydentu • Podstawa prawna przetwarzania: prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f w zw. z motywem 49 RODO) (49) Przetwarzanie danych osobowych w zakresie bezwzględnie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji (…) jest prawnie uzasadnionym interesem administratora, którego sprawa dotyczy. Może to obejmować na przykład zapobieganie nieuprawnionemu dostępowi do sieci łączności elektronicznej i rozprowadzaniu złośliwych kodów, przerywanie ataków typu „odmowa usługi”, a także przeciwdziałanie uszkodzeniu systemów komputerowych i systemów łączności elektronicznej. Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Dane osobowe podczas obsługi incydentu • Ale: motyw 47 RODO „Ponieważ dla organów publicznych podstawę prawną przetwarzania danych osobowych powinien określić ustawodawca, prawnie uzasadniony interes administratora nie powinien mieć zastosowania jako podstawa prawna do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań. ” Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Uzasadniony interes a CSIRT UŻYTKOWNIK CSIRT SAMOZWAŃCZY PENTESTER ANALIZA ZAGROŻEŃ Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Co ureguluje ustawa? • Podstawa prawna do przetwarzania danych oparta na zadaniach • Określenie okresu przechowywania danych • Środki ochrony informacji • Niezwłoczne usuwanie niepotrzebnych danych • Wyłączenie niektórych obowiązków z RODO (równowaga pomiędzy bezpieczeństwem a prawami osób, których dane dotyczą) • Wyłączenie dla zadań związanych z bezpieczeństwem narodowym Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Objęcie przedsiębiorstw telekomunikacyjnych obowiązkiem zgłaszania incydentów do jednego systemu • Przedsiębiorcy telekomunikacyjni będą włączeni do systemu raportowania incydentów, za pośrednictwem Prezesa UKE, na postawie obowiązku nałożonego na UKE przy wykorzystaniu obecnie obowiązujących przepisów. • Prezes UKE (który jest użytkownikiem systemu służącego m. in. do zgłaszania i obsługi incydentów) zgodnie z zapisami projektu przekazuje informacje do CSIRT właściwego dla zgłaszającego przedsiębiorcy telekomunikacyjnego. 30
Kolegium ds. Cyberbezpieczeństwa • „Art. 64. Przy Radzie Ministrów działa Kolegium, jako organ opiniodawczo-doradczy w sprawach cyberbezpieczeństwa (…). ” • Projekt rozporządzenia Rady Ministrów w sprawie zakresu działania oraz trybu pracy Kolegium do Spraw Cyberbezpieczeństwa • Dostępny na stronie RCL • Obecny etap legislacyjny: wysłano w trybie obiegowym na Radę Ministrów • Oczekiwane przyjęcie: październik Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Pojedynczy punkt kontaktowy - Minister właściwy ds. informatyzacji CSIRT poziomu krajowego Minister Cyfryzacji Pojedynczy Punkt Kontaktowy Współpraca Międzynarodowa – Grupa Współpracy Organy właściwe Zadania: • Broker informacyjny działań wszystkich interesariuszy KSC. • Kontrola spełniania przez podmioty świadczące usługi z zakresu cyberbezpieczeństwa wymagań organizacyjnych i technicznych. • Gromadzenie i przetwarzanie informacji z organów właściwych. • Funkcja łącznika w celu zapewnienia współpracy transgranicznej. • Tworzenie ram prawnych funkcjonowania obszaru cyberbezpieczeństwa RP, w tym czuwanie nad ich spójnością. • Realizacja zadań edukacyjno-informacyjnych. 32
Organy właściwe do spraw cyberbezpieczeństwa: 1) analizują sektor 2) wydają decyzje 3) przygotowują rekomendacje 4) realizują wybrane aspekty współpracy międzynarodowej Banki + infrastr. rynków finan. KNF Energia ME Infrastruktura cyfrowa MC Transport MI + MGMiŻŚ Wodno-kanalizacyjny MGMiŻŚ Dostawcy usług cyfrowych MC Służba zdrowia MZ 33
Certyfikaty • „Art. 15 ust. 1. Operator usługi kluczowej ma obowiązek zapewnić przeprowadzenie, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego (…). ” • Rozporządzenie Ministra Cyfryzacji w sprawie wykazu certyfikatów uprawniających do przeprowadzania audytu • Dostępny na stronie RCL • Obecny etap legislacyjny: Komisja Prawnicza • Oczekiwane przyjęcie: październik Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Dokumentacja • „Art. 10 ust. 1. Operator usługi kluczowej opracowuje, stosuje i aktualizuje dokumentację dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej” • Projekt rozporządzenia Rady Ministrów w sprawie dokumentacji cyberbezpieczeństwa systemów informacyjnych wykorzystywanych do świadczenia usług kluczowych • Dostępny na stronie RCL • Obecny etap legislacyjny: wysłano w trybie obiegowym na Radę Ministrów • Oczekiwane przyjęcie: październik Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
Dziękuję za uwagę Jakub Dysarz, starszy specjalista Departament Cyberbezpieczeństwa jakub. dysarz@mc. gov. pl Ministerstwo Cyfryzacji – Departament Cyberbezpieczeństwa
- Slides: 36