ZABEZPIECZENIA TECHNICZNE POMIESZCZEŃ OPERATORÓW USŁUG KLUCZOWYCH.

Autor: Sergiusz Parszowski

W dn. 28 sierpnia 2018 r. zaczęła obowiązywać ustawa z dn. 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa[1], która to wraz z wydanymi na jej podstawie rozporządzeniami stanowi implementację do polskiego porządku prawnego dyrektywy Parlamentu Europejskiego i Rady (UE) w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dyrektywa 2016/1148), tzw. Dyrektywy NIS. Niniejsze regulacje stanowią pierwszy krok w procesie budowy kompleksowego systemu cyberbezpieczeństwa, krótko mówiąc – obserwujemy próbę zmiany dotychczasowego podejścia, gdzie sprawy cyberbezpieczeństwa traktowane były wyłącznie sektorowo i wycinkowo.

KRAJOWY SYSTEM CYBERBEZPIECZEŃSTWA
Celem krajowego systemu cyberbezpieczeństwa jest zapewnienie cyberbezpieczeństwa na poziomie krajowym, w szczególności zaś niezakłóconego świadczenia usług kluczowych i usług cyfrowych oraz osiągnięcie odpowiednio wysokiego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług. Cyberbezpieczeństwo jest tutaj rozumiane jako odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. Krajowy system cyberbezpieczeństwa obejmuje:

1) operatorów usług kluczowych;

2) dostawców usług cyfrowych;

3) CSIRT[2] MON;

4) CSIRT NASK;

5) CSIRT GOV;

6) sektorowe zespoły cyberbezpieczeństwa;

7) jednostki sektora finansów publicznych, o których mowa w art. 9 pkt 1–6, 8, 9, 11 i 12 ustawy z dn. 27 sierpnia 2009 r. o finansach publicznych (Dz.U. 2017, poz. 2077 oraz Dz.U. 2018, poz. 62, 1000 i 1366);

8) instytuty badawcze;

9) Narodowy Bank Polski;

10) Bank Gospodarstwa Krajowego;

11) Urząd Dozoru Technicznego;

12) Polską Agencję Żeglugi Powietrznej;

13) Polskie Centrum Akredytacji;

14) Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej;

15) spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej w rozumieniu art. 1 ust. 2 ustawy z dn. 20 grudnia 1996 r. o gospodarce komunalnej (Dz.U. 2017, poz. 827 oraz Dz.U. 2018, poz. 1496);

16) podmioty świadczące usługi z zakresu cyberbezpieczeństwa;

17) organy właściwe do spraw cyberbezpieczeństwa;

18) Pojedynczy Punkt Kontaktowy do spraw cyberbezpieczeństwa;

19) Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa;

20) Kolegium do Spraw Cyberbezpieczeństwa.

OPERATORZY USŁUG KLUCZOWYCH
W rozumieniu ustawy o krajowym systemie cyberbezpieczeństwa usługami kluczowymi są usługi mające kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, a więc w energetyce, transporcie, bankowości i infrastrukturze rynków finansowych, ochronie zdrowia, zaopatrzeniu w wodę oraz infrastrukturze cyfrowej. Nie oznacza to jednak, że wszystkie podmioty świadczące usługi kluczowe stają się automatycznie operatorami usługi kluczowej w rozumieniu omawianych przepisów. Operator staje się operatorem usługi kluczowej, gdy spełnia łącznie następujące wymagania:

1) został wskazany (jako rodzaj podmiotu) w załączniku do ustawy;

2) świadczy usługę kluczową określoną w rozporządzeniu;

3) świadczenie tej usługi zależy od systemów informacyjnych;

4) usługa jest świadczona powyżej określonego progu istotności.

Jeżeli chodzi o wspomniane progi istotności, to są nimi najczęściej: wielkość produkcji, zasięg geograficzny świadczenia usługi albo liczba odbiorców. Zasady i kryteria pozwalające na identyfikację operatorów usług kluczowych zostały szczegółowo określone w rozporządzeniu Rady Ministrów z dn. 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych[3]. Wyznaczenie operatora usługi kluczowej następuje w drodze decyzji administracyjnej organu – ministra kierującego właściwym działem lub Komisji Nadzoru Finansowego. Jednocześnie warto podkreślić, że w określonych przypadkach operatorzy usług kluczowych mogą być jednocześnie właścicielami, posiadaczami samoistnymi albo posiadaczami zależnymi obiektów, instalacji, urządzeń lub usług wchodzących w skład infrastruktury krytycznej.

Operatorzy usług kluczowych, jako podmioty wchodzące w składa krajowego systemu cyberbezpieczeństwa, mają obowiązek wdrożenia systemu zarządzania bezpieczeństwem w systemie informacyjnym, zapewniającego:

1) prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem;

2) wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym:

a) utrzymanie i bezpieczną eksploatację systemu informacyjnego,

b) bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu,

c) bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej,

d) wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej oraz zapewniających poufność, integralność, dostępność i autentyczność informacji,

e) objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym;

3) zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;

4) zarządzanie incydentami;

5) stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, w tym:

a) stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym,

b) dbałość o aktualizację oprogramowania,

c) ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym,

d) niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub zagrożeń cyberbezpieczeństwa;

6) stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa[4].

W celu realizacji tychże zadań operatorzy usług kluczowych powołują wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub zawierają umowę z zewnętrznym podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa.

MINIMALNE ZABEZPIECZENIA TECHNICZNE
Zarówno wewnętrzne struktury, jak również zewnętrzne podmioty świadczące usługi z zakresu cyberbezpieczeństwa zobowiązane zostały do posiadania, z prawem do wyłącznego korzystania, pomieszczeń służących do reagowania na incydenty[5]. Zapewnienie tym pomieszczeniom zabezpieczeń przed zagrożeniami fizycznymi i środowiskowymi nie jest już tylko działaniem „zgodnym ze sztuką”, dzisiaj jest to również obowiązek wynikający z przepisów prawa. Wg rozporządzenia Ministra Cyfryzacji z dn. 10 września 2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowycch odpowiedzialnych za cyberbezpieczeństwo[6] zastosowane zabezpieczenia techniczne powinny odpowiadać wynikowi przeprowadzonemu szacowaniu ryzyka, przy czym minimalne zabezpieczenie pomieszczeń służących do reagowania na incydenty obejmuje:

1) System sygnalizacji włamania i napadu klasy 2 według Polskiej Normy PN-EN 50131-1. W tym miejscu koniecznym jest zwrócenie uwagi czytelników na fakt, że w rozporządzeniu niepoprawnie użyto słowa „klasa”, gdyż w aktualnych normach występuje pojęcie „stopień” (ang. grade). Wspomniana norma wprowadza 4 stopnie wykonania systemów alarmowych, przy czym stopień systemu sygnalizacji włamania i napadu powinien odpowiadać poziomowi oszacowanego ryzyka i tak:

a) Stopień 1: ryzyko niskie;

b) Stopień 2: ryzyko niskie do średniego;

c) Stopień 3: ryzyko średnie do wysokiego;

d) Stopień 4: ryzyko wysokie.

Zakłada się, że przy ryzyku od niskiego do średniego intruzi będą posiadać ograniczoną znajomość systemu sygnalizacji włamania i napadu i będą korzystać z niezaawansowanych przyrządów. W związku z powyższym system sygnalizacji włamania i napadu wykonany w stopniu 2 powinien wykrywać następujące czynności:

a) otwarcie drzwi, okien i innych zamknięć chronionego obszaru;

b) poruszanie się w chronionym obszarze (pułapkowo).

W przypadku, gdy tak będzie wynikać z procesu szacowania ryzyka, należy zastosować system sygnalizacji włamania i napadu o wyższym stopniu zabezpieczenia.

2) System kontroli dostępu klasy 2 według Polskiej Normy PN-EN 60839-11-1, zapewniający osobie przyznanie dostępu do pomieszczenia przez rzecz posiadaną przez tę osobę oraz zapamiętanie zdarzenia przyznania dostępu danej osobie, wraz z datą i czasem.
Wymieniona norma jest o tyle ciekawym dokumentem, gdyż w odróżnieniu od norm na systemy sygnalizacji włamania i napadu oraz dozoru wizyjnego, gdzie również mamy podział na stopnie zabezpieczenia od 1 do 4, normalizacja systemów kontroli dostępu jako jedyna wymienia typy obiektów, do których przypisuje się poszczególne stopnie zabezpieczenia[7]. Według Polskiej Normy PN-EN 60839-11-1 stopień 1 jest odpowiedni do hoteli, stopień 2 – do biur i małych przesiębiorstw, stopień 3 – do przemysłu, administracji i banków, a stopień 4 – do obiektów infrastruktury krytycznej, wojskowych, rządowych i innych o wysokiej wrażliwości. Co warte pokreślenia, normy dla systemów kontroli dostępu dla stopnia 2 nie wymagają, by łączność pomiędzy czytnikami a centralami kontroli dostępu była wspomagana szyfrowaniem i uwierzytelnianiem. Jeżeli weźmiemy pod uwagę, że systemy te nie muszą również posiadać szyfrowanej łączności radiowej pomiędzy czytnikiem a identyfikatorem, jak również fakt, że informacje przechowywane na identyfikatorze nie muszą być zabezpieczone przed nieautoryzowaną modyfikacją lub odtwarzaniem, to wymaganie zabezpieczenia pomieszczenia systemem kontroli dostępu w stopniu 2 wydaje się wymaganiem niedoszacowanym[8]. Zdaniem ekspertów Polskiej Izby Systemów Alarmowych wymagany powinien być minimum 3 stopień dla systemów kontroli dostępu, zaś użyte w rozporządzeniu sformułowanie „posiadanej rzeczy” – zastąpione sformułowaniem „dane identyfikacyjne” (ang. credentials), co odpowiadałoby definicji z przetłumaczonego słownika normy PN-EN 60839-11-1. Podobnie zastąpienie „klas” na „stopnie” odpowiadałoby przygotowanemu tłumaczeniu tejże normy, które aktualnie zatwierdzane jest w Komitecie Technicznym „Systemów Alarmowych Włamania i Napadu” nr 52 przy Polskim Komitecie Normalizacyjnym.

3) System wykrywania i sygnalizacji pożaru z powiadamianiem do centrum odbiorczego alarmów pożarowych. Wymagania względem systemów wykrywania i sygnalizacji pożaru określają polskie normy z rodziny PN-EN 54. W przypadku, gdy obiekt, w którym znajduje się pomieszczenie służące do reagowania na incydenty, nie jest jednak wyposażony w system wykrywania i sygnalizacji pożaru, przepisy o krajowym systemie cyberbezpieczeństwa dopuszczają, po wykonaniu szacowania ryzyka i przy braku przeciwskazań wynikających z innych przepisów, wyposażyć pomieszczenie w czujki wykrywające pożar, podłączone do systemu sygnalizacji włamania i napadu, z którego sygnały o alarmie pożarowym będą odczytywane w stacji monitorującej alarmy. Oczywiście wszystkie elementy służące wykrywaniu lub sygnalizacji pożaru muszą być certyfikowane i dopuszczone do użytkowania[9].

4) Szafy służące do przechowywania dokumentów oraz informatycznych nośników danych o istotnym znaczeniu dla prowadzonej działalności, klasy S1 spełniającymi wymagania Polskiej Normy PN-EN 14450, chyba że inne przepisy wymagają wyższej klasy odporności szaf. Szafy metalowe spełniające wymagania klasy odporności na włamanie S1 są już od wielu lat obowiązującym standardem stosowanym do przechowywania informacji niejawnych o klauzuli „tajne” w rozumieniu przepisów o ochronie informacji niejawnych[10]. Polska Norma PN-EN 14450:2018 Pomieszczenia i urządzenia do przechowywania wartości – Wymagania, klasyfikacja i metody badań odporności na włamanie – Pojemniki bezpieczne i szaf – jak sama nazwa wskazuje – określa odporność szaf wyłącznie pod kątem ich odporności na włamanie, nie określa chociażby ognioodporności, czyli ochrony przed ogniem, dymem i płynem gaśniczym. Wydaje się, że uzasadnione byłoby skierowanie wniosku de lege ferenda, by w przypadkach nieakceptowalnego ryzyka dla przechowywanych dokumentów lub informatycznych nośników danych, związanego z zagrożeniem pożarowym, zastosowanie miały szafy służące do przechowywania dokumentów klasy LFS 60 P wg PN-EN 15659 lub szafy służące do przechowywania informatycznych nośników danych klasy S 60 DIS wg PN-EN 1047-1, chyba że inne przepisy wymagają wyższych klas odporności szaf.

5) Zewnętrzne drzwi wejściowe do pomieszczeń o klasie odporności RC4 wg wymagań Polskiej Normy PN-EN 1627, wyposażone w zamki o klasie nie niższej niż klasa odporności drzwi. Przywołana norma wprowadza sześć klas odporności na włamanie, gdzie klasa RC1/RC1N charakteryzuje się najniższymi wymaganiami, natomiast zabezpieczenia spełniające wymogi klasy RC6 cechują się najwyższą odpornością na włamanie[11]. Zabezpieczenia o klasie odporności na włamanie od 1 do 3 mają stanowić skuteczną ochroną dla przypadkowego lub okazjonalnego włamywacza. Natomiast zabezpieczenia o klasie odporności na włamanie od 4 do 6 powinny przeciwstawić się zorganizowanym i dobrze przygotowanym próbom ataków. Drzwi o klasie odporności RC4 powinny przeciwstawić się doświadczonemu włamywaczowi, który używa bardziej zaawansowanych narzędzi, np. piły, młotka, siekiery, dłuta lub narzędzia zasilanego z akumulatorka np. wiertarki. W przypadku, gdy drzwi o klasie odporności RC4 posiadają oszklenie, powinno ono spełniać wymagania co najmniej klasy odporności na włamanie P6B zgodnie z Polską Normą PN-EN 356, w której dla tej klasy przewidziano badanie (uderzanie) młotem i siekierą, a którą uważa się za najniższą klasę antywłamaniową dla przeszkleń. Odporności drzwi w klasie RC4 odpowiadają zamki drzwiowe w klasie 7 według normy PN-EN 12209.

6) Wewnętrzne drzwi do pomieszczeń o klasie odporności RC2 według wymagań Polskiej Normy PN-EN 1627, wyposażone w zamki o klasie nie niższej niż klasa odporności drzwi. Odporność mierzona na przypadkowego włamywacza, który próbuje pokonać zabezpieczenie używając prostych narzędzi, np. takich jak śrubokręt, szczypce, klin. W przypadku, gdy drzwi o klasie odporności RC2 posiadają oszklenie, powinno ono spełniać wymagania co najmniej klasy odporności na włamanie P4A zgodnie z Polską Normą PN-EN 356. Odporności drzwi w klasie RC2 odpowiadają zamki drzwiowe w klasie 3 według normy PN-EN 12209.

7) Okna o klasie odporności RC4 według wymagań Polskiej Normy PN-EN 1627, o ile na podstawie przeprowadzonego szacowania ryzyka dostęp do nich rodziłby nieakceptowalne ryzyko nieuprawnionego wejścia do pomieszczenia. Warto tutaj dodać, że aby okno spełniało klasę odporności RC4, jego oszklenie musi być wykonane co najmniej w klasie P6B zgodnie z Polską Normą PN-EN 356. Wówczas minimalny czas stawiania oporu próbom siłowego wejścia do chronionego pomieszczenia lub obszaru, z użyciem siły fizycznej oraz za pomocą określonych w normie narzędzi, nie powinien być krótszy niż 10 min. Wydaje się, że w tym przypadku wymóg powinien dotyczyć otworu okiennego, a nie samego okna, ponieważ niepotrzebnie zawęża się wachlarz środków, które mogą zostać zastosowane, np. nie można zastosować krat czy rolet wykonanych w klasie minimum RC4.

8) Ściany zewnętrzne o odporności na włamanie równoważnej odporności muru o grubości 25 cm wykonanego z pełnej cegły. Kwestię odporności ścian, podobnie jak odporności drzwi i okien, reguluje Polska Norma PN-EN 1627 Drzwi, okna, ściany osłonowe, kraty i żaluzje. Odporność na włamanie. Wymagania i klasyfikacja. Jakkolwiek w minimalnych wymaganiach dla odporności na włamanie zewnętrznych ścian przyjęto założenie, że są one wykonane z pełnej cegły, nie oznacza to jednak, że ściana taka nie może być wykonana z innych materiałów, jeżeli jej odporność na włamanie będzie równoważna odporności podanej w przykładzie. Zdaniem ekspertów Polskiej Izby Systemów Alarmowych aktualne zapisy dotyczące odporności ścian zewnętrznych na włamanie mogą rodzić wątpliwości, czy zawarte w rozporządzeniu wymagania dla ścian dokładnie odpowiadają klasie odporności na włamanie RC4[12. Opierając się na doświadczeniach Instytutu Mechaniki Precyzyjnej, normie PN-EN 50518- -1:2014-07 Centrum monitoringu i odbioru alarmu. Część 1: Wymagania dotyczące rozmieszczenia i konstrukcji oraz niemieckim załączniku krajowym do normy DIN-EN 1627:2011-09 Drzwi, okna, ściany osłonowe, kraty i żaluzje. Odporność na włamanie. Wymagania i klasyfikacja, wydaje się, że zapis powinien brzmieć następująco: Ściany zewnętrzne z muru o grubości min. 250 mm bez tynku, wykonanego z pełnej cegły o wytrzymałości na ściskanie min. 15 MPa lub muru o grubości min. 150 mm bez tynku, wykonanego z betonu zbrojonego o wytrzymałości próbki sześciennej na ściskanie min. 15 MPa, lub muru o grubości min. 120 mm bez tynku, wykonanego z betonu zbrojonego o wytrzymałości próbki sześciennej na ściskanie min. 25 MPa albo innej konstrukcji o odporności na włamanie, adekwatnej do odporności drzwi klasy RC4[13].

9) Ściany wewnętrzne o odporności na włamanie adekwatnej do klasy odporności drzwi. W przypadku zastosowania drzwi o minimalnej wymaganej odporności na włamanie, tj. o klasie odporności RC2 według wymagań Polskiej Normy PN-EN 1627, odporność na włamanie ścian wewnętrznych powinna zapewniać stawianie oporu próbom siłowego wejścia do chronionego pomieszczenia lub obszaru, z użyciem siły fizycznej oraz za pomocą określonych z góry narzędzi, przez okres co najmniej 3 min. Analogicznie do wymagań z poprzedniego punktu odporności drzwi wewnętrznych odpowiadałyby ściany wewnętrzne z muru o grubości min. 120 mm bez tynku, wykonanego z pełnej cegły o wytrzymałości na ściskanie min. 15 MPa lub muru o grubości min. 100 mm bez tynku, wykonanego z betonu zbrojonego o wytrzymałości próbki sześciennej na ściskanie min. 15 MPa, lub muru o grubości min. 80 mm bez tynku, wykonanego z betonu zbrojonego o wytrzymałości próbki sześciennej na ściskanie min. 25 MPa albo innej konstrukcji o odporności na włamanie, adekwatnej do odporności drzwi klasy RC2[14] Na zakończenie należy dodać, że opisy zabezpieczeń technicznych obiektów, zasady organizacji i wykonywania ochrony fizycznej, jak również dane o specjalistycznej uzbrojonej formacji ochronnej to obligatoryjne elementy dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego, którą opracowuje operator usługi kluczowej[15].

PODSUMOWANIE[16]
Dzisiaj jeszcze trudno policzyć, jak duża liczba podmiotów będzie zobowiązana do spełnienia wyżej przedstawionych wymagań. Szacunkowe obliczenia, dokonane jeszcze przed wejsciem w życie ustawy o krajowym systemie cyberbezpieczeństwa, zakładały zidentyfikowanie 542 operatorów usług kluczowych oraz przynajmniej 30 podmiotów świadczących usługi cyberbezpieczeństwa, które zostaną objęte projektowanymi wówczas regulacjami[17]. Co ciekawe, spośród wszystkich operatorów usług kluczowych największa liczba operatorów miałaby reprezentować sektor ochrony zdrowia. Jako że proces wyznaczania operatorów usług kluczowych cały czas trwa, dopiero za czas jakiś poznamy liczbę podmiotów objętych nowymi regulacjami. Dotychczas wszczęto łącznie 327 postępowań administracyjnych, w wyniku których już 57 podmiotów otrzymało decyzję o zakwalifikowaniu ich jako operatora usługi kluczowej[18].

Przypisy:
[1] Dz.U. 2018, poz. 1560.
[2] CSRIT (ang. Computer Security Incident Response Team) – Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego.
[3] Dz.U. 2018, poz. 1806.
[4] Art. 8 ustawy z dn. 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.
[5] Ibidem. Art. 14 ust. 2.
[6] Dz.U. 2018, poz. 1780.
[7] Podobny podział znajdował się również w wycofanej pod koniec 2014 r. normie na systemy dozoru wizyjnego PN-EN 50132-1:2012 [przyp. red.].
[8] Stopień 2 jest najniższym stopniem sugerowanym w normie PN-EN 60839-11-1 do obiektów innych niż hotele.
[9] Zob. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dn. 20 czerwca 2007 r. w sprawie wykazu wyrobów służących zapewnieniu bezpieczeństwa publicznego lub ochronie zdrowia i życia oraz mienia, a także zasad wydawania dopuszczenia tych wyrobów do użytkowania (Dz.U. 2007, nr 143, poz. 1002, z późn. zm.).
[10] Zob. Rozporządzenie Rady Ministrów z dn. 29 maja 2012 r. w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczenia informacji niejawnych (Dz.U. 2012, poz. 683, z późn. zm.).
[11] RC – klasa odporności (ang. Resistance Class).
[12] Wymóg odporności powinien odnosić się do klasy RC4, której badania klasyfikacyjne zostały opisane w normie, a nie do odporności jakiegoś muru.
[13 W. Dąbrowski, A. Tomczak: Uwagi ekspertów Polskiej Izby Systemów Alarmowych do rozporządzenia Ministra Cyfryzacji z dnia 10 września 2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo. Polska Izba Systemów Alarmowych, Warszawa 2019, s. 2 (dokument niepublikowany).
[14] Ibidem.
[15] Rozporządzenie Rady Ministrów z dn. 16 października 2018 r. w sprawie dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz.U. 2018, poz. 2080).
[16] Korzystając z okazji, czytelnikom niniejszego artykułu polecam inny tekst mojego autorstwa: Centrum operacyjne. Serce systemu bezpieczeństwa infrastruktury krytycznej, nr 4/2018 SEC&AS [przyp. aut.].
[17] Ocena skutków regulacji z dn. 19 kwietnia 2018 r. do projektu ustawy o krajowym systemie cyberbezpieczeństwa.
[18] https://www.cyberdefence24.pl/infrastruktura-krytyczna/  wyznaczono-juz-prawie-60-operatorow-uslug-kluczowych   

Powiązane

TRAGEDIA W LONDYŃSKIEJ GRENFELL TOWER. Dlaczego zawiodły drzwi przeciwpożarowe?

18.10.2018

Szósty zmysł drapaczy chmur…

30.06.2017

Popularne

Zrób to sam. Kamera termowizyjna Część II
26.02.2018
Cz. 1. Jednostki miar wielkości fizycznych – układ jednostek SI i nie tylko.
13.09.2018
Kamera termowizyjna. Część I
15.01.2018

Sec&As

COPYRIGHT © 2017 RIPOSTA. WSZELKIE PRAWA ZASTRZEŻONE. PROJEKT I REALIZACJA: RIPOSTA