Operatorzy Usług Kluczowych – zarządzanie i obsługa incydentów

Operatorzy Usług Kluczowych – zarządzanie i obsługa incydentów

Zgodnie z Ustawą o Krajowym Systemie Cyberbezpieczeństwa, jednym z głównych zadań wyznaczonych Operatorów Usług Kluczowych z punktu widzenia świadczenia usług, oraz zapewnienia optymalnego poziomu bezpieczeństwa, jest obsługa i zarządzanie incydentami.

OUK ponoszą pełną odpowiedzialność za obsługę i zarządzanie tzw. „incydentami zwykłymi”, czyli takimi które mogą mieć niepożądany wpływ na poziom cyberbezpieczeństwa w organizacji. Gdy w organizacji wystąpi „incydent poważny”, OUK musi współpracować w tym zakresie z np.: CSIRT MON, CIRST NASK oraz CIRST GOV, czyli zespołami ds. reagowania na incydenty.

Podstawowym obowiązkiem Operatorów Usług Kluczowych w kontekście cyberbezpiczeństwa, jest zapewnienie optymalnej reakcji na zaistniałe incydenty, które mogłyby mieć poważny wpływ na niezakłócone funkcjonowanie operatora oraz świadczenie przez niego usług kluczowych. Do kluczowych zadań w tym zakresie można zaliczyć:

1. Zapewnienie obsługi incydentów;
2. Zapewnienie dostępu do informacji o rejestrowanych incydentach właściwemu
   CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań;
3. Klasyfikacja incydentów jako poważne na podstawie progów uznawania incydentów
   za poważne;
4. Zgłaszanie incydentów poważnych, nie później niż w ciągu 24 godzin od momentu ich wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV;
5. Współpraca podczas obsługi incydentów poważnych i incydentów krytycznych
   z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane,
   w tym dane osobowe;
6. Usuwanie podatności.

W zakresie zarządzania i obsługi incydentów związanych z cyberbezpieczeństwem, Operatorzy Usług Kluczowych zostali zobowiązani do wyznaczenia w swoich strukturach osoby, której zadaniem będzie utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa. W przeciągu 14 dni, od daty wyznaczenia tej osoby, należy przekazać jej dane osobowe do organu właściwego do spraw cyberbezpieczeństwa, właściwego CSIRT MON, CSIRT NASK, CSIRT GOV i sektorowego zespołu cyberbezpieczeństwa.

Natomiast w celu realizacji zadań związanych z obsługą incydentów, OUK powołuje wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo lub  może zawrzeć umowę z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa. W takim przypadku, OUK musi  poinformować organ właściwy do spraw cyberbezpieczeństwa i właściwy CSIRT MON, CSIRT NASK, CSIRT GOV, o podmiocie, z którym została zawarta umowa o świadczenie usług z zakresu cyberbezpieczeństwa, w terminie 14 dni od dnia zawarcia lub rozwiązania umowy.

Piotr Kleszczewski,

konsultant ds. cyberbezpieczeństwa w PBSG