W każdej dziedzinie ułatwieniem w pracy są drogowskazy, które pokazują główne kierunki działania. W obszarze cyberbezpieczeństwa takim drogowskazem jest polityka bezpieczeństwa. Powinna mieć ją każda firma, która poważnie myśli o ochronie swoich zasobów. Łatwiej jej wtedy wybrać skuteczne, adekwatne do faktycznych zagrożeń rozwiązania ochronne.

Polityka bezpieczeństwa stanowi plan działania, taką mapę drogową, a zabezpieczenia techniczne służą realizacji tego planu – mówi Artur Piechocki, radca prawny, założyciel kancelarii APLaw.

Polityka bezpieczeństwa z założenia zawiera przyjęty w przedsiębiorstwie lub instytucji zbiór zasad postępowania zapewniających bezpieczeństwo. Określa podstawowe i strategiczne uwarunkowania, na których powinna bazować ochrona danych. Jej celem jest zdefiniowanie ram korzystania z rozwiązań, które będą chronić przed zagrożeniami i minimalizować skutki ataków. Wynika z nich, jak mają postępować pracownicy: jakie stosować zabezpieczenia, jak korzystać z zasobów, jakie realizować procedury reagowania na incydenty. Powinna także zawierać instrukcje działania w sytuacjach kryzysowych. Na czym jednak powinno się bazować, tworząc politykę bezpieczeństwa?

– Mamy trzy podstawowe źródła wymagań odnośnie do bezpieczeństwa w firmie czy instytucji: regulacje prawne, ocena ryzyka oraz wymagania biznesowe dotyczące ochrony interesów dostawcy, klienta lub osób, których dane dotyczą. Trzeba je jednak zawsze dostosować do sytuacji i warunków funkcjonowania konkretnego przedsiębiorstwa – wyjaśnia Kamil Pszczółkowski, manager Cyber Security Team w firmie doradczej PwC.

Najlepiej widać to w odniesieniu do wymogów prawnych. Inne przepisy regulują działalność w zakresie finansów, inne w energetyce, jeszcze inne w sektorze publicznym.

Polityka bezpieczeństwa powinna przede wszystkim zaspokajać potrzeby konkretnej firmy, czyli uwzględniać charakter prowadzonej działalności  – potwierdza Katarzyna Gorzkowska, prawnik w kancelarii APLaw.

Oznacza to, że regulacje wewnętrzne powinny się zmieniać w zależności od wielkości i charakteru działalności przedsiębiorstwa oraz instytucji. Jednym z istotnych czynników wpływających na ostateczny kształt polityki bezpieczeństwa są realia biznesowe każdego przedsiębiorstwa. One również muszą być uwzględnione w tworzeniu ram zarządzania bezpieczeństwem.

Polityka bezpieczeństwa musi być elementem kierowania całą firmą. Ma stwarzać warunki do sprawnego prowadzenia biznesu, a nie je utrudniać – podkreśla Kamil Pszczółkowski.

Radzi, by zwracać na to szczególną uwagę, gdyż często wprowadzane w firmach zasady bezpieczeństwa mają tendencje do „zabijania” biznesu.

 

Audyt to podstawa

Fundamentem zapewniania bezpieczeństwa jest ocena ryzyka. Ma istotne znaczenie również dla weryfikacji obowiązujących zasad polityki bezpieczeństwa. Powinna być przeprowadzana tak, aby umożliwiać wykrywanie zagrożeń na bieżąco. Z praktyki wynika, że audyt należy przeprowadzać przynajmniej raz na rok. Jeżeli jednak są wprowadzane istotne zmiany w przedsiębiorstwie, np. technologiczne, organizacyjne lub biznesowe, częstotliwość oceny ryzyka trzeba dostosować do potrzeb wynikających z aktualnej sytuacji.

Na kształt polityki bezpieczeństwa wpływają również wnioski z audytu. Należy go przeprowadzać z uwzględnieniem wymagań dotyczących bezpieczeństwa obowiązujących w danej firmie.

Potrzebna jest lista warunków, na podstawie której będzie prowadzony audyt. W odniesieniu do nich będzie oceniany poziom dojrzałości organizacji w zakresie bezpieczeństwa – tłumaczy Kamil Pszczółkowski.

Zwraca również uwagę, by zawsze uwzględniać kontekst wymagań. Na przykład RODO ma na celu ochronę danych osób fizycznych i nie jest nastawione na ochronę interesów firmy, która przetwarza dane osobowe. Mechanizmy zabezpieczeń w obu przypadkach mogą być takie same, ale cel jest inny.

Audyt zwiększa świadomość zagrożeń i konsekwencji podejmowanych decyzji. Pozwala na bardziej przemyślane zarządzanie ryzykiem. Wpływa również na skuteczniejsze, dostosowane do istniejących uwarunkowań zarządzanie środowiskiem informatycznym oraz funkcjonującymi w jego ramach rozwiązaniami. Zawsze jednak należy zacząć od inwentaryzacji.

Trzeba wiedzieć, czym się dysponuje i przed czym chce się chronić, żeby móc wybrać optymalne rozwiązania dla danego przedsiębiorstwa lub instytucji – podkreśla Kamil Pszczółkowski.

Audyt, podobnie jak ocenę ryzyka, należy przeprowadzać okresowo, zazwyczaj nie rzadziej niż raz w roku. Jego wyniki powinny wpływać na kształt polityki bezpieczeństwa, a to oznacza m.in. konieczność aktualizowania stosowanych procedur i rozwiązań.

Trzeba jednak pamiętać, że audyt nie jest jedynym powodem aktualizowania polityki bezpieczeństwa. Należy brać pod uwagę wszelkie informacje otrzymywane z różnych źródeł, także od pracowników i partnerów biznesowych. Mogą bowiem wskazywać, na przykład, na luki w procedurach lub zabezpieczeniach systemów informatycznych.

Prawo musi być odzwierciedlone

Aktem prawnym, który obecnie ma niewątpliwie istotny wpływ na treść polityki bezpieczeństwa każdej firmy, jest RODO, czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Ale nie można pominąć innych znaczących regulacji. Podczas tworzenia polityki bezpieczeństwa należy uwzględnić również: ustawę o krajowym systemie bezpieczeństwa, dyrektywę płatniczą PSD2 oraz znajdujące się na etapie legislacji ustawę o odpowiedzialności podmiotów zbiorowych i unijne rozporządzenie e-Privacy.

Wymienione akty nie wskazują wprost, jakiego rodzaju środki należy stosować dla osiągnięcia celu. RODO zobowiązuje administratora do zapewnienia bezpieczeństwa przetwarzania danych osobowych na poziomie odpowiadającym ryzyku, na które są narażone. Przyjęte środki mają zagwarantować poufność, integralność, dostępność i odporność systemów, także usług przetwarzania oraz szybkie przywrócenie dostępności danych osobowych w razie zaistnienia incydentu – tłumaczy Artur Piechocki.

 

Z kolei dyrektywa PSD2 (Payment Services Directive 2), opracowana głównie z myślą o sektorze finansów i bankowości, zobowiązuje do stworzenia szeregu procedur, m.in. dotyczących monitorowania incydentów, postępowania w przypadku ich wystąpienia oraz zgłaszania ataków.

W Polsce trwają prace nad ustawą o odpowiedzialności podmiotów zbiorowych, która określi zasady ponoszenia odpowiedzialności w przypadku, gdy czynu zabronionego dopuszczą się organy podmiotu zbiorowego albo pojedynczy pracownicy lub osoby upoważnione do działania w imieniu firmy lub instytucji.

Do naruszeń prawa skutkującego odpowiedzialnością podmiotu zbiorowego można zakwalifikować nielegalne przetwarzanie danych osobowych. Wynika to z art. 107 ustawy z 10 maja 2018 r. o ochronie danych osobowych  – mówi Katarzyna Gorzkowska.

Każda nowa regulacja powinna znaleźć odzwierciedlenie w polityce bezpieczeństwa. Jej przygotowanie i wdrożenie w pierwszej kolejności powinno mieć na celu zapewnienie przestrzegania prawa. Natomiast cel pośredni stanowi uniknięcie sankcji, np. kar administracyjnych nakładanych przez prezesa Urzędu Ochrony Danych Osobowych za złamanie przepisów.

Trzy pytania do…
dr inż. Agnieszki Gryszczyńskiej, z Katedry Prawa Informatycznego na Wydziale Prawa i Administracji Uniwersytetu Kardynała Stefana Wyszyńskiego

Co konkretnie powinna zawierać polityka bezpieczeństwa w firmie?

Powinna określać ogólne wymagania, zasady, procedury oraz instrukcje dotyczące ochrony informacji, czyli obejmować takie elementy jak: polityka informacyjna, zasady ochrony danych osobowych i tajemnicy przedsiębiorstwa lub innych tajemnic prawnie chronionych (w tym informacji niejawnych), polityka bezpieczeństwa systemów teleinformatycznych, zasady zapobiegania przestępstwom (m.in. cyberprzestępstwom), procedury postępowania w przypadku stwierdzenia incydentu lub wykrycia działania stanowiącego czyn zabroniony. Spójne z polityką bezpieczeństwa powinny być inne dokumenty, np. rejestr incydentów.

Jakie akty prawne – oprócz mocno ostatnio nagłośnionego RODO – należy uwzględnić w tworzeniu polityki bezpieczeństwa?

Z uwagi na to, że polityka bezpieczeństwa odnosi się do wszystkich możliwych rodzajów naruszenia bezpieczeństwa, a także scenariuszy postępowania w takich sytuacjach, powinna uwzględniać przepisy dotyczące działań związanych z incydentami. Trzeba pamiętać nie tylko o ochronie danych osobowych oraz postępowaniu w przypadku jej naruszenia ale też uwzględnić inne regulacje nakładające obowiązek zgłaszania incydentów i odpowiedniej reakcji w razie ich wystąpienia. Podmioty będące operatorami usług kluczowych lub dostawcami usług cyfrowych powinny uwzględnić przepisy ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Art. 10 ustawy nakłada na operatorów obowiązek opracowania, stosowania i aktualizacji dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Szczegółowe obowiązki firm świadczących usługi cyfrowe w zakresie bezpieczeństwa sieci i systemów informacyjnych określa rozporządzenie wykonawcze Komisji Europejskiej 2018/151. Wymogi dotyczące bezpieczeństwa i zgłaszania incydentów przez przedsiębiorców telekomunikacyjnych określa ustawa z 16 lipca 2004 r. – Prawo telekomunikacyjne, a obowiązki dostawców usług zaufania – rozporządzenie 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym.

Czy jakieś szczególne regulacje obowiązują w sektorze publicznym?

Podmioty publiczne dodatkowo powinny uwzględnić ustawę z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne oraz rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań wobec systemów teleinformatycznych.

 

 

Rośnie wiarygodność i zaufanie

Czy integratorzy mogą myśleć o zarobieniu pieniędzy w dziedzinie tworzenia i realizacji polityki bezpieczeństwa? Wiele wskazuje, że tak. Według tegorocznego raportu KPMG – „Barometr cyberbezpieczeństwa. W obronie przed atakami”, 70 proc. przedsiębiorstw w Polsce korzysta z outsourcingu w zakresie cyberochrony. Wśród trzech zadań najczęściej przekazywanych firmom zewnętrznym znajduje się tworzenie i realizacja programów podnoszenia wiedzy pracowników o bezpieczeństwie. Jednocześnie niewiele ponad połowa podmiotów biorących udział w badaniu (57 proc.) opracowała procedury reagowania bądź plany zarządzania kryzysowego na wypadek wystąpienia cyberataku. Natomiast 16 proc. firm nie jest w żaden sposób przygotowanych na cyberatak.

Liczby te pokazują skalę wyzwań, z jakimi przyjdzie się w najbliższym czasie zmierzyć polskim przedsiębiorstwom. Jednocześnie uzmysławiają, jak duży obszar jest jeszcze do zagospodarowania przez integratorów chcących się specjalizować w cyberbezpieczeństwie. Pole do działania otwiera się również w obszarze wspomagania firm w tworzeniu polityki bezpieczeństwa.

Polskie firmy nie są obecnie zainteresowane inwestowaniem w klasyfikację i kontrolę aktywów. Będą jednak musiały o tym pomyśleć, jeśli zechcą zbudować stabilny, skuteczny system ochrony. Rolą przedsiębiorców z branży IT może być uświadomienie im tego i pomoc w inwentaryzacji wykorzystywanego sprzętu i oprogramowania.

Trzeba ustalić, które z posiadanych zasobów są istotne i co należy w pierwszej kolejności chronić. Dopiero wtedy można budować politykę bezpieczeństwa – zwraca uwagę Michał Kurek, partner i szef zespołu ds. cyberbezpieczeństwa w KPMG.

Zdaniem integratora

Rafał Rosłaniec, dyrektor wsparcia technicznego, ePrinus

Podczas wdrażania jakiegokolwiek rozwiązania polityka bezpieczeństwa jest nam, integratorom, niezbędna, szczególnie, gdy działamy w dużym przedsiębiorstwie. Reguluje zasady działalności całej firmy, postępowania pracowników oraz tzw. pracowników zewnętrznych, czyli kontraktorów. Musimy te wymagania uwzględniać podczas wdrożenia, a to stanowi zwykle spore wyzwanie. Z drugiej jednak strony eliminują „swobodną twórczość” firmy IT podczas realizacji projektu. Integratorzy uczą się na równi z klientem: procedur, współpracy, implementacji. Razem wypracowujemy najlepsze rozwiązanie dla klienta.

 

Przedsiębiorcy w naszym kraju zazwyczaj nie podchodzą do zapewniania bezpieczeństwa systemowo. Ich działania nakierowane są głównie na wdrażanie narzędzi i wprowadzanie rozwiązań zabezpieczających oraz służących zapewnieniu ciągłości działania firmy. Brakuje zainteresowania podnoszeniem poziomu dojrzałości procesowej w zakresie bezpieczeństwa, tworzenia odpowiednich procedur i reguł postępowania. To też jest szansa dla integratorów.

Wsparcie techniczne jest ważne, jednak nawet najbardziej zaawansowane narzędzia i systemy mogą okazać się bezużyteczne, gdy zabraknie reguł ich efektywnego użycia w konkretnych sytuacjach. Potrzebni są także ludzie, którzy będą wiedzieli, co zrobić i jak się zachować – mówi Michał Kurek.

Z drugiej strony, integratorzy mogą poprawić swoją konkurencyjność, jeśli w firmie będą stosować własną politykę bezpieczeństwa. To podniesie ich wiarygodność w oczach potencjalnych klientów i zwiększy szanse na nowe kontrakty.

Klient chce mieć pewność, że usługodawca lub dostawca rozwiązań informatycznych zagwarantuje taką samą ochronę danych, jaką ma sam, lub wyższą. Zadaniem integratora jest przekonanie klienta, że może na to liczyć. Posiadanie wewnętrznych regulacji w postaci polityki bezpieczeństwa bardzo to ułatwi. Świadczy bowiem o dojrzałości firmy w zakresie zarządzania ochroną – podkreśla Kamil Pszczółkowski.

W interesie integratora leży też wdrożenie w firmie standardu ISO 27001. Wtedy będzie mu łatwiej wykazać, że spełnia warunki bezpieczeństwa i występować w roli eksperta od ochrony lub przejąć funkcję centrum kompetencyjnego. Wówczas klient z większym zaufaniem powierzy mu opiekę nad tą częścią swojej działalności, tym bardziej gdy sam wdrożył ISO 27001.

Warto postarać się, by stosowane standardy bezpieczeństwa zaakceptowała niezależna jednostka certyfikacyjna. Taka weryfikacja zwiększa wiarygodność integratora w oczach klienta, podnosi zaufanie do jego wiedzy i umiejętności. Dowodzi, że integrator faktycznie realizuje standardy, których klient też przestrzega. To w konsekwencji może przełożyć się na większą konkurencyjność i lepsze perspektywy biznesowe. Dlatego firmy informatyczne powinny nie tylko zachęcać klientów do tworzenia i wprowadzania w życie zasad zarządzania bezpieczeństwem, ale także taką politykę opracowywać i realizować u siebie.

Między standardami

W zarządzaniu ochroną informacji w przedsiębiorstwie lub instytucji powszechnie stosowane jest ISO. Natomiast w kierowaniu eksploatacją systemów informatycznych sprawdza się ITIL. Standardy te się uzupełniają, czasami również odsyłają do siebie. Stosując je, trzeba jednak uważać na różnice terminologiczne. Te same określenia nie zawsze w obu standardach znaczą to samo.

 

 

Informacje pod ochroną prawa

W Polsce obowiązuje wiele różnorodnych przepisów zawierających wymagania w zakresie bezpieczeństwa korzystania z systemów teleinformatycznych oraz ochrony informacji, w tym zasady przechowywania, przetwarzania i dostępu do danych. Przedstawiamy najważniejsze.

Cyberbezpieczeństwo

Ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (obejmuje podmioty będące operatorami usług kluczowych lub dostawcami usług cyfrowych)

Ochrona danych osobowych

RODO, czyli unijne ogólne rozporządzenie o ochronie danych – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

Ustawa z 10 maja 2018 r. o ochronie danych osobowych Ustawa z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zmienia 162 krajowe akty prawne pod kątem dostosowania do wymogów RODO)

Regulacje dziedzinowe

Działalność gospodarcza

Ustawa z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji

Finanse i księgowość

Ustawa z 29 września 1994 r. o rachunkowości

Ochrona informacji

Ustawa z 5 sierpnia 2010 r. o ochronie informacji niejawnych

Podatki

Ustawa z 29 sierpnia 1997 r. – Ordynacja podatkowa

Ubezpieczenie społeczne

Ustawa z 13 października 1998 r. o systemie ubezpieczeń społecznych

Ustawa z 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych

Usługi elektroniczne

Ustawa z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną

Unijne rozporządzenie Midas (Electronic Identification and Trust Services Regulation)

Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE

Unijna dyrektywa PSD2 (Payment Services Directive 2)

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z  25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego

Zatrudnienie
Ustawa z 26 czerwca 1974 r. – Kodeks pracy

 

Regulacje sektorowe i branżowe

Edukacja
Ustawa z 7 września 1991 r. o systemie oświaty

Ustawa z 14 grudnia 2016 r. – Prawo oświatowe

Rozporządzenie ministra edukacji narodowej z 25 sierpnia 2017 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej  i opiekuńczej oraz rodzajów tej dokumentacji

Finanse

Ustawa z 29 sierpnia 1997 r. – Prawo bankowe

Ustawa z 19 sierpnia 2011 r. o usługach płatniczych

Ustawa z 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej

Opieka zdrowotna

Ustawa z 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty

Ustawa z 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych

Ustawa z 6 listopada 2008 r. o prawach pacjenta i rzeczniku praw pacjenta

Ustawa z 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia

Telekomunikacja

Ustawa z 16 lipca 2004 r. – Prawo telekomunikacyjne

Sektor publiczny

Ustawa z 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach

Ustawa z 29 stycznia 2004 r. – Prawo zamówień publicznych

Ustawa z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne

Rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych

W trakcie przygotowania

Ustawa o odpowiedzialności podmiotów zbiorowych

Unijne rozporządzenie e-Privacy