Bezpieczeństwo zaczyna się od polityki
Polityka bezpieczeństwa jest ważna dla integratorów co najmniej z dwóch powodów. Po pierwsze mogą zarabiać na wspieraniu przedsiębiorców w jej tworzeniu i realizacji. Po drugie, stosując ją we własnych firmach, podnoszą swoją wiarygodność w oczach klientów, a tym samym konkurencyjność.
W każdej dziedzinie ułatwieniem w pracy są drogowskazy, które pokazują główne kierunki działania. W obszarze cyberbezpieczeństwa takim drogowskazem jest polityka bezpieczeństwa. Powinna mieć ją każda firma, która poważnie myśli o ochronie swoich zasobów. Łatwiej jej wtedy wybrać skuteczne, adekwatne do faktycznych zagrożeń rozwiązania ochronne.
– Polityka bezpieczeństwa stanowi plan działania, taką mapę drogową, a zabezpieczenia techniczne służą realizacji tego planu – mówi Artur Piechocki, radca prawny, założyciel kancelarii APLaw.
Polityka bezpieczeństwa z założenia zawiera przyjęty w przedsiębiorstwie lub instytucji zbiór zasad postępowania zapewniających bezpieczeństwo. Określa podstawowe i strategiczne uwarunkowania, na których powinna bazować ochrona danych. Jej celem jest zdefiniowanie ram korzystania z rozwiązań, które będą chronić przed zagrożeniami i minimalizować skutki ataków. Wynika z nich, jak mają postępować pracownicy: jakie stosować zabezpieczenia, jak korzystać z zasobów, jakie realizować procedury reagowania na incydenty. Powinna także zawierać instrukcje działania w sytuacjach kryzysowych. Na czym jednak powinno się bazować, tworząc politykę bezpieczeństwa?
– Mamy trzy podstawowe źródła wymagań odnośnie do bezpieczeństwa w firmie czy instytucji: regulacje prawne, ocena ryzyka oraz wymagania biznesowe dotyczące ochrony interesów dostawcy, klienta lub osób, których dane dotyczą. Trzeba je jednak zawsze dostosować do sytuacji i warunków funkcjonowania konkretnego przedsiębiorstwa – wyjaśnia Kamil Pszczółkowski, manager Cyber Security Team w firmie doradczej PwC.
Najlepiej widać to w odniesieniu do wymogów prawnych. Inne przepisy regulują działalność w zakresie finansów, inne w energetyce, jeszcze inne w sektorze publicznym.
– Polityka bezpieczeństwa powinna przede wszystkim zaspokajać potrzeby konkretnej firmy, czyli uwzględniać charakter prowadzonej działalności – potwierdza Katarzyna Gorzkowska, prawnik w kancelarii APLaw.
Oznacza to, że regulacje wewnętrzne powinny się zmieniać w zależności od wielkości i charakteru działalności przedsiębiorstwa oraz instytucji. Jednym z istotnych czynników wpływających na ostateczny kształt polityki bezpieczeństwa są realia biznesowe każdego przedsiębiorstwa. One również muszą być uwzględnione w tworzeniu ram zarządzania bezpieczeństwem.
– Polityka bezpieczeństwa musi być elementem kierowania całą firmą. Ma stwarzać warunki do sprawnego prowadzenia biznesu, a nie je utrudniać – podkreśla Kamil Pszczółkowski.
Radzi, by zwracać na to szczególną uwagę, gdyż często wprowadzane w firmach zasady bezpieczeństwa mają tendencje do „zabijania” biznesu.
Audyt to podstawa
Fundamentem zapewniania bezpieczeństwa jest ocena ryzyka. Ma istotne znaczenie również dla weryfikacji obowiązujących zasad polityki bezpieczeństwa. Powinna być przeprowadzana tak, aby umożliwiać wykrywanie zagrożeń na bieżąco. Z praktyki wynika, że audyt należy przeprowadzać przynajmniej raz na rok. Jeżeli jednak są wprowadzane istotne zmiany w przedsiębiorstwie, np. technologiczne, organizacyjne lub biznesowe, częstotliwość oceny ryzyka trzeba dostosować do potrzeb wynikających z aktualnej sytuacji.
Na kształt polityki bezpieczeństwa wpływają również wnioski z audytu. Należy go przeprowadzać z uwzględnieniem wymagań dotyczących bezpieczeństwa obowiązujących w danej firmie.
– Potrzebna jest lista warunków, na podstawie której będzie prowadzony audyt. W odniesieniu do nich będzie oceniany poziom dojrzałości organizacji w zakresie bezpieczeństwa – tłumaczy Kamil Pszczółkowski.
Zwraca również uwagę, by zawsze uwzględniać kontekst wymagań. Na przykład RODO ma na celu ochronę danych osób fizycznych i nie jest nastawione na ochronę interesów firmy, która przetwarza dane osobowe. Mechanizmy zabezpieczeń w obu przypadkach mogą być takie same, ale cel jest inny.
Audyt zwiększa świadomość zagrożeń i konsekwencji podejmowanych decyzji. Pozwala na bardziej przemyślane zarządzanie ryzykiem. Wpływa również na skuteczniejsze, dostosowane do istniejących uwarunkowań zarządzanie środowiskiem informatycznym oraz funkcjonującymi w jego ramach rozwiązaniami. Zawsze jednak należy zacząć od inwentaryzacji.
– Trzeba wiedzieć, czym się dysponuje i przed czym chce się chronić, żeby móc wybrać optymalne rozwiązania dla danego przedsiębiorstwa lub instytucji – podkreśla Kamil Pszczółkowski.
Audyt, podobnie jak ocenę ryzyka, należy przeprowadzać okresowo, zazwyczaj nie rzadziej niż raz w roku. Jego wyniki powinny wpływać na kształt polityki bezpieczeństwa, a to oznacza m.in. konieczność aktualizowania stosowanych procedur i rozwiązań.
Trzeba jednak pamiętać, że audyt nie jest jedynym powodem aktualizowania polityki bezpieczeństwa. Należy brać pod uwagę wszelkie informacje otrzymywane z różnych źródeł, także od pracowników i partnerów biznesowych. Mogą bowiem wskazywać, na przykład, na luki w procedurach lub zabezpieczeniach systemów informatycznych.
Prawo musi być odzwierciedlone
Aktem prawnym, który obecnie ma niewątpliwie istotny wpływ na treść polityki bezpieczeństwa każdej firmy, jest RODO, czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Ale nie można pominąć innych znaczących regulacji. Podczas tworzenia polityki bezpieczeństwa należy uwzględnić również: ustawę o krajowym systemie bezpieczeństwa, dyrektywę płatniczą PSD2 oraz znajdujące się na etapie legislacji ustawę o odpowiedzialności podmiotów zbiorowych i unijne rozporządzenie e-Privacy.
– Wymienione akty nie wskazują wprost, jakiego rodzaju środki należy stosować dla osiągnięcia celu. RODO zobowiązuje administratora do zapewnienia bezpieczeństwa przetwarzania danych osobowych na poziomie odpowiadającym ryzyku, na które są narażone. Przyjęte środki mają zagwarantować poufność, integralność, dostępność i odporność systemów, także usług przetwarzania oraz szybkie przywrócenie dostępności danych osobowych w razie zaistnienia incydentu – tłumaczy Artur Piechocki.
Z kolei dyrektywa PSD2 (Payment Services Directive 2), opracowana głównie z myślą o sektorze finansów i bankowości, zobowiązuje do stworzenia szeregu procedur, m.in. dotyczących monitorowania incydentów, postępowania w przypadku ich wystąpienia oraz zgłaszania ataków.
W Polsce trwają prace nad ustawą o odpowiedzialności podmiotów zbiorowych, która określi zasady ponoszenia odpowiedzialności w przypadku, gdy czynu zabronionego dopuszczą się organy podmiotu zbiorowego albo pojedynczy pracownicy lub osoby upoważnione do działania w imieniu firmy lub instytucji.
– Do naruszeń prawa skutkującego odpowiedzialnością podmiotu zbiorowego można zakwalifikować nielegalne przetwarzanie danych osobowych. Wynika to z art. 107 ustawy z 10 maja 2018 r. o ochronie danych osobowych – mówi Katarzyna Gorzkowska.
Każda nowa regulacja powinna znaleźć odzwierciedlenie w polityce bezpieczeństwa. Jej przygotowanie i wdrożenie w pierwszej kolejności powinno mieć na celu zapewnienie przestrzegania prawa. Natomiast cel pośredni stanowi uniknięcie sankcji, np. kar administracyjnych nakładanych przez prezesa Urzędu Ochrony Danych Osobowych za złamanie przepisów.
Trzy pytania do…
dr inż. Agnieszki Gryszczyńskiej, z Katedry Prawa Informatycznego na Wydziale Prawa i Administracji Uniwersytetu Kardynała Stefana Wyszyńskiego
Co konkretnie powinna zawierać polityka bezpieczeństwa w firmie?
Powinna określać ogólne wymagania, zasady, procedury oraz instrukcje dotyczące ochrony informacji, czyli obejmować takie elementy jak: polityka informacyjna, zasady ochrony danych osobowych i tajemnicy przedsiębiorstwa lub innych tajemnic prawnie chronionych (w tym informacji niejawnych), polityka bezpieczeństwa systemów teleinformatycznych, zasady zapobiegania przestępstwom (m.in. cyberprzestępstwom), procedury postępowania w przypadku stwierdzenia incydentu lub wykrycia działania stanowiącego czyn zabroniony. Spójne z polityką bezpieczeństwa powinny być inne dokumenty, np. rejestr incydentów.
Jakie akty prawne – oprócz mocno ostatnio nagłośnionego RODO – należy uwzględnić w tworzeniu polityki bezpieczeństwa?
Z uwagi na to, że polityka bezpieczeństwa odnosi się do wszystkich możliwych rodzajów naruszenia bezpieczeństwa, a także scenariuszy postępowania w takich sytuacjach, powinna uwzględniać przepisy dotyczące działań związanych z incydentami. Trzeba pamiętać nie tylko o ochronie danych osobowych oraz postępowaniu w przypadku jej naruszenia ale też uwzględnić inne regulacje nakładające obowiązek zgłaszania incydentów i odpowiedniej reakcji w razie ich wystąpienia. Podmioty będące operatorami usług kluczowych lub dostawcami usług cyfrowych powinny uwzględnić przepisy ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Art. 10 ustawy nakłada na operatorów obowiązek opracowania, stosowania i aktualizacji dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Szczegółowe obowiązki firm świadczących usługi cyfrowe w zakresie bezpieczeństwa sieci i systemów informacyjnych określa rozporządzenie wykonawcze Komisji Europejskiej 2018/151. Wymogi dotyczące bezpieczeństwa i zgłaszania incydentów przez przedsiębiorców telekomunikacyjnych określa ustawa z 16 lipca 2004 r. – Prawo telekomunikacyjne, a obowiązki dostawców usług zaufania – rozporządzenie 910/2014 w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym.
Czy jakieś szczególne regulacje obowiązują w sektorze publicznym?
Podmioty publiczne dodatkowo powinny uwzględnić ustawę z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne oraz rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań wobec systemów teleinformatycznych.
Rośnie wiarygodność i zaufanie
Czy integratorzy mogą myśleć o zarobieniu pieniędzy w dziedzinie tworzenia i realizacji polityki bezpieczeństwa? Wiele wskazuje, że tak. Według tegorocznego raportu KPMG – „Barometr cyberbezpieczeństwa. W obronie przed atakami”, 70 proc. przedsiębiorstw w Polsce korzysta z outsourcingu w zakresie cyberochrony. Wśród trzech zadań najczęściej przekazywanych firmom zewnętrznym znajduje się tworzenie i realizacja programów podnoszenia wiedzy pracowników o bezpieczeństwie. Jednocześnie niewiele ponad połowa podmiotów biorących udział w badaniu (57 proc.) opracowała procedury reagowania bądź plany zarządzania kryzysowego na wypadek wystąpienia cyberataku. Natomiast 16 proc. firm nie jest w żaden sposób przygotowanych na cyberatak.
Liczby te pokazują skalę wyzwań, z jakimi przyjdzie się w najbliższym czasie zmierzyć polskim przedsiębiorstwom. Jednocześnie uzmysławiają, jak duży obszar jest jeszcze do zagospodarowania przez integratorów chcących się specjalizować w cyberbezpieczeństwie. Pole do działania otwiera się również w obszarze wspomagania firm w tworzeniu polityki bezpieczeństwa.
Polskie firmy nie są obecnie zainteresowane inwestowaniem w klasyfikację i kontrolę aktywów. Będą jednak musiały o tym pomyśleć, jeśli zechcą zbudować stabilny, skuteczny system ochrony. Rolą przedsiębiorców z branży IT może być uświadomienie im tego i pomoc w inwentaryzacji wykorzystywanego sprzętu i oprogramowania.
– Trzeba ustalić, które z posiadanych zasobów są istotne i co należy w pierwszej kolejności chronić. Dopiero wtedy można budować politykę bezpieczeństwa – zwraca uwagę Michał Kurek, partner i szef zespołu ds. cyberbezpieczeństwa w KPMG.
Zdaniem integratora
Rafał Rosłaniec, dyrektor wsparcia technicznego, ePrinus
Podczas wdrażania jakiegokolwiek rozwiązania polityka bezpieczeństwa jest nam, integratorom, niezbędna, szczególnie, gdy działamy w dużym przedsiębiorstwie. Reguluje zasady działalności całej firmy, postępowania pracowników oraz tzw. pracowników zewnętrznych, czyli kontraktorów. Musimy te wymagania uwzględniać podczas wdrożenia, a to stanowi zwykle spore wyzwanie. Z drugiej jednak strony eliminują „swobodną twórczość” firmy IT podczas realizacji projektu. Integratorzy uczą się na równi z klientem: procedur, współpracy, implementacji. Razem wypracowujemy najlepsze rozwiązanie dla klienta.
Przedsiębiorcy w naszym kraju zazwyczaj nie podchodzą do zapewniania bezpieczeństwa systemowo. Ich działania nakierowane są głównie na wdrażanie narzędzi i wprowadzanie rozwiązań zabezpieczających oraz służących zapewnieniu ciągłości działania firmy. Brakuje zainteresowania podnoszeniem poziomu dojrzałości procesowej w zakresie bezpieczeństwa, tworzenia odpowiednich procedur i reguł postępowania. To też jest szansa dla integratorów.
– Wsparcie techniczne jest ważne, jednak nawet najbardziej zaawansowane narzędzia i systemy mogą okazać się bezużyteczne, gdy zabraknie reguł ich efektywnego użycia w konkretnych sytuacjach. Potrzebni są także ludzie, którzy będą wiedzieli, co zrobić i jak się zachować – mówi Michał Kurek.
Z drugiej strony, integratorzy mogą poprawić swoją konkurencyjność, jeśli w firmie będą stosować własną politykę bezpieczeństwa. To podniesie ich wiarygodność w oczach potencjalnych klientów i zwiększy szanse na nowe kontrakty.
– Klient chce mieć pewność, że usługodawca lub dostawca rozwiązań informatycznych zagwarantuje taką samą ochronę danych, jaką ma sam, lub wyższą. Zadaniem integratora jest przekonanie klienta, że może na to liczyć. Posiadanie wewnętrznych regulacji w postaci polityki bezpieczeństwa bardzo to ułatwi. Świadczy bowiem o dojrzałości firmy w zakresie zarządzania ochroną – podkreśla Kamil Pszczółkowski.
W interesie integratora leży też wdrożenie w firmie standardu ISO 27001. Wtedy będzie mu łatwiej wykazać, że spełnia warunki bezpieczeństwa i występować w roli eksperta od ochrony lub przejąć funkcję centrum kompetencyjnego. Wówczas klient z większym zaufaniem powierzy mu opiekę nad tą częścią swojej działalności, tym bardziej gdy sam wdrożył ISO 27001.
Warto postarać się, by stosowane standardy bezpieczeństwa zaakceptowała niezależna jednostka certyfikacyjna. Taka weryfikacja zwiększa wiarygodność integratora w oczach klienta, podnosi zaufanie do jego wiedzy i umiejętności. Dowodzi, że integrator faktycznie realizuje standardy, których klient też przestrzega. To w konsekwencji może przełożyć się na większą konkurencyjność i lepsze perspektywy biznesowe. Dlatego firmy informatyczne powinny nie tylko zachęcać klientów do tworzenia i wprowadzania w życie zasad zarządzania bezpieczeństwem, ale także taką politykę opracowywać i realizować u siebie.
Między standardami
W zarządzaniu ochroną informacji w przedsiębiorstwie lub instytucji powszechnie stosowane jest ISO. Natomiast w kierowaniu eksploatacją systemów informatycznych sprawdza się ITIL. Standardy te się uzupełniają, czasami również odsyłają do siebie. Stosując je, trzeba jednak uważać na różnice terminologiczne. Te same określenia nie zawsze w obu standardach znaczą to samo.
Informacje pod ochroną prawa
W Polsce obowiązuje wiele różnorodnych przepisów zawierających wymagania w zakresie bezpieczeństwa korzystania z systemów teleinformatycznych oraz ochrony informacji, w tym zasady przechowywania, przetwarzania i dostępu do danych. Przedstawiamy najważniejsze.
Cyberbezpieczeństwo
Ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (obejmuje podmioty będące operatorami usług kluczowych lub dostawcami usług cyfrowych)
Ochrona danych osobowych
RODO, czyli unijne ogólne rozporządzenie o ochronie danych – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Ustawa z 10 maja 2018 r. o ochronie danych osobowych Ustawa z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zmienia 162 krajowe akty prawne pod kątem dostosowania do wymogów RODO)
Regulacje dziedzinowe
Działalność gospodarcza
Ustawa z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji
Finanse i księgowość
Ustawa z 29 września 1994 r. o rachunkowości
Ochrona informacji
Ustawa z 5 sierpnia 2010 r. o ochronie informacji niejawnych
Podatki
Ustawa z 29 sierpnia 1997 r. – Ordynacja podatkowa
Ubezpieczenie społeczne
Ustawa z 13 października 1998 r. o systemie ubezpieczeń społecznych
Ustawa z 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych
Usługi elektroniczne
Ustawa z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną
Unijne rozporządzenie Midas (Electronic Identification and Trust Services Regulation)
Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE
Unijna dyrektywa PSD2 (Payment Services Directive 2)
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego
Zatrudnienie
Ustawa z 26 czerwca 1974 r. – Kodeks pracy
Regulacje sektorowe i branżowe
Edukacja
Ustawa z 7 września 1991 r. o systemie oświaty
Ustawa z 14 grudnia 2016 r. – Prawo oświatowe
Rozporządzenie ministra edukacji narodowej z 25 sierpnia 2017 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji
Finanse
Ustawa z 29 sierpnia 1997 r. – Prawo bankowe
Ustawa z 19 sierpnia 2011 r. o usługach płatniczych
Ustawa z 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej
Opieka zdrowotna
Ustawa z 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty
Ustawa z 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych
Ustawa z 6 listopada 2008 r. o prawach pacjenta i rzeczniku praw pacjenta
Ustawa z 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia
Telekomunikacja
Ustawa z 16 lipca 2004 r. – Prawo telekomunikacyjne
Sektor publiczny
Ustawa z 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach
Ustawa z 29 stycznia 2004 r. – Prawo zamówień publicznych
Ustawa z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne
Rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych
W trakcie przygotowania
Ustawa o odpowiedzialności podmiotów zbiorowych
Unijne rozporządzenie e-Privacy
Podobne artykuły
Odporność priorytetem
Brak wdrożonych reguł polityki bezpieczeństwa zwiększa ryzyko narażenia firmy na zagrożenia. Jest to szczególnie ważne obecnie, gdy głównym celem działań w zakresie ochrony cyfrowych środowisk staje się budowanie ich odporności na najbardziej nawet nieprzewidywalne ataki.
Końca nie widać
Po konieczności szybkiego dostosowania systemów bezpieczeństwa do działalności firm w warunkach lockdownu przyszedł czas na weryfikację zastosowanych rozwiązań i uporządkowanie reguł działania. Często chaotycznie prowadzone w tym czasie projekty spowodowały, że wyzwań pod adresem polityki bezpieczeństwa nie jest mniej niż wcześniej.
Niekończące się wyzwanie
Nieustanna analiza ryzyka jest jednym z najważniejszych elementów gwarantujących skuteczność polityki bezpieczeństwa. Ma to szczególne znaczenie obecnie, gdy rozwiązania, które sprawdziły się przed pandemią, wymagają aktualizacji i dostosowania do nowych realiów.