ENERGETYKA, RYNEK ENERGII - CIRE.pl - energetyka zaczyna dzień od CIRE
Właścicielem portalu jest ARE S.A.
ARE S.A.

SZUKAJ:



PANEL LOGOWANIA

X
Portal CIRE.PL wykorzystuje mechanizm plików cookies. Jeśli nie chcesz, aby nasz serwer zapisywał na Twoim urządzeniu pliki cookies, zablokuj ich stosowanie w swojej przeglądarce. Szczegóły.


SPONSORZY
ASSECO
PGNiG
ENEA

Polska Spółka Gazownictwa
CMS

PGE
CEZ Polska
ENERGA





KOMENTARZE

Wspieramy rozwój. Dbamy o cyberbezpieczeństwo
06.08.2020r. 13:47

Dorota Bałachowska - Departament Certyfikacji i Oceny Zgodności UDT. Wiceprzewodnicząca Zespołu ds. Cyberbezpieczeństwa Urzędu Dozoru Technicznego
Misją Urzędu Dozoru Technicznego jest wspieranie rozwoju i dbanie o bezpieczeństwo.

Dotyczy to szczególnie wpływu stanu urządzeń technicznych w przemyśle i codziennym użytkowaniu na bezpieczeństwo społeczeństwa. Bezpieczeństwo zależy nie tylko od właściwego prowadzenia procesów i eliminacji narażenia ludzi na skutki zagrożeń, ale polega również na zapobieganiu atakom zewnętrznym, w tym cyberatakom, atakom terrorystycznym czy próbami kradzieży aktywów stanowiących własność organizacji. Zapewnienie bezpieczeństwa i ochrony obiektów to dwie współistniejące i wzajemnie uzupełniające się oraz wzmacniające się strategie ogólnego bezpieczeństwa (Markowski. 2017). Cyberataki to próba degradacji określonego systemu komputerowego stanowiącego element np. instalacji procesowej. Systemy komputerowe odpowiadają za poprawne działania systemów kontrolno-pomiarowych i systemów bezpieczeństwa, zatem niezbędna jest ich niezakłócona i poprawna praca. Cyberataki mogą spowolnić działanie komputerów, wpłynąć na szybkość sieci i w najgorszym przypadku wpłynąć na lub wręcz zatrzymać cały proces.

Systemy bezpieczeństwa instalacji procesowych są nieustannie rozwijane i rozszerzane o specyficzne systemy zabezpieczeń i ochrony dedykowanych do nowych, nasilających się w ostatnich latach zagrożeń zewnętrznych, tj. zagrożeń terrorystycznych i cyberataków (Markowski, 2017). Systemy komputerowe stosowane w organizacji powinny być zintegrowane w obszarze security oraz safety. Wyróżnia się dwa rodzaje systemów komputerowych z uwzględnieniem wymienionych obszarów, łj. systemy komputerowe odpowiedzialne za przetwarzanie, przechowywanie i przesyłanie informacji oraz systemy komputerowe odpowiedzialne za sterowanie, które reagują na zdarzenia zachodzące w ich środowisku poprzez wysyłanie do nich informacji sterującej.

Przy budowaniu programu cyberbezpieczeństwa w organizacji należy uwzględnić integralność obu systemów. Zapewnianie bezpieczeństwa to działania Urzędu Dozoru Technicznego, które jako organizacja zaufania publicznego realizujemy od ponad 100 lat.



Niestety ataku nie da się w żaden sposób uniknąć. Pytanie "czy?" staje się nieaktualne, wyparte przez pytanie "kiedy?". Zabezpieczenia o charakterze prewencyjnym są najważniejsze, ale niestety niewystarczające. Dawniej celem ataków były przede wszystkim banki, obecnie istnieje wiele różnych celów. Każde połączenie z Internetem to okazja dla hakerów. Celem może być wszystko, ponieważ korzystanie z Internetu wiąże się z udostępnianiem
informacji stanowiących cenne aktywa. Urządzenie wpięte do sieci, zwykle zabezpieczone hasłem, w momencie przejęcia przez atakującego może blokować lub uniemożliwiać działanie innych sieci. Możliwości prowadzenia cyberataków są nieograniczone. Postęp techniczny jest tak szybki, że otaczający świat z trudem radzi sobie z cyberzagrożeniami. Konieczne są inwestycje w procesy związane z detekcją i reakcją, tak by w porę wykryć intruza i zminimalizować straty związane z nieuniknionym cyberatakiem.

Czym zatem jest i co powinno obejmować szeroko rozumiane cyberbezpieczeństwo?

Ustawa o Krajowym Systemie Cyberbezpieczeństwa (UoKSC) definiuje cyberbezpieczeństwo jako odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. Natomiast bezpieczeństwo informacji to zachowanie poufności, integralności i dostępności informacji (ISO/IEC 27000).

Aby chronić informacje, każda z organizacji powinna wdrożyć program cyberbezpieczeństwa. Jest to narzędzie pozwalające realizować cele zawarte w strategii cyberbezpieczeństwa organizacji, obejmuje projekty i innego typu działania mające na celu zapewnienie bezpieczeństwa informacji.

Audyt cyberbezpieczeństwa jest to systematyczny, niezależny i udokumentowany proces uzyskiwania dowodu z audytu oraz jego obiektywnej oceny w celu określenia stopnia spełnienia kryteriów audytu (ISO/IEC 27000) zawartych w strukturze ramowej UDTCyber.

UoKSC doprecyzowuje powyższą definicję w odniesieniu do operatorów usług kluczowych. Audyt cyberbezpieczeństwa operatora usługi kluczowej - systematyczny, niezależny i udokumentowany proces uzyskiwania dowodu z audytu oraz jego obiektywnej oceny w celu określenia stopnia spełnienia obowiązku prawnego wynikającego z ustawy o krajowym systemie cyberbezpieczeństwa.

Aktywa informacyjne charakteryzują się dużym wolumenem, intensywnym przyrostem w czasie oraz różnorodnością formatów danych, wymagają adekwatnych metod składowania, przetwarzania i analizowania w celu osiągnięcia określonych celów - ekonomicznych, społecznych, politycznych itp. (Surma, 2017). Skoro aktywa informacyjne wymagają odpowiedniego składowania, przetwarzania i analizowania, to jest to niezbędne na każdym z tych etapów ochrony i tym między innymi zajmuje się szeroko rozumiane cyberbezpieczeństwo - ochroną aktywów informacyjnych.

Framework UDTCyber

Urząd Dozoru Technicznego na potrzeby przeprowadzania audytu organizacji w obszarze cyberbezpieczeństwa opracował innowacyjną metodykę Framework UDTCyber.

Jest ona oparta na wymaganiach zawartych w PN-EN ISO/IEC 27001. NIST Cybersecurity Framework, PN-EN ISO 22301. PN-ISO/IEC 27002 oraz na wymaganiach Ustawy o Krajowym Systemie Cyberbezpieczeństwa. Opracowana metodyka to struktura ramowa systemu oceny stanowiąca jednocześnie podstawę do budowania programu cyberbezpieczeństwa w organizacji. Konieczność stworzenia niniejszej metodyki i opracowania na jej podstawie systemu oceny stosowanego podczas audytu cyberbezpieczeństwa wynikała z potrzeby zdobycia wiedzy, jak dobrze zbudować oraz ocenić wdrożony program cyberbezpieczeństwa.





Celem metodyki oceny Framework UDTCyber było opracowanie struktury ramowej systemu zarządzania, która zapewnia odpowiedni poziom ochrony aktywów informacyjnych w organizacji przy jednoczesnym zachowaniu równowagi pomiędzy dążeniem do redukcji kosztów a dostarczeniem oczekiwanej wartości przy uwzględnieniu zdefiniowanych ryzyk.

Metodyka Framework UDTCyber zbudowana jest w systemie [7/7], Podział uwzględnia 7 modułów oraz 7 zdefiniowanych obszarów stanowiących zakres
oceny. Framework UDTCyber łatwo dostosować do potrzeb każdej organizacji oraz do potrzeb operatorów usług kluczowych.

Dokument został opublikowany na stronie internetowej www.udt.gov.pl.

Wymagania prawne

Dyrektywa NIS 2016/1148/UE- dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium UE. Celem nadrzędnym jest osiągnięcie wspólnego wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych i poprawa funkcjonowania rynku wewnętrznego na terenie UE.

Dyrektywa NIS ustanawia obowiązki dla wszystkich państw członkowskich, dotyczące:
  • przyjęcia krajowych strategii w zakresie bezpieczeństwa sieci i systemów informatycznych,
  • powołania Operatorów usług kluczowych i Dostawców usług cyfrowych oraz ustanowienia dla nich wymogów dotyczących bezpieczeństwa i zgłaszania incydentów (zdarzeń zagrażających cyberbezpieczeństwu) do właściwego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego (ang. Computer Security Incident Response Team. CSIRT),
  • wyznaczenia takich samych podmiotów we wszystkich państwach członkowskich, tworzących krajowe systemy cyberbezpieczeństwa. tj. zespołów CSIRT (w Polsce powołano trzy zespoły: CSIRT MON, CSIRT ABW, CSIRT NASK). organów właściwych (monitorujących stosowanie przepisów ustawy oraz pełniących nadzór nad Operatorami usług kluczowych i Dostawcami usług cyfrowych) oraz Pojedynczego Punktu Kontaktowego.
Dyrektywa definiuje m.in dwa podmioty:
    Operatorzy usług kluczowych (Załącznik II dyr. NIS) Operatorów usług kluczowych identyfikują Państwa członkowskie (art 5 dyr. NIS)
  • Dostawcy usług cyfrowych (internetowe platformy handlowe, wyszukiwarki internetowe, usługi przetwarzania danych w chmurze - Załącznik III dyr. NIS)
Państwa członkowskie UE zostały zobowiązane do transpozycji przepisów dyrektywy NIS do krajowych porządków prawnych. Ustawa o Krajowym Systemie Cyberbezpieczeństwa (Dz.U. 2018 poz. 1560) została uchwalona przez Sejm RP 5 lipca 2018 r.. obowiązuje od dnia 28 sierpnia 2018 r. Ustawa oraz towarzyszące jej rozporządzenia wykonawcze w pełni wdrażają do polskiego porządku prawnego tzw. dyrektywę NIS. W skład Krajowego Systemu Cyberbezpieczeństwa wchodzą m.in. instytucje administracji rządowej i samorządowej oraz najwięksi przedsiębiorcy z kluczowych sektorów gospodarki. W ustawie mowa jest zatem o: operatorach usług kluczowych (OUK). czyli m.in. największe banki, firmy z sektora energetycznego, przewoźnicy lotniczy i kolejowi, armatorzy, szpitale: dostawcach usług kluczowych (DUC), czyli m.in. internetowych platformach handlowych: organach właściwych (OW), czyli instytucjach publicznych, w których kompetencjach znajdzie się nadzór nad danym istotnym sektorem dla gospodarki.



Akty wykonawcze

Aktami wykonawczymi do ustawy o Krajowym Systemie Cyberbezpieczeństwa są następujące rozporządzenia:

1) rozporządzenie Ministra Cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących
usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo, obowiązujące od 7 stycznia 2020 r.

2) rozporządzenie Rady Ministrów z dnia 31 października 2018 r. w sprawie progów uznania incydentu za poważny, obowiązujący od 22 listopada 2011 r.

3) rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, obowiązujące od 31 października 2018 r.

4) rozporządzenie Ministra Cyfryzacji z dnia 12 października 2018r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu, obowiązujące od 19 października 2018 r.

5) rozporządzenie Rady Ministrów z dnia 2 października 2018 r. w sprawie zakresu działania oraz trybu pracy Kolegium do Spraw Cyberbezpieczeństwa,
obowiązujące od 13 października 2018 r.

6) rozporządzenie Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych, obowiązujące od 22 września 2018 r.

Obowiązki Operatorów Usług Kluczowych

Ustawa o KSC nakłada na operatorów usług kluczowych następujące obowiązki:

Od momentu otrzymania od organu właściwego decyzji administracyjnej dany podmiot uznany za operatora usługi kluczowej jest zobowiązany do:
  • w ciągu 3 miesięcy od otrzymania decyzji od organu właściwego operator: dokonuje szacowania ryzyka dla swoich usług kluczowych, zarządza
    incydentami, wyznacza osobę kontaktową z właściwym CSIRT i Pojedynczym Punktem Kontaktowym (PPK) przy Ministerstwie Cyfryzacji (MC), prowadzi działania edukacyjne wobec użytkowników, obsługuje incydenty we własnych systemach, zgłasza incydenty poważne, usuwa wskazywane podatności:
  • w ciągu 6 miesięcy od otrzymania decyzji: wdraża odpowiednie i adekwatne do oszacowanego ryzyka środki techniczne i organizacyjne, zbiera informacje o zagrożeniach i podatnościach. stosuje środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego, stosuje wymaganą dokumentację:
  • w ciągu 12 miesięcy od otrzymania decyzji: przygotowuje pierwszy audyt w rozumieniu ustawy, przekazuje sprawozdanie z audytu wskazanym w ustawie podmiotom.
Operator usługi kluczowej ma obowiązek zapewnić przeprowadzenie co najmniej raz na dwa lata audytu bezpieczeństwa systemu informacyjnego, wykorzystywanego do świadczenia usługi kluczowej, zwanego dalej "audytem". Pierwszy audyt powinien być przeprowadzony w ciągu 1 roku od momentu powołania na Operatora Usługi Kluczowej (art. 15.1. UoKSC)

(958x421)

Urząd Dozoru Technicznego przeprowadza audyty cyberbezpieczeństwa (audyt trzeciej strony) według ustalonych kryteriów i obszarów zdefiniowanych w ramach Framework UDTCyber. Urząd jest jednostką akredytowaną w ramach normy PN-EN ISO/IEC 27001. Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania oraz zatrudnia wykwalifikowanych audytorów posiadających odpowiednie kompetencje. Zespół audytorów UDT dysponuje zarazem możliwościami technicznymi do przeprowadzania audytów cyberbezpieczeństwa i niezbędną wiedzą w wymaganym obszarze.



Audyt może być przeprowadzony w zakresie właściwym do podejmowanych ocen bezpieczeństwa systemów informacyjnych, a więc np. audyt systemu zarządzania bezpieczeństwem informacji (27001) i zarządzania ciągłością działania (22301).

Audyt jest szczególnym rodzajem oceny wykonywanym przez stronę niezależną. Niezależność musi być zachowana w stosunku do:
  • organizacji/ zespołu projektowego lub np. budującego system zabezpieczeń;
  • dostawców sprzętu i oprogramowania;
  • organizacji podlegającej przeglądowi (w takim sensie, że w skład zespołu audytowego nie mogą wchodzić pracownicy organizacji zlecającej audyt).
Jeżeli nie jest dotrzymany któryś z ww. punktów, to można mówić tylko o "przeglądzie według listy audytowej", a nie o audycie (Liderman, 2017).

Zakres usług w obszarze cyberbezpieczeństwa

Urząd Dozoru Technicznego w obszarze cyberbezpieczeństwa oferuje usługi skierowane do wszystkich organizacji, które korzystają z systemów teleinformatycznych i/lub przetwarzają dane osobowe, a w szczególności do operatorów usług kluczowych.

1) Audyt cyberbezpieczeństwa
w myśl Ustawy o Krajowym Systemie Cyberbezpieczeństwa z dnia 5 lipca 2018 r. (Dz.U. 2018 poz. 1560)

2) Certyfikacja:
  • Systemów zarządzania bezpieczeństwem informacji - PN-EN ISO/IEC 27001
  • Systemów zarządzania ciągłością działania - PN-EN ISO 22301
  • Systemów zarządzania bezpieczeństwem funkcjonalnym (ang. Functional Safety Management - FSM) - PN-EN 6150a PN-EN 61511
3) Szkolenia

Oferujemy szkolenia związane z audytem, certyfikacją oraz analizą zagrożeń w obszarze cyberbezpieczeństwa. Szkolenia kierowane są zarówno do kadry zarządzającej, specjalistów odpowiedzialnych za cyberbezpieczeństwo, jak i pozostałych pracowników w organizacji.

U podstaw problemów z bezpieczeństwem leży brak wiedzy w zakresie cyberzagrożeń. Programy podnoszenia świadomości i wiedzy w zakresie bezpieczeństwa są najlepszym sposobem na wzrost odporności organizacji na cyberataki.

Z doświadczeń Urzędu Dozoru Technicznego w tym obszarze wynika, że człowiek jest najsłabszym ogniwem, a niezadowolony czy nieświadomy pracownik to główne źródło zagrożenia. Dlatego też należy dbać o rozwój kompetencji pracowników, ponieważ inwestycje w tym obszarze w największym stopniu wpływają na poprawę bezpieczeństwa, dobrzy specjaliści w zakresie cyberbezpieczeństwa oraz świadomi cyberzagrożeń pracownicy biznesowi to podstawa. Szeroko pojęte bezpieczeństwo w obszarze safety, security, bezpieczeństwa informacji czy cyberbezpieczeństwa to proces, który musi być stale doskonalony, by przebiegał skutecznie.

Krajowy System Cyberbezpieczeństwa nie może rozwijać się bez aktywnego zaangażowania Urzędu Dozoru Technicznego. Urząd posiada wykwalifikowaną kadrę, potencjał i możliwości realizacji zadań z obszaru cyberbezpieczeństwa. Przygotowany Framework UDTCyber stanowi podstawę do wdrożenia strategii cyberbezpieczeństwa, która wraz z odpowiednimi mechanizmami współpracy z operatorami usług kluczowych wspiera rozwój obszaru cyberbezpieczeństwa. Jest to zadanie dla UDT, które urząd realizuje zgodnie z obowiązująca wizją: Lider innowacyjności w obszarze bezpieczeństwa publicznego, w tym również w obszarze cyberbezpieczeństwa. Poczucie misji i sensu wspierania cyberbezpieczeństwa czyni otaczający nas świat bezpieczniejszym.

Źródła:

1) Bezpieczeństwo informacyjne. Nowe wyzwania. Krzysztof Liderman. Warszawa 2017

2) Cyfryzacja życia w erze Big Data. Człowiek. Biznes. Państwo. Jerzy Surma. Warszawa 2017

3) Bezpieczeństwo procesów przemysłowych. Adam S. Markowski. Łódź 2017

4) PN-EN ISO/IEC 27001:2017-06 - Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem
informacji - Wymagania

5) www.gov.pl
Urząd Dozoru Technicznego

Dodaj nowy Komentarze ( 0 )

DODAJ KOMENTARZ
Redakcja portalu CIRE informuje, że publikowane komentarze są prywatnymi opiniami użytkowników portalu CIRE. Redakcja portalu CIRE nie ponosi odpowiedzialności za ich treść.

Przesłanie komentarza oznacza akceptację Regulaminu umieszczania komentarzy do informacji i materiałów publikowanych w portalu CIRE.PL
Ewentualne opóźnienie w pojawianiu się wpisanych komentarzy wynika z technicznych uwarunkowań funkcjonowania portalu. szczegóły...

Podpis:


Poinformuj mnie o nowych komentarzach w tym temacie


PARTNERZY
PGNiG TERMIKA
systemy informatyczne
Clyde Bergemann Polska
PAK SERWIS Sp. z o.o.
ALMiG
GAZ STORAGE POLAND
GAZ-SYSTEM S.A.
Veolia
PKN Orlen SA
TGE
Savangard
Audax
Tauron
Tauron
DISE
BiznesAlert
Obserwatorium Rynku Paliw Alternatywnych ORPA.PL
Energy Market Observer
Gazterm
Innsoft



cire
©2002-2020
mobilne cire
IT BCE