Praktyczne wdrożenie wymogów ustawy o krajowym systemie cyberbezpieczeństwa (cyberustawy), uwzględniające funkcjonujące procesy bezpieczeństwa w instytucji finansowej
Ustawa o krajowym systemie cyberbezpieczeństwa adresuje zadania oraz obowiązki, które muszą zostać podjęte w celu organizacji krajowego systemu cyberbezpieczeństwa. Zgodnie z jej założeniami w skład tego systemu wchodzić mają m.in. podmioty z sektora bankowości i infrastruktury rynków finansowych uznane za tzw. operatorów usług kluczowych („OUK”). Decyzję administracyjną w tym zakresie wydaje organ właściwy do spraw cyberbezpieczeństwa. W przypadku sektora bankowości i infrastruktury rynków finansowych jest nim Komisja Nadzoru Finansowego. Od momentu otrzymania decyzji o uznaniu danego podmiotu za operatora usług kluczowych, jest on zobowiązany do spełnienia określonych wymagań w terminie od 3 do 12 miesięcy.
3 MIESIĄCE
W ciągu 3 miesięcy OUK mają powołać wewnętrzne struktury lub podpisać umowy ze specjalistycznym podmiotem zewnętrznym, który świadczy usługi w zakresie cyberbezpieczeństwa oraz wyznaczyć osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.
Kluczowym aspektem efektywnego wdrożenia wymogów ustawy jest – podobnie jak w przypadku RODO – wdrożenie systemu szacowania ryzyka wystąpienia incydentu oraz zarządzania ryzykiem (gdzie incydent należy rozumieć jako zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo). Przy ustanawianiu procesu zarządzania ryzykiem warto wziąć pod uwagę zasady i wytyczne określone w ISO 31000 (Zarządzanie ryzykiem), ISO 27005 (Zarządzanie ryzykiem w bezpieczeństwie informacji) oraz funkcjonujące już procesy i procedury w nadzorowanych przez KNF instytucjach finansowych, które wdrożyły Rekomendację D / Wytyczne IT. W szczególności jest to system zarządzania bezpieczeństwem środowiska teleinformatycznego wynikający z Rekomendacji / Wytycznej nr 18, obejmujący działania związane z identyfikacją, szacowaniem, kontrolą, przeciwdziałaniem, monitorowaniem i raportowaniem ryzyka.
Podobnie jak w przypadku RODO, podmioty muszą ustanowić i wdrożyć proces oraz narzędzia IT umożliwiające wykrywanie, zarządzanie i zgłaszanie incydentów, w zależności od ich klasyfikacji, do odpowiednich organów. Przy wdrażaniu wymogów cyberustawy warto wziąć pod uwagę funkcjonujące w instytucji finansowej zasady zarządzania incydentami bezpieczeństwa, wynikające z Rekomendacji / Wytycznej nr 20, obejmujące identyfikację, rejestrowanie, analizę, priorytetyzację, wyszukiwanie powiązań, podejmowanie działań naprawczych i usuwanie przyczyn incydentów oraz wymogi artykułu 33 RODO, dotyczącego zasad zgłaszania incydentów organowi nadzorczemu.
Następnym obowiązkiem jest zapewnienie użytkownikowi usługi kluczowej dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami. W ramach Rekomendacji / Wytycznej nr 16 organizacja powinna edukować klientów w zakresie zasad bezpiecznego korzystania z elektronicznych kanałów dostępu, poprzez zapewnienie odpowiedniego poziomu wiedzy pozwalającej na zrozumienie zagrożeń związanych z nieodpowiednim zabezpieczeniem danych i urządzeń. Dotychczasowe praktyki w tym zakresie można rozszerzyć o obszar cyberbezpieczeństwa. Edukacja użytkownika usługi kluczowej może być realizowana np. w formie informacji zamieszczonych na stronach www, poprzez ulotki informacyjne i przesyłanie dedykowanych wiadomości e-mail.
6 MIESIĘCY
OUK mają sześć miesięcy na wdrożenie adekwatnych zabezpieczeń do oszacowanego ryzyka wystąpienia incydentu. Oprócz zabezpieczeń technicznych i fizycznych OUK muszą opracować i wdrożyć niezbędną dokumentację, w szczególności dotyczącą Systemu Zarządzania Bezpieczeństwem Informacji, Systemu Zarządzania Ciągłością Działania usługi kluczowej, ochrony infrastruktury oraz dokumentację techniczną systemu informacyjnego wykorzystywanego do świadczenia kluczowej usługi oraz innych zagadnień wynikających ze specyfiki świadczonej usługi kluczowej.
12 MIESIĘCY
W terminie do roku od uznania podmiotu za operatora usług kluczowych należy przeprowadzić audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Następne audyty powinny być przeprowadzane co najmniej raz na 2 lata.
Wymagania stawiane operatorom usług kluczowych są w wielu obszarach zbieżne z wymaganiami wynikającymi z RODO oraz z Rekomendacji D / Wytycznych IT, jak chociażby podejście do zabezpieczeń w oparciu o szacowanie ryzyka czy konieczność zarządzania incydentami i ich zgłaszania. Istotne jest, aby patrzeć na te obszary kompleksowo i maksymalnie wykorzystywać procedury i procesy, które już w organizacji obowiązują. Niezbędne jest również korzystanie z wielu norm i standardów, w szczególności ISO 31000, ISO 22301 oraz z grupy ISO 27000.