To Feel Safe!
To Feel Safe!

Procedury bezpieczeństwa dla Telekomunikacji

30.07.2020 10:17 przez Andrzej Fudala

Przedsiębiorcy telekomunikacyjni są obowiązani podjąć działania w celu zapewnienia bezpieczeństwa i integralności sieci, usług oraz przekazu komunikatów w związku ze świadczonymi usługami. Obowiązki z tego zakresu określone zostały w Dziale VIIa ustawy z dnia 26 lipca 2004 r. Prawo telekomunikacyjne oraz w ustawie z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.

W dniu 29 czerwca 2020 r. opublikowane zostało rozporządzenie Ministra Cyfryzacji z dnia 22 czerwca 2020 r. w sprawie minimalnych środków technicznych i organizacyjnych oraz metod, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług (Dz. U. poz. 1130)

Rozporządzenie to określa minimalne środki techniczne i organizacyjne oraz metody zapobiegania zagrożeniom naruszenia bezpieczeństwa lub integralności sieci lub usług, które mogą mieć istotny wpływ na funkcjonowanie sieci lub usług.

W myśl wyżej przytoczonych przepisów przedsiębiorca telekomunikacyjny w ramach realizacji tych obowiązków:

  1. opracowuje i aktualizuje wykaz elementów infrastruktury telekomunikacyjnej i systemów informatycznych, których naruszenie bezpieczeństwa lub integralności będzie miało istotny wpływ na funkcjonowanie sieci lub usług o znaczeniu kluczowym dla funkcjonowania przedsiębiorcy;
  2. identyfikuje zagrożenia bezpieczeństwa lub integralności sieci lub usług;
  3. ocenia prawdopodobieństwo wystąpienia oddziaływania zagrożeń na bezpieczeństwo lub integralność sieci lub usług;
  4. zapewnia i stosuje środki minimalizujące skutki wystąpienia oddziaływań zagrożeń na bezpieczeństwo lub integralność sieci lub usług;
  5. stosuje, wynikające z oceny prawdopodobieństwa wystąpienia oddziaływania zagrożeń, środki zabezpieczające dla poszczególnych kategorii danych;
  6. ustanawia zasady i procedury dostępu do kluczowej infrastruktury i przetwarzanych danych, obejmujące przypisanie odpowiedzialności za kluczową infrastrukturę w zakresie odpowiednim do realizowanych zadań;
  7. zabezpiecza dostęp do kluczowej infrastruktury, monitoruje ten dostęp i wskazuje środki reagowania na nieuprawniony dostęp lub próbę takiego dostępu;
  8. ustanawia zasady bezpiecznego zdalnego przetwarzania danych;
  9. zapewnia monitorowanie i dokumentowanie funkcjonowania sieci i usług telekomunikacyjnych mające na celu wykrycie naruszenia bezpieczeństwa lub integralności sieci lub usług,
  10. ustala wewnętrzne procedury zgłaszania Prezesowi UKE naruszeń bezpieczeństwa lub integralności sieci lub usług oraz umożliwia użytkownikom końcowym dokonywanie zgłoszeń wszelkich naruszeń bezpieczeństwa lub integralności sieci lub usług;
  11. zawierając umowy mające istotny wpływ na funkcjonowanie sieci lub usług, identyfikuje zagrożenia dla bezpieczeństwa tych sieci lub usług, związane z zawieranymi umowami;
  12. przeprowadza ocenę bezpieczeństwa sieci i usług telekomunikacyjnych:
    1. co najmniej raz na dwa lata,
    2. po każdym:
      • stwierdzonym naruszeniu bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych o istotnym wpływie na funkcjonowanie sieci lub usług, w zakresie objętym naruszeniem, oraz
      • wykryciu podatności zwiększającej poziom ryzyka wystąpienia naruszenia bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych o istotnym wpływie na funkcjonowanie sieci lub usług, w zakresie objętym wykrytą podatnością.
    3. opracowuje i aktualizuje dokumentację dotyczącą bezpieczeństwa i integralności sieci i usług zawierającą opis środków, o których mowa wyżej.

    Czas na opracowanie i wdrożenie tej dokumentacji upływa z szóstym miesiącem licząc od dnia ogłoszenia rozporządzenia to znaczy z dniem 28 grudnia 2020 r. 

    Pragniemy jednocześnie przypomnieć, że niezależnie od wyżej wspomnianego rozporządzenia na przedsiębiorcy telekomunikacyjnym spoczywają obowiązki dotyczące zapewnienia integralności sieci lub usług opisane w dziale VIIa ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne.

    Obowiązki przedsiębiorcy wykonującego działalność w cyberprzestrzeni inną niż telekomunikacyjną.

    Bardzo często zdarza się, że przedsiębiorca telekomunikacyjny prowadzi nie tylko działalność telekomunikacyjną ale również działalność „w przestrzeni cyfrowej”, np. usługi serwerów DNS, hostingowe, usługi świadczone drogą elektroniczną, itp.

    W myśl przepisów ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa przedsiębiorca może być uznany jako operator usługi kluczowej lub dostawca usługi cyfrowej w zależności od charakteru prowadzonej działalności.

    Operator usługi kluczowej

    Operatorem usługi kluczowej jest podmiot, prowadzący jedną z działalności opisanej poniżej, wobec którego minister właściwy do spraw informatyzacji wydał decyzję o uznaniu za operatora usługi kluczowej.

    Wykaz podmiotów, które mogą być uznane jako operatorzy usług kluczowych.

    1. Podmiot, który świadczy usługi DNS, polegające na prowadzeniu autorytatywnego serwera DNS dla co najmniej 100 tys. nazw domen.
    2. Podmiot prowadzący punkt wymiany ruchu internetowego (IXP), stanowiącego obiekt sieciowy, który umożliwia podłączenie co najmniej 100 systemów autonomicznych, licząc średniorocznie, biorąc pod uwagę średnią z ostatnich 3 lat.
    3. Podmiot zarządzający rejestracją internetowych nazw domen w ramach domeny najwyższego poziomu (TLD), który prowadzi przynajmniej jeden rejestr domeny najwyższego poziomu (TLD) dla co najmniej 100 tys. abonentów.

    Dostawca usługi cyfrowej

    Dostawcą usługi cyfrowej jest podmiot, z wyłączeniem mikro i małego przedsiębiorcy, który świadczy jedną z niżej wymienionych usług cyfrowych:

    1. Internetowa platforma handlowa. Usługa, która umożliwia konsumentom lub przedsiębiorcom zawieranie umów drogą elektroniczną z przedsiębiorcami na stronie internetowej platformy handlowej albo na stronie internetowej przedsiębiorcy, który korzysta z usług świadczonych przez internetową platformę handlową.
    2. Usługa przetwarzania w chmurze, która umożliwia dostęp do skalowalnego i elastycznego zbioru zasobów obliczeniowych do wspólnego wykorzystywania przez wielu użytkowników.
    3. Wyszukiwarka internetowa, usługa, która umożliwia użytkownikom wyszukiwanie wszystkich stron internetowych lub stron internetowych w danym języku za pomocą zapytania przez podanie słowa kluczowego, wyrażenia lub innego elementu, przedstawiającą w wyniku odnośniki, odnoszące się do informacji związanych z zapytaniem.

    W tym przypadku nie jest wymagana decyzja organu administracji publicznej. Podmiot po spełnieniu wymagań określonych w przepisach staje się z mocy ustawy dostawcą usług cyfrowych i powinien wykonywać obowiązki określone w ustawie  z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.

    Jakie konsekwencje niewdrożenia ?

    Warto mieć na względzie, że niedopełnienie obowiązków wynikających z przepisów ustawy Prawo telekomunikacyjne lub przepisów o krajowym systemie cyberbezpieczeństwa może skutkować nałożeniem na przedsiębiorcę kar finansowych.

    Andrzej Fudala

    Ekspert ds. Telekomunikacji SayF

    Kategorie :
    Tagi :