Artykuł pochodzi z wydania: Styczeń 2021
W celu zebrania pełnej wiedzy na temat systemu zabezpieczeń funkcjonującego w danej organizacji potrzebne są działania analityczne i testujące jakość posiadanego oprogramowania. Efektem może być agregacja wszystkich aktualnych informacji w jednym miejscu, a także powiązanie ich z panującym ruchem sieciowym.
Projekt zmian w ustawie o krajowym systemie cyberbezpieczeństwa przewiduje duże modyfikacje w obowiązkach operatorów usług kluczowych. Innowacje te mają dotyczyć realizacji zadań podmiotu. Przepis art. 14 ustawy w brzmieniu sprzed zmiany nakazywał operatorowi usługi kluczowej w celu realizacji zadań, o których mowa w art. 8, art. 9, art. 10 ust. 1–3, art. 11 ust. 1–3, art. 12 i art. 13, powołanie wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo lub zawarcie umowy z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa. Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa, ustawy Prawo telekomunikacyjne oraz ustawy Ordynacja podatkowa wprowadza do krajowego systemu cyberbezpieczeństwa w miejsce wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo oraz podmiotów świadczących usługi z zakresu cyberbezpieczeństwa znaną w świecie cyberbezpieczeństwa konstrukcję SOC (operacyjnego centrum bezpieczeństwa), definiując ją oraz wskazując na zadania i rolę SOC w systemie cyberbezpieczeństwa RP.
> Rewolucja w przepisach
Jak stanowi projektowany art. 2 punkt 3d ustawy o krajowym systemie cyberbezpieczeństwa, SOC to niezbędny zespół, który pełni funkcję operacyjnego centrum bezpieczeństwa w danym podmiocie. Z samej definicji wynika, że SOC nie może być jednoosobowy – regulacja posługuje się bowiem określeniem „zespół”, w którego skład w praktyce wchodzić mogą operatorzy bezpieczeństwa, analitycy bezpieczeństwa, badacze bezpieczeństwa, menedżerowie bezpieczeństwa, osoby odpowiedzialne za reagowanie na incydenty, za działania z zakresu informatyki śledczej oraz za prowadzenie audytów zgodności.
Doprecyzowanie definicji SOC zawiera projektowany art. 14 ust. 2 ustawy o krajowym systemie cyberbezpieczeństwa, który stanowi, że operator usługi kluczowej powołuje SOC wewnątrz swojej struktury lub zawiera umowę dotyczącą prowadzenia SOC na jego zlecenie z innym podmiotem. SOC powołany przez operatora usługi kluczowej może realizować zadania, o których mowa w art. 14 ust. 1 ustawy o krajowym systemie cyberbezpieczeństwa, także na rzecz innych podmiotów. Projektodawca pozostawia więc możliwość przewidzianą w poprzednim brzmieniu art. 14 ustawy o krajowym systemie cyberbezpieczeństwa, który także dopuszczał możliwość wykonywania zadań operatora usług kluczowych w ramach zasobów wewnętrznych (wewnętrzne struktury odpowiedzialne za cyberbezpieczeństwo) lub zewnętrznych (podmioty świadczące usługi z zakresu cyberbezpieczeństwa). W przypadku zawarcia umowy dotyczącej prowadzenia SOC operator usługi kluczowej na podstawie projektowanego art. 14 ust. 4 ustawy o krajowym systemie cyberbezpieczeństwa informuje, w terminie 14 dni od dnia zawarcia lub rozwiązania umowy, organ właściwy do spraw cyberbezpieczeństwa określony w art. 41 ustawy o krajowym systemie cyberbezpieczeństwa o:
- zawarciu takiej umowy,
- danych kontaktowych podmiotu z którym zawarta została umowa,
- zakresie świadczonej usługi,
- terminie obowiązywania umowy,
- rozwiązaniu umowy.
Projekt nie wprowadza z kolei żadnych zmian w zakresie zadań SOC w porównaniu do wewnętrznych struktur odpowiedzialnych za cyberbezpieczeństwo oraz podmiotów świadczących usługi z zakresu cyberbezpieczeństwa. W praktyce bardzo często rozumie się kompetencje SOC jako polegające na wykrywaniu incydentów oraz reagowaniu na nie w czasie rzeczywistym oraz monitorowaniu systemów i ruchu sieciowego (w tym przypadku spotkać można rozróżnienie SOC i NOC rozumianego jako network operations center).
[…]
Tomasz Cygan
Adwokat. Inspektor ochrony danych. Wykładowca. Publicysta. Audytor wewnętrzny normy PN – ISO/IEC 27001:2014 – 12. Ukończył kurs „Data Protection and Privacy Rights” organizowany przez Radę Europy Help Programme, kurs „Cybersecurity for Critical Urban Infrastructure” prowadzony przez Massachusetts Institute of Technology oraz kurs „Cybersecurity Risk Management” prowadzony przez Rochester Institute of Technology.