NOWOŚĆ! Opracowanie i wdrażanie procedur Krajowego Systemu Cyberbezpieczeństwa dla operatorów usług kluczowych i dostawców usług cyfrowych

Terminy i miejsca szkoleń stacjonarnych:

https://www.ksoin.pl/szkolenia/krajowy-system-cyberbezpieczenstwa

 

Ustawa  o Krajowym Systemie Cyberbezpieczeństwa (KSC) nakłada obowiązki na operatorów usług, które mają kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej (usługi kluczowe). Wśród operatorów znajdą się największe banki, firmy z sektora energetycznego, przewoźnicy lotniczy i kolejowi, armatorzy, szpitale i podmioty tworzące w Polsce infrastrukturę cyfrową. W skład KSC wchodzą m.in. instytucje administracji rządowej i samorządowej oraz najwięksi przedsiębiorcy z kluczowych sektorów gospodarki.

W ustawie mowa jest o:

– Operatorach Usług Kluczowych (OUK), czyli m.in. największe banki, firmy z sektora energetycznego, przewoźnicy lotniczy i kolejowi, armatorzy, szpitale;

– Dostawcach Usług Kluczowych (DUC), czyli m.in. internetowych platformach handlowych;

– Organach Właściwych (OW), czyli instytucjach publicznych, w których kompetencjach znajdzie się nadzór nad danym istotnym sektorem dla naszej gospodarki np. dla firm zajmujących się transportem lotniczym organem właściwym jest Minister Infrastruktury;

– Zespołach Reagowania na Incydenty Bezpieczeństwa Komputerowego utworzone w trzech instytucjach: Agencji Bezpieczeństwa Wewnętrznego (CSIRT GOV), Naukowej i Akademickiej Sieci Komputerowej – Państwowym Instytucie Badawczym (CSIRT NASK) oraz Ministerstwie Obrony Narodowej (CSIRT MON), które będą współpracować ze sobą, z organami właściwymi do spraw cyberbezpieczeństwa, ministrem właściwym do spraw informatyzacji oraz Pełnomocnikiem Rządu ds. Cyberbezpieczeństwa;

– sektorowych zespołach cyberbezpieczeństwa, np. taki utworzony przez największe banki w Polsce.

Podmioty wchodzące w skład krajowego systemu cyberbezpieczeństwa utworzą spójny system pozwalający na podejmowanie różnorodnych i skutecznych działań zarówno przeciwdziałających zagrożeniom, jak i zapewniających skuteczne reagowanie w przypadku wystąpienia incydentów.

Operatorzy usług kluczowych są zobowiązani do wdrożenia skutecznych zabezpieczeń, szacowania ryzyka związanego z cyberbezpieczeństwem oraz przekazywania informacji o poważnych incydentach i ich obsługi we współpracy z jednym z trzech CSIRT (Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego). Wymienione podmioty są również zobowiązane do wyznaczenia osoby odpowiedzialnej za cyberbezpieczeństwo świadczonych usług, obsługi i zgłaszania incydentów oraz udostępniania wiedzy na temat cyberbezpieczeństwa. 

Wymaganiami z zakresu cyberbezpieczeństwa zostaną także objęci dostawcy usług cyfrowych, czyli internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Z racji międzynarodowej specyfiki tych podmiotów, obowiązki dla dostawców usług cyfrowych będą objęte zharmonizowanym na poziomie UE reżimem regulacyjnym.

Obowiązki operatorów usług kluczowych

Od momentu otrzymania od organu właściwego decyzji administracyjnej, dany podmiot uznany za operatora usługi kluczowej jest zobowiązany do:

– Po 3 miesiącach od otrzymania decyzji od organu właściwego operator: dokonuje szacowania ryzyka dla swoich usług kluczowych, zarządza incydentami, wyznacza osobę kontaktową z właściwym CSIRT i PPK przy MC, prowadzi działania edukacyjne wobec użytkowników, obsługuje incydenty we własnych systemach, zgłasza incydenty poważne, usuwa wskazywane podatności;

– Po 6 miesiącach od otrzymania decyzji: wdraża odpowiednie i adekwatne do oszacowanego ryzyka środki techniczne i organizacyjne, zbiera informacje o zagrożeniach i podatnościach, stosuje środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego, stosuje wymaganą dokumentację;

– Po 12 miesiącach od otrzymania decyzji: przygotowuje pierwszy audyt w rozumieniu ustawy, przekazuje sprawozdanie z audytu, wskazanym w ustawie podmiotom.

Za niewykonanie przez OUK obowiązków wynikających z ustawy, przewidziano zastosowanie kar finansowych (patrz rozdział 14 ustawy).

SZKOLENIE Z WDRAŻANIA PROCEDUR KRAJOWEGO SYSTEMU CYBERBEZPIECZEŃSTWA

 1. CZAS TRWANIA I SPOSÓB ORGANIZACJI SZKOLENIA

CZAS TRWANIA SZKOLENIA:  3 dni, 20 godzin

 1. WYMAGANIA WSTĘPNE WOBEC UCZESTNIKÓW SZKOLENIA
 • znajomość Ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa (Dz. U. poz. 1580);
 • wiedza nt. wykorzystywanych w jednostce organizacyjnej zasobów stanowiących podstawę uznania jednostki jako operatora usługi kluczowej lub dostawcy usługi cyfrowej oraz eksploatowanych w jednostce organizacyjnej systemów i sieci teleinformatycznych.
 1. CELE SZKOLENIA
 • wsparcie jednostki organizacyjnej w zakresie wdrożenia wymagań wynikających z Ustawy o Krajowym Systemie Cyberbezpieczeństwa;
 • weryfikacja podjętych przedsięwzięć zapewniających zgodność procedur z ustawą;
 • przygotowanie uczestników szkolenia do opracowania wymagań i procedur bezpieczeństwa oraz do audytu cyberbezpieczeństwa;
 • zapoznanie uczestników szkolenia z zasadami tworzenia architektury cyberbezpieczeństwa i prowadzenia właściwej polityki cyberbezpieczeństwa;
 • przedstawienie metod szacowania zagrożeń wobec cyberbezpieczeństwa, dokonywania analizy ryzyka i metod zarządzania ryzykiem naruszenia cyberbezpieczeństwa.
 1. OPIS TREŚCI SZKOLENIA
 • szkolenie obejmuje część teoretyczną – wykład i praktyczną w postaci wypełniania drzewa zdarzeń i drzewa wpływów i konwersatorium wypracowujące drzewo decyzji;
 • treści szkolenia wyczerpują zagadnienia związane z przygotowaniem uczestników do wdrożenia zasad cyberbezpieczeństwa w jednostce organizacyjnej.

5. PLAN SZKOLENIA

Lp. Tematyka zajęć Wymiar zajęć Opis treści szkolenia
teoret. prak.
1 Obowiązki operatorów usług kluczowych i dostawców usług cyfrowych 2 Wyszczególnienie i omówienie obowiązków wynikających z ustawy
2 Organizacja systemu zarządzania cyberbezpieczeństwem 2 Planowanie, organizacja struktur, powołanie osób funkcyjnych, zarządzanie jakością działania, monitorowanie systemu
3 Architektura cyberbezpieczeństwa – określenie i powołanie struktur wewnętrznych 3 1 Wdrożenie systemu zarządzania cyberbezpieczeństwem z zapewnieniem ciągłości działania
4 Szacowanie zagrożeń i zarządzanie ryzykiem naruszenia cyberbezpieczeństwa 3 Zapewnienie odpowiednich środków technicznych i organizacyjnych celem pozyskania informacji o podatnościach i zagrożeniach w funkcji oszacowanego ryzyka
5 Obsługa incydentów w obszarze cyberbezpieczeństwa 2 1 Zastosowanie środków zapobiegających lub ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego
6 Audyt cyberbezpieczeństwa 3 1 Obowiązki przeprowadzania audytu – dokumentacja i kontrole
7 Współpraca z sektorowymi zespołami cyberbezpieczeństwa 2 Współpraca z sektorowymi zespołami cyberbezpieczeństwa w zakresie koordynowania obsługi incydentów i w zakresie wymiany informacji pozwalających przeciwdziałać zagrożeniom cyberbezpieczeństwa
Ogółem liczba godzin szkolenia 20

 

Zajęcia prowadzi: dr płk Dobrosław Mąka

Zapisy na stronie: https://www.ksoin.pl/szkolenia/krajowy-system-cyberbezpieczenstwa

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Next Post

III Zjazd Pracowników Pionów Ochrony Informacji Niejawnych

wt. wrz 8 , 2020
  III Krajowy Zjazd Pracowników Pionów Ochrony Informacji Niejawnych – Forum Kierowników Jednostek Organizacyjnych oraz Pełnomocników Ochrony – Białka Tatrzańska Na obrady zapraszamy również aktualnych i byłych oficerów oraz pracowników ABW i SKW funkcjonujących w obszarze bezpieczeństwa państwa i ochrony informacji niejawnych. W programie obrad Zjazdu uwzględnimy tematykę związaną z […]

You May Like

Ostatnie wpisy

KONTAKT

e-mail:

redakcja@portal-ochrony.pl

tel.:

(+48) 513 949 472

adres: 43-178 Ornontowice

ul. Zwycięstwa 136

Wydawa: CERTE – Paweł Bilko

Redaktor naczelny: Paweł Bilko

Archiwa