Cyberbezpieczeństwo dostawców usług cyfrowych

Informacje na temat Cyberbezpieczeństwo dostawców usług cyfrowych.

Autor: Marek Porzeżyński

Cyberbezpieczeństwo jest przedmiotem badań i analiz prowadzonych w szczególności w ramach nauk prawnych i technicznych, a także dotyczących obronności, jako dziedzina wykraczająca poza granice każdej ze wskazanych kategorii. Cyberataki stanowią bez wątpienia jedno z największych zagrożeń ostatnich lat, a potrzeba rychłego wprowadzenia rozwiązań zapewniających odpowiedni poziom bezpieczeństwa będzie jedynie narastała. Powyższe, jak się wydaje, zostało zintensyfikowane w wyniku epidemii wirusa SARS-CoV-2 i próbom niezwykle dynamicznej cyfryzacji niektórych podmiotów, która okazała się niezbędna dla możliwości prowadzenia działalności w tym czasie. Powyższe przyniosło efekt w postaci ponadprzeciętnego zagrożenia cyberatakami.

Jednocześnie rządzący podejmują wysiłki prawne (legislacyjne) i organizacyjne, które są wdrażane dla zapewnienia wyższego poziomu cyberbezpieczeństwa. Proces ten jest jednak długotrwały i wymaga stałego monitorowania i analizowania projektowanych rozwiązań i efektów ich wprowadzenia. Niniejsza monografia stanowi opracowanie problematyki cyberbezpieczeństwa i związanych z nim obowiązkami dedykowanymi dostawcom usług cyfrowych – jednej z kategorii wchodzących w zakres Krajowego Systemu Cyberbezpieczeństwa.

Spis treści

Wykaz skrótów i akronimów

Wprowadzenie

Rozdział I.
Cyberbezpieczeństwo jako przedmiot zainteresowań naukowych i badawczych

1. Nauka o cyberbezpieczeństwie

2. Kluczowe pojęcia

2.1. Etymologia pojęć kluczowych

2.2. Cyberprzestępczość, cyberprzestrzeń i cyberbezpieczeństwo

2.3. Bezpieczeństwo informacji, naruszenie bezpieczeństwa informacji i incydent

3. Podsumowanie

Rozdział II.
Wprowadzenie do cyberbezpieczeństwa

1. Cyberbezpieczeństwo w ujęciu międzynarodowym

1.1. Organizacja Narodów Zjednoczonych

1.2. Organizacja Traktatu Północnoatlantyckiego

1.3. Rada Europy

1.4. Unia Europejska

2. Cyberbezpieczeństwo w Rzeczpospolitej Polskiej

2.1. Dokumenty strategiczne

3. Podsumowanie

Rozdział III.
Dyrektywa NIS i Ustawa o krajowym systemie cyberbezpieczeństwa

1. Potrzeba opracowania aktu prawnego w zakresie cyberbezpieczeństwa

2. Prace nad Dyrektywą

2.1. Wczesne prace koncepcyjne

2.2. Proces legislacyjny

3. Implementacja postanowień Dyrektywy do porządku krajowego Rzeczpospolitej Polskiej

4. Nowelizacja Dyrektywy NIS i Ustawy

4.1. Projekt nowelizacji Ustawy

4.2. Projekt aktu nowelizującego Dyrektywę NIS

5. Podsumowanie

Rozdział IV.
Dostawcy usług cyfrowych w krajowym systemie cyberbezpieczeństwa

1. Zakres podmiotowy ustawy o krajowym systemie cyberbezpieczeństwa

1.1. Operatorzy usług kluczowych

1.2. Podmioty publiczne

1.3. CSIRT

2. Dostawcy usług cyfrowych jako odrębna kategoria podmiotowa

2.1. Usługa świadczona drogą elektroniczną

2.2. Rodzaje usług cyfrowych

2. Wymagania bezpieczeństwa dostawców usług cyfrowych

3. Obowiązki dostawców usług cyfrowych

3.1. Obowiązek przeprowadzenia czynności związanych z incydentami

3.2. Klasyfikacja incydentu jako istotny

3.3. Obowiązek zgłoszeniowy

3.4. Obowiązek informacyjny

3.5. Obowiązek obsługi

3.6. Obowiązek utrzymywania odpowiedniego poziomu bezpieczeństwa

3.6.1. Bezpieczeństwo systemów i obiektów

3.6.2. Postępowanie w przypadku incydentu

3.6.3. Zarządzanie ciągłością działania

3.6.4. Monitorowanie, audyt i testowanie

3.6.5. Stosowanie norm

4. Pozycja dostawców usług cyfrowych w innych państwach

4.1. Francja

4.2. Niemcy

4.3. Wielka Brytania

5. Podsumowanie

Rozdział V.
Spełnianie obowiązków i wymagań nałożonych na dostawców usług cyfrowych

1. Określenie obowiązków dostawców usług cyfrowych

2. Normy ISO

2.1. ISO/IEC 27001 i 27002

2.2. ISO 27032

2.3. Standardy przewidziane dla dostawców usług chmurowych

3. Dokumenty przygotowane w ramach działalności ENISA

3.1. Technical Guidelines for the Implementation of Minimum Security Measures for Digital Service Providers

3.2. Guidelines on Assessing DSP Security and OES Compliance with the NISD Security Requirements

3.3. Incident Notification for DSPs in the Context of the NIS Directive

3.4. Good Practices on Interdependencies Between OES and DSPs

4. Pozostałe przypadki dokumentów o charakterze pomocniczym

5. Podsumowanie

Zakończenie

Bibliografia