Wymogi dla dokumentacji bezpieczeństwa

Prezes Rady Ministrów podpisał rozporządzenie określające szczegółowe wymogi dla dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.

Nowe rozporządzenie wskazuje rodzaje i zawartość dokumentacji, którą zgodnie z ustawą o krajowym systemie cyberbezpieczeństwa, powinien posiadać każdy operator usługi kluczowej. Rozporządzenie wskazuje dwa główne rodzaje dokumentacji: normatywną i operacyjną.

Dokumentację normatywną stanowi dokumentacja przede wszystkim dotycząca:

  • systemu zarządzania bezpieczeństwem informacji,
  • ochrony infrastruktury, z wykorzystaniem której świadczona jest usługa kluczowa,
  • systemu zarządzania ciągłością działania usługi kluczowej,
  • systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej.

Warto wskazać, że powyższe elementy, mimo iż wynikają z obecnych norm i standardów (takich jak PN-EN ISO/IEC 27001 czy też PN-EN ISO 22301), to nie wymagają certyfikacji na zgodność z odpowiednimi normami. Każdy operator może zapewnić zgodność z ww. standardami we własnym zakresie.

Z punktu widzenia ustawy istotna jest tylko dokumentacja dotycząca usługi kluczowej. O ile dobrą praktyką jest dokumentacja bezpieczeństwa całej działalności przedsiębiorcy, o tyle nie jest ona obowiązkowa.

Operator usługi kluczowej, który jest jednocześnie operatorem infrastruktury krytycznej, nie musi tworzyć odrębnej dokumentacji na podstawie projektowanego rozporządzenia.

Dokumentacja operacyjna reguluje procedury, instrukcje i czynności wynikające z dokumentacji normatywnej. Nowe rozporządzenie jest dostępne w Dzienniku Ustaw.

Źródło: www.gov.pl

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *