Rozwój = Wiedza + Edukacja

Projektowanie i zlecanie badań rynku pracy sektora telekomunikacja i cyberbezpieczeństwo

Identyfikacja potrzeb tworzenia sektorowych ram kwalifikacji

Rekomendowanie rozwiązań oraz zmian legislacyjnych w obszarze edukacji

Współpraca w zakresie porozumień edukacyjnych

previous arrow
next arrow
Slider

W czwartek 18 listopada 2021 r. odbyła się konferencja naukowa pt.: „Certyfikacja w systemie cyberbezpieczeństwa”. Organizatorami wydarzenia byli: Sektorowa Rada ds. Kompetencji Telekomunikacja i Cyberbezpieczeństwo, Polskie Towarzystwo Informatyczne, Katedra Prawa Informatycznego WPiA UKSW oraz Naukowe Centrum Prawno-Informatyczne.

 Spotkanie w formule online zostało podzielone na dwie sesje: „Stan i perspektywy regulacji cyberbezpieczeństwa” oraz „Nowe problemy certyfikacji cyberbezpieczeństwa”. W trakcie pierwszej omówiono m.in. zakres zmian w najnowszym projekcie ustawy o Krajowym Systemie Cyberbezpieczeństwa czy ramy certyfikacji w Akcie o cyberbezpieczeństwie.

 - W projekcie nowelizacji ustawy o KSC znalazły się przepisy zwiększające spójność regulacji krajowej z europejską. Jednak niektóre zmiany mogą nie być trwałe. W unijnym rozporządzeniu ENISA z 2019 r. i w naszym krajowym projekcie ustawy utrzymano podział na operatorów usług kluczowych i dostawców usług cyfrowych. Natomiast w projekcie dyrektywy NIS 2 z 2020 r. te kategorie pominięto i zastąpiono podziałem na podmioty niezbędne i istotne. Potrzebna jest też spójność z innymi ustawami i nie wprowadzanie nowych określeń, np. przestrzeń wirtualna, jeśli można użyć terminu mającego już definicję prawną, jak np. cyberprzestrzeń. Są to kwestie na które warto zwrócić uwagę - powiedziała prof. Grażyna Szpor, UKSW.

 Europejskie ramy certyfikacji cyberbezpieczeństwa określają mechanizm ustanawiania europejskich programów certyfikacji cyberbezpieczeństwa i potwierdzania, że produkty, usługi i procesy ICT, które oceniono zgodnie z tymi programami, są zgodne z określonymi wymogami bezpieczeństwa mającymi na celu zabezpieczenie dostępności, autentyczności, integralności lub poufności przechowywanych, przekazywanych lub przetwarzanych danych bądź funkcji lub usług oferowanych albo dostępnych za ich pośrednictwem w trakcie całego cyklu życia.

 

- Z istotnych kwestii, w odniesieniu do programów europejskich, w Akcie o cyberbezpieczeństwie wprowadza się poziomy uzasadnienia zaufania, które muszą być proporcjonalne do poziomu ryzyka związanego z przewidzianym stosowaniem produktu, usługi czy procesu ICT pod względem prawdopodobieństwa wystąpienia i skutków incydentu. Co równie ważne, na podstawowym poziomie dopuszcza się samoocenę, można powiedzieć, że samocertyfikację zgodności przez stronę pierwszą. Akt przewiduje także określanie treści i formatu wydawanego certyfikatu lub deklaracji zgodności – powiedział dr hab. Arwid Mednis, UW.

 

W związku z Aktem o cyberbezpieczeństwie i przepisami prawa europejskiego zawartymi w rozporządzeniu w sprawie ENISA, konieczne jest stworzenie krajowego systemu certyfikacji cyberbezpieczeństwa. W projekcie nowelizacji ustawy o KSC pojawiają się podmioty, które mają być nim objęte i są to: minister właściwy do spraw informatyzacji, Polskie Centrum Akredytacji, jednostki oceniające oraz dostawcy produktów, usług, procesów ICT.

 

- Oceny zgodności w ramach krajowego systemu certyfikacji cyberbezpieczeństwa  dokonują, zgodnie z projektem nowelizacji ustawy o KSC, jednostki oceniające, akredytowane przez Polskie Centrum Akredytacji. Właściwe i skuteczne działanie systemu certyfikacji będzie w znacznej mierze zależało od jednostek oceniających. Będą one musiały spełniać szczegółowe wymogi dotyczące ich kwalifikacji technicznych, które zostaną wskazane w krajowym programie certyfikacji cyberbezpieczeństwa, określonym w formie rozporządzenia Rady Ministrów – powiedziała dr Agnieszka Besiekierska.

 

Podczas konferencji przedstawiono również ostatnie zmiany zaproponowane do ustawy o Policji w panelu o „Edukacji z zakresu cyberbezpieczeństwa dla organów ścigania i wymiaru sprawiedliwości w związku z tworzeniem Centralnego Biura Zwalczania Cyberprzestępczości”. Wynika z nich jasno, że projekt wymaga  dopracowania i standaryzacji, które będą odpowiadać na rzeczywiste potrzeby rynku.

 

- Nie mamy jeszcze zdefiniowanego pojęcia cyberprzestępczości, a zakres CBZC jest określony niezwykle szeroko, dlatego że to nie są to tylko przestępstwa określane jako cyber-dependent, ale również
cyber-related. Duże obciążenie wynika właśnie z tych drugich, czyli tam gdzie systemy teleinformatyczne czy komputery były jedynie narzędziem sprawców przestępstwa. Natomiast te czyny kwalifikowane są z klasycznych podstaw, takich jak oszustwo czy pranie pieniędzy
- powiedziała dr hab. inż. Agnieszka Gruszczyńska. Zakres umiejętności dla funkcjonariuszy jest przede wszystkim chaotyczny i zbyt wymagający. Sam dokument stanowi cały załącznik i wygląda na nieprzemyślany, ponieważ nie wszyscy muszą znać się na analizach telekomunikacyjnych czy też znać każdy język programowania i system operacyjny – dodaje.

 

Druga sesja dotyczyła nowych problemów, które pojawiły się w kontekście certyfikacji cyberbezpieczeństwa. Wśród nich można wymienić brak wymogów i propozycji w odniesieniu do personelu podmiotów certyfikujących oraz wewnętrznych struktur jednostek organizacyjnych czy też wspomniane wcześniej elementy w samym projekcie ustawy o KSC, które wymagają doprecyzowania.

 

Ponadto eksperci poruszali zagadnienia związane z:

  • certyfikacją cyberbezpieczeństwa urządzeń mobilnych i sieciowych w kontekście standaryzacji i legislacji,
  • rolą audytu w procesie certyfikacji,
  • zarządzaniem kompetencjami w procesie certyfikacji cyberpezpieczeństwa,
  • certyfikacją cyberbezpieczeństwa dla sektora ochrony zdrowia,
  • znaczeniem certyfikacji cyberbezpieczeństwa dla systemu płatniczego,
  • standardami cyberbezpieczeństwa RP na lata 2019-2024.

 

Zagadnienia związane z cyberbezpieczeństwem są obecnie jednymi z najważniejszych obszarów prawidłowego funkcjonowania nie tylko branży ICT, ale również całego państwa. Kwestie związane z bezpieczeństwem determinują cały świat, a praktyki związane ze zgodnością i polityką działania są istotne zarówno dla sektora prywatnego, jak i publicznego. Nie dziwi, więc fakt, że temat certyfikacji cyberbezpieczeństwa i wszystkich zapisów z nim związanych budzi tak wiele dyskusji. Kluczową rolę w prawidłowym reagowaniu na incydenty pełnią ludzie i to jaki sposób powinno się podchodzić do kompetencji dla cyberbezpieczeństwa jest jednym z najważniejszych elementów, które nadal wymagają dopracowania.

 

Strategia  cyberbezpieczeństwa RP na lata 2019-2024 zakłada podniesienie poziomu odporności na cyberzagrożenia oraz poziomu ochrony informacji w sektorach: publicznym, militarnym i prywatnym. O lepszej ochronie decyduje również odpowiednie promowanie wiedzy i dobrych praktyk wśród obywateli. Dlatego tym bardziej nie można pomijać spraw związanych z tym, jakie kompetencje powinny mieć kluczowe role, dzięki którym będą realizowane zadania w obszarze cyberbezpieczeństwa
w imieniu poszczególnych organów.

Chcesz być na bieżąco? Zapisz się na nasz newsletter!

Lider projektu:


Partner projektu:

Polska Izba Informatyki i Telekomunikacji

Projekt nr UDA-POWR.02.12.00-00-SR03/18 jest dofinansowany z Europejskiego Funduszu Społecznego
w ramach Programu Operacyjnego Wiedza Edukacja Rozwój 2014-2020