~Grzegorz Szeliga, iNET Group

Cześć

Wczoraj stała się rzecz niesamowita. Na grupie facebookowej ISP4ISP pojawiła się informacja, że od jednego z Was UKE wymaga posiadania dokumentacji zgodnej z rozporządzeniem Ministra Cyfryzacji z dnia 22 czerwca 2020 r. w sprawie minimalnych środków technicznych i organizacyjnych oraz metod, jakie przedsiębiorcy telekomunikacyjni są obowiązani stosować w celu zapewnienia bezpieczeństwa lub integralności sieci lub usług. Nazwa brzmi ciekawie, prawda?

https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20200001130

Samo rozporządzenie, jak widać to ledwie dwie strony, ale odwołuje się do szeregu istniejących aktów prawnych, więc jego implementacja potrafi chwilę zająć. Na szczęście, z racji osadzenia w istniejących realiach większość z Was ma znaczną część, o ile nie wszystkie dane potrzebne do wykonania tego zadania. Inwentaryzujecie swoje aktywa i zabezpieczacie je przed zagrożeniami. Macie procedury i systemy monitorowania infrastruktury. Więc wystarczy je przelać na papier i zebrać w jednym miejscu. Weszło w życie 3 miesiące temu, a że dotyczy bezpieczeństwa to sprawa staje się pilna.

Dla przypomnienia potrzebujecie (za kancelarią SayF)

DOKUMENTACJA – Zasady zapewnienia bezpieczeństwa sieci telekomunikacyjnych i usług:

  1. Arkusz inwentaryzacji i wartościowania aktywów,
  2. Arkusz do szacowania wystąpienia ryzyka zagrożeń,
  3. Postępowanie z ryzykiem i skutkami zaistnienia zagrożeń dla aktywów przedsiębiorstwa,
  4. Instrukcja gospodarki kluczami od pomieszczeń, obiektów, urządzeń, włazów, szaf technicznych,
  5. Regulamin zdalnego przetwarzania danych i pracy zdalnej,
  6. Zasady i procedury ochrony i dostępu do kluczowej infrastruktury i przetwarzanych danych,
  7. Monitorowanie i dokumentowanie funkcjonowania sieci telekomunikacyjnych i usług mające na celu wykrycie naruszenia ich bezpieczeństwa,
  8. Formularz zgłaszania naruszeń bezpieczeństwa sieci, usług lub danych,
  9. Procedura eliminacji przekazu komunikatu, przerwania lub ograniczenia świadczenia usług,
  10. Zasady zawierania umów dotyczących przedsięwzięć mających istotny wpływ na bezpieczeństwo,
  11. Procedura umożliwiająca użytkownikom końcowym dokonywanie zgłoszeń naruszeń bezpieczeństwa, sieci, usług lub przekazu telekomunikacyjnego.

Oczywiście aby być z tym w porządku należy mieć poukładaną resztę dokumentacji – m.in. 

  1. Polityka Bezpieczeństwa Przedsiębiorstwa,
  2. Polityka Bezpieczeństwa Informacji,
  3. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania informacji,
  4. Polityka Bezpieczeństwa Danych Osobowych,
  5. Regulamin ochrony tajemnicy przedsiębiorstwa,
  6. Dokumentacja dotycząca BHP,
  7. Dokumentacja dotycząca bezpieczeństwa P.POŻ

Co zapewne jest już u Was od dawna gotowe. 

Wychodząc Wam naprzeciw i odpowiadając na liczne maile i telefony z dnia wczorajszego przypominam, że kancelaria SayF, we współpracy z iNET group w zakresie specyfikacji typowego operatora ISP przygotowała ofertę wzorcowej dokumentacji obejmującej przedmiot niniejszego rozporządzenia. 

Dla członków iNET Group jest ona dostępna za 1500 zł, co jest rabatem o prawie 40% od oferty ogólnej. 

Zespół SayF, za dodatkową opłatą pomaga także we wdrożeniu dokumentacji na miejscu przeprowadzając:

  1. Audyt zerowy – analiza zasad, procedur i dokumentacji w zakresie bezpieczeństwa sieci i usług,
  2. Opracowanie wymienionej powyżej dokumentacji dostosowanej do specyfiki przedsiębiorcy telekomunikacyjnego, na podstawie raportu z audytu zerowego, inwentaryzacji i wartościowania aktywów oraz oszacowania ryzyka,
  3. Przeprowadzenie szkolenia dla osób odpowiedzialnych za poszczególne elementy systemu bezpieczeństwa sieci i usług,
  4. Audyt powdrożeniowy – sprawdzenie stosowania wdrożonych zasad zapewnienia bezpieczeństwa sieci, usług, danych lub przekazów telekomunikacyjnych w terminie ustalonym z usługobiorcą. 

Natomiast jestem przekonany, po tylu latach współpracy, że akurat w aspekcie zabezpieczeń i topologii swojej infrastruktury nie macie sobie równych i wzorcowe dokumenty wystarczą do spełnienia tego obowiązku.

Gdyby pojawiła się potrzeba implementacji innych dokumentów to w tym zakresie iNET group i SayF także służą pomocą w zakresie swoich kompetencji. 

Jeżeli jesteście zainteresowani wzorcową dokumentacją od SayF możecie ułatwić nam zadanie i ustawić się w kolejce (bo temat stał się dość gorący aktualnie) wypełniając NIEZOBOWIĄZUJĄCY formularz i oczekiwać na kontakt. 

WYPEŁNIJ FORMULARZ

Pamiętajcie, że niewypełnienie obowiązków nakładanych takim rozporządzeniem mogą się skończyć karą finansową. Jak każde naruszenie…

Polecam także ogólne opracowanie napisane po ogłoszeniu rozporządzenia autorstwa Andrzeja Fudali

https://www.sayf.com.pl/blogs/post/procedury-bezpieczenstwa-dla-telekomunikacji


Czytaj także:
SIEĆ ZA POŻYCZKĘ