Dokumentacja dotycząca systemu informacyjnego wykorzystywanego do świadczenia usługi dzieli się na normatywną i operacyjną. W skład tej pierwszej wchodzi dokumentacja ochrony infrastruktury, którą zajmiemy się w tym artykule.

Warto jednak na wstępie wymienić inne elementy zawierające się w pojęciu dokumentacji normatywnej. Mowa o dokumentacji dotyczącej systemu zarządzania bezpieczeństwem informacji wytworzonej zgodnie z wymaganiami Polskiej Normy PN-EN ISO/IEC 27001 lub normy jej równoważnej, dokumentacji systemu zarządzania ciągłością działania usługi wytworzonej zgodnie z wymaganiami Polskiej Normy PN-EN ISO 22301 lub normy jej równoważnej, dokumentacji technicznej systemu informacyjnego wykorzystywanego do świadczenia usługi oraz dokumentacji wynikającej ze specyfiki świadczonej usługi w danym sektorze lub podsektorze, zgodnie z projektowanym brzmieniem przepisów.

Tyle w kwestii dokumentacji normatywnej, przejdźmy więc do ochrony infrastruktury. Projektowany art. 10 ust. 3 pkt 2 ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw wskazuje, że dokumentacja ochrony infrastruktury, z wykorzystaniem której świadczona jest usługa, obejmuje:

1. „charakterystykę usługi oraz infrastruktury, w której świadczona jest usługa;
2. szacowanie ryzyka dla obiektów infrastruktury;
3. ocenę aktualnego stanu ochrony infrastruktury (plan postępowania z ryzykiem);
4. opis zabezpieczeń technicznych obiektów infrastruktury;
5. zasady organizacji i wykonywania ochrony fizycznej infrastruktury; f) dane o specjalistycznej uzbrojonej formacji ochronnej, o której mowa w art. 2 pkt 7 ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (DzU z 2021 r., poz. 1995), chroniącej infrastrukturę – jeżeli występuje”.

Wobec zamysłu projektodawcy warto poszukać w treści przepisów prawa wskazówek ułatwiających stworzenie takiej dokumentacji. Zagadnienie dokumentacji ochrony infrastruktury jest o tyle ciekawe, że sama dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1 (dyrektywa NIS2), nie wskazuje wprost na konieczność wdrożenia takiego dokumentu. Zgodnie z treścią art. 21 ust. 3 dyrektywy NIS 2 środki techniczne, operacyjne i organizacyjne bazują na podejściu uwzględniającym wszystkie zagrożenia i mają na celu ochronę sieci i systemów informatycznych oraz środowiska fizycznego tych systemów przed incydentami. Obejmują one co najmniej następujące elementy:

1. politykę analizy ryzyka i bezpieczeństwa systemów informatycznych;
2. obsługę incydentu;
3. ciągłość działania, np. zarządzanie kopiami zapasowymi i przywracanie normalnego działania po wystąpieniu sytuacji nadzwyczajnej, zarządzanie kryzysowe;
4. bezpieczeństwo łańcucha dostaw, w tym aspekty związane z bezpieczeństwem dotyczące stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami;
5. bezpieczeństwo w procesie nabywania, rozwoju oraz utrzymania sieci i systemów informatycznych, w tym postępowanie w przypadku podatności i ich ujawnienia;
6. polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie;
7. podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa;
8. polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania;
9. bezpieczeństwo zasobów ludzkich, politykę kontroli dostępu i zarządzanie aktywami;
10. w stosownych przypadkach – wykorzystywanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.

Charakterystyka usługi oraz infrastruktury

Pewną wskazówkę mogą stanowić przepisy rozporządzenia Rady Ministrów z 30 kwietnia 2010 r. w sprawieplanów ochrony infrastruktury krytycznej (DzU z 2010 r., poz. 542). Wskazują one między innymi na elementy struktury planu ochrony infrastruktury krytycznej. Zgodnie z treścią art. 3 ust. 2 rozporządzenia elementami struktury planu są w szczególności dane ogólne dotyczące infrastruktury krytycznej, które obejmują dane identyfikacyjne podmiotów zarządzających infrastrukturą krytyczną oraz osób nią zarządzających, a także lokalizację infrastruktury krytycznej.

W zakresie charakterystyki infrastruktury, w której świadczona jest usługa, plan ochrony infrastruktury krytycznej obejmuje jej charakterystykę i podstawowe parametry techniczne, plan (mapę) z naniesieniem lokalizacji obiektów, instalacji lub systemu oraz funkcjonalne połączenia z innymi obiektami, instalacjami, urządzeniami lub usługami.

Z kolei art. 7 ust. 2 ustawy z 22 sierpnia 1997 r. o ochronie osób i mienia (DzU z 1997 r., poz. 740) wskazuje, że w przypadku obszarów, obiektów i urządzeń podlegających obowiązkowej ochronie (wskazanych w art. 5 ust. 2 ustawy) konieczne jest uzgodnienie planów ochrony, które powinny:

1. uwzględniać charakter produkcji lub rodzaj działalności jednostki;
2. zawierać analizę stanu potencjalnych zagrożeń, w tym zagrożeń o charakterze terrorystycznym, i aktualnego stanu bezpieczeństwa jednostki;
3. podawać ocenę aktualnego stanu ochrony jednostki;
4. zawierać dane dotyczące specjalistycznej uzbrojonej formacji ochronnej, a w tym: stan etatowy, rodzaj oraz ilość uzbrojenia i wyposażenia, sposób zabezpieczenia broni i amunicji;
5. zawierać dane dotyczące rodzaju zabezpieczeń technicznych;
6. zawierać zasady organizacji i wykonywania ochrony jednostki.

Wskazane przepisy mogą stanowić pewną wskazówkę w przypadku tworzenia planu ochrony infrastruktury. Zwłaszcza że ich zakres przedmiotowy jest bardzo zbliżony do wymagań projektowanego art. 10 ust. 3 ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw.

Szacowanie ryzyka dla obiektów infrastruktury

Oprócz wspomnianych powyżej planów ochrony infrastruktury krytycznej, który zawiera charakterystykę zagrożeń oraz ocenę ryzyka ich wystąpienia wraz z przewidywanymi scenariuszami rozwoju zdarzeń, warto zauważyć, że sama dyrektywa NIS 2 ma w tym zakresie pewne wskazówki.

Motyw 79 preambuły dyrektywy NIS 2 wskazuje na niektóre zagrożenia dla obiektów infrastruktury. Zgodnie z jego treścią „środki zarządzania ryzykiem w cyberbezpieczeństwie powinny opierać się na podejściu uwzględniającym wszystkie zagrożenia, mającym na celu ochronę sieci i systemów informatycznych oraz środowiska fizycznego tych systemów przed zdarzeniami takimi jak kradzież, pożar, powódź, awaria telekomunikacyjna bądź awaria zasilania lub nieuprawniony dostęp fizyczny do infrastruktury związanej z informacjami i przetwarzaniem informacji należącej do podmiotu kluczowego lub ważnego, jej uszkodzenie i ingerencja w nią, które to zdarzenia mogłyby naruszyć dostępność, autentyczność, integralność lub poufność przechowywanych, przekazywanych lub przetwarzanych danych, lub też usług oferowanych przez sieci i systemy informatyczne lub dostępnych za pośrednictwem sieci i systemów informatycznych. Środki zarządzania ryzykiem w cyberbezpieczeństwie powinny zatem dotyczyć również bezpieczeństwa fizycznego i środowiskowego sieci i systemów informatycznych przez włączenie środków ochrony takich systemów przed awariami, błędem ludzkim, złośliwymi działaniami lub zjawiskami naturalnymi, zgodnie z normami europejskimi i międzynarodowymi, takimi jak normy zawarte w serii ISO/IEC 27000. W związku z tym w ramach swoich środków zarządzania ryzykiem w cyberbezpieczeństwie podmioty kluczowe i ważne powinny zająć się również bezpieczeństwem zasobów ludzkich i prowadzić odpowiednią politykę kontroli dostępu. Środki te powinny być zgodne z dyrektywą (UE) 2022/2557”.

Z kolei w przypadku planu ochrony konieczne jest przeprowadzenie i udokumentowanie stanu potencjalnych zagrożeń, w tym zagrożeń o charakterze terrorystycznym, i aktualnego stanu bezpieczeństwa jednostki. Warto mieć na względzie, że w zasadzie szacowanie ryzyka dla infrastruktury będzie miało szereg elementów wspólnych dla każdego z rodzajów planów ochrony. Co więcej, może odbywać się według identycznej metodologii, punktacji oraz sposobu postępowania z ryzykiem (akceptacja, transfer, ograniczenie, eliminacja ryzyka). Także dobór mitygantów może być zbliżony.

Ocena stanu ochrony infrastruktury

Element planu ochrony infrastruktury krytycznej stanowi – wspomniana powyżej – charakterystyka zagrożeń dla infrastruktury krytycznej oraz oceny ryzyka ich wystąpienia wraz z przewidywanymi scenariuszami rozwoju zdarzeń. Jednocześnie plan obejmuje także charakterystykę zależności infrastruktury krytycznej od pozostałych systemów infrastruktury krytycznej oraz możliwości zaburzenia jej funkcjonowania w wyniku zakłóceń powstałych w pozostałych systemach infrastruktury krytycznej oraz zasobów własnych możliwych do wykorzystania w celu ochrony tejże.

Z kolei plan ochrony wymaga podania oceny aktualnego stanu ochrony jednostki. Można przyjąć, że plan postępowania z ryzykiem powinien określać:

• narzędzia, sposoby i źródła danych niezbędne do zarządzania ryzykiem;
• role i obowiązki pracowników;
• system oceny zdarzeń;
• kryteria określające czas, w którym należy podjąć działania przeciw powstałemu ryzyku;
• sposób monitorowania ryzyka;
• sposób tworzenia dokumentacji dotyczącej ryzyka.

Zasady organizacji i wykonywania ochrony fizycznej infrastruktury

Art. 3 pkt 1 ustawy o ochronie osób i mienia wskazuje odpowiednie rozumienie pojęcia bezpośredniej ochrony fizycznej. Zgodnie z jego treścią ochrona osób i mienia realizowana może być w formie bezpośredniej ochrony fizycznej stałej lub doraźnej, polegającej na stałym dozorze sygnałów przesyłanych, gromadzonych i przetwarzanych w elektronicznych urządzeniach oraz systemach alarmowych.

Norma ISO/IEC 27001:2022 w zakresie bezpieczeństwa fizycznego wskazuje na konieczność:

• zdefiniowania i zabezpieczenia granic bezpieczeństwa fizycznego;
• ochrony dostępu fizycznego;
• zabezpieczenia fizycznego biur, pomieszczeń i obiektów;
• stałego monitorowania bezpieczeństwa fizycznego pod kątem nieuprawnionego dostępu fizycznego;
• ochrony przed zagrożeniami fizycznymi i środowiskowymi, takimi jak klęski żywiołowe i inne zamierzone lub niezamierzone zagrożenia fizyczne infrastruktury;
• opracowania i wdrożenia środków bezpieczeństwa dotyczących pracy w obszarach zabezpieczonych;
• kontroli czystego biurka i ekranu;
• umieszczania sprzętu w bezpiecznym miejscu i jego ochrony;
• ochrony aktywów znajdujących się poza terenem zakładu;
• zarządzania nośnikami danych;
• ochrony przed awariami zasilania i innymi zakłóceniami spowodowanymi awariami mediów;
• kontroli bezpieczeństwa okablowania przed przechwyceniem, zakłóceniami lub uszkodzeniem;
• kontroli konserwacji sprzętu, aby zapewnić dostępność, integralność i poufność informacji;
• bezpiecznej utylizacji lub ponownego użycia sprzętu w celu zapewnienia, że wszelkie wrażliwe dane i licencjonowane oprogramowanie zostały usunięte lub bezpiecznie nadpisane przed wyrzuceniem lub ponownym wykorzystaniem.

Warto także zauważyć, że standard NSC 800-12 – będący wprowadzeniem do bezpieczeństwa informacji – określa kategorie środków bezpieczeństwa dla ochrony fizycznej i środowiskowej, wskazując na przykłady fizycznych i środowiskowych środków bezpieczeństwa: „upoważnienia do dostępu fizycznego, kontrola dostępu fizycznego, monitorowanie dostępu fizycznego, wyłączanie awaryjne, zasilanie awaryjne, oświetlenie awaryjne, alternatywne miejsce pracy, wyciek informacji oraz monitorowanie i śledzenie aktywów”. Rozwija je standard NSC 800-53 (Zabezpieczenia i ochrona prywatności systemów informacyjnych oraz organizacji, wer. 2.0), który zawiera zabezpieczenia podstawowe, rozszerzone oraz powiązane między innymi dla ochrony fizycznej i środowiskowej. Omawia on wytyczne takie jak: „polityka i procedury, zezwolenia na dostęp fizyczny, kontrola dostępu fizycznego, kontrola dostępu do medium transmisyjnego, kontrola dostępu do urządzeń wejścia – wyjścia, monitorowanie dostępu fizycznego, kontrola gości, rejestracja dostępu gości, wyposażenie energetyczne i okablowanie, wyłączenie awaryjne, zasilanie awaryjne, oświetlenie awaryjne, ochrona przeciwpożarowa, zabezpieczenia środowiskowe, ochrona przed zalaniem, dostawa i usuwanie, zapasowe miejsce pracy, lokalizacja komponentów systemu, ulot informacji/elektromagnetyczna emisja ujawniająca, monitorowanie i śledzenie zasobów, ochrona przed impulsem elektromagnetycznym, znakowanie komponentów, lokalizacja obiektu”.

Wśród wytycznych znajdują się również dane o specjalistycznej uzbrojonej formacji ochronnej, o której mowa w art. 2 pkt 7 ustawy z 22 sierpnia 1997 r. o ochronie osób i mienia (DzU z 2021 r., poz. 1995), chroniącej infrastrukturę – jeżeli występuje. Pod tym pojęciem należy rozumieć wewnętrzne służby ochrony oraz przedsiębiorców, którzy uzyskali koncesje na prowadzenie działalności gospodarczej w zakresie usług ochrony osób i mienia, posiadających broń na podstawie świadectwa broni, o którym mowa w art. 29 ust. 1 pkt 1 i 2 ustawy z 21 maja 1999 r. o broni i amunicji (DzU z 2020 r., poz. 955).

Pozostałe obowiązki dotyczące dokumentacji

Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw zawiera także kolejne obowiązki w zakresie dokumentacji ochrony infrastruktury. Dotyczą one wszystkich elementów wchodzących w skład dokumentacji normatywnej. Dokumentacja ochrony infrastruktury może być prowadzona w postaci papierowej albo w postaci elektronicznej (art. 10 ust. 4 projektu ustawy). Podmiot kluczowy lub podmiot ważny przechowuje dokumentację dotyczącą bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi przez co najmniej dwa lata od dnia jej wycofania z użytkowania lub zakończenia świadczenia usługi, liczony od 1 stycznia roku następującego po roku, w którym wygasa okres jej przechowywania. Przepisu nie stosuje się do podmiotów podlegających ustawie z 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (DzU z 2020 r., poz. 164). W tym przypadku zastosowanie będą miały przepisy ustawy o narodowym zasobie archiwalnym i archiwach (art. 10 ust. 6 projektu ustawy). Dodatkowo projektodawca nakłada obowiązki w zakresie zniszczenia dokumentacji wycofanej z użytkowania. Jej zniszczenie potwierdza się protokołem brakowania, który zawiera w szczególności: datę protokołu, oznaczenie niszczonej dokumentacji, dane osoby zatwierdzającej protokół. Protokoły brakowania dokumentacji są przechowywane w sposób trwały.

Osobnym zagadnieniem jest konieczność ustanowienia nadzoru nad dokumentacją ochrony infrastruktury. Nadzór sprawowany w tym zakresie przez podmioty kluczowe oraz podmioty ważne ma zapewnić:

1. dostępność dokumentów wyłącznie dla osób upoważnionych, zgodnie z realizowanymi przez nie zadaniami;
2. ochronę dokumentów przed uszkodzeniem, zniszczeniem, utratą, nieuprawnionym dostępem, niewłaściwym użyciem lub utratą integralności;
3. oznaczanie kolejnych wersji dokumentów umożliwiające określenie zmian dokonanych w tych dokumentach.

Bezpieczeństwo cyberbezpieczeństwu nierówne

Ostateczny kształt przepisów implementujących dyrektywę NIS 2 do polskiego porządku prawnego jest jeszcze nieznany. Wydaje się jednak, że będzie on wymagał holistycznego podejścia do cyberbezpieczeństwa, poczynając po prostu od bezpieczeństwa samego podmiotu. Cyberbezpieczeństwo bowiem – oderwane od konkretnej organizacji – nie spełni nigdy swojego celu. Z kolei bezpieczeństwo fizyczne i środowiskowe, czyli najbardziej pierwotny rodzaj zabezpieczeń w organizacji, stanowić może bardzo istotny element budowania odporności podmiotów ważnych i podmiotów kluczowych na cyberzagrożenia. W tym celu może się jednak okazać konieczne sięgnięcie do innych aktów prawnych oraz wdrożonych rozwiązań o charakterze nieinformatycznym.

Autor

Tomasz Cygan

Autor jest adwokatem, inspektorem ochrony danych, wykładowcą i publicystą, a także posiadaczem certyfikatów CC i CISSP.