Materiały konferencyjne SEP 2020

czowe dla bezpieczeństwa państwa i jego obywateli oraz służące zapewnieniu sprawnego funkcjonowania organów administracji publicznej, a także instytucji i przedsiębiorców [4]. Przy czym nie każdy strategiczny obiekt należy do infrastruktury krytycznej. O tym czy dany zalicza się do infrastruktury krytycznej decydują szczegółowe kryteria zapisane w niejawnym załączniku do Narodowego Programu Ochrony Infrastruktury Krytycznej. Istota zadań związa- nych z infrastrukturą krytyczną sprowadza się nie tylko do zapewnienia jej ochrony przed za- grożeniami, ale również do tego, aby ewentualne uszkodzenia i zakłócenia w jej funkcjonowa- niu były możliwie krótkotrwałe, łatwe do usunięcia i nie wywoływały dodatkowych strat dla obywateli i gospodarki. Ochrona infrastruktury krytycznej to wszelkie działania zmierzające do zapewnienia funkcjo- nalności, ciągłości działań i integralności infrastruktury krytycznej w celu zapobiegania zagro- żeniom, ryzykom lub słabym punktom oraz ograniczenia i neutralizacji ich skutków oraz szyb- kiego odtworzenia tej infrastruktury na wypadek awarii, ataków oraz innych zdarzeń zakłóca- jących jej prawidłowe funkcjonowanie. Dla zapewnienia odpowiedniego poziomu bezpieczeństwa teleinformatycznego infrastruktury krytycznej kraju w Rządowym Centrum Bezpieczeństwa opracowano wytyczne dla minimal- nych wymagań cyberbezpieczeństwa, zarówno w zakresie przedsięwzięć organizacyjnych, jak i rozwiązań technicznych, w celu dostarczenia wymagań dotyczących zapewnienia bezpieczeń- stwa teleinformatycznego, których przestrzeganie jest niezbędne, aby zminimalizować ryzyko zakłócenia funkcjonowania infrastruktury krytycznej. Wśród wymagań dla sfery technicznej bezpośrednio mających związek z tematem niniejszego opracowania należy wymienić następujące obowiązki [5]: - Operator zapewnia, że użytkownicy mają dostęp tylko do tych zasobów i usług telein- formatycznych, do których otrzymali uprawnienia, w zakresie wykonywanych obo- wiązków służbowych, - Operator posiada procedury rejestrowania i wyrejestrowywania użytkowników w sys- temach teleinformatycznych, - Operator zapewnia ograniczenie i nadzór nad przydzielaniem i wykorzystaniem praw uprzywilejowanego dostępu, - Operator posiada procedury bezpiecznego logowania do systemów teleinformatycznych odpowiedzialnych za wsparcie podstawowych procesów przez niego realizowanych, - Operator zapewnia ograniczenie i nadzór wykorzystania programów narzędziowych, umożliwiających obejście zabezpieczeń systemów i aplikacji, - Operator posiada zabezpieczenia wykrywające, zapobiegające i odtwarzające, które słu- żą ochronie przed szkodliwym oprogramowaniem, - Organizacja tworzy, przechowuje i systematycznie przegląda dzienniki zdarzeń rejestru- jące działania użytkowników, wyjątki, usterki oraz zdarzenia związane z bezpieczeń- stwem informacji, - Operator rejestruje i systematycznie przegląda działania administratorów i operatorów systemów, - Operator posiada wdrożone procedury nadzoru nad instalacją oprogramowania w sys- temach produkcyjnych, - Operator nadzoruje i zarządza sieciami, - Operator we wszystkich swoich umowach na dostarczanie usług sieciowych posiada zi- dentyfikowane mechanizmy zabezpieczeń, poziomy świadczenia usług i wymagania do- tyczące zarządzania.