Каковы обязанности поставщиков цифровых услуг?
Услуги кибербезопасности ит-систем сегодня затрагивает практически всех предпринимателей. Однако иногда вопросы кибер безопасности выходят за рамки технических вопросов и связаны с обязанностями, вытекающими из закона. Тогда несоблюдение правил безопасности может привести к серьезным финансовым и имиджевым проблемам компании.
Какие обязанности
Закон возлагает на поставщиков услуг цифровых ряд обязательств, главным из которых является организация, оказываемой услуги с использованием следующих технических и организационных средств, которые позволяют управлять рисками, которые подвергаются ит – системы, используемые для предоставления услуг, а также гарантируют компьютерную безопасность.
В случае возникновения инцидента поставщик обязан обеспечить обслуживание такого инцидента, то есть, на практике необходимо провести последовательности действий, которые обеспечивают обнаружение инцидентов, их учет, анализ и классификация, определение их приоритетов, и, наконец, принятие корректирующих действий, ограничивающих последствия инцидента.
Что такое инцидент
Ключевым словом, вокруг которого сосредоточены задачи поставщиков, является “инцидент”. Итак, что такое инцидент, связанный с кибербезопасностью на практике?
Инцидент-это событие ,которое оказывает (или может иметь) неблагоприятное влияние на устойчивость ит-систем к действиям, нарушающим конфиденциальность, целостность, доступность и подлинность обработки данных или связанных с ними услуг, предоставляемых через эти системы. Инцидент представляет собой атаку, направленную на систему или техническую инфраструктуру, или отказ таких систем, что ставит под угрозу безопасность данных. Закон ksc всего инциденты, касающиеся цифровых услуг на критические инциденты (оказывающие значительное жаль, классифицируются компетентным csirt), а также инциденты важные (имеющие значительное влияние на предоставление цифровых услуг, и не обязательно, вызывающие травмы). Инцидент оказывает существенное влияние на предоставление цифровой услуги, если:
- a) услуга была недоступна более 5 миллионов “пользователей-часов”, т. Е. Именно это число пострадавших от инцидента пользователей в течение шестидесяти минут или пропорционально меньше в течение более длительного периода;
- b) инцидент привел к потере целостности, подлинности или конфиденциальности хранимых, передаваемых или обрабатываемых данных или связанных с ними услуг, предлагаемых или доступных через сети и ит-системы поставщика, что затронуло более 100 тыс. Пользователей;
- c) инцидент вызвал риск для общественной безопасности или риск смертельных случаев;
- г) инцидент причинил по меньшей мере одному пользователю материальный ущерб, сумма которого превышает 1 млн евро.
По мнению авторов
Учитывая характер услуг, предоставляемых через ит-сети, их владельцы должны проверить, не являются ли на них обязательствами поставщиков цифровых услуг, предусмотренными законом о кск. В частности, принимая во внимание, что компетентные органы, уполномоченные по вопросам кибербезопасности (а для провайдеров цифровых услуг – это министр цифризации и назначенные им лица) не постучат в дверь предпринимателя и не скажут ему, что является поставщиком услуг цифрового провайдера цифровых услуг, должны сами позаботиться, чтобы определить, касается ли их обязанности, вытекающие из закона ksc. Таким образом, если такой орган постучит в дверь предпринимателя, то только для того, чтобы провести проверку, на которую он имеет право в соответствии с законом кск. Проверка предназначена для проверки того, соответствуют ли поставщики требованиям безопасности предоставляемых ими цифровых услуг и выполняют ли они обязанности по сообщению об инцидентах. Поставщики цифровых услуг должны также считаться с возможными наказаниями, которые могут быть наложены за невнесение в csirt инцидента существенного, не предоставление обслуживания инцидента важного или критического в сотрудничестве с csirt или застрять уязвимостей системы, в установленный срок.
