Prawie “świeżynka” czyli Rozporządzenie Ministra Cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo

Nazwijmy je dla łatwości “Rozporządzenie KSC”.

Co ciekawego znajdziemy w tym rozporządzeniu, w kontekście RODO i stosowanych zabezpieczeń? 

Bezpieczeństwo fizyczne w końcu stało się wymogiem. W przypadku operatorów usług kluczowych pojawiły się już wymagania minimalne. Dla przypomnienia poprzedni organ nadzorczy w zakresie ochrony danych osobowych uznawał drewnianą szafę z zamkiem za zabezpieczenie (sic!). Rozporządzenie KSC zawiera bardzo ciekawy zestaw zabezpieczeń technicznych i organizacyjnych w obszarze bezpieczeństwa fizycznego, które można importować do systemu ochrony danych osobowych. Oczywiście nie w takich wymaganiach, jakie są wskazane jako minimalne dla operatorów, bo może to być przerost formy nad treścią, ale jako pewnego rodzaju poradnik warto zastosować. 

Klasyfikacja

Na początek może kilka zdań o tzw. systemie ochrony fizycznej. Problem w rozumieniu wynika z dość istotnego podziału funkcjonalnego. W bezpieczeństwie fizycznym, czyli stanie braku zagrożenia dla fizycznego istnienia przedmiotu (serwera, nośnika, pomieszczenia czy zespołu pomieszczeń) od lat funkcjonuje podział na ochronę osób i mienia (fizyczną) oraz na ochronę ppoż. Ważne dla zrozumienia jest też to, że ochrona ppoż nie jest tylko ochroną przed pożarem, ale też i przed innymi zagrożeniami miejscowymi (np. podtopienia). Poza tym, że podział ten wynika z kilku zestawów przepisów, które omówię poniżej, to same zasady są niemalże identyczne. Podstawowy podział środków ochrony to:

  • Zabezpieczenie techniczne (środki techniczne, np. zgodnie z art 32 RODO)
  • Ochrona bezpośrednia (środki organizacyjne). 

Zabezpieczenie techniczne

Pierwszy podział obejmuje:

  • Zabezpieczenia budowlane, tj. stropy, ściany, przegrody, wydzielone pomieszczenia, mury, płoty, czyli coś, co się “nie rusza”. Wiodącym aktem prawnym jest Prawo budowlane, które wprowadza wiele klasyfikacji. Te klasyfikacje warto znać, aby wiedzieć, jakie są wymagania minimalne wynikające z tej klasy. Warto, dlatego że w trakcie analizy zagrożeń czy szacowania i oceny ryzyka powinniśmy uwzględniać już istniejące zabezpieczenia.
  • Zabezpieczenia mechaniczne, tj. zarówno drzwi, okna, przegrody ruchome, tripody, bramki, ale też i urządzenia chroniące przed działaniem czynnika bądź człowieka. Mogą to być sejfy, kasety zarówno odporne na włamanie, jak i odporne na inne czynniki. Np. pożar, ale też i oddziaływanie pola. 
  • Zabezpieczenia elektroniczne, czyli różnego rodzaju systemy alarmowe, systemy sterowania, często łączone w duże instalacje tzw. inteligentnego budynku, czy integrowane odrębnymi aplikacjami. 

 

Drugi podział, to podział ze względu na cel stosowania zabezpieczenia. 

Systemy detekcji

Nakierowane są na wykrycie zagrożenia i jego ujawnienie. Nie zawsze wykrycie zagrożenia jest tożsame z ujawnieniem. Nie będę wchodził dziś w techniczne zawiłości systemów czy też teorię systemu bezpieczeństwa. Jednak z punktu widzenia RODO jest to aspekt ważny, bo ma wpływ np. na  czas zgłoszenia naruszenia do organu. 

Systemy detekcji mają za zadanie wykryć i poinformować o zagrożeniu. Warto pamiętać, że zasady organizacyjne w firmie i np. procedura w postaci informacji o potencjalnym zdarzeniu obejmująca każdego pracownika ma podobne zadanie. W takim przypadku będziemy mieć do czynienia kombinowanym systemem wykrycia zagrożenia. Jeśli będziemy planować testy, należy uwzględnić oba rodzaje detekcji zagrożeń – organizacyjne (człowiek), techniczne (system detekcji).

Strefy bezpieczeństwa. 

Co do zasady zabezpieczenia mechaniczne i budowlane mają za zadanie postawić opór zagrożeniu. Można je konfigurować w tzw. strefy. I są to zarówno strefy pożarowe (ściany, stropy, drzwi i bramy o odpowiednich klasach REI), jak i strefy odporne na włamanie. W obu przypadkach istotą funkcjonowania takiej strefy jest swoiste wypracowanie czasu oporu, czyli takiego czasu, w którym nastąpi wykrycie zagrożenia, ujawnienie zagrożenia, a następnie reakcja. 

Systemy reakcji

Na podstawie informacji pochodzącej z systemu detekcji następuje reakcja, która powinna nastąpić w czasie oporu. Innymi słowy, w sytuacji w której dochodzi do naruszenia strefy (niezależnie pożarem, czy włamaniem, czy jakkolwiek inaczej), system detekcji powinien poinformować a system reakcji zadziałać. W tym przypadku mamy do czynienia niejako z dwoma fazami reakcji:

  • Kontrola zagrożenia – np. w przypadku pożaru dochodzi do uruchomienia sekcji tryskaczy, w celu kontroli pożaru i niedopuszczenia do jego rozprzestrzenienia. Tu może małe sprostowanie. Systemy tryskaczowe co do zasady nie służą gaszeniu (nieliczne wyjątki). Służą kontroli pożaru, poprzez podanie wody na miejsce, w którym doszło do pożaru. A następnie jednostka ratowniczo-gaśnicza prowadzi akcję, która też ma swoje etapy. Natarcie wodne w celu ugaszenia, ale również po ugaszeniu kontrolę miejsca (pogorzeliska) jako zabezpieczenie przed ponownym rozgorzeniem. Ciekawym rozwiązaniem w kontekście działań kontrterrorystycznych jest sterowanie drzwiami pożarowymi, w celu kontroli np. aktywnego strzelca czy nożownika. Ale to na inny portal i inny artykuł. 
  • Usunięcie zagrożenia. Trzymając się już kwesti pożarowych, do tego służą tzw. stałe lub półstałe urządzenia gaśnicze, z jakimi spotykamy się np. w serwerowniach. Działają one często na zasadzie tzw inertyzacji, tj. obniżenia stężenia tlenu. Oczywiście elementem reakcji jest znów działanie człowieka. Dla zagrożenia np. włamaniem jest to reakcja wynajętej agencji ochrony bądź Policji. A dla gaszenia inertyzacją sprawdzenie pomieszczenia na źródło zapłonu. 

Ochrona bezpośrednia

W tym obszarze najlepiej opisanym obszarem jest ochrona osób i mienia. Dzieli ona ochronę na kilka form:

  • Stała, bezpośrednia ochrona fizyczna. Oznacza, że na miejscu znajduje się wyszkolony pracownik, przygotowany do wykrycia, reakcji i zwalczania zagrożenia. Mimo, że jest to klasyfikacja z ochrony fizycznej osób i mienia, podobną można zastosować dla ochrony np. pożarowej, w której mamy strażaka, czy … zespołów bezpieczeństwa IT. 
  • Doraźna, bezpośrednia ochrona fizyczna. Oznacza, że na sygnał z systemu detekcji uruchamiany jest odpowiednio przygotowany pracownik, grupa lub zespół. Tu również analogia dla systemów cyberbezpieczeństwa, czyli np. IRT – incident response team, zespół odpowiedzi na incydent. 
  • Transport zasobów (konwój, przy spełnieniu konkretnych wymagań). Temat w RODO często całkowicie pomijany. Przy transporcie mamy do czynienia z transportem, czyli przenoszeniem zasobów, ale z użyciem zabezpieczenia technicznego (trezor, walizka bezpieczna, w tym też uwaga: z sygnalizacją!), który może być wykonany przez pracownika organizacji, bądź z konwojem, w którym pracownik jest dodatkowo chroniony przez zespół wyszkolonych pracowników. Inkaso pominę jako formę, jako praktycznie niemożliwą do zastosowania na gruncie regulacji RODO.
  • Monitorowanie sygnałów – jest to ciekawa forma, którą rzadko kojarzy się z ochroną bezpośrednią, częściej z zabezpieczeniem technicznym. Jest to stały dozór sygnałów z urządzeń alarmowych i systemów. Jeszcz tytułem uzupełnienia, bo w Rozporządzeniu KSC pojawiają się konkretne normy. 

System klasyfikowane zgodnie z normami jako systemy alarmowe to:

  • Systemy sygnalizacji zagrożenia – włamania, pożaru (odrębne, szczegółowe regulacje), ale mogą też być wilgotności, czy temperatury. 
  • Systemy kontroli dostępu
  • Systemy telewizji – nazywane telewizją dozorową, przemysłową.  

Ta ostatnia grupa ostatnio również została podzielona na dwa typy:

  • CCTV – skrót od closed circuit television, gdzie mamy do czynienia z zamkniętym systemem telewizji. 
  • VSS – skrót od video surveillance system, gdzie już nie zamykamy się z systemem w ramach obiektu. Te systemy często są łączone z tzw. videopatrolami, czyli czynnościami kontrolnymi wykonywanymi przez pracowników ochrony w zdalnych centrach monitoringu. Piszę o tym ze względu na grupę wymagań, których w Rozporządzeniu KSC nie ma. A § 2.2.7) nie zawęża stałego nadzoru do bezpośredniego. A więc może być stosowany nadzór video. A jeśli tak, to wymagania dla zdalnych centrów monitoringu zawarte są w kolejnych zeszytach norm. 

Wymagania

Mając już pewne podstawy co do składowych systemu, warto wiedzieć, że każdy z nich z osobna ma swoje klasyfikacje, zasady doboru, etc. Z nich dopiero składamy system bezpieczeństwa fizycznego, zgodnie z wymaganiami. I tu znów zarówno w RODO, w KSC, jak i we wszystkich systemach wprowadzanych na podstawie przepisów prawa mamy do czynienia z dwiema grupami wymagań

  • Wymagania prawne – oznaczające minimalne zestawy zabezpieczeń. W RODO są to np. działanie z upoważnienia i na polecenie (organizacyjne), czy anonimizacja (organizacyjne, bądź techniczne z podgrupą logiczne). W Rozporządzeniu KSC wskazane zostały normy branżowe dotyczące odporności na włamanie czy odporności na pożar oraz minimalne, możliwe do zastosowania klasy, zmierzające do zapewnienia bezpieczeństwa fizycznego. 
  • Wymagania organizacyjne – to jest druga grupa zabezpieczeń. W przypadku RODO jest to wynik czy to szacowania i oceny ryzyka czy z DPIA, które to działania powinny dać wytyczne do tworzenia systemu ochrony fizycznej. 

Przypadek specjalny w RODO?

Trzecią grupą wymagań, jakimi posługujemy się w bezpieczeństwie i nie tylko… też w systemach zarządzania, np. jakością jest grupa:

  • Wymagania klienta – dla RODO są to wymagania związane np. z powierzeniem przetwarzania.

Procesor (podmiot przetwarzający) aby działał właściwie musi brać pod uwagę wszystkie trzy grupy:

  • Wymagania prawne
  • Wymagania organizacyjne (własne)
  • Wymagania klienta

Podsumowanie

Do artykułu o bezpieczeństwie fizycznym podchodziłem już kilkukrotnie. Mam kilka szkiców artykułów, niemniej Rozporządzenie KSC (to ostatnie) dało mi impuls, aby się w końcu z tym zmierzyć. Temat nie jest wbrew pozorom trywialny, bo naprawdę niewielu specjalistów, czy na niewielu kursach czy uczelniach o tym się mówi. A przecież to jest wymagany i obowiązkowy obszar działania organizatora ochrony danych osobowych, ale także IOD-a. Który aby nadzorować, czy zabezpieczenia są właściwie dobrane i skuteczne, musi mieć co najmniej elementarną wiedzę. 

Dlatego ten artykuł należy traktować jako swoisty wstęp do serii artykułów o bezpieczeństwie fizycznym.