Операторы основных услуг определяются компетентными органами, которые выносят административное решение в этом отношении. Основанием для вынесения решения являются следующие критерии:
организация предоставляет ключевую услугу в одном из секторов,предоставление услуги зависит от информационных систем,возникновение инцидента может оказать существенное негативное влияние на предоставление основных услуг.
Операторы основных услуг должны внедрить систему управления безопасностью в информационную систему, используемую для предоставления ключевой услуги. В рамках управления систематическая оценка рисков и адаптация к ним мер безопасности, таких как безопасная работа системы, физическая безопасность системы (включая контроль доступа), безопасность и непрерывность предоставления услуг, которые влияют на предоставление ключевой услуги, поддержание планов действий, обеспечивающих непрерывность предоставление услуги, постоянный мониторинг системы обеспечения предоставления услуги.
Обработка инцидентов. - В случае аварии оператор обеспечивает ее устранение путем:
классификация инцидентов на основе критериев, определенных Советом министров в постановлении,если инцидент классифицирован как серьезный - сообщить в соответствующую CSIRT не позднее 24 часов с момента обнаружения,сотрудничество с CSIRT в рамках обработки инцидентов наряду с обеспечением адекватного доступа к информации,устранение уязвимостей системы.
При назначении отраслевой группы по кибербезопасности оператор дополнительно представляет группе отчет, взаимодействует с командой, отправляя необходимые данные, и предоставляет группе доступ к информации о зарегистрированных инцидентах. Фактически это означает, что закон вводит дискреционные полномочия при создании отраслевых групп безопасности. Будет ли создана такая отраслевая CSIRT, зависит от самого сектора.
Из-за трансграничного характера цифровых услуг и международной специфики организаций, предоставляющих такие услуги, DSP подлежат более мягкому регулированию, чем операторы основных услуг. Они должны применять меры безопасности, пропорциональные риску, принимая во внимание, в частности:
безопасность информационных систем и средств - информационные системы включают системы ИКТ, указанные в ст. 3 п. 3 Закона от 17 февраля 2005 г. о компьютеризации деятельности субъектов, выполняющих государственные задачи (Законодательный вестник 2017 г., ст. 570 и от 2018 г., ст. 1000), а также данные, обрабатываемые в них в электронная форма.
Вы можете заказать
анализ инцидентов.
В дополнение к соответствующему управлению рисками информационных систем, используемых для предоставления цифровых услуг, PSD должны выполнять действия, позволяющие обнаруживать, регистрировать, анализировать и классифицировать инциденты. В случае серьезного инцидента поставщик основных услуг должен сообщить информацию соответствующей CSIRT не позднее, чем через 24 часа после обнаружения.
Как и в случае с операторами основных услуг, ОЧП контролируются компетентными органами, которые имеют право проводить проверки и налагать штрафы.