{"id":2556,"date":"2021-04-07T22:07:15","date_gmt":"2021-04-07T22:07:15","guid":{"rendered":"https:\/\/aplaw.pl\/?p=2556"},"modified":"2021-04-07T22:18:23","modified_gmt":"2021-04-07T22:18:23","slug":"2556","status":"publish","type":"post","link":"https:\/\/aplaw.pl\/en\/publications\/2556\/","title":{"rendered":"In terms of the cybersecurity infrastructure, to define appropriate requirements it is useful to make risk analysis connected with data processing or provision of the particular services by the purchaser – write Artur Piechocki and Katarzyna Gorzkowska in Rzeczpospolita"},"content":{"rendered":"

7.04.2021 Rzeczpospolita published an article by Artur Piechocki and Katarzyna Gorzkowska “Cybersecurity: the critical factors are the technologies applied and the system functionalities”<\/strong> on April 7, 2021.<\/p>\n

W przypadku infrastruktury do cyberbezpiecze\u0144stwa w okre\u015bleniu rzeczywistych potrzeb przydatne mo\u017ce okaza\u0107 si\u0119 przeprowadzenie analizy ryzyka zwi\u0105zanego z przetwarzaniem konkretnego rodzaju danych czy \u015bwiadczeniem konkretnych us\u0142ug przez zamawiaj\u0105cego.<\/div>\n
\n
\n

Instytucje publiczne, samorz\u0105dowe czy przedsi\u0119biorcy coraz cz\u0119\u015bciej staj\u0105 si\u0119 ofiarami atak\u00f3w cyberprzest\u0119pc\u00f3w. Cyberprzest\u0119pcy nagminnie wykorzystuj\u0105 podatno\u015bci zabezpiecze\u0144 system\u00f3w do przej\u0119cia kontroli nad urz\u0105dzeniami i systemami teleinformatycznymi. Zagro\u017cenia dla cyberbezpiecze\u0144stwa nierzadko wynikaj\u0105 z nieodpowiednich zabezpiecze\u0144 fizycznych czy rozwi\u0105za\u0144 organizacyjnych (np. brak szkole\u0144 kadry i niska \u015bwiadomo\u015b\u0107 na temat zagro\u017ce\u0144). Braki w zakresie rozwi\u0105za\u0144 technicznych czy proceduralnych mog\u0105 prowadzi\u0107 do utraty kontroli nad elementami infrastruktury wykorzystywanej do cyberbezpiecze\u0144stwa. Nieadekwatno\u015b\u0107 posiadanych \u015brodk\u00f3w do aktualnych zagro\u017ce\u0144 mo\u017ce natomiast skutkowa\u0107 powa\u017cnymi konsekwencjami w postaci utraty integralno\u015bci, poufno\u015bci, dost\u0119pno\u015bci oraz autentyczno\u015bci przetwarzanych danych (w tym danych osobowych, danych obj\u0119tych tajemnic\u0105 przedsi\u0119biorstwa), a w konsekwencji \u2013 pozbawieniem mo\u017cliwo\u015bci \u015bwiadczenia us\u0142ug.<\/p>\n<\/div>\n

\n

Nale\u017cy zaznaczy\u0107, \u017ce ustawa \u2013 Prawo zam\u00f3wie\u0144 publicznych z 11 wrze\u015bnia 2019 r. (dalej: \u201epzp”) zawiera liczne wy\u0142\u0105czenia dotycz\u0105ce jej stosowania w przypadku zam\u00f3wie\u0144, kt\u00f3rych przedmiot stanowi\u0105 dostawy i us\u0142ugi w dziedzinach obronno\u015bci i bezpiecze\u0144stwa. Co do zasady pzp jest stosowana w przypadku, gdy warto\u015b\u0107 tego rodzaju zam\u00f3wienia jest r\u00f3wna lub przekracza okre\u015blone progi unijne (art. 2 ust. 1 pkt 3 pzp). Ponadto nie wszystkie podmioty obowi\u0105zane do stosowania ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpiecze\u0144stwa (dalej: \u201euksc”) b\u0119d\u0105 obj\u0119te obowi\u0105zkiem stosowania zasad dotycz\u0105cych zam\u00f3wie\u0144 publicznych (na przyk\u0142ad nie ka\u017cdy operator us\u0142ugi kluczowej b\u0119dzie posiada\u0142 status jednostki sektora finans\u00f3w publicznych, nie ka\u017cdy b\u0119dzie te\u017c pa\u0144stwow\u0105 jednostk\u0105 organizacyjn\u0105). Niezale\u017cnie od przyj\u0119tej procedury nale\u017cy wskaza\u0107 istotne elementy dla ka\u017cdego zam\u00f3wienia dotycz\u0105cego cyberbezpiecze\u0144stwa, nawet gdy nie podlega ono obowi\u0105zkom dotycz\u0105cym zam\u00f3wie\u0144 publicznych.<\/p>\n<\/div>\n

\n

Wa\u017cna jest Infrastruktura<\/h4>\n

Aby zrozumie\u0107, czym jest cyberbezpiecze\u0144stwo, mo\u017cna si\u0119gn\u0105\u0107 do definicji zawartej w art. 2 pkt 4 uksc, zgodnie z kt\u00f3r\u0105 przez \u201ecyberbezpiecze\u0144stwo” nale\u017cy rozumie\u0107 \u201eodporno\u015b\u0107 system\u00f3w informacyjnych na dzia\u0142ania naruszaj\u0105ce poufno\u015b\u0107, integralno\u015b\u0107, dost\u0119pno\u015b\u0107 i autentyczno\u015b\u0107 przetwarzanych danych lub zwi\u0105zanych z nimi us\u0142ug oferowanych przez te systemy”. W uproszczeniu chodzi o zapewnienie takich rozwi\u0105za\u0144 (m.in. technicznych), kt\u00f3re zabezpiecz\u0105 systemy IT przed dokonaniem w nich modyfikacji w spos\u00f3b nieuprawniony, ujawnieniem danych podmiotom nieupowa\u017cnionym oraz zapewni\u0105 sta\u0142y dost\u0119p do system\u00f3w.<\/p>\n<\/div>\n

\n

W zakres szeroko rozumianego cyberbezpiecze\u0144stwa powinny zatem wchodzi\u0107 wszelkie technologie, procesy i rozwi\u0105zania organizacyjne stosowane w celu ochrony sieci teleinformatycznych, urz\u0105dze\u0144, jak r\u00f3wnie\u017c danych (osobowych i nieosobowych) przed niepo\u017c\u0105danymi dzia\u0142aniami takimi jak uszkodzenia infrastruktury i danych, nieautoryzowany dost\u0119p, kradzie\u017c danych, utrata kontroli nad systemami i danymi. Do dzia\u0142a\u0144 zwi\u0105zanych z cyberbezpiecze\u0144stwem b\u0119d\u0105 si\u0119 zalicza\u0142y wszelkie zam\u00f3wienia przeprowadzane w celu zapewnienia bezpiecze\u0144stwa IT (np. bezpiecze\u0144stwo sieci, bezpiecze\u0144stwo aplikacji, zabezpieczenia baz danych), kt\u00f3re wymagaj\u0105 wdro\u017cenia odpowiednich rozwi\u0105za\u0144 technicznych (m.in. oprogramowania), jak r\u00f3wnie\u017c zapewnienia prawid\u0142owej organizacji i zarz\u0105dzania (np. prowadzenie szkole\u0144 pracownik\u00f3w, opracowanie procedur czy wykonanie audyt\u00f3w). Wymaga przy tym podkre\u015blenia, \u017ce obowi\u0105zek zapewnienia bezpiecze\u0144stwa IT nie dotyczy wy\u0142\u0105cznie podmiot\u00f3w wymienionych w ustawie o Krajowym Systemie Cyberbezpiecze\u0144stwa (tj. operatorzy us\u0142ug kluczowych, dostawcy us\u0142ug cyfrowych, podmioty publiczne), mo\u017ce si\u0119 te\u017c wi\u0105za\u0107 z konieczno\u015bci\u0105 realizacji obowi\u0105zk\u00f3w wskazanych w RODO. Podobnie cyberbezpiecze\u0144stwo nie ogranicza si\u0119 do dzia\u0142a\u0144 podejmowanych w celu zapewnienia obronno\u015bci i bezpiecze\u0144stwa pa\u0144stwa, lecz dotyczy zabezpieczania danych i ci\u0105g\u0142o\u015bci funkcjonowania organizacji.<\/p>\n<\/div>\n

\n

Potrzeby zamawiaj\u0105cego<\/h4>\n

Zgodnie z tre\u015bci\u0105 art. 17 pzp zam\u00f3wienie powinno zosta\u0107 udzielone w spos\u00f3b zapewniaj\u0105cy najlepsz\u0105 jako\u015b\u0107 uzasadnion\u0105 charakterem zam\u00f3wienia w ramach \u015brodk\u00f3w planowanych na realizacj\u0119 w celu uzyskania najlepszych efekt\u00f3w. Jednocze\u015bnie procedura zwi\u0105zana z udzieleniem zam\u00f3wienia powinna zapewnia\u0107 bezstronno\u015b\u0107 i obiektywizm.<\/p>\n<\/div>\n

\n

W rzeczywisto\u015bci przygotowaniu post\u0119powania, jak r\u00f3wnie\u017c wyborowi najkorzystniejszej oferty, nierzadko towarzysz\u0105 liczne w\u0105tpliwo\u015bci. W szczeg\u00f3lno\u015bci dotycz\u0105 one znalezienia r\u00f3wnowagi pomi\u0119dzy wybraniem oferty optymalnej cenowo a zapewnieniem rozwi\u0105za\u0144 (m.in. technologii) adekwatnych do potrzeb zamawiaj\u0105cego. Problem ten nabiera znaczenia w przypadku planowania zam\u00f3wienia, kt\u00f3rego przedmiot stanowi infrastruktura do cyberbezpiecze\u0144stwa, albowiem dost\u0119pne na rynku rozwi\u0105zania nie tylko s\u0105 zr\u00f3\u017cnicowane pod wzgl\u0119dem rodzaju i liczby funkcjonalno\u015bci, lecz tak\u017ce zakresu \u015bwiadczenia us\u0142ug. Zar\u00f3wno dostawy, jak i us\u0142ugi dotycz\u0105ce cyberbezpiecze\u0144stwa zazwyczaj b\u0119d\u0105 si\u0119 wi\u0105za\u0142y ze specjalistyczn\u0105 wiedz\u0105, kompetencjami czy unikalnymi rozwi\u0105zaniami technologicznymi, w zwi\u0105zku z czym nak\u0142ady finansowe mog\u0105 okaza\u0107 si\u0119 istotnym czynnikiem decyzyjnym odno\u015bnie do tego, czy warto ponie\u015b\u0107 wydatki na rozw\u00f3j w\u0142asnych struktur i stworzenie wewn\u0119trznego Security Operation Center (SOC), czy te\u017c lepiej skorzysta\u0107 z takich rozwi\u0105za\u0144 w ramach outsourcingu.<\/p>\n<\/div>\n

\n

Przy dokonywaniu interpretacji art. 17 pzp nie powinna uj\u015b\u0107 uwadze tre\u015b\u0107 dyrektywy 2014\/24, odnosz\u0105ca si\u0119 do poj\u0119cia \u201ekryteri\u00f3w udzielenia zam\u00f3wienia”. Tre\u015b\u0107 motywu 89 dyrektywy 2014\/24 wskazuje na konieczno\u015b\u0107 dokonania oceny ofert pod k\u0105tem najlepszej relacji jako\u015bci do ceny. W tym celu zamawiaj\u0105cy powinien okre\u015bli\u0107 kryteria ekonomiczne i jako\u015bciowe dotycz\u0105ce przedmiotu zam\u00f3wienia, na podstawie kt\u00f3rych dokona oceny i wyboru oferty optymalnie odpowiadaj\u0105cej jego potrzebom (motyw 92 dyrektywy 2014\/24). Oznacza to, \u017ce zamawiaj\u0105cy, planuj\u0105c zam\u00f3wienie, powinien w ka\u017cdym przypadku uwzgl\u0119dnia\u0107 swoje rzeczywiste potrzeby, jak r\u00f3wnie\u017c specyfik\u0119 danego zam\u00f3wienia. W przypadku infrastruktury do cyberbezpiecze\u0144stwa w okre\u015bleniu rzeczywistych potrzeb przydatne mo\u017ce okaza\u0107 si\u0119 przeprowadzenie analizy ryzyka zwi\u0105zanego z przetwarzaniem konkretnego rodzaju danych czy \u015bwiadczeniem konkretnych us\u0142ug przez zamawiaj\u0105cego. Na jej podstawie zamawiaj\u0105cy powinien by\u0107 w stanie zidentyfikowa\u0107 potencjalne niepo\u017c\u0105dane zdarzenia oraz ich nast\u0119pstwa, a tak\u017ce rozezna\u0107 si\u0119, jakie rozwi\u0105zania odpowiednie do stwierdzonych problem\u00f3w (potencjalnych incydent\u00f3w zagra\u017caj\u0105cych cyberbezpiecze\u0144stwu) oferowane s\u0105 na rynku.<\/p>\n<\/div>\n

\n

Optymalne rozwi\u0105zania<\/h4>\n

W przypadku planowania zam\u00f3wienia, kt\u00f3rego przedmiotem jest infrastruktura do cyberbezpiecze\u0144stwa, niew\u0105tpliwie istotne znaczenie dla zamawiaj\u0105cego powinny mie\u0107 takie kwestie jak zastosowana technologia, funkcjonalno\u015bci oprogramowania czy integracja z ju\u017c wykorzystywanym oprogramowaniem. Zapewnienie cyberbezpiecze\u0144stwa wymaga bowiem zastosowania narz\u0119dzi informatycznych umo\u017cliwiaj\u0105cych m.in. rejestrowanie zg\u0142osze\u0144 incydent\u00f3w, analiz\u0119 kodu szkodliwego oprogramowania, badanie odporno\u015bci system\u00f3w informacyjnych na prze\u0142amanie lub omini\u0119cie zabezpiecze\u0144, zabezpieczanie informacji potrzebnych do analizy po zaistnia\u0142ym incydencie. Nie mo\u017cna tak\u017ce zapomina\u0107 o wadze stosowanych zabezpiecze\u0144 technicznych budynk\u00f3w. Nawet najdro\u017csze oprogramowanie nie spe\u0142ni bowiem swojej funkcji, je\u017celi pomieszczenie ulegnie spaleniu, zalaniu lub zniszczeniu w wyniku dzia\u0142a\u0144 w\u0142amywaczy. Nale\u017cy zatem pami\u0119ta\u0107 o zapewnieniu odpowiedniej klasy odporno\u015bci ogniowej \u015bcian i strop\u00f3w pomieszczenia, odpowiedniej klasy odporno\u015bci po\u017carowej budynk\u00f3w czy szaf, a tak\u017ce zamk\u00f3w i drzwi. Podobnie istotne jest wdro\u017cenie systemu kontroli dost\u0119pu monitoruj\u0105cego wszystkie wej\u015bcia i wyj\u015bcia kontrolowanego obszaru, rozpoznaj\u0105cego osoby uprawnione np. w wyniku odczytu identyfikatora.<\/p>\n<\/div>\n

\n

Odno\u015bnie do zam\u00f3wienia dotycz\u0105cego \u015bwiadczenia us\u0142ug w zakresie cyberbezpiecze\u0144stwa nale\u017cy pami\u0119ta\u0107, \u017ce dotyczy ono us\u0142ug specjalistycznych. W tym przypadku istotne znaczenie b\u0119d\u0105 mia\u0142y kryteria dotycz\u0105ce m.in. do\u015bwiadczenia wykonawcy i zaanga\u017cowanego przez niego personelu czy posiadane przez wykonawc\u0119 wymagane certyfikaty z zakresu cyberbezpiecze\u0144stwa. Warto tak\u017ce zwr\u00f3ci\u0107 uwag\u0119 na koncepcje \u015bwiadczenia us\u0142ug. Istotnym elementem jest zapewnienie sobie w\u0142a\u015bciwego okre\u015blenia SLA (service level agreement), w tym m.in. czasu prowadzenia monitoringu, czasu i liczby reakcji na wykryty incydent oraz maksymalnej liczby incydent\u00f3w przeznaczonych do obs\u0142ugi w okre\u015blonym czasie (np. w ci\u0105gu godziny).<\/p>\n

Article: https:\/\/www.rp.pl\/Zamowienia-publiczne\/304079992-Cyberbezpieczenstwo-Istotne-sa-zastosowana-technologia-i-funkcjonalnosci-oprogramowania.html?cid<\/a><\/p>\n

 <\/p>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

[\u2026]<\/span><\/p>\n","protected":false},"author":1,"featured_media":2559,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[51],"tags":[],"class_list":["post-2556","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-publications"],"_links":{"self":[{"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/posts\/2556","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/comments?post=2556"}],"version-history":[{"count":0,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/posts\/2556\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/media\/2559"}],"wp:attachment":[{"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/media?parent=2556"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/categories?post=2556"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/tags?post=2556"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}