{"id":2658,"date":"2021-06-06T21:15:29","date_gmt":"2021-06-06T21:15:29","guid":{"rendered":"https:\/\/aplaw.pl\/?p=2658"},"modified":"2021-06-06T21:21:08","modified_gmt":"2021-06-06T21:21:08","slug":"kazda-umowa-z-zakresu-cyberbezpieczenstwa-powinna-szczegolowo-okreslac-gwarantowany-poziom-swiadczenia-uslug-czyli-wskazywac-jakie-konkretne-czynnosci-bedzie-musial-wykonac-dostawca-uslug-cyberbezpi","status":"publish","type":"post","link":"https:\/\/aplaw.pl\/en\/publications\/kazda-umowa-z-zakresu-cyberbezpieczenstwa-powinna-szczegolowo-okreslac-gwarantowany-poziom-swiadczenia-uslug-czyli-wskazywac-jakie-konkretne-czynnosci-bedzie-musial-wykonac-dostawca-uslug-cyberbezpi\/","title":{"rendered":"Each cybersecurity agreement should define a guaranteed security service level in details which means it should determine particular actions taken by a cybersecurity service supplier – write in Rzeczpospolita Artur Piechocki and Katarzyna Gorzkowska"},"content":{"rendered":"

Cyberbezpiecze\u0144stwo w praktyce \u2013 poradnik dla firm<\/h1>\n
Ka\u017cda umowa z zakresu cyberbezpiecze\u0144stwa powinna szczeg\u00f3\u0142owo okre\u015bla\u0107 gwarantowany poziom \u015bwiadczenia us\u0142ug, czyli wskazywa\u0107, jakie konkretne czynno\u015bci b\u0119dzie musia\u0142 wykona\u0107 dostawca us\u0142ug cyberbezpiecze\u0144stwa oraz na jakich zasadach.<\/div>\n
\n
\n

Na przestrzeni ostatnich lat widoczna jest tendencja do inwestowania w rozw\u00f3j zabezpiecze\u0144 sieci, urz\u0105dze\u0144, czy program\u00f3w przed atakami i innego rodzaju zagro\u017ceniami (np. nieautoryzowanym dost\u0119pem). Na wzrost zainteresowania metodami zabezpiecze\u0144 wp\u0142yw mia\u0142 nie tylko znacz\u0105cy wzrost zagro\u017ce\u0144 oraz incydent\u00f3w, ale r\u00f3wnie\u017c regulacje unijne i krajowe, takie jak:<\/p>\n

– Dyrektywa Network and Information Security,<\/p>\n

– ustawa o krajowym systemie cyberbezpiecze\u0144stwa (\u201euksc”),<\/p>\n

– rozporz\u0105dzenie 2016\/679 (\u201eRODO”)<\/p>\n

\u2013 wprowadzone, g\u0142\u00f3wnie jako konsekwencja tych zagro\u017ce\u0144 oraz incydent\u00f3w.<\/p>\n

Zgodnie z przepisami uksc, na podmioty posiadaj\u0105ce status operator\u00f3w us\u0142ug kluczowych i dostawc\u00f3w us\u0142ug cyfrowych zosta\u0142y na\u0142o\u017cone liczne obowi\u0105zki, w tym przede wszystkim dotycz\u0105ce zapewnienia odpowiedniego poziomu odporno\u015bci system\u00f3w informacyjnych na dzia\u0142ania naruszaj\u0105ce poufno\u015b\u0107, integralno\u015b\u0107, dost\u0119pno\u015b\u0107 i autentyczno\u015b\u0107 przetwarzanych danych lub zwi\u0105zanych z nimi us\u0142ug oferowanych przez te systemy. Ponadto, wej\u015bcie w \u017cycie RODO spowodowa\u0142o powstanie licznych powinno\u015bci zwi\u0105zanych z zapewnieniem bezpiecze\u0144stwa przetwarzanym danym osobowym (tj. informacjom o zidentyfikowanej lub mo\u017cliwej do zidentyfikowania osobie fizycznej), np. ochrona przed nieautoryzowanym dost\u0119pem.<\/p>\n

Cyberbezpiecze\u0144stwo nie dotyczy wy\u0142\u0105cznie podmiot\u00f3w wymienionych w uksc. Coraz cz\u0119\u015bciej motywacj\u0119 do korzystania z szeroko rozumianego cyberbezpiecze\u0144stwa, stanowi chocia\u017cby konieczno\u015b\u0107 zapewnienia zgodno\u015bci z RODO, czy zwi\u0119kszaj\u0105ca si\u0119 \u015bwiadomo\u015b\u0107 potrzeby ochrony tajemnic przedsi\u0119biorstwa, a nawet wyst\u0105pienie samego incydentu cybernetycznego u przedsi\u0119biorcy. Nowe zadania, jak r\u00f3wnie\u017c potencjalne konsekwencje w postaci dotkliwych kar finansowych, dla niekt\u00f3rych stanowi\u0142y istotn\u0105 motywacj\u0119 do inwestycji w rozw\u00f3j wewn\u0119trznych struktur zajmuj\u0105cych si\u0119 obs\u0142ug\u0105 IT. Z kolei spora grupa przedsi\u0119biorc\u00f3w, ze wzgl\u0119du na koszty, decyduje si\u0119 na korzystanie z us\u0142ug w ramach outsourcingu, co wymaga zawarcia odpowiedniej umowy.<\/p>\n<\/div>\n

\n

Zawarcie umowy z dostawc\u0105 us\u0142ug<\/h2>\n

Zapewnienie nale\u017cytego poziomu obs\u0142ugi zagro\u017ce\u0144 oraz incydent\u00f3w wi\u0105\u017ce si\u0119 z\u00a0konieczno\u015bci\u0105 zawarcia umowy z dostawc\u0105 \u015bwiadcz\u0105cym us\u0142ugi z zakresu cyberbezpiecze\u0144stwa. Tego rodzaju kontrakty nie zosta\u0142y uregulowane w przepisach prawa. Przede wszystkim nie s\u0105 to umowy nazwane, co oznacza, \u017ce elementy sk\u0142adaj\u0105ce si\u0119 na ich tre\u015b\u0107 nie zosta\u0142y okre\u015blone w Kodeksie cywilnym (\u201eKc”). Niemniej jednak, takie umowy od dawna funkcjonuj\u0105 jako efekt praktyki obrotu handlowego, co jest mo\u017cliwe dzi\u0119ki zasadzie swobody um\u00f3w zawartej w art. 3531 Kc.<\/p>\n

Wa\u017cny przepis Kodeks cywilny art. 3531<\/strong><\/p>\n

Strony zawieraj\u0105ce umow\u0119 mog\u0105 u\u0142o\u017cy\u0107 stosunek prawny wed\u0142ug swego uznania, byleby jego tre\u015b\u0107 lub cel nie sprzeciwia\u0142y si\u0119 w\u0142a\u015bciwo\u015bci (naturze) stosunku, ustawie ani zasadom wsp\u00f3\u0142\u017cycia spo\u0142ecznego.<\/p>\n

Zatem w oparciu o art. 3531 Kc podmioty prawa zosta\u0142y przez ustawodawc\u0119 wyposa\u017cone w kompetencj\u0119 do swobodnego kszta\u0142towania stosunku prawnego, dzi\u0119ki czemu maj\u0105 mo\u017cliwo\u015b\u0107 formowania dwu i wielostronnych czynno\u015bci prawnych w drodze z\u0142o\u017cenia zgodnych o\u015bwiadcze\u0144 woli. Swoboda um\u00f3w doznaje jednak pewnych ogranicze\u0144, gdy\u017c ustalenia zainteresowanych stron nie mog\u0105 by\u0107 sprzeczne z ustaw\u0105, czyli z postanowieniami reguluj\u0105cymi okre\u015blon\u0105 materi\u0119, przewidzianymi w r\u00f3\u017cnych aktach prawnych. Takie postanowienia zosta\u0142y zawarte chocia\u017cby w uksc oraz aktach wykonawczych i dotycz\u0105 um\u00f3w zawieranych przez operator\u00f3w us\u0142ug kluczowych i dostawc\u00f3w us\u0142ug cyfrowych.<\/p>\n

W przypadku um\u00f3w zawieranych z zewn\u0119trznymi dostawcami us\u0142ug cyberbezpiecze\u0144stwa przez inne podmioty ni\u017c podlegaj\u0105ce regulacji uksc, ich tre\u015b\u0107 jest w zasadzie dowolna (warto zaznaczy\u0107, \u017ce pewne ograniczenia mog\u0105 wynika\u0107 z przepis\u00f3w szczeg\u00f3lnych, jak np. kwestie udzielenia licencji dotycz\u0105cej korzystania z oprogramowania, czy obowi\u0105zkowe elementy umowy powierzenia przetwarzania danych osobowych, o kt\u00f3rych mowa w\u00a0RODO), za\u015b warunki s\u0105 kszta\u0142towane na zasadach rynkowych, co oznacza, \u017ce rodzaj poszczeg\u00f3lnych us\u0142ug i\u00a0cen zale\u017c\u0105 od oferty konkretnego dostawcy.<\/p>\n

W praktyce mo\u017ce to osobom ma\u0142o do\u015bwiadczonym i nieposiadaj\u0105cym wiedzy na temat standard\u00f3w bran\u017cowych znacznie utrudnia\u0107 wyb\u00f3r najkorzystniejszej oferty.<\/p>\n<\/div>\n

\n

Istotne elementy kontraktu<\/h2>\n

Ka\u017cdy przedsi\u0119biorca mo\u017ce zdecydowa\u0107 si\u0119 na zawarcie umowy z podmiotem zewn\u0119trznym, \u015bwiadcz\u0105cym us\u0142ugi z zakresu cyberbezpiecze\u0144stwa (managed security service provider, w skr\u00f3cie: \u201emssp”). Rosn\u0105ca liczba cyberzagro\u017ce\u0144 stanowi najwa\u017cniejszy impuls, kt\u00f3ry powoduje, \u017ce wiele firm anga\u017cuje mssp w\u00a0celu wykrywania i zapobiegania atakom. Przedsi\u0119biorcy cz\u0119sto korzystaj\u0105 we w\u0142asnym zakresie z wielu po\u0142\u0105czonych ze sob\u0105 produkt\u00f3w, pochodz\u0105cych od r\u00f3\u017cnych producent\u00f3w, wzajemnie niekompatybilnych, co skutkuje niepe\u0142n\u0105 widoczno\u015bci\u0105 mo\u017cliwych zagro\u017ce\u0144 i zwi\u0119kszon\u0105 podatno\u015bci\u0105 na ataki.<\/p>\n

Natomiast mssp oferuj\u0105 klientom szerokie pakiety us\u0142ug w zakresie bezpiecze\u0144stwa. Mog\u0105 dostosowa\u0107 us\u0142ugi do potrzeb indywidualnej firmy lub zaoferowa\u0107 kilka standardowych poziom\u00f3w us\u0142ug, kt\u00f3re zaspokoj\u0105 r\u00f3\u017cnorodne potrzeby. Taki dostawca zazwyczaj zapewnia monitorowanie i zarz\u0105dzanie urz\u0105dzeniami oraz systemami bezpiecze\u0144stwa na zasadzie outsourcingu. Dzi\u0119ki takiemu rozwi\u0105zaniu przedsi\u0119biorca nie b\u0119dzie ponosi\u0107 koszt\u00f3w zwi\u0105zanych z zatrudnieniem pracownik\u00f3w operacyjnych odpowiedzialnych za bezpiecze\u0144stwo cybernetyczne, w\u00a0tym koszt\u00f3w szkolenia.<\/p>\n

Kolejn\u0105 zalet\u0105 jest mo\u017cliwo\u015b\u0107 uzyskania nielimitowanego dost\u0119pu do us\u0142ug cyberbezpiecze\u0144stwa, a tak\u017ce brak konieczno\u015bci nabywania kosztownych licencji, np. na oprogramowanie monitoruj\u0105ce typu SIEM (o kt\u00f3rym jest mowa poni\u017cej). Mssp zazwyczaj \u015bwiadcz\u0105 us\u0142ugi 24\/7 i\u00a0w\u00a0tym celu korzystaj\u0105 z centr\u00f3w operacyjnych zlokalizowanych we w\u0142asnych obiektach lub u swoich podwykonawc\u00f3w. Bardzo wysokie koszty budowy i utrzymywania takiego centrum standardowo spoczywa\u0142yby na samym przedsi\u0119biorcy.<\/p>\n

Wa\u017cne!<\/strong><\/p>\n

Typowe us\u0142ugi wchodz\u0105ce w\u00a0zakres umowy obejmuj\u0105, co do zasady, monitoring, zarz\u0105dzanie zapor\u0105 sieciow\u0105, wykrywanie incydent\u00f3w (min. w\u0142ama\u0144), ponadto zarz\u0105dzanie VPN, skanowanie podatno\u015bci na ataki oraz dzia\u0142ania zwi\u0105zane z\u00a0zabezpieczeniem przed z\u0142o\u015bliwym oprogramowaniem.<\/p>\n

Zwykle jednak, zakres \u015bwiadczonych us\u0142ug okre\u015blaj\u0105 standardy rynkowe, dlatego b\u0119dzie on zr\u00f3\u017cnicowany, w\u00a0zale\u017cno\u015bci od oferty konkretnego dostawcy. Uwzgl\u0119dniaj\u0105c zr\u00f3\u017cnicowan\u0105 ofert\u0119 poszczeg\u00f3lnych mssp, warto zapewni\u0107, aby ka\u017cda umowa z zakresu cyberbezpiecze\u0144stwa szczeg\u00f3\u0142owo okre\u015bla\u0142a gwarantowany poziom \u015bwiadczenia us\u0142ug (Service Level Agreement, w\u00a0skr\u00f3cie: \u201eSLA”), czyli wskazywa\u0107, jakie konkretne czynno\u015bci b\u0119dzie musia\u0142 wykona\u0107 dostawca us\u0142ug cyberbezpiecze\u0144stwa oraz na jakich zasadach (np. na jakich zasadach udost\u0119pni specjalistyczne oprogramowanie, ile ma czasu na obs\u0142ug\u0119 incydentu).<\/p>\n

Dostawcy w swojej ofercie posiadaj\u0105 szeroki wachlarz zintegrowanych i zautomatyzowanych narz\u0119dzi bezpiecze\u0144stwa, kt\u00f3re obejmuj\u0105 bezpiecze\u0144stwo sieciowe, bezpiecze\u0144stwo w chmurze, bezpiecze\u0144stwo aplikacji, bezpiecze\u0144stwo dost\u0119pu oraz funkcje centrum operacji sieciowych (network operations center, w skr\u00f3cie: \u201eNOC”) i\u00a0centrum operacji bezpiecze\u0144stwa (security operations center, w skr\u00f3cie: \u201eSOC”). Umowa powinna zatem zawiera\u0107 postanowienia dotycz\u0105ce korzystania ze wskazanych powy\u017cej element\u00f3w, w szczeg\u00f3lno\u015bci regulowa\u0107 kwestie dotycz\u0105ce specjalistycznego oprogramowania.<\/p>\n<\/div>\n

\n

Oprogramowanie SIEM i SOC<\/h2>\n

SIEM (security information and event management, w\u00a0skr\u00f3cie: \u201eSIEM”) jest oprogramowaniem zbieraj\u0105cym z\u00a0element\u00f3w infrastruktury przedsi\u0119biorcy informacje na temat zdarze\u0144 z zakresu bezpiecze\u0144stwa informacji oraz zarz\u0105dzanie nimi. SIEM umo\u017cliwia zbieranie log\u00f3w i monitoring zdarze\u0144 w sieci komputerowej organizacji, aby w\u00a0por\u0119 ustrzec j\u0105 przed atakiem, ewentualnie zmniejszy\u0107 jego skutki. SIEM jest typowym narz\u0119dziem oferowanym w ramach \u015bwiadczenia us\u0142ug SOC. Wymaga podkre\u015blenia, \u017ce wspomniany wcze\u015bniej SLA mo\u017ce by\u0107 r\u00f3\u017cny, w zale\u017cno\u015bci od zakresu us\u0142ug oferowanych w ramach okre\u015blonej linii SOC. W przypadku pierwszej linii SOC zakres us\u0142ug zazwyczaj polega na:<\/p>\n

– bie\u017c\u0105cym monitoringu incydent\u00f3w pojawiaj\u0105cych si\u0119 w systemie SIEM,<\/p>\n

– wykonaniu wst\u0119pnej analizy incydent\u00f3w zgodnie z ustalonymi procedurami i scenariuszami uzgodnionymi z zamawiaj\u0105cym,<\/p>\n

– analizie incydent\u00f3w pod wzgl\u0119dem wyst\u0105pienia b\u0142\u0119du tzw. false-positive,<\/p>\n

– zbieraniu i systematyzowaniu materia\u0142\u00f3w dotycz\u0105cych incydentu,<\/p>\n

– ustalaniu typ\u00f3w i poziom\u00f3w incydentu,<\/p>\n

– wystawiania zg\u0142oszenia incydent\u00f3w w systemie obs\u0142ugi zg\u0142osze\u0144 zamawiaj\u0105cego oraz informowaniu o incydencie dodatkowym ustalonym kana\u0142em komunikacji (sms, mail, powiadomienie telefoniczne),<\/p>\n

– informowaniu o wykrytym incydencie zespo\u0142\u00f3w zamawiaj\u0105cego, w celu podj\u0119cia przez te zespo\u0142y obs\u0142ugi incydentu (o ile nale\u017cy to do zamawiaj\u0105cego),<\/p>\n

– wspieraniu zespo\u0142\u00f3w zamawiaj\u0105cego w zarz\u0105dzaniu zg\u0142oszonym incydentem (przez komunikacj\u0119 w systemie zg\u0142osze\u0144, mail, telefonicznie),<\/p>\n

– samodzielnym zarz\u0105dzaniu incydentami o niskim priorytecie, dostarczaniu okresowych (np. miesi\u0119cznych) raport\u00f3w podsumowuj\u0105cych ilo\u015b\u0107 wykrytych incydent\u00f3w.<\/p>\n

Natomiast oferta w ramach drugiej linii SOC bywa wzbogacona o zdaln\u0105 analiz\u0119 otrzymanego zg\u0142oszenia incydentu, zbieranie informacji potrzebnych do poprawnego obs\u0142u\u017cenia incydentu, weryfikowanie poprawno\u015bci i kompletno\u015bci danych \u017ar\u00f3d\u0142owych; ponadto (dla incydent\u00f3w o wysokim priorytecie):<\/p>\n

– opracowanie scenariusza mitygacji zagro\u017cenia wynikaj\u0105cego z incydentu oraz wspieranie pracownik\u00f3w zamawiaj\u0105cego przy realizacji przygotowanego scenariusza,<\/p>\n

– przygotowanie scenariusza dzia\u0142a\u0144 naprawczych maj\u0105cych na celu usuni\u0119cie skutk\u00f3w incydentu, opracowanie wniosk\u00f3w z wyst\u0105pienia incydentu maj\u0105cych na celu ograniczenie mo\u017cliwo\u015bci powt\u00f3rzenia si\u0119 danego typu incydentu, jak r\u00f3wnie\u017c wspieranie zespo\u0142\u00f3w zamawiaj\u0105cego przy obs\u0142udze incydentu lokalnie,<\/p>\n

– analiz\u0119 log\u00f3w systemowych pod k\u0105tem zabezpieczenia zamawiaj\u0105cego przed pojawiaj\u0105cymi si\u0119 nowymi incydentami nieobj\u0119tymi dotychczasowymi regu\u0142ami zaimplementowanymi w\u00a0SIEM jak i procedurami w\u00a0ramach pierwszej linii,<\/p>\n

– analiz\u0119 log\u00f3w systemowych pod k\u0105tem optymalizacji informacji o zagro\u017ceniach w SIEM,<\/p>\n

– przedstawianie propozycji implementacji nowych scenariuszy do wdro\u017cenia w systemie SIEM i propozycji optymalizacji aktualnie dzia\u0142aj\u0105cych scenariuszy,<\/p>\n

– przedstawianie propozycji zabezpieczenia infrastruktury zamawiaj\u0105cego przed przysz\u0142ymi incydentami, identyfikowanie przyczyny i \u017ar\u00f3d\u0142a incydent\u00f3w oraz, w przypadku istnienia takich wymog\u00f3w prawnych, powiadamianie odpowiednich s\u0142u\u017cb o incydencie.<\/p>\n

Dodatkow\u0105 zalet\u0105 korzystania z us\u0142ug w ramach drugiej linii SOC jest mo\u017cliwo\u015b\u0107 organizacji cyklicznych spotka\u0144 w\u00a0celu podsumowania incydent\u00f3w. Z kolei us\u0142ugi oferowane w ramach trzeciej linii SOC dotycz\u0105 obs\u0142ugi najbardziej skomplikowanych zdarze\u0144. W tym przypadku oferty mog\u0105 zawiera\u0107 np. us\u0142ugi z\u00a0zakresu informatyki \u015bledczej (np. zabezpieczanie i analiza dowod\u00f3w, odzyskiwanie danych).<\/p>\n

Wa\u017cne!<\/strong><\/p>\n

W umowie musz\u0105 znale\u017a\u0107 si\u0119 postanowienia dotycz\u0105ce subskrypcji i licencjonowania oprogramowania. Ponadto umowa powinna regulowa\u0107 kwesti\u0119 licencji na scenariusze i\u00a0procedury opracowywane przez mssp. Strony umowy mog\u0105 r\u00f3wnie\u017c ustali\u0107 zasady wsp\u00f3lnego opracowania i odbioru procedur i\u00a0scenariuszy.<\/p>\n

Nale\u017cy podkre\u015bli\u0107, \u017ce w\u00a0przypadku zarejestrowania przez SIEM incydentu, mssp informuje o nim zespo\u0142y zamawiaj\u0105cego, w terminach, kt\u00f3re powinny zosta\u0107 okre\u015blone w\u00a0umowie, podobnie jak inne kwestie, m.in. terminy sporz\u0105dzania i przedstawiania okresowych raport\u00f3w podsumowuj\u0105cych wykryte incydenty. Kolejn\u0105 kwesti\u0105 wart\u0105 uwagi stanowi okre\u015blenie sposob\u00f3w i termin\u00f3w przeprowadzania audyt\u00f3w mssp. Nale\u017cy bowiem podkre\u015bli\u0107, \u017ce na niekt\u00f3rych zamawiaj\u0105cych mo\u017ce ci\u0105\u017cy\u0107 obowi\u0105zek przeprowadzania okresowych audyt\u00f3w, wykonywanych przez certyfikowane podmioty.<\/p>\n

Nie mo\u017ce zosta\u0107 pomini\u0119te, \u017ce pewne obowi\u0105zki dotycz\u0105 tak\u017ce zamawiaj\u0105cego, kt\u00f3ry mi\u0119dzy innymi powinien zapewni\u0107 dost\u0119p do system\u00f3w podlegaj\u0105cych monitoringowi oraz funkcjonowanie polityk bezpiecze\u0144stwa (kt\u00f3re mog\u0105 by\u0107 konsultowane z mssp).<\/p>\n<\/div>\n

\n

Umowa starannego dzia\u0142ania<\/h2>\n

Umowy dotycz\u0105ce \u015bwiadczenia us\u0142ug w zakresie cyberbezpiecze\u0144stwa s\u0105 umowami starannego dzia\u0142ania. Oznacza to, \u017ce przedsi\u0119biorca \u015bwiadcz\u0105cy us\u0142ugi odpowiada za staranne wykonanie czynno\u015bci, do kt\u00f3rych zobowi\u0105za\u0142 si\u0119 na podstawie umowy, natomiast nie ponosi odpowiedzialno\u015bci za efekt w postaci 100 proc. zabezpieczenia zamawiaj\u0105cego przed zaistnieniem incydentu, b\u0105d\u017a jego skutkami. Niemniej jednak, umowa mo\u017ce okre\u015bla\u0107 sytuacje, w\u00a0kt\u00f3rych mssp b\u0119dzie ponosi\u0142 odpowiedzialno\u015b\u0107 wzgl\u0119dem zamawiaj\u0105cego, w tym mo\u017ce przewidywa\u0107 kary umowne za poszczeg\u00f3lne sytuacje niewykonania lub nienale\u017cytego wykonania zobowi\u0105za\u0144. Przed zawarciem umowy warto r\u00f3wnie\u017c zweryfikowa\u0107, czy oferent posiada stosowne ubezpieczenie oraz zapozna\u0107 si\u0119 z tre\u015bci\u0105 polisy (m.in. jakiego rodzaju szkody obj\u0119te zosta\u0142y ubezpieczeniem).<\/p>\n<\/div>\n

\n

Odpowiedzialno\u015b\u0107 i wina w wyborze<\/h2>\n

Zgodnie z tre\u015bci\u0105 art. 429 Kc przedsi\u0119biorca powierzaj\u0105c wykonanie czynno\u015bci innemu podmiotowi, ponosi odpowiedzialno\u015b\u0107 za szkod\u0119 wyrz\u0105dzon\u0105 przez swojego podwykonawc\u0119, wyrz\u0105dzon\u0105 przy wykonywaniu powierzonej mu czynno\u015bci, chyba \u017ce nie ponosi winy w wyborze albo wykonanie czynno\u015bci powierzy\u0142 osobie, przedsi\u0119biorstwu lub zak\u0142adowi, kt\u00f3re w zakresie swej dzia\u0142alno\u015bci zawodowej trudni\u0105 si\u0119 wykonywaniem takich czynno\u015bci. St\u0105d przed przyj\u0119ciem oferty i zawarciem umowy zaleca si\u0119, aby zamawiaj\u0105cy dokona\u0142 weryfikacji kompetencji potencjalnego dostawcy us\u0142ug cyberbezpiecze\u0144stwa. W szczeg\u00f3lno\u015bci powinien sprawdzi\u0107, czy taki podmiot posiada w\u0142a\u015bciwe zabezpieczenia, jak r\u00f3wnie\u017c dokona\u0107 weryfikacji kompetencji (np. poprzez uzyskanie referencji).<\/p>\n

W tym celu pomocne mog\u0105 okaza\u0107 si\u0119 certyfikaty potwierdzaj\u0105ce przestrzeganie powszechnie przyj\u0119tych i stosowanych w danych bran\u017cach norm, np. certyfikat potwierdzaj\u0105cy zgodno\u015b\u0107 z norm\u0105 ISO 27001, jak r\u00f3wnie\u017c: CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), CISSP (Certified Information Systems Security Professional), OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker), CCNP (Cisco Certified Network Professional), PCNSE (Palo Alto Newtorks Certified Network Security Engineer), Arbor Networks Peakflow SP: System Administrator, Arbor Networks Peakflow SP\/TMS: DDoS Detection and Mitigation (User), GREM (GIAC Reverse Engineering Malware), CCNA (Cisco Certified Network Associate), CCDA (Cisco Certified Design Associate).<\/p>\n

Article: https:\/\/www.rp.pl\/Firma\/306039998-Cyberbezpieczenstwo-w-praktyce–poradnik-dla-firm.html?cid<\/a><\/p>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

[\u2026]<\/span><\/p>\n","protected":false},"author":1,"featured_media":2654,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[51],"tags":[],"class_list":["post-2658","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-publications"],"_links":{"self":[{"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/posts\/2658","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/comments?post=2658"}],"version-history":[{"count":0,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/posts\/2658\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/media\/2654"}],"wp:attachment":[{"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/media?parent=2658"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/categories?post=2658"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aplaw.pl\/en\/wp-json\/wp\/v2\/tags?post=2658"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}