Powszechna cyfryzacja, globalizacja oraz ciągły rozwój technologii informatycznych powodują coraz więcej zagrożeń dla bezpieczeństwa danych. W efekcie pojawia się coraz więcej kompleksowych uregulowań prawnych dotyczących szeroko rozumianego bezpieczeństwa informacji, bezpieczeństwa teleinformatycznego czy cyberbezpieczeństwa.

Jednym z najbardziej znanych modeli bezpieczeństwa informacji, szczególnie w kontekście wprowadzanych w organizacjach polityk bezpieczeństwa jest model określany jako Triada CIA: Confidentiality Integrity Availability (Poufność – Integralność – Dostępność). Pierwsze wzmianki o tym modelu sięgają roku 1998, choć nie można jednoznacznie nikomu przypisać jego autorstwa.

Przeciwieństwem dla triady CIA jest DAD: Disclosure – Alteration – Destruction (Ujawnienie – Zmiana – Zniszczenie).

Triada CIA stanowi swoisty wzajemnie się uzupełniający i współzależny cykl, w którym poszczególne elementy mogą na siebie zachodzić, a jednocześnie brak któregokolwiek z nich stawia pod znakiem zapytania pozostałe elementy.

Confidentiality | Poufność

Poufność to ochrona danych przed nieautoryzowanym dostępem lub użyciem. W pojęciu poufności mieści się pojęcie prywatności. Celem zasady poufności jest zapewnienie, aby poufne lub prywatne dane nie zostały udostępnione, ujawnione ani użyte przez osoby do tego niepowołane.

Integrity | Integralność

Integralność oznacza nienaruszalność danych, co zapewnia ich autentyczność. Celem zasady integralności jest zapewnienie, aby dane mogły być wprowadzane, zmieniane lub usuwane wyłącznie w określony sposób i przez osoby do tego upoważnione przy zachowaniu tzw. rozliczalności.

Availability | Dostępność

Dostępność oznacza, że dane są zawsze dostępne dla upoważnionego użytkownika. Dostępność danych jest kluczowa dla wszelkich organizacji, a jej brak praktycznie zawsze wiąże się z utratą zysków, a niekiedy również renomy.

Ustawa o Krajowym Systemie Cyberbezpieczeństwa

Obowiązująca w Polsce Ustawa z dnia 5.07.2018 r. o krajowym systemie cyberbezpieczeństwa (KSC) definiuje „cyberbezpieczeństwo” (art. 2 pkt 4) jako:

odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy

Ustawa o KSC jest bezpośrednim wdrożeniem Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6.07.2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (tzw. Dyrektywa NIS). Artykuł 4 Dyrektywy w punkcie 2) definiuje „bezpieczeństwo sieci i systemów informatycznych” jako

odporność sieci i systemów informatycznych, przy danym poziomie zaufania, na wszelkie działania naruszające dostępność, autentyczność, integralność lub poufność przechowywanych lub przekazywanych, lub przetwarzanych danych lub związanych z nimi usług oferowanych lub dostępnych poprzez te sieci i systemy informatyczne

W angielskiej wersji Artykułu 4 Dyrektywy czytamy:

‘security of network and information systems’ means the ability of network and information systems to resist, at a given level of confidence, any action that compromises the availability, authenticity, integrity or confidentiality of stored or transmitted or processed data or the related services offered by, or accessible via, those network and information systems

Widoczna jest tu inspiracja Triadą CIA, uzupełnioną dodatkowo o pojęcie „Authenticity”, konsekwentnie przetłumaczone w polskiej ustawie o KSC jako „Autentyczność”.

Wydaje się jednak, że dodanie wyrazu „autentyczność” było zbędne, ponieważ autentyczność wynika bezpośrednio z integralności.

W odróżnieniu od Dyrektywy NIS, obowiązująca na dzień pisania niniejszego artykułu Ustawa o KSC nie definiuje pojęcia „bezpieczeństwa sieci i systemów informatycznych” („security of network and information systems”), zastępując je pojęciem „cyberbezpieczeństwa”.

Projekt zmiany Ustawy o KSC

Obowiązującą Ustawę o KSC czeka nowelizacja. Bieżący postęp prac nad nowelizacją można śledzić pod adresem (dostęp z dnia 22.06.2022 r.):

https://legislacja.rcl.gov.pl/projekt/12337950

Projekt ustawy zmieniającej wraz z pismami towarzyszącymi procesowi legislacyjnemu dostępne są pod adresem (dostęp z dnia 22.06.2022 r.):

https://mc.bip.gov.pl/projekty-aktow-prawnych-mc/projekt-ustawy-o-zmianie-ustawy-o-krajowym-systemie-cyberbezpieczenstwa-oraz-ustawy-prawo-zamowien-publicznych.html

Spośród proponowanych zmian – w kontekście niniejszego artykułu – warto dodać, że do Ustawy o KSC ma zostać wprowadzona definicja bezpieczeństwa sieci i usług (co, jak się wydaje, ma uzupełniać Ustawę o znajdującą się w Dyrektywie 2016/1148 definicję „security of network and information systems”). Zgodnie z projektem (projektowany art. 2 pkt 8f):

bezpieczeństwo sieci i usług – to zdolność sieci telekomunikacyjnych lub usług komunikacji elektronicznej do odpierania wszelkich działań naruszających dostępność, autentyczność, integralność lub poufność:

a) tych sieci lub usług,

b) przetwarzanych danych i treści objętych tajemnicą komunikacji elektronicznej,

c) innych świadczonych przez przedsiębiorcę komunikacji elektronicznej usług związanych z usługami komunikacji elektronicznej lub sieciami telekomunikacyjnymi tego przedsiębiorcy”.