Kontynuujemy cykl artykułów na temat bezpieczeństwa w telekomunikacji.
Jak pisaliśmy we wcześniejszych tekstach, ustawa prawo telekomunikacyjne zobowiązuje dostawcę publicznie dostępnych usług telekomunikacyjnych oraz operatora publicznej sieci telekomunikacyjnej do podjęcia środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa sieci, usług, danych oraz przekazu komunikatów (treści informacji przesyłanej w sieci telekomunikacyjnej).
Poniżej prezentujemy opis trzeciej części zagadnień dotyczących obowiązku zapewnienia bezpieczeństwa sieci, usług, danych i przekazów telekomunikacyjnych: monitorowanie i dokumentowanie funkcjonowania sieci telekomunikacyjnych i usług mające na celu wykrycie naruszenia ich bezpieczeństwa, zgłaszanie naruszeń bezpieczeństwa sieci, usług, danych lub przekazów telekomunikacyjnych, eliminację przekazu komunikatu, przerwanie lub ograniczenie świadczenia usług w związku z zapewnieniem bezpieczeństwa sieci, usług, danych lub przekazów telekomunikacyjnych, umożliwienie użytkownikom końcowym dokonywanie zgłoszeń naruszeń bezpieczeństwa, sieci, usług, danych lub przekazu telekomunikacyjnego oraz bezpieczeństwo osobowe.
Funkcjonowanie sieci telekomunikacyjnych
Monitorowanie funkcjonowania sieci telekomunikacyjnych i usług ma fundamentalne znaczenie w zapewnieniu bezpieczeństwa działalności telekomunikacyjnej. Jest ono realizowane jest w każdym przedsiębiorstwie telekomunikacyjnym, chociaż nie w każdym przedsiębiorstwie jest ono udokumentowane (sformalizowane).
Opracowując zasady monitorowania sieci i usług rekomenduję określić główne (kluczowe) elementy infrastruktury telekomunikacyjnej, wskazać najważniejsze zagrożenia tych elementów oraz określić sposoby zbierania informacji o niewłaściwym funkcjonowaniu sieci lub usług. Do realizacji tych zadań rekomenduję jak najszerzej wykorzystać systemy informatyczne.
Następnie należy określić sposób postępowania po wykryciu naruszeń bezpieczeństwa sieci lub usług, szczególnie w przypadku wystąpienia sytuacji kryzysowej.
Zgłaszanie naruszeń bezpieczeństwa sieci, usług, danych lub przekazów telekomunikacyjnych
Rekomendujemy opracować wytyczne dotyczące powiadamiania Prezesa UODO i abonenta, będącego osobą fizyczną o naruszeniu bezpieczeństwa danych osobowych oraz Prezesa UKE o naruszeniu bezpieczeństwa sieci, usług, danych lub przekazu telekomunikacyjnego.
Pamiętać należy, że przedsiębiorca telekomunikacyjny ma tylko 24 godziny na powiadomienie prezesa UODO, natomiast Prezesa UKE należy powiadomić niezwłocznie.
Eliminacja przekazu
Sugerujemy opisać sposób postępowania przedsiębiorcy telekomunikacyjnego podejmującego działania polegające na eliminacji przekazu telekomunikacyjnego, który zagraża bezpieczeństwu sieci lub usług na przerwaniu lub ograniczeniu świadczenia usługi telekomunikacyjnej na zakończeniu sieci, z którego następuje wysyłanie komunikatów zagrażających bezpieczeństwu sieci lub usług.
Właściwie opracowana, wdrożona i stosowana procedura zabezpieczy przedsiębiorcę przed odpowiedzialnością za niewłaściwe świadczenie usług.
Umożliwienie użytkownikom końcowym dokonywanie zgłoszeń
Przedsiębiorca telekomunikacyjny zobowiązany jest do zapewnienie warunków użytkownikom końcowym dokonywania zgłoszeń wszelkich naruszeń bezpieczeństwa sieci, usług, danych lub przekazów telekomunikacyjnych.
Informacje o sposobie takich zgłoszeń powinny znaleźć się w umowach abonenckich, na stronach internetowych, itp.
Warto opracować, wdrożyć i stosować procedurę dotyczącą tego zagadnienia, może to usprawnić przekazywanie informacji dotyczącej bezpieczeństwa a tym samym bezpieczeństwo zostanie podniesione na wyższy poziom.
Bezpieczeństwo osobowe
Bezpieczeństwo osobowe jest bardzo ważnym czynnikiem w utrzymaniu właściwego poziomu bezpieczeństwa w przedsiębiorstwie. Pod pojęciem bezpieczeństwa osobowego rozumiemy działania związane z zatrudnieniem odpowiednich osób na określone stanowisko, przygotowanie tych osób do pracy, przeszkolenie ich, itp.
W czasie pierwszych spotkań z kandydatem do pracy można bardzo dużo dowiedzieć się o tej osobie, na ogół kandydat chce jak najwięcej opowiedzieć o sobie. Wytrawny rekruter wyciągnie z tej rozmowy bardzo interesujące wnioski. Pamiętajmy, że przepisy, w tym RODO, nie zezwalają pracodawcy na prowadzenia wywiadu dotyczącego przyszłego lub aktualnego pracownika, no chyba, że jest to kandydat do pracy na stanowisku, na którym realizacja obowiązków będzie związana z dostępem do informacji niejawnych, ale to już zupełnie oddzielny temat.
Również istotnym elementem wpływającym na bezpieczeństwo przedsiębiorstwa jest proces rozwiązywania umowy z pracownikiem, szczególnie w przypadku, gdy powód rozwiązania umowy jest spowodowany negatywną postawą co najmniej jednej ze stron umowy.
Tak przygotowane, wdrożone a co najważniejsze stosowane zasady pozwolą podnieść bezpieczeństwo w przedsiębiorstwie na wyższy poziom, co w bardzo wielu przypadkach przełoży się na korzyści finansowe a ponadto zostanie wypełniony kolejny ustawowy obowiązek nałożony na przedsiębiorcę telekomunikacyjnego.
Podsumowanie
W wielkim skrócie opisaliśmy sposób realizacji ustawowych obowiązków, w tym wykonanie dokumentów dotyczących bezpieczeństwa przedsiębiorstwa telekomunikacyjnego.
Aby mieć pełny obraz obowiązków związanych z zapewnieniem bezpieczeństwa w przedsiębiorstwie telekomunikacyjnym sugerujemy zapoznać się z dotychczas opublikowanymi artykułami: