PROCEDURA POSTĘPOWANIA W PRZYPADKU INCYDENTÓW BEZPIECZEŃSTWA INFORMACJI
w Centrum Usług Wspólnych w Bojanowie
w Centrum Usług Wspólnych w Bojanowie
§1 Wstęp
Niniejsza procedura określa szczegółowe zasady postępowania w przypadku incydentów bezpieczeństwa informacji w Centrum Usług Wspólnych w Bojanowie (dalej "CUW"). Procedura obejmuje kwestie zgłaszania, klasyfikowania, reagowania na incydenty, a także dokumentowania tych zdarzeń. Celem procedury jest minimalizacja ryzyka oraz zapewnienie zgodności z obowiązującymi przepisami prawa, normami i regulacjami dotyczącymi cyberbezpieczeństwa oraz ochrony danych osobowych.
Niniejsza procedura określa szczegółowe zasady postępowania w przypadku incydentów bezpieczeństwa informacji w Centrum Usług Wspólnych w Bojanowie (dalej "CUW"). Procedura obejmuje kwestie zgłaszania, klasyfikowania, reagowania na incydenty, a także dokumentowania tych zdarzeń. Celem procedury jest minimalizacja ryzyka oraz zapewnienie zgodności z obowiązującymi przepisami prawa, normami i regulacjami dotyczącymi cyberbezpieczeństwa oraz ochrony danych osobowych.
§2 Zakres procedury
Procedura dotyczy wszystkich pracowników CUW oraz osób zewnętrznych posiadających dostęp do systemów informacyjnych i teleinformatycznych CUW. Postanowienia procedury obejmują:
Incydent bezpieczeństwa teleinformatycznego to każde zdarzenie, które zagraża integralności, poufności, dostępności lub rozliczalności danych, systemów teleinformatycznych lub usług świadczonych przez CUW. Przykłady incydentów obejmują m.in.:
Incydenty bezpieczeństwa teleinformatycznego w CUW klasyfikowane są na trzy poziomy w zależności od ich wpływu na funkcjonowanie jednostki oraz bezpieczeństwo danych:
Procedura dotyczy wszystkich pracowników CUW oraz osób zewnętrznych posiadających dostęp do systemów informacyjnych i teleinformatycznych CUW. Postanowienia procedury obejmują:
- Zgłaszanie incydentów bezpieczeństwa teleinformatycznego.
- Klasyfikowanie incydentów.
- Reagowanie na incydenty.
- Dokumentowanie incydentów.
- Odpowiedzialność za przestrzeganie procedury.
Incydent bezpieczeństwa teleinformatycznego to każde zdarzenie, które zagraża integralności, poufności, dostępności lub rozliczalności danych, systemów teleinformatycznych lub usług świadczonych przez CUW. Przykłady incydentów obejmują m.in.:
- Nieautoryzowany dostęp do systemów informatycznych.
- Utrata lub uszkodzenie danych.
- Ataki złośliwego oprogramowania (w tym wirusy, ransomware).
- Naruszenia ochrony danych osobowych (zgodnie z RODO).
Incydenty bezpieczeństwa teleinformatycznego w CUW klasyfikowane są na trzy poziomy w zależności od ich wpływu na funkcjonowanie jednostki oraz bezpieczeństwo danych:
Poziom I – Incydenty krytyczne
- Skala: Wysoka.
- Przykład: Złośliwe oprogramowanie, które uniemożliwia dostęp do systemów informacyjnych, poważne naruszenie ochrony danych osobowych.
- Reakcja: Natychmiastowa interwencja, powiadomienie odpowiednich organów (w tym UODO, KPK), powołanie zespołu reagowania kryzysowego.
- Skala: Średnia.
- Przykład: Wykrycie prób nieautoryzowanego dostępu do systemów, mniejsze uszkodzenie danych.
- Reakcja: Zgłoszenie do Administratora Systemów Informatycznych (ASI), monitorowanie sytuacji, podjęcie działań naprawczych.
- Skala: Niska.
- Przykład: Zgłoszenie phishingu lub niepełnego zabezpieczenia hasła użytkownika.
- Reakcja: Zgłoszenie do ASI, wdrożenie działań prewencyjnych.
Zgłoszenie przez pracownika CUW
Każdy pracownik CUW, który zauważy incydent związany z bezpieczeństwem teleinformatycznym, zobowiązany jest niezwłocznie zgłosić go swojemu przełożonemu, Administratorowi Systemów Informatycznych (ASI) lub Administratorowi Danych Osobowych (ADO) w przypadku naruszenia ochrony danych osobowych.
Każdy pracownik CUW, który zauważy incydent związany z bezpieczeństwem teleinformatycznym, zobowiązany jest niezwłocznie zgłosić go swojemu przełożonemu, Administratorowi Systemów Informatycznych (ASI) lub Administratorowi Danych Osobowych (ADO) w przypadku naruszenia ochrony danych osobowych.
Zgłoszenie przez osoby zewnętrzne
Osoby zewnętrzne (np. kontrahenci, dostawcy usług IT) powinny niezwłocznie poinformować ASI lub ADO o zaistniałym incydencie, korzystając z dedykowanego kanału komunikacji (np. e-mail, formularz zgłoszeniowy).
Osoby zewnętrzne (np. kontrahenci, dostawcy usług IT) powinny niezwłocznie poinformować ASI lub ADO o zaistniałym incydencie, korzystając z dedykowanego kanału komunikacji (np. e-mail, formularz zgłoszeniowy).
Treść zgłoszenia
Zgłoszenie incydentu powinno zawierać następujące informacje: a. Data i godzina wystąpienia incydentu. b. Opis zdarzenia. c. Systemy i dane, które mogły zostać dotknięte. d. Osoby lub grupy użytkowników, które mogły zostać dotknięte. e. Wstępna ocena wpływu incydentu.
Zgłoszenie incydentu powinno zawierać następujące informacje: a. Data i godzina wystąpienia incydentu. b. Opis zdarzenia. c. Systemy i dane, które mogły zostać dotknięte. d. Osoby lub grupy użytkowników, które mogły zostać dotknięte. e. Wstępna ocena wpływu incydentu.
§6 Procedura reagowania na incydent
Etap 1: Ocena i klasyfikacja incydentu
Administrator Systemów Informatycznych (ASI) w ciągu 1 godziny od zgłoszenia incydentu ocenia jego charakter i klasyfikuje go zgodnie z poziomem zagrożenia. W przypadku incydentów krytycznych, ASI niezwłocznie informuje Zarząd CUW oraz powołuje zespół ds. zarządzania kryzysowego.
Etap 2: Izolacja incydentu
W przypadku zagrożenia utraty danych, ASI podejmuje natychmiastowe działania w celu ograniczenia skutków incydentu, takie jak:
- Odłączenie systemów od sieci.
- Zabezpieczenie urządzeń i danych przed dalszym dostępem.
- Zablokowanie użytkownikom dostępu do systemów.
Po usunięciu przyczyny incydentu, ASI podejmuje działania w celu przywrócenia pełnej funkcjonalności systemów, m.in.:
- Usunięcie złośliwego oprogramowania.
- Przywrócenie danych z kopii zapasowej.
- Wdrożenie poprawek zabezpieczeń.
Po naprawie systemów ASI przeprowadza dodatkowe monitorowanie w celu weryfikacji, czy incydent został całkowicie usunięty oraz aby zapobiec jego powtórzeniu.
§7 Dokumentowanie incydentów bezpieczeństwa
Rejestracja incydentu Wszystkie incydenty bezpieczeństwa teleinformatycznego muszą zostać zarejestrowane w systemie rejestracji incydentów. Rejestr zawiera:
Po zakończeniu działań związanych z incydentem, ASI sporządza raport końcowy zawierający:
- Opis incydentu.
- Klasyfikację incydentu.
- Podjęte działania.
- Czas rozwiązania incydentu.
- Analizę przyczyn i skutków.
Po zakończeniu działań związanych z incydentem, ASI sporządza raport końcowy zawierający:
- Dokładny opis incydentu.
- Podejmowane działania naprawcze.
- Zalecenia i działania prewencyjne na przyszłość.
Administrator Systemów Informatycznych (ASI) - ASI odpowiada za implementację, nadzór oraz wdrażanie procedury reagowania na incydenty bezpieczeństwa teleinformatycznego w CUW.
Administrator Danych Osobowych (ADO) - ADO odpowiada za reagowanie na incydenty dotyczące ochrony danych osobowych oraz za zgłaszanie incydentów do odpowiednich organów, takich jak Urząd Ochrony Danych Osobowych (UODO).
Pracownicy CUW i osoby zewnętrzne - Pracownicy CUW oraz osoby zewnętrzne są odpowiedzialni za przestrzeganie procedury, zgłaszanie incydentów oraz współpracę w procesie ich rozwiązania.
§9 Szkolenia i świadomość bezpieczeństwa
Szkolenia dla pracowników
Wszyscy pracownicy CUW mający dostęp do systemów teleinformatycznych są zobowiązani do uczestnictwa w corocznych szkoleniach dotyczących bezpieczeństwa informacji oraz reagowania na incydenty.
Wszyscy pracownicy CUW mający dostęp do systemów teleinformatycznych są zobowiązani do uczestnictwa w corocznych szkoleniach dotyczących bezpieczeństwa informacji oraz reagowania na incydenty.
Testowanie procedur
Przynajmniej raz w roku przeprowadzane będą ćwiczenia symulacyjne incydentów, mające na celu weryfikację skuteczności procedury oraz przygotowanie pracowników do odpowiedniego reagowania.
Przynajmniej raz w roku przeprowadzane będą ćwiczenia symulacyjne incydentów, mające na celu weryfikację skuteczności procedury oraz przygotowanie pracowników do odpowiedniego reagowania.
§10 Konsekwencje naruszenia procedura
Odpowiedzialność służbowa
Naruszenie procedury przez pracowników CUW, w tym niewłaściwe zgłoszenie lub opóźnione działanie w przypadku incydentu, może prowadzić do odpowiedzialności dyscyplinarnej, zgodnie z regulaminem pracy oraz przepisami Kodeksu pracy.
Naruszenie procedury przez pracowników CUW, w tym niewłaściwe zgłoszenie lub opóźnione działanie w przypadku incydentu, może prowadzić do odpowiedzialności dyscyplinarnej, zgodnie z regulaminem pracy oraz przepisami Kodeksu pracy.
Odpowiedzialność cywilna i karna
W przypadku działania na szkodę CUW lub nieprzestrzegania przepisów dotyczących ochrony danych osobowych (RODO), osoba odpowiedzialna może zostać pociągnięta do odpowiedzialności cywilnej lub karnej.
Dokument ten stanowi szczegółową procedurę postępowania w przypadku incydentów bezpieczeństwa informacji w Centrum Usług Wspólnych w Bojanowie. Procedura jest zgodna z obowiązującymi przepisami prawa, normami oraz najlepszymi praktykami w zakresie ochrony danych i cyberbezpieczeństwa.
W przypadku działania na szkodę CUW lub nieprzestrzegania przepisów dotyczących ochrony danych osobowych (RODO), osoba odpowiedzialna może zostać pociągnięta do odpowiedzialności cywilnej lub karnej.
Dokument ten stanowi szczegółową procedurę postępowania w przypadku incydentów bezpieczeństwa informacji w Centrum Usług Wspólnych w Bojanowie. Procedura jest zgodna z obowiązującymi przepisami prawa, normami oraz najlepszymi praktykami w zakresie ochrony danych i cyberbezpieczeństwa.