Dokumentacja potwierdzająca działania UKSC: – czy identyfikowano usługi publiczne, których świadczenie zależy od bezpieczeństwa? Wskazać opublikowane kanały email, skrzynka ePUAP oraz jeżeli są to inne poprzez serwisy webowe lub aplikacje mobilne. – tożsame pytanie co w KRI dot. wyznaczenia osoby do zarządzania incydentami. – JST świadczy usługi publiczne za pomocą BIP, strony www oraz zapewnia komunikację email i ePUAP (załatwianie spraw urzędowych). – wskazanie stanowiska wyznaczonego i potwierdzenie wskazanie go do NASK (tożsame pytanie co w KRI).
Opis identyfikacji systemu informacyjnego wspierającego zadania publiczne: – JST powinno mieć sklasyfikowane systemu i dostępu dla poczty elektronicznej, dostępu do ePUAP oraz systemów dziedzinowych. Powinno być to w zestawieniu. – JST powinno wskazać osoby odpowiedzialne za system np. technicznie informatyk, ale merytorycznie za moduł taki i taki Kierownik, za dane na stronie www Rzecznik prasowy, dane księgowe skarbnik itp.
Dokumentacja wspierająca zadania publiczne: – JST jeżeli posiada to przekazuje raporty z audytów dot. systemów wspierające zadania publiczne (LAN, systemy dziedzinowe, lokalne PC itp.) – JST jeżeli posiada to przekazuje dokumentacje dot. architektury zabezpieczeń (sieci, serwerowni, lokalnych PC itp.) – JST jeżeli posiada to przekazuje dokumentację architektury sieci. – JST jeżeli posiada to przekazuje kopię konfiguracji urządzeń aktywnych. – JST jeżeli posiada to przekazuje dokumentację zmian w systemach informatycznych (np.: GitHub) – JST jeżeli posiada to przekazuje dokumentację monitorowania systemów w trybie ciągłym (np. stosowanie systemów informatycznych np. nVISION itp.) – JST jeżeli posiada to przekazuje umowy z dostawcami (wsparcie techniczne) – jeżeli istnieje powyższe to czy JST wymaga audytów? – JST jeżeli posiada to przekazuje dokumentację zabezpieczeń fizycznych (klucze, monitoring) i środowiskowych (jeżeli świadczone jest zewn. ochrona itp.) – JST jeżeli posiada rejestr dostępu do dokumentacji systemów.
Dokumentacja procesu zarządzania incydentami (tożsame z KRI) – JST jeżeli posiada przekazuje procedurę monitorowania i wykrywania – JST wskazuje procedurę informowania o incydentach – JST wskazuje procedurę reagowania na incydenty.
Aspekty techniczne: – audyty serwisów www (wersja serwera HTTP, wersja CMS, certyfikaty) – audyty poczty elektronicznej (SPF, DKIM i DMARC oraz TLS, poza tym dostępność personelu) – audyty LAN(segmentacja sieci, DMZ, procesy odtwarzania kopii zapasowych itp.) – audyty pkt. styku z Internetem(monitorowanie ruchu wchodzące i wychodzącego, DDos, DLP i dostępność personelu)
Aspekty organizacyjne: – audyty zarządzania bezpieczeństwem informacji (tożsame z KRI) – audyty z procesów planowania (przywracanie systemów, symulacje awarii i przeglądy).