Wyznaczenie osoby do kontaktu Należy tu rozumieć formalne wyznaczenie przez Wójta/Burmistrza wyznaczenie osoby do kontaktu w sprawie incydentów związanych z naruszeniem zasad bezpieczeństwa informacji (dowodem może być zarządzenie lub email).
Zapewnienie zarządzania incydentem Należy przez to rozumieć procedurę zarządzania incydentem np. wskazanie osób lub instytucji do zgłaszania incydentów. Procedura nie musi myć obszerna i może mieścić się np. krótka informacja na stronie internetowej. Udokumentowana metodyka zarządzania incydentem. Może też odnosić się do zapisów w innej dokumentacji traktowane jest jako dowód audytowy.
Zapewnienie obsługi incydentu JST jak podmiot publiczny powinien potraktować incydent jak sprawę urzędową np. zgłoszenie – podjęcie czynności – poinformowanie stron – zakończenie. W dobrej wierze warto mieć rejestr incydentów, gdzie znajdują się informacje o ich zakończeniu, osoby zgłaszające, czego dotyczą oraz sposób zakończenia. Potwierdzenie, że incydent jest procedowany w sposób sformalizowany na zasadach kancelaryjnych taktowane jest jako dowód.
Opracowanie, ustanowienie i wdrożenie SZBI SZBI to dokumentacja zawierająca wszelkie informację dot. bezpieczeństwa informacji w JST. SZBI to zbiór polityk procedur, wytycznych oraz przydzielonych zasobów oraz aktywności, zarządzanych wspólnie przez JST w celu ochrony swoich zasobów informacyjnych. Obecnie obowiązująca dokumentacja traktowana jest jako SZBI i materiał dowodowy.
Monitorowanie i przegląd SZBI Weryfikacja działania praktycznej części dokumentacji np. ankieta czy personel stosuje się do SZBI, sprawdzanie poprawność działania procedur (audyty i testy). Dokumenty z audytów lub testów dot. weryfikacji SZBI.
Doskonalenie SZBI To bieżąca aktualizacja dokumentacji w przypadku rozwijania się technologicznego JST, zmiany organizacji czy też wewn. ustaleń JST. Należy pamiętać, że na SZBI mają też wpływy technologiczne i prawne. Wskazanie rejestru zmian w SZBI w formie udokumentowanej.
Aktualizacja regulacji wewnętrznych – JST powinna prowadzić rejestr wymogów prawnych w ramach, których funkcjonuje. Dodatkowo powinno być to powiązane z tym co Administrator (Wójt, Burmistrz) reguluje prawnie w ramach JST. Są przepisy nadane ogólnie oraz te powiązane wewn. Dokument z wykazem traktuje się jako dowód audytowy.
Inwentaryzacja sprzętu i oprogramowania – JST może stosować oprogramowanie do prowadzenia ewidencji sprzętu oraz oprogramowania ze wskazaniem kto jest dysponentem. Może być powiązane z ewidencją księgową, ale zaleca się prowadzenia zapisy dot. parametrów oraz ważność licencji. Z pewnością zapewni to większy nadzór. Kopie plików traktuje się jako materiał dowodowy.
Przeprowadzanie okresowych analiz ryzyka – JST zobligowane jest przeprowadzanie analiz ryzyka przynajmniej raz do roku. Trzeba brać pod uwagi ryzyk jakie mogę występować np.: 1. Polityczne i Społeczne (np.: związane z zarządzaniem) 2. Strategiczne i handlowe (np. nieznani i niesprawdzeni dostawcy) 3. Ekonomiczne, finansowe i rynkowe (np. brak zasobów finansowych) 4. Prawne i regulaminowe ( np. zmiana regulacji) 5. Organizacyjne, zarządzania i związane z czynnikiem ludzkim (np. zbyt duże obciążenie pracowników) 6. Techniczne, operacyjne i związane z infrastrukturą (np. terminy w projektach, brak wsparcia dostawcy oprogramowania). Zasady analiz ryzyka powinny być udokumentowane i przekazane jako materiał dowodowy.
Postępowanie z ryzykiem Należy arkusz analizy ryzyka: – Zagrożenie – nazwać je – Skutki – określić potencjalne – Koszt ryzyka – szacować koszty – Prawdopodobieństwa – założyć możliwość wystąpienia – Działania profilaktyczne / likwidacyjne – wskazać możliwość likwidacji lub minimalizacji – Koszt zabezpieczeń – analiza rynkowa jest potrzebna Dowodem może być arkusz kalkulacyjny lub dokument z zestawieniem.
Zarządzanie uprawnieniami Należy pamiętać JST posiada strukturę organizacyjną, gdzie wskazany jest administrator jak Wójt/Burmistrz. W ramach struktury organizacyjnej można wskazać właścicieli systemów merytorycznych (np. pomoc społeczna, grunty czy podatki). Należy to rozumieć przez to rozumieć zasadę, że informatyk realizuje działania na polecenie kierowników merytorycznych. Dowodem może być szablon formularza z wnioskiem o uprawnienia oraz krótka procedura.
Szkolenia i uświadamianie JST powinno w ramach swojej działalności prowadzić szkolenia i uświadamianie dot. cyberbezpieczeństwa. Takie zadania mogę być realizowane np.: inspektora ochrona danych lub innego pełnomocnika ds. bezpieczeństwa. Dowodami może być kopia maili o wysyłce lub lista obecności ze szkolenia.
Monitorowanie dostępu do informacji Wyznaczona osoba np. informatyk może samodzielnie lub za pomocą oprogramowania monitorować dostęp do zasobów informacyjnych (strony www, systemy dziedzinowe, poczta elektroniczna). W przypadku manualnego podejścia oczekuje się rejestru takiego monitoringu. Dowodami mogą być zrzuty ekranu z konfiguracji urządzeń.
Monitorowanie nieautoryzowanych zmian Analogicznie do powyższego opisu lecz w zakresie nieautoryzowanych zmian. Dowodami mogą być zrzuty ekranu z konfiguracji urządzeń.
Zabezpieczenie nieautoryzowanego dostępu W tym przypadku trzeba wskazać organizację sieci LAN oraz możliwości dostęp z Internetu. W ten czas zweryfikować kto do jakiego systemu może mieć dostęp. Ponadto system alarmowania np. w przypadku trzech nieudanych prób idzie email kto z jakiego adresów próbował się logować. Dowodami mogą być zrzuty ekranu z konfiguracji urządzeń.
Ustanowienia zasad bezpiecznej pracy mobilnej Ten temat jest podnoszony w ramach pracy zdalnej wywołanej COVID. W tym zakresie JST powinien wskazać czy korzysta z rozwiązania VPN i wykazać kto ma taki dostęp. Ponadto czy zezwala się na pracę z prywatnego sprzętu komputerowego i jakie są zasady przechowywania plików lub innych danych. Sugerujemy zapoznać się z poradnikiem publikowanym na UODO (link poniżej) – można się tymi danymi inspirować: https://uodo.gov.pl/pl/138/1459
Zabezpieczenie informacji przed nieuprawnionym ujawnieniem Należy wziąć pod uwagę informacje papierową (ustawienie ekranów itp.) oraz elektroniczną (wykorzystanie np.: Active Directory, stosowanie NAS dla wyznaczonych osób, zabezpieczenia poczty elektronicznej, funkcje na urządzeniu firewall, wykorzystanie oprogramowanie oraz odwołanie się do procedur). Dowodami mogą być zrzuty ekranu z konfiguracji urządzeń (np. Active Directory).
Zabezpieczenia informacji przed nieuprawnioną modyfikacją Jest zagrożenie wynikające z czynnika ludzkiego. Tutaj należałoby skupić się na logach systemowych i czy robi się to manualnie czy stosuje się np. z rozwiązania typu SIEM. Dowodami mogą być zrzuty ekranu z konfiguracji urządzeń (zebranie logów ręcznie).
Zabezpieczenie informacji przed nieuprawnionym usunięciem lun zniszczeniem JST powinno wskazać czy zezwala na pracę z uprawnieniami administracyjnymi. Jeżeli tak to w jakim zakresie i jak jest to uregulowane. Dowodami mogą być zrzuty ekranu z konfiguracji urządzeń (PC).
Zawieranie w umowach serwisowych zapisów o bezpieczeństwie Czy JST w ramach zawieranych umów np.: z dostawcą sprzętu, oprogramowania, hostingu czy nawet usług telekomunikacyjnych stosowane są zapisy o zachowaniu poufności (określone jako NDA czy też SLA). Dowodami powinny być kopie umowy ze wskazaniem pkt.
Ustalenie zasad postępowania z informacjami w celu minimalizacjiwystąpienia ryzyka kradzieży informacji itp. Czy w JST jest jakiś system przepustek czy też innych identyfikatorów. Czy wszelkie nośniki danych np.: USB są monitorowane. Czy drukarki i urządzenia wielofunkcyjne są dostępne dla osób nieuprawnionych. W przypadku stosowania monitoringu wizyjnego określić procedury zarządzania i dostępu do niego. Jako dowody powinny być wskazane procedury oraz umowa jeżeli jest z firmą świadczącą ochronę fizyczną.
Aktualizowania oprogramowania JST powinno zapewnić aby urządzenia telekomunikacyjne (switche, routery itp.) posiadały aktualny software dostępny od producenta. Analogicznie serwery i jeżeli istnieje to środowisko wirtualizacyjne. Podobnie jest z urządzeniami końcowymi. Jako dowód można przedstawić wybrane zrzuty ekranu z wybranych urządzeń.
Minimalizowanie ryzyka utraty informacji w wyniku awarii systemu JST może wskazać czy używa sprzętu na podtrzymanie energii np.: UPS. Czy jest alternatywne łącze i czy urządzenia działają w trybie HA. Dowodami mogą być zrzuty ekranu z konfiguracji urządzeń lub softu.
Ochrona systemu przed błędami JST powinno posiadać oprogramowanie antywirusowe oraz wszelkie komponenty powinno mieć zapewnione wsparcie. W tym miejscu zaleca się aby nie było systemów IT bez wsparcia chociażby producenta lub dostawcy. Dowodami mogą być zrzuty ekranu z konfiguracji urządzeń.
Stosowanie mechanizmów kryptograficznych Poczta elektroniczna oraz hasła dostępowe powinny być zabezpieczonego dodatkowymi środkami kryptograficznymi. Załącznik do poczty elektronicznej np. PDF z hasłem, archiwum zaszyfrowane np. za pomocą VERACRYPT. Wskazać czy osoby z uprawnieniami przekazują dane dostępowe. Dowodami mogą być zrzuty ekranu z konfiguracji KEEPASS czy też VERACRYPT.
Zapewnienie bezpieczeństwa plików systemowych Wskazać czy pliki systemowe systemów operacyjnych na serwerach oraz urządzeniach są zabezpieczone pod kątem infekowania szkodliwym oprogramowaniem. Wskazać czy stosuje się np. bitlocker. Dowodami mogą być zrzuty ekranu z konfiguracji urządzeń.
Zarządzanie podatnościami systemów W przypadku stosowania firewall oraz UTM wskazać czy korzysta się z tym funkcji urządzeń. W przypadku pozostałych czy dokonuje się przeglądu zagrożeń w kierunku podatności dla systemów wewn. i zewn. Dowodami mogą być zrzuty ekranu z konfiguracji urządzeń.
Kontrola zgodności systemów z regulacjami JST podlega wielu kontrolom i badaniom. Wykazać np.: kontrole RIO czy tez audyty wewn. jeżeli były takie przeprowadzane. Poza tym wskazać w JST osoby odpowiedzialne za nadzór w kwestii zgodności przepisów prawa w JST. Dowodami powinny być raporty z audytów lub protokoły kontroli.
Zapewnienie audytu bezpieczeństwa informacji, nie rzadziej niż raz na rok W ramach KRI i innych przepisów JST powinno przeprowadzać audyty bezpieczeństwa informacji. W ten czas powinny być przeprowadzane min. 1x w roku i kolejnych latach powinny być realizowane lub minimalizowane zalecenia wynikające z lat poprzednich. W ramach dowodów należy posiada raporty z audytów.