Postępowanie z incydentami bezpieczeństwa informacji w Głównym Urzędzie Miar.
Dzienniki resortowe
Dz.Urz.GUM.2023.12
Akt obowiązujący Wersja od: 12 czerwca 2023 r.
ZARZĄDZENIE Nr 3
PREZESA GŁÓWNEGO URZĘDU MIAR
z dnia 12 czerwca 2023 r.
w sprawie postępowania z incydentami bezpieczeństwa informacji w Głównym Urzędzie Miar
Na podstawie § 20 ust. 2 pkt 13 rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2017 r. poz. 2247) oraz art. 22 i art. 23 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2023 r. poz. 913) zarządza się, co następuje:
§ 1.
Zarządzenie reguluje sposób postępowania z incydentami bezpieczeństwa informacji w Głównym Urzędzie Miar, zwanym dalej "GUM".§ 2.
Użyte w zarządzeniu pojęcia oznaczają:1)
incydent bezpieczeństwa informacji - zdarzenie, które ma lub może mieć niekorzystny wpływ na bezpieczeństwo informacji w GUM;2)
incydent cyberbezpieczeństwa - incydent bezpieczeństwa informacji w rozumieniu art. 2 pkt 5 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2023 r. poz. 913);3)
incydent krytyczny - incydent bezpieczeństwa informacji w rozumieniu art. 2 pkt 6 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa;4)
obsługa incydentu bezpieczeństwa informacji - obsługę incydentu bezpieczeństwa informacji w rozumieniu art. 2 pkt 10 ustawy z dnia 5 lipca 2023 r. o krajowym systemie cyberbezpieczeństwa;5)
system HelpDesk - system pomocy technicznej GUM;6)
Zespół - zespół ds. bezpieczeństwa informacji, o którym mowa w decyzji Prezesa Głównego Urzędu Miar dotyczącej ustanowienia oraz określenia zadań pełnomocnika Prezesa Głównego Urzędu Miar do spraw Zintegrowanego Systemu Zarządzania.§ 3.
1.
Pracownik, w przypadku wykrycia wystąpienia incydentu bezpieczeństwa informacji, zwanego dalej incydentem", niezwłocznie dokonuje jego zgłoszenia w systemie HelpDesk.2.
Zgłoszenie incydentu powinno zawierać:1)
opis symptomów wystąpienia incydentu;2)
wskazanie okoliczności i czasu, w jakich zgłaszający zetknął się z incydentem;3)
informacje, które mogą wskazywać na przyczynę wystąpienia incydentu, o ile zgłaszający incydent posiada te informacje.3.
W przypadku braku dostępności systemu HelpDesk lub sytuacji wymagającej natychmiastowego działania, pracownik dokonuje zgłoszenia drogą elektroniczną na adres incydenty@gum.gov.pl lub telefonicznie albo osobiście kierownikowi komórki organizacyjnej GUM właściwej do spraw bezpieczeństwa, który przekazuje informacje o zgłoszeniu przewodniczącemu Zespołu w celu obsługi incydentu.§ 4.
Pracownik, który dokonał zgłoszenia, zobowiązany jest do:1)
podjęcia czynności niezbędnych dla powstrzymania niepożądanych skutków zaistniałego naruszenia;2)
niepodejmowania działań, które wiążą się z zaistniałym naruszeniem i mogą utrudnić jego udokumentowanie i analizę;3)
powstrzymanie się od pracy w systemie teleinformatycznym, a w przypadku podejrzenia cyberataku, wyłączenia urządzenia;4)
zabezpieczenia dostępu do pomieszczenia, nośników informacji i urządzeń służących do przetwarzania informacji, a także zabezpieczenia dowodów incydentu;5)
współpracy z pracownikami uczestniczącymi w obsłudze incydentu, w szczególności stosowania się do wskazówek Przewodniczącego Zespołu oraz koordynatora obsługi incydentu, o którym mowa w § 5 ust. 2.§ 5.
1.
Przewodniczący Zespołu zapoznaje się z zaistniałą sytuacją, weryfikuje, czy zgłoszenie dotyczy bezpieczeństwa informacji oraz czy wskazuje na wystąpienie incydentu.2.
W przypadku zaklasyfikowania zgłoszenia jako incydent Przewodniczący Zespołu zwołuje posiedzenie Zespołu oraz wyznacza koordynatora obsługi incydentu spośród członków Zespołu.3.
Jeżeli charakter incydentu tego wymaga, Przewodniczący Zespołu niezwłocznie:1)
zawiadamia odpowiednie służby porządkowe;2)
udziela wskazówek osobie dokonującej zgłoszenia w zakresie dalszego postępowania.4.
W przypadku zakwalifikowania zgłoszenia jako niedotyczącego bezpieczeństwa informacji, zgłoszenie jest zamykane, o czym informowany jest pracownik dokonujący zgłoszenia.§ 6.
W ramach obsługi incydentu Zespół:1)
podejmuje niezbędne działania, mające zminimalizować skutki incydentu;2)
przeprowadza postępowanie wyjaśniające;3)
zabezpiecza dostępne dowody;4)
wdraża plan przywrócenia właściwych warunków działania;5)
dokonuje analizy pod kątem, wystąpienia incydentu krytycznego lub incydentu cyberbezpieczeństwa;6)
podejmuje działania naprawcze i rekomenduje działania zapobiegawcze;7)
dokumentuje incydent w postaci raportu z incydentu, którego wzór określa załącznik nr 1 do zarządzenia;8)
nadaje mu priorytet, wynikający z istotności jego wpływu na funkcjonowanie GUM, konieczności natychmiastowej reakcji i podjęcia właściwych działań, uwzględniając wytyczne określone w załączniku nr 2 do zarządzenia;9)
przekazuje pracownikowi, który dokonał zgłoszenia, informacje o działaniach, jakie podjęto w następstwie zgłoszenia.§ 7.
Przewodniczący Zespołu:1)
prowadzi rejestr zgłoszonych incydentów, zgodnie ze wzorem rejestru określonym w załączniku nr 3 do zarządzenia;2)
niezwłocznie informuje Kierownictwo GUM o wystąpieniu incydentu krytycznego lub incydentu cyberbezpieczeństwa oraz we współpracy z koordynatorem zapewnia obsługę incydentu krytycznego lub incydentu cyberbezpieczeństwa zgodnie z ustawą z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa;3)
koordynuje przygotowanie i aktualizowanie przez Zespół planów ciągłości działania;4)
dokonuje przeglądu incydentów, jak również danych z obsługi incydentów;5)
sporządza Kierownictwu GUM, nie rzadziej niż raz na 6 miesięcy, raport o obsłużonych incydentach, zawierający rekomendacje w zakresie działań doskonalących, którego wzór określa załącznik nr 4 do zarządzenia.§ 8.
Upoważnieni pracownicy GUM, zawierając umowę z podmiotem zewnętrznym, zobowiązani są do zamieszczenia w umowie klauzul zobowiązujących podmiot zewnętrzny do zgłaszania zdarzeń, incydentów oraz podatności związanych z bezpieczeństwem informacji pozyskanych w ramach ich realizacji za pośrednictwem osób do kontaktu wskazanych w umowie.§ 9.
Przewodniczący Zespołu po raz pierwszy sporządzi raport, o którym mowa w § 7 pkt 5, w terminie 6 miesięcy od dnia wejścia w życie zarządzenia.§ 10.
Informacje dotyczące incydentów są uwzględniane w ramach monitorowania i oceny ryzyka zgodnie z odrębnymi regulacjami obowiązującymi w GUM.§ 11.
Do incydentów w sprawach wszczętych i niezakończonych przed dniem wejścia w życie niniejszego zarządzenia stosuje się przepisy dotychczasowe.§ 12.
Traci moc zarządzenie nr 4 Prezesa Głównego Urzędu Miar z dnia 24 lutego 2021 r. w sprawie postępowania z incydentami naruszenia bezpieczeństwa informacji w Głównym Urzędzie Miar.§ 13.
Zarządzenie wchodzi w życie z dniem następującym po dniu podpisania.ZAŁĄCZNIKI
ZAŁĄCZNIK Nr 2
WYTYCZNE DO NADAWANIA PRIORYTETÓW INCYDENTOM BEZPIECZEŃSTWA INFORMACJI
WYTYCZNE DO NADAWANIA PRIORYTETÓW INCYDENTOM BEZPIECZEŃSTWA INFORMACJI
Tabela priorytetyzacji incydentów bezpieczeństwa informacji
Priorytet | Opis potencjalnych skutków incydentu | Max. czas na podjęcie działań po otrzymaniu zgłoszenia | Max. czas obsługi incydentu | |
NISKI | Incydent nie generuje skutków prawnych, strat finansowych i wizerunkowych dla GUM; może skutkować pośrednio lub bezpośrednio krótkotrwałymi utrudnieniami w funkcjonowaniu pojedynczej komórki organizacyjnej GUM. | do 48 h | do 21 dni | |
ŚREDNI | Incydent może naruszać regulacje wewnętrzne GUM; skutkuje pośrednio lub bezpośrednio co najmniej kilkugodzinnymi utrudnieniami w realizacji zadań przez kilka komórek organizacyjnych; może negatywnie wpływać na wizerunek GUM lub generować straty finansowe. | krótkotrwała (2 h - 8 h) niedostępność usług/ systemów, zakłócenia w funkcjonowaniu | do 24 h | do 7 dni |
WYSOKI | Incydent może skutkować naruszeniem prawa powszechnie obowiązującego, skutkuje pośrednio lub bezpośrednio długotrwałymi utrudnieniami w funkcjonowaniu większości komórek organizacyjnych; może wpływać na podejmowanie decyzji przez kierownictwo GUM; generuje straty finansowe powyżej 100.000 zł oraz negatywnie wpływa na wizerunek GUM. | długotrwała (pow. 8 h) niedostępność usług/systemów/ zakłócenia w funkcjonowaniu | do 4 h | do 2 dni |