Ogłoszono granty z projektu „Cyfrowa Gmina” dla jednostek samorządu terytorialnego dofinansowanie można uzyskać na zadania związane z:
- Cyfryzacją urzędów JST i jednostek im podległych oraz nadzorowanych poprzez nabycie sprzętu IT i oprogramowania, licencji niezbędnych do realizacji e-usług, pracy i edukacji zdalnej.
- Edukację cyfrową dla JST w zakresie obsługi nabytego sprzętu oraz oprogramowania i licencji.
- Analizą stanu cyberbezpieczeństwa JST, a także zapewnieniem cyberbezpieczeństwa samorządowych systemów informatycznych.
W ramach uzyskania środków na zapewnienie cyberbezpieczeństwa samorządowych systemów informatycznych niezbędne będzie dokonanie technicznej diagnozy cyberbezpieczeństwa, zgodnie z formularzem stanowiącym załącznik nr 8 do dokumentacji konkursowej.
Więcej informacji o projekcie: https://www.gov.pl/web/cppc/cyfrowa-gmina
Kto powienien przeprowadzić diagnozę?
Przeprowadzić diagnozę powinna osoba posiadają uprawnienia wskazane w Rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu) tj.:
- Certified Internal Auditor (CIA);
- Certified Information System Auditor (CISA);
- Certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz. 1398 oraz z 2018 r. poz. 650 i 1338), w zakresie certyfikacji osób;
- Certyfikat audytora wiodącego systemu zarządzania ciągłością działania PN-EN ISO 22301 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku, w zakresie certyfikacji osób;
- Certified Information Security Manager (CISM);
- Certified in Risk and Information Systems Control (CRISC);
- Certified in the Governance of Enterprise IT (CGEIT);
- Certified Information Systems Security Professional (CISSP);
- Systems Security Certified Practitioner (SSCP);
- Certified Reliability Professional;
- Certyfikaty uprawniające do posiadania tytułu ISA/IEC 62443 Cybersecurity Expert.
Czego dotyczy diagnoza?
- Ocena zgodności z Rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych oraz
- Ocena zgodności z ustawą z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa
- Ocena wybranych aspektów bezpieczeństwa systemów informatycznych
- Ocena dojrzałości wybranych procesów bezpieczeństwa wg frameworku COBIT dla procesu DSS05 – Managed Security Services
Poniżej rozwińmy poszczególne wyżej wymienione obszary zgodności tj.
Ocena zgodności z Krajowymi Ramami Interoperacyjności
Zalecenia wymienione w § 20 ust 2 rozporządzenia KRI odnoszące się do zarządzania bezpieczeństwem, które stanowi, że powinno to być zapewniane poprzez:
- zapewnienie aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;
- utrzymywanie aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;
- przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;
- podejmowanie działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;
- bezzwłoczna zmiana uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4;
- zapewnienie szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:
- zagrożenia bezpieczeństwa informacji,
- skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,
- stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich;
- zapewnienie ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez:
- monitorowanie dostępu do informacji,
- czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,
- zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji;
- ustanowienie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;
- zabezpieczenie informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;
- zawieranie w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji;
- ustalenie zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;
- zapewnienie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:
- dbałości o aktualizację oprogramowania,
- minimalizowaniu ryzyka utraty informacji w wyniku awarii,
- ochronie przed błędami, utratą, nieuprawnioną modyfikacją,
- stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,
- zapewnieniu bezpieczeństwa plików systemowych,
- redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,
- niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,
- kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa;
- bezzwłoczne zgłaszanie incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących;
- zapewnienie okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.
Ocena zgodności z ustawą z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa
Jednostki samorządu terytorialnego w pewnym zakresie podlegają również wymaganiom ustawy o krajowym systemie cyberbepieczeństwa. W ramach diagonozy należy ustalić przede wszystkim kwestie zarządzania incydentami, budowania świadomości oraz wyznaczenie osoby kontaktowej z zespołami ds. reagowania na incydenty bezpieczeństwa teleinformatycznego CSIRT. Szczegółowo należy sprawdzić:
- Publikowanie informacji, pozwalających na zrozumienie zagrożeń cyberbezpieczeństwa oraz możliwych, skutecznych sposobów zabezpieczania się przed tymi zagrożeniami tj. zadań zawartych w art. 22 ust. 4 ustawy o krajowym systemie cyberbezpieczeństwa;
- Wyznaczenie osoby kontaktowej, o której mowa w art. 21 ustawy o krajowym systemie cyberbezpieczeństwa;
- Zapewnienie obsługi incydentu oraz zarządzania incydentem art. 22 pkt. 2 ustawy o krajowym systemie cyberbezpieczeństwa.
Ocena wybranych aspektów bezpieczeństwa systemów informatycznych
Jak sugeruje autor ankiety, ocenie podlegają aspekty techniczne w kontekście kontaktu i popularnych zagrożeń odnotowywanych przez CERT/CSIRT Polska.
Posiadanie dokumentacji systemu informacyjnego
- Raporty z audytów systemów informacyjnych zadania publiczne;
- Szacowanie ryzyka dla systemów realizacji audytów informatycznych;
- Dokumentacja architektury zastosowanych zabezpieczeń
- Dokumentacja architektury sieci
- Baza konfiguracji urządzeń aktywnych;
- Dokumentacja zmian w systemach informacyjnych;
- Dokumentacja dotycząca monitorowania w trybie ciągłym;
- Umowy z dostawcami IT oraz dostawcami usług bezpieczeństwa teleinformatycznego ewentualne audyty u dostawców tych usług;
- Dokumentacja zabezpieczeń fizycznych i środowiskowych;
- Rejestr dostępu do dokumentacji systemu informacyjnego
- Dokumentacja procesu zarządzania incydentami
- Wdrożenie monitoringu i wykrywania incydentów;
- Procedura informowania o wykrytych incydentach;
- Procedury reagowania na incydenty
- Wyniki audytu serwisów WWW
- Wyniki audytu serwerów pocztowych
- Wyniki audytu lokalnych sieci teleinformatycznych
- Wyniki audytu połączenia z siecią Internet
Ocena dojrzałości wybranych procesów bezpieczeństwa
Według DSS05 Zarządzanie usługami bezpieczeństwa występujące w uznanej, międzynarodowej metodyce COBIT 5 oraz o wymagania Polskich Norm z rodziny ISO 27000. Pozwala to, dzięki użyciu kompletnego zestawu celów kontrolnych dotyczących zapewnienia bezpieczeństwa, na dokonanie przekrojowej oceny warunków zapewnienia bezpieczeństwa przy jednoczesnym ograniczeniu jego szczegółowości. Zastosowanie metodyki umożliwia jednocześnie dokonanie obiektywnej oceny kontrolowanej działalności. Dzięki zdefiniowanym w niej miernikom oraz modelowi dojrzałości wyniki przeprowadzonych badań mogą być bezpośrednio wykorzystane do sporządzenia oceny kontrolowanej działalności.
Stosowanie metodyki COBIT w zakresie kontroli zagadnień informatycznych jest zalecane w „Wytycznych w sprawie kontroli wewnętrznej w sektorze publicznym INTOSAI GOV 9100” oraz w „Podręczniku kontroli systemów informatycznych dla najwyższych organów kontroli opracowanym przez inicjatywę INTOSAI ds. Rozwoju (IDI)”.
- Ochrona przed kodem szkodliwym
- Ochrona sieci i połączeń
- Ochrona urządzeń końcowych
- Zarządzanie tożsamością i autoryzacją dostępu
- Ochrona fizyczna systemów IT
- Bezpieczeństwo urządzeń drukujących
- Zarządzanie podatnościami