| Opis | Treść |
|---|---|
| Audytowana Jednostka Organizacyjna | |
| Audytowane lokalizacje: | |
| Cel Audytu: | Potwierdzenie zgodności bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi krytycznej z Kryteriami |
| Kryteria Audytu | Ustawa o Krajowym Systemie Cyberbezpieczeństwa z 5 lipca 2018 wraz z Załącznikami |
| Zakres Audytu - Działalność | nazwa usługi krytycznej |
| Zakres audytu - Proces | wsparcie systemu informacyjnego dla usługi krytycznej |
| Data(y) Audytu | |
| Data wydania Raportu | |
| Data Raportu Poprzedniego i ilość niezgodności | |
| Data Raportu poprzedniego do poprzedniego i ilość niezgodności | |
| Data objęcia Ustawą KSC | |
| Sektor | |
| Podsektor | |
| Opis progu uznania Incydentu za poważny |
| Osoby odpowiedzialne w OUK | Imię i Nazwisko |
|---|---|
| Prezes/dyrektor generalny | |
| Audytor wewnętrzny | |
| Pełnomocnik OUK | |
| Nadzorujący audyt KSC |
| Typ procesu / aktywności wymaganej KSC | Imię i Nazwisko pracownika OUK lub dane dostawcy cyberbezpieczeństwa, wyznaczonego przez Najwyższe Kierownictwo jako właściwego merytorycznie do uczestnictwa w audycie |
|---|---|
| Zarządzanie ryzykiem | |
| Zarządzanie incydentem | |
| Zarządzanie zagrożeniami | |
| Zarządzanie podatnościami | |
| Zarządzanie środkami technicznymi | |
| Zarządzanie środkami organizacyjnymi | |
| Utrzymanie i eksploatacja SI_OUK | |
| Bezpieczeństwo fizyczne i środowiskowe | |
| Bezpieczeństwo i ciągłość dostaw usług | |
| Zarządzanie ciągłością działania UK | |
| Zarządzanie systemem monitorowania w trybie ciągłym | |
| zarządzanie łącznością w ramach KSC |
| Funkcja Audytowa | Imię i Nazwisko | Potwierdzenie kwalifikacje (certyfikaty, wykształcenie i doświadczenie) |
|---|---|---|
| Audytor Wiodący | ||
| Audytor Systemy Operacyjne | ||
| Audytor warstwa aplikacji i baz danych | ||
| Audytor procesów 27001 | ||
| Audytor procesów 22301 | ||
| Audytor bezpieczeństwa procesów biznesowych |
Granica konfliktu interesu: Osoby tworzące zespół audytowy i bezpośrednio zaangażowane w weryfikacje zgodności, oświadczają że w terminie ostatnich 24 miesięcy nie wykonywały osobiście prac doradczych, projektowych, architektonicznych lub implementacyjnych na rzecz audytowanego podmiotu w zakresie audytowanej Usługi kluczowej .
Audyt poprzedni (jeśli dotyczy) z dnia:
| Stwierdzenie faktu i opis niezgodności (w tym odniesienie do kryterium) | Priorytet | Data zamknięcia niezgodności |
|---|---|---|
Audyt poprzedni do poprzedniego (jeśli dotyczy) z dnia:
| Stwierdzenie faktu i opis niezgodności (w tym odniesienie do kryterium) | Priorytet | Data zamknięcia niezgodności |
|---|---|---|
W dniach ...... - ....... przeprowadzono audyt zgodności z wymaganiami Ustawy o Krajowym Systemie Cyberbezpieczeństwa (Dz.U. 2018 poz. 1999). Prace audytowe zostały przeprowadzone przez ...... zgodnie z umową z dnia ......
Pierwszy etap prac polegał na "Zrozumieniu kontekstu działania organizacji oraz analizy dokumentacji" i został przeprowadzone w dniach ....... - ....... . Na podstawie otrzymanych informacji udało się zidentyfikować .... niezgodności oraz zaplanowano drugi etap prac polegający na " Testach skuteczności funkcjonowania mechanizmów kontrolnych". Audytowi poddano ..... procesów w ....... lokalizacjach oraz działalność .... dostawców i usługodawców.
Podczas audytu zidentyfikowano ..... niezgodności o krytycznym priorytecie, ..... niezgodności o wysokim priorytecie, ..... niezgodności o średnim priorytecie oraz ..... niezgodności o niskim priorytecie. Priorytety prac odnoszą się do potencjalnych skutków i należy je rozumieć w następujący sposób:
krytyczny - niezgodności mogące bezpośrednio doprowadzić do incydentu krytycznego lub uniemożliwić jego skuteczną obsługę
wysoki - niezgodności mogące bezpośrednio doprowadzić do incydentu poważnego lub ..... lub polegające na braku realizowania wymagań KSC
średni - niezgodności mogące doprowadzić do incydentu zwykłego, lub ......, lub polegające na nieskutecznej realizacji wymagań KSC
niski - obszary mogące w opinii zespołu audytowego doprowadzić w przyszłości do incydentów lub niezgodności o wyższym priorytecie
Kluczowymi niezgodnościami, którymi, zdaniem zespołu audytowego, w pierwszej kolejności powinno zająć się najwyższe kierownictwo są:
........
| Stwierdzenie faktu i opis niezgodności (w tym odniesienie do kryterium) | Priorytet |
|---|---|
.......
Celem wykonanych prac była ocena procesu zarządzania bezpieczeństwem informacji realizowanego przez ....<nazwa klienta>... oraz identyfikacja i analiza luki zgodności w wymaganiami Ustawy o Krajowym Systemie Cyberbezpieczeństwa
Zakres prac obejmował:
- zrozumienie kontekstu działania organizacji w tym wpływ systemów IT na usługę krytyczną
- analizę dokumentacji
- testy skuteczności funkcjonowania mechanizmów kontrolnych
- opracowanie raportu zawierającego opis zidentyfikowanych niezgodności wraz z rekomendacjami
- przestawienie wyników audytu dla najwyższego kierownictwa
Prace zostały wykonane w dniach ...... - ....... i polegały na analizie wybranej dokumentacji, wywiadach z wybranymi pracownikami, obserwacjach i wizji lokalnej w ..... jednostkach. Dodatkowo w ramach audytu przeprowadzono testy techniczne obejmujące swoim zakresem:
- weryfikację podatności na ... stacjach
- weryfikację luk w systemie ....
Prace realizowane były zgodnie z następującym harmonogramem:
- uruchomienie projektu i spotkanie organizacyjne
- planowanie prac
- Etap I
- Etap II
- Raportowanie wyników analizy luki zgodności
- Przesłanie raportu do uzgodnień
- Przygotowanie ostatecznej wersji raportu
- Omówienie wyników analizy niezgodności
Ograniczenie zakresu nałożone na zespół audytowy, które nie pozwoliły na realizację szczegółowych celów i planów audytu bazujących na zapisach ustawy, rozporządzeń, metodyki lub/i charakteru organizacji.
Szczegółowe wyniki wykonanych prac obejmują ocenę zgodności z wymaganiami Ustawy o Krajowym Systemie Cyberbezpieczeństwa, w tym zidentyfikowane niezgodności, które mogą mieć wpływ na świadczenie Usług Kluczowych.
Do określenia skutków zidentyfikowanych niezgodności wykorzystano następujące skale:
krytyczny - niezgodności mogące bezpośrednio doprowadzić do incydentu krytycznego lub uniemożliwić jego skuteczną obsługę
wysoki - niezgodności mogące bezpośrednio doprowadzić do incydentu poważnego lub ..... lub polegające na braku realizowania wymagań KSC
średni - niezgodności mogące doprowadzić do incydentu zwykłego, lub ......, lub polegające na nieskutecznej realizacji wymagań KSC
niski - obszary mogące w opinii zespołu audytowego doprowadzić w przyszłości do incydentów lub niezgodności o wyższym priorytecie
Poszczególne niezgodności powinny zostać usunięte zgodnie z wdrożonym w organizacji procesem zarządzania ryzykiem. Terminowość i skuteczność wdrożenia rekomendacji powstałych w wyniku niniejszego audytu powinna stanowić wkład w kolejne audyty zgodności z wymaganiami KSC. Może też być elementem przeglądów realizowanych przed podmioty nadzorcze zgodnie z par............ KSC
W ramach z każdego weryfikowanych obszarów zgrupowano obserwacje powstałe w wyniku analizy dokumentacji, obserwacji i wywiadów, testów przeprowadzonych w ramach audytu oraz analizy innych przedstawionych wyników testów technicznych.
W ramach audytu zespół koncentrował się na potwierdzeniu zgodności z wymaganiami w zakresie stworzenia i utrzymywania systemu zarządzania zapewniającego zgodność z KSC.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykuł 9, 14, 15 i 16 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.),
- Rozporządzenie Ministra Cyfryzacji z 4 grudnia 2019 w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo,
- Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080),
- Rozporządzenie Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz. U. poz. 1999),
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 5, 7, 9 i 10,
- Załącznika A do Polskiej Normy PN-EN ISO/IEC 27001 w wymaganiach A.5, A.6 i A.18.
- Czynności wykonane w terminie 3 miesięcy
- Czynności wykonane w terminie 6 miesięcy
- Czynności wykonane w terminie 12 miesięcy
- lista elementów składowych
- lista osób odpowiedzialnych
- Umowy z dostawcami (wsparcie techniczne) itp.
- Raporty z audytów systemów informacyjnych wspierających usługę kluczową
- Dokumentacja zmian w systemach informacyjnych
- Umowy z dostawcami usług z zakresu cyberbezpieczeństwa
- Wyniki audytów u dostawców usług cyberbezpieczeństwa
- Baza danych konfiguracji urządzeń aktywnych
- Dokumentacja architektury zastosowanych zabezpieczeń
- Dokumentacja zabezpieczeń fizycznych i środowiskowych
- Dokumentacja architektury sieci. Zarządzanie zmianą
- Dokumentacja dotycząca monitorowania w trybie ciągłym
- Rejestr dostępu do dokumentacji systemu informacyjnego
- Potwierdzenie działań wynikających z komunikacji z procesem szacowania ryzyka SI_OUK
| ID | Zdarzenie niepożądane | Opis ryzyka | Priorytet |
|---|---|---|---|
| 1 | |||
| 2 |
| Obserwacja | Rekomendacje |
|---|---|
W ramach audytu zespół koncentrował się na potwierdzeniu zgodności z wymaganiami w zakresie poprawności ich zdefiniowania, wdrożenia, eksploatacji i nadzorowania procesów zapewniających bezpieczeństwo informacji.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykuł 8, 10, 11, 15 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.),
- Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080),
- Rozporządzenie Rady Ministrów z dnia 31 października 2018 r. w sprawie progów uznania incydentu za poważny (Dz. U. poz. 2180),
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 6, 8,
- Wszystkie z wymienionych w Załączniku A do Polskiej Normy PN-EN ISO/IEC 27001.
- Weryfikacja polityki bezpieczeństwa. Określone i zakomunikowane cele działania systemu w odpowiedzialnej komórce (Dz. U. XXX z 23.12.2019)
- Role i odpowiedzialności w DC Deklaracja stosowania (Norma-> 6.1.3.d)
- Dokumentacja powołania DC
- Plany postępowania z ryzykiem
- Przegląd komunikatów z DC do organizacji (Norma-> 7.4)
- Raport z wykonanych audytów wewnętrznych i zewnętrznych SZBI
- Raport z przeglądów zarządzania
- Dokumentacja nadzoru nad utrzymaniem (Norma-> 8.1)
- Baza konfiguracji urządzeń / inwentaryzacja aktywów
- Określenie obszarów obowiązywania SZBI (zakres)
- Proces weryfikacji kandydatów (przed zatrudnieniem)
- Podnoszenie kwalifikacji pracowników
- Akceptowalne użycie aktywów przez pracowników
- Nośniki wymienne – udokumentowany sposób podstępowania/ procedury
- Uprawnienia / dostęp do systemów – procedury w zakresie:
- Przydzielanie dostępu
- Odbieranie dostępu
- Pomieszczenie w zakresie zespołu (Dz. U. XXXX z 23.12.2019)
- Dokumentacja i rozliczalność w zakresie VPN (Dz. U. XXXX x 23.12.2019)
- Dokumentacja umiejętności personelu w zakresie identyfikacji zagrożeń dla ICT / ICS – usługi kluczowej
- Dokumentacja umiejętności personelu w zakresie analizowania oprogramowania szkodliwego Procedura i dokumentacja przebiegu identyfikacji wpływu oprogramowania złośliwego na usługę kluczową
- Przebieg zabezpieczenia śladów kryminalistycznych
- Narzędzia do przeprowadzania analizy szkodliwości kodu
- Dokumentacja Identyfikacji odbiorcy
- Dokumentacja przeprowadzonego szkolenia
- Dokumentacja Komunikatów
| ID | Zdarzenie niepożądane | Opis ryzyka | Priorytet |
|---|---|---|---|
| 1 | |||
| 2 |
| Obserwacja | Rekomendacje |
|---|---|
W ramach audytu zespół koncentrował się na potwierdzeniu zgodności z wymaganiami w zakresie poprawności stosowanej metodyki zarządzania ryzykiem oraz kompletności procesu zarządzania ryzykiem poczynając od identyfikacji ryzyka aż po nadzór nad wprowadzeniem rekomendacji.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykuł 8, 10 ustawy o ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.),
- Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080),
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 6, 8, 9, 10,
- Załącznika A do Polskiej Normy PN-EN ISO/IEC 27001 w wymaganiach A.6, A.18.
- Procedury związane z identyfikacją ryzyka
- Procedury związane z przeglądem ryzyka
- Rejestr ryzyka
- Dokumentacja szacowania ryzyka dla obiektów infrastruktury
- Dokumentacja zapewnienia ochrony fizycznej
- Powtarzalność identyfikacji ryzyka
- Poprawność zastosowanych działań w zakresie analizy
- Adekwatność w ocena ryzyka
| ID | Zdarzenie niepożądane | Opis ryzyka | Priorytet |
|---|---|---|---|
| 1 | |||
| 2 |
| Obserwacja | Rekomendacje |
|---|---|
W ramach audytu zespół koncentrował się na potwierdzeniu zgodności z wymaganiami w zakresie zdefiniowania wymagań, wdrożenia i konfiguracji narzędzi, ciągłego monitorowania i skutecznego reagowania na potencjalne incydenty.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykuł 8, 11, 12, 13 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.),
- Rozporządzenie Ministra Cyfryzacji z 4 grudnia 2019 w w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo,
- Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080),
- Rozporządzenie Rady Ministrów z dnia 31 października 2018 r. w sprawie progów uznania incydentu za poważny (Dz. U. poz. 2180),
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 6, 8, 9, 10,
- Załącznika A do Polskiej Normy PN-EN ISO/IEC 27001 w wymaganiach A.6, A.12, A.16,
- Wymagania Polskiej Normy PN-EN ISO 22301 w rozdziałach 8.4, 9.1
- Procedury zarządzania incydentami
- Przyjęta taksonomia w zakresie rodzajów zagrożeń
- Procedury postępowania ze znanymi incydentami
- Raportowanie poziomów pokrycia scenariuszami znanych incydentów
- Dokumentacja przebiegu reakcji na incydent
- Dostęp do miejsca, w którym przechowywana jest dokumentacja lub weryfikacja dokumentacji poświadczającej właściwe praktyki ochrony fizycznej
- Dokumentacja dotycząca przekazywania informacji do właściwego zespołu CSIRT poziomu krajowego/ sektorowego zespołu cyberbezpieczeństwa
- Zabezpieczenia i gromadzenie materiału dowodowego oraz zapewnienie rozliczalności w całym procesie monitorowania i reagowania na incydenty
- Dokumentacja systemu do automatycznego rejestrowania zgłoszeń incydentów
- Potwierdzenie działań wynikających z komunikacji z procesem szacowania ryzyka SI_OUK
- Dokumentacja doskonalenia procesu zarządzania incydentami i wniosków (w oparciu o zidentyfikowane słabości)
- Monitorowanie i wykrycie incydentów w zakresie poufności
- Monitorowanie i wykrycie incydentów w zakresie dostępności
- Monitorowanie i wykrycie incydentów w zakresie integralność
- Monitorowanie i wykrycie incydentów w zakresie autentyczności
- Dokumenty potwierdzające wyszukiwanie podobieństw
- Identyfikacja i dokumentowanie przyczyn wystąpienia incydentów
- Dowody świadczące o opracowywaniu i implementacji wniosków wynikających z obsługi incydentu
- Dowody poprawnej obsługi incydentu (1.1.10)
- Kontekst personelu i dokumentacji umiejętności (rozp XXXX z 23.12.2019 par. 1 ust. 1 pkt. 4)
- Kontekst narzędzi (rozp XXXX z 23.12.2019 par. 2 ust. 1 pkt. 1)
| ID | Zdarzenie niepożądane | Opis ryzyka | Priorytet |
|---|---|---|---|
| 1 | |||
| 2 |
| Obserwacja | Rekomendacje |
|---|---|
W ramach audytu zespół koncentrował się na potwierdzeniu zgodności w wymaganiami w zakresie identyfikowania potrzeby zmian, ustalania wymagań bezpieczeństwa, wyboru rozwiązań, dokumentowania, testowania i wdrażania zmian.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykuł 8, 10 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.),
- Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080),
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 6, 8,
- Załącznika A do Polskiej Normy PN-EN ISO/IEC 27001 w wymaganiach A.6, A.8, A.12, A.14, A.15, A.16.
- Rejestr wyjątków braku aktualizacji
- Wyniki skanowania podatności ze strony sieci
- Wyniki skanowania podatności ze strony systemu operacyjnego
- Wyniki skanowania podatności aplikacji
- Dekompozycja na komponenty składowe (biblioteki / moduły) – materiały opisowe
- Wyniki audytów w procesie zarządzania zmianą
- Potwierdzenie działań wynikających z komunikacji z procesem szacowania ryzyka SI_OUK
| ID | Zdarzenie niepożądane | Opis ryzyka | Priorytet |
|---|---|---|---|
| 1 | |||
| 2 |
| Obserwacja | Rekomendacje |
|---|---|
W ramach audytu zespół koncentrował się na potwierdzeniu zgodności w wymaganiami w zakresie dokonania analizy i zdefiniowania wymagań dla ciągłości działania, wdrożenia rozwiązań zapasowych i redundantnych, testowaniu zdolności, przygotowania odpowiednich umów z dostawcami oraz nadzorowaniu ich sposobu zapewnienia ciągłości działania.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykuł 8 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.),
- Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080),
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 6, 8, 9,
- Załącznika A do Polskiej Normy PN-EN ISO/IEC 27001 w wymaganiach A.6, A.17,
- Wymagania Polskiej Normy PN-EN ISO 22301.
- Harmonogram i rodzaje testów ciągłości działania
- Wyniki testów ciągłości działania
- Konfiguracja systemów do wykonywania kopii bezpieczeństwa
- Raport z przeglądów i testów odtwarzania kopii bezpieczeństwa
- Rejestr przeprowadzonych przeglądów
- Retencja danych – dokumenty potwierdzające
- Przechowywanie kopii zapasowych - procedury
- Dokumentacja analizy BIA i analizy ryzyka
- Strategia i polityka ciągłości działania
- Dokumentacja wyjątków i odstępstw od założeń polityki
- Dokumentacja MAK (Minimalna akceptowalna konfiguracja)
- Struktura organizacyjna w odpowiedzi na incydent
- Procedury ciągłości działania, awaryjne oraz odtwarzania po katastrofie (DRP)
- Scenariusze testowe
- Procedury komunikacji z mediami i komunikacji wewnętrznej
- Rejestr kluczowych dostawców w ramach UK
- Procedury współpracy z podmiotami zewnętrznymi
- Potwierdzenie działań wynikających z komunikacji z procesem szacowania ryzyka SI_OUK
- Dokumentacja wyników ocen i pomiarów (w tym testów) SZCD i jego elementów oraz działań korygujących (oraz ich status)
| ID | Zdarzenie niepożądane | Opis ryzyka | Priorytet |
|---|---|---|---|
| 1 | |||
| 2 |
| Obserwacja | Rekomendacje |
|---|---|
W ramach audytu zespół koncentrował się na potwierdzeniu zgodności w wymaganiami w zakresie ustalania i nadzorowania wymagań bieżącej eksploatacji systemów informatycznych.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykuł 8 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.),
- Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080),
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 6, 7, 8, 9, 10,
- Załącznika A do Polskiej Normy PN-EN ISO/IEC 27001 w wymaganiach A.5, A.6, A.8, A.9, A.10, A.11, A.12, A.14, A.14, A.18.
- Opis procesu
- Harmonogramy skanowania podatności
- Wyniki skanowania podatności
- Wyniki zmiany priorytetyzacji w raportach
- Aktualny status realizacji postępowania z podatnościami - lista
- Procedury związane ze z identyfikowaniem (wykryciem) podatności
- Współpraca z osobami odpowidzialnymi za procesy zarządzania incydentami
- Potwierdzenie działań wynikających z komunikacji z szacowaniem ryzyka SI_OUK
| ID | Zdarzenie niepożądane | Opis ryzyka | Priorytet |
|---|---|---|---|
| 1 | |||
| 2 |
| Obserwacja | Rekomendacje |
|---|---|
W ramach audytu zespół koncentrował się na potwierdzeniu zgodności w wymaganiami w zakresie ustalania i nadzorowania wymagań bieżącej eksploatacji systemów informatycznych wykorzystywanych do zapewniania, monitorowania i reagowania na incydenty bezpieczeństwa.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykuł 8 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.),
- Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080),
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 6, 7, 8, 9,10,
- Załącznika A do Polskiej Normy PN-EN ISO/IEC 27001 w wymaganiach A.5, A.6, A.8, A.9, A.10, A.11, A.12, A.14, A.18.
- Procedury migracji / tworzenia danych testowych
- Dostęp do środowisk DEV / TEST / QA – zasady udokumentowane
- Rozliczalność dostępów - procedury
| ID | Zdarzenie niepożądane | Opis ryzyka | Priorytet |
|---|---|---|---|
| 1 | |||
| 2 |
| Obserwacja | Rekomendacje |
|---|---|
W ramach audytu zespół koncentrował się na potwierdzeniu zgodności w wymaganiami w zakresie skuteczności procesu ochrony fizycznej i środowiskowej.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykuł 8, 10, 14 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.),
- Ustawy o ochronie osób i mienia
- Rozporządzenie Ministra Cyfryzacji z 4 grudnia 2019 w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo,
- Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080),
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 6, 8,
- Załącznika A do Polskiej Normy PN-EN ISO/IEC 27001 w wymaganiach A.6, A.11, A17.
- Dokumentacja i zasadność instalacji systemu zabezpieczeń (drzwi / okna / ściany)
- Dokumentacja i zasadność instalacji systemu alarmowego i antynapadowego
- Atestacja szafy i sejfy
- Dokumentacja i zasadność konfiguracji systemu przeciwpożarowego
- Przechowywanie i dostęp do dokumentacji
- Potwierdzenie działań wynikających z komunikacji z szacowaniem ryzyka SI_OUK
- Dokumentacja i zasadność konfiguracji systemu podtrzymania i stabilizacji prądu
- Dokumentacja i zasadność konfiguracji systemu podtrzymania warunków temperatury, wilgotności i wentylacji pomieszczeń
- Rejestr przeglądów i konserwacji elementów w/w użytkowanych systemów
- Dokumentacja testów bezpieczeństwa w odniesieniu do elementów systemu zabezpieczeń fizycznych
- Dokumentacja i testy procedur ewakuacyjnych
- Dokumentacja i procedury kontaktu ze służbami
| ID | Zdarzenie niepożądane | Opis ryzyka | Piorytet |
|---|---|---|---|
| 1 | |||
| 2 |
| Obserwacja | Rekomendacje |
|---|---|
W ramach audytu zespół koncentrował się na potwierdzeniu zgodności w wymaganiami w zakresie definiowania i nadzorowania stosowania wymagań bezpieczeństwa informacji i ciągłości działania przez dostawców usług bezpieczeństwa informacji oraz usług wdrażania i utrzymywania systemów informatycznych wykorzystywanych do świadczenia usług kluczowych.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykuł 8, 14 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.),
- Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080),
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 6, 7, 8,
- Załącznika A do Polskiej Normy PN-EN ISO/IEC 27001 w wymaganiach A.6, A.15, A.17,
- Wymagania Polskiej Normy PN-EN ISO 22301 w rozdziałach 8.3.
- Polityka bezpieczeństwa w relacjach z dostawcami
- Standardy i wymagania nakładane na dostawców w umowach w zakresie cyberbezpieczeństwa
- Ocena zdolności dostawcy do zachowania ciągłości działania
- Bezpieczeństwo łańcucha dostaw
- Monitorowanie bieżące i przegląd usług świadczonych przez dostawców
- Umowy z w/w dostawcami (wymagany poziom usług) i standardy w umowach dotyczące cyberbezpieczeństwa
- Rejestr kluczowych dostawców w ramach UK
- Wyniki audytów drugiej i trzeciej strony
- Dostęp do VPN i metody uwierzytelnienia
- Akceptowalne użycie aktywów – lista przypadków
- Wymagania osobowe (Dz.U XXXX z 23.12.2019r)
- Wymagania w zakresie ochrony fizycznej
- Zastosowane systemy zabezpieczeń w zakresie dostępów do dokumentacji
- Zastosowane systemy zabezpieczeń teleinformatycznych w zakresie pracy zdalnej
| ID | Zdarzenie niepożądane | Opis ryzyka | Priorytet |
|---|---|---|---|
| 1 | |||
| 2 |
| Obserwacja | Rekomendacje |
|---|---|
| Definicja | Wyjaśnienie |
|---|---|
| Audytor Wiodący | Audytor wyznaczony jako lider zespołu audytowego, odpowiedzialny za realizację audytu zgodnie z zakresem, programem i ocenę dowodów w odniesieniu do Kryteriów Audytu, wybór technik badawczych oraz przygotowanie zbiorczego raportu |
| Common Vulnerability Scoring System (CVSS) | Międzynarodowa skala stosowana podczas analizy ryzyk związanych z technicznymi podatnościami systemów informatycznych. Jest stosowana przez wszystkich głównych dostawców systemów informatycznych oraz powszechnie wykorzystywana na całym świecie przez zespoły IT. Jest szerzej opisana na stronie https://www.first.org/cvss/ |
| PŚUB | Podmiot Świadczący usługi cyberbezpieczeństwa |
| KSC | Ustawa o Krajowym Systemie Cyberbezpieczeństwa |
| OUK | Operator Usługi Kluczowej |
| UK | Usługa Kluczowa - zestaw funkcji, towarów i usług uznanych przez Organ Właściwych za istotny dla sprawnego działania Cyberbezpieczeństwa Rzeczypospolitej Polskiej |
| Mechanizm kontrolny | środków technicznych i organizacyjnych (fizyczne i informatyczne narzędzia, procedury operacyjne i instrukcje oraz struktura organizacyjna) mające na celu zmniejszanie zidentyfikowanego ryzyka. Jest to tożsame z terminem „zabezpieczenie” |
| Najwyższe Kierownictwo | osoba lub grupa osób, które na najwyższym szczeblu kierują organizacją i ją nadzorują |
| Program audytu | przygotowany przez Audytora Wiodącego i zatwierdzony przez Operatora Usługi Kluczowej program zadania audytowego |
| Raport z audytu | dokument przygotowany pod nadzorem Audytora Wiodącego zawierający obserwacje (ustalenia stanu faktycznego) w zakresie zaobserwowanych niezgodności, ocenę systemu, klasyfikację zidentyfikowanego ryzyka oraz rekomendacje dla Kierownictwa OUK |
| Skuteczność mechanizmu kontrolnego | zapewnienie, że mechanizm kontrolny realizuje postawione przed nim cele |
| Zespół audytowy | Audytor Wiodący oraz co najmniej jeden dodatkowy audytor przeprowadzający zadanie audytowe |
| System informatyczny | system informatyczny wykorzystywany do świadczenia usługi kluczowej |
| Operator usługi kluczowej | Podmiot gospodarczy wykonujący działania uznane przez państwo Polskie za istotne, a wobec którego organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu za operatora usługi kluczowej |
| Organ właściwy | Organami właściwymi do spraw cyberbezpieczeństwa są ministerowie właściwi do spraw zgodnie z podziałem sektorowym. Organ właściwy kontroluje i nakłada kary pieniężne na operatorów usług kluczowych i dostawców usług cyfrowych |
| Zarządzanie incydentem |
bieżący i udokumentowany proces ogólnego postępowania w trakcie obsługi incydentu polegającego conajmniej na podejmowaniu działań i dokumentowania z podziałem na fazy:
wynikających z obsługi incydentu |
| Szacowanie ryzyka |
bieżące prace polegające na ocenie sytuacji w zarządzanej cyberprzestrzeni polegające co najmniej na:
|
| Obsługa incydentu |
szczegółowy zestaw czynności wykonywanych w sposób powtarzalny i udokumentowany, a składający się z co najmniej faz:
|
| Pełnomocnik OUK | osoba odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa |
| Właściciel procesu zarządzania ryzykiem | Osoba odpowiedzialna u OUK za wypełnianie obowiązków operatora w zakresie artykułu 8 punkt 1. |
| Właściciel procesu zarządzania incydentem | Osoba odpowiedzialna u OUK za wypełnianie obowiązków operatora w zakresie artykułu 8 punkt 4 |
| Właściciel procesu zarządzania zagrożeniami | Osoba odpowiedzialna u OUK za wypełnianie obowiązków operatora w zakresie artykułu 8 punkt 3 w zakresie zbieranie informacji o zagrożeniach cyberbezpieczeństwa dla systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. |
| Właściciel procesu zarządzania podatnościami | Osoba odpowiedzialna u OUK za wypełnianie obowiązków operatora w zakresie artykułu 8 punkt 3 w zakresie identyfikacji i postępowania z podatnościami na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. |
| Właściciel procesu zarządzanie środkami technicznymi | Osoba odpowiedzialna u OUK za wypełnianie obowiązków operatora w zakresie artykułu 8 punkt 2 w zakresie wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych uwzględniających najnowszy stan wiedzy zabezpieczający systemy informacyjne wykorzystywane do świadczenia usługi kluczowej. |
| Właściciel procesu zarządzanie środkami organizacyjnymi | Osoba odpowiedzialna u OUK za wypełnianie obowiązków operatora w zakresie artykułu 8 punkt 2 w zakresie wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków organizacyjnych uwzględniających najnowszy stan wiedzy zabezpieczający systemy informacyjne wykorzystywane do świadczenia usługi kluczowej. |
| SI_OUK | system informacyjny operatora usługi kluczowej identyfikowany w organizacji jako jeden lub wiele komponentów technologicznych potrzebnych do poprawnego i optymalnego z punktu widzenia ekonomicznego działania zestawu usług / produktów uznanych przez organ właściwy za podstawę działania usługi kluczowej |
Uwagi i poprawki: https://github.com/issa-polska/Audyt_KSC/issues
Strona Projektu: https://issapolska.github.io/Audyt_KSC/
Kontakt mailowy: [email protected]
React
Typescript
Django
Laravel
Facebook
Microsoft
Google
Alibaba
D3
Tencent