Opis | Treść |
---|---|
Audytowana Jednostka Organizacyjna | |
Audytowane lokalizacje: | |
Cel Audytu: | Potwierdzenie zgodności bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi krytycznej z Kryteriami |
Kryteria Audytu | Ustawa o Krajowym Systemie Cyberbezpieczeństwa z 5 lipca 2018 wraz z Załącznikami |
Zakres Audytu - Działalność | nazwa usługi krytycznej |
Zakres audytu - Proces | wsparcie systemu informacyjnego dla usługi krytycznej |
Data(y) Audytu | |
Data wydania Raportu | |
Data Raportu Poprzedniego i ilość niezgodności | |
Data Raportu poprzedniego do poprzedniego i ilość niezgodności | |
Data objęcia Ustawą KSC | |
Sektor | |
Podsektor | |
Opis progu uznania Incydentu za poważny |
Osoby odpowiedzialne w OUK | Imię i Nazwisko |
---|---|
Prezes/dyrektor generalny | |
Audytor wewnętrzny | |
Pełnomocnik OUK | |
Nadzorujący audyt KSC |
Typ procesu / aktywności wymaganej KSC | Imię i Nazwisko pracownika OUK lub dane dostawcy cyberbezpieczeństwa, wyznaczonego przez Najwyższe Kierownictwo jako właściwego merytorycznie do uczestnictwa w audycie |
---|---|
Zarządzanie ryzykiem | |
Zarządzanie incydentem | |
Zarządzanie zagrożeniami | |
Zarządzanie podatnościami | |
Zarządzanie środkami technicznymi | |
Zarządzanie środkami organizacyjnymi | |
Utrzymanie i eksploatacja SI_OUK | |
Bezpieczeństwo fizyczne i środowiskowe | |
Bezpieczeństwo i ciągłość dostaw usług | |
Zarządzanie ciągłością działania UK | |
Zarządzanie systemem monitorowania w trybie ciągłym | |
zarządzanie łącznością w ramach KSC |
Funkcja Audytowa | Imię i Nazwisko | Potwierdzenie kwalifikacje (certyfikaty, wykształcenie i doświadczenie) |
---|---|---|
Audytor Wiodący | ||
Audytor Systemy Operacyjne | ||
Audytor warstwa aplikacji i baz danych | ||
Audytor procesów 27001 | ||
Audytor procesów 22301 | ||
Audytor bezpieczeństwa procesów biznesowych |
Granica konfliktu interesu: Osoby tworzące zespół audytowy i bezpośrednio zaangażowane w weryfikacje zgodności, oświadczają że w terminie ostatnich 24 miesięcy nie wykonywały osobiście prac doradczych, projektowych, architektonicznych lub implementacyjnych na rzecz audytowanego podmiotu w zakresie audytowanej Usługi kluczowej .
Audyt poprzedni (jeśli dotyczy) z dnia:
Stwierdzenie faktu i opis niezgodności (w tym odniesienie do kryterium) | Priorytet | Data zamknięcia niezgodności |
---|---|---|
Audyt poprzedni do poprzedniego (jeśli dotyczy) z dnia:
Stwierdzenie faktu i opis niezgodności (w tym odniesienie do kryterium) | Priorytet | Data zamknięcia niezgodności |
---|---|---|
W dniach ...... - ....... przeprowadzono audyt zgodności z wymaganiami Ustawy o Krajowym Systemie Cyberbezpieczeństwa (Dz.U. 2018 poz. 1999). Prace audytowe zostały przeprowadzone przez ...... zgodnie z umową z dnia ......
Pierwszy etap prac polegał na "Zrozumieniu kontekstu działania organizacji oraz analizy dokumentacji" i został przeprowadzone w dniach ....... - ....... . Na podstawie otrzymanych informacji udało się zidentyfikować .... niezgodności oraz zaplanowano drugi etap prac polegający na " Testach skuteczności funkcjonowania mechanizmów kontrolnych". Audytowi poddano ..... procesów w ....... lokalizacjach oraz działalność .... dostawców i usługodawców.
Podczas audytu zidentyfikowano ..... niezgodności o krytycznym priorytecie, ..... niezgodności o wysokim priorytecie, ..... niezgodności o średnim priorytecie oraz ..... niezgodności o niskim priorytecie. Priorytety prac odnoszą się do potencjalnych skutków i należy je rozumieć w następujący sposób:
krytyczny - niezgodności mogące bezpośrednio doprowadzić do incydentu krytycznego lub uniemożliwić jego skuteczną obsługę
wysoki - niezgodności mogące bezpośrednio doprowadzić do incydentu poważnego lub ..... lub polegające na braku realizowania wymagań KSC
średni - niezgodności mogące doprowadzić do incydentu zwykłego, lub ......, lub polegające na nieskutecznej realizacji wymagań KSC
niski - obszary mogące w opinii zespołu audytowego doprowadzić w przyszłości do incydentów lub niezgodności o wyższym priorytecie
Kluczowymi niezgodnościami, którymi, zdaniem zespołu audytowego, w pierwszej kolejności powinno zająć się najwyższe kierownictwo są:
........
Stwierdzenie faktu i opis niezgodności (w tym odniesienie do kryterium) | Priorytet |
---|---|
.......
Celem wykonanych prac była ocena procesu zarządzania bezpieczeństwem informacji realizowanego przez ....<nazwa klienta>... oraz identyfikacja i analiza luki zgodności w wymaganiami Ustawy o Krajowym Systemie Cyberbezpieczeństwa
Zakres prac obejmował:
- zrozumienie kontekstu działania organizacji w tym wpływ systemów IT na usługę krytyczną
- analizę dokumentacji
- testy skuteczności funkcjonowania mechanizmów kontrolnych
- opracowanie raportu zawierającego opis zidentyfikowanych niezgodności wraz z rekomendacjami
- przestawienie wyników audytu dla najwyższego kierownictwa
Prace zostały wykonane w dniach ...... - ....... i polegały na analizie wybranej dokumentacji, wywiadach z wybranymi pracownikami, obserwacjach i wizji lokalnej w ..... jednostkach. Dodatkowo w ramach audytu przeprowadzono testy techniczne obejmujące swoim zakresem:
- weryfikację podatności na ... stacjach
- weryfikację luk w systemie ....
Prace realizowane były zgodnie z następującym harmonogramem:
- uruchomienie projektu i spotkanie organizacyjne
- planowanie prac
- Etap I
- Etap II
- Raportowanie wyników analizy luki zgodności
- Przesłanie raportu do uzgodnień
- Przygotowanie ostatecznej wersji raportu
- Omówienie wyników analizy niezgodności
Ograniczenie zakresu nałożone na zespół audytowy, które nie pozwoliły na realizację szczegółowych celów i planów audytu bazujących na zapisach ustawy, rozporządzeń, metodyki lub/i charakteru organizacji.
Szczegółowe wyniki wykonanych prac obejmują ocenę zgodności z wymaganiami Ustawy o Krajowym Systemie Cyberbezpieczeństwa, w tym zidentyfikowane niezgodności, które mogą mieć wpływ na świadczenie Usług Kluczowych.
Do określenia skutków zidentyfikowanych niezgodności wykorzystano następujące skale:
krytyczny - niezgodności mogące bezpośrednio doprowadzić do incydentu krytycznego lub uniemożliwić jego skuteczną obsługę
wysoki - niezgodności mogące bezpośrednio doprowadzić do incydentu poważnego lub ..... lub polegające na braku realizowania wymagań KSC
średni - niezgodności mogące doprowadzić do incydentu zwykłego, lub ......, lub polegające na nieskutecznej realizacji wymagań KSC
niski - obszary mogące w opinii zespołu audytowego doprowadzić w przyszłości do incydentów lub niezgodności o wyższym priorytecie
Poszczególne niezgodności powinny zostać usunięte zgodnie z wdrożonym w organizacji procesem zarządzania ryzykiem. Terminowość i skuteczność wdrożenia rekomendacji powstałych w wyniku niniejszego audytu powinna stanowić wkład w kolejne audyty zgodności z wymaganiami KSC. Może też być elementem przeglądów realizowanych przed podmioty nadzorcze zgodnie z par............ KSC
W ramach z każdego weryfikowanych obszarów zgrupowano obserwacje powstałe w wyniku analizy dokumentacji, obserwacji i wywiadów, testów przeprowadzonych w ramach audytu oraz analizy innych przedstawionych wyników testów technicznych.
W ramach audytu zespół koncentrował się na potwierdzeniu zgodności z wymaganiami w zakresie stworzenia i utrzymywania systemu zarządzania zapewniającego zgodność z KSC.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykuł 9, 14, 15 i 16 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.),
- Rozporządzenie Ministra Cyfryzacji z 4 grudnia 2019 w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo,
- Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080),
- Rozporządzenie Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz. U. poz. 1999),
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 5, 7, 9 i 10,
- Załącznika A do Polskiej Normy PN-EN ISO/IEC 27001 w wymaganiach A.5, A.6 i A.18.
- Czynności wykonane w terminie 3 miesięcy
- Czynności wykonane w terminie 6 miesięcy
- Czynności wykonane w terminie 12 miesięcy
- lista elementów składowych
- lista osób odpowiedzialnych
- Umowy z dostawcami (wsparcie techniczne) itp.
- Raporty z audytów systemów informacyjnych wspierających usługę kluczową
- Dokumentacja zmian w systemach informacyjnych
- Umowy z dostawcami usług z zakresu cyberbezpieczeństwa
- Wyniki audytów u dostawców usług cyberbezpieczeństwa
- Baza danych konfiguracji urządzeń aktywnych
- Dokumentacja architektury zastosowanych zabezpieczeń
- Dokumentacja zabezpieczeń fizycznych i środowiskowych
- Dokumentacja architektury sieci. Zarządzanie zmianą
- Dokumentacja dotycząca monitorowania w trybie ciągłym
- Rejestr dostępu do dokumentacji systemu informacyjnego
- Potwierdzenie działań wynikających z komunikacji z procesem szacowania ryzyka SI_OUK
ID | Zdarzenie niepożądane | Opis ryzyka | Priorytet |
---|---|---|---|
1 | |||
2 |
Obserwacja | Rekomendacje |
---|---|
W ramach audytu zespół koncentrował się na potwierdzeniu zgodności z wymaganiami w zakresie poprawności ich zdefiniowania, wdrożenia, eksploatacji i nadzorowania procesów zapewniających bezpieczeństwo informacji.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykuł 8, 10, 11, 15 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.),
- Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080),
- Rozporządzenie Rady Ministrów z dnia 31 października 2018 r. w sprawie progów uznania incydentu za poważny (Dz. U. poz. 2180),
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 6, 8,
- Wszystkie z wymienionych w Załączniku A do Polskiej Normy PN-EN ISO/IEC 27001.
- Weryfikacja polityki bezpieczeństwa. Określone i zakomunikowane cele działania systemu w odpowiedzialnej komórce (Dz. U. XXX z 23.12.2019)
- Role i odpowiedzialności w DC Deklaracja stosowania (Norma-> 6.1.3.d)
- Dokumentacja powołania DC
- Plany postępowania z ryzykiem
- Przegląd komunikatów z DC do organizacji (Norma-> 7.4)
- Raport z wykonanych audytów wewnętrznych i zewnętrznych SZBI
- Raport z przeglądów zarządzania
- Dokumentacja nadzoru nad utrzymaniem (Norma-> 8.1)
- Baza konfiguracji urządzeń / inwentaryzacja aktywów
- Określenie obszarów obowiązywania SZBI (zakres)
- Proces weryfikacji kandydatów (przed zatrudnieniem)
- Podnoszenie kwalifikacji pracowników
- Akceptowalne użycie aktywów przez pracowników
- Nośniki wymienne – udokumentowany sposób podstępowania/ procedury
- Uprawnienia / dostęp do systemów – procedury w zakresie:
- Przydzielanie dostępu
- Odbieranie dostępu
- Pomieszczenie w zakresie zespołu (Dz. U. XXXX z 23.12.2019)
- Dokumentacja i rozliczalność w zakresie VPN (Dz. U. XXXX x 23.12.2019)
- Dokumentacja umiejętności personelu w zakresie identyfikacji zagrożeń dla ICT / ICS – usługi kluczowej
- Dokumentacja umiejętności personelu w zakresie analizowania oprogramowania szkodliwego Procedura i dokumentacja przebiegu identyfikacji wpływu oprogramowania złośliwego na usługę kluczową
- Przebieg zabezpieczenia śladów kryminalistycznych
- Narzędzia do przeprowadzania analizy szkodliwości kodu
- Dokumentacja Identyfikacji odbiorcy
- Dokumentacja przeprowadzonego szkolenia
- Dokumentacja Komunikatów
ID | Zdarzenie niepożądane | Opis ryzyka | Priorytet |
---|---|---|---|
1 | |||
2 |
Obserwacja | Rekomendacje |
---|---|
W ramach audytu zespół koncentrował się na potwierdzeniu zgodności z wymaganiami w zakresie poprawności stosowanej metodyki zarządzania ryzykiem oraz kompletności procesu zarządzania ryzykiem poczynając od identyfikacji ryzyka aż po nadzór nad wprowadzeniem rekomendacji.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykuł 8, 10 ustawy o ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.),
- Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080),
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 6, 8, 9, 10,
- Załącznika A do Polskiej Normy PN-EN ISO/IEC 27001 w wymaganiach A.6, A.18.
- Procedury związane z identyfikacją ryzyka
- Procedury związane z przeglądem ryzyka
- Rejestr ryzyka
- Dokumentacja szacowania ryzyka dla obiektów infrastruktury
- Dokumentacja zapewnienia ochrony fizycznej
- Powtarzalność identyfikacji ryzyka
- Poprawność zastosowanych działań w zakresie analizy
- Adekwatność w ocena ryzyka
ID | Zdarzenie niepożądane | Opis ryzyka | Priorytet |
---|---|---|---|
1 | |||
2 |
Obserwacja | Rekomendacje |
---|---|
W ramach audytu zespół koncentrował się na potwierdzeniu zgodności z wymaganiami w zakresie zdefiniowania wymagań, wdrożenia i konfiguracji narzędzi, ciągłego monitorowania i skutecznego reagowania na potencjalne incydenty.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykuł 8, 11, 12, 13 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.),
- Rozporządzenie Ministra Cyfryzacji z 4 grudnia 2019 w w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo,
- Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080),
- Rozporządzenie Rady Ministrów z dnia 31 października 2018 r. w sprawie progów uznania incydentu za poważny (Dz. U. poz. 2180),
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 6, 8, 9, 10,
- Załącznika A do Polskiej Normy PN-EN ISO/IEC 27001 w wymaganiach A.6, A.12, A.16,
- Wymagania Polskiej Normy PN-EN ISO 22301 w rozdziałach 8.4, 9.1
- Procedury zarządzania incydentami
- Przyjęta taksonomia w zakresie rodzajów zagrożeń
- Procedury postępowania ze znanymi incydentami
- Raportowanie poziomów pokrycia scenariuszami znanych incydentów
- Dokumentacja przebiegu reakcji na incydent
- Dostęp do miejsca, w którym przechowywana jest dokumentacja lub weryfikacja dokumentacji poświadczającej właściwe praktyki ochrony fizycznej
- Dokumentacja dotycząca przekazywania informacji do właściwego zespołu CSIRT poziomu krajowego/ sektorowego zespołu cyberbezpieczeństwa
- Zabezpieczenia i gromadzenie materiału dowodowego oraz zapewnienie rozliczalności w całym procesie monitorowania i reagowania na incydenty
- Dokumentacja systemu do automatycznego rejestrowania zgłoszeń incydentów
- Potwierdzenie działań wynikających z komunikacji z procesem szacowania ryzyka SI_OUK
- Dokumentacja doskonalenia procesu zarządzania incydentami i wniosków (w oparciu o zidentyfikowane słabości)
- Monitorowanie i wykrycie incydentów w zakresie poufności
- Monitorowanie i wykrycie incydentów w zakresie dostępności
- Monitorowanie i wykrycie incydentów w zakresie integralność
- Monitorowanie i wykrycie incydentów w zakresie autentyczności
- Dokumenty potwierdzające wyszukiwanie podobieństw
- Identyfikacja i dokumentowanie przyczyn wystąpienia incydentów
- Dowody świadczące o opracowywaniu i implementacji wniosków wynikających z obsługi incydentu
- Dowody poprawnej obsługi incydentu (1.1.10)
- Kontekst personelu i dokumentacji umiejętności (rozp XXXX z 23.12.2019 par. 1 ust. 1 pkt. 4)
- Kontekst narzędzi (rozp XXXX z 23.12.2019 par. 2 ust. 1 pkt. 1)
ID | Zdarzenie niepożądane | Opis ryzyka | Priorytet |
---|---|---|---|
1 | |||
2 |
Obserwacja | Rekomendacje |
---|---|
W ramach audytu zespół koncentrował się na potwierdzeniu zgodności w wymaganiami w zakresie identyfikowania potrzeby zmian, ustalania wymagań bezpieczeństwa, wyboru rozwiązań, dokumentowania, testowania i wdrażania zmian.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykuł 8, 10 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.),
- Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080),
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 6, 8,
- Załącznika A do Polskiej Normy PN-EN ISO/IEC 27001 w wymaganiach A.6, A.8, A.12, A.14, A.15, A.16.
- Rejestr wyjątków braku aktualizacji
- Wyniki skanowania podatności ze strony sieci
- Wyniki skanowania podatności ze strony systemu operacyjnego
- Wyniki skanowania podatności aplikacji
- Dekompozycja na komponenty składowe (biblioteki / moduły) – materiały opisowe
- Wyniki audytów w procesie zarządzania zmianą
- Potwierdzenie działań wynikających z komunikacji z procesem szacowania ryzyka SI_OUK
ID | Zdarzenie niepożądane | Opis ryzyka | Priorytet |
---|---|---|---|
1 | |||
2 |
Obserwacja | Rekomendacje |
---|---|
W ramach audytu zespół koncentrował się na potwierdzeniu zgodności w wymaganiami w zakresie dokonania analizy i zdefiniowania wymagań dla ciągłości działania, wdrożenia rozwiązań zapasowych i redundantnych, testowaniu zdolności, przygotowania odpowiednich umów z dostawcami oraz nadzorowaniu ich sposobu zapewnienia ciągłości działania.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykuł 8 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.),
- Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080),
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 6, 8, 9,
- Załącznika A do Polskiej Normy PN-EN ISO/IEC 27001 w wymaganiach A.6, A.17,
- Wymagania Polskiej Normy PN-EN ISO 22301.
- Harmonogram i rodzaje testów ciągłości działania
- Wyniki testów ciągłości działania
- Konfiguracja systemów do wykonywania kopii bezpieczeństwa
- Raport z przeglądów i testów odtwarzania kopii bezpieczeństwa
- Rejestr przeprowadzonych przeglądów
- Retencja danych – dokumenty potwierdzające
- Przechowywanie kopii zapasowych - procedury
- Dokumentacja analizy BIA i analizy ryzyka
- Strategia i polityka ciągłości działania
- Dokumentacja wyjątków i odstępstw od założeń polityki
- Dokumentacja MAK (Minimalna akceptowalna konfiguracja)
- Struktura organizacyjna w odpowiedzi na incydent
- Procedury ciągłości działania, awaryjne oraz odtwarzania po katastrofie (DRP)
- Scenariusze testowe
- Procedury komunikacji z mediami i komunikacji wewnętrznej
- Rejestr kluczowych dostawców w ramach UK
- Procedury współpracy z podmiotami zewnętrznymi
- Potwierdzenie działań wynikających z komunikacji z procesem szacowania ryzyka SI_OUK
- Dokumentacja wyników ocen i pomiarów (w tym testów) SZCD i jego elementów oraz działań korygujących (oraz ich status)
ID | Zdarzenie niepożądane | Opis ryzyka | Priorytet |
---|---|---|---|
1 | |||
2 |
Obserwacja | Rekomendacje |
---|---|
W ramach audytu zespół koncentrował się na potwierdzeniu zgodności w wymaganiami w zakresie ustalania i nadzorowania wymagań bieżącej eksploatacji systemów informatycznych.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykuł 8 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.),
- Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080),
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 6, 7, 8, 9, 10,
- Załącznika A do Polskiej Normy PN-EN ISO/IEC 27001 w wymaganiach A.5, A.6, A.8, A.9, A.10, A.11, A.12, A.14, A.14, A.18.
- Opis procesu
- Harmonogramy skanowania podatności
- Wyniki skanowania podatności
- Wyniki zmiany priorytetyzacji w raportach
- Aktualny status realizacji postępowania z podatnościami - lista
- Procedury związane ze z identyfikowaniem (wykryciem) podatności
- Współpraca z osobami odpowidzialnymi za procesy zarządzania incydentami
- Potwierdzenie działań wynikających z komunikacji z szacowaniem ryzyka SI_OUK
ID | Zdarzenie niepożądane | Opis ryzyka | Priorytet |
---|---|---|---|
1 | |||
2 |
Obserwacja | Rekomendacje |
---|---|
W ramach audytu zespół koncentrował się na potwierdzeniu zgodności w wymaganiami w zakresie ustalania i nadzorowania wymagań bieżącej eksploatacji systemów informatycznych wykorzystywanych do zapewniania, monitorowania i reagowania na incydenty bezpieczeństwa.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykuł 8 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.),
- Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080),
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 6, 7, 8, 9,10,
- Załącznika A do Polskiej Normy PN-EN ISO/IEC 27001 w wymaganiach A.5, A.6, A.8, A.9, A.10, A.11, A.12, A.14, A.18.
- Procedury migracji / tworzenia danych testowych
- Dostęp do środowisk DEV / TEST / QA – zasady udokumentowane
- Rozliczalność dostępów - procedury
ID | Zdarzenie niepożądane | Opis ryzyka | Priorytet |
---|---|---|---|
1 | |||
2 |
Obserwacja | Rekomendacje |
---|---|
W ramach audytu zespół koncentrował się na potwierdzeniu zgodności w wymaganiami w zakresie skuteczności procesu ochrony fizycznej i środowiskowej.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykuł 8, 10, 14 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.),
- Ustawy o ochronie osób i mienia
- Rozporządzenie Ministra Cyfryzacji z 4 grudnia 2019 w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo,
- Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080),
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 6, 8,
- Załącznika A do Polskiej Normy PN-EN ISO/IEC 27001 w wymaganiach A.6, A.11, A17.
- Dokumentacja i zasadność instalacji systemu zabezpieczeń (drzwi / okna / ściany)
- Dokumentacja i zasadność instalacji systemu alarmowego i antynapadowego
- Atestacja szafy i sejfy
- Dokumentacja i zasadność konfiguracji systemu przeciwpożarowego
- Przechowywanie i dostęp do dokumentacji
- Potwierdzenie działań wynikających z komunikacji z szacowaniem ryzyka SI_OUK
- Dokumentacja i zasadność konfiguracji systemu podtrzymania i stabilizacji prądu
- Dokumentacja i zasadność konfiguracji systemu podtrzymania warunków temperatury, wilgotności i wentylacji pomieszczeń
- Rejestr przeglądów i konserwacji elementów w/w użytkowanych systemów
- Dokumentacja testów bezpieczeństwa w odniesieniu do elementów systemu zabezpieczeń fizycznych
- Dokumentacja i testy procedur ewakuacyjnych
- Dokumentacja i procedury kontaktu ze służbami
ID | Zdarzenie niepożądane | Opis ryzyka | Piorytet |
---|---|---|---|
1 | |||
2 |
Obserwacja | Rekomendacje |
---|---|
W ramach audytu zespół koncentrował się na potwierdzeniu zgodności w wymaganiami w zakresie definiowania i nadzorowania stosowania wymagań bezpieczeństwa informacji i ciągłości działania przez dostawców usług bezpieczeństwa informacji oraz usług wdrażania i utrzymywania systemów informatycznych wykorzystywanych do świadczenia usług kluczowych.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykuł 8, 14 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.),
- Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080),
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 6, 7, 8,
- Załącznika A do Polskiej Normy PN-EN ISO/IEC 27001 w wymaganiach A.6, A.15, A.17,
- Wymagania Polskiej Normy PN-EN ISO 22301 w rozdziałach 8.3.
- Polityka bezpieczeństwa w relacjach z dostawcami
- Standardy i wymagania nakładane na dostawców w umowach w zakresie cyberbezpieczeństwa
- Ocena zdolności dostawcy do zachowania ciągłości działania
- Bezpieczeństwo łańcucha dostaw
- Monitorowanie bieżące i przegląd usług świadczonych przez dostawców
- Umowy z w/w dostawcami (wymagany poziom usług) i standardy w umowach dotyczące cyberbezpieczeństwa
- Rejestr kluczowych dostawców w ramach UK
- Wyniki audytów drugiej i trzeciej strony
- Dostęp do VPN i metody uwierzytelnienia
- Akceptowalne użycie aktywów – lista przypadków
- Wymagania osobowe (Dz.U XXXX z 23.12.2019r)
- Wymagania w zakresie ochrony fizycznej
- Zastosowane systemy zabezpieczeń w zakresie dostępów do dokumentacji
- Zastosowane systemy zabezpieczeń teleinformatycznych w zakresie pracy zdalnej
ID | Zdarzenie niepożądane | Opis ryzyka | Priorytet |
---|---|---|---|
1 | |||
2 |
Obserwacja | Rekomendacje |
---|---|
Definicja | Wyjaśnienie |
---|---|
Audytor Wiodący | Audytor wyznaczony jako lider zespołu audytowego, odpowiedzialny za realizację audytu zgodnie z zakresem, programem i ocenę dowodów w odniesieniu do Kryteriów Audytu, wybór technik badawczych oraz przygotowanie zbiorczego raportu |
Common Vulnerability Scoring System (CVSS) | Międzynarodowa skala stosowana podczas analizy ryzyk związanych z technicznymi podatnościami systemów informatycznych. Jest stosowana przez wszystkich głównych dostawców systemów informatycznych oraz powszechnie wykorzystywana na całym świecie przez zespoły IT. Jest szerzej opisana na stronie https://www.first.org/cvss/ |
PŚUB | Podmiot Świadczący usługi cyberbezpieczeństwa |
KSC | Ustawa o Krajowym Systemie Cyberbezpieczeństwa |
OUK | Operator Usługi Kluczowej |
UK | Usługa Kluczowa - zestaw funkcji, towarów i usług uznanych przez Organ Właściwych za istotny dla sprawnego działania Cyberbezpieczeństwa Rzeczypospolitej Polskiej |
Mechanizm kontrolny | środków technicznych i organizacyjnych (fizyczne i informatyczne narzędzia, procedury operacyjne i instrukcje oraz struktura organizacyjna) mające na celu zmniejszanie zidentyfikowanego ryzyka. Jest to tożsame z terminem „zabezpieczenie” |
Najwyższe Kierownictwo | osoba lub grupa osób, które na najwyższym szczeblu kierują organizacją i ją nadzorują |
Program audytu | przygotowany przez Audytora Wiodącego i zatwierdzony przez Operatora Usługi Kluczowej program zadania audytowego |
Raport z audytu | dokument przygotowany pod nadzorem Audytora Wiodącego zawierający obserwacje (ustalenia stanu faktycznego) w zakresie zaobserwowanych niezgodności, ocenę systemu, klasyfikację zidentyfikowanego ryzyka oraz rekomendacje dla Kierownictwa OUK |
Skuteczność mechanizmu kontrolnego | zapewnienie, że mechanizm kontrolny realizuje postawione przed nim cele |
Zespół audytowy | Audytor Wiodący oraz co najmniej jeden dodatkowy audytor przeprowadzający zadanie audytowe |
System informatyczny | system informatyczny wykorzystywany do świadczenia usługi kluczowej |
Operator usługi kluczowej | Podmiot gospodarczy wykonujący działania uznane przez państwo Polskie za istotne, a wobec którego organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu za operatora usługi kluczowej |
Organ właściwy | Organami właściwymi do spraw cyberbezpieczeństwa są ministerowie właściwi do spraw zgodnie z podziałem sektorowym. Organ właściwy kontroluje i nakłada kary pieniężne na operatorów usług kluczowych i dostawców usług cyfrowych |
Zarządzanie incydentem |
bieżący i udokumentowany proces ogólnego postępowania w trakcie obsługi incydentu polegającego conajmniej na podejmowaniu działań i dokumentowania z podziałem na fazy:
wynikających z obsługi incydentu |
Szacowanie ryzyka |
bieżące prace polegające na ocenie sytuacji w zarządzanej cyberprzestrzeni polegające co najmniej na:
|
Obsługa incydentu |
szczegółowy zestaw czynności wykonywanych w sposób powtarzalny i udokumentowany, a składający się z co najmniej faz:
|
Pełnomocnik OUK | osoba odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa |
Właściciel procesu zarządzania ryzykiem | Osoba odpowiedzialna u OUK za wypełnianie obowiązków operatora w zakresie artykułu 8 punkt 1. |
Właściciel procesu zarządzania incydentem | Osoba odpowiedzialna u OUK za wypełnianie obowiązków operatora w zakresie artykułu 8 punkt 4 |
Właściciel procesu zarządzania zagrożeniami | Osoba odpowiedzialna u OUK za wypełnianie obowiązków operatora w zakresie artykułu 8 punkt 3 w zakresie zbieranie informacji o zagrożeniach cyberbezpieczeństwa dla systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. |
Właściciel procesu zarządzania podatnościami | Osoba odpowiedzialna u OUK za wypełnianie obowiązków operatora w zakresie artykułu 8 punkt 3 w zakresie identyfikacji i postępowania z podatnościami na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. |
Właściciel procesu zarządzanie środkami technicznymi | Osoba odpowiedzialna u OUK za wypełnianie obowiązków operatora w zakresie artykułu 8 punkt 2 w zakresie wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych uwzględniających najnowszy stan wiedzy zabezpieczający systemy informacyjne wykorzystywane do świadczenia usługi kluczowej. |
Właściciel procesu zarządzanie środkami organizacyjnymi | Osoba odpowiedzialna u OUK za wypełnianie obowiązków operatora w zakresie artykułu 8 punkt 2 w zakresie wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków organizacyjnych uwzględniających najnowszy stan wiedzy zabezpieczający systemy informacyjne wykorzystywane do świadczenia usługi kluczowej. |
SI_OUK | system informacyjny operatora usługi kluczowej identyfikowany w organizacji jako jeden lub wiele komponentów technologicznych potrzebnych do poprawnego i optymalnego z punktu widzenia ekonomicznego działania zestawu usług / produktów uznanych przez organ właściwy za podstawę działania usługi kluczowej |
Uwagi i poprawki: https://github.com/issa-polska/Audyt_KSC/issues
Strona Projektu: https://issapolska.github.io/Audyt_KSC/
Kontakt mailowy: [email protected]