Instrukcja zarządzania incydentami w zakresie systemu cyberbezpieczeństwa w Powiatowej Bibliotece Publicznej w Lubartowie
W związku z realizacją wytycznych ustawy z dnia 5 lipca 2018 roku (Dz.U 2022 poz. 1863) o krajowym systemie cyberbezpieczeństwa w Powiatowej Bibliotece Publicznej w Lubartowie, ul. Słowackiego 7, 21 – 100 Lubartów (dalej: Powiatowa Biblioteka Publiczna w Lubartowie) wprowadzona zostaje procedura mająca na celu prawidłowe wywiązanie się z nałożonych obowiązków w zakresie cyberbezpieczeństwa w Powiatowej Bibliotece Publicznej w Lubartowie, określająca zasady postępowania w chwili wystąpienia zagrożenia lub ataku, która przedstawia się następująco:
1. Do monitorowania przypadków mogących mieć negatywny wpływ na cyberbezpieczeństwo, wyznacza się w Powiatowej Bibliotece Publicznej w Lubartowie Pełnomocnika ds. bezpieczeństwa cyberprzestrzeni w osobie: Ariadna Ewa Zalewska, przy czym każdy pracownik Placówki, który zauważy wystąpienie zdarzeń (zachowań w obsługiwanych systemach) mogących wskazywać na ingerencję w system osób trzecich, zobowiązany jest zawiadomić Dyrektora Powiatowej Biblioteki Publicznej w Lubartowie.
2. Pełnomocnik ds. bezpieczeństwa cyberprzestrzeni monitoruje w szczególności wystąpienie z poziomu Internetu i/lub domeny przypadków:
a) skanowania,
b) spamu przesyłanego za pośrednictwem polskich serwerów,
c) ataków typu DoS (Denial of Service) i DDoS (Distributed Denial of Service),
d) włamań i prób włamania.
3. Pełnomocnik ds. bezpieczeństwa cyberprzestrzeni reaguje na każde zgłoszenie dokonane przez pracownika Placówki dotyczące zdarzeń mogących wskazywać na cyberatak, lub inną formę ingerencji w systemy eksploatowane w Placówce, która wskazuje na niekontrolowane działanie osób trzecich oraz weryfikuje zgłoszenie i podejmuje stosowne działania, o których mowa w pkt. 5.
4. Na podstawie opublikowanego raportu CERT Polska z 2018 roku (https://www.cert.pl/news/single/zgloszenia-i-incydenty-w-2018-roku/), wykaz incydentów, w tym incydentów występujących najczęściej ze szczegółowym podziałem na poszczególne kategorie według klasyfikacji eCSIRT.net[1] przedstawia tabela 1.
5. Incydent w podmiocie publicznym – Powiatowa Biblioteka Publiczna w Lubartowie, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego Pełnomocnik ds. bezpieczeństwa cyberprzestrzeni zgłasza niezwłocznie:
a) Dyrektorowi Powiatowej Biblioteki Publicznej w Lubartowie, w celu umożliwienia realizacji obowiązku wynikającego z art. 22 ust. 1 pkt 2 Ustawy o krajowym systemie cyberbezpieczeństwa tj. zgłoszenia incydentu niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV zawierającego informacje, o których mowa w załączniku nr 1 do niniejszej instrukcji.
b) Inspektorowi ochrony danych (IOD) w Powiatowej Bibliotece Publicznej w Lubartowie, na adres poczty elektronicznej: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. poprzez przesłanie wypełnionego formularza stanowiącego załącznik nr 1 do niniejszej instrukcji, oraz telefonicznie na numer: 81 854 39 41
c) IOD dokonuje ustalenia czy zidentyfikowany incydent nie stanowi jednocześnie naruszenia ochrony danych osobowych, a w konsekwencji czy nie wymaga podjęcia stosownych działań w tym zakresie tj. oceny wagi ryzyka naruszenia praw i wolności osób fizycznych, oceny zasadności odnotowania incydentu w rejestrze incydentów i naruszeń, zgłoszenia naruszenia do PUODO, i/lub zawiadomienia osób fizycznych których dane dotyczą.
Tabela 1. Wykaz incydentów w podziale na kategorie wg klasyfikacji
Obraźliwe i nielegalne treści |
Spam |
|
Dyskredytacja, obrażanie |
|
Pornografia dziecięca, przemoc |
|
Niesklasyfikowane |
Złośliwe oprogramowanie |
Wirus |
|
Robak sieciowy |
|
Koń trojański |
|
Oprogramowanie szpiegowskie |
|
Dialer |
|
Rootkit |
|
Niesklasyfikowane |
Gromadzenie informacji |
Skanowanie |
|
Podsłuch |
|
Inżynieria społeczna |
|
Niesklasyfikowane |
Próby włamań |
Wykorzystanie znanych luk systemowych |
|
Próby nieuprawnionego logowania |
|
Wykorzystanie nieznanych luk systemowych |
|
Niesklasyfikowane |
Włamania |
Włamanie na konto uprzywilejowane |
|
Włamanie na konto zwykłe |
|
Włamanie do aplikacji |
|
Bot |
|
Niesklasyfikowane |
Dostępność zasobów |
Atak blokujący serwis (DoS) |
|
Rozproszony atak blokujący serwis (DDoS) |
|
Sabotaż komputerowy |
|
Przerwa w działaniu usług (niezłośliwe) |
|
Niesklasyfikowane |
Atak na bezpieczeństwo informacji |
Nieuprawniony dostęp do informacji |
|
Nieuprawniona zmiana informacji |
|
Niesklasyfikowane |
Oszustwa komputerowe |
Nieuprawnione wykorzystanie zasobów |
|
Naruszenie praw autorskich |
|
Kradzież tożsamości, podszycie się |
|
Phishing |
|
Niesklasyfikowane |
Podatne usługi |
Otwarte serwisy podatne na nadużycia |
|
Niesklasyfikowane |
inne |
… |
Załącznik 1
FORMULARZ ZGŁOSZENIA INCYDENTU
Dane osoby dokonującej zgłoszenia:
Imię i nazwisko |
|
Stanowisko służbowe |
|
Kontakt (e-mail, nr tel.) |
|
Czy incydent miał/ma wpływ na realizację zadań publicznych? Jeśli tak, na jakie?
Kliknij lub naciśnij tutaj, aby wprowadzić tekst.
Dokładna lub przybliżona liczba osób, na które ma wpływ incydent?
Kliknij lub naciśnij tutaj, aby wprowadzić tekst.
Moment wystąpienia i wykrycia incydentu oraz przybliżony czas jego trwania
Kliknij lub naciśnij tutaj, aby wprowadzić tekst.
Zasięg geograficzny obszaru którego dotyczy incydent
Kliknij lub naciśnij tutaj, aby wprowadzić tekst.
Skutki oddziaływania incydentu na systemy informacyjne w Podmiocie
Kliknij lub naciśnij tutaj, aby wprowadzić tekst.
Informacje o przyczynie i źródle incydentu
Kliknij lub naciśnij tutaj, aby wprowadzić tekst.
Opis przebiegu incydentu (najdokładniej jak to możliwe)
Kliknij lub naciśnij tutaj, aby wprowadzić tekst.
Informacje o podjętych działaniach zapobiegawczych
Kliknij lub naciśnij tutaj, aby wprowadzić tekst.
Informacje o podjętych działaniach naprawczych
Kliknij lub naciśnij tutaj, aby wprowadzić tekst.
Inne istotne informacje
Kliknij lub naciśnij tutaj, aby wprowadzić tekst.
Wyciąg z Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa
Rozdział 5
Obowiązki podmiotów publicznych
Art. 21.
1. Podmiot publiczny, o którym mowa w art. 4 pkt 7–15, realizujący zadanie publiczne zależne od systemu
informacyjnego jest obowiązany do wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów
z podmiotami krajowego systemu cyberbezpieczeństwa.
2. Organ administracji publicznej może wyznaczyć jedną osobę odpowiedzialną za utrzymywanie kontaktów
z podmiotami krajowego systemu cyberbezpieczeństwa w zakresie zadań publicznych zależnych od systemów informacyjnych, realizowanych przez jednostki jemu podległe lub przez niego nadzorowane.
3. Jednostka samorządu terytorialnego może wyznaczyć jedną osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa w zakresie zadań publicznych zależnych od systemów informacyjnych, realizowanych przez jej jednostki organizacyjne.
Art. 22.
1. Podmiot publiczny, o którym mowa w art. 4 pkt 7–15, realizujący zadanie publiczne zależne od systemu informacyjnego:
1) zapewnia zarządzanie incydentem w podmiocie publicznym;
2) zgłasza incydent w podmiocie publicznym niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV;
3) zapewnia obsługę incydentu w podmiocie publicznym i incydentu krytycznego we współpracy z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe;
4) zapewnia osobom, na rzecz których zadanie publiczne jest realizowane, dostęp do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami, w szczególności przez publikowanie informacji w tym zakresie na swojej stronie internetowej;
5) przekazuje do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV dane osoby, o której mowa w art. 21, obejmujące imię i nazwisko, numer telefonu oraz adres poczty elektronicznej, w terminie 14 dni od dnia jej wyznaczenia, a także informacje o zmianie tych danych w terminie 14 dni od dnia ich zmiany.
2. Zgłoszenie, o którym mowa w ust. 1 pkt 2, przekazywane jest w postaci elektronicznej, a w przypadku braku możliwości przekazania go w postaci elektronicznej – przy użyciu innych dostępnych środków komunikacji.
Art. 23.
1. Zgłoszenie, o którym mowa w art. 22 ust. 1 pkt 2, zawiera:
1) dane podmiotu zgłaszającego, w tym nazwę podmiotu, numer we właściwym rejestrze, siedzibę i adres;
2) imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby składającej zgłoszenie;
3) imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby uprawnionej do składania wyjaśnień dotyczących zgłaszanych informacji;
4) opis wpływu incydentu w podmiocie publicznym na realizowane zadanie publiczne, w tym:
a) wskazanie zadania publicznego, na które incydent miał wpływ,
b) liczbę osób, na które incydent miał wpływ,
c) moment wystąpienia i wykrycia incydentu oraz czas jego trwania,
d) zasięg geograficzny obszaru, którego dotyczy incydent,
e) przyczynę zaistnienia incydentu i sposób jego przebiegu oraz skutki jego oddziaływania na systemy informacyjne podmiotu publicznego;
5) informacje o przyczynie i źródle incydentu;
6) informacje o podjętych działaniach zapobiegawczych;
7) informacje o podjętych działaniach naprawczych;
8) inne istotne informacje.
2. Podmiot publiczny, o którym mowa w art. 4 pkt 7–15, przekazuje informacje znane mu w chwili dokonywania zgłoszenia, które uzupełnia w trakcie obsługi incydentu w podmiocie publicznym.