ZATWIERDZENIE DOKUMENTU
Sporządził Sprawdził Zatwierdził
Volvox Consulting Pełnomocnik ds. SZBI Administrator Danych
Nr dokumentu: P03 Data wydania: 01.06.2016 rok Wydanie: 1
Niniejszy dokument wraz z załącznikami jest własnością Urzędu Gminy Kęty. Wszelkie prawa zastrzeżone.
Kopiowanie i rozpowszechnianie całości lub części dokumentu wyłącznie za zgodą Burmistrza lub Pełnomocnika ds. Systemu Zarządzania Bezpieczeństwem Informacji.
Procedura odpowiada wymogom:
Prawnym Ustawa z dnia 29.08.1997 o ochronie danych osobowych (Dz. U. z 2015 r. poz. 2135 ze zm), Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram
Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych
(Dz. U. 2012 poz. 526).
PN/ISO 27001:2014 10
Kontroli Zarządczej Standard D16; E19; E.21
P03-Zarządzanie incydentami-działania korygujące, wyd.1 Strona: 2 z 6
P03-Zarządzanie incydentami-działania korygujące, wyd.1 Strona: 3 z 6 Spis treści
1. NADZÓR NAD NIEZGODNOŚCIAMI ORAZ INCYDENTAMI BEZPIECZEŃSTWA INFORMACJI ... 4 1.1. Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji ... 4 1.2. Rozpoznanie incydentu ... 4 1.3. Ograniczanie skutków incydentu – działania korygujące ... 5 1.4. Rejestracja incydentu, podjęcie działań zapobiegawczych ... 5 2. DZIAŁANIA KORYGUJĄCE I DZIAŁANIA ZAPOBIEGAWCZE ... 6 2.1. Inicjowanie działań korygujących i/ lub zapobiegawczych ... 6 2.2. Wszczęcie działań korygujących i/ lub zapobiegawczych ... 6 2.3. Planowanie i prowadzenie działań korygujących i/ lub zapobiegawczych ... 6 2.4. Zakończenie działań korygujących i/ lub zapobiegawczych ... 6 3. HISTORIA DOKUMENTU ... 6
P03-Zarządzanie incydentami-działania korygujące, wyd.1 Strona: 4 z 6 1. NADZÓR NAD NIEZGODNOŚCIAMI ORAZ INCYDENTAMI BEZPIECZEŃSTWA INFORMACJI
Cel procedury Celem Procedury jest przedstawienie reguł dotyczących zarządzania incydentami w Urzędzie Gminy Kęty.
Zakres procedury Procedura obowiązuje wszystkich pracowników w Urzędu.
Aktualizacja formularzy powiązanych z niniejszą procedurą nie wprowadza zmian do dokumentacji ochrony danych osobowych (SZBI) i nie wymaga ogłoszenia
zarządzeniem.
Podstawa dokumentu KZ:D.16; E.19; E.21; PN-ISO/IEC 27001:2014: 10;
PN-EN ISO 9001:2009 :8.3; 8.5.2; 8.5.3;
Działanie / odpowiedzialny Opis działania 1.1.
Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji / Każdy pracownik UG Kęty
wejście : zaistnienie zdarzenia związanego z bezpieczeństwem informacji
Każdy pracownik ma obowiązek zgłosić wszelkie zdarzenia mogące naruszyć bezpieczeństwo zasobów i informacji przetwarzanych w organizacji. Katalog sytuacji mogących stanowić incydent bezpieczeństwa opisany jest w dokumencie Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych. Zgłoszenie może nastąpić drogą ustną, mailową lub pismem do ADO, AsADO lub ASI. W przypadku powiadomień ustnych spisywana jest notatka, która jest później przedstawiana do podpisania przez pracownika zgłaszającego. ASI ma obowiązek zareagowania na automatyczne powiadomienia systemu teleinformatycznego generowanego przez moduł wykrywania włamań i innych zdarzeń związanych z bezpieczeństwem informacji.
W przypadku powierzenia obowiązków zarządzania systemami informacyjnymi podmiotom zewnętrznym, powiadamianie Administratora Systemu o zdarzeniu odbywa się na zasadach określonych w umowie o świadczeniu usług.
Pracownik do czasu przybycia ADO, AsADO lub ASI nie powinien bez uzasadnionej przyczyny opuszczać miejsca wykrycia potencjalnego naruszenia bezpieczeństwa informacji i powstrzymać się od dalszej realizacji zadań, mogących wpłynąć na obraz incydentu.
wyjście z procesu - > wejście do procesu: 1.2. ( Rozpoznanie incydentu ) 1.2.
Rozpoznanie incydentu / ADO oraz AsADO lub ASI
wejście z procesu: 1.1.
Dokonuje się wstępnej analizy czy zdarzenie wpłynęło na bezpieczeństwo informacji w organizacji. O naruszeniu bezpieczeństwa może świadczyć:
naruszenie lub wadliwe funkcjonowanie zabezpieczeń fizycznych w pomieszczeniach, w których następuje przetwarzanie informacji (uszkodzone zamki, okna, drzwi, naruszone plomby, itp.),
nadmierne, w stosunku do wykonywanych zadań (zakres upoważnienia), uprawnienia użytkownika do zasobów systemu,
niestabilna praca (anomalie) systemu lub programu, mogące świadczyć np. o obecności wirusa,
duża liczba nieudanych logowań w krótkim czasie,
nowe, nieautoryzowane konta użytkownika,
logi świadczące o korzystaniu z systemu po godzinach pracy,
częściowy lub całkowity brak danych.
O naruszeniu bezpieczeństwa ASI powiadamia ADO lub AsADO, którzy rozpatrują incydent uwzględniając następujące obszary:
charakter incydentu,
ilość jednostek /obszarów dotkniętych incydentem,
możliwości ograniczenia potencjalnego rozprzestrzeniania się incydentu,
szacunkowy czas i potrzebne zasoby do zlikwidowania skutków incydentu i przywrócenie stanu informacji do poziomu sprzed incydentu,
szacunkowy poziom szkód (finansowych, prawnych i wizerunkowych).
ADO, ASI, AsADO i wskazani przez nich pracownicy zbierają materiał dowodowy zachowując przy tym wszystkie atrybuty bezpieczeństwa. Materiałem dowodowym może być dokument papierowy, elektroniczny, logi, pliki systemowe, itp.
Jeśli zasięg, czas trwania i szkody incydentu powoduje zakwalifikowanie go do sytuacji kryzysowej ADO decyduje o konieczności rozpoczęcia procedury kryzysowej.
W przypadku, gdy zasięg incydentu wykracza poza system teleinformatyczny Urzędu, AsADO z zastrzeżeniem posiadania stosownych rękojmi właściwych podmiotów zewnętrznych, może przekazać do podmiotu zewnętrznego informacje o incydencie zawierające:
typ zdarzenia,
informacje o odległym systemie, który może być źródłem naruszenia, w tym nazwy serwerów, adresy IP, identyfikatory użytkowników,
wszystkie zapisy z rejestrów zdarzeń w określonym przedziale czasowym,
inne informacje określone w umowie z podmiotem zewnętrznym.
W przypadku, gdy rodzaj i zasięg incydentu, zidentyfikowany na którymkolwiek z etapów postępowania, uzasadnia potrzebę powiadomienia organów ścigania, to decyzję o sposobie i terminie powiadomienia podejmuje ADO .
wyjście z procesu, wejście do procesu: 1.3 (ograniczanie skutków incydentu) działania korygujące lub uruchomienie procedur utrzymania ciągłości działania)
P03-Zarządzanie incydentami-działania korygujące, wyd.1 Strona: 5 z 6 1.3.
Ograniczanie skutków incydentu działania korygujące /
ADO, AsADO oraz ASI
wejście z procesu: 1.2 - Rozpoznanie incydentu
Osoba wyznaczona przez ADO lub AsADO prowadzi dokumentację bieżącą incydentu, w której umieszcza informację od chwili zgłoszenia incydentu poprzez podjęte działania ograniczające skutki incydentu (opis działań, daty i osoby odpowiedzialne) (zal_1__P03) Karta zgłoszenia niezgodności incydentu . Sposób dokumentowania incydentu opisany jest w „procedurze Działania korygujące i działania
zapobiegawcze”.
By ograniczyć skutki incydentu w systemie teleinformatycznym ASI może zablokować część systemu. Jeśli sytuacja wymaga wyłączenia części systemu potrzebnej do realizacji zadań ustawowych lub statutowych ASI przedstawia ADO decyzję do akceptacji oraz rekomendację, w której zawiera następujące informacje:
Czas, przez który organizacja może funkcjonować bez systemu,
Stopień narażenia informacji chronionej na zagrożenie,
Potrzebne zasoby czasowe, ludzkie i/lub finansowe dla podejmowanych działań.
Zebrana dokumentacja stanowi zapis działań korygujących.
wyjście z procesu -> wejście do procesu: 1.4 – Rejestracja incydentu 1.4.
Rejestracja incydentu, podjęcie działań zapobiegawczych / ASI oraz AsADO
wejście z procesu: 1.3 – Ograniczenie skutków incydentu - działania korygujące Dokumentacja incydentu wraz z zebranym materiałem dowodowym jest przekazywana do AsADO, który wpisuje wystąpienie incydentu w (zal_2__P03)
„Rejestr incydentów niezgodności ”.
Na podstawie analizy incydentów, osoby wyznaczone przez AsADO tworzą
rekomendację dotyczącą szkoleń i doskonalenia zabezpieczeń i systemu zarządzania.
Dokumenty związane zal_1__P03_ Karta_zgłoszenia_niezgodności_incydentu
zal_2__P03_ Rejestr_incydentów_niezgodnoścI
P03-Zarządzanie incydentami-działania korygujące, wyd.1 Strona: 6 z 6 2. DZIAŁANIA KORYGUJĄCE I DZIAŁANIA ZAPOBIEGAWCZE
Cel procedury Celem procedury jest zapewnienie eliminowania potencjalnych i rzeczywistych przyczyn niezgodności, zapobiegania potencjalnym niezgodnościom lub powtarzaniu się stwierdzonych niezgodności. Przyjmuje się, że niezgodności są przyczynami incydentów związanych z bezpieczeństwem informacji.
Zakres procedury Procedura dotyczy całej działalności urzędu objętej Systemem Zarządzania Bezpieczeństwem Informacji.
Aktualizacja formularzy powiązanych z niniejszą procedurą nie wprowadza zmian do dokumentacji ochrony danych osobowych (SZBI) i nie wymaga ogłoszenia
zarządzeniem.
Podstawa dokumentu KZ:E.19; PN-ISO/IEC 27001:2014: 6.1.1; 10; PN-EN ISO 9001:2009 :8.3; 8.5.2;
8.5.3;
Działanie / odpowiedzialny Opis działania 2.1.
Inicjowanie działań korygujących i lub zapobiegawczych
Pracownicy Urzędu / strony zainteresowane
wejście: zaistnienie zdarzenia związanego z bezpieczeństwem informacji Działania korygujące i zapobiegawcze podejmowane są na podstawie:
Zgłoszenia niezgodności (w postaci pisemnej – notatka służbowa, e-mail), wnioski racjonalizatorskie,
Zgłoszenia wystąpienia incydentu bezpieczeństwa – pkt. 1.1
Raportu z audytu wewnętrznego bądź zewnętrznego,
Przeglądu SZBI przez kierownictwo,
Skargi.
wyjście z procesu - > wejście do procesu: 2.2 2.2.
Wszczęcie działań korygujących i lub zapobiegawczych /
AsADO
wejście z procesu: 2.1
W terminie nie dłuższym niż 7 dni od wpłynięcia informacji wymienionej w pkt. 2.1.
niniejszej procedury, AsADO podejmuje decyzję o przyjęciu lub odrzuceniu zgłoszenia. W przypadku odrzucenie powiadamia o tym zgłaszającego. Przyjmując zgłoszenie AsADO przygotowuje Karta zgłoszenia incydentu/niezgodności
(zal_1__P03), na której dokumentuje zgłoszoną niezgodność, zaplanowane działania korygujące / zapobiegawcze, wskazuje się osobę odpowiedzialną za przeprowadzenie działań. Każdej karcie nadaje się kolejny numer i wpisuje się do rejestru
(zal_2__P03).
wyjście z procesu -> wejście do procesu: 2.3 2.3.
Planowanie i prowadzenie działań korygujących i
lub zapobiegawczych / AsADO, Osoba wyznaczona do realizacji zadania
wejście z procesu: 2.2
AsADO w porozumieniu z osobą odpowiedzialną za przeprowadzenie działań ustala, jakie czynności mają zostać podjęte w celu usunięcia niezgodności, oraz zapobieżeniu jej w przyszłości. Podczas analizy zgłaszanych i wykrytych niezgodności czy też zgłoszeń propozycji działań korygujących i/lub zapobiegawczych można stosować dowolne metody: tablice wyników, „burze mózgów”, analiza FMEA, itp.
Zaplanowane działania, kryteria ich odbioru, termin zakończenia, osoby
odpowiedzialne za prawidłową realizację działań wpisywane są na właściwą kartę zgłoszenia.
wyjście z procesu - > wejście do procesu: 2.4 2.4.
Zakończenie działań korygujących i lub zapobiegawczych /
AsADO
wejście z procesu: 2.3
Wymaga się, aby dla każdych zakończonych działań korygujących i/lub
zapobiegawczych była prowadzona ocena skuteczności. Jeżeli ocena skuteczności nie będzie zadowalająca, należy ponownie przeprowadzić analizę niezgodności i zaplanować działania korygujące i/lub zapobiegawcze w sposób umożliwiający pozytywną ocenę po ich zakończeniu. Każdy cykl działań powinien być dokumentowany na kolejnej "Karcie zgłoszenia incydentu niezgodności".
Dokumenty związane zal_1__P04_ Karta_zgłoszenia_niezgodności_incydentu
zal_2__P04_ Rejestr_incydentów_niezgodnoścI
3. HISTORIA DOKUMENTU
Data / wydanie Opis zmiany
01.06.2016 / wyd. 1 Utworzenie dokumentu.
Załącznik nr 1
Zarządzanie incydentami i niezgodnościami Dokument SZBI
Urząd Gminy