Dokumentacja SZBI System Zarządzania Bezpieczeństwem Informacji
Dokumentacja SZBI System Zarządzania Bezpieczeństwem Informacji – we współpracy z naszymi ekspertami (Magdalena Waszak, Dominik Spałek) przygotowaliśmy dla Państwa wzorcową dokumentację opisującą zasady zarządzania bezpieczeństwem informacji w organizacji. Poniżej prezentujemy szczegółową listę wraz z krótkim opisem materiałów, jakie opracowaliśmy wspólnie. Powodem dla którego podjęliśmy się tego zadania była chęć udzielenia realnego i praktycznego wsparcia dla podmiotów zobowiązanych do opracowania tego rodzaju dokumentacji.
Dokumentacja SZBI zgodna z wymogami NIS2 ...
Oczywiście przygotowując Dokumentację SZBI opracowaliśmy ją zgodnie z wymogami jakie wynikają z treści Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2).
Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa ...
Zgodnie z art. 8 Ustawy KSC
Operator usługi kluczowej wdraża system zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej, zapewniający:
1) prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem;
2) wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym:a) utrzymanie i bezpieczną eksploatację systemu informacyjnego,
b) bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu,
c) bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej,
d) wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej oraz zapewniających poufność, integralność, dostępność i autentyczność informacji, <br>
e) objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym;
3) zbieranie informacji o zagrożeniach cyberbezpieczeństwa i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
4) zarządzanie incydentami;
5) stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, w tym:
a) stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym, <br>
b) dbałość o aktualizację oprogramowania,
c) ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym,
d) niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub zagrożeń cyberbezpieczeństwa;
6) stosowanie środków łączności umożliwiających prawidłową i bezpieczną komunikację w ramach krajowego systemu cyberbezpieczeństwa.
Projekt nowelizacji Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa ...
Zgodnie z art. 8 Projektu nowelizacji Ustawy KSC
Podmiot kluczowy lub podmiot ważny wdraża system zarządzania bezpieczeństwem informacji w procesach wpływających na świadczenie usług przez ten podmiot, zapewniający:
1) prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem;
2) wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, koszty wdrożenia, wielkość podmiotu, prawdopodobieństwo wystąpienia incydentów, narażenie podmiotu na ryzyka, w szczególności:
a) polityki szacowania ryzyka oraz bezpieczeństwa systemu informacyjnego, w tym polityki tematyczne,
b) utrzymanie i bezpieczną eksploatację systemu informacyjnego,
c) bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu,
d) bezpieczeństwo i ciągłość łańcucha dostaw produktów ICT, usług ICT i procesów ICT, od których zależy świadczenie usługi z uwzględnieniem związków pomiędzy dostawcą sprzętu lub oprogramowania a podmiotem kluczowym lub podmiotem ważnym,
e) wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi oraz zapewniających poufność, integralność, dostępność i autentyczność informacji, oraz planów awaryjnych umożliwiających odtworzenie systemu informacyjnego po katastrofie,
f) objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi systemem monitorowania w trybie ciągłym,
g) polityki i procedury oceny skuteczności środków technicznych i organizacyjnych,
h) edukację z zakresu cyberbezpieczeństwa dla personelu podmiotu, w tym podstawowe zasady cyberhigieny,
i) polityki i procedury stosowania kryptografii, w tym szyfrowania;
3) zbieranie informacji o cyberzagrożeniach i podatnościach na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi;
4) zarządzanie incydentami;
5) stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi, w tym:
a) stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym,
b) regularne przeprowadzanie aktualizacji oprogramowania, stosownie do zaleceń producenta, z uwzględnieniem analizy wpływu aktualizacji na bezpieczeństwo świadczonej usługi oraz poziomu krytyczności poszczególnych aktualizacji,
c) ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym,
d) niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub cyberzagrożeń;
6) stosowanie bezpiecznych środków komunikacji elektronicznej w ramach krajowego systemu cyberbezpieczeństwa, uwzględniających uwierzytelnianie wieloskładnikowe.
Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa ...
Zgodnie z § 19 ust. 1 Rozporządzenia KRI
Jakie dokumenty tworzą pakiet dokumentów SZBI ...
- Terminy stosowane:
• Definicje, pojęcia - Kontekst Organizacji
• Kontekst zewnętrzny organizacji
• Kontekst wewnętrzny organizacji - Deklaracja stosowania:
• Zabezpieczenia określone w załączniku A normy PN-EN ISO/IEC 27001
• Opis spełnienia wymagań - Polityka Bezpieczeństwa Informacji
• Deklaracja Najwyższego Kierownictwa
• Zasady ogólne
• Bezpieczeństwo informacji
• Organizacja bezpieczeństwa informacji
• Zgodność z wymaganiami prawnymi
• Przegląd zarządzania
• Doskonalenie systemu zarządzania bezpieczeństwem informacji - Bezpieczeństwo zasobów ludzkich
- Zarządzanie aktywami:
• Inwentaryzacja aktywów
• Postępowanie z aktywami – użycie i zwrot aktywów
• Klasyfikacja i oznaczanie informacji
• Zarządzanie nośnikami wymiennymi - Kontrola dostępu:
• Polityka kontroli dostępu
• Zarządzanie dostępem użytkowników
• Ograniczenia w dostępie do informacji
• Procedury bezpiecznego logowania
• Zarządzanie hasłami - Kryptografia:
• Polityka kryptografii - Bezpieczeństwo fizyczne i środowiskowe:
• Wyznaczenie fizycznych obszarów bezpieczeństwa (budynki, pomieszczenia, wejścia i wyjścia)
• Ochrona przed zagrożeniami zewnętrznymi , w tym środowiskowymi
• Praca w obszarach bezpiecznych
• Bezpieczne obszary załadunku
• Ochrona i konserwacja sprzętu
• Systemy wspomagające
• Bezpieczeństwo okablowania
• Polityka czystego biurka i ekranu monitora - Bezpieczna eksploatacja:
• Dokumentowanie procedur eksploatacyjnych - Bezpieczeństwo komunikacji
- Pozyskiwanie, utrzymanie i rozwój systemów
- Relacje z dostawcami:
• Polityka bezpieczeństwa informacji w relacjach z dostawcami
• Łańcuch dostaw
• Monitorowanie i przegląd usług świadczonych przez dostawców
• Zarządzanie zmianami w procesie usług świadczonych przez dostawców - Zarządzanie incydentami związanymi z bezpieczeństwem informacji:
• Odpowiedzialność i procedury
• Zgłaszanie zdarzeń w bezpieczeństwie informacji
• Zgłaszanie podatności w bezpieczeństwie informacji
• Ocena i proces podejmowania decyzji przy incydentach w bezpieczeństwie informacji
• Gromadzenie materiału dowodowego
• Wnioski ze zdarzeń w bezpieczeństwie informacji - Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania
• Planowanie ciągłości bezpieczeństwa informacji
• Wdrożenie ciągłości bezpieczeństwa informacji
• Weryfikacja, przegląd i ocena ciągłości bezpieczeństwa informacji
Opcjonalnie dla zainteresowanych organizacji dajemy także możliwość opracowania dokumentacji:
- procedur i polityk związanych z ochroną danych osobowych,
- analizy ryzyka w bezpieczeństwie informacji
Dokumentacja SZBI System Zarządzania Bezpieczeństwem Informacji
Materiały źródłowe
Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. [Dostęp: 20.11.2024 r., godz.: 10:10]
Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne. [Dostęp: 20.11.2024 r., godz.: 10:10]
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2) (Tekst mający znaczenie dla EOG). [Dostęp: 20.11.2024 r., godz.: 10:10]
Projekt ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw. [Dostęp: 20.11.2024 r., godz.: 10:10]