Urząd Gminy Kęty Dokument Systemu Zarządzania Bezpieczeństwem Informacji ZARZĄDZANIE INCYDENTAMI DZIAŁANIA KORYGUJĄCE ZATWIERDZENIE DOKUMENTU Sporządził Sprawdził Zatwierdził Volvox Consulting Pełnomocnik ds. SZBI Administrator Danych Nr dokumentu: P03 Data wydania: 01.06.2016 rok Wydanie: 1 Niniejszy dokument wraz z załącznikami jest własnością Urzędu Gminy Kęty. Wszelkie prawa zastrzeżone. Kopiowanie i rozpowszechnianie całości lub części dokumentu wyłącznie za zgodą Burmistrza lub Pełnomocnika ds. Systemu Zarządzania Bezpieczeństwem Informacji. Procedura odpowiada wymogom: Prawnym Ustawa z dnia 29.08.1997 o ochronie danych osobowych (Dz. U. z 2015 r. poz. 2135 ze zm), Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. 2012 poz. 526). PN/ISO 27001:2014 10 Kontroli Zarządczej Standard D16; E19; E.21 P03-Zarządzanie incydentami-działania korygujące, wyd.1 Strona: 1 z 6
P03-Zarządzanie incydentami-działania korygujące, wyd.1 Strona: 2 z 6
Spis treści 1. NADZÓR NAD NIEZGODNOŚCIAMI ORAZ INCYDENTAMI BEZPIECZEŃSTWA INFORMACJI... 4 1.1. Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji... 4 1.2. Rozpoznanie incydentu... 4 1.3. Ograniczanie skutków incydentu działania korygujące... 5 1.4. Rejestracja incydentu, podjęcie działań zapobiegawczych... 5 2. DZIAŁANIA KORYGUJĄCE I DZIAŁANIA ZAPOBIEGAWCZE... 6 2.1. Inicjowanie działań korygujących i/ lub zapobiegawczych... 6 2.2. Wszczęcie działań korygujących i/ lub zapobiegawczych... 6 2.3. Planowanie i prowadzenie działań korygujących i/ lub zapobiegawczych... 6 2.4. Zakończenie działań korygujących i/ lub zapobiegawczych... 6 3. HISTORIA DOKUMENTU... 6 P03-Zarządzanie incydentami-działania korygujące, wyd.1 Strona: 3 z 6
1. NADZÓR NAD NIEZGODNOŚCIAMI ORAZ INCYDENTAMI BEZPIECZEŃSTWA INFORMACJI Cel procedury Zakres procedury Podstawa dokumentu Działanie / odpowiedzialny 1.1. Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji / Każdy pracownik UG Kęty 1.2. Rozpoznanie incydentu / ADO oraz AsADO lub ASI Celem Procedury jest przedstawienie reguł dotyczących zarządzania incydentami w Urzędzie Gminy Kęty. Procedura obowiązuje wszystkich pracowników w Urzędu. Aktualizacja formularzy powiązanych z niniejszą procedurą nie wprowadza zmian do dokumentacji ochrony danych osobowych (SZBI) i nie wymaga ogłoszenia zarządzeniem. KZ:D.16; E.19; E.21; PN-ISO/IEC 27001:2014: 10; PN-EN ISO 9001:2009 :8.3; 8.5.2; 8.5.3; Opis działania wejście : zaistnienie zdarzenia związanego z bezpieczeństwem informacji Każdy pracownik ma obowiązek zgłosić wszelkie zdarzenia mogące naruszyć bezpieczeństwo zasobów i informacji przetwarzanych w organizacji. Katalog sytuacji mogących stanowić incydent bezpieczeństwa opisany jest w dokumencie Polityki Bezpieczeństwa Informacji Ochrony Danych Osobowych. Zgłoszenie może nastąpić drogą ustną, mailową lub pismem do ADO, AsADO lub ASI. W przypadku powiadomień ustnych spisywana jest notatka, która jest później przedstawiana do podpisania przez pracownika zgłaszającego. ASI ma obowiązek zareagowania na automatyczne powiadomienia systemu teleinformatycznego generowanego przez moduł wykrywania włamań i innych zdarzeń związanych z bezpieczeństwem informacji. W przypadku powierzenia obowiązków zarządzania systemami informacyjnymi podmiotom zewnętrznym, powiadamianie Administratora Systemu o zdarzeniu odbywa się na zasadach określonych w umowie o świadczeniu usług. Pracownik do czasu przybycia ADO, AsADO lub ASI nie powinien bez uzasadnionej przyczyny opuszczać miejsca wykrycia potencjalnego naruszenia bezpieczeństwa informacji i powstrzymać się od dalszej realizacji zadań, mogących wpłynąć na obraz incydentu. wyjście z procesu - > wejście do procesu: 1.2. ( Rozpoznanie incydentu ) wejście z procesu: 1.1. Dokonuje się wstępnej analizy czy zdarzenie wpłynęło na bezpieczeństwo informacji w organizacji. O naruszeniu bezpieczeństwa może świadczyć: naruszenie lub wadliwe funkcjonowanie zabezpieczeń fizycznych w pomieszczeniach, w których następuje przetwarzanie informacji (uszkodzone zamki, okna, drzwi, naruszone plomby, itp.), nadmierne, w stosunku do wykonywanych zadań (zakres upoważnienia), uprawnienia użytkownika do zasobów systemu, niestabilna praca (anomalie) systemu lub programu, mogące świadczyć np. o obecności wirusa, duża liczba nieudanych logowań w krótkim czasie, nowe, nieautoryzowane konta użytkownika, logi świadczące o korzystaniu z systemu po godzinach pracy, częściowy lub całkowity brak danych. O naruszeniu bezpieczeństwa ASI powiadamia ADO lub AsADO, którzy rozpatrują incydent uwzględniając następujące obszary: charakter incydentu, ilość jednostek /obszarów dotkniętych incydentem, możliwości ograniczenia potencjalnego rozprzestrzeniania się incydentu, szacunkowy czas i potrzebne zasoby do zlikwidowania skutków incydentu i przywrócenie stanu informacji do poziomu sprzed incydentu, szacunkowy poziom szkód (finansowych, prawnych i wizerunkowych). ADO, ASI, AsADO i wskazani przez nich pracownicy zbierają materiał dowodowy zachowując przy tym wszystkie atrybuty bezpieczeństwa. Materiałem dowodowym może być dokument papierowy, elektroniczny, logi, pliki systemowe, itp. Jeśli zasięg, czas trwania i szkody incydentu powoduje zakwalifikowanie go do sytuacji kryzysowej ADO decyduje o konieczności rozpoczęcia procedury kryzysowej. W przypadku, gdy zasięg incydentu wykracza poza system teleinformatyczny Urzędu, AsADO z zastrzeżeniem posiadania stosownych rękojmi właściwych podmiotów zewnętrznych, może przekazać do podmiotu zewnętrznego informacje o incydencie zawierające: typ zdarzenia, informacje o odległym systemie, który może być źródłem naruszenia, w tym nazwy serwerów, adresy IP, identyfikatory użytkowników, wszystkie zapisy z rejestrów zdarzeń w określonym przedziale czasowym, inne informacje określone w umowie z podmiotem zewnętrznym. W przypadku, gdy rodzaj i zasięg incydentu, zidentyfikowany na którymkolwiek z etapów postępowania, uzasadnia potrzebę powiadomienia organów ścigania, to decyzję o sposobie i terminie powiadomienia podejmuje ADO. wyjście z procesu, wejście do procesu: 1.3 (ograniczanie skutków incydentu) działania korygujące lub uruchomienie procedur utrzymania ciągłości działania) P03-Zarządzanie incydentami-działania korygujące, wyd.1 Strona: 4 z 6
1.3. Ograniczanie skutków incydentu działania korygujące / ADO, AsADO oraz ASI 1.4. Rejestracja incydentu, podjęcie działań zapobiegawczych / ASI oraz AsADO Dokumenty związane wejście z procesu: 1.2 - Rozpoznanie incydentu Osoba wyznaczona przez ADO lub AsADO prowadzi dokumentację bieżącą incydentu, w której umieszcza informację od chwili zgłoszenia incydentu poprzez podjęte działania ograniczające skutki incydentu (opis działań, daty i osoby odpowiedzialne) (zal_1 P03) Karta zgłoszenia niezgodności incydentu. Sposób dokumentowania incydentu opisany jest w procedurze Działania korygujące i działania zapobiegawcze. By ograniczyć skutki incydentu w systemie teleinformatycznym ASI może zablokować część systemu. Jeśli sytuacja wymaga wyłączenia części systemu potrzebnej do realizacji zadań ustawowych lub statutowych ASI przedstawia ADO decyzję do akceptacji oraz rekomendację, w której zawiera następujące informacje: Czas, przez który organizacja może funkcjonować bez systemu, Stopień narażenia informacji chronionej na zagrożenie, Potrzebne zasoby czasowe, ludzkie i/lub finansowe dla podejmowanych działań. Zebrana dokumentacja stanowi zapis działań korygujących. wyjście z procesu -> wejście do procesu: 1.4 Rejestracja incydentu wejście z procesu: 1.3 Ograniczenie skutków incydentu - działania korygujące Dokumentacja incydentu wraz z zebranym materiałem dowodowym jest przekazywana do AsADO, który wpisuje wystąpienie incydentu w (zal_2 P03) Rejestr incydentów niezgodności. Na podstawie analizy incydentów, osoby wyznaczone przez AsADO tworzą rekomendację dotyczącą szkoleń i doskonalenia zabezpieczeń i systemu zarządzania. zal_1 P03_ Karta_zgłoszenia_niezgodności_incydentu zal_2 P03_ Rejestr_incydentów_niezgodnoścI P03-Zarządzanie incydentami-działania korygujące, wyd.1 Strona: 5 z 6
2. DZIAŁANIA KORYGUJĄCE I DZIAŁANIA ZAPOBIEGAWCZE Cel procedury Zakres procedury Podstawa dokumentu Działanie / odpowiedzialny 2.1. Inicjowanie działań korygujących i lub zapobiegawczych Pracownicy Urzędu / strony zainteresowane 2.2. Wszczęcie działań korygujących i lub zapobiegawczych / AsADO 2.3. Planowanie i prowadzenie działań korygujących i lub zapobiegawczych / AsADO, Osoba wyznaczona do realizacji zadania 2.4. Zakończenie działań korygujących i lub zapobiegawczych / AsADO Celem procedury jest zapewnienie eliminowania potencjalnych i rzeczywistych przyczyn niezgodności, zapobiegania potencjalnym niezgodnościom lub powtarzaniu się stwierdzonych niezgodności. Przyjmuje się, że niezgodności są przyczynami incydentów związanych z bezpieczeństwem informacji. Procedura dotyczy całej działalności urzędu objętej Systemem Zarządzania Bezpieczeństwem Informacji. Aktualizacja formularzy powiązanych z niniejszą procedurą nie wprowadza zmian do dokumentacji ochrony danych osobowych (SZBI) i nie wymaga ogłoszenia zarządzeniem. KZ:E.19; PN-ISO/IEC 27001:2014: 6.1.1; 10; PN-EN ISO 9001:2009 :8.3; 8.5.2; 8.5.3; Opis działania wejście: zaistnienie zdarzenia związanego z bezpieczeństwem informacji Działania korygujące i zapobiegawcze podejmowane są na podstawie: Zgłoszenia niezgodności (w postaci pisemnej notatka służbowa, e-mail), wnioski racjonalizatorskie, Zgłoszenia wystąpienia incydentu bezpieczeństwa pkt. 1.1 Raportu z audytu wewnętrznego bądź zewnętrznego, Przeglądu SZBI przez kierownictwo, Skargi. wyjście z procesu - > wejście do procesu: 2.2 wejście z procesu: 2.1 W terminie nie dłuższym niż 7 dni od wpłynięcia informacji wymienionej w pkt. 2.1. niniejszej procedury, AsADO podejmuje decyzję o przyjęciu lub odrzuceniu zgłoszenia. W przypadku odrzucenie powiadamia o tym zgłaszającego. Przyjmując zgłoszenie AsADO przygotowuje Karta zgłoszenia incydentu/niezgodności (zal_1 P03), na której dokumentuje zgłoszoną niezgodność, zaplanowane działania korygujące / zapobiegawcze, wskazuje się osobę odpowiedzialną za przeprowadzenie działań. Każdej karcie nadaje się kolejny numer i wpisuje się do rejestru (zal_2 P03). wyjście z procesu -> wejście do procesu: 2.3 wejście z procesu: 2.2 AsADO w porozumieniu z osobą odpowiedzialną za przeprowadzenie działań ustala, jakie czynności mają zostać podjęte w celu usunięcia niezgodności, oraz zapobieżeniu jej w przyszłości. Podczas analizy zgłaszanych i wykrytych niezgodności czy też zgłoszeń propozycji działań korygujących i/lub zapobiegawczych można stosować dowolne metody: tablice wyników, burze mózgów, analiza FMEA, itp. Zaplanowane działania, kryteria ich odbioru, termin zakończenia, osoby odpowiedzialne za prawidłową realizację działań wpisywane są na właściwą kartę zgłoszenia. wyjście z procesu - > wejście do procesu: 2.4 wejście z procesu: 2.3 Wymaga się, aby dla każdych zakończonych działań korygujących i/lub zapobiegawczych była prowadzona ocena skuteczności. Jeżeli ocena skuteczności nie będzie zadowalająca, należy ponownie przeprowadzić analizę niezgodności i zaplanować działania korygujące i/lub zapobiegawcze w sposób umożliwiający pozytywną ocenę po ich zakończeniu. Każdy cykl działań powinien być dokumentowany na kolejnej "Karcie zgłoszenia incydentu niezgodności". Dokumenty związane zal_1 P04_ Karta_zgłoszenia_niezgodności_incydentu zal_2 P04_ Rejestr_incydentów_niezgodnoścI 3. HISTORIA DOKUMENTU Data / wydanie Opis zmiany 01.06.2016 / wyd. 1 Utworzenie dokumentu. P03-Zarządzanie incydentami-działania korygujące, wyd.1 Strona: 6 z 6
Załącznik nr 1 Zarządzanie incydentami i niezgodnościami Karta zgłoszenia niezgodności/incydentu bezpieczeństwa Dokument SZBI Urząd Gminy Kęty niezgodność / incydent* Numer karty: Stwierdzający niezgodność Komórka, której dotyczy niezgodność Opis niezgodności lub opis incydentu: Dokument określający wymogi: Data zgłoszenia: rzeczywisty / potencjalny* Okoliczności stwierdzenia niezgodności*: - audyt wewnętrzny / zewnętrzny* - kontrola własna - skarga / reklamacja - zgłoszenie pracownika Urzędu - inne:.. (Przyczyna, skutek, obszar oddziaływania, koszt obsługi, potencjalne szkody) (Ustawa, rozporządzenie, zarządzenie Burmistrza, polityka, procedura, księga jakości, punkty norm). (Informacja o analizie ryzyka w związku ze zgłoszeniem) Proponowane działania korygujące: Planowana data zakończenia działań: Kierujący Odpowiedzialny (AsADO lub ASI) za działania: Ocena skuteczności działań działania zaakceptowano / działań nie zaakceptowano* korygujących: Uwagi do oceny skuteczności (z uwzględnieniem analizy ryzyka względem zdarzenia): Ocenę skuteczności działań przeprowadził: W dniu: Zal_1_P03, wyd.1 1 z 1
Załącznik nr 2 Zarządzanie incydentami i niezgodnościami Dokument SZBI Urząd Gminy Kety Rejestr niezgodności i incydentów bezpieczeństwa informacji Data zgłoszenia Rodzaj zgłoszenia (raport, skarga, notatka) Numer karty (zal_1 P03) Podjęte działania Data zakończenia Ocena skuteczności Zakończono TAK/NIE Zal_2_P03, wyd.1 1 z 1