Opis | Treść |
---|---|
Audytowana Jednostka Organizacyjna | |
Audytowane lokalizacje: | Należy podać pełne dane teleadresowe |
Cel Audytu: | Potwierdzenie zgodności bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia Usługi Kluczowej z wymaganiami ustawy o Krajowym Systemie Cyberbezpieczeństwa |
Kryteria Audytu | Ustawa o Krajowym Systemie Cyberbezpieczeństwa z 5 lipca 2018 wraz z rozporządzeniami |
Zakres Audytu - Działalność | nazwa i zakres usługi kluczowej lub Usług Kluczowych |
Zakres Audytu - Proces | wsparcie systemu informacyjnego dla Usługi Kluczowej |
Certyfikowane Systemy Zarządzania | System Zarządzania Bezpieczeństwem Informacji zgodny z ISO 27001, System Zarządzania Ciągłością Działania zgodny z ISO 22301, etc. |
Zasoby informatyczne, w szczególności | wpisać ilość serwerów, systemy przetwarzania, aplikacje, bazy danych, stacje robocze, etc. |
Systemy informacyjne od których zależy Usługa Kluczowa | |
Data rozpoczęcia i zakończenia Audytu | |
Data wydania Raportu | |
Data Sprawozdania Poprzedniego i ilość niezgodności | |
Data Sprawozdania poprzedniego do poprzedniego i ilość niezgodności | |
Data decyzji o uznaniu za OUK | |
Sektor | |
Podsektor | |
Opis progu uznania Incydentu za poważny |
Osoby odpowiedzialne w OUK | Imię i Nazwisko |
---|---|
Prezes/dyrektor generalny | |
Audytor wewnętrzny | |
Pełnomocnik OUK | |
Nadzorujący Audyt OUK |
Typ procesu / aktywności wymaganej w UKSC | Imię i Nazwisko pracownika OUK lub dane PŚUB, wyznaczonego przez Najwyższe Kierownictwo jako właściwego merytorycznie do uczestnictwa w Audycie |
---|---|
Zarządzanie ryzykiem | |
Zarządzanie incydentem | |
Identyfikacja zagrożeń | |
Zarządzanie podatnościami | |
Zarządzanie środkami technicznymi | |
Zarządzanie środkami organizacyjnymi | |
Utrzymanie i eksploatacja SI_OUK | |
Bezpieczeństwo fizyczne i środowiskowe | |
Bezpieczeństwo i ciągłość dostaw usług | |
Zarządzanie ciągłością działania UK | |
Zarządzanie systemem monitorowania w trybie ciągłym | |
Zarządzanie łącznością w ramach UKSC |
Funkcja Audytowa | Imię i Nazwisko | Potwierdzenie kwalifikacje (certyfikaty, wykształcenie i doświadczenie) | Audytowany obszar |
---|---|---|---|
Audytor Wiodący | |||
Audytor Systemy Operacyjne | |||
Audytor warstwa aplikacji i baz danych | |||
Audytor procesów 27001 | |||
Audytor procesów 22301 | |||
Audytor bezpieczeństwa procesów biznesowych | |||
Audytor systemów typu ICS / SCADA / OT |
Granica konfliktu interesu: Osoby tworzące zespół audytowy i bezpośrednio zaangażowane w weryfikacje zgodności muszą pozostać obiektywne i niezależne. Oznacza, to iż działając w ramach międzynarodowych standardów audytu nie mogą dokonywać oceny obszaru, za który były odpowiedzialne lub prowadziły czynności doradcze. Wszystkie osoby zaangażowane w badanie składają oświadczenie o braku konfliktu interesów, w szczególności w terminie ostatnich 24 miesięcy nie wykonywały osobiście prac doradczych, projektowych, architektonicznych lub implementacyjnych na rzecz audytowanego podmiotu w zakresie audytowanej Usługi kluczowej .
Audyt poprzedni (jeśli dotyczy) z dnia:
Stwierdzenie faktu i opis niezgodności (w tym odniesienie do kryterium) | Priorytet | Data zamknięcia niezgodności |
---|---|---|
Audyt poprzedni do poprzedniego (jeśli dotyczy) z dnia:
Stwierdzenie faktu i opis niezgodności (w tym odniesienie do kryterium) | Priorytet | Data zamknięcia niezgodności |
---|---|---|
W dniach ...... - ....... przeprowadzono Audyt cyberbezpieczeństwa na podstawie wymagań Ustawy o Krajowym Systemie Cyberbezpieczeństwa (Dz.U. 2018 poz. 1560). Prace audytowe zostały przeprowadzone przez ...... zgodnie z umową z dnia ......
Pierwszy etap prac polegał na "Zrozumieniu kontekstu działania organizacji oraz analizy dokumentacji" i został przeprowadzony w dniach ....... - ....... . Na podstawie dowodów audytowych udało się zidentyfikować .... niezgodności oraz zaplanowano drugi etap prac polegający na " Testach skuteczności funkcjonowania mechanizmów kontrolnych". Audytowi poddano ..... procesów w ....... lokalizacjach oraz działalność .... dostawców i usługodawców.
Zgromadzone dowody pozwalają /nie pozwalają na wydanie opinii audytorskiej i wydajemy opinię …….. (pozytywną, pozytywną z zastrzeżeniami, negatywną) / odstępujemy od badania.
Podczas Audytu zidentyfikowano ..... niezgodności o krytycznym priorytecie, ..... niezgodności o wysokim priorytecie, ..... niezgodności o średnim priorytecie oraz ..... niezgodności o niskim priorytecie. Priorytety prac odnoszą się do potencjalnych poziomów istotności i należy je rozumieć w następujący sposób:
POZIOM ISTOTNOŚCI | INTERPRETACJA | ||
---|---|---|---|
KRYTYCZNY | Zidentyfikowano niezgodności świadczące o wystąpieniu Incydentu Poważnego lub wskazujące na nieskuteczność zabezpieczeń bezpośrednio umożliwiającą wystąpienie Incydentu Poważnego | ||
WYSOKI | Wymagania, zabezpieczenia nie wdrożone – nie przedstawiono żadnego z wymaganych dokumentów oraz nie istnieją wewnętrzne nieformalne działania, które są powtarzalne i spełniają dobre praktyki wskazane w wymaganiu.</br>Brak realizacji lub realizacja zadań na poziomie niskim. Znaczne prawdopodobieństwo naruszenia zapisów UKSC. | ||
ŚREDNI | Wymagania, zabezpieczenia częściowo wdrożone – zachodzi co najmniej jedna z następujących okoliczności:</br>· istnieje dokument, który został formalnie przyjęty (zatwierdzony) do stosowania, ale nie był aktualizowany po zmianach organizacyjnych lub technicznych;</br>· zidentyfikowano dokument, jednakże nie znaleziono potwierdzenia, że zapisy są stosowane (przestrzegane) w praktyce lub testy techniczne (jeśli zabezpieczenie podlegało testom) wykazały istotne słabości zabezpieczenia;</br>· istniejący dokument nie zawiera wszystkich treści wymaganych przez wymagania lub wynikających z tzw. dobrych praktyk;</br>· istnieją wewnętrzne nieformalne działania, które są powtarzalne, jednakże nie w pełni spełniają dobre praktyki wskazane w wymaganiu. Prawdopodobne uchybienia w realizacji zapisów UKSC. | ||
NISKI | Istnieje(ą) dokument(y) formalnie przyjęty (zatwierdzony) do stosowania, który określa sposób realizacji danego zabezpieczenia lub testy techniczne (jeśli zabezpieczenie podlegało testom) wykazały skuteczne funkcjonowanie zabezpieczenia lub spełnienia wymogu. | </br>Istnieją wewnętrzne nieformalne działania, które są powtarzalne i w pełni spełniają dobre praktyki wskazane w wymaganiu. | </br>Pełna realizacja zadań lub realizacja zadań na poziomie prawie pełnym. |
NIE DOTYCZY | Zakres audytu nie obejmował danego obszaru lub ustalenia potwierdzają, iż obszar nie dotyczy danej organizacji. |
Zdaniem zespołu audytowego, najważniejszymi niezgodnościami, którymi, w pierwszej kolejności powinno zająć się Najwyższe Kierownictwo są:
........
Stwierdzenie faktu i opis niezgodności (w tym odniesienie do kryterium) | Priorytet |
---|---|
.......
Celem wykonanych prac była ocena bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia Usługi Kluczowej realizowanego przez ....<nazwa klienta>... oraz identyfikacja i analiza luki zgodności z wymaganiami Ustawy o Krajowym Systemie Cyberbezpieczeństwa
Zakres prac obejmował:
- zrozumienie kontekstu działania organizacji w tym wpływ Systemów IT i/lub OT (SI_OUK) na Usługę Kluczową;
- potwierdzenie realizacji obowiązków Operatora Usługi Kluczowej zgodnie z artykułami 8-16 Ustawy o Krajowym Systemie Cyberbezpieczeństwa;
- analizę dokumentacji dotyczącą cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia Usługi Kluczowej;
- testy skuteczności funkcjonowania mechanizmów kontrolnych;
- opracowanie sprawozdania zawierającego opis zidentyfikowanych niezgodności wraz z rekomendacjami;
- przestawienie wyników Audytu dla Najwyższego Kierownictwa.
Prace zostały wykonane w dniach ...... - ....... i polegały na analizie wybranej dokumentacji, wywiadach z wybranymi pracownikami, obserwacjach i wizji lokalnej w ..... jednostkach. Dodatkowo w ramach Audytu przeprowadzono testy techniczne obejmujące swoim zakresem:
- weryfikację podatności na ... stacjach
- weryfikację luk w systemach ....
Prace realizowane były zgodnie z następującym harmonogramem:
- Uruchomienie prac audytowych i spotkanie organizacyjne
- Planowanie prac
- Etap I
- Etap II
- Raportowanie wyników analizy luki zgodności
- Przesłanie sprawozdania do uzgodnień
- Przygotowanie ostatecznej wersji sprawozdania
- Omówienie wyników analizy niezgodności
Ograniczenie zakresu nałożone na Zespół Audytowy, które nie pozwoliły na realizację szczegółowych celów i planów Audytu bazujących na zapisach ustawy, rozporządzeń, metodyki lub/i charakteru organizacji:
- brak
Przebieg Audytu przeprowadzony był zgodnie ze standardami zapewnienia ustanowionymi przez (wpisać na podstawie jakich standardów prowadzony był audyt np. ISACA, IIA). Te standardy wymagają, aby prace audytowe były zaplanowane i wykonane tak, aby ich wynikiem było rozsądne zapewnienie, że we wszystkich istotnych obszarach system bezpieczeństwa jest rzetelnie przygotowany, a mechanizmy kontrolne odpowiednio zaprojektowane i operują w taki sposób, aby osiągnąć związane z nimi cele kontroli. Wierzymy, że zgromadzone dowody pozwalają /nie pozwalają na wydanie opinii audytorskiej i wydajemy opinię …… (pozytywną, pozytywną z zastrzeżeniami, negatywną) / odstępujemy od badania.
Uzasadnieniem wyboru oceny jest ………
Szczegółowe wyniki wykonanych prac obejmują ocenę zgodności z wymaganiami Ustawy o Krajowym Systemie Cyberbezpieczeństwa, w tym zidentyfikowane niezgodności, które mogą mieć wpływ na świadczenie Usług Kluczowych.
Do określenia skutków zidentyfikowanych niezgodności wykorzystano następujące skale:
POZIOM ISTOTNOŚCI | INTERPRETACJA |
---|---|
KRYTYCZNY | Zidentyfikowano niezgodności świadczące o wystąpieniu Incydentu Poważnego lub wskazujące na nieskuteczność zabezpieczeń bezpośrednio umożliwiającą wystąpienie Incydentu Poważnego |
WYSOKI | Wymagania, zabezpieczenia nie wdrożone – nie przedstawiono żadnego z wymaganych dokumentów oraz nie istnieją wewnętrzne nieformalne działania, które są powtarzalne i spełniają dobre praktyki wskazane w wymaganiu. Brak realizacji lub realizacja zadań na poziomie niskim. Znaczne prawdopodobieństwo naruszenia zapisów UKSC. |
ŚREDNI | Wymagania, zabezpieczenia częściowo wdrożone – zachodzi co najmniej jedna z następujących okoliczności: · istnieje dokument, który został formalnie przyjęty(zatwierdzony) do stosowania, ale nie był aktualizowany po zmianachorganizacyjnych lub technicznych; · zidentyfikowano dokument, jednakże nie znaleziono potwierdzenia,że zapisy są stosowane (przestrzegane) w praktyce lub testytechniczne (jeśli zabezpieczenie podlegało testom) wykazały istotne słabości zabezpieczenia; · istniejący dokument nie zawiera wszystkich treści wymaganych przez wymagania lub wynikających z tzw. dobrych praktyk; · istnieją wewnętrzne nieformalne działania, które są powtarzalne, jednakże nie w pełni spełniają dobre praktyki wskazane w wymaganiu. Prawdopodobne uchybienia w realizacji zapisów UKSC. |
NISKI | Istnieje(ą) dokument(y) formalnie przyjęty (zatwierdzony) do stosowania, który określa sposób realizacji danego zabezpieczenia lub testy techniczne (jeśli zabezpieczenie podlegało testom) wykazały skuteczne funkcjonowanie zabezpieczenia lub spełnienia wymogu. Istnieją wewnętrzne nieformalne działania, które są powtarzalne i w pełni spełniają dobre praktyki wskazane w wymaganiu. Pełna realizacja zadań lub realizacja zadań na poziomieprawie pełnym. |
NIE DOTYCZY | Zakres audytu nie obejmował danego obszaru lub ustalenia potwierdzają, iż obszar nie dotyczy danej organizacji. |
Poszczególne niezgodności powinny zostać usunięte zgodnie z wdrożonym w organizacji procesem zarządzania ryzykiem. Terminowość i skuteczność wdrożenia rekomendacji powstałych w wyniku niniejszego Audytu powinna stanowić wkład w kolejne Audyty zgodności z wymaganiami UKSC. Może też być elementem przeglądów realizowanych przed podmioty nadzorcze w ramach Art 42 UKSC.
W ramach z każdego weryfikowanych obszarów zgrupowano obserwacje powstałe w wyniku analizy dokumentacji, obserwacji i wywiadów, testów przeprowadzonych w ramach Audytu oraz analizy innych przedstawionych wyników testów technicznych.
W ramach Audytu zespół koncentrował się na potwierdzeniu zgodności z wymaganiami w zakresie stworzenia i utrzymywania systemu zarządzania zapewniającego zgodność z UKSC.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykułu 8, 9,10, 14, 15 i 16 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.);
- Rozporządzenia Ministra Cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo (Dz.U. 2019 poz. 2479);
- Rozporządzenia Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080);
- Rozporządzenia Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu (Dz. U. poz. 1999);
- Rozporządzenia Ministra Cyfryzacji z dnia 20 września 2018 r. w sprawie kryteriów uznania naruszenia bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych za naruszenie o istotnym wpływie na funkcjonowanie sieci lub usług (Dz. U. poz. 1830);
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 5, 7, 9 i 10;
- Załącznika A do Polskiej Normy PN-EN ISO/IEC 27001 w wymaganiach A.5, A.6 i A.18.
- Czynności wykonane w terminie 3 miesięcy
- Czynności wykonane w terminie 6 miesięcy
- Czynności wykonane w terminie 12 miesięcy
- lista elementów składowych
- lista osób odpowiedzialnych
- Raporty z audytów systemów informacyjnych wspierających Usługę Kluczową
- Potwierdzenie działań wynikających z komunikacji z procesem szacowania ryzyka SI_OUK
- Dokumentacja architektury zastosowanych zabezpieczeń
- Dokumentacja architektury sieci
- Baza danych konfiguracji urządzeń aktywnych
- Dokumentacja zmian w systemach informacyjnych
- Dokumentacja dotycząca monitorowania w trybie ciągłym
- Umowy z dostawcami (wsparcie techniczne) itp.
- Umowy z dostawcami usług z zakresu cyberbezpieczeństwa
- Wyniki audytów u dostawców usług cyberbezpieczeństwa
- Dokumentacja zabezpieczeń fizycznych i środowiskowych
- Rejestr dostępu do dokumentacji systemu informacyjnego
ID | Zdarzenie niepożądane | Opis ryzyka | Priorytet |
---|---|---|---|
1 | |||
2 | |||
3 | |||
4 |
ID | Obserwacja | Rekomendacje |
---|---|---|
1 | ||
2 | ||
3 | ||
4 |
W ramach Audytu zespół koncentrował się na potwierdzeniu zgodności z wymaganiami bezpieczeństwa informacji w zakresie poprawności ich zdefiniowania, wdrożenia, eksploatacji i nadzorowania procesów zapewniających bezpieczeństwem informacji.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykułu 8,10,11,15 ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.);
- Rozporządzenia Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080);
- Rozporządzenia Rady Ministrów z dnia 31 października 2018 r. w sprawie progów uznania incydentu za poważny (Dz. U. poz. 2180);
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 6, 8;
- Wszystkie z wymienionych w Załączniku A do Polskiej Normy PN-EN ISO/IEC 27001.
- Weryfikacja polityki bezpieczeństwa. Określone i zakomunikowane cele działania systemu w odpowiedzialnej komórce za cyberbezpieczeństwo (Dz.U. 2019 poz. 2479)
- Role i odpowiedzialności w DC Deklaracja stosowania
- Dokumentacja powołania DC
- Plany postępowania z ryzykiem
- Przegląd komunikatów z DC do organizacji
- Raport z wykonanych audytów wewnętrznych i zewnętrznych SZBI
- Raport z przeglądów zarządzania
- Dokumentacja nadzoru nad utrzymaniem
- Baza konfiguracji urządzeń / inwentaryzacja aktywów
- Określenie obszarów obowiązywania SZBI (zakres)
Pracownicy CSIRT/SOC/DC – dokumentacja wskazująca na nadzór nad zabezpieczeni bezpieczeństwem następujących obszarów
- Proces weryfikacji kandydatów (przed zatrudnieniem)
- Podnoszenie kwalifikacji pracowników
- Akceptowalne użycie aktywów przez pracowników
- Nośniki wymienne – udokumentowany sposób podstępowania/ procedury
- Uprawnienia / dostęp do systemów – procedury w zakresie:
- Przydzielanie dostępu
- Odbieranie dostępu
- Pomieszczenie w dyspozycji struktur zespołu odpowiedzialnego za cyberbezpieczeństwo OUK (Dz.U. 2019 poz. 2479)
- Dokumentacja i rozliczalność w zakresie dostępów realizowanych przez VPN (Dz.U. 2019 poz. 2479)
- Dokumentacja umiejętności personelu w zakresie identyfikacji zagrożeń dla ICT / ICS – usługi kluczowej
- Dokumentacja umiejętności personelu w zakresie analizowania oprogramowania szkodliwego Procedura i dokumentacja przebiegu identyfikacji wpływu oprogramowania złośliwego na usługę kluczową
- Przebieg zabezpieczenia śladów kryminalistycznych
- Narzędzia do przeprowadzania analizy szkodliwości kodu
- Dokumentacja Identyfikacji odbiorcy
- Dokumentacja przeprowadzonego szkolenia
- Dokumentacja Komunikatów
ID | Zdarzenie niepożądane | Opis ryzyka | Priorytet |
---|---|---|---|
1 | |||
2 | |||
3 | |||
4 |
ID | Obserwacja | Rekomendacje |
---|---|---|
1 | ||
2 | ||
3 | ||
4 |
W ramach Audytu zespół koncentrował się na potwierdzeniu zgodności z wymaganiami w zakresie poprawności stosowanej metodyki zarządzania ryzykiem oraz kompletności procesu zarządzania ryzykiem poczynając od identyfikacji ryzyka aż po nadzór nad wprowadzeniem rekomendacji.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykułu 8, 10 ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.);
- Rozporządzenia Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080);
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 6, 8, 9, 10;
- Załącznika A do Polskiej Normy PN-EN ISO/IEC 27001 w wymaganiach A.6, A.18.
- Procedury związane z identyfikacją ryzyka
- Procedury związane z przeglądem ryzyka
- Rejestr ryzyka
- Dokumentacja szacowania ryzyka dla obiektów infrastruktury
- Dokumentacja zapewnienia ochrony fizycznej
- Powtarzalność identyfikacji ryzyka
- Poprawność zastosowanych działań w zakresie analizy
- Adekwatność w ocena ryzyka
ID | Zdarzenie niepożądane | Opis ryzyka | Priorytet |
---|---|---|---|
1 | |||
2 | |||
3 | |||
4 |
ID | Obserwacja | Rekomendacje |
---|---|---|
1 | ||
2 | ||
3 | ||
4 |
W ramach Audytu zespół koncentrował się na potwierdzeniu zgodności z wymaganiami w zakresie zdefiniowania wymagań, wdrożenia i konfiguracji narzędzi, ciągłego monitorowania i skutecznego reagowania na potencjalne incydenty.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykułu 8, 11, 12, 13 ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.);
- Rozporządzenie Ministra Cyfryzacji z 4 grudnia 2019 w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo;
- Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080);
- Rozporządzenie Rady Ministrów z dnia 31 października 2018 r. w sprawie progów uznania incydentu za poważny (Dz. U. poz. 2180);
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 6, 8, 9, 10;
- Załącznika A do Polskiej Normy PN-EN ISO/IEC 27001 w wymaganiach A.6, A.12, A.16;
- Wymagania Polskiej Normy PN-EN ISO 22301 w rozdziałach 8.4, 9.1.
- Procedury zarządzania incydentami
- Przyjęta taksonomia w zakresie rodzajów zagrożeń
- Procedury postępowania ze znanymi incydentami
- Raportowanie poziomów pokrycia scenariuszami znanych incydentów
- Dokumentacja przebiegu reakcji na incydent
- Dostęp do miejsca, w którym przechowywana jest dokumentacja lub weryfikacja dokumentacji poświadczającej właściwe praktyki ochrony fizycznej
- Dokumentacja dotycząca przekazywania informacji do właściwego zespołu CSIRT poziomu krajowego/ sektorowego zespołu cyberbezpieczeństwa
- Zabezpieczenia i gromadzenie materiału dowodowego oraz zapewnienie rozliczalności w całym procesie monitorowania i reagowania na incydenty
- Dokumentacja systemu do automatycznego rejestrowania zgłoszeń incydentów
- Potwierdzenie działań wynikających z komunikacji z procesem szacowania ryzyka SI_OUK
- Dokumentacja doskonalenia procesu zarządzania incydentami i wniosków (w oparciu o zidentyfikowane słabości)
- Monitorowanie i wykrycie incydentów w zakresie poufności
- Monitorowanie i wykrycie incydentów w zakresie dostępności
- Monitorowanie i wykrycie incydentów w zakresie integralność
- Monitorowanie i wykrycie incydentów w zakresie autentyczności
- Dokumenty potwierdzające wyszukiwanie podobieństw
- Identyfikacja i dokumentowanie przyczyn wystąpienia incydentów
- Dowody świadczące o opracowywaniu i implementacji wniosków wynikających z obsługi incydentu
- Dowody poprawnej obsługi incydentu
- Kontekst personelu i dokumentacji umiejętności (Dz.U. 2019 poz. 2479 par. 1 ust. 1 pkt. 4)
- Kontekst narzędzi (Dz.U. 2019 poz. 2479 par. 2 ust. 1 pkt. 1)
ID | Zdarzenie niepożądane | Opis ryzyka | Priorytet |
---|---|---|---|
1 | |||
2 | |||
3 | |||
4 |
ID | Obserwacja | Rekomendacje |
---|---|---|
1 | ||
2 | ||
3 | ||
4 |
W ramach Audytu zespół koncentrował się na potwierdzeniu zgodności w wymaganiami w zakresie identyfikowania potrzeby zmian, ustalania wymagań bezpieczeństwa, wyboru rozwiązań, dokumentowania, testowania i wdrażania zmian.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykułu 8, 10 ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.);
- Rozporządzenia Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080);
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 6, 8;
- Załącznika A do Polskiej Normy PN-EN ISO/IEC 27001 w wymaganiach A.6, A.8, A.12, A.14, A.15, A.16.
- Rejestr wyjątków braku aktualizacji
- Wyniki skanowania podatności ze strony sieci
- Wyniki skanowania podatności ze strony systemu operacyjnego
- Wyniki skanowania podatności aplikacji
- Dekompozycja na komponenty składowe (biblioteki / moduły) – materiały opisowe
- Wyniki audytów w procesie zarządzania zmianą
- Potwierdzenie działań wynikających z komunikacji z procesem szacowania ryzyka SI_OUK
ID | Zdarzenie niepożądane | Opis ryzyka | Priorytet |
---|---|---|---|
1 | |||
2 | |||
3 | |||
4 |
ID | Obserwacja | Rekomendacje |
---|---|---|
1 | ||
2 | ||
3 | ||
4 |
W ramach Audytu zespół koncentrował się na potwierdzeniu zgodności w wymaganiami w zakresie dokonania analizy i zdefiniowania wymagań dla ciągłości działania, wdrożenia rozwiązań zapasowych i redundantnych, testowaniu zdolności, przygotowania odpowiednich umów z dostawcami oraz nadzorowaniu ich sposobu zapewnienia ciągłości działania.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykuł 8 ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.);
- Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080);
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 6, 8, 9;
- Załącznika A do Polskiej Normy PN-EN ISO/IEC 27001 w wymaganiach A.6, A.17;
- Wymagania Polskiej Normy PN-EN ISO 22301.
- Harmonogram i rodzaje testów ciągłości działania
- Wyniki testów ciągłości działania
- Konfiguracja systemów do wykonywania kopii bezpieczeństwa
- Raport z przeglądów i testów odtwarzania kopii bezpieczeństwa
- Rejestr przeprowadzonych przeglądów
- Retencja danych – dokumenty potwierdzające
- Przechowywanie kopii zapasowych - procedury
- Dokumentacja analizy BIA i analizy ryzyka
- Strategia i polityka ciągłości działania
- Dokumentacja wyjątków i odstępstw od założeń polityki
- Dokumentacja MAK (Minimalna akceptowalna konfiguracja)
- Struktura organizacyjna w odpowiedzi na incydent
- Procedury ciągłości działania, awaryjne oraz odtwarzania po katastrofie (DRP)
- Scenariusze testowe
- Procedury komunikacji z mediami i komunikacji wewnętrznej
- Rejestr kluczowych dostawców w ramach UK
- Procedury współpracy z podmiotami zewnętrznymi
- Potwierdzenie działań wynikających z komunikacji z procesem szacowania ryzyka SI_OUK
- Dokumentacja wyników ocen i pomiarów (w tym testów) SZCD i jego elementów oraz działań korygujących (oraz ich status)
ID | Zdarzenie niepożądane | Opis ryzyka | Priorytet |
---|---|---|---|
1 | |||
2 | |||
3 | |||
4 |
ID | Obserwacja | Rekomendacje |
---|---|---|
1 | ||
2 | ||
3 | ||
4 |
W ramach Audytu zespół koncentrował się na potwierdzeniu zgodności w wymaganiami w zakresie ustalania i nadzorowania wymagań bieżącej eksploatacji systemów informacyjnych.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykułu 8, 10 ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.);
- Rozporządzenia Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080);
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 6, 7, 8, 9, 10;
- Załącznika A do Polskiej Normy PN-EN ISO/IEC 27001 w wymaganiach A.5, A.6, A.8, A.9, A.10, A.11, A.12, A.14, A.14, A.18.
- Opis procesu
- Harmonogramy skanowania podatności
- Wyniki skanowania podatności
- Wyniki zmiany priorytetyzacji w raportach
- Aktualny status realizacji postępowania z podatnościami - lista
- Procedury związane ze z identyfikowaniem (wykryciem) podatności
- Współpraca z osobami odpowiedzialnymi za procesy zarządzania incydentami
- Potwierdzenie działań wynikających z komunikacji z szacowaniem ryzyka SI_OUK
ID | Zdarzenie niepożądane | Opis ryzyka | Priorytet |
---|---|---|---|
1 | |||
2 | |||
3 | |||
4 |
ID | Obserwacja | Rekomendacje |
---|---|---|
1 | ||
2 | ||
3 | ||
4 |
W ramach Audytu zespół koncentrował się na potwierdzeniu zgodności w wymaganiami w zakresie ustalania i nadzorowania wymagań bieżącej eksploatacji systemów informatycznych wykorzystywanych do zapewniania, monitorowania i reagowania na incydenty bezpieczeństwa.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykułu 8, 10 ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.);
- Rozporządzenia Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080);
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 6, 7, 8, 9, 10;
- Załącznika A do Polskiej Normy PN-EN ISO/IEC 27001A.5, A.6, A.8, A.9, A.10, A.11, A.12, A.14, A.14, A.18.
- Procedury migracji / tworzenia danych testowych
- Dostęp do środowisk DEV / TEST / QA – zasady udokumentowane
- Rozliczalność dostępów - procedury
ID | Zdarzenie niepożądane | Opis ryzyka | Priorytet |
---|---|---|---|
1 | |||
2 | |||
3 | |||
4 |
ID | Obserwacja | Rekomendacje |
---|---|---|
1 | ||
2 | ||
3 | ||
4 |
W ramach Audytu zespół koncentrował się na potwierdzeniu zgodności w wymaganiami w zakresie skuteczności procesu ochrony fizycznej i środowiskowej.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykułu 8, 10, 14 ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.);
- Ustawy z dnia 22 sierpnia 1997 o ochronie osób i mienia (Dz.U. 1997 nr 114 poz. 740);
- Rozporządzenia Ministra Cyfryzacji z 4 grudnia 2019 w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo (Dz.U. 2019 poz. 2479);
- Rozporządzenia Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080);
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 6, 8;
- Załącznika A do Polskiej Normy PN-EN ISO/IEC 27001 w wymaganiach A.6, A.11, A17.
- Dokumentacja i zasadność instalacji systemu zabezpieczeń (drzwi / okna / ściany)
- Dokumentacja i zasadność instalacji systemu alarmowego i antynapadowego
- Atestacja szaf i sejfów
- Dokumentacja i zasadność konfiguracji systemu przeciwpożarowego
- Przechowywanie i dostęp do dokumentacji
- Potwierdzenie działań wynikających z komunikacji z szacowaniem ryzyka SI_OUK
- Dokumentacja i zasadność konfiguracji systemu podtrzymania i stabilizacji prądu
- Dokumentacja i zasadność konfiguracji systemu podtrzymania warunków temperatury, wilgotności i wentylacji pomieszczeń
- Rejestr przeglądów i konserwacji elementów w/w użytkowanych systemów
- Dokumentacja testów bezpieczeństwa w odniesieniu do elementów systemu zabezpieczeń fizycznych
- Dokumentacja i testy procedur ewakuacyjnych
- Dokumentacja i procedury kontaktu ze służbami
ID | Zdarzenie niepożądane | Opis ryzyka | Priorytet |
---|---|---|---|
1 | |||
2 | |||
3 | |||
4 |
ID | Obserwacja | Rekomendacje |
---|---|---|
1 | ||
2 | ||
3 | ||
4 |
W ramach audytu zespół koncentrował się na potwierdzeniu zgodności w wymaganiami w zakresie definiowania i nadzorowania stosowania wymagań bezpieczeństwa informacji i ciągłości działania przez dostawców usług bezpieczeństwa informacji oraz usług wdrażania i utrzymywania systemów informatycznych wykorzystywanych do świadczenia Usług Kluczowych.
Zakres prac obejmował między innymi adekwatne wymagania:
- Artykułu 8, 14 ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa (Dz. U. poz. 1560 ze zm.);
- Rozporządzenia Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej (Dz. U. poz. 2080);
- Polskiej Normy PN-EN ISO 22301 w rozdziałach 8.3;
- Polskiej Normy PN-EN ISO/IEC 27001 w rozdziałach 6, 7, 8;
- Załącznika A do Polskiej Normy PN-EN ISO/IEC 27001 w wymaganiach A.6, A.15, A.17.
- Polityka bezpieczeństwa w relacjach z dostawcami
- Standardy i wymagania w zakresie cyberbezpieczeństwa nakładane na dostawców w umowach
- Ocena zdolności dostawcy do zachowania ciągłości działania
- Bezpieczeństwo łańcucha dostaw
- Bieżące monitorowanie i przegląd usług świadczonych przez dostawców
- Umowy z dostawcami (wymagany poziom usług) i standardy w umowach dotyczące cyberbezpieczeństwa
- Rejestr kluczowych dostawców w ramach UK
- Wyniki audytów drugiej i trzeciej strony
- Techniki zdalnego dostępu, nadzór nad poprawnością zakres zdalnego dostępu oraz stosowane metody uwierzytelnienia
- Akceptowalne użycie aktywów – lista przypadków
- Wymagania osobowe wymienione w paragrafie 1 ustęp 1 punkt 4 (Dz.U. 2019 poz. 2479)
- Wymagania w zakresie ochrony fizycznej (Dz.U. 2019 poz. 2479)
- Zastosowane systemy zabezpieczeń w zakresie dostępów do dokumentacji (Dz.U. 2019 poz. 2479)
- Zastosowane systemy zabezpieczeń teleinformatycznych w zakresie pracy zdalnej (Dz.U. 2019 poz. 2479)
ID | Zdarzenie niepożądane | Opis ryzyka | Priorytet |
---|---|---|---|
1 | |||
2 | |||
3 | |||
4 |
ID | Obserwacja | Rekomendacje |
---|---|---|
1 | ||
2 | ||
3 | ||
4 |
Definicja | Wyjaśnienie |
---|---|
Audyt | niezależne i obiektywne potwierdzenie zgodności z wymaganiami |
UKSC | Ustawa o Krajowym Systemie Cyberbezpieczeństwa z 5 lipca 2018 (Dz.U.2018 poz. 1560) |
Sprawozdanie z audytu | Dokument wynikowy prac audytorskich. |
Sprawozdanie Poprzednie | Sprawozdanie z poprzedniego audytu zgodnego z ustawą o Krajowym Systemie Cyberbezpieczeństwa |
Niezgodność | Odstępstwo od przepisu, normy, standardu, wymagania, niespełnienie założonego celu mechanizmu kontrolnego (zabezpieczenia), nieskuteczność mechanizmu kontrolnego (zabezpieczenia). |
Incydent poważny | incydent poważny w rozumieniu Rozporządzenia Rady Ministrów z dnia 31 października 2018 r. w sprawie progów uznania incydentu za poważny (Dz. U. poz. 2180), |
Audytor Wiodący | Audytor wyznaczony jako lider zespołu audytowego, odpowiedzialny za realizację audytu zgodnie z zakresem, programem i ocenę dowodów w odniesieniu do Kryteriów Audytu, wybór technik badawczych oraz przygotowanie zbiorczego raportu |
Common Vulnerability Scoring System (CVSS) | Międzynarodowa skala stosowana podczas analizy ryzyk związanych z technicznymi podatnościami systemów informatycznych. Jest stosowana przez wszystkich głównych dostawców systemów informatycznych oraz powszechnie wykorzystywana na całym świecie przez zespoły IT. Jest szerzej opisana na stronie https://www.first.org/cvss/ |
PŚUB | Podmiot Świadczący usługi z zakresu cyberbezpieczeństwa w rozumieniu UKSC |
DC | Dział, Departament, Biuro lub inna jednostka organizacyjna bezpośrednio odpowiedzialne za realizację zadań w zakresie cyberbezpieczeństwa OUK |
OUK | Operator Usługi Kluczowej w rozumieniu UKSC |
UK | Usługa Kluczowa – usługa, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, wymienioną w wykazie usług kluczowych Rozporządzenie Rady Ministrów z dnia 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych (Dz. U. poz. 1806) |
Mechanizm kontrolny | środków technicznych i organizacyjnych (fizyczne i informatyczne narzędzia, procedury operacyjne i instrukcje oraz struktura organizacyjna) mające na celu zmniejszanie zidentyfikowanego ryzyka. Jest to tożsame z terminem „zabezpieczenie” |
Najwyższe Kierownictwo | Osoba lub grupa osób, które na najwyższym szczeblu kierują organizacją i ją nadzorują |
Opinia pozytywna | Opis systemu bezpieczeństwa został przygotowany z należytą starannością. Mogą istnieć drobne błędy lub pominięcia, jednakże ich waga nie jest znacząca. Mechanizmy kontrolne istnieją. Skuteczność mechanizmów kontrolnych w odniesieniu celów jest spełniona. Mogą istnieć drobne błędy lub odchylenia, jednakże ich waga nie jest znacząca. |
Opinia pozytywna z zastrzeżeniami | Opis systemu bezpieczeństwa został przygotowany z należytą starannością, jednakże zawiera błędy lub pominięcia. Mechanizmy kontrolne istnieją, lecz ich skuteczność w odniesieniu do celów zawiera odchylenia. |
Opinia negatywna | Opis systemu bezpieczeństwa nie został przygotowany z należytą starannością i zawiera rażące błędy lub pominięcia. Mechanizmy kontrolne nie istnieją lub ich skuteczność w odniesieniu celów zawiera znaczące odchylenia. |
Odstąpienie od badania | Audytujący nie otrzymali dowodów, na podatawie których mogliby wydać opinię. |
Program audytu | przygotowany przez Audytora Wiodącego i zatwierdzony przez Operatora Usługi Kluczowej program zadania audytowego |
Sprawozdanie z audytu | Pisemne sprawozdanie przygotowany pod nadzorem Audytora Wiodącego zawierający obserwacje (ustalenia stanu faktycznego) w zakresie zaobserwowanych niezgodności, ocenę systemu, klasyfikację zidentyfikowanego ryzyka oraz rekomendacje dla Kierownictwa OUK, a także zawierający dokumentacje z przeprowadzonego audytu. |
Skuteczność mechanizmu kontrolnego | zapewnienie, że mechanizm kontrolny realizuje postawione przed nim cele |
Zespół audytowy | Audytor Wiodący oraz co najmniej jeden dodatkowy audytor przeprowadzający zadanie audytowe |
System informacyjny | System informatyczny oraz otaczający ekosystem procesów wykorzystywany do świadczenia usługi kluczowej |
Operator usługi kluczowej | Podmiot, o którym mowa w załączniku nr 1 do UKSC, posiadający jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, wobec którego organ właściwy do spraw cyberbezpieczeństwawydał decyzję o uznaniu za operatora usługi kluczowej. |
Organ właściwy | Organami właściwymi do spraw cyberbezpieczeństwa są organy administracji państwowej wymienione w art. 41 pkt 1-9 UKSC. |
Zarządzanie incydentem | Bieżący i udokumentowany proces ogólnego postępowania w trakcie obsługi incydentu polegającego co najmniej na podejmowaniu działań i dokumentowania z podziałem na fazy: wyszukiwanie powiązań między incydentami, usuwanie przyczyn ich wystąpienia opracowywanie wniosków wynikających z obsługi incydentu |
Szacowanie ryzyka | bieżące prace polegające na ocenie sytuacji w zarządzanej cyberprzestrzeni polegające co najmniej na: identyfikacji analizie ocenie ryzyka |
Obsługa incydentu | szczegółowy zestaw czynności wykonywanych w sposób powtarzalny i udokumentowany, a składający się z co najmniej faz: wykrywanie rejestrowanie analizowanie klasyfikowanie priorytetyzację podejmowanie działań naprawczych ograniczenie skutków incydentu |
Osoba do kontaktu | Osoba odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa, ze szczególnym uwzględnieniem zespołów CSIRT i organów właściwych. |
Właściciel procesu zarządzania ryzykiem | Osoba odpowiedzialna u OUK za wypełnianie obowiązków operatora w zakresie artykułu 8 punkt 1. |
Właściciel procesu zarządzania incydentem | Osoba odpowiedzialna u OUK za wypełnianie obowiązków operatora w zakresie artykułu 8 punkt 4 |
Właściciel procesu zarządzania zagrożeniami | Osoba odpowiedzialna u OUK za wypełnianie obowiązków operatora w zakresie artykułu 8 punkt 3 w zakresie zbieranie informacji o zagrożeniach cyberbezpieczeństwa dla systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. |
Właściciel procesu zarządzania podatnościami | Osoba odpowiedzialna u OUK za wypełnianie obowiązków operatora w zakresie artykułu 8 punkt 3 w zakresie identyfikacji i postępowania z podatnościami na incydenty systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. |
Właściciel procesu zarządzanie środkami technicznymi | Osoba odpowiedzialna u OUK za wypełnianie obowiązków operatora w zakresie artykułu 8 punkt 2 w zakresie wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych uwzględniających najnowszy stan wiedzy zabezpieczający systemy informacyjne wykorzystywane do świadczenia usługi kluczowej. |
Właściciel procesu zarządzanie środkami organizacyjnymi | Osoba odpowiedzialna u OUK za wypełnianie obowiązków operatora w zakresie artykułu 8 punkt 2 w zakresie wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków organizacyjnych uwzględniających najnowszy stan wiedzy zabezpieczający systemy informacyjne wykorzystywane do świadczenia usługi kluczowej. |
SI_OUK | System informacyjny/systemy informacyjne operatora usługi kluczowej, od którego zależne jest świadczenie usługi kluczowej. |
SZBI | System Zarządzania Bezpieczeństwem Informacji |
SZCD | System Zarządzania Ciągłością Działania |
Notatka Licencyjna: Dokument utworzony na bazie szablonu audytu przygotowanego przez członków „ISSA Polska Stowarzyszenie ds. Bezpieczeństwa Systemów Informacyjnych”, „Instytut Audytorów Wewnętrznych IIA Polska” na licencji MIT (https://pl.wikipedia.org/wiki/Licencja_MIT)
Uwagi i poprawki: https://github.com/issa-polska/Audyt_KSC/issues
Strona Projektu: https://issapolska.github.io/Audyt_KSC/
Kontakt mailowy: ksc@issa.org.pl