REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

REKLAMA

Dzienniki Urzędowe - rok 2023 poz. 12

ZARZĄDZENIE NR 3
PREZESA GŁÓWNEGO URZĘDU MIAR

z dnia 12 czerwca 2023 r.

w sprawie postępowania z incydentami bezpieczeństwa informacji w Głównym Urzędzie Miar

Tekst pierwotny

Na podstawie § 20 ust. 2 pkt 13 rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2017 r. poz. 2247) oraz art. 22 i art. 23 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2023 r. poz. 913) zarządza się, co następuje:

§ 1.

Zarządzenie reguluje sposób postępowania z incydentami bezpieczeństwa informacji w Głównym Urzędzie Miar, zwanym dalej „GUM".

§ 2.

Użyte w zarządzeniu pojęcia oznaczają:

1) incydent bezpieczeństwa informacji - zdarzenie, które ma lub może mieć niekorzystny wpływ na bezpieczeństwo informacji w GUM;

2) incydent cyberbezpieczeństwa - incydent bezpieczeństwa informacji w rozumieniu art. 2 pkt 5 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2023 r. poz. 913);

3) incydent krytyczny - incydent bezpieczeństwa informacji w rozumieniu art. 2 pkt 6 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa;

4) obsługa incydentu bezpieczeństwa informacji - obsługę incydentu bezpieczeństwa informacji w rozumieniu art. 2 pkt 10 ustawy z dnia 5 lipca 2023 r. o krajowym systemie cyberbezpieczeństwa;

5) system HelpDesk - system pomocy technicznej GUM;

6) Zespół - zespół ds. bezpieczeństwa informacji, o którym mowa w decyzji Prezesa Głównego Urzędu Miar dotyczącej ustanowienia oraz określenia zadań pełnomocnika Prezesa Głównego Urzędu Miar do spraw Zintegrowanego Systemu Zarządzania.

§ 3.

1. Pracownik, w przypadku wykrycia wystąpienia incydentu bezpieczeństwa informacji, zwanego dalej incydentem", niezwłocznie dokonuje jego zgłoszenia w systemie HelpDesk.

2. Zgłoszenie incydentu powinno zawierać:

1) opis symptomów wystąpienia incydentu;

2) wskazanie okoliczności i czasu, w jakich zgłaszający zetknął się z incydentem;

3) informacje, które mogą wskazywać na przyczynę wystąpienia incydentu, o ile zgłaszający incydent posiada te informacje.

3. W przypadku braku dostępności systemu HelpDesk lub sytuacji wymagającej natychmiastowego działania, pracownik dokonuje zgłoszenia drogą elektroniczną na adres incydenty@gum.gov.pl lub telefonicznie albo osobiście kierownikowi komórki organizacyjnej GUM właściwej do spraw bezpieczeństwa, który przekazuje informacje o zgłoszeniu przewodniczącemu Zespołu w celu obsługi incydentu.

§ 4.

Pracownik, który dokonał zgłoszenia, zobowiązany jest do:

1) podjęcia czynności niezbędnych dla powstrzymania niepożądanych skutków zaistniałego naruszenia;

2) niepodejmowania działań, które wiążą się z zaistniałym naruszeniem i mogą utrudnić jego udokumentowanie i analizę;

3) powstrzymanie się od pracy w systemie teleinformatycznym, a w przypadku podejrzenia cyberataku, wyłączenia urządzenia;

4) zabezpieczenia dostępu do pomieszczenia, nośników informacji i urządzeń służących do przetwarzania informacji, a także zabezpieczenia dowodów incydentu;

5) współpracy z pracownikami uczestniczącymi w obsłudze incydentu, w szczególności stosowania się do wskazówek Przewodniczącego Zespołu oraz koordynatora obsługi incydentu, o którym mowa w § 5 ust. 2.

§ 5.

1. Przewodniczący Zespołu zapoznaje się z zaistniałą sytuacją, weryfikuje, czy zgłoszenie dotyczy bezpieczeństwa informacji oraz czy wskazuje na wystąpienie incydentu.

2. W przypadku zaklasyfikowania zgłoszenia jako incydent Przewodniczący Zespołu zwołuje posiedzenie Zespołu oraz wyznacza koordynatora obsługi incydentu spośród członków Zespołu.

3. Jeżeli charakter incydentu tego wymaga, Przewodniczący Zespołu niezwłocznie:

1) zawiadamia odpowiednie służby porządkowe;

2) udziela wskazówek osobie dokonującej zgłoszenia w zakresie dalszego postępowania.

4. W przypadku zakwalifikowania zgłoszenia jako niedotyczącego bezpieczeństwa informacji, zgłoszenie jest zamykane, o czym informowany jest pracownik dokonujący zgłoszenia.

§ 6.

W ramach obsługi incydentu Zespół:

1) podejmuje niezbędne działania, mające zminimalizować skutki incydentu;

2) przeprowadza postępowanie wyjaśniające;

3) zabezpiecza dostępne dowody;

4) wdraża plan przywrócenia właściwych warunków działania;

5) dokonuje analizy pod kątem, wystąpienia incydentu krytycznego lub incydentu cyberbezpieczeństwa;

6) podejmuje działania naprawcze i rekomenduje działania zapobiegawcze;

7) dokumentuje incydent w postaci raportu z incydentu, którego wzór określa załącznik nr 1 do zarządzenia;

8) nadaje mu priorytet, wynikający z istotności jego wpływu na funkcjonowanie GUM, konieczności natychmiastowej reakcji i podjęcia właściwych działań, uwzględniając wytyczne określone w załączniku nr 2 do zarządzenia;

9) przekazuje pracownikowi, który dokonał zgłoszenia, informacje o działaniach, jakie podjęto w następstwie zgłoszenia.

§ 7.

Przewodniczący Zespołu:

1) prowadzi rejestr zgłoszonych incydentów, zgodnie ze wzorem rejestru określonym w załączniku nr 3 do zarządzenia;

2) niezwłocznie informuje Kierownictwo GUM o wystąpieniu incydentu krytycznego lub incydentu cyberbezpieczeństwa oraz we współpracy z koordynatorem zapewnia obsługę incydentu krytycznego lub incydentu cyberbezpieczeństwa zgodnie z ustawą z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa;

3) koordynuje przygotowanie i aktualizowanie przez Zespół planów ciągłości działania;

4) dokonuje przeglądu incydentów, jak również danych z obsługi incydentów;

5) sporządza Kierownictwu GUM, nie rzadziej niż raz na 6 miesięcy, raport o obsłużonych incydentach, zawierający rekomendacje w zakresie działań doskonalących, którego wzór określa załącznik nr 4 do zarządzenia.

§ 8.

Upoważnieni pracownicy GUM, zawierając umowę z podmiotem zewnętrznym, zobowiązani są do zamieszczenia w umowie klauzul zobowiązujących podmiot zewnętrzny do zgłaszania zdarzeń, incydentów oraz podatności związanych z bezpieczeństwem informacji pozyskanych w ramach ich realizacji za pośrednictwem osób do kontaktu wskazanych w umowie.

§ 9.

Przewodniczący Zespołu po raz pierwszy sporządzi raport, o którym mowa w § 7 pkt 5, w terminie 6 miesięcy od dnia wejścia w życie zarządzenia.

§ 10.

Informacje dotyczące incydentów są uwzględniane w ramach monitorowania i oceny ryzyka zgodnie z odrębnymi regulacjami obowiązującymi w GUM.

§ 11.

Do incydentów w sprawach wszczętych i niezakończonych przed dniem wejścia w życie niniejszego zarządzenia stosuje się przepisy dotychczasowe.

§ 12.

Traci moc zarządzenie nr 4 Prezesa Głównego Urzędu Miar z dnia 24 lutego 2021 r. w sprawie postępowania z incydentami naruszenia bezpieczeństwa informacji w Głównym Urzędzie Miar.

§ 13.

Zarządzenie wchodzi w życie z dniem następującym po dniu podpisania.

Prezes Głównego Urzędu Miar: Jacek Semaniak

Załącznik 1. [WZÓR RAPORTU Z INCYDENTU]

Załącznik nr 1 do zarządzenia
Prezesa Głównego Urzędu Miar
z dnia 12 czerwca 2023 r. (poz. 12)

WZÓR RAPORTU Z INCYDENTU



Załącznik 2. [WYTYCZNE DO NADAWANIA PRIORYTETÓW INCYDENTOM BEZPIECZEŃSTWA INFORMACJI]

Załącznik nr 2 do zarządzenia
Prezesa Głównego Urzędu Miar
z dnia 12 czerwca 2023 r. (poz. 12)

WYTYCZNE DO NADAWANIA PRIORYTETÓW INCYDENTOM BEZPIECZEŃSTWA INFORMACJI

Tabela priorytetyzacji incydentów bezpieczeństwa informacji

Priorytet

Opis potencjalnych skutków incydentu

Max. czas na podjęcie działań po otrzymaniu zgłoszenia

Max. czas obsługi incydentu

NISKI

Incydent nie generuje skutków prawnych, strat finansowych i wizerunkowych dla GUM; może skutkować pośrednio lub bezpośrednio krótkotrwałymi utrudnieniami w funkcjonowaniu pojedynczej komórki organizacyjnej GUM.

do 48 h

do 21 dni

ŚREDNI

Incydent może naruszać regulacje wewnętrzne GUM; skutkuje pośrednio lub bezpośrednio co najmniej kilkugodzinnymi utrudnieniami w realizacji zadań przez kilka komórek organizacyjnych; może negatywnie wpływać na wizerunek GUM lub generować straty finansowe.

krótkotrwała
(2 h - 8 h)
niedostępność usług/systemów, zakłócenia
w funkcjonowaniu

do 24 h

do 7 dni

WYSOKI

Incydent może skutkować naruszeniem prawa powszechnie obowiązującego, skutkuje pośrednio lub bezpośrednio długotrwałymi utrudnieniami w funkcjonowaniu większości komórek organizacyjnych; może wpływać na podejmowanie decyzji przez kierownictwo GUM; generuje straty finansowe powyżej 100.000 zł oraz negatywnie wpływa na wizerunek GUM.

długotrwała
(pow. 8 h)
niedostępność usług/systemów/ zakłócenia
w funkcjonowaniu

do 4 h

do 2 dni

Załącznik 3. [WZÓR REJESTRU INCYDENTÓW BEZPIECZEŃSTWA INFORMACJI]

Załącznik nr 3 do zarządzenia
Prezesa Głównego Urzędu Miar
z dnia 12 czerwca 2023 r. (poz. 12)

WZÓR REJESTRU INCYDENTÓW BEZPIECZEŃSTWA INFORMACJI


Załącznik 4. [WZÓR RAPORTU O OBSŁUŻONYCH INCYDENTACH BEZPIECZEŃSTWA INFORMACJI]

Załącznik nr 4 do zarządzenia
Prezesa Głównego Urzędu Miar
z dnia 12 czerwca 2023 r. (poz. 12)

WZÓR RAPORTU O OBSŁUŻONYCH INCYDENTACH BEZPIECZEŃSTWA INFORMACJI



Metryka
  • Data ogłoszenia: 2023-06-12
  • Data wejścia w życie: 2023-06-13
  • Data obowiązywania: 2023-06-13
Brak dokumentów zmieniających.
Brak zmienianych dokumentów.

REKLAMA

Dzienniki Urzędowe

REKLAMA

REKLAMA

REKLAMA