pexels-polina-zimmerman-3747486

,,Cyberbezpieczny Samorząd’’ - odpowiedź na problemy jednostek Samorządu Terytorialnego w zakresie cyberbezpieczeństwa

Projekt ,,Cyberbezpieczny Samorząd" to kolejna inicjatywa mająca na celu podniesienie poziomu cyberbezpieczeństwa w jednostkach publicznych. Świadczy to o dużym znaczeniu jakie przywiązywane jest w dzisiejszym świecie do procedur związanych z cyberbezpieczeństwem. Niedostateczna świadomość zagrożeń jakie możemy napotkać podczas korzystania z komputera lub innych urządzeń mobilnych może mieć bardzo poważne konsekwencje nie tylko dla jednostki publicznej na którą może potencjalnie nastąpić cyberatak, ale również dla osób prywatnych których dane jednostka publiczna przetwarza, a które w wyniku ataku mogą dostać się w ,,niepowołane ręce’’.

Poza wiedzą z zakresu cyberzagrożeń kluczowe jest również opracowanie i wdrożenie oraz aktualizacja dokumentacji w zakresie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), przeprowadzenie analizy ryzyka w celu określenia na jakie zagrożenia może być narażona jednostka oraz jakie mogą być ewentualne konsekwencje np. w przypadku udanego cyberataku na jednostkę publiczną. Opracowanie procedury obsługi incydentów, stworzenie planu ciągłości działania w razie wystąpienia sytuacji kryzysowej, stosowanie kryptografii oraz szyfrowania są fundamentalne dla zwiększenia poziomu cyberbezpieczeństwa w jednostkach publicznych.

Podstawą dbałości o cyberbezpieczeństwo jest także posiadanie przez jednostkę publiczną odpowiednich urządzeń oraz systemów w celu zwalczania cyberataków. Aktualizacja systemów które mogą mieć kluczowe znaczenie dla zwiększenia poziomu cyberbezpieczeństwa oraz zakup odpowiednich urządzeń mogą w istotnym stopniu poprawić bezpieczeństwo jednostki publicznej.

Warto przyjrzeć się bliżej projektowi ,,Cyberbezpieczny Samorząd’’.

Podstawowe informacje o projekcie – cel projektu

Projekty realizowane w latach 2021 r. – 2023 r. przez Polskie Centrum Projektów Polska Cyfrowa (CPPC) we współpracy z NASK PIB -,, Cyfrowa Gmina’’, ,,Cyfrowy Powiat’’ oraz ,,Cyfrowe Województwo’’ wykazały problemy z jakimi borykają się Jednostki Samorządu Terytorialnego w zakresie cyberbezpieczeństwa.

W odpowiedzi na te mankamenty powstał projekt ,,Cyberbezpieczny Samorząd’’ którego celem jest wzmocnienie bezpieczeństwa informacji oraz zwiększenie odporności jednostek samorządu terytorialnego na cyberzagrożenia oraz ich zdolności do skutecznego zapobiegania incydentom bezpieczeństwa teleinformatycznego, wykrywania ich i reagowania na nie.

Finansowanie oraz czas trwania projektu

Koszty projektu w dużym stopniu pokrywa Unia Europejska oraz środki Budżetu Państwa – max 79,71%

-> W przypadku gmin wysokość wsparcia może wynieść od: 200.000 zł do 850.000 zł.

Jeśli chodzi o wysokość wsparcia dla gminy to jest ono uzależnione od liczby mieszkańców danej gminy.

Wkład własny: min 20,79%

-> Czas trwania projektu: maksymalnie w przeciągu 24 miesięcy od dnia wejścia w życie umowy o powierzenie Grantu, jednak nie później niż do 30.06.2026 r.

Kto może złożyć wniosek o przyznanie środków w ramach projektu ,,Cyberbezpieczny Samorząd’’?

Wniosek o przyznanie środków w ramach projektu ,,Cyberbezpieczny Samorząd’’ mogą składać: Jednostki Samorządu Terytorialnego (JST) w tym jednostki podległe (z ograniczeniem do jednostek sektora publicznego, z wyłączeniem placówek ochrony zdrowia).

Usługi na jakie można otrzymać środki finansowe zostały podzielone na swoiste obszary tj. obszar organizacyjny, obszar kompetencyjny oraz obszar techniczny.

Usługi zawarte w obszarze organizacyjnym na które można otrzymać środki to:

  • Opracowanie, wdrożenie, przegląd, aktualizacja dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), w tym m.in. wprowadzenie lub aktualizacja polityk bezpieczeństwa informacji (PBI), na analizy ryzyka (w tym opracowanie i wdrożenie metodyk), np. procedury: obsługi incydentów, ciągłości działania i zarządzania kryzysowego, stosowanie kryptografii i szyfrowania, kontroli dostępu, bezpieczeństwa pracy zdalnej, używania urządzeń mobilnych, itp.
  • audyt SZBI, audyt zgodności KRI/uoKSC przez wykwalifikowanych audytorów, (re-)certyfikacja SZBI na zgodność z normami.

Do obszaru kompetencyjnego zaliczono:

  • Podstawowe szkolenia budujące świadomość pracowników jednostek samorządu terytorialnego oraz jednostek im podległych w zakresie cyberzagrożeń, podkreślające konieczność przestrzegania tzw. cyberhigieny podczas korzystania z komputera oraz innych urządzeń mobilnych.
  • Szkolenia z zakresu cyberbezpieczeństwa dla wybranych przedstawicieli kadry Jednostek Samorządu Terytorialnego które są bardzo istotne z perspektywy wdrażanej polityki bezpieczeństwa informacji i systemu zarządzania bezpieczeństwem informacji.
  • Szkolenia specjalistyczne dla kadry zarządzającej oraz informatyków w zakresie zastosowanych (planowanych do zastosowania) środków bezpieczeństwa w ramach projektu grantowego.
  • Szkolenia powiązane z testami socjotechnicznymi które będą weryfikować wiedzę oraz reakcję specjalistów posiadających odpowiednie obowiązki w ramach SZBI w zgodzie z przyjętymi procedurami.

Do obszaru technicznego zaś:

  • Zakup, wdrożenie, utrzymanie systemów teleinformatycznych – w tym urządzeń, oprogramowania i usług zapewniających prewencję, detekcję i reakcję na zagrożenia cyberbezpieczeństwa, z niezbędnym wsparciem producenta.
  • Zakup, wdrożenie i utrzymanie rozwiązań ciągłego monitorowania bezpieczeństwa, skanery podatności, zarządzanie podatnościami, zarządzanie zasobami IT i aktywami podlegającymi ochronie oraz innych rodzajów narzędzi wymienionych poniżej w katalogu klas rozwiązań.
  • Zakup, wdrożenie, konfiguracja oraz utrzymanie urządzeń i oprogramowania z zakresu cyberbezpieczeństwa.
  • Zakup usług wsparcia realizowanych przez zewnętrznych ekspertów z zakresu cyberbezpieczeństwa.
  • Zakup, wdrożenie i utrzymanie systemów lub usług na potrzeby operacyjnych centrów cyberbezpieczeństwa (SOC), także jako element Centrum Usług Wspólnych.
  • Zakup testów i badań bezpieczeństwa, dostępu do informacji bezpieczeństwa (np. ang. feeds) oraz inne usługi integracyjne dotyczące obszaru cyberbezpieczeństwa.

Zgodnie z regulaminem okres realizacji projektu Cyberbezpieczny Samorząd wynosi maksymalnie 24 miesiące od dnia wejścia w życie umowy o powierzenie grantu.

segregator

System Zarządzania Bezpieczeństwem Informacji (SZBI). Ochrona danych przed zagrożeniem

Obecnie każda organizacja posiada i przetwarza informacje stanowiące istotne zasoby przedsiębiorstwa. Poufność, dostępność i integralność informacji ma podstawowe znaczenie dla utrzymania konkurencyjności, płynności finansowej, zysku, zgodności z przepisami prawa i wizerunku instytucji. Z punktu widzenia biznesowego oraz organizacyjnego są one najważniejszymi aktywami firmy, dlatego też należy zadbać o ich właściwe zabezpieczenie. W dobie postępującej informatyzacji niezbędne jest sformułowanie takiej polityki bezpieczeństwa organizacji, która uwzględni wszystkie aspekty zarządzania bezpieczeństwem informacji.

Międzynarodową normą określającą standardy zarządzania bezpieczeństwem informacji jest ISO/IEC 27001. W oparciu o nią należy ustanowić System Zarządzania Bezpieczeństwem Informacji (SZBI) w organizacji.

Co to jest informacja i na czym polega bezpieczeństwo informacji.

Informacją określa się wszelkie dane przetworzone w taki sposób, że na ich podstawie można wyciągać wnioski i podejmować decyzje. Informacja, wśród innych aktywów biznesowych, ma zasadnicze znaczenie dla organizacji przedsiębiorstw. Z uwagi na to musi być ona odpowiednio zabezpieczona przed szeroką gamą zagrożeń. Odpowiedni system zabezpieczeń, obejmujący bezpieczeństwo teleinformatyczne, fizyczne, osobowo-organizacyjne i prawne, pozwala na zminimalizowanie ryzyka zagrożenia bezpieczeństwa.

Najważniejsze elementy bezpieczeństwa informacji to:

  • Poufność – czyli dostępność informacji tylko dla osób uprawnionych.
  • Integralność – czyli zagwarantowanie dokładności i kompletności informacji oraz metod ich przetwarzania.
  • Dostępność – czyli zapewnienie upoważnionym użytkownikom dostępu do informacji i związanych z nimi zasobów, zgodnie z określonymi potrzebami.

Skuteczność wszystkich systemów zarządzania lub zapewnienia bezpieczeństwa informacji opiera się na analizie i ocenie ryzyka. Określenie działań odnoszących się do ryzyka musi dotyczyć wszystkich wyżej wymienionych elementów bezpieczeństwa informacji. System Zarządzania Bezpieczeństwem Informacji (SZBI) swoimi założeniami obejmuje procesy, infrastrukturę, systemy informatyczne oraz czynnik ludzki. Określa on wymagania oraz zasady inicjowania, wdrażania, utrzymania i  poprawy zarządzania bezpieczeństwem informacji w organizacji, a w konsekwencji zmniejsza ryzyko wystąpienia incydentu oraz wpływu jego negatywnych skutków na organizację.

Na co zwrócić uwagę i jak dostosować się do standardów SZBI.

Na pierwszych etapach wdrażania systemów bezpieczeństwa informacji szczególną uwagę należy zwrócić na przeprowadzenie szczegółowej i kompleksowej oceny ryzyka utraty poufności, dostępności i integralności danych, których ma dotyczyć dany system bezpieczeństwa. Posiadając te informacje można przygotować i wdrożyć skuteczny system bezpieczeństwa informacji.

Ponadto istnieją przepisy prawne, które zawierają w sobie wymagania związane z bezpieczeństwem informacji określających obowiązki i kary, które grożą organizacji nie przestrzegającej przepisów.

Wymagania Systemu Zarządzania Bezpieczeństwem Informacji.

  • Uprawnienia, upoważnienia oraz ewidencja
  • dobór zabezpieczeń do potrzeb bezpieczeństwa fizycznego
  • dobór zabezpieczeń i monitoring infrastruktury IT
  • AUDYTY BEZPIECZEŃSTWA
  • zgłaszanie incydentów/plan ciągłości działania
  • określenie zagrożeń, analiza i szacowanie ryzyka, ocena skutków dla ochrony danych
  • szkolenia/edukacja – utrzymywanie porządku procedury.
  • Polityka bezpieczeństwa i procedury bezpieczeństwa.
notatki

Krajowe ramy interoperacyjności (KRI)

Krajowe Ramy Interoperacyjności stanowią zbiór zasad i sposobów postępowania podmiotów w celu zapewnienia systemom informatycznym interoperacyjności działania, rozumianej jako zdolność tych systemów oraz wspieranych przez nie procesów do wymiany danych oraz do dzielenia się informacjami i wiedzą opisanych w rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2012 r., poz. 526 ze zm.)

Czym jest interoperacyjność

Interoperacyjność jest to zdolność dwóch systemów (lub komponentów) do wymiany informacji oraz użycia wymienionych informacji. Aby ten cel osiągnąć należy zaimplementować standardy zapewniające prawidłową interpretację informacji przez system docelowy, zgodnie z zakładanym sensem tych danych w systemie źródłowym.

Podstawa prawna

Zgodnie z rozporządzeniem Rady Ministrów z dnia 12.04.2012 każda jednostka samorządu terytorialnego zobowiązana jest do respektowania reguł które dotyczą minimalnych zaleceń dla rejestrów  publicznych i wymiany informacji w postaci elektronicznej a także spełnienia minimum wymogów w zakresie prawidłowego funkcjonowania systemów teleinformatycznych.

Rozporządzenie Rady Ministrów z dnia 12.04.2012 określa:

  • Krajowe ramy interoperacyjności
  • Minimalne wymagania dla rejestrów publicznych i wymiany informacji w postaci elektronicznej,
  • Minimalne wymagania dla systemów teleinformatycznych, w tym specyfikację formatów danych oraz protokołów komunikacyjnych i szyfrujących.
  • Sposoby zapewnienia bezpieczeństwa przy wymianie informacji,
  • Standardy techniczne zapewniające wymianę informacji przez podmioty publiczne, z uwzględnieniem wymiany transgranicznej.
  • Dostępność informacji przez podmioty dla osób niepełnosprawnych,
  • inwentaryzacja sprzętu i oprogramowania służącego do  transmisji danych i informacji oraz kontrola legalności sprzętu i systemu
  • kontrola uprawnień i działań osób zaangażowanych w proces przetwarzania informacji, określenie właściwych  poziomów dostępów do danych, bieżące kontrola nad danymi.
  • cykliczne analizy ryzyka związane z dostępnością i możliwą utratą sensytywnych
  •  (wrażliwych)  informacji i poufnych danych oraz podejmowania działań eliminujących ryzyko, dostosowanych do stopnia zagrożenia
  • zapewnienie odpowiednich szkoleń dla osób zaangażowanych w proces przetwarzania informacji ze szczególnym naciskiem na tematykę związaną z bezpieczeństwem informacji, skutkami naruszania zasad bezpieczeństwa, odpowiedzialnością prawną.
  • stosowanie środków (programów komputerowych i systemów informatycznych) zapewniających bezpieczeństwo informacji oraz zabezpieczenie danych przed kradzieżą, nieuprawnionym dostępem i uszkodzeniem
  • wykrywanie prób nieautoryzowanego dostępu na etapie systemów operacyjnych, usług internetowych, programów, aplikacji i plików
  • ustanowienie zasad pozwalających na bezpieczną pracę na odległość i przy udziale urządzeń telekomunikacyjnych
  • ustanowienie zasad zgłaszania incydentów naruszenia bezpieczeństwa oraz wdrożenie mechanizmów dzięki którym można dokonać szybkich działań poprawiających stan bezpieczeństwa
  • kontrola zgodności systemów teleinformatycznych z obowiązującymi zasadami bezpieczeństwa;
  • okresowe audyty wewnętrzne w zakresie bezpieczeństwa danych i informacji, nie rzadziej niż raz na rok a także wdrożenie procedur po audytach, zgodnych z aktualnymi rozporządzeniami.

Adres:

38-400 Krosno, ul. Tysiąclecia 14 pok. 15 B

Formularz do wysyłania wiadomości

Odpowiemy tak szybko, jak to możliwe

logo-atfide-alfa-white

ATFIDE Sp. z o.o.

38-400 Krosno, ul. Tysiąclecia 14 pok. 15B

NIP: 6842651623, REGON: 382099880, 

KRS: 0000763708

Ichtys
×