Wyznaczanie osób do kontaktów z CSIRT poziomu krajowego
Rekomendacje CSIRT NASK oraz CSIRT GOV
Ustawa o krajowym systemie cyberbezpieczeństwa
Zgodnie z Ustawą o krajowym systemie cyberbezpieczeństwa operatorzy usług kluczowych mają wyznaczyć osobę odpowiedzialną za kontakty z podmiotami krajowego systemu cyberbezpieczeństwa (art 9 ust 1 pkt 1). Również podmioty publiczne, organy administracji publicznej i jednostki samorządu terytorialnego wyznaczają osobę odpowiedzialną za kontakty z podmiotami krajowego sytemu cyberbezpieczeństwo (art 21 ust 1-3).
Ustawa nie wymienia wprost zadań osoby kontaktowej. Jednak z uwagi na inne zapisy, odnoszące się do współpracy CSIRT z operatorami usług kluczowych, podmiotami publicznymi, organami administracji publicznej i jednostkami samorządu terytorialnego, można wydzielić dwie kategorie zadań:
- Zadania związane ze współpracą w przypadku obsługi incydentu.
- Zadania związane z przyjmowaniem informacji na temat incydentów i ryzyk.
Zadania związane ze współpracą w przypadku obsługi incydentu
W przypadku operatorów usług kluczowych, ustawa wprowadza obowiązek:
- obsługi incydentu;
- zapewnienia dostępu do informacji o rejestrowanych incydentach właściwemu CSIRT MON, CSIRT NASK lub CSIRT GOV w zakresie niezbędnym do realizacji jego zadań;
- zgłaszania incydentu poważnego niezwłocznie, nie później niż w ciągu 24 godzin od momentu jego wykrycia;
- współpracy podczas obsługi incydentu poważnego i krytycznego z CSIRT MON, CSIRT NASK i CSIRT GOV, a także usuwanie podatności (art 11 ust 1).
W przypadku podmiotów publicznych, organów administracji publicznej i jednostek samorządu terytorialnego, ustawa wprowadza obowiązek:
- zarządzania incydentem;
- zgłaszania incydentu w podmiocie publicznym niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia, do właściwego CSIRT poziomu krajowego;
- zapewnienia obsługi incydentu w podmiocie publicznym i incydentu krytycznego.
Ważne: podczas czynności prowadzonych przez CSIRT poziomu krajowego, operatorzy mogą kontaktować się z wyznaczoną osobą, żeby przekazać lub pozyskać informacje.
Zadania związane z przyjmowaniem informacji na temat incydentów i ryzyk
Ustawa zobowiązuje CSIRT poziomu krajowego do przekazywania informacji o incydentach i ryzykach podmiotom krajowego systemu cyberbezpieczeństwa oraz do wydawania komunikatów o zidentyfikowanych zagrożeniach cyberbezpieczeństwa (art 26 ust 3 pkt 3-4).
Ważne: aby przekazać takie informacje podmiotom krajowego systemu cyberbezpieczeństwa, CSIRT poziomu krajowego będą się kontaktować z osobą wyznaczoną do kontaktów.
Osoba do kontaktów, a struktura organizacji
Ustawa nie określa gdzie w strukturze organizacji powinna zostać powołana osoba do kontaktów. Jednak z uwagi na realizowane zadania, zalecamy aby była to osoba:
- dyspozycyjna – tak aby w przypadku incydentu lub zagrożenia można było z nią sprawnie i szybko nawiązać kontakt. Zwłaszcza po godzinach pracy instytucji;
- decyzyjna – tak aby w razie potrzeby mogła podjąć decyzję o przekazaniu/udostępnieniu informacji niezbędnych do obsługi incydentu oraz podjąć działania rekomendowane przez CSIRT poziomu krajowego lub wydać konkretne polecenia w organizacji;
- technicznym zrozumieniu tematu – tak aby mieć łatwość komunikacji z CSIRT poziomu krajowego. Nie oznacza to jednak że musi być osobą techniczną;
- o silnie rozwiniętej sieci kontaktów wewnętrznych w organizacji.
Rola osoby do kontaktów może być pełniona równolegle z innymi, takimi jak np. pełnomocnik ds. bezpieczeństwa informacji czy Inspektor Ochrony Danych Osobowych.
Osoba do kontaktów, a zgłaszanie incydentów
Osoba do kontaktów nie jest jedyną osobą, która może zgłosić incydent. Incydent może zgłosić dowolna osoba z organizacji. Po zgłoszeniu incydentu, w celu uzupełnienia informacji na jego temat, CSIRT poziomu krajowego kontaktuje się z osobą zgłaszającą incydent. W niektórych przypadkach może się kontaktować również z osobą wyznaczoną do kontaktów.
Współpraca z podmiotami świadczącymi usługi z zakresu cyberbezpieczeństwa
Jeśli za reagowanie na incydenty w danej instytucji, urzędzie lub organizacji odpowiada firma zewnętrzna świadcząca usługi z zakresu cyberbezpieczeństwa, to CSIRT powinien otrzymać także informacje o osobie kontaktowej z takiej firmy. Podczas obsługi incydentu CSIRT poziomu krajowego będzie się kontaktować przede wszystkim z podmiotem zobowiązanym do zgłaszania incydentów, ale w szczególnych przypadkach (m.in. w sprawach niecierpiących zwłoki) może kontaktować się też z osobą kontaktową z podmiotu świadczącego usługi z zakresu cyberbezpieczeństwa.
Jak zgłosić osobę do kontaktów?
CSIRT NASK – zgłoś osobę na stronie https://incydent.cert.pl/osoba-kontaktowa. Uzupełnij formularz i wygeneruj plik PDF. Następnie podpisz dokument elektronicznie lub tradycyjnie i wyślij odpowiednio na skrzynkę ePUAP (Naukowa i Akademicka Sieć Komputerowa PIB) lub na adres NASK-PIB podany w piśmie.
CSIRT GOV – zgłoś osobę na stronie https://csirt.gov.pl/cer/zgloszenie-osob-do-kont/961,Zgloszenie-osob-do-kontaktow-z-CSIRT-GOV.html. Uzupełnij formularz i prześlij go na adres incydent@csirt.gov.pl wpisując w temacie wiadomości "<formularz zgłoszenia osób wyznaczonych do kontaktów z CSIRT GOV + skrócona nazwa instytucji>", której zgłoszenie dotyczy.
CSIRT MON – informacje możesz uzyskać na stronie http://csirt-mon.wp.mil.pl.
Jeśli chcesz wskazać tylko jedną osobę, pamiętaj o przekazaniu danych osoby zastępującej ją na czas nieobecności.
Jeśli wskazujesz więcej niż jedną osobę, postaraj określić zakres ich kompetencji (np. obsługa incydentu, przekazywanie informacji o zagrożeniach).
Rekomendujemy stworzenie adresu kontaktKSC@domena_organizacji, przez który będą się kontaktować CSIRT poziomu krajowego.
Podsumowanie
- Wyznacz osobę do kontaktów. CSIRT poziomu krajowego będzie kontaktować się z nią podczas obsługi incydentu lub by uzyskać bądź przekazać informacje.
- Ważne, aby była to osoba: dyspozycyjna, decyzyjna, o technicznym zrozumieniu tematu i rozległej sieci kontaktów wewnętrznych.
- Incydent może zgłosić każda osoba w organizacji.
- Jeśli za reagowanie na incydenty w twojej organizacji odpowiada firma zewnętrzna świadcząca usługi z zakresu cyberbezpieczeństwa, to CSIRT powinien otrzymać także informacje o osobie kontaktowej z takiej firmy.
- Rekomendujemy stworzenie adresu kontaktKSC@domena_organizacji, przez który będą się kontaktować CSIRT poziomu krajowego.