Kiedy mamy do czynienia z incydentem bezpieczeństwa teleinformatycznego

Incydent bezpieczeństwa teleinformatycznego – co trzeba wiedzieć

Zacznijmy od definicji incydentu, zgodnie z rozporządzeniem w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego incydent jest to pojedyncze zdarzenie lub seria zdarzeń, związanych z bezpieczeństwem informacji niejawnych, które zagrażają ich poufności, dostępności lub integralności. Należy zauważyć, że incydent dotyczy zarówno poufności jaki i integralności  i dostępności. Nie tylko ujawnienie informacji jest incydentem, ale z definicji wynika, że może to być także modyfikacja informacji oraz brak dostępności informacji. Dodać trzeba, że incydent dotyczy nie tylko informacji, ale szeroko rozumianych zasobów systemu teleinformatycznego, takich jak: osoby, usługi, oprogramowanie, dane, sprzęt i inne elementy mające wpływ na bezpieczeństwo informacji. Incydentem może być zatem na przykład sytuacja braku dostępności systemu teleinformatycznego, na pewno będzie to incydent dla systemów bezpieczeństwa publicznego, których niedostępność może spowodować zagrożenie porządku publicznego, np. Policja nie będzie miała dostępu do systemu, w którym prowadzone są analizy kryminalne. W części przypadków dostępność nie będzie miała takiego znaczenia, jesteśmy w stanie zaakceptować niedostępność systemu przeznaczonego do pisania dokumentów przez kilka godzin lub nawet dni. Przestój taki nie spowoduje szkody, nie będzie to traktowane jako incydent.

Działania wykonywane po wykryciu incydentu

Wykaz incydentów, procedury działania w przypadku pojawienia się incydentów powinny być zdefiniowane w dokumentacji bezpieczeństwa SWB i PBE. Przed incydentami musimy się chronić, zgodnie z w/w rozporządzeniem system teleinformatyczny należy wyposażyć w mechanizmy zapobiegające incydentom. System należy wyposażyć w mechanizmy umożliwiające wykrywanie incydentów bezpieczeństwa i zapewniające niezwłoczne informowanie odpowiednich osób. Niezwłocznie znaczy bez zbędnych opóźnień, czyli najszybciej jak się da drogą formalną (staramy się ograniczyć do minimum biurokratyzację). Pierwszą osobą, która powinna zostać poinformowana zgodnie jest inspektor bezpieczeństwa teleinformatycznego, który odpowiada za bieżącą kontrolę systemu, poinformowany powinien być także administrator systemu. W przypadku istotnych incydentów bezpieczeństwa teleinformatycznego poinformować należy pełnomocnika do spraw ochrony informacji niejawnych. Niezwłoczne przekazanie informacji o incydencie pozwoli na szybką reakcję administratora systemu i inspektora. Administrator będzie mógł zablokować możliwe niepożądane działania wynikające z incydentu, takie jak niszczenie danych, wyciek informacji. W przypadku zaistnienia istotnego incydentu bezpieczeństwa teleinformatycznego należy przeprowadzić szacowanie ryzyka.

Dokumentacja incydentu bezpieczeństwa teleinformatycznego

W systemie przetwarzającym informacje niejawne należy prowadzić rejestr incydentów bezpieczeństwa. Każdy incydent musi być odnotowany wraz z informacją o wynikach postępowania wyjaśniającego. Każdy incydent dokumentujemy. Zazwyczaj procedury bezpiecznej eksploatacji powinny zawierać jakieś wzory meldunków zgłaszania i wyjaśniania incydentów. Szablon powinien zawierać następujące dane: kto zawiadamia o wystąpieniu incydentu, kogo zawiadamia, data zawiadomienia, czego dotyczy incydent, wyjaśnienia poczynione w toku postępowania, przyczyna incydentu, działania naprawcze.

Kogo należy powiadomić w przypadku wystąpienia incydentu bezpieczeństwa teleinformatycznego

W przypadku stwierdzenie naruszenia przepisów o ochronie informacji niejawnych o klauzuli „poufne” lub wyższej pełnomocnik ochrony zawiadamia ABW i oczywiście kierownika jednostki organizacyjnej. W przypadku stwierdzenie naruszenia przepisów o ochronie informacji niejawnych o klauzuli „zastrzeżone” zawiadamiany jest wyłącznie kierownik jednostki organizacyjnej, nie trzeba zawiadamiać ABW.

Incydent w systemach międzynarodowych m.in. NATO, UE

Jak jest w przypadku informacji niejawnych UE i NATO. W przypadku informacji UE i NATO naruszenia przepisów niezależnie od klauzuli oznacza konieczność zawiadomienia ABW, czyli dla klauzuli Restriced i wyższej.