Jakie obowiązki spoczywają na jednostkach oświatowych związane z wykorzystywanymi systemami informatycznymi? Co zaliczamy do wspomnianych systemów informatycznych? Co to jest CSIRT MON, CSIRT GOV i CSIRT NASK?
Jednostki oświatowe korzystające z systemów informatycznych zobowiązane są do utrzymania kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa poprzez wyznaczone osoby oraz zgłaszanie incydentów do adekwatnego urzędu, nie później niż w ciągu 24 godzin od momentu wykrycia.
Jednostki oświatowe będące jednostkami budżetowymi realizującymi zadanie publiczne zależne od systemów informatycznych, choćby takimi jak dziennik elektroniczny, zobowiązane są na podstawie ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa do wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa oraz przekazania danych wyznaczonej osoby (imię i nazwisko, numer telefonu oraz adres poczty elektronicznej) do adekwatnego zespołu reagowania na incydenty bezpieczeństwa komputerowego (CSIRT MON, CSIRT GOV oraz dedykowany, m.in. dla jednostek oświatowych CSIRT NASK), w terminie 14 dni od dnia jej wyznaczenia.
Jednostka samorządu terytorialnego może wyznaczyć jedną osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa w zakresie zadań publicznych zależnych od systemów informacyjnych, realizowanych przez jej jednostki organizacyjne. Oznacza to, iż np. gmina może wyznaczyć jedną osobę do kontaktu dla wszystkich swoich jednostek organizacyjnych.
Dodatkowo jednostki oświatowe korzystające z systemów informatycznych na mocy ustawy o krajowym systemie cyberbezpieczeństwa zobowiązane są do zgłaszania incydentów (zdarzeń, które mają lub mogą mieć niekorzystny wpływ na cyberbezpieczeństwo) do adekwatnego CSIRT MON, CSIRT NASK lub CSIRT GOV, nie później niż w ciągu 24 godzin od momentu wykrycia.
Niezależnie od dostawcy gotowego rozwiązania, jakim jest elektroniczny dziennik wykorzystywany przez jednostkę oraz zastosowanego w aplikacji standardu zabezpieczeń należy pamiętać, iż logowanie do programu odbywa się głównie z komputerów będących na wyposażeniu jednostki. Niezbędne jest zapewnienie wysokiego poziomu zabezpieczeń by uniemożliwić dostęp do danych osobom nieuprawnionym.
Po stronie jednostki spoczywa więc obowiązek zapewnienia adekwatnie zabezpieczonej sieci, odpowiedniego i zaktualizowanego oprogramowania, a także programów antywirusowych z aktualną bazą wirusów. Zachowanie bezpieczeństwa wspomogą również nowoczesne programy zabezpieczające przed zagrożeniami typu apt, malware, ransomware czy exploits.
Osoba odpowiedzialna za utrzymywanie kontaktów z krajowym systemem cyberbezpieczeństwa powinna dysponować odpowiednimi kompetencjami w zakresie bezpieczeństwa systemów informacyjnych oraz posiadać informacje o infrastrukturze IT w jednostce.
Najlepszymi kandydatami mogą być:
ASI - Administrator systemów informatycznych - zatrudniony przez szkołę specjalista IT lub zewnętrzna firma, która posiada wiedzę techniczną na temat zabezpieczeń systemów i może gwałtownie reagować na zagrożenia,
Dyrektor, wicedyrektor lub inna osoba z kadry kierowniczej szkoły, po odbyciu odpowiednich szkoleń dotyczących cyberbezpieczeństwa,
Nauczyciel informatyki - jako osoba znająca kwestie techniczne i bezpieczeństwo stosowanych systemów informacyjnych,
Pracownik urzędu gminy (w przypadku centralnego zarządzania IT w szkołach) - jako osoba odpowiedzialna za cyberbezpieczeństwo na poziomie jednostki samorządu terytorialnego, np. w urzędzie gminy.
Jeżeli nie dysponują Państwo specjalistą mającym odpowiednie kompetencje w zakresie bezpieczeństwa systemów informacyjnych oraz znającego infrastrukturę IT w Państwa jednostce, możemy pełnić taką funkcję BEZPŁATNIE w ramach dotychczasowej współpracy. Jedynym warunkiem reprezentowania Państwa przez nas będzie posiadanie wykonanego również przez nas, aktualnego raportu CMDB.
CMDB to angielski skrót, który oznacza Configuration Management Database, co można przetłumaczyć jako: baza danych zarządzania konfiguracją i jest to baza danych, która służy do przechowywania informacji o zasobach sprzętowych i programowych oraz relacji między nimi. Inne określenie CMDB to rejestr zasobów teleinformatycznych.
W CMDB rejestruje się dane dotyczące m.in.:
sprzętu komputerowego
oprogramowania
sieci
lokalizacji
dokumentacji
licencji
A zatem jest to repozytorium, które przechowuje informacje na temat elementów składowych tworzących infrastrukturę IT. Jego podstawowym celem jest możliwość kontrolowania stanu zasobów, w skład których wchodzą urządzenia, systemy, oprogramowanie czy licencje, celem podejmowania określonych decyzji we adekwatnym czasie. Dzięki prowadzeniu aktualnej bazy CMDB można chociażby stwierdzić, które licencje dobiegają końca, a które oprogramowanie czy sprzęt wymagają wymiany, gdyż nie spełniają już adekwatnie zadań, do których są wykorzystywane lub ich stosowanie nie jest bezpieczne.
Przeprowadzenie audytu i opracowanie raportu pozwoli otrzymać pełny obraz stanu infrastruktury sieciowej i komputerowej. Pokaże mocne i słabe strony systemu IT, dzięki czemu można będzie podjąć konkretne decyzje w celu zapewnienia adekwatnych standardów bezpieczeństwa. W przypadku zgłoszenia nas do kontaktu z podmiotem krajowego systemu cyberbezpieczeństwa będziemy mogli doradzać w sprawach bezpieczeństwa IT i tym samym utrzymywać wysoki poziom bezpieczeństwa danych, a opracowany i na bieżąco aktualizowany Raport CMDB, umożliwi nam wymianę informacji oraz obronę jednostki w przypadku naruszenia przed rządowym zespołem reagowania na incydenty związane z bezpieczeństwem komputerowym CSIRT NASK.
Zgłaszanie osób kontaktowych możliwe jest pod adresem: https://incydent.cert.pl/osoba-kontaktowa#!/lang=pl
UWAGA!
Przed zgłoszeniem osoby kontaktowej warto ustalić, czy gmina lub powiat nie wyznaczyły już osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa dla wszystkich swoich jednostek organizacyjnych.
MOŻNA SKORZYSTAĆ Z NASZEJ BEZPŁATNEJ POMOCY
Jeżeli jednostka nie posiada osoby z adekwatną wiedzą dot. procedur zgłaszania incydentów do wspomnianych instytucji (CSIRT MON, CSIRT NASK lub CSIRT GOV) lub nie jest na tyle dostępna by ewentualne incydenty zgłaszać nie później niż w ciągu 24 godzin od momentu wykrycia - możemy objąć taką funkcję bezpłatnie (po realizacji audytu CMDB).
Zapraszamy do zgłoszenia się w celu przeprowadzenia audytu CMDB. Zainteresowane jednostki, posiadające już gotowy raport CMDB otrzymają umowę, po której będzie możliwe zgłoszenie nas do systemu, bez dodatkowych opłat.
Zainteresowane placówki prosimy o kontakt: [email protected]
Tu można znaleźć więcej informacji o audycie CMDB, niezbędnym do skorzystania z naszej bezpłatnej pomocy
Dodatkowe informacje:
KRI - obowiązki i najczęstsze braki w placówkach
Analiza ryzyka w ochronie danych osobowych: Lekcja z utraty laptopa
IOD - Inspektor Ochrony Danych dla placówki oświatowej
Wszystkie ważne informacje dla oświaty
