W celu świadczenia usług na najwyższym poziomie stosujemy pliki cookies. Korzystanie z naszej witryny oznacza, że będą one zamieszczane w Państwa urządzeniu. W każdym momencie można dokonać zmiany ustawień Państwa przeglądarki. Zobacz politykę cookies.

System S46

Zgłoszenie incydentu

Jednym z podstawowych obowiązków wynikających z ustawy o krajowym systemie cyberbezpieczeństwa jest zgłaszanie incydentów do Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego, czyli do zespołów CSIRT.

  • Operatorzy usług kluczowych zgłaszają incydenty poważne do właściwego zespołu CSIRT poziomu krajowego, a jeżeli taki istnieje, to również do sektorowego zespołu cyberbezpieczeństwa (CSIRT sektorowy). Więcej informacji tutaj.
  • Dostawcy usług cyfrowych zgłaszają incydenty istotne do właściwego zespołu CSIRT poziomu krajowego. Więcej informacji tutaj.
  • Podmioty publiczne realizujące zadania publiczne zależne od systemu informacyjnego zgłaszają incydenty w podmiocie publicznym do właściwego zespołu CSIRT poziomu krajowego. Więcej informacji tutaj.

Faktycznie do zespołów CSIRT możesz zgłaszać również inne incydenty niż te kwalifikowane jako poważne, istotne lub incydenty w podmiocie publicznym. Jeżeli jesteś użytkownikiem Systemu S46, możesz zgłaszać incydenty za jego pomocą. Ponieważ nie jest to w tej chwili kanał obowiązkowy, możesz nadal korzystać z innych kanałów udostępnianych przez zespoły CSIRT.

Lista incydentów

W menu bocznym Systemu S46 wybierz zakładkę Incydenty, a następnie Lista incydentów. Jeżeli wcześniej twój podmiot zgłaszał incydenty za pomocą systemu, to na głównym ekranie wyświetli się lista zgłoszeń.

Listę tę możesz filtrować, grupować, eksportować do pliku JSON. Możesz również zdefiniować widoczne kolumny zawierające metadane zgłoszeń. Jedną z ważnych metadanych jest Status, który może znajdować się w stanach:

  • Nowy – wypełniony formularz zgłoszenia, widoczny tylko dla podmiotu, możliwy do dalszej edycji przed zgłoszeniem do zespołu CSIRT. Na tym etapie formularz zgłoszenia można jeszcze usunąć z listy.
  • Zgłoszony – zgłoszenie zostało przekazane do zespołu CSIRT.
  • Obsługiwany – zgłoszenie zostało przyjęte do obsługi przez zespół CSIRT.
  • Odrzucony – zgłoszenie zostało odrzucone przez zespół CSIRT. W sekcji Wiadomości w szczegółach zgłoszenia zobaczysz komentarz do odrzucenia. Odrzucenie zgłoszenia oznacza, że zespół CSIRT nie będzie się nim zajmował np. ze względu na zgłoszenie zdarzenia nie stanowiącego incydentu cyberbezpieczeństwa.
  • Niekompletny – zgłoszenie zostało ci odesłane przez zespół CSIRT w celu uzupełnienia informacji. W sekcji Wiadomości zobaczysz treść żądania. Uzupełnij informacje w formularzu zgłoszenia, zgodnie z dyspozycją zespołu CSIRT. Następnie zapisz i ponownie wyślij uzupełnione zgłoszenie.
  • Rozwiązany – obsługa zgłoszenia została zamknięta po stronie zespołu CSIRT.

Formularz zgłoszenia możesz edytować tylko w statusie Nowy lub Niekompletny czyli przed zgłoszeniem do zespołu CSIRT lub w przypadku gdy zostanie on zwrócony do uzupełnienia.

Szczegóły incydentu

Jeżeli na liście incydentów znajdują się już wcześniejsze zgłoszenia, to ich szczegóły możesz zobaczyć klikając w Tytuł zgłoszenia.

Na ekranie widoczne są sekcje:

  • Dane podstawowe – pola wypełniane w formularzu zgłoszenia np. kluczowe daty, klasyfikacja incydentu.
  • Dane kontaktowe – dane osoby, która dokonała zgłoszenia, oraz osoby wskazanej zespołowi CSIRT do kontaktu.
  • Opis – pola wypełniane w formularzu opisujące przedmiot zgłoszenia.
  • Historia obsługi – zapis kolejnych czynności wykonywanych na zgłoszeniu przez ciebie lub pracownika zespołu CSIRT.
  • Załączniki – zbiór załączników do formularza.
  • Wiadomości – zapis komunikacji pomiędzy tobą i zespołem CSIRT w kontekście zgłoszenia.
  • Metadane – m.in. ID zgłoszenia, Status.
  • Relacje z innymi obiektami.
  • Odnośniki.
  • Historia zmian formularza.

W górnej części ekranu po prawej stronie mogą znajdować się przyciski akcji np. Zapisz lub Wyślij uzupełnione (dostosowane do statusu w jakim znajduje się zgłoszenie). Znajduje się tam również przycisk Eksportuj, przy pomocy którego możesz zapisać szczegóły zgłoszenia incydentu w pliku DOCX. Z kolei przycisk +Napisz wiadomość służy jako kanał komunikacji z zespołem CSIRT w kontekście zgłoszenia. We wszystkich statusach po zgłoszeniu incydentu, czyli z wyłączeniem statusu Nowy, możesz wymieniać się wiadomościami z zespołem CSIRT. Przy pomocy tego kanału możesz przekazać dodatkowe informacje do zgłoszenia lub np. poprosić o zwrot formularza w celu uzupełnienia.

Zgłoś incydent

W widoku prezentującym listę incydentów naciśnij przycisk Zgłoś incydent znajdujący się u góry ekranu po prawej stronie. Otworzy się pusty formularz zgłoszenia incydentu, który wypełnij informacjami.

Zakres informacji podawanych w formularzu odpowiada wymaganiom dla zgłoszenia incydentu poważnego określonym w ustawie o krajowym systemie cyberbezpieczeństwa. Część pól oznaczona gwiazdką jest obowiązkowa.

  1. Wybierz podmiot zgłaszający. Najczęściej na rozwijanej liście znajdziesz tylko nazwę swojego podmiotu.
  2. Jeżeli zgłosiłeś usługi w Systemie S46, to zostaną one wylistowane na ekranie. Jeżeli zgłoszenie incydentu odnosi się do którejś z nich, to zaznacz ją na liście. Wpłynie to w dalszym etapie na domyślną listę adresatów zgłoszenia. W przypadku gdy usługa jest kluczowa, zgodnie z klasyfikacją ustawy o krajowym systemie cyberbezpieczeństwa, to do adresatów zostanie dodany właściwy CSIRT sektorowy.
  3. Określ klasyfikację incydentu. Jeżeli w kroku 2. wybrałeś jakąś usługę, to do wyboru masz Poważny lub Inny. Jeżeli nie wybrałeś usługi to możesz wybrać pomiędzy wariantami Istotny i Inny.
  4. Określ priorytet Niski, Normalny lub Wysoki według własnej oceny.
  5. Wybierz rodzaj incydentu w polu Taksonomia.
  6. Wskaż datę wystąpienia incydentu i datę jego wykrycia.
  7. Jeżeli w momencie dokonywania zgłoszenia obsługa incydentu po stronie podmiotu została zakończona, wskaż datę zakończenia. Jeżeli obsługa jest w trakcie, pozostaw pole Data zakończenia do późniejszego uzupełnienia.
  8. Wskaż osobę kontaktową dla zespołu CSIRT, z którą będzie można komunikować się w sprawie zgłaszanego incydentu. Na rozwijanej liście znajdziesz użytkowników posiadających konta w Systemie S46, ale możesz tam też podać dane innej osoby.
  9. Uzupełnij wymagane pola:
  • Tytuł
  • Liczba użytkowników usług/usługi, na które incydent miał wpływ
  • Czy incydent dotyczy dwóch lub większej liczby państw członkowskich Unii Europejskiej? Jeśli tak, jakich?
  • Skutki oddziaływania incydentu na systemy informacyjne
  • Opis przebiegu incydentu
  • Przyczyna zaistnienia incydentu
  • Podjęte działania naprawcze
  • Podjęte działania zapobiegawcze

Jeżeli w momencie dokonywania zgłoszenia nie posiadasz pełnych informacji w powyższym zakresie, napisz, że uzupełnisz te informacje później.

  1. W formularzu zgłoszenia możesz określić obszar geograficzny, na który oddziałuje incydent. Oddziaływanie to odnosi się do obszaru na którym niedostępne lub zakłócone zostały usługi świadczone przez twój podmiot.
  2. Jeżeli w kroku 2. wskazałeś na przynajmniej jedną z usług zgłoszonych w Systemie S46, uzupełnij dodatkowe pola związane z:
  • Opisem wpływu incydentu na usługę
  • Określeniem momentu wystąpienia wpływu na usługę w kontekście dostępności, integralności i poufności usługi
  • Określeniem aktualnego wpływu na usługę w powyższych 3 kontekstach
  • Określeniem przewidywanego najgorszego wpływu na usługę w powyższych 3 kontekstach.

Informacje podawane w tym kroku są wykorzystywane w zaimplementowanej w Systemie S46 metodyce analizy ryzyka.

  1. Po wypełnieniu formularza u góry ekranu po prawej stronie kliknij przycisk Zapisz. Formularz będzie już widoczny dla użytkowników w twoim podmiocie. Na tym etapie możesz jeszcze usunąć formularz.
  2. Jeżeli jesteś zdecydowany wysłać zgłoszenie do zespołu CSIRT, kliknij przycisk Wyślij zgłoszenie. Otworzy się okienko adresatów. Domyślnie jako adresat jest wybrany zespół CSIRT poziomu krajowego, który został przypisany do twojego podmiotu na etapie konfiguracji przestrzeni. Jeżeli w kroku 2. wskazałeś usługę kluczową zgodnie z klasyfikacją ustawy o krajowym systemie cyberbezpieczeństwa, to jako adresat zostanie wybrany również odpowiedni CSIRT sektorowy. Dodatkowo możesz wybrać inne sektorowe zespoły CSIRT, ale to najczęściej nie będzie konieczne. Na koniec wciśnij przycisk Wyślij. Incydent zmienił status na Zgłoszony i jest już widoczny dla adresatów.

W trakcie obsługi zgłoszenia incydentu możesz komunikować się z zespołem CSIRT przy użyciu funkcji +Napisz wiadomość. Jeżeli zespół CSIRT przyśle ci wiadomość, odrzuci lub zwróci do uzupełnienia zgłoszenie, otrzymasz o tym systemowe powiadomienie. Zapis komunikacji znajdziesz w sekcji Wiadomości w widoku szczegółów incydentu.

Znak Krajowego Planu Odbudowy, barwy Rzeczypospolitej Polskiej, znak Next Generations EU.

{"register":{"columns":[]}}