Rejestr Ryzyk Cyberbezpieczeństwa
Centralny rejestr zidentyfikowanych ryzyk, ocen i planów postępowania
Legenda Rejestru
R 1–6 Niskie – Akceptowalne
R 7–12 Średnie – Monitorowane
R 13–16 Wysokie – Leczenie wymagane
R 17–25 Krytyczne – Pilne działanie
P = Prawdopodobieństwo (1–5), W = Wpływ (1–5), R = Ryzyko brutto (P×W), Rr = Ryzyko rezydualne po uwzględnieniu zabezpieczeń.
ℹ️
Każdy wiersz oznaczony żółtym lub czerwonym należy wypełnić danymi organizacji. Wiersze demonstracyjne (R-001 do R-010) zawierają przykładowe ryzyka typowe dla podmiotów KSC – organizacja weryfikuje je, usuwa nieadekwatne i dodaje własne.
Rejestr Ryzyk – Tabela Główna
Ryzyka R-001 do R-010: przykłady typowe dla podmiotów KSC. R-011+: ryzyka własne organizacji.
| ID | Aktywo / System | Zagrożenie | Podatność | P | W | R | Istniejące zabezpieczenia | Rr | Strategia | Plan postępowania / Środek | Właściciel | Termin | Status |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| R-001 | Systemy OT/SCADA (usługi kluczowe) | Ransomware – szyfrowanie systemów operacyjnych | Brak segmentacji IT/OT, brak aktualizacji | 4 | 5 | 20 | Antywirus (podstawowy) | 16 | Modyfikacja | ▸ [Segmentacja sieci, EDR dla OT, aktualizacje, backup offline] | ▸ [Administrator/CISO] | ▸ DD.MM.RRRR | ▸ [Otwarte/W toku/Zamknięte] |
| R-002 | Konta uprzywilejowane (AD, serwery) | Przejęcie konta administratora – atak credential stuffing / spear phishing | Brak MFA, słabe hasła, współdzielone konta | 4 | 5 | 20 | Polityka haseł (min. 8 znaków) | 16 | Modyfikacja | ▸ [Wdrożenie MFA dla wszystkich kont uprzywilejowanych, PAM] | ▸ [Administrator/CISO] | ▸ | ▸ |
| R-003 | Strona internetowa / portal klientów | Atak DDoS – niedostępność usług | Brak ochrony anty-DDoS, pojedynczy dostawca łącza | 3 | 4 | 12 | Firewall podstawowy | 12 | Modyfikacja | ▸ [Usługa anty-DDoS u operatora lub CDN, redundancja łącza] | ▸ [Administrator sieci] | ▸ | ▸ |
| R-004 | Poczta elektroniczna / użytkownicy | Phishing – wyłudzenie danych lub instalacja złośliwego oprogramowania | Brak szkoleń, brak filtrowania poczty, brak DMARC | 5 | 3 | 15 | Filtr spam podstawowy | 12 | Modyfikacja | ▸ [Szkolenia phishing awareness, wdrożenie DMARC/DKIM/SPF, zaawansowany filtr poczty] | ▸ [CISO / IT] | ▸ | ▸ |
| R-005 | Dane klientów / baza danych | Wyciek danych – SQL injection lub nieautoryzowany dostęp | Brak WAF, stare wersje silnika DB, nadmiarowe uprawnienia | 3 | 5 | 15 | Szyfrowanie danych w spoczynku | 10 | Modyfikacja | ▸ [WAF, aktualizacja DB, przegląd uprawnień, monitorowanie zapytań] | ▸ [DBA / CISO] | ▸ | ▸ |
| R-006 | Systemy backup / kopie zapasowe | Zniszczenie/zaszyfrowanie kopii zapasowych przez ransomware | Kopie online, brak izolacji, nieprzetestowane odtwarzanie | 3 | 4 | 12 | Codzienne kopie zapasowe | 8 | Modyfikacja | ▸ [Kopia offline (air-gap), zasada 3-2-1, kwartalne testy odtwarzania] | ▸ [Administrator] | ▸ | ▸ |
| R-007 | Dostawcy i usługi zewnętrzne | Kompromitacja organizacji przez dostawcę IT (supply chain attack) | Brak oceny bezpieczeństwa dostawców, szerokie uprawnienia zdalnego dostępu | 2 | 5 | 10 | Umowy NDA z dostawcami | 8 | Modyfikacja | ▸ [Ocena bezpieczeństwa dostawców wg DOC-015, PAM dla dostępu zdalnego] | ▸ [CISO / Zakupy] | ▸ | ▸ |
| R-008 | Pracownicy / zasoby ludzkie | Insider threat – celowe lub nieumyślne ujawnienie danych przez pracownika | Brak monitorowania aktywności, brak offboarding procedure | 2 | 4 | 8 | Umowy poufności (NDA) | 6 | Modyfikacja | ▸ [Procedura offboardingu DOC-016, DLP, monitoring uprzywilejowanych] | ▸ [HR / CISO] | ▸ | ▸ |
| R-009 | Serwerownia / infrastruktura fizyczna | Nieuprawniony dostęp fizyczny do serwerowni | Niewystarczająca kontrola dostępu fizycznego | 2 | 3 | 6 | Zamek, lista uprawnionych osób | 4 | Modyfikacja | ▸ [Dostęp na kartę, CCTV, rejestr wejść wg DOC-018] | ▸ [Facility Manager] | ▸ | ▸ |
| R-010 | Certyfikaty SSL/TLS | Wygaśnięcie certyfikatu – niedostępność usług HTTPS | Brak monitorowania ważności certyfikatów | 3 | 2 | 6 | Ręczna kontrola raz w roku | 3 | Akceptacja | ▸ [Automatyczny monitoring certyfikatów, powiadomienia 30/7 dni przed wygaśnięciem] | ▸ [Administrator] | ▸ | ▸ |
| R-011 | ▸ | ▸ | ▸ | ▸ | ▸ | ▸ | ▸ | ▸ | ▸ | ▸ | ▸ | ▸ | ▸ |
| R-012 | ▸ | ▸ | ▸ | ▸ | ▸ | ▸ | ▸ | ▸ | ▸ | ▸ | ▸ | ▸ | ▸ |
| R-013 | ▸ | ▸ | ▸ | ▸ | ▸ | ▸ | ▸ | ▸ | ▸ | ▸ | ▸ | ▸ | ▸ |
Akceptacja Ryzyk Rezydualnych
Poniższe ryzyka rezydualne zostały świadomie zaakceptowane przez upoważnionych decydentów:
| ID Ryzyka | Ryzyko rezydualne (Rr) | Uzasadnienie akceptacji | Akceptował | Data | Data przeglądu |
|---|---|---|---|---|---|
| ▸ R-XXX | ▸ [wartość] | ▸ [koszt zabezpieczenia nieproporcjonalny / ryzyko w granicach apetytu] | ▸ [Imię Nazwisko, stanowisko] | ▸ DD.MM.RRRR | ▸ DD.MM.RRRR |
Podsumowanie Rejestru
| Poziom ryzyka | Liczba ryzyk brutto | Liczba ryzyk rezydualnych | Trend |
|---|---|---|---|
| Krytyczne (17–25) | ▸ | ▸ | ▸ [↑ / ↓ / →] |
| Wysokie (13–16) | ▸ | ▸ | ▸ |
| Średnie (7–12) | ▸ | ▸ | ▸ |
| Niskie (1–6) | ▸ | ▸ | ▸ |
| RAZEM | ▸ | ▸ |
Komentarz CISO do aktualnego stanu ryzyk
▸ CISO wypełnia przy każdej aktualizacji
▸ [Opis aktualnej sytuacji, najważniejszych ryzyk, postępu w realizacji PPR, zmian w krajobrazie zagrożeń]
Historia Zmian Rejestru
| Wersja | Data | Autor | Opis zmian |
|---|---|---|---|
| ▸ 1.0 | ▸ DD.MM.RRRR | ▸ Imię Nazwisko | ▸ Pierwsze wydanie – ryzyka przykładowe R-001–R-010 |
| ▸ | ▸ | ▸ | ▸ |
DOC-003 Rejestr Ryzyk | v1.0 | NIS2/KSC