Role i Odpowiedzialności w SZBI
Macierz RACI oraz opisy stanowisk kluczowych dla cyberbezpieczeństwa
1. Wymaganie KSC – Osoba odpowiedzialna za cyberbezpieczeństwo
⚠️
Wymóg art. 8 ust. 3 KSC (nowelizacja): Operator usługi kluczowej/ważnej wyznacza osobę odpowiedzialną za cyberbezpieczeństwo. Osoba ta musi posiadać odpowiednią wiedzę i kompetencje. Dane osoby należy zgłosić do właściwego CSIRT.
⚠ OBOWIĄZKOWE – dane osoby odpowiedzialnej za cyberbezpieczeństwo
| Pole | Wartość |
|---|---|
| Imię i nazwisko | ▸ [Imię Nazwisko] |
| Stanowisko | ▸ [np. CISO, Inspektor ds. Cyberbezpieczeństwa, Kierownik IT ds. Bezpieczeństwa] |
| Jednostka organizacyjna | ▸ [np. Departament IT / Dział Bezpieczeństwa] |
| Telefon służbowy | ▸ [+48 XXX XXX XXX] |
| E-mail służbowy | ▸ [[email protected]] |
| Zastępca (jeśli dotyczy) | ▸ [Imię Nazwisko] |
| Data wyznaczenia | ▸ DD.MM.RRRR |
| Zgłoszono do CSIRT | ▸ [TAK / NIE – data zgłoszenia] |
2. Struktura Ról Bezpieczeństwa w Organizacji
Organizacja definiuje następujące role związane z cyberbezpieczeństwem:
2.1 Organ kierowniczy / Zarząd
▸ Organizacja uzupełnia – skład zarządu odpowiedzialnego za cyberbezpieczeństwo
| Imię i Nazwisko | Stanowisko | Zakres odpowiedzialności za cyberbezpiecz. |
|---|---|---|
| ▸ | ▸ Prezes/CEO | Ogólna odpowiedzialność, zatwierdzanie polityk, budżet |
| ▸ | ▸ [Wiceprezes / inny] | ▸ |
2.2 CISO / Osoba odpowiedzialna za cyberbezpieczeństwo
Zakres obowiązków:
- Opracowanie, wdrożenie i utrzymanie SZBI,
- Koordynacja oceny ryzyka (DOC-002/003),
- Nadzór nad wykrywaniem i obsługą incydentów (DOC-005/006/007),
- Raportowanie stanu bezpieczeństwa do zarządu co najmniej ▸ [co kwartał]min. co rok,
- Kontakt z CSIRT sektorowym i właściwymi organami,
- Organizacja i nadzór nad szkoleniami (DOC-017),
- Udział w przeglądach BCP i testach ciągłości działania.
Wymagane kompetencje: ▸ [np. CISSP / CISM / CISA / doświadczenie min. X lat w cyberbezpieczeństwie]
2.3 Administrator Systemu / Administrator Bezpieczeństwa
▸ Organizacja uzupełnia – lista administratorów
| Imię i Nazwisko | System / zakres | Poziom uprawnień | Kontakt |
|---|---|---|---|
| ▸ | ▸ [AD / serwery / sieć / OT] | ▸ Administrator domenowy | ▸ |
| ▸ | ▸ | ▸ | ▸ |
2.4 Właściciele Systemów (System Owner)
Dla każdego kluczowego systemu informacyjnego wyznaczany jest właściciel biznesowy. Pełna lista w DOC-020 Rejestr Aktywów.
Obowiązki właściciela systemu:
- Klasyfikacja informacji przetwarzanych w systemie (DOC-010),
- Zatwierdzanie dostępów do systemu,
- Definiowanie wymagań RTO/RPO (DOC-011),
- Akceptacja ryzyk rezydualnych dla systemu (DOC-003).
2.5 Użytkownicy końcowi
Wszyscy pracownicy, współpracownicy i kontrahenci mający dostęp do systemów organizacji. Obowiązki określone w sekcji 4.5 DOC-001.
2.6 Zespół Reagowania na Incydenty (CERT wewnętrzny)
▸ Organizacja uzupełnia – skład zespołu IR
| Rola w IR | Imię i Nazwisko | Stanowisko | Kontakt (24/7) |
|---|---|---|---|
| Koordynator IR (Incident Commander) | ▸ | ▸ CISO / Manager IT | ▸ |
| Analityk bezpieczeństwa | ▸ | ▸ | ▸ |
| Administrator systemów | ▸ | ▸ | ▸ |
| Rzecznik prasowy / komunikacja | ▸ | ▸ | ▸ |
| Radca prawny | ▸ | ▸ | ▸ |
3. Macierz RACI – Funkcje Cyberbezpieczeństwa
Klucz RACI:
R Responsible – wykonuje zadanie |
A Accountable – odpowiada (jeden per zadanie) |
C Consulted – konsultowany |
I Informed – informowany
▸ Uzupełnij nazwiska/stanowiska w nagłówkach kolumn
Nagłówki kolumn macierzy zawierają role – uzupełnij je imionami/nazwiskami lub skrótami stanowisk obowiązującymi w organizacji.
| Funkcja / Zadanie | Zarząd ▸ [imię] |
CISO ▸ [imię] |
Admin IT ▸ [imię] |
Właśc. systemu |
HR ▸ [imię] |
Użytk. końcowy |
Audytor ▸ [imię] |
Dost. zewn. |
|---|---|---|---|---|---|---|---|---|
| ZARZĄDZANIE SZBI | ||||||||
| Zatwierdzenie Polityki Bezpieczeństwa (DOC-001) | A | R | C | I | I | I | C | |
| Przegląd SZBI (min. raz w roku) | A | R | C | C | I | I | R | |
| Raportowanie bezpieczeństwa do zarządu | A | R | C | I | C | |||
| Zapewnienie budżetu na bezpieczeństwo | A | R | I | I | ||||
| ZARZĄDZANIE RYZYKIEM (DOC-002, DOC-003) | ||||||||
| Identyfikacja i ocena ryzyk | C | A | R | R | C | C | ||
| Akceptacja ryzyk wysokich i krytycznych | A | R | I | C | ||||
| Aktualizacja Rejestru Ryzyk | I | A | R | C | C | |||
| Realizacja Planów Postępowania z Ryzykiem | I | A | R | R | C | I | R | |
| ZARZĄDZANIE INCYDENTAMI (DOC-005, 006, 007) | ||||||||
| Zgłoszenie podejrzanego zdarzenia | I | A | R | R | R | |||
| Klasyfikacja i ocena incydentu | I | A | R | C | ||||
| Powiadomienie CSIRT (24h/72h) | I | A | R | |||||
| Powiadomienie zarządu o poważnym incydencie | A | R | I | I | ||||
| Reagowanie i zawieranie incydentu | I | A | R | C | R | |||
| Dokumentacja i raport post-incydentowy | I | A | R | I | C | |||
| KONTROLA DOSTĘPU (DOC-008) | ||||||||
| Nadawanie uprawnień dostępu | A | R | C | R | ||||
| Przegląd uprawnień (min. raz w roku) | I | A | R | R | C | C | ||
| Wdrożenie MFA | I | A | R | C | ||||
| Zarządzanie kontami uprzywilejowanymi (PAM) | I | A | R | C | C | |||
| CIĄGŁOŚĆ DZIAŁANIA (DOC-011, 012) | ||||||||
| Utrzymanie i aktualizacja BCP | C | A | R | R | C | |||
| Testy BCP/DRP (min. raz w roku) | I | A | R | R | C | |||
| Backup danych i testy odtwarzania | I | A | R | C | ||||
| SZKOLENIA I ŚWIADOMOŚĆ (DOC-017) | ||||||||
| Opracowanie programu szkoleń | I | A | C | R | ||||
| Szkolenia obligatoryjne zarządu (min. raz/rok) | R | A | R | |||||
| Szkolenia pracowników (min. raz/rok) | I | A | C | I | R | R | ||
| AUDYT I ZGODNOŚĆ (DOC-021) | ||||||||
| Planowanie i realizacja audytów wewnętrznych | I | A | C | C | R | |||
| Raportowanie wyników audytu do zarządu | A | R | I | R | ||||
| Realizacja zaleceń poaudytowych | I | A | R | R | R | C | ||
4. Kontakty Awaryjne i Zewnętrzne
⚠ Krytyczne – kontakty 24/7 wymagane przez KSC
| Podmiot | Kontakt | Cel |
|---|---|---|
| CSIRT NASK (dla podmiotów komercyjnych) | [email protected] | +48 22 38 08 274 | Zgłoszenie incydentu cyberbezpieczeństwa |
| CSIRT GOV (dla admin. rządowej) | [email protected] | +48 22 58 08 600 | Zgłoszenie incydentu |
| CSIRT MON (dla sektora obronności) | [email protected] | Zgłoszenie incydentu |
| CSIRT Sektorowy | ▸ [dane właściwego CSIRT sektorowego dla Twojej branży] | Zgłoszenie incydentu sektorowego |
| UODO (naruszenia ochrony danych) | [email protected] | +48 22 531 03 00 | Zgłoszenie naruszenia ochrony danych osobowych (72h) |
| Organy ścigania | ▸ [telefon jednostki policji / CBZC / ABW] | Zgłoszenie cyberprzestępstwa |
| Ubezpieczyciel cyber | ▸ [dane ubezpieczyciela, numer polisy] | Zgłoszenie szkody cybernetycznej |
| Zewnętrzny CERT / IR | ▸ [dostawca usług IR, dane kontaktowe] | Wsparcie w obsłudze poważnego incydentu |
| Wewnętrzna linia alarmowa | ▸ [nr wewnętrzny / adres e-mail do zgłaszania incydentów] | Zgłoszenie przez pracowników |
5. Historia Zmian
| Wersja | Data | Autor | Opis | Zatwierdził |
|---|---|---|---|---|
| ▸ 1.0 | ▸ DD.MM.RRRR | ▸ | ▸ Pierwsze wydanie | ▸ Zarząd |
DOC-004 Role i Odpowiedzialności | v1.0 | NIS2/KSC