Procedura Zgłaszania Incydentów Cyberbezpieczeństwa
Krok po kroku: od wykrycia do raportu końcowego – terminy 24h / 72h / 1 miesiąc
🚨 KARTA SZYBKIEGO REAGOWANIA – INCYDENT P1/P2
ZGŁOŚ NATYCHMIAST DO:
▸ CISO: [telefon 24/7]
▸ Helpdesk: [numer wewnętrzny]
NIE ROBIMY:
✗ Nie usuwamy logów ani plików
✗ Nie informujemy mediów bez zgody
✗ Nie wyłączamy systemów bez zgody CISO
✗ Nie informujemy mediów bez zgody
✗ Nie wyłączamy systemów bez zgody CISO
CSIRT (poważny incydent):
[email protected] | +48 22 38 08 274
UODO (naruszenie danych os.):
[email protected] | 72h
1. Zakres i Zastosowanie
Niniejsza procedura opisuje szczegółowe kroki, formularze i terminy wymagane przy zgłaszaniu incydentów cyberbezpieczeństwa do wewnętrznych i zewnętrznych interesariuszy. Stosuje się ją łącznie z DOC-005 (klasyfikacja, definicje) oraz DOC-007 (obsługa techniczna).
Procedura obowiązuje dla wszystkich incydentów zarejestrowanych przez organizację. Obowiązek zgłoszenia do CSIRT dotyczy wyłącznie poważnych incydentów (poziom P1 i wybrane P2 wg kryteriów z DOC-005 pkt 2.3).
2. Oś Czasu Zgłaszania – Poważny Incydent
T+0 – Wykrycie incydentu
Zdarzenie wykryte / zgłoszone
Pracownik, system SIEM, alert IDS/IPS lub dostawca wykrywa incydent. Natychmiastowe zgłoszenie do CISO. Uruchomienie Formularza Wstępnego (Załącznik A).
T+1h – Wstępna ocena
CISO: ocena i klasyfikacja
Czy to poważny incydent w rozumieniu KSC? Jeśli TAK → zegar 24h startuje. Uruchomienie Planu Reagowania (DOC-007).
T+24h – WCZESNE OSTRZEŻENIE (OBOWIĄZKOWE)
Zgłoszenie do właściwego CSIRT
Kanał: [email protected] (CSIRT NASK) lub właściwy CSIRT sektorowy.
Zawartość: informacja o incydencie, wskazanie wpływu transgranicznego (jeśli dotyczy).
Użyć Formularza Wczesnego Ostrzeżenia (Załącznik B).
Zawartość: informacja o incydencie, wskazanie wpływu transgranicznego (jeśli dotyczy).
Użyć Formularza Wczesnego Ostrzeżenia (Załącznik B).
T+72h – ZGŁOSZENIE INCYDENTU (OBOWIĄZKOWE)
Pełne zgłoszenie do CSIRT + UODO (jeśli naruszenie danych)
Zawartość: ocena incydentu, klasyfikacja dotkliwości, wpływ na usługi, wskaźniki IoC, podjęte działania.
Użyć Formularza Zgłoszenia Incydentu (Załącznik C).
Równolegle: zgłoszenie do UODO jeśli naruszenie danych osobowych.
Użyć Formularza Zgłoszenia Incydentu (Załącznik C).
Równolegle: zgłoszenie do UODO jeśli naruszenie danych osobowych.
T+1 miesiąc – RAPORT KOŃCOWY
Raport końcowy do CSIRT
Pełny opis: pierwotna przyczyna (RCA), chronologia, działania zaradcze, środki zapobiegawcze.
Użyć Formularza Raportu Końcowego (Załącznik D).
Użyć Formularza Raportu Końcowego (Załącznik D).
3. Szczegółowe Kroki Procesu
Faza 1: Wykrycie i zgłoszenie wewnętrzne
1
Wykrycie zdarzenia – przez pracownika, system monitoringu, alert SIEM, zgłoszenie dostawcy lub zewnętrzny badacz bezpieczeństwa
2
Nie usuwaj dowodów – nie kasuj plików, logów, e-maili. Zachowaj wszystko.
3
Zgłoś natychmiast – CISO (tel. ▸ [numer]) i/lub przez system ticketowy ▸ [nazwa]. Wypełnij Formularz Wstępny (Załącznik A).
4
Izolacja (jeśli konieczna) – jeśli zainfekowane urządzenie, odłącz je od sieci (LAN/Wi-Fi), ale nie wyłączaj zasilania bez zgody CISO (tracisz dane z RAM).
Faza 2: Ocena i klasyfikacja (CISO)
5
Wstępna ocena – CISO ocenia: jaki typ incydentu (kategoria z DOC-005 pkt 4), jaki poziom (P1–P4), czy to poważny incydent wymagający zgłoszenia.
6
Eskalacja – dla P1 i P2: powiadomienie zarządu. Dla P1: uruchomienie BCP jeśli wymagane (DOC-011).
7
Uruchomienie rejestru – założenie wpisu w Rejestrze Incydentów (numer INC-RRRR-NNN).
Faza 3: Zawieranie i usuwanie
8
Zawieranie – izolacja dotkniętych systemów, blokada kont, zmiana haseł, filtrowanie ruchu sieciowego. Szczegóły w DOC-007.
9
Zbieranie dowodów forensycznych – kopie dysków, logi, zrzuty pamięci, zapis ruchu sieciowego (PCAP).
10
Usuwanie – eliminacja złośliwego oprogramowania, zamknięcie podatności, weryfikacja systemów.
Faza 4: Odtwarzanie
12
Weryfikacja – testy odtworzonych systemów przed przywróceniem do produkcji.
Faza 5: Raportowanie zewnętrzne
13
Wczesne ostrzeżenie do CSIRT – najpóźniej 24h od wykrycia poważnego incydentu.
14
Zgłoszenie do CSIRT – najpóźniej 72h od wykrycia.
15
Zgłoszenie do UODO (jeśli dotyczy) – najpóźniej 72h od stwierdzenia naruszenia danych osobowych.
Faza 6: Analiza i zamknięcie
16
Post-Incident Review (PIR) – analiza przyczyn (RCA), dokumentacja wyciągniętych wniosków.
17
Raport końcowy do CSIRT – w ciągu 1 miesiąca od zgłoszenia.
18
Aktualizacja dokumentacji – aktualizacja Rejestru Ryzyk (DOC-003), polityk, procedur jeśli potrzeba.
Załącznik A – Formularz Wstępnego Zgłoszenia Incydentu (wewnętrzny)
📋
Wypełnia każdy pracownik lub pierwsza osoba wykrywająca incydent. Przesłać do CISO natychmiast.
| FORMULARZ WSTĘPNY ZGŁOSZENIA INCYDENTU | |
|---|---|
| Data i godzina wykrycia | ▸ DD.MM.RRRR HH:MM |
| Zgłaszający (imię i nazwisko) | ▸ |
| Kontakt zgłaszającego | ▸ [tel / e-mail] |
| Co zostało zaobserwowane? | ▸ [opis zdarzenia – co, gdzie, kiedy] |
| Dotknięte systemy / urządzenia | ▸ [nazwy systemów, IP, nr komputera] |
| Czy podjęto działania? Jakie? | ▸ [np. odłączono od sieci / nic nie zrobiono] |
| Czy inne osoby wiedzą? | ▸ [tak/nie – kto] |
| Szacunkowy wpływ (wstępnie) | ▸ [np. systemy niedostępne / dane ujawnione / nic nie widać] |
Załącznik B – Formularz Wczesnego Ostrzeżenia do CSIRT (T+24h)
🕐
Termin: 24 godziny od wykrycia poważnego incydentu. Wypełnia CISO.
| WCZESNE OSTRZEŻENIE – ZGŁOSZENIE DO CSIRT | |
|---|---|
| Podmiot zgłaszający (nazwa, NIP) | ▸ [pełna nazwa organizacji, NIP] |
| Sektor / rodzaj usługi | ▸ [sektor KSC, rodzaj usługi kluczowej/ważnej] |
| Osoba kontaktowa (CISO) | ▸ [Imię Nazwisko, tel, e-mail] |
| Data/godzina wykrycia | ▸ DD.MM.RRRR HH:MM |
| Data/godzina zgłoszenia | ▸ DD.MM.RRRR HH:MM |
| Krótki opis incydentu | ▸ [typ incydentu, dotknięte systemy, wstępny zakres] |
| Czy incydent ma wpływ transgraniczny? | ▸ [TAK / NIE / NIEZNANE] |
| Wstępna ocena dotkliwości | ▸ [Niski / Średni / Wysoki / Krytyczny] |
| Podjęte działania zaradcze | ▸ [izolacja, zawieranie – co zrobiono] |
Załącznik C – Formularz Zgłoszenia Incydentu do CSIRT (T+72h)
🕐
Termin: 72 godziny od wykrycia poważnego incydentu. Wypełnia CISO.
| ZGŁOSZENIE INCYDENTU – CSIRT | |
|---|---|
| Numer referencyjny (wewnętrzny) | ▸ INC-RRRR-NNN |
| Podmiot / sektor | ▸ |
| Typ incydentu (kategoria) | ▸ [MAL/PHI/NET/WEB/ACC/DAT/INS/SUP/PHY/OTH] |
| Poziom dotkliwości | ▸ [P1/P2/P3/P4] |
| Dotknięte systemy / usługi | ▸ |
| Szacunkowa liczba dotkniętych użytkowników | ▸ |
| Opis incydentu (szczegółowy) | ▸ [chronologia, wektor ataku, zakres] |
| Wskaźniki kompromitacji (IoC) | ▸ [IP, domeny, hashes, sygnatury złośliwego kodu] |
| Podjęte działania zaradcze | ▸ |
| Aktualny status incydentu | ▸ [W toku / Zawarty / Zamknięty] |
| Czy naruszono dane osobowe? | ▸ [TAK (zgłoszono do UODO DD.MM) / NIE] |
| Wymagane wsparcie CSIRT? | ▸ [TAK / NIE – opis potrzeby] |
Załącznik D – Formularz Raportu Końcowego do CSIRT (T+1 miesiąc)
| RAPORT KOŃCOWY INCYDENTU | |
|---|---|
| Numer referencyjny | ▸ INC-RRRR-NNN |
| Data wykrycia / Data zamknięcia | ▸ DD.MM.RRRR / DD.MM.RRRR |
| Pierwotna przyczyna (Root Cause) | ▸ [opis pierwotnej przyczyny – podatność, błąd ludzki, itp.] |
| Chronologia incydentu | ▸ [oś czasu: wykrycie, zawieranie, usuwanie, odtworzenie] |
| Wpływ na usługi / dane | ▸ [czas niedostępności, liczba dotkniętych osób, straty finansowe] |
| Wdrożone środki zaradcze | ▸ |
| Wyciągnięte wnioski | ▸ [co zmieniono, jakie procedury zaktualizowano] |
| Działania zapobiegawcze | ▸ [plany na przyszłość] |
Historia Zmian
| Wersja | Data | Autor | Opis | Zatwierdził |
|---|---|---|---|---|
| ▸ 1.0 | ▸ DD.MM.RRRR | ▸ | ▸ Pierwsze wydanie | ▸ Zarząd |
DOC-006 Procedura Zgłaszania Incydentów | v1.0 | NIS2/KSC