Finansowanie działań w celu podniesienia poziomu bezpieczeństwa teleinformatycznego u świadczeniodawców.

Kryterium akceptacji:

Efektem realizacji musi być przeprowadzenie audytu systemu kopii zapasowej, którego wynik potwierdzi utworzenie odmiejscowionej kopii zapasowej i odtworzenie z niej kompletnego systemu oraz wykonanej dokumentacji bezpieczeństwa.

2) Jeśli świadczeniodawca posiada powyższy system, o którym mowa w pkt 1, może w ramach finansowania zrealizować zakup lub rozwój systemów Firewall pozwalający analizować przesyłane pakiety pod względem ich treści wraz z wdrożeniem w infrastrukturze teleinformatycznej świadczeniodawcy przez osobę posiadającą kompetencje z zakresu bezpieczeństwa sieci.

Kryterium akceptacji:

Efektem wdrożenia musi być wykonanie zewnętrznych skanów podatności, które wykażą brak podatności krytycznych oraz które mogą doprowadzić do incydentu poważnego w rozumieniu ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2022 r. poz. 1863, z późn. zm.).

Wnioskodawca jest zobowiązany do utwardzania konfiguracji do momentu uzyskania wskazanego efektu. Wyeliminowanie podatności musi być potwierdzone przez audyt bezpieczeństwa.

3) Jeśli świadczeniodawca posiada już systemy, o których mowa w pkt 1 i 2, może w ramach finansowania zakupić system lub rozwój systemu poczty elektronicznej wraz z systemem bezpieczeństwa, który będzie obejmował mechanizmy SPF, DMARC, DKIM, antyspam oraz ochronę antywirusową.

Kryterium akceptacji:

Efektem realizacji musi być przeprowadzenie audytu systemu poczty elektronicznej, którego wynik potwierdzi skuteczność wdrożenia SPF, DMARC, DKIM, antyspam oraz ochronę antywirusową.

4) Jeśli świadczeniodawca posiada już systemy, o których mowa w pkt 1-3, może w ramach finansowania zrealizować zakup lub rozwój systemów opartych na rozwiązaniach co najmniej klasy Endpoint Detection and Response w architekturze serwera - klient na wszystkich stacjach roboczych oraz serwerach świadczeniodawcy wraz z wdrożeniem w infrastrukturze teleinformatycznej świadczeniodawcy przez osobę posiadającą kompetencje z zakresu realizacji systemów antywirusowych.

Kryterium akceptacji:

Efektem realizacji musi być przeprowadzenie audytu systemu Endpoint Detection and Response, na wszystkich stacjach roboczych oraz serwerach świadczeniodawcy, który potwierdzi prawidłowość wdrożenia systemu.

Słownik skrótów:

SPF: Sender Policy Framework - niekomercyjny projekt mający na celu wprowadzenie zabezpieczenia serwerów SMTP przed przyjmowaniem poczty z niedozwolonych źródeł. Ma to pozytywnie wpłynąć na ograniczenie liczby wiadomości mailowych będących spamem,

DMARC: (Domain-based Message Authentication Reporting and Conformance) - możliwość ochrony domeny przed nieautoryzowanym użyciem, powszechnie znanym jako fałszowanie wiadomości e-mail,

DKIM: (DomainKeys Identified Mail) - metoda łączenia domeny internetowej z wiadomością e-mail, która pozwala organizacji brać odpowiedzialność za treść e-maila. Sygnatura DKIM zabezpiecza przed podszywaniem się pod nadawcę z innych domen.

1) jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2022 r. poz. 5), w zakresie właściwym do podejmowanych ocen bezpieczeństwa systemów informacyjnych;

2) co najmniej dwóch audytorów posiadających:

a) certyfikaty określone w poniższym wykazie certyfikatów uprawiających do przeprowadzenia audytu lub

b) co najmniej trzyletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych, lub

c) co najmniej dwuletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych i legitymujących się dyplomem ukończenia studiów podyplomowych w zakresie audytu bezpieczeństwa systemów informacyjnych, wydanym przez jednostkę organizacyjną, która w dniu wydania dyplomu była uprawniona, zgodnie z odrębnymi przepisami, do nadawania stopnia naukowego doktora nauk ekonomicznych, technicznych lub prawnych.

2. Wykaz certyfikatów uprawniających do przeprowadzenia audytu:

1) Certified Internal Auditor (CIA);

2) Certified Information System Auditor (CISA);

3) Certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku, w zakresie certyfikacji osób;

4) Certyfikat audytora wiodącego systemu zarządzania ciągłością działania PN-EN ISO 22301 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku, w zakresie certyfikacji osób;

5) Certified Information Security Manager (CISM);

6) Certified in Risk and Information Systems Control (CRISC);

7) Certified in the Governance of Enterprise IT (CGEIT);

8) Certified Information Systems Security Professional (CISSP);

9) Systems Security Certified Practitioner (SSCP);

10) Certified Reliability Professional;

11) Certyfikaty uprawniające do posiadania tytułu ISA/IEC 62443 Cybersecurity Expert.

3. Celem audytu jest wykazanie przez Świadczeniodawcę podniesienia poziomu bezpieczeństwa teleinformatycznego po zrealizowaniu czynności zgodnie z niniejszym zarządzeniem oraz w obszarach wskazanych w poniższej tabeli w odniesieniu do stanu na dzień przeprowadzenia badania poziomu dojrzałości cyberbezpieczeństwa u Świadczeniodawcy w formie ankiety. Przeprowadzony audyt wykaże podniesienie poziomu bezpieczeństwa teleinformatycznego w odniesieniu do poziomu wynikającego z ankiety lub jego brak.

grafika