2022.02.22
Wprowadzono 3 stopień alarmowy CHARLI-CRP oraz 2 stopień alarmowy BRAVO
Informujemy, że względu na potencjalne ryzyko zagrożenia bezpieczeństwa systemów teleinformatycznych Prezes Rady Ministrów na podstawie art. 16 ust. 1 ustawy z dnia 10 czerwca 2016 roku o działaniach antyterrorystycznych (Dz. U. z 2021 r. poz. 2234 oraz z 2022 r. poz. 583 i 655) wprowadził zarządzeniem nr 88 z dnia 14 kwietnia 2022 roku na terytorium całej Rzeczypospolitej Polskiej trzeci stopień alarmowy CRP (3. stopień CHARLIE-CRP), oraz zarządzeniem nr 87 z dnia 14 kwietnia 2022 roku na terytorium całej Rzeczypospolitej Polskiej drugi stopień alarmowy (2. stopień BRAVO), obowiązujące od dnia 16 kwietnia 2022 r., od godz. 00.00, do dnia 30 kwietnia 2022 r., do godz. 23.59.
W przypadku wprowadzenia stopnia alarmowego CHARLIE-CRP organy administracji publicznej oraz kierownicy służb i instytucji właściwych w sprawach bezpieczeństwa i zarządzania kryzysowego powinni:
- wprowadzić wzmożone monitorowanie stanu bezpieczeństwa systemów teleinformatycznych organów administracji publicznej lub systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej, zwanych dalej "systemami", w szczególności wykorzystując zalecenia Szefa Agencji Bezpieczeństwa Wewnętrznego lub komórek odpowiedzialnych za system reagowania zgodnie z właściwością, oraz:
- monitorować i weryfikować, czy nie doszło do naruszenia bezpieczeństwa komunikacji elektronicznej,
- sprawdzać dostępność usług elektronicznych,
- dokonywać, w razie potrzeby, zmian w dostępie do systemów;
- poinformować personel instytucji o konieczności zachowania zwiększonej czujności w stosunku do stanów odbiegających od normy, w szczególności personel odpowiedzialny za bezpieczeństwo systemów;
- sprawdzić kanały łączności z innymi, właściwymi dla rodzaju stopnia alarmowego CRP, podmiotami biorącymi udział w reagowaniu kryzysowym, dokonać weryfikacji ustanowionych punktów kontaktowych z zespołami reagowania na incydenty bezpieczeństwa teleinformatycznego właściwymi dla rodzaju działania organizacji oraz ministrem właściwym do spraw informatyzacji;
- dokonać przeglądu stosownych procedur oraz zadań związanych z wprowadzeniem stopni alarmowych CRP, w szczególności dokonać weryfikacji posiadanej kopii zapasowej systemów w stosunku do systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej oraz systemów kluczowych dla funkcjonowania organizacji, oraz weryfikacji czasu wymaganego na przywrócenie poprawności funkcjonowania systemu;
- sprawdzić aktualny stan bezpieczeństwa systemów i ocenić wpływ zagrożenia na bezpieczeństwo teleinformatyczne na podstawie bieżących informacji i prognoz wydarzeń;
- informować na bieżąco o efektach przeprowadzanych działań zespoły reagowania na incydenty bezpieczeństwa teleinformatycznego właściwe dla rodzaju działania organizacji oraz współdziałające centra zarządzania kryzysowego, a także ministra właściwego do spraw informatyzacji.
- zapewnić dostępność w trybie alarmowym personelu odpowiedzialnego za bezpieczeństwo systemów;
- wprowadzić całodobowe dyżury administratorów systemów kluczowych dla funkcjonowania organizacji oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa systemów teleinformatycznych.
- dokonać przeglądu dostępnych zasobów zapasowych pod względem możliwości ich wykorzystania w przypadku zaistnienia ataku;
- przygotować się do uruchomienia planów umożliwiających zachowanie ciągłości działania po wystąpieniu potencjalnego ataku, w tym:
- dokonać przeglądu i ewentualnego audytu planów awaryjnych oraz systemów,
- przygotować się do ograniczenia operacji na serwerach, w celu możliwości ich szybkiego i bezawaryjnego zamknięcia.