10 dobrych praktyk cyberbezpieczeństwa w jst

21-05-2020

Bezpieczeństwo informacyjne jest ważnym elementem działalności jednostki samorządu terytorialnego. Co zrobić, aby w jak najlepszy sposób zabezpieczyć jst przed wystąpieniem incydentu informatycznego? Przedstawiamy Państwu 10 najlepszych praktyk cyberbezpieczeństwa dla samorządów, które pomogą zwiększyć poziom bezpieczeństwa w urzędzie.

Obowiązki wynikające z ustawy o Krajowym Systemie Cyberbezpieczeństwa, narażenie na cyberataki i odpowiedzialność jednostki samorządu to duże obciążenie dla jst. Odpowiednie przygotowanie się do ewentualnych zagrożeń, które mogą skutkować wystąpieniem incydentu lub ataku, to podstawa, zwłaszcza ze względu na postępującą coraz szybciej informatyzację urzędów.

Katalog dobrych praktyk cyberbezpieczeństwa w samorządzie to:

 

  1. Inwentaryzacja zasobów informacyjnych, ustalenie ich wartości i powiązanych
    procesów
    Poznanie własnych zasobów i procesów jest istotnym elementem pracy z nimi. Dzięki temu łatwiej można zauważyć ewentualne nieprawidłowości. Dodatkowo jest to udogodnienie w codziennej pracy i może zwiększyć jej efektywność.

  2. Zorientowanie ochrony na podatności zasobów i procesów (ang. Vulnerabilitydriven security)
    Skoncentrowanie się na własnych podatnościach (słabościach) przynosi lepsze rezultaty niż zagrożeniach, które mogą wcale na nas nie oddziaływać. Zorientowanie się wśród swoich słabych stron pomaga również przy realizacji punktu 6. katalogu.

  3. Czyste biurko i ekran
    Jak zauważa Ministerstwo Cyfryzacji w poradniku stworzonym dla pracowników samorządowych, należy pamiętać, że własne działania również mogą przyczynić się do obniżenia lub zwiększenia bezpieczeństwa informacyjnego w jednostce samorządu terytorialnego. Czyste biurko, poukładana dokumentacja i przejrzystość posiadanych zasobów zdecydowanie pomogą zachować wymagany poziom bezpieczeństwa oraz ułatwią codzienną pracę.

  4. Ograniczone zaufanie wobec podmiotów zewnętrznych i użytkowanych przez nie systemów
    Zarówno tak, jak na drodze stosujemy zasadę ograniczonego zaufania, tak i w zakresie cyberbezpieczeństwa jest to praktyka niezwykle ważna, mogąca uchronić przed wieloma zagrożeniami. Nie ufajmy od razu, sprawdzajmy możliwe i dostępne opcje, aby w jak największym stopniu ograniczyć ryzyko wystąpienia incydentu.

  5. Ochrona “w głąb” (ang. Defense in depth), czyli warstwowość zabezpieczeń i ich spójność pionowa i pozioma
    Ochroną "w głąb" można nazwać, tzw. ochronę pionową. Co oznacza to w praktyce? Ochrona w głąb zakłada, że istnieje kilka warstw zabezpieczeń. W przypadku, w którym jedna z nich zawiedzie, zawsze jest kolejna, która zapewnia wystarczający poziom bezpieczeństwa. Działa to jedynie w sytuacji, w której między danymi warstwami nie ma luki bądź niespójnych elementów.

  6. „Najsłabsze ogniwo” (ang. Weakest link in the chain)
    Każdy system jest tak bezpieczny, jak jego najsłabiej chroniony element. Poprzez najsłabsze ogniwo możliwe jest ominięcie wszelkich innych stosowanych zabezpieczeń (tzw. backdoor) i należy o tym pamiętać podczas konstruowania systemu bezpieczeństwa.

  7. Minimalne przywileje (ang. Least privilege)
    Ograniczanie przywilejów (uprawnień) tylko do tych, które są konieczne dla danego pracownika. Dzięki temu w znaczący sposób obniża się ryzyko wystąpienia incydentu.

  8. Rozdział obowiązków użytkowników (ang. Separation of duties)
    Warto pamiętać, że w przypadku zadań wiążących się z transferem dużych środków finansowych należy wprowadzić mechanizm wzajemnej kontroli urzędników. Chroni to nie tylko przed wystąpieniem incydentu, ale również przed błędami pracowników. W przypadku braku użytkownika czuwającego występuje większe prawdopodobieństwo popełnienia uchybienia.

  9. Zarządzanie zmianami (ang. Change management)
    Należy pamiętać o ustawieniu odpowiedniej konfiguracji programu (również aktualizacji) czy wykonywaniu kopii zapasowych. Takie działania mogą w dużym stopniu uprościć wykonywanie codziennych działań oraz ograniczają możliwość błędu.

  10. Korzystanie z doświadczeń (ang. Learn from experience)
    Uczmy się zarówno na własnych jak i cudzych błędach. Wszelkie doświadczenia i praktyki (złe oraz dobre) są ogromną bazą danych wiedzy, która pozwala uniknąć wielu zagrożeń i incydentów.

Baza wiedzy cyberbezpieczeństwa w jst

Najlepszym źródłem czerpania informacji jest ekspercka wiedza oparta na wieloletniej praktyce. Cały wachlarz różnorodnych materiałów omawiających kwestię cyberbezpieczeństwa w jednostkach samorządu terytorialnego znajdą Państwo w LEX.

Są to, między innymi:

 

10 dobrych praktyk cyberbezpieczeństwa w jst 

Małgorzata Milewicz
młodszy redaktor administracja publiczna

 

Nie korzystasz jeszcze z programów LEX?
Znajdź rozwiązanie dla siebie.

Zamów prezentacje produktów LEX, dzięki której poznasz pełne możliwości serwisu oraz uzyskasz informacje o pakietach spełniających Twoje potrzeby.

W programie LEX Administracja Publiczna znajdziesz również m.in.:
Komentarze praktyczne, poradniki, analizy i wzory dokumentów m.in.:
Masz dostęp do LEX-a? Zaloguj się
Nie masz dostępu do LEX-a? Zamów dostęp testowy