Trzeci stopień alarmowy CHARLIE-CRP – Jakie obowiązki stoją przed administracją publiczną ?

Premier Mateusz Morawiecki podjął decyzję o podwyższeniu stopnia alarmowego ALFA-CRP. Janusz Cieszyński poinformował, że od 21.02.2022r. na obszarze Polski wprowadzony został trzeci stopień alarmowy CHARLIE-CRP. Stopień alarmowy obowiązuje do 4 marca i może zostać przedłużony.

Przykłady trzech ostatnio wprowadzanych stopni alarmowych CRP:
15-21.02.2022r.oraz 8.01.-23.01.2022r. Alarm ALFA-CRP – Wystąpienie potencjalnego ryzyka dla bezpieczeństwa systemów teleinformatycznych w związku z identyfikowanymi zagrożeniami będącymi następstwem napiętej sytuacji w regionie.
5.12.-10.12.2021R. Alarm ALFA-CRP – Szczyt Cyfrowy ONZ – IGF 2021 (the UN Internet Governance Forum) w Katowicach
26.06.-29.06.2020r. oraz 20.07.-13.07.2020r. Alarm BRAVO-CRP– Wybory Prezydenta Rzeczypospolitej Polskiej 2020 r.

Wszystkie alarmy obowiązywały na całym terytorium RP.

Rodzaje stopni alarmowych
 „W przypadku zagrożenia wystąpieniem zdarzenia o charakterze terrorystycznym dotyczącego systemów teleinformatycznych organów administracji publicznej lub systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej albo w przypadku wystąpienia takiego zdarzenia można wprowadzić jeden z czterech stopni alarmowych CRP:
1) pierwszy stopień alarmowy CRP (stopień ALFA–CRP);
2) drugi stopień alarmowy CRP (stopień BRAVO–CRP);
3) trzeci stopień alarmowy CRP (stopień CHARLIE–CRP);
4) czwarty stopień alarmowy CRP (stopień DELTA–CRP).”
Art. 15 pkt. 2 Ustawa o działaniach antyterrorystycznych z dnia 10 czerwca 2016r.

Trzeci stopień alarmowy CRP można wprowadzić w przypadku :
„ 1) wystąpienia zdarzenia potwierdzającego prawdopodobny cel ataku o charakterze terrorystycznym, godzącego w:
a) bezpieczeństwo lub porządek publiczny albo
b) bezpieczeństwo Rzeczypospolitej Polskiej, albo
c) bezpieczeństwo innego państwa lub organizacji międzynarodowej oraz stwarzającego potencjalne zagrożenie dla Rzeczypospolitej Polskiej lub
2) uzyskania wiarygodnych i potwierdzonych informacji o planowanym zdarzeniu o charakterze terrorystycznym na terytorium Rzeczypospolitej Polskiej, lub
3) uzyskania wiarygodnych i potwierdzonych informacji o planowanym zdarzeniu o charakterze terrorystycznym, którego skutki mogą dotyczyć obywateli polskich przebywających za granicą lub instytucji polskich albo polskiej infrastruktury mieszczących się poza granicami Rzeczypospolitej Polskiej.”
Art. 15 pkt. 5 Ustawa o działaniach antyterrorystycznych z dnia 10 czerwca 2016r.

Jakie przedsięwzięcia w ramach alarmu musi podjąć administracja publiczna ?

Należy pamiętać, że w przypadku 3 stopnia alarmu CRP, należy podjąć przedsięwzięcia ujęte we wszystkich niższych alarmach czyli w sytuacji ogłoszenia alarmu CHARLIE-CRP należy przestrzegać również zaleceń z drugiego stopnia BRAVO-CRP oraz pierwszego stopnia ALFA-CRP.
„Po wprowadzeniu pierwszego stopnia alarmowego CRP (stopień AL FA-CRP) należy wykonać w szczególności następujące zadania:

1) wprowadzić wzmożone monitorowanie stanu bezpieczeństwa systemów teleinformatycznych organów administracji publicznej lub systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej, zwanych dalej „systemami”, w szczególności wykorzystując zalecenia Szefa Agencji Bezpieczeństwa Wewnętrznego lub komórek odpowiedzialnych za system reagowania zgodnie z właściwością, oraz:
a) monitorować i weryfikować, czy nie doszło do naruszenia bezpieczeństwa komunikacji elektronicznej,
b) sprawdzać dostępność usług elektronicznych,
c) dokonywać, w razie potrzeby, zmian w dostępie do systemów;
2) poinformować personel instytucji o konieczności zachowania zwiększonej czujności w stosunku do stanów odbiegających od normy, w szczególności personel odpowiedzialny za bezpieczeństwo systemów;
3) sprawdzić kanały łączności z innymi, właściwymi dla rodzaju stopnia alarmowego CRP, podmiotami biorącymi udział w reagowaniu kryzysowym, dokonać weryfikacji ustanowionych punktów kontaktowych z zespołami reagowania na incydenty bezpieczeństwa teleinformatycznego właściwymi dla rodzaju działania organizacji oraz ministrem właściwym do spraw informatyzacji;
4) dokonać przeglądu stosownych procedur oraz zadań związanych z wprowadzeniem stopni alarmowych CRP, w szczególności dokonać weryfikacji posiadanej kopii zapasowej systemów w stosunku do systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej oraz systemów kluczowych dla funkcjonowania organizacji, oraz weryfikacji czasu wymaganego na przywrócenie poprawności funkcjonowania systemu;
5) sprawdzić aktualny stan bezpieczeństwa systemów i ocenić wpływ zagrożenia na bezpieczeństwo teleinformatyczne na podstawie bieżących informacji i prognoz wydarzeń;
6) informować na bieżąco o efektach przeprowadzanych działań zespoły reagowania na incydenty bezpieczeństwa teleinformatycznego właściwe dla rodzaju działania organizacji oraz współdziałające centra zarządzania kryzysowego, a także ministra właściwego do spraw informatyzacji.”
Źródło: Rozporządzenie Prezesa Rady Ministrów z dnia 25 lipca 2016r. w sprawie zakresu przedsięwzięć wykonywanych w poszczególnych stopniach alarmowych i stopniach alarmowych CRP.

Z racji, że w Polsce alarm pierwszego stopnia był już w tym roku kalendarzowym wprowadzony dwukrotnie oraz płynnie przeszedł z pierwszego stopnia na trzeci można zakładać, że zobowiązania wynikające z alarmu ALFA-CRP są już wdrożone i respektowane.

Ponieważ stopni alarmowych nie trzeba wprowadzać „po kolei” to drugi stopień został ominięty i od razu został wprowadzony trzeci. Mimo jego pominięcia przy wdrożonym trzecim stopniu należy przestrzegać również obowiązki drugiego alarmu drugiego stopnia CRP.

„Po wprowadzeniu drugiego stopnia alarmowego CRP (stopień BRAVO-CRP) należy wykonać zadania wymienione dla pierwszego stopnia alarmowego CRP oraz kontynuować lub sprawdzić wykonanie tych zadań, jeżeli wcześniej był wprowadzony stopień AL FA-CRP. Ponadto należy:
1) zapewnić dostępność w trybie alarmowym personelu odpowiedzialnego za bezpieczeństwo systemów;
2) wprowadzić całodobowe dyżury administratorów systemów kluczowych dla funkcjonowania organizacji oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa systemów teleinformatycznych.
Źródło: Rozporządzenie Prezesa Rady Ministrów z dnia 25 lipca 2016r. w sprawie zakresu przedsięwzięć wykonywanych w poszczególnych stopniach alarmowych i stopniach alarmowych CRP.

Im wyższy stopień tym więcej obowiązków ciąży na administracji publicznej, służbach i instytucjach w sprawach bezpieczeństwa i zarządzania kryzysowego.

Z racji na ustawę o działaniach antyterrorystycznych z dnia 10 czerwca 2016roku warto utworzyć i wdrożyć w administracji publicznej procedury, które uporządkują i usprawnią proces prawidłowego wywiązywania się z Zobowiązań nakładanych ustawowo.

Od wprowadzenia alarmu CHARLIE-CRT otrzymaliśmy już kilka zapytań, które świadczą o znikomej wiedzy na temat alarmów i obowiązków z nich wynikających. Bardzo dobrze, że np. JST zainteresowały się tematem i interweniują jednak wg. bezpieczeństwa powinny być gotowe, aby od razu wprowadzać odpowiednie działania wynikające z ustawy zamiast szukać odpowiedzi na podstawowe pytania.

„Po wprowadzeniu trzeciego stopnia alarmowego CRP (stopień CHA RLIE -CRP) należy wykonać zadania wymienione dla pierwszego i drugiego stopnia alarmowego CRP oraz kontynuować lub sprawdzić wykonanie tych zadań, jeżeli wcześniej był wprowadzony stopień AL FA-CRP lub BRAVO-CRP. Ponadto należy wykonać w szczególności następujące zadania:
1) wprowadzić całodobowe dyżury administratorów systemów kluczowych dla funkcjonowania organizacji oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa systemów;
2) dokonać przeglądu dostępnych zasobów zapasowych pod względem możliwości ich wykorzystania w przypadku zaistnienia ataku;
3) przygotować się do uruchomienia planów umożliwiających zachowanie ciągłości działania po wystąpieniu potencjalnego ataku, w tym:
a) dokonać przeglądu i ewentualnego audytu planów awaryjnych oraz systemów,
b) przygotować się do ograniczenia operacji na serwerach, w celu możliwości ich szybkiego i bezawaryjnego zamknięcia.

Źródło: Rozporządzenie Prezesa Rady Ministrów z dnia 25 lipca 2016r. w sprawie zakresu przedsięwzięć wykonywanych w poszczególnych stopniach alarmowych i stopniach alarmowych CRP.

Jeśli w kraju został ogłoszony 3 stopień, to oprócz wykonywania zadań z 3 pierwszych stopni administracja powinna sprawdzić czy jej procedury i przygotowanie będą pozwalały na bezzwłoczne wprowadzanie stopnia 4 DELTA-CRP

„Po wprowadzeniu czwartego stopnia alarmowego CRP (stopień DELTA -CRP) należy wykonać zadania wymienione dla pierwszego, drugiego i trzeciego stopnia alarmowego CRP oraz kontynuować lub sprawdzić wykonanie tych zadań, jeżeli wcześniej był wprowadzony stopień AL FA-CRP, BRAVO-CRP lub CHA RLIE CRP. Ponadto należy wykonać w szczególności następujące zadania:
1) uruchomić plany awaryjne lub plany ciągłości działania organizacji w sytuacjach awarii lub utraty ciągłości działania;
2) stosownie do sytuacji przystąpić do realizacji procedur przywracania ciągłości działania.
Źródło: Rozporządzenie Prezesa Rady Ministrów z dnia 25 lipca 2016r. w sprawie zakresu przedsięwzięć wykonywanych w poszczególnych stopniach alarmowych i stopniach alarmowych CRP.

Copyright @2024. All Rights Reserved.