CHARLIE-CRP – dodatkowe obowiązki w zakresie cyberbezpieczeństwa
1 grudnia 2022 r. premier Mateusz Morawiecki po raz kolejny przedłużył obowiązywanie stopnia alarmowego CHARLIE-CRP, tym razem do 28 lutego 2023 r. Co oznacza obowiązywanie takiego stopnia w zakresie cyberbezpieczeństwa? Kogo dotyczy i jakie rozwiązanie należy w związku z tym wdrożyć?
Kiedy wprowadza się stopnie alarmowe CRP
Ogólnie rzecz ujmując, stopnie alarmowe CRP dotyczą zagrożenia w cyberprzestrzeni. Wprowadza się je w przypadku wystąpienia:
-
zdarzenia o charakterze terrorystycznym,
-
zagrożenia zaistnienia takiego zdarzenia,
dotyczącego systemów IT organów administracji publicznej lub wchodzących w skład infrastruktury krytycznej.
Zdarzenie o charakterze terrorystycznym to sytuacja, co do której istnieje podejrzenie, że powstała na skutek przestępstwa zagrożonego karą pozbawienia wolności, której górna granica wynosi co najmniej 5 lat, popełnionego w celu:
-
poważnego zastraszenia wielu osób,
-
zmuszenia organu władzy publicznej Rzeczypospolitej Polskiej lub innego państwa albo organu organizacji międzynarodowej do podjęcia lub zaniechania określonych czynności,
-
wywołania poważnych zakłóceń w ustroju lub gospodarce Rzeczypospolitej Polskiej, innego państwa lub organizacji międzynarodowej (a także grożby popełnienia takiego czynu).
Stopnie alarmowe CRP w zarządzeniu premiera
Jak już wskazano we wstępie, stopnie alarmowe CRP wprowadza, zmienia lub odwołuje Prezes Rady Ministrów w zarządzeniu. Wydanie takiego zarządzenia wymaga zasięgnięcia opinii Ministra Spraw Wewnętrznych i Administracji oraz Szefa ABW. Natomiast w przypadkach niecierpiących zwłoki zarządzenie takie wydaje MSWiA po zasięgnięciu opinii Szefa ABW, a następnie niezwłocznie informuje o tym premiera.
Zarządzenie może dotyczyć całego kraju – właśnie takie obowiązuje obecnie. Może być ono również ograniczone do np.:
-
danej jednostki podziału administracyjnego (przykładowo danego województwa),
-
innego oznaczonego obszaru,
-
określonych obiektów jednostek organizacyjnych administracji publicznej, prokuratury, sądów lub innych obiektów infrastruktury administracji publicznej lub infrastruktury krytycznej.
4 stopnie alarmowe CRP
Wyróżniamy 4 stopnie alarmowe CRP – prezentujemy je w tabeli.
|
Stopień alarmowy CRP |
Kiedy może być wprowadzony |
|
ALFA-CRP |
uzyskanie informacji o możliwości wystąpienia zdarzenia o charakterze terrorystycznym (gdy trudno przewidzieć jego rodzaj i zakres) |
|
BRAVO-CRP |
zwiększone i przewidywalne zagrożeni wystąpieniem tego typu zdarzenia (gdy konkretny cel ataku nie został zidentyfikowany) |
|
CHARLIE-CRP |
zdarzenie potwierdzające prawdopodobny cel ataku o charakterze terrorystycznym, godzące w:
uzyskanie wiarygodnych i potwierdzonych informacji o planowanym zdarzeniu o charakterze terrorystycznym:
|
|
DELTA-CRP |
zdarzenie o charakterze terrorystycznym powodującego zagrożenie:
sytuacja, w której uzyskane informacje wskazują na zaawansowaną fazę przygotowań do zdarzenia o charakterze terrorystycznym:
|
Stopnie alarmowe CRP istotne dla organów administracji publicznej
Wprowadzenie określonego stopnia alarmowego CRP rodzi nowe zadania dla niektórych podmiotów. Dotyczy to:
-
organów administracji publicznej
-
kierowników służb i instytucji właściwych w sprawach bezpieczeństwa i zarządzania kryzysowego.
Nas interesuje przede wszystkim ta pierwsza kategoria. Otóż do organów administracji publicznej zalicza się:
-
ministrów,
-
centralne organy administracji rządowej,
-
wojewodów,
-
działające w ich lub we własnym imieniu inne terenowe organy administracji rządowej (zespolonej i niezespolonej),
-
organy jednostek samorządu terytorialnego (konkretnie rada gminy, rada powiatu, sejmik województwa, wójt, burmistrz, prezydent miasta, starosta, marszałek województwa, kierownicy służb, inspekcji i straży działających w imieniu ww. organów, samorządowe kolegia odwoławcze),
-
inne podmioty – w takim zakresie, w jakim powołano je z mocy prawa lub na podstawie porozumień do załatwiania spraw administracyjnych.
Przykład
Obowiązki związane w wprowadzeniem danego stopnia alarmowego CRP musi realizować wójt jako organ administracji publicznej. Będą one spoczywały także na kierowniku samorządowej jednostki organizacyjnej, jeżeli na mocy prawa załatwia on sprawy administracyjne. Będzie to np. dyrektor szkoły, który przecież wydaje decyzje administracyjne choćby w zakresie skreślenia z listy uczniów.
Jakie obowiązki w związku z wprowadzeniem danego stopnia alarmowego
Zadania nakładane na organy administracji publicznej i kierowników wskazanych wyżej służb zależą oczywiście od wprowadzonego stopnia alarmowego CRP.
|
Stopień alarmowy CRP |
Zadania |
|||
|
ALFA-CRP |
BRAVO-CRP |
CHARLIE-CRP |
DELTA-CRP |
wzmożone monitorowanie stanu bezpieczeństwa systemów IT (w tym zakresie należy wykorzystać zalecenia Szefa ABW lub komórek odpowiedzialnych za system reagowania zgodnie z właściwością) |
|
monitorowanie i weryfikacja, czy nie doszło do naruszenia bezpieczeństwa komunikacji elektronicznej (e-maile, komunikatory społecznościowe, wideokonferencje itp.) |
||||
|
sprawdzanie dostępności usług elektronicznych |
||||
|
zmiany w dostępie do systemów IT (w razie konieczności) |
||||
|
poinstruowanie pracowników i pozostałego personelu o konieczności zachowania zwiększonej czujności w stosunku do stanów odbiegających od normy (chodzi tu zwłaszcza o osoby odpowiedzialne za bezpieczeństwo systemów IT) |
||||
|
sprawdzenie kanałów łączności z innymi (właściwymi dla rodzaju stopnia alarmowego CRP) podmiotami biorącymi udział w reagowaniu kryzysowym |
||||
|
weryfikacja ustanowionych punktów kontaktowych z zespołami reagowania na incydenty bezpieczeństwa IT właściwymi dla rodzaju działania organizacji oraz ministrem właściwym do spraw informatyzacji |
||||
|
przegląd przyjętych w organizacji procedur oraz zadań związanych z wprowadzeniem stopni alarmowych CRP (w szczególności weryfikacja kopii zapasowej systemów IT oraz czasu wymaganego na przywrócenie poprawności funkcjonowania systemu) |
||||
|
sprawdzenie aktualnego stanu bezpieczeństwa systemów i ocena wpływu zagrożenia na bezpieczeństwo IT na podstawie:
|
||||
|
informowanie na bieżąco o efektach przeprowadzanych działań:
|
||||
|
zapewnienie dostępności personelu odpowiedzialnego za bezpieczeństwo systemów IT – w trybie alarmowym |
||||
|
organizacja całodobowych dyżurów:
|
||||
|
przegląd dostępnych zasobów zapasowych pod względem możliwości ich wykorzystania w przypadku zaistnienia ataku |
||||
|
przygotowanie do uruchomienia planów umożliwiających zachowanie ciągłości działania po wystąpieniu potencjalnego ataku, w tym:
|
||||
|
uruchomienie planów awaryjnych lub planów ciągłości działania organizacji w sytuacjach awarii lub utraty ciągłości działania |
||||
|
realizacja procedur przywracania ciągłości działania (w zależności od danej sytuacji) |
||||
Przykład
W związku z przedłużeniem obowiązywania stopnia CHARLIE-CRP organ administracji publicznej m.in. wójt, burmistrz, prezydent musi zorganizować całodobowe dyżury osób administrujących kluczowymi dla organu systemami IT oraz osób decyzyjnych w sprawie bezpieczeństwa systemów IT.
Wprowadzenie wyższego stopnia alarmowego CRP oznacza, że należy realizować także zadania obowiązujące w przypadku stopnia niższego.
To jednak nie wszystko. Organy muszą mieć przygotowane procedury realizacji przedsięwzięć w ramach poszczególnych stopni alarmowych CRP, w tym:
-
moduły zadaniowe dla każdego stopnia,
-
wykaz zadań do wykonania.
Obowiązkowy raport dla RCB
Po otrzymaniu informacji o wprowadzeniu stopnia alarmowego CRP organy administracji publicznej muszą niezwłocznie potwierdzić Rządowemu Centrum Bezpieczeństwa fakt otrzymania informacji o wprowadzeniu stopnia alarmowego. Dodatkowo powinny przekazać do RCB raport o stanie realizacji zadań wynikających z danego stopnia.
Raport należy przekazać w ciągu 12 godzin od rozpoczęcia obowiązywania stopnia alarmowego CRP.
-
ustawa z 10 czerwca 2016 r. o działaniach antyterrorystycznych (tekst jedn.: Dz.U. z 2021 poz. 2234) – art. 2 pkt 3, 4 i 7, art. 15, art. 16 ust. 1 i 4,
-
ustawa z 6 czerwca 1997 r. - Kodeks karny (tekst jedn.: Dz.U. z 2022 r. poz. 1138) – art. 115 § 20,
-
ustawa z 14 czerwca 1960 r. Kodeks postępowania administracyjnego (tekst jedn.: Dz.U. z 2022 r. poz. 2000) – art. 5 § 2 pkt 3 i 6,
-
rozporządzenie Prezesa Rady Ministrów z 25 lipca 2016 r. w sprawie zakresu przedsięwzięć wykonywanych w poszczególnych stopniach alarmowych i stopniach alarmowych CRP (tekst jedn.: Dz.U. z 2022 r. poz. 2065) - § 3 – 5, załącznik
- Jak zrealizować obowiązek informacyjny RODO mikroprzedsiębiorców
- RODO a KZP - zasady przetwarzania danych osobowych w kasie zapomogowo-pożyczkowej
- RODO w marketingu - ochrona danych osobowych przetwarzanych w celach marketingowych
- Kary za naruszenie RODO w Polsce - w jaki sposób ustala się ich wysokość
- Analiza ryzyka RODO zgodnie z wytycznymi ENISA
- Standardy ochrony małoletnich – przetwarzanie danych osobowych w zaświadczeniach o niekaralności
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
