• strona główna
  • Incident Management w ISO 27001 – Jak reagować na incydenty bezpieczeństwa?

Incident Management w ISO 27001 – Jak reagować na incydenty bezpieczeństwa?

Zarządzanie incydentami bezpieczeństwa informacji to element skutecznej ochrony organizacji. Dowiedz się, jak zgodnie z ISO 27001 i polskim prawem powinieneś reagować na incydenty bezpieczeństwa.

Skuteczne zarządzanie incydentami bezpieczeństwa – Podsumowanie

W tym artykule poznasz zasady Incident Management w ISO 27001, etapy reagowania na incydenty oraz wymogi prawne w Polsce. Dowiedz się, jak stworzyć plan reagowania i jakie obowiązki nakładają na twoją organizację ustawa o krajowym systemie cyberbezpieczeństwa (KSC) oraz RODO.

Kluczowe punkty

  • Incident Management to proces zarządzania incydentami bezpieczeństwa informacji.

  • ISO 27001 określa ramy zarządzania incydentami (Annex A.16).

  • W Polsce obowiązują dodatkowe wymogi prawne: KSC, RODO, ustawa o ochronie danych osobowych.

  • Kluczowe są: plan reagowania, zespół IRT, procedury zgłaszania, klasyfikacja incydentów i dokumentacja.

  • Incydenty poważne należy zgłaszać do CSIRT w 24h, naruszenia danych osobowych do UODO w 72h.

Czym jest Incident Management w ISO 27001?

Incident Management w ISO 27001 oznacza zarządzanie incydentami bezpieczeństwa informacji w ramach Systemu Zarządzania Bezpieczeństwem Informacji (ISMS). Norma ISO 27001 (szczególnie Załącznik A.16) zobowiązuje do wdrożenia skutecznych procedur reagowania na incydenty, które mogą zagrozić poufności, integralności lub dostępności informacji.

W Polsce musisz dodatkowo przestrzegać przepisów ustawy o krajowym systemie cyberbezpieczeństwa (KSC) oraz RODO i ustawy o ochronie danych osobowych.

Kluczowe elementy zarządzania incydentami według ISO 27001

Polityka zarządzania incydentami

Twoja organizacja powinna posiadać formalną politykę zarządzania incydentami. Dokument ten określa cele, zakres, role, odpowiedzialności oraz procedury raportowania i eskalacji incydentów. Polityka powinna być zgodna z wymaganiami KSC oraz RODO.

Plan reagowania na incydenty

Plan reagowania to szczegółowy dokument opisujący, jak postępować w przypadku incydentu bezpieczeństwa. Powinien zawierać:

  • Instrukcje krok po kroku (identyfikacja, ocena, ograniczanie, eliminacja, odzyskiwanie, analiza powłamaniowa).

  • Role i odpowiedzialności (np. lider incydentu, analityk, osoba ds. komunikacji).

  • Ścieżki komunikacji i zasady zgłaszania do organów nadzorczych (CSIRT, UODO).

  • Wymóg przechowywania dokumentacji przez minimum 2 lata (KSC).

Zespół ds. reagowania na incydenty (IRT)

ISO 27001 zaleca powołanie zespołu IRT lub wyznaczenie osób odpowiedzialnych za obsługę incydentów. Zespół powinien być regularnie szkolony i przygotowany do reagowania na różne scenariusze.

Procedury raportowania i rejestracji incydentów

Musisz wdrożyć jasne procedury raportowania incydentów, obejmujące definicję incydentu, kanały zgłaszania oraz terminy reakcji. Każdy incydent powinien być rejestrowany w centralnym rejestrze z kluczowymi informacjami (data, typ, wpływ, podjęte działania).

Klasyfikacja i priorytetyzacja incydentów

Incydenty należy klasyfikować według ich wagi i wpływu (na poufność, integralność, dostępność, skutki finansowe, wymogi prawne czy reputacyjne). Klasyfikacja ułatwia odpowiednią reakcję.

Etapy reagowania na incydenty (cykl zarządzania incydentem)

Zgodnie z ISO 27001 i polskimi przepisami, proces zarządzania incydentem obejmuje:

  1. Identyfikacja
    Wykrycie i klasyfikacja incydentu. W polskim prawie musisz niezwłocznie ocenić, czy incydent podlega obowiązkowi zgłoszenia (KSC, RODO).

  2. Analiza (ocena)
    Ocena zakresu, wpływu i potencjalnych ryzyk. Wymaga oceny, czy incydent stanowi naruszenie ochrony danych (RODO).

  3. Ograniczenie (powstrzymanie)
    Izolacja dotkniętych systemów, by zapobiec dalszym szkodom.

  4. Eliminacja
    Usunięcie przyczyny incydentu.

  5. Odzyskiwanie
    Przywrócenie działania systemów i weryfikacja ich integralności.

  6. Przegląd powłamaniowy (analiza przyczyn i działania naprawcze)
    Analiza incydentu i wdrożenie usprawnień.

Wymogi prawne i obowiązki organizacji w Polsce

Ustawa o krajowym systemie cyberbezpieczeństwa (KSC)

Ustawa o KSC (Dz.U. 2018 poz. 1560) nakłada na operatorów usług kluczowych i dostawców usług cyfrowych obowiązek wdrożenia środków zapewniających bezpieczeństwo systemów informacyjnych.

Ochrona danych osobowych – RODO

Każdy incydent zagrażający poufności, integralności lub dostępności danych osobowych może być naruszeniem ochrony danych osobowych w rozumieniu RODO (Rozporządzenie (UE) 2016/679) i polskiej ustawy (Dz.U. 2018 poz. 1000).

Inne akty prawne

  • Ustawa o ochronie informacji niejawnych (Dz.U. 2019 poz. 742) oraz ustawa o ochronie danych osobowych nakładają dodatkowe obowiązki w zakresie ochrony i reagowania na incydenty dotyczące informacji prawnie chronionych.

Wytyczne i dobre praktyki

  • Wytyczne UODO (uodo.gov.pl), NASK (nask.pl) i CSIRT (csirt.gov.pl) precyzują wymagania dotyczące postępowania z incydentami, oceny ryzyka i raportowania.

Różnica między incydentem a naruszeniem

  • Incydent to każde zdarzenie wpływające na bezpieczeństwo informacji.

  • Naruszenie (np. danych osobowych) to szczególny rodzaj incydentu, który skutkuje ryzykiem dla praw lub wolności osób fizycznych i podlega szczególnym wymogom zgłoszeniowym (RODO).

  • Incydent bezpieczeństwa teleinformatycznego to każde zdarzenie, które ma lub może mieć niekorzystny wpływ na bezpieczeństwo systemów teleinformatycznych.

Dobre praktyki w reagowaniu na incydenty

  • Regularnie testuj i symuluj incydenty (np. co kwartał).

  • Współpracuj z zewnętrznymi podmiotami (CERT, organy ścigania) przy poważnych incydentach.

  • Dokumentuj wszystkie działania związane z incydentami.

  • Szkol pracowników w zakresie rozpoznawania i zgłaszania incydentów.

Podsumowanie

Zarządzanie incydentami w ISO 27001 wymaga formalnych polityk, jasnych procedur, wyznaczenia odpowiedzialności, dokumentowania i ciągłego doskonalenia. Musisz być przygotowany na skuteczne reagowanie zgodnie z cyklem: identyfikacja, analiza, ograniczenie, eliminacja, odzyskiwanie, przegląd. Kluczowe jest spełnienie wymogów prawnych w Polsce, w tym obowiązków wynikających z KSC (zgłaszanie poważnych incydentów do CSIRT w 24h) i RODO (zgłaszanie naruszeń danych osobowych do UODO w 72h). Procedury muszą być udokumentowane, a pracownicy przeszkoleni i świadomi swoich obowiązków. Regularne przeglądy skuteczności pozwalają na ciągłe doskonalenie procesu.

Źródła prawne: