Kompleksowe Wsparcie w Realizacji Wymagań Krajowych Ram Interoperacyjności (KRI) oraz powiązanych obszarów Cyberbezpieczeństwa i Ochrony Danych Osobowych

W obliczu dynamicznie zmieniającego się krajobrazu cyberzagrożeń i ewoluujących wymogów prawnych, w tym Rozporządzenia Rady Ministrów z dnia 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, efektywne zarządzanie bezpieczeństwem informacji i systemami teleinformatycznymi jest kluczowe dla zapewnienia ciągłości działania oraz zgodności z przepisami. Nasza oferta wykracza poza podstawowe aspekty KRI, integrując je z kompleksowym Systemem Zarządzania Bezpieczeństwem Informacji (SZBI), wymogami Ogólnego Rozporządzenia o Ochronie Danych (RODO) oraz Dyrektywy NIS2, zgodnie z najlepszymi praktykami i normami, takimi jak PN-EN ISO/IEC 27001

Nasze podejście opiera się na szczegółowej analizie i dostosowaniu do specyfiki Państwa organizacji, zapewniając wsparcie na każdym etapie wdrażania i doskonalenia procesów bezpieczeństwa.

Oferujemy wsparcie w następujących obszarach, ściśle powiązanych z realizacją wymagań KRI:

Audyty i Oceny Wstępne:

  • Przeprowadzenie audytu wstępnego w celu oceny aktualnego stanu bezpieczeństwa informacji i zgodności z wymogami KRI, RODO, UoKSC i NIS2.
  • Szczegółowa inwentaryzacja aktywów informacyjnych (elektronicznych i fizycznych zbiorów informacji, elementów infrastruktury, narzędzi, wiedzy i umiejętności pracowników)
  • Ocena procesów przetwarzania danych z uwzględnieniem wymogów prawnych i wewnętrznych regulacji

Zarządzanie Ryzykiem:

  • Opracowanie i wdrożenie procesu zarządzania ryzykiem zgodnie z KRI, RODO i normą PN-ISO/IEC 27005
  • Identyfikacja zagrożeń i podatności w systemach teleinformatycznych
  • Szacowanie ryzyka utraty poufności, integralności i dostępności informacji, uwzględniając ich skutki dla bezpieczeństwa informacji, praw i wolności osób fizycznych oraz cyberbezpieczeństwa
  • Przeprowadzanie Oceny Skutków dla Ochrony Danych (DPIA) dla operacji wysokiego ryzyka
  • Określenie i wdrożenie działań minimalizujących zidentyfikowane ryzyka
  • Dokumentowanie procesu analizy ryzyka i planów postępowania z ryzykiem

Dokumentacja Systemu Zarządzania Bezpieczeństwem Informacji (SZBI):

Weryfikacja i aktualizacja istniejącej dokumentacji SZBI (np. Polityki Bezpieczeństwa Informacji - PBI, Instrukcji Zarządzania Systemem Informatycznym - IZSI, Polityki Ochrony Danych Osobowych - PODO).

Opracowanie brakujących lub wymagających aktualizacji dokumentów, takich jak:

Polityka zarządzania hasłami

Polityka uwierzytelniania dwuskładnikowego (2FA), szczególnie dla systemów krytycznych i dostępu zdalnego, zgodnie z NIS2

Zasady akceptowalnego użycia aktywów

Procedury zarządzania incydentami bezpieczeństwa informacji, w tym ich klasyfikacji (krytyczne, wysokiego ryzyka), raportowania (do CSIRT w ciągu 24h, do PUODO w ciągu 72h), analizy, reagowania i dokumentowania w rejestrze incydentów

Plan Ciągłości Działania (PCD), obejmujący scenariusze zdarzeń krytycznych (np. awaria systemów IT, brak zasilania, brak dostępu do Internetu) oraz procedury odzyskiwania sprawności

Procedury dotyczące bezpiecznego zbywania i utylizacji sprzętu

Dokumentacja bezpieczeństwa zarządzania systemem i siecią, w tym architektura sieci

Procedury bezpiecznej eksploatacji urządzeń i systemów informatycznych

Zapewnienie zgodności dokumentacji z wymogami KRI (2024 r.), RODO, UoKSC, NIS2 oraz normami ISO 27001/27005

Dostosowanie Systemów Teleinformatycznych i Wdrażanie Środków Bezpieczeństwa:

  • Wsparcie techniczne w implementacji wymagań KRI dotyczących minimalnych wymagań dla systemów IT
  • Implementacja i konfiguracja technicznych środków ochrony informacji, takich jak:
  • Mechanizmy uwierzytelniania i kontroli dostępu (nadawanie, modyfikacja, odbieranie uprawnień, w tym uprzywilejowanych)
  • Rozwiązania do szyfrowania danych (na nośnikach przenośnych, w transmisji)
  • Oprogramowanie chroniące przed szkodliwym oprogramowaniem
  • Mechanizmy monitorowania systemu (logi)
  • Rozwiązania zapewniające bezpieczeństwo fizyczne i środowiskowe sprzętu i infrastruktury IT (np. zasilanie awaryjne UPS, porządek w serwerowni)
  • Zabezpieczenia komunikacji (np. protokół https, bezpieczne połączenia zdalne)
  • Optymalizacja wykorzystania zasobów systemowych
  • Wsparcie w bezpiecznej eksploatacji urządzeń, w tym zarządzanie nośnikami przenośnymi
  • Ustalenie i utrzymanie zasad bezpiecznej pracy zdalnej
  • Wsparcie w bezpiecznym zarządzaniu systemem i siecią, w tym izolacja ruchu sieciowego dla osób postronnych
  • Pomoc w utrzymaniu legalności oprogramowania.
  • Wdrażanie procesów regularnego wykonywania i testowania kopii zapasowych danych
  • Dostosowanie systemów przetwarzających dane osobowe do wymagań RODO (np. w zakresie bezpieczeństwa przetwarzania zgodnie z art. 32 RODO)

Szkolenia i Budowanie Świadomości:

  • Opracowanie i przeprowadzanie szkoleń dla pracowników i innych użytkowników systemów z zakresu KRI, RODO, UoKSC, NIS2, bezpieczeństwa informacji i systemów IT
  • Programy szkoleń obejmujące ramy prawne KRI, cele, obowiązki, atrybuty bezpieczeństwa, normy ISO, sposób wdrożenia SZBI, odpowiedzialność administratora i pracowników
  • Podnoszenie świadomości pracowników na temat zagrożeń (np. socjotechnika, ataki telefoniczne) i podatności oraz właściwego reagowania na incydenty

Przeglądy i Doskonalenie:

  • Cykliczne testowanie i przeglądy Planów Ciągłości Działania
  • Regularne przeglądy i audyty SZBI oraz zgodności z politykami i procedurami
  • Przeglądy zarządzania bezpieczeństwem, w tym analiza incydentów i wprowadzanie działań korygujących i zapobiegawczych
  • Monitorowanie zmian w przepisach prawa i standardach bezpieczeństwa oraz dostosowywanie procesów i dokumentacji

Wsparcie w Zarządzaniu Współpracą z Podmiotami Zewnętrznymi (np. ZWS):

  • Określenie wymagań bezpieczeństwa informacji dla podmiotów współpracujących
  • Wsparcie w opracowaniu procedur dotyczących udostępniania systemów i danych (np. bezpieczne połączenia zdalne dla wsparcia serwisowego)
  • Pomoc w prowadzeniu rejestrów podmiotów zewnętrznych posiadających uprawnienia do systemu

Nasi doświadczeni specjaliści, bazując na wiedzy wynikającej z analizy Państwa wewnętrznej dokumentacji oraz znajomości obowiązujących przepisów i standardów, zapewnią kompleksowe wsparcie w zbudowaniu i utrzymaniu solidnego poziomu bezpieczeństwa informacji, pełną zgodność z wymogami prawnymi oraz zwiększenie odporności Państwa organizacji na cyberzagrożenia.

 


Zapraszamy do kontaktu w celu omówienia szczegółów i przygotowania spersonalizowanej oferty, dostosowanej do unikalnych potrzeb i kontekstu Państwa Jednostki.