Polityka reagowania na incydenty – SME

Polityka reagowania na incydenty (P30S) została opracowana z myślą o małych i średnich przedsiębiorstwach (MŚP), które potrzebują solidnych protokołów zgodnych z ISO/IEC 27001:2022 bez konieczności posiadania wewnętrznego centrum operacji bezpieczeństwa (SOC) lub etatowego dyrektora ds. bezpieczeństwa informacji (CISO). Ta polityka dla MŚP wprost przypisuje rozliczalność za nadzór nad incydentami oraz powiadomienia regulacyjne dyrektorowi generalnemu (GM), zapewniając przejrzystą strukturę odpowiednią dla organizacji o ograniczonych zasobach operacji IT. Dokument opisuje wymagania, które pozwalają MŚP minimalizować szkody, chronić informacje wrażliwe oraz spełniać kluczowe obowiązki regulacyjne, takie jak 72-godzinna zasada zgłoszenia naruszenia w RODO. Zakres jest szeroki i obejmuje cały personel (pracownicy, wykonawcy, zewnętrzni dostawcy usług IT), wszystkie aktywa techniczne (strony internetowe, platformy chmurowe, konta e-mail oraz urządzenia mobilne) oraz każdą istotną formę incydentu (od nieuprawnionego dostępu po infekcję złośliwym oprogramowaniem, ataki phishingowe, awarie systemów oraz utratę/kradzież urządzeń). Polityka ustanawia szczegółowe cele: szybkie rozpoznanie, rejestrowanie, eskalację, powiadomienie prawne, skuteczne powstrzymanie, odzyskiwanie danych oraz zapobieganie oparte na przyczynach źródłowych. Wspiera również MŚP w przechodzeniu audytów ISO/IEC 27001 oraz wykazywaniu należytej rozliczalności wobec klientów i organów nadzorczych. Konkretne role i odpowiedzialności są uproszczone, aby dopasować je do kontekstu MŚP: GM zachowuje ogólną rozliczalność, wspierany przez wewnętrzną lub zewnętrzną administrację IT. Pracownicy i wykonawcy mają obowiązek natychmiast zgłaszać każdy incydent bez podejmowania nieautoryzowanych napraw. Zewnętrzni dostawcy są zobowiązani do powiadomienia GM i wsparcia działań powstrzymania zgodnie z zobowiązaniami dotyczącymi zgodności umownej, przy zachowaniu tych samych terminów eskalacji co w przypadku incydentów wewnętrznych. Polityka określa ustrukturyzowane procedury zgłaszania, w tym jasne kanały komunikacji (dedykowany e-mail incydentowy lub zgłoszenie ustne), wymagane szczegóły (czas wykrycia, charakter, systemy dotknięte oraz obserwowalny wpływ) oraz kategoryzację w ciągu jednej godziny. Dzienniki incydentów, utrzymywane przez GM, stanowią podstawę prowadzenia zapisów na potrzeby audytów. Kwartalne przeglądy, analizy przyczyn źródłowych oraz aktualizacje po incydencie zapewniają zarówno bieżącą skuteczność, jak i reakcję na pojawiające się zagrożenia. Dokument opisuje również wymagania dotyczące szkoleń i świadomości dla całego personelu, wdrażania, sesji szkolenia przypominającego oraz obowiązkowych oczekiwań w zakresie zgłaszania incydentów. Postanowienia dotyczące egzekwowania wymagają pełnej zgodności wszystkich podmiotów, w tym stron trzecich: niespełnienie wymagań lub naruszenia protokołu mogą skutkować ostrzeżeniami, cofnięciem uprawnień dostępu, karami umownymi lub usunięciem z list dostawców. Wszystkie dowody i rejestry zdarzeń muszą być przechowywane przez co najmniej jeden rok oraz udostępniane do audytów zgodnie z wymaganiami. Kompleksowe mechanizmy przeglądu zapewniają, że polityka pozostaje zgodna z ewoluującymi normami, zmianami regulacyjnymi oraz zmianami operacyjnymi, pozostając responsywna i adekwatna dla MŚP.