Obszar | Zagadnienie | Działanie | Rozwiązania EXN |
Zarządzanie (ZA) | Działania zarządu Jednostki (ZA.2) | Kierownik JST odbył szkolenie w zakresie cyberbezpieczeństwa w ciągu ostatniego roku. |
eduHEZO / Proofpoint PSAT |
Kierownik JST cyklicznie przegląda raport oceny ryzyka w Jednostce. | FortiAnalyzer, FortiSiem | ||
System Zarządzania Bezpieczeństwem Informacji (SZBI) | (SZBI.3) Szacowanie ryzyka. Organizacja rozumie ryzyko cyberbezpieczeństwa dla działalności organizacyjnej (w tym misji, funkcji, wizerunku lub reputacji), zasobów organizacyjnych i osób. | Podatności w zasobach Jednostki są identyfikowane i dokumentowane. | FortiEDR, FortiClient EMS, Tenable Nessus, Crowdstrike |
W Jednostce dokonuje się szacowania ryzyka związanego z zagrożeniami bezpieczeństwa informacji. | eduHEZO, Proofpoint PSAT, Tenable Vulnerability Management, Tenable Security Center | ||
W Jednostce zagrożenia wewnętrzne i zewnętrzne są identyfikowane i dokumentowane. |
FortiDeceptor, Tenable Vulnerability Management, Tenable Security Center | ||
Ochrona (OCH) | (OCH.1) Zarządzanie tożsamościami, uwierzytelnianie i kontrola dostępu | W Jednostce wdrożono system zarządzania tożsamościami i uprawnieniami. |
BeyondTrust, FortiAuthenticator, ClearPass, Wallix |
Fizyczny dostęp do zasobów Jednostki jest zarządzany i chroniony. | |||
Funkcjonuje zarządzanie zdalnym dostępem do zasobów Jednostki. | BeyondTrust, FortiAuthenticator, FortiPAM, F5 APM | ||
Konta użytkowników i ich prawa dostępu do zasobów są przez Jednostkę zarządzane z uwzględnieniem zasady najniższych uprawnień i rozdzielenia obowiązków. | BeyondTrust, FortiAuthenticator, FortiPAM, Wallix | ||
Integralność sieci Jednostki jest chroniona (np. przez segmentację). | FortiSwitch, Extreme, HPE | ||
Weryfikacja dostępu do zasobów Jednostki opiera się na wykorzystania uwierzytelniania wieloskładnikowego (MFA). | ymantec VIP, FortiAuthenticator, F5 APM | ||
(OCH.2) Świadomość i podnoszenie kompetencji | Użytkownicy ze wysokimi uprawnieniami rozumieją swoje role i obowiązki w Jednostce. | FortiPAM, BeyondTrust | |
Podmioty zewnętrzne współpracujące z Jednostką (np. dostawcy, klienci, partnerzy) rozumieją swoje role i obowiązki. | Proofpoint PSAT | ||
Kadra kierownicza wyższego szczebla w Jednostce rozumie swoje role i obowiązki. |
Proofpoint PSAT | ||
Personel cyberbezpieczeństwa oraz bezpieczeństwa fizycznego w Jednostce rozumie swoje role i obowiązki. |
Proofpoint PSAT | ||
(OCH.3) Bezpieczeństwo danych | W Jednostce dane w spoczynku są chronione. | HPE, Fujitsu | |
W Jednostce dane przesyłane są zabezpieczone. | FortiGate | ||
Zasoby Jednostki są formalnie zarządzane podczas usuwania, przenoszenia i dysponowania. | |||
Utrzymywana jest odpowiednia zdolność Jednostki do zapewnienia dostępności do jej danych. | FortiGate, FortiWEB, FortiADC, F5 APM | ||
Wdrożono w Jednostce mechanizmy ochrony przed wyciekami danych. | Symantec DLP, FortiGate (wybrane funkcje), FortiMail (wybrane funkcje) | ||
(OCH.4) Bezpieczeństwo kopii zapasowych, plany reagowania na zagrożenia | Kopie zapasowe danych Jednostki są sporządzane, utrzymywane i testowane. |
HPE, Fujitsu, Veeam | |
Dostęp do kopii zapasowych danych Jednostki jest dodatkowo chroniony. | |||
Odpowiednie dane, będące w posiadaniu Jednostki, są niszczone zgodnie z funkcjonującymi politykami. | |||
Opracowano plan backupu i odmiejscowienia kopii zapasowych danych Jednostki. | Backbox (backup ustawień urządzeń sieciowych) | ||
Jednostka posiada i zarządza planami reagowania: w zakresie reagowania na incydenty, w zakresie ciągłości działania oraz planami odtwarzania w zakresie odtwarzania po incydentach i awariach. |
Backbox (backup ustawień urządzeń sieciowych) | ||
Plany reagowania i odtwarzania są w Jednostce weryfikowane i testowane. | Veeam, HPE | ||
Opracowano i wdrożono w Jednostce plan zarządzania podatnościami. | |||
Technologia ochronna (OCH.5) | Zapisy zdarzeń / logów / inspekcji są określone, dokumentowane, wdrażane i sprawdzane zgodnie z politykami Jednostki. | FortiAnalyzer, FortiSIEM | |
Nośniki wymienne są chronione, a ich stosowanie jest ograniczone zgodnie z politykami Jednostki. | FortiClient EMS | ||
Zasada najmniejszej funkcjonalności jest stosowana w Jednostce przy konfiguracji systemów tak, by posiadały one tylko niezbędne możliwości. | FortiAuthenticator, Clearpass, Extreme | ||
Łącza Jednostki do Internetu są chronione (np. przez AntyDDoS własny / operatorski / inne rozwiązania). | FortiDDoS, Radware DefensePro | ||
Odpowiednie mechanizmy (jak np. failsafe, równoważenie obciążenia – load ballancing) są wdrażane w Jednostce w celu osiągnięcia odpowiednich wymagań, dotyczących odporności w normalnych oraz niekorzystnych warunkach. | F5 LTM, FortiADC | ||
Zdarzenia i Monitoring (CM) | Anomalie i zdarzenia (CM.1) | Wykryte zdarzenia są w Jednostce analizowane w celu wykrycia metody, przebiegu oraz celu ataków. | FortiDeceptor, FortiSandbox, FortiEDR, CrowdStrike |
Dane o zdarzeniach są pozyskiwane z wielu źródeł w infrastrukturze IT Jednostki a następnie są centralnie korelowane i analizowane. | FortiSIEM, FortiAnalyzer+Fabric, Gigamon | ||
Ciągłe monitorowanie bezpieczeństwa (CM.2) | Sieć Jednostki jest monitorowana w celu wykrywania potencjalnych zdarzeń cyberbezpieczeństwa. | FortiDeceptor, FortiAnalyzer | |
Środowisko fizyczne Jednostki jest monitorowane w celu wykrycia potencjalnych zdarzeń cyberbezpieczeństwa. | FortiCamera | ||
Aktywność personelu Jednostki jest monitorowana w celu wykrycia potencjalnych zdarzeń związanych z cyberbezpieczeństwem. | FortiCamera, FortiPAM | ||
Złośliwy kod w oprogramowaniu Jednostki jest wykrywany. | FortiWEB | ||
Nieautoryzowany kod źródłowy oprogramowania Jednostki jest wykrywany (np. ActiveX, JavaScript). | FortiWEB | ||
Aktywność zewnętrznych dostawców usług dla Jednostki jest monitorowana w celu wykrywania potencjalnych zagrożeń cyberbezpieczeństwa. | FortiPAM, BeyondTrust, Wallix, F5 APM | ||
Prowadzi się w Jednostce ciągłe monitorowanie pod kątem nieautoryzowanego dostępu, połączeń, urządzeń i oprogramowania. | FortiNAC, FortiGate, FortiClient, FortiAnalyzer, Extreme NAC, Aruba Clearpass | ||
Przeprowadza się w Jednostce cykliczne skanowanie podatności. | FortiClient EMS, Tenable | ||
Reagowanie (RE) | Planowanie reagowania (RE) | Plan reagowania na incydenty w Jednostce jest realizowany w trakcie trwania incydentu lub po jego wystąpieniu. | FortiDeceptor, FortiEDR, CrowdStrike |
Personel Jednostki zna swoje role i kolejność operacji, na wypadek konieczności reagowania na incydenty bezpieczeństwa. | |||
Incydenty są zgłaszane w Jednostce zgodnie z ustalonymi procedurami. | |||
Informacje o incydentach bezpieczeństwa są udostępniane w Jednostce zgodnie z planami reagowania na incydenty. | |||
Koordynacja Jednostki ze stronami trzecimi jest prowadzona w sposób zgodny z planami reagowania. | |||
Dobrowolna wymiana informacji Jednostki z zewnętrznymi podmiotami jest prowadzona w celu osiągnięcia szerszej świadomości sytuacyjnej w zakresie cyberbezpieczeństwa. |
|||
Jednostka jest podłączona do systemu S46. | |||
Obsługa incydentów (OI) | Incydenty są wykrywane, zgłaszane i obsługiwane w obrębie Jednostki. | FortiAnalyzer, FortiDeceptor, FortiEDR, CrowdStrike FortiSIEM | |
Są prowadzone działania naprawcze po wystąpieniu Incydentów. | FortiEDR, CrowdStrike | ||
Nowe, zidentyfikowane w Jednostce podatności są usuwane lub akceptowane i dokumentowane są ryzyka związane z nimi. | FortiClient EMS, FortiEDR | ||
Doskonalenie (DS) | Plany reagowania na incydenty uwzględniają wyciąganie wniosków z wykrytych i obsłużonych incydentów. |
FortiDeceptor, FortiEDR, CrowdStrike | |
Polityki reagowania na incydenty w Jednostce są aktualizowane. | |||
Odtwarzanie (OD) | Planowanie odtwarzania (OD.1) | Plan odtwarzania po awarii jest realizowany w Jednostce po wystąpieniu szkodliwych skutków incydentu cyberbezpieczeństwa. | |
Aktualizacja (OD.2) | W Jednostce plany odtwarzania uwzględniają zgromadzone, dotychczasowe wnioski i doświadczenia, które są wykorzystywane w procesie doskonalenia (baza doświadczeń). |
||
W Jednostce polityki odtwarzania są aktualizowane. | |||
Infrastruktura (IN) | Sieć LAN (IN.1) | W infrastrukturze IT Jednostki są wykorzystywane przełączniki klasy enterprise i mają one aktualne, wykupione wsparcie. | FortiSwitch, Extreme, Aruba |
W Jednostce jest stosowana segmentacja sieci. | FortiSwitch, Extreme, Aruba | ||
W Jednostce jest stosowany mechanizm DNS Sinkholing, oparty na liście ostrzeżeń z CERT Polska. | Infoblox B1TD, FortiGAte | ||
W Jednostce jest wykorzystywane tylko oprogramowanie posiadające aktualne wsparcie. | |||
Ochrona brzegowa (IN.2) | W Jednostce jest Firewall klasy enterprise, ma aktualne wsparcie, jest aktualizowany na bieżąco. | FortiGate | |
W Jednostce jest wykorzystywany VPN a certyfikaty mają wszyscy użytkownicy VPN. | FortiGate, FortiAuthenticator | ||
Poczta (IN.3) | Jednostka posiada własny serwer poczty. | ||
W Jednostce są wdrożone mechanizmy SPF / DKIM / DMARC. | Proofpoint | ||
W Jednostce jest wdrożony Sandbox. | Symantec Malware Analysis, Proofpoint, CrowdStrike | ||
W Jednostce jest wdrożony mechanizm MFA dla wszystkich użytkowników usług pocztowych i jest aktualnie wykorzystywany. | Symantec VIP | ||
WWW i usługi on-line (IN.4) | Jednostka korzysta z samorzad.gov.pl w celu utrzymania strony informacyjnej i BIP. | FortiWEB, Radware Alteon, F5 ASM | |
W Jednostce stosuje się zabezpieczenia transmisji TLS1.3. | FortiGate, F5 APM | ||
W Jednostce jest stosowane wymuszanie silnych haseł oraz są blokowane lub usuwane konta standardowe i testowe. | FortiCASB (cloud) | ||
Wirtualizacja (IN.5) | W Jednostce jest wykorzystywana wirtualizacja serwerów. | ||
Rozwiązanie wirtualizacyjne w Jednostce posiada aktualną umowę wsparcia i otrzymuje aktualizacje producenta. | |||
Jednostka korzysta z Systemu ZUCH (Usług Chmurowych). | |||
Kopia zapasowa (IN.6) | Jednostka posiada odmiejscowioną kopię danych. | ||
Jednostka wykorzystuje do backupów napęd lub bibliotekę taśmową. | Qualstar | ||
Jednostka wykorzystuje system kopii zapasowych izolowany od środowiska produkcyjnego. | Veeam | ||
Systemy bezpieczeństwa (IN.7) | Jednostka posiada i wykorzystuje następujące rodzaje rozwiązań: | ||
SIEM (ang. Security Information and Event Management) | FortiSIEM | ||
DLP (ang. Data Loss Prevention) | Symantec DLP | ||
NAC (ang. Network Access Control) | FortiNAC, Extreme NAC, Aruba Clearpass | ||
WAF (ang. Web Application Firewall) | FortiWEB, Radware Alteon, F5 ASM | ||
PAM (ang. Privileged Access Management) | BeyondTrust, FortiPAM, Wallix | ||
DAM (ang. Database Access Management) | |||
EDR (ang. Endpoint Detection and Response) | Symantec SESC, FortiEDR, CrowdStrike Isight | ||
Ochrona DNS (ang. Domain Name Server Protection) | Infoblox, FortiDDoS | ||
IDS / IPS (ang. Intrusion Detection / Prevention System) | FortiGate, WatchGuard Firebox | ||
Antywirus / Antymalware | Symantec SEP/SES, FortiClient, CorwdStrike Prevent | ||
UTM (ang. Unified Threat Management) | FortiGate | ||
MDM (ang. Mobile Device Management) | |||
SOC (ang. Security Operations Center) | FortiSOAR, FortiSIEM | ||
Narzędzia wspierające (IN.8) | SAM (ang. Software Asset Management) | ||
CMDB (ang. Configuration Management DataBase) | FortiSIEM | ||
Narzędzie wspierające analizę ryzyka | eduHEZO, FortiPhish, FortiPolicy, FortiRecon | ||
Telekomunikacja (TE) | Typ łącza telekomunikacyjnego (TE.1) | Proszę wypełnić odpowiednimi informacjami: | |
Jednostka wykorzystuje Firewall dostarczony i zarządzany przez operatora. | FortiDDoS, Radware DefensePro | ||
Jednostka wykorzystuje system AntyDDoS (własny lub operatorski). | |||
Jednostka posiada własną, wewnętrzną centralę telefoniczną. | FortiVoive, Audiocodes | ||
Zasilanie Awaryjne (TE.2) | W Jednostce są zasilacze awaryjne (UPS) przy stanowiskach pracy. | APC by Schneider Electric (Back-UPS, Back-UPS Pro, Easy-UPS), EVER, EATON | |
Wszystkie serwery w Jednostce są wyposażone w nadmiarowe zasilacze. | APC by Schneider Electric (Smart-UPS Ultra, Smart-UPS On-Line, Smart-UPS, Easy UPS On-Line), EVER, EATON | ||
Jednostka posiada własną serwerownię. | APC by Schneider Electric (Smart-UPS Ultra, Smart-UPS On-Line, Smart-UPS, Easy UPS On-Line), EVER, EATON | ||
Serwerownia Jednostki posiada zasilanie awaryjne (UPS). | APC by Schneider Electric (Easy UPS 3S, Galaxy VS), EVER | ||
Urządzenia w serwerowni Jednostki przy braku zasilania zewnętrznego korzystają z zasilania awaryjnego (UPS). | APC by Schneider Electric (Smart-UPS Ultra, Smart-UPS On-Line, Smart-UPS, Easy UPS On-Line), EVER, EATON | ||
Jednostka posiada własny generator awaryjny. | |||
Serwerownia Jednostki jest zasilana z UPS w czasie rozruchu generatora awaryjnego. | APC by Schneider Electric (Smart UPS, Easy UPS 3S, Galaxy VS), EVER, EATON | ||
Na ile godzin pracy generatora pod pełnym obciążeniem wystarczy zatankowany do pełna zbiornik paliwa do generatora? |