Cyberbezpieczny Samorząd – koszty kwalifikowalne
Cyberbezpieczny Samorząd to projekt stwarzający dla JST możliwość zainwestowania środków grantowych w rozwój bezpieczeństwa teleinformatycznego. Wielu beneficjentów zadaje sobie pytanie na co przeznaczyć pozyskane środki finansowe. Poniższy artykuł odpowie szczegółowo na to pytanie.
Grantobiorcy mogą przeznaczyć uzyskane środki w trzech obszarach: organizacyjnym, kompetencyjnym oraz technicznym. Planując wydatkowanie, należy pamiętać, że program kładzie nacisk na kwestie związane z Systemem Zarządzania Bezpieczeństwem Informacji oraz audytami. Jest to kluczowa kwestia związana z wyborem sposobu zagospodarowania wsparcia finansowego.
W obszarze organizacyjnym środki przeznaczyć można na opracowanie, wdrożenie, przegląd i aktualizację dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), w tym między innymi:
- wprowadzenie lub aktualizację polityk bezpieczeństwa informacji (PBI),
- analizy ryzyka (opracowanie i wdrożenie metodyk), np. procedur ze szczególnym uwzględnieniem: obsługi incydentów, ciągłości działania i zarządzania kryzysowego, stosowania kryptografii i szyfrowania, kontroli dostępu, bezpieczeństwa pracy zdalnej, używania urządzeń mobilnych oraz audyty: Systemu Zarządzania Bezpieczeństwem Informacji, audyt zgodności KRI/uoKSC przez wykwalifikowanych audytorów, (re‑)certyfikacja SZBI, aby była zgodna z obowiązującymi normami.
Planując realizację celów projektu Cyberbezpieczny Samorząd, należy pamiętać że jego założenia zostały opracowane tak, aby podmioty realizujące usługi posiadały odpowiednią wiedzę oraz certyfikaty. W zakresie uprawnień do wykonywania audytów, warunkiem koniecznym jest posiadanie certyfikatów wskazanych w Rozporządzeniu Ministra Cyfryzacji z dnia 12 października 2018 r. w sprawie wykazu certyfikatów uprawniających do przeprowadzania audytu. Zwrócić należy szczególną uwagę na weryfikację posiadanych przez audytorów certyfikatów. W przypadku certyfikatu audytora wiodącego ISO 27001, certyfikat musi zostać wystawiony przez jednostkę certyfikującą posiadającą akredytację Polskiego Centrum Akredytacyjnego (PCA). Nie wszystkie zatem certyfikaty audytora wiodącego ISO 27001 uprawniają do wykonywania usług w ramach Cyberbezpiecznego Samorządu.
Nie można zapomnieć, że Projekt Cyberbezpieczny Samorząd przewiduje obowiązek uzupełnienia ankiety dojrzałości oraz przeprowadzenia audytu wdrożonego systemu zarządzania bezpieczeństwem informacji w związku z ciążącym na kierownictwie obowiązkiem prawnym. Wynika on z Rozporządzenia w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.
Ankieta dojrzałości a następnie weryfikacja zasadności wydatkowania środków pod kątem podniesienia poziomu cyberbezpieczeństwa były także elementem projektów przygotowanych dla podmiotów medycznych, co- jak pokazała praktyka- pozwoliło realnie ocenić jak wdrożone działania wpłynęły na podniesienie poziomu bezpieczeństwa danych osobowych.
W obszarze kompetencyjnym środki pozyskane z grantu można wydatkować na budowanie umiejętności Zespołu, wspierania ich rozwoju i umiejętności poprzez:
- podstawowe szkolenia lub dostęp do platform szkoleniowych, które zbudują świadomość cyberzagrożeń i sposobów ochrony dla pracowników JST,
- szkolenia z zakresu cyberbezpieczeństwa dla wybranych przedstawicieli kadry JST, istotnych z punktu widzenia wdrażanej polityki bezpieczeństwa informacji i systemu zarządzania bezpieczeństwem informacji,
- szkolenia specjalistyczne dla kadry zarządzającej i informatyków w zakresie zastosowanych (planowanych do zastosowania) środków bezpieczeństwa w ramach Projektu,
- szkolenia powiązane z testami socjotechnicznymi, które będą weryfikować świadomość zagrożeń i reakcji personelu, w szczególności reagowanie specjalistów posiadających odpowiednie obowiązki w ramach SZBI w zgodzie z przyjętymi procedurami.
Podnoszenie świadomości pracowników jest fundamentem skutecznej ochrony informacji, ponieważ ma bezpośredni wpływ na to jak bezpieczne będą dane JST. Przeprowadzając kompleksowe szkolenia z cyberbezpieczeństwa ze środków projektu, należy pamiętać, by dostosować poziom i treści omawiane na szkoleniach do poziomu świadomości i wiedzy technicznej pracowników, charakteru wykonywanej pracy, a tym samym związanych z nią ryzyk. Mimo że projekt przewiduje szkolenia dla pracowników JST, szkolenia z zakresu cyberbezpieczeństwa dla wybranych przedstawicieli kadry JST, istotnych z punktu widzenia wdrażanej polityki bezpieczeństwa informacji i systemu zarządzania bezpieczeństwem informacji, należy mieć na uwadze, że każdy pracownik mający dostęp do danych, przetwarzający je w wersji elektronicznej jest niezmiernie ważny w kontekście bezpieczeństwa informacji, dlatego również powinien zostać przeszkolony. Jako przestroga mogą posłużyć przypadki, w których np. archiwista, stażysta czy nowozatrudniony pracownik bez odbytego szkolenia stawali się ofiarami ataków. Przeprowadzenie szkolenia nawet w podstawowym zakresie dla absolutnie wszystkich pracowników JST jest obligatoryjne. W przypadku naruszenia ochrony danych osobowych jest to jeden z elementów, który administrator danych podnosi w zgłoszeniu jako działania zapobiegawcze. Wskazywane jest to również jako realizacja zasady rozliczalności wynikającej z RODO.
W obszarze technicznym Jednostki mogą zakupić i wdrożyć m.in.: systemy teleinformatyczne, usługi i urządzenia zapewniające prewencję, detekcję i reakcję na zagrożenia cyberbezpieczeństwa, rozwiązania ciągłego monitorowania bezpieczeństwa, skanery podatności, zarządzanie podatnościami IT i aktywami podlegającymi ochronie, oprogramowanie z zakresu cyberbezpieczeństwa oraz zakup usług zewnętrznych ekspertów z zakresu cyberbezpieczeństwa. Duży nacisk położony jest również na kwestię testów podatności oraz innych testów i badań bezpieczeństwa do informacji.