Obowiązki po wprowadzeniu stopnia alarmowego CRP

08.07.2020 15:21 przez Andrzej Fudala

Kiedy i kto może wprowadzić stopień alarmowy?

Ważne wydarzenia polityczne, społeczne lub gospodarcze bardzo często uaktywniają terrorystów i cyberterrorystów. Tak też może być przy okazji drugiej tury wyborów prezydenckich w Polsce. Należy liczyć się z tym, że na czas tych wyborów to znaczy na dzień 12 lipca 2020 r. wprowadzony zostanie jeden z czterech stopni alarmowych CRP.

W przypadku zagrożenia wystąpieniem zdarzenia o charakterze terrorystycznym albo w przypadku wystąpienia takiego zdarzenia Prezes Rady Ministrów w drodze zarządzenia możne wprowadzić jeden z czterech stopni alarmowych: pierwszy, drugi, trzeci, czwarty (odpowiednio ALFA, BRAVO, CHARLIE, DELTA).

Natomiast w przypadku zagrożenia wystąpieniem zdarzenia o charakterze terrorystycznym dotyczącego systemów teleinformatycznych albo w przypadku wystąpienia takiego zdarzenia można wprowadzić jeden z czterech stopni alarmowych CRP oznaczanych odpowiednio ALFA–CRP, BRAVO–CRP, CHARLIE–CRP, DELTA–CRP.

Dotychczas dziewięć razy wprowadzano na obszarze Rzeczpospolitej Polskiej stopnie alarmowe lub stopnie alarmowe CRP. Po raz pierwszy stopień alarmowy wprowadzony został w związku ze Szczytem NATO w 2016 roku. Ostatni raz wprowadzono stopień alarmowy na czas trwania pierwszej tury wyborów prezydenckich 28 czerwca 2020 roku

Co należy robić po wprowadzeniu stopnia alarmowego CRP ?

UWAGA!

Rekomendujemy priorytetowo traktować problematykę zapewnienia ciągłości świadczenia usług niektórym organom administracji publicznej takim jak szpitale, straż pożarna, jednostki policji itp. Szczególną uwagę zwrócić na zapewnienie telekomunikacji z numerami alarmowymi.

Po wprowadzeniu jednego z czterech stopni alarmowych CRP należy wykonać czynności określone w przepisach, w szczególności:

ALFA-CRP
BRAVO-CRP
CHARLIE-CRP
DELTA-CRP
ALFA-CRP
  1. wprowadzić wzmożone monitorowanie stanu bezpieczeństwa systemów teleinformatycznych, zwanych dalej „systemami”, ze szczególnym zwróceniem uwagi na systemy kluczowe dla funkcjonowania organizacji (przedsiębiorstwa) oraz:
    • monitorować i weryfikować, czy nie doszło do naruszenia bezpieczeństwa komunikacji elektronicznej,
    • sprawdzać dostępność usług telekomunikacyjnych,
    • dokonywać, w razie potrzeby, zmian w dostępie do systemów (np. zmiany haseł, zmiany zakresu uprawnień);
    1. poinformować personel, w szczególności personel odpowiedzialny za bezpieczeństwo systemów teleinformatycznych, o konieczności zachowania zwiększonej czujności w stosunku do stanów odbiegających od normy;
    2. sprawdzić kanały łączności z innymi, właściwymi dla rodzaju stopnia alarmowego CRP, podmiotami lub osobami biorącymi udział w reagowaniu kryzysowym; 
    3. dokonać przeglądu stosownych procedur oraz zadań związanych z wprowadzeniem stopni alarmowych CRP, w szczególności dokonać weryfikacji posiadanej kopii zapasowej baz danych oraz systemów teleinformatycznych, w szczególności systemów kluczowych dla funkcjonowania organizacji (przedsiębiorstwa), oraz dokonać weryfikacji czasu wymaganego na przywrócenie poprawności funkcjonowania systemu;
    4. sprawdzić aktualny stan bezpieczeństwa systemów i ocenić wpływ zagrożenia na bezpieczeństwo teleinformatyczne na podstawie bieżących informacji i prognoz wydarzeń;
    5. informować na bieżąco o efektach przeprowadzanych działań zespoły reagowania lub kierownictwo przedsiębiorstwa na incydenty bezpieczeństwa teleinformatycznego właściwe dla rodzaju działania organizacji;
    BRAVO-CRP
    1. wykonać zadania wymienione dla pierwszego stopnia alarmowego ALFA-CRP
    2. zapewnić dostępność w trybie alarmowym personelu odpowiedzialnego za bezpieczeństwo systemów;
    3. rozważyć wprowadzenia całodobowego dyżuru administratorów systemów teleinformatycznych kluczowych dla funkcjonowania organizacji oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa systemów teleinformatycznych.

    CHARLIE-CRP
    1. należy wykonać zadania wymienione dla pierwszego i drugiego stopnia alarmowego (ALFA-CRP i BRAVO-CRP)
    2. wprowadzić całodobowe dyżury administratorów systemów informatycznych kluczowych dla funkcjonowania organizacji (przedsiębiorstwa) oraz personelu uprawnionego do podejmowania decyzji w sprawach bezpieczeństwa systemów teleinformatycznych;
    3. dokonać przeglądu dostępnych zasobów zapasowych pod względem możliwości ich wykorzystania w przypadku zaistnienia ataku; 
    4. przygotować się do uruchomienia planów umożliwiających zachowanie ciągłości działania (jeśli takie plany zostały wcześniej opracowane i wdrożone w organizacji (przedsiębiorstwie)) po wystąpieniu potencjalnego ataku, w tym:
      • dokonać przeglądu i ewentualnego audytu planów awaryjnych oraz systemów,
      • przygotować się do ograniczenia operacji na serwerach, w celu możliwości ich szybkiego i bezawaryjnego zamknięcia.
      DELTA-CRP
      1. należy wykonać zadania wymienione dla pierwszego, drugiego i trzeciego stopnia alarmowego (ALFA-CRP, BRAVO-CRP i CHARLIE-CRP)
      2. uruchomić plany awaryjne, plany ciągłości działania lub plany działań (przedsiębiorstwa) w sytuacjach awarii lub utraty ciągłości działania;
      3. stosownie do sytuacji przystąpić do realizacji procedur przywracania ciągłości działania.

      Na kim spoczywa obowiązek wykonania czynności po wprowadzeniu stopnia alarmowego CRP ?

      Czynności wynikające z wprowadza stopnia alarmowego CRP obowiązani są wykonać organy administracji publicznej, właściciele i posiadacze obiektów, instalacji, urządzeń infrastruktury administracji publicznej, infrastruktury krytycznej lub systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej.
      Zdecydowana większość przedsiębiorców telekomunikacyjnych nie są właścicielami i posiadaczami obiektów, instalacji, urządzeń infrastruktury krytycznej lub systemów teleinformatycznych wchodzących w skład infrastruktury krytycznej.
      Jednak ze względu na możliwość większego ryzyka zagrożenia bezpieczeństwa systemów teleinformatycznych będących w dyspozycji przedsiębiorców telekomunikacyjnych REKOMENDUJEMY podjąć działania zabezpieczające przed atakami cyberterrorystycznymi. Podjęcie takich działań może uchronić przed negatywnymi skutkami takich ataków lub zminimalizować ich skutki.