Oświadczenie o dostępności

W związku z realizacją wytycznych ustawy z dnia 5 lipca 2018 roku (Dz.U 2022 poz. 1863) o krajowym systemie cyberbezpieczeństwa w Powiatowej Bibliotece Publicznej w Lubartowie,  ul. Słowackiego 7, 21 – 100 Lubartów (dalej: Powiatowa Biblioteka Publiczna w Lubartowie) wprowadzona zostaje procedura mająca na celu prawidłowe wywiązanie się z nałożonych obowiązków w zakresie cyberbezpieczeństwa w Powiatowej Bibliotece Publicznej w Lubartowie, określająca zasady postępowania w chwili wystąpienia zagrożenia lub ataku, która przedstawia się następująco:

1.         Do monitorowania przypadków mogących mieć negatywny wpływ na cyberbezpieczeństwo, wyznacza się w Powiatowej Bibliotece Publicznej w Lubartowie Pełnomocnika ds. bezpieczeństwa cyberprzestrzeni w osobie: Ariadna Ewa Zalewska, przy czym każdy pracownik Placówki, który zauważy wystąpienie zdarzeń (zachowań w obsługiwanych systemach) mogących wskazywać na ingerencję w system osób trzecich, zobowiązany jest zawiadomić Dyrektora Powiatowej Biblioteki Publicznej w Lubartowie.

2.         Pełnomocnik ds. bezpieczeństwa cyberprzestrzeni monitoruje w szczególności wystąpienie z poziomu Internetu i/lub domeny przypadków:

a)       skanowania,

b)      spamu przesyłanego za pośrednictwem polskich serwerów,

c)       ataków typu DoS (Denial of Service) i DDoS (Distributed Denial of Service),

d)      włamań i prób włamania.

3.         Pełnomocnik ds. bezpieczeństwa cyberprzestrzeni reaguje na każde zgłoszenie dokonane przez pracownika Placówki dotyczące zdarzeń mogących wskazywać na cyberatak, lub inną formę ingerencji w systemy eksploatowane w Placówce, która wskazuje na niekontrolowane działanie osób trzecich oraz weryfikuje zgłoszenie i podejmuje stosowne działania, o których mowa w pkt. 5.

4.         Na podstawie opublikowanego raportu CERT Polska z 2018 roku (https://www.cert.pl/news/single/zgloszenia-i-incydenty-w-2018-roku/), wykaz incydentów, w tym incydentów występujących najczęściej ze szczegółowym podziałem na poszczególne kategorie według klasyfikacji eCSIRT.net[1] przedstawia tabela 1.

5.         Incydent w podmiocie publicznym – Powiatowa Biblioteka Publiczna w Lubartowie, który powoduje lub może spowodować obniżenie jakości lub przerwanie realizacji zadania publicznego Pełnomocnik ds. bezpieczeństwa cyberprzestrzeni zgłasza niezwłocznie:

a)       Dyrektorowi Powiatowej Biblioteki Publicznej w Lubartowie, w celu umożliwienia realizacji obowiązku wynikającego z art. 22 ust. 1 pkt 2 Ustawy o krajowym systemie cyberbezpieczeństwa tj. zgłoszenia incydentu niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV zawierającego informacje, o których mowa w załączniku nr 1 do niniejszej instrukcji.

b)      Inspektorowi ochrony danych (IOD) w Powiatowej Bibliotece Publicznej w Lubartowie, na adres poczty elektronicznej: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript. poprzez przesłanie wypełnionego formularza stanowiącego załącznik nr 1 do niniejszej instrukcji, oraz telefonicznie na numer: 81 854 39 41

c)       IOD dokonuje ustalenia czy zidentyfikowany incydent nie stanowi jednocześnie naruszenia ochrony danych osobowych, a w konsekwencji czy nie wymaga podjęcia stosownych działań w tym zakresie tj. oceny wagi ryzyka naruszenia praw i wolności osób fizycznych, oceny zasadności odnotowania incydentu w rejestrze incydentów i naruszeń, zgłoszenia naruszenia do PUODO, i/lub zawiadomienia osób fizycznych których dane dotyczą.

Tabela 1. Wykaz incydentów w podziale na kategorie wg klasyfikacji 

Załącznik 1

FORMULARZ ZGŁOSZENIA INCYDENTU

Dane osoby dokonującej zgłoszenia:

Kliknij lub naciśnij tutaj, aby wprowadzić tekst.

Kliknij lub naciśnij tutaj, aby wprowadzić tekst.

Kliknij lub naciśnij tutaj, aby wprowadzić tekst.

Kliknij lub naciśnij tutaj, aby wprowadzić tekst.

Kliknij lub naciśnij tutaj, aby wprowadzić tekst.

Kliknij lub naciśnij tutaj, aby wprowadzić tekst.

Kliknij lub naciśnij tutaj, aby wprowadzić tekst.

Kliknij lub naciśnij tutaj, aby wprowadzić tekst.

Kliknij lub naciśnij tutaj, aby wprowadzić tekst.

Kliknij lub naciśnij tutaj, aby wprowadzić tekst.

Wyciąg z Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa

Rozdział 5

Obowiązki podmiotów publicznych

Art. 21.

1. Podmiot publiczny, o którym mowa w art. 4 pkt 7–15, realizujący zadanie publiczne zależne od systemu

informacyjnego jest obowiązany do wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów
z podmiotami krajowego systemu cyberbezpieczeństwa.

2. Organ administracji publicznej może wyznaczyć jedną osobę odpowiedzialną za utrzymywanie kontaktów
z podmiotami krajowego systemu cyberbezpieczeństwa w zakresie zadań publicznych zależnych od systemów informacyjnych, realizowanych przez jednostki jemu podległe lub przez niego nadzorowane.

3. Jednostka samorządu terytorialnego może wyznaczyć jedną osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa w zakresie zadań publicznych zależnych od systemów informacyjnych, realizowanych przez jej jednostki organizacyjne.

Art. 22.

1. Podmiot publiczny, o którym mowa w art. 4 pkt 7–15, realizujący zadanie publiczne zależne od systemu informacyjnego:

1) zapewnia zarządzanie incydentem w podmiocie publicznym;

2) zgłasza incydent w podmiocie publicznym niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia, do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV;

3) zapewnia obsługę incydentu w podmiocie publicznym i incydentu krytycznego we współpracy z właściwym CSIRT MON, CSIRT NASK lub CSIRT GOV, przekazując niezbędne dane, w tym dane osobowe;

4) zapewnia osobom, na rzecz których zadanie publiczne jest realizowane, dostęp do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami, w szczególności przez publikowanie informacji w tym zakresie na swojej stronie internetowej;

5) przekazuje do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV dane osoby, o której mowa w art. 21, obejmujące imię i nazwisko, numer telefonu oraz adres poczty elektronicznej, w terminie 14 dni od dnia jej wyznaczenia, a także informacje o zmianie tych danych w terminie 14 dni od dnia ich zmiany.

2. Zgłoszenie, o którym mowa w ust. 1 pkt 2, przekazywane jest w postaci elektronicznej, a w przypadku braku możliwości przekazania go w postaci elektronicznej – przy użyciu innych dostępnych środków komunikacji.

Art. 23.

1. Zgłoszenie, o którym mowa w art. 22 ust. 1 pkt 2, zawiera:

1) dane podmiotu zgłaszającego, w tym nazwę podmiotu, numer we właściwym rejestrze, siedzibę i adres;

2) imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby składającej zgłoszenie;

3) imię i nazwisko, numer telefonu oraz adres poczty elektronicznej osoby uprawnionej do składania wyjaśnień dotyczących zgłaszanych informacji;

4) opis wpływu incydentu w podmiocie publicznym na realizowane zadanie publiczne, w tym:

a) wskazanie zadania publicznego, na które incydent miał wpływ,

b) liczbę osób, na które incydent miał wpływ,

c) moment wystąpienia i wykrycia incydentu oraz czas jego trwania,

d) zasięg geograficzny obszaru, którego dotyczy incydent,

e) przyczynę zaistnienia incydentu i sposób jego przebiegu oraz skutki jego oddziaływania na systemy informacyjne podmiotu publicznego;

5) informacje o przyczynie i źródle incydentu;

6) informacje o podjętych działaniach zapobiegawczych;

7) informacje o podjętych działaniach naprawczych;

8) inne istotne informacje.

2. Podmiot publiczny, o którym mowa w art. 4 pkt 7–15, przekazuje informacje znane mu w chwili dokonywania zgłoszenia, które uzupełnia w trakcie obsługi incydentu w podmiocie publicznym.