Stopień alarmowy CRP jest ostrzeżeniem związanym z możliwym zagrożeniem atakami terrorystycznymi na systemy teleinformatyczne administracji publicznej oraz infrastruktury krytycznej. W związku z napiętą sytuacją w Ukrainie, 21 lutego 2022 roku na terenie całej Polski wprowadzono trzeci stopień alarmowy CRP (CHARLIE-CRP). Aktualnie przedłużono jego obowiązywanie do 30. listopada 2022 roku do godz. 23:59. Z jakimi działaniami wiąże się wprowadzenie stopni alarmowych CRP?
Stopień alarmowy CRP – dlaczego się go wprowadza?
W zależności od prawdopodobieństwa i skali zagrożenia dotyczącego cyberbezpieczeństwa, wprowadza się stopnie alarmowe CRP. Określone zostały w Rozporządzeniu Prezesa Rady Ministrów z dn. 25.11.2016 r, Dz.U. 2016 poz. 1101.
Ogłoszenie jednego ze stopni alarmowych CRP obejmuje terytorium całego kraju, poszczególne jednostki terytorialne lub określony obszar, ale nie dotyczy jedynie Polski. Stopień alarmowy CRP uwzględnia również polskie instytucje lub infrastrukturę, które znajdują się poza granicami kraju.
Stopnie alarmowe CRP w Polsce
W Dz.U. 2016 poz. 1101 opisano m.in. cztery stopnie alarmowe CRP, które mogą zostać wprowadzone w oparciu o aktualną sytuację w kraju lub w regionie.
ALFA-CRP
Po stwierdzeniu niskiego poziomu zagrożenia cyberatakiem, wprowadza się stopień ALFA-CRP. Wiąże się on ze wzmożoną kontrolą bezpieczeństwa systemów teleinformatycznych organów administracji publicznej, a także infrastruktury krytycznej.
ALFA-CRP zobowiązuje do monitorowania i weryfikacji komunikacji elektronicznej w celu wykrycia naruszenia bezpieczeństwa, sprawdzania dostępności usług elektronicznych oraz dokonywania zmian w systemie zgodnie z aktualną potrzebą. Personel instytucji powinien zachować wzmożoną czujność, a ponadto należy na bieżąco sprawdzać kanały łączności z podmiotami adekwatnymi do reagowania kryzysowego. Pierwszy stopień alarmowy CRP zobowiązuje również do zweryfikowania posiadanych kopii zapasowych systemów.
BRAVO-CRP
W przypadku drugiego stopnia alarmowego CRP należy wykonać wszystkie czynności związane ze stopniem ALFA-CRP. Dodatkowo należy zapewnić dostępność w trybie alarmowym personelu związanego z bezpieczeństwem systemów teleinformatycznych, a także wprowadzić całodobowe dyżury kluczowych administratorów i personelu.
Stopień alarmowy CRP w tej chwili obowiązujący na terenie Polski – CHARLIE-CRP
CHARLIE-CRP wiąże się z wykonaniem zadań z pierwszego oraz drugiego stopnia alarmowego CRP. Ponadto wprowadza całodobowe dyżury kluczowych administratorów i personelu pracujących przy zapewnianiu bezpieczeństwa systemów.
Oprócz tego należy dokonać przeglądu istniejących kopii zapasowych i przeanalizować ich wykorzystanie w przypadku cyberataku. CHARLIE-CRP zobowiązuje również do uruchomienia planów umożliwiających zapewnienie ciągłości działania systemów.
DELTA-CRP
Czwarty stopień alarmu CRP zobowiązuje do wprowadzenia wszystkich działań wymienionych we wcześniejszych stopniach. Dodatkowo należy uruchomić plany awaryjne stosowne do procedur przywracania ciągłości działania systemów.