19 lipca 2023 roku Minister Cyfryzacji ogłosił program ,,Cyberbezpieczny Samorząd’’. Realizowany jest w ramach Programu Operacyjnego Fundusze Europejskie na Rozwój Cyfrowy 2021–2027. Głównym celem projektu jest zwiększenie bezpieczeństwa informacji poprzez wzmacnianie odporności jednostek samorządu terytorialnego (JST) oraz ich zdolności do skutecznego zapobiegania incydentom bezpieczeństwa teleinformatycznego, wykrywania ich i reagowania na nie. Program jest odpowiedzią na wzrastającą liczbę ataków na podmioty administracji publicznej.

Najczęstszy kontakt z obywatelami i ich danymi osobowymi mają powiaty, gminy i województwa. I to one są narażone na wypłynięcie tych danych bądź udostępnienie osobom nieupoważnionym. Dlatego tak istotne jest zadbanie o jednostki samorządu terytorialnego.

Nabór wniosków do programu o dofinansowanie trwa do końca września br. (13.10.2023 do godziny 16.00). Każdy samorząd może otrzymać od 200 tys. zł do 850 tys. zł. Wysokość dofinansowania, jak i udział wkładu własnego zależy od liczby mieszkańców oraz wskaźnika podatkowego odpowiedniego dla gmin, powiatów i województw. Całkowita wartość programu to 1,9 mld złotych.

Obszar organizacyjny

1. Opracowanie, wdrożenie, przegląd, aktualizacja dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji.
2. Audyt SZBI, audyt zgodności z wymaganiami KRI/UKSC.
3. Wprowadzenie lub aktualizacja Polityk Bezpieczeństwa Informacji.

Obszar kompetencyjny

1. Podstawowe szkolenia budujące świadomość cyberzagrożeń i sposoby ochrony dla pracowników JST.
2. Szkolenia z zakresu cyberbezpieczeństwa dla wybranych przedstawicieli kadry JST.
3. Szkolenia specjalistyczne dla kadry zarządzającej i informatyków.
4. Szkolenia powiązane z testami socjotechnicznymi.

Obszar techniczny

1. Zakup, wdrożenie i utrzymanie systemów teleinformatycznych.
2. Zakup, wdrożenie i utrzymanie rozwiązań ciągłego monitorowania bezpieczeństwa.
3. Zakup, wdrożenie, konfiguracja oraz utrzymanie urządzeń i oprogramowania.
4. Zakup usług wsparcia.
5. Zakup, wdrożenie i utrzymanie systemów lub usług na potrzeby operacyjnych centrów cyberbezpieczeństwa.
6. Zakup testów i badań bezpieczeństwa, dostępu do usług rozpoznawania zagrożeń w cyberprzestrzeni – CTI.

Podstawowym działaniem dla ochrony przed cyberzagrożeniami jest budowa Systemu Zarządzania Bezpieczeństwem Informacji (SZBI). Jest to kompleksowe podejście do identyfikacji, zarządzania i ochrony informacji w jednostkach. Nie ma jednej strategii SZBI dla wielu organizacji. Budowę Systemu należy rozpocząć od rzetelnej analizy ryzyka, czyli ocenić faktyczną możliwość wystąpienia negatywnego wpływu ataków na dane zasoby.

Realizacja SZBI odbywa się w tzw. cyklu ciągłego doskonalenia, znanego pod nazwą cyklu Deminga lub pętli PDCA – Plan (zaplanuj), Do (wykonaj), Check (sprawdź), Act (działaj). Nie jest to proces jednorazowy, ale cykliczny!