Przejdź do treści
Filar II / Reakcja na incydent06.03.2026 · 3 min

Incydent w JST: pierwsze 30 minut bez improwizacji (role, dokumentowanie, eskalacja)

Pierwsze 30 minut incydentu w JST decyduje o skali szkody i jakości dalszej analizy. Ustal role, kartę zdarzenia, eskalację i pierwsze decyzje bez improwizacji.

Ilustracja: karta zdarzenia i checklista pierwszych 30 minut incydentu w JST.

Pierwsze 30 minut incydentu w JST powinno uporządkować decyzje, odpowiedzialności i ślady działań. To nie jest etap na długie analizy. To etap, w którym trzeba szybko ustalić prowadzącego, uruchomić kartę zdarzenia, ograniczyć rozprzestrzenianie i zadbać o eskalację według z góry ustalonej ścieżki.

Jeśli chcesz zobaczyć, jak reakcja incydentowa łączy się z pozostałymi obszarami systemu, zacznij od strony O systemie. Potem sprawdź moduł Obsługa incydentów cyberbezpieczeństwa.

Co musi wydarzyć się w pierwszych 30 minutach

  1. Potwierdzenie, czy mamy zdarzenie bezpieczeństwowe, a nie zwykłą usterkę.
  2. Wyznaczenie osoby prowadzącej i osoby odpowiedzialnej za komunikację.
  3. Uruchomienie jednego miejsca dokumentowania: karta zdarzenia lub dziennik incydentu.
  4. Podjęcie pierwszych decyzji o izolacji, eskalacji i zabezpieczeniu dowodów.

Brak tej sekwencji powoduje, że jednostka rozprasza się na komunikatory, prywatne notatki i telefony bez właściciela procesu.

Role, które powinny być ustalone wcześniej

  • Prowadzący incydent - porządkuje decyzje i priorytety.
  • Osoba techniczna - sprawdza zasięg, logi i proponuje izolację.
  • Osoba komunikacyjna - odpowiada za przekaz do kierownictwa, partnerów i ewentualnych podmiotów zewnętrznych.
  • Decydent - zatwierdza kroki, które wpływają na ciągłość usług lub pracę urzędu.

Jeżeli te role nie są ustalone, potrzebujesz modułu Organizacja zespołu reagowania, bo sama procedura incydentowa nie zastąpi struktury odpowiedzialności.

Karta zdarzenia: jedno źródło prawdy

Karta zdarzenia powinna zawierać minimum: czas wykrycia, opis sygnału, zasięg, podjęte decyzje, osoby zaangażowane, kroki izolacyjne i kolejne punkty kontrolne. Chodzi nie o rozbudowaną dokumentację, tylko o jedną wspólną oś czasu. To potem pomaga w raporcie po incydencie i działaniach naprawczych.

Temat zamknięcia incydentu i analizy przyczyn rozwija moduł Analiza incydentu i działania naprawcze.

Kiedy eskalować

Eskalacja nie powinna zaczynać się od szukania numerów. Lista kontaktów do dostawców, operatorów, CSIRT i osób decyzyjnych powinna być gotowa wcześniej. Jeżeli incydent dotyka poczty, domeny albo istnieje ryzyko rozprzestrzeniania, warto równolegle spojrzeć na artykuł SPF, DKIM i DMARC w JST oraz na moduł Monitoring i wykrywanie zagrożeń.

Checklista 30 minut

  • Czy wiadomo, kto prowadzi incydent?
  • Czy wszystkie działania są zapisywane w jednym miejscu?
  • Czy ustalono, co izolujemy i jak ograniczamy dalsze skutki?
  • Czy uruchomiono właściwą ścieżkę eskalacji?
  • Czy zabezpieczono najważniejsze logi i ślady działań?

FAQ: pierwsze 30 minut incydentu

Czy najpierw dokumentować, czy najpierw reagować?

Najpierw reagować według ustalonej checklisty, ale dokumentowanie trzeba uruchomić praktycznie równolegle. Bez wspólnej osi czasu bardzo szybko traci się kontrola nad tym, co już zrobiono.

Czy mała JST potrzebuje formalnego zespołu reagowania?

Tak, ale nie musi to być duży zespół. Wystarczy jasno opisana matryca ról i zastępstw, nawet jeśli jedna osoba łączy kilka funkcji.

Co czytać dalej po tym artykule?

Jeśli chcesz domknąć odporność organizacji po stronie usług, przejdź do tekstu Ciągłość działania w JST. Jeżeli potrzebujesz mapy priorytetów na poziomie całej jednostki, zobacz jak ustawić priorytety cyberbezpieczeństwa.

Powiązane moduły

Najsilniejsze połączenie dla tego obszaru to Obsługa incydentów cyberbezpieczeństwa, Organizacja zespołu reagowania, Analiza incydentu i działania naprawcze oraz Monitoring i wykrywanie zagrożeń.