Przejdź do treści
Filar I / Ład dokumentacyjnyDiagnoza problemu

Nie wiem, co mam w swojej sieci

Brak aktualnej listy urządzeń, systemów, kont i właścicieli usług utrudnia ocenę ryzyka. Zacznij od rejestrów, które dają IT i kierownictwu wspólny punkt odniesienia.

Objawy

  • Lista sprzętu, systemów i kont jest rozproszona: część danych jest w arkuszach, część w mailach, część tylko u informatyka.
  • Przy audycie lub incydencie nie da się szybko wskazać właściciela systemu, wersji oprogramowania i wpływu na usługę.
  • Aktualizacje, wyjątki i podatności są oceniane bez krytyczności usług, więc trudno ustalić kolejność działań.

Dla kogo

Dla JST, które nie mają jednego źródła prawdy o sprzęcie, systemach, kontach technicznych, dostawcach i usługach krytycznych. To typowa sytuacja w małych urzędach, gdzie jedna lub dwie osoby utrzymują całą infrastrukturę, a dokumentacja powstawała przy okazji kolejnych zakupów i awarii. Ta ścieżka jest dla jednostki, która chce najpierw odzyskać obraz stanu faktycznego, a dopiero potem podejmować decyzje o zabezpieczeniach, aktualizacjach i dalszych modułach.

Dlaczego teraz

Bez aktualnych rejestrów urząd nie wie, czego naprawdę broni, które systemy są krytyczne i gdzie kończy się odpowiedzialność dostawcy. To osłabia przygotowanie do kontroli, bo brakuje dowodów: kto jest właścicielem systemu, kiedy był przegląd, jakie są zaległości i które ryzyka zaakceptowano. W praktyce każda decyzja o bezpieczeństwie zaczyna się wtedy od ręcznego szukania informacji zamiast od priorytetów.

Pozostałe problemy JST

Jeśli to nie jest Twój główny problem, sprawdź pozostałe ścieżki.

Nie mam procedur na wypadek incydentuZobacz ścieżkę →Nie mam planu na wypadek awarii lub atakuZobacz ścieżkę →