Polityka_Ochrony_Cyberprzestrzeni_RP 2013 (MAiC)_scissored.pdf

POLITYKA OCHRONYCYBERPRZESTRZENI

RZECZYPOSPOLITEJ POLSKIEJ

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

RZECZPOSPOLITA POLSKAMinisterstwo Administracji i Cyfryzacji,Agencja Bezpieczestwa Wewntrznego

POLITYKA OCHRONY CYBERPRZESTRZENI

RZECZYPOSPOLITEJ POLSKIEJ

WARSZAWA25 czerwca 2013 r.

SPIS TRECI:

1. GWNE PRZESANKI I ZAOENIA POLITYKI OCHRONY CYBERPRZESTRZENI RP ...................................41.1. DEFINICJE.............................................................................................................................................................................51.2. CEL STRATEGICZNY ............................................................................................................................................................61.3. CELE SZCZEGOWE...........................................................................................................................................................61.4. ADRESACI I ZAKRES ODDZIAYWANIA .............................................................................................................................71.5. USTANOWIENIE ODPOWIEDZIALNOCI ZA BEZPIECZESTWO CRP .............................................................................81.6. ZGODNO POLITYKI Z AKTAMI PRAWNYMI ..................................................................................................................82. UWARUNKOWANIA I PROBLEMY OBSZARU CYBERPRZESTRZENI ..................................................................93. GWNE KIERUNKI DZIAA .......................................................................................................................113.1 SZACOWANIE RYZYKA ..................................................................................................................................................... 113.2 BEZPIECZESTWO PORTALI ADMINISTRACJI RZDOWEJ ........................................................................................... 113.3 ZAOENIA DZIAA LEGISLACYJNYCH ....................................................................................................................... 123.4 ZAOENIA DZIAA PROCEDURALNO-ORGANIZACYJNYCH .................................................................................... 123.4.1 Zarzdzanie bezpieczestwem cyberprzestrzeni RP ..................................................................................... 123.4.2 System zarzdzania bezpieczestwem w jednostce organizacyjnej ...................................................... 133.4.3 Rola penomocnikw ds. bezpieczestwa cyberprzestrzeni ...................................................................... 133.5 ZAOENIA DOTYCZCE KSZTACENIA, SZKOLE I UWIADAMIANIA W DZIEDZINIE BEZPIECZESTWA ........ 133.5.1 Szkolenia penomocnikw ds. bezpieczestwa cyberprzestrzeni ............................................................ 143.5.2 Wprowadzenie tematyki bezpieczestwa teleinformatycznego jako staego element ksztacenia

na uczelniach wyszych .......................................................................................................................................... 143.5.3 Ksztacenie kadry urzdniczej w administracji rzdowej ........................................................................ 143.5.4 Kampania spoeczna o charakterze edukacyjno - prewencyjnym ........................................................... 143.6 ZAOENIA DZIAA TECHNICZNYCH ......................................................................................................................... 163.6.1 Programy badawcze ................................................................................................................................................... 163.6.2 Rozbudowa zespow reagowania na incydenty bezpieczestwa teleinformatycznego w

administracji rzdowej ........................................................................................................................................... 163.6.3 Rozbudowa systemu wczesnego ostrzegania oraz wdraanie i utrzymanie rozwiza

prewencyjnych ............................................................................................................................................................ 163.6.4 Testowanie poziomu zabezpiecze i cigo dziaania.............................................................................. 173.6.5 Rozwj zespow bezpieczestwa ......................................................................................................................... 174. WDROENIE I MECHANIZMY REALIZACJI ZAPISW DOKUMENTU .............................................................184.1 NADZR I KOORDYNACJA WDROENIA ........................................................................................................................ 184.2 KRAJOWY SYSTEM REAGOWANIA NA INCYDENTY KOMPUTEROWE W CRP .............................................................. 184.3 MECHANIZM WYMIANY INFORMACJI ............................................................................................................................ 184.4 SPOSOBY I FORMY WSPPRACY ................................................................................................................................... 194.5 WSPPRACA Z PRZEDSIBIORCAMI ............................................................................................................................ 194.5.1 Wsppraca z producentami urzdze i systemw teleinformatycznych .......................................... 194.5.2 Wsppraca z przedsibiorcami telekomunikacyjnymi................................................................................ 204.6 WSPPRACA MIDZYNARODOWA ................................................................................................................................ 205. FINANSOWANIE ..............................................................................................................................................216. OCENA SKUTECZNOCI POLITYKI ................................................................................................................226.1 PRZEWIDYWANE EFEKTY POLITYKI .............................................................................................................................. 236.2 SKUTECZNO DZIAA ................................................................................................................................................. 246.3 MONITOROWANIE EFEKTYWNOCI DZIAA W RAMACH PRZYJTEJ POLITYKI .................................................... 246.4 KONSEKWENCJE NARUSZENIA ZAPISW POLITYKI ..................................................................................................... 24

of 24Ministerstwo Administracji i Cyfryzacji, Agencja Bezpieczestwa Wewntrznego

Niniejszy dokument zosta opracowany w Ministerstwie Administracji i Cyfryzacji we wsppracy z Agencj Bezpieczestwa Wewntrznego w oparciu o:

omwiony 9 marca 2009 r. przez Komitet Stay Rady Ministrw dokument Rzdowy program ochrony cyberprzestrzeni RP na lata 2009-2011 zaoenia,

okresowe raporty o stanie bezpieczestwa obszaru gov.pl, publikowane przez Rzdowy Zesp Reagowania na Incydenty Komputerowe CERT.GOV.PL,

decyzj Przewodniczcego Komitetu Rady Ministrw do spraw Cyfryzacji nr 1/2012 z dnia 24 stycznia 2012r. w przedmiocie powoania Zespou zadaniowego do spraw ochrony portali rzdowych.

MaciekHighlight

Ministerstwo Administracji i Cyfryzacji, Agencja Bezpieczestwa WewntrznegoPage 4 of 24

1. Gwne przesanki i zaoenia Polityki Ochrony Cyberpzrestrzeni RP

W obliczu globalizacji bezpieczestwo cyberprzestrzeni stao si jednym zpodstawowych celw strategicznych w obszarze bezpieczestwa kadego pastwa. W czasie, gdy panuje swoboda przepywu osb, towarw, informacji i kapitau - bezpieczestwo demokratycznego pastwa zaley od wypracowania mechanizmw pozwalajcych skutecznie zapobiega i zwalcza zagroenia dla bezpieczestwa cyberprzestrzeni.

Z uwagi na wzrost zagroe dla systemw teleinformatycznych, od ktrych cakowita separacja jest niemoliwa, a take fakt rozproszonej odpowiedzialnoci za bezpieczestwo teleinformatyczne, jest niezbdne skoordynowanie dziaa, ktre umoliwi szybkie iefektywne reagowanie na ataki wymierzone przeciwko systemom teleinformatycznym ioferowanym przez nie usugom.

Systemy teleinformatyczne eksploatowane przez administracj rzdow, organy wadzy ustawodawczej, wadz sdownicz, samorzd terytorialny, a take systemy strategiczne zpunktu widzenia bezpieczestwa Pastwa jak rwnie przedsibiorcy oraz osoby fizyczne s objte niniejsz Polityk Ochrony Cyberprzestrzeni Rzeczpospolitej Polskiej, zwan dalej Polityk.

Niniejsz Polityk Rzd Rzeczypospolitej Polskiej przyjmuje, e poprzez swoich przedstawicieli bierze czynny udzia w zapewnieniu bezpieczestwa zasobw informacyjnych Pastwa, jego obywateli oraz realizuje swoje konstytucyjne obowizki.

W ramach Polityki przyjmuje si wparcie dla inicjatyw spoecznych majcych na celu realizacj zada zbienych z niniejszym dokumentem.

Rzd Rzeczypospolitej Polskiej, przy wypenianiu obowizkw konstytucyjnych realizowanych za pomoc cyberprzestrzeni, konsultuje si ze zorganizowanymi grupami spoeczestwa, a w szczeglnoci z przedstawicielami przedsibiorcw telekomunikacyjnych oraz dostawcw wiadczcych usugi drog elektroniczn, celem uzgodnienia akceptowalnego poziomu bezpieczestwa realizacji przedmiotowych obowizkw.

Przyjmujc status Polityki dla przedmiotowego dokumentu naley wskaza, e w ramach obowizujcego systemu rzdowych dokumentw strategicznych Polityka mieci si w grupie dokumentw strategicznych doprecyzowujcych kierunki dziaa wskazanych w strategiach, programach rozwoju i innych dokumentach programowych, ktre nie wskazuj nowych priorytetw i dziaa. Okrelaj one wizj rozwoju danego sektora oraz sposoby jej realizacji opierajc si na zapisach odpowiednich dokumentw.

Polityka nie obejmuje swoim obszarem zadaniowym niejawnych systemw teleinformatycznych. Naley podkreli, e obszar ochrony informacji niejawnych posiada wasne regulacje prawne i stosowne mechanizmy ochronne. Posiada struktury organizacyjne dedykowane do ochrony informacji niejawnych

MaciekHighlight

MaciekHighlight

MaciekHighlight


wytwarzanych, przetwarzanych oraz przechowywanych w wydzielonych systemach teleinformatycznych. Podstawowym aktem prawnym jest ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228).

1.1.Definicje

Uyte w niniejszym dokumencie okrelenia, skrty oznaczaj:Abuse - zwyczajowa nazwa dziau bezpieczestwa u dostawcy usug internetowych, ktry zarzdza procesem reakcji na incydenty komputerowe i rozpatrywaniem skarg dotyczcych naduy,bezpieczestwo cyberprzestrzeni - zesp przedsiwzi organizacyjno-prawnych, technicznych, fizycznych i edukacyjnych majcy na celu zapewnienie niezakconego funkcjonowania cyberprzestrzeni,CERT (ang. Computer Emergency Response Team), CSIRT (ang. Computer Security Incydent Response Team) - zesp powoany do reakcji na zdarzenia naruszajce bezpieczestwo w sieci Internet,cyberatak - celowe zakcenie prawidowego funkcjonowania cyberprzestrzeni,cyberprzestpstwo - czyn zabroniony popeniony w obszarze cyberprzestrzeni,cyberprzestrze - przestrze przetwarzania i wymiany informacji tworzona przez systemy teleinformatyczne, okrelone w art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji dziaalnoci podmiotw realizujcych zadania publiczne (Dz. U. Nr 64, poz. 565, z pn. zm.) wraz z powizaniami pomidzy nimi oraz relacjami z uytkownikami; zgodnie z art. 2 ust. 1b ustawy z dnia 29 sierpnia 2002 r. o stanie wojennym oraz o kompetencjach Naczelnego Dowdcy Si Zbrojnych i zasadach jego podlegoci konstytucyjnym organom Rzeczypospolitej Polskiej (Dz. U. Nr 156, poz. 1301, z pn. zm.), art.2ust.1a ustawy z dnia 21 czerwca 2002 r. o stanie wyjtkowym (Dz. U. Nr 113, poz.985, z pn. zm.) oraz art. 3 ust. 1 pkt 4 ustawy z dnia 18 kwietnia 2002 r. ostanie klski ywioowej (Dz. U. Nr 62, poz. 558, z pn. zm.), cyberprzestrze RP (dalej, jako CRP) - cyberprzestrze w obrbie terytorium pastwa polskiego i poza jego terytorium, w miejscach gdzie funkcjonuj przedstawiciele RP (placwki dyplomatyczne, kontyngenty wojskowe),cyberterroryzm - przestpstwo o charakterze terrorystycznym popenione wcyberprzestrzeni,incydent zwizany z bezpieczestwem informacji - pojedyncze zdarzenie lub seria niepodanych zdarze zwizanych z bezpieczestwem informacji, ktre stwarzaj znaczne prawdopodobiestwo zakcenia dziaa biznesowych izagraaj bezpieczestwu informacji - (wg norm serii PN-ISO/IEC 27000),jednostka organizacyjna - jednostka organizacyjna w rozumieniu ustawy z dnia 23kwietnia 1964 r. - Kodeks cywilny (Dz. U. Nr 16, poz. 93, z pn. zm.),PBC - penomocnik ds. bezpieczestwa cyberprzestrzeni w jednostkach organizacyjnych administracji publicznej,

of 24 Ministerstwo Administracji i Cyfryzacji, Agencja Bezpieczestwa Wewntrznego

przedsibiorca - przedsibiorca w rozumieniu art. 4 ustawy z dnia 2 lipca 2004 r. o swobodzie dziaalnoci gospodarczej (Dz. U. z 2010 r. Nr 220, poz. 1447, z pn. zm.) lub kada inna jednostka organizacyjna, niezalenie od formy wasnoci,szacowanie ryzyka - rozumie si przez to cznie analiz ryzyka, na ktr skadaj si: identyfikacja ryzyka oraz okrelenie wielkoci ryzyk,a take proces oceny ryzyka,uytkownik cyberprzestrzeni - kada jednostka organizacyjna, urzd obsugujcy organ administracji publicznej, przedsibiorca oraz osoba fizyczna, ktry korzysta z zasobw cyberprzestrzeni.

1.2. Cel strategiczny

Celem strategicznym Polityki jest osignicie akceptowalnego poziomu bezpieczestwa cyberprzestrzeni Pastwa.

Osignicie celu strategicznego jest realizowane poprzez stworzenie ram organizacyjno-prawnych oraz systemu skutecznej koordynacji i wymiany informacji pomidzy uytkownikami CRP.

Dziaania podejmowane w celu realizacji celu strategicznego s wynikiem oszacowa ryzyka prowadzonych przez uprawnione podmioty, w odniesieniu do zagroe wystpujcych w cyberprzestrzeni.

Jednoczenie Polityka jest zgodna z celami zawartymi w:1) Europejskiej Agendzie Cyfrowej Rady Europejskiej [KOM(2010)245];2) Strategii Rozwoju Spoeczestwa Informacyjnego;3) Strategii Bezpieczestwa Narodowego;4) redniookresowej Strategii Rozwoju Kraju;5) Strategii Europa 2020;6) Strategii Sprawne Pastwo.

1.3. Cele szczegowe

1) Zwikszenie poziomu bezpieczestwa infrastruktury teleinformatycznej Pastwa.

2) Zwikszenie zdolnoci do zapobiegania i zwalczania zagroe ze strony cyberprzestrzeni.

3) Zmniejszenie skutkw incydentw godzcych w bezpieczestwo teleinformatyczne.

4) Okrelenie kompetencji podmiotw odpowiedzialnych za bezpieczestwo cyberprzestrzeni.

5) Stworzenie i realizacja spjnego dla wszystkich podmiotw administracji rzdowej systemu zarzdzania bezpieczestwem cyberprzestrzeni oraz ustanowienie wytycznych w tym zakresie dla podmiotw niepublicznych.

6) Stworzenie trwaego systemu koordynacji i wymiany informacji pomidzy podmiotami odpowiedzialnymi za bezpieczestwo cyberprzestrzeni oraz uytkownikami cyberprzestrzeni.


7) Zwikszenie wiadomoci uytkownikw cyberprzestrzeni w zakresie metod i rodkw bezpieczestwa w cyberprzestrzeni.

Cele Polityki s realizowane przez:a) system koordynacji przeciwdziaania i reagowania na zagroenia i ataki na

cyberprzestrze, w tym ataki o charakterze terrorystycznym;b) powszechne wdroenie wrd jednostek administracji rzdowej, a take

podmiotw niepublicznych mechanizmw sucych zapobieganiu i wczesnemu wykrywaniu zagroe dla bezpieczestwa cyberprzestrzeni oraz waciwemu postpowaniu w przypadku stwierdzonych incydentw;

c) powszechn oraz specjalistyczn edukacj spoeczn w zakresie bezpieczestwa CRP.

1.4. Adresaci i zakres oddziaywania

Adresatami Polityki s wszyscy uytkownicy cyberprzestrzeni w obrbie Pastwa i poza jego terytorium, w miejscach gdzie funkcjonuj przedstawiciele RP (placwki dyplomatyczne, kontyngenty wojskowe).

Niniejsza Polityka obowizuje administracj rzdow:1) urzdy obsugujce naczelne organy administracji rzdowej: Prezesa Rady

Ministrw, Rad Ministrw, ministrw i przewodniczcych okrelonych w ustawach komitetw;

2) urzdy obsugujce centralne organy administracji rzdowej: organy inne ni w/wym, tj. organy podporzdkowane Prezesowi Rady Ministrw, bd poszczeglnym ministrom;

3) urzdy obsugujce terenowe organy administracji rzdowej: wojewodw, organy administracji zespolonej i niezespolonej;

4) Rzdowe Centrum Bezpieczestwa.Jednoczenie Polityka jest rekomendowana dla administracji samorzdowej

szczebla gminnego, powiatowego i wojewdzkiego oraz innych urzdw (jednostki nie nalece do administracji rzdowej i samorzdowej), w tym:

a) Kancelarii Prezydenta Rzeczypospolitej Polskiej;b) Kancelarii Sejmu Rzeczypospolitej Polskiej;c) Kancelarii Senatu Rzeczypospolitej Polskiej;d) Biura Krajowej Rady Radiofonii i Telewizji;e) Biura Rzecznika Praw Obywatelskich;f) Biura Rzecznika Praw Dziecka;g) Biura Krajowej Rady Sdownictwa;h) urzdw organw kontroli pastwowej i ochrony prawa;i) Narodowego Banku Polskiego;j) urzdu Komisji Nadzoru Finansowego;k) pastwowych osb prawnych i innych ni wymienione wyej pastwowe

jednostki organizacyjne.Polityka stanowi jednoczenie wskazwk do dziaa dla wszystkich innych

uytkownikw cyberprzestrzeni, ktrzy nie zostali wymienieni powyej.


1.5. Ustanowienie odpowiedzialnoci za bezpieczestwo CRP

Ze wzgldu na midzyinstytucjonalny charakter Polityki podmiotem koordynujcym realizacj Polityki, wimieniu Rady Ministrw, jest minister waciwy ds. informatyzacji, ktry przy pomocy Zespou, o ktrym mowa w pkt 3.4.1, zapewnia koordynacj i spjno dziaa podejmowanych w celu zapewnienia bezpieczestwa CRP.

W zakresie realizacji zada zwizanych z bezpieczestwem CRP Rzdowy Zesp Reagowania na Incydenty Komputerowe CERT.GOV.PL. peni rol gwnego zespou CERT w obszarze administracji rzdowej i obszarze cywilnym. Podstawowym zadaniem jest zapewnianie i rozwijanie zdolnoci jednostek organizacyjnych administracji publicznej Rzeczypospolitej Polskiej do ochrony przed cyberzagroeniami, ze szczeglnym uwzgldnieniem atakw ukierunkowanych na infrastruktur obejmujc systemy i sieci teleinformatyczne, ktrych zniszczenie lub zakcenie moe stanowi zagroenie dla ycia, zdrowia ludzi, dziedzictwa narodowego oraz rodowiska w znacznych rozmiarach, albo spowodowa powane straty materialne, a take zakci funkcjonowanie pastwa.

Analogicznie, w obszarze militarnym, rol tak peni Resortowe Centrum Zarzdzania Bezpieczestwem Sieci i Usug Teleinformatycznych

Dla sukcesu Polityki niezbdny jest aktywny udzia uytkownikw CRP w dziaaniach majcych na celu podniesienie poziomu jej bezpieczestwa.

Wane jest take zwikszenie udziau uytkownikw CRP w realizacji Polityki przez konsultowanie jej zawartoci oraz udzia w koordynacji realizacji Polityki i jej przegldw z przedstawicielami spoeczestwa i spoecznoci teleinformatycznej.

Powszechne stosowanie przez uytkownikw CRP rozwiza majcych na celu podniesienie jej bezpieczestwa bdzie wyrazem akceptacji dla dziaa podejmowanych przez Rzd RP w tym obszarze

1.6. Zgodno Polityki z aktami prawnymi

Polityka jest zgodna z powszechnie obowizujcym prawem Rzeczypospolitej Polskiej (Konstytucja, ustawy, ratyfikowane umowy midzynarodowe oraz rozporzdzenia) i nie narusza postanowie adnego z nich.


2. Uwarunkowania i problemy obszaru cyberprzestrzeni

Funkcjonowanie Pastwa i realizacja przez nie obowizkw konstytucyjnych w coraz wikszym stopniu uzalenione jest od rozwoju nowoczesnych technologii, spoeczestwa informacyjnego oraz niezakconego funkcjonowania cyberprzestrzeni. Obecnie bezpieczne funkcjonowanie cyberprzestrzeni w duej mierze zalene jest od bezpieczestwa infrastruktury teleinformatycznej umoliwiajcej korzystanie z cyberprzestrzeni, zgromadzonych w niej zasobw informacyjnych i usug, ktre dziki niej funkcjonuj. Infrastruktura funkcjonujca w CRP umoliwia wywizanie si Pastwa z konstytucyjnych obowizkw wzgldem obywateli, zapewnia cigo i efektywno dziaania administracji rzdowej oraz niezakcony i efektywny rozwj gospodarki Rzeczypospolitej Polskiej.

Rzd RP widzi konieczno prowadzenia dziaa majcych na celu zapewnienie bezpieczestwa infrastruktury teleinformatycznej Pastwa, tj. zapewnienie poprawnoci i cigoci funkcjonowania systemw teleinformatycznych, obiektw i instalacji wykorzystywanych do realizacji konstytucyjnych zada Pastwa wzgldem obywateli oraz jego bezpieczestwa wewntrznego. W tym celu jest niezbdne wyznaczenie minimalnego standardu bezpieczestwa, ktry pozwoli na realizacj tego celu oraz pozwoli ograniczy do minimum ewentualne szkody, jakie moe nie za sob atak na poszczeglne elementy cyberprzestrzeni RP. Polityka stanowi podstaw wypracowania koncepcji zarzdzania bezpieczestwem infrastruktury funkcjonujcej w ramach CRP oraz wypracowania wytycznych do opracowania podstawy prawnej sucej wykonywaniu zada w tym zakresie przez administracj rzdow. Zasady zapewnienia bezpieczestwa cyberprzestrzeni wypracowane w ramach wsppracy, o ktrej mowa w pkt 4.4, w zakresie infrastruktury CRP s rekomendowane rwnie przedsibiorcom.

Dziaania dotyczce bezpieczestwa infrastruktury teleinformatycznej bd komplementarne w stosunku do dziaa majcych na celu ochron infrastruktury krytycznej Pastwa. Polityka w tym zakresie nie narusza postanowie zawartych w Narodowym Programie Ochrony Infrastruktury Krytycznej.

Polityka wskazuje konieczno wypracowania koncepcji zapewnienia bezpieczestwa infrastruktury funkcjonujcej w ramach CRP oraz przygotowania podstaw prawnych do wykonywania zada w tym zakresie przez administracj rzdow. Infrastruktura teleinformatyczna CRP musi by chroniona przed atakami z cyberprzestrzeni, zniszczeniem, uszkodzeniem i dostpem osb nieuprawnionych.

W ramach dziaa zwizanych z realizacj Polityki jest prowadzone szacowanie ryzyka z uwzgldnieniem identyfikacji zasobw, podsystemw, funkcji i zalenoci od innych systemw istotnych z punktu widzenia funkcjonowania CRP. Jednoczenie wdroenie Polityki pozwoli na opracowanie docelowych wytycznych do realizacji szacowa ryzyka oraz szablonw sprawozda zawierajcych oglne dane dotyczce rodzajw ryzyka, zagroe oraz sabych punktw stwierdzonych w kadym z sektorw gospodarki RP w odniesieniu do zada konstytucyjnych realizowanych w oparciu o CRP.

MaciekHighlight

MaciekHighlight

MaciekHighlight


Istnieje potrzeba wypracowania, na podstawie prowadzonej analizy ryzyka, minimalnych standardw bezpieczestwa zgodnie z ktrymi bd zabezpieczane zidentyfikowane zasoby i systemy, dziki ktrym s realizowane konstytucyjne obowizki Pastwa.


3. Gwne kierunki dziaa

Polityka bdzie realizowana poprzez ponisze dziaania, zgodnie z priorytetami wynikajcymi z przedstawionej kolejnoci.

3.1. Szacowanie ryzyka

Szacowanie ryzyka zwizanego z funkcjonowaniem cyberprzestrzeni jest kluczowym elementem procesu bezpieczestwa cyberprzestrzeni, determinujcym i uzasadniajcym dziaania podejmowane w celu jego obnienia do akceptowalnego poziomu.

W celu osignicia akceptowalnego poziomu bezpieczestwa, zakada si, i kada jednostka administracji rzdowej, o ktrej mowa w pkt 1.4 (punkty 1-4), w terminie do 31 stycznia kadego roku przekae do ministra waciwego ds. informatyzacji sprawozdanie podsumowujce wyniki szacowania ryzyka (wgwzorca opracowanego przez ministra waciwego ds. informatyzacji). Sprawozdanie powinno zawiera oglne dane dotyczce rodzajw ryzyka, zagroe i sabych punktw zdiagnozowanych w kadym z sektorw, w ktrych poszczeglna instytucja dziaa i za ktre odpowiada. W sprawozdaniu winny by przedstawione take informacje o sposobach postpowania zryzykiem.

Minister waciwy ds. informatyzacji we wsppracy z zaangaowanymi instytucjami okreli jednolit metodyk przeprowadzania analiz ryzyka. Istnieje konieczno, aby uywanie tej metodyki byo docelowo obligatoryjne dla instytucji administracji rzdowej.

Zalecane jest, aby Rzdowy Zesp Reagowania na Incydenty Komputerowe CERT.GOV.PL przedstawi ministrowi waciwemu ds. informatyzacji, w celu zunifikowanego podejcia, opracowane katalogi zawierajce specyfikacj zagroe oraz moliwych podatnoci godzcych w bezpieczestwo cyberprzestrzeni.

3.2. Bezpieczestwo portali administracji rzdowej

Gwnym miejscem wymiany informacji pomidzy jednostkami administracji a obywatelem, w e-spoeczestwie, s strony internetowe. Winny one spenia podstawowe wymagania bezpieczestwa, to jest zapewnia odpowiedni dostpno, integralno oraz poufno danych. Kada jednostka organizacyjna powinna samodzielnie oszacowa ryzyko (o ktrym mowa w pkt. 3.1) dla swoich portali. Zakada si, i na tej podstawie zostan zaimplementowane odpowiednie (w zalenoci od typu portalu i wynikw szacowania ryzyka) rozwizania organizacyjno-techniczne pozwalajce na zapewnienie odpowiedniego poziomu bezpieczestwa. Ze wzgldu na rne typy stron i rne ich priorytety, rozwizania te bd si rni od siebie.

Proponuje si, aby jednostki administracji rzdowej prowadzce portale internetowe, poza spenieniem minimalnych wymogw, wdroyy rwnie odpowiednie zalecenia oraz dobre praktyki z zakresu bezpieczestwa, ktre przygotuje Zesp zadaniowy do spraw ochrony portali rzdowych we wsppracy z Rzdowym Zespoem Reagowania na Incydenty Komputerowe CERT.GOV.PL.


3.3. Zaoenia dziaa legislacyjnych

Podstawowym elementem realizacji Polityki, przewidzianym niezwocznie do wykonania, s dziaania legislacyjne. Rada Ministrw, rozumiejc wysoki priorytet tych dziaa, widzi potrzeb ich zainicjowania przez ministra waciwego ds. informatyzacji, aby stworzy regulacje prawne, dajce podstawy do podejmowania dalszych dziaa w ramach wdroenia zapisw Polityki. Konieczny jest przegld obecnie obowizujcych regulacji prawnych majcych na wzgldzie przygotowanie rozwiza w celu zwikszenia poczucia bezpieczestwa nie tylko instytucji rzdowych ale wszystkich uytkownikw cyberprzestrzeni.

3.4. Zaoenia dziaa proceduralno-organizacyjnych

Wanym etapem realizacji Polityki bd dziaania proceduralno-organizacyjne. Ich celem jest optymalizacja funkcjonowania CRP poprzez wprowadzenie w ycie najlepszych praktyk i standardw w tym zakresie. Na tym etapie konieczne jest wykorzystanie zarwno narzdzi prawnych stworzonych w pierwszym etapie, jak i mechanizm mikkich1 regulacji. Wykonanie tego etapu nastpi dziki uruchomieniu oddzielnych projektw szczegowych.

3.4.1. Zarzdzanie bezpieczestwem cyberprzestrzeni RPW ramach zarzdzania bezpieczestwem cyberprzestrzeni RP, a take w celu

usprawnienia procesu realizacji celw Polityki oraz zapewnienia skutecznoci dziaa organw wadzy pastwowej w zakresie bezpieczestwa CRP jest niezbdne powoanie przez Prezesa Rady Ministrw zespou odpowiedzialnego za przygotowywanie rekomendacji z zakresu wykonania czy koordynacji wszelkich dziaa zwizanych z jej bezpieczestwem (zwanego dalej Zespoem).

Zesp moe zosta zorganizowany z wykorzystaniem potencjau istniejcego Zespou zadaniowego do spraw ochrony portali rzdowych, powoanego przez Przewodniczcego Komitetu Rady Ministrw do spraw Cyfryzacji decyzj nr 1/2012 z dnia 24 stycznia 2012 r.

Zaleca si, aby Zesp, w terminie 30 dni od dnia powoania, przygotowa i przedstawi plan dziaa w zakresie zapewnienia bezpieczestwa cyberprzestrzeni RP.

Podstawowym zadaniem Zespou powinno by rekomendowanie dziaa majcych na celu koordynowanie dziaa instytucji realizujcych zadania naoone przez Polityk, organizacja cyklicznych spotka, rekomendowanie proponowanych rozwiza z zakresu bezpieczestwa CRP.

Zakada si, e w zakresie realizacji zada zwizanych z bezpieczestwem CRP w obszarze administracji rzdowej i obszarze cywilnym, rol gwnego zespou CERT peni Rzdowy Zesp Reagowania na Incydenty Komputerowe CERT.GOV.PL. Analogicznie, w obszarze militarnym, rol tak peni Resortowe Centrum Zarzdzania Bezpieczestwem Sieci i Usug Teleinformatycznych.1 Jako mikk regulacj rozumie si np. kodeksy dobrych praktyk, wytyczne, zalecenia, kodeks etyczny, etykiet, dobre praktyki czy te normy

itp.


3.4.2. System zarzdzania bezpieczestwem w jednostce organizacyjnejW kadej jednostce organizacyjnej administracji rzdowej, w ramach zapewnienia

bezpieczestwa cyberprzestrzeni, kierownik jednostki powinien ustanowi system zarzdzania bezpieczestwem informacji, w oparciu o obowizujce przepisy i najlepsze praktyki.

Zakada si, e podmiot publiczny bdzie opracowywa i modyfikowa w zalenoci od potrzeb, a take wdraa polityk bezpieczestwa dla systemw teleinformatycznych uywanych przez niego do realizacji zada publicznych. Przy opracowywaniu polityki bezpieczestwa podmiot publiczny uwzgldnia obowizki wynikajce z ustawy z dnia 17 lutego 2005 r. o informatyzacji dziaalnoci podmiotw realizujcych zadania publiczne (Dz. U. Nr, 64 poz. 565, z pn. zm.) dotyczce minimalnych wymaga dla systemw teleinformatycznych w zakresie bezpieczestwa informacji.

W celu zapewnienia spjnoci polityk bezpieczestwa informacji jednostek organizacyjnych, zakada si, e minister waciwy ds. informatyzacji w porozumieniu z Ministrem Obrony Narodowej i Szefem Agencji Bezpieczestwa Wewntrznego moe przygotowa wytyczne dotyczce systemw zarzdzania bezpieczestwem informacji.

3.4.3. Rola penomocnikw ds. bezpieczestwa cyberprzestrzeniW ramach jednostek organizacyjnych administracji rzdowej powinna zosta

okrelona rola penomocnika ds. bezpieczestwa cyberprzestrzeni (dalej jako PBC).Zadania penomocnika w zakresie bezpieczestwa cyberprzestrzeni winny

obejmowa swoim zakresem przede wszystkim:1) realizacj obowizkw wynikajcych z przepisw aktw prawnych waciwych

dla zapewnienia bezpieczestwa cyberprzestrzeni; 2) opracowanie i wdroenie procedur reagowania na incydenty komputerowe,

ktre bd obowizyway w organizacji;3) identyfikowanie i prowadzenie cyklicznych analiz ryzyka;4) przygotowanie planw awaryjnych oraz ich testowanie;5) opracowanie procedur zapewniajcych informowanie waciwych zespow

CERT o: a) wystpieniu incydentw komputerowych, b) zmianie lokalizacji jednostki organizacyjnej, danych kontaktowych, itp.;

Polityka nie wskazuje miejsca usytuowania penomocnika ds. bezpieczestwa cyberprzestrzeni w strukturze jednostki organizacyjnej, jednak rola penomocnika powinna zosta przypisana osobie odpowiedzialnej za realizacj procesu bezpieczestwa teleinformatycznego.

3.5. Zaoenia dotyczce ksztacenia, szkole i uwiadamiania w dziedzinie bezpieczestwa

W ramach realizacji Polityki Rada Ministrw widzi potrzeb rozpoczcia prac nad wdroeniem dziaa edukacyjnych. Zakada si, e dziaania z tego zakresu bd prowadzone wrd obecnych oraz przyszych uytkownikw CRP. Maj one na celu


wzmocnienie efektu dwch poprzednich dziaa, utrwalenie ich wrd uytkownikw, a take stworzenie moliwoci przejcia do nastpnego etapu realizacji Polityki.

3.5.1. Szkolenia penomocnikw ds. bezpieczestwa cyberprzestrzeniW celu podniesienia kwalifikacji istnieje konieczno opracowania systemu

szkole dla penomocnikw ds. bezpieczestwa cyberprzestrzeni. W projekcie szkole szczeglny nacisk powinien by pooony na kwesti reagowania na incydenty zwizane z bezpieczestwem cyberprzestrzeni.

3.5.2. Wprowadzenie tematyki bezpieczestwa teleinformatycznego jako staego elementu ksztacenia na uczelniach wyszych.

Jednym z podstawowych aspektw zapewnienia bezpieczestwa CRP jest posiadanie wysoko wykwalifikowanych kadr w sektorze publicznym i prywatnym odpowiadajcych za utrzymanie systemw teleinformatycznych ze szczeglnym uwzgldnieniem zasobw kluczowych dla bezpieczestwa pastwa. Aby zapewni cigy dopyw odpowiednio wyszkolonych specjalistw z dziedziny bezpieczestwa teleinformatycznego jest konieczne zaangaowanie szk wyszych w realizacj zaoe Polityki. Zagadnienia zwizane z bezpieczestwem cyberprzestrzeni powinny sta si staym elementem nauczania. W szczeglnoci dotyczy to uczelni technicznych ksztaccych informatykw. Nie mona dopuszcza do sytuacji, w ktrej projektanci, programici skupiaj si wycznie na funkcjonalnoci, zapominajc o zasadach tworzenia bezpiecznego kodu, a administratorzy systemw za priorytet uznaj dostpno zasobw uytkownikw zapominajc o koniecznoci ochrony przetwarzanych informacji przed intruzami. W tym celu konieczne jest uwzgldnienie tematyki bezpieczestwa teleinformatycznego wrd efektw ksztacenia okrelonych w Krajowych Ramach Kwalifikacji dla Szkolnictwa Wyszego2.

3.5.3. Ksztacenie kadry urzdniczej w administracji rzdowejRada Ministrw widzi konieczno edukacji pracownikw administracji

rzdowej, majcej dostp oraz korzystajcej z CRP, w zakresie zagadnie dotyczcych bezpieczestwa systemw teleinformatycznych - odpowiednio do zajmowanego stanowiska i ryzyka z nim zwizanego.

3.5.4.Kampania spoeczna o charakterze edukacyjno - prewencyjnymPowszechno korzystania przez obywateli z systemw doczonych do sieci Internet

oraz zwikszajce si znaczenie dostpnoci usug oferowanych przez cyberprzestrze, wymuszaj konieczno podnoszenia wiadomoci odnonie bezpiecznych metod korzystania z Internetu oraz uwraliwienia obywateli na pojawiajce si zagroenia.

wiadomo i wiedza na temat sposobw przeciwdziaania i zwalczania zagroe stanowi kluczowe elementy walki z tymi zagroeniami. Jedynie odpowiedzialne zachowanie odpowiednio wyedukowanego uytkownika moe skutecznie minimalizowa ryzyko wynikajce z istniejcych zagroe. Naley podkreli, i we wspczesnym wiecie zapewnienie bezpieczestwa teleinformatycznego w duej mierze zaley od wiedzy i dziaa kadego uytkownika cyberprzestrzeni.2 Rozporzdzenie Ministra Nauki i Szkolnictwa Wyszego z dnia 2 listopada 2011 r. w sprawie Krajowych Ram Kwalifikacji dla Szkolnictwa

Wyszego Dz.U. Nr 253 poz. 1520.


Ze wzgldu na fakt, e przestpczoci w cyberprzestrzeni s zagroeni zarwno osoby fizyczne, jak rwnie instytucje publiczne, przedsibiorcy, organizacje spoeczne, to kampania bdzie miaa charakter wielowymiarowy i uwzgldnia bdzie konieczne zrnicowanie form i treci przekazu w zalenoci od potrzeb jej adresatw. Zakada si, e kampania spoeczna bdzie miaa charakter dugofalowy i powszechny.

Ze wzgldu na bezpieczestwo teleinformatyczne warunkujce realizacj zada publicznych, adresatami akcji informacyjnych bd w szczeglnoci pracownicy administracji rzdowej oraz podmioty, ktrych zasoby nale do infrastruktury teleinformatycznej CRP.

Zakada si, e kampania edukacyjno-prewencyjna skierowana bdzie do ogu spoeczestwa, a w szczeglnoci:

1) dzieci i modziey - jako grupy najbardziej podatnej na wpywy. Edukacja powinna rozpocz si ju od najmodszych lat celem wytworzenia nawykw, ktre uchroni modych ludzi przed zagroeniami czyhajcymi na nich w sieci (np. przed zjawiskiem zwanym cyberbullying - przemocy w sieci, zawieraniem niebezpiecznych znajomoci, niecenzuralnymi treciami, piractwem, uzalenieniem od Internetu). Wiedz na temat zagroe z cyberprzestrzeni dziecko powinno uzyskiwa przede wszystkim w szkole na wszystkich poziomach edukacji (szkoa podstawowa, gimnazjum, szkoa ponadgimnazjalna);

2) rodzicw - jako osoby odpowiedzialne za wychowanie kolejnych pokole. To na rodzicach spoczywa odpowiedzialno za przygotowanie dzieci do funkcjonowania w spoeczestwie, rwnie w spoeczestwie informacyjnym. Celem skutecznego nadzoru nad dziaalnoci dziecka w Internecie rodzice powinni zdoby odpowiedni wiedz na temat zagroe z cyberprzestrzeni oraz metod ich eliminowania.

3) nauczycieli - od roku 2004 ksztacenie nauczycieli w ramach specjalizacji odbywa si zgodnie z rozporzdzeniem. Ministra Edukacji Narodowej, okrelajcym standardy ksztacenia nauczycieli3. W ramach zaj obowizkowych na studiach wyszych nauczyciele uzyskuj podstawow wiedz z zakresu technologii informacyjnej, w tym rwnie bezpiecznego i wiadomego korzystania z systemw teleinformatycznych.

Kampania spoeczna adresowana do dzieci, modziey i ich rodzicw w duej mierze powinna by realizowana w placwkach owiatowych wszystkich szczebli.

Kampania bdzie realizowana take za porednictwem rodkw masowego przekazu. Media - jako istotny partner w promowaniu zagadnie bezpieczestwa, CRP oraz popularyzacji przedsiwzi zawartych w Polityce - zwiksz skuteczno realizacji zaoonych celw. Dziki ich pomocy w trakcie realizacji Polityki bdzie moliwe przeprowadzenie rwnie akcji informacyjnych i kampanii edukacyjnych. W tym celu zostan zaangaowane media oglnopolskie, regionalne oraz lokalne. Zaoeniem jest, e w ramach kampanii spoecznej informacje dotyczce bezpieczestwa teleinformatycznego oraz przedsiwzi edukacyjnych i organizacyjno-prawnych 3 rozporzdzenie Ministra Edukacji Narodowej i. Sportu z dnia 7 wrzenia 2004 r. w sprawie standardw ksztacenia nauczycieli (Dz. U. Nr

207 poz. 2110)


podejmowanych w ramach Polityki bd prezentowane na stronach internetowych Ministerstwa Administracji i Cyfryzacji oraz na stronie Rzdowego Zespou Reagowania na Incydenty Komputerowe CERT.GOV.PL Jednoczenie zakada si efektywne komunikowanie treci, inicjatyw i rezultatw prowadzenia Polityki wobec szerokich krgw spoecznych i zawodowych.

3.6. Zaoenia dziaa technicznych

Na podstawie dziaa proceduralno-organizacyjnych (np. planu postpowania z ryzykiem), ostatnim etapem realizacji Polityki powinny by dziaania techniczne. Ich celem bdzie zmniejszenie ryzyka wystpienia zagroe z CRP. Wykonanie tego etapu nastpi poprzez uruchomienie projektw szczegowych.

3.6.1.Programy badawczeNiezwykle istotne dla skutecznej realizacji Polityki jest wspieranie inicjatyw

badawczych dotyczcych bezpieczestwa teleinformatycznego. Formua wsparcia powinna zachci do wsplnego prowadzenia bada przez podmioty zajmujce si bezpieczestwem teleinformatycznym ze sfery administracji publicznej, orodki naukowe oraz przedsibiorcw telekomunikacyjnych i dostawcw wiadczcych usugi drog elektroniczn.

Przyjmuje si, e podmiotem koordynujcym wdraanie zapisw Polityki w tym zakresie bdzie Ministerstwo Nauki i Szkolnictwa Wyszego (MNiSW), jako waciwe w sprawach bada naukowych i prac rozwojowych. Wykaz inicjatyw uwzgldniajcych dynamik stanu wiedzy okrelony zostanie na poziomie projektw szczegowych, opracowanych na podstawie Polityki i moe by uzupeniany z inicjatywy waciwych podmiotw odpowiedzialnych za jego realizacj.

3.6.2. Rozbudowa zespow reagowania na incydenty bezpieczestwa teleinformatycznego w administracji rzdowej

Aby byo moliwe skuteczne prowadzenie dziaa zwizanych z zapewnieniem bezpieczestwem CRP, w tym reagowanie na incydenty bezpieczestwa teleinformatycznego, jest konieczne zapewnienie odpowiedniego zaplecza technicznego nie tylko umoliwiajcego realizacj biecych zada, ale rwnie uwzgldniajcego wzrastajce zapotrzebowanie na specjalizowane systemy teleinformatyczne w przyszoci.

Wszystkie zespoy po unifikacji zakresw obowizkw oraz procedur reagowania, jak rwnie okrelenia obszaru zadaniowego (ang. constituency), tworzyyby krajowy system reagowania na incydenty komputerowe, ktry oprcz wspdziaania obejmowaby rwnie wsplne konferencje, szkolenia i wiczenia.

3.6.3. Rozbudowa systemu wczesnego ostrzegania oraz wdraanie i utrzymanie rozwiza prewencyjnych

Departament Bezpieczestwa Teleinformatycznego ABW wraz zZespoem CERT Polska, dziaajcym w ramach Naukowej i Akademickiej Sieci Komputerowej (NASK), wdroy system wczesnego ostrzegania przed zagroeniami z sieci Internet - ARAKIS-GOV. Rozbudowa systemu bdzie realizowana zgodnie z projektem szczegowym.


Jednoczenie majc na uwadze postp zachodzcy w technologiach teleinformatycznych i zwizan z nim tendencj pojawiania si coraz bardziej wyrafinowanych zagroe, podczas wdraania Polityki zakada si podejmowanie inicjatyw promujcych tworzenie coraz nowoczeniejszych rozwiza wspierajcych bezpieczestwo teleinformatyczne.

Naley dy do stosowania jak najszerszego spektrum rnych rodzajw systemw zabezpiecze w celu zapewnienia bezpieczestwa krytycznych zasobw teleinformatycznych.

3.6.4.Testowanie poziomu zabezpiecze i cigo dziaaniaW ramach testowania poziomu zabezpiecze i zapewnienia nieprzerwanej

realizacji procesw CRP, PBC winien organizowa i koordynowa okresowe testy zarwno poziomu zabezpiecze technicznych, organizacyjnych jak i rozwiza proceduralnych (np. procedur cigoci dziaania czy wsppracy ponad-resortowej). Wyniki wicze bd suy ocenie aktualnej odpornoci cyberprzestrzeni na ataki, natomiast wnioski stanowi bd podstaw do przygotowania zalece do dalszych dziaa prewencyjnych.

3.6.5.Rozwj zespow bezpieczestwaZespoy typu CERT s centrami kompetencyjnymi sucymi pomoc merytoryczn

na etapie tworzenia waciwych struktur i procedur. Dodatkowo su rwnie do rozwizywania problemw w trakcie ich eksploatacji w poszczeglnych jednostkach organizacyjnych administracji rzdowej, czy te przedsibiorcw. Kada instytucja wramach wasnych zasobw osobowych i posiadanych rodkw technicznych moe ustanowi wasny, lokalny zesp reagowania na incydenty, ktrego dziaanie jest koordynowane zgodnie z pkt. 4.2.

Ponadto, do zada Zespow Reagowania na Incydenty Komputerowe nalee powinno utrzymywanie wewntrznych witryn informacyjnych. Witryny bd stanowiy gwne rda informacji o bezpieczestwie teleinformatycznym dla osb zajmujcych si bezpieczestwem teleinformatycznych w instytucjach administracji rzdowej, a take innych osb zainteresowanych t tematyk.

W szczeglnoci witryny bd miejscem publikacji nastpujcych informacji:1) aktualnoci zwizanych z bezpieczestwem teleinformatycznym;2) informacji o potencjalnych ryzykach i zagroeniach;3) biuletynw bezpieczestwa;4) rnego rodzaju poradnikw, dobrych praktyk, 5) raportw oraz informacji na temat trendw i statystyk;6) forum wymiany informacji oraz dowiadcze osb zaangaowanych

w dziaania zwizane z bezpieczestwem teleinformatycznym.Witryny bd peni rol punktw zgaszania incydentw bezpieczestwa

teleinformatycznego. Witryna bdzie tak skonstruowana, by uytkownik bez wikszej wiedzy z zakresu informatyki mg zgosi incydent lub znale informacj gdzie dane zdarzenie mona zgosi.


4. Wdroenie i mechanizmy realizacji zapisw dokumentu

Zakada si, e cele i zaoenia Polityki bd wdroone z uwzgldnieniem szacowania ryzyka i realizowane wramach projektw szczegowych.

4.1. Nadzr i koordynacja wdroenia

Ze wzgldu na midzyinstytucjonalny charakter Polityki organem nadzorujcym jego wdroenie jest Rada Ministrw. Podmiotem koordynujcym realizacj Polityki, wimieniu Rady Ministrw, jest minister waciwy ds. informatyzacji.

4.2. Krajowy System Reagowania na Incydenty Komputerowe w CRP

Rzd RP ustanawia trzypoziomowy Krajowy System Reagowania na Incydenty Komputerowe w CRP:

1) Poziom I - poziom koordynacji - minister waciwy ds. informatyzacji;2) Poziom II - reagowania na Incydenty komputerowe:

a) Rzdowy Zesp Reagowania na Incydenty Komputerowe CERT.GOV.PL - realizujcy jednoczenie zadania gwnego narodowego zespou odpowiadajcego za koordynacj procesu obsugi incydentw komputerowych w obszarze CRP,

b) Resortowe Centrum Zarzdzania Bezpieczestwem Sieci i Usug Teleinformatycznych realizujce zadania wsferze militarnej,

3) Poziom III - poziom realizacji - administratorzy odpowiadajcy za poszczeglne systemy teleinformatyczne funkcjonujce w cyberprzestrzeni.

Ustanowiony system reagowania zapewnia wymian informacji pomidzy zespoami administracji publicznej oraz zespoami CERT (CERT Polska, TP CERT, PIONIERCERT), CSIRT, ABUSE, przedsibiorcami telekomunikacyjnymi w rozumieniu ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800, z pn. zm.) i usugodawcami wiadczcych usugi drog elektroniczn w rozumieniu ustawy z dnia 18 lipca 2002 r. o wiadczeniu usug drog elektroniczn (Dz. U. Nr 144, poz. 1204, z pn. zm.), zgodnie z obowizujcymi przepisami prawa, a w szczeglnoci zgodnie z ustaw z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z pn. zm.) oraz ustaw z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228).

4.3. Mechanizm wymiany informacji

Sprawny system koordynacji zapewni wymian informacji pozyskanych ze wsppracy midzynarodowej, pomidzy zespoami rzdowymi, wojskowymi i cywilnymi, zgodnie z obowizujcymi przepisami prawa, a w szczeglnoci zgodni e z ustaw z dnia 29 sierpnia 1997 r. oochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z pn. zm.) oraz ustaw z dnia 5 sierpnia 2010 r. o ochronie


informacji niejawnych (Dz. U. Nr 182, poz. 1228). System ten midzy innymi okreli alternatywne kanay wymiany informacji oraz

wprowadzi okresowe testy skutecznoci procesw wymiany informacji.

4.4. Sposoby i formy wsppracy

W ramach realizacji Polityki powinny zosta wypracowane formy wsppracy pomidzy organami odpowiedzialnymi za bezpieczestwo cyberprzestrzeni oraz odpowiedzialnymi za zwalczanie przestpczoci komputerowej o charakterze kryminalnym. Powysze formy wsppracy bd miay zarwno posta robocz, w celu zminimalizowania opnie reakcji na incydenty komputerowe, jak i sformalizowan - suc eliminowaniu problemw kompetencyjnych.

4.5. Wsppraca z przedsibiorcami

Niezbdne jest zaktywizowanie przedsibiorcw, ktrych ochrona przed zagroeniami z cyberprzestrzeni jest istotna z punktu widzenia prawidowego funkcjonowania Pastwa.

Naley do tej grupy zaliczy przedsibiorcw dziaajcych w szczeglnoci w ramach sektorw:

1) zaopatrzenia w energi, surowce energetyczne i paliwa,2) cznoci,3) sieci teleinformatycznych,4) finansowego,5) transportowego.Polityka zakada podjcie dziaa aktywizujcych wspprac pomidzy

przedsibiorcami zarzdzajcymi wasn teleinformatyczn infrastruktur zaliczon do infrastruktury teleinformatycznej CRP o podobnym charakterze, a przez to naraon na podobne typy podatnoci i metody atakw. Jedn z form wsppracy bdzie tworzenie gremiw powoywanych do wewntrznej wymiany informacji i dowiadcze oraz wsppracy zadministracj publiczn w zakresie bezpieczestwa infrastruktury teleinformatycznej CRP.

4.5.1.Wsppraca z producentami urzdze i systemw teleinformatycznychWanymi partnerami dla instytucji rzdowych i innych podmiotw

odpowiedzialnych za bezpieczestwo teleinformatyczne i zwikszenie bezpieczestwa w cyberprzestrzeni s producenci sprztu i oprogramowania. Rozwj wsppracy z tymi partnerami, w tym wymiana dowiadcze i oczekiwa, stanowi powinien jeden z waniejszych czynnikw majcych duy wpyw zarwno na system edukacji spoecznej i specjalistycznej, jak i na jako tworzonych systemw. Szczeglne znaczenie dla rozszerzenia spektrum dostpnych narzdzi winna mie wsppraca podmiotw odpowiedzialnych za bezpieczestwo teleinformatyczne z producentami systemw zabezpiecze.

Naley dy do udostpniania uytkownikom jak najwikszego wachlarza


rozwiza sucych szeroko rozumianemu bezpieczestwu teleinformatycznemu oraz ochronie informacji.

4.5.2.Wsppraca z przedsibiorcami telekomunikacyjnymiZe wzgldu na globalny charakter zagroe wymagana jest cisa skoordynowana

wsppraca w zakresie bezpieczestwa cyberprzestrzeni pomidzy Urzdem Komunikacji Elektronicznej (UKE), przedsibiorcami telekomunikacyjnymi i uytkownikami CRP.

4.6. Wsppraca midzynarodowa

Ze wzgldu na globalny charakter problemw zwizanych z bezpieczestwem cyberprzestrzeni, istotnym elementem jest utrzymanie i rozwijanie wsppracy midzynarodowej w tym zakresie.

Rzd RP widzi potrzeb, aby Polska, poprzez swoich przedstawicieli, organy rzdowe, instytucje pastwowe oraz wspprac z instytucjami pozarzdowymi inicjowaa i prowadzia aktywne dziaania zmierzajce do zwikszenia bezpieczestwa CRP oraz midzynarodowej.


5. Finansowanie

Polityka nie bdzie implikowa dodatkowych rodkw z budetu pastwa na sfinansowanie zaoonych dziaa w roku jej wejcia w ycie, poniewa aktualnie jednostki organizacyjne administracji publicznej realizuj ju czciowo cele wymienione w Polityce. W zwizku z tym przyjmuje si, e po jej zaakceptowaniu kada jednostka organizacyjna wyranie wskae zadania ju realizowane i rodki finansowe na nie wydatkowane.

Niniejszy dokument zakada kontynuacj dziaa realizowanych oraz zaplanowanych przez Zesp, o ktrym mowa w pkt 3.4.1.

Zakada si, e od chwili wejcia w ycie Polityki poszczeglne jednostki bd szacoway koszty realizowanych ju zada, pokrywajcych si z zadaniami naoonymi niniejsz Polityk.

Przedstawione szacunki kosztw pozwol na ich ujcie w planie nastpnego roku budetowego z wyranym wskazaniem, i dotycz bezpieczestwa cyberprzestrzeni.

Poszczeglne jednostki organizacyjne dane o oszacowanych przez siebie kosztach realizacji zada przekazuj do ministra waciwego ds. informatyzacji. Koszty realizacji zada bd zdeterminowane wynikami szacowania ryzyka i przedstawione w projektach szczegowych z przypisaniem poszczeglnym jednostkom i wskazaniem rde finansowania.

Konieczne wydatki, zwizane z realizacj Polityki bd finansowane w ramach limitu wydatkw budetowych przewidzianych we waciwej czci budetowej w ustawie budetowej na dany rok.


6. Ocena Skutecznoci polityki

Ze wzgldu na nowatorski charakter niniejszego dokumentu szczegowe wskaniki realizacji zaoe Polityki bd opracowane po przeprowadzeniu szacowania ryzyka.

Niezbdnym jest, aby od chwili wejcia w ycie Polityki, poszczeglne jednostki organizacyjne analizoway i sugeroway wskaniki realizacji zada, na podstawie ktrych zostan zagregowane informacje i wypracowane globalne wskaniki celw niniejszego dokumentu. Zakada si, e przedstawione propozycje globalnych wskanikw bd wykorzystane w ramach aktualizacji Polityki i pozwol na ocen stopnia realizacji zaoonych celw i zada w zakresie bezpieczestwa CRP.

Stopnie realizacji przedsiwzi zwizanych z realizacj celu strategicznego oraz celw szczegowych Polityki bd oceniane w ramach projektw szczegowych pod ktem nastpujcych kryteriw:

1) stopnia nasycenia wszystkich jednostek organizacyjnych, posiadajcych systemy ochrony i wczesnego ostrzegania w stosunku do liczby urzdw administracji publicznej;

2) poziomu integracji:a) sposobu i trybu wymiany informacji midzy zespoami z zapewnieniem

poufnoci, integralnoci i dostpnoci,b) moliwoci i zakresu osigania wsplnego, dynamicznego zobrazowania

cyberprzestrzeni objtej niniejszym Polityk,3) stopnia standaryzacji - stopnia wdroenia norm, kategorii incydentw

i procedur;4) stopnia wyposaenia systemw w kompleksowe oprogramowanie

antywirusowe, firewalle, antyspamowe w stosunku do wymaganych objciem tak ochron (identyfikacja zasobw).

Do oceny skutecznoci projektw szczegowych, utworzonych na podstawie niniejszej Polityki, zostan wykorzystane nastpujce mierniki:1. Mierniki skutecznoci - mierz stopie osignicia zamierzonych celw i mog

mie zastosowanie na wszystkich szczeblach klasyfikacji zadaniowej.Przykadowy miernik produktu: liczba zamknitych incydentw w stosunku do oglnej liczby sklasyfikowanych

incydentw.

2. Mierniki produktu - odzwierciedlaj wykonanie danego zadania w krtkim okresie ipokazuj konkretne dobra oraz usugi wyprodukowane przez sektor publiczny. Mierniki produktu - mierz stopie wykonania celw operacyjnych.

Przykadowy miernik produktu: liczba odpowiedzi na zgoszone przez obywateli incydenty, liczba obsuonych incydentw,


3. Mierniki rezultatu - mierz efekty uzyskane w wyniku dziaa objtych zadaniem lub pod zadaniem, realizowanych za pomoc odpowiednich wydatkw, na poziomie zadania/podzadania/dziaania. Mierz skutki podejmowanych dziaa. Mierniki rezultatu - mierz bezporednie skutki podejmowanych dziaa w krtkiej lub redniej perspektywie czasowej.

Przykadowy miernik produktu: skrcenie czasu obsugi incydentu, redni czas odpowiedzi na incydent.

4. Mierniki oddziaywania - mierz dugofalowe konsekwencje realizacji zadania. Mog one mierzy bezporednie skutki wdraania zadania, ktre ujawniaj si po upywie duszego okresu czasu. Mierniki oddziaywania odnosz si czasem do wartoci, ktre tylko w czci s efektem realizacji zadania (na efekty wpywaj take inne, zewntrzne czynniki).

Przykadowy miernik produktu: zwikszenie poczucia bezpieczestwa w sieci Internet w Polsce (badania CBOS).

Stopie realizacji zostanie oceniony w procentach, przy czym za 100% rozumie si realizacj wszystkich zada wynikajcych z projektw szczegowych opracowanych na podstawie Polityki.W cigu roku od wejcia Polityki w ycie, kada zaangaowana jednostka, o ktrej

mowa wpkt. 1.4 ust. 1 niniejszego dokumentu, oszacuje (w %) w jakim stopniu s ju zrealizowane zaoenia przedmiotowej Polityki.

6.1. Przewidywane efekty Polityki

Przewiduje si nastpujce dugofalowe efekty dziaa wynikajcych z wdroenia niniejszej Polityki oraz projektw szczegowych opracowanych na jej podstawie: wikszy poziom bezpieczestwa CRP oraz wikszy poziom odpornoci pastwa

na ataki w CRP, spjn dla wszystkich zaangaowanych podmiotw polityk dotyczc

bezpieczestwa cyberprzestrzeni, mniejsz skuteczno atakw terrorystycznych w CRP i mniejsze koszty usuwania

nastpstw atakw cyberterrorystycznych, skuteczny system koordynacji i wymiany informacji pomidzy publicznymi

i prywatnymi podmiotami odpowiedzialnymi za zapewnianie bezpieczestwa cyberprzestrzeni oraz tymi, ktre dysponuj zasobami stanowicymi krytyczn infrastruktur teleinformatyczn pastwa,

wiksz kompetencj podmiotw zaangaowanych w bezpieczestwo infrastruktury teleinformatycznej Pastwa funkcjonujcej w cyberprzestrzeni,

wiksze zaufanie obywateli do waciwego zabezpieczenia usug pastwa wiadczonych drog elektroniczn,

wiksz wiadomo obywateli, co do metod bezpiecznego uytkowania systemw dostpnych elektronicznie i sieci teleinformatycznych.


6.2. Skuteczno dziaa

Miar skutecznoci podjtych w ramach Polityki dziaa bdzie ocena stworzonych regulacji, instytucji i relacji, ktre umoliwi rzeczywiste zaistnienie skutecznego systemu bezpieczestwa cyberprzestrzeni. Jedn z podstawowych metod wpywania na skuteczno zaoonych dziaa wykonywanych przez wiele instytucji jest ustalenie zakresu zada kadego z podmiotw oraz ustalenie odpowiedzialnoci za ich realizacj.

6.3. Monitorowanie efektywnoci dziaa w ramach przyjtej Polityki

Raporty o postpach w realizacji Polityki bd przesyane przez jednostki wyszczeglnione w pkt. 1.4 do ministra waciwego ds. informatyzacji.

6.4. Konsekwencje naruszenia zapisw Polityki

Kady podmiot administracji rzdowej stosuje si do zapisw niniejszej Polityki niezalenie od odpowiedzialnoci okrelonej w przepisach prawa powszechnie obowizujcego.

Naruszenie zasad okrelonych w niniejszej Polityce moe by przyczyn wykluczenia si podmiotu ze spoecznoci informacyjnej i powstania utrudnie w dostpie do informacji publicznej. Odpowiednie zabezpieczenia, ochrona przetwarzanych danych oraz niezawodno funkcjonowania systemw teleinformatycznych s najwyszymi wartociami stawianymi wspczesnym systemom. Podmioty realizujce przedmiotow Polityk powinny wskaza sposoby zabezpieczenia systemw informatycznych, procedury postpowania w sytuacji naruszenia bezpieczestwa teleinformatycznego w systemach informatycznych wpolitykach bezpieczestwa tych systemw. Wykonywanie zapisw niniejszego dokumentu ma zapewni waciw reakcj, ocen i udokumentowanie przypadkw naruszenia bezpieczestwa systemw oraz zapewni waciwy sposb reagowania na incydenty w celu przywrcenia akceptowalnego poziomu bezpieczestwa. Istotnym obowizkiem jest niezwoczne informowanie administratora lub waciwego Zespou CERT o wykryciu incydentu oraz podjcie lub zaniechanie czynnoci majcych na celu jego obsuenie.

WARSZAWA, 25 CZERWCA 2013 R.

Documents

Polityka_Ochrony_Cyberprzestrzeni_RP 2013 (MAiC)_scissored.pdf