Wersja: wrzesie 2012 RZECZPOSPOLITA POLSKA Ministerstwo Administracji i Cyfryzacji, Agencja Bezpieczestwa Wewntrznego

POLITYKA OCHRONY CYBERPRZESTRZENI RZECZYPOSPOLITEJ POLSKIEJ

WARSZAWA 18 Wrzesie 2012

Strona 1 z 31

SPIS TRECI:
1. 1.1. 1.2. 1.3. 1.4. 1.5. 1.6. 2. 3. GWNE PRZESANKI I ZAOENIA POLITYKI OCHRONY CYBERPRZESTRZENI RP................................... 4 TERMINY ...................................................................................................................................................... 6 CEL STRATEGICZNY ......................................................................................................................................... 8 CELE SZCZEGOWE ....................................................................................................................................... 8 ADRESACI I ZAKRES ODDZIAYWANIA .................................................................................................................. 9 USTANOWIENIE ODPOWIEDZIALNOCI ZA BEZPIECZESTWO CRP........................................................................... 10 ZGODNO POLITYKI Z AKTAMI PRAWNYMI ....................................................................................................... 11 UWARUNKOWANIA I PROBLEMY OBSZARU CYBERPRZESTRZENI ........................................................ 12 GWNE KIERUNKI DZIAA ............................................................................................................... 14 3.1 OCENA RYZYKA ............................................................................................................................................ 14 3.2 BEZPIECZESTWO PORTALI ADMINISTRACJI RZDOWEJ ........................................................................................ 15 3.3 ZAOENIA DZIAA LEGISLACYJNYCH ............................................................................................................... 15 3.4 ZAOENIA DZIAA PROCEDURALNO-ORGANIZACYJNYCH .................................................................................... 15 3.4.1 Zarzdzanie bezpieczestwem cyberprzestrzeni RP ..................................................................... 16 3.4.2 System zarzdzania bezpieczestwem w jednostce organizacyjnej ............................................. 16 3.4.3 Rola kierownikw jednostek organizacyjnych............................................................................... 17 3.5 ZAOENIA DOTYCZCE KSZTACENIA, SZKOLE I UWIADAMIANIA W DZIEDZINIE BEZPIECZESTWA............... 18 3.5.1. Szkolenia penomocnikw ds. bezpieczestwa cyberprzestrzeni ................................................. 18 3.5.2. Wprowadzenie tematyki bezpieczestwa teleinformatycznego jako staego elementu ksztacenia na uczelniach wyszych. ............................................................................................................................... 18 3.5.3. Ksztacenie kadry urzdniczej w administracji rzdowej .............................................................. 19 3.5.4. Kampania spoeczna o charakterze edukacyjno - prewencyjnym ................................................. 19 3.6 ZAOENIA DZIAA TECHNICZNYCH ................................................................................................................ 21 3.6.1 Programy badawcze ...................................................................................................................... 21 3.6.2 Rozbudowa zespow reagowania na incydenty bezpieczestwa teleinformatycznego w administracji rzdowej ...................................................................................................................................................... 21 3.6.3 Rozbudowa systemu wczesnego ostrzegania oraz wdraanie i utrzymanie rozwiza .................... prewencyjnych .............................................................................................................................................. 22 3.6.4 Testowanie poziomu zabezpiecze i cigo dziaania ................................................................ 22 3.6.5 Rozwj zespow bezpieczestwa ................................................................................................ 22 4. WDROENIE I MECHANIZMY REALIZACJI ZAPISW DOKUMENTU ....................................................... 24 4.1 NADZR I KOORDYNACJA WDROENIA .............................................................................................................. 24 4.2 KRAJOWY SYSTEM REAGOWANIA NA INCYDENTY KOMPUTEROWE W CYBERPRZESTRZENI RP ....................................... 24 4.3 MECHANIZM WYMIANY INFORMACJI ................................................................................................................ 25 4.4 SPOSOBY I FORMY WSPPRACY ..................................................................................................................... 25 4.5 WSPPRACA Z PRZEDSIBIORCAMI ................................................................................................................. 25 4.5.1 Wsppraca z producentami urzdze i systemw teleinformatycznych ..................................... 26 4.5.2 Wsppraca z przedsibiorcami telekomunikacyjnymi ................................................................. 26 4.6 WSPPRACA MIDZYNARODOWA .................................................................................................................. 26 5. 6. 6.1 6.2 6.3 6.4 FINANSOWANIE .................................................................................................................................. 27 OCENA SKUTECZNOCI POLITYKI ......................................................................................................... 28 PRZEWIDYWANE EFEKTY POLITYKI ................................................................................................................... 30 SKUTECZNO DZIAA ................................................................................................................................. 30 MONITOROWANIE EFEKTYWNOCI DZIAA W RAMACH PRZYJTEJ POLITYKI............................................................ 30 KONSEKWENCJE NARUSZENIA ZAPISW POLITYKI ............................................................................................... 31

Str. 2 z 31

Niniejszy dokument zosta opracowany w Ministerstwie Administracji i Cyfryzacji we wsppracy z Agencj Bezpieczestwa Wewntrznego w oparciu o: omwiony 9 marca 2009 r. przez Komitet Stay Rady Ministrw dokument Rzdowy program ochrony cyberprzestrzeni RP na lata 2009-2011 zaoenia, okresowe raporty o stanie bezpieczestwa obszaru gov.pl, publikowane przez Rzdowy Zesp Reagowania na Incydenty Komputerowe CERT.GOV.PL, decyzj Przewodniczcego Komitetu Rady Ministrw do spraw Cyfryzacji nr 1/2012 z dnia 24 stycznia 2012r. w przedmiocie powoania Zespou zadaniowego do spraw ochrony portali rzdowych.

Str. 3 z 31

1. G WNE PRZESANKI C YBERPRZESTRZENI RP

W obliczu globalizacji

Z AOENIA

P OLITYKI

O CHRONY

bezpieczestwo

cyberprzestrzeni

stao

si

jednym

z podstawowych celw strategicznych w obszarze bezpieczestwa kadego pastwa. W czasie, gdy panuje swoboda przepywu osb, towarw, informacji i kapitau bezpieczestwo demokratycznego pastwa zaley od wypracowania mechanizmw pozwalajcych cyberprzestrzeni. Z uwagi na wzrost zagroe dla systemw teleinformatycznych, od ktrych cakowita separacja jest niemoliwa, a take fakt rozproszonej odpowiedzialnoci za bezpieczestwo teleinformatyczne, jest niezbdne skoordynowanie dziaa, ktre umoliwi szybkie i efektywne reagowanie na ataki wymierzone przeciwko systemom teleinformatycznym i oferowanym przez nie usugom. Systemy teleinformatyczne eksploatowane przez administracj rzdow, organy wadzy ustawodawczej, wadz sdownicz, samorzd terytorialny, a take systemy strategiczne z punktu widzenia bezpieczestwa Pastwa jak rwnie przedsibiorcy oraz osoby fizyczne s objte niniejsz Polityk Ochrony Cyberprzestrzeni Rzeczpospolitej Polskiej, zwan dalej Polityk. Niniejsz Polityk Rzd Rzeczypospolitej Polskiej przyjmuje, e poprzez swoich przedstawicieli bierze czynny udzia w zapewnieniu bezpieczestwa zasobw informacyjnych Pastwa, jego obywateli oraz realizuje swoje konstytucyjne obowizki. W ramach Polityki przyjmuje si wparcie dla inicjatyw spoecznych majcych na celu realizacj zada zbienych z niniejszym dokumentem. Rzd Rzeczypospolitej Polskiej, przy wypenianiu obowizkw konstytucyjnych realizowanych za pomoc cyberprzestrzeni, konsultuje si ze zorganizowanymi grupami spoeczestwa, a w szczeglnoci z przedstawicielami przedsibiorcw telekomunikacyjnych oraz dostawcw wiadczcych usugi drog elektroniczn, celem uzgodnienia akceptowalnego poziomu bezpieczestwa realizacji przedmiotowych obowizkw. Przyjmujc status Polityki dla przedmiotowego dokumentu naley wskaza, e w ramach obowizujcego systemu rzdowych dokumentw strategicznych Polityka mieci si w grupie dokumentw strategicznych doprecyzowujcych kierunki dziaa wskazanych
Str. 4 z 31

skutecznie

zapobiega

zwalcza

zagroenia

dla

bezpieczestwa

w strategiach, programach rozwoju i innych dokumentach programowych, ktre nie wskazuj nowych priorytetw i dziaa. Okrelaj one wizj rozwoju danego sektora oraz sposoby jej realizacji opierajc si na zapisach odpowiednich dokumentw. Polityka nie obejmuje swoim obszarem zadaniowym niejawnych systemw teleinformatycznych. Naley podkreli, e obszar ochrony informacji niejawnych posiada wasne regulacje prawne i stosowne mechanizmy ochronne. Posiada struktury organizacyjne dedykowane do ochrony informacji niejawnych wytwarzanych, przetwarzanych oraz przechowywanych w wydzielonych systemach teleinformatycznych. Podstawowym aktem prawnym jest ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228).

Str. 5 z 31

1.1.

Terminy

Uyte w niniejszym dokumencie okrelenia, skrty oznaczaj: Abuse - zwyczajowa nazwa dziau bezpieczestwa u dostawcy usug

internetowych, ktry zarzdza procesem reakcji na incydenty komputerowe i rozpatrywaniem skarg dotyczcych naduy, bezpieczestwo cyberprzestrzeni - zesp przedsiwzi organizacyjnoprawnych, technicznych, fizycznych i edukacyjnych majcy na celu zapewnienie niezakconego funkcjonowania cyberprzestrzeni, CERT (ang. Computer Emergency Response Team), CSIRT (ang. Computer Security Incydent Response Team) - zesp powoany do reakcji na zdarzenia naruszajce bezpieczestwo w sieci Internet, cyberatak - celowe zakcenie prawidowego funkcjonowania cyberprzestrzeni, cyberprzestpstwo - czyn zabroniony popeniony w obszarze cyberprzestrzeni, cyberprzestrze - przestrze przetwarzania i wymiany informacji tworzona

przez systemy teleinformatyczne, okrelone w art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji dziaalnoci podmiotw realizujcych zadania publiczne (Dz. U. Nr 64, poz. 565, z pn. zm.) wraz z powizaniami pomidzy nimi oraz relacjami z uytkownikami; zgodnie z ustaw z dnia 30 sierpnia 2011 r. o zmianie ustawy o stanie wojennym oraz o kompetencjach Naczelnego Dowdcy Si Zbrojnych i zasadach jego podlegoci konstytucyjnym organom Rzeczypospolitej Polskiej oraz niektrych innych ustaw (Dz. U. Nr 222, poz. 1323), cyberprzestrze RP (dalej, jako CRP) - cyberprzestrze w obrbie terytorium pastwa polskiego i poza jego terytorium, w miejscach gdzie funkcjonuj przedstawiciele RP (placwki dyplomatyczne, kontyngenty wojskowe), cyberterroryzm - przestpstwo o charakterze terrorystycznym popenione incydent zwizany z bezpieczestwem informacji - pojedyncze zdarzenie lub

w cyberprzestrzeni, seria niepodanych zdarze zwizanych z bezpieczestwem informacji, ktre stwarzaj znaczne prawdopodobiestwo zakcenia dziaa biznesowych i zagraaj bezpieczestwu informacji - (wg norm serii PN-ISO/IEC 27000),

Str. 6 z 31

jednostka organizacyjna - jednostka organizacyjna w rozumieniu ustawy z dnia PBC - penomocnik ds. bezpieczestwa cyberprzestrzeni w jednostkach przedsibiorca - przedsibiorca w rozumieniu art. 4 ustawy z dnia 2 lipca 2004

23 kwietnia 1964 r. - Kodeks cywilny (Dz. U. Nr 16, poz. 93, z pn. zm.),

organizacyjnych administracji publicznej, r. o swobodzie dziaalnoci gospodarczej (Dz. U. z 2010 r. Nr 220, poz. 1447, z pn. zm.) lub kada inna jednostka organizacyjna, niezalenie od formy wasnoci, Sektorowy Punkt Kontaktowy - punkt kontaktu pomidzy podmiotami dziaajcymi w tej samej brany umoliwiajcy przepyw informacji pomidzy nimi a waciwymi zespoami CERT lub Abuse, uytkownik cyberprzestrzeni - kada jednostka organizacyjna, urzd obsugujcy organ administracji publicznej, przedsibiorca oraz osoba fizyczna, ktry korzysta z zasobw cyberprzestrzeni.

Str. 7 z 31

1.2.
Celem

Cel strategiczny
strategicznym Polityki jest osignicie akceptowalnego poziomu

bezpieczestwa cyberprzestrzeni Pastwa. Osignicie celu strategicznego jest realizowane poprzez stworzenie ram

organizacyjno-prawnych oraz systemu skutecznej koordynacji i wymiany informacji pomidzy uytkownikami CRP. Dziaania podejmowane w celu realizacji celu strategicznego s wynikiem ocen ryzyka prowadzonych przez uprawnione podmioty, w odniesieniu do zagroe wystpujcych w cyberprzestrzeni. Jednoczenie Polityka jest zgodna z celami zawartymi w: 1) 2) 3) 4) 5) 6) Europejskiej Agendzie Cyfrowej Rady Europejskiej [KOM(2010)245]; Strategii Rozwoju Spoeczestwa Informacyjnego; Strategii Bezpieczestwa Narodowego; redniookresowej Strategii Rozwoju Kraju; Strategii Europa 2020"; Strategii Sprawne Pastwo.

1.3.
1)

Cele szczegowe
Zwikszenie poziomu bezpieczestwa infrastruktury teleinformatycznej

Pastwa. 2) Zwikszenie zdolnoci do zapobiegania i zwalczania zagroe ze strony Zmniejszenie skutkw incydentw godzcych w bezpieczestwo

cyberprzestrzeni. 3)

teleinformatyczne. 4) Okrelenie kompetencji podmiotw odpowiedzialnych za bezpieczestwo Stworzenie i realizacja spjnego dla wszystkich podmiotw administracji

cyberprzestrzeni. 5) rzdowej systemu zarzdzania bezpieczestwem cyberprzestrzeni oraz ustanowienie wytycznych w tym zakresie dla podmiotw niepublicznych.

Str. 8 z 31

6)

Stworzenie trwaego systemu koordynacji i wymiany informacji pomidzy odpowiedzialnymi za bezpieczestwo cyberprzestrzeni oraz

podmiotami

uytkownikami cyberprzestrzeni. 7) Zwikszenie wiadomoci uytkownikw cyberprzestrzeni w zakresie metod i rodkw bezpieczestwa w cyberprzestrzeni. Cele Polityki s realizowane przez: a) system koordynacji przeciwdziaania i reagowania na zagroenia i ataki na cyberprzestrze, w tym ataki o charakterze terrorystycznym; b) powszechne wdroenie wrd jednostek administracji rzdowej, a take podmiotw niepublicznych mechanizmw sucych zapobieganiu i wczesnemu wykrywaniu zagroe dla bezpieczestwa cyberprzestrzeni oraz waciwemu postpowaniu w przypadku stwierdzonych incydentw; c) powszechn oraz specjalistyczn edukacj spoeczn w zakresie bezpieczestwa CRP.

1.4.

Adresaci i zakres oddziaywania

Adresatami Polityki s wszyscy uytkownicy cyberprzestrzeni w obrbie Pastwa i poza jego terytorium, w miejscach gdzie funkcjonuj przedstawiciele RP (placwki dyplomatyczne, kontyngenty wojskowe). Niniejsza Polityka obowizuje administracj rzdow: 1) urzdy obsugujce naczelne organy administracji rzdowej: Prezesa Rady

Ministrw, Rad Ministrw, ministrw i przewodniczcych okrelonych w ustawach komitetw; 2) urzdy obsugujce centralne organy administracji rzdowej: organy inne ni tj. organy podporzdkowane Prezesowi Rady Ministrw, bd

w/wym,

poszczeglnym ministrom; 3) urzdy obsugujce terenowe organy administracji rzdowej: wojewodw, Rzdowe Centrum Bezpieczestwa.

organy administracji zespolonej i niezespolonej; 4)

Str. 9 z 31

Jednoczenie Polityka jest rekomendowana dla administracji samorzdowej szczebla gminnego, powiatowego i wojewdzkiego oraz innych urzdw (jednostki nie nalece do administracji rzdowej i samorzdowej), w tym: a) b) c) d) e) f) g) h) i) j) k) Kancelarii Prezydenta Rzeczypospolitej Polskiej; Kancelarii Sejmu Rzeczypospolitej Polskiej; Kancelarii Senatu Rzeczypospolitej Polskiej; Biura Krajowej Rady Radiofonii i Telewizji; Biura Rzecznika Praw Obywatelskich; Biura Rzecznika Praw Dziecka; Biura Krajowej Rady Sdownictwa; urzdw organw kontroli pastwowej i ochrony prawa; Narodowego Banku Polskiego; urzdu Komisji Nadzoru Finansowego; pastwowych osb prawnych i innych ni wymienione wyej pastwowe

jednostki organizacyjne. Polityka stanowi jednoczenie wskazwk do dziaa dla wszystkich innych uytkownikw cyberprzestrzeni, ktrzy nie zostali wymienieni powyej.

1.5. Ustanowienie bezpieczestwo CRP

odpowiedzialnoci

za

Za bezpieczestwo CRP odpowiada Rada Ministrw, ktra zadania w tym zakresie wykonuje przez: 1) 2) 3) 4) 5) 6) Ministra Administracji i Cyfryzacji, Ministra Obrony Narodowej, Ministra Spraw Wewntrznych, Szefa Agencji Bezpieczestwa Wewntrznego, Szefa Suby Kontrwywiadu Wojskowego, inne organy administracji rzdowej.

Przyjcie odpowiedzialnoci za bezpieczestwo CRP przez Rad Ministrw nie zwalnia uytkownikw CRP z obowizku naleytej dbaoci o bezpieczestwo wasne oraz zasobw i rozwiza teleinformatycznych pozostajcych w ich posiadaniu. Zakada si, i

Str. 10 z 31

systemy zapewniajce bezpieczestwo, budowane przez administracj rzdow oraz przez uytkownikw CRP, nawzajem si uzupeniaj wsptworzc bezpieczestwo CRP. Dla sukcesu Polityki niezbdny jest aktywny udzia uytkownikw CRP w dziaaniach majcych na celu podniesienie poziomu jej bezpieczestwa. Wane jest take zwikszenie udziau uytkownikw CRP w realizacji Polityki przez konsultowanie jej zawartoci oraz udzia w koordynacji realizacji Polityki i jej przegldw z przedstawicielami spoeczestwa i spoecznoci teleinformatycznej. Powszechne stosowanie przez uytkownikw CRP rozwiza majcych na celu podniesienie jej bezpieczestwa bdzie wyrazem akceptacji dla dziaa podejmowanych przez Rzd RP w tym obszarze.

1.6.

Zgodno Polityki z aktami prawnymi

Polityka jest zgodna z powszechnie obowizujcym prawem Rzeczypospolitej Polskiej (Konstytucja, ustawy, ratyfikowane umowy midzynarodowe oraz rozporzdzenia) i nie narusza postanowie adnego z nich.

Str. 11 z 31

2.

U WARUNKOWANIA

I PROBLEMY OBSZARU CYBE RPRZESTRZENI

Funkcjonowanie Pastwa i realizacja przez nie obowizkw konstytucyjnych w coraz wikszym stopniu uzalenione jest od rozwoju nowoczesnych technologii, spoeczestwa informacyjnego oraz niezakconego funkcjonowania cyberprzestrzeni. Obecnie bezpieczne funkcjonowanie cyberprzestrzeni w duej mierze zalene jest od bezpieczestwa infrastruktury teleinformatycznej umoliwiajcej korzystanie z cyberprzestrzeni, zgromadzonych w niej zasobw informacyjnych i usug, ktre dziki niej funkcjonuj. Infrastruktura funkcjonujca w CRP umoliwia wywizanie si Pastwa z konstytucyjnych obowizkw wzgldem obywateli, zapewnia cigo i efektywno dziaania administracji rzdowej oraz niezakcony i efektywny rozwj gospodarki Rzeczypospolitej Polskiej. Rzd RP widzi konieczno prowadzenia dziaa majcych na celu zapewnienie bezpieczestwa infrastruktury teleinformatycznej Pastwa, tj. zapewnienie poprawnoci i cigoci funkcjonowania systemw teleinformatycznych, obiektw i instalacji wykorzystywanych do realizacji konstytucyjnych zada Pastwa wzgldem obywateli oraz jego bezpieczestwa wewntrznego. W tym celu jest niezbdne wyznaczenie minimalnego standardu bezpieczestwa, ktry pozwoli na realizacj tego celu oraz pozwoli ograniczy do minimum ewentualne szkody, jakie moe nie za sob atak na poszczeglne elementy cyberprzestrzeni RP. Polityka stanowi podstaw wypracowania koncepcji zarzdzania bezpieczestwem infrastruktury funkcjonujcej w ramach CRP oraz wypracowania wytycznych do opracowania podstawy prawnej sucej wykonywaniu zada w tym zakresie przez administracj rzdow. Zasady zapewnienia bezpieczestwa cyberprzestrzeni wypracowane w ramach wsppracy, o ktrej mowa w pkt 4.4, w zakresie infrastruktury CRP s rekomendowane rwnie przedsibiorcom. Dziaania dotyczce bezpieczestwa infrastruktury teleinformatycznej bd

komplementarne w stosunku do dziaa majcych na celu ochron infrastruktury krytycznej Pastwa. Polityka w tym zakresie nie narusza postanowie zawartych w Narodowym Programie Ochrony Infrastruktury Krytycznej. Polityka wskazuje konieczno wypracowania koncepcji zapewnienia bezpieczestwa infrastruktury funkcjonujcej w ramach CRP oraz przygotowania podstaw prawnych do wykonywania zada w tym zakresie przez administracj rzdow.

Str. 12 z 31

Infrastruktura

teleinformatyczna

CRP

musi

by

chroniona

przed

atakami

z cyberprzestrzeni, zniszczeniem, uszkodzeniem i dostpem osb nieuprawnionych. W ramach dziaa zwizanych z realizacj Polityki jest prowadzona ocena ryzyka z uwzgldnieniem identyfikacji zasobw, podsystemw, funkcji i zalenoci od innych systemw istotnych z punktu widzenia funkcjonowania CRP. Jednoczenie wdroenie Polityki pozwoli na opracowanie docelowych wytycznych do realizacji oceny ryzyka oraz szablonw sprawozda zawierajcych oglne dane dotyczce rodzajw ryzyka, zagroe oraz sabych punktw stwierdzonych w kadym z sektorw gospodarki RP w odniesieniu do zada konstytucyjnych realizowanych w oparciu o CRP. Istnieje potrzeba wypracowania, na podstawie prowadzonej analizy ryzyka, minimalnych Pastwa. standardw bezpieczestwa zgodnie z ktrymi bd zabezpieczane zidentyfikowane zasoby i systemy, dziki ktrym s realizowane konstytucyjne obowizki

Str. 13 z 31

3.

G WNE

KIERUNK I DZIA A

Polityka bdzie realizowana poprzez ponisze dziaania, zgodnie z priorytetami wynikajcymi z przedstawionej kolejnoci.

3.1 Ocena ryzyka

Ocena ryzyka zwizana z funkcjonowaniem cyberprzestrzeni jest kluczowym elementem procesu bezpieczestwa cyberprzestrzeni, determinujcym i uzasadniajcym dziaania podejmowane w celu jego obnienia do akceptowalnego poziomu. W celu osignicia akceptowalnego poziomu bezpieczestwa, zakada si, i kada jednostka administracji rzdowej, o ktrej mowa w pkt 1.4 (punkty 1-4), w terminie do 31 stycznia kadego roku przekae do ministra waciwego ds. informatyzacji sprawozdanie podsumowujce oceny ryzyka (wg wzorca opracowanego przez ministra waciwego ds. informatyzacji). Sprawozdanie powinno zawiera oglne dane dotyczce rodzajw ryzyka, zagroe i sabych punktw zdiagnozowanych w kadym z sektorw, w ktrych poszczeglna instytucja dziaa i za ktre odpowiada. W sprawozdaniu winny by przedstawione take informacje o sposobach postpowania z ryzykiem. Zadaniem ministra waciwego ds. informatyzacji powinno by przekazanie, do Prezesa Rady Ministrw, w terminie do 31 marca kadego roku, sprawozdania zawierajcego oglne dane dotyczce rodzajw zagroe i sabych punktw zdiagnozowanych w cyberprzestrzeni RP. Minister waciwy ds. informatyzacji we wsppracy z zaangaowanymi instytucjami okreli jednolit metodyk przeprowadzania analiz ryzyka. Istnieje konieczno, aby uywanie tej metodyki byo docelowo obligatoryjne dla instytucji administracji rzdowej. Zalecane jest, aby Rzdowy Zesp Reagowania na Incydenty Komputerowe CERT.GOV.PL przedstawi ministrowi waciwemu ds. informatyzacji, w celu zunifikowanego podejcia, opracowane katalogi zawierajce specyfikacj zagroe oraz moliwych podatnoci godzcych w bezpieczestwo cyberprzestrzeni.

Str. 14 z 31

3.2 Bezpieczestwo portali administracji rzdowej

Gwnym miejscem wymiany informacji pomidzy jednostkami administracji a obywatelem, w e-spoeczestwie, s strony internetowe. Winny one spenia podstawowe wymagania bezpieczestwa, to jest zapewnia odpowiedni dostpno, integralno oraz poufno danych. Kada jednostka organizacyjna powinna samodzielnie oceni ryzyko (o ktrym mowa w pkt. 3.1) dla swoich portali. Zakada si, i na tej podstawie zostan zaimplementowane odpowiednie (w zalenoci od typu portalu i wynikw oceny ryzyka) rozwizania organizacyjno-techniczne pozwalajce na zapewnienie odpowiedniego poziomu bezpieczestwa. Ze wzgldu na rne typy stron i rne ich priorytety, rozwizania te bd si rni od siebie. Proponuje si, aby jednostki administracji rzdowej prowadzce portale internetowe, poza spenieniem minimalnych wymogw, wdroyy rwnie odpowiednie zalecenia oraz dobre praktyki z zakresu bezpieczestwa, ktre przygotuje Zesp zadaniowy do spraw ochrony portali rzdowych we wsppracy z Rzdowym Zespoem Reagowania na Incydenty Komputerowe CERT.GOV.PL.

3.3 Zaoenia dziaa legislacyjnych

Podstawowym elementem realizacji Polityki, przewidzianym niezwocznie do wykonania, s dziaania legislacyjne. Rada Ministrw, rozumiejc wysoki priorytet tych dziaa, widzi potrzeb ich zainicjowania przez ministra waciwego ds. informatyzacji, aby stworzy regulacje prawne, dajce podstawy do podejmowania dalszych dziaa w ramach wdroenia zapisw Polityki. Konieczny jest przegld obecnie obowizujcych regulacji prawnych majcych na wzgldzie przygotowanie rozwiza w celu zwikszenia poczucia bezpieczestwa cyberprzestrzeni. nie tylko instytucji rzdowych ale wszystkich uytkownikw

3.4 Zaoenia dziaa proceduralno-organizacyjnych

Wanym etapem realizacji Polityki bd dziaania proceduralno-organizacyjne. Ich celem jest optymalizacja funkcjonowania CRP poprzez wprowadzenie w ycie najlepszych

Str. 15 z 31

praktyk i standardw w tym zakresie. Na tym etapie konieczne jest wykorzystanie zarwno narzdzi prawnych stworzonych w pierwszym etapie, jak i mechanizm mikkich"1 regulacji. Wykonanie tego etapu nastpi dziki uruchomieniu oddzielnych projektw szczegowych. 3.4.1 Zarzdzanie bezpieczestwem cyberprzestrzeni RP

W ramach zarzdzania bezpieczestwem cyberprzestrzeni RP, a take w celu usprawnienia procesu realizacji celw Polityki oraz zapewnienia skutecznoci dziaa organw wadzy pastwowej w zakresie bezpieczestwa CRP jest niezbdne powoanie przez Prezesa Rady Ministrw zespou odpowiedzialnego za przygotowywanie rekomendacji dla waciwego ministra z zakresu wykonania czy koordynacji wszelkich dziaa zwizanych z jej bezpieczestwem (zwanego dalej Zespoem). Zesp moe zosta zorganizowany poprzez rozwinicie istniejcego Zespou zadaniowego do spraw ochrony portali rzdowych, powoanego przez Przewodniczcego Komitetu Rady Ministrw do spraw Cyfryzacji decyzj nr 1/2012 z dnia 24 stycznia 2012 r. Zaleca si, aby Zesp, w terminie 30 dni od dnia powoania, przygotowa i przedstawi do zatwierdzenia Radzie Ministrw plan dziaa w zakresie bezpieczestwa cyberprzestrzeni RP. Podstawowym zadaniem Zespou powinno by rekomendowanie dziaa majcych na celu koordynowanie dziaa instytucji realizujcych zadania naoone przez Polityk, organizacja cyklicznych spotka, rekomendowanie proponowanych rozwiza z zakresu bezpieczestwa CRP. Zakada si, e w zakresie realizacji zada zwizanych z bezpieczestwem CRP w obszarze administracji rzdowej i obszarze cywilnym, rol gwnego zespou CERT peni Rzdowy Zesp Reagowania na Incydenty Komputerowe CERT.GOV.PL. Analogicznie, w obszarze militarnym, rol tak peni Resortowe Centrum Zarzdzania Bezpieczestwem Sieci i Usug Teleinformatycznych. 3.4.2 System organizacyjnej zarzdzania bezpieczestwem w jednostce

W kadej jednostce organizacyjnej administracji rzdowej, w ramach zapewnienia bezpieczestwa cyberprzestrzeni, kierownik jednostki powinien ustanowi system

Jako mikk regulacj rozumie si np. kodeksy dobrych praktyk, wytyczne, zalecenia, kodeks etyczny, etykiet, dobre praktyki czy te normy itp.

Str. 16 z 31

zarzdzania bezpieczestwem informacji, w oparciu o obowizujce przepisy i najlepsze praktyki. Zakada si, e podmiot publiczny bdzie opracowywa i modyfikowa w zalenoci od potrzeb, a take wdraa polityk bezpieczestwa dla systemw teleinformatycznych uywanych przez niego do realizacji zada publicznych. Przy opracowywaniu Polityki bezpieczestwa podmiot publiczny uwzgldnia obowizki wynikajce z ustawy z dnia 17 lutego 2005 r. o informatyzacji dziaalnoci podmiotw realizujcych zadania publiczne (Dz. U. Nr, poz. 565, z pn. zm.) dotyczce minimalnych wymaga dla systemw teleinformatycznych w zakresie bezpieczestwa informacji. W celu zapewnienia spjnoci polityk bezpieczestwa informacji jednostek organizacyjnych, zakada si, e minister waciwy ds. informatyzacji w porozumieniu z Ministrem Obrony Narodowej i Szefem Agencji Bezpieczestwa Wewntrznego moe przygotowa wytyczne dotyczce systemw zarzdzania bezpieczestwem informacji. 3.4.3 Rola kierownikw jednostek organizacyjnych

W ramach jednostek organizacyjnych administracji rzdowej powinna zosta okrelona rola penomocnika ds. bezpieczestwa cyberprzestrzeni (dalej jako PBC). Zadania penomocnika w zakresie bezpieczestwa cyberprzestrzeni winny obejmowa swoim zakresem przede wszystkim: 1) realizacj obowizkw wynikajcych z przepisw aktw prawnych

waciwych dla zapewnienia bezpieczestwa cyberprzestrzeni; 2) opracowanie i wdroenie procedur reagowania na incydenty komputerowe, ktre bd obowizyway w organizacji; 3) 4) 5) identyfikowanie i prowadzenie cyklicznych analiz ryzyka; przygotowanie planw awaryjnych oraz ich testowanie; opracowanie procedur zapewniajcych informowanie waciwych zespow a) wystpieniu incydentw komputerowych, b) zmianie lokalizacji jednostki organizacyjnej, danych kontaktowych, itp.; Polityka nie wskazuje miejsca usytuowania penomocnika ds. bezpieczestwa cyberprzestrzeni w strukturze jednostki organizacyjnej, jednak rola penomocnika powinna

CERT o:

Str. 17 z 31

zosta

przypisana

osobie

odpowiedzialnej

za

realizacj

procesu

bezpieczestwa

teleinformatycznego.

3.5 Zaoenia dotyczce ksztacenia, szkole i uwiadamiania w dziedzinie bezpieczestwa

W ramach realizacji Polityki Rada Ministrw widzi potrzeb rozpoczcia prac nad wdroeniem dziaa edukacyjnych. Zakada si, e dziaania z tego zakresu bd prowadzone wrd obecnych oraz przyszych uytkownikw CRP. Maj one na celu wzmocnienie efektu dwch poprzednich dziaa, utrwalenie ich wrd uytkownikw, a take stworzenie moliwoci przejcia do nastpnego etapu realizacji Polityki. 3.5.1. Szkolenia penomocnikw ds. bezpieczestwa cyberprzestrzeni

W celu podniesienia kwalifikacji istnieje konieczno opracowania systemu szkole dla penomocnikw ds. bezpieczestwa cyberprzestrzeni. W projekcie szkole szczeglny nacisk powinien by pooony na kwesti reagowania na incydenty zwizane z bezpieczestwem informacji. 3.5.2. Wprowadzenie tematyki bezpieczestwa teleinformatycznego jako staego elementu ksztacenia na uczelniach wyszych. Jednym z podstawowych aspektw zapewnienia bezpieczestwa CRP jest posiadanie wysoko wykwalifikowanych kadr w sektorze publicznym i prywatnym odpowiadajcych za utrzymanie systemw teleinformatycznych ze szczeglnym uwzgldnieniem zasobw kluczowych dla bezpieczestwa pastwa. Aby zapewni cigy dopyw odpowiednio wyszkolonych specjalistw z dziedziny bezpieczestwa teleinformatycznego jest konieczne zaangaowanie szk wyszych w realizacj zaoe Polityki. Zagadnienia zwizane z bezpieczestwem cyberprzestrzeni powinny sta si staym elementem nauczania. W szczeglnoci dotyczy to uczelni technicznych ksztaccych informatykw. Nie mona dopuszcza do sytuacji, w ktrej projektanci, programici skupiaj si wycznie na funkcjonalnoci, zapominajc o zasadach tworzenia bezpiecznego kodu, a administratorzy systemw za priorytet uznaj dostpno zasobw uytkownikw zapominajc o koniecznoci ochrony przetwarzanych informacji przed intruzami. W tym celu konieczne jest umieszczenie tematyki bezpieczestwa teleinformatycznego na licie efektw ksztacenia Krajowych Ram Kwalifikacji", na wszystkich etapach ksztacenia.

Str. 18 z 31

3.5.3.

Ksztacenie kadry urzdniczej w administracji rzdowej

Rada Ministrw widzi konieczno edukacji pracownikw administracji rzdowej, majcej dostp oraz korzystajcej z CRP, w zakresie zagadnie dotyczcych bezpieczestwa systemw teleinformatycznych - odpowiednio do zajmowanego stanowiska i ryzyka z nim zwizanego. 3.5.4. Kampania spoeczna o charakterze edukacyjno - prewencyjnym

Powszechno korzystania przez obywateli z systemw doczonych do sieci Internet oraz zwikszajce si znaczenie dostpnoci usug oferowanych przez cyberprzestrze, wymuszaj konieczno podnoszenia wiadomoci odnonie bezpiecznych metod korzystania z Internetu oraz uwraliwienia obywateli na pojawiajce si zagroenia. wiadomo i wiedza na temat sposobw przeciwdziaania i zwalczania zagroe stanowi kluczowe elementy walki z tymi zagroeniami. Jedynie odpowiedzialne zachowanie odpowiednio wyedukowanego uytkownika moe skutecznie minimalizowa ryzyko wynikajce z istniejcych zagroe. Naley podkreli, i we wspczesnym wiecie zapewnienie bezpieczestwa teleinformatycznego w duej mierze zaley od wiedzy i dziaa kadego uytkownika cyberprzestrzeni. Ze wzgldu na fakt, e przestpczoci w cyberprzestrzeni s zagroeni zarwno osoby fizyczne, jak rwnie instytucje publiczne, przedsibiorcy, organizacje spoeczne, to kampania bdzie miaa charakter wielowymiarowy i uwzgldnia bdzie konieczne zrnicowanie form i treci przekazu w zalenoci od potrzeb jej adresatw. Zakada si, e kampania spoeczna bdzie miaa charakter dugofalowy i powszechny. Ze wzgldu na bezpieczestwo teleinformatyczne warunkujce realizacj zada publicznych, adresatami akcji informacyjnych bd w szczeglnoci pracownicy administracji rzdowej oraz podmioty, ktrych zasoby nale do infrastruktury teleinformatycznej CRP. Zakada si, e kampania edukacyjno-prewencyjna skierowana bdzie do ogu spoeczestwa, a w szczeglnoci: 1) dzieci i modziey - jako grupy najbardziej podatnej na wpywy. Edukacja

powinna rozpocz si ju od najmodszych lat celem wytworzenia nawykw, ktre uchroni modych ludzi przed zagroeniami czyhajcymi na nich w sieci (np. przed zjawiskiem zwanym cyberbullying - przemocy w sieci, zawieraniem niebezpiecznych znajomoci, niecenzuralnymi treciami, piractwem, uzalenieniem od Internetu).

Str. 19 z 31

Wiedz na temat zagroe z cyberprzestrzeni dziecko powinno uzyskiwa przede wszystkim w szkole na wszystkich poziomach edukacji (szkoa podstawowa, gimnazjum, szkoa rednia); 2) rodzicw - jako osoby odpowiedzialne za wychowanie kolejnych pokole. To na rodzicach spoczywa odpowiedzialno za przygotowanie dzieci do funkcjonowania w spoeczestwie, rwnie w spoeczestwie informacyjnym. Celem skutecznego nadzoru nad dziaalnoci dziecka w Internecie rodzice powinni zdoby odpowiedni wiedz na temat zagroe z cyberprzestrzeni oraz metod ich eliminowania. 3) nauczycieli - od roku 2004 ksztacenie nauczycieli w ramach specjalizacji odbywa si zgodnie z rozporzdzeniem. Ministra Edukacji Narodowej, okrelajcym standardy ksztacenia nauczycieli2. W ramach zaj obowizkowych na studiach wyszych nauczyciele uzyskuj podstawow wiedz z zakresu technologii informacyjnej, w tym rwnie bezpiecznego i wiadomego korzystania z systemw teleinformatycznych. Kampania spoeczna adresowana do dzieci, modziey i ich rodzicw w duej mierze powinna by realizowana w placwkach owiatowych wszystkich szczebli. Kampania bdzie realizowana take za porednictwem rodkw masowego przekazu. Media - jako istotny partner w promowaniu zagadnie bezpieczestwa, CRP oraz popularyzacji przedsiwzi zawartych w Polityce - zwiksz skuteczno realizacji zaoonych celw. Dziki ich pomocy w trakcie realizacji Polityki bdzie moliwe przeprowadzenie rwnie akcji informacyjnych i kampanii edukacyjnych. W tym celu zostan zaangaowane media oglnopolskie, regionalne oraz lokalne. Zaoeniem jest, e w ramach kampanii spoecznej informacje dotyczce bezpieczestwa teleinformatycznego oraz przedsiwzi edukacyjnych i organizacyjno-prawnych podejmowanych w ramach Polityki bd prezentowane na stronach internetowych Ministerstwa Administracji i Cyfryzacji oraz na stronie Rzdowego Zespou Reagowania na Incydenty Komputerowe CERT.GOV.PL Jednoczenie zakada si efektywne komunikowanie treci, inicjatyw i rezultatw prowadzenia Polityki wobec szerokich krgw spoecznych i zawodowych.

rozporzdzenie Ministra Edukacji Narodowej i. Sportu z dnia 7 wrzenia 2004 r. w sprawie standardw ksztacenia nauczycieli (Dz. U. Nr 207 poz. 2110)

Str. 20 z 31

3.6 Zaoenia dziaa technicznych

Na podstawie dziaa proceduralno-organizacyjnych (np. planu postpowania z ryzykiem), ostatnim etapem realizacji Polityki powinny by dziaania techniczne. Ich celem bdzie zmniejszenie ryzyka wystpienia zagroe z CRP. Wykonanie tego etapu nastpi poprzez uruchomienie projektw szczegowych. 3.6.1 Programy badawcze

Niezwykle istotne dla skutecznej realizacji Polityki jest wspieranie inicjatyw badawczych dotyczcych bezpieczestwa teleinformatycznego. Formua wsparcia powinna zachci do wsplnego prowadzenia bada przez podmioty zajmujce si bezpieczestwem teleinformatycznym ze sfery administracji publicznej, orodki naukowe oraz przedsibiorcw telekomunikacyjnych i dostawcw wiadczcych usugi drog elektroniczn. Przyjmuje si, e podmiotem koordynujcym wdraanie zapisw Polityki w tym zakresie bdzie Ministerstwo Nauki i Szkolnictwa Wyszego (MNiSW), jako waciwe w sprawach bada naukowych i prac rozwojowych. Wykaz inicjatyw uwzgldniajcych dynamik stanu wiedzy okrelony zostanie na poziomie projektw szczegowych, opracowanych na podstawie Polityki i moe by uzupeniany z inicjatywy waciwych podmiotw odpowiedzialnych za jego realizacj. 3.6.2 Rozbudowa bezpieczestwa rzdowej zespow reagowania na incydenty teleinformatycznego w administracji

Aby byo moliwe skuteczne prowadzenie dziaa zwizanych z zapewnieniem bezpieczestwem CRP, w tym reagowanie na incydenty bezpieczestwa teleinformatycznego, jest konieczne zapewnienie odpowiedniego zaplecza technicznego nie tylko umoliwiajcego realizacj biecych zada, ale rwnie uwzgldniajcego wzrastajce zapotrzebowanie na specjalizowane systemy teleinformatyczne w przyszoci. Wszystkie zespoy po unifikacji zakresw obowizkw oraz procedur reagowania, jak rwnie okrelenia obszaru zadaniowego (ang. constituency), tworzyyby krajowy system reagowania na incydenty komputerowe, ktry oprcz wspdziaania obejmowaby rwnie wsplne konferencje, szkolenia i wiczenia.

Str. 21 z 31

3.6.3 Rozbudowa systemu wczesnego ostrzegania wdraanie i utrzymanie rozwiza prewencyjnych

oraz

Departament Bezpieczestwa Teleinformatycznego ABW wraz z Zespoem CERT Polska, dziaajcym w ramach Naukowej i Akademickiej Sieci Komputerowej (NASK), wdroy system wczesnego ostrzegania przed zagroeniami z sieci Internet - ARAKIS-GOV. Rozbudowa systemu bdzie realizowana zgodnie z projektem szczegowym. Jednoczenie majc na uwadze postp zachodzcy w technologiach

teleinformatycznych i zwizan z nim tendencj pojawiania si coraz bardziej wyrafinowanych zagroe, podczas wdraania Polityki zakada si podejmowanie inicjatyw promujcych tworzenie coraz nowoczeniejszych rozwiza wspierajcych bezpieczestwo teleinformatyczne. Naley dy do stosowania jak najszerszego spektrum rnych rodzajw systemw zabezpiecze w celu zapewnienia bezpieczestwa krytycznych zasobw teleinformatycznych. 3.6.4 Testowanie poziomu zabezpiecze i cigo dziaania

W ramach testowania poziomu zabezpiecze i zapewnienia nieprzerwanej realizacji procesw CRP, PBC winien organizowa i koordynowa okresowe testy zarwno poziomu zabezpiecze technicznych, organizacyjnych jak i rozwiza proceduralnych (np. procedur cigoci dziaania czy wsppracy ponadresortowej). Wyniki wicze bd suy ocenie aktualnej odpornoci cyberprzestrzeni na ataki, natomiast wnioski stanowi bd podstaw do przygotowania zalece do dalszych dziaa prewencyjnych. 3.6.5 Rozwj zespow bezpieczestwa

Zespoy typu CERT s centrami kompetencyjnymi sucymi pomoc merytoryczn na etapie tworzenia waciwych struktur i procedur. Dodatkowo su rwnie do rozwizywania problemw w trakcie ich eksploatacji w poszczeglnych jednostkach organizacyjnych administracji rzdowej, czy te przedsibiorcw. Kada instytucja w ramach wasnych zasobw osobowych i posiadanych rodkw technicznych moe ustanowi wasny, lokalny zesp reagowania na incydenty, ktrego dziaanie jest koordynowane zgodnie z pkt. 4.2. Ponadto, do zada Zespow Reagowania na Incydenty Komputerowe nalee powinno utrzymywanie wewntrznych witryn informacyjnych. Witryny bd stanowiy gwne rda informacji o bezpieczestwie teleinformatycznym dla osb zajmujcych si

Str. 22 z 31

bezpieczestwem teleinformatycznych w instytucjach administracji rzdowej, a take innych osb zainteresowanych t tematyk. W szczeglnoci witryny bd miejscem publikacji nastpujcych informacji: 1) 2) 3) 4) 5) 6) aktualnoci zwizanych z bezpieczestwem teleinformatycznym; informacji o potencjalnych ryzykach i zagroeniach; biuletynw bezpieczestwa; rnego rodzaju poradnikw, dobrych praktyk, ftp.; raportw oraz informacji na temat trendw i statystyk; forum wymiany informacji oraz dowiadcze osb zaangaowanych w

dziaania zwizane z bezpieczestwem teleinformatycznym. Witryny bd peni rol punktw zgaszania incydentw bezpieczestwa

teleinformatycznego. Witryna bdzie tak skonstruowana, by uytkownik bez wikszej wiedzy z zakresu informatyki mg zgosi incydent lub znale informacj gdzie dane zdarzenie mona zgosi.

Str. 23 z 31

4.

W DROENIE

I MEC HANIZM Y REALIZACJI ZAPISW DOKUMENTU

Zakada si, e cele i zaoenia Polityki bd wdroone z uwzgldnieniem analizy ryzyka i realizowane w ramach projektw szczegowych.

4.1 Nadzr i koordynacja wdroenia

Ze wzgldu na midzyinstytucjonalny charakter Polityki organem nadzorujcym jego wdroenie jest Rada Ministrw. Podmiotem koordynujcym realizacj Polityki, w imieniu Rady Ministrw, jest minister waciwy ds. informatyzacji.

4.2 Krajowy System Reagowania na Incydenty Komputerowe w CRP

Rzd RP ustanawia trzypoziomowy Krajowy System Reagowania na Incydenty Komputerowe w CRP: 1) 2) Poziom I - poziom koordynacji - minister waciwy ds. informatyzacji; Poziom II - reagowania na Incydenty komputerowe: a) Rzdowy Zesp Reagowania na Incydenty Komputerowe CERT.GOV.PL realizujcy jednoczenie zadania gwnego narodowego zespou odpowiadajcego za koordynacj procesu obsugi incydentw komputerowych w obszarze CRP, b) Resortowe Centrum Zarzdzania Bezpieczestwem Sieci i Usug Teleinformatycznych realizujce zadania w sferze militarnej, 3) Poziom III - poziom realizacji - administratorzy odpowiadajcy za poszczeglne systemy teleinformatyczne funkcjonujce w cyberprzestrzeni. Ustanowiony system reagowania zapewnia wymian informacji pomidzy zespoami administracji publicznej oraz zespoami CERT (CERT Polska, TP CERT, PIONIERCERT), CSIRT, ABUSE, przedsibiorcami telekomunikacyjnymi w rozumieniu ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800, z pn. zm.) i usugodawcami wiadczcych usugi drog elektroniczn w rozumieniu ustawy z dnia 18 lipca 2002 r. o wiadczeniu usug drog elektroniczn (Dz. U. Nr 144, poz. 1204, z pn. zm.), zgodnie z obowizujcymi przepisami prawa, a w szczeglnoci zgodnie z ustaw z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z

Str. 24 z 31

pn. zm.) oraz ustaw z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228).

4.3 Mechanizm wymiany informacji

Sprawny system koordynacji zapewni wymian informacji pozyskanych ze wsppracy midzynarodowej, pomidzy zespoami rzdowymi, wojskowymi i cywilnymi, zgodnie z obowizujcymi przepisami prawa, a w szczeglnoci zgodnie z ustaw z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z pn. zm.) oraz ustaw z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228). System ten midzy innymi okreli alternatywne kanay wymiany informacji oraz wprowadzi okresowe testy skutecznoci procesw wymiany informacji.

4.4 Sposoby i formy wsppracy

W ramach realizacji Polityki powinny zosta wypracowane formy wsppracy pomidzy organami odpowiedzialnymi za bezpieczestwo cyberprzestrzeni oraz odpowiedzialnymi za zwalczanie przestpczoci komputerowej o charakterze kryminalnym. Powysze formy wsppracy bd miay zarwno posta robocz, w celu zminimalizowania opnie reakcji na incydenty komputerowe, jak i sformalizowan - suc eliminowaniu problemw kompetencyjnych.

4.5 Wsppraca z przedsibiorcami

Niezbdne jest zaktywizowanie przedsibiorcw, ktrych ochrona przed zagroeniami z cyberprzestrzeni jest istotna z punktu widzenia prawidowego funkcjonowania Pastwa. Naley do tej grupy zaliczy przedsibiorcw dziaajcych w szczeglnoci w ramach sektorw: 1) 2) 3) 4) zaopatrzenia w energi, surowce energetyczne i paliwa, cznoci, sieci teleinformatycznych, finansowego.

Str. 25 z 31

Polityka

zakada

podjcie

dziaa

aktywizujcych

wspprac

pomidzy

przedsibiorcami zarzdzajcymi wasn teleinformatyczn infrastruktur zaliczon do infrastruktury teleinformatycznej CRP o podobnym charakterze, a przez to naraon na podobne typy podatnoci i metody atakw. Jedn z form wsppracy bdzie tworzenie gremiw powoywanych do wewntrznej wymiany informacji i dowiadcze oraz wsppracy z administracj publiczn w zakresie bezpieczestwa infrastruktury teleinformatycznej CRP. 4.5.1 Wsppraca teleinformatycznych z producentami urzdze i systemw

Wanymi partnerami dla instytucji rzdowych i innych podmiotw odpowiedzialnych za bezpieczestwo teleinformatyczne i zwikszenie bezpieczestwa w cyberprzestrzeni s producenci sprztu i oprogramowania. Rozwj wsppracy z tymi partnerami, w tym wymiana dowiadcze i oczekiwa, stanowi powinien jeden z waniejszych czynnikw majcych duy wpyw zarwno na system edukacji spoecznej i specjalistycznej, jak i na jako tworzonych systemw. Szczeglne znaczenie dla rozszerzenia spektrum dostpnych narzdzi winna mie wsppraca podmiotw odpowiedzialnych za bezpieczestwo teleinformatyczne z producentami systemw zabezpiecze. Naley dy do udostpniania uytkownikom jak najwikszego wachlarza rozwiza sucych szeroko rozumianemu bezpieczestwu teleinformatycznemu oraz ochronie informacji. 4.5.2 Wsppraca z przedsibiorcami telekomunikacyjnymi

Ze wzgldu na globalny charakter zagroe wymagana jest cisa skoordynowana wsppraca w zakresie bezpieczestwa cyberprzestrzeni pomidzy Urzdem Komunikacji Elektronicznej (UKE), przedsibiorcami telekomunikacyjnymi i uytkownikami CRP.

4.6 Wsppraca midzynarodowa

Ze wzgldu na globalny charakter problemw zwizanych z bezpieczestwem cyberprzestrzeni, istotnym elementem jest utrzymanie i rozwijanie wsppracy midzynarodowej w tym zakresie. Rzd RP widzi potrzeb, aby Polska, poprzez swoich przedstawicieli, organy rzdowe, instytucje pastwowe oraz wspprac z instytucjami pozarzdowymi inicjowaa i prowadzia aktywne dziaania zmierzajce do zwikszenia bezpieczestwa CRP oraz midzynarodowej.

Str. 26 z 31

5.

F INANSOWANIE

Polityka nie bdzie implikowa dodatkowych rodkw z budetu pastwa na sfinansowanie zaoonych dziaa w roku jej wejcia w ycie, poniewa aktualnie jednostki organizacyjne administracji publicznej realizuj ju czciowo cele wymienione w Polityce. W zwizku z tym przyjmuje si, e po jej zaakceptowaniu kada jednostka organizacyjna wyranie wskae zadania ju realizowane i rodki finansowe na nie wydatkowane. Niniejszy dokument zakada kontynuacj dziaa realizowanych oraz zaplanowanych przez Zesp, o ktrym mowa w pkt 3.4.1. Zakada si, e od chwili wejcia w ycie Polityki poszczeglne jednostki bd szacoway koszty realizowanych ju zada, pokrywajcych si z zadaniami naoonymi niniejsz Polityk. Przedstawione szacunki kosztw pozwol na ich ujcie w planie nastpnego roku budetowego z wyranym wskazaniem, i dotycz bezpieczestwa cyberprzestrzeni. Poszczeglne jednostki organizacyjne dane o oszacowanych przez siebie kosztach realizacji zada przekazuj do ministra waciwego ds. informatyzacji. Koszty realizacji zada bd zdeterminowane analiz ryzyka i przedstawione w projektach szczegowych z przypisaniem poszczeglnym jednostkom i wskazaniem rde finansowania. Konieczne wydatki, zwizane z realizacj Polityki bd finansowane w ramach limitu wydatkw budetowych przewidzianych we waciwej czci budetowej w ustawie budetowej na dany rok.

Str. 27 z 31

6.

O CENA

SKUTECZNOCI

P OLITYKI

Ze wzgldu na nowatorski charakter niniejszego dokumentu szczegowe wskaniki realizacji zaoe Polityki bd opracowane po przeprowadzeniu oceny ryzyka. Niezbdnym jest, aby od chwili wejcia w ycie Polityki, poszczeglne jednostki organizacyjne analizoway i sugeroway wskaniki realizacji zada, na podstawie ktrych zostan zagregowane informacje i wypracowane globalne wskaniki celw niniejszego dokumentu. Zakada si, e przedstawione propozycje globalnych wskanikw bd wykorzystane w ramach aktualizacji Polityki i pozwol na ocen stopnia realizacji zaoonych celw i zada w zakresie bezpieczestwa CRP. Stopnie realizacji przedsiwzi zwizanych z realizacj celu strategicznego oraz celw szczegowych Polityki bd oceniane w ramach projektw szczegowych pod ktem nastpujcych kryteriw: 1) stopnia nasycenia wszystkich jednostek organizacyjnych, posiadajcych

systemy ochrony i wczesnego ostrzegania w stosunku do liczby urzdw administracji publicznej; 2) poziomu integracji: a) sposobu i trybu wymiany informacji midzy zespoami z zapewnieniem poufnoci, integralnoci i dostpnoci, b) moliwoci i zakresu osigania wsplnego, dynamicznego zobrazowania cyberprzestrzeni objtej niniejszym Polityk, 3) stopnia standaryzacji - stopnia wdroenia norm, kategorii incydentw i stopnia wyposaenia systemw w kompleksowe oprogramowanie

procedur; 4) antywirusowe, firewalle, antyspamowe w stosunku do wymaganych objciem tak ochron (szacowanie zasobw). Do oceny skutecznoci projektw szczegowych, utworzonych na podstawie niniejszej Polityki, zostan wykorzystane nastpujce mierniki: 1. Mierniki skutecznoci - mierz stopie osignicia zamierzonych celw i mog mie zastosowanie na wszystkich szczeblach klasyfikacji zadaniowej.

Str. 28 z 31

Przykadowy miernik produktu: liczba zamknitych incydentw w stosunku do oglnej liczby

sklasyfikowanych incydentw. 2. Mierniki produktu - odzwierciedlaj wykonanie danego zadania w krtkim okresie i pokazuj konkretne dobra oraz usugi wyprodukowane przez sektor publiczny. Mierniki produktu - mierz stopie wykonania celw operacyjnych. Przykadowe mierniki produktu: liczba odpowiedzi na zgoszone przez obywateli incydenty, liczba obsuonych incydentw,

3. Mierniki rezultatu - mierz efekty uzyskane w wyniku dziaa objtych zadaniem lub pod zadaniem, realizowanych za pomoc odpowiednich wydatkw, na poziomie zadania/podzadania/dziaania. Mierz skutki podejmowanych dziaa. Mierniki rezultatu mierz bezporednie skutki podejmowanych dziaa w krtkiej lub redniej perspektywie czasowej. Przykadowe mierniki rezultatu: skrcenie czasu obsugi incydentu, redni czas odpowiedzi na incydent.

4. Mierniki oddziaywania - mierz dugofalowe konsekwencje realizacji zadania. Mog one mierzy bezporednie skutki wdraania zadania, ktre ujawniaj si po upywie duszego okresu czasu. Mierniki oddziaywania odnosz si czasem do wartoci, ktre tylko w czci s efektem realizacji zadania (na efekty wpywaj take inne, zewntrzne czynniki). Przykadowy miernik oddziaywania: zwikszenie poczucia bezpieczestwa w sieci Internet w Polsce (badania

CBOS). Stopie realizacji zostanie oceniony w procentach, przy czym za 100% rozumie si realizacj wszystkich zada wynikajcych z projektw szczegowych opracowanych na podstawie Polityki. W cigu roku od wejcia Polityki w ycie, kada zaangaowana jednostka, o ktrej mowa w pkt. 1.4 ust. 1 niniejszego dokumentu, oszacuje (w %) w jakim stopniu s ju zrealizowane zaoenia przedmiotowej Polityki.

Str. 29 z 31

6.1 Przewidywane efekty Polityki

Przewiduje si nastpujce dugofalowe efekty dziaa wynikajcych z wdroenia niniejszej Polityki oraz projektw szczegowych opracowanych na jej podstawie: wikszy poziom bezpieczestwa CRP oraz wikszy poziom odpornoci spjn dla wszystkich zaangaowanych podmiotw polityk dotyczc mniejsz skuteczno atakw terrorystycznych w CRP i mniejsze koszty skuteczny system koordynacji i wymiany informacji pomidzy publicznymi podmiotami odpowiedzialnymi za zapewnianie bezpieczestwa

pastwa na ataki w CRP, bezpieczestwa cyberprzestrzeni, usuwania nastpstw atakw cyberterrorystycznych, i prywatnymi

cyberprzestrzeni oraz tymi, ktre dysponuj zasobami stanowicymi krytyczn infrastruktur teleinformatyczn pastwa, wiksz kompetencj podmiotw zaangaowanych w bezpieczestwo infrastruktury teleinformatycznej Pastwa funkcjonujcej w cyberprzestrzeni, wiksze zaufanie obywateli do waciwego zabezpieczenia usug pastwa wiksz wiadomo obywateli, co do metod bezpiecznego uytkowania wiadczonych drog elektroniczn, systemw dostpnych elektronicznie i sieci teleinformatycznych.

6.2 Skuteczno dziaa

Miar skutecznoci podjtych w ramach Polityki dziaa bdzie ocena stworzonych regulacji, instytucji i relacji, ktre umoliwi rzeczywiste zaistnienie skutecznego systemu bezpieczestwa cyberprzestrzeni. Jedn z podstawowych metod wpywania na skuteczno zaoonych dziaa wykonywanych przez wiele instytucji jest ustalenie zakresu zada kadego z podmiotw oraz ustalenie odpowiedzialnoci za ich realizacj.

6.3 Monitorowanie efektywnoci dziaa w ramach przyjtej Polityki

Raporty o postpach w realizacji Polityki bd przesyane przez jednostki wyszczeglnione w pkt. 1.4 do ministra waciwego ds. informatyzacji.

Str. 30 z 31

6.4 Konsekwencje naruszenia zapisw Polityki

Kady podmiot administracji rzdowej stosuje si do zapisw niniejszej Polityki niezalenie od odpowiedzialnoci okrelonej w przepisach prawa powszechnie obowizujcego. Naruszenie zasad okrelonych w niniejszej Polityce moe by przyczyn wykluczenia si podmiotu ze spoecznoci informacyjnej i powstania utrudnie w dostpie do informacji publicznej. Odpowiednie zabezpieczenia, ochrona przetwarzanych danych oraz niezawodno funkcjonowania systemw teleinformatycznych s najwyszymi wartociami stawianymi wspczesnym systemom. Podmioty realizujce przedmiotow Polityk powinny wskaza sposoby zabezpieczenia systemw informatycznych, procedury postpowania w sytuacji naruszenia bezpieczestwa teleinformatycznego w systemach informatycznych w Politykach bezpieczestwa tych systemw. Wykonywanie zapisw niniejszego dokumentu ma zapewni waciw reakcj, ocen i udokumentowanie przypadkw naruszenia bezpieczestwa systemw oraz zapewni waciwy sposb reagowania na incydenty w celu przywrcenia akceptowalnego poziomu bezpieczestwa. Istotnym obowizkiem jest niezwoczne informowanie administratora lub waciwego Zespou CERT o wykryciu incydentu oraz podjcie lub zaniechanie czynnoci majcych na celu jego obsuenie.

Str. 31 z 31