RZECZPOSPOLITA POLSKA MINISTERSTWO SPRAW WEWNTRZNYCH I ADMINISTRACJI

RZDOWY PROGRAM OCHRONY CYBERPRZESTRZENI RZECZYPOSPOLITEJ POLSKIEJ NA LATA 2011-2016

Wersja 1.1

WARSZAWA CZERWIEC 2010

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

Metryka dokumentu: Autor

Tytu Wersja Status Liczba stron Liczba zacznikw

Departament Ewidencji Pastwowych i Teleinformatyki MSWiA Rzdowy program Ochrony Cyberprzestrzeni Rzeczpospolitej Polskiej na lata 2011-2016 1.1 Projekt dokumentu kierowany do uzgodnie resortowych 33 27

Decyzja do rozesania dokumentu do uzgodnie midzyresortowych: Data 13.09.2010 Organ Podsekretarz Stanu w Ministerstwie Spraw Wewntrznych i Administracji

Przyjcie dokumentu: Data Organ Komitet do Spraw Europejskich

Przyjcie dokumentu: Data Organ Komitet Rady Ministrw ds. Informatyzacji i cznoci

Przyjcie dokumentu: Data Organ Stay Komitet Rady Ministrw

Przyjcie dokumentu: Data Organ Rada Ministrw

Strona 2 z 33

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

Spis treci:
1. Wprowadzenie _________________________________________________________ 5 1.1. Definicje ___________________________________________________________ 6 1.2. Cel strategiczny ______________________________________________________ 7 1.3. Cele szczegowe ____________________________________________________ 7 1.4. Adresaci programu ___________________________________________________ 7 1.5. Realizatorzy - rola i odpowiedzialnod ____________________________________ 8 1.6. Nadzr i koordynacja wdroenia Programu ________________________________ 9 1.7. Kontekst prawny _____________________________________________________ 9 1.8. Ramy czasowe ______________________________________________________ 11 Charakterystyka cyberprzestrzeni _________________________________________ 12 2.1. Teleinformatyczna infrastruktura krytyczna a cyberprzestrzeo ________________ 12 2.2. Identyfikacja zasobw, funkcji i zalenoci pomidzy systemami a CRP _________ 12 2.3. Podmioty zaangaowane w dziaania na rzecz ochrony CRP __________________ 12 2.4. Inicjatywy obecne ___________________________________________________ 13 Realizacja programu ____________________________________________________ 14 3.1. Ocena ryzyka _______________________________________________________ 14 3.2. Ustalenie hierarchii priorytetw realizacji programu ________________________ 14 3.2.1. Dziaania legislacyjne _____________________________________________ 14 3.2.2. Dziaania proceduralno-organizacyjne _______________________________ 15 3.2.3. Dziaania edukacyjne _____________________________________________ 15 3.2.4. Dziaania techniczne ______________________________________________ 15 3.3. Wprowadzenie programw ochrony ____________________________________ 15 3.3.1. Program w zakresie dziaao legislacyjnych ____________________________ 15 3.3.2. Programy w zakresie dziaao proceduralno-organizacyjnych ______________ 16 3.3.3. Programy w zakresie dziaao edukacyjnych ____________________________ 17 3.3.4. Programy w zakresie dziaao technicznych ____________________________ 21 Koordynacja realizacji programu __________________________________________ 24 4.1. Rola instytucji koordynujcej wdraanie Programu _________________________ 24 4.2. Szczebel sektorowy __________________________________________________ 24 Wsppraca w realizacji programu _________________________________________ 26 5.1. Sposoby i formy wsppracy ___________________________________________ 26 5.2. Wsppraca krajowa _________________________________________________ 27 5.3. Wsppraca z producentami urzdzeo i systemw teleinformatycznych ________ 27 5.4. Wsppraca z przedsibiorcami telekomunikacyjnymi ______________________ 27 5.5. Wsppraca midzynarodowa _________________________________________ 27 5.5.1. Unia Europejska _________________________________________________ 28 5.5.2. NATO _________________________________________________________ 28 5.6. Sfera cywilna _______________________________________________________ 28 5.7. Mechanizm wymiany informacji ________________________________________ 29 Finansowanie programu _________________________________________________ 30 Ocena skutecznoci programu ____________________________________________ 31 7.1. Przewidywane efekty programu ________________________________________ 31 7.2. Metody oceny skutecznoci podjtych dziaao ____________________________ 32 7.3. Skutecznod dziaao _________________________________________________ 32 7.4. Raportowanie o postpach ____________________________________________ 33 7.5. Sprawozdawczod ___________________________________________________ 33
Strona 3 z 33

2.

3.

4.

5.

6. 7.

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

Rysunki:
Rysunek 1: Schemat koordynacji realizacji programu........................................................................... 24 Rysunek 2: Schemat wsppracy MZdsOC i punktw sektorowych ....................................................... 25 Rysunek 3: Wsppraca pomidzy organami odpowiedzialnymi za bezpieczeostwo cyberprzestrzeni 26

Zaczniki: Zacznik nr 1 Ocena ryzyka Zacznik nr 2 Zmiany legislacyjne w zakresie ochrony cyberprzestrzeni RP Zacznik nr 3 Powoanie zespou koordynujcego realizacj Programu Zacznik nr 4 Dziaanie Rzdowego Zespou Reagowania na incydenty komputerowe Zacznik nr 5 Ustanowienie w podmiotach publicznych systemu zarzdzania bezpieczestwem informacji Zacznik nr 6 Odpowiedzialno i zadania Penomocnika ds. ochrony cyberprzestrzeni Zacznik nr 7 Szkolenie Penomocnika ds. ochrony cyberprzestrzeni Zacznik nr 8 Racjonalizacja programw ksztacenia na uczelniach wyszych Zacznik nr 9 Wytyczne w zakresie obszarw obowizkowych szkole dla pracownikw administracji publicznej Zacznik nr 10 Prowadzenie kampanii spoecznej Zacznik nr 11 Prowadzenie kampanii na stronach WWW Zacznik nr 12 Programy badawcze Zacznik nr 13 Ochrona kluczowych rzdowych rozwiza TI Zacznik nr 14 Rozbudowa systemu wczesnego ostrzegania Zacznik nr 15A Testowanie poziomu zabezpiecze w cyberprzestrzeni Zacznik nr 15B Testowanie poziomu zabezpiecze w cyberprzestrzeni Zacznik nr 16 Tworzenie i rozwj zespow typu CERT Zacznik nr 17 Wytyczne w zakresie tworzonego standardu planu cigoci dziaania Zacznik nr 18 Sektorowe punkty kontaktowe Zacznik nr 19 Sposoby i formy wsppracy Zacznik nr 20 Wsppraca krajowa Zacznik nr 21 Wsppraca z producentami Zacznik nr 22 Wsppraca z przedsibiorcami telekomunikacyjnymi Zacznik nr 23 Wsppraca z europejskimi strukturami zajmujcymi si bezpieczestwem cyberprzestrzeni w szczeglnoci z agencj ENISA Zacznik nr 24 Utrzymanie NATO Focal Point Zacznik nr 25 Wsppraca CERT.GOV.PL z FIRST Zacznik nr 26 Ocena skutecznoci programu w zakresie dziaa organizacyjno-prawnych, technicznych i edukacyjnych

Strona 4 z 33

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

1. Wprowadzenie
W obliczu globalizacji, ochrona cyberprzestrzeni staa si jednym z podstawowych celw strategicznych w obszarze bezpieczestwa kadego pastwa. W czasie, gdy panuje swoboda przepywu osb, towarw, informacji i kapitau bezpieczestwo demokratycznego pastwa zaley od wypracowania mechanizmw pozwalajcych skutecznie zapobiega i zwalcza zagroenia dla bezpieczestwa cyberprzestrzeni. Obecnie w cyberprzestrzeni granica midzy pokojem a wojna staje si coraz bardziej umowna. Wynika std potrzeba zagwarantowania odpowiednich form komunikacji pomidzy czci wojskow (co do zasady niejawn w rozumieniu UOIN), a czci cywiln (w zasadniczej czci jawn w rozumieniu UOIN). W dodatku obiektem cyber wojny s elementy infrastruktury cywilnej. Naley w zwizku z tym dopracowa mechanizmy komunikacji w obszarze cywilnym, uregulowa prawnie, wprowadzajc dotkliwe sankcje karne za ich amanie z jednej strony a z drugiej intuicyjnie istnieje konieczno ustanowienia kanaw wymiany informacji w obie strony. Uwaa si, i w przypadku cyberataku, zaatakowane zostan zarwno struktury wojskowe jak i cywilne, ktre powinny mie zdolno wsppracy, ktra bez sprawnych kanaw wymiany informacji skae Pastwo na porak. Rada Europejska w przyjtej w 2003 roku Europejskiej Strategii Bezpieczestwa uznaa zjawisko terroryzmu za podstawowe zagroenie dla interesw UE. Systemy i sieci teleinformatyczne eksploatowane przez administracj rzdow, organy wadzy ustawodawczej, wadzy sdowniczej, samorzdu terytorialnego, a take strategiczne z punktu widzenia bezpieczestwa pastwa przedsibiorcy (np. podmioty dziaajce w obszarze telekomunikacji, energii, gazu, bankowoci, a take podmioty o szczeglnym znaczeniu dla obronnoci i bezpieczestwa pastwa, podmioty dziaajce w obszarze ochrony zdrowia) jak rwnie przedsibiorcy oraz uytkownicy indywidualni cyberprzestrzeni bd objte niniejszym Programem i rozumiani jako uytkownicy cyberprzestrzeni. Z uwagi na wzrost zagroe ze strony sieci publicznych, od ktrych cakowita separacja jest niemoliwa, a take fakt rozproszonej odpowiedzialnoci za bezpieczestwo teleinformatyczne, niezbdne jest skoordynowanie dziaa w zakresie zapobiegania i zwalczania zagroe ze strony cyberprzestrzeni, ktre umoliwi szybkie i efektywne reagowanie na ataki wymierzone przeciwko systemom, sieciom teleinformatycznym i oferowanym przez nie usugom. Przedmiotem niniejszego Rzdowego Programu w zakresie ochrony cyberprzestrzeni Rzeczpospolitej Polskiej na lata 2011-2016, zwanego dalej Programem s propozycje dziaa o charakterze prawno-organizacyjnym, technicznym i edukacyjnym, ktrych celem jest zwikszenie zdolnoci do zapobiegania i zwalczania zagroe ze strony cyberprzestrzeni. Program nie obejmuje swoim obszarem zadaniowym niejawnych sieci i systemw teleinformatycznych. Naley podkreli, e obszar ochrony informacji niejawnych posiada wasne regulacje prawne i stosowne mechanizmy ochronne. Posiada struktury organizacyjne dedykowane do ochrony informacji niejawnych wytwarzanych, przetwarzanych, przechowywanych w wydzielonych systemach i sieciach teleinformatycznych. Podstawowym dokumentem prawnym jest ustawa z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz.U. z 2005 r. Nr 196, poz.1631 z pn. zm.).

Strona 5 z 33

1.1. Definicje
1. Cyberprzestrze cyfrowa przestrze przetwarzania i wymiany informacji tworzona przez systemy i sieci teleinformatyczne wraz z powizaniami pomidzy nimi oraz relacjami z uytkownikami. 2. Cyberprzestrze RP (dalej jako CRP) cyberprzestrze w obrbie terytorium pastwa Polskiego i w lokalizacjach poza terytorium, gdzie funkcjonuj przedstawiciele RP (placwki dyplomatyczne, kontyngenty wojskowe). 3. Cyberprzestpstwo czyn zabroniony popeniony w obszarze cyberprzestrzeni. 4. Cyberterroryzm cyberprzestpstwo o charakterze terrorystycznym. 5. Cyberatak celowe zakcenie prawidowego funkcjonowania cyberprzestrzeni, bez koniecznoci angaowania personelu lub innych uytkownikw. Umoliwia ominicie lub osabienie sprztowych i programowych mechanizmw kontroli dostpu. 6. Incydent zwizany z bezpieczestwem informacji, rozumiany jako pojedyncze zdarzenie lub seria niepodanych zdarze zwizanych z bezpieczestwem, ktre stwarzaj znaczne prawdopodobiestwo zakcenia dziaa biznesowych i zagraaj bezpieczestwu informacji (wg norm PN-ISO/IEC 27000). Incydent rozumiany jest take, jako niekorzystne zdarzenie zwizane z systemem informatycznym, ktre wedug wewntrznych regu lub zalece dotyczcych bezpieczestwa, jest awari i/lub powoduje domniemanie lub faktyczne naruszenie ochrony informacji, albo powoduje naruszenie wasnoci. 7. Krytyczna infrastruktura teleinformatyczna infrastruktura krytyczna wyodrbniona w systemie cznoci i sieciach teleinformatycznych i ujawniona w wykazie Infrastruktury Krytycznej, o ktrym mowa w art. 5b ust. 7 pkt 1 ustawy o zarzdzaniu kryzysowym. 8. Ochrona cyberprzestrzeni zesp przedsiwzi organizacyjno-prawnych, technicznych, fizycznych i edukacyjnych majcy na celu niezakcone funkcjonowanie i bezpieczestwo cyberprzestrzeni. 9. Operator teleinformatycznej infrastruktury krytycznej waciciel oraz posiadacz samoistny i zaleny1 obiektw, instalacji, urzdze i usug infrastruktury krytycznej, wyodrbnionych w systemie cznoci i sieci teleinformatycznych i ujawnionych w wykazie infrastruktury krytycznej, o ktrym mowa w art. 5b ust. 7 pkt 1 ustawy o zarzdzaniu kryzysowym. 10. OSI Open System Interconnection jest to model odniesienia dla wikszoci rodzin protokow komunikacyjnych. Podstawowym zaoeniem modelu jest podzia na systemw na 7 warstw wsppracujcych ze sob w cile okrelony sposb.; 11. Przedsibiorca jest przedsibiorc w rozumieniu art. 4 ustawy z dnia 2 lipca 2004 r. o swobodzie dziaalnoci gospodarczej (Dz. U. z 2007 r. Nr 155, poz. 1095, z pn. zm.) lub kada inna jednostka organizacyjna, niezalenie od formy wasnoci. 12. Punkt sektorowy punkt kontaktu pomidzy podmiotami dziaajcymi w tej samej brany umoliwiajcy przepyw informacji pomidzy nimi a waciwymi zespoami CERT lub Abuse. CERT (Computer Emergency Response Team) jest zespoem powoanym do reagowania na zdarzenia naruszajce bezpieczestwo w sieci Internet. Abuse to zwyczajowa nazwa dziau bezpieczestwa u dostawcy usug internetowych, ktry zarzdza procesem reagowania na incydenty komputerowe i rozpatrywaniem skarg dotyczcych naduy.

Ustawa z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z dnia 18 maja 1964 r. z pn. zm.) - Tytu IV. Posiadanie - art. 336. Posiadaczem rzeczy jest zarwno ten, kto ni faktycznie wada jak waciciel (posiadacz samoistny), jak i ten, kto ni faktycznie wada jak uytkownik, zastawnik, najemca, dzierawca lub majcy inne prawo, z ktrym czy si okrelone wadztwo nad cudz rzecz (pos iadacz zaleny).

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

1.2. Cel strategiczny

Celem strategicznym Programu cyberprzestrzeni Pastwa. jest zapewnienie cigego bezpieczestwa

Osignicie celu strategicznego wymaga stworzenia ram organizacyjno-prawnych oraz systemu skutecznej koordynacji i wymiany informacji pomidzy administracj publiczn, oraz innymi podmiotami i uytkownikami cyberprzestrzeni RP, w tym przedsibiorcami.

1.3. Cele szczegowe

1. Zwikszenie poziomu bezpieczestwa infrastruktury teleinformatycznej, w tym teleinformatycznej infrastruktury krytycznej pastwa. 2. Zmniejszenie skutkw narusze bezpieczestwa cyberprzestrzeni. 3. Zdefiniowanie kompetencji podmiotw odpowiedzialnych za ochron cyberprzestrzeni. 4. Stworzenie i realizacja spjnego dla wszystkich podmiotw administracji publicznej systemu zarzdzania bezpieczestwem cyberprzestrzeni oraz ustanowienie wytycznych w tym zakresie dla podmiotw niepublicznych. 5. Stworzenie trwaego systemu koordynacji i wymiany informacji pomidzy podmiotami odpowiedzialnymi za ochron cyberprzestrzeni oraz przedsibiorcami, dostarczajcymi usugi w cyberprzestrzeni i operatorami teleinformatycznej infrastruktury krytycznej. 6. Zwikszenie wiadomoci uytkownikw w zakresie metod i rodkw bezpieczestwa w cyberprzestrzeni. Cele Programu bd realizowane poprzez: stworzenie systemu koordynacji przeciwdziaania i reagowania na zagroenia i ataki na cyberprzestrze, w tym ataki o charakterze cyberterrorystycznym; powszechne wdroenie wrd jednostek administracji publicznej, a take podmiotw niepublicznych mechanizmw sucych zapobieganiu i wczesnemu wykrywaniu zagroe dla bezpieczestwa cyberprzestrzeni oraz waciwemu postpowaniu w przypadku stwierdzonych incydentw; powszechn edukacj spoeczn oraz specjalistyczn edukacj w zakresie ochrony cyberprzestrzeni RP.

1.4.

Adresaci programu

Adresatami Programu s wszyscy uytkownicy cyberprzestrzeni w obrbie pastwa i w lokalizacjach poza jego terytorium gdzie funkcjonuj przedstawiciele RP (placwki dyplomatyczne, kontyngenty wojskowe). Cyberprzestrze pastwa w przypadku Polski okrelana jest rwnie mianem cyberprzestrzeni RP (CRP). Ze wzgldu na charakter i istot celw Programu, naley wyrni kilka grup adresatw: 1. Organy wadzy publicznej: 1.1. administracja rzdowa; a) naczelne organy administracji rzdowej: Prezes Rady Ministrw, Rada Ministrw, ministrowie i przewodniczcy okrelonych w ustawach komitetw; b) centralne organy administracji rzdowej: organy inne ni wymienione w pkt. 1.1 lit. a), tj. organy podporzdkowane Prezesowi Rady Ministrw bd poszczeglnym ministrom; c) terenowe organy administracji rzdowej: wojewoda, organy administracji zespolonej i niezespolonej.
Strona 7 z 33

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

1.2. administracja samorzdowa (szczebel gminny, powiatowy i wojewdzki): a) organy stanowice (sejmik wojewdztwa, rada powiatu, rada gminy); b) organy wykonawcze (marszaek i zarzd wojewdztwa, starosta i zarzd powiatu, wjt (burmistrz, prezydent); a take inne, podlege im jednostki organizacyjne lub przez nie nadzorowane. 1.3. administracja pastwowa (jednostki nie nalece do administracji rzdowej i samorzdowej): a) Prezydent Rzeczypospolitej Polskiej; b) Krajowa Rada Radiofonii i Telewizji; c) Rzecznik Praw Obywatelskich; d) Rzecznik Praw Dziecka; e) Krajowa Rada Sdownictwa; f) organy kontroli pastwowej i ochrony prawa; g) Narodowy Bank Polski; h) Komisja Nadzoru Finansowego; i) centralne organy administracji podlege Sejmowi i Senatowi Rzeczypospolitej Polskiej, nie wymienione powyej; j) pastwowe osoby prawne i inne ni wymienione powyej pastwowe jednostki organizacyjne. 2. Operatorzy infrastruktury krytycznej, ktrych dziaalno jest zalena i nie zalena od prawidowego funkcjonowania cyberprzestrzeni. 3. Przedsibiorcy oraz uytkownicy indywidualni cyberprzestrzeni. 4. Inne instytucje bdce uytkownikami cyberprzestrzeni.

1.5.

Realizatorzy - rola i odpowiedzialno

Za ochron CRP odpowiedzialny jest Prezes Rady Ministrw, ktry zadania w tym zakresie wykonuje poprzez: 1. Ministra Spraw Wewntrznych i Administracji, 2. Ministra Obrony Narodowej, 3. Szefa Agencji Bezpieczestwa Wewntrznego, 4. Szefa Suby Kontrwywiadu Wojskowego. Wiodce role w realizacji Programu odgrywaj: Ministerstwo Spraw Wewntrznych i Administracji (MSWiA), Agencja Bezpieczestwa Wewntrznego (ABW), Ministerstwo Obrony Narodowej oraz Suba Kontrwywiadu Wojskowego (w zakresie systemw lecych w gestii Ministerstwa Obrony Narodowej), jako podmioty odpowiedzialne za bezpieczestwo wewntrzne pastwa zgodnie z posiadanymi kompetencjami. Natomiast Rzdowe Centrum Bezpieczestwa odpowiedzialne jest za koordynacj dziaa w zakresie ochrony teleinformatycznej infrastruktury krytycznej. Z uwagi na cel i przedmiot Programu, realizacja zada oraz osignicie zakadanych skutkw wymaga stworzenia mechanizmw zaangaowania i wsppracy podmiotw pozostajcych poza administracj publiczn, w szczeglnoci przedsibiorcw. Poniewa jedynie cz infrastruktury teleinformatycznej jest wasnoci pastwa, natomiast wikszo zasobw stanowi wasno prywatn, du rol w realizacji programu powinny mie ci przedsibiorcy, ktrzy s wacicielami zasobw stanowicych infrastruktur pastwa. Za realizacj programu, zgodnie z posiadanymi kompetencjami, odpowiadaj:
Strona 8 z 33

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

Prezes Rady Ministrw; Minister Edukacji Narodowej; Minister Nauki i Szkolnictwa Wyszego; Minister Obrony Narodowej; Minister Spraw Wewntrznych i Administracji; Szef Agencji Bezpieczestwa Wewntrznego; Szef Suby Kontrwywiadu Wojskowego; Dyrektor Rzdowego Centrum Bezpieczestwa; Komendant Gwny Policji; Komendant Gwny Stray Granicznej; Komendant Gwny Pastwowej Stray Poarnej; inne organy administracji publicznej; przedsibiorcy waciciele zasobw stanowicych krytyczn infrastruktur teleinformatyczn pastwa.

1.6.

Nadzr i koordynacja wdroenia Programu

Ze wzgldu na midzyresortowy charakter Programu, organem nadzorujcym jego wdroenie jest Rada Ministrw. Natomiast podmiotem odpowiedzialnym za realizacj Programu w imieniu Rady Ministrw jest Minister Spraw Wewntrznych i Administracji, ktry poprzez Urzd Ministra bdzie obsugiwa powoany Midzyresortowy Zesp ds. Koordynacji Ochrony Cyberprzestrzeni RP. Sposb, zasady oraz uprawnienia Ministra Spraw Wewntrznych i Administracji zostan przedstawione w rozporzdzeniu Rady Ministrw w sprawie powoania Midzyresortowego Zespou ds. Koordynowania Ochrony Cyberprzestrzeni RP.

1.7.

Kontekst prawny

Podstawowymi w obszarze bezpieczestwa zasobw teleinformatycznych s nastpujce akty prawne: Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. (Dz.U. z 1997 r. Nr 78, poz.483, z pn. zm.); Ustawa z dnia 6 czerwca 1997 r. Kodeks karny (Dz.U. z 1997, Nr 88, poz. 53, z pn. zm.); Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2004 r. Nr 171, poz.1800, z pn. zm.); Ustawa z dnia 24 marca 2002 r. o Agencji Bezpieczestwa Wewntrznego i Agencji Wywiadu (Dz.U. z 2002 r. Nr 74, poz. 676, z pn. zm.); Ustawa z dnia 6 czerwca 2006 r. o Subie Kontrwywiadu Wojskowego i Subie Wywiadu Wojskowego (Dz.U. z 2006 r. Nr 104, poz. 709, z pn. zm.); Ustawa z dnia 26 kwietnia 2007 r. o zarzdzaniu kryzysowym (Dz.U. z 2007 r. Nr 89, poz. 590); Ustawa z dnia 17 lutego 2005 r. o informatyzacji dziaalnoci podmiotw realizujcych zadania publiczne (Dz. U. z 2005 r. Nr 64, poz. 565, z pn. zm.);

Strona 9 z 33

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

Ustawa z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz.U. z 2005 r. Nr 196, poz.1631, z pn. zm.); Ustawa z dnia 29 sierpnia 1997 r o ochronie danych osobowych (Dz.U. 2002 nr 101, poz. 926 ze zm.); Ustawa z dnia 27 lipca 2001r. o ochronie baz danych (Dz.U. 2001 nr 128, poz. 1402); Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz.U. 1997 nr 140, poz. 939); Rozporzdzenie Prezesa Rady Ministrw z dn ia 25 sierpnia 2005 r. w sprawie podstawowych wymaga bezpieczestwa teleinformatycznego (Dz.U. z 2005 r. Nr 171, poz. 1433); Rozporzdzenie Rady Ministrw z dnia 28 marca 2005 r. w sprawie Planu Informatyzacji Pastwa na lata 2007-2010 (Dz.U. z 2007 Nr 61, poz. 415); Rozporzdzenie Rady Ministrw z dnia 11 padziernika 2005 r. w sprawie minimalnych wymaga dla systemw teleinformatycznych (Dz.U. z 2005 r. Nr 212, poz. 1766); Decyzja Ministra Obrony Narodowej nr 357/MON z dnia 29 lipca 2008 roku w sprawie organizacji systemu reagowania na incydenty komputerowe w resorcie obrony narodowej. Obowizujce regulacje prawne dotyczce zasobw teleinformatycznych maj gwnie charakter branowy regulujcy poszczeglne aspekty zwizane z funkcjonowaniem zasobw. Z tego powodu powyszy wykaz aktw prawnych nie ma charakteru wyczerpujcego. Przepisy prawne majce znaczenie dla funkcjonowania zasobw teleinformatycznych istniej rwnie w innych dziedzinach prawa, np. przepisach o ochronie danych osobowych, prawie bankowym, itd. Waciwym bdzie rwnie zaczerpniecie dobrych praktyk z regulacji prawnych w zakresie ochrony informacji niejawnych. Naley rwnie zaznaczy, i Polska jest stron konwencji midzynarodowych, ktre rwnie maj znaczenie dla bezpieczestwa teleinformatycznego. Na potrzeby niniejszego dokumentu naley wymieni w szczeglnoci: Konwencja Rady Europy o zwalczaniu terroryzmu z dnia 27 stycznia 1977r. (Dz.U. z 1996 r. Nr 117, poz. 557)2; Konwencja o zwalczaniu cyberprzestpczoci RE z dnia 23 listopada 2001 r. (ETS No. 185)3; Konwencja Rady Europy o zapobieganiu terroryzmowi, sporzdzon w dniu 16 maja 2005 r. (CETS No. 196)4; Program Sztokholmski (doc. 5731/10)5 wraz z Planem Dziaania [COM(2010) 171 final]; Strategia Bezpieczestwa Wewntrznego (doc.7120/10)6;
2 3

Do Konwencji sporzdzony zosta protok zmieniajcy w dniu 15 maja 2003 r. (CETS No. 190). Konwencja wesza w ycie w dniu 18 marca 2004 r., sporzdzony zosta do niej protok dodatkowy o kryminalizacji aktw rasizm u i ksenofobii popenianych z wykorzystaniem systemw komputerowych (ETS No. 189). 4 Konwencja wesza w ycie w dniu 1 czerwca 2007 r. 5 Konieczno wzmocnienia zwalczania cyberprzestpczoci naley do priorytetw UE. W Programie Sztokholmskim Rada Europejska apeluje m.in.: do pastw czonkowskich o udzielenie penego poparcia krajowym platformom powiadamiania, odpowiedzialnym za walk z cyberprzestpczoci i podkrela, e konieczna jest wsppraca z krajami spoza Unii Europejskiej, a take wzywa pastwa czonkowskie do poprawy wsppracy sdowej w sprawach dotyczcych cyberprzestpczoci. Program Sztokholmki odwouje si take do wzmocnienia/usprawnienia partnerstw publiczno-prywatnych (zadanie dla KE) oraz do zintensyfikowania analizy strategicznej w zakresie cyberprzestpczoci (zadanie dla Europolu). Ponadto dokument wskazuje na moliwo podjcia dziaa na rzecz utwo rzeniu europejskiej platformy identyfikowania cyberprzestpczoci, przy wykorzystaniu moliwoci of erowanych przez Europol. Strona 10 z 33

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

Strategia i Plan dziaania w dziedzinie zwalczania terroryzmu (doc. 144469/05, doc. 15358/09)7; Rezolucje 1267 (1999 r.) Rady Bezpieczestwa ONZ dot. sankcji wobec Al.-Kaidy i Talibw, 1373 (2001 r.) zobowizujcej pastwa czonkowskie do pocigania odpowiedzialnoci karnej osob lub organizacje finansujc terroryzm, a take 62/272 (2008 r.) dot. Globalnej Strategii Walki z Terroryzmem; Decyzja Rady Ministerialnej OBWE nr 3/04 z dnia 7 grudnia 2004 r., nr 7/06 z 5 grudnia 2006 r. w sprawie dziaa zwizanych ze zwalczeniem wykorzystywania Internetu do celw terrorystycznych; Decyzja Rady Ministerialnej OBWE nr 5/07 z dnia 30 listopada 2007 r. zwizana z partnerstwem publiczno-prytwanym z zwalczaniu terroryzmu; Europejska Agenda Cyfrowa Rady Europejskiej [KOM(2010)245]. Ponadto Polska ratyfikowaa Konwencj Rady Europy z dnia 23 listopada 2001 r. o cyberprzestpczoci. Dodatkowo, Program wpisuje si w przyjty przez Komisj Europejsk dokument: Europejsk Agend Cyfrow Rady Europejskiej [KOM(2010)245], ktrej celem jest uzyskanie trwaych korzyci ekonomicznych i spoecznych z jednolitego rynku cyf rowego w oparciu o szybki Internet i interoperacyjne aplikacje.

1.8.

Ramy czasowe

Przyjmuje si, e zawarte w dokumencie cele zostan osignite w latach 2011-2016. Naley jednak podkreli, e bezpieczestwo jest pojmowane, jako proces cigy a nie stan lub produkt kocowy. Zmieniajce si w czasie uwarunkowania wymagaj cigej dbaoci o waciw adaptacj wdroonych rozwiza. Niniejszy Program przedstawia dziaania niezbdne do ustanowienia adu prawnego i organizacyjnego, umoliwiajcego wdroenia mechanizmw ochrony cyberprzestrzeni RP i to dla tych dziaa przewiduje si podane ramy czasowe. Natomiast sam proces ochrony zasobw teleinformatycznych jest traktowany, jako proces cigy, niezmiennie istotny z punktu widzenia funkcjonowania pastwa i przez to nieograniczony adn dat zakoczenia programu. Analiza i przegld Programu bdzie nastpowa nie rzadziej, ni raz do roku.

Cyberprzestpczo stanowi globalne techniczne, transgraniczne i anonimowe zagroenie naszych systemw informacyjnych, dlatego stwarza wiele dodatkowych problemw subom ochrony porzdku publicznego. Zagroeniem o globalnym zasigu i katastrofalnych skutkach jest take terroryzm. W dokumencie sformuowano 10 wytycznych, pozwalajcych zagwarantowa w nadchodzcych latach bezpieczestwo wewntrzne UE. S to m.in. prewencja i uprzedzanie wypadkw: profilaktyka oparta na danych wywiadowczych, opracowanie kompleksowego modelu wymiany informacji, wsppraca operacyjna, wsppraca organw wymiaru sprawiedliwoci w sprawach karnych, zewntrzny wymiar bezpieczestwa wewntrznego a wsppraca z pastwami trzecimi. 7 Instrumenty legislacyjne ujte w aktualnym Planie Dziaania a wynikajce z Deklaracji 25 marca 2004 r. dot. zwalczania terror yzmu zostay zaimplementowane do prawa polskiego. S to m.in.: Decyzja Ramowa Rady 2002/465/WSiSW z 13 czerwca 2002 r. dot. powoania wsplnych zespow dochodzeniowo -ledczych; Decyzja Ramowa Rady 2002/475/WSiSW z 13 czerwca 2002 r. dot. zwalczania terroryzmu; Decyzja Ramowa 2001/500/WSiSW z 26 czerwca 200 1 r. dot. prania pienidzy oraz identyfikacji, wykrywania, zamroenia, zajcia i konfiskaty narzdzi oraz zyskw pozyskanych z przestpstwa; Decyzja Ramowa 2003/577/WSiSW z 22 lipca 2003 r. dot. konfiskaty korzyci pochodzcych z przestpstwa; Decyzja Ramowa 2005/222/JHA z 24 lutego 2005 r. przeciwko atakom na system informacyjny; Strona 11 z 33

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

2. Charakterystyka cyberprzestrzeni 2.1. Teleinformatyczna infrastruktura krytyczna a cyberprzestrze

Teleinformatyczna Infrastruktura Krytyczna (zwana dalej TIK) i cyberprzestrze obejmuj wszystkie warstwy modelu OSI jednake TIK jest czci cyberprzestrzeni o krytycznym znaczeniu dla jej funkcjonowania.

CYBERPRZESTRZE

INFRASTRUKTURA KRYTYCZNA

TELEINFORMATYCZNA INFRASTRUKTURA KRYTYCZNA

2.2.

Identyfikacja zasobw, funkcji i zalenoci pomidzy systemami a CRP

W ramach programu szczegowego Ocena ryzyka opisanego w zaczniku numer 1 zostanie przeprowadzona identyfikacja zasobw, podsystemw, funkcji i zalenoci od innych systemw istotnych z punktu widzenia funkcjonowania CRP.

2.3.

Podmioty zaangaowane w dziaania na rzecz ochrony CRP

Kancelaria Prezesa Rady Ministrw; Ministerstwo Spraw Wewntrznych i Administracji; Ministerstwo Obrony Narodowej; Ministerstwo Edukacji Narodowej; Ministerstwo Infrastruktury; Ministerstwo Nauki i Szkolnictwa Wyszego; Rzdowe Centrum Bezpieczestwa; Agencja Bezpieczestwa Wewntrznego; Suba Kontrwywiadu Wojskowego; Komenda Gwna Policji; Komenda Gwna Stray Granicznej; Komenda Gwna Pastwowej Stray Poarnej; Naukowa i Akademicka Sie Komputerowa Zesp CERT Polska; Przedsibiorcy telekomunikacyjni, posiadajcy wasn infrastruktur telekomunikacyjn.

Strona 12 z 33

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

2.4.

Obecne inicjatywy

ABUSE-FORUM jest to ciao nieformalna grupa ekspercka, skupiajce przedstawicieli zespow typu CERT oraz zespow bezpieczestwa przedsibiorcw telekomunikacyjnych oraz dostarczycieli treci w polskim Internecie. ARAKIS8 jest systemem wczesnego ostrzegania o zagroeniach w sieci. Jego gwnym zadaniem jest wykrywanie i opisywanie zautomatyzowanych zagroe wystpujcych w sieci na podstawie agregacji i korelacji danych z rnych rde, w tym rozproszonej sieci honeypotw, sieci darknet, firewalli oraz systemw antywirusowych. ARAKIS jest projektem zespou CERT Polska dziaajcego w ramach NASK. Rozwijany jest we wsppracy z Dziaem Rozwoju Oprogramowania oraz z dziaem naukowym NASK. W wyniku wsppracy z ABW powstaa rzdowa implementacja systemu ARAKIS pod nazw ARAKIS-GOV. HoneySpider Network jest wsplnym projektem dziaajcego w ramach NASK zespou CERT Polska, rzdowego CERTu Holenderskiego GOVCERT.NL oraz akademickiego operatora w Holandii SURFnet. Projekt ma na celu zbudowanie nowych oraz wykorzystanie istniejcych technik klienckich honeypotw do wykrywania atakw na aplikacje klienckie, w szczeglnoci przegldarki WWW. Projekt powsta w odpowiedzi na obserwacje nowego trendu w propagacji zagroe Internetowych, w szczeglnoci pojawienie si zagroe typu ataki drive-by download, ktre do skutecznego zaraenia systemu operacyjnego wymagaj jedynie odwiedzenia odpowiednio spreparowanej strony internetowej. Podobnie jak w przypadku systemu ARAKIS, istnieje rzdowa implementacja rozwizania pod nazw HSN-GOV. WOMBAT9 celem projektu jest utworzenie globalnego systemu monitorowania i analizy zagroe internetowych, w szczeglnoci zoliwego oprogramowania. Projekt powstaje przy wsppracy specjalistw ds. bezpieczestwa z wielu podmiotw zaangaowanych w dziaania monitorujce oraz zwikszajce bezpieczestwo Internetu. W wyniku projektu powstaj nowe metody analizy zagroe pojawiajcych si masowo w Internecie. W projekcie zostan wykorzystane m.in. informacje zarejestrowane przez globalny rozproszony system honeypotw Leurre.com, obsugiwany przez Instytut Eurecom, oraz dane z najwikszej na wiecie kolekcji zoliwego oprogramowania, zgromadzone przez firm Hispasec (w ramach projektu Virustotal). FISHA10 Gwnym celem projektu jest opracowanie prototypu systemu EISAS (European Information Sharing and Alerting System), czyli europejskiego systemu wymiany i dostpu do informacji dotyczcych bezpieczestwa komputerowego oraz ostrzegania przed zagroeniami w Internecie. System ma dziaa w oparciu o istniejce ju w krajach Unii Europejskiej systemy podobnego typu i sta si w przyszoci oglnoeuropejskim forum informacyjnym. Przeznaczeniem systemu jest wzrost wiadomoci w kwestii bezpieczestwa on-line wrd uytkownikw domowych oraz kadry pracowniczej sektora MP. Docelowo, kade z pastw czonkowskich UE bdzie miao wasny, krajowy portal, na ktrym publikowane bd w przystpny sposb aktualne informacje dotyczce bezpieczestwa komputerowego, pozyskiwane w ramach systemu EISAS. Projekt realizowany jest we wsppracy pomidzy NASK, CERT-em wgierskim (CERT-Hungary) oraz niemieckim instytutem badawczym Internet Security Centre z Uniwersytetu Gelsenkirchen i zakoczy si na pocztku 2011 roku.
8 9

Agregacja, Analiza i Klasyfikacja Incydentw Sieciowych Worldwide Observatory of Malicious Behavior and Attack Threats 10 A Framework for Information Sharing and Alerting Strona 13 z 33

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

3. Realizacja programu 3.1. Zarzdzanie ryzykiem

Zarzdzanie ryzykiem zwizanym z funkcjonowaniem cyberprzestrzeni jest kluczowym elementem procesu ochrony cyberprzestrzeni, determinujcym i uzasadniajcym dziaania podejmowane w celu jego obnienia do akceptowalnego poziomu. Kada instytucja, o ktrej mowa w pkt. 2.3, kadego roku przekazuje do MSWiA podsumowujce sprawozdanie zawierajce oglne dane dotyczce rodzajw ryzyka, zagroe i sabych punktw zdiagnozowanych w kadym z sektorw, w ktrych dziaa i za ktre odpowiada instytucja oraz sposobw postpowania z ryzykiem. MSWiA opracuje wsplny wzr takich sprawozda we wsppracy z instytucjami wymienionymi w pkt. 2.3. Kade sprawozdanie moe zosta opatrzone klauzul tajnoci na poziomie uznanym za odpowiedni przez instytucj wymienion w pkt. 2.3. Na podstawie sprawozda, o ktrych mowa powyej, MSWiA i instytucje wymienione w pkt. 2.3. oceniaj, czy naley na poziomie wsppracy rozway dalsze rodki ochrony. Dziaania te podejmowane s w poczeniu z przegldem niniejszego programu. MSWiA we wsppracy z zaangaowanymi instytucjami opracuje wsplne wytyczne w sprawie metod przeprowadzania analiz ryzyka w odniesieniu do teleinformatycznej infrastruktury krytycznej. Uywanie takich wytycznych bdzie obligatoryjne dla zaangaowanych instytucji. W ramach Programu zostanie opracowana i wskazana do stosowania wszystkim uytkownikom cyberprzestrzeni RP jednolita metodyka szacowania ryzyka zakcenia jej funkcjonowania. ABW wsplnie z SKW przedstawiaj podmiotom administracji publicznej, w celu zunifikowanego podejcia, opracowane katalogi zawierajce specyfikacj zagroe oraz moliwych podatnoci. Szczegy powysze zostay zawarte w zaczniku nr 1 Ocena ryzyka.

3.2.

Ustalenie hierarchii priorytetw realizacji programu

3.2.1. Dziaania legislacyjne Podstawowym elementem realizacji Programu, przewidzianym do wykonania w pierwszej kolejnoci, s dziaania legislacyjne. Dziaania te maj na celu stworzenie infrastruktury prawnej, dajcej podstawy do podejmowania dalszych dziaa w ramach Programu. W przypadku istniejcych przepisw przeprowadzony zostanie ich przegld i dostosowanie do potrzeb Programu, zgodnie z programem szczegowym. Budowa nowej infrastruktury prawnej zostanie przeprowadzona poprzez realizacj programw szczegowych majcych na celu osigniecie nowych kompetencji.

Strona 14 z 33

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

3.2.2. Dziaania proceduralno-organizacyjne Kolejnym etapem realizacji Programu bd dziaania proceduralno-organizacyjne. Maj one na celu optymalizacj wykorzystania istniejcej infrastruktury cyberprzestrzeni, w drodze wprowadzenia w ycie najlepszych praktyk i standardw w tym zakresie. Na tym etapie zostan wykorzystane zarwno narzdzia prawne stworzone w pierwszym etapie, jak i mechanizm mikkich regulacji. Wykonanie tego etapu nastpi poprzez uruchomienie programw szczegowych. 3.2.3. Dziaania edukacyjne W nastpnym etapie realizacji Programu wdroone zostan dziaania edukacyjne. Dziaania te bd prowadzone wrd obecnych oraz przyszych uytkownikw cyberprzestrzeni i maj na celu wzmocnienie efektu dwch poprzednich dziaa, utrwalenie ich wrd uytkownikw, a take stworzenie moliwoci przejcia do nastpnego etapu realizacji Programu. Cele tego etapu zostan osignite w drodze realizacji programw szczegowych. 3.2.4. Dziaania techniczne Ostatnim etapem realizacji Programu na podstawie dziaa proceduralno organizacyjnych tj. np. planu postpowania z ryzykiem, bd dziaania techniczne, ktrych celem bdzie zmniejszenie ryzyka wystpienia zagroe z cyberprzestrzeni. Wykonanie tego etapu nastpi poprzez uruchomienie programw szczegowych.

3.3.

Wprowadzenie programw ochrony

Programy ochrony bd wprowadzane w oparciu o realizacj programw szczegowych wymienionych w zacznikach do niniejszego dokumentu. 3.3.1. Program w zakresie dziaa legislacyjnych W ramach programu zostan podjte nastpujce dziaania majce na celu uregulowanie aspektw zwizanych z zarzdzaniem i bezpieczestwem cyberprzestrzeni RP po przez wprowadzenie odpowiednich zapisw do ustaw i rozporzdze ju obowizujcych lub w nowej ustawie i rozporzdzeniu wykonawczym w zakresie: 1. zdefiniowania poj dotyczcych cyberprzestrzeni CRP, cyberprzestpczoci i cyberterroryzmu, 2. wskazania, e CRP naley traktowa, jako dobro oglne umoliwiajce rozwj i niezakcone funkcjonowanie spoeczestwa informacyjnego, komunikacj wymian informacji oraz repozytorium wiedzy, 3. ustalenia odpowiedzialnoci za ochron CRP opisanie zakresw zada, odpowiedzialnoci i zmian w strukturach organizacyjnych (Prezes Rady Ministrw, MSWiA, MON w tym suby ochrony cyberprzestrzeni tj. ABW i SKW), 4. wprowadzenia cigania z urzdu narusze bezpieczestwa w cyberprzestrzeni, ktre miay miejsce w odniesieniu do podmiotw administracji publicznej oraz infrastruktury krytycznej ujawnionej w wykazie. Wprowadzenie cigania na wniosek pokrzywdzonego w przypadku wykrycia incydentu bezpieczestwa w obszarze cyberprzestrzeni RP, 5. ustanowienia gwnych sektorowych punktw kontaktowych CERT.GOV.PL dla obszaru administracji publicznej, CERT POLSKA dla obszaru cywilnego, MIL CERT
Strona 15 z 33

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

6. 7. 8. 9.

dla obszaru wojskowego oraz sektorowych punktw kontaktowych w ministerstwach waciwych dla danych sektorw gospodarki RP, wprowadzenia roli Penomocnika Rzdu ds. Ochrony Cyberprzestrzeni (POC) RP oraz ustalenie sposobw i form wsppracy, wprowadzenia funkcji penomocnika kierownika jednostki organizacyjnej ds. ochrony cyberprzestrzeni (POC) w podmiotach administracji publicznej i zalecenie utworzenia takiej roli u przedsibiorcw, umocowania prawnego Rzdowego Zespou Reagowania na Incydenty Komputerowe CERT.GOV.PL, wprowadzenia obowizku dla podmiotw publicznych i zalecenia dla pozostaych uytkownikw cyberprzestrzeni informowania (nie duej ni w cigu jednego dnia od wykrycia zdarzenia przez personel) do waciwego zespou CERT o wykrytych incydentach bezpieczestwa zwizanych z CRP.

Szczegy powysze zostay zawarte w zaczniku nr 2 Zmiany legislacyjne w zakresie ochrony CRP. 3.3.2. Programy w zakresie dziaa proceduralno-organizacyjnych 3.3.2.1. Zarzdzanie bezpieczestwem cyberprzestrzeni RP W ramach zarzdzania cyberprzestrzeni RP zostanie powoany midzyresortowy zesp odpowiedzialny za koordynacje wszelkich dziaa zwizanych z jej bezpieczestwem zwany Midzyresortowym Zespoem Koordynujcym ds. Ochrony Cyberprzestrzeni RP. Podstawowym zadaniem ww. zespou bdzie koordynowanie dziaa instytucji realizujcych zadania naoone przez Program oraz organizacja cyklicznych spotka i rekomendowanie proponowanych rozwiza z zakresu bezpieczestwa cyberprzestrzeni. Szczegy powysze zostay zawarte w zaczniku nr 3 Powoanie zespou koordynujcego realizacj Programu. W zakresie zarzdzania bezpieczestwem cyberprzestrzeni RP w obszarze administracji publicznej, szczegln rol peni Rzdowy Zesp Reagowania na Incydenty Komputerowe CERT.GOV.PL. Szczegy powysze zostay zawarte w zaczniku nr 4 Dziaanie Rzdowego Zespou Reagowania na incydenty komputerowe. 3.3.2.2. System zarzdzania bezpieczestwem w jednostce organizacyjnej11 W kadej jednostce organizacyjnej, w ramach ochrony cyberprzestrzeni, kierownik jednostki powinien ustanowi system zarzdzania bezpieczestwem informacji w cyberprzestrzeni, w oparciu o obowizujce normy i najlepsze praktyki, z ktrego

11

Rozporzdzenie Rady Ministrw z dnia 11 padziernika 2005 r. w sprawie minimalnych wymaga dla systemw teleinformatycznych: 3. 1. Podmiot publiczny opracowuje, modyfikuje w zalenoci od potrzeb oraz wdraa polityk bezpieczestwa dla systemw teleinformatycznych uywanych przez ten podmiot do realizacji zada publicznych. 2. Przy opracowywaniu polityki bezpieczestwa, o ktrej mowa w ust. 1, podmiot publiczny powinien uwzgldnia postanowienia Polskich Norm z zakresu bezpieczestwa informacji. Strona 16 z 33

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

wynika powinny m.in. role administratorw i inspektorw bezpieczestwa informacji przetwarzanych w jawnych systemach i sieciach teleinformatycznych. Zgodnie z obowizujcymi przepisami podmioty publiczne realizujce zadania publiczne zobowizane s do posiadania wasnych polityk bezpieczestwa.. Podmiot publiczny opracowuje, modyfikuje w zalenoci od potrzeb oraz wdraa polityk bezpieczestwa dla systemw teleinformatycznych uywanych przez ten podmiot do realizacji zada publicznych. Przy opracowywaniu polityki bezpieczestwa, podmiot publiczny powinien uwzgldni postanowienia Polskich Norm z zakresu bezpieczestwa informacji, a w szczeglnoci grupy norm serii PN ISO/IEC 27000 i innych norm z ni powizanych. Program stanowi podstaw do opracowywania cyberprzestrzeni Rzeczpospolitej Polskiej. polityki bezpieczestwa

Zapewnieniu spjnoci polityk bezpieczestwa informacji jednostek organizacyjnych suy bd przygotowane przez MSWiA w porozumieniu z MON, ABW i SKW wytyczne, dotyczce systemw zarzdzania bezpieczestwem informacji. Szczegy powysze zostay zawarte w zaczniku nr 5 Ustanowienie w podmiotach publicznych systemu zarzdzania bezpieczestwem informacji. 3.3.2.3. Rola kierownikw jednostek organizacyjnych W ramach jednostki organizacyjnej powoany zostanie Penomocnik ds. ochrony cyberprzestrzeni (PKOC). Zadania penomocnika w zakresie ochrony cyberprzestrzeni obejm swoim zakresem: realizacj obowizkw wynikajcych z przepisw aktw prawnych waciwych dla ochrony cyberprzestrzeni; ustalenie i wdroenie procedur reagowania na incydenty komputerowe obowizujcych w organizacji; identyfikowanie i prowadzenie cyklicznych analiz zagroe; przygotowanie planw awaryjnych; niezwoczne informowanie waciwych zespow CERT o: wystpieniu incydentw komputerowych zgodnie z procedurami, zmianie lokalizacji jednostki organizacyjnej. Szczegy powysze zostay zawarte w zaczniku nr 6 Odpowiedzialno i zadania Penomocnika ds. ochrony cyberprzestrzeni. 3.3.3. Programy w zakresie dziaa edukacyjnych

3.3.3.1. Szkolenia penomocnikw ds. ochrony cyberprzestrzeni W celu podniesienia kwalifikacji opracowany zostanie system szkole dla penomocnikw ds. ochrony cyberprzestrzeni. Szkolenia koczy si bd wydaniem certyfikatu potwierdzajcego odbycie przeszkolenia w zakresie bezpieczestwa cyberprzestrzeni. Program szkole bdzie obejmowa w szczeglnoci specjalistyczne szkolenie z zakresu reagowania na incydenty zwizane z bezpieczestwem informacji. Szkolenia takie mog by organizowane przez zespoy reagowania na incydenty (CERT), ABW i SKW lub firmy komercyjne.
Strona 17 z 33

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

Szkolenia w zakresie podstaw bezpieczestwa eksploatacji systemw i sieci teleinformatycznych prowadzone bd przez orodki ksztacenia, autoryzowane przez producenta (producentw) sprztu komputerowego lub oprogramowania sieciowego. W ramach Programu zostanie opracowany zakres obowizkowych szkole dla penomocnikw ds. ochrony cyberprzestrzeni i administratorw w celu prawidowego realizowania przez nich zada z zakresu zachowania bezpieczestwa cyberprzestrzeni RP.. Szczegy powysze zostay zawarte w zaczniku nr 7 Szkolenie penomocnika d.s. ochrony cyberprzestrzeni. 3.3.3.2. Racjonalizacja programw ksztacenia na uczelniach wyszych Jednym z podstawowych aspektw zapewnienia bezpieczestwa cyberprzestrzeni jest posiadanie wysoko wykwalifikowanych kadr w sektorze publicznym i prywatnym odpowiadajcych za utrzymanie systemw i sieci teleinformatycznych ze szczeglnym uwzgldnieniem zasobw kluczowych dla bezpieczestwa pastwa. Aby zapewni cigy dopyw odpowiednio wyszkolonych specjalistw z dziedziny bezpieczestwa teleinformatycznego konieczne jest zaangaowanie szk wyszych w program ochrony cyberprzestrzeni . Zagadnienia zwizane z bezpieczestwem cyberprzestrzeni powinny sta si staym elementem kadego programu nauczania. W szczeglnoci dotyczy to uczelni technicznych ksztaccych informatykw bez wzgldu na kocow specjalizacj informatyczn. Nie mona dopuszcza do sytuacji, w ktrej projektanci programici aplikacji skupiaj si wycznie na funkcjonalnoci, zapominajc o zasadach tworzenia bezpiecznego kodu, a administratorzy sieci i systemw za priorytet stawiaj dostpno zasobw uytkownikw zapominajc o koniecznoci ochrony przetwarzanych informacji przed intruzami. W tym celu konieczne jest midzy innymi objcie bezpieczestwa teleinformatycznego dugofalowym programem kierunkw zamawianych, a take ustanowienie adekwatnego programu rozwoju kadry naukowej. Zadanie propagowania zmian w obszarze programw nauczania nalee bdzie do Ministra Nauki i Szkolnictwa Wyszego. Szczegy powysze zostay zawarte w zaczniku nr 8 Racjonalizacja programw ksztacenia na uczelniach wyszych. 3.3.3.3. Ksztacenie kadry urzdniczej oraz ustanowienie dodatkowych kryteriw obsady stanowisk w administracji publicznej Konieczna jest edukacja pracownikw administracji publicznej, majcej dostp oraz korzystajcej z cyberprzestrzeni RP, w zakresie zagadnie dotyczcych bezpieczestwa sieci odpowiednio do zajmowanego stanowiska i ryzyka z nim zwizanego. Szkolenia powinny dotyczy w szczeglnoci zastosowania procedur ochrony informacji w instytucji, znajomoci technik wyudzania informacji stosowanych w cyberprzestpczoci, konsekwencji zamania zabezpiecze przez cyberprzestpcw, procedur obowizujcych w przypadku udanego ataku cyberterrorystw. Wraz z rozwojem infrastruktury teleinformatycznej pastwa, procedury bezpieczestwa powinny by modyfikowane a szkolenia ponawiane odpowiednio do zakresu wprowadzonych zmian. Szkolenia powinny zawsze koczy si weryfikacj nabytej
Strona 18 z 33

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

wiedzy i umiejtnoci w formie egzaminu lub te w ramach wicze. Odrbnym zagadnieniem jest weryfikacja wiadomoci wiedzy i umiejtnoci w zakresie bezpieczestwa oraz ryzyka zwizanego z korzystaniem z sieci, dla osb ubiegajcych si o stanowiska w administracji publicznej. Konieczne jest, aby takie osoby posiaday wiedz w tym zakresie przynajmniej na poziomie minimalnych standardw okrelanych dla danego stanowiska subowego przez kierownika jednostki organizacyjnej. W trakcie procedury rekrutacyjnej sprawdzenia kompetencji mog dokona osoby administrujce zasobami teleinformatycznymi. Szczegy powysze zostay zawarte w zaczniku nr 9 Wytyczne w zakresie obszarw obowizkowych szkole dla pracownikw administracji publicznej. 3.3.3.4. Kampania spoeczna o charakterze edukacyjno-prewencyjnym Powszechno korzystania przez obywateli z Internetu oraz zwikszajce si znaczenie dostpnoci usug oferowanych przez sie implikuj konieczno uwraliwienia obywateli na problem bezpieczestwa teleinformatycznego, podnoszenia ich wiadomoci odnonie bezpiecznych metod korzystania z Internetu. Kady uytkownik komputera powinien pamita o tym, e korzystanie z globalnej sieci, oprcz niekwestionowanych korzyci niesie za sob take szereg zagroe. Kady uytkownik komputera wczeniej czy pniej zetknie si z nimi, nawet, jeli bd one dla niego niezauwaalne. Dlatego tak wane jest szerzenie wrd caego spoeczestwa wiadomoci istnienia niebezpieczestw w globalnej sieci oraz koniecznoci przeciwdziaania cyberzagroeniom. wiadomo i wiedza na temat sposobw przeciwdziaania i zwalczania zagroe stanowi kluczowe elementy walki z tymi zagroeniami. Jedynie odpowiedzialne zachowanie odpowiednio wyedukowanego uytkownika moe skutecznie minimalizowa ryzyko wynikajce z istniejcych zagroe. Naley podkreli, i we wspczesnym wiecie zapewnienie bezpieczestwa teleinformatycznego nie zaley jedynie od dziaalnoci wyspecjalizowanych instytucji rzdowych, specjalistw do spraw bezpieczestwa teleinformatycznego, zespow reagowania na incydenty, ani nawet administratorw sieci. Wraz z upowszechnieniem si dostpu do Internetu w domach, szkoach i miejscach pracy oraz zmian sposobu przeprowadzania atakw komputerowych, gdzie do skutecznej infekcji wykorzystywana jest nie tylko podatno oprogramowania, lecz coraz czciej niewiedza lub niefrasobliwo uytkownikw, odpowiedzialno za bezpieczestwo spoczywa na kadym uytkowniku komputera. Kampania spoeczna o charakterze edukacyjno-prewencyjnym stanowi wyzwanie i jest istotnym elementem Programu. Ze wzgldu na fakt, e przestpczoci komputerow zagroeni s zarwno uytkownicy indywidualni, jak rwnie instytucje publiczne, przedsibiorcy, organizacje spoeczne, kampania bdzie miaa charakter wielowymiarowy i uwzgldnia bdzie konieczne zrnicowanie form i treci przekazu w zalenoci od potrzeb jej adresatw. Zawiera si ona bdzie w powszechnym oraz instytucjonalnie rnorodnym oddziaywaniu na postawy wszystkich uytkownikw komputerw podczonych do Internetu. Zakada si dugofalowy i powszechny charakter kampanii spoecznej. Ze wzgldu na bezpieczestwo teleinformatyczne warunkujce realizacj zada publicznych, adresatami akcji informacyjnych bd w szczeglnoci pracownicy

Strona 19 z 33

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

administracji krytycznej.

publicznej oraz podmioty, ktrych zasoby nale do infrastruktury

Kampania edukacyjno-prewencyjna skierowana zostanie take do: - dzieci i modziey jako grupy najbardziej podatnej na wpywy. Edukacja powinna rozpocz si ju od najmodszych lat, w celu wytworzenia pewnych nawykw, ktre uchroni najmodszych przed zagroeniami czyhajcymi na nich w sieci (np. przed zjawiskiem zwanym cyberbullying przemocy w sieci, zawieraniem niebezpiecznych znajomoci, niecenzuralnymi treciami, piractwem, uzalenieniem od Internetu). Wiedz na temat zagroe z cyberprzestrzeni, dziecko powinno uzyskiwa przede wszystkim w szkole podczas nauki na wszystkich poziomach edukacji (szkoa podstawowa, gimnazjum, szkoa rednia). Ogromna w tym rola Ministerstwa Edukacji Narodowej (MEN), by nie tylko poprzez zajcia lekcyjne inicjowa i propagowa dziaania na rzecz bezpieczestwa dzieci i modziey w Internecie. - rodzicw jako najwaniejszych nauczycieli i osoby odpowiedzialne za wychowanie kolejnych pokole. To na rodzicach spoczywa odpowiedzialno za przygotowanie dzieci do funkcjonowania w spoeczestwie, rwnie w spoeczestwie informacyjnym. Statystyki wskazuj, i komputer przestaje by w Polsce traktowany jako dobro luksusowe, a staje si sprztem codziennego uytku wikszoci polskich rodzin. Stopniowo ronie rwnie liczba domowych szerokopasmowych przyczy do Internetu. Aby zapewni skuteczny nadzr nad dziaalnoci dziecka w Internecie rodzice przede wszystkim sami powinni posi odpowiedni wiedz na temat zagroe oraz metod ich eliminowania. - nauczycieli od roku 2004 ksztacenie nauczycieli w ramach specjalizacji odbywa si zgodnie z rozporzdzeniem Ministra Edukacji Narodowej, okrelajcym standardy ksztacenia nauczycieli12. W ramach zaj obowizkowych na studiach wyszych nauczyciele uzyskuj podstawow wiedz z zakresu technologii informacyjnej, w tym rwnie bezpiecznego i wiadomego korzystania z systemw teleinformatycznych. Kampania spoeczna adresowana do dzieci, modziey i ich rodzicw w duej mierze powinna by realizowana w placwkach owiatowych wszystkich szczebli. Kampania spoeczna edukacyjno prewencyjna realizowana bdzie take za porednictwem rodkw masowego przekazu. Media jako istotny partner w promowaniu zagadnie ochrony cyberprzestrzeni RP oraz popularyzacji przedsiwzi zawartych w Programie zwiksz skuteczno realizacji zaoonych celw. Dziki ich pomocy w trakcie realizacji Programu moliwe bdzie rwnie przeprowadzenie rozmaitych akcji informacyjnych i kampanii edukacyjnych. W tym celu zaangaowane zostan media oglnopolskie, regionalne i lokalne. W ramach kampanii spoecznej informacje dotyczce bezpieczestwa teleinformatycznego oraz przedsiwzi edukacyjnych i organizacyjno-prawnych podejmowanych w ramach Programu prezentowanego bd na stronach internetowych MSWiA, oraz na stronie zespou CERT.GOV.PL, gdzie bd dostpne take interaktywne kursy dotyczce zagadnienia bezpieczestwa.

12

rozporzdzenie Ministra Edukacji Narodowej z dnia 7 wrzenia 2004 r. w sprawie standardw ksztacenia nauczycieli (Dz. U. Nr 207, poz. 2110)
Strona 20 z 33

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

Szczegy w powyszym zakresie zostay zawarte w programie szczegowym: Zacznik numer 10 Prowadzenie spoecznej kampanii edukacyjno-prewencyjnej w mediach publicznych, oraz zacznik numer 11 Prowadzenie kampanii informacyjno-profilaktycznej na stronach internetowych. 3.3.4. Programy w zakresie dziaa technicznych

3.3.4.1. Programy badawcze Wane z punktu widzenia powodzenia wykonania Programu jest przygotowanie i uruchomienie krajowych programw badawczych dotyczcych bezpieczestwa teleinformatycznego o formule, ktra zachciaby do wsplnego prowadzenia bada naukowych nad bezpieczestwem teleinformatycznym, podmioty zajmujce si bezpieczestwem teleinformatycznym ze sfery administracji publicznej, orodki naukowe oraz innych przedsibiorcw telekomunikacyjnych. Podmiotem koordynujcym Program w tym zakresie jest Ministerstwo Nauki i Szkolnictwa Wyszego (MNiSW), jako ustawowo waciwe w sprawach bada naukowych i prac rozwojowych. Wykaz zada w obszarze koniecznych programw badawczych, uwzgldniajcych dynamik stanu wiedzy okrelony zostanie na poziomie projektw szczegowych Programu i moe by uzupeniany z inicjatywy waciwych podmiotw odpowiedzialnych za realizacj Programu. Szczegy w tym zakresie zostan, w uzgodnieniu z zainteresowanymi podmiotami oraz uwzgldniajce istotne ustalenia programw szczegowych, okrelone w programie ministra dotyczcym bada naukowych zwizanych z rozwojem zagroe dla cyberprzestrzeni i metod ich przeciwdziaania. Szczegy powysze zostay zawarte w zaczniku nr 12 Programy badawcze. 3.3.4.2. Rozbudowa zespow reagowania na incydenty teleinformatycznego w administracji publicznej bezpieczestwa

Aby moliwe byo skuteczne prowadzenie dziaa zwizanych z ochron cyberprzestrzeni, w tym reagowania na incydenty bezpieczestwa teleinformatycznego, konieczne jest zapewnienie odpowiedniego zaplecza technicznego, nie tylko umoliwiajcego realizacj biecych zada, ale rwnie uwzgldniajcego wzrastajce zapotrzebowanie na specjalizowane systemy teleinformatyczne w przyszoci. Wszystkie zespoy po unifikacji zakresw obowizkw oraz procedur reagowania, jak rwnie okrelenia obszaru (ang. constituency) tworzyyby krajowy system reagowania na incydenty komputerowe, ktry oprcz wspdziaania obejmowaby rwnie wsplne konferencje, szkolenia i wiczenia. Szczegy powysze zostay zawarte w zaczniku nr 13 Ochrona rzdowych kluczowych rozwiza teleinformatycznych.

Strona 21 z 33

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

3.3.4.3. Rozbudowa systemu wczesnego ostrzegania i utrzymanie rozwiza prewencyjnych

oraz

wdraanie

W ramach Programu kontynuowane bd inicjatywy realizowane na podstawie wnioskw zawartych w Sprawozdaniu z prac Zespou ds. Krytycznej Infrastruktury Teleinformatycznej, zatwierdzonym w maju 2005 r. przez Kolegium ds. Sub Specjalnych. Departament Bezpieczestwa Teleinformatycznego ABW wraz z zespoem CERT Polska dziaajcym w ramach Naukowej i Akademickiej Sieci Komputerowej (NASK) dokona wdroenia systemu wczesnego ostrzegania przed zagroeniami z sieci Internet ARAKIS-GOV. Rozbudowa systemu bdzie realizowana zgodnie z programem szczegowym. Szczegy powysze zostay zawarte w zaczniku nr 14 Rozbudowa systemu wczesnego ostrzegania. Jednoczenie majc na uwadze postp zachodzcy w technologiach teleinformatycznych i zwizan z nim tendencj pojawiania si coraz bardziej wyrafinowanych zagroe, podczas wdraania Programu podjte zostan inicjatywy promujce tworzenie coraz nowoczeniejszych rozwiza wspierajcych bezpieczestwo teleinformatyczne. Naley dy do stosowania jak najszerszego spektrum rnych rodzajw systemw zabezpiecze w celu zapewnienia bezpieczestwa krytycznych zasobw teleinformatycznych. 3.3.4.4. Testowanie poziomu zabezpiecze W ramach testowania poziomu zabezpiecze, dla adresatw Programu bd organizowane cyklicznie wiczenia polegajce na przeprowadzaniu kontrolowanych atakw symulujcych dziaania cyberterrorystyczne. Testy maj suy ocenie biecej odpornoci cyberprzestrzeni na cyberataki, wskazaniu najsabszych punktw zabezpiecze, ogniw i przygotowaniu zalece do dalszych dziaa prewencyjnych. Szczegy powysze zostay zawarte w zaczniku nr 15A oraz 15B Testowanie poziomu zabezpiecze w cyberprzestrzeni (obszar administracji publicznej). 3.3.4.5. Rozwj Zespow CERT Zespoy te s centrami kompetencyjnymi sucymi pomoc merytoryczn zarwno na etapie tworzenia waciwych struktur i procedur jak rwnie rozwizywania problemw w trakcie ich eksploatacji w poszczeglnych jednostkach organizacyjnych administracji czy te przedsibiorcw. Konsultacje i doradztwo w zakresie bezpieczestwa cyberprzestrzeni prowadz zespoy CERT wobec wszystkich podmiotw administracji publicznej, przedsibiorcw oraz innych uytkownikw cyberprzestrzeni posiadajcych zasoby objte niniejszym Programem. Ponadto, do zada zespow reagowania na incydenty komputerowe naley utrzymywanie informacyjnej witryny internetowej. Docelowo witryny zespow utworz gwne rda informacji zwizanych z bezpieczestwem teleinformatycznym dla osb zajmujcych si bezpieczestwem teleinformatycznych w instytucjach administracji publicznej, a take innych osb zainteresowanych t tematyk.
Strona 22 z 33

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

W szczeglnoci witryny bd miejscem publikacji nastpujcych informacji: aktualnoci zwizanych z bezpieczestwem teleinformatycznym; informacji o podatnociach i zagroeniach; biuletynw bezpieczestwa; rnego rodzaju poradnikw, dobrych praktyk, itp.; raportw, informacji na temat trendw i statystyk; forum wymiany informacji oraz dowiadcze osb zaangaowanych w dziaania zwizane z bezpieczestwem teleinformat ycznym. Witryny peni bd rol jednego z dostpnych punktw zgaszania incydentw bezpieczestwa teleinformatycznego, ktry pozwala uytkownikowi na zgoszenie incydentu bez posiadania wikszej wiedzy z zakresu informatyki oraz poszukiwania miejsca, gdzie zdarzenie mona zgosi. Szczegy powysze zostay zawarte w zaczniku nr 16 Tworzenie i rozwj zespow typu CERT. 3.3.4.6. Plany Cigoci Dziaania W celu zapewnienia nieprzerwanej realizacji procesw w cyberprzestrzeni RP wymagane jest opracowanie i skoordynowane Planw cigoci dziaania tych procesw na wypadek zaistnienia sytuacji kryzysowej w obszarze cyberprzestrzeni skutkujcej zaprzestaniem realizacji procesu. W opracowywanie oraz testowanie Planw cigoci dziaania zaangaowane powinny by wszystkie podmioty, zarwno zarzdzajce jak i wykorzystujce krytyczn infrastruktur teleinformatyczn, ktre realizuj wane z punktu widzenia funkcjonowania CRP usugi. Szczegy powysze zostay zawarte w zaczniku nr 17 Wytyczne w zakresie tworzonego standardu planu cigoci dziaania.

Strona 23 z 33

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

4. Koordynacja realizacji Programu 4.1. Rola instytucji koordynujcej wdraanie Programu

W ramach systemu ochrony cyberprzestrzeni zostanie powoany Midzyresortowy Zesp Koordynujcy ds. Ochrony Cyberprzestrzeni RP (MZKOC) skupiajcy jednostki administracji rzdowej, wyszczeglnione w pkt. 2.3. Podstawowym zadaniem MZKOC bdzie koordynowanie dziaania instytucji realizujcych zadania naoone przez Program oraz organizacja cyklicznych spotka i rekomendowanie proponowanych rozwiza z zakresu bezpieczestwa cyberprzestrzeni.

RADA MINISTRW

Penomocnik Rzdu ds. Ochrony Cyberprzestrzeni RP

MEN

Midzyresortowy Zesp Koordynujcy ds. Ochrony Cyberprzestrzeni RP

MI ABW

SKW

MON

MNSiSW

MSWiA

KGP

KG SG

KG PSP

RCB

Rysunek 1: Schemat koordynacji realizacji Programu.

Informacje o realizacji Programu z obszaru uytkownika i przedsibiorcw oraz innych instytucji bd wynikay z analiz prowadzonych przez operatw, dostawcw usug. Zasadniczym miernikiem stopnia wdroenia Programu bd statystki incydentw obsugiwanych przez zespoy ds. narusze w sieci. Docelowym wariantem rekomendowanym przez Program jest powoanie jednostki technicznej realizujcej zadania zarzdzania i koordynowania przedsiwzi w zakresie ochrony CRP, podlegej Prezesowi Rady Ministrw, ktra przejaby zadania MZKOC.

4.2.

Szczebel sektorowy

W ramach wspdziaania jednostek organizacyjnych w zakresie ochrony cyberprzestrzeni zostan stworzone sektorowe (resortowe) punkty kontaktowe. Sektorowe punkty kontaktowe stan si elementem systemu komunikacji instytucji zwizanych z ochron cyberprzestrzeni. Sektorowy Punkt Kontaktowy bdzie odpowiedzialny za organizacj wsppracy, wymian informacji o podatnociach, zagroeniach, trendach w formie raportw,
Strona 24 z 33

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

biuletynw itp. Umoliwia bdzie abonentom, dostawcom usug, zespoom CERT itp. spenienie wszystkich procedur operacyjnych niezbdnych do obsugi incydentu oraz prowadzenia dziaa zgodnie z uprawnieniami ustawowymi tak, aby nie musieli oni zwraca si do kilku waciwych resortw, departamentw lub organw (w ramach jednej organizacji) w celu zebrania wszelkich potrzebnych informacji. Obejmuje to peny cykl obsugi incydentu oraz inne ustalone w toku wzajemnych porozumie procedury. Wyczeniu podlega bd raporty o zagroeniach oraz procedury dochodzeniowo-ledcze i odwoawcze o charakterze sdowym lub administracyjnym, jak rwnie formalne dokumenty kierowane do kierownictwa resortu/firmy.
Midzyresortowy Zesp Koordynujcy ds. Ochrony Cyberprzestrzeni RP

CERT Polska

CERT GOV PL

MIL-CERT

Zespoy ABUSE

Zespoy CERT

Naczelne organy administracji rzdowej wraz z jednostkami podlegymi i nadzorowanymi

Ministerstwo Spraw Wewntrznych i Administracji Ministerstwo Infrastruktury Ministerstwo Rozwoju Regionalnego Ministerstwo rodowiska Kancelaria Prezesa Rady Ministrw Ministerstwo Gospodarki Ministerstwo Sprawiedliwoci Ministerstwo Nauki i Szkolnictwa Wyszego Ministerstwo Finansw Ministerstwo Obrony Narodowej Jednostki organizacyjne podlege i/lub nadzorowane przez Ministra Obrony Narodowej Jednostki organizacyjne Si Zbrojnych RP

Ministerstwo Spraw Zagranicznych

Ministerstwo Sportu i Turystyki Ministerstwo Kultury i Dziedzictwa Narodowego

Ministerstwo Skarbu Pastwa

Ministerstwo Zdrowia

Ministerstwo Pracy i Polityki Spoecznej

Ministerstwo Rolnictwa i Rozwoju Wsi

Rzdowe Centrum Bezpieczestwa

Wsppraca

Rysunek 2: Schemat wsppracy MZKOC i punktw sektorowych

Szczegy powysze zostay zawarte w zaczniku nr 18 Sektorowe punkty kontaktowe.

Strona 25 z 33

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

5. Wsppraca w realizacji Programu

5.1. Sposoby i formy wsppracy

W ramach realizacji Programu zostan wypracowane formy wsppracy pomidzy organami odpowiedzialnymi za bezpieczestwo cyberprzestrzeni oraz odpowiedzialnymi za zwalczanie przestpczoci komputerowej o charakterze kryminalnym. Powysze formy wsppracy bd miay zarwno posta robocz, w celu zminimalizowania opnie reakcji na incydenty komputerowe, jak i sformalizowan suc eliminowaniu problemw kompetencyjnych. Szczegy powysze zostay zawarte w zaczniku nr 19 Sposoby i formy wsppracy.

Midzyresortowy Zesp Koordynujcy ds. Ochrony Cyberprzestrzeni RP

ABW

SKW

cyberterroryzm

POLICJA

andarmeria Wojskowa

cyberprzestpczo CERT GOV PL Zesp wojskowy

CERT POLSKA

Zespoy CERT (ABUSE)

Reagowanie na incydenty komputerowe i naruszenia w sieci

Wsppraca Koordynacja

Rysunek 3: Wsppraca pomidzy organami odpowiedzialnymi za bezpieczestwo cyberp rzestrzeni

Strona 26 z 33

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

5.2.

Wsppraca krajowa

Istotn form wsppracy w zakresie ochrony cyberprzestrzeni bd bezporednie robocze kontakty krajowych zespow reagowania na incydenty komputerowe, midzy innymi takich jak: Rzdowy Zesp Reagowania na Incydenty Komputerowe CERT.GOV.PL, System Reagowania na Incydenty Komputerowe resortu obrony narodowej, CERT Polska, CERT-y powoane przez przedsibiorcw telekomunikacyjnych, Inne zespoy ds. narusze w sieci a w szczeglnoci czonkowie ABUSE Forum. Szczegy powysze zostay zawarte w zaczniku nr 20 Wsppraca krajowa. 5.3. Wsppraca z producentami urzdze i systemw teleinformatycznych

Wanymi partnerami dla instytucji rzdowych i innych podmiotw odpowiedzialnych za bezpieczestwo teleinformatyczne w dziaaniach zmierzajcych do zwikszenia bezpieczestwa w cyberprzestrzeni s producenci sprztu i oprogramowania. Rozwj wsppracy z tymi partnerami, w tym wymiana dowiadcze i oczekiwa, stanowi bdzie jeden z waniejszych czynnikw majcych duy wpyw zarwno na system edukacji spoecznej i specjalistycznej, jak i na jako tworzonych systemw. Szczeglne znaczenie dla rozszerzenia spektrum dostpnych narzdzi ma wsppraca podmiotw odpowiedzialnych za bezpieczestwo teleinformatyczne z producentami systemw zabezpiecze. Naley dy do udostpniania pojedynczym jak i instytucjonalnym uytkownikom jak najwikszego wachlarza rozwiza sucych szeroko rozumianemu bezpieczestwu teleinformatycznemu oraz ochronie informacji. Szczegy powysze zostay zawarte w zaczniku nr 21 Wsppraca z producentami sprztu i oprogramowania. 5.4. Wsppraca z przedsibiorcami telekomunikacyjnymi

Ze wzgldu na globalny charakter zagroe w cyberprzestrzeni wymagana jest cisa skoordynowana wsppraca pomidzy Urzdem Komunikacji Elektronicznej (UKE), przedsibiorcami telekomunikacyjnymi i uytkownikami cyberprzestrzeni. Szczegy powysze zostay zawarte w zaczniku nr 22 Wsppraca z przedsibiorcami telekomunikacyjnymi. 5.5. Wsppraca midzynarodowa

Ze wzgldu na globalny charakter problemw zwizanych z ochron cyberprzestrzeni, istotnym elementem jest utrzymanie i rozwijanie wsppracy midzynarodowej w tym zakresie. Rada Europejska w przyjtej w 2003 roku Europejskiej Strategii Bezpieczestwa uznaa zjawisko terroryzmu za podstawowe zagroenie dla interesw UE. Ostatnim efektem prac w zakresie przeciwdziaania aktom terroru jest specjalny program Zapobieganie, gotowo i zarzdzanie skutkami aktw terroryzmu przyjty w ramach programu oglnego
Strona 27 z 33

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

Bezpieczestwo i ochrona wolnoci na lata 2007-2013. Polska jest rwnie stron midzynarodowych i europejskich porozumie w sprawie zwalczania terroryzmu (jest sygnatariuszem Europejskiej Konwencji o zwalczaniu terroryzmu) oraz ratyfikowaa Konwencj Rady Europy o zapobieganiu terroryzmowi, sporzdzon w Warszawie, w dniu 16 maja 2005 r. Rzd Rzeczypospolitej Polskiej deklaruje, poprzez swoich przedstawicieli, organy rzdowe, instytucje pastwowe oraz wspprac z instytucjami pozarzdowymi, aktywne dziaania zmierzajce do zwikszenia bezpieczestwa CRP oraz midzynarodowej. 5.5.1. Unia Europejska W zakresie wsppracy z organizacj ENISA13 Polsk reprezentuj przedstawiciele: czonek Rady Zarzdzajcej (Management Board), zastpca czonka Rady Zarzdzajcej, krajowy oficer cznikowy (Liaison Officer). Szczegy powysze zostay zawarte w zaczniku nr 23 Wsppraca z europejskimi strukturami zajmujcymi si bezpieczestwem cyberprzestrzeni w szczeglnoci z agencj ENISA. 5.5.2. NATO Szef ABW stanowi Krajowy Punkt Centralny (Focal Point) w ramach polityki ochrony cyberprzestrzeni. Podmiotami odpowiedzialnymi w sferze rzdowej za koordynacj reagowania na incydenty w sieciach i systemach komputerowych s: rzdowy zesp reagowania na incydenty komputerowe w odniesieniu do cyberprzestrzeni RP, wojskowy zesp reagowania na incydenty komputerowe Ministerstwa Obrony Narodowej w odniesieniu do sieci i systemw komputerowych lecych w gestii Ministerstwa Obrony Narodowej. Minister Obrony Narodowej i Szef ABW przy wsppracy z ministrem waciwym do spraw wewntrznych wystpuj, jako bezporedni partnerzy NATO Cyber Defence Management Authority (CDMA). Szczegy powysze zostay zawarte w zaczniku nr 24 Utrzymanie NATO Focal Point. 5.6. Sfera cywilna

Rzdowy Zesp Reagowania na Incydenty Komputerowe - CERT.GOV.PL midzy innymi wsppracowa bdzie na forum midzynarodowym i krajowym w zakresie ochrony cyberprzestrzeni z organizacjami zrzeszajcymi zespoy CERT z rnych krajw, takimi jak np. FIRST14. Szczegy powysze zostay zawarte w zaczniku nr 25 Wsppraca CERT.GOV.PL z FIRST.

13
14

Europejska Agencja Bezpieczestwa Sieci i Informacji European Network and Information Security Agency Forum of Incident Response and Security Teams Strona 28 z 33

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

5.7.

Mechanizm wymiany informacji

Sprawny system koordynacji zapewni wymian informacji pozyskanych ze wsppracy midzynarodowej, bez ponoszenia dodatkowych kosztw, pomidzy zespoami rzdowymi, wojskowymi i cywilnymi, zgodnie z obowizujcymi przepisami prawa, a w szczeglnoci zgodnie z ustaw o ochronie danych osobowych oraz ustaw o ochronie informacji niejawnych.

Strona 29 z 33

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

6. Finansowanie Programu
Koszty realizacji zada, ktre zostay okrelone w programach szczegowych, stanowicych zaczniki do niniejszego Programu, przypisane poszczeglnym jednostkom, ponoszone bd w ramach ich budetw oraz projektw UE. W trakcie obowizywania Programu, w latach 2012-2016, realizacja jego celw nie powinna pociga za sob dodatkowych skutkw finansowych. Obecnie jednostki organizacyjne administracji publicznej realizuj czciowo cele wymienione w Programie oraz programach szczegowych. Program od momentu jego wejcia w ycie zakada kontynuacj i koordynacj ju realizowanych bd zaplanowanych dziaa zwizanych z ochron cyberprzestrzeni w sposb ujednolicony i usystematyzowany dla caej administracji publicznej. W roku 2011, realizacja celw Programu nie bdzie pocigaa za sob skutkw finansowych, jednake od chwili wejcia Programu w ycie, poszczeglne jednostki bd szacoway koszty realizacji zada naoonych na nie niniejszym Programem w celu ujcia ich w planie nastpnego roku budetowego. Poszczeglne jednostki organizacyjne, oszacowane przez siebie koszty realizacji zada, przeka do Midzyresortowego Zespou Koordynujcego ds. Ochrony Cyberprzestrzeni RP celem przygotowania zbiorczego oszacowania kosztw realizacji RPOC.

Strona 30 z 33

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

7. Oc ena skutecznoci Programu

Mierniki skutecznoci mierz stopie osignicia zamierzonych celw i mog mie one zastosowanie na wszystkich szczeblach klasyfikacji zadaniowej. Przykad: Liczba zamknitych incydentw w stosunku do oglnej liczby sklasyfikowanych incydentw. Mierniki produktu odzwierciedlaj wykonanie danego zadania w krtkim okresie i pokazuj konkretne dobra oraz usugi wyprodukowane przez sektor publiczny. Mierniki produktu mierz stopie wykonania celw operacyjnych. Przykadowe mierniki produktu: liczba odpowiedzi na zgoszone przez obywateli incydenty, liczba obsuonych incydentw, liczba spotka Zespou. Mierniki rezultatu mierz efekty uzyskane w wyniku dziaa objtych zadaniem lub podzadaniem, realizowanych za pomoc odpowiednich wydatkw, na poziomie zadania/podzadania/dziaania. Mierz zatem skutki podejmowanych dziaa. Mierniki rezultatu mierz bezporednie skutki podejmowanych dziaa w krtkiej lub redniej perspektywie czasowej. Przykadowe mierniki rezultatu: skrcenie czasu obsugi incydentu, redni czas odpowiedzi na incydent.

Mierniki oddziaywania mierz dugofalowe konsekwencje realizacji zadania. Mog one mierzy bezporednie skutki wdraania zadania, ale ktre ujawniaj si po duszym okresie czasu. Mierniki oddziaywania odnosz si czasem do wartoci, ktre tylko w czci s efektem realizacji zadania (na efekty wpywaj take inne, zewntrzne czynniki). Przykadowe mierniki oddziaywania: zwikszenie poczucia bezpieczestwa w sieci Internet w Polsce (badania CBOS).

Szczegy powysze zostay zawarte w zaczniku nr 26 Ocena skutecznoci Programu w zakresie dziaa organizacyjno-prawnych, technicznych i edukacyjnych. 7.1. Przewidywane efekty Programu

Przewiduje si nastpujce dugofalowe efekty skutecznego wdroenia niniejszego Programu: wikszy poziom bezpieczestwa krytycznej infrastruktury teleinformatycznej pastwa oraz wikszy poziom odpornoci pastwa na ataki cyberterrorystyczne,

Strona 31 z 33

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

spjn dla wszystkich zaangaowanych podmiotw administracji publicznej i innych wspstanowicych krytyczn infrastruktur teleinformatyczn pastwa polityk dotyczca bezpieczestwa cyberprzestrzeni, mniejsz skuteczno atakw cyberterrorystycznych i mniejsze koszty usuwania nastpstw atakw cyberterrorystycznych, funkcjonujcy skuteczny system koordynacji i wymiany informacji pomidzy publicznymi i prywatnymi podmiotami odpowiedzialnymi za zapewnianie bezpieczestwa cyberprzestrzeni oraz wadajcymi zasobami stanowicymi krytyczn infrastruktur teleinformatyczn pastwa, wiksz kompetencj odnonie bezpieczestwa cyberprzestrzeni podmiotw zaangaowanych w ochron krytycznej infrastruktury teleinformatycznej pastwa, wiksze zaufanie obywateli do waciwego zabezpieczenia usug pastwa wiadczonych drog elektroniczn, upowszechnienie elektronicznej drogi korzystania z tych usug, wiksz wiadomo obywateli, co do metod bezpiecznego uytkowania systemw dostpnych elektronicznie i sieci teleinformatycznych. 7.2. Metody oceny skutecznoci podjtych dziaa

Stopie realizacji przedsiwzi zwizanych z realizacj celu strategicznego oraz celw szczegowych Programu oceniany bdzie przez nastpujce kryteria: W1 stopie nasycenia wszystkich jednostek organizacyjnych, objtych ochron w systemy ochrony i wczesnego ostrzegania w stosunku do liczby urzdw administracji publicznej; W2 poziom integracji: sposb i tryb wymiany informacji midzy zespoami z zapewnieniem poufnoci, integralnoci i dostpnoci, moliwo i zakres osigania wsplnego, dynamicznego zobrazowania cyberprzestrzeni objtej ochron; W3 stopie standaryzacji stopie wdroenia norm, kategorii incydentw i procedur; W4 stopie wyposaenia systemw i sieci w kompleksowe oprogramowanie antywirusowe, firewalle, antyspamowe w stosunku do wymaganych objciem tak ochron (szacowanie zasobw). Stopie realizacji, o ktrym mowa powyej zostanie oceniamy w procentach, przy czym za 100% rozumie si realizacj wszystkich zada wskazanych w RPOC. W cigu 6 miesicy od wejcia Programu w ycie, kada zaangaowana jednostka, o ktrej mowa w pkt. 1.4 ust. 1 Programu, oszacuje (w %) w jakim stopniu s ju zrealizowane zaoenia przedmiotowego Programu. 7.3. Skuteczno dziaa

Miar skutecznoci podjtych w ramach Programu dziaa, bdzie ocena stworzonych regulacji, instytucji i relacji, ktre umoliwi rzeczywiste zaistnienie skutecznego systemu ochrony cyberprzestrzeni. Jedn z podstawowych metod wpywania na skuteczno zaoonych dziaa wykonywanych przez wiele instytucji jest precyzyjne ustalenie zakresu zada kadego
Strona 32 z 33

RZDOWY PROGRAM W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP na LATA 2011-2016

z podmiotw oraz, co powinno by z tym tosame, odpowiedzialnoci za realizacj poszczeglnych zada.

precyzyjne

ustalenie

7.4.

Raportowanie o postpach

Raporty przesyane bd przez jednostki wyszczeglnione w pkt. 1.4 oraz jednostki przewodnie danego podprogramu do Ministra Spraw Wewntrznych i Administracji (zgodnie z zapisami pkt. 1.6). Przez jednostk przewodni, rozumie si jednostk wyszczeglnion w pkt. 10 w kadym z zacznikw do Programu Podmiot odpowiedzialny za monitoring. 7.5. Sprawozdawczo

Kada zaangaowana instytucja, (o ktrej mowa w pkt. 2.3) przeprowadza ocen zagroenia w odniesieniu do wyznaczonych podsektorw w cigu roku od daty zgoszenia (wyznaczenia) danego podsektora do Teleinformatycznej Infrastruktury Krytycznej. Kada zaangaowana instytucja, raz w roku, do koca pierwszego kwartau przekazuje MSWiA podsumowujce sprawozdanie za poprzedni rok, zawierajce oglne dane dotyczce rodzajw ryzyka, zagroe i sabych punktw oraz ogniw stwierdzonych w kadym z sektorw. MSWiA opracuje wzr sprawozda we wsppracy z zaangaowanymi instytucjami oraz okreli tryb, zasady i terminy ich skadania. Kade sprawozdanie moe zosta opatrzone klauzul tajnoci na poziomie uznanym za odpowiedni przez zaangaowan instytucj. Na podstawie sprawozda, o ktrych mowa powyej, MSWiA i zaangaowane instytucje oceniaj, czy naley na poziomie wsppracy rozway dalsze rodki ochrony. Dziaania te podejmowane s w poczeniu z przegldem niniejszego Programu.

Strona 33 z 33