POLITYKA OCHRONY

CYBERPRZESTRZENI
RZECZYPOSPOLITEJ POLSKIEJ

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

RZECZPOSPOLITA POLSKA
Ministerstwo Administracji i Cyfryzacji,
Agencja Bezpieczestwa Wewntrznego

POLITYKA OCHRONY
CYBERPRZESTRZENI
RZECZYPOSPOLITEJ POLSKIEJ

WARSZAWA
25 czerwca 2013 r.

SPIS TRECI:
1.
1.1.
1.2.
1.3.
1.4.
1.5.
1.6.

GWNE PRZESANKI I ZAOENIA POLITYKI OCHRONY CYBERPRZESTRZENI RP....................................4

DEFINICJE.............................................................................................................................................................................5
CEL STRATEGICZNY.............................................................................................................................................................6
CELE SZCZEGOWE...........................................................................................................................................................6
ADRESACI I ZAKRES ODDZIAYWANIA..............................................................................................................................7
USTANOWIENIE ODPOWIEDZIALNOCI ZA BEZPIECZESTWO CRP..............................................................................8
ZGODNO POLITYKI Z AKTAMI PRAWNYMI...................................................................................................................8

2.

UWARUNKOWANIA I PROBLEMY OBSZARU CYBERPRZESTRZENI...................................................................9

3. GWNE KIERUNKI DZIAA........................................................................................................................11

3.1 SZACOWANIE RYZYKA...................................................................................................................................................... 11
3.2 BEZPIECZESTWO PORTALI ADMINISTRACJI RZDOWEJ............................................................................................ 11
3.3 ZAOENIA DZIAA LEGISLACYJNYCH........................................................................................................................ 12
3.4 ZAOENIA DZIAA PROCEDURALNO-ORGANIZACYJNYCH..................................................................................... 12
3.4.1 Zarzdzanie bezpieczestwem cyberprzestrzeni RP...................................................................................... 12
3.4.2 System zarzdzania bezpieczestwem w jednostce organizacyjnej....................................................... 13
3.4.3 Rola penomocnikw ds. bezpieczestwa cyberprzestrzeni....................................................................... 13
3.5 ZAOENIA DOTYCZCE KSZTACENIA, SZKOLE I UWIADAMIANIA W DZIEDZINIE BEZPIECZESTWA ......... 13
3.5.1 Szkolenia penomocnikw ds. bezpieczestwa cyberprzestrzeni............................................................. 14
3.5.2 Wprowadzenie tematyki bezpieczestwa teleinformatycznego jako staego element ksztacenia
na uczelniach wyszych........................................................................................................................................... 14
3.5.3 Ksztacenie kadry urzdniczej w administracji rzdowej......................................................................... 14
3.5.4 Kampania spoeczna o charakterze edukacyjno - prewencyjnym............................................................ 14
3.6 ZAOENIA DZIAA TECHNICZNYCH.......................................................................................................................... 16
3.6.1 Programy badawcze.................................................................................................................................................... 16
3.6.2 Rozbudowa zespow reagowania na incydenty bezpieczestwa teleinformatycznego w
administracji rzdowej............................................................................................................................................ 16
3.6.3 Rozbudowa systemu wczesnego ostrzegania oraz wdraanie i utrzymanie rozwiza
prewencyjnych ............................................................................................................................................................. 16
3.6.4 Testowanie poziomu zabezpiecze i cigo dziaania.............................................................................. 17
3.6.5 Rozwj zespow bezpieczestwa.......................................................................................................................... 17
4. WDROENIE I MECHANIZMY REALIZACJI ZAPISW DOKUMENTU..............................................................18
4.1 NADZR I KOORDYNACJA WDROENIA......................................................................................................................... 18
4.2 KRAJOWY SYSTEM REAGOWANIA NA INCYDENTY KOMPUTEROWE W CRP............................................................... 18
4.3 MECHANIZM WYMIANY INFORMACJI............................................................................................................................. 18
4.4 SPOSOBY I FORMY WSPPRACY.................................................................................................................................... 19
4.5 WSPPRACA Z PRZEDSIBIORCAMI............................................................................................................................. 19
4.5.1 Wsppraca z producentami urzdze i systemw teleinformatycznych........................................... 19
4.5.2 Wsppraca z przedsibiorcami telekomunikacyjnymi................................................................................ 20
4.6 WSPPRACA MIDZYNARODOWA................................................................................................................................. 20
5.

FINANSOWANIE...............................................................................................................................................21

6.
6.1
6.2
6.3
6.4

OCENA SKUTECZNOCI POLITYKI.................................................................................................................22

PRZEWIDYWANE EFEKTY POLITYKI............................................................................................................................... 23
SKUTECZNO DZIAA.................................................................................................................................................. 24
MONITOROWANIE EFEKTYWNOCI DZIAA W RAMACH PRZYJTEJ POLITYKI..................................................... 24
KONSEKWENCJE NARUSZENIA ZAPISW POLITYKI...................................................................................................... 24

Niniejszy dokument zosta opracowany w Ministerstwie Administracji i Cyfryzacji we

wsppracy z Agencj Bezpieczestwa Wewntrznego w oparciu o:
omwiony 9 marca 2009 r. przez Komitet Stay Rady Ministrw dokument
Rzdowy program ochrony cyberprzestrzeni RP na lata 2009-2011 zaoenia,
okresowe raporty o stanie bezpieczestwa obszaru gov.pl, publikowane przez
Rzdowy Zesp Reagowania na Incydenty Komputerowe CERT.GOV.PL,
decyzj Przewodniczcego Komitetu Rady Ministrw do spraw Cyfryzacji
nr 1/2012 z dnia 24 stycznia 2012r. w przedmiocie powoania Zespou zadaniowego
do spraw ochrony portali rzdowych.

Ministerstwo Administracji i Cyfryzacji, Agencja Bezpieczestwa Wewntrznego

Page 3 of 24

1. Gwne przesanki i zaoenia Polityki Ochrony

Cyberpzrestrzeni RP
W obliczu globalizacji bezpieczestwo cyberprzestrzeni stao si jednym
zpodstawowych celw strategicznych w obszarze bezpieczestwa kadego pastwa.
W czasie, gdy panuje swoboda przepywu osb, towarw, informacji i kapitau bezpieczestwo demokratycznego pastwa zaley od wypracowania mechanizmw
pozwalajcych skutecznie zapobiega i zwalcza zagroenia dla bezpieczestwa
cyberprzestrzeni.
Z uwagi na wzrost zagroe dla systemw teleinformatycznych, od ktrych
cakowita separacja jest niemoliwa, a take fakt rozproszonej odpowiedzialnoci
za bezpieczestwo teleinformatyczne, jest niezbdne skoordynowanie dziaa, ktre
umoliwi szybkie iefektywne reagowanie na ataki wymierzone przeciwko systemom
teleinformatycznym ioferowanym przez nie usugom.
Systemy teleinformatyczne eksploatowane przez administracj rzdow, organy
wadzy ustawodawczej, wadz sdownicz, samorzd terytorialny, a take systemy
strategiczne z punktu widzenia bezpieczestwa Pastwa jak rwnie przedsibiorcy
oraz osoby fizyczne s objte niniejsz Polityk Ochrony Cyberprzestrzeni
Rzeczpospolitej Polskiej, zwan dalej Polityk.
Niniejsz Polityk Rzd Rzeczypospolitej Polskiej przyjmuje, e poprzez swoich
przedstawicieli bierze czynny udzia w zapewnieniu bezpieczestwa zasobw
informacyjnych Pastwa, jego obywateli oraz realizuje swoje konstytucyjne obowizki.
W ramach Polityki przyjmuje si wparcie dla inicjatyw spoecznych majcych
na celu realizacj zada zbienych z niniejszym dokumentem.
Rzd Rzeczypospolitej Polskiej, przy wypenianiu obowizkw konstytucyjnych
realizowanych za pomoc cyberprzestrzeni, konsultuje si ze zorganizowanymi
grupami spoeczestwa, a w szczeglnoci z przedstawicielami przedsibiorcw
telekomunikacyjnych oraz dostawcw wiadczcych usugi drog elektroniczn, celem
uzgodnienia akceptowalnego poziomu bezpieczestwa realizacji przedmiotowych
obowizkw.
Przyjmujc status Polityki dla przedmiotowego dokumentu naley wskaza,
e w ramach obowizujcego systemu rzdowych dokumentw strategicznych
Polityka mieci si w grupie dokumentw strategicznych doprecyzowujcych kierunki
dziaa wskazanych w strategiach, programach rozwoju i innych dokumentach
programowych, ktre nie wskazuj nowych priorytetw i dziaa. Okrelaj one
wizj rozwoju danego sektora oraz sposoby jej realizacji opierajc si na zapisach
odpowiednich dokumentw.
Polityka nie obejmuje swoim obszarem zadaniowym niejawnych systemw
teleinformatycznych. Naley podkreli, e obszar ochrony informacji niejawnych
posiada wasne regulacje prawne i stosowne mechanizmy ochronne. Posiada
struktury organizacyjne dedykowane do ochrony informacji niejawnych
Page 4 of 24

Ministerstwo Administracji i Cyfryzacji, Agencja Bezpieczestwa Wewntrznego

wytwarzanych, przetwarzanych oraz przechowywanych w wydzielonych systemach

teleinformatycznych. Podstawowym aktem prawnym jest ustawa z dnia 5 sierpnia
2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228).

1.1.Definicje
Uyte w niniejszym dokumencie okrelenia, skrty oznaczaj:
Abuse - zwyczajowa nazwa dziau bezpieczestwa u dostawcy usug internetowych,
ktry zarzdza procesem reakcji na incydenty komputerowe i rozpatrywaniem skarg
dotyczcych naduy,
bezpieczestwo cyberprzestrzeni - zesp przedsiwzi organizacyjno-prawnych,
technicznych, fizycznych i edukacyjnych majcy na celu zapewnienie niezakconego
funkcjonowania cyberprzestrzeni,
CERT (ang. Computer Emergency Response Team), CSIRT (ang. Computer
Security Incydent Response Team) - zesp powoany do reakcji na zdarzenia
naruszajce bezpieczestwo w sieci Internet,
cyberatak - celowe zakcenie prawidowego funkcjonowania cyberprzestrzeni,
cyberprzestpstwo - czyn zabroniony popeniony w obszarze cyberprzestrzeni,
cyberprzestrze - przestrze przetwarzania i wymiany informacji tworzona przez
systemy teleinformatyczne, okrelone w art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r.
o informatyzacji dziaalnoci podmiotw realizujcych zadania publiczne (Dz. U.
Nr 64, poz. 565, z pn. zm.) wraz z powizaniami pomidzy nimi oraz relacjami
z uytkownikami; zgodnie z art. 2 ust. 1b ustawy z dnia 29 sierpnia 2002 r. o stanie
wojennym oraz o kompetencjach Naczelnego Dowdcy Si Zbrojnych i zasadach jego
podlegoci konstytucyjnym organom Rzeczypospolitej Polskiej (Dz. U. Nr 156, poz.
1301, z pn. zm.), art.2ust.1a ustawy z dnia 21 czerwca 2002 r. o stanie wyjtkowym
(Dz. U. Nr 113, poz.985, z pn. zm.) oraz art. 3 ust. 1 pkt 4 ustawy z dnia 18 kwietnia
2002 r. ostanie klski ywioowej (Dz. U. Nr 62, poz. 558, z pn. zm.),
cyberprzestrze RP (dalej, jako CRP) - cyberprzestrze w obrbie terytorium pastwa
polskiego i poza jego terytorium, w miejscach gdzie funkcjonuj przedstawiciele RP
(placwki dyplomatyczne, kontyngenty wojskowe),
cyberterroryzm - przestpstwo o charakterze terrorystycznym popenione
wcyberprzestrzeni,
incydent zwizany z bezpieczestwem informacji - pojedyncze zdarzenie lub
seria niepodanych zdarze zwizanych z bezpieczestwem informacji, ktre
stwarzaj znaczne prawdopodobiestwo zakcenia dziaa biznesowych izagraaj
bezpieczestwu informacji - (wg norm serii PN-ISO/IEC 27000),
jednostka organizacyjna - jednostka organizacyjna w rozumieniu ustawy z dnia
23kwietnia 1964 r. - Kodeks cywilny (Dz. U. Nr 16, poz. 93, z pn. zm.),
PBC - penomocnik ds. bezpieczestwa cyberprzestrzeni w jednostkach
organizacyjnych administracji publicznej,
Ministerstwo Administracji i Cyfryzacji, Agencja Bezpieczestwa Wewntrznego

Page 5 of 24

przedsibiorca - przedsibiorca w rozumieniu art. 4 ustawy z dnia 2 lipca 2004 r.

o swobodzie dziaalnoci gospodarczej (Dz. U. z 2010 r. Nr 220, poz. 1447, z pn. zm.)
lub kada inna jednostka organizacyjna, niezalenie od formy wasnoci,
szacowanie ryzyka - rozumie si przez to cznie analiz ryzyka, na ktr skadaj
si: identyfikacja ryzyka oraz okrelenie wielkoci ryzyk,a take proces oceny ryzyka,
uytkownik cyberprzestrzeni - kada jednostka organizacyjna, urzd obsugujcy
organ administracji publicznej, przedsibiorca oraz osoba fizyczna, ktry korzysta
z zasobw cyberprzestrzeni.

1.2. Cel strategiczny

Celem strategicznym Polityki jest osignicie akceptowalnego poziomu
bezpieczestwa cyberprzestrzeni Pastwa.
Osignicie celu strategicznego jest realizowane poprzez stworzenie ram
organizacyjno-prawnych oraz systemu skutecznej koordynacji i wymiany informacji
pomidzy uytkownikami CRP.
Dziaania podejmowane w celu realizacji celu strategicznego s wynikiem
oszacowa ryzyka prowadzonych przez uprawnione podmioty, w odniesieniu
do zagroe wystpujcych w cyberprzestrzeni.
Jednoczenie Polityka jest zgodna z celami zawartymi w:
1)
2)
3)
4)
5)
6)

Europejskiej Agendzie Cyfrowej Rady Europejskiej [KOM(2010)245];

Strategii Rozwoju Spoeczestwa Informacyjnego;
Strategii Bezpieczestwa Narodowego;
redniookresowej Strategii Rozwoju Kraju;
Strategii Europa 2020;
Strategii Sprawne Pastwo.

1.3. Cele szczegowe

1) Zwikszenie poziomu bezpieczestwa infrastruktury teleinformatycznej
Pastwa.
2) Zwikszenie zdolnoci do zapobiegania i zwalczania zagroe ze strony
cyberprzestrzeni.
3)
Zmniejszenie skutkw incydentw godzcych w bezpieczestwo
teleinformatyczne.
4) Okrelenie kompetencji podmiotw odpowiedzialnych za bezpieczestwo
cyberprzestrzeni.
5) Stworzenie i realizacja spjnego dla wszystkich podmiotw administracji
rzdowej systemu zarzdzania bezpieczestwem cyberprzestrzeni oraz
ustanowienie wytycznych w tym zakresie dla podmiotw niepublicznych.
6) Stworzenie trwaego systemu koordynacji i wymiany informacji pomidzy
podmiotami odpowiedzialnymi za bezpieczestwo cyberprzestrzeni oraz
uytkownikami cyberprzestrzeni.
Page 6 of 24

Ministerstwo Administracji i Cyfryzacji, Agencja Bezpieczestwa Wewntrznego

7) Zwikszenie wiadomoci uytkownikw cyberprzestrzeni w zakresie metod

i rodkw bezpieczestwa w cyberprzestrzeni.
Cele Polityki s realizowane przez:
a) system koordynacji przeciwdziaania i reagowania na zagroenia i ataki na
cyberprzestrze, w tym ataki o charakterze terrorystycznym;
b) powszechne wdroenie wrd jednostek administracji rzdowej, a take
podmiotw niepublicznych mechanizmw sucych zapobieganiu
i wczesnemu wykrywaniu zagroe dla bezpieczestwa cyberprzestrzeni oraz
waciwemu postpowaniu w przypadku stwierdzonych incydentw;
c) powszechn oraz specjalistyczn edukacj spoeczn w zakresie bezpieczestwa CRP.

1.4. Adresaci i zakres oddziaywania

Adresatami Polityki s wszyscy uytkownicy cyberprzestrzeni w obrbie Pastwa
i poza jego terytorium, w miejscach gdzie funkcjonuj przedstawiciele RP (placwki
dyplomatyczne, kontyngenty wojskowe).
Niniejsza Polityka obowizuje administracj rzdow:
1) urzdy obsugujce naczelne organy administracji rzdowej: Prezesa Rady
Ministrw, Rad Ministrw, ministrw i przewodniczcych okrelonych
w ustawach komitetw;
2) urzdy obsugujce centralne organy administracji rzdowej: organy inne
ni w/wym, tj. organy podporzdkowane Prezesowi Rady Ministrw, bd
poszczeglnym ministrom;
3) urzdy obsugujce terenowe organy administracji rzdowej: wojewodw,
organy administracji zespolonej i niezespolonej;
4) Rzdowe Centrum Bezpieczestwa.
Jednoczenie Polityka jest rekomendowana dla administracji samorzdowej
szczebla gminnego, powiatowego i wojewdzkiego oraz innych urzdw (jednostki
nie nalece do administracji rzdowej i samorzdowej), w tym:
a) Kancelarii Prezydenta Rzeczypospolitej Polskiej;
b) Kancelarii Sejmu Rzeczypospolitej Polskiej;
c) Kancelarii Senatu Rzeczypospolitej Polskiej;
d) Biura Krajowej Rady Radiofonii i Telewizji;
e) Biura Rzecznika Praw Obywatelskich;
f) Biura Rzecznika Praw Dziecka;
g) Biura Krajowej Rady Sdownictwa;
h) urzdw organw kontroli pastwowej i ochrony prawa;
i) Narodowego Banku Polskiego;
j) urzdu Komisji Nadzoru Finansowego;
k) pastwowych osb prawnych i innych ni wymienione wyej pastwowe
jednostki organizacyjne.
Polityka stanowi jednoczenie wskazwk do dziaa dla wszystkich innych
uytkownikw cyberprzestrzeni, ktrzy nie zostali wymienieni powyej.
Ministerstwo Administracji i Cyfryzacji, Agencja Bezpieczestwa Wewntrznego

Page 7 of 24

1.5. Ustanowienie odpowiedzialnoci za bezpieczestwo CRP

Ze wzgldu na midzyinstytucjonalny charakter Polityki podmiotem koordynujcym
realizacj Polityki, wimieniu Rady Ministrw, jest minister waciwy ds. informatyzacji,
ktry przy pomocy Zespou, o ktrym mowa w pkt 3.4.1, zapewnia koordynacj
i spjno dziaa podejmowanych w celu zapewnienia bezpieczestwa CRP.
W zakresie realizacji zada zwizanych z bezpieczestwem CRP Rzdowy Zesp
Reagowania na Incydenty Komputerowe CERT.GOV.PL. peni rol gwnego zespou
CERT w obszarze administracji rzdowej i obszarze cywilnym. Podstawowym zadaniem
jest zapewnianie i rozwijanie zdolnoci jednostek organizacyjnych administracji
publicznej Rzeczypospolitej Polskiej do ochrony przed cyberzagroeniami,
ze szczeglnym uwzgldnieniem atakw ukierunkowanych na infrastruktur
obejmujc systemy i sieci teleinformatyczne, ktrych zniszczenie lub zakcenie
moe stanowi zagroenie dla ycia, zdrowia ludzi, dziedzictwa narodowego oraz
rodowiska w znacznych rozmiarach, albo spowodowa powane straty materialne,
a take zakci funkcjonowanie pastwa.
Analogicznie, w obszarze militarnym, rol tak peni Resortowe Centrum
Zarzdzania Bezpieczestwem Sieci i Usug Teleinformatycznych
Dla sukcesu Polityki niezbdny jest aktywny udzia uytkownikw CRP
w dziaaniach majcych na celu podniesienie poziomu jej bezpieczestwa.
Wane jest take zwikszenie udziau uytkownikw CRP w realizacji Polityki
przez konsultowanie jej zawartoci oraz udzia w koordynacji realizacji Polityki i jej
przegldw z przedstawicielami spoeczestwa i spoecznoci teleinformatycznej.
Powszechne stosowanie przez uytkownikw CRP rozwiza majcych
na celu podniesienie jej bezpieczestwa bdzie wyrazem akceptacji dla dziaa
podejmowanych przez Rzd RP w tym obszarze

1.6. Zgodno Polityki z aktami prawnymi

Polityka jest zgodna z powszechnie obowizujcym prawem Rzeczypospolitej
Polskiej (Konstytucja, ustawy, ratyfikowane umowy midzynarodowe oraz
rozporzdzenia) i nie narusza postanowie adnego z nich.

Page 8 of 24

Ministerstwo Administracji i Cyfryzacji, Agencja Bezpieczestwa Wewntrznego

2. Uwarunkowania i problemy obszaru cyberprzestrzeni

Funkcjonowanie Pastwa i realizacja przez nie obowizkw konstytucyjnych
w coraz wikszym stopniu uzalenione jest od rozwoju nowoczesnych technologii,
spoeczestwa informacyjnego oraz niezakconego funkcjonowania cyberprzestrzeni.
Obecnie bezpieczne funkcjonowanie cyberprzestrzeni w duej mierze zalene jest
od bezpieczestwa infrastruktury teleinformatycznej umoliwiajcej korzystanie
z cyberprzestrzeni, zgromadzonych w niej zasobw informacyjnych i usug, ktre
dziki niej funkcjonuj. Infrastruktura funkcjonujca w CRP umoliwia wywizanie
si Pastwa z konstytucyjnych obowizkw wzgldem obywateli, zapewnia cigo
i efektywno dziaania administracji rzdowej oraz niezakcony i efektywny rozwj
gospodarki Rzeczypospolitej Polskiej.
Rzd RP widzi konieczno prowadzenia dziaa majcych na celu zapewnienie
bezpieczestwa infrastruktury teleinformatycznej Pastwa, tj. zapewnienie
poprawnoci i cigoci funkcjonowania systemw teleinformatycznych, obiektw
i instalacji wykorzystywanych do realizacji konstytucyjnych zada Pastwa wzgldem
obywateli oraz jego bezpieczestwa wewntrznego. W tym celu jest niezbdne
wyznaczenie minimalnego standardu bezpieczestwa, ktry pozwoli na realizacj
tego celu oraz pozwoli ograniczy do minimum ewentualne szkody, jakie moe nie
za sob atak na poszczeglne elementy cyberprzestrzeni RP. Polityka stanowi podstaw
wypracowania koncepcji zarzdzania bezpieczestwem infrastruktury funkcjonujcej
w ramach CRP oraz wypracowania wytycznych do opracowania podstawy prawnej
sucej wykonywaniu zada w tym zakresie przez administracj rzdow. Zasady
zapewnienia bezpieczestwa cyberprzestrzeni wypracowane w ramach wsppracy,
o ktrej mowa w pkt 4.4, w zakresie infrastruktury CRP s rekomendowane rwnie
przedsibiorcom.
Dziaania dotyczce bezpieczestwa infrastruktury teleinformatycznej bd
komplementarne w stosunku do dziaa majcych na celu ochron infrastruktury
krytycznej Pastwa. Polityka w tym zakresie nie narusza postanowie zawartych
w Narodowym Programie Ochrony Infrastruktury Krytycznej.
Polityka wskazuje konieczno wypracowania koncepcji zapewnienia bezpieczestwa
infrastruktury funkcjonujcej w ramach CRP oraz przygotowania podstaw prawnych
do wykonywania zada w tym zakresie przez administracj rzdow. Infrastruktura
teleinformatyczna CRP musi by chroniona przed atakami z cyberprzestrzeni,
zniszczeniem, uszkodzeniem i dostpem osb nieuprawnionych.
W ramach dziaa zwizanych z realizacj Polityki jest prowadzone szacowanie ryzyka
z uwzgldnieniem identyfikacji zasobw, podsystemw, funkcji i zalenoci od innych
systemw istotnych z punktu widzenia funkcjonowania CRP. Jednoczenie wdroenie
Polityki pozwoli na opracowanie docelowych wytycznych do realizacji szacowa ryzyka
oraz szablonw sprawozda zawierajcych oglne dane dotyczce rodzajw ryzyka,
zagroe oraz sabych punktw stwierdzonych w kadym z sektorw gospodarki RP w
odniesieniu do zada konstytucyjnych realizowanych w oparciu o CRP.
Ministerstwo Administracji i Cyfryzacji, Agencja Bezpieczestwa Wewntrznego

Page 9 of 24

Istnieje potrzeba wypracowania, na podstawie prowadzonej analizy ryzyka,

minimalnych standardw bezpieczestwa zgodnie z ktrymi bd zabezpieczane
zidentyfikowane zasoby i systemy, dziki ktrym s realizowane konstytucyjne
obowizki Pastwa.

Page 10 of 24

Ministerstwo Administracji i Cyfryzacji, Agencja Bezpieczestwa Wewntrznego

3. Gwne kierunki dziaa

Polityka bdzie realizowana poprzez ponisze dziaania, zgodnie z priorytetami
wynikajcymi z przedstawionej kolejnoci.

3.1. Szacowanie ryzyka

Szacowanie ryzyka zwizanego z funkcjonowaniem cyberprzestrzeni jest
kluczowym elementem procesu bezpieczestwa cyberprzestrzeni, determinujcym
i uzasadniajcym dziaania podejmowane w celu jego obnienia do akceptowalnego
poziomu.
W celu osignicia akceptowalnego poziomu bezpieczestwa, zakada si, i kada
jednostka administracji rzdowej, o ktrej mowa w pkt 1.4 (punkty 1-4), w terminie do 31
stycznia kadego roku przekae do ministra waciwego ds. informatyzacji sprawozdanie
podsumowujce wyniki szacowania ryzyka (wgwzorca opracowanego przez ministra
waciwego ds. informatyzacji). Sprawozdanie powinno zawiera oglne dane dotyczce
rodzajw ryzyka, zagroe i sabych punktw zdiagnozowanych w kadym z sektorw,
w ktrych poszczeglna instytucja dziaa i za ktre odpowiada. W sprawozdaniu winny
by przedstawione take informacje o sposobach postpowania zryzykiem.
Minister waciwy ds. informatyzacji we wsppracy z zaangaowanymi
instytucjami okreli jednolit metodyk przeprowadzania analiz ryzyka. Istnieje
konieczno, aby uywanie tej metodyki byo docelowo obligatoryjne dla instytucji
administracji rzdowej.
Zalecane jest, aby Rzdowy Zesp Reagowania na Incydenty Komputerowe CERT.
GOV.PL przedstawi ministrowi waciwemu ds. informatyzacji, w celu zunifikowanego
podejcia, opracowane katalogi zawierajce specyfikacj zagroe oraz moliwych
podatnoci godzcych w bezpieczestwo cyberprzestrzeni.

3.2. Bezpieczestwo portali administracji rzdowej

Gwnym miejscem wymiany informacji pomidzy jednostkami administracji
a obywatelem, w e-spoeczestwie, s strony internetowe. Winny one spenia
podstawowe wymagania bezpieczestwa, to jest zapewnia odpowiedni dostpno,
integralno oraz poufno danych. Kada jednostka organizacyjna powinna
samodzielnie oszacowa ryzyko (o ktrym mowa w pkt. 3.1) dla swoich portali.
Zakada si, i na tej podstawie zostan zaimplementowane odpowiednie (w zalenoci
od typu portalu i wynikw szacowania ryzyka) rozwizania organizacyjno-techniczne
pozwalajce na zapewnienie odpowiedniego poziomu bezpieczestwa. Ze wzgldu na
rne typy stron i rne ich priorytety, rozwizania te bd si rni od siebie.
Proponuje si, aby jednostki administracji rzdowej prowadzce portale
internetowe, poza spenieniem minimalnych wymogw, wdroyy rwnie
odpowiednie zalecenia oraz dobre praktyki z zakresu bezpieczestwa, ktre przygotuje
Zesp zadaniowy do spraw ochrony portali rzdowych we wsppracy z Rzdowym
Zespoem Reagowania na Incydenty Komputerowe CERT.GOV.PL.
Ministerstwo Administracji i Cyfryzacji, Agencja Bezpieczestwa Wewntrznego

Page 11 of 24

3.3. Zaoenia dziaa legislacyjnych

Podstawowym elementem realizacji Polityki, przewidzianym niezwocznie
do wykonania, s dziaania legislacyjne. Rada Ministrw, rozumiejc wysoki
priorytet tych dziaa, widzi potrzeb ich zainicjowania przez ministra waciwego
ds. informatyzacji, aby stworzy regulacje prawne, dajce podstawy do podejmowania
dalszych dziaa w ramach wdroenia zapisw Polityki. Konieczny jest przegld
obecnie obowizujcych regulacji prawnych majcych na wzgldzie przygotowanie
rozwiza w celu zwikszenia poczucia bezpieczestwa nie tylko instytucji rzdowych
ale wszystkich uytkownikw cyberprzestrzeni.

3.4. Zaoenia dziaa proceduralno-organizacyjnych

Wanym etapem realizacji Polityki bd dziaania proceduralno-organizacyjne.
Ich celem jest optymalizacja funkcjonowania CRP poprzez wprowadzenie w ycie
najlepszych praktyk i standardw w tym zakresie. Na tym etapie konieczne jest
wykorzystanie zarwno narzdzi prawnych stworzonych w pierwszym etapie, jak
i mechanizm mikkich1 regulacji. Wykonanie tego etapu nastpi dziki uruchomieniu
oddzielnych projektw szczegowych.

3.4.1. Zarzdzanie bezpieczestwem cyberprzestrzeni RP

W ramach zarzdzania bezpieczestwem cyberprzestrzeni RP, a take w celu

usprawnienia procesu realizacji celw Polityki oraz zapewnienia skutecznoci dziaa
organw wadzy pastwowej w zakresie bezpieczestwa CRP jest niezbdne powoanie
przez Prezesa Rady Ministrw zespou odpowiedzialnego za przygotowywanie
rekomendacji z zakresu wykonania czy koordynacji wszelkich dziaa zwizanych
z jej bezpieczestwem (zwanego dalej Zespoem).
Zesp moe zosta zorganizowany z wykorzystaniem potencjau istniejcego
Zespou zadaniowego do spraw ochrony portali rzdowych, powoanego przez
Przewodniczcego Komitetu Rady Ministrw do spraw Cyfryzacji decyzj nr 1/2012
z dnia 24 stycznia 2012 r.
Zaleca si, aby Zesp, w terminie 30 dni od dnia powoania, przygotowa
i przedstawi plan dziaa w zakresie zapewnienia bezpieczestwa cyberprzestrzeni RP.
Podstawowym zadaniem Zespou powinno by rekomendowanie dziaa
majcych na celu koordynowanie dziaa instytucji realizujcych zadania naoone
przez Polityk, organizacja cyklicznych spotka, rekomendowanie proponowanych
rozwiza z zakresu bezpieczestwa CRP.
Zakada si, e w zakresie realizacji zada zwizanych z bezpieczestwem CRP
w obszarze administracji rzdowej i obszarze cywilnym, rol gwnego zespou
CERT peni Rzdowy Zesp Reagowania na Incydenty Komputerowe CERT.GOV.
PL. Analogicznie, w obszarze militarnym, rol tak peni Resortowe Centrum
Zarzdzania Bezpieczestwem Sieci i Usug Teleinformatycznych.
1

Jako mikk regulacj rozumie si np. kodeksy dobrych praktyk, wytyczne, zalecenia, kodeks etyczny, etykiet, dobre praktyki czy te normy
itp.

Page 12 of 24

Ministerstwo Administracji i Cyfryzacji, Agencja Bezpieczestwa Wewntrznego

3.4.2. System zarzdzania bezpieczestwem w jednostce organizacyjnej

W kadej jednostce organizacyjnej administracji rzdowej, w ramach zapewnienia

bezpieczestwa cyberprzestrzeni, kierownik jednostki powinien ustanowi system
zarzdzania bezpieczestwem informacji, w oparciu o obowizujce przepisy
i najlepsze praktyki.
Zakada si, e podmiot publiczny bdzie opracowywa i modyfikowa w zalenoci
od potrzeb, a take wdraa polityk bezpieczestwa dla systemw teleinformatycznych
uywanych przez niego do realizacji zada publicznych. Przy opracowywaniu polityki
bezpieczestwa podmiot publiczny uwzgldnia obowizki wynikajce z ustawy
z dnia 17 lutego 2005 r. o informatyzacji dziaalnoci podmiotw realizujcych zadania
publiczne (Dz. U. Nr, 64 poz. 565, z pn. zm.) dotyczce minimalnych wymaga dla
systemw teleinformatycznych w zakresie bezpieczestwa informacji.
W celu zapewnienia spjnoci polityk bezpieczestwa informacji jednostek
organizacyjnych, zakada si, e minister waciwy ds. informatyzacji w porozumieniu
z Ministrem Obrony Narodowej i Szefem Agencji Bezpieczestwa Wewntrznego
moe przygotowa wytyczne dotyczce systemw zarzdzania bezpieczestwem
informacji.

3.4.3. Rola penomocnikw ds. bezpieczestwa cyberprzestrzeni

W ramach jednostek organizacyjnych administracji rzdowej powinna zosta

okrelona rola penomocnika ds. bezpieczestwa cyberprzestrzeni (dalej jako PBC).
Zadania penomocnika w zakresie bezpieczestwa cyberprzestrzeni winny
obejmowa swoim zakresem przede wszystkim:
1) realizacj obowizkw wynikajcych z przepisw aktw prawnych waciwych
dla zapewnienia bezpieczestwa cyberprzestrzeni;
2) opracowanie i wdroenie procedur reagowania na incydenty komputerowe,
ktre bd obowizyway w organizacji;
3) identyfikowanie i prowadzenie cyklicznych analiz ryzyka;
4) przygotowanie planw awaryjnych oraz ich testowanie;
5) opracowanie procedur zapewniajcych informowanie waciwych zespow
CERT o:
a) wystpieniu incydentw komputerowych,
b) zmianie lokalizacji jednostki organizacyjnej, danych kontaktowych, itp.;
Polityka nie wskazuje miejsca usytuowania penomocnika ds. bezpieczestwa
cyberprzestrzeni w strukturze jednostki organizacyjnej, jednak rola penomocnika
powinna zosta przypisana osobie odpowiedzialnej za realizacj procesu
bezpieczestwa teleinformatycznego.

3.5. Zaoenia dotyczce ksztacenia, szkole i

uwiadamiania w dziedzinie bezpieczestwa
W ramach realizacji Polityki Rada Ministrw widzi potrzeb rozpoczcia prac
nad wdroeniem dziaa edukacyjnych. Zakada si, e dziaania z tego zakresu bd
prowadzone wrd obecnych oraz przyszych uytkownikw CRP. Maj one na celu
Ministerstwo Administracji i Cyfryzacji, Agencja Bezpieczestwa Wewntrznego

Page 13 of 24

wzmocnienie efektu dwch poprzednich dziaa, utrwalenie ich wrd uytkownikw,

a take stworzenie moliwoci przejcia do nastpnego etapu realizacji Polityki.

3.5.1. Szkolenia penomocnikw ds. bezpieczestwa cyberprzestrzeni

W celu podniesienia kwalifikacji istnieje konieczno opracowania systemu

szkole dla penomocnikw ds. bezpieczestwa cyberprzestrzeni. W projekcie
szkole szczeglny nacisk powinien by pooony na kwesti reagowania na incydenty
zwizane z bezpieczestwem cyberprzestrzeni.

3.5.2. Wprowadzenie tematyki bezpieczestwa teleinformatycznego jako

staego elementu ksztacenia na uczelniach wyszych.

Jednym z podstawowych aspektw zapewnienia bezpieczestwa CRP jest

posiadanie wysoko wykwalifikowanych kadr w sektorze publicznym i prywatnym
odpowiadajcych za utrzymanie systemw teleinformatycznych ze szczeglnym
uwzgldnieniem zasobw kluczowych dla bezpieczestwa pastwa. Aby zapewni
cigy dopyw odpowiednio wyszkolonych specjalistw z dziedziny bezpieczestwa
teleinformatycznego jest konieczne zaangaowanie szk wyszych w realizacj
zaoe Polityki. Zagadnienia zwizane z bezpieczestwem cyberprzestrzeni
powinny sta si staym elementem nauczania. W szczeglnoci dotyczy to uczelni
technicznych ksztaccych informatykw. Nie mona dopuszcza do sytuacji, w ktrej
projektanci, programici skupiaj si wycznie na funkcjonalnoci, zapominajc
o zasadach tworzenia bezpiecznego kodu, a administratorzy systemw za priorytet
uznaj dostpno zasobw uytkownikw zapominajc o koniecznoci ochrony
przetwarzanych informacji przed intruzami. W tym celu konieczne jest uwzgldnienie
tematyki bezpieczestwa teleinformatycznego wrd efektw ksztacenia okrelonych
w Krajowych Ramach Kwalifikacji dla Szkolnictwa Wyszego2.

3.5.3. Ksztacenie kadry urzdniczej w administracji rzdowej

Rada Ministrw widzi konieczno edukacji pracownikw administracji

rzdowej, majcej dostp oraz korzystajcej z CRP, w zakresie zagadnie dotyczcych
bezpieczestwa systemw teleinformatycznych - odpowiednio do zajmowanego
stanowiska i ryzyka z nim zwizanego.

3.5.4.Kampania spoeczna o charakterze edukacyjno - prewencyjnym

Powszechno korzystania przez obywateli z systemw doczonych do sieci Internet

oraz zwikszajce si znaczenie dostpnoci usug oferowanych przez cyberprzestrze,
wymuszaj konieczno podnoszenia wiadomoci odnonie bezpiecznych metod
korzystania z Internetu oraz uwraliwienia obywateli na pojawiajce si zagroenia.
wiadomo i wiedza na temat sposobw przeciwdziaania i zwalczania zagroe
stanowi kluczowe elementy walki z tymi zagroeniami. Jedynie odpowiedzialne
zachowanie odpowiednio wyedukowanego uytkownika moe skutecznie
minimalizowa ryzyko wynikajce z istniejcych zagroe. Naley podkreli, i we
wspczesnym wiecie zapewnienie bezpieczestwa teleinformatycznego w duej
mierze zaley od wiedzy i dziaa kadego uytkownika cyberprzestrzeni.
2

Rozporzdzenie Ministra Nauki i Szkolnictwa Wyszego z dnia 2 listopada 2011 r. w sprawie Krajowych Ram Kwalifikacji dla Szkolnictwa
Wyszego Dz.U. Nr 253 poz. 1520.

Page 14 of 24

Ministerstwo Administracji i Cyfryzacji, Agencja Bezpieczestwa Wewntrznego

Ze wzgldu na fakt, e przestpczoci w cyberprzestrzeni s zagroeni zarwno

osoby fizyczne, jak rwnie instytucje publiczne, przedsibiorcy, organizacje spoeczne,
to kampania bdzie miaa charakter wielowymiarowy i uwzgldnia bdzie konieczne
zrnicowanie form i treci przekazu w zalenoci od potrzeb jej adresatw. Zakada
si, e kampania spoeczna bdzie miaa charakter dugofalowy i powszechny.
Ze wzgldu na bezpieczestwo teleinformatyczne warunkujce realizacj zada
publicznych, adresatami akcji informacyjnych bd w szczeglnoci pracownicy
administracji rzdowej oraz podmioty, ktrych zasoby nale do infrastruktury
teleinformatycznej CRP.
Zakada si, e kampania edukacyjno-prewencyjna skierowana bdzie do ogu
spoeczestwa, a w szczeglnoci:
1) dzieci i modziey - jako grupy najbardziej podatnej na wpywy. Edukacja
powinna rozpocz si ju od najmodszych lat celem wytworzenia nawykw,
ktre uchroni modych ludzi przed zagroeniami czyhajcymi na nich
w sieci (np. przed zjawiskiem zwanym cyberbullying - przemocy w sieci,
zawieraniem niebezpiecznych znajomoci, niecenzuralnymi treciami,
piractwem, uzalenieniem od Internetu). Wiedz na temat zagroe
z cyberprzestrzeni dziecko powinno uzyskiwa przede wszystkim w szkole
na wszystkich poziomach edukacji (szkoa podstawowa, gimnazjum, szkoa
ponadgimnazjalna);
2) rodzicw - jako osoby odpowiedzialne za wychowanie kolejnych pokole.
To na rodzicach spoczywa odpowiedzialno za przygotowanie dzieci do
funkcjonowania w spoeczestwie, rwnie w spoeczestwie informacyjnym.
Celem skutecznego nadzoru nad dziaalnoci dziecka w Internecie rodzice
powinni zdoby odpowiedni wiedz na temat zagroe z cyberprzestrzeni
oraz metod ich eliminowania.
3) nauczycieli - od roku 2004 ksztacenie nauczycieli w ramach specjalizacji
odbywa si zgodnie z rozporzdzeniem. Ministra Edukacji Narodowej,
okrelajcym standardy ksztacenia nauczycieli3. W ramach zaj
obowizkowych na studiach wyszych nauczyciele uzyskuj podstawow
wiedz z zakresu technologii informacyjnej, w tym rwnie bezpiecznego
i wiadomego korzystania z systemw teleinformatycznych.
Kampania spoeczna adresowana do dzieci, modziey i ich rodzicw w duej
mierze powinna by realizowana w placwkach owiatowych wszystkich szczebli.
Kampania bdzie realizowana take za porednictwem rodkw masowego
przekazu. Media - jako istotny partner w promowaniu zagadnie bezpieczestwa, CRP
oraz popularyzacji przedsiwzi zawartych w Polityce - zwiksz skuteczno realizacji
zaoonych celw. Dziki ich pomocy w trakcie realizacji Polityki bdzie moliwe
przeprowadzenie rwnie akcji informacyjnych i kampanii edukacyjnych. W tym celu
zostan zaangaowane media oglnopolskie, regionalne oraz lokalne. Zaoeniem
jest, e w ramach kampanii spoecznej informacje dotyczce bezpieczestwa
teleinformatycznego oraz przedsiwzi edukacyjnych i organizacyjno-prawnych
rozporzdzenie Ministra Edukacji Narodowej i. Sportu z dnia 7 wrzenia 2004 r. w sprawie standardw ksztacenia nauczycieli (Dz. U. Nr
207 poz. 2110)
Page 15 of 24
Ministerstwo Administracji i Cyfryzacji, Agencja Bezpieczestwa Wewntrznego
3

podejmowanych w ramach Polityki bd prezentowane na stronach internetowych

Ministerstwa Administracji i Cyfryzacji oraz na stronie Rzdowego Zespou
Reagowania na Incydenty Komputerowe CERT.GOV.PL Jednoczenie zakada si
efektywne komunikowanie treci, inicjatyw i rezultatw prowadzenia Polityki wobec
szerokich krgw spoecznych i zawodowych.

3.6. Zaoenia dziaa technicznych

Na podstawie dziaa proceduralno-organizacyjnych (np. planu postpowania
z ryzykiem), ostatnim etapem realizacji Polityki powinny by dziaania techniczne. Ich
celem bdzie zmniejszenie ryzyka wystpienia zagroe z CRP. Wykonanie tego etapu
nastpi poprzez uruchomienie projektw szczegowych.

3.6.1.Programy badawcze

Niezwykle istotne dla skutecznej realizacji Polityki jest wspieranie inicjatyw

badawczych dotyczcych bezpieczestwa teleinformatycznego. Formua wsparcia
powinna zachci do wsplnego prowadzenia bada przez podmioty zajmujce si
bezpieczestwem teleinformatycznym ze sfery administracji publicznej, orodki
naukowe oraz przedsibiorcw telekomunikacyjnych i dostawcw wiadczcych
usugi drog elektroniczn.
Przyjmuje si, e podmiotem koordynujcym wdraanie zapisw Polityki w tym
zakresie bdzie Ministerstwo Nauki i Szkolnictwa Wyszego (MNiSW), jako waciwe
w sprawach bada naukowych i prac rozwojowych. Wykaz inicjatyw uwzgldniajcych
dynamik stanu wiedzy okrelony zostanie na poziomie projektw szczegowych,
opracowanych na podstawie Polityki i moe by uzupeniany z inicjatywy waciwych
podmiotw odpowiedzialnych za jego realizacj.

3.6.2. Rozbudowa zespow reagowania na incydenty bezpieczestwa

teleinformatycznego w administracji rzdowej

Aby byo moliwe skuteczne prowadzenie dziaa zwizanych z zapewnieniem

bezpieczestwem CRP, w tym reagowanie na incydenty bezpieczestwa
teleinformatycznego, jest konieczne zapewnienie odpowiedniego zaplecza technicznego
nie tylko umoliwiajcego realizacj biecych zada, ale rwnie uwzgldniajcego
wzrastajce zapotrzebowanie na specjalizowane systemy teleinformatyczne w przyszoci.
Wszystkie zespoy po unifikacji zakresw obowizkw oraz procedur reagowania,
jak rwnie okrelenia obszaru zadaniowego (ang. constituency), tworzyyby
krajowy system reagowania na incydenty komputerowe, ktry oprcz wspdziaania
obejmowaby rwnie wsplne konferencje, szkolenia i wiczenia.

3.6.3. Rozbudowa systemu wczesnego ostrzegania oraz wdraanie

i utrzymanie rozwiza prewencyjnych

Departament Bezpieczestwa Teleinformatycznego ABW wraz zZespoem CERT

Polska, dziaajcym w ramach Naukowej i Akademickiej Sieci Komputerowej (NASK),
wdroy system wczesnego ostrzegania przed zagroeniami z sieci Internet - ARAKISGOV. Rozbudowa systemu bdzie realizowana zgodnie z projektem szczegowym.
Page 16 of 24

Ministerstwo Administracji i Cyfryzacji, Agencja Bezpieczestwa Wewntrznego

Jednoczenie majc na uwadze postp zachodzcy w technologiach

teleinformatycznych i zwizan z nim tendencj pojawiania si coraz bardziej
wyrafinowanych zagroe, podczas wdraania Polityki zakada si podejmowanie
inicjatyw promujcych tworzenie coraz nowoczeniejszych rozwiza wspierajcych
bezpieczestwo teleinformatyczne.
Naley dy do stosowania jak najszerszego spektrum rnych rodzajw
systemw zabezpiecze w celu zapewnienia bezpieczestwa krytycznych zasobw
teleinformatycznych.

3.6.4.Testowanie poziomu zabezpiecze i cigo dziaania

W ramach testowania poziomu zabezpiecze i zapewnienia nieprzerwanej

realizacji procesw CRP, PBC winien organizowa i koordynowa okresowe testy
zarwno poziomu zabezpiecze technicznych, organizacyjnych jak i rozwiza
proceduralnych (np. procedur cigoci dziaania czy wsppracy ponad-resortowej).
Wyniki wicze bd suy ocenie aktualnej odpornoci cyberprzestrzeni na ataki,
natomiast wnioski stanowi bd podstaw do przygotowania zalece do dalszych
dziaa prewencyjnych.

3.6.5.Rozwj zespow bezpieczestwa

Zespoy typu CERT s centrami kompetencyjnymi sucymi pomoc merytoryczn

na etapie tworzenia waciwych struktur i procedur. Dodatkowo su rwnie
do rozwizywania problemw w trakcie ich eksploatacji w poszczeglnych jednostkach
organizacyjnych administracji rzdowej, czy te przedsibiorcw. Kada instytucja
wramach wasnych zasobw osobowych i posiadanych rodkw technicznych moe
ustanowi wasny, lokalny zesp reagowania na incydenty, ktrego dziaanie jest
koordynowane zgodnie z pkt. 4.2.
Ponadto, do zada Zespow Reagowania na Incydenty Komputerowe nalee
powinno utrzymywanie wewntrznych witryn informacyjnych. Witryny bd
stanowiy gwne rda informacji o bezpieczestwie teleinformatycznym dla osb
zajmujcych si bezpieczestwem teleinformatycznych w instytucjach administracji
rzdowej, a take innych osb zainteresowanych t tematyk.
W szczeglnoci witryny bd miejscem publikacji nastpujcych informacji:
1) aktualnoci zwizanych z bezpieczestwem teleinformatycznym;
2) informacji o potencjalnych ryzykach i zagroeniach;
3) biuletynw bezpieczestwa;
4) rnego rodzaju poradnikw, dobrych praktyk,
5) raportw oraz informacji na temat trendw i statystyk;
6) forum wymiany informacji oraz dowiadcze osb zaangaowanych
w dziaania zwizane z bezpieczestwem teleinformatycznym.
Witryny bd peni rol punktw zgaszania incydentw bezpieczestwa
teleinformatycznego. Witryna bdzie tak skonstruowana, by uytkownik bez wikszej
wiedzy z zakresu informatyki mg zgosi incydent lub znale informacj gdzie dane
zdarzenie mona zgosi.
Ministerstwo Administracji i Cyfryzacji, Agencja Bezpieczestwa Wewntrznego

Page 17 of 24

4. Wdroenie i mechanizmy realizacji zapisw dokumentu

Zakada si, e cele i zaoenia Polityki bd wdroone z uwzgldnieniem
szacowania ryzyka i realizowane wramach projektw szczegowych.

4.1. Nadzr i koordynacja wdroenia

Ze wzgldu na midzyinstytucjonalny charakter Polityki organem nadzorujcym
jego wdroenie jest Rada Ministrw. Podmiotem koordynujcym realizacj Polityki,
wimieniu Rady Ministrw, jest minister waciwy ds. informatyzacji.

4.2. Krajowy System Reagowania na Incydenty Komputerowe

w CRP
Rzd RP ustanawia trzypoziomowy Krajowy System Reagowania na Incydenty
Komputerowe w CRP:
1) Poziom I - poziom koordynacji - minister waciwy ds. informatyzacji;
2) Poziom II - reagowania na Incydenty komputerowe:
a) Rzdowy Zesp Reagowania na Incydenty Komputerowe CERT.
GOV.PL - realizujcy jednoczenie zadania gwnego narodowego
zespou odpowiadajcego za koordynacj procesu obsugi incydentw
komputerowych w obszarze CRP,
b) Resortowe Centrum Zarzdzania Bezpieczestwem Sieci i Usug
Teleinformatycznych realizujce zadania wsferze militarnej,
3) Poziom III - poziom realizacji - administratorzy odpowiadajcy za poszczeglne
systemy teleinformatyczne funkcjonujce w cyberprzestrzeni.
Ustanowiony system reagowania zapewnia wymian informacji pomidzy
zespoami administracji publicznej oraz zespoami CERT (CERT Polska, TP
CERT, PIONIERCERT), CSIRT, ABUSE, przedsibiorcami telekomunikacyjnymi
w rozumieniu ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne (Dz. U. Nr
171, poz. 1800, z pn. zm.) i usugodawcami wiadczcych usugi drog elektroniczn
w rozumieniu ustawy z dnia 18 lipca 2002 r. o wiadczeniu usug drog elektroniczn
(Dz. U. Nr 144, poz. 1204, z pn. zm.), zgodnie z obowizujcymi przepisami
prawa, a w szczeglnoci zgodnie z ustaw z dnia 29 sierpnia 1997 r. o ochronie
danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z pn. zm.) oraz ustaw z dnia
5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228).

4.3. Mechanizm wymiany informacji

Sprawny system koordynacji zapewni wymian informacji pozyskanych ze
wsppracy midzynarodowej, pomidzy zespoami rzdowymi, wojskowymi i
cywilnymi, zgodnie z obowizujcymi przepisami prawa, a w szczeglnoci zgodni
e z ustaw z dnia 29 sierpnia 1997 r. oochronie danych osobowych (Dz. U. z 2002 r.
Nr 101, poz. 926, z pn. zm.) oraz ustaw z dnia 5 sierpnia 2010 r. o ochronie
Page 18 of 24

Ministerstwo Administracji i Cyfryzacji, Agencja Bezpieczestwa Wewntrznego

informacji niejawnych (Dz. U. Nr 182, poz. 1228).

System ten midzy innymi okreli alternatywne kanay wymiany informacji oraz
wprowadzi okresowe testy skutecznoci procesw wymiany informacji.

4.4. Sposoby i formy wsppracy

W ramach realizacji Polityki powinny zosta wypracowane formy wsppracy
pomidzy organami odpowiedzialnymi za bezpieczestwo cyberprzestrzeni oraz
odpowiedzialnymi za zwalczanie przestpczoci komputerowej o charakterze
kryminalnym. Powysze formy wsppracy bd miay zarwno posta robocz, w celu
zminimalizowania opnie reakcji na incydenty komputerowe, jak i sformalizowan
- suc eliminowaniu problemw kompetencyjnych.

4.5. Wsppraca z przedsibiorcami

Niezbdne jest zaktywizowanie przedsibiorcw, ktrych ochrona przed
zagroeniami z cyberprzestrzeni jest istotna z punktu widzenia prawidowego
funkcjonowania Pastwa.
Naley do tej grupy zaliczy przedsibiorcw dziaajcych w szczeglnoci
w ramach sektorw:
1) zaopatrzenia w energi, surowce energetyczne i paliwa,
2) cznoci,
3) sieci teleinformatycznych,
4) finansowego,
5) transportowego.
Polityka zakada podjcie dziaa aktywizujcych wspprac pomidzy
przedsibiorcami zarzdzajcymi wasn teleinformatyczn infrastruktur zaliczon
do infrastruktury teleinformatycznej CRP o podobnym charakterze, a przez to
naraon na podobne typy podatnoci i metody atakw. Jedn z form wsppracy
bdzie tworzenie gremiw powoywanych do wewntrznej wymiany informacji
i dowiadcze oraz wsppracy zadministracj publiczn w zakresie bezpieczestwa
infrastruktury teleinformatycznej CRP.

4.5.1.Wsppraca z producentami urzdze i systemw teleinformatycznych

Wanymi partnerami dla instytucji rzdowych i innych podmiotw

odpowiedzialnych za bezpieczestwo teleinformatyczne i zwikszenie bezpieczestwa
w cyberprzestrzeni s producenci sprztu i oprogramowania. Rozwj wsppracy
z tymi partnerami, w tym wymiana dowiadcze i oczekiwa, stanowi powinien
jeden z waniejszych czynnikw majcych duy wpyw zarwno na system edukacji
spoecznej i specjalistycznej, jak i na jako tworzonych systemw. Szczeglne
znaczenie dla rozszerzenia spektrum dostpnych narzdzi winna mie wsppraca
podmiotw odpowiedzialnych za bezpieczestwo teleinformatyczne z producentami
systemw zabezpiecze.
Naley dy do udostpniania uytkownikom jak najwikszego wachlarza
Ministerstwo Administracji i Cyfryzacji, Agencja Bezpieczestwa Wewntrznego

Page 19 of 24

rozwiza sucych szeroko rozumianemu bezpieczestwu teleinformatycznemu

oraz ochronie informacji.

4.5.2.Wsppraca z przedsibiorcami telekomunikacyjnymi

Ze wzgldu na globalny charakter zagroe wymagana jest cisa skoordynowana

wsppraca w zakresie bezpieczestwa cyberprzestrzeni pomidzy Urzdem
Komunikacji Elektronicznej (UKE), przedsibiorcami telekomunikacyjnymi
i uytkownikami CRP.

4.6. Wsppraca midzynarodowa

Ze wzgldu na globalny charakter problemw zwizanych z bezpieczestwem
cyberprzestrzeni, istotnym elementem jest utrzymanie i rozwijanie wsppracy
midzynarodowej w tym zakresie.
Rzd RP widzi potrzeb, aby Polska, poprzez swoich przedstawicieli, organy
rzdowe, instytucje pastwowe oraz wspprac z instytucjami pozarzdowymi
inicjowaa i prowadzia aktywne dziaania zmierzajce do zwikszenia bezpieczestwa
CRP oraz midzynarodowej.

Page 20 of 24

Ministerstwo Administracji i Cyfryzacji, Agencja Bezpieczestwa Wewntrznego

5. Finansowanie
Polityka nie bdzie implikowa dodatkowych rodkw z budetu pastwa
na sfinansowanie zaoonych dziaa w roku jej wejcia w ycie, poniewa aktualnie
jednostki organizacyjne administracji publicznej realizuj ju czciowo cele
wymienione w Polityce. W zwizku z tym przyjmuje si, e po jej zaakceptowaniu
kada jednostka organizacyjna wyranie wskae zadania ju realizowane i rodki
finansowe na nie wydatkowane.
Niniejszy dokument zakada kontynuacj dziaa
zaplanowanych przez Zesp, o ktrym mowa w pkt 3.4.1.

realizowanych

oraz

Zakada si, e od chwili wejcia w ycie Polityki poszczeglne jednostki bd

szacoway koszty realizowanych ju zada, pokrywajcych si z zadaniami naoonymi
niniejsz Polityk.
Przedstawione szacunki kosztw pozwol na ich ujcie w planie nastpnego roku
budetowego z wyranym wskazaniem, i dotycz bezpieczestwa cyberprzestrzeni.
Poszczeglne jednostki organizacyjne dane o oszacowanych przez siebie kosztach
realizacji zada przekazuj do ministra waciwego ds. informatyzacji. Koszty
realizacji zada bd zdeterminowane wynikami szacowania ryzyka i przedstawione
w projektach szczegowych z przypisaniem poszczeglnym jednostkom i wskazaniem
rde finansowania.
Konieczne wydatki, zwizane z realizacj Polityki bd finansowane w ramach
limitu wydatkw budetowych przewidzianych we waciwej czci budetowej
w ustawie budetowej na dany rok.

Ministerstwo Administracji i Cyfryzacji, Agencja Bezpieczestwa Wewntrznego

Page 21 of 24

6. Ocena Skutecznoci polityki

Ze wzgldu na nowatorski charakter niniejszego dokumentu szczegowe wskaniki
realizacji zaoe Polityki bd opracowane po przeprowadzeniu szacowania ryzyka.
Niezbdnym jest, aby od chwili wejcia w ycie Polityki, poszczeglne jednostki
organizacyjne analizoway i sugeroway wskaniki realizacji zada, na podstawie
ktrych zostan zagregowane informacje i wypracowane globalne wskaniki celw
niniejszego dokumentu. Zakada si, e przedstawione propozycje globalnych
wskanikw bd wykorzystane w ramach aktualizacji Polityki i pozwol na ocen
stopnia realizacji zaoonych celw i zada w zakresie bezpieczestwa CRP.
Stopnie realizacji przedsiwzi zwizanych z realizacj celu strategicznego oraz
celw szczegowych Polityki bd oceniane w ramach projektw szczegowych pod
ktem nastpujcych kryteriw:
1) stopnia nasycenia wszystkich jednostek organizacyjnych, posiadajcych
systemy ochrony i wczesnego ostrzegania w stosunku do liczby urzdw
administracji publicznej;
2) poziomu integracji:
a) sposobu i trybu wymiany informacji midzy zespoami z zapewnieniem
poufnoci, integralnoci i dostpnoci,
b) moliwoci i zakresu osigania wsplnego, dynamicznego zobrazowania
cyberprzestrzeni objtej niniejszym Polityk,
3) stopnia standaryzacji - stopnia wdroenia norm, kategorii incydentw
i procedur;
4)
stopnia wyposaenia systemw w kompleksowe oprogramowanie
antywirusowe, firewalle, antyspamowe w stosunku do wymaganych objciem
tak ochron (identyfikacja zasobw).
Do oceny skutecznoci projektw szczegowych, utworzonych na podstawie
niniejszej Polityki, zostan wykorzystane nastpujce mierniki:
1. Mierniki skutecznoci - mierz stopie osignicia zamierzonych celw i mog
mie zastosowanie na wszystkich szczeblach klasyfikacji zadaniowej.
Przykadowy miernik produktu:
liczba zamknitych incydentw w stosunku do oglnej liczby sklasyfikowanych
incydentw.
2. M
 ierniki produktu - odzwierciedlaj wykonanie danego zadania w krtkim okresie
ipokazuj konkretne dobra oraz usugi wyprodukowane przez sektor publiczny.
Mierniki produktu - mierz stopie wykonania celw operacyjnych.
Przykadowy miernik produktu:
liczba odpowiedzi na zgoszone przez obywateli incydenty,
liczba obsuonych incydentw,
Page 22 of 24

Ministerstwo Administracji i Cyfryzacji, Agencja Bezpieczestwa Wewntrznego

3. M
 ierniki rezultatu - mierz efekty uzyskane w wyniku dziaa objtych zadaniem lub
pod zadaniem, realizowanych za pomoc odpowiednich wydatkw, na poziomie
zadania/podzadania/dziaania. Mierz skutki podejmowanych dziaa. Mierniki
rezultatu - mierz bezporednie skutki podejmowanych dziaa w krtkiej lub
redniej perspektywie czasowej.
Przykadowy miernik produktu:
skrcenie czasu obsugi incydentu,
redni czas odpowiedzi na incydent.
4. M
 ierniki oddziaywania - mierz dugofalowe konsekwencje realizacji zadania.
Mog one mierzy bezporednie skutki wdraania zadania, ktre ujawniaj si po
upywie duszego okresu czasu. Mierniki oddziaywania odnosz si czasem do
wartoci, ktre tylko w czci s efektem realizacji zadania (na efekty wpywaj
take inne, zewntrzne czynniki).
Przykadowy miernik produktu:
zwikszenie poczucia bezpieczestwa w sieci Internet w Polsce (badania CBOS).
Stopie realizacji zostanie oceniony w procentach, przy czym za 100% rozumie
si realizacj wszystkich zada wynikajcych z projektw szczegowych
opracowanych na podstawie Polityki.
W cigu roku od wejcia Polityki w ycie, kada zaangaowana jednostka, o ktrej
mowa wpkt. 1.4 ust. 1 niniejszego dokumentu, oszacuje (w %) w jakim stopniu s ju
zrealizowane zaoenia przedmiotowej Polityki.

6.1. Przewidywane efekty Polityki

Przewiduje si nastpujce dugofalowe efekty dziaa wynikajcych z wdroenia
niniejszej Polityki oraz projektw szczegowych opracowanych na jej podstawie:
wikszy poziom bezpieczestwa CRP oraz wikszy poziom odpornoci pastwa
na ataki w CRP,
spjn dla wszystkich zaangaowanych podmiotw polityk dotyczc
bezpieczestwa cyberprzestrzeni,
mniejsz skuteczno atakw terrorystycznych w CRP i mniejsze koszty usuwania
nastpstw atakw cyberterrorystycznych,
skuteczny system koordynacji i wymiany informacji pomidzy publicznymi
i prywatnymi podmiotami odpowiedzialnymi za zapewnianie bezpieczestwa
cyberprzestrzeni oraz tymi, ktre dysponuj zasobami stanowicymi krytyczn
infrastruktur teleinformatyczn pastwa,
wiksz kompetencj podmiotw zaangaowanych w bezpieczestwo
infrastruktury teleinformatycznej Pastwa funkcjonujcej w cyberprzestrzeni,
wiksze zaufanie obywateli do waciwego zabezpieczenia usug pastwa
wiadczonych drog elektroniczn,
wiksz wiadomo obywateli, co do metod bezpiecznego uytkowania systemw
dostpnych elektronicznie i sieci teleinformatycznych.
Ministerstwo Administracji i Cyfryzacji, Agencja Bezpieczestwa Wewntrznego

Page 23 of 24

6.2. Skuteczno dziaa

Miar skutecznoci podjtych w ramach Polityki dziaa bdzie ocena stworzonych
regulacji, instytucji i relacji, ktre umoliwi rzeczywiste zaistnienie skutecznego
systemu bezpieczestwa cyberprzestrzeni. Jedn z podstawowych metod wpywania
na skuteczno zaoonych dziaa wykonywanych przez wiele instytucji jest ustalenie
zakresu zada kadego z podmiotw oraz ustalenie odpowiedzialnoci za ich realizacj.

6.3. Monitorowanie efektywnoci dziaa w ramach

przyjtej Polityki
Raporty o postpach w realizacji Polityki bd przesyane przez jednostki
wyszczeglnione w pkt. 1.4 do ministra waciwego ds. informatyzacji.

6.4. Konsekwencje naruszenia zapisw Polityki

Kady podmiot administracji rzdowej stosuje si do zapisw niniejszej Polityki
niezalenie od odpowiedzialnoci okrelonej w przepisach prawa powszechnie
obowizujcego.
Naruszenie zasad okrelonych w niniejszej Polityce moe by przyczyn wykluczenia
si podmiotu ze spoecznoci informacyjnej i powstania utrudnie w dostpie
do informacji publicznej. Odpowiednie zabezpieczenia, ochrona przetwarzanych
danych oraz niezawodno funkcjonowania systemw teleinformatycznych
s najwyszymi wartociami stawianymi wspczesnym systemom. Podmioty
realizujce przedmiotow Polityk powinny wskaza sposoby zabezpieczenia systemw
informatycznych, procedury postpowania w sytuacji naruszenia bezpieczestwa
teleinformatycznego w systemach informatycznych wpolitykach bezpieczestwa tych
systemw. Wykonywanie zapisw niniejszego dokumentu ma zapewni waciw
reakcj, ocen i udokumentowanie przypadkw naruszenia bezpieczestwa systemw
oraz zapewni waciwy sposb reagowania na incydenty w celu przywrcenia
akceptowalnego poziomu bezpieczestwa. Istotnym obowizkiem jest niezwoczne
informowanie administratora lub waciwego Zespou CERT o wykryciu incydentu
oraz podjcie lub zaniechanie czynnoci majcych na celu jego obsuenie.

Page 24 of 24

Ministerstwo Administracji i Cyfryzacji, Agencja Bezpieczestwa Wewntrznego

WARSZAWA, 25 CZERWCA 2013 R.