Polityka Ochrony Cyberprzestrzeni RP.

Wielkość: px
Rozpocząć pokaz od strony:

Download "Polityka Ochrony Cyberprzestrzeni RP."

Transkrypt

1 Komentarz do projektu Polityka Ochrony Cyberprzestrzeni RP. Wspólne stanowisko: Stowarzyszenia Euro- Atlantyckiego Fundacji Bezpieczna Cyberprzestrzeń Fundacji Instytut Mikromakro 1

2 Uwagi ogólne. Przekazany do konsultacji dokument Polityka ochrony Cyberprzestrzeni RP jest kolejną w ostatnich latach próbą przedstawienia spójnego podejścia instytucji państwa do zagrożeń związanych z używaniem technologii informacyjnych. To bardzo dobrze, że taki dokument powstaje i że przygotowały go wspólnie dwa konstytucyjnie niezależne, ale kluczowe w sprawach bezpieczeństwa informacyjnego organy: Ministerstwo Administracji i Cyfryzacji oraz Agencja Bezpieczeństwa Wewnętrznego. Bardzo dobrze też, że zaistniała okazja do publicznych konsultacji, bowiem bezpieczeństwo jest ważne dla wszystkich. Powszechność zastosowań technologii informacyjnych, rozwój konkurencyjnego rynku usług i sieci telekomunikacyjnych oraz swoboda wprowadzania do Internetu nowych zastosowań spowodowały, że państwo straciło najprawdopodobniej na zawsze monopol na wiedzę o bezpieczeństwie i rozwoju metod przekazywania, przetwarzania i przechowywania informacji. Niestety, wprowadzany od jakiegoś czasu mechanizm poddawania publicznym konsultacjom istotnych rządowych dokumentów, najwyraźniej jeszcze nie wystarczy, by to zrozumieć. Projekt określa przede wszystkimi instytucjonalne ramy bezpieczeństwa informacyjnego państwa w zakresie, który nazwano bezpieczeństwem cyberprzestrzeni RP. Autorzy trzymają się wadliwej aksjologii wcześniejszych wersji strategii lub polityki, najwyraźniej ignorując dosyć oczywiste wydawałoby się uwarunkowanie, że bezpieczeństwo państwa zależy od wielu różnych systemów informacyjnych, a nie tylko tych, które są bezpośrednio we władaniu jednostek organizacyjnych administracji publicznej. W konsekwencji, popełniają błąd już w tytułowej kwestii określając przedmiot polityki Cyberprzestrzenią RP. Definiują to tytułowe pojęcie, poprzez wydzielenie przestrzeni przetwarzania informacji w systemach informatycznych w obrębie państwa polskiego, a przecież podstawową cechą Internetu, w tym również technik telekomunikacyjnych opartych o protokoły wykorzystywane w Internecie jest oderwanie od fizycznego terytorium. Takie podejście ogranicza pole ochrony i jest trudne do zrozumienia. Ogranicza także samo pojęcie bezpieczeństwa. Wtedy nie mamy szansy dostrzegać wielu istotnych zagrożeń i będziemy błądzić w staraniach o zastosowanie środków zaradczych. Tymczasem, należałoby by mówić o ochronie interesów państwa w związku z powszechnym zastosowaniem technologii informacyjnych i w ogóle zrezygnować z definiowania cyberprzestrzeni RP lub ograniczyć się do intuicyjnego opisu, jak rozumiemy pojęcie cyberprzestrzeni. Fundamentalnym brakiem dokumentu jest ograniczenie do organizacji działań w ramach administracji rządowej, ewentualnie zalecanie wymagań innym organom administracji publicznej. Kompetencje ABW w sprawie zagrożeń terrorystycznych są oczywiste, podobnie jak doświadczenie gromadzone w ramach CERT rządowego, czy RCB, ale wiedza na temat zagrożeń, środków zaradczych, nie mówiąc o technologiach sieciowych lub organizacji systemów informacyjnych jest w ogromnej części poza instytucjami administracji. Podobnie, istotne z punktu widzenia strategicznych 2

3 interesów państwa i obywateli współczesne zagrożenia z cyberprzestrzeni, dotyczą systemów zarządzanych bez udziału organów administracji, w dużej części będących własnością prywatną. Te zagrożenia warunkują funkcjonowanie gospodarki, systemu bankowego, transportu, energetyki. Pewna część tego rodzaju systemów jest kwalifikowana jako infrastruktura krytyczna w ramach zarządzania kryzysowego. Polityka państwa powinna się skupić na strategii komunikacji w sprawach zagrożeń z cyberprzestrzeni wszystkich interesariuszy, tworzeniu warunków dla wypracowywania standardów i procedur. Przykładem wzorcowych działań są ćwiczenia ochrony infrastruktury krytycznej Cyber- EXE Polska 2012, przeprowadzone we wrześniu we Wrocławiu, kiedy mieliśmy okazję przećwiczyć procedury współpracy różnych podmiotów podczas ataku cyberterrorystycznego, który zakłócił na dużym terytorium działanie wielu ważnych systemów, miedzy innymi sieci energetycznej i gazowej. Fundamentalną wadą przedstawionej do konsultacji Polityki jest również brak ogólnej systemowej analizy rodzaju i charakteru zagrożeń, które powinny angażować działania służb rządowych, w tym powodów dla których takie zagrożenia mogą wystąpić. Atakującymi przecież niekoniecznie kierują pobudki o podłożu kryminalnym lub terrorystycznym. Zagrożenia powinny być analizowane pod kątem znaczenia jakie mogą mieć dla gospodarki, bezpieczeństwa obywateli i stabilności państwa. Zdolność reagowania, oznacza nie tylko zastosowanie technicznych środków ochrony przed atakami, ale też umiejętność przeciwdziałania sytuacjom, które atak prowokują. W obecnej postaci dokument zatytułowany Polityka ochrony cyberprzestrzeni RP ma małe szanse, aby stanowić podstawę do osiągnięcia zakładanych w niej celów. Inną kwestią jest, czy cele zostały sformułowane w sposób właściwy. Stanowi raczej listę obszarów, których zagospodarowanie może podnieść poziom bezpieczeństwa. Przedstawiono w niej jedynie niektóre rozwiązania, mające przybliżyć do osiągnięcia celów. Niestety dotyczą one prawie wyłącznie sfery administracji rządowej (np. powołanie pełnomocnika ds. bezpieczeństwa cyberprzestrzeni, czy przeprowadzanie oceny ryzyka w oparciu o metodykę, która dopiero ma być opracowana). Polityka nie wskazuje jednoznacznie podmiotów odpowiedzialnych za realizację zadań w niej określonych, ani czasu ich choćby przybliżonej realizacji. W Polityce określone są ewentualnie podmioty odpowiedzialne za wykonanie jakiegoś zadania 1, brak jednak wskazania jakiegokolwiek czasu jego realizacji. Dodatkowo zadania nakładane są w formie zaleceń 2. Z niezbędne uważamy dołączenie do Polityki w formie załącznika planu działań 3 ze wskazaniem podmiotu odpowiedzialnego i czasu realizacji tego zadania. Bez tego Polityka nie będzie miała żadnej realnej mocy sprawczej, zwłaszcza w kontekście kolegialnej odpowiedzialności za bezpieczeństwo cyberprzestrzeni. 1 np. Minister właściwy ds. informatyzacji we współpracy z zaangażowanymi instytucjami określi, Rada Ministrów, rozumiejąc wysoki priorytet tych działań, widzi potrzebę ich zainicjowania przez ministra właściwego ds. informatyzacji, aby stworzyć regulacje prawne, dające podstawy do podejmowania dalszych działań w ramach wdrożenia zapisów Polityki. 2 np. Zalecane jest, aby Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL przedstawił. 3 opisanych w rozdz. od 3.1 do 3.6 oraz innych miejscach tekstu Polityki. 3

4 W całym cyklu wykrywania zagrożeń i reakcji na nie, brakuje pro- aktywnego podejścia do monitorowania infrastruktury i reakcji na wykryte zagrożenia. Występuje zarys zagadnień dotyczących zdefiniowania zagrożenia, okresowych analiz ryzyka, planów obsługi incydentów, ale nie ma nawet zarysu metodyki i technik wykrywania tych zagrożeń. Powinien istnieć cyklicznie uruchamiany proces obejmowania monitoringiem ryzyk, których nie udało się zminimalizować do poziomu akceptowalnego oraz tych, gdzie poziom jest niski, ale ewentualne skutki zmaterializowania się ryzyka znaczne. Mógłby być stosowany po każdej analizie ryzyka oraz po aktualizacji katalogu zagrożeń. Powinno to zminimalizować niechciany efekt braku możliwości wykrycia zagrożenia, które jeszcze nie zostało opisane w systemie detekcji/prewencji. Wskazanie w Polityce systemu wczesnego ostrzegania przed zagrożeniami z sieci Internet ARAKIS- GOV absolutnie nie wyczerpuje tego oczekiwania, a dodatkowo obarczone jest problemami wskazanymi w punkcie 17 niniejszego dokumentu. Uwagi szczegółowe. Poniżej przedstawiono uwagi do wybranych jednostek redakcyjnych Polityki. Uwagi mają zarówno charakter generalny, jak i dotyczącą konkretnych sformułowań czy rozwiązań. 1. Ad Główne przesłanki i założenia Polityki Ochrony Cyberprzestrzeni RP ( Polityka ). Polityka w pierwszym swoim akapicie wskazuje na uzależnienie bezpieczeństwa państwa demokratycznego od wypracowania mechanizmów pozwalających skutecznie zapobiegać i zwalczać zagrożenia bezpieczeństwa cyberprzestrzeni. W tym samym zdaniu mowa jest o swobodach przepływu osób, informacji i kapitału. Zestawienie wymienionych swobód z kwestią bezpieczeństwa państwa demokratycznego i zapobieganiem oraz zwalczaniem zagrożeń wydaje się błędne, bowiem może prowadzić do wniosku, iż to swobody powodują konieczność wypracowania mechanizmów, których zadaniem jest nic innego jak ograniczenie tych swobód. Dodatkowo trudno wskazać na jednoznaczny związek pomiędzy swobodą przepływu osób i kapitału a zagrożeniem dla bezpieczeństwa cyberprzestrzeni. W akapicie drugim Polityka odnosi się do braku możliwości separacji od systemów teleinformatycznych. Nie określa się jednak w stosunku do czego ma nastąpić separacja. Należy rozważyć czy istnieją systemy strategiczne z punktu widzenia bezpieczeństwa Państwa inne niż eksploatowane przez wymienione w trzecim akapicie instytucje i podmioty. Jeżeli nie ma takich, to akapit ten zawiera nadmiarowy fragment, wyżej zacytowany. Rządowy dokument rangi politycznej powinien określać, co jest interesem państwa, w tym jakiego typu systemy mają znaczenie strategiczne, a nie postulować rozważania. Dokument posługuje się zamiennie pojęciami, których zakres przedmiotowy nie jest jednolity. Np. w akapitach drugim i trzecim wstępu jest mowa o bezpieczeństwie systemów teleinformatycznych, a w akapicie czwartym pojawia się zapewnienie bezpieczeństwa zasobów informacyjnych. 4

5 Wymienia się wyłącznie przedsiębiorców jako ewentualną stronę konsultacji rządowych dla wypełniania bardzo niejednoznacznych obowiązków konstytucyjnych realizowanych za pomocą cyberprzestrzeni. Pominięto tutaj zupełnie organizacje pozarządowe, takie jak nasze, specjalizujące się w sprawach ochrony cyberprzestrzeni. Pominięto organizacje użytkowników Internetu. Błędem jest wyłączenie sytemu prawa ochrony informacji niejawnych. Konieczna jest bowiem synergia ogólnej polityki z prawem ochrony informacji niejawnych. To jasne, że tworzą one specjalny system, ale nie ma powodu by zastrzegać, że miałby być sprzeczny z ogólną polityką. Ustawa o ochronie informacji niejawnych nie posługuje się pojęciem niejawnych systemów teleinformatycznych, jak ma to miejsce w akapicie ósmym, lecz informacji niejawnych w systemach teleinformatycznych. 2. Ad Terminy. Uwaga ogólna: Wprowadzenie sformalizowanych definicji odwołujących się do pojęć definiowanych w ustawach, normach jest błędem w dokumencie rangi politycznej opisującym działania w nowym obszarze, wymagającym dużej elastyczności. Tego typu uściślający zbiór definicji nie jest konieczny. Jeżeli natomiast miałby pozostać, to należy zastosować definicje opisowe, które pozwolą lepiej rozumieć Politykę. Wiele pojęć zdefiniowanych w Terminach nie jest stosowanych w dalszej treści Polityki, np. Sektorowy Punkt Kontaktowy bądź dla znaczenia odpowiadającego zdefiniowanemu pojęciu stosuje się inne pojęcie niż to zdefiniowane. Należy dokonać przeglądu Polityki pod względem ujednolicenia pojęć. Abuse dokument nie wyjaśnia dlaczego w ogóle wprowadza się to pojęcie neologizm pochodzenia anglojęzycznego. Z kontekstu dalszej części można się tylko dowiedzieć, że właściwym byłoby przyjęcie, iż chodzi o jednostkę organizacji dostawcy usług niż o dział, który oznacza większą jednostkę w organizacji. Dodatkowo pojawiają się w definicji Abuse inne pojęcia niezdefiniowane i niejednoznaczne, np. incydent komputerowy, podczas gdy Polityka zawiera definicję incydentu związanego z bezpieczeństwem informacji, czy nadużycia, które trudno jednoznacznie opisać. bezpieczeństwo cyberprzestrzeni definicja jest nieprawidłowa, bowiem bezpieczeństwo pojęciowo jest pewnym stanem a nie zespołem przedsięwzięć. Przykładowo lepiej byłoby użyć następującego opisu znaczeniowego: bezpieczeństwo cyberprzestrzeni stan niezakłóconego funkcjonowania cyberprzestrzeni zapewniony przez zespół przedsięwzięć organizacyjno- prawnych, fizycznych i edukacyjnych. CERT należy odnieść się do wcześniej zdefiniowanego bezpieczeństwa cyberprzestrzeni, aby zapewnić konsekwencję w treści dokumentu. Definicja powinna w tym przypadku określać skąd pochodzi ten termin, jakie standardy pozwalają organizację nazywać CERT. 5

6 Cyberprzestrzeń RP Określenie poprzez odwołanie do innych ustaw rozprasza i jest nieprawidłowe. Definiowanie cyberprzestrzeni przez systemy teleinformatyczne, w rozumieniu ustawy o informatyzacji jest niezręczne. Sugerujemy rezygnację z tego rodzaju definicji. Poza tym Główne przesłanki i założenia Polityki Ochrony Cyberprzestrzeni mówią o objęciu Polityką również przedsiębiorców i osób fizycznych, natomiast pojęcie cyberprzestrzeni RP pomija ich poza granicami RP. Należy wyjaśnić tę niekonsekwencję. Cyberprzestępstwo to przestępstwo. Określenie czyn zabroniony nie jest wystarczające do penalizacji. Potrzebny jest komentarz na temat trudności z kwalifikacją karną nowych rodzajów cyberprzestępstw. Cyberterroryzm zaproponowana definicja jest uproszczeniem. Cyberterroryzm podobnie jak zwykły terroryzm, niezależnie od kwalifikacji kodeksowej określamy poprzez cele i skutki działań terrorysty. Incydent związany z bezpieczeństwem informacji definicja posługuje się w swej treści pojęciem niezdefiniowanym bezpieczeństwo informacji, podczas gdy w pozostałych definicjach występuje z kolei bezpieczeństwo cyberprzestrzeni. Definicje powinny być spójne, bądź należy wyraźnie wskazać na różnice pomiędzy nimi. Dodatkowo definicja zawiera odniesienie do działań biznesowych, które nie do końca mieszczą się w zakresie przedmiotowym definicji cyberprzestrzeń RP. Jednostka organizacyjna odwołanie do Kodeksu cywilnego nie jest potrzebne. Poza tym Kodeks cywilny posługuje się dwoma rodzajami jednostek organizacyjnych: w art. 33 w odniesieniu do osób prawnych, a w art w odniesieniu do takich, które nie posiadają osobowości prawnej. Tymczasem zarówno z treści definicji w Polityce jak i w jej kolejnych postanowieniach pojęcie jednostki organizacyjnej stosowane jest w różnym znaczeniu, często niezgodnym z samą definicją, np. w definicji PBC. PBC W zestawieniu z treścią definicji jednostki organizacyjnej, definicja PBC jest błędna, jeżeli zastosować ścisłe rozumienie Kodeksu cywilnego wiele instytucji administracji publicznej, o których mowa w definicji PBC nie ma statusu jednostek organizacyjnych. Należałoby w tym miejscu wyjaśnić po co się takiego pełnomocnika powołuje, jakie jest jego znaczenie dla Polityki. Przedsiębiorca Definicja zbędna. Sposób zdefiniowania przedsiębiorcy w Polityce powoduje, iż pojęcie to może być w zasadzie stosowane zamiennie z pojęciem jednostki organizacyjnej, co wydaje się błędnym i nieprzemyślanym zabiegiem. Innym błędem w omawianej definicji jest zawarcie w niej dwukrotnie pojęcia jednostki organizacyjnej pierwszy raz w ramach definicji przedsiębiorcy w Ustawie o swobodzie działalności gospodarczej, drugi w samej definicji przedsiębiorcy w Polityce. Sektorowy Punkt Kontaktowy należałoby wyjaśnić po co jest to pojęcie w Polityce, tym bardziej, że nie występuje w dalszej części dokumentu. Należałoby wskazać zakres przedmiotowy słowa branża w występującego w definicji. Komentowane pojęcie nie występuje w treści Polityki. Dodatkowo nie ma konsekwencji w stosowaniu nazwy zespołu reagującego na incydenty, gdyż podaje się tylko nazwy 6

7 CERT i Abuse, natomiast w dalszej treści dokumentu stosuje się również nazwę CSIRT. Proponuje się zastosowanie tu bardziej ogólnego terminu, np.: wspomniany zespół reagujący na incydenty naruszające bezpieczeństwo cyberprzestrzeni RP. Użytkownik cyberprzestrzeni Określenie zbędne w dokumencie rangi politycznej. Biorąc pod uwagę definicję jednostki organizacyjnej sięgającą do Kodeksu cywilnego i brak konsekwencji w treści Polityki w posługiwaniu się tą definicją propozycja wyniesienia przedsiębiorcy (należy przy tym zauważyć, iż definicja przedsiębiorcy zawiera w sobie jednostkę organizacyjną) poza zakres pojęcia jednostki organizacyjnej jest błędna. 3. Ad Cel strategiczny Posłużenie się w pierwszym akapicie słowem akceptowalnego bez bliższego określenia podmiotu akceptacji i warunków czyni cel Polityki niemożliwym do spełnienia. Brak dodatkowo definicji cyberprzestrzeni Państwa W akapicie drugim wprowadza się nowe pojęcie użytkowników CRP, które nie zostało zdefiniowane w Polityce. W przypadku, gdyby ograniczono się jednak do CRP, wyłączeniu ulegają wszelkie instytucje spoza szeroko pojętej administracji publicznej, np. przedsiębiorcy, organizacje pozarządowe. Polityka powołuje się na dokumenty strategiczne, które są przytoczone w sposób nieuporządkowany. Np. Agenda Cyfrowa, która jako jedyny dokument ma dodany symbol publikacyjny, jest dokumentem wydanym w ramach strategii Europa W tej części nie wystarczy deklaracja zgodności. Niezbędne jest przywołanie celów zawartych w cytowanych dokumentach i wskazanych tam działań. Nieuporządkowanie każe sądzić, że lista może być niekompletna. 4. Ad Cele szczegółowe ad 1 wprowadza się niezdefiniowane pojęcie bezpieczeństwa infrastruktury teleinformatycznej Państwa, pomijając kwestię cyberprzestrzeni RP, dla której wcześniej przygotowano definicję. ad 2 nie wskazano dla kogo lub dla czego te zagrożenia mają pojawić się. Dodatkowo sama cyberprzestrzeń nie może być podmiotem powodującym zagrożenia, co sugeruje zapis zagrożeń ze strony cyberprzestrzeni. Należy założyć, że zagrożenia są wywołane przez konkretne działania w określonym celu. ad 3 wcześniej wprowadzono definicję incydentów, która tutaj została pominięta, podobnie jak w wielu innych miejscach Polityki na rzecz sformułowań pozornie zbliżonych. ad 4 Polityka zdawała odnosić się w szczególności do bezpieczeństwa cyberprzestrzeni RP, tymczasem jej celem szczegółowym jest bezpieczeństwo całej cyberprzestrzeni. ad 5 pominięto sferę administracji samorządowej, a także posłużono się niedookreślonym sformułowaniem podmiotów niepublicznych. 7

8 W akapicie dotyczącym realizacji celów Polityki pojawiają się pojęcia niezdefiniowane, np. ataki na cyberprzestrzeń. Ponownie pominięto sferę administracji samorządowej. Edukacja społeczna, jako środek realizacji celów nie bardzo pasuje powinna raczej dotyczyć cyberprzestrzeni niż tylko CRP. 5. Ad Adresaci i zakres oddziaływania. W akapicie pierwszym ponownie, nadmiarowo, opisuje się zakres objęty definicją CRP. Teoretycznie Polityka adresowana jest do wszystkich użytkowników CRP, jednak administrację rządową ona obowiązuje, dla administracji samorządowej i innych urzędów jest rekomendowana, a dla pozostałych użytkowników CRP jest jedynie wskazówką. Ten dysonans odczuwalny jest w całym tekście Polityki, której najwięcej rozwiązań opisanych bardziej szczegółowo odnosi się tylko do administracji np. pełnomocnik ds. bezpieczeństwa cyberprzestrzeni, czy przeprowadzanie oceny ryzyka. Wydaje się, że tak skonstruowana Polityka nie będzie skuteczna dla ochrony CRP, gdyż zastosowanie niższych standardów dla wprowadzania Polityki, tzn. tylko rekomendacji a nie obowiązku, dla tak istotnych podmiotów jak Kancelarii Prezydenta Rzeczypospolitej Polskiej, Kancelarii Sejmu Rzeczypospolitej Polskiej, czy Kancelarii Senatu Rzeczypospolitej Polskiej, może mieć bardzo istotny wpływ na poziom bezpieczeństwa CRP. Nie jest jasne również do której grupy podmiotów zalicza się Biuro Bezpieczeństwa Narodowego. Polityka ochrony cyberprzestrzeni to typowe zadanie horyzontalne. Jeżeli mówić o zakresie obowiązywania Polityki w systemach informacyjnych administracji, to musi obejmować wszystkie podmioty i jednostki organizacyjne administracji, bez względu na ich organizację i charakter przyporządkowania. Powinna tu obowiązywać podobna logika, jak w sprawach obronności, ochrony informacji niejawnych itp. 6. Ad Ustanowienie odpowiedzialności za bezpieczeństwo CRP Nie wiadomo jakie skutki prawne, miałyby wynikać z odpowiedzialności Rady Ministrów. Przed kim odpowiada? W tym konkretnym przypadku, że przyznanie odpowiedzialności całą Radę Ministrów może wpłynąć na mniejszą skuteczność podejmowanych działań w przypadku wystąpienia incydentu lub zagrożenia bezpieczeństwa państwa z cyberprzestrzeni. Lepsze byłoby przyznanie odpowiedzialności za bezpieczeństwo cyberprzestrzeni Prezesowi Rady Ministrów, co znajduje uzasadnienie w dalszej części Polityki, gdzie wskazano, iż do Prezesa Rady Ministrów należy powoływanie zespołów oraz Prezes Rady Ministrów jest bezpośrednio odbiorcą sprawozdań. Innym rozwiązaniem mogłoby być przekazanie odpowiedzialności za bezpieczeństwo CRP ministrowi właściwemu ds. informatyzacji, co również znajduje uzasadnienie w dalszej części Polityki, gdyż jest on wskazywany np. jako koordynator Krajowego Systemu Reagowania na Incydenty Komputerowe w CRP oraz organ będący odbiorcą sprawozdań podsumowujących ocenę ryzyka każdej jednostki administracji rządowej, o której mowa w pkt 1.4 (punkty 1-4). 8

9 W akapicie piątym pojawia się pojęcie niezdefiniowanej społeczności teleinformatycznej, które należy wyjaśnić. Jednocześnie nie wskazano w jaki sposób przewiduje się udział społeczeństwa i społeczności teleinformatycznej. Wydaje się, iż w wyniku posłużenia się niezdefiniowanym pojęciem mogło dojść w akapicie szóstym do nieporozumienia. Trudno bowiem oczekiwać, aby użytkownicy CRP, którymi według definicji w Polityce będą instytucje państwowe, mieli nie akceptować działań podejmowanych przez Rząd RP. Można przypuszczać, iż celem autorów Polityki było stworzenie mechanizmu pozwalającego na uzyskanie akceptacji użytkowników cyberprzestrzeni, nie tylko RP. Warto dodatkowo zauważyć, iż samo stosowanie rozwiązań zawartych w Polityce, gdy będą one narzucone bądź jedyne możliwe do stosowania z punktu widzenia technologii, nie oznacza jeszcze akceptacji dla Polityki w całości. Wniosek zawarty w akapicie szóstym wydaje się zbyt daleko idący. Polityka nie wskazuje na sankcje, które mogą być zastosowane w razie braku jej realizacji przez instytucje odpowiedzialne. 7. Ad. Zgodność Polityki z aktami prawnymi Napisanie, że Polityka jest zgodna z prawem to niepotrzebna oczywistość. Zamiast tego, konieczna jest analiza zgodności z ustawami wraz ze stosownym komentarzem. W innej części Polityki pisze się przecież o zmianach legislacyjnych. 8. Ad Uwarunkowania i problemy cyberprzestrzeni Przywołanie zależności funkcjonowania państwa od społeczeństwa informacyjnego tu nie pasuje. Państwo nie jest uzależnione w większym stopniu od społeczeństwa informacyjnego, o ile rozumiemy co to pojęcie w ogóle znaczy. Polityka nie jest konsekwentna jeżeli chodzi o odnoszenie się do obszarów, których dotyczy. W akapicie szóstym nacisk położono na gospodarkę RP, podczas gdy wcześniej koncentrowano się na zadaniach administracji publicznej. Celowym wydaje się jednoznaczne określenie obszarów, których dotyczy Polityka. Nie wiadomo na jakiej zasadzie zalecenia Polityki mają być rekomendowane również przedsiębiorcom i co z tego wynika. Kwestia partnerstwa publiczno- prywatnego w budowaniu systemu bezpieczeństwa informacyjnego państwa nie powinna być kwitowana tak lakonicznymi stwierdzeniami. Nie powinno się deklarować, że Polityka nie narusza postanowień zawartych w Narodowym Programie Ochrony Infrastruktury Krytycznej. To dokumenty różnej rangi, ale powinny być zachować zgodność. Określenie, że Infrastruktura teleinformatyczna CRP musi być chroniona przed atakami z cyberprzestrzeni, zniszczeniem, uszkodzeniem i dostępem osób nieuprawnionych nie odwołuje się 9

10 do podstawowych cech zapewnienia bezpieczeństwa, czyli poufności, integralności i dostępności, a zatem jest błędnym wskazaniem priorytetów ochrony. Czym miałyby być szablony sprawozdań dotyczące rodzajów ryzyka, do kogo i na jakich zasadach przekazywane? Czym mają być minimalne standardy bezpieczeństwa, biorąc pod uwagę dynamikę zmienności zagrożeń w cyberprzestrzeni? Wszystkie te lakoniczne propozycje niewiele wyjaśniają, a oznaczają organizację nowych struktur administracji, która miałby kontrolować nowe obowiązki sprawozdawcze. 9. Ad Główne kierunki działań. Ocena ryzyka. Dokonaniem oceny ryzyka zostanie obarczona jedynie administracja rządowa. Nie kwestionując konieczności przeprowadzania oceny ryzyka i oczywistych korzyści wynikających z tego faktu, należy podkreślić, że administracja rządowa to jedynie wąski wycinek użytkowników CRP. Większość obserwowanych zagrożeń CRP płynęło ze sfery spoza administracji. Warto byłoby zatem wskazać w Polityce również na konieczność przeprowadzania oceny ryzyka przez innych użytkowników CRP, w szczególności dotyczy to dostawców usług internetowych czy przedsiębiorców telekomunikacyjnych. Wymagałoby to podjęcia działań legislacyjnych w ramach działań przewidzianych w rozdz. 3.3 albo upowszechnienia praktyki dokonywania oceny ryzyka w ramach działań regulatora rynku telekomunikacyjnego np. wykorzystując miękkie regulacje, o których mowa w rozdz Komunikacja w sprawie oceny ryzyk w systemie ochrony powinna być zadaniem ciągłym. Sprawozdawczość nie może być działaniem samym w sobie, sprowadzającym się do sporządzenia rocznych sprawozdań, które każda jednostka administracji przekaże Ministrowi Administracji i Cyfryzacji. Zadaniem ministra właściwego ds. informatyzacji ma być przekazanie Prezesowi Rady Ministrów sprawozdania dotyczącego zagrożeń i słabych punktów cyberprzestrzeni RP. Podstawą do przygotowania sprawozdania powinny być z kolei sprawozdania przekazywane przez jednostki administracji rządowej, co Polityka pomija w akapicie trzecim. Warto aby przedstawienie katalogów zawierających specyfikację zagrożeń oraz możliwych podatności godzących w bezpieczeństwo cyberprzestrzeni, Rządowy Zespół Reagowania na Incydenty przedstawiał nie rzadziej niż raz na rok, z rekomendacją wykonywania tego zadania raz na pół roku. 10. Ad Główne kierunki działań. Bezpieczeństwo portali administracji rządowej. Wartość informacyjna tego punktu jest niewielka. Nie zawiera on żadnych konkretnych rozstrzygnięć o charakterze strategicznym. To podejście konserwatywne, portale (strony internetowe) to tylko rodzaj interfejsu komunikacyjnego. Coraz więcej informacji bywa przekazywanych w sposób zautomatyzowany. Będzie też rosnąć rola najróżniejszych serwisów społecznościowych, aplikacji w serwisach mobilnych. 10

11 Polityka komunikacji musi być uzależniona od rodzaju stron internetowych: Publicznie dostępne strony jednostek administracji (BIP, strony typu portalowego). Kategoria takich witryn internetowych nadaje się do ustandaryzowania zasad bezpieczeństwa, bowiem większość tych stron charakteryzuje się podatnością na podobne ryzyka. Obecna propozycja, aby każdy urząd sam określał ryzyko i wdrażał "odpowiednie" zabezpieczenia niewiele wnosi. Dla portali rządowych tego typu należy określić przynajmniej minimalny poziom weryfikacji zabezpieczeń - na przykład automatyczny skan bezpieczeństwa wykonywany minimum raz w roku. Właściwy do koordynacji organ powinien przedstawić inicjatywę, oferując pewną, prostą i tanią (lub bezpłatną) usługę skanowania jako wariant minimum. Pozwoli to na wykorzystanie efektu skali i zamówienie usługi przez Centrum Usług Wspólnych KPRM albo w ogóle zakup skanera o odpowiedniej wydajności. Strony typu transakcyjnego (jak epuap, PUE ZUS itd). Dla urzędów posiadających takie serwisy powinny z komentowanego punktu wynikać co najmniej przybliżone minimalne wymagania dotyczące badania skuteczności zabezpieczeń - na przykład test penetracyjny i skan kodu źródłowego. Kluczową wartością dodaną Polityki będą w takim przypadku na przykład zalecenia dotyczące poprawnego zamawiania tego typu usług, co znowu pozwoli uniknąć błędów popełnianych podczas zamówień indywidualnych, dokonywanych przez osoby bez odpowiedniego przygotowania. Tytuł komentowanego punktu odbiega od treści zawartej w tym punkcie, bowiem mówi się tam o stronach internetowych jednostek organizacyjnych, nie tylko o portalach administracji rządowej, jak zdaje się sugerować tytuł. Polityka w akapicie drugim całkowicie pomija możliwość udziału instytucji pozarządowych w tworzeniu zaleceń oraz dobrych praktyk z zakresu bezpieczeństwa. Biorąc pod uwagę, iż strony internetowe stanowią według Polityki główne miejsce wymiany informacji pomiędzy jednostkami administracji a obywatelem, w e- społeczeństwie, pominięcie czynnika obywatelskiego oraz profesjonalnego nie znajduje uzasadnienia. Zalecania ma przygotować Zespół zadaniowy do spraw ochrony portali rządowych. Konieczny jest tu komentarz. Zespół został powołany ad- hoc w styczniu, by doraźnie rozstrzygnąć problemy z zarządzaniem bezpieczeństwem rządowych stron internetowych. Jaki ma być status tego zespołu, jeżeli ma wypełniać zadania o charakterze ciągłym. W tym miejscu stosowne byłyby wnioski z prawie rocznej pracy. Sprecyzowanie statusu i potrzeba przedstawienia wniosków dotyczy również Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL. Uwaga ogólna: W tej i dalszej części polityki pojawia się bezosobowy styl proponuje się. Kto proponuje i w jakim trybie? 11. Ad Główne kierunki działań. Założenia działań legislacyjnych. Regulacje prawne nie mają mieć na celu zwiększenie poczucia bezpieczeństwa, lecz po prostu zwiększenie bezpieczeństwa. O jakiego rodzaju regulacje prawne chodzi. To na użytek 11

12 przygotowania Polityki powinno się dokonać przynajmniej wstępnej analizy obowiązującego prawa, a także ewentualnego zapotrzebowania na nowe uregulowania. 12. Ad Główne kierunki działań. Założenia działań proceduralno organizacyjnych. Nie wyjaśniono co to są działania proceduralno- organizacyjne. Mechanizmy wprowadzania miękkich regulacji dotyczą głównie podmiotów poza administracją. Chodzi np. o kodeksy dobrych praktyk, standardy, wymagania techniczne, które trudno skutecznie i na czas skodyfikować. Złożoność tych kwestii nie powinna być skwitowana jednym zdaniem polityki. Czy zachęta państwa do stosowania miękkich regulacji zostanie obwarowana jakąś sankcją za ich unikanie? Można ewentualnie rozważyć sposoby premiowania za wprowadzanie takich mechanizmów. Nie wskazano przy tym kto będzie odpowiadać za uruchomienie projektów w zakresie miękkich mechanizmów regulacji. Zwykle są to organizacje przedsiębiorców. W ostatnim akapicie, podobnie jak w innych miejscach Polityki mówi się o projektach szczegółowych bez wskazania podmiotów odpowiedzialnych za ich realizację, czasu ich powstania i dokładniejszego zakresu. Polityka nie zawiera nawet listy tych projektów. Przedstawione tym samym dalej, na stronach Polityki, kryteria oceny oraz mierniki oceny skuteczności projektów szczegółowych są mało zrozumiałe, gdyż nie można odnieść ich do konkretnych projektów szczegółowych. Wydaje się, że bez szkody dla dokumentu można te kryteria i mierniki pominąć. 13. Ad Główne kierunki działań. Założenia działań proceduralno organizacyjnych. Zarządzanie bezpieczeństwem cyberprzestrzeni RP. Brakuje w tym miejscu analizy umocowania prawnego postulowanego zespołu odpowiedzialnego za przygotowywanie rekomendacji dla właściwego ministra z zakresu wykonania czy koordynacji wszelkich działań związanych z bezpieczeństwem CRP, a także właściwości ministra. Według Polityki odpowiedzialnym za bezpieczeństwo CRP jest Rada Ministrów. Trudno zrozumieć rozdzielenie funkcji odpowiedzialnego za od funkcji koordynacji wszelkich działań związanych z jej bezpieczeństwem (dotyczy CRP), a takie rozdzielenie następuje w przypadku powołania przez Prezesa Rady Ministrów specjalnego zespołu. Zamieszanie w kwestii odpowiedzialności za koordynację potęguje fakt, iż Polityka wskazuje ministra właściwego ds. informatyzacji jako koordynatora Krajowego Systemu Reagowania na Incydenty Komputerowe w CRP. Kontrowersyjne wydaje się nadto przypisanie roli narodowego CERT zespołowi CERT.GOV.PL. Obszarem działania CERT.GOV.PL jest domena gov.pl. Rozszerzenie tego obszaru na domenę.pl zespołowi umiejscowionemu w Agencji Bezpieczeństwa Wewnętrznego w praktyce znacznie utrudni współpracę z jednostkami organizacyjnymi spoza obszaru administracji publicznej, podczas gdy jak wskazuje Polityka współpraca taka jest podstawą do podniesienia poziomu bezpieczeństwa CRP. Mowa jest o tym, że zespół, który jeszcze nie jest powołany przygotuje rekomendacje dla ministra w ciągu 30 dni. W dokumencie rangi Polityka taka deklaracja gotowości nie wydaje się potrzebna, ale 12

13 jeżeli jest to założenie ekspresowej skutecznej pracy wymagałoby wyjaśnienia. Jeżeli zaryzykować stwierdzenie, że być może projekt tego rodzaju rekomendacji już wstępnie przygotowano, to dlaczego nie zawarto ich w Polityce? Tytuł podpunktu wskazuje, iż podpunkt będzie dotyczył zarządzania bezpieczeństwem, tymczasem z jego treści wynika, iż odnosi się wyłącznie do rekomendowania określonych działań, nie zarządzania. 14. Ad Główne kierunki działań. Założenia działań proceduralno organizacyjnych. System zarządzania bezpieczeństwem w jednostce organizacyjnej. Ponownie tytuł podpunktu nie znajduje odzwierciedlenia w treści podpunktu. W tytule mowa jest o jednostkach organizacyjnych, a w treści podpunktu już tylko o administracji rządowej. Warto również zauważyć, iż zgodnie z akapitem pierwszym kierownik jednostki nie może opierać się o najlepsze praktyki, skoro nie zostały one jeszcze wskazane. W akapicie drugim zostało użyte słowo Polityka pisane z wielkiej litery w kontekście polityki danej jednostki. Biorąc pod uwagę zdefiniowanie tego pojęcia w komentowanym dokumencie, jego użycie w kontekście polityki bezpieczeństwa danej jednostki jest nieprawidłowe. Polityka w akapicie trzecim posługuje się niezdefiniowanym pojęciem systemów zarządzania bezpieczeństwem informacji. Biorąc pod uwagę, iż minister właściwy ds. informatyzacji wraz z Ministrem Obrony Narodowej i Szefem ABW mają ustalić wytyczne dla wymienionych systemów, to warto określić w treści Polityki o jakie dokładnie systemy chodzi. 15. Ad Główne kierunki działań. Założenia dotyczące kształcenia, szkoleń i uświadamiania w dziedzinie bezpieczeństwa We wstępie do rozdziału użyto określenia, że zakłada się, że działania z tego zakresu będą prowadzone wśród obecnych oraz przyszłych użytkowników CRP. Wydaje się to oczywistością, która nie wprowadza istotnej treści w warstwie merytorycznej. 16. Ad Główne kierunki działań. Kampania społeczna o charakterze edukacyjno prewencyjnym W akapicie pierwszym wśród zagrożeń czekających na dzieci w sieci wskazano uzależnienie od Internetu. Wydaje się, że tego typu zagrożenie nie powinno być obiektem zainteresowania w ramach ustalania zasad ochrony CRP, gdyż stanowi nie tyle zagrożenie techniczne co zagrożenie o charakterze psychofizycznym. To ważny, ale zupełnie odrębny obszar tematyczny. W Polityce wygląda dezorientująco, podobnie jak banalnie brzmią deklaracje typu zakłada się, że kampania edukacyjno- prewencyjna skierowana będzie do ogółu społeczeństwa. 17. Ad Główne kierunki działań. Rozbudowa zespołów reagowania na incydenty bezpieczeństwa teleinformatycznego w administracji rządowej. 13

14 Termin w języku angielskim constituency nie oznacza obszaru zadaniowego, a raczej obszar działania dla danego zespołu reagującego, dlatego jego użycie jest błędne. Obszar zadaniowy mówi raczej o zestawie usług świadczonych przez zespół reagujący dla podmiotów będących częścią jego obszaru działania. Jeśli jednak termin constituency został użyty w jego prawidłowym znaczeniu, a tylko termin obszar zadaniowy jest jego nieprawidłowym tłumaczeniem, to pozostaje niejasne czy intencją było formalne podzielenie całego obszaru działania na mniejsze obszary działania poszczególnych zespołów reagujących w administracji rządowej. Należałoby jasno zapisać intencję, jeśli takowa istnieje, że w administracji rządowej powstaje wiele zespołów reagujących ze wskazanymi dla nich obszarami działania. Intencja komentowanego postanowienia jest całkowicie niejasna. Dalej rozumując jeśli intencją było stworzenie wielu zespołów reagowania (tak zdaje się sugerować tytuł rozdziału), to nawet po ich powstaniu nie będzie mowy o tworzeniu przez nie krajowego systemu reagowania na incydenty. Mogą one jedynie stanowić jego część, gdyż do takiego systemu powinny należeć również podmioty spoza administracji rządowej. Należy przy okazji jasno zdefiniować termin krajowy system reagowania na incydenty. 18. Ad Główne kierunki działań. Założenia działań technicznych. Rozbudowa systemu wczesnego ostrzegania oraz wdrażanie i utrzymanie rozwiązań prewencyjnych. Polityka stanowi dokument rządowy, stąd wskazywanie w akapicie pierwszym na projekt prowadzony na zasadach komercyjnych wspólnie z przedsiębiorcą, tj. Naukową i Akademicką Siecią Komputerową, wydaje się nieuzasadnionym preferowaniem przez polski rząd tego przedsiębiorcy. Dodatkowo projekt ma charakter szczegółowy i brak podstaw, aby tylko ten projekt oraz zapowiedź jego rozbudowy były wskazywane w treści dokumentu rządowego o charakterze ogólnym, z pominięciem innych projektów, które są lub mogą być realizowane przez instytucje rządowe we współpracy z przedsiębiorcami. Celowość kontynuowania tego projektu powinna zostać nadto zweryfikowana przy pomocy zewnętrznych podmiotów wobec stron tego projektu. 19 Ad Główne kierunki działań. Testowanie poziomu zabezpieczeń i ciągłości działania W punkcie tym w sposób zamienny wykorzystuje się terminy test i ćwiczenia. Terminy te w języku polskim mają odmienne znaczenia i należy je w opisie użyć zgodnie z intencją. Z treści wynika, że raczej chodzi o test. Dodatkowo w opisie mowa jest o tym, że PBC powinien testować (ćwiczyć?) współpracę międzyresortową. Wydaje się, że tego typu zadanie powinno zostać wyznaczone w ramach zapisów dotyczących współpracy podmiotów z różnych sektorów. 20. Ad Główne kierunki działań. Założenia działań technicznych. Rozwój zespołów bezpieczeństwa. 14

15 Na podstawie treści omawianego punktu trudno jednoznacznie wskazać czy dotyczy on instytucji rządowych czy też ogółu jednostek organizacyjnych w rozumieniu Terminów. Dodatkowo zakłada się dowolność tworzenia CERT- ów w ramach jednostek organizacyjnych (?), z drugiej jednak strony wskazuje się na ich powinności w zakresie tworzenia witryn internetowych dotyczących bezpieczeństwa. Opis zawartości witryn nie jest spójny. Zawiera on zarówno rodzaje dokumentów, na przykład różnego rodzaju poradniki, dobre praktyki, jak i charakter merytoryczny treści, na przykład aktualności związane z bezpieczeństwem teleinformatycznym, a także formę techniczną ich udostępniania, na przykład ftp. Należy zaprezentować te informacje w uporządkowanej formie. Dodatkowo, wskazując te witryny, określa się je jako wewnętrzne. Z drugiej strony jest mowa o tym, że witryny będą pełnić rolę punktów zgłaszania incydentów bezpieczeństwa teleinformatycznego. Wydaje się, że zapisy te leżą w sprzeczności ze sobą, ponieważ możliwość zgłaszania incydentów zazwyczaj wiąże się z dostępnością z zewnątrz serwisu przyjmującego tego typu zgłoszenia. 21. Ad Wdrożenie i mechanizmy realizacji zapisów dokumentu. Krajowy System Reagowania na Incydenty Komputerowe w CRP. Poziom II (reagowania na incydenty komputerowe) powinien odnosić się do wszystkich funkcjonujących w kraju zespołów CERT, podobnie jak poziom III odnosi się do wszystkich administratorów systemów teleinformatycznych. W praktyce reakcją na incydent komputerowy będzie zajmował się pierwszy powiadomiony zespół CERT, co niekoniecznie oznaczać musi zespół CERT.GOV.PL lub RCZBSiUT. Podobnie koordynacyjną rolę w praktyce pełni zespół CERT posiadający największe zasoby (tak ludzkie, jak i techniczne) lub najlepiej przygotowany do prowadzenia współpracy (poprzez utrzymanie największej liczby aktywnych kontaktów z innymi zespołami CERT). W obydwu przypadkach wskazanie zespołu CERT.GOV.PL budzi wątpliwości. Wskazywanie konkretnych CERT- ów, np. TP CERT w treści dokumentu rządowego powoduje nieuzasadnione preferowanie danego przedsiębiorcy i nie znajduje podstawy w przepisach prawa, szczególnie, iż dalej mowa już o pozostałych przedsiębiorcach telekomunikacyjnych i usługodawcach świadczących usługi drogą elektroniczną. Wyróżnienie tylko niektórych przedsiębiorców z pominięciem pozostałych wydaje się niedopuszczalne. Ponadto lista istniejących CERT- ów, w tym ich nazewnictwa, jest listą dynamiczną. Dlatego podawanie konkretnych nazw zespołów jest niepotrzebne. Już obecnie lista ta jest nieaktualna. 22. Ad Wdrożenie i mechanizmy realizacji zapisów dokumentu. Mechanizmy wymiany informacji. Polityka nie wyjaśnia na czym polegać ma mechanizm wymiany informacji. Opis w komentowanym punkcie sugeruje, że oparty ma on być na systemie koordynacji, ale system ten nie jest nigdzie opisany. Można rozważać czy należy utożsamiać go z poziomem koordynacji, opisanym w pkt

16 Interpretacja taka nie wydaje się trafna, gdyż wymiana informacji ma dotyczyć zespołów CERT, a chodzi przecież poziom reagowania (choć zespoły cywilne nie są w niego włączone). Ponadto nie jest jasne dlaczego Polityka odwołuje się do wymiany informacji niejawnych skoro wcześniej w dokumencie znajduje się zastrzeżenie, że Polityka nie obejmuje strategii ochrony takich informacji (patrz uwaga z punktu 1). 23. Ad Wdrożenie i mechanizmy realizacji zapisów dokumentu. Sposoby i formy współpracy. Zapis tego punktu jest niestety niejasny. Trudno uzasadnić dlaczego postawiono w sprzeczności organy odpowiedzialne za bezpieczeństwo cyberprzestrzeni oraz odpowiedzialnych za zwalczanie przestępczości komputerowej o charakterze kryminalnym, zakładając konieczność ich współpracy. W rzeczywistości wspomniane obszary odpowiedzialności w dużym stopniu pokrywają się. Z nieznanych powodów wymieniono dwa szczególne zagadnienia: minimalizacja opóźnień reakcji na incydenty komputerowe oraz eliminacja problemów kompetencyjnych. Nie wiadomo również dlaczego pierwszy z nich stanowi podstawę do współpracy w postaci roboczej, a drugi w postaci sformalizowanej (co swoją drogą nie jest zachowaniem przeciwstawnym). 24. Ad Wdrożenie i mechanizmy realizacji zapisów dokumentu. Współpraca z przedsiębiorcami. W wyliczeniu sektorów, których ochrona przed zagrożeniami z cyberprzestrzeni jest istotna z punktu widzenia prawidłowego funkcjonowania Państwa pominięto tak istotne składniki jak transport, szczególnie transport lotniczy i kolejowy. Ostatni akapit odnosi się zbyt ogólnikowo, podobnie jak cała Polityka, do uczestnictwa przedsiębiorców, ich organizacji, a także obywateli i ich organizacji we współpracy zmierzającej do podniesienia bezpieczeństwa CRP. Pominięcie tak istotnej kwestii powoduje, iż Polityka stanowi dokument o znikomym znaczeniu społecznym. Uwaga podobna jak powyżej odnosi się również do podpunktów Współpraca z przedsiębiorcami telekomunikacyjnymi oraz Współpraca z producentami urządzeń i systemów teleinformatycznych. Zaznaczenie tylko tematu bez wskazania propozycji czyni możliwość jego realizacji mało prawdopodobną. 25. Ad Wdrożenie i mechanizmy realizacji zapisów dokumentu. Współpraca z przedsiębiorcami. Współpraca z przedsiębiorcami telekomunikacyjnymi. Nie wskazano kto ma współpracować z Urzędem Komunikacji Elektronicznej (UKE), przedsiębiorcami telekomunikacyjnymi i użytkownikami CRP. Jeżeli autorzy Polityki mieli na myśli ścisłą i skoordynowaną współpracę pomiędzy wymienionymi wyżej grupami, to wydaje się, że np. współpraca pomiędzy UKE i (wszystkimi) użytkownikami CRP nie jest możliwa. 16

17 26. Ad Ocena skuteczności Polityki. Konsekwencje naruszenia zapisów Polityki. Konsekwencja sprowadzająca się do wykluczenia się podmiotu ze społeczności informacyjnej i powstania utrudnień w dostępie do informacji publicznej nie ma zastosowania do administracji publicznej, która jest głównym adresatem Polityki. Innymi słowy Polityka nie określa jakichkolwiek konsekwencji za jej nierealizowanie. 17

KOMENTARZ DO PROJEKTU POLITYKA OCHRONY CYBERPRZESTRZENI RP

KOMENTARZ DO PROJEKTU POLITYKA OCHRONY CYBERPRZESTRZENI RP KOMENTARZ DO PROJEKTU POLITYKA OCHRONY CYBERPRZESTRZENI RP Warszawa, grudzień 2012 WSTĘP Do konsultacji publicznej przekazany został dokument Polityka ochrony Cyberprzestrzeni RP 1 jest to kolejna w ostatnich

Bardziej szczegółowo

Rekomendacje Stowarzyszenia Euro-Atlantyckiego dotyczące cyberprzestrzeni RP

Rekomendacje Stowarzyszenia Euro-Atlantyckiego dotyczące cyberprzestrzeni RP Rekomendacje Stowarzyszenia Euro-Atlantyckiego dotyczące cyberprzestrzeni RP Stowarzyszenie Euro-Atlantyckie, którego statutowym celem jest inicjowanie publicznej dyskusji oraz rozwijanie dialogu z instytucjami

Bardziej szczegółowo

Program ochrony cyberprzestrzeni RP założenia

Program ochrony cyberprzestrzeni RP założenia Program ochrony cyberprzestrzeni RP założenia Departament Bezpieczeństwa Teleinformatycznego ABW Departament Infrastruktury Teleinformatycznej MSWiA www.cert.gov.pl slajd 1 www.cert.gov.pl slajd 2 Jakie

Bardziej szczegółowo

REALIZACJA PRZEZ PODMIOTY PAŃSTWOWE ZADAŃ W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP. Wstępne wyniki kontroli przeprowadzonej w 2014 r.

REALIZACJA PRZEZ PODMIOTY PAŃSTWOWE ZADAŃ W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP. Wstępne wyniki kontroli przeprowadzonej w 2014 r. REALIZACJA PRZEZ PODMIOTY PAŃSTWOWE ZADAŃ W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP Wstępne wyniki kontroli przeprowadzonej w 2014 r. Departament Porządku i Bezpieczeństwa Wewnętrznego NAJWYŻSZA IZBA KONTROLI

Bardziej szczegółowo

Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP

Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP Dokument przyjęty przez Zespół Zadaniowy ds. bezpieczeństwa cyberprzestrzeni Rzeczypospolitej Polskiej i zatwierdzony przez Komitet

Bardziej szczegółowo

RZECZPOSPOLITA POLSKA MINISTER ADMINISTRACJI I CYFRYZACJI

RZECZPOSPOLITA POLSKA MINISTER ADMINISTRACJI I CYFRYZACJI Warszawa, dnia 17 września 2015 r. RZECZPOSPOLITA POLSKA MINISTER ADMINISTRACJI I CYFRYZACJI BM-WP.072.315.2015 Pani Małgorzata Kidawa-Błońska Marszałek Sejmu RP Szanowna Pani Marszałek, w nawiązaniu do

Bardziej szczegółowo

BEZPIECZEŃSTWO CYBERPRZESTRZENI REKOMENDACJE STOWARZYSZENIA EURO-ATLANTYCKIEGO

BEZPIECZEŃSTWO CYBERPRZESTRZENI REKOMENDACJE STOWARZYSZENIA EURO-ATLANTYCKIEGO BEZPIECZEŃSTWO CYBERPRZESTRZENI REKOMENDACJE STOWARZYSZENIA EURO-ATLANTYCKIEGO Tezy: Postęp w dziedzinie technologii informacyjnych i komunikacyjnych (ICT) przyniósł rozwój społeczeństwa informacyjnego

Bardziej szczegółowo

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji 2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa

Bardziej szczegółowo

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania

Bardziej szczegółowo

POLITYKA OCHRONY CYBERPRZESTRZENI RZECZYPOSPOLITEJ POLSKIEJ MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

POLITYKA OCHRONY CYBERPRZESTRZENI RZECZYPOSPOLITEJ POLSKIEJ MINISTERSTWO ADMINISTRACJI I CYFRYZACJI POLITYKA OCHRONY CYBERPRZESTRZENI RZECZYPOSPOLITEJ POLSKIEJ MINISTERSTWO ADMINISTRACJI I CYFRYZACJI RZECZPOSPOLITA POLSKA Ministerstwo Administracji i Cyfryzacji, Agencja Bezpieczeństwa Wewnętrznego POLITYKA

Bardziej szczegółowo

Polityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym w Końskich

Polityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym w Końskich Załącznik do Uchwały Zarządu Nr 11/XLI/14 z dnia 30 grudnia 2014r. Załącznik do uchwały Rady Nadzorczej Nr 8/IX/14 z dnia 30 grudnia 2014r. Polityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym

Bardziej szczegółowo

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz

Bardziej szczegółowo

Rola i zadania polskiego CERTu wojskowego

Rola i zadania polskiego CERTu wojskowego Rola i zadania polskiego CERTu wojskowego Tomasz DĄBROWSKID Tomasz STRYCHAREK CENTRUM KOORDYNACYJNE SYSTEMU REAGOWANIA NA INCYDENTY KOMPUTEROWE RESORTU OBRONY NARODOWEJ 1 AGENDA 1. Podstawy funkcjonowania

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja

Bardziej szczegółowo

Zaufanie i bezpieczeństwo w Europejskiej Agendzie Cyfrowej. Od idei do wdrożenia. Sesja Europejska droga do nowego ładu informacyjnego

Zaufanie i bezpieczeństwo w Europejskiej Agendzie Cyfrowej. Od idei do wdrożenia. Sesja Europejska droga do nowego ładu informacyjnego Zaufanie i bezpieczeństwo w Europejskiej Agendzie Cyfrowej. Od idei do wdrożenia XVII Forum Teleinformatyki Sesja Europejska droga do nowego ładu informacyjnego 22-23 września 2011 r. Miedzeszyn Nota:

Bardziej szczegółowo

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Powstanie i działalność Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL

Powstanie i działalność Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL Powstanie i działalność Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL Tomasz Prząda DBTI ABW 2008 1 Agenda Podstawowe informacje o CERT.GOV.PL Realizowane przedsięwzi wzięcia Statystyki

Bardziej szczegółowo

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Opracowanie z cyklu Polskie przepisy a COBIT Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Czerwiec 2016 Opracowali: Joanna Karczewska

Bardziej szczegółowo

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji

Bardziej szczegółowo

Zarządzanie projektami a zarządzanie ryzykiem

Zarządzanie projektami a zarządzanie ryzykiem Ewa Szczepańska Zarządzanie projektami a zarządzanie ryzykiem Warszawa, dnia 9 kwietnia 2013 r. Agenda Definicje Wytyczne dla zarządzania projektami Wytyczne dla zarządzania ryzykiem Miejsce ryzyka w zarządzaniu

Bardziej szczegółowo

Promotor: dr inż. Krzysztof Różanowski

Promotor: dr inż. Krzysztof Różanowski Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof

Bardziej szczegółowo

SPRAWIE ŚWIADCZEŃ GWARANTOWANYCH Z ZAKRESU OPIEKI PSYCHIATRYCZNEJ I LECZENIA UZALEŻNIEŃ

SPRAWIE ŚWIADCZEŃ GWARANTOWANYCH Z ZAKRESU OPIEKI PSYCHIATRYCZNEJ I LECZENIA UZALEŻNIEŃ Warszawa, dn. 19.12.2014 r. Sz. Pan Minister Piotr Warczyński Ministerstwo Zdrowia ul. Miodowa 15 00-952 Warszawa Szanowny Panie Ministrze, W związku z prowadzonymi przez Ministerstwo Zdrowia konsultacjami

Bardziej szczegółowo

dr Beata Zbarachewicz

dr Beata Zbarachewicz dr Beata Zbarachewicz Rządowy Program Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej na lata 2011-2016, Warszawa, czerwiec 2010 RAPORTY CERT.GOV.PL Raport o stanie bezpieczeństwa cyberprzestrzeni RP

Bardziej szczegółowo

PROCEDURA. Monitorowanie i aktualizacja planów strategicznych

PROCEDURA. Monitorowanie i aktualizacja planów strategicznych I. Cel działania Celem niniejszej procedury jest zapewnienie, iż działania związane z zarządzaniem Miastem odbywają się w sposób planowy, zgodny z przyjętą Strategią rozwoju społeczno-gospodarczego Miasta

Bardziej szczegółowo

Biuro Prawne Warszawa, dnia 1 lipca 2011 r. Centralne Biuro Antykorupcyjne

Biuro Prawne Warszawa, dnia 1 lipca 2011 r. Centralne Biuro Antykorupcyjne Biuro Prawne Warszawa, dnia 1 lipca 2011 r. Centralne Biuro Antykorupcyjne ZESTAWIENIE uwag do projektu rozporządzenia w sprawie sposobu dokumentowania prowadzonej przez Centralne Biuro Antykorupcyjne

Bardziej szczegółowo

Z dnia 2016 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej

Z dnia 2016 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej ROZPORZĄDZENIE Projekt 03.06.2016 r. MINISTRA CYFRYZACJI 1) Z dnia 2016 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej Na podstawie art. 19a ust.

Bardziej szczegółowo

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem

Bardziej szczegółowo

Warszawa, dnia 12 maja 2016 r. Poz. 20

Warszawa, dnia 12 maja 2016 r. Poz. 20 Warszawa, dnia 12 maja 2016 r. Poz. 20 Z A R Z Ą D Z E N I E N R 15 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 10 maja 2016 r. w sprawie Karty audytu wewnętrznego w Ministerstwie Spraw

Bardziej szczegółowo

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji Wyrok Trybunału Konstytucyjnego 2 Warszawa, dnia 9 kwietnia 2015 r. WYROK

Bardziej szczegółowo

Nr paragrafu (np. 10) lub nazwa (np. wniosek o przeprowadzen ie konsultacji) MIASTO TORUŃ

Nr paragrafu (np. 10) lub nazwa (np. wniosek o przeprowadzen ie konsultacji) MIASTO TORUŃ Nr paragrafu (np. 10) lub nazwa (np. wniosek o przeprowadzen ie konsultacji) 1. 1. Konsultacje społeczne, zwane dalej konsultacjami, przeprowadza się w celu: Regulamin konsultacji społecznych Formularz

Bardziej szczegółowo

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych

Bardziej szczegółowo

Warszawa, 2 września 2013 r.

Warszawa, 2 września 2013 r. Założenia merytoryczne i organizacyjne do audytu wewnętrznego zleconego w zakresie zarządzania bezpieczeństwem systemów teleinformatycznych w wybranych urzędach administracji rządowej Warszawa, 2 września

Bardziej szczegółowo

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o.

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o. Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o. Dokument przygotowany w oparciu o obowiązujące przepisy prawa, dot. ochrony zasobów ludzkich, materialnych i niematerialnych. Przygotował

Bardziej szczegółowo

Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych. dla Komisji Rynku Wewnętrznego i Ochrony Konsumentów

Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych. dla Komisji Rynku Wewnętrznego i Ochrony Konsumentów PARLAMENT EUROPEJSKI 2009-2014 Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych 2013/0027(COD) 2.9.2013 PROJEKT OPINII Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

Bardziej szczegółowo

Warszawa, dnia 6 maja 2015 r. Poz. 16 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 6 maja 2015 r.

Warszawa, dnia 6 maja 2015 r. Poz. 16 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 6 maja 2015 r. DZIENNIK URZĘDOWY MINISTRA SPRAW ZAGRANICZNYCH Warszawa, dnia 6 maja 2015 r. Poz. 16 Z A R Z Ą D Z E N I E N R 15 M I N I S T R A S P R AW Z A G R A N I C Z N Y C H 1) z dnia 6 maja 2015 r. w sprawie Karty

Bardziej szczegółowo

Uwagi do projektów rozporządzeń związanych z platformą epuap

Uwagi do projektów rozporządzeń związanych z platformą epuap Paweł Krawczyk Kraków, 28 maja 2010 ul. Miechowity 15/19 31-475 Kraków tel +48 602 776959 email pawel.krawczyk@hush.com Ministerstwo Spraw Wewnętrznych i Administracji ul. Stefana Batorego 5 02-591 Warszawa

Bardziej szczegółowo

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Edyta Bielak-Jomaa Warszawa, dnia 12 maja 2016 r. DOLiS-033-133/16 Podsekretarz Stanu w Ministerstwie Spraw Wewnętrznych i Administracji w związku z zamieszczeniem

Bardziej szczegółowo

MINISTERSTWO FINANSÓW S P R A W O Z D A N I E

MINISTERSTWO FINANSÓW S P R A W O Z D A N I E MINISTERSTWO FINANSÓW Pełnomocnik Rządu do Spraw Wprowadzenia Euro przez Rzeczpospolitą Polską S P R A W O Z D A N I E za okres od dnia 26 stycznia do dnia 31 marca 2009 r. z działalności Pełnomocnika

Bardziej szczegółowo

Warszawa, dnia 19 maja 2009 r.

Warszawa, dnia 19 maja 2009 r. Warszawa, dnia 19 maja 2009 r. Opinia do ustawy o zmianie ustawy o przeciwdziałaniu wprowadzaniu do obrotu finansowego wartości majątkowych pochodzących z nielegalnych lub nieujawnionych źródeł oraz o

Bardziej szczegółowo

MEMORANDUM INFORMACYJNE

MEMORANDUM INFORMACYJNE PRZEMYSŁAW R. STOPCZYK MAŁGORZATA GŁUSZEK STOPCZYK BARBARA TREFOŃ JABŁOŃSKA ANDŻELIKA MADEJ KOWAL ROBERT MIKULSKI ANDRZEJ FILIP MAŁGORZATA SIKORA BARTOSZ MARCINIAK AGNIESZKA ZWIERZYŃSKA PAULINA ŻABIŃSKA

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Zarządzanie bezpieczeństwem informacji w urzędach pracy Materiał informacyjny współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego Zarządzanie bezpieczeństwem informacji w urzędach pracy Radek Kaczorek, CISA, CIA, CISSP,

Bardziej szczegółowo

Zgłaszanie przypadków nieprawidłowości i nadużyć finansowych do Komisji Europejskiej w Polsce

Zgłaszanie przypadków nieprawidłowości i nadużyć finansowych do Komisji Europejskiej w Polsce Tylko do użytku służbowego Zgłaszanie przypadków nieprawidłowości i nadużyć finansowych do Komisji Europejskiej w Polsce Seminarium na temat środków zwalczania korupcji i nadużyć finansowych w ramach europejskich

Bardziej szczegółowo

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy

Bardziej szczegółowo

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie. Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie. Podstawa prawna: 1. Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz.U. 2002 nr

Bardziej szczegółowo

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP ZARZĄDZENIE NR 33/08 Rektora-Komendanta Szkoły Głównej Służby Pożarniczej z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP Na podstawie 16 Regulaminu organizacyjnego

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA PROJEKTAMI STRATEGICZNYMI

INSTRUKCJA ZARZĄDZANIA PROJEKTAMI STRATEGICZNYMI Załącznik Nr 2 do Zarządzenia Nr 52/2014 Rektora UMCS INSTRUKCJA ZARZĄDZANIA PROJEKTAMI STRATEGICZNYMI Spis treści Słownik pojęć... 1 Cz. 1 Inicjatywy Projektów Strategicznych... 2 Cz. 2 Realizacja Projektów

Bardziej szczegółowo

KARTA WSPÓŁPRACY GMINY SIEDLEC Z ORGANIZACJAMI POZARZĄDOWYMI NA LATA 2005 2010

KARTA WSPÓŁPRACY GMINY SIEDLEC Z ORGANIZACJAMI POZARZĄDOWYMI NA LATA 2005 2010 KARTA WSPÓŁPRACY GMINY SIEDLEC Z ORGANIZACJAMI POZARZĄDOWYMI NA LATA 2005 2010 Wrzesień 2005 ROZDZIAŁ I Definicje i określenia 1. Definicje: - działalność pożytku publicznego jest to działalność społecznie

Bardziej szczegółowo

SYSTEM ZARZĄDZANIA RYZYKIEM W DZIAŁALNOŚCI POLITECHNIKI WARSZAWSKIEJ FILII w PŁOCKU

SYSTEM ZARZĄDZANIA RYZYKIEM W DZIAŁALNOŚCI POLITECHNIKI WARSZAWSKIEJ FILII w PŁOCKU P OLITECHNIK A W AR S Z AWSKA FILIA W PŁOCKU ul. Łukasiewicza 17, 09-400 Płock SYSTEM ZARZĄDZANIA RYZYKIEM W DZIAŁALNOŚCI POLITECHNIKI WARSZAWSKIEJ FILII w PŁOCKU Opracowano na podstawie załącznika do

Bardziej szczegółowo

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014 1 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia)

Bardziej szczegółowo

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin zasad funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach

Bardziej szczegółowo

PROCEDURA zarządzania ryzykiem w Gminnym Ośrodku Pomocy Społecznej w Świdwinie

PROCEDURA zarządzania ryzykiem w Gminnym Ośrodku Pomocy Społecznej w Świdwinie PROCEDURA zarządzania ryzykiem w Gminnym Ośrodku Pomocy Społecznej w Świdwinie I. Postanowienia ogólne 1. Gminny Ośrodek Pomocy Społecznej w Świdwinie jest jednostką finansów publicznych realizującą zadania

Bardziej szczegółowo

Spis treści. Analiza Ryzyka Instrukcja Użytkowania

Spis treści. Analiza Ryzyka Instrukcja Użytkowania Maj 2013 Spis treści 1. Wprowadzenie... 3 2. Podstawy prawne... 4 3. Zasada działania programu... 6 4. Zgodność z analizą zagrożeń... 7 5. Opis programu... 8 5.1. Menu Górne... 9 5.2. Status... 10 5.3.

Bardziej szczegółowo

Opis znaczenia kryterium. Lp. Nazwa kryterium Opis kryterium. 1. Wnioskodawca przeprowadził inwentaryzację zasobów nauki objętych projektem.

Opis znaczenia kryterium. Lp. Nazwa kryterium Opis kryterium. 1. Wnioskodawca przeprowadził inwentaryzację zasobów nauki objętych projektem. Kryteria merytoryczne wyboru projektów dla poddziałania 2.3.1 Cyfrowe udostępnianie informacji sektora publicznego (ISP) ze źródeł administracyjnych oraz zasobów nauki Programu Operacyjnego Polska Cyfrowa

Bardziej szczegółowo

Informatyzacja administracji publicznej w Polsce w świetle polityki społeczeństwa informacyjnego UE

Informatyzacja administracji publicznej w Polsce w świetle polityki społeczeństwa informacyjnego UE EDYTA BARACZ Informatyzacja administracji publicznej w Polsce w świetle polityki społeczeństwa informacyjnego UE Społeczeństwo informacyjne to typ społeczeństwa, którego kształtowanie się ściśle związane

Bardziej szczegółowo

Zasada równości szans kobiet i mężczyzn w ramach EFS 2014-2020. Warszawa 12.12.2014

Zasada równości szans kobiet i mężczyzn w ramach EFS 2014-2020. Warszawa 12.12.2014 Zasada równości szans kobiet i mężczyzn w ramach EFS 2014-2020 Warszawa 12.12.2014 Fundusze Strukturalne 2014-2020 Polityki horyzontalne Rozporządzenie ogólne 2014-2020 zasadę równości szans płci i równości

Bardziej szczegółowo

Część IV. System realizacji Strategii.

Część IV. System realizacji Strategii. Część IV. System realizacji Strategii. Strategia jest dokumentem ponadkadencyjnym, określającym cele, kierunki i priorytety działań na kilka lat oraz wymagającym ciągłej pracy nad wprowadzaniem zmian i

Bardziej szczegółowo

System Zachowania Ciągłości Funkcjonowania Grupy KDPW

System Zachowania Ciągłości Funkcjonowania Grupy KDPW System Zachowania Ciągłości Funkcjonowania Grupy KDPW Dokument Główny Polityka SZCF (wyciąg) Warszawa, dnia 21 czerwca 2013 r. Spis treści 1. Wprowadzenie... 3 2. Założenia ogólne SZCF... 3 2.1. Przypadki

Bardziej szczegółowo

LII Spotkanie audytorów wewnętrznych z jednostek sektora finansów publicznych

LII Spotkanie audytorów wewnętrznych z jednostek sektora finansów publicznych LII Spotkanie audytorów wewnętrznych z jednostek sektora finansów publicznych ul. Świętokrzyska 12 00-916 Warszawa tel.: +48 22 123 45 67 fax :+48 22 123 45 67 Warszawa 23 września 2014 r. www.mf.gov.pl

Bardziej szczegółowo

SKZ System Kontroli Zarządczej

SKZ System Kontroli Zarządczej SKZ System Kontroli Zarządczej KOMUNIKAT Nr 23 MINISTRA FINANSÓW z dnia 16 grudnia 2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych Na podstawie art. 69 ust. 3 ustawy z

Bardziej szczegółowo

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ Warszawa, dnia 7 sierpnia 2015 r. Poz. 1128 OBWIESZCZENIE PREZESA RADY MINISTRÓW z dnia 15 lipca 2015 r. w sprawie ogłoszenia jednolitego tekstu rozporządzenia

Bardziej szczegółowo

Szczegółowy Opis Przedmiotu Zamówienia Dla zamówienia publicznego poniżej 14 000 EUR brutto

Szczegółowy Opis Przedmiotu Zamówienia Dla zamówienia publicznego poniżej 14 000 EUR brutto Szczegółowy Opis Przedmiotu Zamówienia Dla zamówienia publicznego poniżej 14 000 EUR brutto 1. Temat badania 2. Tło Ewaluacja komponentu wolontariatu długoterminowego wdrażanego w latach 2012-2013 w ramach

Bardziej szczegółowo

Warszawa, dnia 13 sierpnia 2013 r. Poz. 927 OBWIESZCZENIE PREZESA RADY MINISTRÓW. z dnia 29 kwietnia 2013 r.

Warszawa, dnia 13 sierpnia 2013 r. Poz. 927 OBWIESZCZENIE PREZESA RADY MINISTRÓW. z dnia 29 kwietnia 2013 r. DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ Warszawa, dnia 13 sierpnia 2013 r. Poz. 927 OBWIESZCZENIE PREZESA RADY MINISTRÓW z dnia 29 kwietnia 2013 r. w sprawie ogłoszenia jednolitego tekstu rozporządzenia

Bardziej szczegółowo

SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY. Europejski program bezpieczeństwa lotniczego

SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY. Europejski program bezpieczeństwa lotniczego KOMISJA EUROPEJSKA Bruksela, dnia 7.12.2015 r. COM(2015) 599 final SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY Europejski program bezpieczeństwa lotniczego PL PL 1. KOMUNIKAT KOMISJI Z 2011

Bardziej szczegółowo

Społeczeństwo obywatelskie w Parlamencie RP V kadencji (2005-2009) Projekt badawczy Ogólnopolskiej Federacji Organizacji Pozarządowych ANKIETA

Społeczeństwo obywatelskie w Parlamencie RP V kadencji (2005-2009) Projekt badawczy Ogólnopolskiej Federacji Organizacji Pozarządowych ANKIETA ul. Szpitalna 5/5, 00-031 Warszawa, tel. (022) 828 91 28 wew. 135 fax. (022) 828 91 29 Społeczeństwo obywatelskie w Parlamencie RP V kadencji (2005-2009) Projekt badawczy Ogólnopolskiej Federacji Organizacji

Bardziej szczegółowo

Opis znaczenia kryterium. Lp. Nazwa kryterium Opis kryterium

Opis znaczenia kryterium. Lp. Nazwa kryterium Opis kryterium Kryteria merytoryczne wyboru projektów dla poddziałania 2.3.2 Cyfrowe udostępnienie zasobów kultury Programu Operacyjnego Polska Cyfrowa na lata 2014-2020 Typ projektu Cyfrowe udostępnienie zasobów kultury

Bardziej szczegółowo

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI MINISTERSTWO ADMINISTRACJI I CYFRYZACJI S y s t e m Z a r z ą d z a n i a B e z p i e c z e ń s t w e m I n f o r m a c j i w u r z ę d z i e D e f i n i c j e Bezpieczeństwo informacji i systemów teleinformatycznych

Bardziej szczegółowo

EFEKTY KSZTAŁCENIA DLA KIERUNKU STUDIÓW BEZPIECZEŃSTWO WEWNĘTRZNE STUDIA II STOPNIA PROFIL PRAKTYCZNY

EFEKTY KSZTAŁCENIA DLA KIERUNKU STUDIÓW BEZPIECZEŃSTWO WEWNĘTRZNE STUDIA II STOPNIA PROFIL PRAKTYCZNY EFEKTY KSZTAŁCENIA DLA KIERUNKU STUDIÓW BEZPIECZEŃSTWO WEWNĘTRZNE STUDIA II STOPNIA PROFIL PRAKTYCZNY Umiejscowienie kierunku w obszarze kształcenia Kierunek studiów bezpieczeństwo wewnętrzne należy do

Bardziej szczegółowo

Zakład Ubezpieczeń Społecznych Departament Zamówień Publicznych ul. Szamocka 3, 5, 01-748 Warszawa

Zakład Ubezpieczeń Społecznych Departament Zamówień Publicznych ul. Szamocka 3, 5, 01-748 Warszawa Zakład Ubezpieczeń Społecznych Departament Zamówień Publicznych ul. Szamocka 3, 5, 01-748 Warszawa 993200/UE/UE/1/2009/18/Z2/370/IN-462/2012 Warszawa, dnia 04 czerwca 2012 r. Informacja dla Wykonawców

Bardziej szczegółowo

Informatyka w kontroli i audycie

Informatyka w kontroli i audycie Informatyka w kontroli i audycie Informatyka w kontroli i audycie Wstęp Terminy zajęć 30.11.2013 - godzina 8:00-9:30 ; 9:45-11:15 15.12.2013 - godzina 8:00-9:30 ; 9:45-11:15 05.04.2014 - godzina 15:45-17:15

Bardziej szczegółowo

DLA SEKTORA INFORMATYCZNEGO W POLSCE

DLA SEKTORA INFORMATYCZNEGO W POLSCE DLA SEKTORA INFORMATYCZNEGO W POLSCE SRK IT obejmuje kompetencje najważniejsze i specyficzne dla samego IT są: programowanie i zarządzanie systemami informatycznymi. Z rozwiązań IT korzysta się w każdej

Bardziej szczegółowo

Opinia do ustawy o zmianie ustawy Prawo lotnicze

Opinia do ustawy o zmianie ustawy Prawo lotnicze Warszawa, dnia 4 lipca 2005 r. Opinia do ustawy o zmianie ustawy Prawo lotnicze Uchwalona przez Sejm w dniu 17 czerwca br. ustawa ma na celu wdrożenie czterech dyrektyw Wspólnot Europejskich regulujących

Bardziej szczegółowo

Pracodawcy Rzeczypospolitej Polskiej

Pracodawcy Rzeczypospolitej Polskiej Pracodawcy Rzeczypospolitej Polskiej Stanowisko Pracodawców RP do projektu ustawy o zmianie ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych oraz niektórych innych ustaw Pracodawcy

Bardziej szczegółowo

KARTA OCENY MERYTORYCZNEJ. Kryterium Czy warunek został spełniony? Okres realizacji projektu jest zgodny z okresem wskazanym w regulaminie

KARTA OCENY MERYTORYCZNEJ. Kryterium Czy warunek został spełniony? Okres realizacji projektu jest zgodny z okresem wskazanym w regulaminie KARTA OCENY MERYTORYCZNEJ Część I: Kryteria formalne podlegające weryfikacji na etapie oceny merytorycznej Kryterium Czy warunek został spełniony? Okres realizacji projektu jest zgodny z okresem wskazanym

Bardziej szczegółowo

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011 Architektura informacji w ochronie zdrowia Warszawa, 29 listopada 2011 Potrzeba Pomiędzy 17 a 19 kwietnia 2011 roku zostały wykradzione dane z 77 milionów kont Sony PlayStation Network. 2 tygodnie 25 milionów

Bardziej szczegółowo

RZECZPOSPOLITA POLSKA MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

RZECZPOSPOLITA POLSKA MINISTERSTWO ADMINISTRACJI I CYFRYZACJI Warszawa, 20 maja 2014 r. RZECZPOSPOLITA POLSKA MINISTERSTWO ADMINISTRACJI I CYFRYZACJI PODSEKRETARZ STANU Roman Dmowski DSI-WPIPSI.070.1.2014 DSI-WPIPSI.070.1.2014 Pan Stanisław Duda Sekretarz Stanu w

Bardziej szczegółowo

Popularyzacja podpisu elektronicznego w Polsce

Popularyzacja podpisu elektronicznego w Polsce Popularyzacja podpisu elektronicznego w Polsce Rola administracji w budowaniu gospodarki elektronicznej Warszawa, 25 września 2006 r. Poruszane tematy Wprowadzenie i kontekst prezentacji Rola administracji

Bardziej szczegółowo

Czym jest SIR? Cele szczegółowe SIR:

Czym jest SIR? Cele szczegółowe SIR: Czym jest SIR? Sieć na rzecz innowacji w rolnictwie i na obszarach wiejskich funkcjonuje w ramach Krajowej Sieci Obszarów Wiejskich (podsieć KSOW) i ma charakter otwarty. Uczestnikami Sieci mogą być wszystkie

Bardziej szczegółowo

Akredytowane szkolenie i egzamin. Zarządzanie projektami w oparciu o metodykę PRINCE2 Fundation

Akredytowane szkolenie i egzamin. Zarządzanie projektami w oparciu o metodykę PRINCE2 Fundation Akredytowane szkolenie i egzamin. Zarządzanie projektami w oparciu o metodykę PRINCE2 Fundation Opis Progress Project zaprasza do zapoznania się z programem szkolenia organizowanego przez partnera szkoleniowego,

Bardziej szczegółowo

o współpracy rozwojowej 1) Rozdział 1 Przepisy ogólne

o współpracy rozwojowej 1) Rozdział 1 Przepisy ogólne Kancelaria Sejmu s. 1/8 USTAWA z dnia 16 września 2011 r. o współpracy rozwojowej 1) Opracowano na podstawie: Dz. U. z 2011 r. Nr 234, poz. 1386, z 2013 r. poz. 1283. Rozdział 1 Przepisy ogólne Art. 1.

Bardziej szczegółowo

U Z A S A D N I E N I E

U Z A S A D N I E N I E U Z A S A D N I E N I E W dniu 15 grudnia 2006 r. (znak: SG-Greffe (2006)D/2007989; zał. K(2006)6136) przekazane zostały Polsce zarzuty formalne na mocy art. 226 Traktatu ustanawiającego Wspólnotę Europejską,

Bardziej szczegółowo

ZARZĄDZENIE nr 32/2015 r. Dyrektora Zespołu Szkół Ogólnokształcących nr 2 im. Króla Jana III Sobieskiego w Legionowie z dnia 23 kwietnia 2015 r.

ZARZĄDZENIE nr 32/2015 r. Dyrektora Zespołu Szkół Ogólnokształcących nr 2 im. Króla Jana III Sobieskiego w Legionowie z dnia 23 kwietnia 2015 r. ZARZĄDZENIE nr 32/2015 r. Dyrektora Zespołu Szkół Ogólnokształcących nr 2 im. Króla Jana III Sobieskiego w Legionowie z dnia 23 kwietnia 2015 r. w sprawie wprowadzenia Polityki zarządzania ryzykiem Na

Bardziej szczegółowo

Strategia rozwoju społeczeństwa informacyjnego w Polsce do roku 2013 STRESZCZENIE

Strategia rozwoju społeczeństwa informacyjnego w Polsce do roku 2013 STRESZCZENIE Ministerstwo Spraw Wewnętrznych i Administracji Strategia rozwoju społeczeństwa informacyjnego w Polsce do roku 2013 STRESZCZENIE październik 2008 Rząd Rzeczypospolitej Polskiej, mając na uwadze dobro

Bardziej szczegółowo

Szkolenie otwarte 2016 r.

Szkolenie otwarte 2016 r. Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie

Bardziej szczegółowo

Wzmocnienie mechanizmów współpracy finansowej administracji publicznej z organizacjami pozarządowymi jako realizatorami zadań publicznych

Wzmocnienie mechanizmów współpracy finansowej administracji publicznej z organizacjami pozarządowymi jako realizatorami zadań publicznych Wzmocnienie mechanizmów współpracy finansowej administracji publicznej z organizacjami pozarządowymi jako realizatorami zadań publicznych Raport z wdrożenia (skrót) URZĄD NAZWA WDROŻONYCH INSTRUMENTÓW

Bardziej szczegółowo

PODSUMOWANIE NABORU WNIOSKÓW NA ROK 2015 PROGRAM MINISTRA KULTURY I DZIEDZICTWA NARODOWEGO ROZWÓJ INFRASTRUKTURY KULTURY PRIORYTET 3

PODSUMOWANIE NABORU WNIOSKÓW NA ROK 2015 PROGRAM MINISTRA KULTURY I DZIEDZICTWA NARODOWEGO ROZWÓJ INFRASTRUKTURY KULTURY PRIORYTET 3 PODSUMOWANIE NABORU WNIOSKÓW NA ROK 2015 PROGRAM MINISTRA KULTURY I DZIEDZICTWA NARODOWEGO ROZWÓJ INFRASTRUKTURY KULTURY PRIORYTET 3 INFRASTRUKTURA DOMÓW KULTURY INSTYTUCJA ZARZĄDZAJĄCA NARODOWE CENTRUM

Bardziej szczegółowo

SAMOOCENA SYSTEMU KONTROLI ZARZĄDCZEJ

SAMOOCENA SYSTEMU KONTROLI ZARZĄDCZEJ Załącznik Nr 3 Do Zarządzenia Nr 56/10 STAROSTY KOSZALIŃSKIEGO z dnia 1 października 2010 r. SAMOOCENA SYSTEMU KONTROLI ZARZĄDCZEJ W STAROSTWIE POWIATOWYM W KOSZALINIE Do sporządzenia samooceny wykorzystano

Bardziej szczegółowo

KOMENDA GŁÓWNA ŻANDARMERII WOJSKOWEJ

KOMENDA GŁÓWNA ŻANDARMERII WOJSKOWEJ KOMENDA GŁÓWNA ŻANDARMERII WOJSKOWEJ ZARZĄD PREWENCJI ODDZIAŁ PROFILAKTYKI ZATWIERDZAM MINISTER OBRONY NARODOWEJ Tomasz SIEMONIAK PROGRAM ŻANDARMERII WOJSKOWEJ DOTYCZĄCY OGRANICZANIA PALENIA TYTONIU W

Bardziej szczegółowo

Pytania dotyczące CZĘŚCI III DPSN - DOBRE PRAKTYKI CZŁONKÓW RAD NADZORCZYCH

Pytania dotyczące CZĘŚCI III DPSN - DOBRE PRAKTYKI CZŁONKÓW RAD NADZORCZYCH Pytania dotyczące CZĘŚCI III DPSN - DOBRE PRAKTYKI CZŁONKÓW RAD NADZORCZYCH 1. (Ad. III. 1) Jakie informacje powinna zawierać samoocena rady nadzorczej jako odrębny dokument (punkt III.1.2 Dobrych Praktyk)

Bardziej szczegółowo

Poznaj nasze podejście do rozwoju członków korpusu służby cywilnej.

Poznaj nasze podejście do rozwoju członków korpusu służby cywilnej. Poznaj nasze podejście do rozwoju członków korpusu służby cywilnej. Skorzystaj z dobrych praktyk i przekonaj się, jak niewielkie usprawnienia mogą przynieść znaczące efekty. Od ponad pięciu lat wdrażam

Bardziej szczegółowo

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja ISO/IEC 27003:2010

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja ISO/IEC 27003:2010 Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja Plan prezentacji Norma ISO/IEC 27003:2010 Dokumenty wymagane przez ISO/IEC 27001 Przykładowe

Bardziej szczegółowo

Zarządzanie ryzykiem w bezpieczeństwie informacji

Zarządzanie ryzykiem w bezpieczeństwie informacji Zarządzanie ryzykiem w bezpieczeństwie informacji Systemy zarządzania bezpieczeństwem informacji zyskują coraz większą popularność, zarówno wśród jednostek administracji publicznej jak i firm z sektora

Bardziej szczegółowo

Szkolenie Stowarzyszenia Polskie Forum ISO 14000 Zmiany w normie ISO 14001 i ich konsekwencje dla organizacji Warszawa, 16.04.2015

Szkolenie Stowarzyszenia Polskie Forum ISO 14000 Zmiany w normie ISO 14001 i ich konsekwencje dla organizacji Warszawa, 16.04.2015 Wykorzystanie elementów systemu EMAS w SZŚ według ISO 14001:2015 dr hab. inż. Alina Matuszak-Flejszman, prof. nadzw. UEP Agenda Elementy SZŚ według EMAS (Rozporządzenie UE 1221/2009) i odpowiadające im

Bardziej szczegółowo

DZIENNIK URZĘDOWY MINISTRA KULTURY I DZIEDZICTWA NARODOWEGO. Warszawa, dnia 29 września 2014 r. Pozycja 38

DZIENNIK URZĘDOWY MINISTRA KULTURY I DZIEDZICTWA NARODOWEGO. Warszawa, dnia 29 września 2014 r. Pozycja 38 DZIENNIK URZĘDOWY MINISTRA KULTURY I DZIEDZICTWA NARODOWEGO Warszawa, dnia 29 września 2014 r. Pozycja 38 ZARZĄDZENIE MINISTRA KULTURY I DZIEDZICTWA NARODOWEGO 1) z dnia 29 września 2014 r. w sprawie Karty

Bardziej szczegółowo

Wojewódzkie centra. zarządzania kryzysowego.

Wojewódzkie centra. zarządzania kryzysowego. CENTRA ZARZĄDZANIA KRYZYSOWEGO Rządowe Centrum Bezpieczeństwa (art. 10 i art. 11) Centra zarządzania ministrów i centralnych organów administracji rządowej (art. 13 ust. 1 i 2) Wojewódzkie centra zarządzania

Bardziej szczegółowo

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. Dz.U.2004.100.1024 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,

Bardziej szczegółowo

Zmiany wymagań normy ISO 14001

Zmiany wymagań normy ISO 14001 Zmiany wymagań normy ISO 14001 Międzynarodowa Organizacja Normalizacyjna (ISO) opublikowała 15 listopada br. zweryfikowane i poprawione wersje norm ISO 14001 i ISO 14004. Od tego dnia są one wersjami obowiązującymi.

Bardziej szczegółowo

Zarządzenie Nr 18/2011 Rektora Państwowej Wyższej Szkoły Zawodowej w Koninie z dnia 29 marca 2011 r.

Zarządzenie Nr 18/2011 Rektora Państwowej Wyższej Szkoły Zawodowej w Koninie z dnia 29 marca 2011 r. Zarządzenie Nr 18/2011 Rektora Państwowej Wyższej Szkoły Zawodowej w Koninie z dnia 29 marca 2011 r. w sprawie ustanowienia Polityki zarządzania ryzykiem w Państwowej Wyższej Szkole Zawodowej w Koninie

Bardziej szczegółowo

PRAWO FARMACEUTYCZNE. Zmiana ustawy Prawo farmaceutyczne w zakresie:

PRAWO FARMACEUTYCZNE. Zmiana ustawy Prawo farmaceutyczne w zakresie: BKS/DPK-134-28508/13 EK Warszawa, dnia 10 maja 2013 r. BKS/DPK-134-28557/13 EK Nr: 28508, 28557 Data wpływu 29 i 31 stycznia 2013 r. Data sporządzenia informacji o petycji 17 kwietnia 2013 r. PRAWO FARMACEUTYCZNE

Bardziej szczegółowo