KOMENTARZ DO PROJEKTU POLITYKA OCHRONY CYBERPRZESTRZENI RP



Podobne dokumenty
Polityka Ochrony Cyberprzestrzeni RP.

Polityka Ochrony Cyberprzestrzeni RP

Rekomendacje Stowarzyszenia Euro-Atlantyckiego dotyczące cyberprzestrzeni RP

Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele

Program ochrony cyberprzestrzeni RP założenia

RZECZPOSPOLITA POLSKA MINISTER ADMINISTRACJI I CYFRYZACJI

REALIZACJA PRZEZ PODMIOTY PAŃSTWOWE ZADAŃ W ZAKRESIE OCHRONY CYBERPRZESTRZENI RP. Wstępne wyniki kontroli przeprowadzonej w 2014 r.

BEZPIECZEŃSTWO CYBERPRZESTRZENI REKOMENDACJE STOWARZYSZENIA EURO-ATLANTYCKIEGO

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o.

Miejsce NC Cyber w systemie bezpieczeństwa teleinformatycznego państwa

Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Realizacja przez podmioty państwowe zadań w zakresie ochrony cyberprzestrzeni RP

Na czym polega planowanie ochrony informacji niejawnych w jednostce organizacyjnej?

Działania Ministerstwa Spraw Zagranicznych wspierające samorządowy i obywatelski wymiar polskiej polityki zagranicznej

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

Druk nr 4355 Warszawa, 10 czerwca 2011 r.

Uwagi do projektu ustawy o Narodowym Centrum Rozwoju Społeczeństwa Obywatelskiego (projekt ustawy z dn r.)

POLITYKA OCHRONY CYBERPRZESTRZENI RZECZYPOSPOLITEJ POLSKIEJ MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Znaczenie rozwoju systemów rejestrów publicznych dla infrastruktury informatycznej państwa potrzeba i kierunki zmian"

POLITYKA OCHRONY CYBERPRZESTRZENI RZECZYPOSPOLITEJ POLSKIEJ

Partycypacja w procesie tworzenia miejscowych planów zagospodarowania przestrzennego. Kraków, r.

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

STOPNIE ALARMOWE PODSTAWA PRAWNA

WIELOLETNI PROGRAM WSPÓŁPRACY MIASTA CZĘSTOCHOWY Z ORGANIZACJAMI POZARZĄDOWYMI na lata Uzasadnienie programu

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

dr Beata Zbarachewicz

Działania Rządu na rzecz CSR w Polsce. Zespół do spraw Społecznej Odpowiedzialności Przedsiębiorstw

LEGISLACJA A DOSTĘP DO NOWOCZESNYCH TERAPII

KARTA WSPÓŁPRACY GMINY SIEDLEC Z ORGANIZACJAMI POZARZĄDOWYMI NA LATA

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Wzmocnienie potencjału administracji samorządowej. Program Operacyjny Kapitał Ludzki Działanie 5.2. Ministerstwo Administracji i Cyfryzacji

Modernizacja. samorządu terytorialnego. Marcin Sakowicz. w procesie integracji Polski z Unią Europejską

"Rozporządzenie GDPR w praktyce e-administracji oraz biznesu w Polsce i UE" dr Magdalena Marucha-Jaworska Expert of Innovations and New Technology

o współpracy rozwojowej 1) Rozdział 1 Przepisy ogólne

Reforma polityki spójności po 2013 r.

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

Program Operacyjny Polska Cyfrowa

Projekt Regulaminu Konkursu Fundusz Inicjatyw Obywatelskich edycja 2019

ZINTEGROWANA STRATEGIA ROZWOJU MIEJSKIEGO OBSZARU FUNKCJONALNEGO BIAŁA PODLASKA NA LATA (Z PERSPEKTYWĄ DO ROKU 2030)

Kierunki rozwoju turystyki do 2015 roku, ze szczególnym uwzględnieniem turystyki wiejskiej

Główne zagadnienia merytoryczne

Uchwała nr./ /2016 (Projekt) Rady Gminy Kadzidło z dnia 2016 r.

Funkcjonowanie KSC oraz plany jego rozwoju. Tomasz Wlaź

Program Operacyjny Polska Cyfrowa

Dofinansowanie na inne obszary działania przedsiębiorstw Informatyzacja i działalność w internecie w ramach:

Wielkopolski Program na rzecz osób starszych do 2020 roku. Warszawa, Senat RP, 17 grudnia2013 r.

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

Komisja Polityki Senioralnej. Deklaracja Końcowa

EFEKTY KSZTAŁCENIA DLA KIERUNKU STUDIÓW BEZPIECZEŃSTWO WEWNĘTRZNE STUDIA II STOPNIA PROFIL PRAKTYCZNY

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Perspektywy rozwoju instrumentów wspierających projekty PPP po stronie publicznej i prywatnej. Toruń, 28 października 2014 r.

Pakt na rzecz Seniorów. Rok 2012 Rokiem UTW

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin akceptowalny poziom ryzyka

EFEKTY KSZTAŁCENIA DLA KIERUNKU STUDIÓW BEZPIECZEŃSTWO NARODOWE STUDIA II STOPNIA PROFIL PRAKTYCZNY EDYCJA 2016

Poradnik dla samorządów - ustawa o krajowym systemie cyberbezpieczeństwa

Wsparcie procesu modernizacji administracji samorządowej przez. Ministerstwo i t Administracji i i Cyfryzacji

Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a

Budżetowanie zadaniowe w administracji publicznej warsztaty z analizy ryzyka oraz oceny efektywności i skuteczności

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Opis kierunkowych efektów kształcenia

Baza wiedzy o zmianach klimatu i adaptacji do ich skutków oraz kanałów jej upowszechniania w kontekście zwiększenia odporności gospodarki, środowiska

Cyfrowe Państwo Usługowe jak je wdrożyć? Sekretarz Stanu Ministerstwa Cyfryzacji Witold Kołodziejski

AKTUALIZACJA TRANSGRANICZNEJ STRATEGII ROZWOJU EUROREGIONU POMERANIA NA LATA CZĘŚĆ POLSKA

Procedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Łukasz Gibała Poseł na Sejm RP

SYLABUS. Nazwa jednostki prowadzącej przedmiot Wydział Socjologiczno-Historyczny Katedra Politologii

Warszawa, dnia 7 sierpnia 2018 r. Poz. 30 Z A R Z Ą D Z E N I E NR 10 M I N I S T R A I N F R A S T R U K T URY 1) z dnia 7 sierpnia 2018 r.

Sieć Regionalnych Obserwatoriów Specjalistycznych. Radlin, 14 marca 2014 r.

PO Polska cyfrowa

Oceń efektywność polityki szkoleniowej Twojej firmy

EFEKTY KSZTAŁCENIA DLA KIERUNKU STUDIÓW BEZPIECZEŃSTWO NARODOWE STUDIA II STOPNIA PROFIL PRAKTYCZNY

Program współpracy gminy Dzierżoniów z organizacjami pozarządowymi oraz innymi podmiotami w roku Wstęp

WYTYCZNE do szkolenia obronnego w działach administracji rządowej gospodarka morska, rybołówstwo oraz żegluga śródlądowa w 2016 roku

Partnerstwo w realizacji zadań z zakresu wspomagania pracy szkół współpraca z JST

REGULAMIN WITRYNY OBYWATELSKIEJ PREZYDENTA RZECZYPOSPOLITEJ POLSKIEJ

Analizy przedrealizacyjne w pilotażowych projektach ppp

Bydgoski Pakt dla Kultury

Cyfrowa szkoła. - program edukacyjny czy technologiczny? 20 maja 2014 r.

Informatyzacja w administracji. dr Małgorzata Wilińska

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

KIEROWANIE OBRONĄ PAŃSTWA

Spis treści. Spis zastosowanych skrótów Wstęp... 9

Rozwój instytucjonalny polskich partnerstw lokalnych wzmacniających obszary funkcjonalne na tle doświadczeń zagranicznych

PROCEDURA I METODY ORGANIZOWANIA I PROWADZENIA STRATEGICZNEGO PRZEGLĄDU BEZPIECZEŃSTWA NARODOWEGO PROF.DR HAB. JACEK PAWŁOWSKI

Rozdział 5: Zarządzanie testowaniem. Pytanie 1

Bydgoski Pakt dla Kultury

Inspektor Ochrony Danych w podmiotach publicznych

Nr paragrafu (np. 10) lub nazwa (np. wniosek o przeprowadzen ie konsultacji) MIASTO TORUŃ

LII Spotkanie audytorów wewnętrznych z jednostek sektora finansów publicznych

Załącznik do Uchwały Nr XX/90/08 Rady Powiatu w Wąbrzeźnie z dnia 29 września 2008r. Powiatowy Program Aktywności Lokalnej na lata

ZASADY, TRYB I HARMONOGRAM OPRACOWANIA AKTUALIZACJI STRATEGII ROZWOJU WOJEWÓDZTWA ŚLĄSKIEGO ŚLĄSKIE 2020.

P.2.1 WSTĘPNA METODA OPISU I

Warsztaty dla początkujących czyli o co chodzi w Funduszach Europejskich?

Transkrypt:

KOMENTARZ DO PROJEKTU POLITYKA OCHRONY CYBERPRZESTRZENI RP Warszawa, grudzień 2012

WSTĘP Do konsultacji publicznej przekazany został dokument Polityka ochrony Cyberprzestrzeni RP 1 jest to kolejna w ostatnich latach próba przedstawienia spójnego podejścia instytucji państwa do zagrożeń związanych z używaniem technologii informacyjnych. Przygotowały go wspólnie dwa konstytucyjnie niezależne, ale kluczowe w sprawach bezpieczeństwa informacyjnego organy: Ministerstwo Administracji i Cyfryzacji oraz Agencja Bezpieczeństwa Wewnętrznego. Projekt określa przede wszystkim instytucjonalne ramy informacyjnego bezpieczeństwa państwa w zakresie, który nazwano bezpieczeństwem cyberprzestrzeni RP. Fundacja Bezpieczna Cyberprzestrzeń wraz ze Stowarzyszeniem Euro- Atlantyckim oraz Fundacją Instytut Mikromakro zajęła w tej sprawie wspólne stanowisko. Poniżej opisujemy w skrócie główne uwagi jakie zawiera oficjalny komentarz do projektu Polityka Ochrony Cyberprzestrzeni RP jaki przedstawiliśmy w tej sprawie w Ministerstwie Administracji i Cyfryzacji 2. 1. BŁĄD FUNDAMENTALNY OGRANICZENIE OBSZARU OBOWIĄZYWANIA POLITYKI Fundamentalnym brakiem dokumentu jest ograniczenie do organizacji działań w ramach administracji rządowej, ewentualnie zalecanie wymagań innym organom administracji publicznej. Kompetencje ABW w sprawie zagrożeń terrorystycznych są oczywiste, podobnie jak doświadczenie gromadzone w ramach CERT- u rządowego, czy RCB, ale wiedza na temat zagrożeń, środków zaradczych, nie mówiąc o technologiach sieciowych lub organizacji systemów informacyjnych jest w ogromnej części poza instytucjami administracji. Podobnie, istotne z punktu widzenia strategicznych interesów państwa i obywateli współczesne zagrożenia z cyberprzestrzeni, dotyczą systemów zarządzanych bez udziału organów administracji, w dużej części będących własnością prywatną. Polityka państwa powinna się skupić na strategii komunikacji w sprawach zagrożeń z cyberprzestrzeni wszystkich interesariuszy, tworzeniu warunków dla wypracowywania standardów i procedur. 1 Strona MAiC dotycząca konsultacji dokumentu znajduje się pod adresem: http://mac.bip.gov.pl/prawo- i- prace- legislacyjne/polityka- ochrony- cyberprzestrzeni- rp- resortowe- zglaszanie- uwag- do12-10- 2012.html 2 Dokument zawierający wszystkie uwagi i komentarze znajduje się pod adresem: http://mac.bip.gov.pl/fobjects/download/3614/fbc_uwagidopolitykiochronycrp_v13- pdf 2

2. BRAK SYSTEMOWEJ ANALIZY ZAGROŻEŃ Znaczącą wadą przedstawionej do konsultacji Polityki jest również brak ogólnej systemowej analizy rodzaju i charakteru zagrożeń, które powinny angażować działania służb rządowych, w tym powodów dla których takie zagrożenia mogą wystąpić. Atakującymi przecież niekoniecznie kierują pobudki o podłożu kryminalnym lub terrorystycznym. Zagrożenia powinny być analizowane pod kątem znaczenia jakie mogą mieć dla gospodarki, bezpieczeństwa obywateli i stabilności państwa. Zdolność reagowania, oznacza nie tylko zastosowanie technicznych środków ochrony przed atakami, ale też umiejętność przeciwdziałania sytuacjom, które atak prowokują. 3. BRAK RZECZYWISTEGO PLANU DZIAŁANIA Za niezbędne uważamy dołączenie do Polityki w formie załącznika planu działań ze wskazaniem podmiotu odpowiedzialnego i czasu realizacji tego zadania. Bez tego Polityka nie będzie miała żadnej realnej mocy sprawczej, zwłaszcza w kontekście kolegialnej odpowiedzialności za bezpieczeństwo cyberprzestrzeni. 4. BRAK WSKAZANIA NAJWAŻNIEJSZYCH OBSZARÓW OCHRONY Należy rozważyć czy istnieją systemy strategiczne z punktu widzenia bezpieczeństwa Państwa inne niż eksploatowane przez wymienione w dokumencie instytucje i podmioty. [ ] Rządowy dokument rangi politycznej powinien określać, co jest interesem państwa, w tym jakiego typu systemy mają znaczenie strategiczne, a nie postulować rozważania. Polityka nie jest konsekwentna jeżeli chodzi o odnoszenie się do obszarów, których dotyczy. W akapicie szóstym nacisk położono na gospodarkę RP, podczas gdy wcześniej koncentrowano się na zadaniach administracji publicznej. Celowym wydaje się jednoznaczne określenie obszarów, których dotyczy Polityka. Nie wiadomo na jakiej zasadzie zalecenia Polityki mają być rekomendowane również przedsiębiorcom i co z tego wynika. Kwestia partnerstwa publiczno- prywatnego w budowaniu systemu bezpieczeństwa informacyjnego państwa nie powinna być kwitowana tak lakonicznymi stwierdzeniami. 3

5. ZAMIESZANIE TERMINOLOGICZNE Wprowadzenie sformalizowanych definicji odwołujących się do pojęć definiowanych w ustawach, normach jest błędem w dokumencie rangi politycznej opisującym działania w nowym obszarze, wymagającym dużej elastyczności. Tego typu uściślający zbiór definicji nie jest konieczny. Jeżeli natomiast miałby pozostać, to należy zastosować definicje opisowe, które pozwolą lepiej rozumieć Politykę. Wiele pojęć zdefiniowanych w Terminach nie jest stosowanych w dalszej treści Polityki, np. Sektorowy Punkt Kontaktowy bądź dla znaczenia odpowiadającego zdefiniowanemu pojęciu stosuje się inne pojęcie niż to zdefiniowane. Należy dokonać przeglądu Polityki pod względem ujednolicenia pojęć. Ponadto w Polityce pojawia się bezosobowy styl proponuje się. Kto proponuje i w jakim trybie? 6. DYSONANS W STANDARDACH BEZPIECZEŃSTWA DLA RÓŻNYCH PODMIOTÓW Teoretycznie Polityka adresowana jest do wszystkich użytkowników CRP, jednak administrację rządową ona obowiązuje, dla administracji samorządowej i innych urzędów jest rekomendowana, a dla pozostałych użytkowników CRP jest jedynie wskazówką. Ten dysonans odczuwalny jest w całym tekście Polityki, której najwięcej rozwiązań opisanych bardziej szczegółowo odnosi się tylko do administracji np. pełnomocnik ds. bezpieczeństwa cyberprzestrzeni, czy przeprowadzanie oceny ryzyka. Wydaje się, że tak skonstruowana Polityka nie będzie skuteczna dla ochrony CRP, gdyż zastosowanie niższych standardów dla wprowadzania Polityki, tzn. tylko rekomendacji a nie obowiązku, dla tak istotnych podmiotów jak Kancelarii Prezydenta Rzeczypospolitej Polskiej, Kancelarii Sejmu Rzeczypospolitej Polskiej, czy Kancelarii Senatu Rzeczypospolitej Polskiej, może mieć bardzo istotny wpływ na poziom bezpieczeństwa CRP. 7. BŁĘDNE WSKAZANIE ODPOWIEDZIALNOŚCI ZA BEZPIECZEŃSTWO CRP Wskazanie na Radę Ministrów jako odpowiedzialnej za bezpieczeństwo CRP może wpłynąć na mniejszą skuteczność podejmowanych działań w przypadku wystąpienia incydentu lub zagrożenia bezpieczeństwa 4

państwa z cyberprzestrzeni. Lepsze byłoby przyznanie odpowiedzialności za bezpieczeństwo cyberprzestrzeni Prezesowi Rady Ministrów, co znajduje uzasadnienie w innych zapisach Polityki. 8. BRAK STRATEGII ZAPEWNIENIA KOMPLEKSOWEGO BEZPIECZEŃSTWA Określenie, że Infrastruktura teleinformatyczna CRP musi być chroniona przed atakami z cyberprzestrzeni, zniszczeniem, uszkodzeniem i dostępem osób nieuprawnionych nie odwołuje się do podstawowych cech zapewnienia bezpieczeństwa, czyli poufności, integralności i dostępności, a zatem jest błędnym wskazaniem priorytetów ochrony. 9. BRAK REALNYCH WYMAGAŃ Dla urzędów posiadających serwisy transakcyjne (np.: epuap, PUE ZUS) powinny być przygotowane co najmniej przybliżone minimalne wymagania dotyczące badania skuteczności zabezpieczeń - na przykład test penetracyjny i skan kodu źródłowego. Kluczową wartością dodaną Polityki byłyby w takim przypadku na przykład zalecenia dotyczące poprawnego zamawiania tego typu usług. 10. BRAK WSPÓŁPRACY PUBLICZNO- PRYWATNEJ Polityka całkowicie pomija możliwość udziału instytucji pozarządowych w tworzeniu zaleceń oraz dobrych praktyk z zakresu bezpieczeństwa. Biorąc pod uwagę, iż strony internetowe stanowią według Polityki główne miejsce wymiany informacji pomiędzy jednostkami administracji a obywatelem, w e- społeczeństwie, pominięcie czynnika obywatelskiego oraz profesjonalnego nie znajduje uzasadnienia. 11. BRAK REALNEGO PODEJŚCIA W Polityce proponuje się to, że zespół, który jeszcze nie jest powołany przygotuje rekomendacje dla ministra w ciągu 30 dni. W dokumencie rangi Polityka taka deklaracja gotowości nie wydaje się 5

potrzebna, ale jeżeli jest to założenie ekspresowej skutecznej pracy wymagałoby wyjaśnienia. Jeżeli zaryzykować stwierdzenie, że być może projekt tego rodzaju rekomendacji już wstępnie przygotowano, to dlaczego nie zawarto ich w Polityce? 12. NIEJASNE I NIEUZASADNIONE WSKAZANIE WYBRANEGO PRZEDSIĘBIORCY Polityka stanowi dokument rządowy, stąd wskazywanie w akapicie pierwszym na projekt prowadzony na zasadach komercyjnych wspólnie z przedsiębiorcą, tj. Naukową i Akademicką Siecią Komputerową, wydaje się nieuzasadnionym preferowaniem przez polski rząd tego przedsiębiorcy. Dodatkowo projekt ma charakter szczegółowy i brak podstaw, aby tylko ten projekt oraz zapowiedź jego rozbudowy były wskazywane w treści dokumentu rządowego o charakterze ogólnym, z pominięciem innych projektów, które są lub mogą być realizowane przez instytucje rządowe we współpracy z przedsiębiorcami. Celowość kontynuowania tego projektu powinna zostać nadto zweryfikowana przy pomocy zewnętrznych podmiotów wobec stron tego projektu. Wskazywanie konkretnych CERT- ów, np. TP CERT w treści dokumentu rządowego powoduje nieuzasadnione preferowanie danego przedsiębiorcy i nie znajduje podstawy w przepisach prawa, szczególnie, iż dalej mowa już o pozostałych przedsiębiorcach telekomunikacyjnych i usługodawcach świadczących usługi drogą elektroniczną. Wyróżnienie tylko niektórych przedsiębiorców z pominięciem pozostałych wydaje się niedopuszczalne. 13. BŁĘDY MERYTORYCZNE W Polityce witryny internetowe dotyczące bezpieczeństwa, określa się je jako wewnętrzne. Z drugiej strony jest mowa o tym, że witryny będą pełnić rolę punktów zgłaszania incydentów bezpieczeństwa teleinformatycznego. Wydaje się, że zapisy te leżą w sprzeczności ze sobą, ponieważ możliwość zgłaszania incydentów zazwyczaj wiąże się z dostępnością z zewnątrz serwisu przyjmującego tego typu zgłoszenia. Wskazana w Polityce lista istniejących CERT- ów, w tym ich nazewnictwa, jest listą dynamiczną. Dlatego podawanie konkretnych nazw zespołów jest niepotrzebne. Już obecnie lista ta jest nieaktualna. 6

Nie jest jasne dlaczego Polityka odwołuje się do wymiany informacji niejawnych skoro wcześniej w dokumencie znajduje się zastrzeżenie, że Polityka nie obejmuje strategii ochrony takich informacji. 7

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres