pobierz - ministerstwo cyfryzacji

........ •I...... •••
a... a... ........ a...
a...
•• ala..... ....
a... •aaa
a••
.a••
........
a...
a...
a...
a...
....
a...
•.a.
....
....
a...
POLSKIE TOWARZYSTWO INFORMATYCZNE
Zarzd Gowny, al. Solidarnoci 82A m, 5, 01-003 Warszawa, tel.: + 48 22 838 47 05, tel/fax: + 48 22 636 89 87, e-mail: ptipti.org.pl,
www.pti.orQ.l
Adres korespondencyjny: ul. Pulawska 39 bk. 4, 02-508 Warszawa
Warszawa, 30 padziernika 2012 r.
Opinia
Poiskiego Towa rzystwa I nformatycznego
do projektu ,,Polityki Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej”
z dnia 18 wrzenia 2012 roku.
Poiskie Towarzystwo Informatyczne z zadowoleniem przyjmuje fakt powstania dokumentu ,,Polityka
ochrony cyberprzestrzeni RP” (dalej POCRP, Polityka) I dziçkuje za mozIiwoO uczestniczenia w
procesie opiniowania tego dokumentu.
Koncepcj stworzenia dokumentu strategicznego majcego na celu osigniçcie akceptowalnego
poziomu bezpieczeñstwa teleinformatycznego pañstwa nalezy oceniô jako sluszn.
1. Uwagi ogólne
1. Dokument POCRP jest zbyt ogó!nikowy. Nie definiuje zadnych standardów ani wymagañ
minimalnych.
2. ZaIet dokumentu jest rozwizanie kompetencyjnego sporu w sprawie odpowiedziaInoci za
bezpieczeñstwo teeinformatyczne pañstwa I ustalenie, ze za bezpieczeñstwo infrastruktury
informatycznej pañstwa odpowiada Ministerstwo Administracji I Cyfryzacji. Nalezy jednakze mieá
na uwadze, ze z jego kompetencji wylczono wojsko, sluzby, suzbç zdrowia, sdownictwo I
wymiar sprawiedliwoci.
3. ZaIet Polityki jest zapowied± przegldu regulacji prawnych zwizanych z bezpieczeñstwem
teleinformatycznym oraz okreIenie zalozeñ procedural no-organ izacyjnych dotyczcych
bezpieczeñstwa teleinformatycznego.
4. Z zadowoleniem naezy przyjO proponowane w POCRP wprowadzenie tematyki bezpieczeñstwa
teleinformatycznego jako stalego elementu ksztalcenia: na uczelniach wyzszych, ksztatcenia
kadry administracji oraz kampani spoeczn o charakterze edukacyjnym.
2. Uwagi szczegOlowe
1. Dokument PQCRP mówi, ze osigniçcie akceptowanego poziomu bezpieczeñstwa
teleinformatycznego Pañstwa jest reahzowane poprzez ,,stworzenie ram organizacyjno-prawnych
KRS: 0000043879— Sad R.ejonowy dia inst. \Varszawy w Warszawie. Xli WydzialGospodarcz Krajowego Relestru SQdowego. NIP: 522000-20-38, REGON: 001236905
......i•
aaaaaa•
•••• R• S••••
a... a... is......
.... a...
.....aa.
a...
....
a...
.a•
....
a...
....
....
aa
•aa
a...
a...
a...
a...
a...
a...
POLSKIE TOWARZYSTWO INFORMATYCZNE
Zarzd Gowny, a!. Solidarnoci 82A m. 5, 01-003 Warszawa, tel.: + 48 22 838 47 05, tel/fax: + 48 22 636 89 87, e-mail: ptipti.org.pl,
www.pti.QrQ.pI
Adres korespondencyjny: ul. Puawska 39 10k. 4, 02-508 Warszawa
oraz systemu skutecznej koordynacji I wymiany informacji pomiçdzy uzytkownikami CRP”. To
sformulowanie sugeruje, ze do zapewnienia bezpieczeñstwa cyberprzestrzeni wystarcz
dzialania organizacyjne I proceduralne.
2. Dokument POCRP nie adresuje koniecznoci opracowania spójnej architektury bezpieczeñstwa
w skali pañstwa.
3. Polityka nie przedstawia szczegOlOw wspOlpracy z przedsiçbiorcami w zakresie dostarczania
wiedzy I rozwizañ, jak rOwniez wspolnej reahzacji zadañ dotyczcych bezpieczeñstwa
teleinformatycznego.
4. W dokumencie Polityki nie okreono ±rOdel finansowania proponowanych dzi&añ. Nie mozna
budowaO wdrazaO rozwizañ bezpieczeñstwa za darmo, bez ponoszenia np. kosztOw szkoleñ,
aktuaIizacj sprzçtu I oprogramowania, usuwanie podatnoci na zagrozenia. POCRP powinna
wskazaO potencjalne ±ródta finansowania przedsiçwziO. Jest to tym wazniejsze, ze nie mozna
wprost okrehO zwrotu z inwestycji w obszarze bezpieczeñstwa IT.
5. W dokumencie POCRP kladzie sic duzy nacisk na reagowanie na incydenty bezpieczeñstwa a
zbyt maly na dzialania prewencyjne np. korzystanie z zespoów CERT w celu uprzedzania o
mozliwych zagrozeniach.
6. Dokument POCRP nie okreIa miejsca pelnomocnika bezpieczeñstwa cyberprzestrzeni w
strukturze jednostki organizacyjnej, nie wskazuje zakresu uprawnieñ I odpowiedziaInoci,
koniecznego wyksztalcenia I dowiadczenia.
7. Dokument POCRP zaleca wzmocnienie zespolOw reagowania na cyberataki, przy ABW i NASK.
Natomiast w niewielkim stopniu porusza tematyk dzialañ I rozwizañ zapobiegajcym atakom.
Atak jest najczciej skutkiem uprzednich zaniedbañ lub przyjçcia nieuzasadnionych
zbyt
optymistycznych zaloeñ w szacowaniu ryzyka.
—
8. Polityka bezpieczeñstwa teleinformatycznego pañstwa nie moze byO realizowana za wszeIk
cenc. Nie powinna ona naruszaá woInoci slowa, czy tez anonimowej komunikacji w sled. Zapisy
przedstawione w pkt 3.6.3 budz obawy, ze do ochrony cyberprzestrzeni mog w przyszloci
zostaO wykorzystane mechanizmy I narzdzia umozIiwiajce monitorowanie zachowañ
uzytkownikáw lub ffltrowanie bd± blokowanie treci, nawet mog byô stosowane niejawnie.
9. Dokument POCRP nie wskazuje miejsca usytuowania pelnomocnika bezpieczeñstwa
cyberprzestrzeni strukturze jednostki organizacyjnej, jednak rola p&nomocnika powinna zostaO
przypisana osobie odpowiedzialnej za realizacjç procesu bezpieczeñstwa teleinformatycznego.
Nasuwa sic pytanie czy ustanowienie PBC na dowolnym szczeblu struktury organizacyjnej
umozliwi mu realizacjc obowizkOw.
10. Dokument nie bierze pod uwagç zmian zachodzcych w technikach informatycznych. Np. w
dokumencie nie uwzgIdniono faktu, ze coraz wiçcej procesow
realizowanych jest z
wykorzystanie urzdzeñ mobilnych lub rozwizañ opartych na technologii chmury. POCRP
KRS: 0000043879 Sd Rejonow dia m.st. Warszay w Warszawie, XII Wydzial GospodarczyKralowcgo Rejesiru Sdowego. NI1.522-000-20-38. REGON: 001236905
........ ........ I...
B... ••RB BB••••BB •UU
.... B... ••I••• •B
B... ••••
....
B...
........
....
....
....
....
....
B...
•...
....
....
POLSKIE
B...
B••B
INFORMATYCZNE
Zarzd Glówny, al. Solidarnoci 82A m. 5, 01-003 Warszawa, tel.: + 48 22 838 47 05, tel/fax: + 48 22 636 89 87, e-maH: [email protected],
www.pti.orcipI
Adres korespondencyjny: ul. Pulawska 39 bk. 4, 02-508 Warszawa
powinna byó przegdana przez kompetentne I poinformowane osoby aby stwierdz,O czy w
kolejnych latach jest jeszcze przydatna.
11. W punkcie 3.4.2 “System zarzdzania bezpeczeñstwem w jednostce” autorzy dokumentu
powolujq si na ,,obowizki wynikajce z ustawy z dnia 17 lutego 2005 r. o informatyzacji
dziaIalnoci podmiotOw reaIizujcych zadania publiczne (Dz. U. Nr, poz. 565, z pO±n. zm.)
dotyczce minimalnych wymagan dia systemów
teleinformatycznych w
zakresie
bezpieczeñstwa informacji.” natomiast nie nawizuje do Rozporzdzenie Rady MinistrOw z dnia
12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjnoci, minimalnych wymagan da
rejestrOw pubhcznych I wymany informacji w postaci &ektroncznej oraz minimalnych wymagañ
dia systemOw teleinformatycznych (Dz. U. 2012, pozycja 526).
Rozporzdzenie to okreIa
metody I wytyczne do budowarna systemów teIenformatycznych administracji publicznej I
zawiera szereg wytycznych dotyczcych bezpieczeñstwa teleinformatycznego (z odwolaniem do
norm z serli 27000). Rozporzdzenie KRI przejçlo tak±e funkcje wczeniejszego rozporzdzenia
o minimalnych wymaganiach wobec systemów teleinformatycznych (Dz. U. z dnia 28
pa±dziernika 2005).
12. W wielu miejscach dokumentu POCRP I wystçpuj pojçcia ,,ocena ryzyka” I ,,analiza ryzyka”.
Proponujemy oprzeO si na terminobgil poiskich norm z serii 27000, a w szczegóInoci normy
PN-ISO/IEC 27005:2010 ,,Technika informatyczna
Techniki bezpieczeñstwa
Zarzdzanie
ryzykiem w bezpieczeñstwie informacji”, gdzie anallza ryzyka I ocena ryzyka to dwa etapy
szacowania ryzyka.
--
--
3. Wnioski
Zdaniem Poiskiego Towarzystwa Informatycznego przedlozony projekt Polityki nalezy poddaO istotnym
modyfikacjom. WrOd nich powinny s znale±O:
1. UspOjnienie z obowizujcymi aktami prawnym (np. Rozporzdzenie Rady Ministrów z dnia 12
kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjnoci, minimalnych wymagan dia
rejestrów publicznych I wymiany informacji w postaci elektronicznej oraz minimainych wymagañ
dia systemów t&einformatycznych).
2. Konsekwentne przyjçcie terminologli z norm serli PN ISO/IEC 27000.
3. Zdefiniowanie odpowiedziaInoci i uprawnieñ osób zwizanych z zapewnieniem bezpieczeñstwa
cyberprzestrzen I.
4. OkreIenie realnych ±ród& finansowania dzialañ zdefiniowanych w Polityce.
Projekt opinli przygotowat zespót ekspertów Poiskiego Towarzystwa Inform atycznego.
KRS: 0000043879 —Sad Rejonow dia m.st. WarszawvwWarszawie,XI] Wydzial Gospodarezy Krajowego Rcjestru Sdowego, NIP: 522-000-20-38. REGON: 001236905