pobierz
Transkrypt
pobierz
Warszawa, dnia1,adziemika 2012 r. MINISTER SPRA’V ‘V’E’1ITRZNYCH INTEP,TJC DMrris rcjj i GLOWNA rlsw I I I Ii I DP-Ill-0232-574/12/RA 21Z.:JBj. Wpyneodn IH I nr zaL/kart 76 ABø142 Pan Michal Boni Minister Administracji i Cyfryzacji W odpowiedzi na pismo z dnia 24 wIzenia 2012 r., nr MAC-8349/2012, przy którym zaiftezono projekt dokumentu rzqdowego Polityka Ochrony Cyberprzestrzeni Rzeczypospolitej Poiskief — 1. uprzejmie informuje, ze zglaszam nastepujce propozycje do rozwaenia: Str.3 Na1ey uzupelnié informacje, iz dokument zostal opracowany na podstawie przyjetego przez Staly Komitet Rady Ministrów w dniu 16 czerwca 2011 r. dokumentu ,,Polityka Bezpieczeñstwa Cyberprzestrzeni Rzeczypospolitej Polskiej”, z jednoczesnym rekomendowaniem go Radzie Ministrów. Na1ey usunftá zapis dotycz4cy ,,Rzadowego Programu Ochrony...”. 2. Str. 4 akapit 2 Na1ey doprecyzowaá zakres znaczeniowy okre1enia ,,separacja”. Z obecnego zapisu nie wynika kto lub co mialoby byó separowane od systemów teleinformatycznych. Na1ey zauwayá, ze uyte sformulowanie moze byá bledne, poniewa dia systemu infonnatycznego ,,separacja” moe byó jednft z metod zmniejszania prawdopodobieñstwa, ze zagroenie wystpi w mniejszym bftd wiçkszym stopniu, czyh zrealizuje sic. Powinno byá: ,,.. .dla systemów informatycznych dia których zmniejszenia ryzyka wymaga Co raz wiekszych zasobów ludzkich, technicznych nakladów finansowych oraz wiedzy i informacj i, a take faktu rozproszonej...” 3. Str.4akapit3 Brak jest spójnoci pomiedzy systemami wynikajcymi z definieji cyberprzestrzeni a systemami teleinformatycznyrni wynikaj cymi z tego zdania. Niedopuszczalne jest by polityka swoimi zapisami nie dotyczyla ,,osób prawnych” na podstawie kodeksu cywilnego bd ,,miçdzynarodowych osób prawnych” majcych siedziby na terytorium RP. Dokument ,,Polityka...” obejmuje tylko wskazane systemy informatyczne i to nieza1enie od tego ezy sa pod1aczone do cyberprzestrzeni ezy te nie sq, i to zagadnienie nale±aloby doprecyzowaé. Sekretarjat Ministra Administracjj i Cvfryzajj Wplynço dn Strona 1 z 8 4. Str. 5 akapit 2 Stworzenie wyIaczenia w postaci nie objecia ,,Polityk4...” niejawnych systemów informatycznych stanowi wylom w bezpieczeñstwie RP, poniewa informacje niejawne mogq, byá celem dzialania zagroeñ ukierunkowanych na systemy niejawne (przyklad ataku - robak Stuxnet, robak Flame), które cyberprzestrzeñ mog wykorzystywaé jako medium umoliwiajce im nie tylko komunikacjç z atakujftcym, ale jako medium do wysylania zdobytych informacji lub dozbrojenia w moduly które pozwol4 wrçcz spara1iowaó systemy informatyczne wane nie tylko dia bezpieczeñstwa RP, ale take gwarantujce realizacjç przez pañstwo obowiazków konstytucyjnych wzgledem obywateli. Naley zaznaczyá ze nie mona wyIqczyé z ,,Polityki...” systemów teleinformatycznych niejawnych poniewa pomiedzy tymi systemami a cyberprzestrzeni, jest staa cznoé informacyjna realizowana za pomoc elementu ludzkiego, ktorego dzialania sa w pewien sposób ograniezone poprzez obowizujc ustaw o informacji niejawnej, obwizujce procedury, czy nadzór ABW. Niestety nie wyklucza to przedostania sic zagroenia (wykonania ataku) z cyberprzestrzeni do systemów teleinformatycznych niejawnych bad z systemów teleinformatycznych niejawnych na cyberprzestrzeñ RP, b4d cyberprzestrzeñ innego pañstwa ,co mote prowadziC do nieporozumieñ czy wrçcz wojny konwencjonalnej. Pragne zwrócié uwagc, ze zasoby systemów informatycznych niejawnych w wielu wypadkach nie sq, produkcj i polskiej i s zakupywane od zagranicznych firm, które mog nawet nie wiedzieé ze np. procesor Intela (bd inny element) zostal tak skonstruowany w technologii niedostepnej w Polsee (np. 22 nanometrowej i mniejszej ) ze jego czeá mote bye dedykowana do wykonania ataku w okrelonej sytuacji moze np. poprzez doeiagniccia dedykowanego software — konia trojañskiego. Znane s, ju przypadki ze pewne luki umoliwiajce atak, wirusy sa, implementowane fabrycznie w biosy komputerów, nagrywarki DVD, biosy kart graficznych bcdcych bardzo atrakcyjnym medium na wypadek cyberwojny ze wzglçdu na posiadana, ogromn moe obliczeniow, wielokrotnie przewyszajacq, moe obliezeniow4 komputera, niedostcpnoC wiedzy i technologii w wielu pañstwach wiata (brak wiedzy, technologii powoduje, ze badanie funkcjonalnoci zaszytych w biosach, procesorach funkcjonalnoei jest niemoliwe do przeprowadzania oraz wymaga ogromnych zasobów czasu). W zwizku z tym proponuje sic zapisaC, ze informacje niejawne i zasoby z nimi zwiazane stanowi cyberprzestrzeñ RP,ale ich bezpieczeñstwo i nadzór ze strony ABW jest realizowane na podstawie obowi4zujcych przepisów prawa dotyczcych ochrony informacji niejawnych. Proponujç dodaC, ze - w przypadku gdy niejawne systemy teleinfonnatyezrie sa celem ataku i zaklóca to realizacje obowiqzków konstytucyjnych Pañstwa za pomoe cyberprzestrzeni lub systemy sq, lub byly wykorzystane do przeprowadzenia ataku na cyberprzestrzen RP lub eyberprzestrzen innego pañstwa obowiazuj4ce staj sic regulacje zwi4zane z bezpieezeñstwem cyberprzestrzeni RP. Strona 2 z 8 5. Str. 7 definicja ,,uytkownik cyberprzestrzeni” Majftc na uwadze definicjç ,,cyberprzestrzeni” pragne zauwayá, iz nie obejmuje ona swoimi — zapisami wiçkszoci komputerów osób fizycznych i prawnych poniewa dotyczy tylko ,,przestrzeni przetwarzania i wymiany informacji tworzonej przez systemy informatyczne, okre1one w ustawie o informatyzacj i dziaIa1noci podmiotów realizuj qcych zadania publiczne wraz z powiazaniami pomiçdzy nimi oraz relacjami z uytkownikami”. Na1ey w zwizku z tym uzupelnié definicje o powysze zapisy. 6. Str.10,p.1.5 OdpowiedziaInoá za bezpieezeñstwo powinna byá jednoosobowa a nie zbiorowa. Proponuje zmiane zdania pierwszego ,,Za bezpieczeñstwo CRP odpowiada Prezes Rady Ministrów...”. 7. Str.11,p.1.6 Naley dopisaé zdanie: ,,Z uwagi na transgraniczny wymiar cyberprzestrzeni, ,,Polityka...” uwzg1dnia równie inne miçdzynarodowe umowy i porozumienia, których RP jest strona’. Zapis na1ey wprowadzió celem objçcia swoim zakresem wszystkich aktów prawnych. 8. Str. 14, akapit 3 Na1ey poprawiC zdanie, aby brzmialo: ,, . . .wlaciwego do spraw informatyzacji jest przekazanie...”. Minister w1aciwy do spraw informatyzacji musi bye zobowiazany do stworzenia sprawozdania a nastçpnie do jego przekazania Prezesowi Rady Ministrów. 9. W pkt 1.2 ,,Cel strategiczny”, w akapicie trzecim proponuje sic zastpiC wyrazy ,,ocen ryzyka” wyrazami ,,oszacowañ ryzyka”. 10. W pkt 1.3 ,,Cele szczególowe”, w ppkt 2 proponuje sic zastqpiC wyrazy ,,ze strony cyberprzestrzeni” wyrazami ,,dla cyberprzestrzeni”. Biorac pod uwagc definicjc cyberprzestrzeni przedstawionft w pkt 1.1 proj ektu, pozostawienie tego poj çcia w obecnej formie wskazywaoby, ze celem jest zwiçkszenie zdo1noci do zapobiegania i zwalczania wylqçznie zagroeñ p1yncych z ,,wewntrz” tak zdefiniowanej cyberprzestrzeni, a nie jest to jedyne ród1o zagroeñ. 11. W pkt 1.3 ,,Cele szczególowe”, w ppkt 3 proponuje sic zasta.piC wyrazy ,,bezpieczeñstwo teleinformatyczne” wyrazami ,,bezpieczeñstwo cyberprzestrzeni”. 12. W pkt 2 ,,Uwarunkowania i problemy obszaru cyberprzestrzeni”, w akapicie pifttym proponujc usunaC wyrazy ,,z cyberprzestrzeni”. 13. W pkt 3.1 ,,Ocena ryzyka” proponujç zmieniC brzmienie akapitu pierwszego poprzez nadanie nastcpujftcego brzmienia: ,,Szacowanie ryzyka zwizanego z funkcjonowaniem cyberprzestrzeni jest kluczowym elementem procesu zarzdzania ryzykiem cyberprzestrzeni, detenninujftcym Strona 3 z 8 i uzasadniaj4cym dzialania podejmowane w celu obnienia ryzyka do akceptowalnego poziomu.” Uwaga wynika z tego, iz zaproponowane sformulowanie jest bIisze wspólczesnemu modelowi zarzftdzania ryzykiem, opisanemu m.in. w normach ISO serii 27000. Ponadto zapis w pierwotnym brzmieniu wskazywal, ze dzialania mialyby byá podejmowane w celu obnienia bezpieczeñstwa cyberprzestrzeni, a nie ryzyka. 14. W pkt 3.1 ,,Ocena ryzyka” w akapicie drugim proponujç zastqpiá wyrazy ,,podsumowujce oceny ryzyka” wyrazami ,,podsumowujace wyniki szacowania ryzyka”. W pkt 3.1 ,,Ocena ryzyka” proponuje zmienié wyrazy ,,Sprawozdanie powinno zawieraá ogolne dane dotycz4ce rodzajów ryzyka, zagroeñ i slabych punktów zdiagnozowanych w kadym z sektorów (...)“ wyrazami ,,Sprawozdanie powinno zawieraé ogólne dane dotyczce poziomu ryzyka, zagrozeñ i podatnoci zdiagnozowanych w kadym z sektorów (...)“. Proponuje nowe brzmienie akapitu: ,,Zalecane jest, aby Rzdowy Zespól Reagowania na Incydenty Komputerowe CERT.GOV.PL wraz z Ministrem Spraw Wewnetrznych przedstawili ministrowi wIaciwemu ds. informatyzacji, w celu zunifikowanego podejcia, opracowane katalogi zawierajace specyfikacjç zagroeñ oraz mo1iwych podatnoci godz4cych w bezpieczeñstwo cyberprzestrzeni.” Proponowane zmiany zawierajft pojçcia bIisze modelowi zarzftdzania ryzykiem opisanemu m.in. w normach ISO serii 27000. 15. W 3.1 pkt ,,Ocena ryzyka” w pi4tym proponujç akapicie usunqé wyrazy ,,w celu zunifikowanego podejcia, opracowane” oraz dodaá p0 kropce wyrazy ,,Katalogi te powinny bye okresowo aktualizowane.” Powysza uwaga wynika z tego, iz powinien to byC raczej ciqgly, powtarzalny proces, a nie jednorazowe dzialanie, ustanawiajce raz na zawsze specyfikacjç zagroeñ i moIiwych podatnoci. 16. Proponujç zmieniC tytul pkt 3.1 ,,Ocena ryzyka” na ,,Szacowanie ryzyka”. 17. W pkt 3.2 ,,Bezpieczeñstwo portali administracji rzadowej” w pierwszym akapicie proponujç zastqpiC wyrazy ,,oceniC ryzyko” na wyrazy ,,oszacowaC ryzyko” oraz wyrazy ,,wyników oceny ryzyka” na wyrazy ,,wyników szacowania ryzyka”. 18. Proponujç nadaC nastçpujce brzmienie pkt 3.3 projektu: ,,Niezbçdnym elementem, umo1iwiajacym realizacjç Polityki, bçd dzialania legislacyjne, które nalezy podjftC niezwlocznie. Rada Ministrów, majc na wzgledzie wysoki priorytet tych dzialañ, widzi potrzebe ich zainicjowania przez ministra wIaciwego do spraw informatyzacji. Wprowadzenie spójnych regulacji prawnych, które powinno byC poprzedzone przegkdem tych obecnie obowizujcych, stworzy warunki do podejmowania dalszych dzialañ, prowadzftcych do wdroenia zapisów Polityki.” Proponowana zmiana precyzyjniej przedstawia cele i zaloenia dzialañ legislacyjnych. 19. W pkt 3.4.2 w pierwszym ,,W kadej ,,System akapicie jednostce zarzadzania proponuje organizacyjnej bezpieczeñstwem nowe w brzmienie administracji rz4dowej, jednostce o organizacyjnej” nastQpuj4cej w ramach treci: zapewnienia bezpieczenstwa cyberprzestrzeni, kierownik jednostki powinien ustanowiC system zarz4dzania Strona 4 z 8 bezpieczeñstwem informacji, w oparciu o obowi4zujace przepisy, Poiskie Normy i najlepsze praktyki.” Poiskie Normy odzwiercied1aj znaczçe i powszechnie wykorzystywane dowiadczenia w zakresie budowy systemów zarzftdzania bezpieczeñstwem informacji, w tym miejscu nie powinny bye pominiçte. Proponuje uzupelnienie zdania o dodanie ministra wlaciwego do spraw wewnçtrznych jako naczelnego organu administracji rzq4owej wlaciwego w sprawach zapewnienia bezpieczeñstwa i porza,4ku publicznego. 20. W pkt 3.6 ,,Za1oenia dzialañ technicznych” w pierwszym akapicie proponuje zastqpiC wyrazy ,,Ich celem bedzie zmniejszenie ryzyka wystajienia zagroeñ z CRP.” wyrazami ,,Ich celem bçdzie zredukowanie ryzyka dia CRP do akceptowalnego poziomu.” Celem wdroenia m.in. rodków technicznych jest zredukowanie poziomu ryzyka bftd zmniejszenie podatnoci zasobu na zagroenie, nie ryzyka wystpienia zagroeñ (patrz: PN-ISO/JEC 17799). Proponuje take zdefiniowaC pojecie ,,zespoly”, o którym stanowi pkt 3.6.2. 21. W pkt 3.6.5 ,,Rozwój zespolów bezpieczeñstwa” w ppkt 4 proponujç usunC wyraz ,,ftp”. Okre1enie ,,Ftp” nie jest informacja,, to protokól transferu plików, który moze byC wykorzystany do rozpowszecbniania informacji. 22. W pkt 4 ,,Wdroenie i mechanizmy realizacji zapisów dokumentu” proponuje zastapiC wyrazy ,,analizy ryzyka” wyrazami ,,szacowania ryzyka”. 23. W pkt 5 ,,Finansowanie” w akapicie drugim proponuje sic usunC zdanie: ,,Niniejszy dokument zakiada kontynuacjc dzialañ realizowanych oraz zaplanowanych przez Zespól, o którym mowa w pkt 3.4.1”. Zespól, o którym mowa, jeszcze nie zostal powolany, w zwiazku z tym przyjccie powyszego za1oenia jest nielogiczne (tj. kontynuacj i dzialañ realizowanych i zaplanowanych przez ten Zespól). 24. W pkt 5 ,,Finansowanie” w pifttym akapicie proponujc zastapiC wyrazy ,,ana1iz ryzyka” wyrazami ,,wynikami szacowania ryzyka”. 25. W pkt 6 ,,Ocena skutecznoci Polityki” w pierwszym akapicie proponuje zastajiC wyrazy ,,przeprowadzeniu oceny ryzyka” wyrazami ,,przeprowadzeniu szacowania ryzyka”. 26. W pkt 6 ,,Ocena skutecznoci Polityki” w ppkt 3 proponujç usunC wyrazy ,,kategorii incydentów”. Uwaga wynika z tego, iz stopieñ standaryzacji nijak sic ma do stopnia wdroenia kategorii incydentów. 27. W pkt 6 ,,Ocena skutecznoci Polityki” w ppkt 4 proponuje zastapiC wyrazy ,,(szacowanie zasobów)” wyrazami ,,(identyfikacja zasobów)”. Propozycja wynika z tego, i zasoby raczej sic identyfikuje i wartociuje, a nie szacuje. Strona 5 z 8 28. W pkt 6.2 ,,Skutecznoá dzialañ” sugerujç ponowne rozwaenie treci calego punktu. Miara skutecznoci nie moze bye ocena regulacji, instytucji i relacji, bowiem skutecznoá to stopieñ, w jakim planowane dziaania sa zrealizowane i planowane wyniki osigniçte. 29. W pkt 6.3 ,,Monitorowanie efektywnoci dzialañ w ramach przyjtej Polityki” proponujç ewentualne innych rozpatrzenie metod monitorowania efektywnoci niz Raporty o postçpach w realizacji Polityki. Uwaga wynika z tego, iz same Raporty nie pozwolq w sposób satysfakcjonuj4cy monitorowaé efektywnoci, poniewa miar efektywnoci jest relacja uzyskanych efektOw do poniesionych nakladów. Powysze propozycje zmian maj4, na celu doprecyzowanie opisywanych zagadnien, a take wyeliminowanie moliwoci interpretowania projektu w róny sposób. Propozycje dotyczce zmian w projektowanym dokumencie wynikajq równie z tego, iz dzialania te powinny bye raczej podejmowane na podstawie procesów szacowania ryzyka, tj. calociowego procesu analizy i oceny ryzyka (wg. PN-ISO/IEC 27001). Dokument nie precyzuje, kto mialby bye uprawnionym podmiotem. Propozycj e dotycz4ce wprowadzenia zmian w zapisach dokumentu wynikaj q, ponadto z tego, iz w projekcie nie zdefiniowano pojçcia ,,bezpieczeñstwa teleinformatycznego” i rue wiadomo czy jest to element bezpieczeñstwa cyberprzestrzeni, ezy tez pojçcie równowane. Ponadto zauwayC nale2y, ze projektowana Polityka w podrozdziale 1 rozdzialu I okre1a terminy, których znaczenie wplywa na treC regulacji okre1onych w polityce. Projektodawca z jednej strony formuluje wyraenia majqçe zastosowanie w zawartoci dokumentu, z drugiej zak, posluguje sic pojciami nieokre1onymi: podmiot publiczny, jednostka administracji, jednostka administracji rzadowej, czy zaangaowane instytucje, bez b1iszego ich zdefiniowania. W przyjçtej na potrzeby dokumentu terminologii wystcpuja rozbie2noci miçdzy znaczeniem prawnym okrelonych pojçC. Przykladowo definicja jednostki organizacyjnej i odwolanie sic w tym zakresie do kodeksu cywilnego nie ma uzasadnienia prawnego, gdy kodeks ten nie zawiera bezporednio takiego okrelenia odwohijc sic do pojee osoba prawna lub osoba fizyczna. Nawet odwolanie sic do art. 33(1) § 1 Kodeksu cywilnego w którym uyto tego sformulowania nie rozwizuje interpretacji znaczenia tego pojccia, gdy organy administracji rz4dowej i ich aparaty pomocnicze nie zawsze posiadaj osobowoC z jednej prawn. strony budzi Wa.tpliwoci odwolujftce sic do ustawy równie o swobodzie ujcie dzialalnoci przedsiçbiorcy, gospodarczej, a jednoczenie rozszerzaj4ce to ujccie o kazdft jednostkc organizacyjnq, nieza1e2nie od formy wlasnoci. Pojçcie przedsiçbiorcy na gruncie ustawy o swobodzie dziala1noci gospodarczej jest na tyle elastyczne, ze nie ma potrzeby dokonywania modyfikacji tego pojccia. Na potrzeby projektowanej Polityki mona wprowadzaC elementy defmicyjne, ale powinny one uwzglcdniae intencje prawodawcy, a nie tylko bazowaC na przepisach odsylajftcych do treci innych aktów normatywnych. Inkorporacja pojecia ,,incydent zwizany z bezpieczeñstwem Strona 6 z 8 informacj i” w ksztakie przyjçtym na potrzeby Polityki wylcza mo1iwoá wystpienia takich zdarzeñ w jednostkach administracji, które z racji pelnionych funkcji nie s nastawione na zysk. Proj ektowana Polityka w sposób nieczytelny ustanawia odpowiedzia1noá za bezpieczeñstwo w cyberprzestrzeni. Wprawdzie konstytucyjnym zadaniem Rady Ministrów jest zapewnienie bezpieczeñstwa wewnçtrznego, natomiast personalnie odpowiedzia1noó za dzialania Rady Ministrów spoczywa na Prezesie Rady MinistrOw, zgodnie z art. 148 pkt 4 Konstytucji RP. W regulacjach polityki kwestie odpowiedzia1noci albo powinny byá rozloone na Rade Ministrów i Prezesa Rady Ministrów, albo winny byá przypisane Prezesowi Rady Ministrów. W polityce nie uwzgledniono konstytucyjnych rozwi4zañ dotyczcych zarówno zadañ, jak i roli Prezesa Rady Ministrów, jako organu monokratycznego i przewodniczcego organu kolegialnego. W punkcie 1.1. defmicja cyberprzestrzeni — zaczerpnieta z ustawy o stanie wojennym jest za wftska (wycza istotne systemy teleinfonnatyczne podmiotów, które nie realizuj zadañ publicznych. Co wiecej, sama ustawa o infonnatyzacji w art. 2 pkt 3 wyklucza z cyberprzestrzeni systemy teleinformatyczne ,,przedsibiorstw pañstwowych, spólek handlowych, sluzb specjalnych (ABW oraz AW), Kancelarii Sejmu, Kancelarii Senatu, Kancelarii Prezydenta Rzeczypospolitej Polskiej oraz Narodowego Banku Poiskiego, poza przypadkami, gdy w zwizku z rea1izacj zadañ przez te podmioty istnieje obowi4zek przekazywania informacji do i od podmiotów niebçdftcych organami administracji rzdowej” oraz w art. 2 pkt 4 systemy teleinformatyczne ,jednostek badawczo-rozwojowych, uczelni publicznych, Polskiej Akademii Nauk i tworzonych przez ni jednostek organizacyjnych, Rzecznika Praw Obywateiskich, Trybunalu Konstytucyjnego, Sdu Najwyszego, sqdów administracyjnych, Najwyszej Izby Kontroli, Krajowej Rady Radiofonii i Telewizji, Krajowego Biura Wyborczego, Instytutu Pamieci Narodowej — Komisji cigania Zbrodni przeciwko Narodowi Po1skiemu Generalnego Inspektora Ochrony Danych Osobowych, Komisji Nadzoru W Pkt.4.4. Finansowego ,,... zamienié sic na oraz Generalnego lnspektora Informacji Finansowej” za zwalczanie przestepczoci komputerowej o charakterze kryminalnym” powinno ,,... za zwalczanie cyberprzestcpczoci”. Pojcie przestcpczoci komputerowej nie jest zdefiniowane oraz ograniczenie jej do przestcpczoci kryminalnej nie wydaje sic wIaciwe. Pragnç zwróciá take uwagç, iz przedmiotowy dokument nakiada na adresatów Polityki (w tym kierowników jednostek organizacyjnych administracji rzadowej) nowe obowizki, które mog skutkowaé koniecznociq, wydatkowania dodatkowych rodków z budetu pañstwa na sfinansowanie zaloonych dzialañ. W projektowanym dokumencie wskazuje sic m.in., iz w kadej jednostce organizacyjnej administracji rzq4owej ma zostaé powolany pelnomocnik do spraw bezpieczeñstwa cyberprzestrzeni, nie okre1ajftc jednak jego miejsca w strukturze jednostki organizacyjnej. Podobna sytuacja ma Strona 7 z 8 miejsce równie w przypadku ustanawiania i rozwoju w jednostkaeh zespolów bezpieczeñstwa (reagowania na incydenty). Wydaje sic, ze byoby waciwym jednoznaczne wskazanie w dokumencie, czy w ww. przypadkach powinna nastapió jedynie koniecznoá przeksztalcenia dotychczasowej struktury jednostek organizacyjnych, czy te koniecznym jest stworzenie nowych wyspecjalizowanych stanowisk oraz zespo1ów odpowiedzialnych za bezpieczeñstwo cyberprzestrzeni Rzeczypospolitej Polskiej w kadej jednostee bçdcej adresatem Polityki. Zauwayã na1ey, iz powysza kwestia pozostaje nie bez znaczenia w kontekcie szacowania przez jednostki ewentualnych kosztów zwiazanych z zadaniami naloonymi przez opiniowany dokument. Ponadto wyjanienia wymaga z jakich ródeI sfinansowane zostan4 szkolenia pelnomocników ds. bezpieczeñstwa cyberprzestrzeni, a take pracowników administracji rzftdowej majcej dostcp oraz korzystajftcej z cyberprzestrzeni RP. TER 4 MIP SPRAW W}TRZNYCH e retarz Stanu Strona 8 z 8