pobierz

Warszawa, dnia1,adziemika 2012 r.
MINISTER
SPRA’V ‘V’E’1ITRZNYCH
INTEP,TJC DMrris rcjj i
GLOWNA
rlsw
I
I I Ii I
DP-Ill-0232-574/12/RA
21Z.:JBj.
Wpyneodn
IH I
nr
zaL/kart
76
ABø142
Pan Michal Boni
Minister Administracji i Cyfryzacji
W odpowiedzi na pismo z dnia 24 wIzenia 2012 r., nr MAC-8349/2012, przy którym
zaiftezono projekt dokumentu rzqdowego Polityka Ochrony Cyberprzestrzeni Rzeczypospolitej Poiskief
—
1.
uprzejmie informuje, ze zglaszam nastepujce propozycje do rozwaenia:
Str.3
Na1ey uzupelnié informacje, iz dokument zostal opracowany na podstawie przyjetego przez Staly
Komitet Rady Ministrów w dniu 16 czerwca 2011 r. dokumentu ,,Polityka Bezpieczeñstwa
Cyberprzestrzeni Rzeczypospolitej Polskiej”, z jednoczesnym rekomendowaniem go Radzie
Ministrów. Na1ey usunftá zapis dotycz4cy ,,Rzadowego Programu Ochrony...”.
2.
Str. 4 akapit 2
Na1ey doprecyzowaá zakres znaczeniowy okre1enia ,,separacja”. Z obecnego zapisu nie wynika
kto lub co mialoby byó separowane od systemów teleinformatycznych. Na1ey zauwayá, ze uyte
sformulowanie moze byá bledne, poniewa dia systemu infonnatycznego ,,separacja” moe byó
jednft z metod zmniejszania prawdopodobieñstwa, ze zagroenie wystpi w mniejszym bftd
wiçkszym stopniu, czyh zrealizuje sic. Powinno byá:
,,..
.dla systemów informatycznych
dia których zmniejszenia ryzyka wymaga Co raz wiekszych zasobów ludzkich, technicznych
nakladów finansowych oraz wiedzy i informacj i, a take faktu rozproszonej...”
3.
Str.4akapit3
Brak jest spójnoci
pomiedzy
systemami
wynikajcymi
z
definieji
cyberprzestrzeni
a systemami teleinformatycznyrni wynikaj cymi z tego zdania.
Niedopuszczalne jest by polityka swoimi zapisami nie dotyczyla ,,osób prawnych” na podstawie
kodeksu cywilnego bd ,,miçdzynarodowych osób prawnych” majcych siedziby na terytorium
RP.
Dokument ,,Polityka...” obejmuje tylko wskazane systemy informatyczne i to nieza1enie
od tego ezy sa pod1aczone do cyberprzestrzeni ezy te nie sq, i to zagadnienie nale±aloby
doprecyzowaé.
Sekretarjat
Ministra Administracjj i Cvfryzajj
Wplynço dn
Strona 1 z 8
4.
Str. 5 akapit 2
Stworzenie wyIaczenia w postaci nie objecia ,,Polityk4...” niejawnych systemów informatycznych
stanowi wylom w bezpieczeñstwie RP, poniewa informacje niejawne mogq, byá celem dzialania
zagroeñ ukierunkowanych na systemy niejawne (przyklad ataku
-
robak Stuxnet, robak Flame),
które cyberprzestrzeñ mog wykorzystywaé jako medium umoliwiajce im nie tylko
komunikacjç z atakujftcym, ale jako medium do wysylania zdobytych informacji lub dozbrojenia
w moduly które pozwol4 wrçcz spara1iowaó systemy informatyczne wane nie tylko
dia bezpieczeñstwa RP, ale take gwarantujce realizacjç przez pañstwo obowiazków
konstytucyjnych wzgledem obywateli. Naley zaznaczyá ze nie mona wyIqczyé z ,,Polityki...”
systemów
teleinformatycznych
niejawnych
poniewa
pomiedzy
tymi
systemami
a cyberprzestrzeni, jest staa cznoé informacyjna realizowana za pomoc elementu ludzkiego,
ktorego dzialania sa w pewien sposób ograniezone poprzez obowizujc ustaw o informacji
niejawnej, obwizujce procedury, czy nadzór ABW. Niestety nie wyklucza to przedostania
sic zagroenia (wykonania ataku) z cyberprzestrzeni do systemów teleinformatycznych
niejawnych bad z systemów teleinformatycznych niejawnych na cyberprzestrzeñ RP, b4d
cyberprzestrzeñ innego pañstwa ,co mote prowadziC do nieporozumieñ czy wrçcz wojny
konwencjonalnej. Pragne zwrócié uwagc, ze zasoby systemów informatycznych niejawnych
w wielu wypadkach nie sq, produkcj i polskiej i s zakupywane od zagranicznych firm, które mog
nawet nie wiedzieé ze np. procesor Intela (bd inny element) zostal tak skonstruowany
w technologii niedostepnej w Polsee (np. 22 nanometrowej i mniejszej
) ze jego czeá mote bye
dedykowana do wykonania ataku w okrelonej sytuacji moze np. poprzez doeiagniccia
dedykowanego software
—
konia trojañskiego. Znane s, ju przypadki ze pewne luki
umoliwiajce atak, wirusy sa, implementowane fabrycznie w biosy komputerów, nagrywarki
DVD, biosy kart graficznych bcdcych bardzo atrakcyjnym medium na wypadek cyberwojny
ze wzglçdu na posiadana, ogromn moe obliczeniow, wielokrotnie przewyszajacq, moe
obliezeniow4 komputera, niedostcpnoC wiedzy i technologii w wielu pañstwach wiata (brak
wiedzy, technologii powoduje, ze badanie funkcjonalnoci zaszytych w biosach, procesorach
funkcjonalnoei jest niemoliwe do przeprowadzania oraz wymaga ogromnych zasobów czasu).
W zwizku z tym proponuje sic zapisaC, ze informacje niejawne i zasoby z nimi zwiazane
stanowi cyberprzestrzeñ RP,ale ich bezpieczeñstwo i nadzór ze strony ABW jest realizowane
na podstawie obowi4zujcych przepisów prawa dotyczcych ochrony informacji niejawnych.
Proponujç dodaC, ze
-
w przypadku gdy niejawne systemy teleinfonnatyezrie sa celem ataku
i zaklóca to realizacje obowiqzków konstytucyjnych Pañstwa za pomoe cyberprzestrzeni
lub systemy sq, lub byly wykorzystane do przeprowadzenia ataku na cyberprzestrzen RP
lub eyberprzestrzen innego pañstwa obowiazuj4ce staj sic regulacje zwi4zane z bezpieezeñstwem
cyberprzestrzeni RP.
Strona 2 z 8
5.
Str. 7 definicja ,,uytkownik cyberprzestrzeni”
Majftc na uwadze definicjç ,,cyberprzestrzeni” pragne zauwayá, iz nie obejmuje ona swoimi
—
zapisami wiçkszoci komputerów osób fizycznych i prawnych poniewa dotyczy tylko
,,przestrzeni przetwarzania i wymiany informacji tworzonej przez systemy informatyczne,
okre1one w ustawie o informatyzacj i dziaIa1noci podmiotów realizuj qcych zadania publiczne
wraz z powiazaniami pomiçdzy nimi oraz relacjami z uytkownikami”. Na1ey w zwizku z tym
uzupelnié definicje o powysze zapisy.
6.
Str.10,p.1.5
OdpowiedziaInoá za bezpieezeñstwo powinna byá jednoosobowa a nie zbiorowa. Proponuje
zmiane zdania pierwszego ,,Za bezpieczeñstwo CRP odpowiada Prezes Rady Ministrów...”.
7.
Str.11,p.1.6
Naley dopisaé zdanie:
,,Z uwagi na transgraniczny wymiar cyberprzestrzeni, ,,Polityka...” uwzg1dnia równie inne
miçdzynarodowe umowy i porozumienia, których RP jest strona’. Zapis na1ey wprowadzió celem
objçcia swoim zakresem wszystkich aktów prawnych.
8.
Str. 14, akapit 3
Na1ey poprawiC zdanie, aby brzmialo:
,,
. .
.wlaciwego do spraw informatyzacji jest
przekazanie...”. Minister w1aciwy do spraw informatyzacji musi bye zobowiazany do stworzenia
sprawozdania a nastçpnie do jego przekazania Prezesowi Rady Ministrów.
9. W pkt 1.2 ,,Cel strategiczny”, w akapicie trzecim proponuje sic zastpiC wyrazy ,,ocen ryzyka”
wyrazami ,,oszacowañ ryzyka”.
10. W pkt 1.3 ,,Cele szczególowe”, w ppkt 2 proponuje sic zastqpiC wyrazy ,,ze strony
cyberprzestrzeni” wyrazami ,,dla cyberprzestrzeni”. Biorac pod uwagc definicjc cyberprzestrzeni
przedstawionft w pkt 1.1 proj ektu, pozostawienie tego poj çcia w obecnej formie wskazywaoby,
ze celem jest zwiçkszenie zdo1noci do zapobiegania i zwalczania wylqçznie zagroeñ p1yncych
z ,,wewntrz” tak zdefiniowanej cyberprzestrzeni, a nie jest to jedyne ród1o zagroeñ.
11. W pkt 1.3 ,,Cele szczególowe”, w ppkt 3 proponuje sic zasta.piC wyrazy ,,bezpieczeñstwo
teleinformatyczne” wyrazami ,,bezpieczeñstwo cyberprzestrzeni”.
12. W pkt 2 ,,Uwarunkowania i problemy obszaru cyberprzestrzeni”, w akapicie pifttym proponujc
usunaC wyrazy ,,z cyberprzestrzeni”.
13. W pkt 3.1 ,,Ocena ryzyka” proponujç zmieniC brzmienie akapitu pierwszego poprzez nadanie
nastcpujftcego brzmienia: ,,Szacowanie ryzyka zwizanego z funkcjonowaniem cyberprzestrzeni
jest kluczowym elementem procesu zarzdzania ryzykiem cyberprzestrzeni, detenninujftcym
Strona 3 z 8
i uzasadniaj4cym dzialania podejmowane w celu obnienia ryzyka do akceptowalnego poziomu.”
Uwaga wynika z tego, iz zaproponowane sformulowanie jest bIisze wspólczesnemu modelowi
zarzftdzania ryzykiem, opisanemu m.in. w normach ISO serii 27000. Ponadto zapis w pierwotnym
brzmieniu wskazywal, ze dzialania mialyby byá podejmowane w celu obnienia bezpieczeñstwa
cyberprzestrzeni, a nie ryzyka.
14. W pkt 3.1 ,,Ocena ryzyka” w akapicie drugim proponujç zastqpiá wyrazy ,,podsumowujce oceny
ryzyka” wyrazami ,,podsumowujace wyniki szacowania ryzyka”.
W pkt 3.1 ,,Ocena ryzyka” proponuje zmienié wyrazy ,,Sprawozdanie powinno zawieraá ogolne
dane dotycz4ce rodzajów ryzyka, zagroeñ i slabych punktów zdiagnozowanych w kadym
z sektorów (...)“ wyrazami ,,Sprawozdanie powinno zawieraé ogólne dane dotyczce poziomu
ryzyka, zagrozeñ i podatnoci zdiagnozowanych w kadym z sektorów (...)“. Proponuje nowe
brzmienie akapitu: ,,Zalecane jest, aby Rzdowy Zespól Reagowania na Incydenty Komputerowe
CERT.GOV.PL wraz z Ministrem Spraw Wewnetrznych przedstawili ministrowi wIaciwemu ds.
informatyzacji, w celu zunifikowanego podejcia, opracowane katalogi zawierajace specyfikacjç
zagroeñ
oraz mo1iwych
podatnoci
godz4cych
w
bezpieczeñstwo
cyberprzestrzeni.”
Proponowane zmiany zawierajft pojçcia bIisze modelowi zarzftdzania ryzykiem opisanemu
m.in. w normach ISO serii 27000.
15. W
3.1
pkt
,,Ocena
ryzyka”
w
pi4tym
proponujç
akapicie
usunqé
wyrazy
,,w celu zunifikowanego podejcia, opracowane” oraz dodaá p0 kropce wyrazy ,,Katalogi
te powinny bye okresowo aktualizowane.” Powysza uwaga wynika z tego, iz powinien to byC
raczej ciqgly, powtarzalny proces, a nie jednorazowe dzialanie, ustanawiajce raz na zawsze
specyfikacjç zagroeñ i moIiwych podatnoci.
16. Proponujç zmieniC tytul pkt 3.1 ,,Ocena ryzyka” na ,,Szacowanie ryzyka”.
17. W pkt 3.2 ,,Bezpieczeñstwo portali administracji rzadowej” w pierwszym akapicie proponujç
zastqpiC wyrazy ,,oceniC ryzyko” na wyrazy ,,oszacowaC ryzyko” oraz wyrazy ,,wyników oceny
ryzyka” na wyrazy ,,wyników szacowania ryzyka”.
18. Proponujç
nadaC
nastçpujce
brzmienie
pkt
3.3
projektu:
,,Niezbçdnym
elementem,
umo1iwiajacym realizacjç Polityki, bçd dzialania legislacyjne, które nalezy podjftC niezwlocznie.
Rada Ministrów, majc na wzgledzie wysoki priorytet tych dzialañ, widzi potrzebe ich
zainicjowania przez ministra wIaciwego do spraw informatyzacji. Wprowadzenie spójnych
regulacji prawnych, które powinno byC poprzedzone przegkdem tych obecnie obowizujcych,
stworzy warunki do podejmowania dalszych dzialañ, prowadzftcych do wdroenia zapisów
Polityki.” Proponowana zmiana precyzyjniej przedstawia cele i zaloenia dzialañ legislacyjnych.
19. W
pkt
3.4.2
w
pierwszym
,,W
kadej
,,System
akapicie
jednostce
zarzadzania
proponuje
organizacyjnej
bezpieczeñstwem
nowe
w
brzmienie
administracji
rz4dowej,
jednostce
o
organizacyjnej”
nastQpuj4cej
w
ramach
treci:
zapewnienia
bezpieczenstwa cyberprzestrzeni, kierownik jednostki powinien ustanowiC system zarz4dzania
Strona 4 z 8
bezpieczeñstwem informacji, w oparciu o obowi4zujace przepisy, Poiskie Normy i najlepsze
praktyki.”
Poiskie
Normy
odzwiercied1aj
znaczçe
i
powszechnie
wykorzystywane
dowiadczenia w zakresie budowy systemów zarzftdzania bezpieczeñstwem informacji, w tym
miejscu nie powinny bye pominiçte. Proponuje uzupelnienie zdania o dodanie ministra
wlaciwego do spraw wewnçtrznych jako naczelnego organu administracji rzq4owej wlaciwego
w sprawach zapewnienia bezpieczeñstwa i porza,4ku publicznego.
20. W pkt 3.6 ,,Za1oenia dzialañ technicznych” w pierwszym akapicie proponuje zastqpiC wyrazy
,,Ich celem bedzie zmniejszenie ryzyka wystajienia zagroeñ z CRP.” wyrazami ,,Ich celem
bçdzie zredukowanie ryzyka dia CRP do akceptowalnego poziomu.” Celem wdroenia m.in.
rodków technicznych jest zredukowanie poziomu ryzyka bftd zmniejszenie podatnoci zasobu
na zagroenie, nie ryzyka wystpienia zagroeñ (patrz: PN-ISO/JEC 17799). Proponuje take
zdefiniowaC pojecie ,,zespoly”, o którym stanowi pkt 3.6.2.
21. W pkt 3.6.5 ,,Rozwój zespolów bezpieczeñstwa” w ppkt 4 proponujç usunC wyraz ,,ftp”.
Okre1enie ,,Ftp” nie jest informacja,, to protokól transferu plików, który moze byC wykorzystany
do rozpowszecbniania informacji.
22. W pkt 4 ,,Wdroenie i mechanizmy realizacji zapisów dokumentu” proponuje zastapiC wyrazy
,,analizy ryzyka” wyrazami ,,szacowania ryzyka”.
23. W pkt 5 ,,Finansowanie” w akapicie drugim proponuje sic usunC zdanie: ,,Niniejszy dokument
zakiada kontynuacjc dzialañ realizowanych oraz zaplanowanych przez Zespól, o którym mowa w
pkt 3.4.1”. Zespól, o którym mowa, jeszcze nie zostal powolany, w zwiazku z tym przyjccie
powyszego
za1oenia
jest
nielogiczne
(tj.
kontynuacj i
dzialañ
realizowanych
i zaplanowanych przez ten Zespól).
24. W pkt 5 ,,Finansowanie” w pifttym akapicie proponujc zastapiC wyrazy ,,ana1iz ryzyka”
wyrazami ,,wynikami szacowania ryzyka”.
25. W pkt 6 ,,Ocena skutecznoci Polityki” w pierwszym akapicie proponuje zastajiC wyrazy
,,przeprowadzeniu oceny ryzyka” wyrazami ,,przeprowadzeniu szacowania ryzyka”.
26. W pkt 6 ,,Ocena skutecznoci Polityki” w ppkt 3 proponujç usunC wyrazy ,,kategorii
incydentów”. Uwaga wynika z tego, iz stopieñ standaryzacji nijak sic ma do stopnia wdroenia
kategorii incydentów.
27. W pkt 6 ,,Ocena skutecznoci Polityki” w ppkt 4 proponuje zastapiC wyrazy ,,(szacowanie
zasobów)” wyrazami ,,(identyfikacja zasobów)”. Propozycja wynika z tego, i zasoby raczej
sic identyfikuje i wartociuje, a nie szacuje.
Strona 5 z 8
28. W pkt 6.2 ,,Skutecznoá dzialañ” sugerujç ponowne rozwaenie treci calego punktu. Miara
skutecznoci nie moze bye ocena regulacji, instytucji i relacji, bowiem skutecznoá to stopieñ, w
jakim planowane dziaania sa zrealizowane i planowane wyniki osigniçte.
29. W pkt 6.3 ,,Monitorowanie efektywnoci dzialañ w ramach przyjtej Polityki” proponujç
ewentualne
innych
rozpatrzenie
metod
monitorowania
efektywnoci
niz
Raporty
o postçpach w realizacji Polityki. Uwaga wynika z tego, iz same Raporty nie pozwolq
w sposób satysfakcjonuj4cy monitorowaé efektywnoci, poniewa miar efektywnoci jest relacja
uzyskanych efektOw do poniesionych nakladów.
Powysze propozycje zmian maj4, na celu doprecyzowanie opisywanych zagadnien,
a take wyeliminowanie moliwoci interpretowania projektu w róny sposób.
Propozycje dotyczce zmian w projektowanym dokumencie wynikajq równie z tego,
iz dzialania te powinny bye raczej podejmowane na podstawie procesów szacowania ryzyka,
tj. calociowego procesu analizy i oceny ryzyka (wg. PN-ISO/IEC 27001). Dokument nie precyzuje,
kto mialby bye uprawnionym podmiotem.
Propozycj e dotycz4ce wprowadzenia zmian w zapisach dokumentu wynikaj q, ponadto z tego,
iz w projekcie nie zdefiniowano pojçcia ,,bezpieczeñstwa teleinformatycznego” i rue wiadomo czy jest
to element bezpieczeñstwa cyberprzestrzeni, ezy tez pojçcie równowane.
Ponadto zauwayC nale2y, ze projektowana Polityka w podrozdziale 1 rozdzialu I okre1a
terminy, których znaczenie wplywa na treC regulacji okre1onych w polityce. Projektodawca z jednej
strony formuluje wyraenia majqçe zastosowanie w zawartoci dokumentu, z drugiej zak, posluguje
sic pojciami nieokre1onymi: podmiot publiczny, jednostka administracji, jednostka administracji
rzadowej, czy zaangaowane instytucje, bez b1iszego ich zdefiniowania. W przyjçtej na potrzeby
dokumentu terminologii wystcpuja rozbie2noci miçdzy znaczeniem prawnym okrelonych pojçC.
Przykladowo definicja jednostki organizacyjnej i odwolanie sic w tym zakresie do kodeksu cywilnego
nie ma uzasadnienia prawnego, gdy kodeks ten nie zawiera bezporednio takiego okrelenia
odwohijc sic do pojee osoba prawna lub osoba fizyczna. Nawet odwolanie sic do art. 33(1)
§ 1 Kodeksu cywilnego w którym uyto tego sformulowania nie rozwizuje interpretacji znaczenia
tego pojccia, gdy organy administracji rz4dowej i ich aparaty pomocnicze nie zawsze posiadaj
osobowoC
z
jednej
prawn.
strony
budzi
Wa.tpliwoci
odwolujftce
sic
do
ustawy
równie
o
swobodzie
ujcie
dzialalnoci
przedsiçbiorcy,
gospodarczej,
a jednoczenie rozszerzaj4ce to ujccie o kazdft jednostkc organizacyjnq, nieza1e2nie od formy
wlasnoci. Pojçcie przedsiçbiorcy na gruncie ustawy o swobodzie dziala1noci gospodarczej jest
na
tyle
elastyczne,
ze
nie
ma
potrzeby
dokonywania
modyfikacji
tego
pojccia.
Na potrzeby projektowanej Polityki mona wprowadzaC elementy defmicyjne, ale powinny
one uwzglcdniae intencje prawodawcy, a nie tylko bazowaC na przepisach odsylajftcych do treci
innych aktów normatywnych. Inkorporacja pojecia ,,incydent zwizany z bezpieczeñstwem
Strona 6 z 8
informacj i” w ksztakie przyjçtym na potrzeby Polityki wylcza mo1iwoá wystpienia takich zdarzeñ
w jednostkach administracji, które z racji pelnionych funkcji nie s nastawione na zysk.
Proj ektowana Polityka w sposób nieczytelny ustanawia odpowiedzia1noá za bezpieczeñstwo
w cyberprzestrzeni. Wprawdzie konstytucyjnym zadaniem Rady Ministrów jest zapewnienie
bezpieczeñstwa wewnçtrznego, natomiast personalnie odpowiedzia1noó za dzialania Rady Ministrów
spoczywa na Prezesie Rady MinistrOw, zgodnie z art. 148 pkt 4 Konstytucji RP. W regulacjach
polityki kwestie odpowiedzia1noci albo powinny byá rozloone na Rade Ministrów i Prezesa Rady
Ministrów, albo winny byá przypisane Prezesowi Rady Ministrów. W polityce nie uwzgledniono
konstytucyjnych rozwi4zañ dotyczcych zarówno zadañ, jak i roli Prezesa Rady Ministrów,
jako organu monokratycznego i przewodniczcego organu kolegialnego.
W punkcie 1.1. defmicja cyberprzestrzeni
—
zaczerpnieta z ustawy o stanie wojennym jest
za wftska (wycza istotne systemy teleinfonnatyczne podmiotów, które nie realizuj
zadañ
publicznych. Co wiecej, sama ustawa o infonnatyzacji w art. 2 pkt 3 wyklucza z cyberprzestrzeni
systemy teleinformatyczne ,,przedsibiorstw pañstwowych, spólek handlowych, sluzb specjalnych
(ABW oraz AW), Kancelarii Sejmu, Kancelarii Senatu, Kancelarii Prezydenta Rzeczypospolitej
Polskiej oraz Narodowego Banku Poiskiego, poza przypadkami, gdy w zwizku z rea1izacj zadañ
przez te podmioty istnieje obowi4zek przekazywania informacji do i od podmiotów niebçdftcych
organami administracji rzdowej” oraz w art. 2 pkt 4 systemy teleinformatyczne ,jednostek
badawczo-rozwojowych, uczelni publicznych, Polskiej Akademii Nauk i tworzonych przez ni
jednostek organizacyjnych, Rzecznika Praw Obywateiskich, Trybunalu Konstytucyjnego, Sdu
Najwyszego, sqdów administracyjnych, Najwyszej Izby Kontroli, Krajowej Rady Radiofonii
i Telewizji, Krajowego Biura Wyborczego, Instytutu Pamieci Narodowej
—
Komisji cigania Zbrodni
przeciwko Narodowi Po1skiemu Generalnego Inspektora Ochrony Danych Osobowych, Komisji
Nadzoru
W
Pkt.4.4.
Finansowego
,,...
zamienié sic na
oraz
Generalnego
lnspektora
Informacji
Finansowej”
za zwalczanie przestepczoci komputerowej o charakterze kryminalnym” powinno
,,...
za zwalczanie cyberprzestcpczoci”. Pojcie przestcpczoci komputerowej nie jest
zdefiniowane oraz ograniczenie jej do przestcpczoci kryminalnej nie wydaje sic wIaciwe.
Pragnç zwróciá take uwagç, iz przedmiotowy dokument nakiada na adresatów Polityki
(w tym kierowników jednostek organizacyjnych administracji rzadowej) nowe obowizki, które mog
skutkowaé koniecznociq, wydatkowania dodatkowych rodków z budetu pañstwa na sfinansowanie
zaloonych dzialañ.
W projektowanym dokumencie wskazuje sic m.in., iz w kadej jednostce organizacyjnej
administracji rzq4owej ma zostaé powolany pelnomocnik do spraw bezpieczeñstwa cyberprzestrzeni,
nie okre1ajftc jednak jego miejsca w strukturze jednostki organizacyjnej. Podobna sytuacja ma
Strona 7 z 8
miejsce równie w przypadku ustanawiania i rozwoju w jednostkaeh zespolów bezpieczeñstwa
(reagowania na incydenty).
Wydaje
sic,
ze
byoby
waciwym
jednoznaczne
wskazanie
w
dokumencie,
czy w ww. przypadkach powinna nastapió jedynie koniecznoá przeksztalcenia dotychczasowej
struktury jednostek organizacyjnych, czy te koniecznym jest stworzenie nowych wyspecjalizowanych
stanowisk oraz zespo1ów odpowiedzialnych za bezpieczeñstwo cyberprzestrzeni Rzeczypospolitej
Polskiej w kadej jednostee bçdcej adresatem Polityki. Zauwayã na1ey, iz powysza kwestia
pozostaje nie bez znaczenia w kontekcie szacowania przez jednostki ewentualnych kosztów
zwiazanych z zadaniami naloonymi przez opiniowany dokument.
Ponadto wyjanienia wymaga z jakich ródeI sfinansowane zostan4 szkolenia pelnomocników
ds. bezpieczeñstwa cyberprzestrzeni, a take pracowników administracji rzftdowej majcej dostcp
oraz korzystajftcej z cyberprzestrzeni RP.
TER
4
MIP
SPRAW W}TRZNYCH
e retarz Stanu
Strona 8 z 8