pobierz - ministerstwo cyfryzacji
Transkrypt
pobierz - ministerstwo cyfryzacji
........ •I...... ••• a... a... ........ a... a... •• ala..... .... a... •aaa a•• .a•• ........ a... a... a... a... .... a... •.a. .... .... a... POLSKIE TOWARZYSTWO INFORMATYCZNE Zarzd Gowny, al. Solidarnoci 82A m, 5, 01-003 Warszawa, tel.: + 48 22 838 47 05, tel/fax: + 48 22 636 89 87, e-mail: ptipti.org.pl, www.pti.orQ.l Adres korespondencyjny: ul. Pulawska 39 bk. 4, 02-508 Warszawa Warszawa, 30 padziernika 2012 r. Opinia Poiskiego Towa rzystwa I nformatycznego do projektu ,,Polityki Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej” z dnia 18 wrzenia 2012 roku. Poiskie Towarzystwo Informatyczne z zadowoleniem przyjmuje fakt powstania dokumentu ,,Polityka ochrony cyberprzestrzeni RP” (dalej POCRP, Polityka) I dziçkuje za mozIiwoO uczestniczenia w procesie opiniowania tego dokumentu. Koncepcj stworzenia dokumentu strategicznego majcego na celu osigniçcie akceptowalnego poziomu bezpieczeñstwa teleinformatycznego pañstwa nalezy oceniô jako sluszn. 1. Uwagi ogólne 1. Dokument POCRP jest zbyt ogó!nikowy. Nie definiuje zadnych standardów ani wymagañ minimalnych. 2. ZaIet dokumentu jest rozwizanie kompetencyjnego sporu w sprawie odpowiedziaInoci za bezpieczeñstwo teeinformatyczne pañstwa I ustalenie, ze za bezpieczeñstwo infrastruktury informatycznej pañstwa odpowiada Ministerstwo Administracji I Cyfryzacji. Nalezy jednakze mieá na uwadze, ze z jego kompetencji wylczono wojsko, sluzby, suzbç zdrowia, sdownictwo I wymiar sprawiedliwoci. 3. ZaIet Polityki jest zapowied± przegldu regulacji prawnych zwizanych z bezpieczeñstwem teleinformatycznym oraz okreIenie zalozeñ procedural no-organ izacyjnych dotyczcych bezpieczeñstwa teleinformatycznego. 4. Z zadowoleniem naezy przyjO proponowane w POCRP wprowadzenie tematyki bezpieczeñstwa teleinformatycznego jako stalego elementu ksztalcenia: na uczelniach wyzszych, ksztatcenia kadry administracji oraz kampani spoeczn o charakterze edukacyjnym. 2. Uwagi szczegOlowe 1. Dokument PQCRP mówi, ze osigniçcie akceptowanego poziomu bezpieczeñstwa teleinformatycznego Pañstwa jest reahzowane poprzez ,,stworzenie ram organizacyjno-prawnych KRS: 0000043879— Sad R.ejonowy dia inst. \Varszawy w Warszawie. Xli WydzialGospodarcz Krajowego Relestru SQdowego. NIP: 522000-20-38, REGON: 001236905 ......i• aaaaaa• •••• R• S•••• a... a... is...... .... a... .....aa. a... .... a... .a• .... a... .... .... aa •aa a... a... a... a... a... a... POLSKIE TOWARZYSTWO INFORMATYCZNE Zarzd Gowny, a!. Solidarnoci 82A m. 5, 01-003 Warszawa, tel.: + 48 22 838 47 05, tel/fax: + 48 22 636 89 87, e-mail: ptipti.org.pl, www.pti.QrQ.pI Adres korespondencyjny: ul. Puawska 39 10k. 4, 02-508 Warszawa oraz systemu skutecznej koordynacji I wymiany informacji pomiçdzy uzytkownikami CRP”. To sformulowanie sugeruje, ze do zapewnienia bezpieczeñstwa cyberprzestrzeni wystarcz dzialania organizacyjne I proceduralne. 2. Dokument POCRP nie adresuje koniecznoci opracowania spójnej architektury bezpieczeñstwa w skali pañstwa. 3. Polityka nie przedstawia szczegOlOw wspOlpracy z przedsiçbiorcami w zakresie dostarczania wiedzy I rozwizañ, jak rOwniez wspolnej reahzacji zadañ dotyczcych bezpieczeñstwa teleinformatycznego. 4. W dokumencie Polityki nie okreono ±rOdel finansowania proponowanych dzi&añ. Nie mozna budowaO wdrazaO rozwizañ bezpieczeñstwa za darmo, bez ponoszenia np. kosztOw szkoleñ, aktuaIizacj sprzçtu I oprogramowania, usuwanie podatnoci na zagrozenia. POCRP powinna wskazaO potencjalne ±ródta finansowania przedsiçwziO. Jest to tym wazniejsze, ze nie mozna wprost okrehO zwrotu z inwestycji w obszarze bezpieczeñstwa IT. 5. W dokumencie POCRP kladzie sic duzy nacisk na reagowanie na incydenty bezpieczeñstwa a zbyt maly na dzialania prewencyjne np. korzystanie z zespoów CERT w celu uprzedzania o mozliwych zagrozeniach. 6. Dokument POCRP nie okreIa miejsca pelnomocnika bezpieczeñstwa cyberprzestrzeni w strukturze jednostki organizacyjnej, nie wskazuje zakresu uprawnieñ I odpowiedziaInoci, koniecznego wyksztalcenia I dowiadczenia. 7. Dokument POCRP zaleca wzmocnienie zespolOw reagowania na cyberataki, przy ABW i NASK. Natomiast w niewielkim stopniu porusza tematyk dzialañ I rozwizañ zapobiegajcym atakom. Atak jest najczciej skutkiem uprzednich zaniedbañ lub przyjçcia nieuzasadnionych zbyt optymistycznych zaloeñ w szacowaniu ryzyka. — 8. Polityka bezpieczeñstwa teleinformatycznego pañstwa nie moze byO realizowana za wszeIk cenc. Nie powinna ona naruszaá woInoci slowa, czy tez anonimowej komunikacji w sled. Zapisy przedstawione w pkt 3.6.3 budz obawy, ze do ochrony cyberprzestrzeni mog w przyszloci zostaO wykorzystane mechanizmy I narzdzia umozIiwiajce monitorowanie zachowañ uzytkownikáw lub ffltrowanie bd± blokowanie treci, nawet mog byô stosowane niejawnie. 9. Dokument POCRP nie wskazuje miejsca usytuowania pelnomocnika bezpieczeñstwa cyberprzestrzeni strukturze jednostki organizacyjnej, jednak rola p&nomocnika powinna zostaO przypisana osobie odpowiedzialnej za realizacjç procesu bezpieczeñstwa teleinformatycznego. Nasuwa sic pytanie czy ustanowienie PBC na dowolnym szczeblu struktury organizacyjnej umozliwi mu realizacjc obowizkOw. 10. Dokument nie bierze pod uwagç zmian zachodzcych w technikach informatycznych. Np. w dokumencie nie uwzgIdniono faktu, ze coraz wiçcej procesow realizowanych jest z wykorzystanie urzdzeñ mobilnych lub rozwizañ opartych na technologii chmury. POCRP KRS: 0000043879 Sd Rejonow dia m.st. Warszay w Warszawie, XII Wydzial GospodarczyKralowcgo Rejesiru Sdowego. NI1.522-000-20-38. REGON: 001236905 ........ ........ I... B... ••RB BB••••BB •UU .... B... ••I••• •B B... •••• .... B... ........ .... .... .... .... .... B... •... .... .... POLSKIE B... B••B INFORMATYCZNE Zarzd Glówny, al. Solidarnoci 82A m. 5, 01-003 Warszawa, tel.: + 48 22 838 47 05, tel/fax: + 48 22 636 89 87, e-maH: [email protected], www.pti.orcipI Adres korespondencyjny: ul. Pulawska 39 bk. 4, 02-508 Warszawa powinna byó przegdana przez kompetentne I poinformowane osoby aby stwierdz,O czy w kolejnych latach jest jeszcze przydatna. 11. W punkcie 3.4.2 “System zarzdzania bezpeczeñstwem w jednostce” autorzy dokumentu powolujq si na ,,obowizki wynikajce z ustawy z dnia 17 lutego 2005 r. o informatyzacji dziaIalnoci podmiotOw reaIizujcych zadania publiczne (Dz. U. Nr, poz. 565, z pO±n. zm.) dotyczce minimalnych wymagan dia systemów teleinformatycznych w zakresie bezpieczeñstwa informacji.” natomiast nie nawizuje do Rozporzdzenie Rady MinistrOw z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjnoci, minimalnych wymagan da rejestrOw pubhcznych I wymany informacji w postaci &ektroncznej oraz minimalnych wymagañ dia systemOw teleinformatycznych (Dz. U. 2012, pozycja 526). Rozporzdzenie to okreIa metody I wytyczne do budowarna systemów teIenformatycznych administracji publicznej I zawiera szereg wytycznych dotyczcych bezpieczeñstwa teleinformatycznego (z odwolaniem do norm z serli 27000). Rozporzdzenie KRI przejçlo tak±e funkcje wczeniejszego rozporzdzenia o minimalnych wymaganiach wobec systemów teleinformatycznych (Dz. U. z dnia 28 pa±dziernika 2005). 12. W wielu miejscach dokumentu POCRP I wystçpuj pojçcia ,,ocena ryzyka” I ,,analiza ryzyka”. Proponujemy oprzeO si na terminobgil poiskich norm z serii 27000, a w szczegóInoci normy PN-ISO/IEC 27005:2010 ,,Technika informatyczna Techniki bezpieczeñstwa Zarzdzanie ryzykiem w bezpieczeñstwie informacji”, gdzie anallza ryzyka I ocena ryzyka to dwa etapy szacowania ryzyka. -- -- 3. Wnioski Zdaniem Poiskiego Towarzystwa Informatycznego przedlozony projekt Polityki nalezy poddaO istotnym modyfikacjom. WrOd nich powinny s znale±O: 1. UspOjnienie z obowizujcymi aktami prawnym (np. Rozporzdzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjnoci, minimalnych wymagan dia rejestrów publicznych I wymiany informacji w postaci elektronicznej oraz minimainych wymagañ dia systemów t&einformatycznych). 2. Konsekwentne przyjçcie terminologli z norm serli PN ISO/IEC 27000. 3. Zdefiniowanie odpowiedziaInoci i uprawnieñ osób zwizanych z zapewnieniem bezpieczeñstwa cyberprzestrzen I. 4. OkreIenie realnych ±ród& finansowania dzialañ zdefiniowanych w Polityce. Projekt opinli przygotowat zespót ekspertów Poiskiego Towarzystwa Inform atycznego. KRS: 0000043879 —Sad Rejonow dia m.st. WarszawvwWarszawie,XI] Wydzial Gospodarezy Krajowego Rcjestru Sdowego, NIP: 522-000-20-38. REGON: 001236905