W celu świadczenia usług na najwyższym poziomie stosujemy pliki cookies. Korzystanie z naszej witryny oznacza, że będą one zamieszczane w Państwa urządzeniu. W każdym momencie można dokonać zmiany ustawień Państwa przeglądarki. Zobacz politykę cookies.
Powrót

Podsumowanie konsultacji „Założeń do Strategii Cyberbezpieczeństwa dla Rzeczypospolitej Polskiej”

05.04.2016

Konsultacje „Założeń do Strategii Cyberbezpieczeństwa dla Rzeczypospolitej Polskiej” zostały ogłoszone na stronie internetowej Ministerstwa Cyfryzacji 23 lutego 2016 r. i miały trwać do 8 marca 2016 r. W rzeczywistości uwagi wpływały po terminie. Ostatnie stanowisko trafiło do Ministerstwa 29 marca 2016 r.

W trakcie konsultacji wpłynęło w sumie 78 uwag. Były one zgłaszane na wiele sposobów. Jedne stanowiły dość obszerne opracowania na temat cyberbezpieczeństwa z uwagami w tle, inne przedstawiały uwagi w postaci recenzji w trybie zmian i komentarzy w tekście dokumentu. Kolejny sposób zgłaszania, to zwięzłe uwagi w punktach. Trudno precyzyjnie określić ile uwag wpłynęło od osób prywatnych, ile od podmiotów gospodarczych, a ile od podmiotów publicznych. Trudność polega na tym, że niektóre osoby występowały w niejasnej roli i niełatwo ocenić czy występowały one prywatnie, czy w imieniu organu podmiotu.

W zdecydowanej większości zgłoszonych uwag bardzo pozytywnie odebrany został sam fakt publicznej prezentacji dokumentu prezentującego strategiczną wizję organizacji cyberbezpieczeństwa w Polsce. Należy przy tym zauważyć, że części autorów uwag odebrała opiniowany dokument jako właściwą strategię, a nie jako założenia do niej, co powodowało, że niektóre uwagi okazały się nieadekwatne. Wielu autorów wskazywało na eklektyczność dokumentu, występujące w nim powtórzenia i niekonsekwencje, a nawet sprzeczności.

Wiele z uwag powtarzało się w opiniach różnych autorów i te w szczególności wymagają starannego rozpatrzenia podczas pisania właściwej strategii. Do tego rodzaju uwag należą w szczególności następujące opinie:

  1. Strategia powinna wyraźnie określić cele jakie zamierza się osiągnąć poprzez jej wdrożenie, powiązania z innymi strategiami, w tym z tymi tworzonymi na podstawie  ustawy o zasadach prowadzenia polityki rozwoju oraz określić czas w jakim strategia ma obowiązywać.
  2. Dokument strategii powinien być zwięzły, a co za tym idzie krótszy niż dokument założeń.
  3. Diagnoza stanu cyberbezpieczeństwa powinna być wsparta statystykami krajowymi.
  4. Wymagane jest opracowanie obowiązującej taksonomii w zakresie cyberbezpieczeństwa oraz używanie ugruntowanej terminologii w innych zakresach (np. z zakresu administracji publicznej).
  5. Strategia powinna dystansować się od rozwiązań technologicznych.
  6. Struktura systemu zarządzania cyberbezpieczeństwem powinna być prosta, a powiązania informacyjne pomiędzy elementami tej struktury jednoznacznie zdefiniowane.
  7. Przedstawionym założeniom zarzucane było podejście reaktywne i przez to skupienie się na postępowaniu z już zaistniałymi incydentami, podczas gdy należałoby położyć większy nacisk na działania profilaktyczne, szkolenia i edukację.
  8. Wyrażano wielokrotnie zaniepokojenie, czy postulowane w założeniach monitorowanie punktów wymiany ruchu internetowego nie naruszy prawa do prywatności i nie stanie się narzędziem pozyskiwania informacji przez organy ścigania.
  9. Wyrażano poparcie dla idei stosowania certyfikowanego sprzętu i oprogramowania w systemach teleinformatycznych w podmiotów publicznych (bezpieczny łańcuch dostaw), z jednocześnie zgłaszaną możliwością kolizji prawnej z prawem zamówień publicznych.
  10. Postulowane oparcie rozwiązań technicznych i organizacyjnych na uznanych standardach i normach.
  11. Postulowano zwrócenie większej uwagi na problematykę indywidualnego użytkownika cyberprzestrzeni.
  12. Zwracano uwagę na konieczność położenia w strategii większego nacisku na problematykę współpracy międzynarodowej, ze szczególnym uwzględnieniem współdziałania w ramach UE i NATO.
  13. Podkreślano konieczność zwrócenia większej uwagi na problematykę systemów sterowania w przemyśle, ze szczególnym uwzględnieniem systemów teleinformatycznych w obiektach infrastruktury krytycznej państwa..
  14. Wskazywano, że strategia powinna wskazać źródła finansowania cyberbezpieczeństwa.
  15. Pozytywne odebrane zostało podejście do zaangażowania środowisk naukowo – badawczych i akademickich w problematykę cyberbezpieczeństwa.
  16. Wskazywano, że należy rozdzielić kwestie strategii od kwestii planu działań na rzecz wdrażania strategii.
  17. Wskazywano na konieczność podkreślenia roli partnerstwa prywatno–publicznego w zapewnieniu cyberbezpieczeństwa.
  18. Wskazywano na potrzebę aktywnej obrony w przypadku zmasowanego ataku na polskie systemy teleinformatyczne i powiązanie tego rodzaju działania z doktryną bezpieczeństwa narodowego.
  19. Postulowano potrzebę uwzględnienia w strategii roli organizacji pozarządowych.
  20. Pojawiły się dwubiegunowe opinie w zakresie struktury zarządzania bezpieczeństwem postulujące:
    • centralizację zarządzania bezpieczeństwem,
    • decentralizację zarządzania bezpieczeństwem.
  21. Postulowano konieczność uwzględnienia w systemie zarządzania cyberbezpieczeństwem roli służb w strukturach MON.
  22. Zwracano uwagę na konieczność dokonania  licznych zmian w obowiązujących aktach prawnych i stworzenie nowych.
  23. Podkreślano rolę zarządzania ryzykiem w procesie zapewnienia cyberbezpieczeństwa.
  24. Zwracano uwagę na konieczność powiązania problematyki cyberbezpieczeństwa z zarządzaniem kryzysowym.
  25. Postulowano konieczność precyzyjnego określenia ról w systemie zapewnienia cyberbezpieczeństwa.
  26. Wskazywano, że strategia powinna wskazywać na mierniki i określać ich wartości: bazowa i docelową.
  27. Zwracano uwagę na konieczność powiązania planowanej strategii z narodową strategią bezpieczeństwa sieci i systemów informatycznych, która będzie wymagana dyrektywą NIS.
  28. Zwracano uwagę na potrzebę uwzględnienia problematyki bezpieczeństwa przetwarzania w chmurze.
  29. Wskazywano na konieczność uwzględnienia już istniejących rozwiązań sektorowych, w tym występujących w tym zakresie przepisów.
Informacje o publikacji dokumentu
Ostatnia modyfikacja:
20.11.2017 10:08 Joanna Marczak-Redecka
Pierwsza publikacja:
22.11.2017 13:18 Joanna Marczak-Redecka
{"register":{"columns":[]}}