Krajowy System Cyberbezpieczeństwa-
najważniejsze elementy
i ich zadania
w świetle podstawowych dokumentów

Materiały szkoleniowe dla kadry
administracji państwowej i samorządowej

nawigacja do pozostałych materiałów szkoleniowych

Podstawowe dokumenty normatywne

Dokumenty normatywne w zakresie krajowego systemu cyberbezpieczeństwa w znacznej mierze (choć nie wszystkie) wynikają z dyrektywy Unii Europejskiej.

Należy uznać, że najważniejszym, nadrzędnym dokumentem jest Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego, wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej.

Dyrektywę tę określa się popularnie "dyrektywą NIS" (Directive concerning measures for a high common level of security of Network and Information Systems across the Union).

Wśród dokumentów krajowych za najważniejsze należy uznać: (1) Strategię bezpieczeństwa narodowego Rzeczypospolitej Polskiej (2014) (2) Ustawę z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa oraz (3) Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2022 (uchwała nr 52/2017 Rady Ministrów z dnia 27 kwietnia 2017 r.).

Dokumentami uzupełniającymi są: (1) Plan Działań na rzecz wdrożenia Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczpospolitej Polskiej na lata 2017-2022 (Plan działań KRPC) - dokument wdrożeniowy do wwym. Krajowych Ram Polityki Cyberbezpieczeństwa, (2) Doktryna Cyberbezpieczeństwa Rzeczypospolitej Polskiej (2015) oraz (3) Rozporządzenie Rady Ministrów w sprawie ustanowienia Pełnomocnika Rządu do spraw Cyberbezpieczeństwa (16 marca 2018)

Dokumentów służących wdrożeniu wyżej wymienionych jest cały szereg, w tym wiele rozporządzeń ministra cyfryzacji, wydanych na podstawie Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.

Dla pełnego rozumienia hierarchii dokumentów należy mieć świadomość, że wymieniane czasem obok siebie, a nawet zamiennie "doktryna" i "strategia" to dwa różne dokumenty, przyjmowane w różnych celach:

Mimo iż nawet na stronach Ministerstwa Cyfryzacji wciąż można znaleźć dokument "Strategia cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2022" nigdy nie został on przyjęty. W związku z tym, nie ma on mocy wiążącej. Jego treść z znacznej mierze została implementowana do "Krajowych Ram Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017-2022".

Dyrektywa NIS

Dyrektywa Parlamentu Europejskiego i Rady (UE) w sprawie środków na rzecz wysokiego, wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Europejskiej nie dotyczy wszystkich obywateli UE, ale głównie instytucji mających wpływ na kształt i bezpieczeństwo sieci teleinformatycznych.

wielość kabliStopień złożoności infrastruktury gwałtownie wzrósł, a zależność od sieci teleinformatycznych jest bezprecendesowa

Krajowy system cyberbezpieczeństwa

W myśl art. 3 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa,
krajowy system cyberbezpieczeństwa ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienie obsługi incydentów.

Krajowy system cyberbezpieczeństwa obejmuje:

Łatwo zauważyć, że w powyższym wykazie znajdują się, obok podmiotów aktywnie biorących udział w kreowaniu bezpieczeństwa, również podmioty "objęte" tym systemem. Żeby więc skupić się na tych aktywnych, można przyjąć znacznie krótsze określenie -
system cyberbezpieczeństwa w Polsce obejmuje: (1) operatorów usług kluczowych, (2) dostawców usług cyfrowych, (3) zespoły CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) poziomu krajowego, (4) sektorowe zespoły cyberbezpieczeństwa, (5) podmioty świadczące usługi z zakresu cyberbezpieczeństwa, (6) organy właściwe do spraw cyberbezpieczeństwa oraz (7) pojedynczy punkt kontaktowy do komunikacji w ramach współpracy w Unii Europejskiej w dziedzinie spraw cyberbezpieczeństwa.

Kilka używanych w dokumentach skrótów:

Ustawa o krajowym systemie cyberbezpieczeństwa definiuje pojęcie cyberbezpieczeństwa:

Cyberbezpieczeństwo to odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy.

Jednocześnie ów systemem informacyjnym jest system teleinformatycznym wraz z przetwarzanymi w nim danymi w postaci elektronicznej.

Odzwierciedla to rzeczywiste środowisko pracy administracji rządowej i samorządowej (a także obywateli) - całość dokumentacji w każdej sprawie sporządza się elektronicznie i takie kopie przechowuje się w systemach teleinformatycznych. Bez tych systemów, umożliwiających również komunikację elektroniczną (w tym głosową i wideo), system państwowy nie jest w stanie realizować swoich zadań.

Organy właściwe

Mimo, iż organy właściwe należą do najistotniejszych elementów systemu cyberbezpieczeństwa, ustawa nie definiuje ich w jakiś szczególny sposób. Podaje je wprost z nazwy, podając zakres kompetencjny (sferę nadzorowaną) oraz zadania.

Tak więc organami właściwymi są:

jak organy właściwe obrazuje MCOrganami właściwymi są wskazani powyżej ministrowie w określonych sferach

Ustawa podstawowe zadania organów właściwych określiła następująco:

Dodatkowo, organ właściwy do spraw cyberbezpieczeństwa może ustanowić, zgodnie z odrębnymi przepisami, sektorowy zespół cyberbezpieczeństwa dla danego sektora lub podsektora wymienionego w załączniku nr 1 do ustawy.

Sektorowy zespół cyberbezpieczeństwa będzie wówczas odpowiedzialny w szczególności za:

Co ważne, sektorowy zespół cyberbezpieczeństwa może przekazywać do innych państw, w tym państw członkowskich Unii Europejskiej, i przyjmować z tych państw informacje o incydentach poważnych, w tym dotyczących dwóch lub większej liczby państw członkowskich Unii Europejskiej.

Może też otrzymywać zgłoszenia incydentu poważnego z innego państwa członkowskiego Unii Europejskiej dotyczącego dwóch lub większej liczby państw członkowskich Unii Europejskiej. Takie zgłoszenia przekazuje do właściwego CSIRT MON, CSIRT NASK lub CSIRT GOV oraz Pojedynczego Punktu Kontaktowego.

telefon tarczowyTelefony tarczowe używano jeszcze na początku lat 90 XX w. Można było z ich pomocą przeprowadzić rozmowę z niemal każdą osobą na Ziemi, ale wymagało to cierpliwości

smatrfonLista zastosowań współczesnych smartfonów jest w prawdzie skończona, ale jest to duża liczba trzycyfrowa

Operatorzy usług kluczowych

Według ustawy, operatorzy usług kluczowych to firmy i instytucje świadczące usługi o istotnym znaczeniu dla utrzymania krytycznej działalności społecznej lub gospodarczej. Przy czym usługa kluczowa jest zależna od systemów informatycznych. Ustawa wskazuje sektory, w których dokonana zostanie identyfikacja operatorów usług kluczowych: sektor energetyczny (wydobywanie koplin, energia elektryczna, ciepło, ropa naftowa, gaz, dostawy i usługi dla sektora energii, jednostki nadzorowane i podległe), transportowy (transport lotniczy, kolejowy, wodny i drogowy), bankowy i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenie w wodę pitną i jej dystrybucja i infrastruktura cyfrowa.

Wykaz usług kluczowych został podany w rozporządzeniu Rady Ministrów z dnia 11 września 2018 roku w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych. Wykaz operatorów usług kluczowych będzie prowadzony przez ministra właściwego do spraw informatyzacji.

Identyfikacji operatorów usług kluczowych dokonają organy właściwe. Podstawą wydania decyzji zaliczającej podmiot do grona tych operatorów są następujące kryteria: podmiot świadczy usługę kluczową w jednym z sektorów, świadczenie usługi zależy od systemów informacyjnych, a wystąpienie incydentu miałoby istotny skutek zakłócający dla świadczenia usługi kluczowej.

Operatorzy usług kluczowych zobowiązani są wdrożyć system zarządzania bezpieczeństwem w systemie informacyjnym, wykorzystywanym do świadczenia usługi kluczowej. Wymagane jest m.in. systematyczne szacowanie ryzyka i dostosowanie do niego środków bezpieczeństwa, takich jak bezpieczna eksploatacja systemu, bezpieczeństwo fizyczne systemu (w tym kontrola dostępu), bezpieczeństwo i ciągłość dostaw usług, które mają wpływ na świadczenie usługi kluczowej, utrzymanie planów działania umożliwiających ciągłość świadczenia usługi, ciągłe monitorowanie systemu zapewniającego świadczenie usługi.

Dla realizacji tych zadań operator albo powołuje własne struktury organizacyjne. Może też podpisać umowę z podmiotem zewnętrznym świadczącym usługi z zakresu cyberbezpieczeństwa.

Operator ma obowiązek przeprowadzenia audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej raz na 2 lata. Pierwszy audyt powinien zostać przeprowadzony w ciągu roku od dnia doręczenia decyzji o uznaniu danego podmiotu za operatora usługi kluczowej.

Dostawcą usługi cyfrowej jest osoba prawna albo jednostka organizacyjna świadcząca usługę cyfrową, która nie posiada osobowości prawnej, ma siedzibę lub zarząd na terytorium Polski lub ma przedstawiciela, który prowadzi jednostkę organizacyjną na terytorium RP i świadczy usługi w zakresie: internetowe platformy handlowe, usługi przetwarzania w chmurze i wyszukiwarki internetowe. Z zakresu ustawy zostały wyjęte małe i mikroprzedsiębiorstwa.

Dostawcy usług cyfrowych mają obowiązek stosować środki bezpieczeństwa proporcjonalne do ryzyka, uwzględniając szczególnie: (1) bezpieczeństwo systemów informacyjnych i obiektów wraz z przetwarzanymi w nich danymi w postaci elektronicznej, (2) postępowanie w przypadku obsługi incydentu, czyli czynności umożliwiające wykrywanie, rejestrowanie, analizowanie, klasyfikowanie, priorytetaryzację, podejmowanie działań naprawczych i ograniczenie skutków incydentu, (3) zarządzanie ciągłością działania dostawcy w celu świadczenia usługi cyfrowej (podejmowanie środków zapobiegających i minimalizujących wpływ incydentów na usługę cyfrową w celu zapewnienia ciągłości świadczenia tej usługi), (4) najnowszy stan wiedzy w tym zgodność z normami międzynarodowymi, (5) monitorowanie, audyt i testowanie.

W skład krajowego systemu cyberbezpieczeństwa wchodzą również podmioty publiczne takie jak: Narodowy Bank Polski, Bank Gospodarstwa Krajowego, Urząd Dozoru Technicznego, Polska Agencja Żeglugi Powietrznej, Polskie Centrum Akredytacji, Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej oraz wojewódzkie fundusze ochrony środowiska i gospodarki wodnej, a także instytuty badawcze i spółki prawa handlowego, wykonujące zadania o charakterze użyteczności publicznej. Każdy z tych podmiotów ma obowiązek wyznaczenia osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa w zakresie zadań publicznych zależnych od systemów informacyjnych. Dodatkowo, na każdym z podmiotów publicznych spoczywa obowiązek zarządzania incydentem w tym zapewnienia jego obsługi.

CSIRT MON koordynuje obsługę incydentów zgłaszanych przez podmioty podległe Ministrowi Obrony Narodowej i przedsiębiorstwa o szczególnym znaczeniu gospodarczo–obronnym.

CSIRT GOV koordynuje incydenty zgłaszane przez administrację rządową, Narodowy Bank Polski, Bank Gospodarstwa Krajowego oraz operatorów infrastruktury krytycznej

CSIRT NASK koordynuje incydenty zgłaszane przez pozostałe podmioty, w tym m.in. operatorów usług kluczowych, dostawców usług cyfrowych, samorząd terytorialny oraz zwykłych obywateli.

Wszystkie trzy CSIRT poziomu krajowego mają za zadanie współpracować z organami właściwymi i ministrem właściwym ds. informatyzacji oraz Pełnomocnikiem ds. Cyberbezpieczeństwa. Wypełniają zadania na szczeblu krajowym.

Do zasadniczych zadań CSIRT należy m.in.:

Ponadto CSIRT poziomu krajowego zapewniają zaplecze analityczne oraz badawczo-rozwoje dla krajowego systemu cyberbezpieczeństwa.

Ustawa przewiduje powołanie sektorowych zespołów cyberbezpieczeństwa przez organy właściwe. Dużą zaletą działania takiego zespołu jest uwzględnienie specyfiki danego sektora, co pozwala dostosować wsparcie dla operatorów usług kluczowych. Zespół nie tylko przyjmuje zgłoszenia o incydentach i pomaga w obsłudze, ale również analizuje ich skutki, wypracowuje wnioski oraz współpracuje z właściwym CSRIT. Może też wymieniać informacje o incydentach poważnych z innymi krajami Unii Europejskiej.

Rola ministra obrony narodowej i ministra właściwego ds. informatyzacji

Minister właściwy ds. informatyzacji zajmuje się cywilnymi aspektami cyberbezpieczeństwa RP. Do jego zadań należy monitorowanie wdrażania Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej, rekomendowanie obszarów współpracy z sektorem prywatnym, prowadzenie działań informacyjnych nas temat dobrych praktyk, programów edukacyjnych, kampanii i szkoleń z poszerzania wiedzy i budowania świadomości w zakresie cyberbezpieczeństwa. Poza tym to właśnie minister właściwy ds. informatyzacji zapewnia rozwój i utrzymanie systemu teleinformatycznego, którego zadaniem jest wsparcie podmiotów wchodzących w skład systemu cyberbezpieczeństwa. System ten ma zapewnić wymianę informacji o incydentach, szacowanie ryzyka na poziomie krajowym, pozwolić na zgłaszanie incydentów i wsparcie ich obsługi, a także umożliwiać generowanie i przekazywanie rekomendacji oraz ostrzeżeń o zagrożeniach. Minister prowadzi także Pojedynczy Punkt Kontaktowy (PPK), odpowiadający za współpracę z Komisją Europejską i przekazywanie corocznych raportów, współpracę z innymi państwami członkowskimi w zakresie cyberbezpieczeństwa oraz koordynację współpracy pomiędzy organami właściwymi w kraju.

Do głównych zadań ministra obrony narodowej należy prowadzenie międzynarodowej współpracy Sił Zbrojnych Rzeczypospolitej Polskiej z właściwymi organami NATO, UE i innych organizacji międzynarodowych w obszarze obrony narodowej w zakresie cyberbezpieczeństwa. Minister obrony narodowej jest także odpowiedzialny za:

Minister właściwy ds. informatyzacji ma opracować projekt strategii cyberbezpieczeństwa we współpracy z pełnomocnikiem ds. cyberbezpieczeństwa oraz innymi ministrami. Strategia przyjmowana jest uchwałą Rady Ministrów. Dokument określa cele strategiczne oraz odpowiednie środki polityczne i regulacyjne, które pozwolą osiągnąć i utrzymać wysoki poziom cyberbezpieczeństwa. Strategia uwzględnia również priorytety, podmioty zaangażowane w jej wdrażanie oraz działania odnoszące się do programów edukacyjnych, informacyjnych oraz planów badawczo-rozwojowych. Dokument obowiązywać będzie przez 5 lat, jednak co 2 lata dokonywany ma być przegląd jego aktualności. Do czasu przyjęcia strategii, jej rolę pełni uchwała Rady Ministrów w sprawie Krajowych Ram Polityki Cyberbezpieczeństwa RP na lata 2017-2022.

Ustawa wprowadza funkcję Pełnomocnika ds. Cyberbezpieczeństwa w celu koordynacji polityki w skali państwa. Pełnomocnik jest powoływany i dowoływany przez Prezesa Rady Ministrów w randze sekretarza lub podsekretarza stanu i podlega Radzie Ministrów. Do jego zdań należy:

Powoływane przez ustawę Kolegium ds. Cyberbezpieczeństwa jest organem opiniodawczo-doradczym Rady Ministrów. Przewodniczy mu Prezes Rady Ministrów, a w jego skład wchodzą:

W posiedzeniach Kolegium uczestniczą dodatkowo Dyrektor Rządowego Centrum Bezpieczeństwa, Szef Agencji Bezpieczeństwa Wewnętrznego albo jego zastępca, Szef Służby Kontrwywiadu Wojskowego albo jego zastępca oraz Dyrektor Naukowej i Akademickiej Sieci Komputerowej - Państwowego Instytutu Badawczego (NASK).

Ustawa wymienia podmioty i precyzuje ich zadania, ale nie wynika z tego spójny system.

Cooperating gears as systemPrzykładowa ilustracja współpracujących ze sobą elementów, które de facto niczego nie napędzają

Nie oznacza to, że tak skonstruowany krajowy system cyberbezpieczeństwa będzie bezużyteczny. Z pewnością zwłaszcza ustawa pomoże wdrożyć przyjętą przez Unię Europejską Dyrektywę NIS. Wciąż jednak zbyt wiele przepisów przyjmuje się uchwałą rządową (jak Krajowe Ramy Polityki Cyberbezpieczeństwa RP...), co wyklucza z ich obowiązywania cała sferę prywatnej przedsiębiorczości oraz zwykłych obywateli.

Krajowe Ramy Polityki Cyberbezpieczeństwa RP na lata 2017-2022

Celem głównym KRPC RP jest zapewnienie wysokiego poziomu bezpieczeństwa (1) sektora publicznego, (2) sektora prywatnego oraz (3) obywateli w zakresie świadczenia lub korzystania z usług kluczowych oraz usług cyfrowych.

Dokument definiuje też cztery cele szczegółowe.

Pierwszy cel szczegółowy: osiągnięcie zdolności do skoordynowanych w skali kraju działań służących zapobieganiu, wykrywaniu, zwalczaniu oraz minimalizacji skutków incydentów naruszających bezpieczeństwo systemów teleinformatycznych istotnych dla funkcjonowania państwa.

Drugi cel szczegółowy: wzmocnienie zdolności do przeciwdziałania cyberzagrożeniom.

Trzeci cel szczegółowy: zwiększanie potencjału narodowego oraz kompetencji w zakresie bezpieczeństwa w cyberprzestrzeni.

Czwarty cel szczegółowy: zbudowanie silnej pozycji międzynarodowej Polski w obszarze cyberbezpieczeństwa.

KRPC RP utrwala pasywne podejście do cyberbezpieczeństwa - koncentruje się na wykrywaniu zagrożeń, zabezpieczaniu łączności, tworzeniu lepszych przepisów w tym zakresie itp. Nawet jak mówi o wzmocnieniu zdolności do przeciwdziałania, to nie ma tu nic z aktywnych działań wyprzedzających.

Dokument nie wskazuje też żadnych konkretnych wskazań co do dalszego działania. Dominują tu opisy rzeczywistości i opisy pożądanej / projektowanej rzeczywistości.

Dokument wykonawczy do KRPC RP - Plan działań Krajowych Ram Polityki Cyberbezpieczeństwa (KRPC) - przedstawia:

Reagowanie na incydenty - ogólne wprowadzenie

Obsługa incydentów z zakresu cyberbezpieczeństwa to w istocie trzy etapy:

  1. Zapobieganie
  2. Reagowanie właściwe
  3. Przywracanie pożądanego stanu

W ramach zapobiegania prowadzi się głównie procesy zmierzające do budowania efektywnego systemu bezpieczeństwa.