Polityka Ochrony Cyberprzestrzeni RP z 2013 roku to pierwszy dokument strategiczny w zakresie cyberbezpieczeństwa w Polsce. Jej celem strategicznym było osiągnięcie akceptowalnego poziomu bezpieczeństwa cyberprzestrzeni państwa. Polityka w 2017 roku została zastąpiona przez Krajowe Ramy Polityki Cyberbezpieczeństwa RP.
Dokument wyznaczył następujące cele szczegółowe:
- Zwiększenie poziomu bezpieczeństwa infrastruktury teleinformatycznej państwa.
- Zwiększenie zdolności do zapobiegania cyberzagrożeniom oraz ich zwalczania.
- Zmniejszenie skutków incydentów godzących w bezpieczeństwo teleinformatyczne.
- Określenie kompetencji podmiotów odpowiedzialnych za bezpieczeństwo cyberprzestrzeni.
- Stworzenie spójnego dla wszystkich podmiotów administracji rządowej systemu zarządzania bezpieczeństwem cyberprzestrzeni oraz ustanowienie wytycznych w tym zakresie dla podmiotów niepublicznych.
- Stworzenie trwałego systemu koordynacji i wymiany informacji pomiędzy podmiotami odpowiedzialnymi za bezpieczeństwo cyberprzestrzeni oraz jej użytkownikami.
- Zwiększenie świadomości użytkowników w zakresie metod i środków bezpieczeństwa w cyberprzestrzeni.
Szacowanie ryzyka i wyznaczenie pełnomocnika ds. bezpieczeństwa cyberprzestrzeni
Jednym z ważniejszych elementów Polityki Ochrony Cyberprzestrzeni RP było szacowanie ryzyka przez każdą jednostkę administracji rządowej, która miała co roku przekazywać sprawozdanie ministrowi właściwemu ds. informatyzacji.
Dodatkowo każda jednostka organizacyjna administracji rządowej miała ustanowić system zarządzania bezpieczeństwem informacji oraz wyznaczyć pełnomocnika ds. bezpieczeństwa cyberprzestrzeni, którego zadaniem było:
- Realizacja obowiązków, które wynikały z aktów prawnych zapewniających cyberbezpieczeństwo.
- Opracowanie i wdrożenie procedur reagowania na incydenty komputerowe w organizacji.
- Prowadzenie cyklicznych analiz ryzyka.
- Przygotowanie planów awaryjnych oraz ich testowanie.
- Opracowanie procedur zapewniających poinformowanie właściwych zespołów CERT o:
- Wystąpieniu incydentów komputerowych.
- Zmianie lokalizacji jednostki organizacyjnej lub danych kontaktowych.
Krajowy System Reagowania na Incydenty Komputerowe
Polityka Ochrony Cyberprzestrzeni RP ustanowiła także trzypoziomowy Krajowy System Reagowania na Incydenty Komputerowe:
- Poziom I: koordynacja – minister właściwy ds. informatyzacji.
- Poziom II:
reagowanie na incydenty komputerowe:
- Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL –
realizujący jednocześnie zadania głównego narodowego zespołu odpowiadającego za
koordynację obsługi incydentów komputerowych w obszarze cyberprzestrzeni RP.
b. Resortowe Centrum Zarządzania Bezpieczeństwem Sieci i Usług Teleinformatycznych realizujące zadania w sferze militarnej.
- Rządowy Zespół Reagowania na Incydenty Komputerowe CERT.GOV.PL –
realizujący jednocześnie zadania głównego narodowego zespołu odpowiadającego za
koordynację obsługi incydentów komputerowych w obszarze cyberprzestrzeni RP.
Poziom III: realizacja – administratorzy odpowiadający za poszczególne systemy teleinformatyczne w cyberprzestrzeni.
Żeby skoordynować działania w administracji rządowej, Prezes Rady Ministrów powołał zespół odpowiedzialny za przygotowanie rekomendacji w tym zakresie.
Polityka Ochrony Cyberprzestrzeni RP
Dokument opracowało Ministerstwo Administracji i Cyfryzacji przy współpracy z Agencją Bezpieczeństwa Wewnętrznego. Polityka została przyjęta uchwałą Rady Ministrów 25 czerwca 2013 roku i obowiązywała tylko administrację rządową. Nie obejmowała również niejawnych systemów teleinformatycznych. Polityka W 2017 roku została zastąpiona przez Krajowe Ramy Polityki Cyberbezpieczeństwa RP.