ministerstwo nauki i szkolnictw wyŻszega okrmc.mc.gov.pl/download/50/12495/uwagimnisw.pdf · -...
TRANSCRIPT
MINISTERSTWO NAUKI I SZKOLNICTWA WYŻSZEGO
PODSEKRETARZ STANU prof. dr hab. Włodzisław Duch
DIR.ZC.174. feoi5 Warszawa, dnia % / listopada 2015 r.
Pani Justyna Duszyńska
Sekretarz Komitetu Rady Ministrów ds. Cyfryzacji
Szanowna Pani Sekretarz,
W związku z projektem dokumentu pn. „Metodyka zarządzania ryzykiem
cyberprzestrzeni w systemach zarządzania bezpieczeństwem informacji podmiotów
rządowych", który został przesłany do konsultacji w trybie obiegowym w ramach KRMC
przekazuję w załączeniu uwagi w imieniu Ministra Nauki i Szkolnictwa Wyższego (MNiSW).
MNiSW nie zgłasza zastrzeżeń do treści dokumentu, natomiast pragnie zwrócić uwagę
na konieczność analizy skutków finansowych związanych z wprowadzaniem metodyki
zarządzania ryzykiem.
Wdrożenie metodyki jest procesem złożonym, długofalowym i wielopłaszczyznowym
i nie ogranicza się jedynie do szacowania ryzyk związanych z zabezpieczeniem systemów
informatycznych i zasobów informacyjnych, lecz powinno uwzględniać również aspekty
finansowe. Zadanie ma charakter horyzontalny i powinno być wdrażane w sposób
systemowy.
Stosowanie metodyki wymaga m.in.:
- dostosowania jej do specyfiki każdego urzędu administracji rządowej,
- stworzenia procedur wewnętrznych,
- stworzenia w każdym urzędzie zespołu osób szacujących ryzyko dot. bezpieczeństwa
informacji i systemów informatycznych (analiza wykracza poza kwestie informatyczne),
ul. Wspólna 1/3, 00-529 Warszawa tel. (22) 629 36 17, faks: (22) 529 26 29, e-mail: [email protected], www.nauka.gov.pl
- stworzenia kalkulatora do analizy ryzyk, w oparciu o przydzieloną punktację
i skomplikowaną metodykę,
- każdorazowego wykonywania testów na systemach informatycznych,
- kontaktów w powyższym zakresie z jednostkami nadzorowanymi/podległymi, o ile
administrują one systemami podmiotów rządowych.
W związku z powyższym powstaje pytanie o ocenę skutków finansowych procedur
planowanych w administracji rządowej i źródło finansowania tych działań.
W opinii MNiSW dokument wymaga szczegółowej analizy oraz konsultacji
z Ministerstwem Finansów pod względem oceny skutków finansowych, ponieważ żadna
informacja nt. tychże skutków nie została w nim zawarta.
Ponadto niezbędne jest przyjęcie rozwiązań systemowych w tym zakresie na szczeblu
administracji rządowej (długofalowe finansowanie tego rodzaju działań).
W skali lokalnej MNiSW szacuje, iż realizacja zadań związanych z wdrażaniem
przedmiotowej metodyki wymagać będzie min. 2 dodatkowych etatów (1 etat ds.
bezpieczeństwa oraz 1 etat ds. testów informatycznych).
Biorąc pod uwagę skalę administracji rządowej i liczbę urzędów centralnych oraz
systemów przez nie administrowanych niezbędne jest w opinii MNiSW oszacowanie w
szczególności skutków finansowych proponowanych działań. Niestety, jak zostało wcześniej
nadmienione, ten bardzo ważny element został całkowicie pominięty w kontekście
przedmiotowego dokumentu.
Z wyrazami szacunku