MINISTERSTWO NAUKI I SZKOLNICTWA WYŻSZEGO

PODSEKRETARZ STANU prof. dr hab. Włodzisław Duch

DIR.ZC.174. feoi5 Warszawa, dnia % / listopada 2015 r.

Pani Justyna Duszyńska

Sekretarz Komitetu Rady Ministrów ds. Cyfryzacji

Szanowna Pani Sekretarz,

W związku z projektem dokumentu pn. „Metodyka zarządzania ryzykiem

cyberprzestrzeni w systemach zarządzania bezpieczeństwem informacji podmiotów

rządowych", który został przesłany do konsultacji w trybie obiegowym w ramach KRMC

przekazuję w załączeniu uwagi w imieniu Ministra Nauki i Szkolnictwa Wyższego (MNiSW).

MNiSW nie zgłasza zastrzeżeń do treści dokumentu, natomiast pragnie zwrócić uwagę

na konieczność analizy skutków finansowych związanych z wprowadzaniem metodyki

zarządzania ryzykiem.

Wdrożenie metodyki jest procesem złożonym, długofalowym i wielopłaszczyznowym

i nie ogranicza się jedynie do szacowania ryzyk związanych z zabezpieczeniem systemów

informatycznych i zasobów informacyjnych, lecz powinno uwzględniać również aspekty

finansowe. Zadanie ma charakter horyzontalny i powinno być wdrażane w sposób

systemowy.

Stosowanie metodyki wymaga m.in.:

- dostosowania jej do specyfiki każdego urzędu administracji rządowej,

- stworzenia procedur wewnętrznych,

- stworzenia w każdym urzędzie zespołu osób szacujących ryzyko dot. bezpieczeństwa

informacji i systemów informatycznych (analiza wykracza poza kwestie informatyczne),

ul. Wspólna 1/3, 00-529 Warszawa tel. (22) 629 36 17, faks: (22) 529 26 29, e-mail: sekretariat.mwd@nauka.gov.pl, www.nauka.gov.pl

- stworzenia kalkulatora do analizy ryzyk, w oparciu o przydzieloną punktację

i skomplikowaną metodykę,

- każdorazowego wykonywania testów na systemach informatycznych,

- kontaktów w powyższym zakresie z jednostkami nadzorowanymi/podległymi, o ile

administrują one systemami podmiotów rządowych.

W związku z powyższym powstaje pytanie o ocenę skutków finansowych procedur

planowanych w administracji rządowej i źródło finansowania tych działań.

W opinii MNiSW dokument wymaga szczegółowej analizy oraz konsultacji

z Ministerstwem Finansów pod względem oceny skutków finansowych, ponieważ żadna

informacja nt. tychże skutków nie została w nim zawarta.

Ponadto niezbędne jest przyjęcie rozwiązań systemowych w tym zakresie na szczeblu

administracji rządowej (długofalowe finansowanie tego rodzaju działań).

W skali lokalnej MNiSW szacuje, iż realizacja zadań związanych z wdrażaniem

przedmiotowej metodyki wymagać będzie min. 2 dodatkowych etatów (1 etat ds.

bezpieczeństwa oraz 1 etat ds. testów informatycznych).

Biorąc pod uwagę skalę administracji rządowej i liczbę urzędów centralnych oraz

systemów przez nie administrowanych niezbędne jest w opinii MNiSW oszacowanie w

szczególności skutków finansowych proponowanych działań. Niestety, jak zostało wcześniej

nadmienione, ten bardzo ważny element został całkowicie pominięty w kontekście

przedmiotowego dokumentu.

Z wyrazami szacunku