Доктрина кибербезопасности Польши 2015

ДОКТРИНА КИБЕРБЕЗОПАСНОСТИ
РЕСПУБЛИКИ ПОЛЬША
Варшава 2015

СОДЕРЖАНИЕ
ВВОДНОЕ СЛОВО ПРЕЗИДЕНТА РП
ВВЕДЕНИЕ
1. СТРАТЕГИЧЕСКИЕ ЦЕЛИ РП В СФЕРЕ КИБЕРБЕЗОПАСНОСТИ
2. СРЕДА КИБЕРБЕЗОПАСНОСТИ РП
2.1. Внутреннее измерение
2.1.1. Угрозы
2.1.2. Вызовы (риски и шансы)
2.2. Внешнее измерение
2.2.1. Угрозы
2.2.2. Вызовы (риски и шансы)
3. КОНЦЕПЦИЯ ОПЕРАЦИОННЫХ ЗАДАНИЙ В СФЕРЕ КИБЕРБЕЗОПАСНОСТИ
4. КОНЦЕПЦИЯ ВСТУПИТЕЛЬНЫХ (ПОДГОТОВИТЕЛЬНЫХ) ЗАДАНИЙ В СФЕРЕ КИБЕРБЕЗОПАСНОСТИ (СОДЕРЖАНИЯ И РАЗВИТИЯ СИСТЕМЫ КИБЕРБЕЗОПАСНОСТИ РП)
4.1. Подсистема управления
4.2. Операционные звенья
4.3. Государственные и частные звенья поддержки
ЗАКЛЮЧЕНИЕ

ВВОДНОЕ СЛОВО ПРЕЗИДЕНТА
РЕСПУБЛИКИ ПОЛЬША
Уважаемые Господа,
Одним из наиболее важных изменений в современной среде безопасности является появление новой области деятельности государства, частных субъектов и граждан, которой является киберпространство. Это изменение ведет к тому, что мы должны быть готовы к угрозам, с которыми мы не сталкивались раньше.
Киберпространство является полем конфликта, где мы вынуждены соревноваться не только с другими государствами, но и с враждебными организациями, такими как экстремистские, террористические группы или организованные преступные группировки. Поэтому одним из существенных приоритетов польской стратегии стала безопасность этой новой среды.
В соответствии с этим приоритетом мы уже сделали определенные изменения в польской правовой системе, введя в нее в 2011 г., среди прочего, понятие киберпространства и определяя правовые основания чрезвычайного реагирования на угрозы, которые в нем присутствуют. Мы в полной мере используем наработки Европейского Союза и НАТО в этой сфере. Для нужд польской администрации были внедрены новые решения в ходе разработки Политики Защиты Киберпространства РП, утвержденной Советом Министров в 2013 г. Этот документ прежде всего относится к защите киберпространства в невоенном измерении. В Министерстве национальной обороны идут работы по созданию системы киберзащиты. Частные субъекты также самостоятельно заботятся о своей безопасности в киберпространстве.
Целью настоящей доктрины является создание условий для объединения и обеспечения стратегической направленности этих усилий в пользу создания интегрированной системы кибербезопасности Республики Польша.
Документ был разработан в результате анализа, осуществленного при участии представителей государственной администрации, академической среды, неправительственных организаций и частного сектора. Основные принципы доктрины были рассмотрены и одобрены Советом Национальной Безопасности.
В доктрине кибербезопасности определены стратегические направления действий для обеспечения безопасности Республики Польша в киберпространстве. В то же время ее следует рассматривать как единую концептуальную базу, которая обеспечивает связный и комплексной подход к проблеме киберзащиты и киберобороны – как общий знаменатель для действий, осуществляемых субъектами государственной администрации, службами безопасности и общественного порядка, вооруженными силами, частным сектором и гражданами. Благодаря этому доктрина кибербезопасности может являться отправной точкой для дальнейшей работы в пользу укрепления безопасности Польши.
Бронислав Коморовский
Варшава, 22 января 2015 года

ВВЕДЕНИЕ
1. В современном мире безопасность государства в военной и невоенной, внешней и внутренней сфере приобрела дополнительное измерение, которым, наряду с сушей, водным, воздушным и космическим пространством, является киберпространство.
2. Деятельность в пользу кибербезопасности должна осуществляться с учетом защиты прав человека и гражданина, а также с соблюдением права на свободу слова и неприкосновенность частной жизни. Пропорциональность средств безопасности по отношению к угрозам должна основываться на эффективном и достоверном анализе риска.
3. Исходной точкой настоящей Доктрины являются основные постановления Стратегии национальной безопасности РП, которые относятся к киберпространству, а также положения Политики защиты киберпространства РП и Стратегии кибернетической безопасности Европейского Союза: открытое, безопасное и защищаемое киберпространство.
4. Основные понятия, используемые в Доктрине:
– киберпространство – пространство обработки и обмена информацией, создаваемое телеинформационными системами (комплексы взаимодействующих информационных устройств и программного обеспечения, обеспечивающие обработку, хранение, а также отправку и получение данных по телекоммуникационным сетям при помощи свойственного для данного типа телекоммуникационной сети конечного устройства, предназначенного для непосредственного или промежуточного подключения к выводам сети) вместе со связями между ними и отношениями с пользователями;
– киберпространство РП – киберпространство в границах территории польского государства и в местах, где функционируют представительства РП (дипломатические учреждения, военные контингенты, плавсредства и воздушные суда вне пространства РП, подлежащие польской юрисдикции);
– кибербезопасность РП (безопасность РП в киберпространстве) – процесс обеспечения безопасного функционирования в киберпространстве государства как одного целого, его структур, физических лиц и юридических лиц, в том числе предпринимателей и других субъектов без правоспособности, а также телеинформационных систем и информационных ресурсов в глобальном киберпространстве, которые находятся в их распоряжении;
– безопасность киберпространства РП – часть кибербезопасности государства, охватывающая комплекс организационно-правовых, технических, физических и образовательных мер, целью которых является обеспечение бесперебойного функционирования киберпространства РП вместе с таким его компонентом, как государственная и частная критическая телеинформационная инфраструктура, и обеспечение безопасности обрабатываемых в ней информационных ресурсов;
– среда кибербезопасности – совокупность условий функционирования данного субъекта в киберпространстве, которая характеризуется вызовами (шансами и рисками) и угрозами для достижения принятых целей;
– вызовы кибербезопасности – проблемные ситуации в сфере кибербезопасности, в частности, создаваемые шансами и рисками и создающие требующие решения дилеммы, возникающие перед субъектом при решении вопросов кибербезопасности;
– шансы кибербезопасности – независящие от воли субъекта обстоятельства (явления и процессы в среде безопасности), содействующие реализации интересов и достижению целей субъекта в сфере кибербезопасности;
– риски кибербезопасности – возможности негативных для данного субъекта последствий собственной деятельности в сфере кибербезопасности;
– угрозы кибербезопасности – прямое или косвенное, вызывающее помехи или деструктивное влияние на субъект в киберпространстве;
– Доктрина кибербезопасности РП – официальные взгляды и определения относительно целей, оценок среды и концепций (принципов и способов) деятельности (в том числе, так называемых эффективных практик) для обеспечения безопасного функционирования государства как одного целого, его структур, физических лиц и юридических лиц – в том числе предпринимателей и других субъектов без правоспособности – в киберпространстве.
1. СТРАТЕГИЧЕСКИЕ ЦЕЛИ РП В СФЕРЕ
КИБЕРБЕЗОПАСНОСТИ
5. Стратегической целью в сфере кибербезопасности РП, сформулированной в Стратегии национальной безопасности РП, является обеспечение безопасного функционирования Республики Польша в киберпространстве, в том числе адекватного уровня безопасности национальных телеинформационных систем – главным образом, критической телеинформационной инфраструктуры государства, – а также ключевых для функционирования общества частных хозяйственных субъектов, в частности принадлежащих к финансовому, энергетическому сектору и сектору здравоохранения.
6. Стратегическая цель достигается путем реализации заданий, ведущих к достижению целей операционного и подготовительного характера. Основные операционные цели это:
– оценка условий кибербезопасности, в том числе определение угроз, оценка рисков и идентификация шансов;
– предотвращение (противодействие) угроз, снижение рисков и использование шансов;
– оборона и защита собственных систем и ресурсов, которые в них накоплены;
– борьба (дезорганизация, глушение и уничтожение) с источниками угроз (активная оборона и наступательные действия);
– после возможной атаки – восстановление исправности и функциональности систем, образующих киберпространство.
7. Для достижения вышеуказанных операционных целей в подготовительном измерении необходимым является создание, поддерживание и систематическое совершенствование (развитие) интегральной системы кибербезопасности РП с вневедомственным управлением (координацией), включающей:
– подсистему управления – способную к организации и координации деятельности правительственных и неправительственных субъектов, осуществляющих задания в сфере кибербезопасности;
– операционные подсистемы и подсистемы поддержки – способные к самостоятельному ведению оборонительных (защитных и оборонительных) и наступательных киберопераций, а также к предоставлению и получению поддержки в рамках союзнических действий.
2. СРЕДА КИБЕРБЕЗОПАСНОСТИ РП
2.1. ВНУТРЕННЕЕ ИЗМЕРЕНИЕ
2.1.1. Угрозы
8. Вместе с прогрессирующим технологическим развитием для всех традиционных внутренних угроз безопасности все чаще можно найти эквиваленты (аналоги) в киберпространстве. Речь идет о таких явлениях, как киберпреступность, кибернасилие, киберпротесты или кибердемонстрации деструктивного характера, препятствующих реализации важных заданий государственной администрации и частного сектора.
9. Среди киберугроз особенно важными являются угрозы, которые касаются критической инфраструктуры государства, управляемой при помощи информационных систем. В этой сфере чрезвычайно опасными для государства могут быть целенаправленные атаки на системы коммуникации (связи), обеспечивающее надлежащее функционирование подсистемы управления национальной безопасностью, оборонной подсистемы и защитных подсистем, а также подсистем поддержки (экономической и социальной).
10. С государственными субъектами в киберпространстве сосуществуют и взаимодействуют частные субъекты. Среди них особым угрозам, в частности, кражам данных, нарушению целостности, нарушению конфиденциальности осуществляемой деятельности или доступности услуг, подвергаются объекты, принадлежащие к следующим секторам: финансовому, высоких технологий, энергетическому, транспортному и общественного здравоохранения.
11. Угрозам в киберпространстве подвергаются также операторы или провайдеры телеинформационных услуг. Нарушения их деятельности, в особенности, перерывы в непрерывности предоставления услуг, могут привести к нарушению функционирования государственных учреждений, субъектов частного сектора и граждан.
12. Отдельную категорию угроз составляют явления, с которыми сталкиваются граждане РП. Во времена переноса в киберпространство многих услуг, предоставляемых государственной администрацией и услуг финансового характера серьезной угрозой становятся кражи данных, кражи личности и захват контроля над персональными компьютерами.
2.1.2. Вызовы (риски и шансы)
13. Риски в сфере кибербезопасности РП связаны с пробелами и уязвимостями, существующими в системе кибербезопасности. Их основными источниками являются:
– неурегулированные или ненадлежащим образом урегулированные отношения между отдельными субъектами в данной системе (причиной может быть плохая коммуникация, отсутствие обмена информацией, а также неточное определение ответственности в сфере противодействия киберугрозам);
– правовые пробелы (напр., относительно обязанности информирования о существенных инцидентах нарушения телеинформационной безопасности, а также обязанности сотрудничества в их решении с назначенными для этого группами).
14. Риски в сфере кибербезопасности усиливаются динамикой роста использования государственными учреждениями передовых информационных систем для реализации заданий с критическим значением для функционирования государства и общества.
15. Особо высокие риски связаны с использованием для нужд национальной безопасности (военной, невоенной, внутренней и внешней) высоко компьютеризированных технических систем от посторонних производителей, в особенности систем для борьбы и поддержки (в том числе автоматизированных систем командования и руководства) без получения доступа к исходным кодам их программного обеспечения, гарантирующего информационное овладение ими (контроль).
16. Существенным источником рисков является уязвимость телеинформационных систем государственной администрации к возможным действиям, ограничивающим доступность и целостность, а также нарушающим конфиденциальность обрабатываемых в них данных. Это также относится к отсутствию эффективной телеинформационной защиты и планам восстановления исправности этих систем.
17. Источником рисков может быть ненадлежащее финансирование групп, призванных координировать реакцию на компьютерные инциденты на уровне страны, а также неадекватное финансирование внедрения защиты в используемые телеинформационные системы.
18. Риски для кибербезопасности РП могут быть связаны со структурой собственности частных операторов и провайдеров телеинформационных услуг (в особенности, если речь идет о транснациональных субъектах с зарубежными центрами управления), ограничивающей влияние государства на их функционирование.
19. К действиям, которые могут порождать риски, в частности, с точки зрения хозяйственных субъектов и граждан, следует причислить возможные попытки внесения организационных изменений и норм в сфере киберпространства без обеспечения обязательного диалога и консультаций с общественностью. Это может вызвать сопротивление общественности, мотивированный опасениями нарушения прав человека или свободы хозяйственной деятельности.
20. Все более широкое освоение киберпространства может создавать риски отсутствия общественного одобрения для рационального определения грани между личной свободой, защитой прав индивидуума в виртуальном мире и применением средств, призванных обеспечить приемлемый уровень безопасности, что может вызвать трудности при внедрении новых, эффективных систем безопасности в киберпространстве.
21. Шансы в сфере кибербезопасности создает научный потенциал РП в сфере информационных и математических наук, обеспечивающий возможность развития национальных систем обеспечения кибербезопасности и криптологии, в том числе криптографии, обеспечивающих суверенную власть над принадлежащими государству телеинформационными системами.
22. В качестве шанса следует указать возрастающее сознание в сфере кибербезопасности, как среди граждан, так и среди частных субъектов, которые все чаще позитивно воспринимают сотрудничество с государственными структурами в этой отрасли.
2.2. ВНЕШНЕЕ ИЗМЕРЕНИЕ
2.2.1. Угрозы
23. Развитие телеинформационных технологий и Интернета ведет к возникновению новых внешних угроз, таких как киберкризисы и киберконфликты при участии государственных и негосударственных субъектов, в том числе, угроз кибервойны. Операции в киберпространстве являются сегодня неотъемлемой частью классических кризисов и военно-политических конфликтов (войн), в рамках их гибридного характера.
24. Важной внешней угрозой в киберпространстве является кибершпионаж, связанный с ведением специальными службами иностранных государств и неправительственными субъектами, в том числе террористическим организациями, деятельности с использованием специализированных инструментов, целью которой является получение доступа ко ключевым данным с точки зрения функционирования государственных структур.
25. Источниками угроз в киберпространстве являются также экстремистские, террористические организации и организованные транснациональные преступные группировки, атаки которых в киберпространстве могут иметь идеологическое, политическое, религиозное, криминальное и бизнес-основание.
2.2.2. Вызовы (риски и шансы)
26. Риски может создавать, особенно в рамках сотрудничества с союзниками и международными партнерами, ненадлежащее определение или отсутствие совместных правовых определений (понятийных категорий), явлений и процессов в киберпространстве, а также заданий и действий в сфере кибербезопасности. Прежде всего, это относится к определению киберконфликта и кибервойны. Риски могут также следовать из отсутствия надлежащей симметричности (взаимности) в сотрудничестве с другими международными субъектами.
27. Шансом для укрепления кибербезопасности РП является использование потенциала, следующего из членства Польши в союзнических структурах обороны и кибернетической защиты (НАТО, ЕС), направленное на потребности государства участие в работе международных организаций, активность на форуме сообществ, которые занимаются безопасностью в киберпространстве , а также двустороннее сотрудничество с более передовыми в вопросах кибербезопасности государствами.

3. КОНЦЕПЦИЯ ОПЕРАЦИОННЫХ ЗАДАНИЙ
В СФЕРЕ КИБЕРБЕЗОПАСНОСТИ
28. Операционные задания, направленные на достижение стратегической цели, которой является обеспечение приемлемого уровня безопасности Республики Польша в киберпространстве, должны реализовываться субъектами государственного сектора (в национальном и международном измерении), частного (коммерческого) сектора, гражданского сектора и в межсекторном измерении.
29. К основным заданиям государственного сектора в национальном измерении принадлежат:
– определение реальных и потенциальных источников угроз, в том числе при помощи международного обмена информацией;
– постоянный анализ риска по отношению к важным объектам критической инфраструктуры, а также инфраструктуры, которая служит выполнению заданий НАТО и ЕС;
– действия в сфере криптографии и криптологического анализа с целью обеспечения собственных информационных ресурсов и определения потенциальных угроз со стороны враждебных государств и негосударственных субъектов;
– текущий мониторинг ключевых точек системы безопасности, которые особенно подвержены кибернетическим атакам, в частности через использование узлов реагирования на инциденты в телеинформационной безопасности;
– аудит средств и механизмов кибербезопасности с учетом принятых стандартов;
– подготовка и внедрение сценариев поведения в случае кибератак, направленных на задания государства, осуществляемые в цифровом виде;
– разработка и текущая актуализация – с точки зрения кибербезопасности – планов кризисного реагирования и операционных планов функционирования во время угроз и войны, особенно с точки зрения влияния на системы управления в государстве, с учетом соответствующих планов НАТО и ЕС;
– ведение активной киберобороны – и атакующих действий в киберпространстве в ее рамках – и поддерживание готовности к кибервойне;
– защита и оборона собственных телеинформационных систем и накопленных в них ресурсов;
– поддержка остальных ключевых субъектов частного сектора в сфере их кибербезопасности;
– противодействие и борьба с киберпреступностью;
– текущие информационные и образовательные ориентированные на общество действия в сфере безопасного использования киберпространства и информирование об идентифицированных угрозах.
30. Основные задания государственного сектора на международном уровне:
– участие в международном реагировании на угрозы в киберпространстве, прежде всего в структурах НАТО и Европейского Союза;
– международный обмен опытом и надлежащими практиками с целью повышения эффективности национальных действий;
– влияние на транснациональные структуры частного сектора при посредничестве международных организаций;
– обмен информацией об уязвимостях, угрозах и инцидентах.
31. Основные задания частного сектора:
– сотрудничество с государственным сектором в сфере противодействия кибернетическим угрозам, в том числе разработка предложений по правовому регулированию и саморегулирование частного сектора, поддерживающее безопасность в киберпространстве;
– ведение аудита средств и механизмов кибербезопасности с учетом стандартов безопасности, установленных для государственного сектора и распространяемых среди субъектов частного сектора, которые подвергаются особой опасности кибератак;
– сотрудничество с государственным сектором в сфере обмена информацией относительно существующих и новых угроз для кибербезопасности;
– обмен информацией об уязвимостях, угрозах и инцидентах.
32. Основные задания гражданского сектора:
– помощь в обеспечении безопасности государства путем заботы об используемых системах и телеинформационных устройствах и самообразования в сфере кибербезопасности;
– мониторинг предложений по правовым и организационным изменениям с целью обеспечения защиты прав человека, в том числе права на неприкосновенность частной жизни в Интернете;
– участие в общественных инициативах по поддержке кибербезопасности РП (волонтерское движение в пользу кибербезопасности, в том числе также киберобороны страны).
33. Основные межсекторные задания:
– координация сотрудничества субъектов частного и государственного сектора и создание механизмов обмена информацией (явных и скрытых), а также стандартом и надлежащих практик в сфере кибербезопасности (напр., создание государственными учреждениями программ сертификации безопасного оборудования и программного обеспечения).
4. КОНЦЕПЦИЯ ВСТУПИТЕЛЬНЫХ (ПОДГОТОВИТЕЛЬНЫХ)
ЗАДАНИЙ В СФЕРЕ КИБЕРБЕЗОПАСНОСТИ (СОДЕРЖАНИЯ
И РАЗВИТИЯ СИСТЕМЫ КИБЕРБЕЗОПАСНОСТИ РП)
34. Наиболее важные вступительные (подготовительные) задания в сфере кибербезопасности – это внедрение и развитие системного подхода к кибербезопасности в правовом, организационном и техническом измерении. Это обеспечит оборону и защиту телеинформационных систем с соблюдением эффективности и эластичности реализации процессов и заданий, осуществляемых с использованием данных систем.
35. Действия, целью которых является принятие новых правовых решений, в частности, касаются:
– создания оснований для непрерывного функционирования телеинформационной системы, обеспечивающего приемлемый уровень безопасности, в особенности для потребностей подсистемы управления национальной безопасностью, в том числе обороноспособностью страны;
– обеспечения структурной поддержки и финансирования работ по исследованию и разработке в сфере создания новых, национальных решений в сфере телеинформатики и криптологии;
– обзора и анализа норм, существующих в сфере кибербезопасности с целью точного определения потребности в возможных изменениях по уточнению и дополнению.
36. Польская система кибербезопасности должна формироваться в соответствии с документами ЕС и НАТО и другими международными инициативами, чтобы она была внутренне однородной и совместимой с системами союзнических государств и международных организаций, членом которых является Польша (НАТО, ЕС).
4.1. ПОДСИСТЕМА УПРАВЛЕНИЯ
37. Совет Министров несет ответственность за координацию действий в сфере кибербезопасности на стратегическом уровне. Рекомендуется расширение заданий и компетенции существующего вневедомственного вспомогательного органа Совета Министров по вопросам кибербезопасности в широком понимании этого слова. Орган должен обладать совещательной, консультативной и координационной компетенцией, в том числе по вопросам подготовки – в рамках сотрудничества субъектов государственного и частного сектора и представителей гражданского общества – соответствующих решений и стандартов, а также компетенцией по координации международного сотрудничества в области кибербезопасности. В конечном итоге, такой субъект мог бы стать частью более широкого вневедомственного органа по вопросам национальной безопасности1.
38. Шагом в направлении достижения высокой эффективности системы управления кибербезопасностью должно быть создание технических центров соответствующей компетенции, подчиняющихся соответствующим министрам. Их заданием было бы обеспечение приемлемого уровня безопасности телеинформационных услуг, обеспечивающих хозяйственную деятельность, электронную администрацию, функционирование гражданских свобод и обеспечение обороноспособности в киберпространстве.
39. В рамках поддерживания и развития подсистемы управления кибербезопасностью особо важными являются:
– разработка и внедрение принципов и процедур (а также так называемых надлежащих практик) управления кибербезопасностью, в том числе сотрудничества между государственным и частным сектором;
– постоянная модернизация технических элементов подсистемы управления, в том числе внедрение безопасных средств управления;
– создание независимой сети связи для управления национальной безопасностью (напр., в рамках сети правительственной связи) и обеспечение национального контроля телеинформационных систем;
– разработка минимальных стандартов кибербезопасности критической инфраструктуры;
– разработка планов тренировок и обучения в области кибербезопасности; кроме того, проблематика кибербезопасности должна учитываться в других учебных мероприятиях, напр., в ходе тренировок по кризисному управлению и оборонительных тренировок;
– определение требований и целей для учебных, информационных и исследовательских программ.
4.2. ОПЕРАЦИОННЫЕ ЗВЕНЬЯ
40. Целью подготовки (поддерживания и развития) операционных звеньев системы кибербезопасности должно быть обеспечение средств и компетенции в соответствии с динамически изменяемыми операционными потребностями. Поэтому важным является:
– создание защитных и оборонных механизмов, обеспечивающих быструю адаптацию к изменению среды безопасности, обеспечивающих реагирование на непредвиденные кризисные ситуации;
– приобретение способности четкого управления средствами кибербезопасности;
– обеспечение безопасной передачи информации между операционными звеньями системы кибербезопасности;
– создание способности к ведению активных действий в киберпространстве.
41. Вооруженные силы РП должны обладать способностями к обороне и защите собственных телеинформационных систем и накопленных в них ресурсов, а также способностями к активной обороне и наступательным действиям в киберпространстве. Они должны быть интегрированы с остальными способностями ВС РП с целью увеличения национального потенциала отпугивания (отталкивания, сдерживания) потенциального агрессора. Они также должны быть готовы, самостоятельно и в сотрудничестве с союзниками, к ведению масштабных защитных и оборонительных операций в случае киберконфликта, в том числе кибервойны.
42. Обязательным является создание и укрепление военных структур, предназначенных для реализации заданий в киберпространстве, обладающих способностями в области обнаружения, предотвращения и устранения киберугроз, направленных против Вооруженных сил РП.
43. Необходимой является имплементация стандартов НАТО, которые относятся к киберобороне, в частности в контексте оборонного и операционного планирования. Обязательным также является принятие во внимание минимальных стандартов, разработанных НАТО в сфере защиты собственных ресурсов Блока и отечественных ресурсов критической инфраструктуры, необходимой для реализации заданий, следующих из членства в Блоке.
44. Следует развивать компетенцию и способности служб разведки и контрразведки для действий в киберпространстве, обеспечивающих эффективную нейтрализацию активности иностранных разведывательных служб и противодействие шпионажу в киберпространстве.
45. Следует стремиться к получению всей полноты компетенции и способностей для производства польских технологических решений, направленных на обеспечение приемлемого уровня безопасности в киберпространстве. Стратегическое значение имеет приобретение способностей и компетенции в области контроля над информационными подсистемами вооружения и другого иностранного оборудования (владение исходными кодами), используемого для целей национальной безопасности. Важными являются способности и компетенция в области криптологии, в том числе в контексте развития национальной системы кибербезопасности, приспособленной к динамически изменяющимся потребностям.
46. Необходимым является развитие полностью контролируемых государством телеинформационных инструментов и технологий, с соблюдением совместимости с инструментами и технологиями НАТО и союзников, на которые бы опиралась оборона и защита критических систем государства.
4.3. ГОСУДАРСТВЕННЫЕ И ЧАСТНЫЕ ЗВЕНЬЯ ПОДДЕРЖКИ
47. Следует создать условия, содействующие влиянию частных субъектов и граждан на государственную деятельность в области кибербезопасности. Это позволит достичь синергию государственно-частного партнерства в пользу кибербезопасности РП.
48. Существует потребность обеспечения соответствующих механизмов сотрудничества и партнерства государственного и частного сектора в области кибербезопасности. Общая забота о кибербезопасности государства достигается путем:
– государственно-частного диалога в сфере подготовки законодательных проектов, содействующих созданию эффективных принципов и процедур деятельности в области кибербезопасности;
– достижение консенсуса в области целей и заданий системы кибербезопасности путем диалога на теоретическом и практическом уровне;
– продвижение на национальном и международном уровне польских решений и продуктов в области кибербезопасности;
– эффективное сотрудничество и государственная поддержка в области кибербезопасности для частных операторов элементов критической инфраструктуры, управляемых с использованием телеинформационных систем, и операторов и провайдеров телеинформационных услуг;
– привлечение представителей государственного, частного сектора и граждан к процессу непрерывного формирования и повышения сознательности по отношению к угрозам в области кибербезопасности.
49. Важным является создание системы поддержки инициатив по исследованию и разработке в области кибербезопасности и образованию, в том числе проектов, реализуемых в сотрудничестве с миром науки и с коммерческими предприятиями. Приоритетным в этой области является создание системы сертификации национальных решений, что может содействовать получению национальной независимости в техническом, программистском и криптологическом измерении.
50. Для долгосрочной оптимизации системы кибербезопасности РП следует создать соответствующие отраслевые стандарты и надлежащие практики поддержки частных и негосударственных организаций (неправительственные организации, научно-исследовательские учреждения) по управлению риском в сфере кибербезопасности, в том числе путем предоставления инструментов для идентификации пробелов в их системах и составления плана их постоянного усовершенствования.
51. Следует разработать программу подготовки кадров для потребностей системы кибербезопасности (также разработать пути развития карьеры, позволяющие привлечь наилучших специалистов).
52. Для подготовки эффективной системы кибербезопасности важной будет разработка системных оснований использования потенциала граждан (которые не являются членами Вооруженных сил РП или других государственных служб и учреждений) благодаря государственно-частному сотрудничеству.
53. Важным является ведение информационной и образовательной деятельности профилактического характера в сфере подготовки граждан к их защите (в том числе, самозащите) от угроз в киберпространстве.
54. Следует считать индивидуальных пользователей, их навыки и осознание безопасности одной из опор кибербезопасности страны, а следовательно – формировать механизмы передачи знаний и навыков таким образом, чтобы они служили увеличению шансов на достижение желаемого уровня кибербезопасности.
ЗАКЛЮЧЕНИЕ
55. Доктрина кибербезопасности РП – будучи межсекторным исполнительным документом к Стратегии национальной безопасности РП – является концептуальным основанием для подготовки и реализации скоординированных в масштабе государства действий в пользу кибербезопасности РП отдельных государственных секторов и частного сектора.
56. Рекомендации настоящей Доктрины предназначены для соответствующего использования всеми государственными и частными субъектами, ответственными за планирование, организацию и реализацию заданий в сфере кибербезопасности.
57. Содержание доктрины должно получить развитие прежде всего в Политико-стратегической оборонной директиве и в очередном издании Стратегии (Программы) развития системы национальной безопасности, а также в планах кризисного управления и операционных планах функционирования государственных структур во время угрозы и войны, а также в программах развития вооруженных сил и программах невоенных оборонительных приготовлений.

Доктрина кибербезопасности Республики Польша
была издана Бюро Национальной Безопасности
22 января 2015 г.
Подготовка к печати, печать:
Центр полиграфии Сп. з о.о.
www.jakubiccy.com.pl
БЮРО НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ
ISBN: 978-83-60846-25-4