Tekst źródłowy strony Dyskusja:16-02.01

Notatki do opinii.

Punkt 3.2 „System wczesnego ostrzegania i reagowania” przedstawia  założenia rozwiązań, będą przeznaczone do wykrywania zagrożeń sieciowych. 
# Jaki będzie  zakres monitorowania?
# Kto będzie miał dostęp do danych?
# Jakie będą koszty systemu?<br />
''W dokumencie strategicznym takich elementów nie będzie, nie ten poziom ogólności. Możemy jednak zwrócić uwagę na zagrożenia'' --[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 10:04, 1 mar 2016 (CET)<br />

2.4. Podsumowanie
"Żeby zadbać o cyberbezpieczeństwo należy jak najszybciej podjąć spójne i systemowe
działania, mające na celu monitorowanie i przeciwdziałanie zagrożeniom występującym
w cyberprzestrzeni oraz minimalizowanie skutków incydentów."

"warunkami efektywnej ochrony cyberprzestrzeni jest przyjęcie ram
prawnych krajowego systemu ochrony cyberprzestrzeni oraz wyznaczenie krajowego
organu koordynującego działania innych podmiotów w zakresie ochrony
cyberprzestrzeni."
<br />

Dlaczego monitorowanie jest wskazane jako pierwsze?
Czy krajowy organ koordynujący ma być remedium? <br />

''Żeby reagować najpierw trzeba zdiagnozować a monitoring jest elementem diagnostyki. Brakuje jednak większego nacisku na prewencję.''--[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 10:04, 1 mar 2016 (CET)<br />




Kilka innych pytań:
# Spójna architektura bezpieczeństwa (w skali całego kraju) - czy kto o tym pomyślał? 
# Dlaczego autorzy koncentrują się na reagowaniu na incydenty a nie na działaniach prewencyjnych?
# Dlaczego wykorzystano statystyki z roku 2014 i dlaczego tylko raport firmy Symantec?<br />
''Wykorzystano statystyki z 2014 bo były opublikowane w 2015. Za 2015 jeszcze nie ma. Myślę że niezbyt istotne jest czy to statystyki Symanteca, Eset-a czy innej firmy. Na samych statystykach nie opiera się prezentowana koncepcja. Ma to być jedynie wstęp, wskazujący że problem istnieje. Możemy oczywiście zapytać czy nie można było się oprzeć na statystykach instytucji niekomercyjnych takich jak CERT, które powinny w domyśle posiadać bardziej obiektywne i adekwatne do polskich warunków statystyki.'' --[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 10:04, 1 mar 2016 (CET)

Bezpieczeństwo to proces a nie produkt.<br />
==========================================================================================<br />
Generalnie dokument bardzo mi się podoba.<br />
Str. 3 – nie wymieniono zjawiska Crime as a service<br />
Str. 4 - odnośnie ryzyk brak jest też publikacji statystyk incydentów o które oprzeć można by analizę ryzyka<br />
Str. 6 – w p. 1 dodałbym „w tym procedur ich zgłaszania. Zdarzyło mi się zgłosić incydent do Cert Nasku – bez reakcji, chciałem zgłosić do Cert rządowego ale formularz i konieczność jego szyfrowania skutecznie mnie zniechęcił
W p. 3  Kategorii 1 dodałbym odbiór i oczyszczanie ścieków i nieczystości bytowych<br />
Str. 7 – nie bardzo rozumiem kategorię 3 – jakiego systemu, w kategorii 5 też oczekiwałbym sprecyzowania jakich serwisów i usług dotyczy<br />
Str. 11 lista punktowana – na pierwszym miejscu wstawiłbym „wykryj sprawdź i przekaż  informację o ataku….”<br />
Str. 12 – izolowanie systemu – należy zbadać czy izolowanie takie jest obecnie możliwe oraz oszacować koszty i czas niezbędny do wdrożenia odpowiednich mechanizmów<br />
Str. 17 – może zaproponować prawny obowiązek zgłaszania ataków („ciemne ataki”<br />
Alternatywny system łączności należy pochwalić<br />
Str. 20 „userfiendly” – czy naprawdę nie ma polskiego odpowiednika?<br />
Str. 21czy weryfikacja producentów tylko dla jednostek państwowych? A co z samorządami i przedsiębiorstwami infrastruktury krytycznej? W tym samym kontekście na str 31 mówi się już o instytucjach publicznych<br />
Str. 24 można sypnąć garścią wyników z badań KRI i zapowiedzieć przekazanie raportu w drugij połowie marca<br />
Str. 25 Należy podkreślić konieczność prezentowania informacji o zagrożeniach w czytelnej formie. Statystyki ARAKIS nie dla każdego są czytelne<br />
Uwagi generalne:<br />
Niejasne jest kto będzie tworzył LZR, szczególnie w instytucjach publicznych. Czy wszystkich? Badania wskazują że samorządy nie są w stanie realizować zapisów KRI a co dopiero tworzyć LZR.<br />
Na poziomie operacyjnym zabrakło wskazanie roli zwykłego obywatela, który często znacznie szybciej doświadcza nieprawidłowości związanych z atakiem na instytucje publiczne. <br />
Podobnie pasjonaci hakerzy nie mają centralnego punktu zgłaszania odkrytych podatności. Zgłaszanie ich producentom ma zaś różny skutek.<br />
--[[Użytkownik:Jatkiewicz Przemysław|Jatkiewicz Przemysław]] ([[Dyskusja użytkownika:Jatkiewicz Przemysław|dyskusja]]) 21:19, 25 lut 2016 (CET)