|
Bardzo istotnym elementem w ustawie z
dnia 22 stycznia 1999 roku o ochronie informacji niejawnych i rozporządzeniu
Prezesa Rady Ministrów z dnia 25 lutego 1999 r. w sprawie podstawowych wymagań
bezpieczeństwa systemów i sieci teleinformatycznych
(Dz. U. 18 z dnia 5 marca 1999 r. poz. 162) jest nałożony na kierowników
jednostek organizacyjnych obowiązek zapewnienia bezpieczeństwa informatycznego
wszystkim systemom i sieciom informatycznym, w których przetwarza się informacje
niejawne. Obowiązek ten, sprowadza się między innymi do konieczności
opracowywania dokumentacji bezpieczeństwa informatycznego dla wszystkich
systemów i sieci informatycznych, w których przetwarzane są informacje niejawne.
Zatem pierwszym krokiem na drodze do
rozpoczęcia przetwarzania informacji niejawnych w systemie lub sieci
informatycznej jest opracowanie dokumentacji, w której należy opisać
przewidziane do zastosowania (lub zastosowane) środki, metody zapewniające
odpowiednie standardy bezpieczeństwa (w zależności od klauzuli tajności
przetwarzanych tam informacji niejawnych) tym systemom i sieciom informatycznym.
Na dokumentację tę składają się
dokument „Szczególne Wymagania Bezpieczeństwa”
(SWB) i dokument „Procedury Bezpieczeństwa”
(PB) – stanowiące integralną całość.
Dokument SWB
definiuje zagadnienia bezpieczeństwa informatycznego dla konkretnego systemu lub
sieci informatycznej, określając środki ochrony (proceduralne, techniczne itd.),
które muszą zostać wprowadzone aby osiągnąć akceptowalny (przez organy krajowej
władzy bezpieczeństwa) poziom bezpieczeństwa informatycznego.
Dokument ten powinien być kompletnym
i wyczerpującym opisem budowy systemu lub sieci informatycznej, zasad działania
i eksploatacji. Natomiast dokument PB jest
zbiorem procedur, które należy spełnić w celu realizacji bezpieczeństwa
informatycznego danego sytemu lub sieci informatycznej, który został opracowany
na podstawie SWB.
PB określają również obowiązki
użytkowników systemu lub sieci informatycznej oraz pracowników mających do nich
dostęp. Dlatego wszyscy użytkownicy sytemu lub sieci informatycznej powinni
zapoznać się z PB oraz potwierdzić ten fakt własnoręcznym podpisem. Procedury
Bezpieczeństwa z podpisami użytkowników powinny znajdować się przy każdym
autonomicznym systemie komputerowym, aby umożliwić użytkownikom wgląd do tego
dokumentu.
SWB opracowuje się indywidualnie
dla każdego sytemu lub sieci informatycznej po dokonaniu analizy
przewidywanych zagrożeń z uwzględnieniem warunków charakterystycznych dla
każdej jednostki organizacyjnej.
Poniżej zostały wymienione przepisy
(Rozporządzenie Prezesa Rady Ministrów z dnia 24 lutego 1999 r. w sprawie
podstawowych wymagań bezpieczeństwa, którym powinny odpowiadać systemy
teleinformatyczne - Dz. U. Nr 18 z dnia 5.03.1999 r., poz. 162), podające
minimalne elementy bezpieczeństwa teleinformatycznego, które powinny zostać
uwzględnione przy opracowaniu szczególnych wymagań bezpieczeństwa
§ 14
1. Szczególne wymagania bezpieczeństwa
opracowuje się, po dokonaniu analizy przewidywanych zagrożeń, indywidualnie dla
każdego systemu lub sieci teleinformatycznej, w której mają być przetwarzane
informacje niejawne, z uwzględnieniem warunków charakterystycznych dla jednostki
organizacyjnej.
2. Szczególne wymagania bezpieczeństwa formułuje się na etapie projektowania
nowego systemu lub sieci teleinformatycznej, a następnie uzupełnia i rozwija
wraz z wdrażaniem, eksploatacją i modernizacją tego systemu lub sieci.
§15
Szczególne wymagania bezpieczeństwa systemu lub sieci teleinformatycznych
powinny określać wielkość i lokalizację stref bezpieczeństwa oraz środki ich
ochrony odpowiednie dla danej jednostki organizacyjnej.
§ 16
Przy opracowaniu szczególnych wymagań bezpieczeństwa należy uwzględnić:
1) charakterystykę systemu lub sieci teleinformatycznej,
2) dane o budowie systemu lub sieci teleinformatycznej,
3) określenie środków ochrony zapewniających bezpieczeństwo informacji
niejawnych, przetwarzanych w systemie lub sieci teleinformatycznej, przed
możliwością narażenia ich bezpieczeństwa, a w szczególności nieuprawnionym
ujawnieniem,
4) zadania administratora systemu lub sieci teleinformatycznej i pracownika
pionu, o których mowa w art. 63 ust. 1 ustawy.
§ 17
Charakterystyka systemu lub sieci teleinformatycznej powinna określać:
1) klauzulę tajności informacji niejawnych, które będą przetwarzane w systemie
lub sieci teleinformatycznej,
2) kategorie uprawnień użytkowników systemu lub sieci teleinformatycznej w
zakresie dostępu do przetwarzanych w nich informacji niejawnych, w zależności od
klauzuli tajności tych informacji.
§ 18
Dane o budowie systemu lub sieci teleinformatycznej zawierają informacje
dotyczące tego systemu lub sieci w zakresie:
1) lokalizacji,
2) typu wykorzystywanych w nich urządzeń oraz oprogramowania,
3) sposobu realizowania połączeń wewnętrznych oraz zewnętrznych,
4) konfiguracji sprzętowej,
5) środowiska eksploatacji.
SWB opracowuje się indywidualnie dla każdej sieci lub systemu informatycznego.
Dopuszcza się jednak odstąpienia od zasady indywidualnego opracowywania SWB dla
każdego systemu informatycznego. Dla lepszego zrozumienia tematu załóżmy, że w
jednostce organizacyjnej wystąpiła potrzeba utworzenia kilku systemów
informatycznych przeznaczonych do wytwarzania, przetwarzania oraz przechowywania
dokumentów zawierających informacje niejawne (do klauzuli „POUFNE” włącznie),
dotyczących bieżącej działalności jednostki. Głównie chodzi o pisma, meldunki,
sprawozdania itp.
Takie systemy informatyczne funkcjonują w niemal każdej jednostce
organizacyjnej.
W związku z tym, że systemy te przetwarzają informacje niejawne stanowiące
tajemnicę służbową zostały one zainstalowane w osobnych pomieszczeniach
służbowych (ponieważ wykorzystują je różne komórki organizacyjne tej jednostki),
z których każde znajduje się w określonej strefie bezpieczeństwa (np. II strefa
). Systemy te nie są ze sobą galwanicznie połączone i nie stanowią sieci
informatycznej. W takiej konkretnej sytuacji wystarczy opracowanie jednego
dokumentu SWB i PB dla wszystkich systemów informatycznych. Odrębne będą tylko
załączniki opisujące w SWB indywidualne cechy każdego systemu (konfigurację
sprzętową , miejsce instalacji (numery pomieszczeń) oraz numer i serie
oprogramowania systemowego, antywirusowego itp.). Takie systemy informatyczne
nazywać będziemy autonomicznymi systemami komputerowymi
(ASK).
Za opracowanie szczególnych wymagań bezpieczeństwa dla systemu informatycznego
funkcjonującego w jednostce organizacyjnej odpowiedzialny jest kierownik
jednostki organizacyjnej. Jednak do opracowania SWB wyznaczony (przez kierownika
jednostki organizacyjnej) powinien być zespół ludzi ze względu choćby na fakt,
że zakres tematyczny tego opracowania wymaga dość specjalistycznej wiedzy z
różnych dziedzin.
Głównie z zakresu informatyki, ochrony informacji niejawnych, bezpieczeństwa
łączności, ochrony fizycznej obiektów, zasad kryptografii itd. Zatem celowym
wydaje się powołanie zespołu złożonego z fachowców reprezentujących ww.
dyscypliny nauki. Proponuje się podział zespołu na dwie grupy. Pierwsza grupa
pod przewodnictwem pełnomocnika ochrony opracowywałaby procedury bezpieczeństwa,
natomiast druga pod przewodnictwem administratora systemu zajęłaby się
opracowaniem szczególnych wymagań bezpieczeństwa.
Po opracowaniu SWB i PB dokumenty te, jednostki (instytucje) przekazują do
odpowiedniej służby ochrony państwa celem akceptacji lub zatwierdzenia (w
zależności od klauzuli tajności przetwarzanych informacji). Odpowiedzialnym
za przekazanie tych dokumentów jest kierownik jednostki organizacyjnej.
Nie wniesienie przez krajową władzę bezpieczeństwa zastrzeżeń do treści
dokumentów SWB i PB w terminie 30 dni - w odniesieniu do systemów
informatycznych, w których przetwarzane są informacje stanowiące tajemnicę
służbową (oznaczone klauzulą „POUFNE” lub „ZASTRZEŻONE) – uprawnia do
rozpoczęcia eksploatacji systemu informatycznego – art. 61, ust. 3 [UOIN].
Jeżeli system lub sieć informatyczna ma być przeznaczona do przetwarzania
informacji stanowiących tajemnice państwową („TAJNE” lub „ŚCIŚLE TAJNE”) to
dokumenty SWB zatwierdzają służby ochrony państwa w terminie do 30 dni i
stanowią one podstawę do przeprowadzenia kolejnego elementu etapu jakim audyt
bezpieczeństwa (kontrola, która ma na celu porównanie zgodności zastosowanych
środków ochrony systemu z przedstawionymi w SWB ), następnie wydanie certyfikatu
bezpieczeństwa stwierdzającego akceptowalny (przez służby ochrony państwa)
poziom bezpieczeństwa na urządzeń systemu lub sieci przetwarzających informacje
stanowiące tajemnicę państwową.
Certyfikacja polega na ocenie sprzętu komputerowego lub oprogramowania w
zakresie spełnienia zakładanych wymagań dotyczących bezpieczeństwa przetwarzania
informacji (poufności, integralności i dostępności). Certyfikacja wiąże się z
koniecznością przeprowadzania pracochłonnych testów i ocen przez służby ochrony
państwa. Pomyślne zakończenie tych testów i ocen kończy się wydaniem stosownego
certyfikatu, który poświadcza, że przedmiot badań (np. sprzęt komputerowy bądź
oprogramowanie):
- realizuje prawidłowo określone funkcje bezpieczeństwa;
- posiada odpowiedni poziom wiarygodności (nie występują w nim niepożądane
zachowania).
Certyfikat zatem stanowi poświadczenie, że przedmiot poddany certyfikacji
posiada odpowiedni poziom bezpieczeństwa (akceptowalny przez służby ochrony
państwa).
W przypadku stwierdzenia w dokumentach SWB odstępstw lub nieścisłości od zasad
bezpieczeństwa, krajowa władza bezpieczeństwa ma możliwość odrzucenia tych
dokumentów w celu dokonania stosownych uzupełnień i korekt.
Szczególne wymagania bezpieczeństwa należy uzupełniać i rozwijać równolegle z
wdrażaniem, eksploatacją i modernizacją systemu lub sieci informatycznej ( np.
zmiany konfiguracji sprzętowej, instalacji nowszej wersji systemu operacyjnego
itp.).
Wynika z tego, że dokument ten
podlega stałej aktualizacji w miarę dokonywania jakichkolwiek zmian
(programowych, sprzętowych). Zaktualizowany dokument należy ponownie przedstawić
służbom ochrony państwa w celu kolejnego sprawdzenia i dopuszczenia do
eksploatacji.
© Opracował: Marek
ANZEL
|
