PODSTAWOWE DOKUMENTY BEZPIECZEŃSTWA INFORMATYCZNEGO

Bardzo istotnym elementem w ustawie z dnia 5 sierpnia 2010 roku o ochronie informacji niejawnych i rozporządzeniu Prezesa Rady Ministrów z dnia 20 lipca 2011 roku w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego
(Dz.U.2011.159.948) jest nałożony na kierowników jednostek organizacyjnych obowiązek zapewnienia bezpieczeństwa informatycznego wszystkim systemom i sieciom informatycznym, w których przetwarza się informacje niejawne. Obowiązek ten, sprowadza się między innymi do konieczności opracowywania dokumentacji bezpieczeństwa informatycznego dla wszystkich systemów i sieci informatycznych, w których przetwarzane są informacje niejawne.

Zatem pierwszym krokiem na drodze do rozpoczęcia przetwarzania informacji niejawnych w systemie lub sieci informatycznej jest opracowanie dokumentacji, w której należy opisać przewidziane do zastosowania (lub zastosowane) środki, metody zapewniające odpowiednie standardy bezpieczeństwa (w zależności od klauzuli tajności przetwarzanych tam informacji niejawnych) tym systemom i sieciom informatycznym.

Na dokumentację tę składają się dokument „Szczególne Wymagania Bezpieczeństwa” (SWB) i dokument „Procedury Bezpieczeństwa” (PB) – stanowiące integralną całość.

Dokument SWB definiuje zagadnienia bezpieczeństwa informatycznego dla konkretnego systemu lub sieci informatycznej, określając środki ochrony (proceduralne, techniczne itd.), które muszą zostać wprowadzone aby osiągnąć akceptowalny (przez Agencję Bezpieczeństwa Wewnętrznego lub Służbę Kontrwywiadu Wojskowego) poziom bezpieczeństwa informatycznego.

Dokument SWB systemu teleinformatycznego powinien zawierać w szczególności wyniki procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych w systemie teleinformatycznym oraz określać przyjęte w ramach zarządzania ryzykiem sposoby osiągania i utrzymywania odpowiedniego poziomu bezpieczeństwa systemu, a także opisywać aspekty jego budowy, zasady działania i eksploatacji, które mają związek z bezpieczeństwem systemu lub wpływają na jego bezpieczeństwo. Przebieg i wyniki procesu szacowania ryzyka mogą zostać przedstawione w odrębnym dokumencie niż dokument szczególnych wymagań bezpieczeństwa. Natomiast dokument PB jest zbiorem procedur, które należy spełnić w celu realizacji bezpieczeństwa informatycznego danego sytemu lub sieci informatycznej, który został opracowany na podstawie SWB.

PB określają również obowiązki użytkowników systemu lub sieci informatycznej oraz pracowników mających do nich dostęp. Dlatego wszyscy użytkownicy sytemu lub sieci informatycznej powinni zapoznać się z PB oraz potwierdzić ten fakt własnoręcznym podpisem. Procedury Bezpieczeństwa z podpisami użytkowników powinny znajdować się przy każdym autonomicznym systemie komputerowym, aby umożliwić użytkownikom wgląd do tego dokumentu.

SWB opracowuje się indywidualnie dla każdego sytemu lub sieci informatycznej po dokonaniu analizy przewidywanych zagrożeń z uwzględnieniem warunków charakterystycznych dla każdej jednostki organizacyjnej.

Poniżej zostały wymienione przepisy (Prezesa Rady Ministrów z dnia 20 lipca 2011 roku w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego - Dz.U.2011.159.948), podające minimalne elementy bezpieczeństwa teleinformatycznego, które powinny zostać uwzględnione przy opracowaniu szczególnych wymagań bezpieczeństwa.

§ 25.
1. Dokument szczególnych wymagań bezpieczeństwa systemu teleinformatycznego:
1) opracowuje się na etapie projektowania systemu teleinformatycznego, po przeprowadzeniu wstępnego szacowania ryzyka dla bezpieczeństwa informacji niejawnych, które mają być przetwarzane w systemie teleinformatycznym, w sposób uwzględniający specyfikę budowy, charakterystykę systemu teleinformatycznego, a także warunki charakterystyczne dla jednostki organizacyjnej;
2) bieżąco uzupełnia się na etapie wdrażania systemu teleinformatycznego, po przeprowadzeniu szacowania ryzyka dla bezpieczeństwa informacji niejawnych z uwzględnieniem wprowadzonych zabezpieczeń;
3) uaktualnia się na etapie eksploatacji systemu teleinformatycznego, przed dokonaniem zmian w systemie teleinformatycznym.

2. Dokument szczególnych wymagań bezpieczeństwa zawiera następujące dane:
1) rodzaje oraz klauzule tajności informacji niejawnych, które będą przetwarzane w systemie teleinformatycznym;
2) grupy użytkowników systemu teleinformatycznego wyodrębnione ze względu na posiadane uprawnienia do pracy w systemie teleinformatycznym;
3) tryb bezpieczeństwa pracy systemu teleinformatycznego;
4) przeznaczenie i funkcjonalność systemu teleinformatycznego;
5) wymagania eksploatacyjne dla wymiany informacji i połączeń z innymi systemami teleinformatycznymi;
6) lokalizację systemu teleinformatycznego.

3. W dokumencie szczególnych wymagań bezpieczeństwa zawiera się ponadto informacje o:
1) metodyce użytej w procesie szacowania ryzyka dla bezpieczeństwa informacji niejawnych oraz raport z tego procesu;
2) zastosowanych zabezpieczeniach;
3) ryzykach szczątkowych oraz deklaracji ich akceptacji;
4) poświadczeniach bezpieczeństwa lub innych formalnych uprawnieniach do dostępu do informacji niejawnych, posiadanych przez użytkowników systemu teleinformatycznego;
5) bezpieczeństwie fizycznym, w tym granicach i lokalizacji stref ochronnych oraz środkach ich ochrony;
6) ochronie elektromagnetycznej;
7) stosowanych urządzeniach lub narzędziach kryptograficznych;
8) ciągłości działania, w tym tworzeniu kopii zapasowych, odzyskiwaniu systemu oraz, jeżeli to właściwe, zapewnieniu alternatywnych łączy telekomunikacyjnych lub urządzeń, a także zasilaniu awaryjnym;
9) ustawieniach konfiguracyjnych systemu teleinformatycznego;
10) utrzymaniu systemu, w tym dokonywaniu przeglądów diagnostycznych i napraw;
11) zapobieganiu incydentom bezpieczeństwa teleinformatycznego, w tym ochronie przed oprogramowaniem złośliwym;
12) zasadach wprowadzania poprawek lub uaktualnień oprogramowania;
13) ochronie nośników, w tym ich oznaczaniu, dostępie, transporcie, obniżaniu ich klauzul tajności i niszczeniu;
14) identyfikacji i uwierzytelnieniu użytkowników i urządzeń;
15) kontroli dostępu;
16) audycie wewnętrznym;
17) zarządzaniu ryzykiem w systemie teleinformatycznym;
18) zmianach w systemie teleinformatycznym, w tym dotyczących aktualizacji dokumentacji bezpieczeństwa systemu teleinformatycznego oraz warunkach ponownej akredytacji systemu teleinformatycznego i wycofania z eksploatacji.

§ 26.
1. Dokument procedur bezpiecznej eksploatacji:
1) opracowuje się na etapie wdrażania systemu teleinformatycznego, po przeprowadzeniu szacowania ryzyka dla bezpieczeństwa informacji niejawnych z uwzględnieniem wprowadzonych zabezpieczeń;
2) uaktualnia się na etapie eksploatacji systemu teleinformatycznego, przed dokonaniem zmian w systemie teleinformatycznym.

2. W dokumencie procedur bezpiecznej eksploatacji określa się szczegółowy wykaz procedur bezpieczeństwa wraz z dokładnym opisem sposobu ich wykonania, realizowanych przez osoby odpowiedzialne za bezpieczeństwo teleinformatyczne oraz osoby uprawnione do pracy w systemie teleinformatycznym, obejmujący:
1) administrowanie systemem teleinformatycznym oraz zastosowanymi środkami zabezpieczającymi;
2) bezpieczeństwo urządzeń;
3) bezpieczeństwo oprogramowania;
4) zarządzanie konfiguracją sprzętowo-programową, w tym zasady serwisowania lub modernizacji oraz wycofywania z użycia elementów systemu teleinformatycznego;
5) plany awaryjne;
6) monitorowanie i audyt systemu teleinformatycznego;
7) zarządzanie nośnikami;
8) zarządzanie materiałami kryptograficznymi;
9) stosowanie ochrony elektromagnetycznej;
10) reagowanie na incydenty bezpieczeństwa teleinformatycznego;
11) szkolenia użytkowników systemu teleinformatycznego dotyczące zasad korzystania z systemu teleinformatycznego;
12) wprowadzanie danych do systemu i ich wyprowadzanie z systemu.

Należy zaznaczyć, iż zgodnie z zapisami w ww. rozporządzeniu, w tworzeniu dokumentacji bezpieczeństwa systemu teleinformatycznego udział bierze Administrator systemu teleinformatycznego (§ 13), natomiast w procesie zarządzania ryzykiem w systemie teleinformatycznym odpowiednio Administrator systemu teleinformatycznego (§ 13) oraz Inspektor bezpieczeństwa teleinformatycznego (§ 14).

Tak więc, po raz pierwszy wskazano osoby odpowiedzialne za opracowanie dokumentacji BTI. Ale czy to wystarczające? Na pewno nie. Celowym wydaje się powołanie zespołu złożonego z fachowców reprezentujących odpowiednie dyscypliny nauki, głównie z zakresu informatyki, ochrony informacji niejawnych, ochrony fizycznej obiektów, zasad kryptografii itd. Dlatego, proponuje się podział zespołu na dwie grupy. Pierwsza grupa pod przewodnictwem pełnomocnika ochrony opracowywałaby procedury bezpieczeństwa, natomiast druga pod przewodnictwem administratora systemu zajęłaby się opracowaniem szczególnych wymagań.

© Opracował: Marek ANZEL