Bardzo istotnym elementem w ustawie z dnia 5 sierpnia 2010 roku o ochronie
informacji niejawnych i rozporządzeniu
Prezesa Rady Ministrów z dnia
20 lipca 2011 roku w sprawie podstawowych wymagań bezpieczeństwa
teleinformatycznego
(Dz.U.2011.159.948)
jest nałożony na kierowników jednostek organizacyjnych obowiązek zapewnienia
bezpieczeństwa informatycznego wszystkim systemom i sieciom informatycznym, w
których przetwarza się informacje niejawne. Obowiązek ten, sprowadza się między
innymi do konieczności opracowywania dokumentacji bezpieczeństwa informatycznego
dla wszystkich systemów i sieci informatycznych, w których przetwarzane są
informacje niejawne.
Zatem pierwszym krokiem na drodze do rozpoczęcia przetwarzania informacji
niejawnych w systemie lub sieci informatycznej jest opracowanie dokumentacji, w
której należy opisać przewidziane do zastosowania (lub zastosowane) środki,
metody zapewniające odpowiednie standardy bezpieczeństwa (w zależności od
klauzuli tajności przetwarzanych tam informacji niejawnych) tym systemom i
sieciom informatycznym.
Na dokumentację tę składają się dokument „Szczególne
Wymagania Bezpieczeństwa”
(SWB) i dokument „Procedury
Bezpieczeństwa”
(PB) – stanowiące integralną całość.
Dokument SWB definiuje zagadnienia bezpieczeństwa
informatycznego dla konkretnego systemu lub sieci informatycznej, określając
środki ochrony (proceduralne, techniczne itd.), które muszą zostać wprowadzone
aby osiągnąć akceptowalny (przez Agencję Bezpieczeństwa Wewnętrznego lub Służbę
Kontrwywiadu Wojskowego) poziom bezpieczeństwa informatycznego.
Dokument
SWB systemu teleinformatycznego powinien zawierać w szczególności wyniki procesu
szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych w
systemie teleinformatycznym oraz określać przyjęte w ramach zarządzania ryzykiem
sposoby osiągania i utrzymywania odpowiedniego poziomu bezpieczeństwa systemu, a
także opisywać aspekty jego budowy, zasady działania i eksploatacji, które mają
związek z bezpieczeństwem systemu lub wpływają na jego bezpieczeństwo. Przebieg
i wyniki procesu szacowania ryzyka mogą zostać przedstawione w odrębnym
dokumencie niż dokument szczególnych wymagań bezpieczeństwa.
Natomiast dokument
PB
jest zbiorem procedur, które należy spełnić w celu realizacji bezpieczeństwa
informatycznego danego sytemu lub sieci informatycznej, który został opracowany
na podstawie SWB.
PB określają również obowiązki użytkowników systemu lub sieci informatycznej
oraz pracowników mających do nich dostęp. Dlatego wszyscy użytkownicy sytemu lub
sieci informatycznej powinni zapoznać się z PB oraz potwierdzić ten fakt
własnoręcznym podpisem. Procedury Bezpieczeństwa z podpisami użytkowników
powinny znajdować się przy każdym autonomicznym systemie komputerowym, aby
umożliwić użytkownikom wgląd do tego dokumentu.
SWB opracowuje się indywidualnie dla każdego sytemu lub sieci
informatycznej po dokonaniu analizy przewidywanych zagrożeń z
uwzględnieniem warunków charakterystycznych dla każdej jednostki organizacyjnej.
Poniżej zostały wymienione przepisy (Prezesa
Rady Ministrów z dnia 20 lipca 2011 roku w sprawie podstawowych wymagań
bezpieczeństwa teleinformatycznego
- Dz.U.2011.159.948),
podające minimalne elementy bezpieczeństwa teleinformatycznego, które powinny
zostać uwzględnione przy opracowaniu szczególnych wymagań bezpieczeństwa.
§ 25.
1. Dokument szczególnych wymagań bezpieczeństwa systemu teleinformatycznego:
1) opracowuje się na etapie projektowania systemu teleinformatycznego, po
przeprowadzeniu wstępnego szacowania ryzyka dla bezpieczeństwa informacji
niejawnych, które mają być przetwarzane w systemie teleinformatycznym, w sposób
uwzględniający specyfikę budowy, charakterystykę systemu teleinformatycznego, a
także warunki charakterystyczne dla jednostki organizacyjnej;
2) bieżąco uzupełnia się na etapie wdrażania systemu teleinformatycznego, po
przeprowadzeniu szacowania ryzyka dla bezpieczeństwa informacji niejawnych z
uwzględnieniem wprowadzonych zabezpieczeń;
3) uaktualnia się na etapie eksploatacji systemu teleinformatycznego, przed
dokonaniem zmian w systemie teleinformatycznym.
2. Dokument szczególnych wymagań bezpieczeństwa zawiera następujące dane:
1) rodzaje oraz klauzule tajności informacji niejawnych, które będą przetwarzane
w systemie teleinformatycznym;
2) grupy użytkowników systemu teleinformatycznego wyodrębnione ze względu na
posiadane uprawnienia do pracy w systemie teleinformatycznym;
3) tryb bezpieczeństwa pracy systemu teleinformatycznego;
4) przeznaczenie i funkcjonalność systemu teleinformatycznego;
5) wymagania eksploatacyjne dla wymiany informacji i połączeń z innymi systemami
teleinformatycznymi;
6) lokalizację systemu teleinformatycznego.
3. W dokumencie szczególnych wymagań bezpieczeństwa zawiera się ponadto
informacje o:
1) metodyce użytej w procesie szacowania ryzyka dla bezpieczeństwa informacji
niejawnych oraz raport z tego procesu;
2) zastosowanych zabezpieczeniach;
3) ryzykach szczątkowych oraz deklaracji ich akceptacji;
4) poświadczeniach bezpieczeństwa lub innych formalnych uprawnieniach do dostępu
do informacji niejawnych, posiadanych przez użytkowników systemu
teleinformatycznego;
5) bezpieczeństwie fizycznym, w tym granicach i lokalizacji stref ochronnych
oraz środkach ich ochrony;
6) ochronie elektromagnetycznej;
7) stosowanych urządzeniach lub narzędziach kryptograficznych;
8) ciągłości działania, w tym tworzeniu kopii zapasowych, odzyskiwaniu systemu
oraz, jeżeli to właściwe, zapewnieniu alternatywnych łączy telekomunikacyjnych
lub urządzeń, a także zasilaniu awaryjnym;
9) ustawieniach konfiguracyjnych systemu teleinformatycznego;
10) utrzymaniu systemu, w tym dokonywaniu przeglądów diagnostycznych i napraw;
11) zapobieganiu incydentom bezpieczeństwa teleinformatycznego, w tym ochronie
przed oprogramowaniem złośliwym;
12) zasadach wprowadzania poprawek lub uaktualnień oprogramowania;
13) ochronie nośników, w tym ich oznaczaniu, dostępie, transporcie, obniżaniu
ich klauzul tajności i niszczeniu;
14) identyfikacji i uwierzytelnieniu użytkowników i urządzeń;
15) kontroli dostępu;
16) audycie wewnętrznym;
17) zarządzaniu ryzykiem w systemie teleinformatycznym;
18) zmianach w systemie teleinformatycznym, w tym dotyczących aktualizacji
dokumentacji bezpieczeństwa systemu teleinformatycznego oraz warunkach ponownej
akredytacji systemu teleinformatycznego i wycofania z eksploatacji.
§ 26.
1. Dokument procedur bezpiecznej eksploatacji:
1) opracowuje się na etapie wdrażania systemu teleinformatycznego, po
przeprowadzeniu szacowania ryzyka dla bezpieczeństwa informacji niejawnych z
uwzględnieniem wprowadzonych zabezpieczeń;
2) uaktualnia się na etapie eksploatacji systemu teleinformatycznego, przed
dokonaniem zmian w systemie teleinformatycznym.
2. W dokumencie procedur bezpiecznej eksploatacji określa się szczegółowy wykaz
procedur bezpieczeństwa wraz z dokładnym opisem sposobu ich wykonania,
realizowanych przez osoby odpowiedzialne za bezpieczeństwo teleinformatyczne
oraz osoby uprawnione do pracy w systemie teleinformatycznym, obejmujący:
1) administrowanie systemem teleinformatycznym oraz zastosowanymi środkami
zabezpieczającymi;
2) bezpieczeństwo urządzeń;
3) bezpieczeństwo oprogramowania;
4) zarządzanie konfiguracją sprzętowo-programową, w tym zasady serwisowania lub
modernizacji oraz wycofywania z użycia elementów systemu teleinformatycznego;
5) plany awaryjne;
6) monitorowanie i audyt systemu teleinformatycznego;
7) zarządzanie nośnikami;
8) zarządzanie materiałami kryptograficznymi;
9) stosowanie ochrony elektromagnetycznej;
10) reagowanie na incydenty bezpieczeństwa teleinformatycznego;
11) szkolenia użytkowników systemu teleinformatycznego dotyczące zasad
korzystania z systemu teleinformatycznego;
12) wprowadzanie danych do systemu i ich wyprowadzanie z systemu.
Należy zaznaczyć, iż zgodnie z zapisami w ww. rozporządzeniu,
w tworzeniu dokumentacji
bezpieczeństwa systemu teleinformatycznego
udział bierze Administrator systemu teleinformatycznego (§ 13), natomiast w
procesie zarządzania ryzykiem w systemie teleinformatycznym
odpowiednio
Administrator
systemu teleinformatycznego (§ 13)
oraz Inspektor bezpieczeństwa teleinformatycznego (§
14).
Tak więc, po raz pierwszy wskazano osoby odpowiedzialne za opracowanie
dokumentacji BTI. Ale czy to wystarczające? Na pewno nie. Celowym wydaje się
powołanie zespołu złożonego z fachowców reprezentujących odpowiednie dyscypliny
nauki, głównie z zakresu informatyki, ochrony informacji niejawnych, ochrony
fizycznej obiektów, zasad kryptografii itd. Dlatego, proponuje się podział
zespołu na dwie grupy. Pierwsza grupa pod przewodnictwem pełnomocnika ochrony
opracowywałaby procedury bezpieczeństwa, natomiast druga pod przewodnictwem
administratora systemu zajęłaby się opracowaniem szczególnych wymagań.
© Opracował: Marek
ANZEL
|