Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

A GENCJA B EZPIECZEŃSTWA W EWNĘTRZNEGO D EPARTAMENT B EZPIECZEŃSTWA T ELE I NFORMATYCZNEGO 1 JAWNE Zarys formalno – prawnych aspektów przetwarzania informacji.

Podobne prezentacje


Prezentacja na temat: "A GENCJA B EZPIECZEŃSTWA W EWNĘTRZNEGO D EPARTAMENT B EZPIECZEŃSTWA T ELE I NFORMATYCZNEGO 1 JAWNE Zarys formalno – prawnych aspektów przetwarzania informacji."— Zapis prezentacji:

1 A GENCJA B EZPIECZEŃSTWA W EWNĘTRZNEGO D EPARTAMENT B EZPIECZEŃSTWA T ELE I NFORMATYCZNEGO 1 JAWNE Zarys formalno – prawnych aspektów przetwarzania informacji niejawnych w systemach teleinformatycznych Autor: Adam ZIĘBA

2 A GENCJA B EZPIECZEŃSTWA W EWNĘTRZNEGO D EPARTAMENT B EZPIECZEŃSTWA T ELE I NFORMATYCZNEGO 2 JAWNE Plan prezentacji n Podstawy prawne ochrony informacji niejawnych n Kluczowe pojęcia n Główne zasady ochrony informacji niejawnych n Ochrona informacji niejawnych w systemach i sieciach teleinformatycznych

3 A GENCJA B EZPIECZEŃSTWA W EWNĘTRZNEGO D EPARTAMENT B EZPIECZEŃSTWA T ELE I NFORMATYCZNEGO 3 JAWNE Podstawy prawne ochrony informacji niejawnych n Ustawa z dnia 22 stycznia 1999r. o ochronie informacji niejawnych (t. j. - Dz. U. Nr 196, poz. 1631) – [UOIN] n Rozporządzenie Prezesa RM z dnia 25 sierpnia 2005r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz.U. Nr 171, poz. 1433) – [RPWB]

4 A GENCJA B EZPIECZEŃSTWA W EWNĘTRZNEGO D EPARTAMENT B EZPIECZEŃSTWA T ELE I NFORMATYCZNEGO 4 JAWNE Kluczowe pojęcia - informacje niejawne Informacje niejawne (IN) – informacje, które wymagają ochrony przed nieuprawnionym ujawnieniem, jako stanowiące tajemnicę państwową lub służbową, niezależnie od formy i sposobu ich wyrażania, także w trakcie ich opracowywania ( Art. 1 ust. 1 UOIN) Informacje niejawne (IN) – informacje, które wymagają ochrony przed nieuprawnionym ujawnieniem, jako stanowiące tajemnicę państwową lub służbową, niezależnie od formy i sposobu ich wyrażania, także w trakcie ich opracowywania ( Art. 1 ust. 1 UOIN)

5 A GENCJA B EZPIECZEŃSTWA W EWNĘTRZNEGO D EPARTAMENT B EZPIECZEŃSTWA T ELE I NFORMATYCZNEGO 5 JAWNE Główne zasady ochrony IN n IN mogą być udostępniane wyłącznie osobie uprawnionej do dostępu do IN o określonej klauzuli tajności. n IN muszą być przetwarzane w warunkach uniemożliwiających ich nieuprawnione ujawnienie. n IN mogą być przetwarzane w bezpiecznych systemach i sieciach teleinformatycznych. n IN stanowiące TS oznaczone klauzulą zastrzeżone są chronione zgodnie ze szczegółowymi wymaganiami w/z ochrony tego typu IN opracowanymi przez pełnomocnika ochrony i zatwierdzonymi przez kierownika JO.

6 A GENCJA B EZPIECZEŃSTWA W EWNĘTRZNEGO D EPARTAMENT B EZPIECZEŃSTWA T ELE I NFORMATYCZNEGO 6 JAWNE Dostęp do informacji niejawnych - zasada wiedzy uzasadnionej n IN mogą być udostępniane wyłącznie osobie dającej rękojmię zachowania tajemnicy i tylko w zakresie niezbędnym do wykonywania przez nią pracy lub pełnienia służby na zajmowanym stanowisku albo innej zleconej pracy (tzw. zasada wiedzy uzasadnionej) - Art. 3 UOIN

7 A GENCJA B EZPIECZEŃSTWA W EWNĘTRZNEGO D EPARTAMENT B EZPIECZEŃSTWA T ELE I NFORMATYCZNEGO 7 JAWNE Ochrona informacji niejawnych przetwarzanych w systemach i sieciach TI w systemach i sieciach TI

8 A GENCJA B EZPIECZEŃSTWA W EWNĘTRZNEGO D EPARTAMENT B EZPIECZEŃSTWA T ELE I NFORMATYCZNEGO 8 JAWNE Kluczowe pojęcia n system teleinformatyczny (system TI) - system, który tworzą urządzenia, narzędzia, metody postępowania i procedury stosowane przez wyspecjalizowanych pracowników, w sposób zapewniający wytwarzanie, przechowywanie, przetwarzanie lub przekazywanie informacji (Art. 2 pkt 8 UOIN) n sieć teleinformatyczna (sieć TI) - organizacyjne i techniczne połączenie systemów TI(Art. 2 pkt 9 UOIN)

9 A GENCJA B EZPIECZEŃSTWA W EWNĘTRZNEGO D EPARTAMENT B EZPIECZEŃSTWA T ELE I NFORMATYCZNEGO 9 JAWNE Kluczowe pojęcia n Dokumentacja bezpieczeństwa systemu lub sieci TI – są Szczególne Wymagania Bezpieczeństwa oraz Procedury Bezpiecznej Eksploatacji danego systemu (…) (Art. 2 pkt 11 UOIN) n incydent bezpieczeństwa TI - należy przez to rozumieć każde zdarzenie naruszające bezpieczeństwo TI spowodowane w szczególności awarią systemu lub sieci TI, działaniem osób uprawnionych lub nieuprawnionych do pracy w tym systemie lub sieci albo zaniechaniem osób uprawnionych (§ 2 pkt 1 RWB)

10 A GENCJA B EZPIECZEŃSTWA W EWNĘTRZNEGO D EPARTAMENT B EZPIECZEŃSTWA T ELE I NFORMATYCZNEGO 10 JAWNE Powinności kierownika jednostki organizacyjnej 1/2 opracowanie i przekazanie SOP dokumentacji bezpieczeństwa TI (art. 61 ust. 3 UOIN) opracowanie i przekazanie SOP dokumentacji bezpieczeństwa TI (art. 61 ust. 3 UOIN) wyznaczenie administratora systemu i inspektora bezpieczeństwa TI (art. 64 ust. 1 UOIN) wyznaczenie administratora systemu i inspektora bezpieczeństwa TI (art. 64 ust. 1 UOIN) właściwa oraz bezpieczna eksploatacja systemów i sieci TI (art. 61 ust. 3 UOIN) właściwa oraz bezpieczna eksploatacja systemów i sieci TI (art. 61 ust. 3 UOIN)

11 A GENCJA B EZPIECZEŃSTWA W EWNĘTRZNEGO D EPARTAMENT B EZPIECZEŃSTWA T ELE I NFORMATYCZNEGO 11 JAWNE Powinności kierownika jednostki organizacyjnej 2/2 realizacja ochrony fizycznej, elektromagnetycznej i kryptograficznej systemu lub sieci TI; realizacja ochrony fizycznej, elektromagnetycznej i kryptograficznej systemu lub sieci TI; zapewnianie niezawodność transmisji oraz kontroli dostępu do urządzeń systemu lub sieci TI; zapewnianie niezawodność transmisji oraz kontroli dostępu do urządzeń systemu lub sieci TI; dokonywanie analizy stanu bezpieczeństwa TI oraz zapewnianie usunięcia stwierdzonych nieprawidłowości; dokonywanie analizy stanu bezpieczeństwa TI oraz zapewnianie usunięcia stwierdzonych nieprawidłowości; zapewnianie przeszkolenia z zakresu bezpieczeństwa TI dla osób uprawnionych do pracy w systemie lub sieci TI; zapewnianie przeszkolenia z zakresu bezpieczeństwa TI dla osób uprawnionych do pracy w systemie lub sieci TI; zawiadamianie właściwej SOP o zaistniałym incydencie bezpieczeństwa TI dotyczącym IN oznaczonych co najmniej klauzulą "poufne". zawiadamianie właściwej SOP o zaistniałym incydencie bezpieczeństwa TI dotyczącym IN oznaczonych co najmniej klauzulą "poufne".

12 A GENCJA B EZPIECZEŃSTWA W EWNĘTRZNEGO D EPARTAMENT B EZPIECZEŃSTWA T ELE I NFORMATYCZNEGO 12 JAWNE Administrator Systemu (AS) i Inspektor Bezpieczeństwa Teleinformatycznego (IBTI) n Administrator systemu – osoba lub zespół osób odpowiedzialnych za funkcjonowanie systemu/sieci TI oraz za przestrzeganie zasad i wymagań bezpieczeństwa TI(art. 64 ust. 1 pkt 1 UOIN) n Inspektor bezpieczeństwa teleinformatycznego – pracownik lub pracownicy pionu ochrony odpowiedzialni za bieżącą kontrolę zgodności funkcjonowania sieci/systemu TI ze SWB oraz za kontrolę przestrzegania PBE (art. 64 ust. 1 pkt 2 UOIN)

13 A GENCJA B EZPIECZEŃSTWA W EWNĘTRZNEGO D EPARTAMENT B EZPIECZEŃSTWA T ELE I NFORMATYCZNEGO 13 JAWNE Rola służb ochrony państwa n akredytacja systemów i sieci TI, w których mają być przetwarzane IN - akredytacja bezpieczeństwa TI (art. 60 ust.1 UOIN) n badania i certyfikacja urządzeń i narzędzi kryptograficznych, służących do ochrony IN stanowiących TP lub TS oznaczonych klauzulą poufne – certyfikat ochrony kryptograficznej (art. 60 ust. 3 UOIN) n udzielanie kierownikom JO pomocy niezbędnej dla realizacji ich zadań – zalecenia w zakresie bezpieczeństwa TI (art. 64 ust. 3 UOIN)

14 A GENCJA B EZPIECZEŃSTWA W EWNĘTRZNEGO D EPARTAMENT B EZPIECZEŃSTWA T ELE I NFORMATYCZNEGO 14 JAWNE n Bezpieczeństwo teleinformatyczne: –ochrona fizyczna (strefy bezpieczeństwa, środki zabezpieczające pomieszczenia) - §5 Rozporządzenia –ochrona elektromagnetyczna (strefy bezpieczeństwa lub urządzenia o obniżonej emisji lub ekranowanie) - §6 Rozporządzenia –ochrona kryptograficzna (szyfrowanie i inne mechanizmy zapewniające poufność, integralność, uwierzytelnienie) - §7 Rozporządzenia –bezpieczeństwo transmisji (kontrola dostępu lub szyfrowanie przy podłączeniu do powszechnie dostępnej sieci) §8 Rozporządzenia –kontrola dostępu (uprawnienia, hasła i mechanizmy kontroli dostępu) §9 Rozporządzenia Bezpieczeństwo teleinformatyczne systemów i sieci TI przetwarzających IN 1/3

15 A GENCJA B EZPIECZEŃSTWA W EWNĘTRZNEGO D EPARTAMENT B EZPIECZEŃSTWA T ELE I NFORMATYCZNEGO 15 JAWNE n Podstawowe wymagania: –przetwarzanie IN w strefie administracyjnej, strefie bezpieczeństwa lub specjalnej strefie bezpieczeństwa chronionych elektromagnetycznie - §5 §6 Rozporządzenia –przekazywanie IN poza strefy kontrolowanego dostępu - wymaga ochrony kryptograficznej - §7 ust.2 Rozporządzenia –przekazywanie IN na nośnikach poza strefy kontrolowanego dostępu - pod warunkiem stosowania ochrony kryptograficznej lub spełnienie wymagań o których mowa w przepisach w sprawie trybu i sposobu przyjmowania, przewożenia itd. - §7 ust.3 Rozporządzenia –§8 rozporządzenia - niezawodność transmisji polega na zapewnieniu integralności i dostępności IN, np. poprzez zapasowe łącze telekomunikacyjne. Bezpieczeństwo teleinformatyczne systemów i sieci TI przetwarzających IN 2/3

16 A GENCJA B EZPIECZEŃSTWA W EWNĘTRZNEGO D EPARTAMENT B EZPIECZEŃSTWA T ELE I NFORMATYCZNEGO 16 JAWNE –Kontrola dostępu - §9 ust.1 pkt1 Rozporządzenia – kierownik JO określa warunki i sposób przydzielania uprawnień do pracy w systemie, pkt2. Administrator określa warunki oraz sposób przydzielania kont i zapewnia mechanizmy kontroli dostępu, §9 ust.2 mechanizmy kontroli dostępu są zależne od klauzuli tajności IN) –jedna osoba nie może posiadać niekontrolowanego dostępu do wszystkich zasobów systemu przetwarzającego tajemnicę państwową (§ 10) –SOP mogą dopuścić do stosowania rozwiązania spełniające właściwe wymagania bezpieczeństwa posiadające certyfikat krajowej władzy bezpieczeństwa (Nato, UE)- § 11 Bezpieczeństwo teleinformatyczne systemów i sieci TI przetwarzających IN 3/3

17 A GENCJA B EZPIECZEŃSTWA W EWNĘTRZNEGO D EPARTAMENT B EZPIECZEŃSTWA T ELE I NFORMATYCZNEGO 17 JAWNE Dokumentacja bezpieczeństwa 1/4 n Opis systemu TI przetwarzającego informacje niejawne zawarty jest wyłącznie w dokumentacji bezpieczeństwa na którą składają się: - SWB – Szczególne Wymagania Bezpieczeństwa - PBE – Procedury Bezpiecznej Eksploatacji n Na podstawie SWB i PBE następuje akredytacja i dopuszczenie systemu do pracy. (art. 60 ust. 1 ustawy)

18 A GENCJA B EZPIECZEŃSTWA W EWNĘTRZNEGO D EPARTAMENT B EZPIECZEŃSTWA T ELE I NFORMATYCZNEGO 18 JAWNE Dokumentacja bezpieczeństwa 2/4 n Czym powinny być dokumenty SWB i PBE ? powinny być KOMPLETNYM I WYCZERPUJĄCYM opisem budowy, zasad działania i eksploatacji. (art. 61 ust. 1 ustawy) n Co zawiera SWB ? Dane o budowie oraz charakterystykę systemu (§ 13 ust. 1 rozporządzenia) n Co zawierają PBE ? Szczegółowy wykaz czynności oraz sposób ich wykonywania. (§ 15 ust. 1 rozporządzenia)

19 A GENCJA B EZPIECZEŃSTWA W EWNĘTRZNEGO D EPARTAMENT B EZPIECZEŃSTWA T ELE I NFORMATYCZNEGO 19 JAWNE Dokumentacja bezpieczeństwa 3/4 Jak poprawnie napisać dokumentację bezpieczeństwa ? Jak poprawnie napisać dokumentację bezpieczeństwa ? Po analizie ryzyka, która da odpowiedź na temat przewidywanego poziomu i kierunków zagrożeń dla przetwarzanych informacji niejawnych, indywidualnie dla każdego systemu uwzględniając specyfikę jednostki należy wyartykułować dane: Po analizie ryzyka, która da odpowiedź na temat przewidywanego poziomu i kierunków zagrożeń dla przetwarzanych informacji niejawnych, indywidualnie dla każdego systemu uwzględniając specyfikę jednostki należy wyartykułować dane: - w stosunku do SWB obejmujące zagadnienia opisane w § 13 ust i § 14 rozporządzenia. - w stosunku do SWB obejmujące zagadnienia opisane w § 13 ust i § 14 rozporządzenia. - w stosunku do PBE obejmujące zagadnienia opisane w § 15 ust. 2 rozporządzenia. - w stosunku do PBE obejmujące zagadnienia opisane w § 15 ust. 2 rozporządzenia.

20 A GENCJA B EZPIECZEŃSTWA W EWNĘTRZNEGO D EPARTAMENT B EZPIECZEŃSTWA T ELE I NFORMATYCZNEGO 20 JAWNE Dokumentacja bezpieczeństwa 4/4 Wykorzystać w procesie jej tworzenia zalecenia SOP: - Szczegółowe zalecenia dotyczące opracowywania dokumentów SWB dla systemów i sieci teleinformatycznych. - Szczegółowe zalecenia dotyczące opracowywania dokumentów SWB dla systemów i sieci teleinformatycznych. - Szczegółowe zalecenia dotyczące opracowywania dokumentów PBE systemów i sieci teleinformatycznych. - Szczegółowe zalecenia dotyczące opracowywania dokumentów PBE systemów i sieci teleinformatycznych.

21 A GENCJA B EZPIECZEŃSTWA W EWNĘTRZNEGO D EPARTAMENT B EZPIECZEŃSTWA T ELE I NFORMATYCZNEGO 21 JAWNE Akredytacja systemu TI 1/2 1.Przesłanie do ABW dokumentacji SWB oraz PBE celem jej zatwierdzenia (art. 60 ust. 2 ustawy). 2.Dla systemów przetwarzających tajemnicę służbową brak zastrzeżeń uprawnia do przejścia do kolejnego fazy budowy (art. 60 ust. 5 ustawy). Czas odpowiedzi to 30 dni od dnia ich przedstawienia.

22 A GENCJA B EZPIECZEŃSTWA W EWNĘTRZNEGO D EPARTAMENT B EZPIECZEŃSTWA T ELE I NFORMATYCZNEGO 22 JAWNE Akredytacja systemu TI 2/2 1.Dla systemów przetwarzających tajemnice państwową indywidualne zatwierdzenie dokumentacji bezpieczeństwa w terminie 30 dni od dnia ich otrzymania Po zatwierdzeniu dokumentacji bezpieczeństwa należy wystąpić z wnioskiem WA (do pobrania ze strony internetowej) o przeprowadzenie audytu bezpieczeństwa systemu. Audyt przeprowadza się tylko dla systemów przetwarzających tajemnicę państwową. Po pozytywnym audycie i otrzymaniu certyfikatu akredytacji bezpieczeństwa TI dla systemu można rozpocząć przetwarzanie informacji niejawnych (art. 60 ust. 5 ustawy).

23 A GENCJA B EZPIECZEŃSTWA W EWNĘTRZNEGO D EPARTAMENT B EZPIECZEŃSTWA T ELE I NFORMATYCZNEGO 23 JAWNE

24 A GENCJA B EZPIECZEŃSTWA W EWNĘTRZNEGO D EPARTAMENT B EZPIECZEŃSTWA T ELE I NFORMATYCZNEGO 24 JAWNE Eksploatacja systemu TI 1.W okresie tym należy bezwzględnie przestrzegać zapisów zawartych w dokumentacji bezpieczeństwa za co odpowiedzialny jest kierownik jednostki organizacyjnej. 2.Dokumentacja SWB i PBE podlega dalszym i ciągłym modyfikacjom a w przypadku zmian mających wpływ na bezpieczeństwo danych (przed ich dokonaniem), musi być przesłana do ponownego zatwierdzenia przez SOP (art. 61 ust. 2 i 3).

25 A GENCJA B EZPIECZEŃSTWA W EWNĘTRZNEGO D EPARTAMENT B EZPIECZEŃSTWA T ELE I NFORMATYCZNEGO 25 JAWNE PODSUMOWANIE Bezpieczeństwo systemów i sieci TI zapewnia się przez spełnienie standardów wynikających z: 1. Akredytacji bezpieczeństwa TI, 2. Certyfikatu dla urządzeń i narzędzi kryptograficznych, 3. Certyfikatu akredytacji bezpieczeństwa TI. SWB i PBE opracowuje się w celu: n określenia i udokumentowania zasad bezpieczeństwa oraz reguł i środków ochrony zapewniających bezpieczne przetwarzanie informacji niejawnych w systemie TI. n Podania w jaki sposób bezpieczeństwo teleinformatyczne jest osiągane, zarządzane i kontrolowane. n Przedstawienia kolejnych etapów w procesie ewolucyjnego rozwoju systemu/sieci TI. n Dokonania akredytacji systemu TI (dopuszczenia do przetwarzania IN) - co stanowi wiążące porozumienie pomiędzy kierownikiem JO eksploatującej system TI a służbą ochrony państwa oceniającej bezpieczeństwo teleinformatyczne.

26 A GENCJA B EZPIECZEŃSTWA W EWNĘTRZNEGO D EPARTAMENT B EZPIECZEŃSTWA T ELE I NFORMATYCZNEGO 26 JAWNE Dziękuję za uwagę


Pobierz ppt "A GENCJA B EZPIECZEŃSTWA W EWNĘTRZNEGO D EPARTAMENT B EZPIECZEŃSTWA T ELE I NFORMATYCZNEGO 1 JAWNE Zarys formalno – prawnych aspektów przetwarzania informacji."

Podobne prezentacje


Reklamy Google