Praktyczne aspekty procesu opracowywania dokumentów 2002-09-11 II Krajowa Konferencja Ogólnopolskiego Stowarzyszenia Pełnomocników Ochrony Informacji Niejawnych Praktyczne aspekty procesu opracowywania dokumentów Szczególnych Wymagań Bezpieczeństwa oraz Procedur Bezpiecznej Eksploatacji Prelegent: kpt. Piotr Berkieta Miedzeszyn – 10 października 2002 r. JAWNE

2002-09-11 Plan wystąpienia Dokumenty SWB i PBE w świetle przepisów rozdziału 10 [UOIN] Praktyczne uwagi związane z opracowywaniem dokumentów SWB Praktyczne uwagi związane z opracowywaniem dokumentów PBE Zadania DBTI ABW wynikające z [UOIN] Performing a content of above articles we find as necessary to create set of guides and guidelines, that will help Security Officers, Systems Administrators and users to implement and maintain security measures. JAWNE

Wykaz skrótów IN – informacje niejawne 2002-09-11 Wykaz skrótów IN – informacje niejawne SWB – Szczególne Wymagania Bezpieczeństwa PBE – Procedury Bezpiecznej Eksploatacji SWBŚ – Szczególne Wymagania Bezpieczeństwa Środowiska SWBPM – Szczególne Wymagania Bezpieczeństwa Połączeń Międzysystemowych UOIN – ustawa z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych RPWB – rozporządzenia Prezesa rady Ministrów z dnia 25 lutego 1999 r. w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych System TI – system teleinformatyczny Sieć TI – sieć teleinformatyczna SOP – Służba Ochrony Państwa Inspektor BTI – Inspektor Bezpieczeństwa Teleinformatycznego Performing a content of above articles we find as necessary to create set of guides and guidelines, that will help Security Officers, Systems Administrators and users to implement and maintain security measures. JAWNE

2002-09-11 Rola dokumentu SWB Eksploatacja systemów i sieci TI przetwarzających IN niejawne może odbywać się wyłącznie na podstawie indywidualnych dokumentów SWB – art. 60, 61, 62 [UOIN] Dokument SWB powinien być kompletnym i wyczerpującym opisem budowy, zasad działania i eksploatacji systemu lub sieci TI a także zawierać procedury bezpieczeństwa obejmujące zasady i tryb postępowania w sprawach związanych z bezpieczeństwem informacji niejawnych oraz określające zakres odpowiedzialności użytkowników i pracowników mających dostęp do systemu lub sieci TI - art. 60 ust. 3 [UOIN] Kompletny zbiór procedur bezpieczeństwa powinien zostać przedstawiony w dokumencie PBE Dokument SWB powinien być opracowany na etapie projektowania a następnie rozwijany i uzupełniany na etapach wdrażania, eksploatacji i modernizacji systemu lub sieci TI - art. 60 ust. 3 [UOIN], § 14 ust. 2 [RPWB] Performing a content of above articles we find as necessary to create set of guides and guidelines, that will help Security Officers, Systems Administrators and users to implement and maintain security measures. JAWNE

Odpowiedzialność za opracowanie dokumentów SWB i PBE 2002-09-11 Odpowiedzialność za opracowanie dokumentów SWB i PBE Odpowiedzialność za opracowanie dokumentacji bezpieczeństwa teleinformatycznego oraz jej przekazanie do akredytacji właściwej SOP ponosi kierownik jednostki organizacyjnej – art. 61 ust. 1 [UOIN] Kierownik jednostki organizacyjnej odpowiedzialny jest także za zapewnienie warunków bezpieczeństwa teleinformatycznego przed przystąpieniem do przetwarzania informacji niejawnych w systemie lub sieci TI (§ 3 [RPWB]) oraz za eksploatację i bezpieczeństwo systemu lub sieci TI (art. 60 ust. 3 [UOIN]) Performing a content of above articles we find as necessary to create set of guides and guidelines, that will help Security Officers, Systems Administrators and users to implement and maintain security measures. JAWNE

Tryb akredytacji dokumentów SWB i PBE 2002-09-11 Tryb akredytacji dokumentów SWB i PBE Dokumentacja bezpieczeństwa teleinformatycznego opracowana dla systemów lub sieci TI w których mają być przetwarzane IN stanowiące tajemnicę państwową musi być indywidualnie zatwierdzona przez SOP w trybie art. 61 ust. 2 [UOIN] Do dokumentacji bezpieczeństwa teleinformatycznego opracowanej dla systemów lub sieci TI w których mają być przetwarzane IN stanowiące tajemnicę służbową, SOP ma prawo wniesienia zastrzeżeń w trybie art. 61 ust. 2 [UOIN] Performing a content of above articles we find as necessary to create set of guides and guidelines, that will help Security Officers, Systems Administrators and users to implement and maintain security measures. JAWNE

Tryb dopuszczenia do eksploatacji systemów i sieci TI 2002-09-11 Tryb dopuszczenia do eksploatacji systemów i sieci TI Rozpoczęcie eksploatacji systemu lub sieci TI, w których będą przetwarzane IN stanowiące tajemnicę państwową może nastąpić po wydaniu przez właściwą SOP certyfikatu akredytacji - art. 62 ust. 1 [UOIN] Rozpoczęcie eksploatacji systemu lub sieci TI, w których będą przetwarzane IN stanowiące tajemnicę służbową może nastąpić po uzgodnieniu treści dokumentacji (poinformowaniu przez SOP kierownika jednostki organizacyjnej o nie wniesieniu zastrzeżeń do treści przekazanej dokumentacji) - art. 62 ust. 1 [UOIN] Performing a content of above articles we find as necessary to create set of guides and guidelines, that will help Security Officers, Systems Administrators and users to implement and maintain security measures. JAWNE

Warunki wydania certyfikatu akredytacji 2002-09-11 Warunki wydania certyfikatu akredytacji Zatwierdzenie dokumentów SWB i PBE Uzyskanie przez użytkowników wymaganych poświadczeń bezpieczeństwa osobowego Przeprowadzenie audytu – oceny zdolności systemu lub sieci TI do ochrony IN przed nieuprawnionym ujawnieniem oraz przed możliwością narażenia ich bezpieczeństwa Podstawa prawna – art. 62 ust. 2 [UOIN] Performing a content of above articles we find as necessary to create set of guides and guidelines, that will help Security Officers, Systems Administrators and users to implement and maintain security measures. JAWNE

Uwagi dotyczące opracowywania dokumentów 2002-09-11 Uwagi dotyczące opracowywania dokumentów Szczególne Wymagania Bezpieczeństwa Jak to robić ? Performing a content of above articles we find as necessary to create set of guides and guidelines, that will help Security Officers, Systems Administrators and users to implement and maintain security measures. JAWNE

Zdefiniowanie koncepcji opracowywania dokumentacji bezpieczeństwa TI 2002-09-11 Zdefiniowanie koncepcji opracowywania dokumentacji bezpieczeństwa TI Określenie obszarów funkcjonowania jednostki organizacyjnej w których występują IN Określenie zasad klasyfikowania (klauzul) IN Określenie rzeczywistych potrzeb jednostki organizacyjnej (instytucji) w zakresie przetwarzania IN w postaci elektronicznej Środki teleinformatyczne (hardware i software), które będą wykorzystywane do przetwarzania IN Wzajemne relacje zachodzące pomiędzy lokalizacjami, w których odbywa się przetwarzanie IN (pojedyncze stanowiska, LAN, WAN + LAN-y) Wybór strategii opracowywania dokumentacji bezpieczeństwa (indywidualne SWBS, SWBŚ + SWBS na poziomie lokalnym, a może SWBPM) Performing a content of above articles we find as necessary to create set of guides and guidelines, that will help Security Officers, Systems Administrators and users to implement and maintain security measures. JAWNE

2002-09-11 Opracowywanie dokumentu SWB w różnych fazach cyklu życia systemu lub sieci TI Dokument SWB powinien być opracowany już na etapie projektowania systemu lub sieci TI Kolejne wersje dokumentu SWB opracowywane są wraz z postępem prac nad systemem lub siecią TI i dokumentują etapy wdrażania, eksploatacji i modernizacji systemu lub sieci TI Przygotowanie od razu ostatecznej wersji dokumentu SWB niesie ryzyko niewłaściwego przeprowadzenia procesu projektowania środków zabezpieczających i może spowodować konieczność poniesienia dodatkowych kosztów Dokument PBE powinien być opracowany na etapie wdrażania systemu lub sieci TI Performing a content of above articles we find as necessary to create set of guides and guidelines, that will help Security Officers, Systems Administrators and users to implement and maintain security measures. JAWNE

Konieczność przeprowadzenia analizy zagrożeń 2002-09-11 Konieczność przeprowadzenia analizy zagrożeń Analiza zagrożeń powinna być przeprowadzona przed opracowaniem SWB indywidualnie dla każdego systemu lub sieci TI z uwzględnieniem warunków charakterystycznych dla jednostki organizacyjnej - § 14 ust. 1 [RPWB] Analiza zagrożeń musi być przeprowadzona bez względu na klauzulę planowanych do przetwarzania IN Analiza zagrożeń stanowi podstawę zdefiniowania wymagań bezpieczeństwa jakie spełnić musi konkretny system lub sieć TI Wyniki analizy ryzyka (proces określania zagrożeń i szacowania ich podatności) stanowią podstawę racjonalnego i efektywnego doboru środków zabezpieczających i procedur bezpieczeństwa dla systemu i sieci TI Performing a content of above articles we find as necessary to create set of guides and guidelines, that will help Security Officers, Systems Administrators and users to implement and maintain security measures. JAWNE

Opis systemu lub sieci TI 2002-09-11 Opis systemu lub sieci TI Wskazanie kategorii użytkowników systemu lub sieci TI (np. administrator, inspektor BTI, „zwykli” użytkownicy) oraz dokładne zdefiniowanie ich uprawnień Przeniesienie powyższej koncepcji na poziom zastosowanego systemu operacyjnego Dokładny opis architektury systemu lub sieci TI (opis elementów funkcjonalnych - urządzeń, oprogramowania systemowego, użytkowego oraz układowego, konfiguracji węzłów sieci, wykorzystywanych protokołów, itd.) oraz koncepcji jego funkcjonowania Topologia sieci TI – szkic w załączniku do SWB Performing a content of above articles we find as necessary to create set of guides and guidelines, that will help Security Officers, Systems Administrators and users to implement and maintain security measures. JAWNE

2002-09-11 Zdefiniowanie minimalnych wymagań bezpieczeństwa wynikających z [UOIN] i [RPWB] Zdefiniowanie minimalnych wymagań bezpieczeństwa odpowiednich do przewidywanej maksymalnej klauzuli przetwarzanych IN jest podstawą projektowania środków zabezpieczających Przykłady: Ochrona fizyczna – art. 57 [UOIN], § 5 – 6 [RPWB] Ochrona kryptograficzna – art. 60 ust. 2 i 2a [UOIN], § 8 – 10 [RPWB] Ochrona elektromagnetyczna - § 7 [RPWB] Bezpieczeństwo transmisji - § 11 [RPWB] Kontrola dostępu - § 12 – 13 [RPWB] Spełnienie minimalnych wymagań bezpieczeństwa w systemie lub sieci TI jest podstawą pozytywnej oceny przez SOP dokumentacji bezpieczeństwa teleinformatycznego Performing a content of above articles we find as necessary to create set of guides and guidelines, that will help Security Officers, Systems Administrators and users to implement and maintain security measures. JAWNE

Wybór właściwego trybu bezpieczeństwa 2002-09-11 Wybór właściwego trybu bezpieczeństwa Duże trudności autorom realizowanych projektów sprawia wybór trybu bezpieczeństwa systemu (dedykowany, systemowo-podwyższony, wielopoziomowy) Wybór trybu bezpieczeństwa implikuje konieczność stosowania określonych urządzeń lub narzędzi sprzętowych lub programowych (np. system operacyjny, rozwiązania kryptograficzne, środki ochrony fizycznej, itp.) Zmiana trybu bezpieczeństwa na etapie wdrażania systemu lub sieci TI powoduje konieczność ponownego zaprojektowania środków zabezpieczających oraz przeanalizowania zagrożeń Performing a content of above articles we find as necessary to create set of guides and guidelines, that will help Security Officers, Systems Administrators and users to implement and maintain security measures. JAWNE

2002-09-11 Zdefiniowanie dodatkowych wymagań bezpieczeństwa dla systemu lub sieci TI Dodatkowe wymagania bezpieczeństwa dla systemu lub sieci TI są m.in. następstwem procesu analizy ryzyka Wymagania dotyczące certyfikacji niektórych elementów składających się na system lub sieć TI (np. środki ochrony elektromagnetycznej, urządzenia kryptograficzne) Wymagania dotyczące posiadania przez środki ochrony fizycznej odpowiednich certyfikatów lub świadectw kwalifikacyjnych Wymagany poziom pewności (np. E2 lub EAL 3) dla systemu operacyjnego Performing a content of above articles we find as necessary to create set of guides and guidelines, that will help Security Officers, Systems Administrators and users to implement and maintain security measures. JAWNE

Właściwe zdefiniowanie środowisk bezpieczeństwa 2002-09-11 Właściwe zdefiniowanie środowisk bezpieczeństwa Opis środowisk bezpieczeństwa (globalne, lokalne i elektroniczne) powinien dostarczać m.in. szczegółowych informacji związanych z lokalizacją budynku i usytuowaniem w nim strefy lub stref bezpieczeństwa oraz zastosowanych środków ochrony fizycznej Celowość dołączenia do dokumentu SWB 3 szkiców (rysunków) Położenie budynku Lokalizacja strefy / stref bezpieczeństwa Usytuowanie stanowisk TI lub innych urządzeń w obrębie strefy / stref bezpieczeństwa W opisie środowiska elektronicznego powinny być przedstawione mechanizmy lub funkcje zabezpieczające ( zapewniające np. identyfikację, uwierzytelnienie, rozliczalność użytkowników, itp.) oferowane przez system operacyjny lub wykorzystywane aplikacje a także rozwiązania sprzętowe Opis konfiguracji zastosowanych rozwiązań programowych (np. systemu operacyjnego – w załączniku) Performing a content of above articles we find as necessary to create set of guides and guidelines, that will help Security Officers, Systems Administrators and users to implement and maintain security measures. JAWNE

Opis środków zabezpieczających 2002-09-11 Opis środków zabezpieczających Zdefiniowanie tzw. „twierdzeń ogólnych” – czyli zasad (reguł) bezpieczeństwa, będących podstawą organizacji i funkcjonowania systemu lub sieci TI Opis środków zabezpieczających zastosowanych w poszczególnych środowiskach bezpieczeństwa – krótka charakterystyka, spełnianie norm lub standardów Kompletność i komplementarność opisu projektowanych środków zabezpieczających w poszczególnych aspektach bezpieczeństwa, np. poufność, uwierzytelnienie, rozliczalność, audyt, itd. Performing a content of above articles we find as necessary to create set of guides and guidelines, that will help Security Officers, Systems Administrators and users to implement and maintain security measures. JAWNE

Rola załączników do dokumentów SWB i PBE 2002-09-11 Rola załączników do dokumentów SWB i PBE Wszelkie informacje, które mogą w trakcie eksploatacji systemu lub sieci TI podlegać zmianom (np. wykaz stanowisk i lokalizacji sieci TI, wykaz osób odpowiedzialnych za funkcjonowanie i bezpieczeństwo, architektura i konfiguracja) należy umieszczać w załącznikach do dokumentów SWB i PBE W przypadku konieczności wprowadzenia zmian modyfikacji podlegają załączniki a nie treść samego dokumentu SWB lub PBE Wyznaczenie osoby odpowiedzialnej za uaktualnianie dokumentacji bezpieczeństwa teleinformatycznego (np. Inspektor BTI) Performing a content of above articles we find as necessary to create set of guides and guidelines, that will help Security Officers, Systems Administrators and users to implement and maintain security measures. JAWNE

Uwagi dotyczące opracowywania dokumentów 2002-09-11 Uwagi dotyczące opracowywania dokumentów Procedury Bezpiecznej Eksploatacji Jak to robić ? Performing a content of above articles we find as necessary to create set of guides and guidelines, that will help Security Officers, Systems Administrators and users to implement and maintain security measures. JAWNE

Potrzeba opracowania i rola dokumentu PBE 2002-09-11 Potrzeba opracowania i rola dokumentu PBE Dokument PBE przedstawia opis implementacji zasad, wymagań i standardów bezpieczeństwa opisanych w dokumencie SWB Zawiera wykazy czynności (algorytmy postępowania) osób odpowiedzialnych za funkcjonowanie i bezpieczeństwo systemu lub sieci TI oraz ich użytkowników Dokument PBE ma za zadanie dostarczyć użytkownikom systemu lub sieci TI informacji dotyczących wymaganych do realizacji czynności (np. procedura uruchamiania stanowiska TI), zakazu podejmowania określonych działań (np. używania prywatnych nośników), zakresu ponoszonej przez nich odpowiedzialności Performing a content of above articles we find as necessary to create set of guides and guidelines, that will help Security Officers, Systems Administrators and users to implement and maintain security measures. JAWNE

Praktyczne uwagi dotyczące treści dokumentów PBE (1/2) 2002-09-11 Praktyczne uwagi dotyczące treści dokumentów PBE (1/2) Zamiast „typowych” procedur oceniane dokumenty zawierają opisy zastosowanych środków zabezpieczających (powtórzenie treści zawartych w dokumencie SWB) Opracowane procedury nie zawierają wykazu kolejnych czynności (operacji) lecz opisują efekt końcowy (cel) danej procedury Mała dbałość o szczegóły opracowywanych procedur bezpieczeństwa – wykonawcami procedur są ludzie o różnym przygotowaniu merytorycznym Każda procedura powinna mieć określony cel, zakres, osoby odpowiedzialne za jej realizację oraz wykaz wykonywanych w ramach danej procedury czynności (operacji) Performing a content of above articles we find as necessary to create set of guides and guidelines, that will help Security Officers, Systems Administrators and users to implement and maintain security measures. JAWNE

Praktyczne uwagi dotyczące treści dokumentów PBE (2/2) 2002-09-11 Praktyczne uwagi dotyczące treści dokumentów PBE (2/2) W dokumencie PBE powinien być zawarty wykaz wszystkich opracowanych procedur bezpieczeństwa (ważną czynnością jest nadanie poszczególnym procedurom indywidualnych numerów lub innych oznaczeń) Opracowywanie nowych i uaktualnianie obowiązujących procedur bezpieczeństwa związane z wprowadzaniem nowych środków zabezpieczających i zasad bezpieczeństwa (następstwo procesu zarządzania ryzykiem) Wyznaczenie osoby odpowiedzialnej za uaktualnianie procedur bezpieczeństwa i ich dystrybucję wśród użytkowników systemu lub sieci TI Performing a content of above articles we find as necessary to create set of guides and guidelines, that will help Security Officers, Systems Administrators and users to implement and maintain security measures. JAWNE

Trochę statystyki ....... (1/3) Do dnia 30.09.2002 r. do DBTI ABW wpłynęło: 159 kompletów dokumentów SWB i PBE z 87 jednostek organizacyjnych, z czego: 33 dla systemów i sieci TI oznaczonych klauzulą „zastrzeżone” 85 dla systemów i sieci TI oznaczonych klauzulą „poufne” 36 dla systemów i sieci TI oznaczonych klauzulą „tajne” 5 dla systemów i sieci TI oznaczonych klauzulą „ściśle tajne” JAWNE

Trochę statystyki ....... (2/3) Do dnia 30.09.2002 r. do DBTI ABW wpłynęło (dane uwzględniające ponowne przekazywanie dokumentacji po uwzględnieniu zastrzeżeń): 125 kompletów dokumentów SWB i PBE z 63 jednostek organizacyjnych, z czego: 32 dla systemów i sieci TI oznaczonych klauzulą „zastrzeżone” 63 dla systemów i sieci TI oznaczonych klauzulą „poufne” 25 dla systemów i sieci TI oznaczonych klauzulą „tajne” 5 dla systemów i sieci TI oznaczonych klauzulą „ściśle tajne” JAWNE

Trochę statystyki ....... (3/3) Do dnia 30.09.2002 r. zatwierdzono: 39 kompletów dokumentów SWB i PBE z 27 jednostek organizacyjnych, z czego: 6 dla systemów i sieci TI oznaczonych klauzulą „zastrzeżone” 17 dla systemów i sieci TI oznaczonych klauzulą „poufne” 14 dla systemów i sieci TI oznaczonych klauzulą „tajne” 2 dla systemów TI oznaczonych klauzulą „ściśle tajne” JAWNE

Dziękuję Czy mają Państwo pytania ? Kontakt z autorem Piotr BERKIETA – piotr.berkieta.dbti@abw.gov.pl tel. +48 22 5858750 fax +48 22 5858168 00-993 Warszawa ul. Rakowiecka 2A Dziękuję Czy mają Państwo pytania ? JAWNE