J A W N E ODDZIAŁ POMORSKI OGÓLNOPOLSKIEGO STOWARZYSZENIA PEŁNOMOCNIKÓW OCHRONY NFORMACJI NIEJAWNYCH Przygotowanie jednostki organizacyjnej (firmy) do uruchomienia systemu lub sieci teleinformatycznej mgr inż.. Marek ANZEL 2018-12-26 J A W N E
AKTY PRAWNE NORMUJĄCE URUCHOMIENIE SYSTEMU LUB SIECI TELEINFORMATYCZNEJ J A W N E Ustawa z dnia 22 stycznia 1999r. o ochronie informacji niejawnych. (Dz. U. z 1999 r., Nr 11, poz. 95 z późn. zm.) 2018-12-26 J A W N E
J A W N E Obecnie wszystkie systemy i sieci teleinformatyczne, w których mają być wytwarzane, przetwarzane, przechowywane lub przekazywane informacje niejawne, bez względu na klauzulę tajności przetwarzanych w nich informacji niejawnych, podlegają akredytacji bezpieczeństwa teleinformatycznego przez służby ochrony państwa. Akredytacja następuje na podstawie dokumentów szczególnych wymagań bezpieczeństwa i procedur bezpiecznej eksploatacji. 2018-12-26 J A W N E
Akredytacja bezpieczeństwa teleinformatycznego J A W N E Akredytacja bezpieczeństwa teleinformatycznego dopuszczenie systemu lub sieci teleinformatycznej do wytwarzania, przetwarzania, przechowywania lub przekazywania informacji niejawnych, na zasadach określonych w ustawie. 2018-12-26 J A W N E
J A W N E W wyniku badań i certyfikacji urządzeń i narzędzi kryptograficznych, służących do ochrony informacji niejawnych stanowiących tajemnicę państwową lub służbową oznaczonych klauzulą "poufne", służby ochrony państwa wydają wzajemnie uznawane certyfikaty ochrony kryptograficznej. 2018-12-26 J A W N E
J A W N E Art. 60. 5. Wytwarzanie, przetwarzanie, przechowywanie lub przekazywanie informacji niejawnych stanowiących tajemnicę państwową, odpowiednio do ich klauzuli tajności, jest dopuszczalne po uzyskaniu certyfikatu akredytacji bezpieczeństwa teleinformatycznego dla systemu lub sieci teleinformatycznej, wydanego przez właściwą służbę ochrony państwa. 2018-12-26 J A W N E
Art. 60. 6. Certyfikat, o którym mowa powyżej, wydaje się na podstawie: J A W N E przeprowadzonych zgodnie z ustawą postępowań sprawdzających wobec osób mających dostęp do systemu lub sieci teleinformatycznej, zatwierdzonych przez właściwą służbę ochrony państwa dokumentów szczególnych wymagań bezpieczeństwa i procedur bezpiecznej eksploatacji, audytu bezpieczeństwa systemu lub sieci teleinformatycznej, polegającego na weryfikacji poprawności realizacji wymagań i procedur, określonych w dokumentach szczególnych wymagań bezpieczeństwa i procedur bezpiecznej eksploatacji. 2018-12-26 J A W N E
J A W N E Art. 60. 7. Szef właściwej służby ochrony państwa po zapoznaniu się z wynikiem analizy ryzyka dla bezpieczeństwa informacji niejawnych może, bez spełnienia niektórych wymagań w zakresie ochrony fizycznej, elektromagnetycznej lub kryptograficznej, dokonać, na czas określony, nie dłuższy jednak niż na 2 lata, akredytacji bezpieczeństwa teleinformatycznego systemu lub sieci teleinformatycznej, którym przyznano określoną klauzulę tajności, w przypadku gdy brak możliwości ich eksploatacji powodowałby zagrożenie dla porządku publicznego, obronności, bezpieczeństwa albo interesów międzynarodowych państwa. 2018-12-26 J A W N E
J A W N E Art. 61. 1. Dokumenty szczególnych wymagań bezpieczeństwa systemu lub sieci teleinformatycznej powinny być kompletnym i wyczerpującym opisem ich budowy, zasad działania i eksploatacji. Dokumenty te opracowuje się w fazie projektowania, bieżąco uzupełnia w fazie wdrażania i modyfikuje w fazie eksploatacji przed dokonaniem zmian w systemie lub sieci teleinformatycznej. 2018-12-26 J A W N E
J A W N E Art. 61. 2. Procedury bezpiecznej eksploatacji opracowuje się i uzupełnia w fazie wdrażania oraz modyfikuje w fazie eksploatacji przed dokonaniem zmian w systemie lub sieci teleinformatycznej. Art. 61. 3. Dokumenty, o których mowa powyżej, opracowuje oraz przekazuje służbie ochrony państwa kierownik jednostki organizacyjnej, który jest także odpowiedzialny za eksploatację i bezpieczeństwo systemu lub sieci teleinformatycznej. 2018-12-26 J A W N E
J A W N E Art. 61. 4. Dokumenty szczególnych wymagań bezpieczeństwa oraz procedury bezpiecznej eksploatacji systemów i sieci teleinformatycznych, w których mają być wytwarzane, przetwarzane, przechowywane lub przekazywane informacje niejawne stanowiące tajemnicę państwową, są w każdym przypadku indywidualnie zatwierdzane przez właściwą służbę ochrony państwa w terminie 30 dni od dnia ich otrzymania. 2018-12-26 J A W N E
J A W N E Art. 61. 5. Dokumenty szczególnych wymagań bezpieczeństwa oraz procedury bezpiecznej eksploatacji systemów i sieci teleinformatycznych, w których mają być wytwarzane, przetwarzane, przechowywane lub przekazywane informacje niejawne stanowiące tajemnicę służbową, są przedstawiane właściwej służbie ochrony państwa. Niewniesienie zastrzeżeń przez służbę ochrony państwa do tych wymagań, w terminie 30 dni od dnia ich przedstawienia, uprawnia do przejścia do kolejnej fazy budowy systemu lub sieci teleinformatycznej 2018-12-26 J A W N E
J A W N E Za badania i certyfikaty dla urządzeń oraz za certyfikat akredytacji bezpieczeństwa teleinformatycznego dla systemu lub sieci teleinformatycznej pobiera się opłaty. Zwolnione są z nich jednostki organizacyjne będące jednostkami budżetowymi. 2018-12-26 J A W N E
J A W N E W przypadku akredytacji bezpieczeństwa teleinformatycznego systemów i sieci teleinformatycznych niezbędnych do wykonania zadań publicznych na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego, z opłat certyfikat akredytacji bezpieczeństwa teleinformatycznego dla systemu lub sieci teleinformatycznej zwolnieni są przedsiębiorcy wykonujący te zadania. - nie dotyczy to badań i certyfikatów na sprzęt. 2018-12-26 J A W N E
Art. 64. 1. Kierownik jednostki organizacyjnej wyznacza: J A W N E Art. 64. 1. Kierownik jednostki organizacyjnej wyznacza: osobę lub zespół osób, odpowiedzialnych za funkcjonowanie systemów lub sieci teleinformatycznych oraz za przestrzeganie zasad i wymagań bezpieczeństwa systemów i sieci teleinformatycznych, zwane dalej "administratorem systemu", 2018-12-26 J A W N E
Art. 64. 2. Kierownik jednostki organizacyjnej wyznacza: J A W N E Art. 64. 2. Kierownik jednostki organizacyjnej wyznacza: pracownika lub pracowników pionu ochrony pełniących funkcje inspektorów bezpieczeństwa teleinformatycznego, odpowiedzialnych za bieżącą kontrolę zgodności funkcjonowania sieci lub systemu teleinformatycznego ze szczególnymi wymaganiami bezpieczeństwa oraz za kontrolę przestrzegania procedur bezpiecznej eksploatacji 2018-12-26 J A W N E
J A W N E Art. 64. 3. Stanowiska lub funkcje administratora systemu albo inspektora bezpieczeństwa teleinformatycznego mogą zajmować lub pełnić osoby, posiadające poświadczenia bezpieczeństwa odpowiednie do klauzuli informacji wytwarzanych, przetwarzanych, przechowywanych lub przekazywanych w systemach lub sieciach teleinformatycznych, po odbyciu specjalistycznych szkoleń z zakresu bezpieczeństwa teleinformatycznego prowadzonych przez służby ochrony państwa. 2018-12-26 J A W N E
Wykaz dokumentów normatywnych: J A W N E Ustawa z dnia 22 stycznia 1999 roku o ochronie informacji niejawnych (DZ. U. nr 11, poz. 11); Rozporządzenie Prezesa Rady Ministrów z dnia 25 lutego 1999 roku w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych (DZ. U. nr 18, poz. 162) Zarządzenie nr 49/MON Ministra Obrony Narodowej z dnia 7 sierpnia 2002 roku w sprawie szczególnych zasad organizacji kancelarii tajnych, stosowania środków ochrony fizycznej oraz obiegu informacji niejawnych 2018-12-26 J A W N E
Wykaz dokumentów normatywnych: J A W N E Wykaz dokumentów normatywnych: Decyzja nr 30/MON (80/MON) Ministra Obrony Narodowej z dnia 8 marca 2000 roku w sprawie powołania pełnomocników do spraw ochrony informacji niejawnych, administratorów systemów i sieci teleinformatycznych oraz utworzenia pionów ochrony w jednostkach organizacyjnych resortu obrony narodowej. Decyzja nr 181/MON Ministra Obrony Narodowej z dnia 6 października 2000 roku w sprawie organizacji szczególnej ochrony systemów i sieci teleinformatycznych w resorcie obrony narodowej. Decyzja nr 182/MON Ministra Obrony Narodowej z dnia 6 października 2000 roku w sprawie nadzoru nad ochroną informacji niejawnych w resorcie obrony narodowej. 2018-12-26 J A W N E
Wykaz dokumentów normatywnych: J A W N E Wykaz dokumentów normatywnych: Dokumenty wprowadzone rozkazem Szefa Wojskowych Służb Informacyjnych Nr Pf-46 z dnia 26 czerwca 2000 r.: Wytyczne w sprawie instalacji urządzeń przeznaczonych do przetwarzania informacji niejawnych. BTPO-701A; Bezpieczeństwo systemów i sieci teleinformatycznych. Wskazówki i zalecenia. DBBT-801A; Ustawienia zabezpieczeń WINDOWS NT 4.0 w systemach przetwarzających informacje niejawne. DBBT-802A; Wytyczne w zakresie bezpieczeństwa fizycznego kancelarii kryptograficznych, stacji łączności kryptograficznych oraz pomieszczeń wydzielonych przeznaczonych do przetwarzania informacji niejawnych. DBBT-301B. 2018-12-26 J A W N E
ZAGROŻENIA SYSTEMÓW I SIECI TELEINFORMATYCZNYCH J A W N E ZAGROŻENIA SYSTEMÓW I SIECI TELEINFORMATYCZNYCH każdy potencjalny włamywacz może wykorzystać słabe punkty systemu i narazić dane i system na niebezpieczeństwo 2018-12-26 J A W N E
KLASYFIKACJA ZAGROŻEŃ J A W N E KLASYFIKACJA ZAGROŻEŃ BIERNE oddziaływanie na system, czyli np. podsłuch, analiza ruchu w sieci, emisja ujawniająca CZYNNE aktywne oddziaływanie na system, czyli np. modyfikacje, niszczenie informacji, dezinformacja, nie uprawnione zwiększenie możliwości terminala WEWNĘTRZNE dokonywane ze strony legalnych użytkowników ZEWNĘTRZNE dokonywane ze strony intruzów zewnętrznych poszukujących odpowiednich danych 2018-12-26 J A W N E
KLASYFIKACJA ZAGROŻEŃ J A W N E KLASYFIKACJA ZAGROŻEŃ LOSOWE powodowane błędami obsługi, administratorów, wadami sprzętu i oprogramowania, czynnikami zewnętrznymi CELOWE świadome działania mające na celu niszczenie lub unieruchomianie SPRZĘTOWE powodowane przez sprzęt PROGRAMOWE powodowane poprzez oprogramowanie OSOBOWE powodowane przez ludzi 2018-12-26 J A W N E
BEZPIECZEŃSTWO TELEINFORMATYCZNE ZAPEWNIA SIĘ PRZEZ: Ochronę fizyczną; Ochronę elektromagnetyczną; Ochronę kryptograficzną; Bezpieczeństwo transmisji; Kontrolę dostępu do urządzeń systemu lub sieci teleinformatycznej. J A W N E 2018-12-26 J A W N E
OCHRONĘ FIZYCZNĄ ZAPEWNIA SIĘ PRZEZ: J A W N E OCHRONĘ FIZYCZNĄ ZAPEWNIA SIĘ PRZEZ: Umieszczenie urządzeń systemu lub sieci teleinformatycznej w strefach bezpieczeństwa, Instalację środków zabezpieczających pomieszczenia, przed nieuprawnionym dostępem, podglądem i podsłuchem. Systemy alarmowe, ppoż Antywłamaniowe drzwi, okna, zamki szyfrowe, kraty Przepustki elektroniczne Sejfy odpowiedniej klasy, niszczarki 2018-12-26 J A W N E
J A W N E SYSTEM LUB SIEĆ TELEINFORMATYCZNA, W KTÓREJ MAJĄ BYĆ WYTWARZANE, PRZETWARZANE, PRZECHOWYWANE LUB PRZEKAZYWANE INFORMACJE NIEJAWNE STANOWIĄCE TAJEMNICĘ PAŃSTWOWĄ 2018-12-26 J A W N E
blokowane na 4 krawędziach, zawiasy umieszczone od wewnątrz, DRZWI : J A W N E konstrukcja stalowa lub z litego drewna (przynajmniej 4 cm), obustronnie obite blachą stalową o gr. co najmniej 2 mm, blokowane na 4 krawędziach, zawiasy umieszczone od wewnątrz, wyposażone w dwa niezależne zamki klasy „A”, posiadające certyfikat . Jeden zamek powinien być mechaniczny o skomplikowanym mechanizmie otwierania, drugi szyfrowy o zmiennym nastawieniu, co najmniej trzyzapadkowy, o cichym przesuwie skali nastawień nie więcej niż 1 działka i minimum 100 podziałkach na pokrętle. 2018-12-26 J A W N E
muszą posiadać element zatrzaskowy, wizjer, samozamykacz J A W N E muszą posiadać element zatrzaskowy, wizjer, samozamykacz powinny być wyposażone w urządzenia, umożliwiające stwierdzenie przez użytkowników pomieszczenia, prób nieuprawnionego otwarcia np. plomby plastelinowe, liczniki otwarcia drzwi, sygnalizatory elektroniczne itp. 2018-12-26 J A W N E
Drzwi powinny ponadto posiadać informację zawierającą: J A W N E Drzwi powinny ponadto posiadać informację zawierającą: nazwę producenta; określenie rodzaju wyrobu; numer fabryczny; rok produkcji; klasę odporności; numer certyfikatu; ciężar. 2018-12-26 J A W N E
OKNA: J A W N E Okna pomieszczenia przeznaczonego do przetwarzania informacji niejawnych ŚT lub T, których dolna krawędź umieszczona jest poniżej 5,5 m nad poziomem gruntu lub odległość między górną krawędzią a dachem wynosi mniej niż 5,5 m wymagają następujących zabezpieczeń: krat stalowych wspawanych w stalową ramę płaskownika o przekroju nie mniejszym niż 45x6mm. krata musi być wykonana z prętów stalowych o średnicy 20 mm (lub prętów stalowych o przekroju 20x20 mm) rozmieszczonych w odstępach nie większych niż 150 mm, wzmocnionych płaskownikami o przekroju 45x6mm, mocowanymi od ramy w odstępach 200-500 mm. 2018-12-26 J A W N E
Okno musi posiadać zabezpieczenie przed niekontrolowanym otwarciem. J A W N E W oknach dodatkowo należy zamontować siatkę ochronną. Siatka musi ściśle przylegać do kraty. Oczko siatki nie powinno przekraczać rozmiarów 15x15 mm (ŚT) lub 20x20 mm (T). Okno musi posiadać zabezpieczenie przed niekontrolowanym otwarciem. Okna, których dolna krawędź umieszczona jest powyżej 5,5 m nad poziomem gruntu oraz odległość między górną krawędzią a dachem wynosi więcej niż 5,5 m zabezpiecza się siatką stalową. We wszystkich oknach należy stosować stałe rolety lub wertikale oraz np. szyby piaskowe. 2018-12-26 J A W N E
SYSTEM ALARMOWY: Pomieszczenia ASK (ŚT, T, PF) muszą być wyposażone w: J A W N E SYSTEM ALARMOWY: Pomieszczenia ASK (ŚT, T, PF) muszą być wyposażone w: - alarmowy system przeciwpożarowy; - system sygnalizacji włamania i napadu, który umożliwia wykrycie nieuprawnione otwarcie drzwi i okien oraz ruchu w pomieszczeniu po godzinach pracy oraz umożliwia przesłanie sygnału napadu. 2018-12-26 J A W N E
J A W N E W pomieszczeniach ASK dla ŚT, instalowane systemy i urządzenia alarmowe powinny odpowiadać klasie SA4 i S. W pomieszczeniach ASK dla T i PF instalacje alarmowe winny odpowiadać klasie SA3 i być wyposażone w urządzenia alarmowe klasy C. W przypadku ASK (ŚT, T i PF) z wyjmowanym dyskiem deponowanym w sejfie znajdującym się w pomieszczeniu można odstąpić od konieczności instalowania czujki ruchu. 2018-12-26 J A W N E
J A W N E SYSTEM LUB SIEĆ TELEINFORMATYCZNA, W KTÓREJ MAJĄ BYĆ WYTWARZANE, PRZETWARZANE, PRZECHOWYWANE LUB PRZEKAZYWANE INFORMACJE NIEJAWNE STANOWIĄCE TAJEMNICĘ SŁUŻBOWĄ „P O U F N E” 2018-12-26 J A W N E
ryglowane co najmniej na 3 krawędziach, DRZWI : J A W N E standardowe obustronnie obite blachą stalową o grubości co najmniej 1 mm, ryglowane co najmniej na 3 krawędziach, wyposażone w dwa niezależne zamki klasy B. jeden zamek powinien być mechaniczny o skomplikowanym mechanizmie otwierania, drugi szyfrowy o zmiennym nastawieniu, co najmniej trzyzapadkowy, o cichym przesuwie skali nastawień nie więcej niż 1,5 działka i minimum 100 podziałkach na pokrętle. 2018-12-26 J A W N E
J A W N E Drzwi muszą posiadać element zatrzaskowy, wizjer i samozamykacz ,oraz powinny być wyposażone w urządzenia, umożliwiające stwierdzenie przez użytkowników pomieszczenia prób nieuprawnionego otwarcia np. plomby plastelinowe, liczniki otwarcia drzwi, sygnalizatory elektroniczne 2018-12-26 J A W N E
OKNA: J A W N E zabezpiecza się siatką stalową (wymagania dla siatki jak przy T). Dotyczy również pomieszczenia ASK z wyjmowanym dyskiem twardym, na którym przetwarzane są inf. niejawne T i ŚT. We wszystkich oknach należy stosować stałe rolety lub wertikale oraz np. szyby piaskowe. 2018-12-26 J A W N E
J A W N E SYSTEM ALARMOWY: patrz-TAJNE 2018-12-26 J A W N E
J A W N E SYSTEM LUB SIEĆ TELEINFORMATYCZNA, W KTÓREJ MAJĄ BYĆ WYTWARZANE, PRZETWARZANE, PRZECHOWYWANE LUB PRZEKAZYWANE INFORMACJE NIEJAWNE STANOWIĄCE TAJEMNICĘ SŁUŻBOWĄ „ZASTRZEŻONE” 2018-12-26 J A W N E
wyposażone w zamek mechaniczny klasy C, DRZWI : J A W N E standardowe, wyposażone w zamek mechaniczny klasy C, wyposażone w urządzenia, umożliwiające stwierdzenie przez użytkowników pomieszczenia prób nieuprawnionego otwarcia np. plomby plastelinowe, liczniki otwarcia drzwi, sygnalizatory elektroniczne itp.. 2018-12-26 J A W N E
J A W N E U W A G A : W przypadku ASK z wyjmowanym dyskiem twardym, które przetwarzają inf. niejawne o klauzuli „ŚT”, „T” lub „PF”, drzwi wejściowe mogą spełniać wymagania jak dla „Z”. W takiej sytuacji możliwe są też dalsze ustępstwa od wymogów np. co do systemów alarmowych. 2018-12-26 J A W N E
OCHRONĘ ELEKTROMAGNETYCZNĄ ZAPEWNIA SIĘ PRZEZ: J A W N E OCHRONĘ ELEKTROMAGNETYCZNĄ ZAPEWNIA SIĘ PRZEZ: pomiar zabezpieczenia miejsca pracy sprzętu - PZM metalowe osłony; kabiny; klasa „TEMPEST”; 2018-12-26 J A W N E
Wyróżnia się cztery poziomy zabezpieczenia miejsca: J A W N E POZIOMY ZABEZPICZENIA MIEJSCA (PZM) PRACY PRZED EMISJĄ ELEKTROMAGNETYCZNĄ Kryterium zabezpieczenia miejsca instalacji urządzeń jest tłumienie sygnału emisji ujawniającej na granicy strefy bezpieczeństwa. Wyróżnia się cztery poziomy zabezpieczenia miejsca: PZM-0, PZM-1, PZM-2, PZM-3. 2018-12-26 J A W N E
Poziom zabezpieczenia miejsca J A W N E Poziom zabezpieczenia miejsca 2 2 1000m 1000m 1000m 100m 100m > 1000m 100m > 1000m 1 3 1 20m 20m 3 20m 2018-12-26 J A W N E
Zależność klasy sprzętu od Poziomu Zabezpieczenia Miejsca J A W N E Zależność klasy sprzętu od Poziomu Zabezpieczenia Miejsca Poziom Zabezpieczenia Miejsca - 0 - 2 - 1 - 3 Klasa sprzętu teleinformatycznego TEMPEST Komercyjny AMSG 784 AMSG 720 AMSG 788 2018-12-26 J A W N E
Klasa sprzętu teleinformatycznego TEMPEST Komercyjny J A W N E Zależność wielkości separacji przestrzennej urządzeń RED/BLACK od Poziomu Zabezpieczenia Urządzenia Klasa sprzętu teleinformatycznego TEMPEST Komercyjny AMSG 784 AMSG 720 AMSG 788 Separacja przestrzenna RED/BLACK - 2 m - 1 m - 0,5 m 2018-12-26 J A W N E
Rodzaje linii sygnałowych J A W N E Rodzaje linii sygnałowych Linie sygnałowe czerwone (RED) to: niezaszyfrowane linie sygnałowe służące do transmisji informacji niejawnych linie zasilające urządzenia przeznaczone do przetwarzania informacji niejawnych 2018-12-26 J A W N E
Rodzaje linii sygnałowych J A W N E Rodzaje linii sygnałowych Linie sygnałowe czarne (BLACK) to: szyfrowane linie sygnałowe linie sygnałowe służące do transmisji informacji jawnych linie zasilające urządzenia przeznaczone wyłącznie do przetwarzania informacji jawnych 2018-12-26 J A W N E
WNIOSKI J A W N E W pomieszczeniach posiadających Trzeci Poziom Zabezpieczenia Miejsca (PZM-3) można przetwarzać informacje do klauzuli „TAJNE” włącznie na sprzęcie komputerowym powszechnego użytku. 2018-12-26 J A W N E
WNIOSKI J A W N E W pomieszczeniach posiadających Drugi Poziom Zabezpieczenia Miejsca (PZM-2) można przetwarzać informacje do klauzuli „POUFNE” włącznie na sprzęcie komputerowym powszechnego użytku. Przetwarzanie w tych pomieszczeniach informacji o klauzuli „TAJNE” wymaga zastosowania sprzętu komputerowego spełniającego wymagania dokumentu AMSG-784. 2018-12-26 J A W N E
WNIOSKI J A W N E W pomieszczeniach posiadających Pierwszy Poziom Zabezpieczenia Miejsca (PZM-1) można przetwarzać informacje do klauzuli „ZASTRZEŻONE” włącznie na sprzęcie komputerowym powszechnego użytku. Przetwarzanie w tych pomieszczeniach informacji o klauzuli „POUFNE” wymaga zastosowania sprzętu komputerowego spełniającego wymagania dokumentu AMSG-784, zaś informacji o klauzuli „TAJNE” – sprzętu komputerowego spełniającego wymagania dokumentu AMSG-788. 2018-12-26 J A W N E
WNIOSKI J A W N E W pomieszczeniach posiadających Zerowy Poziom Zabezpieczenia Miejsca (PZM-0) można przetwarzać informacje do klauzuli „ZASTRZEŻONE” włącznie na sprzęcie komputerowym powszechnego użytku. Przetwarzanie w tych pomieszczeniach informacji o klauzuli „POUFNE” wymaga zastosowania sprzętu komputerowego spełniającego wymagania dokumentu AMSG-788, zaś informacji o klauzuli „TAJNE” – sprzętu komputerowego spełniającego wymagania dokumentu AMSG-720. 2018-12-26 J A W N E
OCHRONA KRYPTOGRAFICZNA J A W N E OCHRONA KRYPTOGRAFICZNA Stosowana jest : Przy przekazywaniu informacji w formie elektronicznej poza strefy bezpieczeństwa, Przemieszczaniu urządzeń teleinformatycznych, w których pamięci są informacje niejawne poza strefy bezpieczeństwa, Podłączenia urządzenia systemu lub sieci teleinformatycznej, w którym przetwarzane są informacje niejawne stanowiące tajemnicę państwową do powszechnie dostępnego urządzenia lub sieci. 2018-12-26 J A W N E
KONTROLA DOSTĘPU DO SYSTEMU LUB SIECI TELEINFORMATYCZNEJ J A W N E KONTROLA DOSTĘPU DO SYSTEMU LUB SIECI TELEINFORMATYCZNEJ Systemy i sieci teleinformatyczne przetwarzające informacje niejawne muszą być wyposażone w mechanizmy kontroli dostępu. Za ich właściwe funkcjonowanie odpowiada administrator systemu – ustawienia zabezpieczeń systemu operacyjnego 2018-12-26 J A W N E
KONTROLA DOSTĘPU DO SYSTEMU LUB SIECI TELEINFORMATYCZNEJ J A W N E KONTROLA DOSTĘPU DO SYSTEMU LUB SIECI TELEINFORMATYCZNEJ Warunki oraz sposób przydzielania uprawnień użytkownikom systemów i sieci określa kierownik jednostki organizacyjnej – lista użytkowników w rozkazie/decyzji/zarzadzeniu, Warunki oraz sposób przydzielania użytkownikom kont i haseł określa administrator systemu – nazwa konta, katalog roboczy, itp. 2018-12-26 J A W N E
PODSTAWOWE ZASADY I PROCEDURY DOTYCZĄCE HASEŁ DOSTĘPU. J A W N E PODSTAWOWE ZASADY I PROCEDURY DOTYCZĄCE HASEŁ DOSTĘPU. Dostęp do systemu lub sieci nie powinien być możliwy bez uprzedniego wpisania nazwy użytkownika a następnie hasła, Hasło powinno się składać z kombinacji małych i dużych liter oraz cyfr i znaków specjalnych; 2018-12-26 J A W N E
PODSTAWOWE ZASADY I PROCEDURY DOTYCZĄCE HASEŁ DOSTĘPU. J A W N E PODSTAWOWE ZASADY I PROCEDURY DOTYCZĄCE HASEŁ DOSTĘPU. Długość hasła powinna wynosić: Co najmniej 6 znaków-dla systemów przetwarzających informacje niejawne stanowiące tajemnicę służbową, Co najmniej 8 znaków- dla systemów przetwarzających informacje niejawne stanowiące tajemnicę państwową. 2018-12-26 J A W N E
PODSTAWOWE ZASADY I PROCEDURY DOTYCZĄCE HASEŁ DOSTĘPU. J A W N E PODSTAWOWE ZASADY I PROCEDURY DOTYCZĄCE HASEŁ DOSTĘPU. Hasła powinny być okresowo zmieniane (PF–180 dni, 0 – 90 dni, 00 – 30 dni), Zmiana hasła na nowe jest możliwa po uprzednim wpisaniu starego hasła, 2018-12-26 J A W N E
PODSTAWOWE ZASADY I PROCEDURY DOTYCZĄCE HASEŁ DOSTĘPU. J A W N E PODSTAWOWE ZASADY I PROCEDURY DOTYCZĄCE HASEŁ DOSTĘPU. Pamięć pięciu ostatnich zmian hasła uniemożliwia ponowne wprowadzenie tego samego hasła, Hasła administratorów systemów i sieci teleinformatycznych muszą być przechowywane w kancelarii w zapieczętowanych kopertach oznaczonych klauzulą tajności odpowiadającą klauzuli informacji przetwarzanej w systemie. 2018-12-26 J A W N E
PODSTAWOWE ZASADY I PROCEDURY DOTYCZĄCE HASEŁ DOSTĘPU. J A W N E PODSTAWOWE ZASADY I PROCEDURY DOTYCZĄCE HASEŁ DOSTĘPU. Użytkownik po pierwszym zalogowaniu się w systemie musi zmienić hasło dostępowe nadane mu przez administratora. Hasło powinno być znane wyłącznie użytkownikowi - nie wolno go zapisywać i udostępniać innemu użytkownikowi. Trzykrotne wprowadzenie błędnego hasła powoduje zablokowanie konta użytkownika, system zarejestruje to zdarzenie i konieczne jest odblokowanie konta przez administratora. 2018-12-26 J A W N E
Dziennik zdarzeń rejestruje następujące dane: Systemy i sieci teleinformatyczne przetwarzające informacje niejawne muszą prowadzić automatyczną ewidencję zdarzeń w systemie oraz rejestr dostępu do informacji niejawnych przechowywanych na elektronicznych nośnikach danych. Dziennik zdarzeń rejestruje następujące dane: rodzaj wykonanej czynności oraz datę i czas, identyfikator użytkownika wykonującego czynność, informację czy czynność zakończyła się sukcesem, dane o zalogowaniu i wylogowaniu użytkownika, informacje o uruchomieniu i wyłączeniu systemu lub sieci, dokonane zmiany w parametrach bezpieczeństwa. J A W N E 2018-12-26 J A W N E
J A W N E DZIENNIK ZDARZEŃ Pliki elektronicznego dziennika zdarzeń powinny być zabezpieczone przed wprowadzaniem jakichkolwiek zmian. Zapisów może dokonywać wyłącznie system, a dostęp do nich może mieć wyłącznie pełnomocnik. Informacje dotyczące zdarzeń powinny być okresowo przeglądane i analizowane przez pełnomocnika ochrony lub wyznaczoną przez niego osobę. 2018-12-26 J A W N E
Są to cztery niezależne oznaczenia. J A W N E OZNAKOWANIE ASK: Zgodnie z obowiązującymi przepisami, systemy i sieci teleinformatyczne w których są wytwarzane, przetwarzane, przechowywane lub przekazywane informacje niejawne, podlegają szczególnej ochronie, między innymi przez ich właściwe oznaczenie, oplombowanie a także zaewidencjonowanie nośników. Są to cztery niezależne oznaczenia. 2018-12-26 J A W N E
Ewidencjonowanie nośników: OZNACZANIE: Ewidencjonowanie nośników: Nośniki do zapisu informacji w postaci cyfrowej: dyski twarde, dyskietki, taśmy elektromagnetyczne, dyski optyczne oraz sprzęt elektroniczny z wbudowaną pamięcią lub inne nośniki danych elektronicznych oznacza się zgodnie z Rozporządzeniem Ministrów Spraw Wewnętrznych i Administracji oraz Obrony Narodowej z dnia 27 listopada 2003 r. w sprawie sposobu oznaczania materiałów, w tym klauzulami tajności, oraz sposobu umieszczania klauzul na tych materiałach (Dz. U. Nr 211, poz. 2071). J A W N E 2018-12-26 J A W N E
J A W N E OZNACZANIE: Kierownik kancelarii tajnej bądź personel ewidencjonuje każdy elektroniczny nośnik informacji (dotyczy to wszystkich dysków twardych - HDD oraz innych nośników) w RWD wykonawcy, który jest głównym użytkownikiem tego nośnika. Jeśli przedmiotem ewidencji jest nośnik posiadający unikalny numer seryjny (dysk twardy, pamięć zewnętrzna) należy oprócz standardowych danych (rodzaj nośnika, pojemność) podać w/w numer. 2018-12-26 J A W N E
Na nośnikach zawierających informacje niejawne umieszcza się : OZNACZANIE: Na nośnikach zawierających informacje niejawne umieszcza się : w lewym górnym rogu nazwę jednostki lub komórki organizacyjnej (np. pieczątka „Do pakietów”); klauzulę tajności (w sposób widoczny na obudowie lub opakowaniu); nr ewidencyjny RWD. W przypadku ewidencjonowania dysku twardego niewymiennego, naklejkę umieszcza się na obudowie jednostki centralnej komputera. 2018-12-26 J A W N E
J A W N E OZNACZANIE: 2. Oznaczanie urządzeń: Wszystkie urządzenia systemu lub sieci teleinformatycznej powinny być ewidencjonowane (wraz z podaniem typów i numerów fabrycznych urządzeń). Ewidencję tą prowadzi administrator systemu lub sieci teleinformatycznej. 2018-12-26 J A W N E
- numer ewidencyjny nabierany z ww. ewidencji administratora; J A W N E OZNACZANIE: Każde urządzenie musi być czytelnie oznaczone odpowiednią naklejką. Naklejka ta winna zawierać: - rodzaj nośnika; - numer ewidencyjny nabierany z ww. ewidencji administratora; - inicjały użytkownika; - nazwa komórki organizacyjnej, w której eksploatowany jest sprzęt; - klauzula tajności informacji przetwarzanych na danym zestawie. 2018-12-26 J A W N E
3. Plombowanie urządzeń i portów: OZNACZANIE: J A W N E 3. Plombowanie urządzeń i portów: Urządzenia systemów i sieci teleinformatycznych przetwarzających informacje niejawne powinny być plombowane w celu zabezpieczenia ich przed modyfikacjami. Obudowy monitorów, klawiatur, drukarek i innych elementów powinny być tak oplombowane, żeby jakiekolwiek próba modyfikacji sprzętu była niemożliwa bez naruszenia plomb. Plomby powinny być jednoznacznie identyfikowalne i regularnie kontrolowane przez personel odpowiedzialny za bezpieczeństwo teleinformatyczne. Za oplombowanie urządzeń systemu lub sieci oraz ewidencję plomb odpowiedzialny jest administrator systemu. 2018-12-26 J A W N E
J A W N E OZNACZANIE: 4. Oznaczanie urządzeń: Ze względu na wagę - z jaką należy traktować informacje niejawne – wszystkie urządzenia systemów i sieci teleinformatycznych przetwarzających takie informacje powinny być dodatkowo oznaczone naklejkami koloru czerwonego. W przypadku sieci, oznakowanie kolorem czerwonym dotyczy również linii transmisyjnych. 2018-12-26 J A W N E
ALGORYTM URUCHAMIANIA SYSTEMÓW LUB SIECI TELEINFORMATYCZNYCH SŁUŻĄCYCH DO WYTWARZANIA, PRZECHOWYWANIA, PRZETWARZANIA LUB PRZEKAZYWANIA INFORMACJI NIEJAWNYCH. J A W N E Wyznaczenie rozkazem/decyzją kierownika jednostki organizacyjnej następujących osób funkcyjnych: administratora systemu lub sieci teleinformatycznej oraz inspektora bezpieczeństwa teleinformatycznego (Art. 64 ustawy z dnia 22 stycznia o OIN). 2018-12-26 J A W N E
ALGORYTM J A W N E Opracowanie programu organizacyjno-użytkowego projektu koncepcyjnego i technicznego przewidywanego do budowy systemu lub sieci teleinformatycznej. Zatwierdzenie przez szefa Logistyki opracowanego i zaopiniowanego przez pełnomocnika d-cy ds. OIN oraz szefa Finansów programu organizacyjno - użytkowego (Tymczasowe Wytyczne I z-cy ministra Obr.Nar. z 30.10.2003 r.). 2018-12-26 J A W N E
ALGORYTM J A W N E Wydzielenie środków na utworzenie lub przygotowanie pomieszczeń (Decyzja nr 29/MON z 22.02.2001 r. w sprawie trybu certyfikacji ... oraz Rozp. 162 z 25 lutego 1999r. w sprawie podstawowych wymagań bezpieczeństwa syst.i sieci teleinf. (§3). Opracowanie Szczególnych Wymagań Bezpieczeństwa (SWB) i Procedur Bezpiecznej Eksploatacji (PBE) (Art. 60 i 61 ustawy o OIN oraz Decyzja nr 181/MON z 6.10.2000 r. w sprawie szczególnej ochrony systemów i sieci teleinf.). 2018-12-26 J A W N E
ALGORYTM J A W N E Przesłanie SWB i PBE do zaopiniowania przez Wydział Bezpieczeństwa Syst. Łączności i Informatyki (Decyzja nr 181/MON z 6.10.2000 r. w sprawie szczególnej ochrony systemów i sieci teleinf.). Przesłanie do służby ochrony państwa SWB i PBE celem zaakceptowania („PF” i „Z”) lub zatwierdzenia (Tajne lub Ściśle Tajne) (Art. 61 ustawy o OIN oraz Decyzja nr 181/MON z 6.10.2000 r. w sprawie szczególnej ochrony systemów i sieci teleinf.) 2018-12-26 J A W N E
ALGORYTM J A W N E Badanie i certyfikacja urządzeń i narzędzi kryptograficznych, służących do ochrony informacji niejawnych stanowiących tajemnicę państwową lub tajemnicę służbową oznaczonych klauzulą „poufne” (Art. 60 ustawy o OIN ). Pisemny wniosek do SOP podpisany przez kierownika jednostki o certyfikację systemu lub sieci teleinf. przeznaczonej do wytwarzania, przetwarzania informacji stanowiących tajemnicę państwową (Art. 60 ustawy o OIN ). 2018-12-26 J A W N E
ALGORYTM J A W N E Certyfikacja systemu lub sieci przeznaczonej do wytwarzania, przechowywania, przetwarzania lub przekazywania informacji niejawnych stanowiących tajemnicę państwową (Art. 60 ustawy o OIN). 2018-12-26 J A W N E
J A W N E Przed przystąpieniem do ww. czynności warto wystąpić do właściwej SOP o przeprowadzenie pomiaru zabezpieczenia miejsca (PZM). Wyniki tych pomiarów mają istotne znaczenie przy dobraniu odpowiedniego sprzętu. Np. przy wynikach PZM-3, można stosować sprzęt komercyjny do przetwarzania informacji stanowiących tajemnicę państwową. 2018-12-26 J A W N E
SZCZEGÓLNYCH WYMAGAŃ BEZPIECZEŃSTWA PROCEDUR BEZPIECZNEJ EKSPLOATACJI J A W N E ZASADY OPRACOWANIA SZCZEGÓLNYCH WYMAGAŃ BEZPIECZEŃSTWA ORAZ PROCEDUR BEZPIECZNEJ EKSPLOATACJI 2018-12-26 J A W N E
J A W N E WYMOGI WYNIKAJĄCE Z: Rozporządzenia Prezesa Rady Ministrów z dnia 25 lutego 1999 r. w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych (Dz. U. z 1999 r., Nr 18, poz. 162); 2018-12-26 J A W N E
§ 14 1. Szczególne wymagania bezpieczeństwa opracowuje się, po dokonaniu analizy przewidywanych zagrożeń, indywidualnie dla każdego systemu lub sieci teleinformatycznej, w której mają być przetwarzane informacje niejawne, z uwzględnieniem warunków charakterystycznych dla jednostki organizacyjnej. 2. Szczególne wymagania bezpieczeństwa formułuje się na etapie projektowania nowego systemu lub sieci teleinformatycznej, a następnie uzupełnia i rozwija wraz z wdrażaniem, eksploatacją i modernizacją tego systemu lub sieci. J A W N E 2018-12-26 J A W N E
J A W N E § 15 Szczególne wymagania bezpieczeństwa systemu lub sieci teleinformatycznych powinny określać wielkość i lokalizację stref bezpieczeństwa oraz środki ich ochrony odpowiednie dla danej jednostki organizacyjnej. 2018-12-26 J A W N E
§ 16 Przy opracowaniu szczególnych wymagań bezpieczeństwa należy uwzględnić: 1) charakterystykę systemu lub sieci teleinformatycznej; 2) dane o budowie systemu lub sieci teleinformatycznej; 3) określenie środków ochrony zapewniających bezpieczeństwo informacji niejawnych, przetwarzanych w systemie lub sieci teleinformatycznej, przed możliwością narażenia ich bezpieczeństwa,a w szczególności nieuprawnionym ujawnieniem; 4) zadania administratora systemu lub sieci teleinformatycznej i pracownika pionu, o których mowa w art. 64 ust. 1 i 2 ustawy. J A W N E 2018-12-26 J A W N E
Charakterystyka systemu lub sieci teleinformatycznej powinna określać: J A W N E § 17 Charakterystyka systemu lub sieci teleinformatycznej powinna określać: 1) klauzulę tajności informacji niejawnych, które będą przetwarzane w systemie lub sieci teleinformatycznej; 2) kategorie uprawnień użytkowników systemu lub sieci teleinformatycznej w zakresie dostępu do przetwarzanych w nich informacji niejawnych, w zależności od klauzuli tajności tych informacji. 2018-12-26 J A W N E
typu wykorzystywanych w nich urządzeń oraz oprogramowania; J A W N E § 18 Dane o budowie systemu lub sieci teleinformatycznej zawierają informacje dotyczące tego systemu lub sieci w zakresie: lokalizacji; typu wykorzystywanych w nich urządzeń oraz oprogramowania; sposobu realizowania połączeń wewnętrznych oraz zewnętrznych; konfiguracji sprzętowej; środowiska eksploatacji. 2018-12-26 J A W N E
J A W N E § 19 Środki ochrony, o których mowa w § 16 pkt 3, powinny uwzględniać wskazanie osób odpowiedzialnych za bezpieczeństwo systemu lub sieci teleinformatycznej oraz określać procedury bezpieczeństwa związane z jego eksploatacją i kontrolą, a także wskazywać szczegółowe wymagania w zakresie szkoleń dla administratorów, pracowników pionu i wszystkich użytkowników systemu lub sieci. 2018-12-26 J A W N E
OPRACOWYWANIE SZCZEGÓLNYCH WYMAGAŃ BEZPIECZEŃSTWA J A W N E I. CHARAKTERYSTYKA SYSTEMU/SIECI TELEINFORMATYCZNEJ I.1. Nazwa systemu, sieci teleinformatycznej I.2. Rola i zadania systemu/sieci teleinformatycznej Opis funkcjonowania systemu lub sieci z punktu widzenia użytkownika, dotyczący wytwarzania, przetwarzania, przechowywania i przesyłania informacji niejawnych. I.3. Użytkownicy Klasy użytkowników, uprawnienia, wymagane poświadczenia. I.4. Daty kluczowe Data rozpoczęcia i zakończenia projektu, data osiągnięcia zdolności eksploatacyjnej itp 2018-12-26 J A W N E
OPRACOWYWANIE SZCZEGÓLNYCH WYMAGAŃ BEZPIECZEŃSTWA J A W N E II. DANE O BUDOWIE SYSTEMU / SIECI TELEINFORMATYCZNEJ II.1. Lokalizacja systemu/sieci teleinformatycznej Instytucja, adres, nr budynku, piętro, itp. II.2. Architektura systemu/sieci teleinformatycznej II.2.1. Konfiguracja sprzętowa systemu/sieci teleinformatycznej Opis topologii sieci lub schemat rozmieszczenia elementów systemu teleinformatycznego (przedst. w zał. Nr 1), wykaz sprzętu systemu / sieci (zał. Nr 2) II.2.2. Sposób realizacji połączeń wewnętrznych II.2.3. Sposób realizacji połączeń zewnętrznych II.2.4. Oprogramowanie systemowe i użytkowe 2018-12-26 J A W N E
OPRACOWYWANIE SZCZEGÓLNYCH WYMAGAŃ BEZPIECZEŃSTWA J A W N E WYMAGANIA BEZPIECZEŃSTWA III.1. Zagrożenia systemu/sieci teleinformatycznej Wskazanie specyficznych zagrożeń dla poufności, integralności i dostępności informacji oraz specyficznych zagrożeń wynikających z atrakcyjności systemu. Stopień ważności informacji – wskazanie i ustalenie priorytetów wpływu na system/sieć: III.1.1. Utrata poufności III.1.2. Utrata integralności III.1.3. Utrata dostępności III.2. Podatność na zagrożenia Znaczna liczba personelu, mającego dostęp do systemu oraz posiadającego wiedzę jak go obsługiwać, możliwość celowego wprowadzenia luk w sprzęcie i oprogramowaniu, itp. 2018-12-26 J A W N E
OPRACOWYWANIE SZCZEGÓLNYCH WYMAGAŃ BEZPIECZEŃSTWA J A W N E III.3. Minimalne standardy bezpieczeństwa osiąga się poprzez realizację założeń przedstawionych w poniższych dokumentach normatywnych: Ustawa z dnia 22 styczna 1999 roku o ochronie informacji niejawnych (DZ. U. z 1999 r. Nr 11, poz. 95 z późn. Zm.) Rozporządzenie Prezesa Rady Ministrów z dnia 25 lutego 1999 roku w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych (DZ. U. z 1999 r. Nr 18, poz. 162) 2018-12-26 J A W N E
OPRACOWYWANIE SZCZEGÓLNYCH WYMAGAŃ BEZPIECZEŃSTWA J A W N E Zarządzenia w sprawie szczególnych zasad organizacji kancelarii tajnych, stosowania środków ochrony fizycznej oraz obiegu informacji niejawnych. 4. Decyzja nr 181/MON Ministra Obrony Narodowej z dnia 6 października 2000 roku w sprawie organizacji szczególnej ochrony systemów i sieci teleinformatycznych w resorcie obrony narodowej. 2018-12-26 J A W N E
OPRACOWYWANIE SZCZEGÓLNYCH WYMAGAŃ BEZPIECZEŃSTWA J A W N E Decyzja nr 181/MON Ministra Obrony Narodowej z dnia 6 października 2000 roku w sprawie organizacji szczególnej ochrony systemów i sieci teleinformatycznych w resorcie obrony narodowej. Decyzja nr 182/MON Ministra Obrony Narodowej z dnia 6 października 2000 roku w sprawie nadzoru nad ochroną informacji niejawnych w resorcie obrony narodowej. 2018-12-26 J A W N E
OPRACOWYWANIE SZCZEGÓLNYCH WYMAGAŃ BEZPIECZEŃSTWA J A W N E Dokumenty wprowadzone rozkazem Szefa Wojskowych Służb Informacyjnych Nr Pf-46 z dnia 26 czerwca 2000 r.: - Wytyczne w sprawie instalacji urządzeń przeznaczonych do przetwarzania informacji niejawnych. BTPO-701A; - Bezpieczeństwo systemów i sieci teleinformatycznych. Wskazówki i zalecenia. DBBT-801A; - Ustawienia zabezpieczeń WINDOWS NT 4.0 w systemach przetwarzających informacje niejawne. DBBT-802A; - Wytyczne w zakresie bezpieczeństwa fizycznego kancelarii kryptograficznych, stacji łączności kryptograficznych oraz pomieszczeń wydzielonych przeznaczonych do przetwarzania informacji niejawnych. DBBT-301B. 2018-12-26 J A W N E
OPRACOWYWANIE SZCZEGÓLNYCH WYMAGAŃ BEZPIECZEŃSTWA J A W N E III.4. Podsumowanie wymagań bezpieczeństwa Cechy potwierdzające istnienie odpowiedniego poziomu bezpieczeństwa systemu np.: wszystkie elementy systemu są zlokalizowane w strefach bezpieczeństwa; wszyscy użytkownicy systemu posiadają poświadczenia bezpieczeństwa o klauzuli TAJNE; do systemu nie są podłączone inne systemy lub sieci oraz urządzenia umożliwiające takie połączenie; itp. 2018-12-26 J A W N E
OPRACOWYWANIE SZCZEGÓLNYCH WYMAGAŃ BEZPIECZEŃSTWA J A W N E ŚRODOWISKA BEZPIECZEŃSTWA IV.1. Globalne środowisko bezpieczeństwa (GŚB) IV.2. Lokalne Środowisko Bezpieczeństwa (LŚB) IV.3. Środowisko Bezpieczeństwa Elektronicznego (ŚBE) 2018-12-26 J A W N E
OPRACOWYWANIE SZCZEGÓLNYCH WYMAGAŃ BEZPIECZEŃSTWA J A W N E ŚRODKI BEZPIECZEŃSTWA Rozdział ten jest główną częścią SWB. Opisuje w jaki sposób system/sieć będzie zabezpieczana oraz przedstawia środki zabezpieczające, które powinny zostać zastosowane w każdym ze środowisk bezpieczeństwa. V.1. Przedsięwzięcia bezpieczeństwa Definicje, polityka, zagrożenia, , stwierdzenia ogólne, czynniki, środki. V.1.1. Dostęp/Kontrola dostępu V.1.2. Uwierzytelnienie V.1.3. Zdolność rozliczania 2018-12-26 J A W N E
OPRACOWYWANIE SZCZEGÓLNYCH WYMAGAŃ BEZPIECZEŃSTWA J A W N E V.1.4. Audyt (kontrola) V.1.5. Ponowne użycie obiektów (np. po deklasyfikacji) V.1.6. Integralność V.1.7. Dostępność V.1.8. Wymiana danych (czy system pracuje jako ASK, czy też występuje wymiana danych z innymi systemami/sieciami. Dyskietki, CD. Zasady oznaczania nośników i zabezpieczenia w czasie przekazywania) 2018-12-26 J A W N E
OPRACOWYWANIE SZCZEGÓLNYCH WYMAGAŃ BEZPIECZEŃSTWA J A W N E Przykład: Dostęp do informacji niejawnych zgromadzonych w zasobach Systemu jest możliwy wyłącznie dla osób posiadających poświadczenia bezpieczeństwa osobowego do klauzuli TAJNE lub ŚCIŚLE TAJNE. W stosunku do personelu jest stosowana zasady wiedzy niezbędnej, która pozwala wykonywać obowiązki na powierzonych stanowiskach służbowych. 2018-12-26 J A W N E
OPRACOWYWANIE SZCZEGÓLNYCH WYMAGAŃ BEZPIECZEŃSTWA J A W N E W GŚB, LŚB i ŚBE wprowadzono: konieczność posiadania poświadczenia bezpieczeństwa osobowego oraz rzeczywista potrzeba uzyskania informacji przez personel autoryzowany; nadzór nad personelem nieautoryzowanym poprzez eskortowanie i nadzorowanie pracy; nadzór nad personelem autoryzowanym ze względów bezpieczeństwa, zachowanie zasady obecności dwóch osób w strefie LŚB; 2018-12-26 J A W N E
OPRACOWYWANIE SZCZEGÓLNYCH WYMAGAŃ BEZPIECZEŃSTWA J A W N E W GŚB, LŚB i ŚBE wprowadzono: - kontrolę wstępu do pomieszczenia poprzez zamki w drzwiach (m.in. zamek szyfrowy); - zapobieganie niekontrolowanemu dostępowi do Lokalnego Środowiska Bezpieczeństwa (LŚB); 2018-12-26 J A W N E
OPRACOWYWANIE SZCZEGÓLNYCH WYMAGAŃ BEZPIECZEŃSTWA J A W N E fizyczne zabezpieczenie urządzeń peryferyjnych oraz stacji roboczych poprzez plomby; przechowywanie nośników (dysku twardego, dyskietek, itp.) i dokumentów niejawnych w zamkniętym i oplombowanym sejfie po godzinach pracy; znakowanie, zabezpieczanie i niszczenie dokumentów; kontrolę dokumentów o limitowanym dostępie; kontrolę dostępu do dokumentacji systemowej i użytkowej; sprawdzanie wydruków przed ich przekazaniem do GŚB; 2018-12-26 J A W N E
OPRACOWYWANIE SZCZEGÓLNYCH WYMAGAŃ BEZPIECZEŃSTWA J A W N E wydruki do GŚB trafiają wyłącznie po uprzednim ujęciu na ewidencję w kancelarii tajnej; używanie sprzętu posiadającego certyfikaty wydane lub uznane przez Służby Ochrony Państwa zabezpieczającego informacje niejawne przed ulotem elektromagnetycznym; oznaczanie (etykietowanie) nośników; wymagania związane z przeklasyfikowaniem informacji. 2018-12-26 J A W N E
OPRACOWYWANIE SZCZEGÓLNYCH WYMAGAŃ BEZPIECZEŃSTWA J A W N E V.1.9. Ryzyko szczątkowe Wymagania wynikające z obowiązujących przepisów Rzeczywistość 2018-12-26 J A W N E
OPRACOWYWANIE SZCZEGÓLNYCH WYMAGAŃ BEZPIECZEŃSTWA J A W N E V.2. Środki ochrony Dokładna charakterystyka środków ochrony V.2.1. Ochrona fizyczna V.2.2. Ochrona elektromagnetyczna V.2.3. Ochrona kryptograficzna V.2.4. Bezpieczeństwo transmisji V.2.5. Bezpieczeństwo w zakresie kontroli dostępu 2018-12-26 J A W N E
OPRACOWYWANIE SZCZEGÓLNYCH WYMAGAŃ BEZPIECZEŃSTWA J A W N E VI. ZARZĄDZANIE BEZPIECZEŃSTWEM (podać kto realizuje zarządzanie: np.. ABW, Władza akredytacji, Władza bezpieczeństwa, Władza operacyjna, Pełnomocnik, Admin) VI.1. Zarządzanie ryzykiem VI.2. Procedury bezpieczeństwa VI.3. Kontrola konfiguracji VI.4. Utrzymanie (Admin, serwis – zasady) VI.5. Dokumentacja (załączniki – kolejne slajdy) VI.6. Szkolenia VI.7. Warunki certyfikacji VI.8. Wycofanie z użycia 2018-12-26 J A W N E
OPRACOWYWANIE SZCZEGÓLNYCH WYMAGAŃ BEZPIECZEŃSTWA J A W N E ZAŁĄCZNIK nr 1 Topologia systemu/sieci teleinformatycznej Sieć teleinformatyczna – przedstawić topologię. System teleinformatyczny – przedstawić ukompletowanie. ZAŁĄCZNIK nr 2 Spis inwentaryzacyjny sprzętu i oprogramowania 2018-12-26 J A W N E
OPRACOWYWANIE SZCZEGÓLNYCH WYMAGAŃ BEZPIECZEŃSTWA J A W N E ZAŁĄCZNIK nr 3 Szkic Globalnego Środowiska Bezpieczeństwa Systemu/Sieci Teleinformatycznej ZAŁĄCZNIK nr 4 Szkic Lokalnego Środowiska Bezpieczeństwa Systemu/Sieci Teleinformatycznej ZAŁĄCZNIK nr 5 Plan Stref Bezpieczeństwa oraz Strefy Administracyjnej 2018-12-26 J A W N E
OPRACOWYWANIE SZCZEGÓLNYCH WYMAGAŃ BEZPIECZEŃSTWA J A W N E ZAŁĄCZNIK nr 6 Plan rozmieszczenia urządzeń, połączeń oraz linii transmisyjnych systemu lub sieci teleinformatycznej ZAŁĄCZNIK nr 7 Struktura organu bezpieczeństwa systemu/sieci teleinformatycznej 2018-12-26 J A W N E
OPRACOWYWANIE PROCEDUR BEZPIECZNEJ EKSPLOATACJI J A W N E INFORMACJE OGÓLNE I.1. Klauzula tajności systemu/sieci teleinformatycznej I.2. Certyfikacja/dopuszczenie systemu/sieci teleinformatycznej do eksploatacji I.3. Opis systemu/sieci teleinformatycznej 2018-12-26 J A W N E
OPRACOWYWANIE PROCEDUR BEZPIECZNEJ EKSPLOATACJI J A W N E II. ADMINISTRACJA I ORGANIZACJA BEZPIECZEŃSTWA II.1. Informacje ogólne II.2. Administrator systemu II.3. Administrator terminala II.4. Meldowanie o naruszeniu bezpieczeństwa systemu/sieci teleinformatycznej II.5. Meldowanie o wykryciu wirusa w systemie/sieci teleinformatycznej 2018-12-26 J A W N E
OPRACOWYWANIE PROCEDUR BEZPIECZNEJ EKSPLOATACJI J A W N E III. BEZPIECZEŃSTWO PERSONELU III.1. Informacje ogólne III.2. Użytkownicy systemu/sieci teleinformatycznej III.3. Personel pomocniczy III.4. Osoby wizytujące 2018-12-26 J A W N E
OPRACOWYWANIE PROCEDUR BEZPIECZNEJ EKSPLOATACJI J A W N E IV. BEZPIECZEŃSTWO FIZYCZNE IV.1. Informacje ogólne IV.2. Obszar systemu/sieci teleinformatycznej IV.3. Ochrona serwera, stacji roboczych i nośników IV.4. Kontrola dostępu użytkownika do sprzętu IV.5. Zasady kontroli sprzętu 2018-12-26 J A W N E
OPRACOWYWANIE PROCEDUR BEZPIECZNEJ EKSPLOATACJI J A W N E V. BEZPIECZEŃSTWO DOKUMENTÓW V.1. Informacje ogólne (definicja dokumentu) V.2. Wymiana informacji V.3. Klasyfikacja i oznaczanie dokumentów Rozporządzenie Ministra Spraw Wewnętrznych i Administracji oraz Obrony Narodowej z dnia 27 listopada 2003 roku w sprawie sposobu oznaczania materiałów, w tym klauzulami tajności oraz sposobu umieszczania klauzul na tych materiałach (Dz. U. z 2003 r. Nr 211, poz. 2071); 2018-12-26 J A W N E
OPRACOWYWANIE PROCEDUR BEZPIECZNEJ EKSPLOATACJI J A W N E V. BEZPIECZEŃSTWO DOKUMENTÓW V.4. Zmiana klasyfikacji dokumentów (+ deklasyfikacja) V.5. Kontrola dokumentów V.6. Niszczenie dokumentów V.7. Biblioteka nośników (KT, wykonawcy, zasady ewidencjonowania, przekazywania, obieg w j.o.) V.8. Dokumenty kontrolne (wszelkie protokoły, sprawozdania, meldunki, analizy odnoszące się do bezp. Systemu znajdują się u insp. Bezp. Teleinf. W oddzielnej teczce „Bezpieczeństwo Systemu Teleinf.) 2018-12-26 J A W N E
OPRACOWYWANIE PROCEDUR BEZPIECZNEJ EKSPLOATACJI J A W N E VI. BEZPIECZEŃSTWO SPRZĘTU I OPROGRAMOWANIA VI.1. Informacje ogólne VI.2. Bezpieczeństwo sprzętowe VI.3. Bezpieczeństwo oprogramowania 2018-12-26 J A W N E
OPRACOWYWANIE PROCEDUR BEZPIECZNEJ EKSPLOATACJI J A W N E VII. BEZPIECZEŃSTWO ŁĄCZNOŚCI VII.1. Bezpieczeństwo kryptograficzne VII.2. Bezpieczeństwo elektromagnetyczne VII.3. Bezpieczeństwo transmisji 2018-12-26 J A W N E
OPRACOWYWANIE PROCEDUR BEZPIECZNEJ EKSPLOATACJI J A W N E VIII. MONITOROWANIE BEZPIECZEŃSTWA I KONTROLE IX. KONSERWACJA I NAPRAWY X. PLANY AWARYJNE I ZAPOBIEGAWCZE X.1 Zasilanie X.2 Kopie zapasowe X.3 Klęski żywiołowe X.4 Sytuacje specjalne (napad, sabotaż, zagrożenie ład. wybuchowym itp..) X.5 Szkolenia i ćwiczenia. 2018-12-26 J A W N E
OPRACOWYWANIE PROCEDUR BEZPIECZNEJ EKSPLOATACJI J A W N E XI. POLITYKA ANTY-WIRUSOWA XI.1 Informacje ogólne XI.2 Świadomość użytkownika XI.3 Zasady higieny komputerowej XI.4 Infekcja stacji roboczej Załącznik - „Procedury antywirusowe dla stacji roboczej PC” 2018-12-26 J A W N E
J A W N E Użytkownicy systemu lub sieci zobowiązani są do zapoznania się z procedurami bezpieczeństwa systemu lub sieci i potwierdzenia tego faktu własnoręcznym podpisem (oryginał procedur z podpisami użytkowników przechowuje pełnomocnik ochrony). 2018-12-26 J A W N E
J A W N E Użytkownicy muszą być przeszkoleni w zakresie bezpieczeństwa przez pełnomocnika ochrony (pracownika pionu ochrony) oraz w zakresie użytkowania systemu lub sieci przez administratora systemu lub sieci. W celu zapewnienia wysokiego stanu świadomości użytkowników w zakresie ich odpowiedzialności za bezpieczeństwo systemów i sieci teleinformatycznych oraz ich właściwej i bezpiecznej eksploatacji winno się prowadzić systematyczne (nie rzadziej niż raz w roku) szkolenia uzupełniające. 2018-12-26 J A W N E
ZAKRESY ODPOWIEDZIALNOŚCI OSÓB FUNKCYJNYCH J A W N E ZAKRESY ODPOWIEDZIALNOŚCI OSÓB FUNKCYJNYCH 2018-12-26 J A W N E
Zakres odpowiedzialności kierownika jednostki organizacyjnej: J A W N E Kierownik jednostki organizacyjnej jest obowiązany zapewnić bezpieczeństwo teleinformatyczne przed przystąpieniem do przetwarzania informacji niejawnych w systemie lub sieci teleinformatycznej. W celu zapewnienia kontroli dostępu do systemu lub sieci teleinformatycznej kierownik jednostki organizacyjnej określa warunki i sposób przydzielania uprawnień ich użytkownikom. 2018-12-26 J A W N E
J A W N E Kierownik jednostki organizacyjnej odpowiada za eksploatację i bezpieczeństwo systemów i lokalnych (wewnętrznych) sieci teleinformatycznych oraz terminali sieci rozległych, funkcjonujących w komórce organizacyjnej oraz ochronę informacji niejawnych wytwarzanych, przetwarzanych, przechowywanych i przesyłanych w tych systemach lub sieciach, a w szczególności za: opracowanie i przekazanie do właściwej SOP szczególnych wymagań bezpieczeństwa systemów autonomicznych i lokalnych sieci teleinformatycznych funkcjonujących w ramach komórki organizacyjnej; 2018-12-26 J A W N E
J A W N E wyznaczenie administratorów systemów i sieci teleinformatycznych odpowiedzialnych za funkcjonowanie systemu lub sieci teleinformatycznych oraz za przestrzeganie zasad i wymagań bezpieczeństwa systemów i sieci teleinformatycznych; wyznaczenie pracownika pionu ochrony pełniącego funkcję inspektora bezpieczeństwa teleinformatycznego odpowiedzialnego za bieżącą kontrolę zgodności funkcjonowania sieci lub systemu teleinformatycznego ze szczególnymi wymaganiami bezpieczeństwa. 2018-12-26 J A W N E
J A W N E Dysponenci środków budżetowych, każdy w swoim zakresie, zobowiązani są do wydzielenia środków na utworzenie lub przygotowanie pomieszczeń wydzielonych (terminali) teleinformatycznych, w podległych (zaopatrywanych) jednostkach organizacyjnych. 2018-12-26 J A W N E
Zakres odpowiedzialności pełnomocnika ds Zakres odpowiedzialności pełnomocnika ds. ochrony informacji niejawnych: J A W N E Pełnomocnik ochrony odpowiada za ochronę systemów i sieci teleinformatycznych (systemów autonomicznych, sieci lokalnych (wewnętrznych) i terminali sieci rozległych, funkcjonujących w jednostce organizacyjnej) z zastrzeżeniem organizacyjnych, technicznych i programowych aspektów ochrony kryptograficznej, a w szczególności odpowiada za: zapewnienie bezpieczeństwa fizycznego obszaru, w którym usytuowany jest system, sieć lub terminal sieci rozległej; 2018-12-26 J A W N E
J A W N E zapewnienie przestrzegania zasad ochrony informacji niejawnych przetwarzanych, przechowywanych i przesyłanych w systemie lub sieci teleinformatycznej, w tym właściwego obiegu dokumentów (wchodzących, wychodzących i nośników informacji); zapewnienie dostępu do systemu wyłącznie osobom posiadającym odpowiednie poświadczenia bezpieczeństwa; kontrolę znajomości procedur bezpieczeństwa przez wszystkich użytkowników systemu lub sieci teleinformatycznej; 2018-12-26 J A W N E
J A W N E organizację szkolenia użytkowników w zakresie ochrony informacji niejawnych przetwarzanych, przechowywanych i przesyłanych w funkcjonującym w jednostce organizacyjnej systemie lub sieci teleinformatycznej; nadzór nad konfiguracją systemu, sieci lub terminali, przemieszczaniem sprzętu (terminali końcowych i urządzeń peryferyjnych) oraz nad prowadzeniem jego ewidencji. 2018-12-26 J A W N E
Pełnomocnik ochrony uczestniczy w opracowywaniu: J A W N E Pełnomocnik ochrony uczestniczy w opracowywaniu: programów organizacyjno - użytkowych, projektów technicznych przewidywanych do budowy systemów i sieci teleinformatycznych; szczególnych wymagań bezpieczeństwa systemu lub sieci teleinformatycznej. 2018-12-26 J A W N E
J A W N E Pełnomocnik ochrony, w przypadku stwierdzenia naruszeń bezpieczeństwa lub rozbieżności pomiędzy stanem faktycznym a zasadami ochrony systemu lub sieci teleinformatycznej, zawartymi w szczególnych wymaganiach bezpieczeństwa, będących poza sferą jego odpowiedzialności, informuje właściwy organ bezpieczeństwa systemów łączności i informatyki oraz odpowiednie służby ochrony państwa. 2018-12-26 J A W N E
J A W N E Pełnomocnik ochrony powinien prowadzić szkolenia dla użytkowników w zakresie bezpieczeństwa systemu lub sieci. Ponadto pełnomocnik ochrony ma pewne zadania związane z plikami elektronicznego dziennika zdarzeń. Powinny być one zabezpieczone przed wprowadzaniem jakichkolwiek zmian. Zapisów do nich może dokonywać tylko system, a dostęp do nich może mieć tylko pełnomocnik ochrony lub upoważniony przez niego pracownik pionu ochrony. Muszą być tworzone kopie rezerwowe dziennika zdarzeń. 2018-12-26 J A W N E
Główne zadania oraz dokumentacja Administratora: J A W N E odpowiedzialność za funkcjonowanie systemu lub sieci teleinformatycznych oraz za przestrzeganie zasad i wymagań bezpieczeństwa systemów i sieci teleinformatycznych – Art. 64 ustawy o OIN; codzienna obsługę techniczną systemu lub terminala – podstawa – § 4 decyzji 181/MON; sprawdzenie poprawności działania systemu – podstawa – § 4 decyzji 181/MON; 2018-12-26 J A W N E
J A W N E opracowywanie projektów szczególnych wymagań bezpieczeństwa systemu lub sieci teleinformatycznej oraz propozycji ich uaktualnienia – podstawa – § 4 decyzji 181/MON; wdrażanie procedur bezpieczeństwa oraz nadzór nad funkcjonowaniem systemu lub sieci teleinformatycznej – podstawa – § 4 decyzji 181/MON; wdrażanie procedur ochrony antywirusowej – podstawa – § 4 decyzji 181/MON; 2018-12-26 J A W N E
J A W N E opracowanie planów awaryjnych i planu napraw systemu lub sieci teleinformatycznej – podstawa – § 4 decyzji 181/MON; informowanie pełnomocnika ochrony oraz właściwego organu bezpieczeństwa systemów łączności i informatyki o stwierdzonych naruszeniach bezpieczeństwa systemu, sieci teleinformatycznej oraz wykrytych wirusach – podstawa – § 4 decyzji 181/MON; proponowanie zmian mających na celu poprawę bezpieczeństwa systemu lub sieci teleinformatycznej – podstawa – § 4 decyzji 181/MON; 2018-12-26 J A W N E
oplombowanie urządzeń; oplombowanie portów; kontrola plomb; J A W N E szkolenia użytkowników w zakresie użytkowania systemu lub sieci (nie rzadziej niż raz w roku); ewidencja plomb; oplombowanie urządzeń; oplombowanie portów; kontrola plomb; kontrole i przeglądy nośników komputerowych; 2018-12-26 J A W N E
kontrole bezpieczeństwa systemów i sieci; oznaczenie urządzeń; J A W N E kontrole bezpieczeństwa systemów i sieci; oznaczenie urządzeń; ewidencja urządzeń; rejestr napraw i konserwacji (data naprawy/konserwacji, typ i nr sprzętu, opis czynności, imię i nazwisko serwisanta, dane osoby nadzorującej); ewidencja oprogramowania (nazwa, nr wersji, data, źródło nabycia, nr licencji); 2018-12-26 J A W N E
zdeponowanie hasła administratora w kancelarii tajnej; J A W N E zdeponowanie hasła administratora w kancelarii tajnej; oznaczenie kolorem czerwonym urządzeń zestawu; wykonywanie kopii zapasowych oryginałów oprogramowania oraz weryfikacja poprawności ich zapisu; okresowe kontrole zgodności kopii zapasowych oprogramowania z oryginałami; 2018-12-26 J A W N E
okresowe kontrole pod względem zgodności konfiguracji oprogramowania; J A W N E okresowe kontrole pod względem zgodności konfiguracji oprogramowania; nadzór nad właściwym funkcjonowaniem mechanizmów kontroli dostępu; określanie warunków oraz sposobu przydzielania użytkownikom kont i haseł użytkownikom. 2018-12-26 J A W N E
Główne zadania oraz dokumentacja Inspektora bezpieczeństwa teleinformatycznego: J A W N E bieżąca kontrola zgodności funkcjonowania sieci lub systemu teleinformatycznego ze szczególnymi wymaganiami bezpieczeństwa oraz za kontrolę przestrzegania procedur bezpiecznej eksploatacji (Art. 64 ustawy); 2018-12-26 J A W N E
prowadzenie zajęć z zakresu bezpieczeństwa teleinformatycznego; J A W N E prowadzenie zajęć z zakresu bezpieczeństwa teleinformatycznego; prowadzenie kontroli bieżących i wyrywkowych; prowadzenie dokumentacji pokontrolnej (wskazane jest aby zagadnienia kontroli wyrywkowych prowadzonych przez inspektora zawarte były w harmonogramie kontroli zatwierdzonym przez kierownika jednostki organizacyjnej); archiwizacja dzienników zdarzeń (za czynność tą odpowiedzialny jest pełnomocnik ochrony, ale po co ma w swojej komórce inspektora?) 2018-12-26 J A W N E
ZASADY NISZCZENIA MAGNETYCZNYCH NOŚNIKÓW DANYCH J A W N E ZASADY NISZCZENIA MAGNETYCZNYCH NOŚNIKÓW DANYCH 2018-12-26 J A W N E
J A W N E W przypadku niszczenia nośników stanowiących element ukompletowania zestawu komputerowego, protokół zniszczenia sporządza się w 2 egzemplarzach. Egzemplarz nr 1 - KT Egzemplarz nr 2 otrzymuje oddział gospodarczy, który stanowi podstawę do zdekompletowania zestawu komputerowego i rozliczenia się użytkownika. 2018-12-26 J A W N E
2) niszczenie ostateczne. Niszczenie elektronicznych nośników informacji przeprowadza się w dwóch etapach: J A W N E 1) niszczenie wstępne; 2) niszczenie ostateczne. Sposób niszczenia przedstawia tabelka na kolejnym slajdzie. 2018-12-26 J A W N E
J A W N E 2018-12-26 J A W N E
DZIĘKUJĘ ZA UWAGĘ ODDZIAŁ POMORSKI J A W N E ODDZIAŁ POMORSKI OGÓLNOPOLSKIEGO STOWARZYSZENIA PEŁNOMOCNIKÓW OCHRONY NFORMACJI NIEJAWNYCH DZIĘKUJĘ ZA UWAGĘ 2018-12-26 J A W N E