Zarys formalno – prawnych aspektów przetwarzania informacji niejawnych w systemach teleinformatycznych Autor: Adam ZIĘBA JAWNE.

Slides:



Advertisements
Podobne prezentacje
AKTUALIZACJA STANU PRAWNEGO W ZAKRESIE KONTROLI WYMOGÓW I KONTROLI IDENTYFIKACJI I REJESTRACJI ZWIERZĄT Puławy, ; r.;
Advertisements

KRK – na Uniwersytecie Warszawskim Marta Kicińska-Habior
Program wychowawczy szkoły i program profilaktyki
PRZEPISY DOTYCZĄCE SZKOLEŃ Z ZAKRESU BHP.
ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
Zasady wyboru podręczników przez nauczycieli.
Kompleksowe zarządzanie bezpieczeństwem informacji
PRG Państwowy Rejestr Granic
Wymagana dokumentacja dyrektora szkoły w zakresie procedur prowadzonych w szkole/placówce w związku z ubieganiem się o kolejny stopień awansu zawodowego.
Eksploatacja zasobów informatycznych przedsiębiorstwa
Mirosław BarszczWarszawa, 7 lipca 2005 r. Jerzy Martini Piotr Maksymiuk Marek Wojda Faktura elektroniczna Elektroniczna korespondencja z organami podatkowymi.
Realizacja planu kontroli agencji zatrudnienia z terenu województwa pomorskiego przez Wojewódzki Urząd Pracy w Gdańsku za okres od r. do
Audyt wewnętrzny w systemie kontroli zarządczej
Aktualne zagadnienia prawne.
WSPÓŁPRACA W ZAKRESIE NADZORU NAD WYROBAMI MEDYCZNYMI WPROWADZANYMI DO OBROTU I DO UŻYWANIA NA TERYTORIUM POLSKI Zgodnie z art ustawy z dnia 20 kwietnia.
Niektóre procedury wynikające z przepisów prawa, przy bieżącej aktualizacji ewidencji gruntów i budynków, dokonywanej przez starostów. Zgłoszenia zmiany,
Środki bezpieczeństwa
Czerwiec 2007 Koncepcja budowy platformy do wymiany informacji objętych tajemnicą służbową w oparciu o LotusNotes i produkty firmy MALKOM
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
1. 2 Elektroniczna Dystrybucja Informacji EDI, format XML Wydział Prawa i Administracji Pracownia Komputerowa.
Wykorzystanie dróg w sposób szczególny:
WYDZIAŁ KSZTAŁCENIA PRZEDSZKOLNEGO, PODSTAWOWEGO I GIMNAZJALNEGO Gdańsk, dnia 26 sierpnia 2008 r. Kuratorium Oświaty w Gdańsku.
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
Wojewódzki Urząd Pracy w Olsztynie Wojewódzki Urząd Pracy w Olsztynie Reforma sieci EURES- nowe możliwości dla agencji zatrudnienia Aneta Majbańska Doradca.
Aleph Raporty, raport danych osobowych, ubytki OPAC.
ROLE I ODPOWIEDZIALNOŚCI W PROCESIE DOPUSZCZENIA POJAZDÓW KOLEJOWYCH DO EKSPLOATACJI Urząd Transportu Kolejowego, Al. Jerozolimskie 134, Warszawa.
Ochrona danych osobowych i informacji niejawnych
KONTROLA ZARZĄDCZA - 1 Kontrolę zarządczą stanowi ogół
Wydział Bezpieczeństwa i Zarządzania Kryzysowego Starostwa Powiatowego w Wejherowie Aspekty prawne funkcjonowania Krajowego Systemu Ratowniczo-Gaśniczego.
Ochrona danych osobowych i informacji niejawnych
Ochrona danych osobowych i informacji niejawnych
Bezpieczeństwo systemów informatycznych
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
niezawodności Z problemem jakości systemów informacyjnych wiąże się problem zapewnienia odpowiedniej niezawodności ich działania.
Ocena jakości systemów informacyjnych (aspekt eksploatacyjny)
Eksploatacja zasobów informatycznych przedsiębiorstwa.
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
Ul. Basztowa 22, Kraków tel , fax NIEODPŁATNA POMOC PRAWNA [ustawa z dnia 5 sierpnia 2015 r. o nieodpłatnej.
Moduł e-Kontroli Grzegorz Dziurla.
Akty prawne Ustawa z dnia 26 stycznia 1982 r.
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
POLITYKA BEZPIECZEŃSTWA. Podstawa prawna: §3 i §4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji.
Reglamentacja procesu budowy
Dyrektywa IED – zmiany w zasadach kontroli instalacji IPPC Warszawa, 24 października 2013r.
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
Kontrola zarządcza w jednostce budżetowej
Bezpieczeństwo informacyjne i informatyczne państwa
SYSTEM ZARZĄDZANIA KRYZYSOWEGO Starostwo Powiatowe w Wągrowcu
System ochrony danych osobowych a System zarządzania bezpieczeństwem informacji - w kontekście Rozporządzenia o Krajowych Ramach Interoperacyjności i normy.
ZAMYKANIE SKŁADOWISK ODPADÓW NIESPEŁNIAJĄCYCH WYMAGAŃ.
Rada szkoleniowa „Cyfrowe bezpieczeństwo danych osobowych w szkole”
OCHRONA INFORMACJI NIEJAWNYCH podstawowe pojęcia i wymagania Warszawa, 15 marca 2016 r. mgr inż. Zbysław Antoni KUCZA.
NAJWAŻNIEJSZE AKTY PRAWNE WYKONAWCZE DO USTAWY Z 29 SIERPNIA 1997 ROKU O OCHRONIE DANYCH OSOBOWYCH.
OCHRONA INFORMACJI NIEJAWNYCH
Praktyczne aspekty procesu opracowywania dokumentów
Rozporządzenie Ministra Edukacji Narodowej z dnia 27 października 2009 r. w sprawie wymagań, jakim powinna odpowiadać osoba zajmująca stanowisko dyrektora.
Problematykę ochrony osób, mienia i informacji niejawnych normują:
TRANSPORTOWY DOZÓR TECHNICZNY
TEMAT KLASYFIKOWANIE INFORMACJI NIEJAWNYCH. KLAUZULE TAJNOŚCI
MINISTERSTWO OBRONY NARODOWEJ
Dostęp do informacji niejawnych
BIURO OCHRONY INFORMACJI NIEJAWNYCH Temat:Wybrane zagadnienia z kontroli prowadzonych przez NIK w zakresie prawidłowości przestrzegania przepisów dotyczących.
Co się zmienia w systemie ochrony danych osobowych w świetle RODO
OCHRONA INFORMACJI NIEJAWNYCH
CENTRUM KSZTAŁCENIA PODYPLOMOWEGO PIELĘGNIAREK I POŁOŹNYCH
J A W N E ODDZIAŁ POMORSKI
J A W N E ODDZIAŁ POMORSKI
Rola oceny na lekcjach wychowania fizycznego
DLA PRACODAWCÓW I OSÓB KIERUJĄCYCH PRACOWNIKAMI
Zapis prezentacji:

Zarys formalno – prawnych aspektów przetwarzania informacji niejawnych w systemach teleinformatycznych Autor: Adam ZIĘBA JAWNE

Plan prezentacji Podstawy prawne ochrony informacji niejawnych Kluczowe pojęcia Główne zasady ochrony informacji niejawnych Ochrona informacji niejawnych w systemach i sieciach teleinformatycznych JAWNE

Podstawy prawne ochrony informacji niejawnych Ustawa z dnia 22 stycznia 1999r. o ochronie informacji niejawnych (t. j. - Dz. U. Nr 196, poz. 1631) – [UOIN] Rozporządzenie Prezesa RM z dnia 25 sierpnia 2005r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz.U. Nr 171, poz. 1433) – [RPWB] JAWNE

Kluczowe pojęcia - informacje niejawne Informacje niejawne (IN) – informacje, które wymagają ochrony przed nieuprawnionym ujawnieniem, jako stanowiące tajemnicę państwową lub służbową, niezależnie od formy i sposobu ich wyrażania, także w trakcie ich opracowywania (Art. 1 ust. 1 UOIN) JAWNE

Główne zasady ochrony IN IN mogą być udostępniane wyłącznie osobie uprawnionej do dostępu do IN o określonej klauzuli tajności. IN muszą być przetwarzane w warunkach uniemożliwiających ich nieuprawnione ujawnienie. IN mogą być przetwarzane w bezpiecznych systemach i sieciach teleinformatycznych. IN stanowiące TS oznaczone klauzulą „zastrzeżone” są chronione zgodnie ze szczegółowymi wymaganiami w/z ochrony tego typu IN opracowanymi przez pełnomocnika ochrony i zatwierdzonymi przez kierownika JO. JAWNE

Dostęp do informacji niejawnych - zasada wiedzy uzasadnionej IN mogą być udostępniane wyłącznie osobie dającej rękojmię zachowania tajemnicy i tylko w zakresie niezbędnym do wykonywania przez nią pracy lub pełnienia służby na zajmowanym stanowisku albo innej zleconej pracy (tzw. zasada wiedzy uzasadnionej) - Art. 3 UOIN JAWNE

Ochrona informacji niejawnych przetwarzanych w systemach i sieciach TI JAWNE

Kluczowe pojęcia system teleinformatyczny (system TI) - system, który tworzą urządzenia, narzędzia, metody postępowania i procedury stosowane przez wyspecjalizowanych pracowników, w sposób zapewniający wytwarzanie, przechowywanie, przetwarzanie lub przekazywanie informacji (Art. 2 pkt 8 UOIN) sieć teleinformatyczna (sieć TI) - organizacyjne i techniczne połączenie systemów TI (Art. 2 pkt 9 UOIN) JAWNE

Kluczowe pojęcia Dokumentacja bezpieczeństwa systemu lub sieci TI – są Szczególne Wymagania Bezpieczeństwa oraz Procedury Bezpiecznej Eksploatacji danego systemu (…) (Art. 2 pkt 11 UOIN) incydent bezpieczeństwa TI - należy przez to rozumieć każde zdarzenie naruszające bezpieczeństwo TI spowodowane w szczególności awarią systemu lub sieci TI, działaniem osób uprawnionych lub nieuprawnionych do pracy w tym systemie lub sieci albo zaniechaniem osób uprawnionych (§ 2 pkt 1 RWB) JAWNE

Powinności kierownika jednostki organizacyjnej 1/2 opracowanie i przekazanie SOP dokumentacji bezpieczeństwa TI (art. 61 ust. 3 UOIN) wyznaczenie administratora systemu i inspektora bezpieczeństwa TI (art. 64 ust. 1 UOIN) właściwa oraz bezpieczna eksploatacja systemów i sieci TI (art. 61 ust. 3 UOIN) JAWNE

Powinności kierownika jednostki organizacyjnej 2/2   realizacja ochrony fizycznej, elektromagnetycznej i kryptograficznej systemu lub sieci TI; zapewnianie niezawodność transmisji oraz kontroli dostępu do urządzeń systemu lub sieci TI; dokonywanie analizy stanu bezpieczeństwa TI oraz zapewnianie usunięcia stwierdzonych nieprawidłowości; zapewnianie przeszkolenia z zakresu bezpieczeństwa TI dla osób uprawnionych do pracy w systemie lub sieci TI; zawiadamianie właściwej SOP o zaistniałym incydencie bezpieczeństwa TI dotyczącym IN oznaczonych co najmniej klauzulą "poufne". JAWNE

Administrator Systemu (AS) i Inspektor Bezpieczeństwa Teleinformatycznego (IBTI) Administrator systemu – osoba lub zespół osób odpowiedzialnych za funkcjonowanie systemu/sieci TI oraz za przestrzeganie zasad i wymagań bezpieczeństwa TI (art. 64 ust. 1 pkt 1 UOIN) Inspektor bezpieczeństwa teleinformatycznego – pracownik lub pracownicy pionu ochrony odpowiedzialni za bieżącą kontrolę zgodności funkcjonowania sieci/systemu TI ze SWB oraz za kontrolę przestrzegania PBE (art. 64 ust. 1 pkt 2 UOIN) JAWNE

Rola służb ochrony państwa akredytacja systemów i sieci TI, w których mają być przetwarzane IN - akredytacja bezpieczeństwa TI (art. 60 ust.1 UOIN) badania i certyfikacja urządzeń i narzędzi kryptograficznych, służących do ochrony IN stanowiących TP lub TS oznaczonych klauzulą „poufne” – certyfikat ochrony kryptograficznej (art. 60 ust. 3 UOIN) udzielanie kierownikom JO pomocy niezbędnej dla realizacji ich zadań – zalecenia w zakresie bezpieczeństwa TI (art. 64 ust. 3 UOIN) JAWNE

Bezpieczeństwo teleinformatyczne systemów i sieci TI przetwarzających IN 1/3 ochrona fizyczna (strefy bezpieczeństwa, środki zabezpieczające pomieszczenia) - §5 Rozporządzenia ochrona elektromagnetyczna (strefy bezpieczeństwa lub urządzenia o obniżonej emisji lub ekranowanie) - §6 Rozporządzenia ochrona kryptograficzna (szyfrowanie i inne mechanizmy zapewniające poufność, integralność, uwierzytelnienie) - §7 Rozporządzenia bezpieczeństwo transmisji (kontrola dostępu lub szyfrowanie przy podłączeniu do powszechnie dostępnej sieci) §8 Rozporządzenia kontrola dostępu (uprawnienia, hasła i mechanizmy kontroli dostępu) §9 Rozporządzenia JAWNE

Bezpieczeństwo teleinformatyczne systemów i sieci TI przetwarzających IN 2/3 Podstawowe wymagania: przetwarzanie IN w strefie administracyjnej, strefie bezpieczeństwa lub specjalnej strefie bezpieczeństwa chronionych elektromagnetycznie - §5 §6 Rozporządzenia przekazywanie IN poza strefy kontrolowanego dostępu - wymaga ochrony kryptograficznej - §7 ust.2 Rozporządzenia przekazywanie IN na nośnikach poza strefy kontrolowanego dostępu - pod warunkiem stosowania ochrony kryptograficznej lub spełnienie wymagań o których mowa w przepisach w sprawie trybu i sposobu przyjmowania, przewożenia itd. - §7 ust.3 Rozporządzenia §8 rozporządzenia - niezawodność transmisji polega na zapewnieniu integralności i dostępności IN, np. poprzez zapasowe łącze telekomunikacyjne. JAWNE

Bezpieczeństwo teleinformatyczne systemów i sieci TI przetwarzających IN 3/3 Kontrola dostępu - §9 ust.1 pkt1 Rozporządzenia – kierownik JO określa warunki i sposób przydzielania uprawnień do pracy w systemie, pkt2. Administrator określa warunki oraz sposób przydzielania kont i zapewnia mechanizmy kontroli dostępu, §9 ust.2 mechanizmy kontroli dostępu są zależne od klauzuli tajności IN) jedna osoba nie może posiadać niekontrolowanego dostępu do wszystkich zasobów systemu przetwarzającego tajemnicę państwową (§ 10) SOP mogą dopuścić do stosowania rozwiązania spełniające właściwe wymagania bezpieczeństwa posiadające certyfikat krajowej władzy bezpieczeństwa (Nato, UE)- § 11 JAWNE

Dokumentacja bezpieczeństwa 1/4 Opis systemu TI przetwarzającego informacje niejawne zawarty jest wyłącznie w dokumentacji bezpieczeństwa na którą składają się: - SWB – Szczególne Wymagania Bezpieczeństwa - PBE – Procedury Bezpiecznej Eksploatacji Na podstawie SWB i PBE następuje akredytacja i dopuszczenie systemu do pracy. (art. 60 ust. 1 ustawy) JAWNE

Dokumentacja bezpieczeństwa 2/4 Czym powinny być dokumenty SWB i PBE ? powinny być KOMPLETNYM I WYCZERPUJĄCYM opisem budowy, zasad działania i eksploatacji. (art. 61 ust. 1 ustawy) Co zawiera SWB ? Dane o budowie oraz charakterystykę systemu (§ 13 ust. 1 rozporządzenia) Co zawierają PBE ? Szczegółowy wykaz czynności oraz sposób ich wykonywania. (§ 15 ust. 1 rozporządzenia) JAWNE

Dokumentacja bezpieczeństwa 3/4 Jak poprawnie napisać dokumentację bezpieczeństwa ? Po analizie ryzyka, która da odpowiedź na temat przewidywanego poziomu i kierunków zagrożeń dla przetwarzanych informacji niejawnych, indywidualnie dla każdego systemu uwzględniając specyfikę jednostki należy wyartykułować dane: - w stosunku do SWB obejmujące zagadnienia opisane w § 13 ust. 2 - 3 i § 14 rozporządzenia. - w stosunku do PBE obejmujące zagadnienia opisane w § 15 ust. 2 rozporządzenia. JAWNE

Dokumentacja bezpieczeństwa 4/4 Wykorzystać w procesie jej tworzenia zalecenia SOP: - Szczegółowe zalecenia dotyczące opracowywania dokumentów SWB dla systemów i sieci teleinformatycznych. - Szczegółowe zalecenia dotyczące opracowywania dokumentów PBE systemów i sieci teleinformatycznych. JAWNE

Akredytacja systemu TI 1/2 Przesłanie do ABW dokumentacji SWB oraz PBE celem jej zatwierdzenia (art. 60 ust. 2 ustawy). Dla systemów przetwarzających tajemnicę służbową brak zastrzeżeń uprawnia do przejścia do kolejnego fazy budowy (art. 60 ust. 5 ustawy). Czas odpowiedzi to 30 dni od dnia ich przedstawienia. JAWNE

Akredytacja systemu TI 2/2 Dla systemów przetwarzających tajemnice państwową indywidualne zatwierdzenie dokumentacji bezpieczeństwa w terminie 30 dni od dnia ich otrzymania Po zatwierdzeniu dokumentacji bezpieczeństwa należy wystąpić z wnioskiem WA (do pobrania ze strony internetowej) o przeprowadzenie audytu bezpieczeństwa systemu. Audyt przeprowadza się tylko dla systemów przetwarzających tajemnicę państwową. Po pozytywnym audycie i otrzymaniu certyfikatu akredytacji bezpieczeństwa TI dla systemu można rozpocząć przetwarzanie informacji niejawnych (art. 60 ust. 5 ustawy). JAWNE

JAWNE

Eksploatacja systemu TI W okresie tym należy bezwzględnie przestrzegać zapisów zawartych w dokumentacji bezpieczeństwa za co odpowiedzialny jest kierownik jednostki organizacyjnej. Dokumentacja SWB i PBE podlega dalszym i ciągłym modyfikacjom a w przypadku zmian mających wpływ na bezpieczeństwo danych (przed ich dokonaniem), musi być przesłana do ponownego zatwierdzenia przez SOP (art. 61 ust. 2 i 3). JAWNE

PODSUMOWANIE Bezpieczeństwo systemów i sieci TI zapewnia się przez spełnienie standardów wynikających z: Akredytacji bezpieczeństwa TI, Certyfikatu dla urządzeń i narzędzi kryptograficznych, Certyfikatu akredytacji bezpieczeństwa TI. SWB i PBE opracowuje się w celu: określenia i udokumentowania zasad bezpieczeństwa oraz reguł i środków ochrony zapewniających bezpieczne przetwarzanie informacji niejawnych w systemie TI. Podania w jaki sposób bezpieczeństwo teleinformatyczne jest osiągane, zarządzane i kontrolowane. Przedstawienia kolejnych etapów w procesie ewolucyjnego rozwoju systemu/sieci TI. Dokonania akredytacji systemu TI (dopuszczenia do przetwarzania IN) - co stanowi wiążące porozumienie pomiędzy kierownikiem JO eksploatującej system TI a służbą ochrony państwa oceniającej bezpieczeństwo teleinformatyczne. JAWNE

Dziękuję za uwagę JAWNE