Zarys formalno – prawnych aspektów przetwarzania informacji niejawnych w systemach teleinformatycznych Autor: Adam ZIĘBA JAWNE

Plan prezentacji Podstawy prawne ochrony informacji niejawnych Kluczowe pojęcia Główne zasady ochrony informacji niejawnych Ochrona informacji niejawnych w systemach i sieciach teleinformatycznych JAWNE

Podstawy prawne ochrony informacji niejawnych Ustawa z dnia 22 stycznia 1999r. o ochronie informacji niejawnych (t. j. - Dz. U. Nr 196, poz. 1631) – [UOIN] Rozporządzenie Prezesa RM z dnia 25 sierpnia 2005r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz.U. Nr 171, poz. 1433) – [RPWB] JAWNE

Kluczowe pojęcia - informacje niejawne Informacje niejawne (IN) – informacje, które wymagają ochrony przed nieuprawnionym ujawnieniem, jako stanowiące tajemnicę państwową lub służbową, niezależnie od formy i sposobu ich wyrażania, także w trakcie ich opracowywania (Art. 1 ust. 1 UOIN) JAWNE

Główne zasady ochrony IN IN mogą być udostępniane wyłącznie osobie uprawnionej do dostępu do IN o określonej klauzuli tajności. IN muszą być przetwarzane w warunkach uniemożliwiających ich nieuprawnione ujawnienie. IN mogą być przetwarzane w bezpiecznych systemach i sieciach teleinformatycznych. IN stanowiące TS oznaczone klauzulą „zastrzeżone” są chronione zgodnie ze szczegółowymi wymaganiami w/z ochrony tego typu IN opracowanymi przez pełnomocnika ochrony i zatwierdzonymi przez kierownika JO. JAWNE

Dostęp do informacji niejawnych - zasada wiedzy uzasadnionej IN mogą być udostępniane wyłącznie osobie dającej rękojmię zachowania tajemnicy i tylko w zakresie niezbędnym do wykonywania przez nią pracy lub pełnienia służby na zajmowanym stanowisku albo innej zleconej pracy (tzw. zasada wiedzy uzasadnionej) - Art. 3 UOIN JAWNE

Ochrona informacji niejawnych przetwarzanych w systemach i sieciach TI JAWNE

Kluczowe pojęcia system teleinformatyczny (system TI) - system, który tworzą urządzenia, narzędzia, metody postępowania i procedury stosowane przez wyspecjalizowanych pracowników, w sposób zapewniający wytwarzanie, przechowywanie, przetwarzanie lub przekazywanie informacji (Art. 2 pkt 8 UOIN) sieć teleinformatyczna (sieć TI) - organizacyjne i techniczne połączenie systemów TI (Art. 2 pkt 9 UOIN) JAWNE

Kluczowe pojęcia Dokumentacja bezpieczeństwa systemu lub sieci TI – są Szczególne Wymagania Bezpieczeństwa oraz Procedury Bezpiecznej Eksploatacji danego systemu (…) (Art. 2 pkt 11 UOIN) incydent bezpieczeństwa TI - należy przez to rozumieć każde zdarzenie naruszające bezpieczeństwo TI spowodowane w szczególności awarią systemu lub sieci TI, działaniem osób uprawnionych lub nieuprawnionych do pracy w tym systemie lub sieci albo zaniechaniem osób uprawnionych (§ 2 pkt 1 RWB) JAWNE

Powinności kierownika jednostki organizacyjnej 1/2 opracowanie i przekazanie SOP dokumentacji bezpieczeństwa TI (art. 61 ust. 3 UOIN) wyznaczenie administratora systemu i inspektora bezpieczeństwa TI (art. 64 ust. 1 UOIN) właściwa oraz bezpieczna eksploatacja systemów i sieci TI (art. 61 ust. 3 UOIN) JAWNE

Powinności kierownika jednostki organizacyjnej 2/2   realizacja ochrony fizycznej, elektromagnetycznej i kryptograficznej systemu lub sieci TI; zapewnianie niezawodność transmisji oraz kontroli dostępu do urządzeń systemu lub sieci TI; dokonywanie analizy stanu bezpieczeństwa TI oraz zapewnianie usunięcia stwierdzonych nieprawidłowości; zapewnianie przeszkolenia z zakresu bezpieczeństwa TI dla osób uprawnionych do pracy w systemie lub sieci TI; zawiadamianie właściwej SOP o zaistniałym incydencie bezpieczeństwa TI dotyczącym IN oznaczonych co najmniej klauzulą "poufne". JAWNE

Administrator Systemu (AS) i Inspektor Bezpieczeństwa Teleinformatycznego (IBTI) Administrator systemu – osoba lub zespół osób odpowiedzialnych za funkcjonowanie systemu/sieci TI oraz za przestrzeganie zasad i wymagań bezpieczeństwa TI (art. 64 ust. 1 pkt 1 UOIN) Inspektor bezpieczeństwa teleinformatycznego – pracownik lub pracownicy pionu ochrony odpowiedzialni za bieżącą kontrolę zgodności funkcjonowania sieci/systemu TI ze SWB oraz za kontrolę przestrzegania PBE (art. 64 ust. 1 pkt 2 UOIN) JAWNE

Rola służb ochrony państwa akredytacja systemów i sieci TI, w których mają być przetwarzane IN - akredytacja bezpieczeństwa TI (art. 60 ust.1 UOIN) badania i certyfikacja urządzeń i narzędzi kryptograficznych, służących do ochrony IN stanowiących TP lub TS oznaczonych klauzulą „poufne” – certyfikat ochrony kryptograficznej (art. 60 ust. 3 UOIN) udzielanie kierownikom JO pomocy niezbędnej dla realizacji ich zadań – zalecenia w zakresie bezpieczeństwa TI (art. 64 ust. 3 UOIN) JAWNE

Bezpieczeństwo teleinformatyczne systemów i sieci TI przetwarzających IN 1/3 ochrona fizyczna (strefy bezpieczeństwa, środki zabezpieczające pomieszczenia) - §5 Rozporządzenia ochrona elektromagnetyczna (strefy bezpieczeństwa lub urządzenia o obniżonej emisji lub ekranowanie) - §6 Rozporządzenia ochrona kryptograficzna (szyfrowanie i inne mechanizmy zapewniające poufność, integralność, uwierzytelnienie) - §7 Rozporządzenia bezpieczeństwo transmisji (kontrola dostępu lub szyfrowanie przy podłączeniu do powszechnie dostępnej sieci) §8 Rozporządzenia kontrola dostępu (uprawnienia, hasła i mechanizmy kontroli dostępu) §9 Rozporządzenia JAWNE

Bezpieczeństwo teleinformatyczne systemów i sieci TI przetwarzających IN 2/3 Podstawowe wymagania: przetwarzanie IN w strefie administracyjnej, strefie bezpieczeństwa lub specjalnej strefie bezpieczeństwa chronionych elektromagnetycznie - §5 §6 Rozporządzenia przekazywanie IN poza strefy kontrolowanego dostępu - wymaga ochrony kryptograficznej - §7 ust.2 Rozporządzenia przekazywanie IN na nośnikach poza strefy kontrolowanego dostępu - pod warunkiem stosowania ochrony kryptograficznej lub spełnienie wymagań o których mowa w przepisach w sprawie trybu i sposobu przyjmowania, przewożenia itd. - §7 ust.3 Rozporządzenia §8 rozporządzenia - niezawodność transmisji polega na zapewnieniu integralności i dostępności IN, np. poprzez zapasowe łącze telekomunikacyjne. JAWNE

Bezpieczeństwo teleinformatyczne systemów i sieci TI przetwarzających IN 3/3 Kontrola dostępu - §9 ust.1 pkt1 Rozporządzenia – kierownik JO określa warunki i sposób przydzielania uprawnień do pracy w systemie, pkt2. Administrator określa warunki oraz sposób przydzielania kont i zapewnia mechanizmy kontroli dostępu, §9 ust.2 mechanizmy kontroli dostępu są zależne od klauzuli tajności IN) jedna osoba nie może posiadać niekontrolowanego dostępu do wszystkich zasobów systemu przetwarzającego tajemnicę państwową (§ 10) SOP mogą dopuścić do stosowania rozwiązania spełniające właściwe wymagania bezpieczeństwa posiadające certyfikat krajowej władzy bezpieczeństwa (Nato, UE)- § 11 JAWNE

Dokumentacja bezpieczeństwa 1/4 Opis systemu TI przetwarzającego informacje niejawne zawarty jest wyłącznie w dokumentacji bezpieczeństwa na którą składają się: - SWB – Szczególne Wymagania Bezpieczeństwa - PBE – Procedury Bezpiecznej Eksploatacji Na podstawie SWB i PBE następuje akredytacja i dopuszczenie systemu do pracy. (art. 60 ust. 1 ustawy) JAWNE

Dokumentacja bezpieczeństwa 2/4 Czym powinny być dokumenty SWB i PBE ? powinny być KOMPLETNYM I WYCZERPUJĄCYM opisem budowy, zasad działania i eksploatacji. (art. 61 ust. 1 ustawy) Co zawiera SWB ? Dane o budowie oraz charakterystykę systemu (§ 13 ust. 1 rozporządzenia) Co zawierają PBE ? Szczegółowy wykaz czynności oraz sposób ich wykonywania. (§ 15 ust. 1 rozporządzenia) JAWNE

Dokumentacja bezpieczeństwa 3/4 Jak poprawnie napisać dokumentację bezpieczeństwa ? Po analizie ryzyka, która da odpowiedź na temat przewidywanego poziomu i kierunków zagrożeń dla przetwarzanych informacji niejawnych, indywidualnie dla każdego systemu uwzględniając specyfikę jednostki należy wyartykułować dane: - w stosunku do SWB obejmujące zagadnienia opisane w § 13 ust. 2 - 3 i § 14 rozporządzenia. - w stosunku do PBE obejmujące zagadnienia opisane w § 15 ust. 2 rozporządzenia. JAWNE

Dokumentacja bezpieczeństwa 4/4 Wykorzystać w procesie jej tworzenia zalecenia SOP: - Szczegółowe zalecenia dotyczące opracowywania dokumentów SWB dla systemów i sieci teleinformatycznych. - Szczegółowe zalecenia dotyczące opracowywania dokumentów PBE systemów i sieci teleinformatycznych. JAWNE

Akredytacja systemu TI 1/2 Przesłanie do ABW dokumentacji SWB oraz PBE celem jej zatwierdzenia (art. 60 ust. 2 ustawy). Dla systemów przetwarzających tajemnicę służbową brak zastrzeżeń uprawnia do przejścia do kolejnego fazy budowy (art. 60 ust. 5 ustawy). Czas odpowiedzi to 30 dni od dnia ich przedstawienia. JAWNE

Akredytacja systemu TI 2/2 Dla systemów przetwarzających tajemnice państwową indywidualne zatwierdzenie dokumentacji bezpieczeństwa w terminie 30 dni od dnia ich otrzymania Po zatwierdzeniu dokumentacji bezpieczeństwa należy wystąpić z wnioskiem WA (do pobrania ze strony internetowej) o przeprowadzenie audytu bezpieczeństwa systemu. Audyt przeprowadza się tylko dla systemów przetwarzających tajemnicę państwową. Po pozytywnym audycie i otrzymaniu certyfikatu akredytacji bezpieczeństwa TI dla systemu można rozpocząć przetwarzanie informacji niejawnych (art. 60 ust. 5 ustawy). JAWNE

JAWNE

Eksploatacja systemu TI W okresie tym należy bezwzględnie przestrzegać zapisów zawartych w dokumentacji bezpieczeństwa za co odpowiedzialny jest kierownik jednostki organizacyjnej. Dokumentacja SWB i PBE podlega dalszym i ciągłym modyfikacjom a w przypadku zmian mających wpływ na bezpieczeństwo danych (przed ich dokonaniem), musi być przesłana do ponownego zatwierdzenia przez SOP (art. 61 ust. 2 i 3). JAWNE

PODSUMOWANIE Bezpieczeństwo systemów i sieci TI zapewnia się przez spełnienie standardów wynikających z: Akredytacji bezpieczeństwa TI, Certyfikatu dla urządzeń i narzędzi kryptograficznych, Certyfikatu akredytacji bezpieczeństwa TI. SWB i PBE opracowuje się w celu: określenia i udokumentowania zasad bezpieczeństwa oraz reguł i środków ochrony zapewniających bezpieczne przetwarzanie informacji niejawnych w systemie TI. Podania w jaki sposób bezpieczeństwo teleinformatyczne jest osiągane, zarządzane i kontrolowane. Przedstawienia kolejnych etapów w procesie ewolucyjnego rozwoju systemu/sieci TI. Dokonania akredytacji systemu TI (dopuszczenia do przetwarzania IN) - co stanowi wiążące porozumienie pomiędzy kierownikiem JO eksploatującej system TI a służbą ochrony państwa oceniającej bezpieczeństwo teleinformatyczne. JAWNE

Dziękuję za uwagę JAWNE