Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Zarys formalno – prawnych aspektów przetwarzania informacji niejawnych w systemach teleinformatycznych Autor: Adam ZIĘBA JAWNE.

Podobne prezentacje


Prezentacja na temat: "Zarys formalno – prawnych aspektów przetwarzania informacji niejawnych w systemach teleinformatycznych Autor: Adam ZIĘBA JAWNE."— Zapis prezentacji:

1 Zarys formalno – prawnych aspektów przetwarzania informacji niejawnych w systemach teleinformatycznych Autor: Adam ZIĘBA JAWNE

2 Plan prezentacji Podstawy prawne ochrony informacji niejawnych
Kluczowe pojęcia Główne zasady ochrony informacji niejawnych Ochrona informacji niejawnych w systemach i sieciach teleinformatycznych JAWNE

3 Podstawy prawne ochrony informacji niejawnych
Ustawa z dnia 22 stycznia 1999r. o ochronie informacji niejawnych (t. j. - Dz. U. Nr 196, poz. 1631) – [UOIN] Rozporządzenie Prezesa RM z dnia 25 sierpnia 2005r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz.U. Nr 171, poz. 1433) – [RPWB] JAWNE

4 Kluczowe pojęcia - informacje niejawne
Informacje niejawne (IN) – informacje, które wymagają ochrony przed nieuprawnionym ujawnieniem, jako stanowiące tajemnicę państwową lub służbową, niezależnie od formy i sposobu ich wyrażania, także w trakcie ich opracowywania (Art. 1 ust. 1 UOIN) JAWNE

5 Główne zasady ochrony IN
IN mogą być udostępniane wyłącznie osobie uprawnionej do dostępu do IN o określonej klauzuli tajności. IN muszą być przetwarzane w warunkach uniemożliwiających ich nieuprawnione ujawnienie. IN mogą być przetwarzane w bezpiecznych systemach i sieciach teleinformatycznych. IN stanowiące TS oznaczone klauzulą „zastrzeżone” są chronione zgodnie ze szczegółowymi wymaganiami w/z ochrony tego typu IN opracowanymi przez pełnomocnika ochrony i zatwierdzonymi przez kierownika JO. JAWNE

6 Dostęp do informacji niejawnych - zasada wiedzy uzasadnionej
IN mogą być udostępniane wyłącznie osobie dającej rękojmię zachowania tajemnicy i tylko w zakresie niezbędnym do wykonywania przez nią pracy lub pełnienia służby na zajmowanym stanowisku albo innej zleconej pracy (tzw. zasada wiedzy uzasadnionej) - Art. 3 UOIN JAWNE

7 Ochrona informacji niejawnych przetwarzanych w systemach i sieciach TI
JAWNE

8 Kluczowe pojęcia system teleinformatyczny (system TI) - system, który tworzą urządzenia, narzędzia, metody postępowania i procedury stosowane przez wyspecjalizowanych pracowników, w sposób zapewniający wytwarzanie, przechowywanie, przetwarzanie lub przekazywanie informacji (Art. 2 pkt 8 UOIN) sieć teleinformatyczna (sieć TI) - organizacyjne i techniczne połączenie systemów TI (Art. 2 pkt 9 UOIN) JAWNE

9 Kluczowe pojęcia Dokumentacja bezpieczeństwa systemu lub sieci TI – są Szczególne Wymagania Bezpieczeństwa oraz Procedury Bezpiecznej Eksploatacji danego systemu (…) (Art. 2 pkt 11 UOIN) incydent bezpieczeństwa TI - należy przez to rozumieć każde zdarzenie naruszające bezpieczeństwo TI spowodowane w szczególności awarią systemu lub sieci TI, działaniem osób uprawnionych lub nieuprawnionych do pracy w tym systemie lub sieci albo zaniechaniem osób uprawnionych (§ 2 pkt 1 RWB) JAWNE

10 Powinności kierownika jednostki organizacyjnej 1/2
opracowanie i przekazanie SOP dokumentacji bezpieczeństwa TI (art. 61 ust. 3 UOIN) wyznaczenie administratora systemu i inspektora bezpieczeństwa TI (art. 64 ust. 1 UOIN) właściwa oraz bezpieczna eksploatacja systemów i sieci TI (art. 61 ust. 3 UOIN) JAWNE

11 Powinności kierownika jednostki organizacyjnej 2/2
realizacja ochrony fizycznej, elektromagnetycznej i kryptograficznej systemu lub sieci TI; zapewnianie niezawodność transmisji oraz kontroli dostępu do urządzeń systemu lub sieci TI; dokonywanie analizy stanu bezpieczeństwa TI oraz zapewnianie usunięcia stwierdzonych nieprawidłowości; zapewnianie przeszkolenia z zakresu bezpieczeństwa TI dla osób uprawnionych do pracy w systemie lub sieci TI; zawiadamianie właściwej SOP o zaistniałym incydencie bezpieczeństwa TI dotyczącym IN oznaczonych co najmniej klauzulą "poufne". JAWNE

12 Administrator Systemu (AS) i Inspektor Bezpieczeństwa Teleinformatycznego (IBTI)
Administrator systemu – osoba lub zespół osób odpowiedzialnych za funkcjonowanie systemu/sieci TI oraz za przestrzeganie zasad i wymagań bezpieczeństwa TI (art. 64 ust. 1 pkt 1 UOIN) Inspektor bezpieczeństwa teleinformatycznego – pracownik lub pracownicy pionu ochrony odpowiedzialni za bieżącą kontrolę zgodności funkcjonowania sieci/systemu TI ze SWB oraz za kontrolę przestrzegania PBE (art. 64 ust. 1 pkt 2 UOIN) JAWNE

13 Rola służb ochrony państwa
akredytacja systemów i sieci TI, w których mają być przetwarzane IN - akredytacja bezpieczeństwa TI (art. 60 ust.1 UOIN) badania i certyfikacja urządzeń i narzędzi kryptograficznych, służących do ochrony IN stanowiących TP lub TS oznaczonych klauzulą „poufne” – certyfikat ochrony kryptograficznej (art. 60 ust. 3 UOIN) udzielanie kierownikom JO pomocy niezbędnej dla realizacji ich zadań – zalecenia w zakresie bezpieczeństwa TI (art. 64 ust. 3 UOIN) JAWNE

14 Bezpieczeństwo teleinformatyczne systemów i sieci TI przetwarzających IN 1/3
ochrona fizyczna (strefy bezpieczeństwa, środki zabezpieczające pomieszczenia) - §5 Rozporządzenia ochrona elektromagnetyczna (strefy bezpieczeństwa lub urządzenia o obniżonej emisji lub ekranowanie) - §6 Rozporządzenia ochrona kryptograficzna (szyfrowanie i inne mechanizmy zapewniające poufność, integralność, uwierzytelnienie) - §7 Rozporządzenia bezpieczeństwo transmisji (kontrola dostępu lub szyfrowanie przy podłączeniu do powszechnie dostępnej sieci) §8 Rozporządzenia kontrola dostępu (uprawnienia, hasła i mechanizmy kontroli dostępu) §9 Rozporządzenia JAWNE

15 Bezpieczeństwo teleinformatyczne systemów i sieci TI przetwarzających IN 2/3
Podstawowe wymagania: przetwarzanie IN w strefie administracyjnej, strefie bezpieczeństwa lub specjalnej strefie bezpieczeństwa chronionych elektromagnetycznie - §5 §6 Rozporządzenia przekazywanie IN poza strefy kontrolowanego dostępu - wymaga ochrony kryptograficznej - §7 ust.2 Rozporządzenia przekazywanie IN na nośnikach poza strefy kontrolowanego dostępu - pod warunkiem stosowania ochrony kryptograficznej lub spełnienie wymagań o których mowa w przepisach w sprawie trybu i sposobu przyjmowania, przewożenia itd. - §7 ust.3 Rozporządzenia §8 rozporządzenia - niezawodność transmisji polega na zapewnieniu integralności i dostępności IN, np. poprzez zapasowe łącze telekomunikacyjne. JAWNE

16 Bezpieczeństwo teleinformatyczne systemów i sieci TI przetwarzających IN 3/3
Kontrola dostępu - §9 ust.1 pkt1 Rozporządzenia – kierownik JO określa warunki i sposób przydzielania uprawnień do pracy w systemie, pkt2. Administrator określa warunki oraz sposób przydzielania kont i zapewnia mechanizmy kontroli dostępu, §9 ust.2 mechanizmy kontroli dostępu są zależne od klauzuli tajności IN) jedna osoba nie może posiadać niekontrolowanego dostępu do wszystkich zasobów systemu przetwarzającego tajemnicę państwową (§ 10) SOP mogą dopuścić do stosowania rozwiązania spełniające właściwe wymagania bezpieczeństwa posiadające certyfikat krajowej władzy bezpieczeństwa (Nato, UE)- § 11 JAWNE

17 Dokumentacja bezpieczeństwa 1/4
Opis systemu TI przetwarzającego informacje niejawne zawarty jest wyłącznie w dokumentacji bezpieczeństwa na którą składają się: - SWB – Szczególne Wymagania Bezpieczeństwa - PBE – Procedury Bezpiecznej Eksploatacji Na podstawie SWB i PBE następuje akredytacja i dopuszczenie systemu do pracy. (art. 60 ust. 1 ustawy) JAWNE

18 Dokumentacja bezpieczeństwa 2/4
Czym powinny być dokumenty SWB i PBE ? powinny być KOMPLETNYM I WYCZERPUJĄCYM opisem budowy, zasad działania i eksploatacji. (art. 61 ust. 1 ustawy) Co zawiera SWB ? Dane o budowie oraz charakterystykę systemu (§ 13 ust. 1 rozporządzenia) Co zawierają PBE ? Szczegółowy wykaz czynności oraz sposób ich wykonywania. (§ 15 ust. 1 rozporządzenia) JAWNE

19 Dokumentacja bezpieczeństwa 3/4
Jak poprawnie napisać dokumentację bezpieczeństwa ? Po analizie ryzyka, która da odpowiedź na temat przewidywanego poziomu i kierunków zagrożeń dla przetwarzanych informacji niejawnych, indywidualnie dla każdego systemu uwzględniając specyfikę jednostki należy wyartykułować dane: - w stosunku do SWB obejmujące zagadnienia opisane w § 13 ust i § 14 rozporządzenia. - w stosunku do PBE obejmujące zagadnienia opisane w § 15 ust. 2 rozporządzenia. JAWNE

20 Dokumentacja bezpieczeństwa 4/4
Wykorzystać w procesie jej tworzenia zalecenia SOP: - Szczegółowe zalecenia dotyczące opracowywania dokumentów SWB dla systemów i sieci teleinformatycznych. - Szczegółowe zalecenia dotyczące opracowywania dokumentów PBE systemów i sieci teleinformatycznych. JAWNE

21 Akredytacja systemu TI 1/2
Przesłanie do ABW dokumentacji SWB oraz PBE celem jej zatwierdzenia (art. 60 ust. 2 ustawy). Dla systemów przetwarzających tajemnicę służbową brak zastrzeżeń uprawnia do przejścia do kolejnego fazy budowy (art. 60 ust. 5 ustawy). Czas odpowiedzi to 30 dni od dnia ich przedstawienia. JAWNE

22 Akredytacja systemu TI 2/2
Dla systemów przetwarzających tajemnice państwową indywidualne zatwierdzenie dokumentacji bezpieczeństwa w terminie 30 dni od dnia ich otrzymania Po zatwierdzeniu dokumentacji bezpieczeństwa należy wystąpić z wnioskiem WA (do pobrania ze strony internetowej) o przeprowadzenie audytu bezpieczeństwa systemu. Audyt przeprowadza się tylko dla systemów przetwarzających tajemnicę państwową. Po pozytywnym audycie i otrzymaniu certyfikatu akredytacji bezpieczeństwa TI dla systemu można rozpocząć przetwarzanie informacji niejawnych (art. 60 ust. 5 ustawy). JAWNE

23 JAWNE

24 Eksploatacja systemu TI
W okresie tym należy bezwzględnie przestrzegać zapisów zawartych w dokumentacji bezpieczeństwa za co odpowiedzialny jest kierownik jednostki organizacyjnej. Dokumentacja SWB i PBE podlega dalszym i ciągłym modyfikacjom a w przypadku zmian mających wpływ na bezpieczeństwo danych (przed ich dokonaniem), musi być przesłana do ponownego zatwierdzenia przez SOP (art. 61 ust. 2 i 3). JAWNE

25 PODSUMOWANIE Bezpieczeństwo systemów i sieci TI zapewnia się przez spełnienie standardów wynikających z: Akredytacji bezpieczeństwa TI, Certyfikatu dla urządzeń i narzędzi kryptograficznych, Certyfikatu akredytacji bezpieczeństwa TI. SWB i PBE opracowuje się w celu: określenia i udokumentowania zasad bezpieczeństwa oraz reguł i środków ochrony zapewniających bezpieczne przetwarzanie informacji niejawnych w systemie TI. Podania w jaki sposób bezpieczeństwo teleinformatyczne jest osiągane, zarządzane i kontrolowane. Przedstawienia kolejnych etapów w procesie ewolucyjnego rozwoju systemu/sieci TI. Dokonania akredytacji systemu TI (dopuszczenia do przetwarzania IN) - co stanowi wiążące porozumienie pomiędzy kierownikiem JO eksploatującej system TI a służbą ochrony państwa oceniającej bezpieczeństwo teleinformatyczne. JAWNE

26 Dziękuję za uwagę JAWNE


Pobierz ppt "Zarys formalno – prawnych aspektów przetwarzania informacji niejawnych w systemach teleinformatycznych Autor: Adam ZIĘBA JAWNE."

Podobne prezentacje


Reklamy Google