Ochrona informacji niejawnych w systemach teleinformatycznych


Ochrona informacji niejawnych w systemach teleinformatycznychInformacja niejawna – termin prawniczy, który w prawie polskim został zdefiniowany w ustawie o ochronie informacji niejawnych z 22 stycznia 1999 roku. Oznacza informację, która wymaga ochrony przed nieuprawnionym ujawnieniem, jako stanowiącą tajemnicę państwową lub służbową, niezależnie od formy i sposobu jej wyrażenia, także w trakcie jej opracowania (Art. 1 ust. 1 UOIN).

Wejście w życie Ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych – UOIN (t.j. Dz. U. Nr 196, poz. 1631 z dn. 7.10.2005r. z pózn. zm.) formalnie uporządkowało zagadnienia ochrony tajemnicy. Wprowadziło natowska zasadę, zgodnie z która do tajemnic dopuszcza sie osoby „dające rękojmie zachowania tajemnicy” i „tylko w zakresie niezbędnym do wykonywania przez nie pracy na zajmowanym stanowisku lub innej zleconej pracy”.

Informacje niejawne zaklasyfikowane jako stanowiące tajemnicę państwową oznacza się klauzulą:

  • ściśle tajne – zgodnie z wykazem stanowiącym załącznik nr 1 do ustawy (część I),
  • tajne – zgodnie z wykazem stanowiącym załącznik nr 1 do ustawy (część II).

Informacje niejawne zaklasyfikowane jako stanowiące tajemnicę służbową oznacza się klauzulą:

  • poufne – w przypadku gdy ich nieuprawnione ujawnienie powodowałoby szkodę dla interesów państwa, interesu publicznego lub prawnie chronionego interesu obywateli,
  • zastrzeżone – w przypadku gdy ich nieuprawnione ujawnienie mogłoby spowodować szkodę dla prawnie chronionych interesów obywateli albo jednostki organizacyjnej.

Na co dzień w pracy i w życiu prywatnym używamy wielu pojęć takich, jak: dane, informacje, kontekst, znaczenie, wiedza. Semantyka tych terminów kształtuje się w zależności od konkretnego przypadku użycia, dlatego też konstruktywna dyskusja wymaga ich ścisłego zdefiniowania. Taka systematyzacja pojęciowa jest konieczna, aby szczegółowo rozważać zagadnienia bezpieczeństwa informacyjnego. Czym w takim razie są dane, informacja, wiedza, mądrość? Postaram się to wyjaśnić poniżej.

Dane – (ang. data) – w informatyce zbiory liczb i tekstów o różnych formach. W najbardziej ogólnym systemowym sensie, wg meta-teorii TOGA dane są zdefiniowane jako „to wszystko co jest/może być przetwarzane umysłowo lub komputerowo„. W tym sensie dane są pojęciem relatywnym, istnieją tylko razem z pojęciem przetwarzania i mogą przyjmować takie postaci jak: znaki, mowa, wykresy i sygnały. Różne dane mogą dostarczać tę samą informację, ale jednocześnie te same dane mogą też dostarczać różnych informacji. Z drugiej strony, np. zbiory liczb czy wyrazów mogą być danymi, ale jeśli nie wiemy co reprezentują to nie są informacją.

Informacja – W ujęciu infologicznym (Bo Sundgren 1973) informacja to treść komunikatu przekazywanego za pomocą danych. Zgodnie z nim, informacja dostarcza nowego punktu widzenia w interpretowaniu wydarzeń lub obiektów; sprawia, że to, co wcześniej było niewidoczne, zostało zauważone, rzuca nowe światło na pewne związki, których się nie spodziewaliśmy. Devenport i Prusak w podawanej przez siebie definicji traktują informację jako wiadomość, zwykle w formie dokumentu albo pod postacią komunikacji dźwiękowej lub wizualnej. Jak każda wiadomość, informacja ma nadawcę i odbiorcę, a jej podstawową rolą jest zmiana sposobu, w jaki odbiorca postrzega pewne rzeczy. Informacja ma przez to wpływ na jego osąd i zachowanie, co odróżnia ją od danych.

Wiedza – Wiedza to ogół wiarygodnych informacji o rzeczywistości wraz z umiejętnościami ich wykorzystywania. Wiedza jest pojęciem znacznie szerszym w stosunku do danych i informacji. Ma ona nadrzędną pozycję w stosunku do danych jak i informacji, choć na nich bazuje. Dane definiuje się jako niepołączone ze sobą fakty. Poprzez informacje rozumiemy te dane, które zostały poddane kategoryzacji i klasyfikacji lub w inny sposób zostały uporządkowane. Natomiast wiedza oznacza uporządkowane i „oczyszczone” informacje. Powstaje ona dopiero po wyciągnięciu wniosków z dostępnych danych i informacji. Posiadanie bogatej wiedzy na dany temat prowadzi zaś do mądrości.

Mądrość - oznacza więc użycie wiedzy w praktyce.

Wiedza a dane, informacje i mądrość [HERACL]

Wiedza a dane, informacje i mądrość [HERACL]

W dzisiejszych czasach większość procesów biznesowych wspierane jest przez IT a ogromne ilości informacji są zapisywane i przetwarzane na elektronicznych nośnikach danych oraz przekazywane w ramach rozbudowanych sieci. W ciągu ostatnich 50 lat nastąpił gwałtowny rozwój techniki łączności i informatyki, który pozwolił na bardzo szybkie i powszechne przetwarzanie informacji w skali trudnej do wyobrażenia. To niezwykle twórcze połączenie tych dwóch dziedzin, noszące nazwę teleinformatyki, jest także wykorzystywane do przetwarzania informacji niejawnych, począwszy od jej wytworzenia a skończywszy na jej przesyłaniu przez sieć. Jednak, wraz ze wspaniałymi możliwościami pojawiły się też rozmaite zagrożenia. Z tymi ostatnimi ściśle wiążę się pojęcie bezpieczeństwa teleinformatycznego, które osiąga się poprzez zespół rozwiązań techniczno – proceduralnych zmierzających do zminimalizowania możliwych zagrożeń do poziomu ich akceptacji.

Informacja niejawna chroniona jest przed nieuprawnionym dostępem oraz jego rozmaitymi konsekwencjami. Zespół zagrożeń determinuje określone atrybuty, jakimi powinien charakteryzować się system, w którym jest przetwarzana informacja niejawna, a mianowicie:

  1. Poufność
  2. Integralność
  3. Dostępność
  4. Rozliczalność
  5. Autentyczność
  6. Niezawodność

Poufność – polega na zagwarantowaniu, że informacje przetwarzane w systemie mogą zostać odczytane tylko przez uprawnione osoby.

Integralność - Polega na zagwarantowaniu, by dane przechowywane w systemie oraz informacje przesyłane mogły być modyfikowane jedynie przez powołane osoby.

Dostępność – Zapewnia uprawnionym osobom możliwość korzystania z zasobów systemu w każdej chwili.

Rozliczalność - Polega na uniemożliwieniu zarówno nadawcy jak i odbiorcy komunikatu zaprzeczenia faktowi jego przesłania.

Autentyczność – Polega na poprawnym określeniu pochodzenia komunikatu, z zapewnieniem autentyczności źródła.

Niezawodność - Polega na zapewnieniu poprawnej pracy systemu.

Podstawową cechą dobrze zbudowanego pod względem inżynieryjnym systemu bezpieczeństwa teleinformatycznego, która powinna być uwzględniona w opisie formalnym jest kompleksowość – czyli zastosowane zabezpieczenia powinny uwzględniać każdą z grup  i powinny być zorganizowane tak, żeby zapewnić wykrycie naruszenia bezpieczeństwa (również prób takich działań) oraz skuteczną ochronę pomimo przełamania części zabezpieczeń. W praktyce oznacza to że zabezpieczenia powinny być zorganizowane według schematu, tzw. Obrony w głąb, której najlepszą wizualizacją jest średniowieczny zamek odpowiednio umiejscowiony w terenie, otoczony fosami i kilkoma pasami murów obronnych wzmocnionych wieżami. Pokonanie fosy i przerwanie zewnętrznego pasa murów obronnych przez napastników zwykle nie prowadziło do utraty zamku, ponieważ obrońcy wycofywali się za drugi, wewnętrzny pas  murów i bronili się dalej.

Warunkami dodatkowymi do wymogu kompleksowości jest spójnośćrozumiana jako brak luk w systemie ochrony, które mogłyby stworzyć ścieżkę penetracji bez konieczności przełamywania zabezpieczeń. Kolejnym wymogiem jest niesprzeczność - rozumiana jako brak kolizji pomiędzy zastosowanymi zabezpieczeniami.

 

Sprawy techniczno – proceduralnego zapewnienia spełnienia powyższych wymagań, jakie są narzucone na system lub sieć teleinformatyczną, w której przetwarzane są informacje niejawne uzyskuje się je poprzez analizę i zarządzanie ryzykiem, w skład którego wchodzi rozważenie kosztów ewentualnych rozwiązań oraz przez realizację zaleceń w przygotowanych dokumentach:

  • Szczególnych Wymagań Bezpieczeństwa (SWB) – dokument wyczerpująco opisujący budowę oraz zasady działania i eksploatacji systemu i sieci teleinformatycznej.
  • Procedur Bezpiecznej Eksploatacji (PBE) – dokument określający zasady i tryb postępowania w sprawach bezpieczeństwa teleinformatycznego oraz zakres odpowiedzialności użytkowników systemu i sieci teleinformatycznej oraz personelu teleinformatycznego.

Za ochronę informacji niejawnych w jednostce organizacyjnej odpowiada kierownik tej jednostki.
Za zapewnienie przestrzegania przepisów o ochronie informacji niejawnej odpowiada pełnomocnik ochrony (kierownik samodzielnej sekcji/wydziału ochrony) lub inny upoważniony pracownik tej sekcji.
W przypadku incydentu, w wyniku którego nastąpiło naruszenie procedur bezpiecznej eksploatacji dotyczące informacji o klauzuli “poufne” bądź wyższej, powinien on poinformować nie tylko kierownika jednostki organizacyjnej ale także Dyrektora DBTI oraz przeprowadzić procedurę wyjaśniającą okoliczności zdarzenia.

Kierownik jednostki organizacyjnej wyznacza Administratora systemu (AS) oraz Inspektora bezpieczeństwa teleinformatycznego (IBTI), przy współpracy których zapewnia bezpieczeństwo teleinformatyczne w jednostce organizacyjnej jeszcze przed przystąpieniem do przetwarzania informacji niejawnych. Osoby wyznaczone na te stanowiska powinny się legitymizować polskim obywatelstwem, posiadaniem odpowiedniego poświadczenia bezpieczeństwa osobowego oraz odpowiednimi kompetencjami zawodowymi. Jedna osoba nie może pełnić tych funkcji jednocześnie.

Przydatne dokumenty:

  • Rozporządzenie PREZESA RADY MINISTRÓW. z dnia 25 sierpnia 2005 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz. U. z dnia 8 września 2005 r.) [pobierz]
  • Wymagania na dokumentację do certyfikacji [pobierz]
  • Wnioski o dokonanie certyfikacji środka ochrony informacji niejawnych [WK_01, WE_01]

[1] – Konferencja – Ochrona Informacji Niejawnychrozwiązywanie niektórych problemów praktycznych (mjr Jerzy Gerszewski)
[2] - Podręcznik administratora bezpieczeństwa teleinformatycznego – Krzysztof Liderman
[3] – Klasyfikacja informacji i danych prawnie chronionych oraz wymagania dotyczące środków informatycznych przeznaczonych do ich przechowywania i przetwarzania – Andrzej Adamczyk

Odsłon: 1179

Facebook Twitter Email

Zobacz również:

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Możesz użyć następujących tagów oraz atrybutów HTML-a: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

stat4u