BEZPIECZEŃSTWO TELEINFORMATYCZNE

Wprowadzenie

Do ustawowych kompetencji Agencji Bezpieczeństwa Wewnętrznego należy, m.in. realizacja zadań w zakresie bezpieczeństwa systemów teleinformatycznych, przeznaczonych do przetwarzania informacji niejawnych. Zadania Agencji Bezpieczeństwa Wewnętrznego w tym zakresie realizuje Departament Bezpieczeństwa Teleinformatycznego ABW a także wyspecjalizowane zespoły w delegaturach ABW.

Zgodnie z definicjami zawartymi w ustawie z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2010 r., nr 182, poz. 1228) - zwanej dalej UOIN:

Przetwarzaniem informacji niejawnych– są wszelkie operacje wykonywane w odniesieniu do informacji niejawnych i na tych informacjach, w szczególności ich wytwarzanie, modyfikowanie, kopiowanie, klasyfikowanie, gromadzenie, przechowywanie, przekazywanie lub udostępnianie.

Dokumentacją bezpieczeństwa systemu teleinformatycznego - jest dokument szczególnych wymagań bezpieczeństwa (SWB) oraz dokument procedur bezpiecznej eksploatacji (PBE) systemu teleinformatycznego, opracowane zgodnie z zasadami określonymi w UOIN.

I.      Organizacja ochrony systemów teleinformatycznych przeznaczonych do przetwarzania krajowych informacji niejawnych

Kierownik jednostki organizacyjnej, w której są przetwarzane informacje niejawne, odpowiada za ich ochronę, w szczególności za zorganizowanie i zapewnienie funkcjonowania tej ochrony.

Kierownik jednostki organizacyjnej wyznacza:

-        Pełnomocnika do spraw ochrony informacji niejawnych, zwanego „pełnomocnikiem ochrony”, który odpowiada za zapewnienie przestrzegania przepisów o ochronie informacji niejawnych. Do zadań pełnomocnika ochrony należy m.in. zapewnienie ochrony systemów teleinformatycznych, w których są przetwarzane informacje niejawne oraz zarządzanie ryzykiem bezpieczeństwa informacji niejawnych, w szczególności szacowanie ryzyka. W przypadku stwierdzenia naruszenia w jednostce organizacyjnej przepisów o ochronie informacji niejawnych pełnomocnik ochrony zawiadamia o tym kierownika jednostki organizacyjnej i podejmuje niezwłocznie działania zmierzające do wyjaśnienia okoliczności tego naruszenia oraz ograniczenia jego negatywnych skutków,  przy czym w przypadku stwierdzenia naruszenia przepisów o ochronie informacji niejawnych o klauzuli „poufne” lub wyższej pełnomocnik ochrony zawiadamia niezwłocznie również odpowiednio ABW lub SKW.

-        Inspektora bezpieczeństwa teleinformatycznego - pracownika lub pracowników pionu ochrony, odpowiedzialnych za weryfikację i bieżącą kontrolę zgodności funkcjonowania systemu teleinformatycznego ze szczególnymi wymaganiami bezpieczeństwa oraz przestrzegania procedur bezpiecznej eksploatacji.

-        Administratora systemu - osobę lub zespół osób, niepełniacych funkcji inspektora bezpieczeństwa teleinformatycznego, odpowiedzialnych za funkcjonowanie systemu teleinformatycznego oraz za przestrzeganie zasad i wymagań bezpieczeństwa przewidzianych dla systemu teleinformatycznego.

Stanowiska lub funkcję administratora systemu i inspektora bezpieczeństwa teleinformatycznego mogą zajmować lub pełnić osoby posiadające:

1)      obywatelstwo polskie, z wyjątkiem pracowników pionu ochrony zatrudnionych u przedsiębiorców;

2)      odpowiednie poświadczenie bezpieczeństwa lub upoważnienie, o którym mowa w art. 21 ust. 4 pkt 1 UOIN,

3)      zaświadczenie o odbytym przeszkoleniu w zakresie ochrony informacji niejawnych,

4)      zaświadczenie o odbytym specjalistycznym szkoleniu z zakresu bezpieczeństwa teleinformatycznego prowadzonym przez ABW lub SKW.

Specjalistyczne szkolenie z zakresu bezpieczeństwa teleinformatycznego, wspólne dla administratorów systemów oraz inspektorów bezpieczeństwa teleinformatycznego, prowadzone jest przez Departament Bezpieczeństwa Teleinformatycznego ABW w formie jednodniowych zjazdów, które odbywają się w Warszawie. Udział w szkoleniu jest odpłatny (z wyłączeniem jednostek organizacyjnych Policji) zaś koszt przeszkolenia jednej osoby wynosi 280 PLN.

Szczegółowe zasady zgłaszania kandydatów na szkolenie oraz wzajemne prawa i obowiązki stron zawieranej w tym zakresie umowy zostały określone w Warunkach szkolenia specjalistycznego, zwanych dalej „Warunkami”, zamieszczonych na BIP.

Jednostka organizacyjna chcąc skierować osobę na przeszkolenie, dokonuje pisemnego zgłoszenia kandydata, które przesyła na adres: Agencja Bezpieczeństwa Wewnętrznego, Departament Bezpieczeństwa Teleinformatycznego, Warszawa 00-993, ul. Rakowiecka 2a. Wzór zgłoszenia określony został w załączniku do Warunków. Potwierdzenie przydzielenia kandydatowi miejsca na szkoleniu w określonym przez prowadzącego szkolenie terminie dokonywane jest poprzez fax oraz stanowi o zawarciu pomiędzy stronami umowy, o której mowa w art. 52 ust. 7 UOIN - o treści zgodnej z postanowieniami Warunków.

Przed dokonaniem zgłoszenia kandydata prosimy przedstawicieli jednostek organizacyjnych o dokładne zapoznanie się z Warunkami szkolenia specjalistycznego, wyznaczających zasady organizowania szkoleń.

Więcej informacji w sprawach powyższych szkoleń można uzyskać pod numerami telefonów: (22) 58-58-773, (22) 58-58-732, lub faxem: (22) 58-58-792.

II.      Akredytacja bezpieczeństwa teleinformatycznego systemów teleinformatycznych przeznaczonych do przetwarzania krajowych informacji niejawnych.

Systemy teleinformatyczne, w których mają być przetwarzane krajowe informacje niejawne, podlegają akredytacji bezpieczeństwa teleinformatycznego, której udziela się na czas określony, nie dłuższy niż 5 lat.

A.    Systemy teleinformatyczne przeznaczone do przetwarzania krajowych informacji niejawnych o klauzuli „zastrzeżone” są akredytowane przez kierownika jednostki organizacyjnej przez zatwierdzenie dokumentacji bezpieczeństwa systemu teleinformatycznego.

(W ciągu 30 dni od udzielenia akredytacji bezpieczeństwa teleinformatycznego dla systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli „zastrzeżone”, kierownik jednostki organizacyjnej przekazuje odpowiednio ABW lub SKW dokumentację bezpieczeństwa akredytowanego przez siebie systemu teleinformatycznego. W ciągu 30 dni od otrzymania dokumentacji bezpieczeństwa systemu teleinformatycznego ABW albo SKW może przedstawić kierownikowi jednostki organizacyjnej, który udzielił akredytacji bezpieczeństwa teleinformatycznego, zalecenia dotyczące konieczności przeprowadzenia dodatkowych czynności związanych z bezpieczeństwem informacji niejawnych. Kierownik jednostki organizacyjnej w terminie 30 dni od otrzymania zalecenia informuje odpowiednio ABW lub SKW o realizacji zaleceń. W szczególnie uzasadnionych przypadkach ABW albo SKW może nakazać wstrzymanie przetwarzania informacji niejawnych w systemie teleinformatycznym posiadającym akredytację bezpieczeństwa teleinformatycznego.)

B.     Systemy teleinformatyczne przeznaczone do przetwarzania krajowych informacji niejawnych o klauzuli „poufne” lub wyższej są akredytowane przez ABW lub SKW.

(ABW albo SKW udziela albo odmawia udzielenia akredytacji bezpieczeństwa teleinformatycznego dla systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli „poufne” lub wyższej, w terminie 6 miesięcy
od otrzymania kompletnej dokumentacji bezpieczeństwa systemu teleinformatycznego. W uzasadnionych przypadkach, w szczególności wynikających z rozległości systemu i stopnia jego skomplikowania, termin ten może być przedłużony o kolejne 6 miesięcy. Od odmowy udzielenia akredytacji nie służy odwołanie.)

Proces udzielania przez ABW akredytacji bezpieczeństwa teleinformatycznegosystemowi teleinformatycznemu przeznaczonemu do przetwarzania informacji niejawnych o klauzuli „poufne” lub wyższej składa się z następujących etapów:

1)      dokonanie przez ABW oceny dokumentacji bezpieczeństwa systemu teleinformatycznego,

2)      złożenie do ABW wniosku WA o przeprowadzenie audytu bezpieczeństwa systemu teleinformatycznego oraz wydanie świadectwa akredytacji bezpieczeństwa systemu teleinformatycznego,

3)      przeprowadzenie przez ABW audytu bezpieczeństwa systemu teleinformatycznego.

Proces udzielania przez ABW akredytacji bezpieczeństwa teleinformatycznegokończy się wydaniem świadectwa akredytacji bezpieczeństwa systemu teleinformatycznego.

Podstawą do wydania przez ABW świadectwa akredytacji bezpieczeństwa systemu teleinformatycznego jest:

1)      zatwierdzona przez ABW dokumentacja bezpieczeństwa systemu teleinformatycznego,

2)      wyniki audytu bezpieczeństwa systemu teleinformatycznego prowadzonego przez ABW, weryfikującego poprawność realizacji wymagań i procedur, określonych w dokumentacji bezpieczeństwa, przy czym dla systemu przeznaczonego
do przetwarzania informacji niejawnych o klauzuli „poufne” ABW może odstąpić od przeprowadzenia takiego audytu.

Dokumentacja bezpieczeństwa systemów teleinformatycznych ( SWB i PBE), przeznaczonych do przetwarzania krajowych informacji niejawnych oraz wnioski WA powinny być kierowane do właściwych terytorialnie jednostek organizacyjnych Agencji Bezpieczeństwa Wewnętrznego (właściwych delegatur ABW lub Departamentu Bezpieczeństwa Teleinformatycznego ABW dla obszaru m. st. Warszawy).

Za przeprowadzenie czynności związanych z udzielaniem przez ABW albo SKW akredytacji, określonych w art. 48 ust. 3-6 UOIN pobierane są opłaty, z zastrzeżeniem art. 53 ust. 2-3 UOIN. Wysokość opłat uregulowana będzie w rozporządzeniu Prezesa Rady Ministrów, wydanym na podstawie art. 53 ust. 4 UOIN.

Zalecenia w zakresie bezpieczeństwa teleinformatycznego, wydane przez ABW na podstawie art. 52 ust. 3 Ustawy o ochronie informacji niejawnych dostępne są dla przeszkolonych przez ABW administratorów i inspektorów bezpieczeństwa teleinformatycznego na forum dyskusyjnym pełnomocników ochrony informacji niejawnych, po uprzednim zarejestrowaniu się.

III.      Akredytacja systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych międzynarodowych.

Szef Agencji Bezpieczeństwa Wewnętrznego pełniący funkcję Krajowej Władzy Bezpieczeństwa realizuje m.in. zadania w zakresie bezpieczeństwa systemów teleinformatycznych, przeznaczonych do przetwarzania informacji niejawnych międzynarodowych. Podstawowe zasady, dotyczące akredytacji systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych międzynarodowych są następujące:

A.    Informacje niejawne międzynarodowe mogą być przetwarzane tylko w systemach, które posiadają właściwą akredytację bezpieczeństwa teleinformatycznego.

B.     Akredytacji punktów dostępowych systemów przetwarzających niejawne informacje międzynarodowe, organizowanych przez podmioty międzynarodowe, dokonuje odpowiednio, zgodnie z właściwością rzeczową, Szef ABW lub Szef SKW.

C.     Akredytacja systemów organizowanych przez polskie jednostki organizacyjne, w których dopuszczono przetwarzanie informacji niejawnych międzynarodowych, odbywa się z uwzględnieniem postanowień lit. B i wymagań wynikających z umów międzynarodowych.

 

Zasady akredytacji systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych międzynarodowych, organizowanych przez polskie jednostki organizacyjne są następujące:

1)      W przypadku systemów narodowych przeznaczonych do przetwarzania wyłącznie informacji niejawnych międzynarodowych, akredytacji udziela ABW lub SKW po potwierdzeniu wymagań wynikających z regulacji międzynarodowych.

2)      W przypadku systemów narodowych przeznaczonych do przetwarzania informacji niejawnych o klauzuli „zastrzeżone”, w których dopuszcza się przetwarzanie informacji niejawnych międzynarodowych, warunkiem udzielenia przez ABW lub SKW akredytacji dopuszczającej do ich przetwarzania, jest wcześniejsze udzielenie przez kierownika jednostki organizującej system akredytacji bezpieczeństwa teleinformatycznego w trybie art. 48 ust. 9 lub 10 UOIN.

3)      W ciągu 30 dni od udzielenia akredytacji, o której mowa w pkt 2 kierownik jednostki organizującej system zobowiązany jest przesłać do ABW lub SKW dokumentację bezpieczeństwa systemu teleinformatycznego.

4)      W przypadku systemów narodowych, w których dopuszcza się przetwarzanie informacji niejawnych międzynarodowych, dokumentacja, o której mowa w pkt 3, uwzględniająca wymagania wynikające z regulacji międzynarodowych, przesyłana jest razem z pisemnym wnioskiem o udzielenie przez ABW lub SKW akredytacji w zakresie przetwarzania informacji międzynarodowych.

5)      Akredytacji systemu, o której mowa w pkt 4 udziela się wyłącznie po potwierdzeniu przez ABW lub SKW spełnienia przez system wymagań wynikających z regulacji międzynarodowych.

6)      Potwierdzeniem udzielenia akredytacji, o których mowa w pkt 2 i 5 są:

6a)  W odniesieniu do informacji niejawnych narodowych – zatwierdzona (przez kierownika jednostki organizującej system) dokumentacja bezpieczeństwa systemu oraz brak zaleceń lub potwierdzenie usunięcia zaleceń ABW lub SKW (zgodnie z art. 48 ust. 12 UOIN),

6b) W odniesieniu do informacji niejawnych międzynarodowych – pisemne potwierdzenie udzielenia przez ABW lub SKW akredytacji określające:

-        Zakres akredytacji (akredytowane elementy systemu, klauzule informacji itp.),

-        Datę ważności akredytacji,

-        Warunki utrzymywania ważności akredytacji.

7)      W przypadku systemów narodowych przeznaczonych do przetwarzania informacji niejawnych o klauzuli „poufne” lub wyższej, w których dopuszcza się przetwarzanie informacji niejawnych międzynarodowych:

7a)  Możliwe jest równoległe prowadzenie przez ABW lub SKW procesów akredytacji dla informacji krajowych i międzynarodowych.

7b)   Akredytacji systemu dla informacji międzynarodowych udziela się wyłącznie po potwierdzeniu przez ABW lub SKW spełnienia przez system wymagań wynikających z regulacji międzynarodowych.

7c) Potwierdzeniem udzielenia akredytacji dla informacji krajowych jest świadectwo akredytacji bezpieczeństwa systemu teleinformatycznego, o którym mowa w art. 48 ust. 5 UOIN.

7d)   Potwierdzeniem udzielenia akredytacji dla informacji międzynarodowych jest pisemne potwierdzenie udzielenia akredytacji przez ABW lub SKW określające:

-        Zakres akredytacji (akredytowane elementy systemu, klauzule informacji itp.),

-        Datę ważności akredytacji,

-        Warunki utrzymywania ważności akredytacji.

IV.      Ochrona Elektromagnetyczna

Dobór odpowiednich środków ochrony elektromagnetycznej, przeznaczonych do ochrony informacji niejawnych następuje w oparciu o wyznaczoną sprzętową strefę ochrony elektromagnetycznej (SSOE) w następujących przypadkach:

a)      w przypadku systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych o klauzuli „poufne”, kiedy odległość od urządzeń wchodzących w skład systemu do obszaru pozostającego poza kontrolą wynosi mniej niż 8 m.,

b)      w przypadku systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych o klauzuli „tajne” lub wyższej,

c)      w przypadku systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych NATO oraz UE oznaczonych klauzulą CONFIDENTIAL lub wyższą.

W celu wyznaczenia SSOE dla pomieszczeń lub obiektów, w których planowane jest umieszczenie systemów teleinformatycznych, o których mowa powyżej niezbędne jest złożenie do Departamentu Bezpieczeństwa Teleinformatycznego ABW odpowiedniego wniosku.

V.      Certyfikacja środków ochrony elektromagnetycznej, urządzenia lub narzędzia służącego do realizacji zabezpieczenia teleinformatycznego oraz urządzeń i narzędzi kryptograficznych przeznaczonego do ochrony informacji niejawnych.

Certyfikacje prowadzone są przez ABW lub SKW z pominięciem właściwości podmiotowej, o której mowa w art. 10 ust. 2 i 3 ustawy o ochronie informacji niejawnych. Zasady przeprowadzania certyfikacji w ABW będą podlegały wewnętrznym regulacjom, których celem będzie zapewnienie przejrzystości i jednolitości stosowanych procedur.

Dla realizacji uprawnień Szefa ABW, wynikających z art. 50 ust. 6 ustawy o ochronie informacji niejawnych („Szef ABW… może zlecić podmiotowi zewnętrznemu badanie urządzenia lub narzędzia…, na zasadach, warunkach i w zakresie przez siebie określonym.”) w zakresie dotyczącym badań środków ochrony elektromagnetycznej zawierane będą umowy z podmiotami, spełniającymi warunki do przeprowadzania badań ochrony elektromagnetycznej. Aby podmiot mógł znaleźć się na liście laboratoriów spełniających warunki do przeprowadzania takich badań powinien między innymi:

a)      spełniać wymagania w zakresie wyposażenia w sprzęt badawczy oraz posiadania odpowiedniego personelu badawczego, które będą weryfikowane przez funkcjonariuszy ABW,

b)      podpisać z ABW umowę o wykonywaniu zleconych przez Szefa ABW badań,

c)      użyczyć ABW narzędzia pomiarowe, umożliwiające weryfikację badań przeprowadzanych przez podmiot.

Szczegółowe wymagania, jakie będą stawiane laboratoriom, które będą chciały znaleźć się na liście, o której mowa powyżej,  zostaną określone w wytycznych dyrektora Departamentu Bezpieczeństwa Teleinformatycznego. Wytyczne będą udostępniane zainteresowanym podmiotom przez Laboratorium Ochrony Elektromagnetycznej Departamentu Bezpieczeństwa Teleinformatycznego.

Szef ABW ustalił roczny limit, wynoszący 300 badań, które możliwe są do zrealizowania przez laboratorium ochrony elektromagnetycznej, działające w ABW. Badania będą realizowane w kolejności wpływających zgłoszeń. Podmioty chcące wcześniej przeprowadzić badania, niż będzie to wynikało z przyznanej kolejności, mogą zwracać się do Szefa ABW z wnioskiem o wykonanie badań w trybie, o którym mowa w art. 50 ust. 6 ustawy, zobowiązując się jednocześnie do pokrycia kosztów przeprowadzonych w laboratorium zewnętrznym badań. W takim przypadku Szef ABW będzie zlecał przeprowadzenie badań laboratorium, znajdującemu się na liście laboratoriów spełniających warunki do przeprowadzania badań.

Przeprowadzanie certyfikacji będzie odbywało się po przesłaniu odpowiedniego z niżej wymienionych wniosków, związanych z certyfikacją środka ochrony, urządzenia lub narzędzia.

Wnioski WS-01, WE-01, WUN-01, WK-01, WB-01 należy kierować na adres:

 Dyrektor Departamentu Bezpieczeństwa Teleinformatycznego ABW,

ul. Rakowiecka 2A,

00-993 Warszawa. 

 

 

A
A+
A++
Drukuj
PDF

Data publikacji : 27.12.2010
Data modyfikacji : 25.04.2014
Administrator BIP
Autor : Administrator BIP
Opublikowane przez : Administrator BIP