Janusz Cendrowski Prokom Software SA. Ostatnie 10 lat polskiej kryptografii - czas przełomu?
|
|
- Natalia Matuszewska
- 8 lat temu
- Przeglądów:
Transkrypt
1 Janusz Cendrowski Prokom Software SA Ostatnie 10 lat polskiej kryptografii - czas przełomu? W związku ze zmianami ustrojowych, które miały miejsce w latach , Polska wystąpiła z Układu Warszawskiego i zostały zreorganizowane służby ochrony państwa. Po kilku latach nasz kraj wstąpił do Organizacji Traktatu Północnoatlantyckiego i miała miejsce integracja z Unią Europejską. Nie mogło to być bez wpływu na środki i metody ochrony tajemnicy państwowej i służbowej w organach władzy i administracji publicznej oraz Siłach Zbrojnych w szczególności środki i metody jej kryptograficznej ochrony. Niniejsze opracowanie jest próbą podsumowania ostatnich 10 lat w historii kryptografii w Polsce. Niewątpliwie nie wszystko, co w tej dziedzinie się wydarzyło, było dostępne opinii publicznej. Kryptografia, jak wiadomo, dzieli się na państwową oraz cywilną (komercyjną). Większość zagadnień z pierwszego obszaru jest niedostępnych publicznie, gdyż ich ujawnienie może naruszyć interes obronności i bezpieczeństwa państwa. Natomiast osiągnięcia kryptografii cywilnej są publikowane, gdyż tego wymaga charakter działalności naukowo-badawczej i biznesowej (w zakresie marketingu). Z drugiej strony kryptografia państwowa, tym bardziej w dzisiejszych czasach, nie może istnieć bez obszaru kryptografii cywilnej. Powodem jest wielki potencjał naukowy tej drugiej, szybkość wymiany informacji o nowych rozwiązaniach matematycznych i technicznych, ich silnych stronach i słabościach. Epoka czarnych gabinetów i utajniana wszystkiego, co jest związane z kryptografią (przynajmniej w tym zakresie, w którym ją znamy) jest przeszłością. Należy jednak podkreślić, że z przyczyn oczywistych przepływ informacji pomiędzy tymi obszarami jest zazwyczaj jednostronny od kryptografii cywilnej do państwowej a nie na odwrót. Produkcja urządzeń kryptograficznych też przestała być domeną Państwa, jak to było przed 1989 rokiem. Jest to zjawisko, które od wielu lat występuje w państwach NATO, gdzie tego rodzaju produkcję podejmują zazwyczaj działy specjalne firm komercyjnych. Ponadto, zasady jawności funkcjonowania organów administracji publicznej, wprowadzane sukcesywnie po 1989 roku zakładają publikowanie regulacji prawnych również w obszarze ochrony informacji niejawnych, a więc i w obszarze zastosowań środków i metod ochrony kryptograficznej. Dlatego celowym jest poświecenie uwagi co wydarzyło się w ostatnich latach w Polsce obszarze kryptografii cywilnej oraz w tych obszarach kryptografii państwowej, która może być dostępna szerokiej opinii publicznej.
2 Przepisy prawne 10 lat temu, w roku 1996, zagadnienie ochrony kryptograficznej istniało w oficjalnych przepisach prawnych szczątkowo. Wciąż obowiązywała nieznacznie znowelizowana Ustawa z 1982 roku o ochronie tajemnicy państwowej i służbowej [UTPS]. Art. 1,5 tej ustawy wskazywał UOP jako właściwy do określania zasad przekazywania wiadomości stanowiących tajemnicę państwową i służbową za pomocą technicznych środków łączności oraz obligował naczelne i centralne organy państwowe do uzgadniania z UOP organizacji łączności szyfrowej i kodowej. Zarządzenia określające ww. zasady i wymagania w stosunku środków łączności szyfrowej były tajne i dostępne praktycznie tylko dla instytucji państwowych posiadających kancelarie tajne. Bardziej konkretna była Ustawa o UOP [UOP]. Art. 1, ust 2 p. 7 wskazywał tę instytucję jako odpowiedzialną za kryptograficzną ochronę wiadomości stanowiących tajemnicę państwową i służbową a jawne choć nieopublikowane zarządzenie nr 51 [51] Prezesa Rady Ministrów rozszerzało wykładnię tego przepisu. Powyższe przepisy były zbyt ogólne i dawały UOP swobodę ich interpretowania i wydawania związanych tajnych aktów prawnych. Ponadto nie obejmowały systemów informatycznych a jedynie techniczne środki łączności. Dopiero Ustawa o ochronie informacji niejawnych z dnia 22 stycznia 1999 r. [UOIN] i rozporządzenie w sprawie podstawowych wymagań bezpieczeństwa [RPWB1] określiło w sposób jawny niektóre zadania zarówno służb ochrony państwa, jak i podmiotów zamierzających przesyłać informacje niejawne w systemach i sieciach teleinformatycznych. Po kilku latach okazało się jednak, że część przepisów było nie precyzyjna i konieczne były nowelizacje, które te niespójności usunęły. 1. Zakres obowiązku ochrony kryptograficznej przy pomocy certyfikowanych urządzeń był w pierwszej wersji ustawy [UOIN] ograniczony do informacji stanowiących tajemnicę państwową. Dopiero nowelizacja z 2001 roku rozszerzyła ten obowiązek na informacje oznaczone klauzulą poufne. Co prawda z ogólnych przepisów (art. 20, ust. 2 [UOIN]) wynikało, że również informacje oznaczone jako zastrzeżone wymagają ochrony w czasie przesyłania, ale brak było jednoznacznego wskazania na potrzebę ochrony kryptograficznej. Dopiero przepis par. 7 nowego rozporządzenia w sprawie podstawowych wymagań bezpieczeństwa, opublikowanego w 2005 r. [RPWB2], jednoznacznie wymaga takiej ochrony przy przesyłaniu informacji niejawnych poza strefy kontrolowanego dostępu Zastosowanie pojęcia certyfikat i do urządzenia (narzędzia 2 ) kryptograficznego i do systemu (sieci) prowadziło do nieporozumień. Uzyskanie certyfikatu na urządzenie mogło być ( i było) rozumiane jako warunek wystarczający do jego eksploatacji. Dopiero nowelizacja [UOIN] z roku 2005 wprowadziła rozróżnienie certyfikatu 1 Łącznie strefy bezpieczeństwa i administracyjne. 2 Narzędzie kryptograficzne pojawiło się w [UOIN] jako synonim oprogramowania realizującego funkcje kryptograficzne; z niezrozumiałych przyczyn prawnicy uczestniczący w opracowywaniu projektu [UOIN] nie zgodzili się na termin oprogramowanie i tak pozostało do dzisiejszego dnia.
3 ochrony kryptograficznej oraz certyfikatu akredytacji systemu (sieci) teleinformatycznej. 3. Art. 60 ustawy [UOIN] z 1999 roku wymagał, aby urządzenia i narzędzia były certyfikowane, ale nie wskazywał wprost, że to służby ochrony państwa są uprawnione do wydawania tych certyfikatów. Rozporządzenie wykonawcze [RPWB1] wskazywało w par. 10, ust. 2 służby ochrony państwa jako właściwe do potwierdzania przydatności algorytmów i innych środków kryptograficznych do ochrony informacji niejawnych o określonej klauzul tajności. Tą właściwość do potwierdzania należało rozumieć jako uprawnienia do oceny. Jednocześnie to samo rozporządzenie, w par. 4, umożliwiało uznawanie obcych certyfikatów, jeśli zostały wydane prze Krajową Władzę Bezpieczeństwa w kraju NATO. Kolejność paragrafów mogła sugerować, że uznawanie obcych rozwiązań powinno być priorytetowe. Brak oficjalnych informacji, że praktyka uznawania była stosowana, natomiast na liście certyfikowanych rozwiązań ABW znalazło się kilka rozwiązań obcych, ale po przejściu normalnej procedury badań i certyfikacji. Dopiero nowelizacja [UOIN] z 2005 roku wskazuje wprost w art. 60, ust. 3, że Urządzenia i narzędzia kryptograficzne, służące do ochrony informacji niejawnych stanowiących tajemnicę państwową lub tajemnicę służbową oznaczonych klauzulą poufne, podlegają badaniom i certyfikacji prowadzonym przez służby ochrony państwa. 4. Ustawa [UOIN] rozdziela kompetencje obu służb ochrony państwa w zakresie kontroli na strefę wojskową 3 (jednostki organizacyjne i podmioty gospodarcze podległe Ministrowi Obrony Narodowej lub przez niego nadzorowane 4 ) i cywilną 5 (pozostałe jednostki organizacyjne przetwarzające informacje niejawne). Nie było natomiast określone, czy certyfikaty wydawane przez obie służb ochrony państwa są wzajemnie uznawalne. Dopiero Art. 60, ust. 4 noweli Ustawy [UOIN] z 2005 roku wprowadza wzajemną ich uznawalność. Nie znaczy to oczywiście, że posiadanie certyfikatu ochrony kryptograficznej wystawionej przez jedną służbę ochrony państwa daje wystarczającą podstawę do uzyskania certyfikatu akredytacji, przez drugą. Co więcej posiadanie certyfikatu ochrony kryptograficznej nie oznacza że wydające go służba ochrony państwa automatycznie wyda certyfikat akredytacji. Należy spełnić, tu szereg kolejnych warunków określonych przez przepisy (opracowanie polityki bezpieczeństwa budowanego systemu w formie szczególnych wymagań bezpieczeństwa i procedur bezpiecznej eksploatacji, pomyślne przejście audytu itp.). 5. Przepisy rozdziału X [UOIN] i rozporządzenia [RPWB2], choć może rewolucyjne dla funkcjonariuszy, oficerów oraz pracowników pionów ochrony przyzwyczajonych do tradycyjnych dokumentów niejawnych są wysoce niewystarczające dla informatyków, którym powierza się opracowanie szczególnych wymagań bezpieczeństwa i procedur bezpiecznej eksploatacji. W szczególności, w zakresie środków kryptograficznych problemem jest, jakie rozwiązania (które nie muszą być certyfikowane) będą zaakceptowane przez służby ochrony państwa dla ochrony informacji oznaczonych 3 Termin autora. 4 Pełną definicję tej strefy zawiera art. 29 ust. 1 [UOIN]. 5 Termin autora.
4 klauzulą zastrzeżone. Nieocenione w tym przypadku były 3-dniowe szkolenia prowadzone do roku 2005 przez DBTI ABW oraz pakiet zaleceń ABW w zakresie bezpieczeństwa teleinformatycznego (jawne zalecenia ogólne [Zal] oraz szereg niejawnych zaleceń szczegółowych). Niestety od początku roku 2006 ww. szkolenia zostały z niewiadomych przyczyn zredukowane do jednodniowych. Polskie prawo nie stawia żadnych zakazów lub ograniczeń w zakresie wykorzystania środków kryptograficznych w celach prywatnych, czy ochrony informacji biznesowych (tajemnica przedsiębiorstwa) lub pozostałych tajemnic zawodowych. Inaczej przedstawia się sprawa w zakresie produkcji, obrotu i świadczenia usług w tym zakresie. Import i eksport środków ochrony kryptograficznej był i jest do tej pory regulowany przez przepisy Ustawy o obrocie z zagranicą towarami, technologiami i usługami o znaczeniu strategicznym [UOZT]. W pierwszej wersji tej ustawy ( Ustawa o zasadach szczególnej kontroli z zagranicą - rok 1993) przepisy były dość restrykcyjne i koncentrowały się na udzielaniu zgody przez służby ochrony państwa na import środków ochrony kryptograficznych, przeznaczonych dla ochrony informacji stanowiących tajemnicę państwową lub służbową. Nowa Ustawa uchwalona 29 listopada 2000 roku [UOZT], opierając się na regulacjach Porozumienia z Wassenaar, do którego przystąpiła Rzeczpospolita Polska, zwiększyła jeszcze restrykcyjność kontroli. Podmiot gospodarczy dokonujący obrotu z zagranicą musiał uzyskiwać zezwolenie właściwego organu administracji rządowej (Ministerstwa Gospodarki) na eksport, import lub transfer przez polski obszar celny każdego urządzenia lub oprogramowania, w którym parametry mechanizmów kryptograficznych były większe niż określone w liście towarów stanowiącej załącznik do rozporządzenia wykonawczego, a nie mógł być zwolniony na podstawie innych cech (np. sprzedaż przez Internet, , telefonicznie lub detaliczna /ang. retail/). Za przekroczenie przepisów groziła kara od roku do 10 lat pozbawienia wolności i to nawet w przypadku winy nieumyślnej. Uzyskanie zezwolenia było i jest uzależnione od posiadania Wewnętrznego Systemu Kontroli, zgodnego z normami serii ISO 9000, certyfikowanego przez akredytowaną jednostkę certyfikującą. Z drugiej strony, interpretacja cech zwalniających z obowiązku uzyskania zezwolenia nastręczała dużo trudności zarówno przedsiębiorcom, jak i organom państwowym, w tym urzędom celnym i prokuratorom angażowanym do kontroli i ścigania przypadków naruszenia przepisów tej ustawy. Dochodziło do przypadków, kiedy to ambasada USA, państwa w którym kontrola eksportu jest bardzo restrykcyjna, na prośbę firm amerykańskich i polskich przedstawiała polskim organom administracji rządowej amerykańską interpretację przepisów Porozumienia z Wassenaar, aby uchronić obywateli polskich przed odpowiedzialnością karną. Po wejściu Polski do UE, przepisy wyraźnie złagodzono. Nie jest już wymagane zezwolenie na import środków ochrony kryptograficznej (art. 6 ust 3 [UOZT]). Z drugiej strony import urządzeń i oprogramowania kryptograficznego oraz niektórych środków łączności, które wcześniej wymagały zezwolenia został objęty monitorowaniem przez Szefa ABW.
5 Zamiast polskiego rozporządzenia, zawierającego listę towarów podlegających kontroli, nowelizacja Ustawy [UOZT] z 2004 roku odwołuje się do rozporządzenia Rady (WE) nr 1334/2000 z dnia 22 czerwca 2000 r. ustanawiającym wspólnotowy system kontroli eksportu produktów i technologii podwójnego zastosowania (Dz. Urz. WE L 159 z ) i późniejszych. Przyjęte rozwiązanie ma tę niewątpliwą zaletę, że nie trzeba czekać na dostosowanie polskich przepisów do europejskich w przypadku zmiany w liście towarów podlegających kontroli. Podobnym do poprzedniego aktem prawnym jest Ustawa z 2001 roku o wykonywaniu działalności gospodarczej m.in. w zakresie wyrobów i technologii o przeznaczeniu wojskowym lub policyjnym [UWDG]. Do tego rodzaju wyrobów i technologii zaliczono te same środki ochrony kryptograficznej, które podlegały obowiązkowi uzyskiwania zezwolenia na mocy ustawy o obrocie z zagranicą [UOZT]. Różnica w tym, że Ustawa o wykonywaniu działalności gospodarczej [UWDG] dotyczy nie obrotu międzynarodowego, ale obrotu wewnętrznego, a oprócz tego swoim zakresem obejmuje również samo wytwarzanie. Podstawowym problemem związanym z interpretacją przepisów, zarówno Ustawy [UWDG], jak i rozporządzeń wykonawczych do niej jest to, że za wojskowe lub policyjne uznaje się te środki ochrony kryptograficznej, które będą używane do ochrony informacji niejawnych. Obowiązek uzyskiwania koncesji MSWiA na wytwarzanie i obrót tego rodzaju tecgnologiami i wyrobami dotyczy więc tych podmiotów gospodarczych, które przewidują sprzedaż tych wyrobów do podmiotów podlegających ustawie o ochronie informacji niejawnych. Reasumując, na dzień dzisiejszy, funkcjonowanie trzech wyżej przedstawionych aktów prawnych można przedstawić w postaci następujących przykładów. a) Firma, która produkuje oprogramowanie szyfrujące i zamierza je sprzedać innemu podmiotowi gospodarczemu do ochrony tajemnicy przedsiębiorstwa, bankowej, lekarskiej itp. nie musi spełniać żadnych warunków związanych z powyższymi przepisami. b) Natomiast, jeśli to oprogramowanie ma być używane do ochrony informacji oznaczonych klauzulą zastrzeżone, to firma musi spełnić wymagania [UWDG] i uzyskać koncesję MSWiA. c) Firma, która zamierza konstruować urządzenia przeznaczone dla ochrony informacji niejawnych od poziomu poufne musi spełnić szereg bardzo trudnych warunków określonych w [UOIN] (strefa bezpieczeństwa, kancelaria tajna, poświadczenia dla pracowników, ochrona systemu teleinformatycznego potwierdzona zatwierdzeniem Szczególnych Wymagań Bezpieczeństwa). W szczególności, jeśli urządzenia mają być używane do ochrony informacji stanowiących tajemnicę państwową musi uzyskać świadectwo bezpieczeństwa przemysłowego. Oprócz tego musi uzyskać koncesję MSWiA 6. d) Firma sprowadzająca z zagranicy i sprzedająca routery z oprogramowaniem lub kartami szyfrującymi do banku niepaństwowego musi posiadać system WSK i informować ABW o tej transakcji (monitorowanie na podstawie [UOZT]). 6 Uzyskanie tej koncesji na podstawie [UWDG]jest w świetle wymagań [UOIN] kwiatkiem do kożucha, ale pozostaje obowiązkiem.
6 e) Firma zamierzająca sprowadzić z zagranicy i sprzedawać te same routery z oprogramowaniem lub kartami szyfrującymi, ale dla organu administracji publicznej, który użyje je do ochrony informacji niejawnych oznaczonych klauzulą zastrzeżone musi oprócz posiadania systemu WSK - po spełnieniu szeregu warunków organizacyjnych i technicznych uzyskać koncesję MSWiA a przed samą transakcją poinformować ABW. f) Firma zamierzająca sprowadzać z zagranicy i sprzedawać szyfratory przeznaczone do ochrony informacji oznaczonych klauzulą poufne, po uzyskaniu certyfikatu jednej z dwóch służb ochrony państwa 7 na te urządzenia, musi spełnić wymagania wszystkich trzech ustaw zbudować system ochrony informacji niejawnych [UOIN], uzyskać koncesję [UWDG], posiadać system WSK i poinformować ABW o fakcie sprowadzenia urządzeń z zagranicy[uozt]. Innymi aktami prawnymi, które wprowadzają regulację w obszarze kryptografii, tym razem zupełnie cywilnej, jest Ustawa o podpisie elektronicznym [UOPE] i rozporządzenie wykonawcze do niej, traktujące o politykach certyfikacji [R1094]. Rozporządzenie to, w odróżnieniu od rozporządzenia w sprawie podstawowych wymagań bezpieczeństwa [RPWB] zawiera szczegółowe regulacje techniczne i kryptograficzne. Opisywane są struktury certyfikatów i list CRL (zgodne z normą [X.509]), długości kluczy algorytmów RSA, DSA, algorytmów opartych o krzywe eliptyczne itp. oraz spełniania kryteriów oceny ITSEC, Common Criteria lub FIPS [140-2]. Ciekawym jest fakt, że o ile istnieje kompatybilność pomiędzy poziomami pewności (uzasadnienia zaufania) ITSEC i Common Criteria, to nie można tego powiedzieć o ich kompatybilności z poziomami amerykańskiej normy FIPS Mimo to rozporządzenie [R1024] te poziomy traktuje równorzędnie. Normalizacja Zagadnieniami normalizacji środków ochrony kryptograficznej oraz (jawnych) kryteriów ich oceny zajmuje się Komitet Techniczny nr 182 Ochrona informacji w systemach teleinformatycznych (dalej KT 182) w Polskim Komitecie Normalizacyjnym. Komitet działa już 13 lat (początkowo jako Normalizacyjna Komisja Problemowa 182 Zabezpieczenie systemów i ochrona danych ). Zasiadają w nim przedstawiciele wszystkich liczących się środowisk naukowych zajmujących się kryptografią, niektórych organów administracji rządowej i przedsiębiorstw państwowych, banków oraz firm produkujących urządzenia i oprogramowanie przeznaczone do ochrony danych. W zasadzie działalność KT 182 polega na lokalizacji jako polskie normy standardów ISO/IEC opracowywanych przez podkomisję SC27 wspólnego komitetu JTC1 organizacji ISO i IEC. Należy tu zwrócić uwagę, że brak jest jak na razie wielu europejskich standardów w tej dziedzinie. Lista polskich norm w dziedzinie kryptografii jest na dzień dzisiejszy niemała. Należą do niej: 7 W świetle reorganizacji WSI nie wiadomo, która z nowych służb wojskowych przejmie zadania Krajowej Władzy Bezpieczeństwa Teleinformatycznego.
7 a) PN-ISO/IEC 8372:1996 Przetwarzanie Informacji Tryby pracy algorytmu szyfrowania bloków 64-bitowych. b) PN-ISO 9160:1997 Przetwarzanie informacji - Szyfrowanie danych - Wymagania dotyczące współpracy w warstwie fizycznej. c) PN-ISO/IEC 9796:1997 Technika informatyczna -. Techniki zabezpieczeń - Schemat podpisu cyfrowego z odtwarzaniem wiadomości. d) PN-ISO/IEC 9797:1996 Technika informatyczna - Techniki zabezpieczeń - Mechanizm integralności danych wykorzystujący kryptograficzną funkcję kontroli z algorytmem szyfrowania blokowego. e) PN-ISO/IEC :1996 Technika informatyczna - Techniki zabezpieczeń. Mechanizmy uwierzytelniania podmiotów (5 arkuszy Model ogólny, Mechanizmy wykorzystujące symetryczne algorytmy szyfrowania, Mechanizmy stosujące techniki podpisu cyfrowego, Mechanizmy wykorzystujące techniki wiedzy zerowej oraz Mechanizmy wykorzystujące kryptograficzną funkcję kontrolną). f) PN-ISO/IEC 9979:2001 Technika informatyczna - Techniki zabezpieczeń. Procedury rejestracji algorytmów kryptograficznych. g) PN-ISO/IEC 10116:1996 Technika informatyczna - Tryby pracy algorytmu szyfrowania bloków n-bitowych. h) PN-ISO/IEC :1996 Technika informatyczna - Techniki zabezpieczeń. Funkcje skrótu (4 arkusze - Postanowienia ogólne, Funkcje skrótu wykorzystujące n-bitowy algorytm szyfrowania blokowego, Dedykowane funkcje skrótu oraz Funkcje skrótu wykorzystujące arytmetykę modularną). i) PN-ISO/IEC :1998 Technika informatyczna -. Techniki zabezpieczeń. Zarządzanie kluczami (3 arkusze: - Struktura, - Mechanizmy z zastosowaniem technik symetrycznych, - Mechanizmy z zastosowaniem technik asymetrycznych). j) PN-ISO/IEC :1999 Technika informatyczna - Techniki zabezpieczeń. Niezaprzeczalność (3 arkusze: - Model ogólny, - Mechanizmy wykorzystujące techniki symetryczne, - Mechanizmy wykorzystujące techniki asymetryczne). k) PN-ISO/IEC :2000 Technika informatyczna - Techniki zabezpieczeń. Podpisy cyfrowe z załącznikiem (2 arkusze: Część 1: Opis ogólny, Część 3: Mechanizmy oparte na certyfikatach). l) PN-ISO/IEC :2005 Technika informatyczna -. Techniki zabezpieczeń - Usługi znacznika czasu (2 arkusze: Część 1: Struktura, Część 2: Mechanizmy tworzenia tokenów niezależnych, Część 3: Mechanizmy tworzenia tokenów wiązanych) m) PN-ISO/IEC :2005 Technika informatyczna -. Techniki zabezpieczeń Techniki kryptografii oparte na krzywych eliptycznych Część 1: Postanowienia ogólne. n) PN-ISO/IEC :2005 Technika informatyczna -. Techniki zabezpieczeń - Schemat podpisu cyfrowego z odtwarzaniem wiadomości. Część 2 Mechanizmy oparte na faktoryzacji liczb całkowitych.
8 W zakresie kryteriów oceny ustanowiono dwie normy pierwszą i trzecią cześć wspólnych kryteriów (Common Criteria) oraz procedury rejestracji profili: a) PN-ISO/IEC :2002 Technika informatyczna - Techniki zabezpieczeń Kryteria oceny zabezpieczeń teleinformatyki (2 arkusze: Część 1: Wprowadzenie i model ogólny, Część 3: Wymagania uzasadnienia zaufania do zabezpieczeń). b) PN-ISO/IEC 15292:2004 Technika informatyczna -. Techniki zabezpieczeń Procedury rejestracji profili zabezpieczeń Praktycznie ustanowienie dwóch ostatnich norm nie ma jeszcze dużego znaczenia, gdyż Polska nie należy do organizacji CCRA (Common Criteria Recognition Arrangement). Nie udało się jak do tej pory stworzyć Krajowego Systemu Oceny i Certyfikacji, co było swego czasu postulowane na forum publicznym [C_K]. Brak jest właściwych podstaw prawnych w tym zakresie oraz zainteresowania biznesu tworzeniem komercyjnych laboratoriów badawczych. Dość ważną normą, związaną z kryptografią jest norma terminologiczna [02000]. Norma te jednak, jak pokazała praktyka, ze względu na swój zakres i powstawanie innych nowych polskich norm, wymaga ciągłych zmian. Pożądane byłyby jej ponowne ustanawianie nie rzadziej niż co 2-3 lata, czego przeszkodą jest brak finansowania ze strony PKN. Bardzo ważną rolą, jaką spełnia komitet KT 182 (a poprzednio NKP 182), było i jest uczestnictwo w tworzeniu standardów ISO/ISC na forum podkomisji SC27. Uczestnictwo to sprowadza się zarówno do opiniowani projektów standardów na wszystkich etapach ich powstawania, uczestnictwa w ich opiniowaniu, jak również do czynnego uczestnictwa w posiedzeniach plenarnych komisji SC27 i posiedzeniach jej 3-ch grup roboczych. Przeszkodą w uczestnictwie są koszty, które muszą ponosić członkowie KT182 lub ich macierzyste organizacje (firny, instytucje), jeśli te posiedzenia odbywają się w odległych lokalizacjach na świecie. Nie pojawiły się, jak do tej pory, propozycje polskich norm w dziedzinie kryptografii (np. standard polski algorytmu szyfrowania). Wynika to, rzecz jasna z kilku przyczyn. Standaryzacyjne rozwiązania ISO/IEC są wynikiem wielu lat pracy środowisk naukowych i biznesu USA, krajów Europy Zachodniej, Kanady i Dalekiej Azji (głównie Japonia, Australia). Warto tu wspomnieć chociażby udział firmy IBM w opracowaniu algorytmu DES, który był przez 20 lat standardem dla ochrony informacji unclassified but sensitive (w Polsce odpowiednikiem są informacje niejawne oznaczone klauzulą zastrzeżone ). Podobnie wszystkie stosowane dziś w obszarze cywilnej kryptografii algorytmy (m.in. Rijdael, IDEA, Blow- i Two- Fish, RSA, DH), techniki (m.in. podpis cyfrowy) oraz protokoły (m.in. SSL. SSH, IPSEC, SCEP) powstały w ośrodkach akademickich i firmach produkujących urządzenia i oprogramowanie przeznaczone dla ochrony informacji. Nie ma więc potrzeby wyważać otartych drzwi. Innym powodem takiego stanu rzeczy jest praktycznie brak finansowania przez PKN działalności komitetów technicznych. Zakłada się, że tworzenie polskich norm.powinno być sponsorowane przez podmioty zainteresowane w ich ustanowieniu a jedyne środki przyznawane przez PKN są wykorzystywane na lokalizację norm europejskich CEN/CENLEC.
9 Środowiska Naukowo-Badawcze i Konferencje Do roku 1990 ośrodki akademickie w Polsce nie zajmowały się kryptografią a przynajmniej brak jest oficjalnych informacji na ten temat. Sytuacja zmieniła się w latach dziewięćdziesiątych ub. wieku. Badania naukowe w dziedzinie kryptografii i kryptoanalizy oraz kształcenie w tej dziedzinie studentów rozpoczęło w tym czasie kilka ośrodków akademickich. Należy tu wymienić Politechnikę Warszawską, Politechnikę Poznańską, Wojskową Akademię Techniczną, Politechnikę Wrocławską i Uniwersytet Zielonogórski. Zaczęły się pojawiać opracowania naukowe, książki i artykuły, wystąpienia na konferencjach i seminariach opisujące i oceniające istniejące rozwiązania kryptograficzne, jak i zawierające propozycje nowych algorytmów i protokołów. Z drugiej strony można zauważyć, że osiągnięcia naukowe na forum międzynarodowym były głównie udziałem jedynie polskich naukowców pracujących za granicą. Należy tu wyróżnić opracowanie algorytmu Loki97 zgłoszonego na konkurs AES (prof. J. Pieprzyk Australia) oraz propozycja ataku algebraicznego XSL na wiele znanych algorytmów symetrycznych (zarówno blokowych jak i strumieniowych), w tym oczywiście na algorytm Rijdael (J. Pieprzyk [Pietrz], N. T. Courtois [Cur]). Jeśli zaproponowany 4 lata temu ww. atak okaże się obliczeniowo wykonalny, to bezpieczeństwo publicznie znanych algorytmów stanie pod znakiem zapytania. Paradoksem (jednym z wielu w kryptografii) jest to, że najbardziej podatne na te ataki będą algorytmy o przejrzystej strukturze, tak zaprojektowane, żeby łatwo było udowodnić, że nie posiadają nieznanych lub ukrytych słabych miejsc. W ciągu ostatnich 10 lat zagadnienia ochrony kryptograficznej były obecne na wielu konferencjach poświęconych bezpieczeństwu informacji lub innym zagadnieniom projektowania, wdrażania i eksploatacji systemów IT 8. Bezsprzecznie należy wyróżnić tu coroczną Konferencję Zastosowań Kryptografii Enigma, która na stale wpisała się do kalendarza wydarzeń naukowych w tej dziedzinie. Organizatorzy zapewniają obecność na konferencji przedstawicieli światowej czołówki naukowej w dziedzinie kryptografii. Obecni są przedstawiciele organów administracji publicznej, ważnym wydarzeniem są wystąpienia przedstawicieli Departamentu Bezpieczeństwa Teleinformatycznego ABW, którzy podsumowują stan ochrony informacji niejawnych w systemach i sieciach teleinformatycznych eksploatowanych w administracji publicznej. Można w tym miejscu wyrazić życzenie, aby Konferencja Enigma i podobne jej konferencje nie zatraciły swego charakteru i stały się forum naukowych spotkań większej ilości krajowych i zagranicznych środowisk naukowych zajmujących się kryptografią cywilną. Produkcja i wdrożenia 8 Terminy używane w niniejszym opracowaniu nie świadczą o terminologicznych preferencjach autora ale oddają tendencje zauważalne w różnych obszarach prawno-państwowym, naukowym i biznesie.
10 W latach poprzedzających Ustawę o ochronie informacji niejawnych, organy administracji rządowej i banki państwowe używały urządzeń dopuszczonych przez MSW a później jego następcę Urząd Ochrony Państwa w zakresie realizacji art. 1,5 Ustawy o ochronie tajemnicy państwowej [UOTP]. Jeszcze na kilka lat przed wejściem w życie Ustawy o ochronie informacji niejawnych, w związku z procesem wstępowania do Sojuszu Północnoatlantyckiego podjęto w UOP działania w zakresie zorganizowania laboratorium badawczego i jednostki certyfikującej urządzenia i oprogramowanie kryptograficzne. Formalną decyzją z w tej sprawie podjął Minister Spraw Wewnętrznych [1842]. Wejście w życie Ustawy [UION] dało stymul do konstruowania narodowych rozwiązań kryptograficznych bądź certyfikowania rozwiązań zagranicznych. Rozpoczęło pracę Laboratorium Badawcze Urządzeń i Systemów Kryptograficznych (aktualnie Laboratorium Ochrony Kryptograficznej), wybrano formalne (jawne) kryteria oceny europejskie kryteria Information Technology Security Evaluation Criteria [ITSEC]. Natomiast do oceny przydatności rozwiązań do poszczególnych klauzul tajności stosowane są kryteria niejawne. Lista środków ochrony kryptograficznej, posiadających certyfikaty UOP (później ABW) była od początku jawna i publikowana, początkowo na żądanie zainteresowanych podmiotów, później na stronie WWW (http//: - zawiera listę z dnia ). Pierwsze, które uzyskały certyfikat UOP i weszły do zastosowania w tej dziedzinie były urządzenia szwajcarskiej firmy Omnisec. Aktualnie na liście certyfikowanych rozwiązań znajdują się dwa urządzenia, które nie mają w Polsce konkurentów w swojej klasie, a mianowicie: a) Omnisec 520 szyfrator transmisji telekopiowej (faksowej), b) Omnisec 650 szyfrator liniowy, w zależności od typu z interfejsem T1 lub T3. Oba typy urządzeń zostały dopuszczone do ochrony informacji oznaczonych klauzulą do tajne włącznie. Wkrótce (rok 2000 i następne) pojawił się szereg urządzeń polskiej produkcji (firma COMP S.A.), z których na największą uwagę ze względu na późniejsze zastosowanie w wielu systemach zasługuje rodzina szyfratorów uniwersalnych CompCrypt Delta. W terminologii zachodniej są to szyfratory HSM (ang. High Security Module) przeznaczone dla realizacji operacji kryptograficznych w ramach infrastruktury klucza publicznego PKI. Rodzina ta składa się ogółem z 19 rozwiązań (dla 7 z nich ważność certyfikatów już upłynęła, co nie oznacza że nie można ich dalej eksploatować patrz Uwaga), zgrupowanych w następujące typy: a) CompCrypt Delta-1, przeznaczenie Centrum Certyfikacji Kluczy, b) CompCrypt Delta-2, przeznaczenie serwery, c) CompCrypt Delta-3, przeznaczenie stacje robocze, d) CompCrypt Delta-4, przeznaczenie stacje generacji kluczy. W ramach każdego z powyższych typów istnieją odmiany rozwiązania różniące się zastosowanym algorytmem symetrycznym (co determinuje przydatność do ochrony informacji
11 oznaczonych klauzulą poufne lub tajne ) lub/i maksymalną długością kluczy algorytmu asymetrycznego, a w przypadku urządzenia Delta-2 występują odmiany w obudowie rack. Przykładem oprogramowania kryptograficznego jest pakiet oprogramowania PEM Heart stanowiący (w zależności od typu) gotowy plugin do systemów poczty elektronicznej lub zestaw bibliotek kryptograficznych, które można zaimplementować we własnych aplikacjach. Pakiet ten. Produkt firmy Enigma SOI Sp. z o.o. posiada w zależności od wsparcie sprzętowego certyfikat do poziomu zastrzeżone lub poufne. Wyżej wymienione urządzenia i oprogramowanie korzystają z opracowanego przez firmę Enigna SOI Sp. z o.o. (aktualnie w grupie kapitałowej COMP) systemu Centaur, przy pomocy którego można zorganizować Centrum Certyfikacji Kluczy i Punkty Rejestracji. System ten według nieoficjalnych informacji uzyskał już certyfikat ABW na poziom zastrzeżone (choć brak jeszcze tej informacji na stronie Wszystkie powyższe rozwiązania znalazły swoje zastosowanie w systemach teleinformatycznych szeregu organów administracji publicznej, banków i firm zobowiązanych do realizacji zadań związanych z obronnością i bezpieczeństwem Państwa. Inne urządzenia kryptograficzne opracowane w firmie COMP S.A. które uzyskały certyfikaty i znalazły zastosowanie w organach administracji publicznej to rodzina szyfratorów dysków CompCrypt Gama i szyfratorów interfejsu szeregowego CompCrypt Ro. Ponadto wspólnie z firmą DGT Sp. z o.o. została skonstruowana, uzyskała certyfikaty i znalazła zastosowanie w obszarze transmisji w sieciach cyfrowych ISDN rodzina szyfratorów CompCrypt Alfa. W ramach tej rodziny skonstruowano 3 typy podstawowe oraz dwa typy (każde w dwóch odmianach) z przeznaczeniem dla Centrum Certyfikacji kluczy u stacji generacji kluczy. Nowszą odmianą tego rodzaju urządzeń jest rodzina szyfratorów AGAT, opracowana przez firmę Techlab 2000 Sp. z o.o. na zamówienie Prokom Software, razem z oprogramowaniem Stacji Zarządzania Kluczami wspomaganej przez Bezpieczny Moduł Kryptograficzny. Produkty te są w trakcie certyfikacji w ABW. W innym obszarze przesyłania informacji środkami łączności, a mianowicie telefonii komórkowej certyfikaty uzyskały 4 zagraniczne urządzenia: a) urządzenie szyfrujące HC2413 do telefonu komórkowego Sagem (Crypto AG) do poziomu poufne, b) telefon komórkowy TopSec GSM S35i (Rhode&Schwarz) do poziomu zastrzeżone, c) telefon szyfrujący GSM MW3026S (Sagem) do poziomu zastrzeżone, d) telefon szyfrujący GSM HC2423 do poziomu poufne. Natomiast w obszarze telefonii analogowej dopuszczono do przetwarzania informacji niejawnych: a) szyfrator głosu HC2203 PSTN (Crypto AG) do poziomu poufne,
12 b) telefon szyfrujący typy Cygnus Silver i Cygnus Gold (RWT-TP S.A. / Techlab2000 Sp. z o.o.) do poziomu Zastrzeżone. W kolejnym, bardzo ważnym obszarze przesyłania informacji niejawnych, a mianowicie przesyłaniu pakietów TCP/IP, dopuszczono rozwiązania szwajcarskie (firma Crypto AG) dla budowy wirtualnych sieci prywatnych (ang VPN). Certyfikaty ABW otrzymały więc (wszystkie do poziomu poufne ): a) szyfrator IP HC7820 (typ 10Mbps), b) stacja zarządzania SNMC-7000, c) karta szyfrująca HC6378 PC Security + VPN (dwa typy). W tym samym obszarze, certyfikat na poziomie zastrzeżone uzyskało polskie rozwiązanie szyfrator IP Optimus ABA IPSec Gateway wspólny produkt firm Optimus S.A. i ABA Sp. z o.o. Aktualnie w certyfikacji znajdują się 3 polskie szyfratory IP (producenci Prokom Software SA 9 ). COMP S.A. oraz Krypton Polska Sp. z o.o). Z dostępnych informacji wynika że będą to nowoczesne urządzenia o przepustowości 100 Mbps, w wersjach zarówno dla poziomu poufne (zawierających implementację algorytmem narodowym NASZ-P-05), jak również dla poziomu tajne (z implementacją algorytmu narodowego NASZ1). Należy zauważyć, że jednym rozwiązaniem dla ochrony informacji ściśle tajnych, na liście ABW, jest System SKALAR opracowany przez DBTI ABW. Cechą charakterystyczną procesu badań i certyfikacji prowadzonego przez ABW jest wydawanie certyfikatów na określony czas (zazwyczaj 5 lat). Wiąże się to nie tylko z procesem starzenia się rozwiązań technicznych i technologicznych, ale przede wszystkim z możliwością zmniejszenia mocy rozwiązań kryptograficznych w świetle pojawienia się nowych ataków. Po tym okresie producent jest zmuszony do recertyfikacji. Regułą jest zresztą, że przedstawia wtedy rozwiązanie nowocześniejsze, co najmniej w warstwie oprogramowania). Certyfikacja urządzeń i oprogramowania na określony czas, będąca ograniczeniem w stosunku do producentów, nie powinna być jednak ograniczeniem w stosowaniu dla odbiorców tych urządzeń.trudno bowiem wymagań od organu administracji publicznej, który wydał duże środki finansowe na urządzenia kryptograficzne, aby po pięciu latach przestał je użytkować i został pozbawiony możliwości ochrony przesyłanych informacji niejawnych. Niewątpliwe proces wycofywania urządzeń i oprogramowania powinien być bardziej elastyczny i bezpieczny niż ograniczony do ważności certyfikatu. Lista ABW co prawda zawiera wiele urządzeń, ale nie wszystkie odpowiadają współczesnym wymaganiom klientów pod względem szybkości. Jest to niestety spowodowane przyczynami obiektywnymi proces badań i certyfikacji, czasami trwający kilka lat zamraża rozwój urządzenia, przede wszystkim w warstwie sprzętowej, ale również systemu operacyjnego z którym dane rozwiązanie ma współpracować. Z drugiej strony należy podkreślić różnorodność 9 Docelowo rozwiązanie ma być przekazane jako aport do firmy COMP S.A. w ramach reorganizacji grupy kapitałowej Prokom i organizacji tzw. Centrum Kompetencyjnego Bezpieczeństwa.
13 tych rozwiązań oraz fakt, że stosowana procedura badań i certyfikacji czyni proces wprowadzania rozwiązań kryptograficznych czytelnym zarówno dla producentów jak i odbiorców organów administracji publicznej i innych podmiotów, które mają dostęp do informacji niejawnych. W zakresie zastosowań cywilnych firmy, w tym banki, używają najróżniejszych urządzeń i oprogramowania kryptograficznego. Szerokim powodzeniem cieszą się m.in. różne rozwiązania firmy Cisco w zakresie budowy wirtualnych sieci prywatnych VPN. Wiele witryn WWW, w szczególności realizujących bankowość elektroniczną korzysta z oprogramowania firmy Microsoft i wbudowanych w system mechanizmów i biblioteki kryptograficznej pozwalających na zestawienie pomiędzy przeglądarką a serwerem WWW bezpiecznego połączenia. Co pewien czas wykrywane są jednak w tych aplikacjach i bibliotekach nowe podatności i pojawiają się nowe ataki. Przykładem jest ataki na ścieżkę certyfikatów umożliwiający podszycie się pod autentyczną stronę banku [Kraw]. Warte jest odnotowania, że firmy tworzące dla zapotrzebowań w obszarze informacji niejawnych konstruują również urządzenia i oprogramowanie dla obszaru komercyjnego. Przykładem jest tutaj urządzenia Delta 2 TLS akcelerator protokołu SSL/TLS oraz serwer uwierzytelniający SU (oba produkty - COMP SA). Podsumowanie Na pytanie, czy ostatnie 10 lat polskiej kryptografii było czasem przełomu należy odpowiedzieć twierdząco. Jeśli nie odnotowano w tym czasie takich spektakularnych sukcesów, jak złamanie szyfru Enigmy przed II wojną światową 10, to nie znaczy, że brak było znaczących rezultatów w następujących obszarach: a) porządkowania sfery prawnej zastosowań środków ochrony kryptograficznej, b) kształcenia studentów, popularyzacji naukowych i praktycznych aspektów kryptografii na konferencjach i publikacjach, c) opracowywania nowych rozwiązań, d) normalizacji w zakresie algorytmów, technik i mechanizmów kryptograficznych oraz kryteriów ich oceny, e) implementacji algorytmów, technik i mechanizmów kryptograficznych w urządzeniach i oprogramowaniu kryptograficznym, zarówno dla sfery komercyjnej (tajemnice prawnie chronione), jak i dla podmiotów przetwarzających informacje niejawne. Wszelkie uwagi i polemiki pod adresem treści niniejszego opracowania proszę kierować na adres cendrowskij@prokom.pl. 10 Warto jednak odnotować, że o sukcesach Biura Szyfrów SzG WP w złamaniu Enigmy świat dowiedział się dopiero po ok. 50 latach a Anglicy oficjalnie potwierdzili wkład Polaków w program Ultra dopiero pod koniec lat 90-ch.
14 Literatura [02000] PN-I-02000:2002 Technika Informatyczna - Zabezpieczenia w systemach informatycznych Terminologia. [140-2] FIPS PUB Security Requirements for Cryptographic modules. NIST [1842] Decyzja nr 1842/86 MSW z dnia r. w sprawie badań i certyfikacji wyrobów o przeznaczeniu specjalnym w laboratoriach badawczych i jednostce certyfikującej [51] Zarządzenie nr 51 Prezesa RM z dnia w sprawie określenia szczegółowych zadań Urzędu Ochrony Państwa (uchylone). [C_K] Janusz Cendrowski, Robert Kośla, Rola kryteriów oceny zabezpieczeń teleinformatyki dla bezpieczeństwa teleinformatycznego polskiej administracji publicznej XXI wieku, IT Security Magazine, nr 6-7 (22-23) [Cur] [Kraw] [Pietrz] [R1094] Nicolas T. Courtois, Algebraic attacks and design of block ciphers (e.g. AES), stream ciphers, and multivariate public key schemes", Materiały VII KKZK Enigma msiemitm.pl.php. J. Pieprzyk, J. Y. Cho, Algebraic attacks on SOBER t-32 and SOBER t-16 without stuttering, Materiały KKZK Enigma 2005 Warszawa Rozporządzenie RM z dnia 7 sierpnia 2002 r. w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego (dz. U. Nr 128, poz. 1094) [RPWB1] Rozporządzenie Prezesa RM z dnia w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych, Dz.U. 18, poz. 162 (uchylone). [RPWB2] Rozporządzenie Prezesa RM z dnia w sprawie określenia podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych, Dz.U. 171, poz [X509] X509: 1997, ITU-T Recommendation: Information Technology Open Systems Interconnection The Directory Authentication Framework. [UOIN] Ustawa z dnia 22 stycznia 1999 o ochronie informacji niejawnych Dz.U. nr 11 poz. 95 z późn. zm. (ostatnie nowelizacja 2005 rok). [UOP] Ustawa z dnia o Urzędzie Ochrony Państwa Dz.U. nr 30. poz (uchylona). [UOPE] Ustawa z dnia 18 września 2001 o podpisie elektronicznym (Dz.U. nr 130, poz. 1450) [UWDG] Ustawa z dnia 22 czerwca 2001 r. o wykonywaniu działalności gospodarczej w zakresie wytwarzania i obrotu materiałami wybuchowymi, bronią, amunicją oraz wyrobami i technologią o przeznaczeniu wojskowym lub policyjnym (Dz. U. Nr 67, poz. 679)
15 [UTPS] Ustawa z dnia o ochronie tajemnicy państwowej i służbowej Dz.U nr 40 poz. 271 (uchylona). [UOZT] [Zal] Ustawa z dnia o obrocie z zagranicą towarami, technologiami i usługami o znaczeniu strategicznym dla bezpieczeństwa państwa, a także dla utrzymania międzynarodowego pokoju i bezpieczeństwa, Dz.U 119 poz (z późn. zmianami). Zalecenia Agencji Bezpieczeństwa Wewnętrznego dotyczące bezpieczeństwa teleinformatycznego, DBTI ABW, Warszawa 2003.
Ostatnie 10 lat polskiej kryptografii. - czas przełomu? dr Janusz Cendrowski PKN KT 182 Warszawa 2006
Ostatnie 10 lat polskiej kryptografii - czas przełomu? dr Janusz Cendrowski PKN KT 182 Warszawa 2006 Plan prezentacji Kryptografia państwowa i komercyjna Rozwój kryptografii w ośrodkach akademickich Konferencje,
Bardziej szczegółowoLista środków ochrony kryptograficznej posiadających certyfikaty Jednostki Certyfikującej Departamentu Bezpieczeństwa Teleinformatycznego ABW.
Lista środków kryptograficznej posiadających certyfikaty Jednostki Certyfikującej Departamentu Bezpieczeństwa Teleinformatycznego ABW DEARTAMENT BEZIECZEŃSTWA TELEINFORMATYCZNEGO AGENCJA BEZIECZEŃSTWA
Bardziej szczegółowoPraktyczne aspekty stosowania kryptografii w systemach komputerowych
Kod szkolenia: Tytuł szkolenia: KRYPT/F Praktyczne aspekty stosowania kryptografii w systemach komputerowych Dni: 5 Opis: Adresaci szkolenia Szkolenie adresowane jest do osób pragnących poznać zagadnienia
Bardziej szczegółowoDz.U Nr 18 poz. 162 ROZPORZĄDZENIE PREZESA RADY MINISTRÓW
Kancelaria Sejmu s. 1/5 Dz.U. 1999 Nr 18 poz. 162 ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 25 lutego 1999 r. w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych. Na podstawie
Bardziej szczegółowoWprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna
1. Wstęp Wprowadzenie do PKI Infrastruktura klucza publicznego (ang. PKI - Public Key Infrastructure) to termin dzisiaj powszechnie spotykany. Pod tym pojęciem kryje się standard X.509 opracowany przez
Bardziej szczegółowoZARZĄDZENIE NR 45 SZEFA AGENCJI BEZPIECZEŃSTWA WEWNĘTRZNEGO. z dnia 17 sierpnia 2012 r.
N-21920/2012 ZARZĄDZENIE NR 45 SZEFA AGENCJI BEZPIECZEŃSTWA WEWNĘTRZNEGO z dnia 17 sierpnia 2012 r. w sprawie certyfikacji urządzeń, narzędzi oraz środków przeznaczonych do ochrony informacji niejawnych
Bardziej szczegółowoPromotor: dr inż. Krzysztof Różanowski
Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof
Bardziej szczegółowoInfrastruktura klucza publicznego w sieci PIONIER
Infrastruktura klucza publicznego w sieci PIONIER Ireneusz Tarnowski Konferencja i3 Wrocław, 2 grudnia 2010 Plan wystąpienia PKI Infrastruktura Klucza Publicznego Zastosowania certyfikatów X.509 Jak to
Bardziej szczegółowoPolityka bezpieczeństwa
Polityka bezpieczeństwa Formalny dokument opisujący strategię bezpieczeństwa. Oczekiwana zawartość: cele, standardy i wytyczne, zadania do wykonania, specyfikacja środków, zakresy odpowiedzialności. Tomasz
Bardziej szczegółowoNa czym polega planowanie ochrony informacji niejawnych w jednostce organizacyjnej?
dr Agata Lasota - Jądrzak ekspert ds. bezpieczeństwa informacji ZPP Wielkopolska Na czym polega planowanie ochrony informacji niejawnych w jednostce organizacyjnej? Planowanie ochrony informacji niejawnych
Bardziej szczegółowoWdrożenie infrastruktury klucza publicznego (PKI) dla użytkowników sieci PIONIER
Wdrożenie infrastruktury klucza publicznego (PKI) dla użytkowników sieci PIONIER Ireneusz Tarnowski Wrocławskie Centrum Sieciowo-Superkomputerowe Poznań, 4 listopada 2009 Plan wystąpienia PKI Infrastruktura
Bardziej szczegółowoepolska XX lat później Daniel Grabski Paweł Walczak
epolska XX lat później Daniel Grabski Paweł Walczak BIG TRENDY TECHNOLOGICZNE TRANSFORMACJA DOSTĘPU DO LUDZI I INFORMACJI +WYZWANIA W OBSZARZE CYBERBEZPIECZEŃSTWA Mobile Social Cloud Millennials (cyfrowe
Bardziej szczegółowoOpis efektów kształcenia dla modułu zajęć
Nazwa modułu: Kryptografia Rok akademicki: 2032/2033 Kod: IIN-1-784-s Punkty ECTS: 3 Wydział: Informatyki, Elektroniki i Telekomunikacji Kierunek: Informatyka Specjalność: - Poziom studiów: Studia I stopnia
Bardziej szczegółowoWYMAGANIA TECHNOLOGICZNE W ODNIESIENIU DO SYSTEMÓW TELEKOMUNIKACYJNYCH I TELEINFORMATYCZNYCH W OBSZARZE SIŁ ZBROJNYCH
WYMAGANIA TECHNOLOGICZNE W ODNIESIENIU DO SYSTEMÓW TELEKOMUNIKACYJNYCH I TELEINFORMATYCZNYCH W OBSZARZE SIŁ ZBROJNYCH Robert Goniacz WYMAGANIA TECHNOLOGICZNE Obszar sił zbrojnych Najważniejsze problemy
Bardziej szczegółowoZastosowania PKI dla wirtualnych sieci prywatnych
Zastosowania PKI dla wirtualnych sieci prywatnych Andrzej Chrząszcz NASK Agenda Wstęp Sieci Wirtualne i IPSEC IPSEC i mechanizmy bezpieczeństwa Jak wybrać właściwą strategię? PKI dla VPN Co oferują dostawcy
Bardziej szczegółowoOCHRONA INFORMACJI NIEJAWNYCH
OCHRONA INFORMACJI NIEJAWNYCH Zasady ochrony informacji niejawnych w Polsce określa ustawa z dnia 5 sierpnia 2010r o ochronie informacji niejawnych, która weszła w życie 2 stycznia 2011r. (t.j. Dz. U.
Bardziej szczegółowoVPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA
VPN Virtual Private Network Użycie certyfikatów niekwalifikowanych w sieciach VPN wersja 1.1 Spis treści 1. CO TO JEST VPN I DO CZEGO SŁUŻY... 3 2. RODZAJE SIECI VPN... 3 3. ZALETY STOSOWANIA SIECI IPSEC
Bardziej szczegółowoBezpieczeństwo kart elektronicznych
Bezpieczeństwo kart elektronicznych Krzysztof Maćkowiak Karty elektroniczne wprowadzane od drugiej połowy lat 70-tych znalazły szerokie zastosowanie w wielu dziedzinach naszego życia: bankowości, telekomunikacji,
Bardziej szczegółowoPROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0)
pełna nazwa jednostki organizacyjnej ZATWIERDZAM... PROCEDURY BEZPIECZNEJ EKSPLOATACJI DLA SYSTEMU TELEINFORMATYCZNEGO NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0) Pełnomocnik Ochrony Kierownik
Bardziej szczegółowoZiMSK. Konsola, TELNET, SSH 1
ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Konsola, TELNET, SSH 1 Wykład
Bardziej szczegółowoPrzewodnik użytkownika
STOWARZYSZENIE PEMI Przewodnik użytkownika wstęp do podpisu elektronicznego kryptografia asymetryczna Stowarzyszenie PEMI Podpis elektroniczny Mobile Internet 2005 1. Dlaczego podpis elektroniczny? Podpis
Bardziej szczegółowoWarszawa, dnia 9 lutego 2012 r. Poz. 8
Departament Ochrony Informacji Niejawnych Warszawa, dnia 9 lutego 2012 r. Poz. 8 DECYZJA Nr 7/MON MINISTRA OBRONY NARODOWEJ z dnia 20 stycznia 2012 r. w sprawie organizacji ochrony systemów teleinformatycznych
Bardziej szczegółowoPolityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security.
Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security.pl Główne zagadnienia referatu Pojęcie Polityki Bezpieczeństwa Ocena
Bardziej szczegółowoSzkolenie otwarte 2016 r.
Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie
Bardziej szczegółowoWarsztaty ochrony informacji niejawnych
Warsztaty ochrony informacji niejawnych Opis Przygotowanie i prowadzenie kompleksowej dokumentacji normującej ochronę informacji niejawnych w jednostce organizacyjnej według ustawy z dnia 5 sierpnia 2010r.
Bardziej szczegółowoROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r.
projekt ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r. w sprawie szczegółowych warunków organizacyjnych i technicznych dla systemu teleinformatycznego służącego identyfikacji
Bardziej szczegółowoPOLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH
Krajowa Izba Rozliczeniowa S.A. POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH Wersja 1.5 Historia dokumentu Numer wersji Status Data wydania 1.0 Dokument zatwierdzony przez Zarząd
Bardziej szczegółowoWarszawa, dnia 16 kwietnia 2013 r. Poz. 463 ROZPORZĄDZENIE MINISTRA ZDROWIA 1) z dnia 28 marca 2013 r.
DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ Warszawa, dnia 16 kwietnia 2013 r. Poz. 463 ROZPORZĄDZENIE MINISTRA ZDROWIA 1) z dnia 28 marca 2013 r. w sprawie wymagań dla Systemu Informacji Medycznej 2) Na
Bardziej szczegółowoWSIZ Copernicus we Wrocławiu
Bezpieczeństwo sieci komputerowych Wykład 4. Robert Wójcik Wyższa Szkoła Informatyki i Zarządzania Copernicus we Wrocławiu Plan wykładu Sylabus - punkty: 4. Usługi ochrony: poufność, integralność, dostępność,
Bardziej szczegółowoZarządzenie nr 42 Rektora Uniwersytetu Jagiellońskiego z 26 czerwca 2008 roku
UNIWERSYTET JAGIELLOŃSKI DO-0130/42/2008 Zarządzenie nr 42 Rektora Uniwersytetu Jagiellońskiego z 26 czerwca 2008 roku w sprawie: organizacji i funkcjonowania ochrony informacji niejawnych oraz postępowania
Bardziej szczegółowoPLAN DZIAŁANIA KT 182 ds. Ochrony Informacji w Systemach Teleinformatycznych
STRESZCZENIE PLAN DZIAŁANIA KT 182 Strona 1 PLAN DZIAŁANIA KT 182 ds. Ochrony Informacji w Systemach Teleinformatycznych 1 ŚRODOWISKO BIZNESOWE KT 1.1 Opis środowiska biznesowego Na działalność gospodarczą
Bardziej szczegółowoWykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie
Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie rodzaje szyfrowania kryptografia symetryczna i asymetryczna klucz publiczny i prywatny podpis elektroniczny certyfikaty, CA, PKI IPsec tryb tunelowy
Bardziej szczegółowoZielona Góra, 22-X-2015
IT Security Academy Zielona Góra, 22-X-2015 Plan inauguracji 13:00 13:05 Przywitanie gości i uczestników. 13:05 13:15 Wystąpienie Dziekana WIEA Uniwersytetu Zielonogórskiego, prof. dr hab. inż. Andrzeja
Bardziej szczegółowoPodstawy Secure Sockets Layer
Podstawy Secure Sockets Layer Michał Grzejszczak 20 stycznia 2003 Spis treści 1 Wstęp 2 2 Protokół SSL 2 3 Szyfry używane przez SSL 3 3.1 Lista szyfrów.................................... 3 4 Jak działa
Bardziej szczegółowoKrzysztof Świtała WPiA UKSW
Krzysztof Świtała WPiA UKSW Podstawa prawna 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany
Bardziej szczegółowoOchrona informacji niejawnych.
FRDL Centrum Szkoleniowe w Łodzi zaprasza w dniu 29 września 2017 roku na szkolenie na temat: Ochrona informacji niejawnych. Cele i korzyści ze szkolenia: Szkolenie jest spełnieniem obowiązku wynikającego
Bardziej szczegółowoInformacje niejawne i ich podział (oprac. Tomasz A. Winiarczyk)
Informacje niejawne i ich podział (oprac. Tomasz A. Winiarczyk) podstawa prawna USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych POJĘCIA PODSTAWOWE rękojmia zachowania tajemnicy zdolność
Bardziej szczegółowoZdalne logowanie do serwerów
Zdalne logowanie Zdalne logowanie do serwerów Zdalne logowanie do serwerów - cd Logowanie do serwera inne podejście Sesje w sieci informatycznej Sesje w sieci informatycznej - cd Sesje w sieci informatycznej
Bardziej szczegółowoKomunikat nr 115 z dnia 12.11.2012 r.
Komunikat nr 115 z dnia 12.11.2012 r. w sprawie wprowadzenia zmian w wymaganiach akredytacyjnych dla jednostek certyfikujących systemy zarządzania bezpieczeństwem informacji wynikających z opublikowania
Bardziej szczegółowoPROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES. Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska
PROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska Wprowadzenie Problemy bezpieczeństwa transmisji Rozwiązania stosowane dla
Bardziej szczegółowoPlatforma Integracji Komunikacji
Platforma Integracji Komunikacji ogólnopolska łączność służbowa łączenie różnorodności RadioEXPO, 8 październik 2014 GRUPA WB 140 000 120 000 100 000 80 000 60 000 40 000 20 000 0 kapitał własny (K Eur)
Bardziej szczegółowoZnaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Witold Kowal Copyright 2016 BSI. All rights reserved. Tak
Bardziej szczegółowoSystemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej
Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy
Bardziej szczegółowoDECYZJA Nr 74/MON MINISTRA OBRONY NARODOWEJ z dnia 27 marca 2013 r. w sprawie eksploatacji niejawnego systemu teleinformatycznego PL_NS NOAN
Departament Informatyki i Telekomunikacji Warszawa, dnia 28 marca 2013 r. Poz. 82 DECYZJA Nr 74/MON MINISTRA OBRONY NARODOWEJ z dnia 27 marca 2013 r. w sprawie eksploatacji niejawnego systemu teleinformatycznego
Bardziej szczegółowokorporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o.
Bezpieczeństwo usług ug w sieciach korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o. DGT Sp. z o.o. All rights ul. Młyńska reserved 7, 83-010 2005, DGT Straszyn, Sp. z
Bardziej szczegółowoZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ
ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania
Bardziej szczegółowoProgram Operacyjny Innowacyjna Gospodarka
Program Operacyjny Innowacyjna Gospodarka Cel główny: Rozwój polskiej gospodarki w oparciu o innowacyjne przedsiębiorstwa Cele szczegółowe: zwiększenie innowacyjności przedsiębiorstw, wzrost konkurencyjności
Bardziej szczegółowo2.1. System kryptograficzny symetryczny (z kluczem tajnym) 2.2. System kryptograficzny asymetryczny (z kluczem publicznym)
Dr inż. Robert Wójcik, p. 313, C-3, tel. 320-27-40 Katedra Informatyki Technicznej (K-9) Wydział Elektroniki (W-4) Politechnika Wrocławska E-mail: Strona internetowa: robert.wojcik@pwr.edu.pl google: Wójcik
Bardziej szczegółowoSystemy Ochrony Informacji
1 Systemy Ochrony Informacji Enigma Systemy Ochrony Informacji jest producentem, dostawcą i integratorem zaawansowanych dedykowanych rozwiązań w zakresie bezpieczeństwa systemów ze szczególnym naciskiem
Bardziej szczegółowoSTANDARDY I SYSTEMY ZARZĄDZANIA PORTAMI LOTNICZYMI 2013
Wersja Jednostka realizująca Typ Poziom Program Profil Blok Grupa Kod Semestr nominalny Język prowadzenia zajęć Liczba punktów ECTS Liczba godzin pracy studenta związanych z osiągnięciem efektów Liczba
Bardziej szczegółowoWarszawa, dnia 6 października 2016 r. Poz. 1626
Warszawa, dnia 6 października 2016 r. Poz. 1626 ROZPORZĄDZENIE MINISTRA CYFRYZACJI 1) z dnia 5 października 2016 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji
Bardziej szczegółowoOchrona informacji niejawnych.
FRDL Centrum Szkoleniowe w Łodzi zaprasza w dniu 22 marca 2018 roku na szkolenie na temat: Ochrona informacji niejawnych. Cele i korzyści ze szkolenia: Szkolenie obejmuje pełen zakres wiedzy z zakresu
Bardziej szczegółowoMobilny Taktyczny System Łączności Bezprzewodowej
Mobilny Taktyczny System Łączności Bezprzewodowej PODSYSTEM KRYPTOGRAFICZNEJ OCHRONY INFORMACJI Umowa Nr DOBR-BIO4/076/13023/2013 (Radiostacja Przewoźna) Sieradz, kwiecień 2015 r. PODSYSTEM KRYPTOGRAFICZNEJ
Bardziej szczegółowo1) Instrukcji o zasadach pracy biurowej w resorcie obrony narodowej (sygn. Szt. Gen. 1537/2002),
1. WSTĘP W odróżnieniu od informacji niejawnych, których ochrona i tryb udostępniania określa szczegółowo ustawa z 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95 z późn. zm.)
Bardziej szczegółowoPrawne i techniczne aspekty uznawania dokumentów elektronicznych z perspektywy skrzynki.
Prawne i techniczne aspekty uznawania dokumentów elektronicznych z perspektywy skrzynki. Andrzej Ruciński Grzegorz Klasa Członek Zarządu Szef Projektu arucinski@unizeto.pl gklasa@unizeto.pl 2. Systemy
Bardziej szczegółowoProgram ochrony cyberprzestrzeni RP założenia
Program ochrony cyberprzestrzeni RP założenia Departament Bezpieczeństwa Teleinformatycznego ABW Departament Infrastruktury Teleinformatycznej MSWiA www.cert.gov.pl slajd 1 www.cert.gov.pl slajd 2 Jakie
Bardziej szczegółowoOCHRONA INFORMACJI NIEJAWNYCH
Dowództwo Wojsk Obrony Terytorialnej Oddział Ochrony Informacji Niejawnych OCHRONA INFORMACJI NIEJAWNYCH TEMAT 1: Ogólne zasady ochrony informacji niejawnych. Odpowiedzialność karna, dyscyplinarna i służbowa
Bardziej szczegółowoWZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji
Bardziej szczegółowoZnaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Copyright 2016 BSI. All rights reserved. Tak było Na dokumentację,
Bardziej szczegółowoPROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES. Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska
PROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska Wprowadzenie Problemy bezpieczeństwa transmisji Rozwiązania stosowane dla
Bardziej szczegółowoOd Wydawcy Krzywe eliptyczne w kryptografii Wykorzystanie pakietu SAGE... 9
Od Wydawcy... 8 1. Krzywe eliptyczne w kryptografii Wykorzystanie pakietu SAGE... 9 1.1.. Krzywe eliptyczne w praktyce... 10 1.2.. Pakiet SAGE... 10 1.3.. Krzywe eliptyczne na płaszczyźnie... 10 1.4..
Bardziej szczegółowoWERYFIKACJA KLAUZUL TAJNOŚCI DOKUMENTÓW ARCHIWALNYCH WOJSKA POLSKIEGO WYTWORZONYCH PRZED DNIEM 10 MAJA 1990 ROKU
Bogusław Stachula WERYFIKACJA KLAUZUL TAJNOŚCI DOKUMENTÓW ARCHIWALNYCH WOJSKA POLSKIEGO WYTWORZONYCH PRZED DNIEM 10 MAJA 1990 ROKU Art. 21 ust. 1 oraz art. 86 ust. 2 ustawy z 22 stycznia 1999 roku o ochronie
Bardziej szczegółowoRyzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )
Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych
Bardziej szczegółowoBezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)
Bezpieczeństwo Systemów Komputerowych Wirtualne Sieci Prywatne (VPN) Czym jest VPN? VPN(Virtual Private Network) jest siecią, która w sposób bezpieczny łączy ze sobą komputery i sieci poprzez wirtualne
Bardziej szczegółowoZałożenia projektu ustawy o zmianie niektórych ustaw, w związku z pozyskiwaniem i wykorzystywaniem danych telekomunikacyjnych. Warszawa, maj 2012 r.
Projekt z dnia 28 maja 2012 r. Założenia projektu ustawy o zmianie niektórych ustaw, w związku z pozyskiwaniem i wykorzystywaniem danych telekomunikacyjnych. Warszawa, maj 2012 r. 1. Cel projektowanej
Bardziej szczegółowoSpis treści. Od Wydawcy
Spis treści Od Wydawcy 1. Krzywe eliptyczne w kryptografii Wykorzystanie pakietu SAGE 1.1. Krzywe eliptyczne w praktyce 1.2. Pakiet SAGE 1.3. Krzywe eliptyczne na płaszczyźnie 1.4. Ciała skończone proste
Bardziej szczegółowoPRZEWODNIK PO PRZEDMIOCIE
Nazwa przedmiotu: Kierunek: Informatyka KRYPTOGRAFIA STOSOWANA APPLIED CRYPTOGRAPHY Forma studiów: stacjonarne Kod przedmiotu: IO1_03 Rodzaj przedmiotu: obowiązkowy w ramach treści kierunkowych Rodzaj
Bardziej szczegółowoDoświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001
Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem
Bardziej szczegółowoCharakterystyka systemu zarządzania jakością zgodnego z wymaganiami normy ISO serii 9000
Charakterystyka systemu zarządzania jakością zgodnego z wymaganiami normy ISO serii 9000 Normy ISO serii 9000 Zostały uznane za podstawę wyznaczania standardów zarządzania jakością Opublikowane po raz
Bardziej szczegółowoDzień dobry Państwu, nazywam się Dariusz Kowal, jestem pracownikiem Śląskiego Centrum Społeczeństwa Informacyjnego, gdzie pełnię rolę inspektora ds.
Dzień dobry Państwu, nazywam się Dariusz Kowal, jestem pracownikiem Śląskiego Centrum Społeczeństwa Informacyjnego, gdzie pełnię rolę inspektora ds. CC SEKAP. W dniu dzisiejszym przedstawię Państwu w jaki
Bardziej szczegółowoWykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie
Wykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie rodzaje szyfrowania kryptografia symetryczna i asymetryczna klucz publiczny i prywatny podpis elektroniczny certyfikaty, CA, PKI IPsec tryb tunelowy
Bardziej szczegółowoPRZEPISY PRAWNE W ZAKRESIE OCHRONY INFORMACJI NIEJAWNYCH
PRZEPISY PRAWNE W ZAKRESIE OCHRONY INFORMACJI NIEJAWNYCH Ustawa z dnia 22 stycznia 1999 r. o Ochronie Informacji Niejawnych. Tekst ujednolicony po zmianie z 15 kwietnia 2005 r. (Dz.U. z 2005 r. Nr 196,
Bardziej szczegółowoStudia Doktoranckie na Wydziale Towaroznawstwa UEP Sylabus przedmiotu
Studia Doktoranckie na Wydziale Towaroznawstwa UEP Sylabus przedmiotu Nazwa przedmiotu: Nadzór nad rynkiem w UE, system akredytacji Blok zajęciowy fakultatywny Forma zajęć wykład Wymiar godzinowy 10 h
Bardziej szczegółowo1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?
PROGRAM SZKOLENIA: I DZIEŃ SZKOLENIA 9:00-9:15 POWITANIE UCZESTNIKÓW SZKOLENIA. 9:15-10:30 BLOK I WSTĘPNE ZAGADNIENIA DOTYCZĄCE RODO 1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy
Bardziej szczegółowoDziennik Urzędowy Unii Europejskiej. (Akty o charakterze nieustawodawczym) ROZPORZĄDZENIA
9.9.2015 L 235/1 II (Akty o charakterze nieustawodawczym) ROZPORZĄDZENIA ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2015/1501 z dnia 8 września 2015 r. w sprawie ram interoperacyjności na podstawie art. 12
Bardziej szczegółowoPodpis elektroniczny dla firm jako bezpieczna usługa w chmurze. mgr inż. Artur Grygoruk
Podpis elektroniczny dla firm jako bezpieczna usługa w chmurze mgr inż. Artur Grygoruk Czy wyobrażamy sobie świat bez podpisu? Co podpis wnosi do naszego życia? Cisco Systems 1/15 Podpis elektroniczny
Bardziej szczegółowoLaboratorium nr 5 Podpis elektroniczny i certyfikaty
Laboratorium nr 5 Podpis elektroniczny i certyfikaty Wprowadzenie W roku 2001 Prezydent RP podpisał ustawę o podpisie elektronicznym, w która stanowi że podpis elektroniczny jest równoprawny podpisowi
Bardziej szczegółowoPolskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny
Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny Uwagi do projektu Rozporządzenia RM w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagao dla rejestrów publicznych
Bardziej szczegółowoZalecenia standaryzacyjne dotyczące bezpieczeństwa wymiany danych osobowych drogą elektroniczną. Andrzej Kaczmarek Biuro GIODO
Zalecenia standaryzacyjne dotyczące bezpieczeństwa wymiany danych osobowych drogą elektroniczną Andrzej Kaczmarek Biuro GIODO 1 Plan prezentacji: Przepisy określające wymagania w zakresie bezpieczeństwa
Bardziej szczegółowoHosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas)
Hosting WWW Bezpieczeństwo hostingu WWW Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas) Szyfrowana wersja protokołu HTTP Kiedyś używany do specjalnych zastosowań (np. banki internetowe), obecnie zaczyna
Bardziej szczegółowoArchitektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011
Architektura informacji w ochronie zdrowia Warszawa, 29 listopada 2011 Potrzeba Pomiędzy 17 a 19 kwietnia 2011 roku zostały wykradzione dane z 77 milionów kont Sony PlayStation Network. 2 tygodnie 25 milionów
Bardziej szczegółowoZARZĄDZENIE Nr 20/2011
ZARZĄDZENIE Nr 20/2011 Rektora Akademii Wychowania Fizycznego im. Bronisława Czecha w Krakowie z dnia 29 sierpnia 2011 roku w sprawie organizacji i funkcjonowania ochrony informacji niejawnych oraz postępowania
Bardziej szczegółowoZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ
ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 1 do Część II SIWZ SPIS
Bardziej szczegółowo(Tekst mający znaczenie dla EOG)
L 85 I/11 ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2019/494 z dnia 25 marca 2019 r. w sprawie niektórych aspektów bezpieczeństwa lotniczego w odniesieniu do wystąpienia Zjednoczonego Królestwa
Bardziej szczegółowoWarszawa, dnia 6 października 2016 r. Poz ROZPORZĄDZENIE MINISTRA CYFRYZACJI 1) z dnia 5 października 2016 r.
DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ Warszawa, dnia 6 października 2016 r. Poz. 1633 ROZPORZĄDZENIE MINISTRA CYFRYZACJI 1) z dnia 5 października 2016 r. w sprawie profilu zaufanego elektronicznej platformy
Bardziej szczegółowoSemestr II Lp. Nazwa przedmiotu ECTS F. zaj. F. zal. Godz. 1. Standardy bezpieczeństwa informacji:
2 Plan studiów podyplomowych Systemy Zarządzania Bezpieczeństwem Informacji Edycja II w roku akademickim 2015/2016 Semestr I Lp. ECTS F. zaj. F. zal. Godz. 1. Istota informacji we współczesnych organizacjach
Bardziej szczegółowoUwagi do projektów rozporządzeń związanych z platformą epuap
Paweł Krawczyk Kraków, 28 maja 2010 ul. Miechowity 15/19 31-475 Kraków tel +48 602 776959 email pawel.krawczyk@hush.com Ministerstwo Spraw Wewnętrznych i Administracji ul. Stefana Batorego 5 02-591 Warszawa
Bardziej szczegółowoAuthenticated Encryption
Authenticated Inż. Kamil Zarychta Opiekun: dr Ryszard Kossowski 1 Plan prezentacji Wprowadzenie Wymagania Opis wybranych algorytmów Porównanie mechanizmów Implementacja systemu Plany na przyszłość 2 Plan
Bardziej szczegółowoCENTRALNE LABORATORIUM KRYMINALISTYCZNE POLICJI
CENTRALNE LABORATORIUM KRYMINALISTYCZNE POLICJI http://clkp.policja.pl/clk/system-jakosci/certyfikaty/10660,certyfikaty.html 2019-01-13, 19:56 CERTYFIKATY Certyfikat Akredytacji Laboratorium Badawczego
Bardziej szczegółowoPolityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.
Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie. Podstawa prawna: 1. Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz.U. 2002 nr
Bardziej szczegółowo2016 Proget MDM jest częścią PROGET Sp. z o.o.
Proget MDM to rozwiązanie umożliwiające administrację urządzeniami mobilnymi w firmie takimi jak tablet czy telefon. Nasza platforma to także bezpieczeństwo danych firmowych i prywatnych: poczty email,
Bardziej szczegółowoPOLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH
Krajowa Izba Rozliczeniowa S.A. POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH Wersja 1.7 Historia dokumentu Numer wersji Status Data wydania 1.0 Dokument zatwierdzony przez Zarząd
Bardziej szczegółowo2 Kryptografia: algorytmy symetryczne
1 Kryptografia: wstęp Wyróżniamy algorytmy: Kodowanie i kompresja Streszczenie Wieczorowe Studia Licencjackie Wykład 14, 12.06.2007 symetryczne: ten sam klucz jest stosowany do szyfrowania i deszyfrowania;
Bardziej szczegółowoROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 2007 r.
Projekt z dnia 8 października 2007 r. ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 2007 r. w sprawie dokonywania wpisów danych SIS oraz aktualizowania, usuwania i wyszukiwania danych
Bardziej szczegółowoWirtualna tożsamość w realnym świecie w obliczu nowych usług zaufania i identyfikacji elektronicznej 26.09.2013
Wirtualna tożsamość w realnym świecie w obliczu nowych usług zaufania i identyfikacji elektronicznej 26.09.2013 Agenda 1. Wprowadzenie do wirtualnej tożsamości 2. Wirtualna tożsamość z perspektywy PKI
Bardziej szczegółowoPRZEMYSŁOWY INSTYTUT MOTORYZACJI
PRZEMYSŁOWY INSTYTUT MOTORYZACJI JEDNOSTKA CERTYFIKUJĄCA WYROBY OŚRODEK JAKOŚCI 03-301 Warszawa, ul. Jagiellońska 55 tel. 22 7777-061 e-mail: nj@pimot.org.pl PROGRAM CERTYFIKACJI ZGODNOŚCI WYROBÓW PRZEZNACZONYCH
Bardziej szczegółowoRodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.
Rodzaje danych (informacji) m.in.: Dane finansowe Dane handlowe Dane osobowe Dane technologiczne Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne. Przetwarzane dane mogą być zebrane
Bardziej szczegółowoProgram szkolenia: Bezpieczny kod - podstawy
Program szkolenia: Bezpieczny kod - podstawy Informacje: Nazwa: Kod: Kategoria: Grupa docelowa: Czas trwania: Forma: Bezpieczny kod - podstawy Arch-Sec-intro Bezpieczeństwo developerzy 3 dni 75% wykłady
Bardziej szczegółowoADMINISTRACJA ELEKTRONICZNA. Autor: Jacek Janowski
ADMINISTRACJA ELEKTRONICZNA Autor: Jacek Janowski WSTĘP 1. NOWY MODEL ADMINISTRACJI PUBLICZNEJ 1.1. Kształtowanie się nowej administracji 1.1.1. Współczesny model administracji publicznej 1.1.2. Tradycyjny
Bardziej szczegółowoDECYZJA Nr 20/MON MINISTRA OBRONY NARODOWEJ
USTAWA POMOCE OSOBOWE POLICJA GRANICA FORUM PRZEPISY STREFA OCHRONA SĄDY WIĘZIENIE SKLEP PUBLIKACJE TELE-INFO SKARBOWY M O N INNE HOME DECYZJA Nr 20/MON MINISTRA OBRONY NARODOWEJ z dnia 21 stycznia 2010
Bardziej szczegółowo