Bezpieczeństwo teleinformatyczne informacji niejawnych



Podobne dokumenty
ZARZĄDZENIE Nr 20/2011

Informacje niejawne i ich podział (oprac. Tomasz A. Winiarczyk)

Imię i nazwisko Data Podpis

PROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0)

Na czym polega planowanie ochrony informacji niejawnych w jednostce organizacyjnej?

OCHRONA INFORMACJI NIEJAWNYCH

Ochrona informacji niejawnych w Zachodniopomorskim Uniwersytecie Technologicznym.

USTAWA z dnia 2019 r. o ochronie informacji niejawnych. Rozdział 1 Przepisy ogólne

ROZPORZĄDZENIE PREZESA RADY MINISTRÓW. z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego

ZARZĄDZENIE Nr BO BURMISTRZA OZIMKA z dnia 05 października 2012 r.

Zasady i sposób ochrony informacji niejawnych na Politechnice Krakowskiej

Polski system ochrony informacji niejawnych

OCHRONA INFORMACJI NIEJAWNYCH

Instrukcja dotycząca sposobu i trybu przetwarzania informacji niejawnych oznaczonych klauzulą poufne w Urzędzie Miejskim w Łomży

ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego

Dz.U Nr 18 poz. 162 ROZPORZĄDZENIE PREZESA RADY MINISTRÓW

Polityka bezpieczeństwa

Warszawa, dnia 9 lutego 2012 r. Poz. 8

1.2. Podstawowe akty normatywne z zakresu bezpieczeństwa informacyjnego

Sposób i tryb przetwarzania informacji niejawnych o klauzuli "poufne" w Urzędzie Miasta Piekary Śląskie

Zarządzenie Nr 340/2011 Prezydenta Miasta Nowego Sącza z dnia 17 października 2011r.

USTAWA. z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych. Rozdział 1. Przepisy ogólne

Szkolenie. z zakresu ochrony. informacji niejawnych

System ochrony informacji. niejawnych. Norbert Nowak

Zarządzenie nr 42 Rektora Uniwersytetu Jagiellońskiego z 26 czerwca 2008 roku

USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych 1

USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych. Rozdział 1 Przepisy ogólne

U S T A W A z dnia o ochronie informacji niejawnych oraz o zmianie niektórych ustaw 1) Rozdział 1 Przepisy ogólne

USTAWA. z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych 1)

USTAWA. z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych. Rozdział 1. Przepisy ogólne

USTAWA z dnia 5 sierpnia 2010r. O OCHRONIE INFORMACJI NIEJAWNYCH

Ustawa o ochronie informacji niejawnych [1]

Ustawa o ochronie informacji niejawnych z dnia 5 sierpnia 2010 r. (Dz.U. Nr 182, poz. 1228) 1

ZARZĄDZENIE Nr 192/11

U S T A W A. z dnia. o ochronie informacji niejawnych oraz o zmianie niektórych ustaw 1) Rozdział 1 Przepisy ogólne

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ

Zadania Zespołu ds. Ochrony Informacji Niejawnych Pomorskiego Urzędu Wojewódzkiego w Gdańsku

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

Spis treści. Analiza Ryzyka 2.0 ARIN Instrukcja Użytkowania

ORGANIZACJA OCHRONY INFORMACJI NIEJAWNYCH

Ochrona informacji niejawnych.

o rządowym projekcie ustawy o ochronie informacji niejawnych oraz o zmianie niektórych ustaw (druk nr 2791).

Dz. U Nr 182 poz z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych. Rozdział 1. Przepisy ogólne

Nowe spojrzenie. na ochronę informacji niejawnych. Artur Bogusz

USTA WA. z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych1) jest zasady:

Ochrona informacji niejawnych. Dz.U t.j. z dnia Status: Akt obowiązujący Wersja od: 1 października 2018 r.

Ochrona informacji niejawnych.

Cele i treść postępowania sprawdzającego jako element ochrony informacji niejawnych.

Warsztaty ochrony informacji niejawnych

Dz.U Nr 182 poz z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych. Rozdział 1. Przepisy ogólne

z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych Rozdział 1 Przepisy ogólne

z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych Rozdział 1 Przepisy ogólne

z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych Rozdział 1 Przepisy ogólne

Regulacje prawne. Artur Sierszeń

USTAWA. z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych 1) (Dz. U. z dnia 1 października 2010 r.) Rozdział 1.

ZARZĄDZENIE NR 45 SZEFA AGENCJI BEZPIECZEŃSTWA WEWNĘTRZNEGO. z dnia 17 sierpnia 2012 r.

Warszawa, dnia 23 kwietnia 2019 r. Poz. 742

Kancelaria Sejmu s. 1/63. Dz.U poz MARSZAŁKA SEJMU RZEC ZYPOSPOLITEJ POLSKIEJ z dnia 15 marca 2019 r.

FORUM ROZWOJU INWESTYCJI SAMORZĄDOWYCH

Spis treści. Analiza Ryzyka Instrukcja Użytkowania

Karnoprawne gwarancje niejawności w obszarze działań służb ochrony państwa

Instrukcja dotycząca sposobu i trybu przetwarzania informacji niejawnych oznaczonych

Warszawa, dnia 2 września 2014 r. Poz. 303

Załącznik Nr do umowy nr /.../2018 z dn r.

ZARZĄDZENIE NR 211/2012 WÓJTA GMINY WALIM. z dnia 20 listopada 2012 r.

Załącznik Nr 1 do Zarządzenia Nr.230/2012 Prezydenta Miasta Łomża z dnia 5 września 2012r.

Zarządzenie Nr 622 /OIN/2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016r.

Instrukcja dotycząca sposobu i trybu przetwarzania informacji niejawnych oznaczonych

Pan Marek Jurek Marszałek Sejmu Rzeczypospolitej Polskiej

Warszawa, dnia 20 grudnia 2012 r. Poz ROZPORZĄDZENIE MINISTRA ZDROWIA 1) z dnia 29 listopada 2012 r.

P R O J E K T. Instrukcja Bezpieczeństwa Przemysłowego

ZASADY OCHRONY INFORMACJI NIEJAWNYCH MIĘDZYNARODOWYCH - PRZETARGI I KONTRAKTY

Szczegółowe wymagania w zakresie ochrony informacji niejawnych oznaczonych klauzula zastrzeżone w Uniwersytecie Gdańskim

USTAWA z dnia 4 lutego 2011 r. o zmianie ustawy Kodeks postępowania karnego oraz niektórych innych ustaw 1)

USTAWA. z dnia 6 listopada 2008 r. o akredytacji w ochronie zdrowia

o rządowym projekcie ustawy o zmianie ustawy o ochronie informacji niejawnych oraz niektórych innych ustaw (druk nr 2165).

Dane osobowe: Co identyfikuje? Zgoda

DECYZJA Nr 122/MON MINISTRA OBRONY NARODOWEJ. z dnia 18 marca 2008 r.

Załącznik Nr do umowy nr /.../2018 z dn r. PROJEKT INSTRUKCJI BEZPIECZEŃSTWA PRZEMYSŁOWEGO

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Instrukcja dotycząca sposobu i trybu przetwarzania informacji niejawnych oznaczonych klauzulą zastrzeżone w Urzędzie Miasta Pruszcz Gdański.

REGULAMIN ORGANIZACYJNY

ZARZĄDZENIE NR 29/2012 WÓJTA GMINY SECEMIN. z dnia 29 czerwca 2012 r.

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Druk nr 2165 Warszawa, 22 października 2003 r.

TAJEMNICA ZAWODOWA I BANKOWA. Małgorzata Lewandowska Katarzyna Maciejewska

Dz.U Nr 196 poz OBWIESZCZENIE MARSZAŁKA SEJMU RZECZYPOSPOLITEJ POLSKIEJ z dnia 22 września 2005 r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

USTAWA z dnia 15 kwietnia 2005 r. o zmianie ustawy o ochronie informacji niejawnych oraz niektórych innych ustaw 1)

PROJEKT INSTRUKCJI BEZPIECZEŃSTWA PRZEMYSŁOWEGO

Zakres przedmiotowy UoInf dotyczący epuap

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

ZARZĄDZENIE Nr 12/2019 WÓJTA GMINY STANISŁAWÓW z dnia 15 lutego 2019 r. w sprawie zmiany Regulaminu Organizacyjnego Urzędu Gminy Stanislawów

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

ROZPORZĄDZENIE RADY MINISTRÓW. z dnia 5 kwietnia 2011 r.

Załącznik nr 9 do SIWZ

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

o rządowym projekcie ustawy o zmianie ustawy o ochronie informacji niejawnych oraz niektórych innych ustaw (druk nr 2165).

Transkrypt:

Ewa Gwardzińska Bezpieczeństwo teleinformatyczne informacji niejawnych Praktyczna teoria 25 We współczesnym świecie informacja stanowi wyjątkowo cenne dobro. Większość informacji przekazywanych jest w formie elektronicznej. Zapewnienie bezpieczeństwa teleinformatycznego ma priorytetowe znaczenie, ze względu na szybko rozwijający się cyberterroryzm. Szczególnie dotyczy to tak specyficznej kategorii informacji, jaką stanowią informacje niejawne 1). Ustawa o ochronie informacji niejawnych nie zawiera prawnej definicji informacji niejawnych. Należy przyjąć że informacje niejawne to te, którym wytwórca nadał jedną z czterech klauzul tajności: ściśle tajne, tajne, poufne lub zastrzeżone. Klasyfikacja informacji niejawnych oparta jest na kryterium szkody, która może powstać w wyniku jej ujawnienia. I tak w przypadku informacji niejawnych mających klauzulę ściśle tajne, ich nieuprawnione ujawnienie spowoduje wyjątkowo poważną szkodę dla Rzeczypospolitej Polskiej, przez to, że: 1) zagrozi niepodległości, suwerenności lub integralności terytorialnej Rzeczypospolitej 2) zagrozi bezpieczeństwu wewnętrznemu lub porządkowi konstytucyjnemu 3) zagrozi sojuszom lub pozycji międzynarodowej 4) osłabi gotowość obronną Rzeczypospolitej 5) doprowadzi lub może doprowadzić do identyfikacji funkcjonariuszy, żołnierzy lub pracowników służb odpowiedzialnych za realizację zadań wywiadu lub kontrwywiadu, którzy wykonują czynności operacyjno-rozpoznawcze, jeżeli zagrozi to bezpieczeństwu wykonywanych czynności lub może doprowadzić do identyfikacji osób udzielających im pomocy w tym zakresie; 6) zagrozi lub może zagrozić życiu lub zdrowiu funkcjonariuszy, żołnierzy lub pracowników, którzy wykonują czynności operacyjno-rozpoznawcze, lub osób udzielających im pomocy w tym zakresie; 7) zagrozi lub może zagrozić życiu lub zdrowiu świadków koronnych lub osób dla nich najbliższych albo świadków, o których mowa w art. 184 ustawy z dnia 6 czerwca 1997 r. Kodeks postępowania karnego (Dz. U. Nr 89, poz. 555, z późn. zm. 5), lub osób dla nich najbliższych. Informacjom niejawnym nadaje się klauzulę tajne, jeżeli ich nieuprawnione ujawnienie spowoduje poważną szkodę dla Rzeczypospolitej Polskiej, przez to, że: 1) uniemożliwi realizację zadań związanych z ochroną suwerenności lub porządku konstytucyjnego Rzeczypospolitej

26 KWARTALNIK NAUK O PRZEDSIĘBIORSTWIE 2011 / 3 2) pogorszy stosunki Rzeczypospolitej Polskiej z innymi państwami lub organizacjami międzynarodowymi; 3) zakłóci przygotowania obronne państwa lub funkcjonowanie Sił Zbrojnych 4) utrudni wykonywanie czynności operacyjno-rozpoznawczych, prowadzonych w celu zapewnienia bezpieczeństwa państwa lub ścigania sprawców zbrodni przez służby albo instytucje do tego uprawnione; 5) w istotny sposób zakłóci funkcjonowanie organów ścigania i wymiaru sprawiedliwości; 6) przyniesie stratę znacznych rozmiarów w interesach ekonomicznych Rzeczypospolitej Polskiej. Informacjom niejawnym nadaje się klauzulę poufne, jeżeli ich nieuprawnione ujawnienie spowoduje szkodę dla Rzeczypospolitej Polskiej, przez to, że: 1) utrudni prowadzenie bieżącej polityki zagranicznej 2) utrudni realizację przedsięwzięć obronnych lub negatywnie wpłynie na zdolność bojową Sił Zbrojnych 3) zakłóci porządek publiczny lub zagrozi bezpieczeństwu obywateli; 4) utrudni wykonywanie zadań służbom lub instytucjom odpowiedzialnym za ochronę bezpieczeństwa lub podstawowych interesów Rzeczypospolitej 5) utrudni wykonywanie zadań służbom lub instytucjom odpowiedzialnym za ochronę porządku publicznego, bezpieczeństwa obywateli, lub ściganie sprawców przestępstw i przestępstw skarbowych oraz organom wymiaru sprawiedliwości; 6) zagrozi stabilności systemu finansowego 7) wpłynie niekorzystnie na funkcjonowanie gospodarki narodowej. Informacjom niejawnym nadaje się klauzulę zastrzeżone, jeżeli nie nadano im wyższej klauzuli tajności, a ich nieuprawnione ujawnienie może mieć szkodliwy wpływ na wykonywanie przez organy władzy publicznej lub inne jednostki organizacyjne zadań w zakresie obrony narodowej, polityki zagranicznej, bezpieczeństwa publicznego, przestrzegania praw i wolności obywateli, wymiaru sprawiedliwości, albo interesów ekonomicznych Rzeczypospolitej Polskiej. Informacje niejawne, którym nadano określoną klauzulę tajności: 1) mogą być udostępnione wyłącznie osobie uprawnionej, i tylko w zakresie niezbędnym do wykonywania obowiązków służbowych, 2) muszą być przetwarzane w warunkach uniemożliwiających ich nieuprawnione ujawnienie, zgodnie z przepisami określającymi wymagania dotyczące kancelarii tajnych, bezpieczeństwa systemów teleinformatycznych, obiegu materiałów i środków bezpieczeństwa fizycznego, odpowiednich do nadanej klauzuli tajności; 3) muszą być chronione odpowiednio do nadanej klauzuli tajności, z zastosowaniem środków bezpieczeństwa określonych w ustawie i w przepisach wykonawczych wydanych na jej podstawie. Klauzula ściśle tajne potwierdza zdolność do ochrony informacji niejawnych o klauzuli: a) ściśle tajne przez okres 5 lat od daty wystawienia, b) tajne przez okres 7 lat od daty wystawienia, c) poufne przez okres 10 lat od daty wystawienia; Klauzula tajne potwierdza zdolność do ochrony informacji niejawnych o klauzuli: a) tajne przez okres 7 lat od daty wystawienia,

Bezpieczeństwo teleinformatyczne informacji niejawnych 27 b) poufne przez okres 10 lat od daty wystawienia. Klauzula poufne potwierdza zdolność do ochrony informacji niejawnych o tej klauzuli przez okres 10 lat od daty wystawienia. Świadectwa akredytacji bezpieczeństwa Instytucja ta wprowadzona została nowymi regulacjami ustawy o ochronie informacji niejawnych, która obowiązuje od 2 stycznia 2011 r. 6) Jest ona potwierdzeniem udzielenia przez Agencję Bezpieczeństwa Wewnętrznego (ABW) lub Służbę Kontrwywiadu Wojskowego (SKW), akredytacji dla systemu przetwarzającego informacje niejawne o klauzuli poufne lub wyższej, oraz określa warunki ważności świadectwa i zasady przeprowadzania audytów związanych z nadzorem nad systemem teleinformatycznym. Zastąpi to obowiązujący do tej pory certyfikat bezpieczeństwa teleinformatyczny 7), pozostawiając pojęcie certyfikat tylko dla urządzeń i narzędzi kryptograficznych oraz środków ochrony elektromagnetycznej. Do wydania świadectwa bezpieczeństwa teleinformatycznego muszą być spełnione następujące kryteria 6) : dokonanie pozytywnej oceny dokumentacji bezpieczeństwa teleinformatycznego, pozytywny wynik audytu bezpieczeństwa teleinformatycznego. Z akredytacji na zasadzie wyjątku wyłączone są systemy teleinformatyczne oraz współpracujące z nimi środki techniczne, zlokalizowane poza siedzibą podmiotów realizujących czynności operacyjno-rozpoznawcze, służące do pozyskiwania i przekazywania informacji niejawnych zdobytych w trakcie działań operacyjno-rozpoznawczych, oraz systemy przetwarzające informacje o klauzuli poufne, gdzie na mocy specjalnych uprawnień ABW lub SKW może odstąpić od przeprowadzenia audytu bezpieczeństwa, i akredytować system na podstawie przekazanej dokumentacji bezpieczeństwa. W przypadku akredytacji systemów teleinformatycznych przetwarzających informacje niejawne obowiązują dwie podstawowe zasady, w zależności od kategoryzacji informacji niejawnych. W przypadku systemów przetwarzających informacje niejawne oznaczonych klauzulą zastrzeżone, akredytacji bezpieczeństwa teleinformatycznego udziela kierownik jednostki organizacyjnej w której będzie funkcjonował system, a w przypadku systemu obsługującego wiele podmiotów kierownik jednostki organizującej system. Uprawnienie kierownika jednostki organizacyjnej w zakresie akredytacji podlega kontroli ABW lub SKW (zgodnie z ich kompetencją), gdzie powinien on przekazać dokumentację bezpieczeństwa teleinformatycznego akredytowanego przez siebie systemu. W trakcie weryfikacji dokumentacji przekazanej przez kierownika jednostki organizacyjnej, ABW lub SKW może zlecić przeprowadzenie dodatkowych czynności zwiększających bezpieczeństwo systemu. W tym przypadku kierownik jednostki organizacyjnej zobowiązany jest w terminie 30 dni poinformować właściwe służby o realizacji wskazanych zaleceń. W szczególnie uzasadnionych przypadkach ABW lub SKW może nakazać kierownikowi jednostki organizacyjnej wstrzymanie przetwarzania informacji niejawnych o klauzuli zastrzeżone w systemach akredytowanych przez kierownika jednostki organizacyjnej. Ma to zapobiec akredytowaniu przez kierownika jednostki organizacyjnej systemów, które nie spełniają podstawowych zasad bezpieczeństwa teleinformatycznego, lub zabezpieczonych niezgodnie z wymaganymi standardami.

28 KWARTALNIK NAUK O PRZEDSIĘBIORSTWIE 2011 / 3 Rysunek 1 Algorytm audytu bezpieczeństwa teleinformatycznego Źródło: opracowanie własne. Natomiast systemy teleinformatyczne przetwarzające informacje niejawne o klauzuli poufne lub wyższej, są akredytowane przez ABW lub SKW, zgodnie z ich kompetencjami. Akredytacja udzielana jest na czas określony, nie dłuższy niż pięć lat. Algorytm audytu bezpieczeństwa Procedura audytu bezpieczeństwa systemu lub sieci teleinformatycznej informacji niejawnych przebiega w pięciu krokach (rysunek 1). Pierwszy polega na przygotowaniu dokumentów Szczególnych Wymagań Bezpieczeństwa (SWB) oraz Procedur Bezpiecznej Eksploatacji (PBE). Opracowuje się je na etapie projektowania, bieżąco uzupełnia na etapie wdrażania i modyfikuje na etapie eksploatacji, przed dokonaniem zmian w systemie teleinformatycznym. Podstawą dokonania wszelkich zmian jest przeprowadzenie procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych w tym systemie. Krok drugi obejmuje przesłanie dokumentacji SBW oraz PBE do Agencji Bezpieczeństwa Wewnętrznego lub Służby Kontrwywiadu Wojskowego, gdzie podlegają one procedurze indywidualnej oceny bezpieczeństwa w terminie 30 dni. Termin ten może być jednak przedłużony o kolejne 30 dni, zależnie od stopnia skomplikowania systemu. Krok trzeci dotyczy wyniku oceny przeprowadzonego postępowania. Wynik pozytywny stanowi podstawę do zatwierdzenia przez ABW lub SKW dokumentacji bezpieczeństwa systemu teleinformatycznego, i wraz z wnioskiem Akredytacji Bezpieczeństwa Teleinformatycznego (ABT) przesyłany jest do wnioskodawcy. Wynik negatywny kończy bieg procedury na tym etapie, i całą procedurę (krok I i II) należy powtarzać od początku. Następnie wnioskodawca odsyła wypełniony wniosek ABT do ABW lub SKW (krok IV), i uruchamiana jest procedura audytu sieci czy systemu teleinformatycznego (krok V) na Posiedzeniu Komitetu Technicznego, który po

Bezpieczeństwo teleinformatyczne informacji niejawnych 29 Tablica 1 Opłaty za badania i ocenę bezpieczeństwa urządzenia lub narzędzia przeznaczonego do ochrony informacji niejawnych realizującego zabezpieczenia teleinformatyczne Rodzaj opłaty Kwota bazowa* (w PLN) Współczynnik (%) Wartość (w PLN) informacji niejawnych o klauzuli ściśle tajne informacji niejawnych o klauzuli tajne informacji niejawnych o klauzuli poufne informacji niejawnych o klauzuli zastrzeżone 3 604,80 100 3 604,80 3 604,80 75 2703,60 3 604,80 50 1802,40 3 604,80 25 901,20 Legenda: *Podstawa kwoty bazowej: obwieszczenie Prezesa Głównego Urzędu Statystycznego z dnia 19 stycznia 2011 r. w sprawie przeciętnego miesięcznego wynagrodzenia w sektorze przedsiębiorstw, bez wypłat nagród z zysku w czwartym kwartale 2010 r. Źródło: opracowanie własne na podstawie projektu Rozporządzenia Prezesa Rady Ministrów z dnia 10 maja 2011 r., w sprawie opłat za przeprowadzenie przez Agencję Bezpieczeństwa Wewnętrznego albo Służbę Kontrwywiadu Wojskowego czynności z zakresu bezpieczeństwa teleinformatycznego. wnikliwej analizie dostarczonych dokumentów decyduje o wydaniu świadectwa bezpieczeństwa teleinformatycznego, lub o odmowie, w terminie sześciu miesięcy. Termin ten może być przedłużony o kolejne sześć miesięcy, ze względu na stopień skomplikowania systemu lub sieci teleinformatycznej. Od odmowy udzielenia akredytacji, a tym samym wydania świadectwa akredytacji bezpieczeństwa systemu teleinformatycznego, nie przysługuje odwołanie. Procedura wydania świadectwa akredytacji podlega opłacie. Wyjątek dotyczy budżetowych jednostek organizacyjnych oraz przedsiębiorców, którzy na mocy odrębnych ustaw obowiązani są do wykonywania zadań publicznych na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego. Obecnie obowiązuje Rozporządzenie Prezesa Rady Ministrów z 30 września 2005 r., w sprawie wysokości opłat za przeprowadzenie przez służbę ochrony państwa czynności z zakresu bezpieczeństwa teleinformatycznego, wydane na podstawie już nie obowiązującej ustawy z 1998 r.; ale istnieje już nowy projekt rozporządze- Rysunek 2 Bezpieczeństwo teleinformatyczne Źródło: opracowanie własne.

30 KWARTALNIK NAUK O PRZEDSIĘBIORSTWIE 2011 / 3 nia, który niebawem wejdzie w życie. Poniższa tabela przedstawia wysokość opłat za czynności teleinformatyczne według projektu nowego rozporządzenia Prezesa Rady Ministrów z dnia 10 maja 2011 r., w sprawie opłat za przeprowadzenie przez Agencję Bezpieczeństwa Wewnętrznego albo Służbę Kontrwywiadu Wojskowego czynności z zakresu bezpieczeństwa teleinformatycznego. Podstawowe wymagania bezpieczeństwa teleinformatycznego Bezpieczeństwu informacji niejawnych przetwarzanych w systemie teleinformatycznym służy wdrożenie spójnego zbioru zabezpieczeń w celu zapewnienia poufności, integralności i dostępności tych informacji. Wdraża się go przed rozpoczęciem oraz w trakcie przetwarzania informacji w systemie lub w sieci teleinformatycznej, zarówno na etapie planowania, projektowania, wdrażania, eksploatacji, jak i wycofania. Bezpieczeństwo teleinformatyczne informacji niejawnych zapewnione jest poprzez: ochronę fizyczną, kontrolę dostępu do urządzeń systemu lub sieci (hasła, loginy), ochronę kryptograficzną, ochronę elektromagnetyczną oraz niezawodność transmisji (patrz rysunek 2). W każdym systemie niejawnym za prawidłowe funkcjonowanie systemu są odpowiedzialni: Pełnomocnik ds. Ochrony Informacji Niejawnych, Inspektor Bezpieczeństwa Teleinformatycznego i Administrator. Za właściwą organizację Bezpieczeństwa Teleinformatycznego odpowiada Kierownik Jednostki Organizacyjnej. Do jego obowiązków należy: 1) opracowanie dokumentacji bezpieczeństwa, 2) ochrona fizyczna, elektromagnetyczna, kryptograficzna, 3) kontrola dostępu do urządzeń systemu lub sieci teleinformatycznej, 4) bezpieczeństwo transmisji, 5) szkolenia z zakresu bezpieczeństwa teleinformatycznego dla osób uprawnionych do pracy, 6) powiadamianie ABW lub SKW o zaistniałych incydentach dotyczących bezpieczeństwa teleinformatycznego, informacji niejawnych oznaczonych klauzulą poufne lub wyższej. Użytkownicy systemu teleinformatycznego przetwarzającego informacje niejawne posiadają różne uprawnienia w dostępie do informacji niejawnych, dlatego też systemy teleinformatyczne muszą funkcjonować w różnych trybach bezpieczeństwa pracy. Są trzy takie tryby: Dedykowany wszyscy użytkownicy mają uprawnienia dostępu do informacji niejawnej o najwyższej klauzuli tajności, oraz wszyscy użytkownicy mają uzasadnioną potrzebę dostępu do wszystkich informacji niejawnych przetwarzanych w systemie; systemowy wszyscy użytkownicy mają uprawnienia dostępu do informacji niejawnej o najwyższej klauzuli tajności, ale nie wszyscy użytkownicy mają uzasadnioną potrzebę dostępu do wszystkich informacji niejawnych przetwarzanych w systemie; wielopoziomowy nie wszyscy użytkownicy mają uprawnienia do dostępu do informacji niejawnej o najwyższej klauzuli tajności, jakie mogą być przetwarzane w tym systemie informatycznym. Odpowiednie zabezpieczenie systemów teleinformatycznych przetwarzających informacje niejawne przed nieuprawnionym dostępem do nich osób nieuprawnionych, ma priorytetowe znaczenie dla zapewnienia bezpieczeństwa państwa, obronności kraju oraz intere-

Bezpieczeństwo teleinformatyczne informacji niejawnych 31 su publicznego. Uzyskanie świadectwa akredytacji bezpieczeństwa systemu teleinformatycznego daje gwarancję ochrony informacji niejawnych przed działaniem złośliwego oprogramowania, czy incydentami w sferze dostępu osób nieuprawnionych do informacji niejawnych. Dla zapewnienia większego bezpieczeństwa teleinformatycznego jest ono monitorowane na każdym etapie wdrażania systemu informatycznego, od planowania, poprzez projektowanie, wdrażanie, eksploatację, aż do wycofania go z użytku. Ale warto pamiętać, że świadectwo akredytacji systemów informatycznych nie daje nigdy stuprocentowej gwarancji ochrony informacji niejawnych, gdyż bezpieczeństwo teleinformatyczne zależy w dużym stopniu od ludzi obsługujących te systemy. Bibliografia 1. Europe and the global information society, Bangemann report recommendations to the European Council, Brussels, 26 May 1999. 2. Obwieszczenie Prezesa Głównego Urzędu Statystycznego z dnia 19 stycznia 2011 r., w sprawie przeciętnego miesięcznego wynagrodzenia w sektorze przedsiębiorstw, bez wypłat nagród z zysku w czwartym kwartale 2010 r. 3. Projekt Rozporządzenia Prezesa Rady Ministrów z dnia 10 maja 2011 r., w sprawie opłat za przeprowadzenie przez Agencję Bezpieczeństwa Wewnętrznego albo Służbę Kontrwywiadu Wojskowego, czynności z zakresu bezpieczeństwa teleinformatycznego. 4. Projekt Rozporządzenia Prezesa Rady Ministrów z dnia 21 stycznia 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego. 5. Rozporządzenie Prezesa Rady Ministrów z 30 września 2005 r w sprawie wysokości opłat za przeprowadzenie przez służbę ochrony państwa czynności z zakresu bezpieczeństwa teleinformatycznego, Dz. U. z 2005 r., Nr 200, poz. 1652. 6. Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych, Dz. U. z 2010 r., Nr 182, poz. 1228. 7. Ustawa z dnia 22 stycznia 1998 r. o ochronie informacji niejawnych, Dz. U. z 1998 r., Nr 11, poz. 95 z późn. zm. Dr Ewa Gwardzińska, Katedra Prawa Administracyjnego i Finansowego Przedsiębiorstw, SGH.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres