Informacja jest coraz cenniejsza, więc coraz większe środki techniczne są angażowane do jej zdobycia. W tym artykule bliżej przyjrzymy się zjawisku elektromagnetycznej emisji ujawniającej. W celu zabezpieczenia danych organizacji przed nieuprawnionym odczytem, konieczne jest stworzenie kompleksowego planu zabezpieczenia informacji.

Szczególnie istotna jest ochrona informacji niejawnej ze względu na jej ważność dla interesów bezpieczeństwa państwa. Informacje niejawne wymagają ochrony przed:

• ujawnieniem

• dostępem przez niepowołane osoby

• zniszczeniem lub modyfikacją

Poza informacją niejawną podlegającą szczególnej ochronie istnieją informacje, których ochrona jest istotna dla przedsiębiorstwa ze względów biznesowych.

Jakie informacje trzeba chronić?

Zapewnienie bezpieczeństwa dla informacji jest nie tylko działaniem w dobrze pojętym interesie organizacji, ale także bezwzględnym obowiązkiem dla wielu firm prywatnych i państwowych oraz instytucji rządowych w Polsce. W organizacjach biznesowych część danych jest chroniona ze względu na to, iż są one ważne dla prowadzonych przez nie interesów. W myśl Art. 11 ust. 4 Ustawy o zwalczaniu nieuczciwej konkurencji pod pojęciem tajemnicy przedsiębiorstwa rozumie się niepodane do wiadomości publicznej informacje techniczne, technologiczne, handlowe lub organizacyjne przedsiębiorstwa, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności. Również Ustawa o ochronie danych osobowych określa konieczne wymagania techniczne i organizacyjne (m.in. rejestracja i zabezpieczenie zbiorów, szkolenia osób) dla ochrony danych osobowych. Jak już wcześniej wspomniano szczególnej ochronie poddane są informacje niejawne stanowiące tajemnicę państwową i służbową określone w Ustawie o ochronie informacji niejawnych.

Aby skutecznie chronić informacje, trzeba przede wszystkim opracować i wdrożyć odpowiedni plan ochrony informacji, który winien być przygotowany przez pełnomocnika ochrony informacji niejawnej powołanego przez szefa jednostki organizacyjnej. Pierwszym krokiem, jaki należy podjąć, jest stworzenie wykazu informacji, które mają być chronione. Kolejnym etapem jest opracowanie procedur oraz stworzenie instrukcji dla ochrony informacji. Następnie trzeba wyznaczyć osoby z dostępem do informacji niejawnych oraz techniczne zabezpieczenie systemów, w których dokonuje się przetwarzanie informacji. Należy w tym miejscu zauważyć, iż zapewnienie bezpieczeństwa systemów teleinformatycznych nabiera coraz większego znaczenia, ponieważ to tam informacja jest coraz częściej przetwarzana i przechowywana. Zgodnie z wytycznymi Agencji Bezpieczeństwa Wewnętrznego warunkiem skutecznego funkcjonowania systemu ochrony informacji niejawnych jest stosowanie poniższych zasad:

• zasada ograniczonego dostępu (tzw. zasada need-to-know); informacje niejawne mogą być udostępnione wyłącznie osobie dającej rękojmię zachowania tajemnicy i tylko w zakresie niezbędnym do wykonywania przez nią pracy na zajmowanym stanowisku;

• zasada udostępniania informacji niejawnych wyłącznie osobom przeszkolonym i posiadającym poświadczenia bezpieczeństwa, wydane przez polskie służby specjalne (z wyjątkami określonymi w ustawie);

• zasada podporządkowania środków ochrony klauzuli informacji; stosowane w oparciu o przepisy ustawy oraz wydanych do niej aktów wykonawczych - środki ochrony fizycznej i zasady bezpieczeństwa obiegu dokumentów muszą być adekwatne do klauzuli tajności wytwarzanych, przetwarzanych, przekazywanych i przechowywanych informacji;

• zasada dostosowania zakresu środków ochrony fizycznej do uwarunkowań i specyfiki danej instytucji;

• zasada podporządkowania środków ochrony klauzuli informacji oraz poziomowi dostępu do takich informacji zatrudnionych osób;

• konieczność uwzględniania wskazówek służb ochrony państwa mających na celu dostosowanie zakresu i rodzaju środków ochrony do faktycznie występujących zagrożeń;

• zasada zakazu zmiany klauzuli tajności:

• zasada kontroli twórcy nad sposobem ochrony informacji: osoba, która jest upoważniona do podpisania dokumentu lub oznaczenia innego niż dokument materiału (wytwórca), ma prawo do przyznania klauzuli tajności, która jednoznacznie określa środki ochrony danej informacji (bez zgody tej osoby lub jej przełożonego klauzula tajności nie może być obniżona ani zniesiona).

Ochrona informacji niejawnej

Podstawowym aktem prawnym określającym zasady ochrony informacji niejawnej w naszym kraju jest ustawa z dnia 22 stycznia 1999 r. (DzU.99.11.95 z późn. zm.), a za nadzór nad jej przestrzeganiem odpowiadają służby specjalne, tj. Agencja Bezpieczeństwa Wewnętrznego (w sferze cywilnej) i Wojskowe Służby Informacyjne (w sferze wojskowej). Podstawowym celem ww. ustawy jest ochrona newralgicznych interesów Rzeczypospolitej Polskiej oraz zapewnienie wymaganych standardów wymiany informacji w ramach paktu północnoatlantyckiego (NATO) poprzez objęcie specjalnym nadzorem pewnych kategorii informacji. Ustawa o ochronie informacji niejawnej wyróżnia następujące klauzule tajności dla informacji:

• zastrzeżone

• poufne

• tajne

W myśl zapisów niniejszej ustawy zarówno instytucje rządowe, jak i firmy prywatne mają obowiązek podjęcia wielu działań o charakterze organizacyjnym i technicznym w zakresie ochrony przetwarzanych informacji. Dotyczy to głównie firm działających w sferze związanej z bezpieczeństwem kraju i wiąże się z koniecznością otrzymania przez nie odpowiedniego świadectwa bezpieczeństwa przemysłowego. Świadectwo to przyznawane jest przez służby specjalne po spełnieniu wielu wymogów, m.in. stworzenie kancelarii tajnej, szkolenia i uzyskanie zaświadczeń bezpieczeństwa osobowego pracowników, stworzenie instrukcji bezpieczeństwa.

Kancelaria tajna, gdzie są przechowywane i przygotowywane informacje niejawne, jest jednym z najważniejszych elementów ogólnej polityki bezpieczeństwa dla danej organizacji. Jednym z ważniejszych urządzeń kancelarii tajnej jest zestaw komputerowy, na którym są wytwarzane i przechowywane informacje niejawne, oczywiście komputer taki nie może być podłączony do ogólnodostępnej sieci teleinformatycznej.