Bity ściśle tajne

'Strzeż tajemnicy państwowej i służbowej' - to stare hasło nabiera nowego znaczenia w świetle ustawy o ochronie informacji niejawnych. Ustawodawca definiuje system i sieć teleinformatyczną, ustala zasady przetwarzania informacji. Nakłada obowiązki na projektantów systemów, szefów firm i administratorów, o ile mają oni styczność z informacjami niejawnymi.

'Strzeż tajemnicy państwowej i służbowej' - to stare hasło nabiera nowego znaczenia w świetle ustawy o ochronie informacji niejawnych. Ustawodawca definiuje system i sieć teleinformatyczną, ustala zasady przetwarzania informacji. Nakłada obowiązki na projektantów systemów, szefów firm i administratorów, o ile mają oni styczność z informacjami niejawnymi.

Brak ustawy o ochronie informacji niejawnych był ostatnią przeszkodą na drodze przystąpienia Polski do NATO. W ustawie, która niedawno wyszła z Sejmu, dużo miejsca poświęcono bezpieczeństwu systemów i sieci teleinformatycznych.

Warunkiem koniecznym do posługiwania się tzw. informacjami klasyfikowanymi w systemach i sieciach teleinformatycznych jest zastosowanie metod kryptograficznych i odpowiednich środków ochrony (wydzielone pomieszczenia, fizyczne oddzielenie sieci np. od Internetu, stosowanie urządzeń o obniżonym poziomie emisji elektromagnetycznej). Niezbędny jest też certyfikat wydany przez UOP w sferze cywilnej lub Wojskowych Służb Informacyjnych (WSI) dla stanowisk związanych z obronnością, w którym stwierdza się o zdolności systemu do pracy z informacjami klasyfikowanymi.

Do zaleceń ustawy będą musiały stosować się wszystkie instytucje i przedsiębiorstwa, które mają bezpośrednio do czynienia z informacjami klasyfikowanymi. Przykładowo procedurze uzyskiwania świadectwa bezpieczeństwa, warunkującego zgodę na wykonanie usług, będą musiały poddać się firmy informatyczne, tworzące systemy komputerowe przeznaczone do przetwarzania informacji niejawnych.

Administrator z certyfikatem

Uzupełniające ustawę rozporządzenie Ministra właściwego do spraw łączności o podstawowych wymaganiach bezpieczeństwa systemów i sieci teleinformatycznych traktuje priorytetowo rolę osoby zajmującej stanowisko, z którym łączy się dostęp do informacji stanowiących tajemnicę państwową lub służbową. Osoba ta musi uzyskać poświadczenie bezpieczeństwa od właściwych służb ochrony państwa.

Ustawa narzuca obowiązek współpracy z UOP i WSI przy ochronie informacji niejawnej kierownikom instytucji i firm, które mają dostęp do tajemnicy państwowej. Służby te mają kontrolować bezpieczeństwo systemów i sieci teleinformatycznych, oceniać czy pomieszczenia są właściwie przygotowane do pracy, sprawdzać m.in. wykorzystywane algorytmy i klucze szyfrujące.

Kierownik jednostki organizacyjnej jest odpowiedzialny za eksploatację i bezpieczeństwo systemu lub sieci teleinformatycznej. W tym celu wyznacza osobę lub zespół - administratora systemu. Powołuje również pracownika pionu ochrony, odpowiedzialnego za bieżącą kontrolę zgodności funkcjonowania sieci lub systemu teleinformatycznego ze szczególnymi wymaganiami bezpieczeństwa. Administratorem systemu może być jednocześnie pracownik pionu ochrony i odwrotnie: administrator może być pracownikiem pionu ochrony, jeśli odbył specjalistyczne przeszkolenie prowadzone przez służby ochrony państwa.

Administrator odpowiada za sygnalizowanie i rejestrowanie prób nie uprawnionego dostępu do zbiorów z informacjami, ewidencjonuje czas i formy pracy komputera oraz jego urządzeń peryferyjnych, ustala formy nadzoru i kontroli. Zapewnia także oddzielenie urządzeń i sieci informatycznych przetwarzających dane o najwyższym stopniu tajności od urządzeń przetwarzających dane jawne lub o niższych klauzulach tajności.

Jego obowiązkiem jest również opracowanie szczególnych wymagań bezpieczeństwa systemu lub sieci teleinformatycznej, począwszy od ochrony kryptograficznej, skończywszy na organizacji pracy z informacjami niejawnymi. Wymagania te opiniują służby ochrony państwa. Bez ich zgody nie może być uruchomiony system lub sieć teleinformatyczna. Służby ochrony państwa wydają też certyfikat upoważniający do wytwarzania, przechowywania lub przekazywania informacji niejawnych stanowiących tajemnicę państwową odpowiednio do ich klauzuli tajności (patrz ramka). Podstawą są badania i oceny zdolności systemu do ochrony informacji niejawnych.


TOP 200