Nasze drogie bezpieczeństwo
-
- Sławomir Kosieliński,
- 02.05.2005
Informacje tajne
Państwo polskie nakłada na biznes różnego rodzaju obostrzenia, aby strzec swoich tajemnic. Temu służy przyjęta niedawno przez Sejm nowelizacja Ustawy o ochronie informacji niejawnych. Jest szansa, że wreszcie po sześciu latach relacje między państwem a biznesem w sferze specjalnej znormalnieją. Dotychczas podpisanie kontraktu specjalnego uzależniano od posiadania certyfikatu bezpieczeństwa przemysłowego, który firma otrzymywała, gdy wygrała przetarg. To błędne koło czasami o pół roku przedłużało formalności przetargowe.
Jarosław Mojsiejuk, wiceprezes Polskiej Izby Informatyki i Telekomunikacji, wypunktował jednak za co państwo chce pieniędzy od biznesu. Państwowy glejt bezpieczeństwa bowiem słono kosztuje. Trzeba płacić za sprawdzanie pracowników, za sprawdzenie całej firmy i wydanie świadectwa bezpieczeństwa przemysłowego, za certyfikowanie urządzeń kryptograficznych, za sprawdzanie bezpieczeństwa systemu IT (akredytacja), a także za szkolenie administratora bezpieczeństwa informacji i pełnomocnika ochrony informacji niejawnych. "Opłaty te znacząco podwyższają koszt wykonania systemu informatycznego, za który zapłaci zamawiający podmiot publiczny" - mówił Jarosław Mojsiejuk.
Może czas najwyższy zastanowić się, jak powinno wyglądać nasze bezpieczeństwo za pięć, dziesięć czy piętnaście lat? Czego się należy spodziewać, w którą stronę iść. Po takich konferencjach jak ta w Serocku czasami pozostaje równie dużo pytań, co odpowiedzi.
Krajowe Stowarzyszenie Ochrony Informacji Niejawnych (http://www.ksoin.com.pl ) w porozumieniu z Międzynarodowym Stowarzyszeniem Krąg Mars i Merkury - Polska zaprasza w dniach 18-20 maja br. do Bielska-Białej na I Kongres Ochrony Informacji Niejawnych i Biznesowych pod patronatem Pana Lechosława Jarzębskiego, wojewody śląskiego. Computerworld jest patronem Kongresu.
W trakcie specjalnego warsztatu Robert Kośla, zastępca dyrektora Departamentu Bezpieczeństwa Teleinformatycznego Agencji Bezpieczeństwa Wewnętrznego, zwrócił uwagę na konieczność regulacji prawnych dotyczących ochrony krytycznej infrastruktury teleinformatycznej państwa. "Bez podstaw prawnych nikt w administracji nie podejmie konkretnych działań" - przekonywał podczas naszej konferencji. W Polsce nie ma w tej chwili koordynacji działań związanych z zagrożeniami teleinformatycznymi mogącymi godzić w podstawy funkcjonowania państwa. Sama Agencja Bezpieczeństwa Wewnętrznego nie jest w stanie poradzić sobie z tym zadaniem. Potrzebna jest w tym zakresie szeroka współpraca różnych podmiotów - instytucji i organów państwa zarówno na szczeblu rządowym, jak i samorządowym, a także firm i przedsiębiorstw prywatnych, na przykład operatorów telekomunikacyjnych. W tej chwili każdy działa osobno, według własnych procedur, standardów i technik.
Stworzenie krajowego systemu ochrony krytycznej infrastruktury teleinformatycznej ma być jednym z głównych celów proponowanej ustawy o ochronie krytycznej infrastruktury teleinformatycznej. Założenia do jej projektu opracowywane są przez powołany przez premiera zespół ds. krytycznej infrastruktury teleinformatycznej. Ustawa wprowadziłaby jednolite definicje i zasady klasyfikacji ułatwiające współdziałanie i reagowanie, pomogła w stworzeniu szerokiej platformy współpracy i pomocy dla podmiotów zarządzających infrastrukturą krytyczną, wprowadziła standardy działania (istnieją już co prawda Polskie Normy w tym zakresie, ale są one nieobowiązujące, dopóki nie zostaną przywołane w konkretnej ustawie), a także pozwoliła na stworzenie spójnego, krajowego rejestru sieci i systemów krytycznych dla państwa.
Jednym z etapów budowy krajowego systemu ochrony krytycznej infrastruktury teleinformatycznej ma być utworzenie w tym roku przy ABW technicznego centrum koordynacji. Konieczne staje się także rozpoznanie mechanizmów i reguł sprzężenia zwrotnego między infrastrukturą teleinformatyczną a innymi infrastrukturami krytycznymi państwa, np. sieciami zasilania energetycznego, i wypracowanie stosownych zasad reagowania.
Andrzej Gontarz
