Nie zapewnimy bezpieczeństwa, podejmując jednorazowo stosowną liczbę decyzji albo kupując hurtem produkty. Pośpiech jednak jest konieczny - to, na co państwa zachodnie miały 20 lat, musimy uzupełnić w ciągu kilku najbliższych. Zabezpieczenie dużego STI jest procesem, którego przebieg zależy od bieżących wyników badań teoretycznych, nowych technologii i pojawiających się produktów, a także zmian w uregulowaniach prawnych i ustaleniach standaryzacyjnych.

Nie powinniśmy pozostawać ślepi, gdy będą prowadzone próby oferowania na naszym rynku przestarzałych technologii. Stare produkty i rozwiązania będą zapakowane w nowe i ładne pudełka. Jeszcze nie ma uwarunkowań prawnych wymuszających powstanie w Polsce rynku produktów i usług związanych z ochroną danych. Stąd jest obiecująca i cenna inicjatywa Urzędu Ochrony Państwa (UOP), podjęta w celu certyfikacji produktów i personelu na potrzeby strategicznych STI.

Wielki Brat czuwa, patrzy i pomaga

Decyzją Ministra Spraw Wewnętrznych z 1996 r. upoważniono UOP do prowadzenia certyfikacji urządzeń, szyfrów i ludzi. Biuro Bezpieczeństwa Łączności i Informatyki Urzędu Ochrony Państwa otrzymało odpowiednią akredytację prac w swoich dwóch laboratoriach. Na podstawie Księgi Jakości Jednostki Certyfikującej Urządzeń i Systemów Kryptograficznych oraz Kompatybilności Elektromagnetycznej UOP prowadzi certyfikacje produktów wyłącznie w obszarze informacji klasyfikowanej. W procesie badań i certyfikacji BBŁiI stosuje europejskie kryteria ITSEC (Information Technology Security Evaluation Criteria) i standardy NATO w części jawnej. Zakłada się ponadto, że do końca roku w dziale Janusza Pałubickiego, koordynatora ministra służb specjalnych, powstanie trzecie laboratorium w celu certyfikowania inspektorów bezpieczeństwa na potrzeby strategicznych STI.

W każdym rozsądnym kraju istnieją służby, które muszą posiadać rozeznanie w przedsięwzięciach kluczowych dla bezpieczeństwa państwa. To samo dotyczy naszego kraju. W wyniku rozwoju gospodarczego pojawiają się podmioty wytwarzające i sprzedające różne rozwiązania do zabezpieczania STI. Coraz częściej rozwiązania bezpieczeństwa są tworzone we współpracy z firmami międzynarodowymi. Nie dziwi, że instytucje odpowiadające za bezpieczeństwo państwa muszą mieć rozeznanie w działaniu takich firm. Wgląd w działania i technologie jest pryncypialnym wymogiem i praktyką znaną również w krajach o stabilnych systemach polityczno-gospodarczych, potrzebnym również do uzyskania świadectw użyteczności i zapewnienia zbytu. W tym kontekście wydaje się zjawiskiem pozytywnym przechodzenie do pracy w sektorze komercyjnym wysokich specjalistów ze służb publicznych.

Normy i standardy

Kamieniem węgielnym zarządzania bezpieczeństwem STI są standardy. Normy opisują procedury, które należy stosować w procesie projektowania, produkcji, kontroli i zarządzania. Stosowanie norm ma zapewnić stałą, wysoką jakość w okresie eksploatacji systemu i w trakcie wycofywania z produkcji.

Bezpieczeństwa nie będziemy budować według własnych oryginalnych pomysłów. Posługując się zdobytymi doświadczeniami i korzystając z wykonanej wcześniej pracy, musimy dostosować się do opracowanych norm. Członkowie Normalizacyjnej Komisji Problemowej nr 182 Polskiego Komitetu Normalizacyjnego biorą czynny udział w pracach ISO/IEC JTC1/SC27. ISO/IEC (Międzynarodowa Organizacja Normalizacyjna/Międzynarodowa Komisja Elektrotechniczna) w której JTC1 (pierwszy i jedyny Joint Technical Committee) zajmuje się dziedziną teleinformatyki. SC27 jest podkomisją w JTC1, zajmującą się technologiami zabezpieczeń. Pracując w trzech grupach roboczych, które zajmują się odpowiednio:

wymaganiami, usługami zabezpieczeń i przewodnikami

technologiami i mechanizmami zabezpieczeń

kryteriami oceny zabezpieczeń, nasi przedstawiciele mają wpływ na kształt tworzonych norm międzynarodowych.

Wciąż jednak nie mamy dostępu do wielu natowskich standardów. Są pilnie chronione i udostępniane będą sukcesywnie w rytm odchodzenia od uwarunkowań minionego okresu i zdobywania zaufania organizacji unijnych i atlantyckich. Wiemy jednak, że NATO posługuje się piętnastoma, z czego potrafimy sprostać tylko dwóm. Szczęśliwie - najpóźniej w I kwartale przyszłego roku - musimy podpisać dziewięć porozumień dotyczących zabezpieczeń, z czego pięć dotyczy ochrony informacji.