Polski paragraf 22

W rok po uchwaleniu ustawy o ochronie informacji niejawnych ani jedno przedsiębiorstwo z branży teleinformatycznej nie uzyskało świadectwa bezpieczeństwa przemysłowego.

W rok po uchwaleniu ustawy o ochronie informacji niejawnych ani jedno przedsiębiorstwo z branży teleinformatycznej nie uzyskało świadectwa bezpieczeństwa przemysłowego.

Kłopotliwą sytuację stwarza podstawowy wymóg specyfikacji przetargowych przy zamówieniach np. na potrzeby wojska lub policji, zgodnie z którym oferent musi przedstawić świadectwo bezpieczeństwa przemysłowego. Natomiast ustawodawca wyraźnie określił, że dopiero po zawarciu umowy odpowiednie służby ochrony państwa - Urząd Ochrony Państwa lub Wojskowe Służby Informacyjne (WSI) - ocenią zdolność przedsiębiorstwa do zapewnienia ochrony informacji niejawnych.

UOP lub WSI oceniają m.in. strukturę i pochodzenie kapitału przedsiębiorcy, sytuację finansową i źródła pochodzenia środków finansowych. Poświadczenie bezpieczeństwa upoważniające do dostępu do informacji niejawnych muszą uzyskać też pracownicy zajmujący stanowiska związane z kierowaniem, wykonaniem umowy lub z jej bezpośrednią realizacją. Procedurze sprawdzającej podlegają pracownicy pionu ochrony.

Ciągnące się procedury

Sprawdzanie firmy i jej pracowników przez UOP lub WSI siłą rzeczy wymaga czasu. Ustawa przewiduje, że proces ten trwa od miesiąca do trzech. Z nieznanych przyczyn, być może problemów kadrowych służb ochrony państwa, procedura znacznie się wydłuża. Formalnie ustawodawca założył, że w okresie przejściowym powinny wystarczyć dotychczasowe uprawnienia dostępu do tajemnic.

Jakie są konsekwencje braku poświadczeń bezpieczeństwa osobowego i świadectwa bezpieczeństwa przemysłowego? Zerwanie umowy, kary umowne lub opóźnienie w realizacji kontraktu. Toteż w przedsiębiorstwach nieustannie szuka się kruczków prawnych, które pozwolą poradzić sobie z żywym wcieleniem hellerowskiego "Paragrafu 22". Najprawdopodobniej ten paradoks rozwiąże wkrótce nowelizacja ustawy.

Uczyć się odpowiedzialności

Zdaniem specjalistów, przyczyną większości przypadków ujawniania tajemnic była nierozwaga ludzi. By temu zaradzić, pełnomocnik ds. bezpieczeństwa informacji, powoływany przez kierownika instytucji, powinien przeszkolić pracowników i wyznaczyć inspektora ds. bezpieczeństwa teleinformatycznego.

Zanim to nastąpi, pełnomocnik musi odbyć szkolenie, które zgodnie z ustawą organizuje UOP lub WSI. Płaci zań pracodawca. Zdaniem Krzysztofa Jastrzębskiego, dyrektora Biura Bezpieczeństwa Łączności i Informatyki UOP (BBŁiI), znaczniej trudniej sprecyzować, na czym miałoby polegać specjalistyczne przeszkolenie inspektorów bezpieczeństwa teleinformatycznego. Gdyby byli to w większości fachowcy po studiach na kierunkach teleinformatycznych, szkolenie mogłoby się skupić na kryteriach i standardach w zakresie bezpieczeństwa teleinformatycznego oraz opracowaniu dokumentów Szczególnych Wymagań Bezpieczeństwa (SWB). Lecz jeśli trafią na kurs nowicjusze?

BBŁiI UOP zaproponowało, aby firmy edukacyjne i konsultingowe oraz ośrodki akademickie wspólnie ze służbami ochrony państwa podjęły próbę opracowania programu szkoleń podstawowych. Służby ochrony państwa przygotowałyby jedynie program szkoleń specjalistycznych. Osoby nie posiadające stosownej wiedzy odbyłyby najpierw szkolenia podstawowe w firmach szkoleniowych, a dopiero potem byłyby kierowane na szkolenie do służb ochrony państwa.

Kap, kap, certyfikat

Janusz Cendrowski, który w BBŁiI zajmuje się m.in. certyfikowaniem urządzeń kryptograficznych, ma nadzieję, że szkolenia szybko wyeliminują kolejne dwa przypadki przynależące do syndromu "Paragrafu 22". Ustawa o ochronie informacji niejawnych nakazuje bowiem wszystkim podmiotom podlegającym ustawie opracowanie szczególnych wymagań bezpieczeństwa, obejmujących środki ochrony kryptograficznej, elektromagnetycznej, technicznej i organizacyjnej odpowiednich dla danego systemu i sieci teleinformatycznej, w której mają być wytwarzane, przetwarzane, przechowywane lub przekazywane informacje niejawne stanowiące tajemnicę państwową. I znowu ustawodawca domaga się, aby te wymagania były indywidualnie zatwierdzane przez służby ochrony państwa. Minął rok i nikt nie zgłosił się do UOP z tego typu wymaganiami. Świadczy to o trudności zagadnienia i braku osób mających uprawnienia, a także potrafiących przygotować dokumenty SWB.

Syndrom "Paragrafu 22" widoczny jest także w postępowaniu szefów instytucji i firm, którzy wierzą, że tylko najsilniejsze urządzenia kryptograficzne mogą chronić tajemnice. Krzysztof Jastrzębski i Janusz Cendrowski uważają, że przedsiębiorcy, który realizuje kontrakt wymagający dostępu do tajemnicy państwowej, wystarczy kilka komputerów klasy TEMPEST (o nikłym ulocie elektromagnetycznym, nie do "podsłuchania"), kancelaria tajna i szafy pancerne w strefie bezpieczeństwa. Nie potrzebują oni więc kupować urządzeń szyfrujących.

Większa konkurencja

Po czterech latach działalności laboratorium certyfikującego UOP, certyfikat do ochrony informacji o klauzuli "tajne" posiadają jedynie urządzenia szyfrujące firmy Omnisec (modemy, przystawki do faksów, telefony i szyfratory liniowe), które sprzedaje Optimus SA. W grudniu 1999 r. certyfikat potwierdzający przydatność do ochrony informacji niejawnych o klauzuli "poufne" uzyskał także telefon szyfrujący GSM szwajcarskiej firmy Crypto AG, reprezentowanej przez Mega-Sonic z Warszawy. UOP przyznał także certyfikat karcie szyfrującej dyski twarde (ochrona informacji niejawnych o klauzuli "zastrzeżone"), która jest wynalazkiem Comp SA.

"W przypadku urządzenia dopuszczonego do ochrony tajemnicy państwowej o klauzuli 'ściśle tajne', algorytmy kryptograficzne muszą być opracowane przez UOP. Nie wchodzą w grę rozwiązania obce" - tłumaczy Krzysztof Jastrzębski. "Natomiast urządzenie uzyska certyfikat do ochrony 'tajne', jeśli producent dostarczy pełną dokumentację" - dodaje Janusz Cendrowski.

Mamy zatem do czynienia z kolejnym paradoksem ustawy. UOP zapowiada, że w ciągu dwóch lat pojawią się polskie nowoczesne rozwiązania do ochrony informacji niejawnych o klauzuli "tajne" i "ściśle tajne". Tak więc przez te dwa lata będzie dominował syndrom "Paragrafu 22".

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200