WSI do UOP, UOP do WSI

Nowelizacja ustawy o ochronie informacji niejawnych zmieni zasadę wydawania świadectw bezpieczeństwa przemysłowego.

Nowelizacja ustawy o ochronie informacji niejawnych zmieni zasadę wydawania świadectw bezpieczeństwa przemysłowego.

Służby specjalne potrafią zaskoczyć specjalistów, zajmujących się bezpieczeństwem systemów informacyjnych. Stowarzyszenie AFCEA (Armed Forces Com- munications and Electronics Association), które zorganizowało kolejną konferencję poświęconą tej tematyce, odnotowało pierwszy sukces. Na forum publicznym wystąpili razem oficerowie Urzędu Ochrony Państwa i Wojskowych Służb Informacyjnych. Nie byłoby w tym nic dziwnego, gdyby nie odczuwalna, narastająca konkurencja między obiema służbami w zakresie bezpieczeństwa teleinformatycznego i przemysłowego. Podczas gdy Biuro Bezpieczeństwa Łączności i Informatyki (BBŁiI) UOP prowadzi otwartą politykę informacyjną, m.in. udostępnia listy produktów przeznaczonych do ochrony informacji niejawnych, które uzyskały stosowne certyfikaty, to WSI nie dość, że takiej listy nie ujawnia, to także nie uznaje certyfikatów BBŁiI.

Dostawca sprzętu kryptograficznego musi więc się liczyć z koniecznością płacenia podwójnie za proces certyfikacji urządzeń na potrzeby administracji państwowej (zadanie BBŁiI UOP) i wojska (WSI). Warto zauważyć, że w żadnym z krajów członkowskich NATO nie funkcjonują dwa podmioty wydające certyfikaty na tego typu urządzenia. Na świecie dąży się do wzajemnego uznawania certyfikatów i temu miało służyć opracowanie tzw. wspólnych kryteriów (Common Criteria) oraz sformułowanie porozumienia o wzajemnym uznawaniu certyfikatów - Common Criteria Recognition Arrangement (CCRA). Niezrozumiały jest więc fakt tworzenia sztucznych - być może ambicjonalnych - barier w uznawaniu certyfikatów w Polsce. Co gorsza, takie działania powodują wydłużanie procedur wprowadzania produktów do eksploatacji i są związane z koniecznością dopełnienia dodatkowych formalności.

Co dwa, to nie jeden

Tegoroczna konferencja BSI 2002 po raz kolejny udowodniła, że służby specjalne walczą o wpływy na różnych frontach. WSI chce budować ośrodek zajmujący się naruszeniami bezpieczeństwa w sieciach komputerowych, niezależny od inicjatywy podjętej wspólnie przez BBiŁ UOP i CERT . Chodzi o stworzenie ośrodka koordynacyjnego, który miałby się zajmować ochroną krytycznej infrastruktury teleinformatycznej w skali całego państwa.

Taką wspólną propozycję przedstawiły w ub.r. NASK i UOP. Tymczasem płk Dobromisław Mąka z WSI poinformował o realizacji zadania oznaczonego kryptonimem EG2868 w ramach dostosowywania się do wymogów przynależności do NATO. Jego celem jest stworzenie ośrodka zdolnego do reagowania na wszelkie incydenty mające miejsce w wojskowych sieciach komputerowych (tzw. CIRC, czyli Computer Incidents Response Capability). W 2003 r. na powołanie takiego ośrodka ma być wydatkowane ok. 3 mln zł (w sumie 14 mln zł do 2008 r.). Przeciwko budowie dwóch ośrodków, jednego na cele wojskowe, drugiego - cywilne, mających prawie identyczny zakres zadań, protestowali przedstawiciele UOP. Wskazywali oni na jednoznaczną opinię NATO, wg której powinien działać tylko jeden ośrodek. Tymczasem przedstawiciel WSI powoływał się na podział kompetencji przy powołaniu UOP i WSI.

Mądry Polak po szkodzie

Być może konsekwencją sporów między obiema służbami był nie przemyślany przepis w ustawie o ochronie informacji niejawnych, nakazujący ubieganie się o świadectwo bezpieczeństwa przemysłowego oddzielnie do każdej umowy. Załóżmy, że pewna firma wyspecjalizowała się w usługach informatycznych w sferze obronności. Spełnia wszystkie kryteria bezpieczeństwa przemysłowego: od kancelarii tajnej poczynając, na poświadczeniach bezpieczeństwa osobowego kilkunastoosobowego zespołu kończąc. Mimo to jeśli chce otrzymać zlecenie, musi za każdym razem ubiegać się o stosowny certyfikat. Tymczasem konkurencyjne firmy z krajów NATO mają ważne certyfikaty wystawione na określony czas i są umieszczane na listach referencyjnych odpowiednich organów krajowych. Mogą więc bez zbędnych formalności ubiegać się o zawarcie kontraktu NATO.

Na konferencji obie służby - tym razem o dziwo solidarnie - opowiedziały się za zmianą tego przepisu w celu zwiększenia konkurencyjności polskich przedsiębiorstw na rynku NATO. Wkrótce projektem nowelizacji ustawy zajmie się rząd. I tak ci przedsiębiorcy, którzy liczą na kontrakty, gdzie w grę wchodzą informacje ściśle tajne i tajne, jeśli spełnią wymagania, otrzymają certyfikat na trzy lata. W przypadku dostępu do tajemnic o niższych klauzulach na pięć lat.

Stowarzyszenie AFCEA

Polski oddział Stowarzyszenia Łączności i Elektroniki Sił Zbrojnych (AFCEA - Armed Forces Communications and Electronics Association) powstał w 1994 r. Podstawowym celem AFCEA jest budowa wspólnego forum wymiany informacji w celu popierania bezpieczeństwa gospodarczego oraz wspierania gotowości wojskowej koniecznej do utrzymania tego bezpieczeństwa przez systemy łączności i informacyjne. Do stowarzyszenia należą pracownicy służb mundurowych i agend rządowych związanych z bezpieczeństwem teleinformatycznym, a także reprezentanci firm IT współpracujących z tymi służbami i agendami. Prezesem polskiego oddziału AFCEA jest Roman Szwed, prezes warszawskiej firmy ATM.

Cena bezpieczeństwa

Opłaty za przeprowadzenie postępowania sprawdzającego wobec przedsiębiorcy ubiegającego się o świadectwo bezpieczeństwa przemysłowego

  • Przeprowadzenie postępowania sprawdzającego wobec osoby zatrudnionej przez przedsiębiorcę - 1171 zł

  • Przeprowadzenie postępowania sprawdzającego wobec samego przedsiębiorcy - 5855 zł

  • Wydanie świadectwa bezpieczeństwa przemysłowego - 2342 zł