Przetwarzanie informacji niejawnych z wykorzystaniem systemów teleinformatycznych

Informacje ogólne

Bezpieczeństwo informacji niejawnych przetwarzanych w systemie teleinformatycznym zapewnia się w całym cyklu funkcjonowania systemu teleinformatycznego od eatpu jego planowania, poprzez fazy projektowania, wdrażania i eksploatacji aż do całkowitego wycofania danego systemu.

Dokumentacja bezpieczeństwa

Podstawowym elementem umożliwiającym dokonywanie (w całym cyklu funkcjonowania systemu teleinformatycznego) weryfikacji poprawności jego konfiguracji i prawidłowości doboru środków zabezpieczających, a także sprawowanie właściwego nadzoru nad tym systemem w fazie jego eksploatacji, jest dokumentacja bezpieczeństwa systemu teleinformatycznego.

Zgodnie z uregulowaniami zawartymi w art. 49 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228 - zwanej dalej „ustawą") za dokumentację bezpieczeństwa systemu uważa się dokumenty: szczególnych wymagań bezpieczeństwa (SWB) i procedur bezpiecznej eksploatacji (PBE), przy czym:

• dokument SWB opracowuje się na etapie projektowania, w razie potrzeby konsultuje zgodnie z właściwością ustawową z Agencją Bezpieczeństwa Wewnętrznego (ABW) albo Służbą Kontrwywiadu Wojskowego (SKW), na bieżąco uzupełnia na etapie wdrażania i modyfikuje na etapie eksploatacji przed dokonaniem zmian w systemie teleinformatycznym,
• dokument PBE opracowuje się na etapie wdrażania oraz modyfikuje na etapie eksploatacji przed dokonaniem zmian w systemie teleinformatycznym.

Opracowując dokumentację bezpieczeństwa systemu teleinformatycznego należy uwzględnić aktualne uregulowania z zakresu bezpieczeństwa teleinformatycznego.

Ze względu na fakt, iż zgodnie z art. 49 ust. 1 ustawy: „dokument szczególnych wymagań bezpieczeństwa systemu teleinformatycznego powinien zawierać w szczególności wyniki procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych w systemie teleinformatycznym oraz określać przyjęte w ramach zarządzania ryzykiem sposoby osiągania i utrzymywania odpowiedniego poziomu bezpieczeństwa systemu, a także opisywać aspekty jego budowy, zasady działania i eksploatacji, które mają związek z bezpieczeństwem systemu lub wpływają na jego bezpieczeństwo", SWB systemu teleinformatycznego mogą być wykonane wyłącznie przez jego organizatora.

Akredytacja systemów teleinformatycznych

Zgodnie z unormowaniami art. 48 ust. 1 ustawy, wszystkie systemy teleinformatyczne przeznaczone do przetwarzania informacji niejawnych, podlegają akredytacji bezpieczeństwa teleinformatycznego.

Udzielenie akredytacji bezpieczeństwa teleinformatycznego:

• stanowi formalne potwierdzenie organu udzielającego akredytacji, że w systemie teleinformatycznym zostały wdrożone mechanizmy i procedury gwarantujące bezpieczne przetwarzanie informacji niejawnych o określonej klauzuli tajności,
• musi nastąpić przed rozpoczęciem przetwarzania w systemie informacji niejawnych.

W przypadku systemów przeznaczonych do przetwarzania informacji niejawnych, akredytacji bezpieczeństwa teleinformatycznego:

• dla systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych oznaczonych klauzulą „zastrzeżone" udziela kierownik jednostki organizacyjnej,
• dla systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych oznaczonych klauzulą „poufne" lub wyższą, organizowanych przez podmioty znajdujące się we właściwości ustawowej SKW, udziela SKW.

Potwierdzeniem udzielenia przez SKW ww. akredytacji jest świadectwo akredytacji bezpieczeństwa teleinformatycznego wydawane w trybie art. 48 ust. 6 ustawy.

W przypadku systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych międzynarodowych, przetwarzanie ww. informacji:

• w systemach teleinformatycznych organizowanych przez podmioty znajdujące się we właściwości ustawowej SKW, wymaga wydania przez SKW formalnej zgody w formie akredytacji bezpieczeństwa teleinformatycznego lub np. dokumentów takich jak Approval to Operate (ATO), Interim Approval to Operate (IATO) lub Limited Approval to Operate (LATO),
• w systemach teleinformatycznych organizowanych przez podmioty lub organy zagraniczne, wymaga formalnej zgody Władzy Akredytacji Bezpieczeństwa (ang. Security Accreditation Authority - w skrócie SAA) właściwej dla danego systemu.

UWAGA:

Procedura akredytacji systemów rozległych, funkcjonujących w więcej niż jednej jednostce organizacyjnej może podlegać indywidualnemu uzgodnieniu z SKW i powinna być szczegółowo opisana w dokumentacji danego systemu teleinformatycznego.

Eksploatacja systemów teleinformatycznych

Po udzieleniu przez właściwy organ akredytacji bezpieczeństwa teleinformatycznego oraz po jego wdrożeniu systemu teleinformatycznego, na etapie eksploatacji danego systemu należy:

• utrzymywać zgodność systemu teleinformatycznego z jego dokumentacją bezpieczeństwa,
• zapewnić ciągłość procesu zarządzania ryzykiem w systemie teleinformatycznym,
• okresowo przeprowadzać testy bezpieczeństwa w celu weryfikacji poprawności działania poszczególnych zabezpieczeń oraz usuwać ewentualne stwierdzone nieprawidłowości,
• w zależności od potrzeb wprowadzać zmiany do systemu teleinformatycznego oraz, jeżeli jest to właściwe, wykonywać testy bezpieczeństwa, a także uaktualniać dokumentację bezpieczeństwa systemu teleinformatycznego, np. w formie aneksów).

Warunkiem ustawowym (art. 49 ust. 4 ustawy) dokonania w systemie teleinformatycznym jakichkolwiek zmian jest wcześniejsze przeprowadzenie procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych w tym systemie, przy czym wprowadzenie modyfikacji mogących mieć wpływ na bezpieczeństwo systemu teleinformatycznego wymaga zgody podmiotu, który udzielił akredytacji bezpieczeństwa teleinformatycznego. W przypadku systemów przeznaczonych do przetwarzania informacji niejawnych oznaczonych klauzulą „zastrzeżone" organizowanych przez podmioty znajdujące się we właściwości ustawowej SKW, wprowadzenie modyfikacji mogących mieć wpływ na bezpieczeństwo danego systemu, wymaga dodatkowo przekazania do SKW uaktualnionej dokumentacji bezpieczeństwa danego systemu teleinformatycznego - uaktualnioną dokumentację należy przesłać w terminie 30 dni od wprowadzenia ww. modyfikacji.