Bezpieczeństwo teleinformatyczne informacji niejawnych

 Metody ochrony informacji niejawnych przetwarzanych w systemach i sieciach teleinformatycznych, oprócz spełnienia wymagań wynikających z przepisów prawa, wymagają uwzględnienia wytycznych służb ochrony państwa dotyczących bezpieczeństwa teleinformatycznego.

Author: Andrzej Guzik
Source: Hakin9 01/2008

Zagadnienie bezpieczeństwa systemów teleinformatycznych nabiera coraz większego znaczenia, ponieważ to w nich informacja jest coraz częściej przetwarzana i przechowywana. Pod pojęciem bezpieczeństwa teleinformatycznego informacji niejawnych należy rozumieć ochronę informacji niejawnych, które przetwarzane są w systemach i sieciach teleinformatycznych, przed utratą właściwości gwarantujących bezpieczeństwo – a w szczególności przed utratą poufności, dostępności i integralności. Za bezpieczeństwo przetwarzania informacji niejawnych w systemach i sieciach teleinformatycznych odpowiada kierownik jednostki organizacyjnej. Bezpieczeństwo teleinformatyczne należy zapewnić przed rozpoczęciem oraz w trakcie przetwarzania informacji niejawnych. Rozdział 10 – Bezpieczeństwo systemów i sieci teleinformatycznych – ustawy o ochronie informacji niejawnych określa podstawowe wymagania związane z elektronicznym przetwarzaniem informacji niejawnych. Szczegółowe wymagania techniczne i organizacyjne związane z przetwarzaniem informacji niejawnych w systemach i sieciach teleinformatycznych oraz sposób opracowywania dokumentacji bezpieczeństwa teleinformatycznego określa zaś rozporządzenie Prezesa Rady Ministrów w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego. Kierownik jednostki organizacyjnej dla każdego sytemu lub sieci teleinformatycznej, w której przetwarza się informacje niejawne, powinien wyznaczyć administratora sytemu i inspektora bezpieczeństwa teleinformatycznego. Administrator systemu zgodnie z zapisami ustawy odpowiada za funkcjonowanie systemu lub sieci teleinformatycznej oraz za przestrzeganie zasad i wymagań bezpieczeństwa systemów i sieci teleinformatycznych, natomiast inspektor bezpieczeństwa teleinformatycznego, pracownik pionu ochrony, odpowiada za bieżącą kontrolę zgodności funkcjonowania systemu lub sieci teleinformatycznej ze szczególnymi wymaganiami bezpieczeństwa oraz za kontrolę przestrzegania procedur bezpiecznej eksploatacji. Ustawa określa również wymagania dla osób odpowiedzialnych za bezpieczeństwo teleinformatyczne. Stanowisko lub funkcję administratora sytemu albo inspektora bezpieczeństwa teleinformatycznego mogą pełnić osoby, które posiadają obywatelstwo polskie, posiadają poświadczenie bezpieczeństwa odpowiednie do klauzuli informacji niejawnych przetwarzanych w systemach lub sieciach teleinformatycznych, które odbyły przeszkolenie w zakresie ochrony informacji niejawnych i specjalistyczne szkolenie z zakresu bezpieczeństwa teleinformatycznego prowadzonego przez służby ochrony państwa. Aktualnie kurs dla kandydatów na administratorów systemu i inspektorów bezpieczeństwa teleinformatycznego trwa jeden dzień i kosztuje 250 złotych. Systemy i sieci teleinformatyczne, w których przetwarza się informacje niejawne, podlegają akredytacji przez służby ochrony państwa. Dopuszczenie sytemu lub sieci teleinformatycznej do pracy następuje na podstawie dokumentacji bezpieczeństwa teleinformatycznego, na którą składają się szczególne wymagania bezpieczeństwa (SWB) i procedury bezpiecznej eksploatacji (PBE). W zależności od klauzuli informacji niejawnych przetwarzanych w systemie, ww. dokumentacja podlega uzgodnieniu lub zatwierdzeniu. W przypadku informacji niejawnych stanowiących tajemnicę państwową dokumentacja ta jest indywidualnie zatwierdzana przez właściwą służbę ochrony państwa (Agencję Bezpieczeństwa Wewnętrznego lub Służbę Kontrwywiadu Wojskowego), w terminie 30 dni od jej otrzymania. Natomiast w przypadku tajemnicy służbowej niewniesienie zastrzeżeń w terminie 30 dni od jej przedstawienia przez kierownika jednostki organizacyjnej służbom ochrony państwa upoważnia do rozpoczęcia przetwarzania informacji niejawnych w systemie lub sieci teleinformatycznej. Dodatkowo dla systemów i sieci, w których przetwarza się tajemnicę państwową, wymagany jest certyfikat akredytacji bezpieczeństwa teleinformatycznego. Ww. certyfikat wydawany jest po przeprowadzeniu postępowań sprawdzających wobec osób mających dostęp do systemu lub sieci, po zatwierdzeniu przez właściwą służbę ochrony państwa SWB i PBE oraz po przeprowadzeniu audytu bezpieczeństwa systemu lub sieci teleinformatycznej. Ww. audyt ma na celu weryfikację poprawności realizacji wymagań i procedur określonych w SWB i PBE.

Rysunek 1. Bezpieczne stanowisko komputerowe – wersja z obudową ekranującą

Rysunek 1. Bezpieczne stanowisko komputerowe – wersja z obudową ekranującą

Dokumentacja

Dokumentację bezpieczeństwa teleinformatycznego, na którą składają się SWB i PBE, opracowuje się po przeprowadzeniu analizy ryzyka z uwzględnieniem warunków charakterystycznych dla jednostki organizacyjnej, w której mają być przetwarzane informacje niejawne. Analizy ryzyka można dokonać stosując na przykład metody opisane w raporcie technicznym ISO/IEC TR 13335-3 Technika informatyczna – Wytyczne do zarządzania bezpieczeństwem systemów informatycznych, Część 3: Techniki zarządzania bezpieczeństwem systemów informatycznych. Raport przedstawia cztery warianty podejścia do analizy ryzyka: podejście podstawowego poziomu bezpieczeństwa, podejście nieformalne, szczegółową analizę ryzyka i podejście mieszane.

Tabela 1. Zawartość dokumentu Szczególne Wymagania Bezpieczeństwa

Tabela 1. Zawartość dokumentu Szczególne Wymagania Bezpieczeństwa

Podstawowa różnica pomiędzy nimi dotyczy stopnia szczegółowości analizy ryzyka. W oparciu o wyniki analizy ryzyka dobiera się zabezpieczenia. Zastosowane zabezpieczenia powinny być efektywne kosztowo i uwzględniać wymagania wynikające z przepisów prawa, wymagania biznesowe i wymagania będące wynikiem analizy ryzyka. Ryzyko, jakie powstaje po wprowadzeniu zabezpieczeń, nazywamy ryzykiem szczątkowym. SWB powinny w sposób kompletny i wyczerpujący opisywać budowę, zasady działania i eksploatacji oraz charakterystykę sytemu lub sieci teleinformatycznej. Dane o systemie lub sieci teleinformatycznej powinny obejmować: lokalizację systemu, typ wykorzystywanych urządzeń oraz oprogramowania, sposób realizacji połączeń wewnętrznych i zewnętrznych, konfigurację sprzętową i ustawienie mechanizmów zabezpieczających oraz opis środowiska eksploatacji (opis środowiska globalnego, środowiska lokalnego i środowiska elektronicznego).

Rysunek 2. Bezpieczne stanowisko komputerowe

Rysunek 2. Bezpieczne stanowisko komputerowe

Natomiast charakterystyka systemu lub sieci teleinformatycznej powinna określać między innymi klauzulę tajności informacji niejawnych, które będą w nich przetwarzane, kategorie uprawnień osób uprawnionych do pracy w systemie lub sieci w zakresie dostępu do przetwarzanych w nich informacji niejawnych (w zależności od klauzuli tajności tych informacji) oraz tryb bezpieczeństwa pracy systemu lub sieci teleinformatycznej (dedykowany, systemowo- podwyższony lub wielopoziomowy). SWB opracowuje się w fazie projektowania, na bieżąco rozwija w fazie wdrażania i modyfikuje w fazie eksploatacji – przed dokonaniem zmian w systemie lub sieci teleinformatycznej. Z kolei PBE powinny opisywać sposób i tryb postępowania w sprawach związanych z bezpieczeństwem informacji oraz określać zakres odpowiedzialności użytkowników systemu i sieci, a także pracowników mających do nich dostęp. PBE opracowuje się i uzupełnia w fazie wdrażania oraz modyfikuje w fazie eksploatacji – przed dokonaniem zmian w systemie lub sieci teleinformatycznej.

Tabela 2. Wykaz obowiązkowych procedur bezpiecznej eksploatacji

Tabela 2. Wykaz obowiązkowych procedur bezpiecznej eksploatacji

Tabela 3. Elementy bezpieczeństwa teleinformatycznego informacji niejawnych

Tabela 3. Elementy bezpieczeństwa teleinformatycznego informacji niejawnych

Podstawowe wymagania

Bezpieczeństwo teleinformatyczne informacji niejawnych przetwarzanych w systemach lub sieciach teleinformatycznych zapewnia się poprzez: ochronę fizyczną, ochronę elektromagnetyczną, ochronę kryptograficzną, niezawodność transmisji i kontrolę dostępu do urządzeń systemu lub sieci teleinformatycznej.

Ochrona fizyczna

Rysunek 3. Przykłady obudów ekranujących

Rysunek 3. Przykłady obudów ekranujących

Ochronę fizyczną informacji niejawnych zapewnia się poprzez utworzenie stref kontrolowanego dostępu (strefa administracyjna, strefa bezpieczeństwa, specjalna strefa bezpieczeństwa) oraz zastosowanie środków ochrony zabezpieczających pomieszczenia w tych strefach. Środki ochrony fizycznej powinny zapewniać ochronę fizyczną pomieszczeń przed: nieuprawnionym dostępem, podsłuchem i podglądem. Przy stosowaniu środków ochrony fizycznej obowiązuje zasada adekwatności, tzn. środki ochrony fizycznej powinny odpowiadać klauzuli tajności i ilości informacji niejawnych, liczbie i poziomowi dostępu do tych informacji zatrudnionych osób oraz uwzględniać wytyczne służb ochrony państwa przed zagrożeniami ze strony obcych służb specjalnych (w tym także w stosunku do państwa sojuszniczego). Strefa administracyjna powinna zapewniać kontrolę osób i pojazdów, natomiast w strefie bezpieczeństwa należy zapewnić kontrolę wejść i wyjść oraz kontrolę przebywania. W tym celu należy wprowadzić system przepustek lub inny system kontroli dostępu uprawniający do wejścia do strefy bezpieczeństwa, a także zorganizować system przechowywania kluczy do pomieszczeń chronionych, szaf pancernych i innych pojemników służących do przechowywania informacji niejawnych stanowiących tajemnicę państwową. Środki ochrony fizycznej powinny posiadać certyfikaty i świadectwa kwalifikacyjne przyznane na podstawie innych przepisów, np. w oparciu o polskie normy. Informacje niejawne o klauzuli zastrzeżone można przetwarzać w strefie administracyjnej, natomiast informacje stanowiące tajemnicę państwową i służbową o klauzuli poufne można przetwarzać w strefie bezpieczeństwa. Przetwarzanie informacji niejawnych o klauzuli zastrzeżone wiąże się z zapewnieniem ochrony fizycznej, kontroli dostępu do urządzeń systemu lub sieci teleinformatycznej oraz z zapewnieniem niezawodności transmisji. W przypadku przetwarzania informacji niejawnych stanowiących tajemnicę państwową i tajemnicę służbową o klauzuli poufne należy – oprócz wymagań jak dla klauzuli zastrzeżone – zapewnić ochronę kryptograficzną i ochronę elektromagnetyczną.

Rysunek 4. Przykład pomieszczenia do przetwarzania informacji niejawnych

Rysunek 4. Przykład pomieszczenia do przetwarzania informacji niejawnych

Ochrona elektromagnetyczna

Ochrona elektromagnetyczna systemu lub sieci teleinformatycznej polega na niedopuszczeniu do utraty poufności i dostępności informacji niejawnych przetwarzanych w urządzeniach teleinformatycznych. Utrata poufności następuje na skutek emisji ujawniającej pochodzącej z tych urządzeń. Natomiast utrata dostępności następuje w wyniku zakłócenia pracy urządzeń teleinformatycznych za pomocą impulsów elektromagnetycznych o dużej mocy. Ochronę elektromagnetyczną zapewnia się przez umieszczanie urządzeń teleinformatycznych, połączeń i linii w strefach kontrolowanego dostępu spełniających wymagania w zakresie tłumienności elektromagnetycznej lub przez zastosowanie odpowiednich urządzeń teleinformatycznych, tzw. bezpiecznych stanowisk komputerowych, które spełniają normę TEMPEST (Temporary Emanation and Spurious Transmission), połączeń i linii o obniżonym poziomie emisji, czy też wreszcie ekranowanie urządzeń teleinformatycznych, połączeń i linii z jednoczesnym filtrowaniem zewnętrznych linii zasilających i sygnałowych. Urządzenia klasy TEMPEST wykonywane są w trzech klasach bezpieczeństwa elektromagnetycznego: AMSG 720 B, AMSG 788, AMSG 784. Środki ochrony elektromagnetycznej powinny posiadać certyfikat ochrony elektromagnetycznej wydany przez służby ochrony państwa. Listę certyfikowanych środków oraz ich producentów można znaleźć na stronie internetowej ABW (www.abw.gov.pl).

Ochrona kryptograficzna

Ochrona kryptograficzna informacji niejawnych, które przetwarzane są w systemie lub sieci teleinformatycznej, polega na zastosowaniu mechanizmów gwarantujących ich poufność, integralność oraz uwierzytelnienie. Siła mechanizmów kryptograficznych musi być odpowiednia do klauzuli informacji niejawnych. Ochronę kryptograficzną stosuje się w przypadku przekazywania informacji niejawnych – w formie transmisji lub utrwalonych na elektronicznych nośnikach informacji – poza strefę kontrolowanego dostępu. Ochronę kryptograficzną stosuje się od klauzuli poufne wzwyż. Środki ochrony kryptograficznej powinny posiadać certyfikat ochrony kryptograficznej wydany przez służby ochrony państwa. Listę certyfikowanych środków oraz ich producentów można znaleźć na stronie internetowej ABW.

Niezawodność transmisji

Niezawodność transmisji polega na zapewnieniu integralności i dostępności informacji niejawnych przekazywanych w systemach i sieciach teleinformatycznych. Zapewnia się ją w szczególności poprzez zapewnienie zapasowych łączy telekomunikacyjnych.

Kontrola dostępu

W celu zapewnienia kontroli dostępu do systemu lub sieci teleinformatycznej kierownik jednostki organizacyjnej lub osoba przez niego upoważniona powinna ustalić warunki i sposób przydzielania uprawnień osobom uprawnionym do pracy w systemie lub sieci teleinformatycznej. Natomiast administrator systemu powinien określić warunki oraz sposób przydzielania tym osobom kont i mechanizmów kontroli dostępu, a także zapewnić ich właściwe wykorzystanie. Przy przetwarzaniu informacji niejawnych stanowiących tajemnicę państwową należy zadbać o uniemożliwienie jednej osobie w sposób niekontrolowany dostępu do wszystkich zasobów systemu lub sieci teleinformatycznej.

Podsumowanie

Przepisy prawa określają minimalne wymagania związane z bezpieczeństwem teleinformatycznym informacji niejawnych. Oprócz nich należy uwzględnić zalecenia służb ochrony państwa dotyczące bezpieczeństwa teleinformatycznego informacji niejawnych oraz polskie normy dotyczące bezpieczeństwa informacji. Normy te stanowią źródło tzw. dobrych praktyk, a w szczególności są to: PN-ISO/IEC 17799: 2007 Technika informatyczna – Techniki bezpieczeństwa – Praktyczne zasady zarządzania bezpieczeństwem informacji i PN-ISO/IEC 27001: 2007 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania.

Komentarze

Popularne posty z tego bloga

Nauka zdalna - jak zadbać o bezpieczeństwo dziecka?

Czy tryb incognito jest wystarczająco bezpieczny?