www.hakin9.org

hakin9 Nr 01/2008

66

Bezpieczna Firma

Z

agadnienie bezpieczeństwa syste-
mów teleinformatycznych nabiera co-
raz większego znaczenia, ponieważ to

w nich informacja jest coraz częściej prze-
twarzana i przechowywana. Pod pojęciem
bezpieczeństwa teleinformatycznego infor-
macji niejawnych należy rozumieć ochro-
nę informacji niejawnych, które przetwarza-
ne są w systemach i sieciach teleinforma-
tycznych, przed utratą właściwości gwaran-
tujących bezpieczeństwo – a w szczególno-
ści przed utratą poufności, dostępności i in-
tegralności.

Za bezpieczeństwo przetwarzania infor-

macji niejawnych w systemach i sieciach te-
leinformatycznych odpowiada kierownik jed-
nostki organizacyjnej. Bezpieczeństwo tele-
informatyczne należy zapewnić przed rozpo-
częciem oraz w trakcie przetwarzania infor-
macji niejawnych. Rozdział 10 – Bezpieczeń-
stwo systemów i sieci teleinformatycznych
– ustawy o ochronie informacji niejawnych
określa podstawowe wymagania związane
z elektronicznym przetwarzaniem informacji
niejawnych. Szczegółowe wymagania tech-
niczne i organizacyjne związane z przetwa-
rzaniem informacji niejawnych w systemach

i sieciach teleinformatycznych oraz sposób
opracowywania dokumentacji bezpieczeń-
stwa teleinformatycznego określa zaś rozpo-
rządzenie Prezesa Rady Ministrów w sprawie
podstawowych wymagań bezpieczeństwa
teleinformatycznego. Kierownik jednostki or-
ganizacyjnej dla każdego sytemu lub sieci te-
leinformatycznej, w której przetwarza się in-
formacje niejawne, powinien wyznaczyć ad-
ministratora sytemu i inspektora bezpieczeń-
stwa teleinformatycznego. Administrator sys-
temu zgodnie z zapisami ustawy odpowiada
za funkcjonowanie systemu lub sieci telein-
formatycznej oraz za przestrzeganie zasad
i wymagań bezpieczeństwa systemów i sie-
ci teleinformatycznych, natomiast inspek-

Bezpieczeństwo

teleinformatyczne

informacji niejawnych

Andrzej Guzik

stopień trudności

Metody ochrony informacji niejawnych przetwarzanych

w systemach i sieciach teleinformatycznych, oprócz spełnienia

wymagań wynikających z przepisów prawa, wymagają

uwzględnienia wytycznych służb ochrony państwa dotyczących

bezpieczeństwa teleinformatycznego.

Z artykułu dowiesz się

• jak zapewnić bezpieczeństwo informacjom nie-

jawnym przetwarzanym w systemach i sieciach
teleinformatycznych

Co powinieneś wiedzieć

• znać podstawowe zasady ochrony informacji

niejawnych

Bezpieczeństwo informatyczne informacji niejawnych

hakin9 Nr 01/2008

www.hakin9.org

67

tor bezpieczeństwa teleinforma-
tycznego, pracownik pionu ochro-
ny, odpowiada za bieżącą kontrolę
zgodności funkcjonowania syste-
mu lub sieci teleinformatycznej ze
szczególnymi wymaganiami bez-
pieczeństwa oraz za kontrolę prze-
strzegania procedur bezpiecznej
eksploatacji. Ustawa określa rów-
nież wymagania dla osób odpo-
wiedzialnych za bezpieczeństwo
teleinformatyczne. Stanowisko lub
funkcję administratora sytemu al-
bo inspektora bezpieczeństwa te-
leinformatycznego mogą pełnić
osoby, które posiadają obywatel-
stwo polskie, posiadają poświad-
czenie bezpieczeństwa odpowied-
nie do klauzuli informacji niejaw-
nych przetwarzanych w systemach
lub sieciach teleinformatycznych,
które odbyły przeszkolenie w za-
kresie ochrony informacji niejaw-
nych i specjalistyczne szkolenie
z zakresu bezpieczeństwa tele-
informatycznego

prowadzonego

przez służby ochrony państwa. Ak-
tualnie kurs dla kandydatów na ad-
ministratorów systemu i inspekto-
rów bezpieczeństwa teleinforma-
tycznego trwa jeden dzień i kosz-
tuje 250 złotych. Systemy i sieci te-
leinformatyczne, w których prze-
twarza się informacje niejawne,
podlegają akredytacji przez służby
ochrony państwa. Dopuszczenie
sytemu lub sieci teleinformatycznej
do pracy następuje na podstawie

dokumentacji bezpieczeństwa te-
leinformatycznego, na którą skła-
dają się szczególne wymagania
bezpieczeństwa (SWB) i procedu-
ry bezpiecznej eksploatacji (PBE).
W zależności od klauzuli informacji
niejawnych przetwarzanych w sys-
temie, ww. dokumentacja podle-
ga uzgodnieniu lub zatwierdzeniu.
W przypadku informacji niejawnych
stanowiących tajemnicę państwo-
wą dokumentacja ta jest indywidu-
alnie zatwierdzana przez właści-
wą służbę ochrony państwa (Agen-
cję Bezpieczeństwa Wewnętrzne-
go lub Służbę Kontrwywiadu Woj-
skowego), w terminie 30 dni od jej
otrzymania. Natomiast w przypad-
ku tajemnicy służbowej niewniesie-
nie zastrzeżeń w terminie 30 dni od
jej przedstawienia przez kierowni-
ka jednostki organizacyjnej służ-
bom ochrony państwa upoważnia

do rozpoczęcia przetwarzania in-
formacji niejawnych w systemie lub
sieci teleinformatycznej. Dodat-
kowo dla systemów i sieci, w któ-
rych przetwarza się tajemnicę pań-
stwową, wymagany jest certyfikat
akredytacji bezpieczeństwa tele-
informatycznego. Ww. certyfikat
wydawany jest po przeprowadze-
niu postępowań sprawdzających
wobec osób mających dostęp do
systemu lub sieci, po zatwierdze-
niu przez właściwą służbę ochrony
państwa SWB i PBE oraz po prze-
prowadzeniu audytu bezpieczeń-
stwa systemu lub sieci teleinfor-
matycznej. Ww. audyt ma na celu
weryfikację poprawności realizacji
wymagań i procedur określonych
w SWB i PBE.

Dokumentacja

Dokumentację bezpieczeństwa te-
leinformatycznego, na którą skła-
dają się SWB i PBE, opracowuje
się po przeprowadzeniu analizy ry-
zyka z uwzględnieniem warunków
charakterystycznych dla jednost-
ki organizacyjnej, w której mają
być przetwarzane informacje nie-
jawne. Analizy ryzyka można do-
konać stosując na przykład meto-
dy opisane w raporcie technicznym
ISO/IEC TR 13335-3 Technika in-
formatyczna – Wytyczne do za-
rządzania bezpieczeństwem sys-
temów informatycznych, Część 3:
Techniki zarządzania bezpieczeń-
stwem systemów informatycznych.
Raport przedstawia cztery warian-
ty podejścia do analizy ryzyka: po-
dejście podstawowego poziomu

Tabela 1.

Zawartość dokumentu Szczególne Wymagania Bezpieczeństwa

Lp. Zawartość dokumentu SWB

1

osoby odpowiedzialne za wdrożenie środków zapewniających bez-
pieczeństwo teleinformatyczne

2

zadania osób odpowiedzialnych za bezpieczeństwo teleinformatycz-
ne

3

granice i lokalizacja stref kontrolowanego dostępu oraz środki ich
ochrony

4

środki ochrony kryptograficznej, elektromagnetycznej, technicznej
lub organizacyjnej systemu lub sieci teleinformatycznej

5

inne zastosowane środki ochrony zapewniające bezpieczeństwo te-
leinformatyczne informacji niejawnych

6

zasady zarządzania ryzykiem

7

zasady szkolenia z zakresu bezpieczeństwa teleinformatycznego
osób odpowiedzialnych za bezpieczeństwo teleinformatyczne oraz
osób uprawnionych do pracy w systemie lub sieci teleinformatycznej

Rysunek 1.

Bezpieczne stanowisko komputerowe – wersja z obudową

ekranującą

hakin9 Nr 01/2008

www.hakin9.org

Bezpieczna Firma

68

bezpieczeństwa, podejście niefor-
malne, szczegółową analizę ryzy-
ka i podejście mieszane. Podsta-
wowa różnica pomiędzy nimi doty-
czy stopnia szczegółowości anali-
zy ryzyka.

W oparciu o wyniki analizy ry-

zyka dobiera się zabezpieczenia.
Zastosowane zabezpieczenia po-
winny być efektywne kosztowo
i uwzględniać wymagania wynika-
jące z przepisów prawa, wymaga-
nia biznesowe i wymagania będą-
ce wynikiem analizy ryzyka. Ryzy-
ko, jakie powstaje po wprowadze-
niu zabezpieczeń, nazywamy ryzy-
kiem szczątkowym.

SWB powinny w sposób kom-

pletny i wyczerpujący opisywać
budowę, zasady działania i eks-
ploatacji oraz charakterystykę sy-
temu lub sieci teleinformatycznej.
Dane o systemie lub sieci teleinfor-
matycznej powinny obejmować: lo-
kalizację systemu, typ wykorzysty-
wanych urządzeń oraz oprogramo-
wania, sposób realizacji połączeń
wewnętrznych i zewnętrznych,
konfigurację sprzętową i ustawie-

nie mechanizmów zabezpieczają-
cych oraz opis środowiska eksplo-
atacji (opis środowiska globalne-
go, środowiska lokalnego i środo-
wiska elektronicznego). Natomiast
charakterystyka systemu lub sieci
teleinformatycznej powinna okre-
ślać między innymi klauzulę tajno-
ści informacji niejawnych, które bę-
dą w nich przetwarzane, katego-

rie uprawnień osób uprawnionych
do pracy w systemie lub sieci w za-
kresie dostępu do przetwarzanych
w nich informacji niejawnych (w za-
leżności od klauzuli tajności tych
informacji) oraz tryb bezpieczeń-
stwa pracy systemu lub sieci tele-
informatycznej (dedykowany, sys-
temowo-podwyższony lub wielopo-
ziomowy).

SWB opracowuje się w fazie

projektowania, na bieżąco rozwi-
ja w fazie wdrażania i modyfikuje
w fazie eksploatacji – przed doko-
naniem zmian w systemie lub sieci
teleinformatycznej. Z kolei PBE po-
winny opisywać sposób i tryb po-
stępowania w sprawach związa-
nych z bezpieczeństwem informacji
oraz określać zakres odpowiedzial-
ności użytkowników systemu i sie-
ci, a także pracowników mających
do nich dostęp.

PBE opracowuje się i uzupełnia

w fazie wdrażania oraz modyfikuje
w fazie eksploatacji – przed dokona-
niem zmian w systemie lub sieci te-
leinformatycznej.

Podstawowe

wymagania

Bezpieczeństwo teleinformatycz-
ne informacji niejawnych przetwa-
rzanych w systemach lub sieciach
teleinformatycznych zapewnia się
poprzez: ochronę fizyczną, ochro-
nę elektromagnetyczną, ochro-
nę kryptograficzną, niezawodność

Tabela 2.

Wykaz obowiązkowych procedur bezpiecznej eksploatacji

Lp. Procedury bezpieczeństwa

1

administrowania systemem lub siecią teleinformatyczną

2

bezpieczeństwa osobowego

3

bezpieczeństwa dokumentów i materiałów niejawnych, w tym pro-
cedur sporządzania kopii z tych dokumentów oraz niszczenia doku-
mentów i ich kopii

4

ochrony kryptograficznej, elektromagnetycznej, fizycznej, niezawod-
ności transmisji, kontroli dostępu do urządzeń systemu lub sieci tele-
informatycznej

5

bezpieczeństwa urządzeń i oprogramowania

6

zapewnienia ciągłości działania systemu lub sieci teleinformatycznej

7

zarządzania konfiguracją

8

audytu bezpieczeństwa

Rysunek 2.

Bezpieczne stanowisko komputerowe

Tabela 3.

Elementy bezpieczeństwa teleinformatycznego

informacji niejawnych

Lp. Elementy bezpieczeństwa teleinformatycznego

informacji niejawnych

1

ochrona fizyczna

2

kontrola dostępu do urządzeń systemu lub sieci teleinformatycznej

3

niezawodność transmisji

4

ochrona kryptograficzna

5

ochrona elektromagnetyczna

Bezpieczeństwo informatyczne informacji niejawnych

hakin9 Nr 01/2008

www.hakin9.org

69

transmisji i kontrolę dostępu do
urządzeń systemu lub sieci telein-
formatycznej.

Ochrona fizyczna

Ochronę fizyczną informacji niejaw-
nych zapewnia się poprzez utwo-
rzenie stref kontrolowanego dostę-
pu (strefa administracyjna, strefa
bezpieczeństwa, specjalna strefa
bezpieczeństwa) oraz zastosowa-
nie środków ochrony zabezpiecza-
jących pomieszczenia w tych stre-
fach. Środki ochrony fizycznej po-
winny zapewniać ochronę fizycz-
ną pomieszczeń przed: nieupraw-
nionym dostępem, podsłuchem
i podglądem. Przy stosowaniu
środków ochrony fizycznej obo-
wiązuje zasada adekwatności, tzn.
środki ochrony fizycznej powinny
odpowiadać klauzuli tajności i ilo-
ści informacji niejawnych, liczbie
i poziomowi dostępu do tych in-
formacji zatrudnionych osób oraz
uwzględniać wytyczne służb ochro-
ny państwa przed zagrożeniami ze
strony obcych służb specjalnych

(w tym także w stosunku do pań-
stwa sojuszniczego). Strefa admini-
stracyjna powinna zapewniać kon-
trolę osób i pojazdów, natomiast
w strefie bezpieczeństwa należy

zapewnić kontrolę wejść i wyjść
oraz kontrolę przebywania. W tym
celu należy wprowadzić system
przepustek lub inny system kontro-
li dostępu uprawniający do wejścia

Rysunek 3.

Przykłady obudów ekranujących

Rysunek 4.

Przykład pomieszczenia do przetwarzania informacji niejawnych

���������������

������������

������������

��������������

����������������

�����������������

��������

��

����������������������������������

�����������
�������

��������������

����
�������������
����������������
����������������

���������������

�����������

������������

�������������

������

��������������������������������������������������������������������
������������������������������������������������������
���������������������������������������������������������������������

hakin9 Nr 01/2008

www.hakin9.org

Bezpieczna Firma

70

do strefy bezpieczeństwa, a także
zorganizować system przechowy-
wania kluczy do pomieszczeń chro-
nionych, szaf pancernych i innych
pojemników służących do prze-
chowywania informacji niejawnych
stanowiących tajemnicę państwo-
wą. Środki ochrony fizycznej po-
winny posiadać certyfikaty i świa-
dectwa kwalifikacyjne przyznane
na podstawie innych przepisów,
np. w oparciu o polskie normy.

Informacje niejawne o klauzu-

li zastrzeżone można przetwarzać
w strefie administracyjnej, natomiast
informacje stanowiące tajemnicę
państwową i służbową o klauzuli
poufne można przetwarzać w stre-
fie bezpieczeństwa. Przetwarza-
nie informacji niejawnych o klauzuli
zastrzeżone wiąże się z zapewnie-
niem ochrony fizycznej, kontroli do-
stępu do urządzeń systemu lub sie-
ci teleinformatycznej oraz z zapew-
nieniem niezawodności transmisji.
W przypadku przetwarzania infor-
macji niejawnych stanowiących ta-
jemnicę państwową i tajemnicę
służbową o klauzuli poufne należy
– oprócz wymagań jak dla klauzu-
li zastrzeżone – zapewnić ochronę
kryptograficzną i ochronę elektro-
magnetyczną.

Ochrona

elektromagnetyczna

Ochrona elektromagnetyczna sys-
temu lub sieci teleinformatycz-
nej polega na niedopuszczeniu do
utraty poufności i dostępności in-
formacji niejawnych przetwarza-
nych w urządzeniach teleinforma-
tycznych. Utrata poufności nastę-
puje na skutek emisji ujawniającej
pochodzącej z tych urządzeń. Na-
tomiast utrata dostępności nastę-
puje w wyniku zakłócenia pracy
urządzeń teleinformatycznych za
pomocą impulsów elektromagne-
tycznych o dużej mocy. Ochronę
elektromagnetyczną zapewnia się
przez umieszczanie urządzeń te-
leinformatycznych, połączeń i linii
w strefach kontrolowanego dostę-
pu spełniających wymagania w za-
kresie tłumienności elektromagne-
tycznej lub przez zastosowanie od-

Podstawowe pojęcia związane z bezpieczeństwem

teleinformatycznym

• bezpieczeństwo teleinformatyczne – należy przez nie rozumieć ochronę informacji

niejawnych przed utratą właściwości gwarantujących bezpieczeństwo, w szczegól-
ności przed utratą poufności, dostępności i integralności,

• incydent bezpieczeństwa teleinformatycznego – każde zdarzenie naruszają-

ce bezpieczeństwo teleinformatyczne, spowodowane w szczególności awa-
rią systemu lub sieci teleinformatycznej, działaniem osób uprawnionych lub
nieuprawnionych do pracy w tym systemie lub sieci albo zaniechaniem osób
uprawnionych,

• akredytacja bezpieczeństwa teleinformatycznego – dopuszczenie systemu lub

sieci teleinformatycznej do wytwarzania, przetwarzania, przechowywania lub
przekazywania informacji niejawnych,

• certyfikat akredytacji bezpieczeństwa teleinformatycznego – dopuszczenie syste-

mu lub sieci teleinformatycznej do przetwarzania informacji niejawnych stanowią-
cych tajemnicę państwową,

• dokumentacja bezpieczeństwa teleinformatycznego systemu lub sieci teleinfor-

matycznej – szczególne wymagania bezpieczeństwa oraz procedury bezpiecznej
eksploatacji danego systemu lub sieci teleinformatycznej, sporządzone zgodnie
z zasadami określonymi w ustawie,

• szczególne wymagania bezpieczeństwa (SWB) – dokument wyczerpująco opi-

sujący budowę oraz zasady działania i eksploatacji systemu lub sieci teleinfor-
matycznej,

• procedury bezpiecznej eksploatacji (PBE) – dokument określający zasady i tryb

postępowania w sprawach związanych z bezpieczeństwem teleinformatycznym,
a także zakres odpowiedzialności użytkowników systemu lub sieci teleinforma-
tycznej oraz personelu teleinformatycznego,

• administrator systemu – osoba lub zespół osób odpowiedzialnych za funk-

cjonowanie systemów lub sieci teleinformatycznej oraz za przestrzeganie
zasad i wymagań bezpieczeństwa systemów i sieci teleinformatycznej,

• inspektor bezpieczeństwa teleinformatycznego – pracownik pionu ochrony

odpowiedzialny za bieżącą kontrolę zgodności funkcjonowania systemu lub
sieci teleinformatycznej ze SWB oraz za kontrolę przestrzegania PBE.

Podstawy prawne

• Rozdział 10 – Bezpieczeństwo systemów i sieci teleinformatycznych – ustawa

z dnia 22 stycznia 1999 roku o ochronie informacji niejawnych (Dz. U. z 2005 r.
Nr 196, poz. 1631 ze zmianami).

• Rozporządzenie Prezesa Rady Ministrów z dnia 25 sierpnia 2005 roku w sprawie

podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz. U. Nr 171,
poz. 1433).

• Zalecenia Departamentu Bezpieczeństwa Teleinformatycznego Agencji

Bezpieczeństwa Wewnętrznego w sprawie bezpieczeństwa teleinformatycz-
nego.

powiednich urządzeń teleinforma-
tycznych, tzw. bezpiecznych sta-
nowisk komputerowych, które speł-
niają normę TEMPEST (Temporary
Emanation and Spurious Transmis-
sion), połączeń i linii o obniżonym
poziomie emisji, czy też wreszcie
ekranowanie urządzeń teleinfor-
matycznych, połączeń i linii z jed-
noczesnym filtrowaniem zewnętrz-

nych linii zasilających i sygnało-
wych. Urządzenia klasy TEMPEST
wykonywane są w trzech klasach
bezpieczeństwa elektromagnetycz-
nego: AMSG 720 B, AMSG 788,
AMSG 784. Środki ochrony elek-
tromagnetycznej powinny posiadać
certyfikat ochrony elektromagne-
tycznej wydany przez służby ochro-
ny państwa. Listę certyfikowanych

Bezpieczeństwo informatyczne informacji niejawnych

środków oraz ich producentów
można znaleźć na stronie interne-
towej ABW (www.abw.gov.pl).

Ochrona

kryptograficzna

Ochrona kryptograficzna informa-
cji niejawnych, które przetwarza-
ne są w systemie lub sieci teleinfor-
matycznej, polega na zastosowaniu
mechanizmów gwarantujących ich
poufność, integralność oraz uwie-
rzytelnienie. Siła mechanizmów
kryptograficznych musi być odpo-
wiednia do klauzuli informacji nie-
jawnych. Ochronę kryptograficzną
stosuje się w przypadku przekazy-
wania informacji niejawnych – w for-
mie transmisji lub utrwalonych na
elektronicznych nośnikach informa-
cji – poza strefę kontrolowanego
dostępu. Ochronę kryptograficz-
ną stosuje się od klauzuli poufne
wzwyż. Środki ochrony kryptogra-
ficznej powinny posiadać certyfi-
kat ochrony kryptograficznej wyda-

ny przez służby ochrony państwa.
Listę certyfikowanych środków oraz
ich producentów można znaleźć na
stronie internetowej ABW.

Niezawodność

transmisji

Niezawodność transmisji polega na
zapewnieniu integralności i dostęp-
ności informacji niejawnych przeka-
zywanych w systemach i sieciach
teleinformatycznych. Zapewnia się
ją w szczególności poprzez zapew-
nienie zapasowych łączy telekomu-
nikacyjnych.

Kontrola dostępu

W celu zapewnienia kontroli dostę-
pu do systemu lub sieci teleinfor-
matycznej kierownik jednostki or-
ganizacyjnej lub osoba przez nie-
go upoważniona powinna usta-
lić warunki i sposób przydzielania
uprawnień osobom uprawnionym
do pracy w systemie lub sieci te-
leinformatycznej. Natomiast admi-

nistrator systemu powinien określić
warunki oraz sposób przydzielania
tym osobom kont i mechanizmów
kontroli dostępu, a także zapewnić
ich właściwe wykorzystanie. Przy
przetwarzaniu informacji niejaw-
nych stanowiących tajemnicę pań-
stwową należy zadbać o uniemożli-
wienie jednej osobie w sposób nie-
kontrolowany dostępu do wszyst-
kich zasobów systemu lub sieci te-
leinformatycznej.

Podsumowanie

Przepisy prawa określają minimalne
wymagania związane z bezpieczeń-
stwem teleinformatycznym informa-
cji niejawnych. Oprócz nich należy
uwzględnić zalecenia służb ochro-
ny państwa dotyczące bezpieczeń-
stwa teleinformatycznego informacji
niejawnych oraz polskie normy do-
tyczące bezpieczeństwa informacji.
Normy te stanowią źródło tzw. do-
brych praktyk, a w szczególności są
to: PN-ISO/IEC 17799: 2007 Tech-
nika informatyczna – Techniki bez-
pieczeństwa – Praktyczne zasady
zarządzania bezpieczeństwem in-
formacji i PN-ISO/IEC 27001: 2007
Technika informatyczna – Techniki
bezpieczeństwa – Systemy zarzą-
dzania bezpieczeństwem informacji
– Wymagania. l

R

E

K

L

A

M

A

O autorze

Andrzej Guzik – audytor systemów zarządzania jakością i zarządzania bezpieczeń-
stwem informacji, specjalista w zakresie ochrony informacji prawnie chronionych, re-
daktor portalu www.ochronainformacji.pl
Kontakt z autorem: a.guzik@ochronainformacji.pl