www.hakin9.org
hakin9 Nr 01/2008
66
Bezpieczna Firma
Z
agadnienie bezpieczeństwa syste-
mów teleinformatycznych nabiera co-
raz większego znaczenia, ponieważ to
w nich informacja jest coraz częściej prze-
twarzana i przechowywana. Pod pojęciem
bezpieczeństwa teleinformatycznego infor-
macji niejawnych należy rozumieć ochro-
nę informacji niejawnych, które przetwarza-
ne są w systemach i sieciach teleinforma-
tycznych, przed utratą właściwości gwaran-
tujących bezpieczeństwo – a w szczególno-
ści przed utratą poufności, dostępności i in-
tegralności.
Za bezpieczeństwo przetwarzania infor-
macji niejawnych w systemach i sieciach te-
leinformatycznych odpowiada kierownik jed-
nostki organizacyjnej. Bezpieczeństwo tele-
informatyczne należy zapewnić przed rozpo-
częciem oraz w trakcie przetwarzania infor-
macji niejawnych. Rozdział 10 – Bezpieczeń-
stwo systemów i sieci teleinformatycznych
– ustawy o ochronie informacji niejawnych
określa podstawowe wymagania związane
z elektronicznym przetwarzaniem informacji
niejawnych. Szczegółowe wymagania tech-
niczne i organizacyjne związane z przetwa-
rzaniem informacji niejawnych w systemach
i sieciach teleinformatycznych oraz sposób
opracowywania dokumentacji bezpieczeń-
stwa teleinformatycznego określa zaś rozpo-
rządzenie Prezesa Rady Ministrów w sprawie
podstawowych wymagań bezpieczeństwa
teleinformatycznego. Kierownik jednostki or-
ganizacyjnej dla każdego sytemu lub sieci te-
leinformatycznej, w której przetwarza się in-
formacje niejawne, powinien wyznaczyć ad-
ministratora sytemu i inspektora bezpieczeń-
stwa teleinformatycznego. Administrator sys-
temu zgodnie z zapisami ustawy odpowiada
za funkcjonowanie systemu lub sieci telein-
formatycznej oraz za przestrzeganie zasad
i wymagań bezpieczeństwa systemów i sie-
ci teleinformatycznych, natomiast inspek-
Bezpieczeństwo
teleinformatyczne
informacji niejawnych
Andrzej Guzik
stopień trudności
Metody ochrony informacji niejawnych przetwarzanych
w systemach i sieciach teleinformatycznych, oprócz spełnienia
wymagań wynikających z przepisów prawa, wymagają
uwzględnienia wytycznych służb ochrony państwa dotyczących
bezpieczeństwa teleinformatycznego.
Z artykułu dowiesz się
• jak zapewnić bezpieczeństwo informacjom nie-
jawnym przetwarzanym w systemach i sieciach
teleinformatycznych
Co powinieneś wiedzieć
• znać podstawowe zasady ochrony informacji
niejawnych
Bezpieczeństwo informatyczne informacji niejawnych
hakin9 Nr 01/2008
www.hakin9.org
67
tor bezpieczeństwa teleinforma-
tycznego, pracownik pionu ochro-
ny, odpowiada za bieżącą kontrolę
zgodności funkcjonowania syste-
mu lub sieci teleinformatycznej ze
szczególnymi wymaganiami bez-
pieczeństwa oraz za kontrolę prze-
strzegania procedur bezpiecznej
eksploatacji. Ustawa określa rów-
nież wymagania dla osób odpo-
wiedzialnych za bezpieczeństwo
teleinformatyczne. Stanowisko lub
funkcję administratora sytemu al-
bo inspektora bezpieczeństwa te-
leinformatycznego mogą pełnić
osoby, które posiadają obywatel-
stwo polskie, posiadają poświad-
czenie bezpieczeństwa odpowied-
nie do klauzuli informacji niejaw-
nych przetwarzanych w systemach
lub sieciach teleinformatycznych,
które odbyły przeszkolenie w za-
kresie ochrony informacji niejaw-
nych i specjalistyczne szkolenie
z zakresu bezpieczeństwa tele-
informatycznego
prowadzonego
przez służby ochrony państwa. Ak-
tualnie kurs dla kandydatów na ad-
ministratorów systemu i inspekto-
rów bezpieczeństwa teleinforma-
tycznego trwa jeden dzień i kosz-
tuje 250 złotych. Systemy i sieci te-
leinformatyczne, w których prze-
twarza się informacje niejawne,
podlegają akredytacji przez służby
ochrony państwa. Dopuszczenie
sytemu lub sieci teleinformatycznej
do pracy następuje na podstawie
dokumentacji bezpieczeństwa te-
leinformatycznego, na którą skła-
dają się szczególne wymagania
bezpieczeństwa (SWB) i procedu-
ry bezpiecznej eksploatacji (PBE).
W zależności od klauzuli informacji
niejawnych przetwarzanych w sys-
temie, ww. dokumentacja podle-
ga uzgodnieniu lub zatwierdzeniu.
W przypadku informacji niejawnych
stanowiących tajemnicę państwo-
wą dokumentacja ta jest indywidu-
alnie zatwierdzana przez właści-
wą służbę ochrony państwa (Agen-
cję Bezpieczeństwa Wewnętrzne-
go lub Służbę Kontrwywiadu Woj-
skowego), w terminie 30 dni od jej
otrzymania. Natomiast w przypad-
ku tajemnicy służbowej niewniesie-
nie zastrzeżeń w terminie 30 dni od
jej przedstawienia przez kierowni-
ka jednostki organizacyjnej służ-
bom ochrony państwa upoważnia
do rozpoczęcia przetwarzania in-
formacji niejawnych w systemie lub
sieci teleinformatycznej. Dodat-
kowo dla systemów i sieci, w któ-
rych przetwarza się tajemnicę pań-
stwową, wymagany jest certyfikat
akredytacji bezpieczeństwa tele-
informatycznego. Ww. certyfikat
wydawany jest po przeprowadze-
niu postępowań sprawdzających
wobec osób mających dostęp do
systemu lub sieci, po zatwierdze-
niu przez właściwą służbę ochrony
państwa SWB i PBE oraz po prze-
prowadzeniu audytu bezpieczeń-
stwa systemu lub sieci teleinfor-
matycznej. Ww. audyt ma na celu
weryfikację poprawności realizacji
wymagań i procedur określonych
w SWB i PBE.
Dokumentacja
Dokumentację bezpieczeństwa te-
leinformatycznego, na którą skła-
dają się SWB i PBE, opracowuje
się po przeprowadzeniu analizy ry-
zyka z uwzględnieniem warunków
charakterystycznych dla jednost-
ki organizacyjnej, w której mają
być przetwarzane informacje nie-
jawne. Analizy ryzyka można do-
konać stosując na przykład meto-
dy opisane w raporcie technicznym
ISO/IEC TR 13335-3 Technika in-
formatyczna – Wytyczne do za-
rządzania bezpieczeństwem sys-
temów informatycznych, Część 3:
Techniki zarządzania bezpieczeń-
stwem systemów informatycznych.
Raport przedstawia cztery warian-
ty podejścia do analizy ryzyka: po-
dejście podstawowego poziomu
Tabela 1.
Zawartość dokumentu Szczególne Wymagania Bezpieczeństwa
Lp. Zawartość dokumentu SWB
1
osoby odpowiedzialne za wdrożenie środków zapewniających bez-
pieczeństwo teleinformatyczne
2
zadania osób odpowiedzialnych za bezpieczeństwo teleinformatycz-
ne
3
granice i lokalizacja stref kontrolowanego dostępu oraz środki ich
ochrony
4
środki ochrony kryptograficznej, elektromagnetycznej, technicznej
lub organizacyjnej systemu lub sieci teleinformatycznej
5
inne zastosowane środki ochrony zapewniające bezpieczeństwo te-
leinformatyczne informacji niejawnych
6
zasady zarządzania ryzykiem
7
zasady szkolenia z zakresu bezpieczeństwa teleinformatycznego
osób odpowiedzialnych za bezpieczeństwo teleinformatyczne oraz
osób uprawnionych do pracy w systemie lub sieci teleinformatycznej
Rysunek 1.
Bezpieczne stanowisko komputerowe – wersja z obudową
ekranującą
hakin9 Nr 01/2008
www.hakin9.org
Bezpieczna Firma
68
bezpieczeństwa, podejście niefor-
malne, szczegółową analizę ryzy-
ka i podejście mieszane. Podsta-
wowa różnica pomiędzy nimi doty-
czy stopnia szczegółowości anali-
zy ryzyka.
W oparciu o wyniki analizy ry-
zyka dobiera się zabezpieczenia.
Zastosowane zabezpieczenia po-
winny być efektywne kosztowo
i uwzględniać wymagania wynika-
jące z przepisów prawa, wymaga-
nia biznesowe i wymagania będą-
ce wynikiem analizy ryzyka. Ryzy-
ko, jakie powstaje po wprowadze-
niu zabezpieczeń, nazywamy ryzy-
kiem szczątkowym.
SWB powinny w sposób kom-
pletny i wyczerpujący opisywać
budowę, zasady działania i eks-
ploatacji oraz charakterystykę sy-
temu lub sieci teleinformatycznej.
Dane o systemie lub sieci teleinfor-
matycznej powinny obejmować: lo-
kalizację systemu, typ wykorzysty-
wanych urządzeń oraz oprogramo-
wania, sposób realizacji połączeń
wewnętrznych i zewnętrznych,
konfigurację sprzętową i ustawie-
nie mechanizmów zabezpieczają-
cych oraz opis środowiska eksplo-
atacji (opis środowiska globalne-
go, środowiska lokalnego i środo-
wiska elektronicznego). Natomiast
charakterystyka systemu lub sieci
teleinformatycznej powinna okre-
ślać między innymi klauzulę tajno-
ści informacji niejawnych, które bę-
dą w nich przetwarzane, katego-
rie uprawnień osób uprawnionych
do pracy w systemie lub sieci w za-
kresie dostępu do przetwarzanych
w nich informacji niejawnych (w za-
leżności od klauzuli tajności tych
informacji) oraz tryb bezpieczeń-
stwa pracy systemu lub sieci tele-
informatycznej (dedykowany, sys-
temowo-podwyższony lub wielopo-
ziomowy).
SWB opracowuje się w fazie
projektowania, na bieżąco rozwi-
ja w fazie wdrażania i modyfikuje
w fazie eksploatacji – przed doko-
naniem zmian w systemie lub sieci
teleinformatycznej. Z kolei PBE po-
winny opisywać sposób i tryb po-
stępowania w sprawach związa-
nych z bezpieczeństwem informacji
oraz określać zakres odpowiedzial-
ności użytkowników systemu i sie-
ci, a także pracowników mających
do nich dostęp.
PBE opracowuje się i uzupełnia
w fazie wdrażania oraz modyfikuje
w fazie eksploatacji – przed dokona-
niem zmian w systemie lub sieci te-
leinformatycznej.
Podstawowe
wymagania
Bezpieczeństwo teleinformatycz-
ne informacji niejawnych przetwa-
rzanych w systemach lub sieciach
teleinformatycznych zapewnia się
poprzez: ochronę fizyczną, ochro-
nę elektromagnetyczną, ochro-
nę kryptograficzną, niezawodność
Tabela 2.
Wykaz obowiązkowych procedur bezpiecznej eksploatacji
Lp. Procedury bezpieczeństwa
1
administrowania systemem lub siecią teleinformatyczną
2
bezpieczeństwa osobowego
3
bezpieczeństwa dokumentów i materiałów niejawnych, w tym pro-
cedur sporządzania kopii z tych dokumentów oraz niszczenia doku-
mentów i ich kopii
4
ochrony kryptograficznej, elektromagnetycznej, fizycznej, niezawod-
ności transmisji, kontroli dostępu do urządzeń systemu lub sieci tele-
informatycznej
5
bezpieczeństwa urządzeń i oprogramowania
6
zapewnienia ciągłości działania systemu lub sieci teleinformatycznej
7
zarządzania konfiguracją
8
audytu bezpieczeństwa
Rysunek 2.
Bezpieczne stanowisko komputerowe
Tabela 3.
Elementy bezpieczeństwa teleinformatycznego
informacji niejawnych
Lp. Elementy bezpieczeństwa teleinformatycznego
informacji niejawnych
1
ochrona fizyczna
2
kontrola dostępu do urządzeń systemu lub sieci teleinformatycznej
3
niezawodność transmisji
4
ochrona kryptograficzna
5
ochrona elektromagnetyczna
Bezpieczeństwo informatyczne informacji niejawnych
hakin9 Nr 01/2008
www.hakin9.org
69
transmisji i kontrolę dostępu do
urządzeń systemu lub sieci telein-
formatycznej.
Ochrona fizyczna
Ochronę fizyczną informacji niejaw-
nych zapewnia się poprzez utwo-
rzenie stref kontrolowanego dostę-
pu (strefa administracyjna, strefa
bezpieczeństwa, specjalna strefa
bezpieczeństwa) oraz zastosowa-
nie środków ochrony zabezpiecza-
jących pomieszczenia w tych stre-
fach. Środki ochrony fizycznej po-
winny zapewniać ochronę fizycz-
ną pomieszczeń przed: nieupraw-
nionym dostępem, podsłuchem
i podglądem. Przy stosowaniu
środków ochrony fizycznej obo-
wiązuje zasada adekwatności, tzn.
środki ochrony fizycznej powinny
odpowiadać klauzuli tajności i ilo-
ści informacji niejawnych, liczbie
i poziomowi dostępu do tych in-
formacji zatrudnionych osób oraz
uwzględniać wytyczne służb ochro-
ny państwa przed zagrożeniami ze
strony obcych służb specjalnych
(w tym także w stosunku do pań-
stwa sojuszniczego). Strefa admini-
stracyjna powinna zapewniać kon-
trolę osób i pojazdów, natomiast
w strefie bezpieczeństwa należy
zapewnić kontrolę wejść i wyjść
oraz kontrolę przebywania. W tym
celu należy wprowadzić system
przepustek lub inny system kontro-
li dostępu uprawniający do wejścia
Rysunek 3.
Przykłady obudów ekranujących
Rysunek 4.
Przykład pomieszczenia do przetwarzania informacji niejawnych
���������������
������������
������������
��������������
����������������
�����������������
��������
��
����������������������������������
�����������
�������
��������������
����
�������������
����������������
����������������
���������������
�����������
������������
�������������
������
��������������������������������������������������������������������
������������������������������������������������������
���������������������������������������������������������������������
hakin9 Nr 01/2008
www.hakin9.org
Bezpieczna Firma
70
do strefy bezpieczeństwa, a także
zorganizować system przechowy-
wania kluczy do pomieszczeń chro-
nionych, szaf pancernych i innych
pojemników służących do prze-
chowywania informacji niejawnych
stanowiących tajemnicę państwo-
wą. Środki ochrony fizycznej po-
winny posiadać certyfikaty i świa-
dectwa kwalifikacyjne przyznane
na podstawie innych przepisów,
np. w oparciu o polskie normy.
Informacje niejawne o klauzu-
li zastrzeżone można przetwarzać
w strefie administracyjnej, natomiast
informacje stanowiące tajemnicę
państwową i służbową o klauzuli
poufne można przetwarzać w stre-
fie bezpieczeństwa. Przetwarza-
nie informacji niejawnych o klauzuli
zastrzeżone wiąże się z zapewnie-
niem ochrony fizycznej, kontroli do-
stępu do urządzeń systemu lub sie-
ci teleinformatycznej oraz z zapew-
nieniem niezawodności transmisji.
W przypadku przetwarzania infor-
macji niejawnych stanowiących ta-
jemnicę państwową i tajemnicę
służbową o klauzuli poufne należy
– oprócz wymagań jak dla klauzu-
li zastrzeżone – zapewnić ochronę
kryptograficzną i ochronę elektro-
magnetyczną.
Ochrona
elektromagnetyczna
Ochrona elektromagnetyczna sys-
temu lub sieci teleinformatycz-
nej polega na niedopuszczeniu do
utraty poufności i dostępności in-
formacji niejawnych przetwarza-
nych w urządzeniach teleinforma-
tycznych. Utrata poufności nastę-
puje na skutek emisji ujawniającej
pochodzącej z tych urządzeń. Na-
tomiast utrata dostępności nastę-
puje w wyniku zakłócenia pracy
urządzeń teleinformatycznych za
pomocą impulsów elektromagne-
tycznych o dużej mocy. Ochronę
elektromagnetyczną zapewnia się
przez umieszczanie urządzeń te-
leinformatycznych, połączeń i linii
w strefach kontrolowanego dostę-
pu spełniających wymagania w za-
kresie tłumienności elektromagne-
tycznej lub przez zastosowanie od-
Podstawowe pojęcia związane z bezpieczeństwem
teleinformatycznym
• bezpieczeństwo teleinformatyczne – należy przez nie rozumieć ochronę informacji
niejawnych przed utratą właściwości gwarantujących bezpieczeństwo, w szczegól-
ności przed utratą poufności, dostępności i integralności,
• incydent bezpieczeństwa teleinformatycznego – każde zdarzenie naruszają-
ce bezpieczeństwo teleinformatyczne, spowodowane w szczególności awa-
rią systemu lub sieci teleinformatycznej, działaniem osób uprawnionych lub
nieuprawnionych do pracy w tym systemie lub sieci albo zaniechaniem osób
uprawnionych,
• akredytacja bezpieczeństwa teleinformatycznego – dopuszczenie systemu lub
sieci teleinformatycznej do wytwarzania, przetwarzania, przechowywania lub
przekazywania informacji niejawnych,
• certyfikat akredytacji bezpieczeństwa teleinformatycznego – dopuszczenie syste-
mu lub sieci teleinformatycznej do przetwarzania informacji niejawnych stanowią-
cych tajemnicę państwową,
• dokumentacja bezpieczeństwa teleinformatycznego systemu lub sieci teleinfor-
matycznej – szczególne wymagania bezpieczeństwa oraz procedury bezpiecznej
eksploatacji danego systemu lub sieci teleinformatycznej, sporządzone zgodnie
z zasadami określonymi w ustawie,
• szczególne wymagania bezpieczeństwa (SWB) – dokument wyczerpująco opi-
sujący budowę oraz zasady działania i eksploatacji systemu lub sieci teleinfor-
matycznej,
• procedury bezpiecznej eksploatacji (PBE) – dokument określający zasady i tryb
postępowania w sprawach związanych z bezpieczeństwem teleinformatycznym,
a także zakres odpowiedzialności użytkowników systemu lub sieci teleinforma-
tycznej oraz personelu teleinformatycznego,
• administrator systemu – osoba lub zespół osób odpowiedzialnych za funk-
cjonowanie systemów lub sieci teleinformatycznej oraz za przestrzeganie
zasad i wymagań bezpieczeństwa systemów i sieci teleinformatycznej,
• inspektor bezpieczeństwa teleinformatycznego – pracownik pionu ochrony
odpowiedzialny za bieżącą kontrolę zgodności funkcjonowania systemu lub
sieci teleinformatycznej ze SWB oraz za kontrolę przestrzegania PBE.
Podstawy prawne
• Rozdział 10 – Bezpieczeństwo systemów i sieci teleinformatycznych – ustawa
z dnia 22 stycznia 1999 roku o ochronie informacji niejawnych (Dz. U. z 2005 r.
Nr 196, poz. 1631 ze zmianami).
• Rozporządzenie Prezesa Rady Ministrów z dnia 25 sierpnia 2005 roku w sprawie
podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz. U. Nr 171,
poz. 1433).
• Zalecenia Departamentu Bezpieczeństwa Teleinformatycznego Agencji
Bezpieczeństwa Wewnętrznego w sprawie bezpieczeństwa teleinformatycz-
nego.
powiednich urządzeń teleinforma-
tycznych, tzw. bezpiecznych sta-
nowisk komputerowych, które speł-
niają normę TEMPEST (Temporary
Emanation and Spurious Transmis-
sion), połączeń i linii o obniżonym
poziomie emisji, czy też wreszcie
ekranowanie urządzeń teleinfor-
matycznych, połączeń i linii z jed-
noczesnym filtrowaniem zewnętrz-
nych linii zasilających i sygnało-
wych. Urządzenia klasy TEMPEST
wykonywane są w trzech klasach
bezpieczeństwa elektromagnetycz-
nego: AMSG 720 B, AMSG 788,
AMSG 784. Środki ochrony elek-
tromagnetycznej powinny posiadać
certyfikat ochrony elektromagne-
tycznej wydany przez służby ochro-
ny państwa. Listę certyfikowanych
Bezpieczeństwo informatyczne informacji niejawnych
środków oraz ich producentów
można znaleźć na stronie interne-
towej ABW (www.abw.gov.pl).
Ochrona
kryptograficzna
Ochrona kryptograficzna informa-
cji niejawnych, które przetwarza-
ne są w systemie lub sieci teleinfor-
matycznej, polega na zastosowaniu
mechanizmów gwarantujących ich
poufność, integralność oraz uwie-
rzytelnienie. Siła mechanizmów
kryptograficznych musi być odpo-
wiednia do klauzuli informacji nie-
jawnych. Ochronę kryptograficzną
stosuje się w przypadku przekazy-
wania informacji niejawnych – w for-
mie transmisji lub utrwalonych na
elektronicznych nośnikach informa-
cji – poza strefę kontrolowanego
dostępu. Ochronę kryptograficz-
ną stosuje się od klauzuli poufne
wzwyż. Środki ochrony kryptogra-
ficznej powinny posiadać certyfi-
kat ochrony kryptograficznej wyda-
ny przez służby ochrony państwa.
Listę certyfikowanych środków oraz
ich producentów można znaleźć na
stronie internetowej ABW.
Niezawodność
transmisji
Niezawodność transmisji polega na
zapewnieniu integralności i dostęp-
ności informacji niejawnych przeka-
zywanych w systemach i sieciach
teleinformatycznych. Zapewnia się
ją w szczególności poprzez zapew-
nienie zapasowych łączy telekomu-
nikacyjnych.
Kontrola dostępu
W celu zapewnienia kontroli dostę-
pu do systemu lub sieci teleinfor-
matycznej kierownik jednostki or-
ganizacyjnej lub osoba przez nie-
go upoważniona powinna usta-
lić warunki i sposób przydzielania
uprawnień osobom uprawnionym
do pracy w systemie lub sieci te-
leinformatycznej. Natomiast admi-
nistrator systemu powinien określić
warunki oraz sposób przydzielania
tym osobom kont i mechanizmów
kontroli dostępu, a także zapewnić
ich właściwe wykorzystanie. Przy
przetwarzaniu informacji niejaw-
nych stanowiących tajemnicę pań-
stwową należy zadbać o uniemożli-
wienie jednej osobie w sposób nie-
kontrolowany dostępu do wszyst-
kich zasobów systemu lub sieci te-
leinformatycznej.
Podsumowanie
Przepisy prawa określają minimalne
wymagania związane z bezpieczeń-
stwem teleinformatycznym informa-
cji niejawnych. Oprócz nich należy
uwzględnić zalecenia służb ochro-
ny państwa dotyczące bezpieczeń-
stwa teleinformatycznego informacji
niejawnych oraz polskie normy do-
tyczące bezpieczeństwa informacji.
Normy te stanowią źródło tzw. do-
brych praktyk, a w szczególności są
to: PN-ISO/IEC 17799: 2007 Tech-
nika informatyczna – Techniki bez-
pieczeństwa – Praktyczne zasady
zarządzania bezpieczeństwem in-
formacji i PN-ISO/IEC 27001: 2007
Technika informatyczna – Techniki
bezpieczeństwa – Systemy zarzą-
dzania bezpieczeństwem informacji
– Wymagania. l
R
E
K
L
A
M
A
O autorze
Andrzej Guzik – audytor systemów zarządzania jakością i zarządzania bezpieczeń-
stwem informacji, specjalista w zakresie ochrony informacji prawnie chronionych, re-
daktor portalu www.ochronainformacji.pl
Kontakt z autorem: a.guzik@ochronainformacji.pl