Radziszewski T. - Bezpieczeństwo fizyczne i teleinformatyczne informacji niejawnych.pdf

(43530 KB) Pobierz

Mariusz Jabfonski

Tomasz Radziszewski

BEZPIECZENSTWO FIZYCZNE

1TELEINFORMATYCZNE

INFORMACJI NIEJAWNYCH

PRESSCOM

Sp.

o.o.

Wrodaw 2012

Spis

tresci

Wykaz

skr6t6w

•........•......••.........•••.....•••.........................••......................•........•...........•....•..••......•

Wst.;p .......................•.................••..................................•...•........................................

„

....•.•..•..

ROZDZIAt 1. OCHRONA INFORMACJI

JJEJ

CHARAKTER ...••.....•..............•.•.....•......•........•..... 13

1. Przesfanki

uchwalenia

nowej ustawy o ochronie informacji niejawnych

..••.......••.•...

„.•........•.

2. Zasady i wartosci uzasadniaj11ce ograniczenie konstytucyjnych wolnosci

praw przysfuguj11cych jednostce

..............................

„.........•.......... „..................... „............ 17

2.1.

Konstytucyjne gwarancje

wolnosci informacyjnej

„.„„„„„„„„„„„.„„.„..„„.„„...„„„

„„.„.„.17

2.2.

Granice wolnoSci

informacyjnej

„„„

„„...„.„.„„„„„„„.„.„.„.„„„..

„„„.... „„.„„„.„.„„„.„„„„.„19

2.2.1.

Zasada wylqcznosci ustawy„„„.„„.„„„„„„„„„„„„„„„.„„.„„„„„„„„„.„„„„„„„„„„„„„„.„„„„„„.20

2.2.2.

Proporcjonalnosc ogranicze1i

„„... „.„„„„„„„„„ ..

„...

...„„„.„„

...„.. „„ ....

„...„.„.„„.„„.„„„„„„...„„„

2.2.3.

Obowi~zek

zachowania

istoty

praw

wolnosci „„„„„„„„„„„. „„„„„„„„„„„„„„„„„„„„„„„„„„„

2.2.4.

Wartosci (przestanki)

b~dqce

podstawq ograniczenia

wolnosci

praw

jednostki„„„„„„„„„„„„.

Ustawowe zdefiniowanie ochrony informacji niejawnych

„.. „ •. „„.„

•. „„

....•.•.......„

.......

„.......27

3.1.

Ochrona informacji ijej

ir6def

.„„„„.„„„„„„„.„„„„„„„.„„..„„„„„„„„„„„„.„„

..„„„.„„„„„„„

3.1.1.

lnformacja

jawna „„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„„.„„„„„

.„„„„.„„ 28

3.1

.2.

lnformacja

nlejawna

„„„„„

„.„.„„„.„„„„„.

„„„„„„„„.„„„.„„„„„„„„„„.„.„„„..

„„„„„„„29

3.1

.2.1.

lauzula.5cisle

tajne"„„„„„„„„„

„„„„„„„„„„„„„„„„„.„„„„„„„„„„„„„„

„„„„„„„„„„„„„

3.1

.2.2.

Klauzula.tajne"

„„„„„„„„„„„„„„„„„„„„„„„„„„.

„„„„„„„„„„„„„„„„.

„„„„„„„„„„„.. „„.37

3.1.2.3.

lauzula„poufne"„„„„„..„„„„„„.„„„„„„„„.„„

„„.„.„„„„„„„„„.„„

„„„.„.„„.„.„.„.„„..„.„.40

3.1

.2.4.

Klauzula.zastrzeione"

„„„„„„„.„„„„„„„..„„„„„„„„„„„„„„„.„„„.„„„„„„„„.„„„„„„.„„„.„.41

3.2.

Autonomiczny cha

rakter

poj~ci

a„szkoda

dla

Rzeczypospolitej

Polskiej"

gruncie

uoin

„„„„..

ROZDZIAt 2. INFORMACJE NJEJAWNE A PRAWO

DOST~PU

INFORMACJI

PUBLICZNEJ

......

Przestanki s11dowej oceny zasadnosci

obj.;cia

konkretnych

informacji

klauzul11tajnoSci.„..„

... 49

Prawo dost.;pu

informacji

publicznej .....•....................................•...............

„•................... 51

Specyfika sposobu identyfikacji

irodef informacji

publicznej

..........•......•.••....

„.•..

„

..„•••... „.•.

S11dowa

weryfikacja zasadnosci nadania informacji klauzuli tajnosci

swietle

udost.;pnienia

informacji

publicznej

..................

„..........

:..••......................................•.......„.57

ROZDZIAt 3. KOMPLETNOSC SYSTEMU OCHRONY

INFORMACJl. ............•..••...............•........•.

Zafoienia modelowe systemu ochrony informacji niejawnych

..... „.••„„

..•..•................

„„„.„

Uksztaltowanie prawnych

podstaw systemu ..•... „... „„„„ ........•.............•......

„ •.

„.......

„ ......„.

Rozporz11dzenie jako

akt wykonawczy.............•.....................•••„......................„ ......•........... 80

Konstrukcja

upowaznienia

zawarta

wart. 47 ust.

1 uoin ....„ ....•.. „„....

„ •.• „„.„.•.....„...„.„.....

Spis

tresci

---- - - --

Spis

trcsci

ROZDZIAt 4. ZARZJ\DZANIE RYZYKIEM

1Cl,j\GtOSCl,j\

DZIAtANIA W PROCESACH

TELEINFORMATYCZNEGO

PRZETWARZANIA INFORMACJJ

NJEJAWNYCH •••.••••••••••••••••••••••••••• 87

Optymalizacja

jako czynnik skutecznej ochrony informacji

niejawnych

.............•.................... 89

2. Zarzctdzanie

ryzykiem

zwictzanym

przetwarzaniem

informacji

niejawnych

...........•••..........•

2.1.

Specyfika procesu szacowania ryzyka zwi;izanego

przetwarzanlem informacji

niejawnych w systemach teleinformatycznych „„..

„„„

..„„„

.. „„.„„...„........„.„

..„.„...„„..........

2.1.1. Procedura szacowania

ryzyka„.

„„„„„„„„.„.„

„„

...„„

„„.„„ .. „.„ ...„„.. „..

„„....

„.........

„.„„..

„..„„.98

2.1.1.1.

Szacowanie

wst~pne

(etap

projektowania

systemu

t~leinformatycznego)

...........„......... „..

2.1

.1.2.

Kolejne etapy

szacowania ryzyka,

post~powanie

z ryzykiem,

ocena ryzyka

wdraianle

eksploatacja systemu

......„...................„...„.........„„........

„...„........„...„........

107

2.1.2. Przeglqd

1monitorowanie ryzyk i

czynnik6w

ryzyka

etap

eksploatacji

i wycofywania

systemu .....

„.. „....

„.„............„.„ ......... „............„......„...........

109

3. Zarzctdzanie cictgtoscict

dzialania

jako

element

skutecznego i

racjonalnego systemu

bezpieczenstwa

danych niejawnych

...•......•...........••....••

„ .........•.................

„„„ ... „„.„ .. „....

109

3.1. Podstawowe zaloi:enia dotycz<tce zarz<tdzania ci<tglosciq dzialania

....................

„........„........

110

3.2. Zastosowanie standard6w

zarzqdzania

cictgloSciiJ. dzialania (BCM)

w procesie zabezpieczania informacji niejawnych

..................„.............. „.....

„......„...

„.„.„

....

112

3.2.1.

ldentyfikacja

kluczowych i

krytycznych proces6w i

zasob6w

...„„„.:

...

„.„„.....

„.„„„

...„.„„ .......„116

3.2.2. Struktura

organizacyjna odpowiedzialna za

BCM

.........„.„

..„..„.. „„ ......

„.„„

....„..„........

„„„„....„118

3.2.3.

okumentowanie

BCM

.„.„

...

„...„„

..........

„........... „......... „„„.„„„.„„

.....„....

„..........

„...„„„... „.„..

120

3.2.4.

Testowanie

strategii

przetrwania i

plan6w

ciqglosci

dzialania„„.„„.„„.„„„„„„„„„..

„„.„

... „ .. „.123

ROZDZIAt

5. DOBOR SRODKOW BEZPIECZENSTWA

FIZYCZNEGO

PROCESACH

PRZETWARZANIA INFORMACJI

NIEJAWNYCH ••„

„

••••.•••••.••••••.•.•.•.•••••••. „

.••••.•..•••••••••.•••••••• 127

1. Tryb i zasady

stosowania element6w

bezpieczenstwa

fizycznego informacji

niejawnych

..••• 129

1.1. Ustawowe przeslanki ochrony fizycznej informacji niejawnych

„..

„.„.„.„„ ...... „....

„... „.......„.129

1.2.

Zasady organizacji i

funkcjonowania

kancelarii

tajnych

„„.„„.„„.„„.„.„„

.. „.„.„.„.„„„.„„„..129

1.2.1. Zadania kancelarii tajnej

„„

„„.„„„„„„.„„„„„„„„„.„„„„„„„..„.„„.„...„„..

„„

....„„.„

........„.„ ......

131

1.2.2. Funkcjonowanie kancelarii w strukturze pionu

ochrony

„„„„.„.„.„.„.... „.. „.......„„„„....

„.„„......

132

Tryb

i zasady obiegu informacji

niejawnych

................................„.....•...„

.•...•.„ .....•.•„

.•... „.

133

2.1.

Czynnoscl kancelaryjne zwi'lzane z

przetwarzaniem

informacji niejawnych „„„„

...

„„„.„

......

133

2.1.1. Oznaczanie material6w, umieszczanie,

zmiana

iznoszenie klauzul

tajnosci„.„„.„.„„„„„„„„..„136

2.1.2. Nadawanie, przyjmowanie,

przewoienie,

wydawanie

ochrona material6w

.„.. „..„.. „.. „„„.„ ..

146

2.1.3.

Niszczenie dokumentacji

niejawnej .....

„.„.„.„...„„.......

„.„„„ .. „.„...„..„.„„„„„.. „„„

„.„....

„„„.„

156

3. Wdraianie i stosowanie srodk6w

bezpieczenstwa fizycznego

........

„

..........

„

„„

... „„„„. 157

3.1

Analiza poziomu

zagroi:erl

............... „.........„....

„......... „„...„.. „„............ „..„.„.„.„„.„„„.„

... „157

3.2. ldentyfikacja stref ochronnych

................ „.„

.... „„

..„..

„.„.„„...

„.„..............

„..

„...

„.„.„

.... „.... „164

3.3.

ldentyfikacja i

zakres

stosowania zabezpieczen fizycznych

„.„„...„.„„„ ..

„„„.„... „„....

„.„„„.„165

3.3.1.

Metodyka

doboru

srodk6w bezpieczenstwa

fizycznego

.„„„.„

..„„

..„.....

„„„„„„„„„„„..

„„„

...

„„166

3.4.

Bezpieczenstwo

fizyczne infrastruktury

teleinformatycznej

„.„„„„„„„..„„„„„.„„.„„„„„„.„.171

35.

3.6.

Wymagania dotyczqce prowadzenia dokumentacji zwiqzanej z bezpieczeristwem

fizycznym„„.

172

Kierunek zmian

dotyczctcych

techniczno-organizacyjnych

srodk6w

stosowanych w

obszarze

bezpieczenstwa fizycznego

„.„

...„..

„.„.„

....

„„„ .....„.. „....„„

...„...

„.„

..„„„„....„.,„.„.„.....

„„

....„.

174

ROZDZIAt 6. WARUNKI NADZOROWANIA IMPLEMENTACJJ

SRODKOW BEZPIECZENSTWA PRZEZ ABW 1 SKW .„ ••„„„„

••„„•••••„

.••••„„.„.„ •••„

••••„ ••••.••••

„.„.181

Warunki procedury

akredytacyjnej

systemu teleinformatycznego, akceptacji

srodk6w

bezpieaenstwa fizycznego

oraz

uzyskania

swiadectwa

bezpieczenstwa przemyslowego ..„.„„ 183

1.1. Akredytacja

systemu

teleinformatycznego

„„

..„„„„„„„„„„„.„„„„„„„„„„„„„„„.„„.„„„„„„„.„

183

1.1.1.

Akredytacja w ramach

post~powania

bezpieczenstwa przemyslowego ....

„.„„„

....

„„„„

..... „.„„ ......

185

1.2. Akceptacja srodk6w bezpieczenstwa fizyanego

„„„.„.„„„„.„.„.„„„.„„„„„„.„„„„.„„„„„„„.„„.

187

1.2.1.

Akceptacja

srodk6w

bezpieczerlstwa fizycznego w ramach

post~powania

bezpieczenstwa

przemyslowego....... „.„.„ ... „„.„.......„„

.....................„..........

„..

„...„„.. „„........

„„..... 187

Post~powanie

odwofawcze

skargowe

zwictzane z

wdroieniem

zabezpieczen

w systemach teleinformatycznych i

srodk6w

bezpieczenstwa fizycznego

„„„

„.„ ..

„„...„

.••

„..„188

Podsumowanie .„„

..„„...

„„„ ....

„„....• „ ..

„„

... „

......

„„....„.„„.. „ ••.. „..„

•.......

„.„

.........

„•.„ ... „„

„.„ ..

191

Bibliografia„.„

•... „.„„ .......

„„..

„

..•.•..

„„.........•„.„..

„ .... „.....•.. „.„„.„.„

„.„ ...

„„„ ...„ .. „„„„„.„

.. „.„193

Wykaz akt6w prawnych

dokument6w

urz~dowych

..„.„.„.„„ ... „„.„ •.„„.„ .. „

..„„„.„.„

••..

„„„.....

„„ 198

ZAt,j\CZNIKI .„ .•

„.„

..••.•••„

..•••••••„

•..•

„

•.•„

••.••.•..•••

„

••••.••..••.

„.„•••••

„.„„„.„„

•••••

„

••••• „.„ ••••••.•.••

201

Skorowidz

...

„.„.„.„ ..

„„

.........

„ ..... „..... „

................

„.„

.... „.„„„

....

„„.„„

..„..

„„....

„„

......

„„.........

„.. 241

-----

-- - - - - -

- - ---

- - -

-------

--·-

---

- --

Wykaz skr6t6w

Akty

prawne

Konstytucja

- Konstytucja Rzeczypospolitej Polskiej z

dnia

2 kwietnia

1997

(DzU nr

78,

poz. 483 ze

zm.

)

rozporz<tdzenie w

sprawie

udzielania informacji

poniocy

rozporzqdzenie Pre-

zesa Rady Ministr6w z dnia 28 grudnia

2010

r. w

sprawie przekazywania

informacji, udost<(pniania dokument6w oraz

udzielania pomocy

sluibom

instytucjom

uprawnionym

do prowadzenia poszerzonych post<(powan

sprawdzajqcych,

kontrolnych poSt<(pOwan

sprawdzajqcych

oraz

post<(powan

bezpieczenstwa przemyslowego (DzU nr 258, poz. 1750)

rozporz<tdzenie

w sprawie bezpieczeiistwa fizycznego/rbFIZ - rozporzqdze-

nie

Rady Ministr6w z dnia

maja

2012

r. w sprawie srodk6w bezpie-

czenstwa fizycznego

stosowanych

zabezpieczania

informacji

niejawnych

(DzU z 2012

r.,

poz. 683)

rozporz<tdzenie

sprawie

bezpieczenstwa TI/rbTI

rozporzqdzenie Prezesa

Rady Ministr6w z dnia 20

lipca 2011 r.

sprawie

podstawowych wymagan

bezpieczenstwa

teleinformatycznego (DzU nr 159, poz. 948)

rozporz<tdzenie

w sprawie kancelarii

rozpomidzenic

Rady Ministr6w

z dnia 7 grudnia 2011 r. w

sprawie

organizacji i

funkcjonowania

kancelarii taj-

nych oraz

sposobu

i trybu przetwarzania informacji niejawnych (DzU nr 276,

poz.

1631)

rozporz<tdzenie w

sprawie

oznaczania material6w

rozporzqdzenie

Prezesa

Rady Ministr6w

z dnia 22 grudnia 2011 r. w sprawie

sposobu

oznaczania

material6w i umieszczania na nich

klauzul tajnosci

(DzU nr

288, poz.

1692)

rozporz<tdzenie w

sprawie

przewoienia

i ochrony

rozporzqdzenie

Prezesa

Rady Ministr6w

z dnia 7 grudnia 2011 r.

sprawie

nadawania, przyjmowa-

nia, przewozenia, wydawania

ochrony

material6w

zawierajqcych informa-

cje niejawne

(DzU

nr 271, poz. 1603)

udip

ustawa

dnia

6 wrzefoia

2001

r. o

dost<(pie do informacji publicznych

(DzU nr 112,

poz.

1198

zm.)

uinf

- ustawa z

dnia

Jutego

2005

informatyzacji dzialalno5ci

podmiot6w

realizujqcych zadania

publiczne (DzU

64, poz. 565

zm.)

uoin/ustawa

ustawa z dnia 5

sierpnia

2010 r. o ochronie informacji niejawnych

(DzU

nr 182,

poz. 1228

ze zm.)

Inne

ABW

Agencja Bezpiecze6.stwa

Wewn<(trznego

-Agencja

Wywiadu

BCM

Business Continuity Management

- zarz<tdzanie ciqglosci'!

dzialania

BIA

Business Impact Analysis

- analiza skutk6w przerwania

kluczowych pro-

ces6w biznesowych

CBA -

Centralne Biuro

Antykorupcyjne

NATO

North Atlantic

Treaty Organization

Organizacja Paktu P6lnocno-

atlantyckiego

NBP - Narodowy Bank

Polski

NSA

- Naczelny

Sqd

Administracyjny

SKW

- Sluiba Kontrwywiadu

Wojskowego

TK/Trybunal

Trybunal

Konstytucyjny

WSA

Wojew6dzki

Sqd

Administracyjny

„,

Wst~p

Mimo zachodzqcych

caly

czas

proces6w demokratyzacji

i:ycia,

kt6re

wiqi:q

sii;

przede

wszystkim

dqi:eniem do zapewnienia peinej transparentnosci funkcjo-

nowania panstwa, aparatu panstwowego

oraz

dzialajqcych w jego

imieniu

funk-

cjonariuszy

publicznych, musi istniec pewna

sfera informacji

lqczqca

sii; z sze-

roko

rozumianq ochronq bezpieczenstwa

publicznego,

kt6rej

cech'l

szczeg6ln'l

jest to, i:e

pozostaje ona dosti;pna wylqcznie dla W'lskiego

kri;gu

uprawnionych

os6b. Strefi; ti; moina

nazwac

niejawnym

obszarem

informacyjnym. Obejmuje

ona te informacje,

kt6re

w przypadku

ich

ujawnienia

- ze wzgli;du

na znacze-

nie

mog!yby doprowadzic do powstania

szeregu negatywnych

konsekwencji

dla

panstwa, spo!eczenstwa i jednostki (ochrony jej

wolnosci i

praw,

taki:e

i:ycia,

zdrowia,

mienia itd.).

Prawo dosti;pu do informacji

oraz

wolnosci pozyskiwania i rozpowszechnia-

nia informacji

S<l

zagwarantowane

w Konstytucji. Powolywanie

sii; zatem

jedynie

na racjonalne

argumenry

w celu ograniczenia tych

praw

nie jest wystarczajqce

demokratycznym panstwie

prawa.

Konieczne

jest

przyji;cie w

odpowiedniej

procedurze

prawodawczej

w!a5ciwych rozwiqzan ustawowych,

kt6re

wraz

z wy-

danymi

ich

podsrawie

aktami wykonawczymi stworzq czytelny system

okre-

slajqcy zasady

procedury

utajniania

informacji.

System

taki

- ze

wzgl((du na

cel

jego

organizacji oraz

zadania, kt6re ma

spelnic

odznacza sitt pewnq specyfikq.

jego element6w skladowych nalei:q

tryb klasy-

fikowania

oraz

zasady

organizacji

ochrony

i przetwarzania informacji niejawnej.

Obejmuje on taki:e

zasady

prowadzenia posti;powan

sprawdzajqcych, czy dana

osoba

daje

ri;kojmitt zachowania tajemnicy lub czy

przedsii;biorca

zapewnia wa-

runki

do ochrony informacji. Ponadtci

system

taki

opiera sitt na

legalnie

zde-

finiowanych i wdroi:onych

mechanizmach (srodkach)

w obszarze zabezpieczen

fizycznych

teleinformarycznych. Posiada

taki:e normy

konkreryzujqce

procedury

i organizacitt

kontroli

stanu

tego

zabezpieczenia. Zgodnie z rym wlafoie modelem

zosta!

uksztaltowany

system

gruncie postanowien

ustawy o

ochronie

informa-

cji

niejawnych

1 •

We wsp6kzesnym panstwie wykorzystywanie

nowoczesnych

rozwiqzan praw-

nych

uwzgli;dniajqcych aktualne

zdobycze

technologii jest oczywiste. Nie

dziwi

wii;c, ze

ustawodawca, dostrzegajqc

zachodzqce

zmiany i zdajqc sobie

sprawi;

z moi:liwosci

praktycznego

zastosowania

r6i:nego

rodzaju

innowacyjnych

roz-

wiqzan,

stara

sii; je odpowiednio wkomponowac w obowiqzujqcy system prawny.

Naleiy

zgodzic

si~

tez~,

katalog

zasad, kt6ry zostal

uksztaltowany

w uoin, ma charakter

zob.

Stankowska,

Ustawa

ochronie informacii niejawnych. Komentarz,

Warszawa

2011,

18.

zamkni~ty

Plik z chomika:

pedagog107

Radziszewski T. - Bezpieczeństwo fizyczne i teleinformatyczne informacji niejawnych.pdf

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: