Środki bezpieczeństwa fizycznego w ochronie informacji niejawnych (cz. 3)

laedW ramach podsumowania cyklu artykułów chcemy, odnosząc się do ostatnich kroków postępowania – kwintesencji uproszczonego algorytmu przedstawionego w części pierwszej – nie tylko pokazać problemy i pułapki spowodowane bezrefleksyjną oceną bazującą na tabelaryzowaniu zagrożeń (z pominięciem korelacji stosowanych rozwiązań ochronnych – organizacyjnych, fizycznych, technicznych), ale przede wszystkim odnieść się do praktyki, czyli przewidywanych postaci planu działań na rzecz fizycznego zabezpieczenia informacji niejawnych – praktycznie dostosowanego do potrzeb i związanego z akceptowalnymi kosztami.

1. Zasady doboru środków bezpieczeństwa fizycznego

W ramach algorytmu postępowania przedstawionego w pierwszej części artykułu, po przeprowadzonej analizie zasobów, zagrożeń oraz sposobów i obszarów przetwarzania informacji niejawnych (część druga) dochodzimy obecnie do kwestii doboru skutecznych środków bezpieczeństwa fizycznego, czyli próby określenia, gdzie, czym i jak mamy chronić informacje niejawne, aby – spełniając wymogi rozporządzenia1 – zachować umiar i rozsądek.

Gdzie?

Informacje niejawne chronimy w nakazanych rozporządzeniem strefach ochronnych na terenie własnej jednostki organizacyjnej, czyli na obszarze będącym aktualnie do naszej dyspozycji i pod naszym zarządem (nie musi to być własność fizyczna, wystarczy najem i uprawnienie do użytkowania), umożliwiającym nam swobodny dobór i zastosowanie zalecanych (wskazanych lub wymaganych) środków ochrony fizycznej i technicznej oraz działania personelu bezpieczeństwa.

Czym?

Informacje niejawne chronimy barierami fizycznymi oraz technicznymi (nadzorowanymi przez uprawniony i przeszkolony personel) przede wszystkim przed nieuprawnionym dostępem, ale także przed zaborem oraz zniszczeniem (celowym lub przypadkowym). Bariery fizyczne mają charakter środków ochrony bezpośredniej (trezor, pomieszczenie wzmocnione, sejf lub szafa na dokumenty) lub pośredniej (ściany, stropy, drzwi, okna, ogrodzenia, bramy). Bariery techniczne mają charakter pomocniczy – wspierają realizację procedur bezpieczeństwa (system kontroli dostępu, system sygnalizacji włamania i napadu, system dozoru wizyjnego) lub stanowią części detekcyjno-informacyjne organizacyjnych rozwiązań systemowych służących do nadzoru (np. SMA – stanowisko monitorowania alarmów; LCN – lokalne centrum nadzorcze lub ACO – alarmowe centrum odbiorcze).

Jak?

Informacje niejawne możemy skutecznie chronić, przede wszystkim nie dopuszczając do zaistnienia incydentów zagrażających ich atrybutom bezpieczeństwa (poufność, integralność, dostępność) oraz ograniczając do minimum wszelkie niekorzystne skutki zdarzeń przypadkowych (niezależnie od ich źródeł). Za podstawowe należy uznać przemyślane rozwiązania organizacyjne mające na celu bezpieczeństwo informacji niejawnych w jednostce organizacyjnej widzianej jako całość, z jej rdzeniem (informacjami niejawnymi wymagającymi szczególnej ochrony), wykorzystujące wszystkie dostępne środki fizycznej ochrony.
Z naszej praktyki (w zakresie doboru i oceny środków fizycznej ochrony informacji niejawnych wynika, że na ogół, dla osób planujących ten dobór nie ma najmniejszego znaczenia faktyczna ochrona takich informacji. Zazwyczaj próbuje się tylko spełnić wymagania kontrolujących służb (ABW/SKW)2, aby dana jednostka organizacyjna otrzymała potrzebne uprawnienia (na danym poziomie zdolności do ochrony informacji niejawnych).

1.1. Zasada generalna – najsłabsze ogniwo

Dobierając poszczególne środki bezpieczeństwa fizycznego, musimy pamiętać, że o wyniku decyduje element o najniższej odporności. Pułapką może być w tym przypadku element, który nie został wzięty pod uwagę w zapisie tabelarycznym przywołanym w rozporządzeniu – np. dostępne z zewnątrz kanały wentylacji grawitacyjnej umożliwiające intruzowi podgląd lub podsłuch pomieszczenia, przechodzące przez to pomieszczenie przewody instalacji wodociągowej, cieplnej lub energetycznej umożliwiające przesłuchy akustyczne czy też podsłuch sygnałów szkodliwej, ujawniającej emisji elektromagnetycznej itp.

1.2. Fałszywe alarmy – korelacja sprzętowa

W przypadku SKD, SSWiN, CCTV, systemów ppoż. i automatyki budynkowej coraz bardziej popularne stają się rozwiązania oparte na wykorzystaniu magistral TCP/IP, dlatego pojawia się problem kompatybilności elektromagnetycznej EMC (electromagnetic compatibility) i wzajemnego zakłócania się sygnałów i transmisji danych. Wymagania normy europejskiej EN 50130-4 rozstrzygają kwestię odporności czujek alarmowych (w zakresie 80 MHz–2,7 GHz) na wszelkiego rodzaju sygnały zewnętrzne  (np. pochodzące z Wi-Fi i telefonów komórkowych wykorzystujących pasma wysokich częstotliwości), ale pozostaje do rozpatrzenia już istniejący układ połączeń kablowych i radiowych w samym obiekcie Wielokrotnie spotykaliśmy się z tym, że nowi wykonawcy nie uwzględniali zajętości lokalnego spektrum EMF (już wykorzystywanych pasm częstotliwości), rozbudowując system ochrony technicznej lub dobudowując kolejny – stąd fałszywe alarmy, konieczność obniżania poziomów sygnałów lub przekładania tras łączy alarmowych.

1.3. Współpraca w ochronie – korelacja systemowa

Wielość systemów technicznego wsparcia ochrony i bezpieczeństwa może znacznie podwyższyć ogólny poziom bezpieczeństwa. Mówimy tu o iloczynie poszczególnych potencjałów ochronnych, a nie tylko ich prostym sumowaniu. Warunkiem jest umieszczenie wszystkich urządzeń monitorujących we wspólnym pomieszczeniu LCN (lokalnym centrum nadzoru) i bezpośrednia współpraca operatorska (przykładowo – wykorzystanie kamery CCTV do podglądu pomieszczenia i ustalenia przyczyny alarmu czujki pożarowej pozwoliło, w tym konkretnym przypadku, zlokalizować źródło dymu – tlący się kosz, szybko zareagować oraz uniknąć ewakuacji kilkupiętrowego biurowca). Niezbędne szkolenia personelu LCN/SMA oraz przemyślane scenariusze działań ochronnych i kryzysowych wyraźnie podwyższają poziom ochrony obiektu.
Długoletnia praktyka audytorska autorów jednoznacznie wskazuje na to, że systemy zabezpieczeń działają coraz gorzej w miarę upływu czasu. Można powiedzieć, że system zabezpieczeń działa poprawnie w początkowej fazie (planowanie-projektowanie-uruchomienie). Następnie przychodzi czas przygotowania do audytu, czyli okres, w którym system jest nadmiernie kontrolowany i sprawdzany (wiele osób chce się po prostu wykazać). Na końcu nastaje okres normalnego użytkowania. W większości przypadków po roku od momentu wdrożenia system nie działa prawidłowo. Jeżeli system już na początku nie spełniał wszystkich swoich zadań, to po pewnym czasie może być zupełnie nieskuteczny. Nie mówimy o jego sprawności technicznej, która jest uwarunkowana sprawnością poszczególnych elementów składowych, ale właśnie o skuteczności i utrzymaniu odpowiedniej funkcjonalności ochronnej (zależnej od tego, czy był wykorzystywany poprawnie od początku eksploatacji).

2. Tabelaryzacja rozwiązań ochronnych – pułapy i pułapki

Przedstawiona w drugiej części załącznika do rozporządzenia RM tabela punktowa podstawowych wymagań dotyczących bezpieczeństwa fizycznego w sposób enumeratywny określa obowiązkowe i dodatkowe kategorie ochrony, adekwatnie (zdaniem jej autorów) do wskazanego poziomu zagrożeń.

Wskazanie cząstkowych środków bezpieczeństwa należących do różnych kategorii oraz odwoływanie się do norm czy też wymagań normatywnych wydaje się zrozumiałe, ale jest tylko mocno uproszczonym trybem postępowania, a mianowicie jedynie obliczaniem wpływu wskazanych i użytych środków bezpieczeństwa fizycznego danej kategorii ochronnej na podstawie opisu zawartego w załącznikach. Obowiązuje wskazany w tabeli (cz. II) wymagany przez ustawodawcę poziom zagrożeń (niski, średni, wysoki) – adekwatnie do połączonych obowiązkowych kategorii (patrz – suma K1+K2+K3 oraz K4+K5) w przypadku najwyższej klauzuli tajności informacji przetwarzanych w jednostce organizacyjnej.

Pułapy wymagań są zatem oczywiste, a gdzie są pułapki? Tkwią one w niepozornych indeksach podtabelowych, które wyraźnie wpływają na określenie kategorii w stosunku do różnych klauzul.

Przypomnijmy zatem znaczenie poszczególnych kategorii, wprowadzonych w rozporządzeniu jako obowiązkowe do stosowania:

  1. K1 – szafy do przechowywania informacji niejawnych.
    Techniczne zabezpieczenia/środki należące do tej kategorii to odpowiednia konstrukcja samych szaf oraz zamontowanych w nich zamków.
  2. K2 – pomieszczenia.
    Do kategorii tej należą pomieszczenia, w których informacje niejawne przechowywane są w szafach opisanych w kategorii K1, i nie dotyczy to pomieszczeń wzmocnionych, o których mowa w § 5 ust. 3 rozporządzenia3.
    O zaklasyfikowaniu pomieszczenia do danego typu kategorii decyduje jego najsłabszy element (np. ściana, podłoga, strop, drzwi, okna) oraz zamek do drzwi pomieszczenia.
  3. K3 – budynki.
    O zaklasyfikowaniu budynku do danej kategorii środka bezpieczeństwa w związku z poziomem jego technicznego zabezpieczenia decyduje jego najsłabszy element zewnętrzny.
  4. K4 – kontrola dostępu, w tym (jako środki zabezpieczenia techniczne) elektroniczny, automatyczny system kontroli dostępu pracowników oraz system organizacyjny do kontroli i nadzoru nad interesantami.
  5. K5 – personel bezpieczeństwa i systemy sygnalizacji włamania i napadu, w tym personel własny i zewnętrzny (outsourcing usług) oraz system SSWiN spełniający określone wymagania normatywne.

    Ponadto ustawodawca wprowadza kategorię uzupełniającą do obowiązkowych:

  6. K6 – granice – ogrodzenie obiektu, wraz z systemami do dozoru nad nim (kontrolowane punkty wejścia/wyjścia, nadzorowanie naruszenia stanu ogrodzenia), oświetlenie i dozór wizyjny.

K1–K5 to kategorie główne, a K6 to kategoria dodatkowa.

2.1. Wymagania związane z klauzulą „ściśle tajne”

Dla obowiązkowej sumy ocen kategorii K1+K2+K3 dopuszcza się fakt (indeksacja „*”), że tylko jedna z wartości może być równa 0 (zero punktów), ale co to oznacza? Oto nasza interpretacja:

  • K1=0 – nie ma szaf i sejfów, za to mamy wzmocnione pomieszczenie (K2) lub wręcz trezor bankowy4 w solidnym budynku (K3);
  • K2=0 – nie ma pomieszczenia, natomiast odpowiednie sejfy lub szafy (K1) są ulokowane we wzmocnionym budynku lub bunkrze (K3);
  • K3=0 – nie ma budynku, informacje są przechowywane w odpowiednich sejfach lub szafach (K1) ulokowanych we wzmocnionym ruchomym pomieszczeniu (K2) lub kontenerze, dodatkowo nadzorowanym i zabezpieczonym w przypadku jego polowego wykorzystywania; ewentualnie samo pomieszczenie (K2) jest częścią ruchomej jednostki wojska (okręt, pociąg pancerny, latające SD itp.).

    Dla obowiązkowej sumy ocen kategorii K4+K5 indeksacja „**” „wymaga”, żeby żadna z wartości nie była mniejsza niż 2 (dwa punkty), co oznacza że:

  • K4≥2, czyli praktycznie jest to (K4=K4S1+K4S2 – patrz załącznik II do rozporządzenia) funkcjonowanie systemu kontroli dostępu nadzorowanego przez personel bezpieczeństwa (K4S1=2 punkty dla typu 2) oraz możliwość pominięcia kwestii systemu identyfikacji własnych pracowników i interesantów z zewnątrz (K4S2=0, co jest logicznym absurdem);
  • K5≥2, czyli minimum to system ochronny, realizujący nadzorowanie patrolowania obszaru chronionego (przez pracowników z zewnątrz lub personel własny).

Pułapki bezpośrednio przyjętej tabelaryzacji i wprowadzonej punktacji są tu oczywiste – decyduje bowiem szczegółowe określenie potencjalnych zagrożeń, dokładna analiza ryzyka i wskazanie wszystkich dodatkowych środków bezpieczeństwa fizycznego, bo te podstawowe (wykazane już w poszczególnych kategoriach) mogą okazać się niewystarczające nawet dla przyjętego wcześniej niskiego poziomu zagrożeń (20 punktów).

2.2. Wymagania związane z klauzulą „tajne”

Wymagana minimalna suma punktów dla kategorii K1+K2+K3 wymusza odpowiednie składowe środki bezpieczeństwa dla wskazanych kategorii (szafy, pomieszczenia, budynki), a ponadto indeksacja „***” dla obowiązkowych kategorii K4+K5 wyklucza możliwość przyjmowania wartości 0 (zero punktów) przez dowolną z kategorii składających się na tę sumę, co oznacza że:

  • K4=2, jeżeli K4=K4S1+K4S2, czyli teoretycznie oznacza to istnienie i poprawne funkcjonowanie systemu kontroli dostępu nadzorowanego przez personel zajmujący się bezpieczeństwem (K4S1=2, bo K4S1=1 jest dopuszczone tylko w przypadku klauzuli „poufne”) oraz możliwość braku systemu przepustowego (K4S2=0), co w rzeczywistości jest absurdem, skoro nie jest wymagana identyfikacja własnego personelu (zatem w oparciu o co funkcjonuje system kontroli dostępu – K4S1?);
  • K5=1, jeżeli K5=K5S1+K5S2, czyli teoretycznie oznacza to istnienie i poprawne funkcjonowanie (K5S1=1 punkt w przypadku środka typu 1 działalności osób – strażników pracujących sporadycznie jako personel zajmujący się bezpieczeństwem lub poprawnie funkcjonującego systemu SA3 (K5S2=1 punkt w przypadku środka typu 1).

Pułapką jest – w tym przykładzie – konieczność przekonania typowego „oszczędnego KJO” (czytaj: skąpego i nie rozumiejącego istoty fizycznej ochrony informacji niejawnych kierownika jednostki organizacyjnej) przez pełnomocnika do spraw ochrony informacji niejawnych, że myślenie „punktowo-tabelowe” przyczynia się do stwarzania dodatkowych zagrożeń. Zwłaszcza wówczas, gdy decyduje on, że minimum 16 punktów dla poziomu niskiego przy klauzuli „tajne” uzyska dzięki dodatkowemu wzmocnieniu ogrodzenia i punktów dostępu, poprawieniu oświetlenia i skorzystaniu z usług dozoru wizyjnego najtańszej firmy zewnętrznej (K6≥5 pkt), która deleguje strażników nieuprawnionych do wstępu na teren obiektu.

2.3. Wymagania w przypadku klauzuli „poufne”

Podobnie jak w przypadkach wyższych klauzul są tu określone kategorie wymagane (K1–K5) i dodatkowa (K6), ale trzeba zwrócić uwagę na możliwość obniżenia do wartości jednego punktu ocen poszczególnych środków bezpieczeństwa w kategoriach K1–K2 (wartość punktowa kategorii jest iloczynem ocen czynników składowych) oraz pominięcia poszczególnych środków bezpieczeństwa kategorii K4–K5 (wartość punktowa kategorii jest sumą ocen czynników składowych), co przy stosunkowo niskich oczekiwaniach adekwatnie do poziomu zagrożenia – niskiego albo średniego, albo wysokiego – wartość wymagana to 11 albo 14, albo 16 punktów) widoczny jest związek z uproszczonym sposobem oceniania i brakiem wnikliwej analizy rzeczywistego potencjału posiadanych środków bezpieczeństwa.

Przykładową pułapką może być punktowa ocena drzwi jako środka bezpieczeństwa technicznego fizycznej ochrony. Dlaczego? Ponieważ drzwi do pomieszczenia wzmocnionego, objętego kontrolą dostępu, powinny zapewniać wzmocnione blokowanie w obu osiach (x i y) poprzez opory przyzawiasowe i mieć wzmocnione rygle zamka głównego połączone z blokadą prętową „góra-dół” zabezpieczoną dodatkowo zamkiem szyfrowym. W przypadku drzwi do pomieszczenia kancelarii tajnej wejście w godzinach pracy powinno być w układzie śluzy kontrolnej (możliwość obsługi przez zworę i wideodomofon), a po godzinach – objęte systemem kontroli dostępu i zabezpieczone mechanicznie. W przypadku doboru drzwi do pomieszczenia, w którym przechowuje się materiały niejawne, powinno się brać pod uwagę najwyższy wskazany stopień niejawności (klauzula) i ilość tych materiałów. Także w przypadku drzwi do erygowanego na podstawie odrębnych przepisów5 archiwum niejawnego odgrywa rolę najwyższy stopień niejawności i ilość archiwizowanych informacji, a także sposób ich przygotowania i przechowywania.

Należy podkreślić, że cały czas odnosimy się do wymagań narzuconych w przypadku klauzuli „poufne” lub równoważnych wobec niej klauzul sojuszniczych lub układowych6, zatem wszystkie te kwestie mogą być kłopotliwe i mieć różne implikacje w przypadku zbytniego uproszczenia oceny. Jako rzeczoznawcy i praktycy zachęcamy do zapoznania się nie tylko z normami cywilnymi z tego zakresu, ale także z normami obronnymi7 oraz podpisanymi przez RP porozumieniami z NATO (np. z Umową między Stronami Traktatu Północnoatlantyckiego o ochronie informacji8, AD 70-1. Dyrektywa bezpieczeństwa ACE).

rys1

Rys. 1. Współzależności systemowe budowy projektu planu bezpieczeństwa informacji

2.4. Wymagania w przypadku klauzuli „zastrzeżone”

Kategoriami wymaganymi są K1–K3. Pozostałe (K4–K6) są traktowane jako dodatkowe, ale nie wolno zapominać o tym, że ustawodawca w treści §9 rozporządzenia narzuca kierownikowi jednostki organizacyjnej nie tylko obowiązek zatwierdzenia planu ochrony, ale także obowiązek odniesienia się w nim do wskazanych rozwiązań organizacyjnych i technicznych (na pułapie minimalnym), co wymusza ich stosowanie w stopniu i trybie podstawowym9. Rozproszenie miejsc, w których przechowywane są dokumenty z klauzulą „zastrzeżone”, w związku z brakiem obowiązku posiadania kancelarii tajnej zagraża bezpieczeństwu tych dokumentów.

Według nas wprowadzenie obowiązkowej tabelaryzacji i dodatkowych kategorii ochrony jest skuteczne, ale bardzo trudne do praktycznej realizacji. Skąd pełnomocnik do spraw ochrony ma wiedzieć, że wybrane czy posiadane zabezpieczenia spełniają wymogi określone w stosownej tabeli? Ustawodawca nie określił, czy ocena jest w tym przypadku arbitralna i należy do pełnomocnika do spraw ochrony, czy jednak będzie podlegała jakiejś weryfikacji dodatkowej, np. dokonywanej przez audytorów ABW. W praktyce dobór zabezpieczeń fizycznych jest weryfikowany i oceniany każdorazowo podczas audytu systemu ochrony informacji niejawnych jednostki organizacyjnej. Każde wybrane zabezpieczenie jest weryfikowane oraz oceniane przez audytorów zewnętrznych.

W tym miejscu nasuwa się jeszcze jedna wątpliwość. W jaki sposób i z wykorzystaniem jakiego narzędzia kierownik jednostki organizacyjnej, który decyduje o zastosowaniu fizycznych zabezpieczeń i przeznacza na nie odpowiednie środki finansowe, ma sprawdzić, czy zostały one prawidłowo dobrane? To trudne pytanie, które pozostawiamy bez odpowiedzi.

Pułapką jest w tym przypadku konieczność umiejętnego (akceptowalnego dla ABW/SKW) wytłumaczenia się przez KJO z przyjętych założeń, pominiętych zabezpieczeń i wprowadzonych ograniczeń organizacyjno-użytkowych, zapisanych w zatwierdzonym planie.

3. Plan ochrony informacji niejawnych

Zgodnie z §9 rozporządzenia wszystkie działania na rzecz zabezpieczenia (nie tylko fizycznego) informacji mają być przewidziane w zatwierdzonym przez KJO planie ochrony informacji niejawnych.

3.1. Systemowe podejście do projektu planu ochrony informacji

Rysunek 1 jest graficznym odwzorowaniem systemowego podejścia do problemu bezpieczeństwa informacji. Czynniki wpływające na bezpieczeństwo informacji w konstrukcji tego planu są następujące:

- w obszarze dalszego otoczenia systemowego dla planowanych działań istnieje:

  • znajomość istniejącego stanu rzeczy oraz przydatnych, już sprawdzonych nowych rozwiązań teoretycznych (eksperymenty naukowe),
  • znajomość zastosowanych rozwiązań standardowych,
  • obowiązujące przepisy prawa i zobowiązania wspólne (sojusznicze, układowe, kontraktowe),
  • status organizacyjny i prawny jednostki organizacyjnej,
  • wyniki analizy zagrożeń oraz zebrane oceny potencjalnego ryzyka i rzeczywistego stanu bezpieczeństwa jednostki organizacyjnej,

- w obszarze bliższego otoczenia systemowego dla planowanych działań:

  • założone cele końcowe,
  • znajomość „dobrych praktyk” normatywnych/branżowych,
  • zdolność i gotowość personelu jednostki organizacyjnej do zastosowania niezbędnych środków bezpieczeństwa oraz ich zabezpieczenie logistyczne,
  • zgromadzone siły (fachowy personel) i środki (technika, systemy, finanse).

Warunki zabezpieczenia posiadanych i przetwarzanych zasobów informacji niejawnych na wymaganym poziomie są podane w tabeli w cz. II załącznika rozporządzenia Rady Ministrów (Dz. U. z 2012 r, poz. 683).

Sugerujemy zapoznanie się z Kodeksem zarządzania bezpieczeństwem informacji bazującym na brytyjskiej normie BS 7799-1:1997 i dostępnym obecnie jako polska norma PN – ISO/IEC 17799:2007, która jest polskim tłumaczeniem normy ISO/IEC 17799:2005 (ed. 2), tożsamym z obowiązującym międzynarodowym wydaniem normy ISO/IEC 27002:2005. Niektóre z zawartych w tym kodeksie/tej normie zaleceń zostały przeniesione do omawianego załącznika rozporządzenia jako wymogi, niestety bez podania materiałów źródłowych.

3.2. Ustawowe podejście do planu ochrony informacji

Opublikowane w Dzienniku Ustaw RP z 19 czerwca 2012 roku pod poz. 683 rozporządzenie Rady Ministrów z dnia 29 maja 2012 r ma moc prawną obowiązku ustawowego w zakresie i czasie podanym w jego treści. Świadomość tego faktu powinny mieć wszystkie osoby pełniące funkcję kierownika jednostki organizacyjnej (KJO) – odpowiedzialnego za ochronę informacji niejawnych (zorganizowanie jej i zapewnienie jej funkcjonowania) w posiadanych/przetwarzanych/archiwizowanych zasobach informacyjnych. Jest to zgodne z wymogiem przedstawionym w art.14 ust. 1 ustawy o ochronie informacji niejawnych. Przypominamy, że pełnomocnik ds. ochrony informacji niejawnych odpowiada za przestrzeganie przepisów i procedur (wymóg art. 14 ust. 2 ustawy) w ramach uprawnień przyznanych mu przez KJO.

Aby uniknąć wszelkich nieporozumień przytaczamy odpowiedni fragment tekstu:
§ 9. 1. Kierownik jednostki organizacyjnej zatwierdza plan ochrony informacji niejawnych, który zawiera:

  1. opis stref ochronnych, pomieszczeń lub obszarów, o których mowa w § 7 ust. 4, w tym określenie ich granic i wprowadzonego systemu kontroli dostępu;
  2. procedury zarządzania uprawnieniami do wejścia, wyjścia i przebywania w strefach ochronnych;
  3. opis zastosowanych środków bezpieczeństwa fizycznego uwzględniający certyfikaty, o których mowa w art. 46 pkt 4 ustawy, oraz poświadczenia, o których mowa w § 4 ust. 6;
  4. procedury bezpieczeństwa dla strefy ochronnej I, strefy ochronnej II oraz specjalnej strefy ochronnej, określające w szczególności:
    • klauzule tajności informacji niejawnych przetwarzanych w strefie,
    • sposób sprawowania nadzoru przez osoby uprawnione w przypadku przebywania w strefie osób nieposiadających stałego upoważnienia do wstępu oraz sposób zabezpieczania przetwarzanych informacji niejawnych przed możliwością nieuprawnionego dostępu tych osób,
    • w przypadku specjalnej strefy ochronnej, sposób akceptacji umieszczania linii komunikacyjnych, telefonów, innych urządzeń komunikacyjnych, sprzętu elektrycznego lub elektronicznego, znajdujących się w strefie;
  5. procedury zarządzania kluczami i kodami dostępu do szaf, pomieszczeń lub obszarów, w których są przetwarzane informacje niejawne;
  6. procedury reagowania osób odpowiedzialnych za ochronę informacji niejawnych oraz personelu bezpieczeństwa w przypadku zagrożenia utratą lub ujawnieniem informacji niejawnych;
  7. plany awaryjne uwzględniające potrzebę ochrony informacji niejawnych w razie wystąpienia sytuacji szczególnych, w tym wprowadzenia stanów nadzwyczajnych, w celu zapobieżenia utracie poufności, integralności lub dostępności informacji niejawnych.

2. W przypadkach uzasadnionych organizacją ochrony informacji niejawnych plan, o którym mowa w ust. 1, może zawierać dodatkowe elementy.

Jak wynika z cytowanej treści, jest tu dużo więcej kwestii niż w załączniku do rozporządzenia. Znacznie dokładniej opisana jest organizacja (plany awaryjne, scenariusze sytuacji kryzysowych, stany nadzwyczajne), o czym wspominaliśmy już w poprzednim artykule.

4. Podsumowanie

rys2

Rys. 2. Zintegrowane zarządzanie bezpieczeństwem (mat. szkoleniowe ENSI, 2004 r.)

Poruszając w cyklu artykułów kwestie bezpieczeństwa informacji w sposób dogłębny (analiza ryzyka w części drugiej), ale zarazem nieco przewrotny (pułapy i pułapki), chcemy przede wszystkim zwrócić uwagę na indywidualność każdej jednostki organizacyjnej, w której konieczna jest ochrona informacji. Wszystko jest inne – lokalizacja, personel, rozwiązania organizacyjne, oddziaływania otoczenia.

Tak naprawdę to sami decydenci (KJO) w danej jednostce organizacyjnej muszą zdecydować, czy należy wprowadzić zmiany, a jeśli tak, to jakie i kiedy należy to uczynić aby zapewnić odpowiedni poziom ochrony wszystkich (nie tylko niejawnych) zasobów informacyjnych. Przed podjęciem decyzji należy zapoznać się z obowiązującymi dokumentami ustawowymi oraz zalecanymi normami, ale także skorzystać z istniejących rozwiązań open source opracowanych w polskim European Network Security Institute (www.ensi.net), dostępnych na zasadach licencji GNU. Opracowane i wdrożone w ramach zintegrowanego zarządzania bezpieczeństwem TSM (Total Security Management) poszczególne metodyki (TISM i TSM-BCP) są wysoce użytecznymi i wielokrotnie sprawdzonymi w polskim środowisku biznesowym narzędziami doskonalącymi zarządzanie bezpieczeństwem.

Omawiane w naszym cyklu rozporządzenie11 nakazuje oraz wymaga, a rozsądek i możliwości osobowo-finansowe (różne dla każdej jednostki organizacyjnej) podpowiadają, konieczność przeprowadzenia dokładnej analizy planowanych działań, gdyż ta formalna, punktowo-tabelowa może nie wystarczyć. Wszyscy decydenci (KJO) i pełnomocnicy do spraw ochrony powinni wziąć to pod uwagę.

Każdy pełnomocnik do spraw ochrony, a tym bardziej każdy kierownik przedsiębiorstwa (KJO) powinien dobrze przemyśleć zastosowanie danego zabezpieczenia, gdyż – po pierwsze – kosztuje, po drugie – może być nieskuteczne, po trzecie – może nie zostać zaakceptowane przez audytorów zewnętrznych.

Artur Bogusz
Marek Blim

Zabezpieczenia 2/2013

Bibliografia

  1. Agencja Bezpieczeństwa Wewnętrznego (jako Krajowa Władza Bezpieczeństwa), Wytyczne w sprawie postępowania z informacjami niejawnymi międzynarodowymi, Warszawa, 31 grudnia 2010 r.
  2. Anzel M., Nowa ustawa i jej zmienione uwarunkowania, materiały szkoleniowe ZG OSPOIN, Warszawa 2010.
  3. Białas A., Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, Wydawnictwa Naukowo-Techniczne, Warszawa 2006.
  4. Blim M., Bezpieczeństwo obiektów. Poradnik techniczny, ZRTOM – TECHOM, Warszawa 2012.
  5. Decyzja Nr 362/MON z dnia 28 września 2011 r. w sprawie wprowadzenia do użytku „Wytycznych Ministra Obrony Narodowej w sprawie określenia zasad postępowania z materiałami zawierającymi informacje niejawne oznaczone klauzulą »poufne« i »zastrzeżone«”, Dz. Urz. MON z 2011 r., nr 20, poz. 302.
  6. PN-ISO/IEC 17799:2007 Technika informatyczna. Techniki bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji.
  7. ISO Guide 73:2009 Risk management – Vocabulary (Zarządzanie ryzykiem – Słownictwo, przekład nieautoryzowany przez PKN).
  8. Krawiec J., Stefaniak A., System Zarządzania Bezpieczeństwem Informacji w praktyce. Zasady wyboru zabezpieczeń, PKN, Warszawa 2012.
  9. Konieczny J., Wprowadzenie do bezpieczeństwa biznesu, Konsalnet S.A., Warszawa 2004.
  10. Materiały informacyjne z Forum oddziału wart cywilnych i pracowników wojska (www.owc.com.pl/forum).
  11. Ministerstwo Obrony Narodowej, Wytyczne w sprawie określenia zasad postępowania z materiałami zawierającymi informacje niejawne, zał. do Decyzji Nr 362/MON z dnia 28 września 2011 r.
  12. Norma Obronna NO-04-A004 Obiekty wojskowe. Systemy alarmowe, części 1–9,  ostatnia aktualizacja – Decyzja Nr 169/MON z dnia 10 maja 2010 r., Dz. Urz. MON z 2010 r., nr 10, poz. 110.
  13. Rozporządzenie Prezesa Rady Ministrów z dnia 27 kwietnia 2011 r. w sprawie przygotowania i przeprowadzania kontroli stanu zabezpieczenia informacji niejawnych, Dz. U. z 2011 r., nr 93, poz. 541.
  14. Rozporządzenie Rady Ministrów z dnia 29 maja 2012 r. w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczenia informacji niejawnych z załącznikami, Dz. U. z dnia 19 czerwca 2012 r., poz. 683.
  15. Rozporządzenie Ministra Obrony Narodowej z dnia 2 listopada 2011 r. w sprawie szczegółowych zadań pełnomocników ochrony w zakresie ochrony informacji niejawnych w jednostkach organizacyjnych podległych MON lub przez niego nadzorowanych, Dz. U. z 2011 r., nr 252, poz. 1519 z późn. zm.
  16. Stankowska I., Ustawa o ochronie informacji niejawnych. Komentarz, Wydawnictwo LexisNexis, Warszawa 2011.
  17. TSM (Total Security Management) – metodyka zintegrowanego zarządzania bezpieczeństwem organizacji, materiały szkoleniowe ENSI, Warszawa 2004–2010.
  18. Umowa między Stronami Traktatu Północnoatlantyckiego o ochronie informacji sporządzona w Brukseli dnia 6 marca 1997 r., Dz. U. z 2000 r., nr 64, poz. 740.
  19. Ustawa z dnia 22 sierpnia 1997 r. o ochronie osób i mienia, tekst jednolity,  Dz. U. z 2005 r., nr 145, poz. 1221 z późn. zm.
  20. Ustawa z dnia 5 sierpnia 2010 roku o ochronie informacji niejawnych, Dz. U. z 2010 r., nr 182, poz. 1228.

Przypisy:

  1. Rozporządzenie Rady Ministrów z dnia 29 maja 2012 r. w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczenia informacji niejawnych (Dz. U. z 19 czerwca 2012 r., poz. 683).
  2. „Rozporządzenie Prezesa Rady Ministrów z dnia 27 kwietnia 2011 r. w sprawie przygotowania i przeprowadzania kontroli stanu zabezpieczenia informacji niejawnych” (Dz. U. z 2011 r., nr 93, poz. 541).
  3. §5 ust. 3 cytowanego rozporządzenia dopuszcza przechowywanie dokumentów niejawnych jako bezpośrednio dostępnych – poza szafami i sejfami – w odpowiednio wzmocnionym pomieszczeniu w strefie.
  4. Norma PN-EN 1143-1:2005 – „pomieszczenia monolityczne skarbcowe, skarbce pow. IX kl. odporności”.
  5. Uprawnienia do wydania „Aktu utworzenia oddziału Archiwum Państwowego” posiada Naczelny Dyrektor Archiwów Państwowych – niezależnie od klauzuli archiwizowanych dokumentów.
  6. Agencja Bezpieczeństwa Wewnętrznego, „Wytyczne w sprawie postępowania z informacjami niejawnymi międzynarodowymi”, Warszawa, 31 grudnia 2010 r.
  7. „Norma Obronna NO-04-A004 Obiekty wojskowe. Systemy alarmowe. Części: 1-9”, Decyzja Nr 169/MON z dnia 10 maja 2010 r.
  8. „Umowa między Stronami Traktatu Północnoatlantyckiego o ochronie informacji sporządzona w Brukseli dnia 6 marca 1997 r.” (Dz. U. z 2000 r., nr 64, poz. 740).
  9. Część III załącznika do rozporządzenia – „Klasyfikacja środków bezpieczeństwa fizycznego”.
  10. funkcja KJO – kierownik jednostki organizacyjnej według art. 2 ust. 14 ustawy o ochronie informacji niejawnych z dnia 5 sierpnia 2010 r. (Dz. U. z 2010 r., nr 182, poz. 1228).
  11. „Rozporządzenie Rady Ministrów z dnia 29 maja 2012 r. w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczenia informacji niejawnych” (Dz. U. z 19 czerwca 2012 r., poz. 683).