Rozdział 2 - Podstawowe wymagania bezpieczeństwa teleinformatycznego - Podstawowe wymagania bezpieczeństwa teleinformatycznego.
Dziennik Ustaw
Dz.U.2011.159.948
Akt obowiązujący Wersja od: 1 sierpnia 2011 r.
Rozdział 2
Podstawowe wymagania bezpieczeństwa teleinformatycznego
Podstawowe wymagania bezpieczeństwa teleinformatycznego
§ 5.
1.
Bezpieczeństwo informacji niejawnych przetwarzanych w systemie teleinformatycznym zapewnia się przez wdrożenie spójnego zbioru zabezpieczeń w celu zapewnienia poufności, integralności i dostępności tych informacji.2.
Cel, o którym mowa w ust. 1, osiąga się przez:1)
objęcie systemu teleinformatycznego procesem zarządzania ryzykiem dla bezpieczeństwa informacji niejawnych przetwarzanych w systemie teleinformatycznym, zwanego dalej "zarządzaniem ryzykiem w systemie teleinformatycznym";2)
ograniczenie zaufania, polegające na traktowaniu innych systemów teleinformatycznych jako potencjalnych źródeł zagrożeń oraz wdrożeniu w systemie teleinformatycznym zabezpieczeń kontrolujących wymianę informacji z tymi systemami teleinformatycznymi;3)
wprowadzenie wielopoziomowej ochrony systemu teleinformatycznego, polegającej na stosowaniu zabezpieczeń na możliwie wielu różnych poziomach organizacji ochrony systemu teleinformatycznego, w celu ograniczenia występowania przypadków, w których przełamanie pojedynczego zabezpieczenia skutkuje naruszeniem celu, o którym mowa w ust. 1;4)
wykonywanie okresowych testów bezpieczeństwa;5)
ograniczanie uprawnień, polegające na nadawaniu użytkownikom systemu teleinformatycznego wyłącznie uprawnień niezbędnych do wykonywania pracy;6)
minimalizację funkcjonalności, polegającą na instalowaniu, uaktywnianiu i wykorzystywaniu w systemie teleinformatycznym wyłącznie funkcji, protokołów komunikacyjnych i usług niezbędnych do prawidłowej realizacji zadań, do których system teleinformatyczny został przeznaczony.§ 6.
W celu zapewnienia ochrony przed nieuprawnionym dostępem do systemu teleinformatycznego:1)
ustala się warunki i sposób przydzielania użytkownikom uprawnień do pracy w systemie teleinformatycznym;2)
chroni się informacje i materiały umożliwiające dostęp do systemu teleinformatycznego;3)
chroni się elementy systemu teleinformatycznego istotne dla jego bezpieczeństwa oraz wdraża się je w sposób zapewniający możliwość wykrycia wprowadzenia nieuprawnionych zmian lub prób ich wprowadzenia.§ 7.
Przed dopuszczeniem osób do pracy w systemie teleinformatycznym kierownik jednostki organizacyjnej zapewnia ich przeszkolenie z zakresu bezpieczeństwa teleinformatycznego oraz zapoznanie z procedurami bezpiecznej eksploatacji w zakresie, jaki ich dotyczy.§ 8.
1.
W celu niedopuszczenia do utraty poufności informacji niejawnych na skutek wykorzystania elektromagnetycznej emisji ujawniającej, która pochodzi z elementów systemu, w systemie teleinformatycznym przetwarzającym informacje niejawne o klauzuli "poufne" lub wyższej stosuje się środki ochrony elektromagnetycznej dobierane na podstawie wyników szacowania ryzyka dla bezpieczeństwa informacji niejawnych, z uwzględnieniem zaleceń.2.
W celu niedopuszczenia do utraty dostępności informacji niejawnych przetwarzanych w urządzeniach teleinformatycznych na skutek zakłócania ich pracy za pomocą emisji lub impulsów elektromagnetycznych o dużej mocy stosuje się środki ochrony elektromagnetycznej dobierane na podstawie wyników szacowania ryzyka dla bezpieczeństwa informacji niejawnych.§ 9.
1.
W celu zapewnienia dostępności zasobów w systemie teleinformatycznym ustala się:1)
zasady tworzenia i przechowywania kopii zapasowych;2)
procedury postępowania w sytuacjach kryzysowych, w tym w przypadkach awarii elementów systemu teleinformatycznego;3)
procedury monitorowania stanu technicznego systemu teleinformatycznego.2.
W zależności od potrzeb oraz wyników szacowania ryzyka dla bezpieczeństwa informacji niejawnych, w celu zapewnienia dostępności zasobów systemu teleinformatycznego stosuje się w szczególności alternatywne łącza telekomunikacyjne, alternatywne urządzenia lub zasilanie awaryjne.§ 10.
1.
W zależności od potrzeb oraz wyników szacowania ryzyka dla bezpieczeństwa informacji niejawnych, transmisję danych pomiędzy elementami systemu teleinformatycznego chroni się przed wykryciem, przechwyceniem lub zakłócaniem.2.
Poufność informacji niejawnych przekazywanych w formie transmisji poza strefami ochronnymi zapewnia się przez stosowanie urządzeń lub narzędzi kryptograficznych, certyfikowanych zgodnie z art. 50 ust. 2 ustawy lub dopuszczonych w trybie art. 50 ust. 7 ustawy, odpowiednich do klauzuli tajności przekazywanych informacji.3.
W szczególnie uzasadnionych przypadkach, biorąc pod uwagę wyniki szacowania ryzyka dla bezpieczeństwa informacji niejawnych, środki ochrony kryptograficznej, o których mowa w ust. 2, mogą zostać uzupełnione lub zastąpione zabezpieczeniami innymi niż kryptograficzne.§ 11.
W zakresie niezbędnym do zapewnienia przeglądu, analizy oraz dostarczania dowodów działań naruszających bezpieczeństwo informacji niejawnych, dla systemu teleinformatycznego przetwarzającego informacje niejawne tworzy się i przechowuje rejestry zdarzeń oraz zapewnia się ich poufność, integralność i dostępność.§ 12.
System teleinformatyczny wyposaża się w mechanizmy lub procedury zapobiegające incydentom bezpieczeństwa teleinformatycznego, w tym zabezpieczające przed działaniem oprogramowania złośliwego, a także umożliwiające jak najszybsze wykrywanie incydentów bezpieczeństwa teleinformatycznego oraz zapewniające niezwłoczne informowanie odpowiednich osób o wykrytym incydencie.§ 13.
Administrator systemu teleinformatycznego bierze udział w tworzeniu dokumentacji bezpieczeństwa systemu teleinformatycznego oraz w procesie zarządzania ryzykiem w systemie teleinformatycznym:1)
realizując szkolenia użytkowników systemu teleinformatycznego;2)
utrzymując zgodność systemu teleinformatycznego z jego dokumentacją bezpieczeństwa;3)
wdrażając zabezpieczenia w systemie teleinformatycznym.§ 14.
Inspektor bezpieczeństwa teleinformatycznego bierze udział w procesie zarządzania ryzykiem w systemie teleinformatycznym, weryfikując:1)
poprawność realizacji zadań przez administratora, w tym właściwe zarządzanie konfiguracją oraz uprawnieniami przydzielanymi użytkownikom;2)
znajomość i przestrzeganie przez użytkowników zasad ochrony informacji niejawnych oraz procedur bezpiecznej eksploatacji w systemie teleinformatycznym, w tym w zakresie wykorzystywania urządzeń i narzędzi służących do ochrony informacji niejawnych;3)
stan zabezpieczeń systemu teleinformatycznego, w tym analizując rejestry zdarzeń systemu teleinformatycznego.§ 15.
1.
W przypadku organizacji połączenia międzysystemowego uwzględnia się wymaganie ograniczonego zaufania, o którym mowa w § 5 ust. 2 pkt 2.2.
Organizując połączenie międzysystemowe, wdraża się zabezpieczenia uniemożliwiające przekazywanie niepożądanych informacji pomiędzy łączonymi systemami teleinformatycznymi, w szczególności uniemożliwiające przekazywanie informacji o wyższej klauzuli tajności do systemu teleinformatycznego przetwarzającego informacje o klauzuli niższej.§ 16.
Urządzenie, narzędzie lub środek przeznaczony do ochrony informacji niejawnych, dla którego został wydany przez Agencję Bezpieczeństwa Wewnętrznego, zwaną dalej "ABW", lub Służbę Kontrwywiadu Wojskowego, zwaną dalej "SKW", certyfikat, o którym mowa w art. 50 ust. 4 ustawy, podlega ochronie do momentu jego zniszczenia lub wycofania, zgodnie z zaleceniami ABW lub SKW.§ 17.
1.
Informatyczne nośniki danych przeznaczone do przetwarzania informacji niejawnych obejmuje się ochroną od momentu oznaczenia nośnika klauzulą tajności aż do trwałego usunięcia danych na nim zapisanych oraz zniesienia klauzuli tajności albo do momentu jego zniszczenia.2.
Informacje niejawne przekazywane poza strefę ochronną na informatycznych nośnikach danych chroni się:1)
z wykorzystaniem urządzeń lub narzędzi kryptograficznych, certyfikowanych zgodnie z art. 50 ust. 2 ustawy lub dopuszczonych w trybie art. 50 ust. 7 ustawy, odpowiednich do klauzuli tajności przekazywanych informacji, lub2)
przez spełnienie wymagań, o których mowa w przepisach w sprawie trybu i sposobu przyjmowania, przewożenia, wydawania i ochrony materiałów, w celu ich zabezpieczenia przed nieuprawnionym ujawnieniem, utratą, uszkodzeniem lub zniszczeniem.3.
Sposób i metody trwałego usuwania danych oraz niszczenia informatycznych nośników danych określa się z uwzględnieniem zaleceń.4.
Klauzula tajności informatycznych nośników danych umożliwiających wielokrotny zapis, na których zapisano informacje niejawne oznaczone klauzulą "tajne" lub "ściśle tajne", nie podlega zniesieniu lub obniżeniu.§ 18.
1.
Bezpieczeństwo informacji niejawnych przetwarzanych w systemie teleinformatycznym uwzględnia się w całym cyklu funkcjonowania systemu teleinformatycznego, składającym się z etapów:1)
planowania;2)
projektowania;3)
wdrażania;4)
eksploatacji;5)
wycofywania.2.
Na etapie planowania ustala się potrzeby w zakresie przetwarzania informacji niejawnych w systemie teleinformatycznym, w szczególności określa się:1)
przeznaczenie systemu teleinformatycznego;2)
maksymalną klauzulę tajności informacji niejawnych, które będą przetwarzane w systemie teleinformatycznym;3)
tryb bezpieczeństwa pracy systemu teleinformatycznego;4)
szacunkową liczbę użytkowników;5)
planowaną lokalizację.3.
Na etapie projektowania:1)
przeprowadza się wstępne szacowanie ryzyka dla bezpieczeństwa informacji niejawnych w celu określenia wymagań dla zabezpieczeń;2)
dokonuje się wyboru zabezpieczeń dla systemu teleinformatycznego w oparciu o wyniki wstępnego szacowania ryzyka dla bezpieczeństwa informacji niejawnych;3)
uzgadnia się z podmiotem akredytującym plan akredytacji obejmujący zakres i harmonogram przedsięwzięć wymaganych do uzyskania akredytacji bezpieczeństwa teleinformatycznego;4)
uzgadnia się z podmiotem zaopatrującym w klucze kryptograficzne rodzaj oraz ilość niezbędnych urządzeń lub narzędzi kryptograficznych, a także sposób ich wykorzystania;5)
opracowuje się dokument szczególnych wymagań bezpieczeństwa.4.
Na etapie wdrażania:1)
pozyskuje i wdraża się urządzenia lub narzędzia realizujące zabezpieczenia w systemie teleinformatycznym;2)
przeprowadza się testy bezpieczeństwa systemu teleinformatycznego;3)
przeprowadza się szacowanie ryzyka dla bezpieczeństwa informacji niejawnych z uwzględnieniem wprowadzonych zabezpieczeń;4)
opracowuje się dokument procedur bezpiecznej eksploatacji oraz uzupełnia dokument szczególnych wymagań bezpieczeństwa;5)
system teleinformatyczny poddaje się akredytacji bezpieczeństwa teleinformatycznego.5.
Na etapie eksploatacji:1)
utrzymuje się zgodność systemu teleinformatycznego z jego dokumentacją bezpieczeństwa;2)
zapewnia się ciągłość procesu zarządzania ryzykiem w systemie teleinformatycznym;3)
okresowo przeprowadza się testy bezpieczeństwa w celu weryfikacji poprawności działania poszczególnych zabezpieczeń oraz usuwa stwierdzone nieprawidłowości;4)
w zależności od potrzeb wprowadza się zmiany do systemu teleinformatycznego oraz, jeżeli jest to właściwe, wykonuje testy bezpieczeństwa, a także uaktualnia dokumentację bezpieczeństwa systemu teleinformatycznego, przy czym modyfikacje mogące mieć wpływ na bezpieczeństwo systemu teleinformatycznego wymagają zgody podmiotu, który udzielił akredytacji bezpieczeństwa teleinformatycznego, zaś w przypadku systemów teleinformatycznych, o których mowa w art. 48 ust. 9 i 10 ustawy - przekazania, odpowiednio do ABW albo SKW, w terminie 30 dni od wprowadzenia wyżej wymienionych modyfikacji, uaktualnionej dokumentacji bezpieczeństwa systemu teleinformatycznego, w szczególności w formie aneksów.6.
Na etapie wycofywania:1)
zaprzestaje się eksploatacji systemu teleinformatycznego;2)
powiadamia się pisemnie ABW albo SKW o wycofaniu systemu z eksploatacji;3)
zwraca się do ABW albo SKW świadectwo akredytacji bezpieczeństwa systemu teleinformatycznego, jeżeli system teleinformatyczny przeznaczony był do przetwarzania informacji niejawnych o klauzuli "poufne" lub wyższej;4)
usuwa się informacje niejawne z systemu teleinformatycznego, w szczególności przez przeniesienie ich do innego systemu teleinformatycznego, zarchiwizowanie lub zniszczenie informatycznych nośników danych.