Ochrona fizyczna informacji niejawnych

Ochrona fizyczna

Ochrona informacji niejawnych w systemach teleinformatycznych zakłada ochronę wielopoziomową, jednym z elementów tej ochrony jest ochrona fizyczna.

Strefy ochronne

Ochronę fizyczną budujemy w oparciu o strefy ochronne. Każda strefa charakteryzuje się innymi wymaganiami ochrony, od najmniej chronionej do najbardziej. Co mówi o ochronie fizycznej ustawa o ochronie informacji niejawnych. W artykule 46 znajdują się wymagania dotyczące ochrony fizycznej. Przede wszystkim należy zorganizować strefy ochronne, należy wprowadzić system kontroli wejść i wyjść ze stref ochronnych, określić uprawnienia do przebywania w strefach ochronnych i stosować wyroby ochrony fizycznej posiadające certyfikaty potwierdzające zgodność z normami i standardami branżowymi.

Przekazywanie informacji niejawnych w formie transmisji poza strefy ochronne

W przypadku informacji niejawnych przekazywanych w formie transmisji poza strefy ochronne zapewnia się certyfikowaną ochronę kryptograficzną takiej transmisji. W strefach ochronnych nie ma wymogu stosowania ochrony kryptograficznej. W szczególnie uzasadnionych przypadkach ochrony kryptograficzna może zostać zastąpiona innymi zabezpieczeniami.

Dokumentacja

Środki ochrony fizycznej, w tym granice i lokalizację stref ochronnych należy opisać w dokumencie „szczególnych wymagań bezpieczeństwa” SWB.

Wymagania dotyczące ochrony fizycznej zawarte są w rozporządzeniu w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczania informacji niejawnych. Należy rozróżnić ochronę fizyczną stosowaną do informacji niejawnych w wersji papierowej, a ochronę fizyczną stosowaną do informacji niejawnych  w wersji elektronicznej. Część wymagań się pokrywa, jednak część zaostrza wymagania dla informacji w wersji elektronicznej.

Rodzaje stref ochronnych

Wprowadza się 4 typy stref ochronnych:

  • Strefa ochronna I
  • Strefa ochronna II
  • Strefa ochronna III
  • Specjalna strefa ochronna

Zgodnie z rozporządzeniem:

  • Przetwarzanie informacji niejawnych o klauzuli „poufne” lub wyższej w systemach teleinformatycznych odbywa się w strefie ochronnej I lub w strefie ochronnej II, w warunkach uwzględniających wyniki procesu szacowania ryzyka.
  • Przetwarzanie informacji niejawnych o klauzuli „zastrzeżone” w systemach teleinformatycznych odbywa się w pomieszczeniu lub obszarze wyposażonych w system kontroli dostępu, w warunkach uwzględniających wyniki procesu szacowania ryzyka.
  • Serwery, systemy zarządzania siecią, kontrolery sieciowe i inne newralgiczne elementy systemów teleinformatycznych, w których przetwarza się informacje niejawne o klauzuli „zastrzeżone” umieszcza się, z uwzględnieniem wyników procesu szacowania ryzyka, w strefie ochronnej.
  • Serwery, systemy zarządzania siecią, kontrolery sieciowe i inne newralgiczne elementy systemów teleinformatycznych, w których przetwarza się informacje niejawne o klauzuli „poufne” lub wyższej umieszcza się, z uwzględnieniem wyników procesu szacowania ryzyka, w strefie ochronnej I lub w strefie ochronnej II.
  • Przetwarzanie informacji niejawnych w części mobilnej zasobów systemu teleinformatycznego odbywa się na podstawie wyników procesu szacowania ryzyka – w tym przypadku nie ma obowiązku korzystania z mobilnej części systemu w strefach ochronnych, na przykład z telefonów.

Główne zasady stosowania środków ochrony fizycznej

  • Do dokumentacji bezpieczeństwa dołączamy: plany budynku, pomieszczeń z naniesionymi środkami ochrony.
  • Szczególnej ochronie podlegają serwery, routery, urządzenia krypto, zasilanie itp.
  • Należy wdrożyć system kontroli dostępu, który jest elektronicznym systemem pomocniczym lub rozwiązaniem organizacyjnym, stosowanym w celu zagwarantowania uzyskiwania dostępu do pomieszczenia lub obszaru, w którym są przetwarzane informacje niejawne, wyłącznie przez osoby posiadające odpowiednie uprawnienia. Należy tutaj zauważyć, że definicja systemu kontroli dostępu dopuszcza stosowanie rozwiązania organizacyjnego, czyli np. papierowa książka wejść/wyjść.
  • Zalecane jest wdrożenie systemu sygnalizacji włamania i napadu SSWiN.
  • Zalecane jest wdrożenie systemu telewizji dozorowej CCTV.
  • Zaleca się wstawienie drzwi wzmocnionych