ochrona kryptograficzna

Kiedy szyfrować dane

Ochrona kryptograficzna informacji niejawnych

Szyfrowanie informacji niejawnych lub transmisji informacji niejawnych wymagane jest wyłącznie przy przekazywaniu ich poza strefy ochronne. Jest to jedyny wymóg ochrony kryptograficznej. Szyfrowanie danych na nośniku lub transmisji odbywa się stosując certyfikowane urządzenia lub narzędzia kryptograficzne. Certyfikaty ochrony kryptograficznej w kraju wydaje wyłącznie ABW albo SKW. W strefie ochronnej nie ma wymogu szyfrowania danych ani transmisji danych. Mylące może być przekonanie, że wymagane jest szyfrowanie danych składowanych bezpośrednio na komputerach (serwerach, macierzach), które znajdują się w strefie ochronnej. Szyfrowanie w takim przypadku może być dodatkowym zabezpieczeniem, jednak nie jest wymagane. Kwestie ochrony kryptograficznej reguluje § 10.2 rozporządzenie prezesa rady ministrów z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego. Należy jednak zaznaczyć, że w szczególnie uzasadnionych przypadkach ochrona kryptograficzna może zostać zastąpiona innym typem ochrony. Są to jednak wyjątkowe przypadki, indywidualnie uzgadniane z ABW albo SKW (§ 10.3). Wykaz certyfikowanych środków ochrony kryptograficznej znajduje się na stronie ABW. Dopuszcza się stosowanie narzędzi lub urządzeń kryptograficznych do ochrony informacji niejawnych, które otrzymały certyfikat NATO lub UE. Dopuszczenie takie wymaga jednak przeprowadzenia badań przez ABW albo SKW, wyjątkiem jest klauzula „Zastrzeżone”. Dla tej klauzuli ABW albo SKW może odstąpić od badania, jest to uzgadniane indywidualnie dla każdego przypadku.