Kontrola dostępu w strefach ochronnych
Zgodnie z zapisami ustawy o ochronie informacji niejawnych, art. 46, wprowadza się system kontroli wejść i wyjść ze strefy ochronnej. System wprowadza się w celu uniemożliwienia osobom nieuprawnionym dostępu do informacji niejawnych o klauzuli „poufne” lub wyższej.
Gdzie stosujemy system kontroli dostępu wejść/wyjść
Co to oznacza i jak to stosować?
Jak wiemy, informacje niejawne o klauzuli „poufne” przetwarza się w strefie ochronnej I, II lub III. Przechowuje się je w strefie ochronnej I lub II. Dotyczy to informacji w postaci papierowej. W przypadku systemów teleinformatycznych, przetwarzanie odbywa się w strefie ochronnej I lub II. Czyli dokumenty papierowe możemy czytać w strefie ochronnej III, a przechowywać w II lub I. Komputer może stać tylko w strefie ochronnej I lub II. Informacje niejawne o klauzuli „tajne” i „ściśle tajne” przetwarza się w strefie ochronnej I lub II. Zakaz jest przetwarzania ich w strefie III. Zgodnie z powyższymi wymaganiami kontrolę wejść i wyjść wprowadza się w strefie ochronnej I lub II, natomiast w strefie ochronnej III tylko w przypadku przetwarzania w niej informacji niejawnych o klauzuli „poufne”.
Typu systemów kontroli dostępu
Jak należy rozumieć system kontroli? Najpopularniejszym rozwiązaniem jest zastosowanie elektronicznego systemu kontroli wejść i wyjść. Podkreślić należy, że dotyczy to wejść i wyjść. Zastosowanie czytnika kart bezstykowych tylko na wejściu nie spełnia tego wymagania i wymaga wprowadzenia dodatkowej ewidencji papierowej. Przy czym ewidencji wejść i wyjść podlegają wszyscy, bez wyjątku, wchodzący do strefy ochronnej. Osoby, które posiadają karty bezstykowe odbijają się na czytnikach, pozostałe osoby, które nie posiadają stałego uprawnienia do przebywania w strefie ochronnej, a wchodzą do niej (np. sprzątaczki, serwis klimatyzacji, itp.) także podlegają ewidencji wejść i wyjść. W takim przypadku, najprościej wprowadzić ewidencję papierową. Kancelista, inspektor bezpieczeństwa teleinformatycznego lub administrator systemu nadzoruje poprawność wpisów w ewidencji papierowej. Wszystkie osoby wchodzące do strefy ochronnej podlegają rozliczalności przebywania w niej. Oczywiście dotyczy to strefy, w której przetwarzane są informacje niejawne o klauzuli „poufne” lub wyższej. Jeżeli mamy elektroniczny system kontroli dostępu, to musi on umożliwić nadawanie i odbieranie uprawnień dostępu, a także rejestrować zdarzenia dostępu. Co zrobić w przypadku, gdy nie mamy elektronicznego systemu kontroli dostępu. Wprowadzić ewidencję papierową, wraz z nadzorem nad tą ewidencją.
Przepisy
Definicje systemu kontroli dostępu oraz wymagania w tym zakresie zostały określone w rozporządzeniu Rady Ministrów w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczania informacji niejawnych. W załączniku wskazano konkretne rozwiązania, które należy zastosować. Podane są tam szczegółowe wymagania techniczne dotyczące elektronicznych systemów kontroli dostępu.