Ochrona informacji niejawnych w systemach teleinformatycznych zakłada ochronę wielopoziomową, jednym z elementów tej ochrony jest ochrona fizyczna.
Strefy ochronne
Ochronę fizyczną budujemy w oparciu o strefy ochronne. Każda strefa charakteryzuje się innymi wymaganiami ochrony, od najmniej chronionej do najbardziej. Co mówi o ochronie fizycznej ustawa o ochronie informacji niejawnych. W artykule 46 znajdują się wymagania dotyczące ochrony fizycznej. Przede wszystkim należy zorganizować strefy ochronne, należy wprowadzić system kontroli wejść i wyjść ze stref ochronnych, określić uprawnienia do przebywania w strefach ochronnych i stosować wyroby ochrony fizycznej posiadające certyfikaty potwierdzające zgodność z normami i standardami branżowymi.
Przekazywanie informacji niejawnych w formie transmisji poza strefy ochronne
W przypadku informacji niejawnych przekazywanych w formie transmisji poza strefy ochronne zapewnia się certyfikowaną ochronę kryptograficzną takiej transmisji. W strefach ochronnych nie ma wymogu stosowania ochrony kryptograficznej. W szczególnie uzasadnionych przypadkach ochrony kryptograficzna może zostać zastąpiona innymi zabezpieczeniami.
Dokumentacja
Środki ochrony fizycznej, w tym granice i lokalizację stref ochronnych należy opisać w dokumencie „szczególnych wymagań bezpieczeństwa” SWB.
Wymagania dotyczące ochrony fizycznej zawarte są w rozporządzeniu w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczania informacji niejawnych. Należy rozróżnić ochronę fizyczną stosowaną do informacji niejawnych w wersji papierowej, a ochronę fizyczną stosowaną do informacji niejawnych w wersji elektronicznej. Część wymagań się pokrywa, jednak część zaostrza wymagania dla informacji w wersji elektronicznej.
Rodzaje stref ochronnych
Wprowadza się 4 typy stref ochronnych:
- Strefa ochronna I
- Strefa ochronna II
- Strefa ochronna III
- Specjalna strefa ochronna
Zgodnie z rozporządzeniem:
- Przetwarzanie informacji niejawnych o klauzuli „poufne” lub wyższej w systemach teleinformatycznych odbywa się w strefie ochronnej I lub w strefie ochronnej II, w warunkach uwzględniających wyniki procesu szacowania ryzyka.
- Przetwarzanie informacji niejawnych o klauzuli „zastrzeżone” w systemach teleinformatycznych odbywa się w pomieszczeniu lub obszarze wyposażonych w system kontroli dostępu, w warunkach uwzględniających wyniki procesu szacowania ryzyka.
- Serwery, systemy zarządzania siecią, kontrolery sieciowe i inne newralgiczne elementy systemów teleinformatycznych, w których przetwarza się informacje niejawne o klauzuli „zastrzeżone” umieszcza się, z uwzględnieniem wyników procesu szacowania ryzyka, w strefie ochronnej.
- Serwery, systemy zarządzania siecią, kontrolery sieciowe i inne newralgiczne elementy systemów teleinformatycznych, w których przetwarza się informacje niejawne o klauzuli „poufne” lub wyższej umieszcza się, z uwzględnieniem wyników procesu szacowania ryzyka, w strefie ochronnej I lub w strefie ochronnej II.
- Przetwarzanie informacji niejawnych w części mobilnej zasobów systemu teleinformatycznego odbywa się na podstawie wyników procesu szacowania ryzyka – w tym przypadku nie ma obowiązku korzystania z mobilnej części systemu w strefach ochronnych, na przykład z telefonów.
Główne zasady stosowania środków ochrony fizycznej
-
Do dokumentacji bezpieczeństwa dołączamy: plany budynku, pomieszczeń z naniesionymi środkami ochrony.
-
Szczególnej ochronie podlegają serwery, routery, urządzenia krypto, zasilanie itp.
- Należy wdrożyć system kontroli dostępu, który jest elektronicznym systemem pomocniczym lub rozwiązaniem organizacyjnym, stosowanym w celu zagwarantowania uzyskiwania dostępu do pomieszczenia lub obszaru, w którym są przetwarzane informacje niejawne, wyłącznie przez osoby posiadające odpowiednie uprawnienia. Należy tutaj zauważyć, że definicja systemu kontroli dostępu dopuszcza stosowanie rozwiązania organizacyjnego, czyli np. papierowa książka wejść/wyjść.
- Zalecane jest wdrożenie systemu sygnalizacji włamania i napadu SSWiN.
- Zalecane jest wdrożenie systemu telewizji dozorowej CCTV.
- Zaleca się wstawienie drzwi wzmocnionych