1 II. OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ
2 Dokumenty UE regulujące kwestie bezpieczeństwa (1/4)OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Dokumenty UE regulujące kwestie bezpieczeństwa (1/4) Rozporządzenie Euratom nr r. Decyzja Rady Unii Europejskiej 2001/264/EC, r. Decyzja Komisji Europejskiej 2001/844/EC, r.
3 OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Dlaczego zagadnienia bezpieczeństwa informacji regulują dwie Decyzje? (2/4) Rada i Komisja instytucje niezależne podstawą ich działania są te same regulacje prawne potrzeba koordynacji działań te same zasady dotyczące bezpieczeństwa informacji zawarte w dwóch Decyzjach
4 art. 10 Traktatu ustanawiającego Wspólnotę EuropejskąOCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Decyzje Rady i Komisji są wiążące dla państw członkowskich Unii Europejskiej (3/4) art. 10 Traktatu ustanawiającego Wspólnotę Europejską „państwa członkowskie podejmą wszelkie właściwe środki... w celu zapewnienia realizacji zobowiązań wynikających z niniejszego Traktatu”
5 OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Zawarte w Decyzjach Rady i Komisji przepisy bezpieczeństwa określają zasady (4/4): wymiany informacji niejawnych w UE i ich obiegu klasyfikowania informacji bezpieczeństwa osobowego bezpieczeństwa fizycznego bezpieczeństwa teleinformatycznego postępowania w przypadku utraty dokumentów niejawnych udostępniania informacji niejawnych UE „trzeciej stronie”
6 Przepisy bezpieczeństwa Unii EuropejskiejOCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Przepisy bezpieczeństwa Unii Europejskiej wzorowane są na rozwiązaniach NATO i Unii Zachodnioeuropejskiej w zakresie bezpieczeństwa i ochrony informacji niejawnych
7 OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Struktury Unii Europejskiej odpowiedzialne za bezpieczeństwo informacji (1/6) Rada UE: Sekretarz Generalny/Wysoki Przedstawiciel ds. WPZiB, Biuro Bezpieczeństwa Komisja: Komisarz odpowiedzialny za kwestie bezpieczeństwa, Dyrektoriat Bezpieczeństwa Władze do spraw Bezpieczeństwa Akredytacji (INFOSEC, CRYPTO, TEMPEST) Główna Kancelaria Tajna i podkancelarie
8 Sekretarz Generalny Rady UEOCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Struktury Unii Europejskiej odpowiedzialne za bezpieczeństwo informacji – Rada UE (2/6) Sekretarz Generalny Rady UE wdrażanie polityki bezpieczeństwa Rady UE rozpatrywanie wszelkich problemów dotyczących bezpieczeństwa informacji koordynowanie działań podejmowanych przez Radę UE dotyczących bezpieczeństwa współpraca z krajowymi władzami bezpieczeństwa
9 OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Struktury Unii Europejskiej odpowiedzialne za bezpieczeństwo informacji – Rada UE (3/6) Biuro Bezpieczeństwa powołane w celu realizowania zadań, za które odpowiedzialny jest Sekretarz Generalny Dyrektor Biura jest głównym doradcą Sekretarza Generalnego w sprawach bezpieczeństwa i pełni funkcję sekretarza Komitetu Bezpieczeństwa Rady UE, jest odpowiedzialny za współpracę z krajowymi władzami bezpieczeństwa państw oraz organizacjami międzynarodowymi (oficer łącznikowy)
10 OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Struktury Unii Europejskiej odpowiedzialne za bezpieczeństwo informacji – Komisja UE (4/6) Komisarz - odpowiedzialny za kwestie bezpieczeństwa Dyrektoriat Bezpieczeństwa, wydziały: Ochrona i Zarządzanie Kryzysowe Informacja i Zapobieganie Zagrożeniom Inspekcje i Doradztwo Bezpieczeństwo Techniczne, Informatyczne i Środków Łączności
11 OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Struktury UE odpowiedzialne za bezpieczeństwo informacji - zapewniające koordynację działań (5/6) Komitet Bezpieczeństwa Rady Unii Europejskiej Grupa Doradcza ds. Polityki Bezpieczeństwa Komisji Europejskiej Przewodniczący – Sekretarz Generalny RUE/Wysoki Przedstawiciel ds. WPZiB Przewodniczący – Komisarz odpowiedzialny za kwestie bezpieczeństwa członkowie – Krajowe Władze Bezpieczeństwa
12 OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Struktury UE odpowiedzialne za bezpieczeństwo informacji - zapewniające koordynację działań (6/6) Rola Komitetu Bezpieczeństwa Rady UE i Grupy Doradczej do spraw Polityki Bezpieczeństwa analiza i ocena wszelkich kwestii dotyczących bezpieczeństwa oraz, w razie potrzeby, przedstawianie Radzie UE/Komisji Europejskiej odpowiednich zaleceń
13 OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Klauzule tajności TRES SECRET UE/EU TOP SECRET Eura Top Secret ściśle tajne SECRET UE/EU SECRET Eura Secret tajne CONFIDENTIEL UE/EU CONFIDENTIAL Eura Confidential poufne RESTREINT UE/EU RESTRICTED Eura Restricted zastrzeżone
14 Oznaczenia „UNTIL................” (data lub wydarzenie)” orazOCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Oznaczenia „UNTIL ” (data lub wydarzenie)” oraz w zależności od tematyki zawartej w informacji w zależności od kręgu odbiorców
15 Bezpieczeństwo osoboweOCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Bezpieczeństwo osobowe
16 Bezpieczeństwo osobowe (1/4)OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Bezpieczeństwo osobowe (1/4) Warunki dostępu do informacji klasyfikowanych o klauzuli „poufne” i wyższych poddanie się postępowaniu sprawdzającemu uzyskanie upoważnienia do dostępu do informacji klasyfikowanych UE odpowiednie przeszkolenie informacje „zastrzeżone” - szkolenie w zakresie zasad bezpieczeństwa i konsekwencji ich nieprzestrzegania
17 Bezpieczeństwo osobowe (2/4)OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Bezpieczeństwo osobowe (2/4) Postępowania sprawdzające prowadzi się wobec: osób, których obowiązki służbowe wiążą się z dostępem do informacji klasyfikowanych UE (urzędnicy państwowi, zaangażowani we współpracę z organami Unii oraz urzędnicy unijni) osób nie zatrudnionych w instytucjach rządowych (eksperci, konsultanci), które mają uczestniczyć w przedsięwzięciach związanych z dostępem do informacji klasyfikowanych UE osób, które z racji wykonywanych funkcji (kurierzy, konserwatorzy, sprzątaczki, strażnicy) mogą uzyskać nieuprawniony dostęp do informacji klasyfikowanych UE
18 Bezpieczeństwo osobowe (3/4)OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Bezpieczeństwo osobowe (3/4) Postępowania sprawdzające: wobec obywateli i rezydentów danego państwa prowadzi krajowa władza bezpieczeństwa jest wszczynane na wniosek kierownika jednostki organizacyjnej czynności sprawdzeniowe są realizowane zgodnie z przepisami krajowymi kończy się wydaniem (lub odmową wydania) certyfikatu bezpieczeństwa osobowego UE, uprawniającego do dostępu do informacji klasyfikowanych UE o określonej klauzuli tajności
19 Bezpieczeństwo osobowe (4/4)OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Bezpieczeństwo osobowe (4/4) Postępowania sprawdzające w przypadku urzędników i pracowników zatrudnionych w Sekretariacie Generalnym Rady UE lub w Komisji Europejskiej przeprowadzane są na wniosek organu zatrudniającego, procedura kończy się wydaniem przez KWB opinii, która jest podstawą wydania przez organ wnioskujący upoważnienia do dostępu do informacji klasyfikowanych UE
20 OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Obieg dokumentów
21 Obieg dokumentów (1/9) sporządzanie dystrybucja przesyłanieOCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Obieg dokumentów (1/9) sporządzanie dystrybucja przesyłanie przechowywanie niszczenie
22 Obieg dokumentów (2/9) SporządzanieOCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Obieg dokumentów (2/9) Sporządzanie nadanie klauzuli i odpowiedniego oznaczenia klauzula powinna znajdować się na każdej stronie dokumentu strony muszą być ponumerowane jeśli sporządzane są kopie dokumentu, każda z nich powinna być zarejestrowana wszystkie aneksy i załączniki powinny być wymienione na pierwszej stronie dokumentu
23 Obieg dokumentów (3/9) DystrybucjaOCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Obieg dokumentów (3/9) Dystrybucja tylko osoby odpowiednio sprawdzone i spełniające zasadę „need to know” wytwórca może wprowadzić ograniczenia dystrybucji dokumentu - takie dokumenty można udostępniać tylko po uzyskaniu zgody wytwórcy
24 Obieg dokumentów (4/9) PrzesyłanieOCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Obieg dokumentów (4/9) Przesyłanie dokumenty oznaczone klauzulą „poufne” lub wyższą powinny być przekazywane w bezpiecznych, nieprzezroczystych, podwójnych kopertach na wewnętrznej kopercie powinno znajdować się oznaczenie klauzuli oraz informacje dotyczące odbiorcy tylko osoba, do której jest adresowany dokument bądź upoważniony pracownik kancelarii może otworzyć wewnętrzną kopertę i poświadczyć otrzymanie dokumentu
25 Obieg dokumentów (5/9) Przesyłanie c.d.OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Obieg dokumentów (5/9) Przesyłanie c.d. wewnątrz kraju dokumenty „ściśle tajne” powinny być przesyłane tylko przez uprawnionych przewoźników albo przez osoby uprawnione do dostępu do informacji ściśle tajnych dokumenty oznaczone klauzulą „tajne” bądź „poufne” mogą być przesyłane pocztą, jeśli przepisy krajowe na to zezwalają; dokumenty takie mogą być przekazywane z jednego kraju członkowskiego do drugiego pocztą dyplomatyczną albo kurierską
26 Obieg dokumentów (6/9) Przechowywanie w kancelariach tajnychOCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Obieg dokumentów (6/9) Przechowywanie w kancelariach tajnych możliwość przechowywania dokumentów oznaczonych klauzulą „poufne” i wyższą w formie mikrofilmów albo na innych nośnikach informacji
27 Obieg dokumentów (7/9) Przechowywanie c.d.OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Obieg dokumentów (7/9) Przechowywanie c.d. dokumenty w formie mikrofilmów lub innych nośników informacji powinny mieć zapewniony taki sam stopień bezpieczeństwa jak dokumenty oryginalne sporządzanie mikrofilmów powinno być wykazane w protokole corocznej inwentaryzacji informacja o tych czynnościach powinna być przekazana wytwórcy dokumentu oryginalne dokumenty, które zostały zapisane na innym nośniku informacji są niszczone
28 Obieg dokumentów (8/9) NiszczenieOCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Obieg dokumentów (8/9) Niszczenie dokumenty „ściśle tajne” mogą być niszczone tylko przez główną kancelarię tajną, protokół ze zniszczenia, podpisany przez pracownika danej kancelarii i świadka, powinien być przechowywany przez kancelarię przez 10 lat dokumenty „tajne” mogą być niszczone przez kancelarię odpowiedzialną za nie pod nadzorem osoby mającej dostęp do informacji oznaczonych tą klauzulą, protokół ze zniszczenia powinien być przechowywany przez 3 lata
29 Obieg dokumentów (9/9) Niszczenie c.d.OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Obieg dokumentów (9/9) Niszczenie c.d. dokumenty „poufne” mogą być niszczone przez kancelarię odpowiedzialną za nie pod nadzorem osoby mającej dostęp do informacji oznaczonych tą klauzulą, ich zniszczenie powinno być odnotowane zgodnie z wymogami krajowymi dokumenty „zastrzeżone” mogą być niszczone przez kancelarię odpowiedzialną za nie, albo przez użytkownika zgodnie z wymogami krajowymi
30 Bezpieczeństwo fizyczneOCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Bezpieczeństwo fizyczne
31 Bezpieczeństwo fizyczne (1/9)OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Bezpieczeństwo fizyczne (1/9) wymagania w zakresie bezpieczeństwa fizycznego środki ochrony fizycznej standardy minimalne przechowywania informacji klasyfikowanych UE ochrona przed stosowaniem środków technicznych bezpieczeństwo fizyczne systemów i sieci teleinformatycznych
32 Bezpieczeństwo fizyczne (2/9)OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Bezpieczeństwo fizyczne (2/9) Wymagania w zakresie bezpieczeństwa fizycznego Podejmując decyzję o poziomie ochrony fizycznej, należy wziąć pod uwagę: klauzulę tajności i kategorię informacji ilość i formę utrwalenia informacji (wydruk, nośniki komputerowe) sprawdzenia osobowe i uprawnienia pracowników, określone zgodnie z zasadą ograniczonego dostępu ocenę lokalnych zagrożeń wynikających z działalności służb wywiadowczych wymierzonej przeciwko UE i/lub państwom członkowskim, sabotażu, terroryzmu, działalności antypaństwowej lub innych działań o charakterze przestępczym planowany sposób przechowywania informacji
33 Bezpieczeństwo fizyczne (3/9)OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Bezpieczeństwo fizyczne (3/9) Wymagania w zakresie bezpieczeństwa fizycznego c.d. uniemożliwienie niejawnego lub siłowego przedostania się na teren chroniony zniechęcenie, utrudnienie oraz wykrycie działań podejmowanych przez nielojalnych pracowników umożliwienie rozdzielenia pracowników w zależności od przyznanego dostępu do informacji klasyfikowanych UE, zgodnie z zasadą ograniczonego dostępu umożliwienie szybkiego wykrywania wszelkich przypadków złamania przepisów bezpieczeństwa i podejmowania odpowiednich działań
34 Bezpieczeństwo fizyczne (4/9)OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Bezpieczeństwo fizyczne (4/9) Środki ochrony fizycznej środki ochrony fizycznej stanowią tylko jeden rodzaj ochrony prewencyjnej i muszą być uzupełnione przez właściwe środki z zakresu bezpieczeństwa osobowego, obiegu informacji i INFOSEC podstawą programów ochrony fizycznej jest zasada „ochrony w głąb” - określenie miejsc, które wymagają ochrony, utworzenia kolejnych „kręgów” w celu zapewnienia „ochrony w głąb” oraz wprowadzenie czynników opóźniających
35 Bezpieczeństwo fizyczne (5/9)OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Bezpieczeństwo fizyczne (5/9) Środki ochrony fizycznej c.d. środki zastosowane na obrzeżach mają za zadanie określenie chronionego obszaru i zniechęcenie do podejmowania prób nieupoważnionego dostępu celem stworzenia kolejnego kręgu ochrony jest wykrywanie przypadków lub prób uzyskania nieupoważnionego dostępu oraz alarmowanie strażników
36 Bezpieczeństwo fizyczne (6/9)OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Bezpieczeństwo fizyczne (6/9) Strefy bezpieczeństwa strefa bezpieczeństwa klasy I: miejsce, w którym informacje o klauzuli „poufne” lub wyższej są przechowywane lub znajdują się w obiegu w taki sposób, że wejście do strefy jest jednoznaczne z uzyskaniem dostępu do informacji klasyfikowanych. Strefa ta wymaga: wyraźnie określonych i chronionych granic, których przekraczanie w obie strony jest kontrolowane systemu kontroli wejść, który umożliwia wejście do strefy jedynie osobom odpowiednio sprawdzonym i upoważnionym określenia klauzuli tajności i kategorii informacji, które są dostępne po wejściu do strefy
37 Bezpieczeństwo fizyczne (7/9)OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Bezpieczeństwo fizyczne (7/9) Strefy bezpieczeństwa c.d. strefa bezpieczeństwa klasy II: miejsce, w którym informacje o klauzuli „poufne” lub wyższej są przechowywane w sposób umożliwiający ich ochronę przed uzyskaniem dostępu przez osoby nieupoważnione dzięki środkom kontroli wewnętrznej. Strefa ta wymaga: wyraźnie określonych i chronionych granic, których przekraczanie w obie strony jest kontrolowane systemu kontroli wejść, który umożliwia wejście do strefy bez nadzoru jedynie osobom odpowiednio sprawdzonym i upoważnionym. W stosunku do wszystkich innych osób, konieczne jest zapewnienie eskorty lub równoważnych środków kontroli, w celu zapobieżenia uzyskaniu nieupoważnionego dostępu do informacji klasyfikowanych UE i niekontrolowanego wejścia do miejsc objętych kontrolą bezpieczeństwa technicznego
38 Bezpieczeństwo fizyczne (8/9)OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Bezpieczeństwo fizyczne (8/9) Strefa administracyjna Strefę administracyjną można utworzyć wokół stref bezpieczeństwa UE klasy I lub II bądź w prowadzącym do nich przejściu. Strefa taka wymaga wyraźnie określonych granic, w ramach których możliwe jest wprowadzenie kontroli osób i pojazdów. W strefach administracyjnych wolno przechowywać i wykorzystywać wyłącznie informacje o klauzuli „zastrzeżone”.
39 Bezpieczeństwo fizyczne (9/9)OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Bezpieczeństwo fizyczne (9/9) Poszczególne środki ochrony fizycznej ogrodzenie oświetlenie systemy wykrywania wtargnięcia kontrola dostępu (systemy przepustek lub identyfikacji osób systemów elektronicznych, elektromechanicznych, fizycznych lub też sprawowanie kontroli przez strażników lub recepcjonistów) telewizja przemysłowa (cctv) strażnicy
40 Bezpieczeństwo teleinformatyczneOCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Bezpieczeństwo teleinformatyczne
41 Bezpieczeństwo teleinformatyczne (1/8)OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Bezpieczeństwo teleinformatyczne (1/8) sieci i systemy teleinformatyczne przetwarzające informacje niejawne UE od klauzuli RESTRICTED wymagają zastosowania środków ochrony w celu zachowania integralności, dostępności i poufności informacji „przetwarzanie informacji” = także wytwarzanie, przechowywanie i przekazywanie informacji
42 Bezpieczeństwo teleinformatyczne (2/8)OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Bezpieczeństwo teleinformatyczne (2/8) POLITYKA BEZPIECZEŃSTWA SYSTEMÓW/SIECI TELEINFORMATYCZNYCH stanowi integralną część ogólnej polityki bezpieczeństwa UE uwzględnia specyficzny rodzaj zagrożeń i podatności na zagrożenia systemów teleinformatycznych reguluje kwestie związane ze wszystkimi sferami bezpieczeństwa teleinformatycznego określa podział obowiązków pomiędzy stroną zarządzającą danym systemem/siecią, jego użytkownikami oraz wytwórcą informacji niejawnych przetwarzanych za pomocą tego systemu/sieci określa zasady i wymagania bezpieczeństwa dla poszczególnych systemów/sieci teleinformatycznych określa procedury zatwierdzania zasad i wymogów bezpieczeństwa
43 Bezpieczeństwo teleinformatyczne (3/8)OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Bezpieczeństwo teleinformatyczne (3/8) ZAGROŻENIA I PODATNOŚCI NA ZAGROŻENIA SYSEMÓW/SIECI TELEINFORMATYCZNYCH dostęp do informacji przez osoby nieupoważnione brak dostępu do informacji przez osoby upoważnione nieuprawnione ujawnienie informacji utrata informacji zmodyfikowanie bądź usunięcie informacji uszkodzenie urządzeń systemu
44 Bezpieczeństwo teleinformatyczne (4/8)OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Bezpieczeństwo teleinformatyczne (4/8) SZCZEGÓLNE WYMAGANIA BEZPIECZEŃSTWA SYSTEMU/SIECI (SWBS) szczególne wymagania i procedury bezpieczeństwa obejmujące środki ochrony kryptograficznej, elektromagnetycznej, technicznej i organizacyjnej odpowiednie do danego systemu/sieci teleinformatycznej dla wszystkich systemów przetwarzających informacje niejawne UE o klauzuli CONFIDENTIAL i wyższej także w przypadku, kiedy KWB/SAA uzna za kluczową potrzebę ochrony dostępności i integralności określonych informacji UE RESTRICTED bądź UE UNLSASSIFIED SWBS opracowuje Administrator Techniczny Systemu (ATS) oraz Wytwórca (właściciel) Informacji (WI). W państwach członkowskich SWBS są zatwierdzane przez KWB/SAA SWBS należy opracowywać na najwcześniejszym możliwym etapie opracowywania projektu systemu/sieci
45 Bezpieczeństwo teleinformatyczne (5/8)OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Bezpieczeństwo teleinformatyczne (5/8) STANY BEZPIECZEŃSTWA PRACY SYSTEMU/SIECI Każdemu systemowi/sieci teleinformatycznej przetwarzającej informacje niejawne UE CONFIDENTIAL i o klauzulach wyższych powinien być przyznany jeden z następujących stanów bezpieczeństwa pracy: dedykowany systemowo wysoki wielopoziomowy
46 Bezpieczeństwo teleinformatyczne (6/8)OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Bezpieczeństwo teleinformatyczne (6/8) STANY BEZPIECZEŃSTWA PRACY SYSTEMU/SIECI c.d. Dedykowany stan bezpieczeństwa pracy wszystkie osoby posiadające dostęp do systemu/sieci zostały poddane postępowaniu sprawdzającemu upoważniającemu do dostępu do informacji niejawnych o klauzuli równej najwyższej klauzuli informacji przetwarzanych przez system/sieć, dla osób tych dostęp do wszystkich informacji przetwarzanych przez system/sieć jest niezbędny do wykonywania obowiązków służbowych (need-to-know) ponieważ wszystkie osoby spełniają zasadę need-to-know, nie ma konieczności stosowania środków bezpieczeństwa komputerowego (odpowiednie zabezpieczenia oprogramowania, pamięci na dysku twardym uniemożliwiające dostęp wszystkim osobom uprawnionym do wszystkich rodzajów informacji), nacisk należy położyć na bezpieczeństwo fizyczne i osobowe
47 Bezpieczeństwo teleinformatyczne (7/8)OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Bezpieczeństwo teleinformatyczne (7/8) STANY BEZPIECZEŃSTWA PRACY SYSTEMU/SIECI c.d. Systemowo wysoki stan bezpieczeństwa pracy wszystkie osoby posiadające dostęp do systemu zostały poddane postępowaniu sprawdzającemu upoważniającemu do dostępu do informacji niejawnych o klauzuli równej najwyższej klauzuli informacji przetwarzanych przez system, ale nie dla wszystkich osób mających dostęp do systemu informacje przetwarzane przez system są niezbędne do wykonywania obowiązków służbowych – zasada need-to-know nie jest spełniona wobec wszystkich użytkowników należy zastosować środki bezpieczeństwa komputerowego w celu zapewnienia selektywnego dostępu do informacji, a także dopasować środki bezpieczeństwa fizycznego i osobowego do klauzuli przetwarzanych przez system informacji
48 Bezpieczeństwo teleinformatyczne (8/8)OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Bezpieczeństwo teleinformatyczne (8/8) STANY BEZPIECZEŃSTWA PRACY SYSTEMU/SIECI c.d. Wielopoziomowy stan bezpieczeństwa pracy nie wszystkie osoby posiadające dostęp do systemu/sieci zostały poddane postępowaniu sprawdzającemu upoważniającemu do dostępu do informacji niejawnych o klauzuli równej najwyższej klauzuli informacji przetwarzanych przez system/sieć, nie wszystkim osobom mającym dostęp do systemu/sieci informacje przetwarzane przez system są niezbędne do wykonywania obowiązków służbowych. fakt, że nie wszystkie osoby zostały sprawdzone do najwyższej klauzuli informacji przetwarzanych w systemie/sieci oraz, że nie wszystkie osoby spełniają zasadę need-to-know wskazuje na potrzebę położenia nacisku na bezpieczeństwo komputerowe (zapewnienie selektywnego dostępu do informacji o poszczególnych klauzulach tajności)
49 Udostępnianie informacji niejawnych UE „trzeciej stronie”OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Udostępnianie informacji niejawnych UE „trzeciej stronie”
50 Udostępnianie informacji niejawnych UE „trzeciej stronie”OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Udostępnianie informacji niejawnych UE „trzeciej stronie” Podejmując decyzję o udostępnieniu informacji niejawnych państwom trzecim lub organizacjom międzynarodowym Komisja bądź Rada UE uwzględnia: rodzaj i treść danej informacji rzeczywistą potrzebę udostępnienia informacji stopień korzyści jakie Unii Europejskiej przyniesie udostępnienie informacji stronie trzeciej
51 Wymiana informacji pomiędzy Unią Europejską i NATO (1/3)OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Wymiana informacji pomiędzy Unią Europejską i NATO (1/3) Zacieśnienie współpracy pomiędzy obiema organizacjami w zakresie: zarządzania kryzysowego (w tym prowadzenia wspólnych ćwiczeń) zwalczania terroryzmu prowadzenia wspólnych działań o charakterze militarnym potrzeba zawarcia umowy o ochronie informacji pomiędzy Organizacją Traktatu Północnoatlantyckiego a Unią Europejską
52 Wymiana informacji pomiędzy Unią Europejską i NATO (2/3)OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Wymiana informacji pomiędzy Unią Europejską i NATO (2/3) UMOWA pomiędzy Organizacją Traktatu Północnoatlantyckiego a Unią Europejską o bezpieczeństwie ( r.) ma zastosowanie do informacji i materiałów klasyfikowanych w dowolnej formie, przekazywanych lub wymienianych pomiędzy Stronami
53 Wymiana informacji pomiędzy Unią Europejską i NATO (3/3)OCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Wymiana informacji pomiędzy Unią Europejską i NATO (3/3) UMOWA pomiędzy Organizacją Traktatu Północnoatlantyckiego a Unią Europejską o bezpieczeństwie c.d. Zobowiązuje Strony do: ochrony informacji i materiałów wymienianych między Stronami zapewnienia, że informacje i materiały klasyfikowane, które są przekazane lub wymieniane, zachowują klauzulę tajności nadaną przez Stronę przekazującą niewykorzystywania informacji i materiałów podlegających postanowieniom niniejszej umowy w celach innych niż ustalone przez wytwórcę oraz będących powodem ich przekazania lub wymiany nieujawniania tych informacji i materiałów stronom trzecim
54 Wymiana informacji niejawnych pomiędzy Unią Europejską i PolskąOCHRONA INFORMACJI NIEJAWNYCH UNII EUROPEJSKIEJ _____________________________________________________________________________________________________________________ Wymiana informacji niejawnych pomiędzy Unią Europejską i Polską od daty podpisania Traktatu Akcesyjnego do uzyskania przez Polskę członkostwa w UE - na podstawie umowy pomiędzy RP i UE zawartej w formie wymiany listów po uzyskaniu przez Polskę członkostwa – zgodnie z uprawnieniami i zobowiązaniami obowiązującymi państwa członkowskie UE Unia Europejska nie przewiduje podpisywania z poszczególnymi państwami członkowskimi umów o ochronie informacji