Multilingual Studies at a Distance

Students and Academics of All Countries, Unite! :-)

Aczkolwiek Ustawa z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych powstała przed Oświadczeniem Rządowym z dnia 29 grudnia 1999 r. w sprawie ratyfikacji przez Rzeczpospolitą Polską Umowy między Stronami Traktatu Północnoatlantyckiego o ochronie informacji, sporządzonej w Brukseli dnia 6 marca 1997 r., jestem pewien, że każdy z Was z łatwością ustali i podzieli się tutaj z nami tym, jaki wpływ sama Umowa, a w ślad za nią dokument CM(2002)49 [ http://www.freedominfo.org/documents/C-M(2002)49.pdf ]) zastępujący dokument CM(55)15(wersja ostateczna), miały na powstanie naszej Ustawy. Przy okazji, na ile anglo- i francuskojęzycznym studentom pomocne w tym okazały się angielskie i francuskie brzmienia omawianej Umowy?

Views: 651

Replies to This Discussion

Osobom, którym uda się przełożyć adres internetowy podany przez Tomasza Szewca w podręczniku Ochrona informacji niejawnych: komentarz (Warszawa : Wydawnictwo C. H. Beck, 2007) u dołu strony 127 na jego obecny kształt ( http://www.nato.int/structur/AC/224/standard/4607/ag4_4607_Ed1_eng_... ), z pewnością uda się również dociec tego, skąd bierze się różnica pomiędzy natowskimi klauzulami tajności obecnymi w powyżej poleconym przeze mnie dokumencie CM(2002)49 [i, przy okazji, również w unijnym dokumencie DECYZJA RADY z dnia 18 czerwca 2007 r. zmieniająca decyzję 2001/264/WE w sprawie przyjęcia przepisów Rady dotyczących bezpieczeństwa ( http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2007:164... )] a natowskimi klauzulami tajności obecnymi w STANAG 4607. Byście nie zwiedli się datą pierwszego wydania tego dokumentu, zachęcam do dokonania w pełni aktualnej analizy pod adresem http://www.nato.int/docu/stanag/4607/4607_home.htm .
Wszystkim osobom zainteresowanym tym, skąd u NATO bierze się troska o jak najlepszą ochronę informacji w jej krajach członkowskich, z Polską włącznie, polecam uważną lekturę zadań wyszczególnionych na stronie internetowej Krajowa władza bezpieczeństwa - współpraca z NATO i UE ( http://www.abw.gov.pl/portal/pl/31/42/Krajowa_wladza_bezpieczenstwa... ).

Myślę, że jestem w stanie podjąć się tego tematu choć wojsko nie jest moją najmocniejszą stroną. W większości muszę się zgodzić z Tobą Robercie. NATO oferuje nam niesamowite możliwości w rozwoju nowych systemów zabezpieczania danych lecz musimy pamiętać, że każdy dla poczucia własnego bezpieczeństwa chce wiedzieć jak najwięcej o innych kosztem minimum informacji o sobie. Mimo, że NATO ma takie możliwości to nasuwa mi się pytanie - "Czy najważniejsze państwa NATO będą chciały podzielić się najnowszymi systemami służącymi do zabezpieczania informacji?" Istnieje prawdopodobieństwo, że zostawią je dla siebie dla własnego poczucia bezpieczeństwa a innym przekażą starsze rozwiązania, które nie do końca się już sprawdzają.

Na zakończenie chciałbym przypomnieć wszystkim, że nawet najlepszym zdarzają się pomyłki i wpadki tak jak podczas głośnej sprawy wycieku w skutek, którego ujawniono 91 tysięcy raportów odkrywających kulisy wojskowych operacji przeprowadzonych w Afganistanie między 2004 a 2010 rokiem http://konflikty.wp.pl/kat,1356,title,Wikileaks-ujawnia-raporty-tak...  (Niestety nie udało mi się dotrzeć do tych dokumentów. Wszystkie linki do stron zawierających je były nie aktualne.) Co do naszych służb mimo dobrego przygotowania jak twierdzi kolega też by się coś znalazło np. wpadka odnośnie ujawnienia nazwisk, uzbrojenia oraz cyklu szkolenia jednostek GROM.

Podsumowując na każde zabezpieczenie znajdzie się prędzej czy później jakiś sposób by je obejść a materiały, które miały być przez nie chronione dostaną się do opinii publicznej czy tego chcemy czy też nie. Wszystko zależy od determinacji, pomysłowości oraz umiejętności osoby próbującej się do nich dostać.

Panie Piotrze, proszę jeszcze raz uważnie przeczytać moje wprowadzenie do niniejszego zagadnienia i nie wrzucać tu wszystkiego, co tylko Wam przyjdzie na myśl. Otóż, jak chodzi o przedmiot Bezpieczeństwo informacji ( http://fedcba.ning.com/group/bi ), nie przewiduje się w jego ramach studiowanie systemu organizacji służb bezpieczeństwa jako takich, w tym służb specjalnych. W przypadku Waszego planu studiów ( http://www.fem.put.poznan.pl/node/144?sc=22 ) traktuje o tym Przedmiot obieralny 6 Organizacja i funkcjonowanie systemów bezpieczeństwa ( http://fedcba.ning.com/group/oifsb ), w szczególności jego temat Rola służb w systemie bezpieczeństwa. Organizacja i funkcjonowanie służb bezpieczeństwa. Organizacja i metodyka pracy służb bezpieczeństwa i higieny pracy ( http://www.lemant.user.icpnet.pl/tad/seter1w-4.html ). Na drugim stopniu studiów inżynierii bezpieczeństwa ( http://www.fem.put.poznan.pl/node/144?sc=73 ) jest to jeszcze przedmiot Współczesne problemy bezpieczeństwa ( http://fedcba.ning.com/group/wpb ), w szczególności jego temat Organizacje, podmioty i struktury odpowiedzialne za bezpieczeństwo ( http://www.lemant.user.icpnet.pl/tad/seter2-w8.html ).

"została ona uchylona" - i zastąpiona przez Ustawę z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz.U. 2010 nr 182 poz. 1228).

Dbałość NATO o bezpieczeństwo, umiejętność stawienia czoła nowym wyzwaniom, to nie tylko zwykła dbałość o obronę wspólnego terytorium. Warto w tym kontekście myśleć i działać w odniesieniu do wielowymiarowego bezpieczeństwa Sojuszu Północnoatlantyckiego i jego członków. Mam tu na myśli chociażby kwestię bezpieczeństwa informacji niejawnych.

Do ochrony informacji niejawnych międzynarodowych stosuje się następujące akty prawne (wraz z wydanymi do nich aktami wykonawczymi i dokumentami pomocniczymi):

  • ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182,poz.1228);

  • umowa między  Stronami Traktatu Północnoatlantyckiego o ochronie informacji sporządzona  w Brukseli dnia 6 marca 1997 r. (Dz. U. z 2000 r. Nr 64, poz. 740);

  • umowa między Stronami Traktatu Północnoatlantyckiego o Współpracy w dziedzinie informacji atomowych sporządzona w Paryżu dnia 18 czerwca 1964 r. (Dz. U. z 2001 r. Nr 143, poz.1594);

  • C-M (2002) 49 – bezpieczeństwo w ramach Organizacji Traktatu Północnoatlantyckiego Traktat Akcesyjny podpisany dnia 16 kwietnia 2003 r. (Dz. U. z 2004 r. Nr 90, poz. 864, z późn. zm.);

  • Rozporządzenie Rady Europejskiej Wspólnoty Energii Atomowej (Euratom) nr 3 z dnia 31 lipca 1958 r. (Dz. UE. L. z 1958 r. Nr 17, poz. 406);
  • Decyzja Rady Unii Europejskiej2001/264/EC z dnia 19 marca 2001 r. w sprawie przyjęcia przepisów Rady dotyczących bezpieczeństwa (Dz. U. UE. L. z 2001 r.Nr 101, poz. 1 z późn. zm.);

  • Decyzja Komisji Europejskiej 2001/844/EC z dnia 29 listopada 2001 r. (Dz. U. UE. L. z 2001 r. Nr. 317, poz. 1);

  • bilateralne umowy (porozumienia, memoranda) o wzajemnej ochronie informacji niejawnych oraz inne umowy zawierające regulacje dotyczące ochrony informacji niejawnych międzynarodowych.

Sojuszu Północnoatlantyckiego działa na rzecz wspólnego bezpieczeństwa a w przyszłości stanie się skuteczniejszy, trwalszy i bardziej stabilny.

Cytując z nich tak wiele, wypadało powołać się na Wytyczne w sprawie postępowania z informacjami niejawnymi międzynarodowymihttp://bip.abw.gov.pl/download.php?s=1&id=552 ), prawda?

   Wdrążając się w ten temat odpowiedzmy sobie na początek na pytanie co to są informacje niejawne? Otóż informacje niejawne to takie, które podlegają szczególnej ochronie przed celowym, przypadkowym czy też nieuprawnionym ujawnieniem.                 Powołując się na Ustawę  z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182,poz.1228) pragnę przytoczyć artykuł , który znalazłam w Internecie http://www.4itsecurity.pl/index.php/kategorie/informacje-niejawne/7... , w  którym właśnie poruszono problematykę bezpieczeństwa informacji niejawnych. Z artykułu wynika iż bardzo ważnym elementem w ustawie z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych jest nałożony na kierowników jednostek organizacyjnych obowiązek zapewnienia bezpieczeństwa teleinformatycznego wszystkim systemom i sieciom informatycznym, w których przetwarza się informacje niejawne.                     Wytwarzanie, przetwarzanie, przechowywanie lub przekazywanie informacji niejawnych stanowiących tajemnicę państwową w systemach teleinformatycznych jest dopuszczalne:

  • po uzyskaniu świadectwa akredytacji bezpieczeństwa systemu teleinformatycznego wydawanego przez Służby Ochrony Państwa, której udziela się na czas określony, nie dłuższy niż 5 lat dla klauzuli „poufne” lub wyższej,
  • po akredytacji kierownika jednostki organizacyjnej przez zatwierdzenie dokumentacji bezpieczeństwa systemu teleinformatycznego dla klauzuli „zastrzeżone”.’’

Na początek ustalmy co to jest bezpieczeństwo teleinformatyczne ?

Bezpieczeństwo teleinformatyczne - bezpieczeństwo systemów i sieci teleinformatycznych czyli urządzeń, narzędzi, metod postępowania i procedur stosowania przez wyspecjalizowanych pracowników w celu wytwarzania, przechowywania i przekazywania bezpiecznie informacji Bezpieczeństwo teleinformatyczne osiągnąć poprzez realizacje odpowiednich rodzajów przedsięwzięć takich jak:

  • organizację i zarządzanie bezpieczeństwem,
  • bezpieczeństwo fizyczne,
  • bezpieczeństwo osobowe,
  • bezpieczeństwo nośników informacji,
  • bezpieczeństwo sprzętowe,
  • bezpieczeństwo oprogramowania,
  • ochronę kryptograficzną,
  • ochrona elektromagnetyczna,
  • bezpieczeństwo transmisji,
  • kontrolę dostępu do systemu lub sieci teleinformatycznych.

Rozpatrując po kolei w/w możemy krótko scharakteryzować:                                   organizację i zarządzanie bezpieczeństwem teleinformatycznym - poprzez wyznaczenie osoby za to odpowiedzialnej i zakresu  i odpowiedzialności jej działań.           „Za ochronę informacji niejawnych w jednostce organizacyjnej odpowiada kierownik tej jednostki. Za zapewnienie przestrzegania przepisów o ochronie informacji niejawnej odpowiada pełnomocnik ochrony. Kierownik jednostki organizacyjnej wyznacza Administratora systemu oraz Inspektora BTI, przy współpracy, których zapewnia bezpieczeństwo teleinformatyczne w jednostce organizacyjnej jeszcze przed przystąpieniem do przetwarzania informacji niejawnych.”

bezpieczeństwo fizyczne  poprzez dokonanie właściwego doboru pomieszczenia odpowiednio zabezpieczonego przed nieuprawnionym dostępem, podsłuchem czy podglądem z doskonałymi rozwiązaniami nie kolidującymi z pracą użytkowników tego systemu w którym zainstalowane będą urządzenia systemu czy też sieci przez kierownika jednostki.

bezpieczeństwo osobowe  „wszyscy użytkownicy systemu lub sieci teleinformatycznej muszą posiadać poświadczenie bezpieczeństwa osobowego odpowiednie do najwyższej klauzuli informacji, do jakiej mogą mieć oni potencjalny dostęp w systemie lub sieci teleinformatycznej. ”

bezpieczeństwo nośników informacji poprzez opis środków ochrony nośników, wdrążenie zasad kontroli, klasyfikacji i ewidencji (od najwyższej klauzuli tajności informacji przechowywanych na tych nośnikach) przez pracowników odpowiedzialnych za bezpieczeństwo teleinformatyczne.

bezpieczeństwo sprzętowe poprzez odpowiedni sprzęt i urządzenia dostosowane do warunków „pracy określonych przez lokalizację oraz klauzule tajności informacji przetwarzanych w tych systemach i sieciach.”

bezpieczeństwo oprogramowania poprzez zainstalowanie oprogramowania odpowiedniego do warunków pracy, wykonanie kopii zapasowych oryginałów czy weryfikacja poprawności zapisu.

ochrona kryptograficzna poprzez stosowanie środków i metod zabezpieczających informacje (np. szyfrowanie) i technik kryptograficznych.

ochrona elektromagnetyczna poprzez zastosowania środków i procedur ochrony elektromagnetycznej, umieszczenie urządzeń, połączeń i linii w strefach ochronnych gwarantujących spełnienie wymogów zabezpieczenia elektromagnetycznego lub zastosowanie urządzeń, połączeń i linii o obniżonym poziomie emisji albo ich ekranowanie.”

bezpieczeństwo transmisji poprzez zastosowanie ochrony kryptograficznej systemu lub sieci teleinformatycznej.

kontrola dostępu do systemu poprzez wyposażenie w mechanizmy kontroli dostępu odpowiednie do klauzuli tajności informacji niejawnych przetwarzanych w tych systemach lub sieciach, prowadzenie  i stosowanie zasad i procedur w zakresie haseł dostępowych, a także, aby systemy i sieci teleinformatyczne przetwarzające informacje niejawne prowadziły automatyczną ewidencję zdarzeń w systemie lub sieci oraz rejestr dostępu do informacji niejawnych przechowywanych na elektronicznych lub magnetycznych nośnikach danych.”

 

Pani Magdaleno, dziękuję bardzo za zarekomendowanie nam wszystkim tego cennego artykułu. Mój Facebookowy znajomy [Dariusz Łydziński ( https://www.facebook.com/profile.php?id=100000448661900&fref=ts... )] byłby jednak jeszcze bardziej zadowolony, gdybyście docenili także inne artykuły jego ( http://www.4itsecurity.pl/index.php/o-mnie ) blogu.

Warto rzucić okiem jakie zalecenia do wdrożenia podaje Rządowy Zespół Reagowania na Incydenty Komputerowe, że pozwolę sobie zacytować tylko niektóre z nich:

Zastosowanie różnych form inżynierii społecznej pozwala na wysoką skuteczność tego rodzaju ataków, dlatego też CERT.GOV.PL zaleca użytkownikom:

-wyłączenie opcji autopodglądu załącznika w kliencie pocztowym.
-nieotwieranie załączników zawartych w mailach z nieznanego źródła.
-nieotwieranie załączników zawartych w „niezamówionych” mailach z innej bądź macierzystej instytucji państwowej, nawet jeśli na pierwszy rzut oka wyglądają na wysłane z instytucji, z którą na co dzień współpracujemy.
-zgłaszanie administratorom sieci oraz osobom odpowiedzialnym za bezpieczeństwo informacji wszelkich nietypowych sytuacji podczas pracy, takich jak:
o nieoczekiwane zamknięcie programu podczas otwierania plików,
o czasowe lub trwałe zawieszenie się aplikacji,
o znaczne spowolnienie pracy komputera.

Więcej informacji tutaj oraz w innych działach rządowej strony cert.gov.pl.

----------------------------------

Nieco odbiegając od tematu.

Co do samej organizacji CERT, znalazłem dokument przez nią sporządzony "Klasyfikacja i terminologia incydentów naruszających bezpieczeństwo sieci". Jest w nim wzmianka o rodzajach intruzów i podziale ich wg celów, które chcą osiągnąć. Zainteresowało mnie, że wśród definicji znaleźli się również terroryści. Zostali oni opisani jako: Atakujący, którzy próbują wywołać zagrożenie w celu osiągnięcia korzyści politycznych.

W świetle ostatnich wypadków we Francji, warto być świadomym, że terroryzm działa również w sieci. Już parę lat temu pojawiły się informacje, jakoby Al-Kaida zamierzała  stworzyć "sieciowy uniwersytet dżihadu", rekrutujący i szkolący potencjalnych terrorystów w Wielkiej Brytanii, dzięki czemu uniknęliby oni ryzykownych wyjazdów do obozów w Pakistanie. W 2002 roku pojawiały się stosowne artykuły na ten temat. Dzisiaj widzimy, że szkolenie online a nawet egzekucje pokazywane w znanych serwisach wideo są na porządku dziennym, co poprzez swoje zuchwalstwo powoduje uzasadniony lęk społeczeństwa europejskiego. Dzieje się to wszystko mimo przyjęcia przez kraje NATO Programu Prac na Rzecz Obrony przed Terroryzmem – The Defence Against Terrorism Programme of Work (DAT), w którym to mowa jest o wspomaganiu przez państwa członkowskie badań naukowych i prac w celu udoskonalania technologii wspomagających zwalczanie terroryzmu, również w internecie. Cóż, możemy mieć tylko nadzieję, że NATO cały czas idzie z duchem czasu i wpłynie również w jakiś sposób na nowatorskie pomysły islamskich radykałów, którzy sieć internetową wykorzystują coraz śmielej.

RSS

© 2015   Created by Tadeusz Lemańczyk.   Powered by

Badges  |  Report an Issue  |  Terms of Service