Bezpieczeństwo teleinformatyczne – zbiór zagadnień z dziedziny informatyki związane z kontrolą i szacowaniem ryzyka związanego z korzystaniem z sieci komputerowych i przesyłu danych. Jest to także bezpieczeństwo informacji oraz systemów teleinformatycznych, które rozpatruje się w instytucjach udostępniających lub wykorzystujących infrastrukturę teleinformatyczną do osiągnięcia wyznaczonych celów. Za bezpieczeństwo przetwarzania informacji niejawnych odpowiada kierownik jednostki organizacyjnej. Bezpieczeństwo informacji trzeba zapewnić, przed ale i w trakcie przetwarzania informacji niejawnych. Podstawowe wymagania związane z elektronicznym przetwarzaniem informacji niejawnych określa w rozdziale 10 bezpieczeństwo systemów i sieci teleinformatycznych ustawa o ochronie informacji niejawnych z dnia 5 sierpnia 2010.

Zarządzanie bezpieczeństwem jest procesem złożonym i ciągłym, który umożliwia bezpieczną realizację misji.

Zarządzanie bezpieczeństwem jest szeregiem uzupełniających się procesów:

• opracowaniem polityki bezpieczeństwa instytucji w zakresie systemów informatycznych

• identyfikacją i analiza zagrożeń dla zasobów

• doborem właściwych zabezpieczeń redukujących ryzyko

• monitorowaniem procesu wdrożenia zabezpieczeń i ich ocena podczas eksploatacji systemu

• opracowywaniem i wdrożeniem programu szkoleniowego dotyczącego wprowadzonych zabezpieczeń

• wykrywaniem i reakcją na incydenty

Bezpieczeństwo rozpatrywać można na kilku poziomach tj. poziomie instytucji, infrastruktury teleinformatycznej oraz poszczególnych systemów.

• Poziom instytucji:

Podstawowe wytyczne, dotyczące całej instytucji. Regulacje muszą mieć odzwierciedlenie w realiach prawnych instytucji. Chroniona jest: ciągłość misji, ciągłość procesów biznesowych, zdolność świadczenia usług, reputacja, działanie zgodnie z prawem.

• Infrastruktury teleinformatycznej:

Operuje się tutaj pojęciem polityki bezpieczeństwa instytucji w zakresie systemów informatycznych. Określa się zbiór praw, reguł i wskazówek praktycznych, które określają jak zasoby informatyczne, a w tym informacje wrażliwe są zarządzane, chronione i dystrybuowane w instytucji i jej systemach teleinformatycznych. Ochronie podlegają: zasoby informacji, oprogramowanie, sprzęt, kadry, dokumenty (w tym dotyczące eksploatacji oraz samych zabezpieczeń).

• Poszczególnych systemów

Bezpieczeństwo systemu teleinformatycznego jest na poziomie najsłabszego z używanych systemów. Używa się tu polityki bezpieczeństwa systemu teleinformatycznego, który przedstawiony jest, jako zestaw praw i reguł praktycznych doświadczeń ustalających sposób zarządzania, ochrony i dystrybucji informacji wrażliwej wewnątrz określonego systemu.

Błędy zabezpieczeń.

Sytuacje, w których oprogramowanie działa niewłaściwie towarzysza ludziom od samego początku kształtowania się systemu teleinformatycznego. Często prowadzi to do tragedii i wypadków. W związku z rozwojem internetu i łączności modemowej problemem stało się to, iż mimo prawidłowego działania programu pozwala on na ingerencje osób trzecich. Takie zachowanie określane jest mianem błędów zabezpieczeń. Błędy zabezpieczeń dzieli się na kilka grup.

Jedną z nich są błędy projektowe, które wynikają z błędnego rozumienia funkcjonowania sieci komputerowej. Do tej kategorii zalicza się np.; wykorzystanie szyfrów, które są podatne na ataki.

Kolejnymi kategoriami są błędy implementacyjne i błędy konfiguracyjne. Do pierwszej kategorii zalicza się błędy programistów, a do drugiej pomyłki, które popełnia administrator.

Organizacja ochrony systemów teleinformatycznych przeznaczonych do przetwarzania krajowych informacji niejawnych

Za ochronę informacji niejawnych odpowiada kierownik jednostki organizacyjnej, w której te informacje są przetwarzane. Kierownik wyznacza pełnomocnika do spraw ochrony informacji niejawnych, do którego należy m.in. zapewnienie ochrony systemów teleinformatycznych, w których są przetwarzane informacje niejawne oraz szacowanie ryzyka. Oprócz pełnomocnika bezpieczeństwa powoływani są także inspektor bezpieczeństwa teleinformatycznego i administrator systemu.

Do kompetencji pierwszego z nich należy weryfikacja i bieżąca kontrola działającego systemu teleinformatycznego.

Administrator bądź administratorzy systemu odpowiedzialni są natomiast za funkcjonowanie systemu teleinformatycznego.

Akredytacja bezpieczeństwa teleinformatycznego systemów teleinformatycznych

Akredytacji bezpieczeństwa udziela się na okres nie dłuższy niż 5 lat.

Proces udzielania przez ABW akredytacji bezpieczeństwa teleinformatycznego systemowi teleinformatycznemu przeznaczonemu do przetwarzania informacji niejawnych o klauzuli „poufne” lub wyższej składa się z następujących etapów:

1. dokonanie przez ABW oceny dokumentacji bezpieczeństwa systemu teleinformatycznego,

2. złożenie do ABW wniosku WA o przeprowadzenie audytu bezpieczeństwa systemu teleinformatycznego oraz wydanie świadectwa akredytacji bezpieczeństwa systemu teleinformatycznego,

3. przeprowadzenie przez ABW audytu bezpieczeństwa systemu teleinformatycznego.

Proces udzielania przez ABW akredytacji bezpieczeństwa teleinformatycznego kończy się wydaniem świadectwa akredytacji bezpieczeństwa systemu teleinformatycznego.

Bibliografia:

1.Madej M., Terlikowski M., Bezpieczeństwo teleinformatyczne państwa, wyd. PISM, 2009

2.Olszewski R., Bezpieczeństwo współczesnego świata, wyd. Adam Marszałek, 2006

3.Tyrała P., Zarządzanie bezpieczeństwem, Międzynarodowa Konferencja Naukowa, Kraków 11-13 maja 2000, wyd. profesjonalnej szkoły biznesu

4.http://bip.abw.gov.pl/portal/bip/79/154/BEZPIECZENSTWO_TELEINFORMATYCZNE.html

5.http://www.zgapa.pl/zgapedia/Bezpiecze%C5%84stwo_teleinformatyczne.html