System teleinformatyczny w rozumieniu Ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną jest to zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania, zapewniający przetwa-rzanie i przechowywanie, a także wysyłanie i odbieranie danych poprzez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci urządze-nia końcowego w rozumieniu Ustawy z durządze-nia 21 lipca 2000 r., Prawo teleko-munikacyjne [Dz. U. z 2004 r. Nr 171, poz. 1800].
Do przytoczonej definicji odsyła również Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych art.2 ust. 6. [Dz. U. z 2010 r. Nr 144, poz. 1204]. Z powyższego wynika, że systemy teleinformatyczne wykorzystywane
są w celu tworzenia, przechowywania wysyłania i odbierania różnego rodzaju informacji oraz danych. Do realizacji tych celów służą:
komputery,
odpowiednie oprogramowanie, sieci telekomunikacyjne,
wspólna sieć teleinformatyczna [Pawlak 2011, s. 8].
Systemy teleinformatyczne gromadzące różnego rodzaju dane powinny się charakteryzować wysokim stopniem bezpieczeństwa przechowywanych informacji. W tym miejscu można postawić pytanie, co tak naprawdę chroni-my, informację czy komputer. Według Krzysztofa Lidermana celem wszelkich działań z zakresu bezpieczeństwa teleinformatycznego jest ochrona infor-macji, a nie komputerów. Komputery są nośnikami informacji i dlatego po-winny być w sposób szczególny chronione przed nieuprawnionym dostępem [Liderman 2003, s. 15]. Zatem istotą systemu teleinformatycznego jest wytwa-rzanie, przetwawytwa-rzanie, przechowywanie informacji (danych) za pomocą kom-puterów i przesyłanie ich (dostarczanie) za pomocą sieci telekomunikacyjnych do innego (innych) użytkowników danego systemu teleinformatycznego, nie zapominając o tym, aby każda informacja była właściwie chroniona na każ-dym etapie.
Bezpieczeństwo teleinformatyczne
Bezpieczeństwo teleinformatyczne to stopień uzasadnionego zaufania, pole-gający na tym, że z powodu niepożądanego ujawnienia (świadomego lub przypadkowego), zniszczenia bądź modyfikacji, jak również uniemożliwienia przetworzenia informacji, która jest przechowywana i przesyłana za pośred-nictwem systemów teleinformatycznych, nie zostaną poniesione żadne straty [Liderman 2006, s. 5]. Bezpieczeństwo informacyjne nie ma jednoznacznej wykładni i wraz z towarzyszącym mu terminem bezpieczeństwo informacji jest używane w różnych znaczeniach. I tak, bezpieczeństwo informacyjne K. Lider-man określa jako „uzasadnione zaufanie podmiotu do jakości i dostępności pozyskiwanej informacji, pojęcie bezpieczeństwa informacyjnego dotyczy podmiotu (człowiek, organizacja), który może być zagrożony utratą zasobów informacyjnych albo otrzymaniem informacji o nieodpowiedniej jakości” [Liderman 2012, ss. 11–12]. W opinii tegoż autora, ze względu na coraz to większy udział w transmisji, przechowywaniu i przetwarzaniu informacji, bez-pieczeństwo informacyjne jest wrażliwe na różne formy cyberzagrożeń, w tym również nie jest wolne od działań terrorystycznych [Więcaszek-Kuczyńska 2014, s. 212].
Bezpieczeństwo informacji niejawnych przetwarzanych w systemach teleinformatycznych
109 S. Kowalkowski definiuje bezpieczeństwo informacyjne jako wzrost znacze-nia stabilności informacji pomiędzy współczesnymi międzynarodowymi sys-temami, jak również ich zabezpieczenia przed atakami sieciowymi, skutkami tych ataków, umiejscawiając je jako kategorię bezpieczeństwa wewnętrzne-go, obok bezpieczeństwa społecznewewnętrzne-go, politycznewewnętrzne-go, militarnewewnętrzne-go, ekono-micznego, kulturowego i ekologicznego [Kowalkowski 2011, ss. 13–15]. Defi-nicję bezpieczeństwa informacyjnego zawierają także polskie normy PN-ISO/IEC 27001:2007 oraz PN-PN-ISO/IEC 17799:2007 jako zachowanie poufno-ści, integralności i dostępności informacji; dodatkowo mogą być brane pod uwa-gę inne własności, takie jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność [PKN 2007, s. 9].
Rysunek 2. Cechy bezpieczeństwa teleinformatycznego (informacji)
Źródło: opracowanie własne.
Zatem można przyjąć, iż bezpieczeństwo teleinformatyczne dotyczy in-formacji z zachowaniem, poufności, integralności i dostępności, autentycz-ność, rozliczalautentycz-ność, niezaprzeczalność i niezawodność informacji [Nowak, Scheffs 2010, s. 24]. Do zachowania wymienionych atrybutów informacji dąży się poprzez zastosowanie różnorodnych zabezpieczeń mających na celu
ochronę informacji (w tym informacji niejawnych), zabezpieczeniem będą tu zarówno zabezpieczenia urządzeń, jak również wyposażenie widoczne pod-czas świadczenia codziennej pracy. Warto jednak zwrócić uwagę nie tylko na te aspekty zapewnienia bezpieczeństwa, ale na wszystkie czynności prowa-dzące do zabezpieczenia informacji, które powinny zostać poprzedzone zde-finiowaniem potencjalnych zagrożeń oraz określeniem podatności konkret-nych zasobów na dane zagrożenie, w tym głównie:
analiza ryzyka, które przygotowuje użytkowników na wystąpienie potencjal-nych zagrożeń, ale może również zaoszczędzić wiele wydatków, gdyż nie-które ryzyka mogą zostać uznane za akceptowalne [Iwaszko 2012, s. 137]; ograniczenie do niezbędnego minimum uprawnień użytkowników systemu; minimalizacja funkcjonalności systemu teleinformatycznego;
zasada ograniczonego zaufania, która powinna być skierowana zarówno do personelu przetwarzającego informacje (informacje niejawne) w systemach teleinformatycznych, jak i do wszystkich systemów współpracujących; procedury zapobiegające incydentom bezpieczeństwa
teleinformatyczne-go, umożliwiające jak najszybsze wykrywanie incydentów bezpieczeństwa teleinformatycznego oraz zapewniające niezwłoczne informowanie od-powiednich osób o wykrytym incydencie [Iwaszko 2012, s. 138];
procedury postępowania w sytuacjach kryzysowych (w przypadkach awarii elementów systemu teleinformatycznego lub innych zabronionych zda-rzeń), w tym także dostarczania dowodów działań naruszających zasady bezpieczeństwa dla systemu teleinformatycznego przetwarzającego in-formacje niejawne.
Ochrona elektromagnetyczna systemu teleinformatycznego
Ochrona ta polega na niedopuszczeniu do utraty poufności i dostępności informacji niejawnych przetwarzanych w tych systemach. Utrata poufności następuje zwłaszcza na skutek wykorzystania elektromagnetycznej emisji ujawniającej, pochodzącej z urządzeń teleinformatycznych. Aby system za-bezpieczeń był skuteczny, środki ochrony elektromagnetycznej powinny być implementowane w jednostkach centralnych danego systemu, jak również w urządzeniach sieciowych oraz w każdym urządzeniu pośredniczącym. Po-żądany poziom bezpieczeństwa jest osiągalny poprzez wprowadzenie wielo-poziomowej ochrony systemu teleinformatycznego, polegającej na zastoso-waniu wszelkich możliwych zabezpieczeń w wielu różnych poziomach orga-nizacji z uwzględnieniem jego atrybutów wykazanych wcześniej w tejże pu-blikacji [Witkowski 2014, s. 5].
Bezpieczeństwo informacji niejawnych przetwarzanych w systemach teleinformatycznych
111