Wnioski i uwagi końcowe

Dokonując przeglądu podstawowych modeli infrastruktur, dokonano zarazem przeglądu prac dotyczących poznania zachowania infrastruktur oraz

43

wypracowania metod i narzędzi ochrony. Dąży się obecnie do wypracowania standardów i budowy komputerowych narzędzi wspomagających zarządzanie bezpieczeństwem tego typu złożonych systemów.

Funkcjonowanie infrastruktur oparte jest na procesach informacyjnych i dlatego wymaga zapewnienia bezpieczeństwa tych procesów, realizowanych w bardzo złożonych i rozproszonych systemach teleinformatycznych. Struktury te rozpatrywane są w aspekcie ochrony przed wpływem czynników zewnętrznych, jak i wewnętrznych.

Ochrona infrastruktury krytycznej ma charakter wielowymiarowy, wymaga wykorzystania dorobku wielu dziedzin i zaangażowania interdyscyplinarnych zespołów specjalistów. Wychodzi poza zakres bezpieczeństwa informacji dotyczący najbardziej rozbudowanych organizacyjnie instytucji. Do opracowania tak złożonych systemów bezpieczeństwa, zwanych tu systemami ochrony krytycznych infrastruktur informacyjnych, zaproponowano rozbudowaną (trójpoziomową i hierarchiczną) wersję systemu typu ISM S [9]. Rozwiązanie takie opiera się na dwóch przesłankach. Po pierwsze, ponieważ współczesne instytucje i infrastruktury są silnie uzależnione od technologii informatycznych, występuje u nich wspólna potrzeba tworzenia systemów ISM S i C IIP, przy czy w przypadku CUP bierze się dodatkowo pod uwagę wpływ infrastruktur na funkcjonowanie i rozwój społeczeństw. Po drugie, systemy typu ISM S są stosowane w wielu przedsiębiorstwach, które są jednocześnie operatorami infrastruktur, zaś zdobyte doświadczenia mogą być wykorzystane przy rozszerzaniu istniejących systemów ISM S do trójpoziomowego, hierarchicznego systemu typu ISM S dedykowanego dla infrastruktur [9].

Należy zwrócić uwagę na następujące podobieństwa i różnice pomiędzy dziedziną bezpieczeństwa informacji a ochroną krytycznej infrastruktury informacyjnej:

• bezpieczeństwo informacji jest dziedziną w której stosuje się dojrzałe metody, zwykle dostępne w postaci standardów, zaś zagadnienia C II stały się dopiero przedmiotem badań i nie istnieją dla nich dedykowane standardy;

• cele bezpieczeństwa (ochrony) dla infrastruktur są bardziej złożone, uwzględniają wymiar globalny (znaczenie dla społeczeństw), zależności poziome i pionowe, dodatkowe formy zagrożeń (np. związane z terroryzmem), dotyczą często wiarygodności bardzo złożonych systemów i ich zdolności do przetrwania; warstwa logiczna związana z systemami automatyki i nadzoru ma specyficzny charakter, co również wymaga uwzględnienia;

• do zapewnienia ochrony C II mogą być stosowane niektóre metody i komputerowe narzędzia wspomagające wykorzystywane dotąd w dziedzinie bezpieczeństwa informacji (IS M S ), takie jak narzędzia do: inwentaryzacji zasobów, analizy zagrożeń, podatności, ryzyka, audytu, wykrywania naruszeń, testowania bezpieczeństwą zarządzania systemem bezpieczeństwa czy raportowania, [15]; należy nadmienić, że potrzebne są ich bardziej rozbudowane funkcjonalnie i bardziej wydajne wersje; ponadto należy tworzyć całkiem nowe metody i narzędzia do: modelowania, analizy, symulacji, wspomagania decyzji podczas planowania ochrony, eksploatacji, reagowania

i odtwarzania, analizy scenariuszy zdarzeń, w tym oparte na teorii gier i modelach zachowań ludzkich, jak też należy zaimplementować mierniki poziomu ochrony; dużego znaczenia nabiera wymiana informacji zarządczej między elementami systemu;

Prace nad rozwojem metod i narzędzi wspomagających prowadzi się obecnie w krajach, w których infrastruktury krytyczne są najbardziej rozbudowane i jednocześnie najbardziej zagrożone. Powszechnie dostrzega się potrzebę współpracy międzynarodowej w tym zakresie. W yniki projektu C I2RCO znajdą zapewne odzwierciedlenie w planach Siódmego Programu Ramowego UE.

Literatura

1. European C I2RCO 6FP project, http://www.ci2rco.org

2. Kosmowski K.: Functional safety and security management in critical systems.

W : Stepnowski A., Ruciński A., Kosmowski K.: Proceedings of the IE E E International Conference on Technologies for Homeland Security and Safety - T EH O SS’2005. s. 323-332.

3. Białas A.: Critical information infrastructure protection - research issues and activities. W : Stepnowski A., Ruciński A., Kosmowski K.: Proceedings of the IE E E International Conference on Technologies for Homeland Security and Safety - T EH O SS’2005. s. 369-374.

4. Białas A., Flisiuk B.: Survey on CUP initiatives in selected E U New Member States. EC N - European C IIP Newsletter, Dec/Jan 2006, Vol. 2, Number 1, s.

10-12, http://www.ci2rco.org

5. Bologna S., Beer T.: An Integrated Approach to Survivability Analysis of Large Complex Critical Infrastructures. W : W illi S., Haemmerli B., Pohl H., Posch R.: Proceedings of the Critical Infrastructure Protection (C IP )

Workshop. Frankfurt a. M. 2003.

6. Schmitz W .: Modelling and Simulation for Analysis of Critical Infrastructures.

W : W illi S., Haemmerli B., Pohl H., Posch R.: Proceedings of the Critical Infrastructure Protection (C IP ) Workshop. Frankfurt a. M. 2003.

7. BS-7799-2:2002 Information security management systems - Specification with guidance for use. British Standard Institution (nowa wersja: to ISO 27001).

8. Białas A.: Information security systems vs. critical information infrastructure protection systems similarities and differences. In: Zamojski W.,

Mazurkiewicz J., Sugier J., Walkowiak T.: Proceedings of the International Conference on Dependability of Computer Systems DepCoS-RELCO M EX, M ay 2006, IE E E Computer Society Los Alamitos, Washington, Tokyo, IS B N 0-7695-2565-2, pp. 60-67.

9. Białas A.: Using IS M S concept for critical information infrastructure protection. In: Balducelli A., Bologna S. (eds), Proceedings of the

International Workshop on “ Complex Network and Infrastructure Protection - C N IP ’06” , E N E A - Italian National Agency for New Technologies, Energy

45

and the Environment, Rome, March 28-29, 2006, pp. 415-426, http://ciip.casaccia.enea.it/cnip06

10. Białas A.: IT security modelling. W : Arabnia H., R. (Ed.), Liwen H.,

Youngsong M. (Assoc. Co Eds). Proc. of the 2005 Int. Conf. on Security and Management - SAM'05 (The World Congress In Applied Computing, Las Vegas). C S R E A Press - U SA 2005, s. 502-505.

11. Białas A.: The ISM S Business Environment Elaboration Using a U M L

Approach. W : Zieliński K., Szmuc T. (Eds.). Software Engineering: Evolution and Emerging Technologies. IO S Press, Amsterdam 2005, s. 99-110.

12. Bialas A.: A U M L approach in the ISM S implementation. W : Proceedings of the IF IP 11.1 & 11.5 Working Conference. Fairfax (V A ), Springer Verlag, Heidelberg 2005.

13. SecFrame, http://www.cbst.iss.pl

14. Varnado S.: Modelling and Simulation for Critical Infrastructures - Status and Futures Issues. W : W illi S., Haemmerli B., Pohl H., Posch R.: Proceedings of the Critical Infrastructure Protection (C IP ) Workshop. Frankfurt a. M. 2003.

15. Bialas A.: Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, Wydawnictwa Naukowo-Techniczne, Warszawa 2006, IS B N 83-204- 3155-7.

16. Białas A.: Przegląd zagadnień ochrony krytycznej infrastruktury

informacyjnej, Rozdział w: Pochopień B., Kwiecień A., Grzywak A., Klamka J. (redakcja): Nowe technologie sieci komputerowych, Wydawnictwa

Komunikacji i Łączności, 2006, pp. 337-345.

R O Z D Z I A Ł I I I

O S T A T N IE 10 L A T P O L S K I E J K R Y P T O G R A F I I - C Z A S P R Z E Ł O M U ?

Janusz C E N D R O W S K I1

W związku ze zmianami ustrojowymi, które miały miejsce w latach 1989- 90, Polska wystąpiła z Układu Warszawskiego i zostały zreorganizowane służby ochrony państwa. Po kilku latach nasz kraj wstąpił do Organizacji Traktatu Północnoatlantyckiego i miała miejsce integracja z Unią Europejską. Nie mogło to być bez wpływu na środki i metody ochrony tajemnicy państwowej i służbowej w organach władzy i administracji publicznej oraz Siłach Zbrojnych, w szczególności środki i metody jej kryptograficznej ochrony.

Niniejsze opracowanie jest próbą podsumowania ostatnich 10 lat w historii kryptografii w Polsce; pierwotnie było przygotowane na dziesiątą edycję Konferencji Secure2006 zorganizowanej w dniach 17-18 października 2006 w Warszawie przez firmę Naukowo Akademicką Sieć Komputerowa.

Choć będziemy koncentrowali się na przestrzeni ostatnich 10 lat polskiej kryptografii, to w niektórych obszarach, aby dogłębnie przedstawić pewne zjawiska należy sięgnąć wcześniej.

Niewątpliwie nie wszystko, co w tej dziedzinie się wydarzyło, było dostępne opinii publicznej. Kryptografia, jak wiadomo, dzieli się na państwową oraz cywilną (komercyjną). Większość zagadnień z pierwszego obszaru jest niedostępnych publicznie, gdyż ich ujawnienie może naruszyć interes obronności i bezpieczeństwa państwa. Natomiast osiągnięcia kryptografii cywilnej są publikowane, gdyż tego wymaga charakter działalności naukowo-badawczej (np. wymagania publikacji) i biznesowej (np. reklama tworzonych i produkowanych rozwiązań).

Z drugiej strony kryptografia państwowa, tym bardziej w dzisiejszych czasach, nie może istnieć bez obszaru kryptografii cywilnej. Powodem jest wielki potencjał naukowy tej drugiej, szybkość wymiany informacji o nowych rozwiązaniach matematycznych i technicznych, ich silnych stronach i słabościach.

Epoka „czarnych gabinetów” i utajniana wszystkiego, co jest związane z kryptografią (przynajmniej w tym zakresie, w którym ją znamy) jest przeszłością.

Należy jednak podkreślić, że z przyczyn oczywistych przepływ informacji pomiędzy tymi obszarami jest zazwyczaj jednostronny - od kryptografii cywilnej do państwowej, a nie na odwrót.

1 Rozdział autorstwa dr inż. J. Cendrowskiego ukazuje się za zgodą NASK - Naukowej i Akademickiej Sieci Komputerowej. Stanowi rozszerzoną wersję wystąpienia Autora na konferencji Secure-2006

47

Produkcja urządzeń kryptograficznych też przestała być domeną Państwa, jak to było przed 1989 rokiem. Jest to zjawisko, które od wielu lat występuje w państwach NATO, gdzie tego rodzaju produkcję podejmują zazwyczaj działy specjalne firm komercyjnych.

Ponadto, zasady jawności funkcjonowania organów administracji publicznej, wprowadzane sukcesywnie po 1989 roku zakładają publikowanie regulacji prawnych również w obszarze ochrony informacji niejawnych, a więc i w obszarze zastosowań środków i metod ochrony kryptograficznej.

Dlatego celowym jest poświecenie uwagi temu, co wydarzyło się w ostatnich latach w Polsce w obszarze kryptografii cywilnej oraz w tych obszarach kryptografii państwowej, która może być dostępna szerokiej opinii publicznej.

Przepisy prawne

10 lat temu, w roku 1996, zagadnienie ochrony kryptograficznej istniało w oficjalnych przepisach prawnych szczątkowo. W ciąż obowiązywała nieznacznie znowelizowana Ustawa z 1982 roku o ochronie tajemnicy państwowej i służbowej [U T PS]. Art. 15 tej Ustawy wskazywał U O P jako właściwy do określania zasad przekazywania wiadomości stanowiących tajemnicę państwową i służbową za pomocą technicznych środków łączności oraz obligował naczelne i centralne organy państwowe do uzgadniania z U O P organizacji łączności szyfrowej i kodowej. Zarządzenia określające ww. zasady i wymagania w stosunku do środków łączności szyfrowej były tajne i dostępne praktycznie tylko dla instytucji państwowych posiadających kancelarie tajne.

Bardziej konkretna była Ustawa o U O P [UO P]. Art. 1, ust. 2, p. 7 tej ustawy wskazywał tę instytucję jako odpowiedzialną za kryptograficzną ochronę wiadomości stanowiących tajemnicę państwową i służbową a jawne, choć nieopublikowane zarządzenie nr 51 [51] Prezesa Rady Ministrów rozszerzało wykładnię tego przepisu.

Powyższe przepisy były zbyt ogólne i dawały UO P swobodę ich interpretowania i wydawania związanych tajnych aktów prawnych. Ponadto nie obejmowały systemów informatycznych a jedynie „techniczne środki łączności” .

Dopiero Ustawa o ochronie informacji niejawnych z dnia 22 stycznia 1999 r.

[U O IN ] i rozporządzenie w sprawie podstawowych wymagań bezpieczeństwa [R PW B 1 ] określiło w sposób jawny niektóre zadania, zarówno służb ochrony państwa, jak i podmiotów zamierzających przesyłać informacje niejawne w systemach i sieciach teleinformatycznych. Po kilku latach okazało się jednak, że część przepisów było nie precyzyjna i konieczne były nowelizacje, które te niespójności usunęły.

1. Zakres obowiązku ochrony kryptograficznej przy pomocy certyfikowanych urządzeń był w pierwszej wersji Ustawy [UO IN] ograniczony do informacji stanowiących tajemnicę państwową. Dopiero nowelizacja z 2001 roku

rozszerzyła ten obowiązek na informacje oznaczone klauzulą „poufne” . Co prawda z ogólnych przepisów (art. 20, ust. 2 [U O IN ]) wynikało, że również informacje oznaczone jako „zastrzeżone” wymagają ochrony w czasie przesyłania, ale brak było jednoznacznego wskazania na potrzebę ochrony kryptograficznej. Dopiero przepis par. 7 nowego rozporządzenia w sprawie podstawowych wymagań bezpieczeństwa, opublikowanego w 2005 r. [R PW B2 ], jednoznacznie wymaga takiej ochrony przy przesyłaniu informacji niejawnych poza „strefy kontrolowanego dostępu2” .

2. Zastosowanie pojęcia certyfikat, zarówno do urządzenia (narzędzia3) kryptograficznego, jak i do systemu (sieci) prowadziło do nieporozumień. Uzyskanie certyfikatu na urządzenie mogło być ( i było) rozumiane jako warunek wystarczający do jego eksploatacji. Dopiero nowelizacja [U O IN ] z roku 2005 wprowadziła rozróżnienie certyfikatu ochrony kryptograficznej oraz certyfikatu akredytacji systemu (sieci) teleinformatycznej.

3. Art. 60 Ustawy [U O IN ] z 1999 roku wymagał, aby urządzenia i narzędzia były certyfikowane, ale nie wskazywał wprost, że to służby ochrony państwa są uprawnione do wydawania tych certyfikatów.

Rozporządzenie wykonawcze [R PW B1 ] wskazywało w par. 10, ust. 2 służby ochrony państwa jako właściwe do potwierdzania „przydatności algorytmów i innych środków kryptograficznych do ochrony informacji niejawnych o określonej klauzul tajności” . Tą „właściwość do potwierdzania” należało rozumieć jako uprawnienia do oceny.

Jednocześnie to samo rozporządzenie, w par. 4, umożliwiało uznawanie obcych certyfikatów, jeśli zostały wydane prze Krajową Władzę Bezpieczeństwa w kraju NATO. Kolejność paragrafów mogła sugerować, że uznawanie obcych rozwiązań powinno być priorytetowe.

Brak oficjalnych informacji, że praktyka uznawania była stosowana, natomiast na liście certyfikowanych rozwiązań A B W znalazło się kilka rozwiązań obcych, ale po przejściu normalnej procedury badań i certyfikacji. Dopiero nowelizacja [U O IN ] z 2005 roku wskazuje wprost w art. 60, ust. 3, że „Urządzenia i narzędzia kryptograficzne, służące do ochrony informacji niejawnych stanowiących tajemnicę państwową lub tajemnicę służbową oznaczonych klauzulą „poufne” , podlegają badaniom i certyfikacji prowadzonym przez służby ochrony państwa” .

2 Łącznie strefy bezpieczeństwa i administracyjne.

Narzędzie kryptograficzne pojawiło się w [UOIN] jako synonim oprogramowania realizującego funkcje kryptograficzne; z niezrozumiałych przyczyn prawnicy uczestniczący w opracowywaniu projektu [UOIN] nie zgodzili się na termin oprogramowanie i tak pozostało do dzisiejszego dnia.

4. Ustawa [U O IN ] rozdziela kompetencje obu służb ochrony państwa w zakresie kontroli na strefę „wojskową” 4 (jednostki organizacyjne i podmioty gospodarcze podległe Ministrowi Obrony Narodowej lub przez niego nadzorowane5) i „cywilną” 6 (pozostałe jednostki organizacyjne przetwarzające informacje niejawne). Nie było natomiast określone, czy certyfikaty wydawane przez obie służb ochrony państwa są wzajemnie uznawalne. Dopiero Art. 60, ust. 4 noweli Ustawy [UO IN ] z 2005 roku wprowadza wzajemną ich uznawalność. Nie znaczy to oczywiście, że posiadanie certyfikatu ochrony kryptograficznej wystawionej przez jedną służbę ochrony państwa daje wystarczającą podstawę do uzyskania od drugiej służby certyfikatu akredytacji. Co więcej, posiadanie certyfikatu ochrony kryptograficznej nie oznacza, że wydające go służba ochrony państwa automatycznie wyda certyfikat akredytacji. Należy spełnić szereg kolejnych warunków określonych przez przepisy - opracować politykę bezpieczeństwa budowanego systemu w formie szczególnych wymagań bezpieczeństwa i procedur bezpiecznej eksploatacji, pomyślne przejść audyt itp.

5. Przepisy rozdziału X [U O IN ] i rozporządzenia [R PW B 2 ], choć może rewolucyjne dla funkcjonariuszy, oficerów oraz pracowników pionów ochrony przyzwyczajonych do tradycyjnych dokumentów niejawnych są wysoce niewystarczające dla informatyków, którym powierza się opracowanie szczególnych wymagań bezpieczeństwa i procedur bezpiecznej eksploatacji. W szczególności, problemem jest, jakie środki kryptograficzne będą zaakceptowane przez służby ochrony państwa dla ochrony informacji oznaczonych klauzulą „zastrzeżone” . Brak obowiązku używania środków certyfikowanych nie oznacza, że można stosować dowolne w tym pochodzące z niewiadomych źródeł.

Nieocenione w tym przypadku były 3-dniowe szkolenia prowadzone do roku 2005 przez D B T I A B W oraz pakiet zaleceń A B W w zakresie bezpieczeństwa teleinformatycznego (jawne zalecenia ogólne [Zal] oraz szereg niejawnych zaleceń szczegółowych). Niestety od początku roku 2006 ww. szkolenia zostały z niewiadomych przyczyn zredukowane do jednodniowych.

Polskie prawo nie stawia żadnych zakazów lub ograniczeń w zakresie wykorzystania środków kryptograficznych dla ochrony poufności w celach prywatnych, ochrony informacji biznesowych (tajemnica przedsiębiorstwa) czy też pozostałych tajemnic zawodowych. Regulacje występują natomiast w obszarze stosowanie podpisu elektronicznego, jeśli ma być „bezpieczny” (o czym będzie dalej)

4 Termin autora.

5 Pełną definicję tej strefy zawiera art. 29 ust. 1 [UOIN], 6 Termin autora.

oraz niektórych obszarów ochrony danych osobowych. Rozporządzenie wykonawcze [RDPD] do ustawy o ochronie danych osobowych [UODO] zawiera nakaz ochrony poufności i integralności danych osobowych, o których mowa w art. 27 ust 1 tej ustawy na nośnikach i urządzeniach wynoszonych z obszarów podlegających kontroli administratora danych(a więc np. w komputerach przenośnych). To samo rozporządzenie obliguje do zastosowania kryptograficznych środków ochrony wobec danych służących do uwierzytelnienia, przesyłanych w sieciach publicznych. Wyżej wymienione przepisy sąjak widać dosyć wybiórcze.

Inaczej przedstawia się sprawa w zakresie produkcji i obrotu środkami ochrony kryptograficznej.

Import i eksport środków ochrony kryptograficznej był i jest do tej pory regulowany przez przepisy Ustawy o obrocie z zagranicą towarami, technologiami i usługami o znaczeniu strategicznym [UO ZT]. W pierwszej wersji tej Ustawy („Ustawa o zasadach szczególnej kontroli z zagranicą” - rok 1993) przepisy były dość restrykcyjne i koncentrowały się na udzielaniu zgody przez służby ochrony państwa na import środków ochrony kryptograficznych, przeznaczonych dla ochrony informacji stanowiących tajemnicę państwową lub służbową. Nowa Ustawa uchwalona 29 listopada 2000 roku [UO ZT], opierając się na regulacjach Porozumienia z Wassenaar, do którego przystąpiła Rzeczpospolita Polska, zwiększyła jeszcze restrykcyjność kontroli.

Podmiot gospodarczy dokonujący obrotu z zagranicą musiał uzyskiwać zezwolenie właściwego organu administracji rządowej (Ministerstwa Gospodarki) na eksport, import lub transfer przez polski obszar celny każdego urządzenia lub oprogramowania, w którym parametry mechanizmów kryptograficznych były większe niż określone w liście towarów stanowiącej załącznik do rozporządzenia wykonawczego, a nie mógł być zwolniony na podstawie innych cech (np. sprzedaż przez Internet, e-mail, telefonicznie lub detaliczna /ang. retail/). Za przekroczenie przepisów groziła kara od roku do 10 lat pozbawienia wolności i to nawet w przypadku winy nieumyślnej.

Uzyskanie zezwolenia było i jest uzależnione od posiadania Wewnętrznego Systemu Kontroli, zgodnego z normami serii ISO 9000, certyfikowanego przez akredytowanąjednostkę certyfikującą.

Z drugiej strony, interpretacja cech zwalniających z obowiązku uzyskania zezwolenia nastręczała dużo trudności zarówno przedsiębiorcom, jak i organom państwowym, w tym urzędom celnym i prokuratorom angażowanym do kontroli i ścigania przypadków naruszenia przepisów tej Ustawy. Dochodziło do przypadków, kiedy to ambasada USA, państwa w którym kontrola eksportu jest bardzo restrykcyjną, na prośbę firm amerykańskich i polskich przedstawiała polskim organom administracji

51

rządowej amerykańską interpretację przepisów Porozumienia z Wassenaar, aby uchronić obywateli polskich przed odpowiedzialnością kamą.

Po wejściu Polski do U E, przepisy wyraźnie złagodzono. Nie jest już wymagane zezwolenie na import środków ochrony kryptograficznej (art. 6 ust. 3 [UO ZT]). Z drugiej strony import urządzeń i oprogramowania kryptograficznego oraz niektórych środków łączności, które wcześniej wymagały zezwolenia został objęty monitorowaniem przez Szefa A B W .

Zamiast polskiego rozporządzenia, zawierającego listę towarów podlegających kontroli, nowelizacja Ustawy [UO ZT] z 2004 roku odwołuje się do rozporządzenia Rady (W E ) nr 1334/2000 z dnia 22 czerwca 2000 r.

ustanawiającego wspólnotowy system kontroli eksportu produktów i technologii podwójnego zastosowania (Dz. Urz. W E L 159 z 30.06.2000) - i rozporządzeń późniejszych. Przyjęte rozwiązanie ma tę niewątpliwą zaletę, że nie trzeba czekać na dostosowanie polskich przepisów do europejskich w przypadku zmiany w liście towarów podlegających kontroli.

Podobnym do poprzedniego aktem prawnym jest Ustawa z 2001 roku o wykonywaniu działalności gospodarczej m.in. w zakresie wyrobów i technologii 0 przeznaczeniu wojskowym lub policyjnym [U W D G ], Do tego rodzaju wyrobów 1 technologii zaliczono te same środki ochrony kryptograficznej, które podlegały obowiązkowi uzyskiwania zezwolenia na mocy Ustawy o obrocie z zagranicą [UO ZT]. Różnica pomiędzy tymi aktami prawnymi polega na tym, że Ustawa o wykonywaniu działalności gospodarczej [U W D G ] dotyczy nie obrotu międzynarodowego, ale obrotu wewnętrznego, a oprócz tego swoim zakresem obejmuje również samo wytwarzanie7. Podstawowym problemem związanym z interpretacją przepisów, zarówno Ustawy [U W D G ], jak i rozporządzeń wykonawczych do niej jest to, że za „wojskowe lub policyjne” uznaje się te środki ochrony kryptograficznej, które będą używane do ochrony informacji niejawnych.

Obowiązek uzyskiwania koncesji M SW iA na wytwarzanie i obrót tego rodzaju technologiami i wyrobami dotyczy więc tych podmiotów gospodarczych, które przewidują sprzedaż tych wyrobów do podmiotów podlegających Ustawie o ochronie informacji niejawnych.

Reasumując, na dzień dzisiejszy, funkcjonowanie trzech wyżej przedstawionych aktów prawnych można przedstawić w postaci następujących przykładów.

a) Firma, która produkuje oprogramowanie szyfrujące i zamierza je sprzedać innemu podmiotowi gospodarczemu do ochrony tajemnicy przedsiębiorstwa, bankowej, lekarskiej itp. - nie musi spełniać żadnych warunków związanych z powyższymi przepisami.

7 Kontrola wytwarzania dotyczy tylko wyrobów a nie technologii, a więc uczelnie i ośrodki naukowe nie muszą uzyskiwać koncesji.

b) Natomiast, jeśli to oprogramowanie ma być używane do ochrony informacji oznaczonych klauzulą „zastrzeżone” , to firma musi spełnić wymagania [U W D G ] i uzyskać koncesję M SW iA .

c) Firma, która zamierza konstruować urządzenia przeznaczone dla ochrony informacji niejawnych od poziomu „poufne” musi spełnić szereg bardzo trudnych warunków określonych w [U O IN ] (strefa bezpieczeństwa, kancelaria tajna, poświadczenia dla pracowników, ochrona systemu teleinformatycznego - potwierdzona zatwierdzeniem Szczególnych Wymagań Bezpieczeństwa). W szczególności, jeśli urządzenia mają być używane do ochrony informacji stanowiących tajemnicę państwową musi uzyskać świadectwo bezpieczeństwa przemysłowego. Aby sprzedawać swoje urządzenia Firma musi zgodnie z [UO IN ] poddać je badaniom i certyfikacji w jednej ze służb ochrony państwa. Oprócz tego musi uzyskać koncesję M S W iA 8 [U W D G ].

d) Firma sprowadzająca z zagranicy i sprzedająca routery z oprogramowaniem lub kartami szyfrującymi do banku niepaństwowego - musi posiadać system W S K i informować A B W o tej transakcji (monitorowanie na podstawie [UO ZT]).

e) Firma zamierzająca sprowadzić z zagranicy i sprzedawać te same routery z oprogramowaniem lub kartami szyfrującymi, ale dla organu administracji publicznej, który użyje je do ochrony informacji niejawnych oznaczonych klauzulą „zastrzeżone” - musi - oprócz posiadania systemu W S K - po spełnieniu szeregu warunków organizacyjnych i technicznych uzyskać koncesję M S W iA a przed samą transakcją poinformować A B W.

f) Firma zamierzająca sprowadzać z zagranicy i sprzedawać szyfratory przeznaczone do ochrony informacji oznaczonych klauzulą „poufne” , po uzyskaniu certyfikatu jednej z dwóch służb ochrony państwa9 na te urządzenia, musi spełnić wymagania wszystkich trzech Ustaw - zbudować system ochrony informacji niejawnych [U O IN ], uzyskać koncesję [U W D G ], posiadać system W S K i poinformować A B W o fakcie sprowadzenia urządzeń z zagranicy [UO ZT],

Innymi aktami prawnymi, które wprowadzają regulację w obszarze kryptografii, tym razem zupełnie cywilnej, jest Ustawa o podpisie elektronicznym [UOPE] i rozporządzenie wykonawcze do niej, traktujące o politykach certyfikacji [R1094]. Rozporządzenie to, w odróżnieniu od rozporządzenia w sprawie podstawowych wymagań bezpieczeństwa [R P W B ] zawiera szczegółowe regulacje techniczne i kryptograficzne. Opisywane są struktury certyfikatów i list C R L (zgodne

Innymi aktami prawnymi, które wprowadzają regulację w obszarze kryptografii, tym razem zupełnie cywilnej, jest Ustawa o podpisie elektronicznym [UOPE] i rozporządzenie wykonawcze do niej, traktujące o politykach certyfikacji [R1094]. Rozporządzenie to, w odróżnieniu od rozporządzenia w sprawie podstawowych wymagań bezpieczeństwa [R P W B ] zawiera szczegółowe regulacje techniczne i kryptograficzne. Opisywane są struktury certyfikatów i list C R L (zgodne