13.6.2012
Fyzická bezpečnost z hlediska ochrany utajovaných informací
Ing. Kamil HALOUZKA, Ph.D. Univerzita obrany Brno Katedra komunikačních a informačních systémů Skupina bezpečnosti informací
[email protected] tel.: 973 442 685
Obsah 1. 2. 3. 4.
Úvod - základní pojmy Fyzická bezpečnost a OUI Opatření fyzické bezpečnosti Projekt fyzické bezpečnosti
13.6.2012
2
1
13.6.2012
1. Úvod – základní pojmy • zákon č. 412/2005 Sb. o ochraně utajovaných informací a o bezpečnostní způsobilosti • prováděcí vyhláška č. 528/2005 Sb. o fyzické bezpečnosti a certifikaci technických prostředků
13.6.2012
3
1. Úvod – základní pojmy • utajovaná informace: – – – –
informace v jakékoliv podobě zaznamenaná na jakémkoliv nosiči označená v souladu s tímto zákonem (412/2005 Sb.), jejíž vyzrazení nebo zneužití může způsobit újmu zájmu České republiky nebo může být pro tento zájem nevýhodné,
– je uvedena v seznamu utajovaných informací (nařízení vlády 522/2005 Sb). 13.6.2012
4
2
13.6.2012
1. Úvod – základní pojmy • Utajovaná informace se klasifikuje stupněm utajení: – Přísně tajné, jestliže její vyzrazení neoprávněné osobě nebo zneužití může způsobit mimořádně vážnou újmu zájmům České republiky, – Tajné, jestliže její vyzrazení neoprávněné osobě nebo zneužití může způsobit vážnou újmu zájmům České republiky, – Důvěrné, jestliže její vyzrazení neoprávněné osobě nebo zneužití může způsobit prostou újmu zájmům České republiky, – Vyhrazené, jestliže její vyzrazení neoprávněné osobě nebo zneužití může být nevýhodné pro zájmy České republiky. 13.6.2012
5
1. Úvod – základní pojmy Zákon nedefinuje pouze fyzickou bezpečnost, ale i další druhy zajištění ochrany utajovaných informací. Ochrana informací je z hlediska zákona č. 412/2005 Sb. zajišťována: – personální bezpečností, kterou tvoří výběr fyzických osob, které mají mít přístup k UI, ověřování podmínek pro jejich přístup k UI, jejich výchova a ochrana, – průmyslovou bezpečností, kterou tvoří systém opatření k zjišťování a ověřování podmínek pro přístup podnikatele k UI a k zajištění nakládání s UI u podnikatele v souladu s tímto zákonem, – administrativní bezpečností, kterou tvoří systém opatření při tvorbě, příjmu, evidenci, zpracování, odesílání, přepravě, přenášení, ukládání, skartačním řízení, archivaci, případně jiném nakládání s UI, 13.6.2012
6
3
13.6.2012
1. Úvod – základní pojmy – fyzickou bezpečností, kterou tvoří systém opatření, která mají neoprávněné osobě zabránit nebo ztížit přístup k UI, popřípadě přístup nebo pokus o něj zaznamenat, – bezpečností informačních nebo komunikačních systémů, kterou tvoří systém opatření, jejichž cílem je zajistit důvěrnost, integritu a dostupnost UI, s nimiž tyto systémy nakládají, a odpovědnost správy a uživatele za jejich činnost v informačním nebo komunikačním systému a – kryptografickou ochranou, kterou tvoří systém opatření na ochranu UI použitím kryptografických metod a kryptografických materiálů při zpracování, přenosu nebo ukládání utajovaných informací. 13.6.2012
7
2. Fyzická bezpečnost a OUI FB tvoří systém opatření, která mají neoprávněné osobě zabránit nebo ztížit přístup k utajovaným informacím, popřípadě přístup nebo pokus o něj zaznamenat
• pro zabezpečení ochrany utajovaných informací v rámci fyzické bezpečnosti se určují – objekty, – zabezpečené oblasti a – jednací oblasti. 13.6.2012
8
4
13.6.2012
2. Fyzická bezpečnost a OUI • Objektem je budova nebo jiný ohraničený prostor, ve kterém se zpravidla nachází zabezpečená oblast nebo jednací oblast. • Zabezpečenou oblastí je ohraničený prostor v objektu. • Jednací oblastí je ohraničený prostor v objektu. UI stupně utajení PT nebo T lze pravidelně projednávat pouze v jednací oblasti. 13.6.2012
9
2. Fyzická bezpečnost a OUI
Vyobrazení objektu a zabezpečených oblastí 13.6.2012
10
5
13.6.2012
2. Fyzická bezpečnost a OUI
Vyobrazení dvou objektů a zabezpečených oblastí 13.6.2012
11
2. Fyzická bezpečnost a OUI Zabezpečené oblasti se podle nejvyššího stupně utajení UI, která se v nich ukládá, a objekty se podle nejvyššího stupně utajení UI, která se v nich zpracovává, zařazují do kategorií: – – – –
13.6.2012
Přísně tajné, Tajné, Důvěrné, Vyhrazené.
12
6
13.6.2012
2. Fyzická bezpečnost a OUI • Zabezpečené oblasti se podle možnosti přístupu k utajované informaci zařazují do dvou tříd: – třída I, kdy vstupem do této oblasti dochází k seznámení s utajovanou informací. – třída II, kdy vstupem do této oblasti nedochází k seznámení s utajovanou informací.
13.6.2012
13
2. Fyzická bezpečnost a OUI Utajovaná informace se zpracovává • v zabezpečené oblasti příslušné kategorie nebo vyšší, • v objektu příslušné kategorie nebo vyšší, pokud je zajištěno, že k utajované informaci nemá přístup neoprávněná osoba, • v odůvodněných případech s písemným souhlasem odpovědné osoby nebo bezpečnostního ředitele – v objektu jiné kategorie, než je stupeň utajení zpracovávané utajované informace, – nebo mimo objekt pokud je zajištěno, že k utajované informaci nemá přístup neoprávněná osoba. 13.6.2012
14
7
13.6.2012
2. Fyzická bezpečnost a OUI • Utajovaná informace se ukládá v zabezpečené oblasti příslušné kategorie nebo vyšší a v ní popřípadě v trezoru, uzamykatelné skříni nebo jiné schránce za podmínek stanovených prováděcím právním předpisem.
13.6.2012
15
3. Opatření fyzické bezpečnosti • Opatření fyzické bezpečnosti se dle zákona č. 412/2005 Sb. rozdělují do tří základních částí: – ostraha, – režimová opatření, – technické prostředky.
13.6.2012
16
8
13.6.2012
4. Projekt fyzické bezpečnosti • Projekt fyzické bezpečnosti v případech, kdy se v objektu nacházejí zabezpečené oblasti kategorie PT, T nebo D, obsahuje: – určení objektu a zabezpečených oblastí, včetně jejich hranic a určení kategorií a tříd zabezpečených oblastí, – vyhodnocení rizik, – způsob použití opatření fyzické bezpečnosti, – provozní řád objektu a – plán zabezpečení objektu a zabezpečených oblastí v krizových situacích. 13.6.2012
21
4. Projekt fyzické bezpečnosti • Projekt fyzické bezpečnosti v případech, kdy se v objektu nachází zabezpečená oblast pouze kategorie V, obsahuje: – určení objektu a zabezpečených oblastí, včetně jejich hranic a určení kategorií a tříd zabezpečených oblastí a – způsob použití opatření fyzické bezpečnosti.
13.6.2012
22
9
13.6.2012
4. Projekt fyzické bezpečnosti • Projekt fyzické bezpečnosti v případech, kdy se v objektu nachází jednací oblast, obsahuje – určení objektu a jednací oblasti, včetně jejich hranic, – vyhodnocení rizik, – způsob použití opatření fyzické bezpečnosti, – provozní řád objektu a – plán zabezpečení objektu a jednací oblasti v krizových situacích 13.6.2012
23
4. Projekt fyzické bezpečnosti • Projekt fyzické bezpečnosti objektu kategorie PT, T a D bez zabezpečené oblasti nebo jednací oblasti obsahuje: – určení objektu včetně jeho hranic, – způsob použití opatření fyzické bezpečnosti, – provozní řád objektu a – plán zabezpečení objektu v krizových situacích. • Projekt fyzické bezpečnosti objektu kategorie V bez zabezpečené oblasti obsahuje určení objektu včetně jeho hranic. 13.6.2012
24
10
13.6.2012
Děkuji za pozornost
13.6.2012
25
11
