Skoči na vsebino

VARNOST KIS

Informacijska varnost oz. varovanje tajnih podatkov v komunikacijsko informacijskih sistemih zajema določanje ter uporabo ukrepov varovanja tajnih podatkov, ki se obravnavajo s pomočjo komunikacijskih, informacijskih in drugih elektronskih sistemov, pred naključno ali namerno izgubo tajnosti, celovitosti ali razpoložljivosti ter ukrepov za preprečevanje izgube celovitosti in razpoložljivosti samih sistemov.

 

Z ukrepi in postopki varovanja in obravnavanja tajnih podatkov v komunikacijsko informacijskih sistemih se preprečuje dostop do tajnih podatkov nepooblaščenim osebam, razkritje tajnih podatkov nepoklicanim osebam, možnost za zavrnitev dostopa do tajnih podatkov pooblaščenim uporabnikom ter zloraba, nepooblaščena sprememba ali izbris tajnih podatkov.

 

Komunikacijsko informacijski sistem sestavljajo programska, strojna, komunikacijska in druga oprema, ki deluje samostojno ali v omrežju, in je namenjena zbiranju, procesiranju, distribuciji, uporabi in drugi obdelavi podatkov v elektronski obliki.

 

Komunikacijsko informacijski sistemi, v katerih se varujejo in obravnavajo tajni podatki, morajo imeti varnostno dovoljenje za delovanje, s katerim se dovoljuje varovanje in obravnavanje tajnih podatkov v sistemu in ki potrjuje izvajanje vseh ukrepov in postopkov za zagotavljanje varnega delovanja sistema. Varnostno dovoljenje za delovanje sistema se pridobi na podlagi postopka varnostne odobritve, v okviru katerega se preveri izpolnjevanje minimalnih fizičnih, organizacijskih in tehničnih ukrepov in postopkov varovanja tajnih podatkov v sistemih. V postopku izdaje varnostnega dovoljenja za delovanje sistema se morajo izdelati naslednji dokumenti:

-         ocena varnostnih tveganj;

-         načrt varovanja sistema;

-         varnostna navodila za delo v sistemu.

 

Prenos tajnih podatkov po (varnostno odobrenih) komunikacijskih in informacijskih sistemih zunaj upravnih in varnostnih območij je dovoljen le v šifrirani obliki, z odobrenimi šifrirnimi rešitvami. V teh sistemih je dovoljeno uporabljati le tiste šifrirne rešitve, ki jih odobri Komisija za informacijsko varnost ali drug z zakonom določen organ, ter zanje UVTP ali drug z zakonom določen organ izda potrdilo o varnostni ustreznosti. Priloga potrdila o varnostni ustreznosti so odobrene minimalne varnostne zahteve za označevanje, distribucijo in uporabo posamezne šifrirne rešitve.

Šifrirne rešitve so šifrirna oprema (strojna in programska) in sistemi, ki se uporabljajo za šifrirno varovanje podatkov v komunikacijsko informacijskih sistemih, v katerih se obravnavajo tajni podatki. Med šifrirne rešitve spadajo tudi vsi moduli (sklopi), ki so vgrajeni v posamezne dele sistemov in so namenjeni šifrirnemu varovanju podatkov.

Šifrirno vrednotenje oziroma potrjevanje šifrirne rešitve je postopek, v katerem se ugotovi primernost predlagane šifrirne rešitve za varovanje tajnih podatkov določene stopnje tajnosti.

 

Vse sestavine sistemov, v okviru katerih se obravnavajo tajni podatki stopnje tajnosti ZAUPNO ali višje, morajo biti zaščitene proti neželenemu elektromagnetnemu sevanju. Elektromagnetno sevanje je sevanje, ki se nenadzorovano razširja in tako omogoča odtekanje tajnih podatkov. TEMPEST zaščita v tem smislu pomeni nabor ukrepov in aktivnosti, s katerimi se bistveno zmanjša ali v celoti prepreči odtekanje tajnih podatkov. Med osnovne ukrepe in aktivnosti tako prištevamo varnostna območja, katerim z meritvami določimo TEMPEST cono, kar je osnova za določitev ustrezne opreme, ki se lahko namesti v takšna varnostna območja.

Predstavitev področja informacijske varnosti si lahko ogledate tukaj.

 

Seznam odobrenih šifrirnih rešitev