Budowa systemów zabezpieczeń musi uwzględniać szereg komponentów. Z jednej strony firmy czy organizacje, a nawet pojedynczy
użytkownicy sieci starają się uzyskać jak najlepszy i najszybszy dostęp do Internetu, z drugiej zaś pojawia się problem przechowania informacji poufnych i to nie tylko w ujęciu prywatnym, ale również firmowym i narzucanym przez przepisy dotyczące bezpieczeństwa.
Podstawowe wymagania bezpieczeństwa teleinformatycznego określa rozporządzenie Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r. (Dziennik ustaw Nr 171, pozycja 1433). Zawiera on:
- podstawowe wymagania bezpieczeństwa, którym powinny odpowiadać systemy i sieci teleinformatyczne służące do wytwarzania, przetwarzania, przechowywania, przekazywania informacji niejawnych,
- sposób opracowywania dokumentów szczególnych wymagań bezpieczeństwa i procedur bezpiecznej eksploatacji systemów lub sieci teleinformatycznych.
Incydent bezpieczeństwa teleinformatycznego to:
- każde zdarzenie naruszające bezpieczeństwo, w szczególności spowodowane awarią systemu lub sieci,
- działanie osób uprawnionych lub nieuprawnionych do pracy w tym systemie lub sieci,
- zaniechanie osób uprawnionych.
Przekazywanie informacji niejawnych to:
- transmisja informacji niejawnych,
- przekazywanie elektronicznego nośnika danych zawierających informacje niejawne.
Przetwarzanie informacji niejawnych to wytwarzanie, przechowywanie lub przekazywanie informacji niejawnych.
Bezpieczeństwo teleinformatyczne zapewnia się chroniąc informacje przetwarzane w systemach i sieciach przed utratą poufności, dostępności i integralności.
Organizacja bezpieczeństwa zapewnia:
- opracowanie dokumentacji bezpieczeństwa teleinformatycznego,
- realizację ochrony fizycznej:
- umieszczanie urządzeń systemów lub sieci w strefie bezpieczeństwa,
- zastosowanie środków zapewniających ochronę fizyczną, w szczególności przed nieuprawnionym dostępem, podglądem i podsłuchem.
- realizację ochrony elektromagnetycznej- polega na niedopuszczaniu do utraty poufności i dostępności informacji niejawnych przetwarzanych w urządzeniach teleinformatycznych,
- realizację ochrony kryptograficznej- polega na zastosowaniu mechanizmów gwarantujących ich poufność, integralność
oraz uwierzytelnienie,
- niezawodność transmisji oraz kontrolę dostępu do urządzeń systemów lub sieci- polega na zapewnieniu integralności
i dostępności informacji niejawnych przekazywanych w systemach lub sieciach, a zapewnia się ją w szczególności przez stosowanie zapasowych łączy telekomunikacyjnych,
- dokonanie analizy stanu bezpieczeństwa teleinformatycznego oraz usunięcia nieprawidłowości z tym związanych,
- szkolenia z zakresu bezpieczeństwa teleinformatycznego,
- zawiadomienie właściwych organów o dokonanym incydencie bezpieczeństwa teleinformatycznego.
