Akredytacja systemów niejawnych

Zgodnie z Art. 48.  ust. 1 Ustawy o ochronie informacji niejawnych z dnia 5 sierpnia 2010 r., wszystkie systemy  teleinformatyczne,  w  których  mają  być  przetwarzane  informacje  niejawne, podlegają akredytacji bezpieczeństwa teleinformatycznego.  Akredytacji takiej udziela się na czas określony, nie dłuższy niż 5 lat.

Dla systemu teleinformatycznego, przeznaczonego  do  przetwarzania informacji  niejawnych o klauzuli „poufne” lub wyższej, akredytacji bezpieczeństwa  teleinformatycznego udziela ABW  albo  SKW. ABW lub SKW udziela albo odmawia udzielenia akredytacji,  w  terminie  6  miesięcy  od  otrzymania  kompletnej  dokumentacji  bezpieczeństwa  systemu  teleinformatycznego.  W  uzasadnionych  przypadkach,  w szczególności wynikających z rozległości systemu i stopnia jego skomplikowania, termin ten może być przedłużony o kolejne 6 miesięcy. Nie ma możliwosci odwołania się od decyzji odmowy udzielenia akredytacji.

Dla systemu teleinformatycznego,  przeznaczonego  do  przetwarzania  informacji  niejawnych  o  klauzuli  „zastrzeżone”, akredytacji  bezpieczeństwa  teleinformatycznego udziela Kierownik  jednostki  organizacyjnej, przez  zatwierdzenie dokumentacji bezpieczeństwa systemu teleinformatycznego. W ciągu 30 dni od udzielenia akredytacji bezpieczeństwa teleinformatycznego,  kierownik  jednostki  organizacyjnej  przekazuje  odpowiednio  ABW  lub SKW  dokumentację  bezpieczeństwa  systemu  teleinformatycznego, celem zaopiniowania.  W  ciągu  30  dni  od  otrzymania  dokumentacji  bezpieczeństwa  systemu  teleinformatycznego ABW albo SKW może przedstawić kierownikowi jednostki organizacyjnej, który udzielił akredytacji bezpieczeństwa teleinformatycznego, zalecenia dotyczące konieczności przeprowadzenia dodatkowych czynności, związanych z bezpieczeństwem informacji niejawnych. Kierownik jednostki organizacyjnej,  w terminie  30  dni  od  otrzymania  zalecenia,  informuje  odpowiednio ABW lub SKW o realizacji zaleceń. W szczególnie uzasadnionych przypadkach, ABW  albo  SKW  może  nakazać  wstrzymanie  przetwarzania  informacji  niejawnych w systemie teleinformatycznym, posiadającym akredytację bezpieczeństwa teleinformatycznego.

Bezpieczeństwo  informacji  niejawnych, przetwarzanych w systemie teleinformatycznym, uwzględnia się w całym cyklu funkcjonowania systemu teleinformatycznego, składającym się z etapów:

1. planowania;
2. projektowania;
3. wdrażania;
4. eksploatacji;
5. wycofywania.

Na etapie planowania ustala się potrzeby w zakresie  przetwarzania  informacji  niejawnych  w  systemie teleinformatycznym, w szczególności określa się:

1. przeznaczenie systemu teleinformatycznego – np. tylko prezentacja materiałów, drukowanie, wykorzystywany tylko w czasie pokoju, przesyłanie informacji niejawnych, itp.;
2. maksymalną  klauzulę  tajności  informacji  niejawnych, które będą przetwarzane w systemie teleinformatycznym – klauzule narodowe, międzynarodowe;
3. tryb  bezpieczeństwa  pracy  systemu  teleinformatycznego – dedykowany, systemowy, wielopoziomowy;
4. szacunkową liczbę użytkowników;
5. planowaną lokalizację – stacjonarne, mobilne, w wielu lokalizacjach.

 Na etapie projektowania:

1. przeprowadza się wstępne szacowanie ryzyka dlabezpieczeństwa   informacji   niejawnych   w   celu określenia wymagań dla zabezpieczeń;
2. dokonuje  się  wyboru  zabezpieczeń  dla  systemu  teleinformatycznego w oparciu o wyniki wstępnego  szacowania  ryzyka  dla  bezpieczeństwa  informacji niejawnych;
3. uzgadnia  się  z  podmiotem  akredytującym  plan akredytacji  obejmujący  zakres  i  harmonogram przedsięwzięć wymaganych do uzyskania akredytacji bezpieczeństwa teleinformatycznego;
4. uzgadnia  się  z  podmiotem  zaopatrującym  w  klucze kryptograficzne rodzaj oraz ilość niezbędnych urządzeń  lub  narzędzi  kryptograficznych,  a  także sposób ich wykorzystania;
5. opracowuje się dokument szczególnych wymagań bezpieczeństwa.

 Na etapie wdrażania:

1. pozyskuje  i  wdraża  się  urządzenia  lub  narzędzia  realizujące  zabezpieczenia  w  systemie  teleinformatycznym;
2. przeprowadza  się  testy  bezpieczeństwa  systemu teleinformatycznego;
3. przeprowadza  się  szacowanie  ryzyka  dla  bezpieczeństwa  informacji  niejawnych  z  uwzględnieniem wprowadzonych zabezpieczeń;
4.  opracowuje  się  dokument  procedur  bezpiecznej eksploatacji  oraz  uzupełnia  dokument  szczególnych wymagań bezpieczeństwa;
5. system teleinformatyczny poddaje się akredytacji bezpieczeństwa teleinformatycznego.

 Na etapie eksploatacji:

1. utrzymuje się zgodność systemu teleinformatycznego z jego dokumentacją bezpieczeństwa;
2. zapewnia  się  ciągłość  procesu  zarządzania  ryzykiem w systemie teleinformatycznym;
3. okresowo przeprowadza się testy bezpieczeństwa w celu weryfikacji poprawności działania poszczególnych  zabezpieczeń  oraz  usuwa  stwierdzone nieprawidłowości;
4. w zależności od potrzeb wprowadza się zmiany do systemu  teleinformatycznego  oraz,  jeżeli  jest  to właściwe, wykonuje testy bezpieczeństwa, a także uaktualnia  dokumentację  bezpieczeństwa  systemu  teleinformatycznego,  przy  czym  modyfikacje, mogące mieć wpływ na bezpieczeństwo systemu teleinformatycznego,  wymagają  zgody  podmiotu, który udzielił akredytacji bezpieczeństwa teleinformatycznego, zaś w przypadku systemów teleinformatycznych, o których mowa w art. 48 ust. 9 i 10 ustawy — przekazania, odpowiednio do ABW albo SKW,  w  terminie  30  dni  od  wprowadzenia  wyżej wymienionych  modyfikacji,  uaktualnionej  dokumentacji   bezpieczeństwa   systemu   teleinformatycznego, w szczególności w formie aneksów.

Na etapie wycofywania:

1. zaprzestaje  się  eksploatacji  systemu  teleinformatycznego;
2. powiadamia się pisemnie ABW albo SKW o wycofaniu systemu z eksploatacji;
3. zwraca się do ABW albo SKW świadectwo akredytacji  bezpieczeństwa  systemu  teleinformatycznego, jeżeli system teleinformatyczny przeznaczonybył    do    przetwarzania    informacji    niejawnych o klauzuli „poufne” lub wyższej;
4. usuwa  się  informacje  niejawne  z  systemu  teleinformatycznego, w szczególności przez przeniesienie  ich  do  innego  systemu  teleinformatycznego, zarchiwizowanie  lub  zniszczenie  informatycznych nośników danych.

Dokumentacja bezpieczeństwa teleinformatycznego

• Dokument szczególnych wymagań bezpieczeństwa zawiera następujące dane:

1. rodzaje  oraz  klauzule  tajności  informacji  niejawnych, które będą przetwarzane w systemie teleinformatycznym;
2. grupy  użytkowników  systemu  teleinformatycznego   wyodrębnione   ze   względu   na   posiadane uprawnienia do pracy w systemie teleinformatycznym;
3. tryb  bezpieczeństwa  pracy  systemu  teleinformatycznego;
4. przeznaczenie i funkcjonalność systemu teleinformatycznego;
5. wymagania eksploatacyjne dla wymiany informacji i połączeń z innymi systemami teleinformatycznymi;
6. lokalizację systemu teleinformatycznego;
7. metodyka użytej w procesie szacowania ryzyka dla bezpieczeństwa informacji niejawnych oraz raport
   z tego procesu;
8. opis zastosowanych zabezpieczeń;
9. informacje o ryzykach szczątkowych oraz deklaracji ich akceptacji;
10. informacje o poświadczeniach  bezpieczeństwa  lub  innych  formalnych uprawnieniach do dostępu do informacji
    niejawnych, posiadanych przez użytkowników systemu teleinformatycznego;
11. opis bezpieczeństwa fizycznego, w tym granicach i lokalizacji stref ochronnych oraz środkach ich ochro-
    ny;
12. opis elementów ochrony elektromagnetycznej;
13. informacje o stosowanych  urządzeniach  lub  narzędziach  kryptograficznych;
14. plany ciągłości działania, w tym tworzeniu kopii zapasowych, odzyskiwaniu systemu oraz, jeżeli to właściwe,  zapewnieniu  alternatywnych  łączy  telekomunikacyjnych lub urządzeń, a także zasilaniu awaryjnym;
15. ustawienia konfiguracyjne systemu teleinformatycznego;
16. informacje o utrzymaniu systemu, w tym dokonywaniu przeglądów diagnostycznych i napraw;
17. opis procedur zapobiegania  incydentom  bezpieczeństwa  teleinformatycznego,  w  tym  ochronie  przed  oprogramowaniem złośliwym;
18. zasady  wprowadzania  poprawek i  aktualizacji oprogramowania;
19. informacje o ochronie nośników, w tym ich oznaczaniu, dostępie,  transporcie,  obniżaniu  ich  klauzul  tajności
    i niszczeniu;
20. sposoby identyfikacji    i    uwierzytelnieniu    użytkowników
    i urządzeń;
21. procedury kontroli dostępu;
22. procedury audytu wewnętrznego;
23. opis zarządzania ryzykiem w systemie teleinformatycznym;
24. informacje o zmianach w systemie teleinformatycznym, w tym dotyczących aktualizacji dokumentacji bezpieczeństwa  systemu  teleinformatycznego  oraz  warunkach  ponownej  akredytacji  systemu  teleinformatycznego i wycofania z eksploatacji.

•  Dokument procedur bezpiecznej eksploatacji:

W dokumencie procedur bezpiecznej eksploatacji  określa  się  szczegółowy  wykaz  procedur  bezpieczeństwa wraz z dokładnym opisem sposobu ich wykonania,  realizowanych  przez  osoby  odpowiedzialne za   bezpieczeństwo   teleinformatyczne   oraz   osoby uprawnione  do  pracy  w  systemie  teleinformatycznym, obejmujący:

1. administrowanie  systemem  teleinformatycznym oraz zastosowanymi środkami zabezpieczającymi;
2. bezpieczeństwo urządzeń;
3. bezpieczeństwo oprogramowania;
4. zarządzanie konfiguracją sprzętowo-programową, w tym zasady serwisowania lub modernizacji oraz wycofywania z użycia elementów systemu teleinformatycznego;
5. plany awaryjne;
6. monitorowanie  i  audyt  systemu  teleinformatycznego;
7. zarządzanie nośnikami;
8. zarządzanie materiałami kryptograficznymi;
9. stosowanie ochrony elektromagnetycznej;
10. reagowanie  na  incydenty  bezpieczeństwa  teleinformatycznego;
11. szkolenia użytkowników systemu teleinformatycznego dotyczące zasad korzystania z systemu teleinformatycznego;
12. wprowadzanie danych do systemu i ich wyprowadzanie z systemu.

W naszej ofercie proponujemy Państwu pełne wsparcie w procesie uzyskania akredytacji systemu teleinformatycznego, dla każdej krajowej i międzynarodowej klauzuli. Nasza oferta obejmuje każdy etap starania się o akredytację, od planowania, poprzez wdrożenie z przygotowaniem dokumentacji, a kończąc na audycie. Zapraszamy do współpracy!

Karol Kij

Zajmuje się szeroko pojętym tematem zarządzania bezpieczeństwa informacji.

Jako młoda, aktywna i przedsiębiorcza osoba wciąż poszukuję nowych źródeł wiedzy i możliwości rozwoju.

Poszukuję kontaktów biznesowych, nawiążę również kontakt z osobami zainteresowanymi podobną problematyką w celu współpracy, wymiany spostrzeżeń i doświadczeń.

www.karolkij.pl

Zobacz również:

• Poradnik: Wzorcowa dokumentacja bezpieczeństwa systemu niejawnego cz.2 – PBE
• Poradnik: Wzorcowa dokumentacja bezpieczeństwa systemu niejawnego cz.1 – SWB
• Łączenie funkcji w ochronie informacji niejawnych
• Jak prawidłowo zatrudnić Pełnomocnika ds. ochrony informacji niejawnych
• Organizacji kancelarii tajnej obsługującej dwie lub więcej jednostek organizacyjnych