Dokumentacja SWB i PBE dla systemu niejawnego

dokumentacja bezpieczeństwa wzór

Zgodnie z Ustawą o Ochronie Informacji Niejawnych z dnia 5 sierpnia 2010 r. (dalej zwaną Ustawą) systemy teleinformatyczne, w których mają być przetwarzane informacje niejawne, podlegają akredytacji bezpieczeństwa teleinformatycznego. ABW albo SKW udziela akredytacji bezpieczeństwa teleinformatycznego dla systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli „poufne” lub wyższej, natomiast akredytacji dla systemów przetwarzających informacje niejawne oznaczone klauzulą „zastrzeżone” udziela Kierownik jednostki organizacyjnej. Akredytacja w obu przypadkach udzielana jest na podstawie kompletnej dokumentacji bezpieczeństwa systemu teleinformatycznego.

Na dokumentację bezpieczeństwa systemu teleinformatycznego składają się 2 dokumenty:

  • Szczególne Wymagania Wezpieczeństwa Systemu Teleinformatycznego
  • Procedury Bezpiecznej Eksploatacji Systemu Teleinformatycznego

Za opracowanie dokumentacji bezpieczeństwa i przesłanie jej do ABW lub SKW odpowiedzialny jest Kierownik jednostki organizacyjnej, w której będzie funkcjonował system teleinformatyczny.

Dokument Szczególnych Wymagań Bezpieczeństwa opracowuje się na etapie projektowania, w razie potrzeby konsultuje z ABW albo SKW, bieżąco uzupełnia na etapie wdrażania i modyfikuje na etapie eksploatacji przed dokonaniem zmian w systemie teleinformatycznym.
Dokument Procedur Bezpiecznej Eksploatacji opracowuje się na etapie wdrażania oraz modyfikuje na etapie eksploatacji, przed dokonaniem zmian w systemie teleinformatycznym.

Wzór Szczególnych Wymagań Bezpieczeństwa (SWB) oraz Procedur Bezpiecznej Eksploatacji (PBE) praktycznie nie istnieje. Dokumenty te powinny być w najdrobniejszych szczegółach dopasowane do jednostki organizacyjnej (jej usytuowania, procesów w niej zachodzących, stosowanej dotychczasowej polityce bezpieczeństwa itd.). Jako pomocna dłoń i właściwie niejako wzór dokumentacji bezpieczeństwa, mogą posłużyć dokumenty szczegółowych zaleceń dotyczących opracowywania dokumentów szczególnych wymagań bezpieczeństwa i szczegółowych zaleceń dotyczących opracowywania procedur bezpiecznej eksploatacji. Zalecenia te stanowią dokumentację urzędową Agencji Bezpieczeństwa Wewnętrznego i rozpowszechnianie tej dokumentacji odbywa się jedynie za pośrednictwem Departamentu Bezpieczeństwa Teleinformatycznego ABW.

Dokument Szczególnych Wymagań Bezpieczeństwa Systemu Teleinformatycznego powinien zawierać w szczególności wyniki procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych, przetwarzanych w systemie teleinformatycznym, oraz określać przyjęte w ramach zarządzania ryzykiem sposoby osiągania i utrzymywania odpowiedniego poziomu bezpieczeństwa systemu, a także opisywać aspekty jego budowy, zasady działania i eksploatacji, które mają związek z bezpieczeństwem systemu lub wpływają na jego bezpieczeństwo. Przebieg i wyniki procesu szacowania ryzyka mogą zostać przedstawione w odrębnym dokumencie niż dokument szczególnych wymagań bezpieczeństwa.

SWB pełnią ważną rolę w ogólnej strategii ochrony informacji niejawnych w jednostce. Powinny one realizować wytyczne polityki bezpieczeństwa jednostki organizacyjnej dotyczące ochrony informacji niejawnej w zakresie bezpieczeństwa teleinformatycznego. Zadaniem ich jest zapewnienie, ażeby przetwarzanie informacji niejawnej w systemach TI odbywało się w sposób bezpieczny z zachowaniem tajemnicy. Określają one czym jest bezpieczeństwo teleinformatyczne systemu teleinformatycznego oraz podają jak to bezpieczeństwo jest osiągane, zarządzane i kontrolowane. Stanowią też wiążące porozumienie pomiędzy kierownikiem jednostki organizacyjnej a służbami ochrony państwa, które stanowi podstawę do eksploatacji systemu  TI.

Dokument Procedur Bezpiecznej Eksploatacji powinien zawierać wykazy czynności (operacji), które realizować będą użytkownicy systemu  TI wraz z dokładnym podaniem sposobu ich wykonania. Wymienione wykazy czynności powinny być pogrupowane w tematycznie wyodrębnione procedury bezpieczeństwa, opisujące sposób implementacji w systemie TI zasad bezpieczeństwa i środków ochrony określonych w dokumencie Szczególnych Wymagań Bezpieczeństwa. Oprócz „typowych” procedur bezpieczeństwa, w dokumencie PBE powinny również zostać przedstawione informacje, które są niezbędne dla użytkowników systemu TI w celu zapewnienia sprawnego i bezpiecznego funkcjonowania systemu TI. Przykładem takich informacji mogą być szczegółowe charakterystyki zadań wykonywanych przez użytkowników i osoby odpowiedzialne za zapewnienie funkcjonowania i bezpieczeństwa systemu TI. Wszystkie procedury bezpieczeństwa opracowane dla danego systemu TI powinny być ze sobą spójne, opracowane według określonego schematu i w określonej szacie graficznej. Treść procedur powinna być jasna i precyzyjna.

Każda procedura bezpieczeństwa powinna zawierać następujące elementy:

  • Tytuł / nazwa procedury – prosty i zrozumiały dla osób, które wykonywać będą daną procedurę.
  • Przedmiot i cel – stwierdzenie, jakiego działania dotyczy dana procedura i dlaczego to działanie tak ma być wykonywane.
  • Osoby realizujące procedurę – określa zakres odpowiedzialności za realizację procedury.
  • Dokumenty związane z daną procedurą – akty prawne, dokumentacje techniczne, zarządzenia wewnętrzne i itp., które dotyczą wymagań bezpieczeństwa teleinformatycznego i innych zagadnień omawianych w danej procedurze bezpieczeństwa.
  • Wprowadzenie – skrócony wyciąg z dokumentu SWB wymagań, zasad bezpieczeństwa teleinformatycznego i innych istotnych informacji związanych z daną procedurą.
  • Opis postępowania – opis czynność (operacji) wykonywanych przez użytkowników z uwzględnieniem informacji dotyczących tego, co ma być zrobione; kiedy, gdzie, jak i przez kogo; przy użyciu jakich narzędzi, środków lub dokumentów; jak będą dokumentowane wykonane czynności.
  • Załączniki – dołączane, jeżeli z treści procedury wynika konieczność uzupełnienia szczegółowymi informacjami (np.: rysunki, plany, schematy, wzory formularzy, przepustek, wyciągi z dokumentacji technicznej i użytkowej) oraz przedstawienia wyciągów z innych dokumentów (np.: zapisów wewnętrznych instrukcji, zarządzeń lub innych aktów obowiązujących w jednostce organizacyjnej).
  • Podpisy osób sporządzających i zatwierdzających daną procedurę – w zależności od rozwiązań formalnych przyjętych w danej jednostce organizacyjnej osobami zatwierdzającymi może być np. Kierownik jednostki organizacyjnej, Pełnomocnik ds. Ochrony Informacji Niejawnych, Inspektor Bezpieczeństwa Teleinformatycznego lub inna osoba biorąca udział w procesie opracowywania dokumentu PBE, spełniająca wszelkie formalne wymagania w zakresie dostępu do informacji niejawnych.

Wiemy, jak trudne może być przygotowanie dobrej dokumentacji bezpieczeństwa, dlatego też zachęcamy do skorzystania z naszego doświadczenia. W naszej ofercie znajdziecie Państwo przygotowanie kompletnej dokumentacji pozwalającej na akredytację systemu niejawnego w Państwa firmie. Chętnie pomożemy Państwu w zdobyciu świadectwa akredytacji bezpieczeństwa systemu teleinformatycznego na każdym etapie ubiegania się o niego – od stworzenia dokumentacji po uczestniczenie w audycie bezpieczeństwa systemu teleinformatycznego przeprowadzonego przez ABW albo SKW.Odsłon: 4390

Facebook Twitter Email

Zobacz również:

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Możesz użyć następujących tagów oraz atrybutów HTML-a: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Powered by sweet Captcha

stat4u