Dokumentacja SWB i PBE dla systemu niejawnego

Zgodnie z Ustawą o Ochronie Informacji Niejawnych z dnia 5 sierpnia 2010 r. (dalej zwaną Ustawą) systemy teleinformatyczne, w których mają być przetwarzane informacje niejawne, podlegają akredytacji bezpieczeństwa teleinformatycznego. ABW albo SKW udziela akredytacji bezpieczeństwa teleinformatycznego dla systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli „poufne” lub wyższej, natomiast akredytacji dla systemów przetwarzających informacje niejawne oznaczone klauzulą „zastrzeżone” udziela Kierownik jednostki organizacyjnej. Akredytacja w obu przypadkach udzielana jest na podstawie kompletnej dokumentacji bezpieczeństwa systemu teleinformatycznego.

Na dokumentację bezpieczeństwa systemu teleinformatycznego składają się 2 dokumenty:

• Szczególne Wymagania Wezpieczeństwa Systemu Teleinformatycznego
• Procedury Bezpiecznej Eksploatacji Systemu Teleinformatycznego

Za opracowanie dokumentacji bezpieczeństwa i przesłanie jej do ABW lub SKW odpowiedzialny jest Kierownik jednostki organizacyjnej, w której będzie funkcjonował system teleinformatyczny.

Dokument Szczególnych Wymagań Bezpieczeństwa opracowuje się na etapie projektowania, w razie potrzeby konsultuje z ABW albo SKW, bieżąco uzupełnia na etapie wdrażania i modyfikuje na etapie eksploatacji przed dokonaniem zmian w systemie teleinformatycznym.
Dokument Procedur Bezpiecznej Eksploatacji opracowuje się na etapie wdrażania oraz modyfikuje na etapie eksploatacji, przed dokonaniem zmian w systemie teleinformatycznym.

Wzór Szczególnych Wymagań Bezpieczeństwa (SWB) oraz Procedur Bezpiecznej Eksploatacji (PBE) praktycznie nie istnieje. Dokumenty te powinny być w najdrobniejszych szczegółach dopasowane do jednostki organizacyjnej (jej usytuowania, procesów w niej zachodzących, stosowanej dotychczasowej polityce bezpieczeństwa itd.). Jako pomocna dłoń i właściwie niejako wzór dokumentacji bezpieczeństwa, mogą posłużyć dokumenty szczegółowych zaleceń dotyczących opracowywania dokumentów szczególnych wymagań bezpieczeństwa i szczegółowych zaleceń dotyczących opracowywania procedur bezpiecznej eksploatacji. Zalecenia te stanowią dokumentację urzędową Agencji Bezpieczeństwa Wewnętrznego i rozpowszechnianie tej dokumentacji odbywa się jedynie za pośrednictwem Departamentu Bezpieczeństwa Teleinformatycznego ABW.

Dokument Szczególnych Wymagań Bezpieczeństwa Systemu Teleinformatycznego powinien zawierać w szczególności wyniki procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych, przetwarzanych w systemie teleinformatycznym, oraz określać przyjęte w ramach zarządzania ryzykiem sposoby osiągania i utrzymywania odpowiedniego poziomu bezpieczeństwa systemu, a także opisywać aspekty jego budowy, zasady działania i eksploatacji, które mają związek z bezpieczeństwem systemu lub wpływają na jego bezpieczeństwo. Przebieg i wyniki procesu szacowania ryzyka mogą zostać przedstawione w odrębnym dokumencie niż dokument szczególnych wymagań bezpieczeństwa.

SWB pełnią ważną rolę w ogólnej strategii ochrony informacji niejawnych w jednostce. Powinny one realizować wytyczne polityki bezpieczeństwa jednostki organizacyjnej dotyczące ochrony informacji niejawnej w zakresie bezpieczeństwa teleinformatycznego. Zadaniem ich jest zapewnienie, ażeby przetwarzanie informacji niejawnej w systemach TI odbywało się w sposób bezpieczny z zachowaniem tajemnicy. Określają one czym jest bezpieczeństwo teleinformatyczne systemu teleinformatycznego oraz podają jak to bezpieczeństwo jest osiągane, zarządzane i kontrolowane. Stanowią też wiążące porozumienie pomiędzy kierownikiem jednostki organizacyjnej a służbami ochrony państwa, które stanowi podstawę do eksploatacji systemu  TI.

Dokument Procedur Bezpiecznej Eksploatacji powinien zawierać wykazy czynności (operacji), które realizować będą użytkownicy systemu  TI wraz z dokładnym podaniem sposobu ich wykonania. Wymienione wykazy czynności powinny być pogrupowane w tematycznie wyodrębnione procedury bezpieczeństwa, opisujące sposób implementacji w systemie TI zasad bezpieczeństwa i środków ochrony określonych w dokumencie Szczególnych Wymagań Bezpieczeństwa. Oprócz „typowych” procedur bezpieczeństwa, w dokumencie PBE powinny również zostać przedstawione informacje, które są niezbędne dla użytkowników systemu TI w celu zapewnienia sprawnego i bezpiecznego funkcjonowania systemu TI. Przykładem takich informacji mogą być szczegółowe charakterystyki zadań wykonywanych przez użytkowników i osoby odpowiedzialne za zapewnienie funkcjonowania i bezpieczeństwa systemu TI. Wszystkie procedury bezpieczeństwa opracowane dla danego systemu TI powinny być ze sobą spójne, opracowane według określonego schematu i w określonej szacie graficznej. Treść procedur powinna być jasna i precyzyjna.

Każda procedura bezpieczeństwa powinna zawierać następujące elementy:

• Tytuł / nazwa procedury – prosty i zrozumiały dla osób, które wykonywać będą daną procedurę.
• Przedmiot i cel – stwierdzenie, jakiego działania dotyczy dana procedura i dlaczego to działanie tak ma być wykonywane.
• Osoby realizujące procedurę – określa zakres odpowiedzialności za realizację procedury.
• Dokumenty związane z daną procedurą – akty prawne, dokumentacje techniczne, zarządzenia wewnętrzne i itp., które dotyczą wymagań bezpieczeństwa teleinformatycznego i innych zagadnień omawianych w danej procedurze bezpieczeństwa.
• Wprowadzenie – skrócony wyciąg z dokumentu SWB wymagań, zasad bezpieczeństwa teleinformatycznego i innych istotnych informacji związanych z daną procedurą.
• Opis postępowania – opis czynność (operacji) wykonywanych przez użytkowników z uwzględnieniem informacji dotyczących tego, co ma być zrobione; kiedy, gdzie, jak i przez kogo; przy użyciu jakich narzędzi, środków lub dokumentów; jak będą dokumentowane wykonane czynności.
• Załączniki – dołączane, jeżeli z treści procedury wynika konieczność uzupełnienia szczegółowymi informacjami (np.: rysunki, plany, schematy, wzory formularzy, przepustek, wyciągi z dokumentacji technicznej i użytkowej) oraz przedstawienia wyciągów z innych dokumentów (np.: zapisów wewnętrznych instrukcji, zarządzeń lub innych aktów obowiązujących w jednostce organizacyjnej).
• Podpisy osób sporządzających i zatwierdzających daną procedurę – w zależności od rozwiązań formalnych przyjętych w danej jednostce organizacyjnej osobami zatwierdzającymi może być np. Kierownik jednostki organizacyjnej, Pełnomocnik ds. Ochrony Informacji Niejawnych, Inspektor Bezpieczeństwa Teleinformatycznego lub inna osoba biorąca udział w procesie opracowywania dokumentu PBE, spełniająca wszelkie formalne wymagania w zakresie dostępu do informacji niejawnych.

Wiemy, jak trudne może być przygotowanie dobrej dokumentacji bezpieczeństwa, dlatego też zachęcamy do skorzystania z naszego doświadczenia. W naszej ofercie znajdziecie Państwo przygotowanie kompletnej dokumentacji pozwalającej na akredytację systemu niejawnego w Państwa firmie. Chętnie pomożemy Państwu w zdobyciu świadectwa akredytacji bezpieczeństwa systemu teleinformatycznego na każdym etapie ubiegania się o niego – od stworzenia dokumentacji po uczestniczenie w audycie bezpieczeństwa systemu teleinformatycznego przeprowadzonego przez ABW albo SKW.

Karol Kij

Zajmuje się szeroko pojętym tematem zarządzania bezpieczeństwa informacji.

Jako młoda, aktywna i przedsiębiorcza osoba wciąż poszukuję nowych źródeł wiedzy i możliwości rozwoju.

Poszukuję kontaktów biznesowych, nawiążę również kontakt z osobami zainteresowanymi podobną problematyką w celu współpracy, wymiany spostrzeżeń i doświadczeń.

www.karolkij.pl

Zobacz również:

• Poradnik: Wzorcowa dokumentacja bezpieczeństwa systemu niejawnego cz.1 – SWB
• Poradnik: Wzorcowa dokumentacja bezpieczeństwa systemu niejawnego cz.2 – PBE
• Szczególne Wymagania Bezpieczeństwa (SWB)
• Procedury Bezpiecznej Eksploatacji (PBE)
• Analiza ryzyka