Akredytacja systemów niejawnych

Zgodnie z Art. 48.  ust. 1 Ustawy o ochronie informacji niejawnych z dnia 5 sierpnia 2010 r., wszystkie systemy  teleinformatyczne,  w  których  mają  być  przetwarzane  informacje  niejawne, podlegają akredytacji bezpieczeństwa teleinformatycznego.  Akredytacji takiej udziela się na czas określony, nie dłuższy niż 5 lat.

Dla systemu teleinformatycznego, przeznaczonego  do  przetwarzania informacji  niejawnych o klauzuli „poufne” lub wyższej, akredytacji bezpieczeństwa  teleinformatycznego udziela ABW  albo  SKW. ABW lub SKW udziela albo odmawia udzielenia akredytacji,  w  terminie  6  miesięcy  od  otrzymania  kompletnej  dokumentacji  bezpieczeństwa  systemu  teleinformatycznego.  W  uzasadnionych  przypadkach,  w szczególności wynikających z rozległości systemu i stopnia jego skomplikowania, termin ten może być przedłużony o kolejne 6 miesięcy. Nie ma możliwosci odwołania się od decyzji odmowy udzielenia akredytacji.

Dla systemu teleinformatycznego,  przeznaczonego  do  przetwarzania  informacji  niejawnych  o  klauzuli  „zastrzeżone”, akredytacji  bezpieczeństwa  teleinformatycznego udziela Kierownik  jednostki  organizacyjnej, przez  zatwierdzenie dokumentacji bezpieczeństwa systemu teleinformatycznego. W ciągu 30 dni od udzielenia akredytacji bezpieczeństwa teleinformatycznego,  kierownik  jednostki  organizacyjnej  przekazuje  odpowiednio  ABW  lub SKW  dokumentację  bezpieczeństwa  systemu  teleinformatycznego, celem zaopiniowania.  W  ciągu  30  dni  od  otrzymania  dokumentacji  bezpieczeństwa  systemu  teleinformatycznego ABW albo SKW może przedstawić kierownikowi jednostki organizacyjnej, który udzielił akredytacji bezpieczeństwa teleinformatycznego, zalecenia dotyczące konieczności przeprowadzenia dodatkowych czynności, związanych z bezpieczeństwem informacji niejawnych. Kierownik jednostki organizacyjnej,  w terminie  30  dni  od  otrzymania  zalecenia,  informuje  odpowiednio ABW lub SKW o realizacji zaleceń. W szczególnie uzasadnionych przypadkach, ABW  albo  SKW  może  nakazać  wstrzymanie  przetwarzania  informacji  niejawnych w systemie teleinformatycznym, posiadającym akredytację bezpieczeństwa teleinformatycznego.

Bezpieczeństwo  informacji  niejawnych, przetwarzanych w systemie teleinformatycznym, uwzględnia się w całym cyklu funkcjonowania systemu teleinformatycznego, składającym się z etapów:

  1. planowania;
  2. projektowania;
  3. wdrażania;
  4. eksploatacji;
  5. wycofywania.

Na etapie planowania ustala się potrzeby w zakresie  przetwarzania  informacji  niejawnych  w  systemie teleinformatycznym, w szczególności określa się:

  1. przeznaczenie systemu teleinformatycznego – np. tylko prezentacja materiałów, drukowanie, wykorzystywany tylko w czasie pokoju, przesyłanie informacji niejawnych, itp.;
  2. maksymalną  klauzulę  tajności  informacji  niejawnych, które będą przetwarzane w systemie teleinformatycznym – klauzule narodowe, międzynarodowe;
  3. tryb  bezpieczeństwa  pracy  systemu  teleinformatycznego – dedykowany, systemowy, wielopoziomowy;
  4. szacunkową liczbę użytkowników;
  5. planowaną lokalizację – stacjonarne, mobilne, w wielu lokalizacjach.

 Na etapie projektowania:

  1. przeprowadza się wstępne szacowanie ryzyka dlabezpieczeństwa   informacji   niejawnych   w   celu określenia wymagań dla zabezpieczeń;
  2. dokonuje  się  wyboru  zabezpieczeń  dla  systemu  teleinformatycznego w oparciu o wyniki wstępnego  szacowania  ryzyka  dla  bezpieczeństwa  informacji niejawnych;
  3. uzgadnia  się  z  podmiotem  akredytującym  plan akredytacji  obejmujący  zakres  i  harmonogram przedsięwzięć wymaganych do uzyskania akredytacji bezpieczeństwa teleinformatycznego;
  4. uzgadnia  się  z  podmiotem  zaopatrującym  w  klucze kryptograficzne rodzaj oraz ilość niezbędnych urządzeń  lub  narzędzi  kryptograficznych,  a  także sposób ich wykorzystania;
  5. opracowuje się dokument szczególnych wymagań bezpieczeństwa.

 Na etapie wdrażania:

  1. pozyskuje  i  wdraża  się  urządzenia  lub  narzędzia  realizujące  zabezpieczenia  w  systemie  teleinformatycznym;
  2. przeprowadza  się  testy  bezpieczeństwa  systemu teleinformatycznego;
  3. przeprowadza  się  szacowanie  ryzyka  dla  bezpieczeństwa  informacji  niejawnych  z  uwzględnieniem wprowadzonych zabezpieczeń;
  4.  opracowuje  się  dokument  procedur  bezpiecznej eksploatacji  oraz  uzupełnia  dokument  szczególnych wymagań bezpieczeństwa;
  5. system teleinformatyczny poddaje się akredytacji bezpieczeństwa teleinformatycznego.

 Na etapie eksploatacji:

  1. utrzymuje się zgodność systemu teleinformatycznego z jego dokumentacją bezpieczeństwa;
  2. zapewnia  się  ciągłość  procesu  zarządzania  ryzykiem w systemie teleinformatycznym;
  3. okresowo przeprowadza się testy bezpieczeństwa w celu weryfikacji poprawności działania poszczególnych  zabezpieczeń  oraz  usuwa  stwierdzone nieprawidłowości;
  4. w zależności od potrzeb wprowadza się zmiany do systemu  teleinformatycznego  oraz,  jeżeli  jest  to właściwe, wykonuje testy bezpieczeństwa, a także uaktualnia  dokumentację  bezpieczeństwa  systemu  teleinformatycznego,  przy  czym  modyfikacje, mogące mieć wpływ na bezpieczeństwo systemu teleinformatycznego,  wymagają  zgody  podmiotu, który udzielił akredytacji bezpieczeństwa teleinformatycznego, zaś w przypadku systemów teleinformatycznych, o których mowa w art. 48 ust. 9 i 10 ustawy — przekazania, odpowiednio do ABW albo SKW,  w  terminie  30  dni  od  wprowadzenia  wyżej wymienionych  modyfikacji,  uaktualnionej  dokumentacji   bezpieczeństwa   systemu   teleinformatycznego, w szczególności w formie aneksów.

Na etapie wycofywania:

  1. zaprzestaje  się  eksploatacji  systemu  teleinformatycznego;
  2. powiadamia się pisemnie ABW albo SKW o wycofaniu systemu z eksploatacji;
  3. zwraca się do ABW albo SKW świadectwo akredytacji  bezpieczeństwa  systemu  teleinformatycznego, jeżeli system teleinformatyczny przeznaczonybył    do    przetwarzania    informacji    niejawnych o klauzuli „poufne” lub wyższej;
  4. usuwa  się  informacje  niejawne  z  systemu  teleinformatycznego, w szczególności przez przeniesienie  ich  do  innego  systemu  teleinformatycznego, zarchiwizowanie  lub  zniszczenie  informatycznych nośników danych.
Akredytacja systemów niejawnych
Akredytacja systemów niejawnych

Dokumentacja bezpieczeństwa teleinformatycznego

  • Dokument szczególnych wymagań bezpieczeństwa zawiera następujące dane:
  1. rodzaje  oraz  klauzule  tajności  informacji  niejawnych, które będą przetwarzane w systemie teleinformatycznym;
  2. grupy  użytkowników  systemu  teleinformatycznego   wyodrębnione   ze   względu   na   posiadane uprawnienia do pracy w systemie teleinformatycznym;
  3. tryb  bezpieczeństwa  pracy  systemu  teleinformatycznego;
  4. przeznaczenie i funkcjonalność systemu teleinformatycznego;
  5. wymagania eksploatacyjne dla wymiany informacji i połączeń z innymi systemami teleinformatycznymi;
  6. lokalizację systemu teleinformatycznego;
  7. metodyka użytej w procesie szacowania ryzyka dla bezpieczeństwa informacji niejawnych oraz raport
    z tego procesu;
  8. opis zastosowanych zabezpieczeń;
  9. informacje o ryzykach szczątkowych oraz deklaracji ich akceptacji;
  10. informacje o poświadczeniach  bezpieczeństwa  lub  innych  formalnych uprawnieniach do dostępu do informacji
    niejawnych, posiadanych przez użytkowników systemu teleinformatycznego;
  11. opis bezpieczeństwa fizycznego, w tym granicach i lokalizacji stref ochronnych oraz środkach ich ochro-
    ny;
  12. opis elementów ochrony elektromagnetycznej;
  13. informacje o stosowanych  urządzeniach  lub  narzędziach  kryptograficznych;
  14. plany ciągłości działania, w tym tworzeniu kopii zapasowych, odzyskiwaniu systemu oraz, jeżeli to właściwe,  zapewnieniu  alternatywnych  łączy  telekomunikacyjnych lub urządzeń, a także zasilaniu awaryjnym;
  15. ustawienia konfiguracyjne systemu teleinformatycznego;
  16. informacje o utrzymaniu systemu, w tym dokonywaniu przeglądów diagnostycznych i napraw;
  17. opis procedur zapobiegania  incydentom  bezpieczeństwa  teleinformatycznego,  w  tym  ochronie  przed  oprogramowaniem złośliwym;
  18. zasady  wprowadzania  poprawek i  aktualizacji oprogramowania;
  19. informacje o ochronie nośników, w tym ich oznaczaniu, dostępie,  transporcie,  obniżaniu  ich  klauzul  tajności
    i niszczeniu;
  20. sposoby identyfikacji    i    uwierzytelnieniu    użytkowników
    i urządzeń;
  21. procedury kontroli dostępu;
  22. procedury audytu wewnętrznego;
  23. opis zarządzania ryzykiem w systemie teleinformatycznym;
  24. informacje o zmianach w systemie teleinformatycznym, w tym dotyczących aktualizacji dokumentacji bezpieczeństwa  systemu  teleinformatycznego  oraz  warunkach  ponownej  akredytacji  systemu  teleinformatycznego i wycofania z eksploatacji.
  •  Dokument procedur bezpiecznej eksploatacji:

W dokumencie procedur bezpiecznej eksploatacji  określa  się  szczegółowy  wykaz  procedur  bezpieczeństwa wraz z dokładnym opisem sposobu ich wykonania,  realizowanych  przez  osoby  odpowiedzialne za   bezpieczeństwo   teleinformatyczne   oraz   osoby uprawnione  do  pracy  w  systemie  teleinformatycznym, obejmujący:

  1. administrowanie  systemem  teleinformatycznym oraz zastosowanymi środkami zabezpieczającymi;
  2. bezpieczeństwo urządzeń;
  3. bezpieczeństwo oprogramowania;
  4. zarządzanie konfiguracją sprzętowo-programową, w tym zasady serwisowania lub modernizacji oraz wycofywania z użycia elementów systemu teleinformatycznego;
  5. plany awaryjne;
  6. monitorowanie  i  audyt  systemu  teleinformatycznego;
  7. zarządzanie nośnikami;
  8. zarządzanie materiałami kryptograficznymi;
  9. stosowanie ochrony elektromagnetycznej;
  10. reagowanie  na  incydenty  bezpieczeństwa  teleinformatycznego;
  11. szkolenia użytkowników systemu teleinformatycznego dotyczące zasad korzystania z systemu teleinformatycznego;
  12. wprowadzanie danych do systemu i ich wyprowadzanie z systemu.

W naszej ofercie proponujemy Państwu pełne wsparcie w procesie uzyskania akredytacji systemu teleinformatycznego, dla każdej krajowej i międzynarodowej klauzuli. Nasza oferta obejmuje każdy etap starania się o akredytację, od planowania, poprzez wdrożenie z przygotowaniem dokumentacji, a kończąc na audycie. Zapraszamy do współpracy!

Zobacz również:

Leave a Comment

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.