- Łączenie funkcji w ochronie informacji niejawnych
- Jak prawidłowo zatrudnić Pełnomocnika ds. ochrony informacji niejawnych
- Organizacji kancelarii tajnej obsługującej dwie lub więcej jednostek organizacyjnych
- Szkolenia z informacji niejawnych - kiedy, kogo i przez kogo?
- Informacje niejawne w przetargach publicznych
Akredytacja systemów niejawnych
Zgodnie z Art. 48. ust. 1 Ustawy o ochronie informacji niejawnych z dnia 5 sierpnia 2010 r., wszystkie systemy teleinformatyczne, w których mają być przetwarzane informacje niejawne, podlegają akredytacji bezpieczeństwa teleinformatycznego. Akredytacji takiej udziela się na czas określony, nie dłuższy niż 5 lat.
Dla systemu teleinformatycznego, przeznaczonego do przetwarzania informacji niejawnych o klauzuli „poufne” lub wyższej, akredytacji bezpieczeństwa teleinformatycznego udziela ABW albo SKW. ABW lub SKW udziela albo odmawia udzielenia akredytacji, w terminie 6 miesięcy od otrzymania kompletnej dokumentacji bezpieczeństwa systemu teleinformatycznego. W uzasadnionych przypadkach, w szczególności wynikających z rozległości systemu i stopnia jego skomplikowania, termin ten może być przedłużony o kolejne 6 miesięcy. Nie ma możliwosci odwołania się od decyzji odmowy udzielenia akredytacji.
Dla systemu teleinformatycznego, przeznaczonego do przetwarzania informacji niejawnych o klauzuli „zastrzeżone”, akredytacji bezpieczeństwa teleinformatycznego udziela Kierownik jednostki organizacyjnej, przez zatwierdzenie dokumentacji bezpieczeństwa systemu teleinformatycznego. W ciągu 30 dni od udzielenia akredytacji bezpieczeństwa teleinformatycznego, kierownik jednostki organizacyjnej przekazuje odpowiednio ABW lub SKW dokumentację bezpieczeństwa systemu teleinformatycznego, celem zaopiniowania. W ciągu 30 dni od otrzymania dokumentacji bezpieczeństwa systemu teleinformatycznego ABW albo SKW może przedstawić kierownikowi jednostki organizacyjnej, który udzielił akredytacji bezpieczeństwa teleinformatycznego, zalecenia dotyczące konieczności przeprowadzenia dodatkowych czynności, związanych z bezpieczeństwem informacji niejawnych. Kierownik jednostki organizacyjnej, w terminie 30 dni od otrzymania zalecenia, informuje odpowiednio ABW lub SKW o realizacji zaleceń. W szczególnie uzasadnionych przypadkach, ABW albo SKW może nakazać wstrzymanie przetwarzania informacji niejawnych w systemie teleinformatycznym, posiadającym akredytację bezpieczeństwa teleinformatycznego.
Bezpieczeństwo informacji niejawnych, przetwarzanych w systemie teleinformatycznym, uwzględnia się w całym cyklu funkcjonowania systemu teleinformatycznego, składającym się z etapów:
- planowania;
- projektowania;
- wdrażania;
- eksploatacji;
- wycofywania.
Na etapie planowania ustala się potrzeby w zakresie przetwarzania informacji niejawnych w systemie teleinformatycznym, w szczególności określa się:
- przeznaczenie systemu teleinformatycznego – np. tylko prezentacja materiałów, drukowanie, wykorzystywany tylko w czasie pokoju, przesyłanie informacji niejawnych, itp.;
- maksymalną klauzulę tajności informacji niejawnych, które będą przetwarzane w systemie teleinformatycznym – klauzule narodowe, międzynarodowe;
- tryb bezpieczeństwa pracy systemu teleinformatycznego – dedykowany, systemowy, wielopoziomowy;
- szacunkową liczbę użytkowników;
- planowaną lokalizację – stacjonarne, mobilne, w wielu lokalizacjach.
Na etapie projektowania:
- przeprowadza się wstępne szacowanie ryzyka dlabezpieczeństwa informacji niejawnych w celu określenia wymagań dla zabezpieczeń;
- dokonuje się wyboru zabezpieczeń dla systemu teleinformatycznego w oparciu o wyniki wstępnego szacowania ryzyka dla bezpieczeństwa informacji niejawnych;
- uzgadnia się z podmiotem akredytującym plan akredytacji obejmujący zakres i harmonogram przedsięwzięć wymaganych do uzyskania akredytacji bezpieczeństwa teleinformatycznego;
- uzgadnia się z podmiotem zaopatrującym w klucze kryptograficzne rodzaj oraz ilość niezbędnych urządzeń lub narzędzi kryptograficznych, a także sposób ich wykorzystania;
- opracowuje się dokument szczególnych wymagań bezpieczeństwa.
Na etapie wdrażania:
- pozyskuje i wdraża się urządzenia lub narzędzia realizujące zabezpieczenia w systemie teleinformatycznym;
- przeprowadza się testy bezpieczeństwa systemu teleinformatycznego;
- przeprowadza się szacowanie ryzyka dla bezpieczeństwa informacji niejawnych z uwzględnieniem wprowadzonych zabezpieczeń;
- opracowuje się dokument procedur bezpiecznej eksploatacji oraz uzupełnia dokument szczególnych wymagań bezpieczeństwa;
- system teleinformatyczny poddaje się akredytacji bezpieczeństwa teleinformatycznego.
Na etapie eksploatacji:
- utrzymuje się zgodność systemu teleinformatycznego z jego dokumentacją bezpieczeństwa;
- zapewnia się ciągłość procesu zarządzania ryzykiem w systemie teleinformatycznym;
- okresowo przeprowadza się testy bezpieczeństwa w celu weryfikacji poprawności działania poszczególnych zabezpieczeń oraz usuwa stwierdzone nieprawidłowości;
- w zależności od potrzeb wprowadza się zmiany do systemu teleinformatycznego oraz, jeżeli jest to właściwe, wykonuje testy bezpieczeństwa, a także uaktualnia dokumentację bezpieczeństwa systemu teleinformatycznego, przy czym modyfikacje, mogące mieć wpływ na bezpieczeństwo systemu teleinformatycznego, wymagają zgody podmiotu, który udzielił akredytacji bezpieczeństwa teleinformatycznego, zaś w przypadku systemów teleinformatycznych, o których mowa w art. 48 ust. 9 i 10 ustawy — przekazania, odpowiednio do ABW albo SKW, w terminie 30 dni od wprowadzenia wyżej wymienionych modyfikacji, uaktualnionej dokumentacji bezpieczeństwa systemu teleinformatycznego, w szczególności w formie aneksów.
Na etapie wycofywania:
- zaprzestaje się eksploatacji systemu teleinformatycznego;
- powiadamia się pisemnie ABW albo SKW o wycofaniu systemu z eksploatacji;
- zwraca się do ABW albo SKW świadectwo akredytacji bezpieczeństwa systemu teleinformatycznego, jeżeli system teleinformatyczny przeznaczonybył do przetwarzania informacji niejawnych o klauzuli „poufne” lub wyższej;
- usuwa się informacje niejawne z systemu teleinformatycznego, w szczególności przez przeniesienie ich do innego systemu teleinformatycznego, zarchiwizowanie lub zniszczenie informatycznych nośników danych.
Dokumentacja bezpieczeństwa teleinformatycznego
- Dokument szczególnych wymagań bezpieczeństwa zawiera następujące dane:
- rodzaje oraz klauzule tajności informacji niejawnych, które będą przetwarzane w systemie teleinformatycznym;
- grupy użytkowników systemu teleinformatycznego wyodrębnione ze względu na posiadane uprawnienia do pracy w systemie teleinformatycznym;
- tryb bezpieczeństwa pracy systemu teleinformatycznego;
- przeznaczenie i funkcjonalność systemu teleinformatycznego;
- wymagania eksploatacyjne dla wymiany informacji i połączeń z innymi systemami teleinformatycznymi;
- lokalizację systemu teleinformatycznego;
- metodyka użytej w procesie szacowania ryzyka dla bezpieczeństwa informacji niejawnych oraz raport
z tego procesu; - opis zastosowanych zabezpieczeń;
- informacje o ryzykach szczątkowych oraz deklaracji ich akceptacji;
- informacje o poświadczeniach bezpieczeństwa lub innych formalnych uprawnieniach do dostępu do informacji
niejawnych, posiadanych przez użytkowników systemu teleinformatycznego; - opis bezpieczeństwa fizycznego, w tym granicach i lokalizacji stref ochronnych oraz środkach ich ochro-
ny; - opis elementów ochrony elektromagnetycznej;
- informacje o stosowanych urządzeniach lub narzędziach kryptograficznych;
- plany ciągłości działania, w tym tworzeniu kopii zapasowych, odzyskiwaniu systemu oraz, jeżeli to właściwe, zapewnieniu alternatywnych łączy telekomunikacyjnych lub urządzeń, a także zasilaniu awaryjnym;
- ustawienia konfiguracyjne systemu teleinformatycznego;
- informacje o utrzymaniu systemu, w tym dokonywaniu przeglądów diagnostycznych i napraw;
- opis procedur zapobiegania incydentom bezpieczeństwa teleinformatycznego, w tym ochronie przed oprogramowaniem złośliwym;
- zasady wprowadzania poprawek i aktualizacji oprogramowania;
- informacje o ochronie nośników, w tym ich oznaczaniu, dostępie, transporcie, obniżaniu ich klauzul tajności
i niszczeniu; - sposoby identyfikacji i uwierzytelnieniu użytkowników
i urządzeń; - procedury kontroli dostępu;
- procedury audytu wewnętrznego;
- opis zarządzania ryzykiem w systemie teleinformatycznym;
- informacje o zmianach w systemie teleinformatycznym, w tym dotyczących aktualizacji dokumentacji bezpieczeństwa systemu teleinformatycznego oraz warunkach ponownej akredytacji systemu teleinformatycznego i wycofania z eksploatacji.
- Dokument procedur bezpiecznej eksploatacji:
W dokumencie procedur bezpiecznej eksploatacji określa się szczegółowy wykaz procedur bezpieczeństwa wraz z dokładnym opisem sposobu ich wykonania, realizowanych przez osoby odpowiedzialne za bezpieczeństwo teleinformatyczne oraz osoby uprawnione do pracy w systemie teleinformatycznym, obejmujący:
- administrowanie systemem teleinformatycznym oraz zastosowanymi środkami zabezpieczającymi;
- bezpieczeństwo urządzeń;
- bezpieczeństwo oprogramowania;
- zarządzanie konfiguracją sprzętowo-programową, w tym zasady serwisowania lub modernizacji oraz wycofywania z użycia elementów systemu teleinformatycznego;
- plany awaryjne;
- monitorowanie i audyt systemu teleinformatycznego;
- zarządzanie nośnikami;
- zarządzanie materiałami kryptograficznymi;
- stosowanie ochrony elektromagnetycznej;
- reagowanie na incydenty bezpieczeństwa teleinformatycznego;
- szkolenia użytkowników systemu teleinformatycznego dotyczące zasad korzystania z systemu teleinformatycznego;
- wprowadzanie danych do systemu i ich wyprowadzanie z systemu.
W naszej ofercie proponujemy Państwu pełne wsparcie w procesie uzyskania akredytacji systemu teleinformatycznego, dla każdej krajowej i międzynarodowej klauzuli. Nasza oferta obejmuje każdy etap starania się o akredytację, od planowania, poprzez wdrożenie z przygotowaniem dokumentacji, a kończąc na audycie. Zapraszamy do współpracy!
Zajmuje się szeroko pojętym tematem zarządzania bezpieczeństwa informacji.
Jako młoda, aktywna i przedsiębiorcza osoba wciąż poszukuję nowych źródeł wiedzy i możliwości rozwoju.
Poszukuję kontaktów biznesowych, nawiążę również kontakt z osobami zainteresowanymi podobną problematyką w celu współpracy, wymiany spostrzeżeń i doświadczeń.