- Łączenie funkcji w ochronie informacji niejawnych
- Jak prawidłowo zatrudnić Pełnomocnika ds. ochrony informacji niejawnych
- Organizacji kancelarii tajnej obsługującej dwie lub więcej jednostek organizacyjnych
- Szkolenia z informacji niejawnych - kiedy, kogo i przez kogo?
- Informacje niejawne w przetargach publicznych
Dokumentacja SWB i PBE dla systemu niejawnego
Zgodnie z Ustawą o Ochronie Informacji Niejawnych z dnia 5 sierpnia 2010 r. (dalej zwaną Ustawą) systemy teleinformatyczne, w których mają być przetwarzane informacje niejawne, podlegają akredytacji bezpieczeństwa teleinformatycznego. ABW albo SKW udziela akredytacji bezpieczeństwa teleinformatycznego dla systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli „poufne” lub wyższej, natomiast akredytacji dla systemów przetwarzających informacje niejawne oznaczone klauzulą „zastrzeżone” udziela Kierownik jednostki organizacyjnej. Akredytacja w obu przypadkach udzielana jest na podstawie kompletnej dokumentacji bezpieczeństwa systemu teleinformatycznego.
Na dokumentację bezpieczeństwa systemu teleinformatycznego składają się 2 dokumenty:
- Szczególne Wymagania Wezpieczeństwa Systemu Teleinformatycznego
- Procedury Bezpiecznej Eksploatacji Systemu Teleinformatycznego
Za opracowanie dokumentacji bezpieczeństwa i przesłanie jej do ABW lub SKW odpowiedzialny jest Kierownik jednostki organizacyjnej, w której będzie funkcjonował system teleinformatyczny.
Dokument Szczególnych Wymagań Bezpieczeństwa opracowuje się na etapie projektowania, w razie potrzeby konsultuje z ABW albo SKW, bieżąco uzupełnia na etapie wdrażania i modyfikuje na etapie eksploatacji przed dokonaniem zmian w systemie teleinformatycznym.
Dokument Procedur Bezpiecznej Eksploatacji opracowuje się na etapie wdrażania oraz modyfikuje na etapie eksploatacji, przed dokonaniem zmian w systemie teleinformatycznym.
Wzór Szczególnych Wymagań Bezpieczeństwa (SWB) oraz Procedur Bezpiecznej Eksploatacji (PBE) praktycznie nie istnieje. Dokumenty te powinny być w najdrobniejszych szczegółach dopasowane do jednostki organizacyjnej (jej usytuowania, procesów w niej zachodzących, stosowanej dotychczasowej polityce bezpieczeństwa itd.). Jako pomocna dłoń i właściwie niejako wzór dokumentacji bezpieczeństwa, mogą posłużyć dokumenty szczegółowych zaleceń dotyczących opracowywania dokumentów szczególnych wymagań bezpieczeństwa i szczegółowych zaleceń dotyczących opracowywania procedur bezpiecznej eksploatacji. Zalecenia te stanowią dokumentację urzędową Agencji Bezpieczeństwa Wewnętrznego i rozpowszechnianie tej dokumentacji odbywa się jedynie za pośrednictwem Departamentu Bezpieczeństwa Teleinformatycznego ABW.
Dokument Szczególnych Wymagań Bezpieczeństwa Systemu Teleinformatycznego powinien zawierać w szczególności wyniki procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych, przetwarzanych w systemie teleinformatycznym, oraz określać przyjęte w ramach zarządzania ryzykiem sposoby osiągania i utrzymywania odpowiedniego poziomu bezpieczeństwa systemu, a także opisywać aspekty jego budowy, zasady działania i eksploatacji, które mają związek z bezpieczeństwem systemu lub wpływają na jego bezpieczeństwo. Przebieg i wyniki procesu szacowania ryzyka mogą zostać przedstawione w odrębnym dokumencie niż dokument szczególnych wymagań bezpieczeństwa.
SWB pełnią ważną rolę w ogólnej strategii ochrony informacji niejawnych w jednostce. Powinny one realizować wytyczne polityki bezpieczeństwa jednostki organizacyjnej dotyczące ochrony informacji niejawnej w zakresie bezpieczeństwa teleinformatycznego. Zadaniem ich jest zapewnienie, ażeby przetwarzanie informacji niejawnej w systemach TI odbywało się w sposób bezpieczny z zachowaniem tajemnicy. Określają one czym jest bezpieczeństwo teleinformatyczne systemu teleinformatycznego oraz podają jak to bezpieczeństwo jest osiągane, zarządzane i kontrolowane. Stanowią też wiążące porozumienie pomiędzy kierownikiem jednostki organizacyjnej a służbami ochrony państwa, które stanowi podstawę do eksploatacji systemu TI.
Dokument Procedur Bezpiecznej Eksploatacji powinien zawierać wykazy czynności (operacji), które realizować będą użytkownicy systemu TI wraz z dokładnym podaniem sposobu ich wykonania. Wymienione wykazy czynności powinny być pogrupowane w tematycznie wyodrębnione procedury bezpieczeństwa, opisujące sposób implementacji w systemie TI zasad bezpieczeństwa i środków ochrony określonych w dokumencie Szczególnych Wymagań Bezpieczeństwa. Oprócz „typowych” procedur bezpieczeństwa, w dokumencie PBE powinny również zostać przedstawione informacje, które są niezbędne dla użytkowników systemu TI w celu zapewnienia sprawnego i bezpiecznego funkcjonowania systemu TI. Przykładem takich informacji mogą być szczegółowe charakterystyki zadań wykonywanych przez użytkowników i osoby odpowiedzialne za zapewnienie funkcjonowania i bezpieczeństwa systemu TI. Wszystkie procedury bezpieczeństwa opracowane dla danego systemu TI powinny być ze sobą spójne, opracowane według określonego schematu i w określonej szacie graficznej. Treść procedur powinna być jasna i precyzyjna.
Każda procedura bezpieczeństwa powinna zawierać następujące elementy:
- Tytuł / nazwa procedury – prosty i zrozumiały dla osób, które wykonywać będą daną procedurę.
- Przedmiot i cel – stwierdzenie, jakiego działania dotyczy dana procedura i dlaczego to działanie tak ma być wykonywane.
- Osoby realizujące procedurę – określa zakres odpowiedzialności za realizację procedury.
- Dokumenty związane z daną procedurą – akty prawne, dokumentacje techniczne, zarządzenia wewnętrzne i itp., które dotyczą wymagań bezpieczeństwa teleinformatycznego i innych zagadnień omawianych w danej procedurze bezpieczeństwa.
- Wprowadzenie – skrócony wyciąg z dokumentu SWB wymagań, zasad bezpieczeństwa teleinformatycznego i innych istotnych informacji związanych z daną procedurą.
- Opis postępowania – opis czynność (operacji) wykonywanych przez użytkowników z uwzględnieniem informacji dotyczących tego, co ma być zrobione; kiedy, gdzie, jak i przez kogo; przy użyciu jakich narzędzi, środków lub dokumentów; jak będą dokumentowane wykonane czynności.
- Załączniki – dołączane, jeżeli z treści procedury wynika konieczność uzupełnienia szczegółowymi informacjami (np.: rysunki, plany, schematy, wzory formularzy, przepustek, wyciągi z dokumentacji technicznej i użytkowej) oraz przedstawienia wyciągów z innych dokumentów (np.: zapisów wewnętrznych instrukcji, zarządzeń lub innych aktów obowiązujących w jednostce organizacyjnej).
- Podpisy osób sporządzających i zatwierdzających daną procedurę – w zależności od rozwiązań formalnych przyjętych w danej jednostce organizacyjnej osobami zatwierdzającymi może być np. Kierownik jednostki organizacyjnej, Pełnomocnik ds. Ochrony Informacji Niejawnych, Inspektor Bezpieczeństwa Teleinformatycznego lub inna osoba biorąca udział w procesie opracowywania dokumentu PBE, spełniająca wszelkie formalne wymagania w zakresie dostępu do informacji niejawnych.
Wiemy, jak trudne może być przygotowanie dobrej dokumentacji bezpieczeństwa, dlatego też zachęcamy do skorzystania z naszego doświadczenia. W naszej ofercie znajdziecie Państwo przygotowanie kompletnej dokumentacji pozwalającej na akredytację systemu niejawnego w Państwa firmie. Chętnie pomożemy Państwu w zdobyciu świadectwa akredytacji bezpieczeństwa systemu teleinformatycznego na każdym etapie ubiegania się o niego – od stworzenia dokumentacji po uczestniczenie w audycie bezpieczeństwa systemu teleinformatycznego przeprowadzonego przez ABW albo SKW.
Zajmuje się szeroko pojętym tematem zarządzania bezpieczeństwa informacji.
Jako młoda, aktywna i przedsiębiorcza osoba wciąż poszukuję nowych źródeł wiedzy i możliwości rozwoju.
Poszukuję kontaktów biznesowych, nawiążę również kontakt z osobami zainteresowanymi podobną problematyką w celu współpracy, wymiany spostrzeżeń i doświadczeń.
Witam!
W tresci napisaliscie, ze praktycznie nie istnieje wzor SWB ani PB.
A co z dokumentem „Metodyka opracowywania szczegółowych wymagań bezpieczeństwa dla systemów lub sieci teleinformatycznych. Sygn.: Łączn. Wewn. 51/2000.” w ktorym zawarto wzory takich dokumentow wraz z przykladami?
Dokument, na który się powołujesz nie jest wzorem. Jak sama nazwa wskazuje to metodyka mówiąca co taki dokument powinien zawierać, nie znajdziesz w nim gotowych zapisów, które możesz użyć.
Jakie posiadacie doświadczenie? Tzn nie ile dokumentacji napisaliście ale na ilu komputerach niejawnych pracowaliście jako admini lub inspektorzy? Bo doświadczenie w pisaniu to żadne doświadczenie.