Inspektor Bezpieczeństwa Teleinformatycznego (IBTI)

Stanowisko lub funkcję inspektora bezpieczeństwa teleinformatycznego (IBTI) może zajmować lub pełnić osoba, która posiada obywatelstwo polskie, posiada odpowiednie poświadczenie bezpieczeństwa wydane po przeprowadzeniu postępowania sprawdzającego, odbyła przeszkolenie w zakresie ochrony informacji niejawnych, odbyła specjalistyczne szkolenie z zakresu bezpieczeństwa teleinformatycznego prowadzonego prze służby ochrony państwa (art. 18 ust.5 i art. 64 ust. 3 uoin).

Inspektora bezpieczeństwa teleinformatycznego odpowiada za bieżącą kontrolę zgodności funkcjonowania sieci lub systemu teleinformatycznego ze szczególnymi wymaganiami bezpieczeństwa oraz za kontrolę przestrzegania procedur bezpiecznej eksploatacji ( art.64 ust. 1 pkt. 2 uoin).

Zakres obowiązków IBTI:

  1. Kontrola realizowania procedur bezpiecznej eksploatacji systemu(PBE)
  2. Organizowanie i prowadzenie szkoleń z zakresu bezpieczeństwa teleinformatycznego.
  3. Reagowanie na incydenty, wyjaśnianie ich przyczyn.
  4. Przeprowadzanie okresowej analizy ryzyka.
  5. Tworzenie planów awaryjnych.
  6. Organizowanie treningów symulacyjnych z różnych zagrożeń.
  7. Uczestnictwo w pracach zespołu ds. opracowania SWB i PBE
  8. Opracowanie instrukcji (regulaminu) użytkowania programów komputerowych dla pracowników.
  9. Informowanie Pełnomocnika ochrony o zdarzeniach związanych lub mogących mieć związek z bezpieczeństwem teleinformatycznym.

Inspektor Bezpieczeństwa Teleinformatycznego w szczególności kontroluje:

  1. przestrzeganie zasad ochrony informacji niejawnych w systemie lub sieci teleinformatycznej;
  2. stan zabezpieczeń fizycznych, elektromagnetycznych i elektronicznych pomieszczeń lub obszarów, w których usytuowane są systemy lub sieci teleinformatyczne;
  3. aktualność wykazów osób mających dostęp do systemu lub sieci teleinformatycznej, przydzielanie kont użytkownikom, zakres nadanych im uprawnień oraz prawidłowość zabezpieczeń zastosowanych w systemie lub sieci;
  4. znajomość i przestrzeganie przez użytkowników procedur bezpiecznej eksploatacji systemu lub sieci teleinformatycznej
  5. przestrzeganie zasad i wymagań w zakresie oznaczania, ewidencjonowania, przechowywania i przekazywania wytworzonych dokumentów niejawnych oraz ich terminowe rozliczanie;
  6. zgodność konfiguracji systemu lub sieci teleinformatycznej z dokumentacją bezpieczeństwa teleinformatycznego.

Dodatkowo:

  1. analizuje rejestr zdarzeń w systemie lub sieci teleinformatycznej, prawidłowość  dokumentowania i archiwizowania zdarzeń;
  2. informuje pełnomocnika ochrony o wszelkich zdarzeniach związanych lub mogących mieć związek z bezpieczeństwem systemu lub sieci teleinformatycznej;
  3. prowadzi szkolenia użytkowników w zakresie ochrony informacji niejawnych oraz przestrzegania zasad bezpieczeństwa w systemie lub sieci teleinformatycznej
  4. uczestniczy w opracowywaniu:
    • programów organizacyjno-użytkowych, projektów koncepcyjnych i technicznych planowanych do budowy systemów i sieci teleinformatycznych,
    • dokumentacji bezpieczeństwa teleinformatycznego.

Zgodnie Art. 64.  ust. 1 pkt. 2 UOIN Inspektorem Bezpieczeństwa Teleinformatycznego może być tylko pracownik Pionu Ochrony Informacji Niejawnych. Funkcję IBTI może pełnić Pełnomocnik Ochrony Informacji Niejawnych.

Zobacz również:

COMMENTS

  • <cite class="fn">Agnieszka</cite>

    Interesująca treść. Pozwolę sobie jednak nie zgodzić się z punktem w zakresie obowiązków inspektora BT, a dotyczącego prowadzenia szkoleń. Jak sama nazwa wskazuje inspektor jest osobą, która nadzoruje określone działania innych.
    Etymologia wyrazu ma źródło w łacinie: „inspectio” -nadzór, „inspector” to nadzorca (od „inspicere” -wglądać; badać).
    Zatem szkolenie nie leży w zakresie jego obowiązków, a jedynie dozorowanie poziomu wyszkolenia.
    Żaden przepis prawa również nie nakłada na inspektora BT takiego obowiązku.
    Jest to często powielany schemat, niestety.

    • <cite class="fn">Karol Kij</cite>

      Faktycznie, może i wprost z przepisów nie wynika obowiązek prowadzenia szkolenia przez IBTI, lecz biorąc pod uwagę fakt, że Administrator Systemu najczęściej nie jest pracownikiem Pionu Ochrony IN, a jego wiedza może ograniczać się do czynności stricte administracyjnych (np. konfiguracja komputera). Dlatego uważam, że w takim szkoleniu użytkownika powinien brać również IBTI, który będąc pracownikiem POIN powinien mieć szerszą wiedzę na temat postępowania nie tylko z systemem TI, ale również z informacjami niejawnymi np. z wydrukami, czy płytami CD. Zgodnie z § 7 Rozporządzenia Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego, to kierownik jednostki organizacyjnej zapewnia przeszkolenie użytkowników z zakresu bezpieczeństwa teleinformatycznego oraz zapoznanie z PBE. Moim zdaniem do przeprowadzenia szkolenia powinien zostać wyznaczony zarówno administrator jak i inspektor. Takie rozwiązanie rekomenduje również samo ABW w wydanych „Zaleceniach dotyczących bezpieczeństwa teleinformatycznego”.

Leave a Comment

*

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.