Poradnik: Wzorcowa dokumentacja bezpieczeństwa systemu niejawnego cz.2 – PBE

Teleinformatyczny system niejawny musi pracować wedle ściśle określonych procedur. Procedury takie powinny być zebrane i opisane w dokumencie „Procedury Bezpiecznej Eksploatacji” (PBE). Strukturę dokumentu Procedur Bezpiecznej Eksploatacji oraz zakres informacji, które powinny się w nim znaleźć, określa Rozporządzenie Prezesa Rady Ministrów z dnia 20 lipca 2011 r., w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego.

Dokument Procedur Bezpiecznej Eksploatacji opracowuje się na etapie wdrażania systemu teleinformatycznego, po przeprowadzeniu szacowania ryzyka dla bezpieczeństwa informacji niejawnych z uwzględnieniem wprowadzonych zabezpieczeń. Dokument ten uaktualnia się na etapie eksploatacji systemu teleinformatycznego, co bardzo ważne: przed dokonaniem zmian w systemie teleinformatycznym.

Dokument Procedur Bezpiecznej Eksploatacji powinien być opracowany dla każdego systemu TI, w którym będą przetwarzane informacje niejawne. Zaznaczyć należy, że obowiązek ten występuje bez względu na klauzulę tajności informacji niejawnych, które będą przetwarzane w danym systemie. Oznacza to, że takie same wymagania co do konieczności opracowania dokumentu PBE, obowiązują w przypadku budowania systemu przetwarzającego informacje niejawne oznaczone klauzulą „ściśle tajne”, jak i systemu , który przetwarzać będzie informacje niejawne, oznaczone klauzulą „zastrzeżone”.

Procedura to schemat działania, swego rodzaju „przepis”, jak postępować. Dokument PBE powinien zawierać procedury, które będą schematem postępowania dla użytkowników, jak bezpiecznie korzystać z systemu. Procedury te powinny obejmować sposób i tryb postępowania w sprawach związanych z bezpieczeństwem informacji oraz określać zakres odpowiedzialności użytkowników systemu i pracowników mających do nich dostęp. Dokument Procedur Bezpiecznej Eksploatacji powinien stanowić odrębne opracowanie w stosunku do dokumentu Szczególnych Wymagań Bezpieczeństwa (SWB) systemu TI.

W dokumencie Procedur Bezpiecznej Eksploatacji określa się szczegółowy wykaz procedur bezpieczeństwa, realizowanych przez osoby odpowiedzialne za bezpieczeństwo teleinformatyczne oraz osoby uprawnione do pracy w systemie teleinformatycznym, wraz z dokładnym opisem sposobu ich wykonania, obejmujący:

  1. administrowanie systemem teleinformatycznym oraz zastosowanymi środkami zabezpieczającymi;
  2. bezpieczeństwo urządzeń;
  3. bezpieczeństwo oprogramowania;
  4. zarządzanie konfiguracją sprzętowo-programową, w tym zasady serwisowania lub modernizacji oraz wycofywania z użycia elementów systemu teleinformatycznego;
  5. plany awaryjne;
  6. monitorowanie i audyt systemu teleinformatycznego;
  7. zarządzanie nośnikami;
  8. zarządzanie materiałami kryptograficznymi;
  9. stosowanie ochrony elektromagnetycznej;
  10. reagowanie na incydenty bezpieczeństwa teleinformatycznego;
  11. szkolenia użytkowników systemu teleinformatycznego dotyczące zasad korzystania z systemu teleinformatycznego;
  12. wprowadzanie danych do systemu i ich wyprowadzanie z systemu.

Wszystkie procedury bezpieczeństwa, opracowane dla danego systemu, powinny być ze sobą spójne, opracowane według określonego schematu i w określonej szacie graficznej. Treść procedur powinna być jasna i precyzyjna. Jeżeli będzie zbyt skomplikowana i przedstawiona niezrozumiale dla użytkowników systemu, może nie być odpowiednio realizowana. Użytkownicy systemu, po zapoznaniu się z treścią obowiązujących ich procedur bezpieczeństwa, powinni jednoznacznie wiedzieć i rozumieć, jak realizować opisane w nich czynności, bez żadnych dodatkowych interpretacji lub własnej improwizacji.

Zobacz również:

Leave a Comment

*