Procedury Bezpiecznej Eksploatacji (PBE)

Zgodnie z art. 60 ust. 2 Ustawy o ochronie informacji niejawnych z dnia 22 stycznia 1999 r. (art. 48 ust. 4 Ustawy o ochronie informacji niejawnych z dnia 5 sierpnia 2010 r.) dokument Procedur Bezpiecznej Eksploatacji powinien być opracowany dla każdego systemu/sieci TI, w którym będą przetwarzane informacje niejawne.

Dokument procedur bezpiecznej eksploatacji opracowuje się na etapie wdrażania oraz modyfikuje na etapie eksploatacji przed dokonaniem zmian w systemie teleinformatycznym.

PBE powinno zawierać procedury bezpiecznej eksploatacji, które obejmują sposób i tryb postępowania w sprawach związanych z bezpieczeństwem informacji oraz określają zakres odpowiedzialności użytkowników systemu lub sieci teleinformatycznej i pracowników mających do nich dostęp. Dokument ten powinien zawierać wykazy czynności (operacji), które realizować będą użytkownicy systemu/sieci TI wraz z dokładnym podaniem sposobu ich wykonania. Wymienione wykazy czynności powinny być pogrupowane w tematycznie wyodrębione procedury bezpieczeństwa, opisujące sposób implementacji w systemie/sieci TI zasad bezpieczeństwa i środków ochrony określonych w dokumencie Szczegółowych Wymagań Bezpieczeństwa.

Wszystkie procedury bezpieczeństwa opracowane dla danego systemu / sieci TI powinny być ze sobą spójne, opracowane według określonego schematu i  w określonej szacie graficznej.

Każda procedura bezpieczeństwa powinna zawierać następujące elementy:

  • Tytuł / nazwa procedury
  • Przedmiot i cel
  • Osoby realizujące procedurę
  • Dokumenty związane z daną procedurą
  • Wprowadzenie
  • Opis postępowania
  • Załączniki
  • Podpisy osób sporządzających i zatwierdzających daną procedurę

Przykładowy wzór tabelki rozpoczynającej procedurę:

Szczegółowy wykaz czynności powinien być ujęty w tematycznie wyodrębnione procedury bezpieczeństwa dotyczące w szczególności:

  • administrowania systemem lub siecią teleinformatyczną;
  • bezpieczeństwa osobowego;
  • bezpieczeństwa dokumentów i materiałów niejawnych, w tym procedur sporządzania kopii z tych dokumentów oraz niszczenia dokumentów i ich kopii;
  • ochrony kryptograficznej, elektromagnetycznej, fizycznej, niezawodności transmisji lub kontroli dostępu do urządzeń systemu lub sieci teleinformatycznej;
  • bezpieczeństwa urządzeń i oprogramowania;
  • zapewnienia ciągłości działania systemu lub sieci teleinformatycznej;
  • zarządzania konfiguracją;

Sposób opracowywania dokumentacji bezpieczeństwa jest opisany w rozdziale 3 ROZPORZĄDZENIA PREZESA RADY MINISTRÓW z dnia 25 sierpnia 2005 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego.

Zobacz również:

Leave a Comment

*