Poradnik: Wzorcowa dokumentacja bezpieczeństwa systemu niejawnego cz.2 – PBE

Poradnik: Wzorcowa dokumentacja bezpieczeństwa systemu niejawnego cz.2 – PBE

Teleinformatyczny system niejawny musi pracować wedle ściśle określonych procedur. Procedury takie powinny być zebrane i opisane w dokumencie „Procedury Bezpiecznej Eksploatacji” (PBE). Strukturę dokumentu Procedur Bezpiecznej Eksploatacji oraz zakres informacji, które powinny się w nim znaleźć, określa Rozporządzenie Prezesa Rady Ministrów z dnia 20 lipca 2011 r., w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego. Dokument Procedur Bezpiecznej Eksploatacji opracowuje się na etapie wdrażania systemu teleinformatycznego, po przeprowadzeniu szacowania ryzyka dla bezpieczeństwa informacji niejawnych z uwzględnieniem wprowadzonych…

Czytaj więcej...

Poradnik: Wzorcowa dokumentacja bezpieczeństwa systemu niejawnego cz.1 – SWB

Poradnik: Wzorcowa dokumentacja bezpieczeństwa systemu niejawnego cz.1 – SWB

Jednym z głównych elementów uzyskania akredytacji systemu niejawnego, niezależnie od klauzuli, jest napisanie dokumentacji bezpieczeństwa dla tego systemu. Jest to praktycznie pierwszy etap w staraniu się o uzyskanie świadectwa bezpieczeństwa dla systemu niejawnego. Zachęcam do zapoznania się 3 częściowym cyklem wzorcowej dokumentacji systemu niejawnego. W części pierwszej skupię się na Szczególnych Wymaganiach Bezpieczeństwa systemu. Druga część będzie poświęcona Procedurom Bezpiecznej Eksploatacji, natomiast w trzeciej część postaram się przybliżyć pojęcie szacowania ryzyka i analizy ryzyka, która…

Czytaj więcej...

Jak napisać politykę bezpieczeństwa?

Jak napisać politykę bezpieczeństwa?

Zgodnie z § 3 i § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w   sprawie   dokumentacji   przetwarzania   danych   osobowych   oraz   warunków   technicznych   i organizacyjnych,  jakim  powinny  odpowiadać  urządzenia  i  systemy  informatyczne  służące  do przetwarzania danych osobowych, administrator danych obowiązany jest do opracowania w formie pisemnej i wdrożenia polityki bezpieczeństwa. Pojęcie „polityka bezpieczeństwa”, użyte w rozporządzeniu należy rozumieć – jako zestaw praw, reguł i praktycznych doświadczeń, dotyczących sposobu zarządzania, ochrony i dystrybucji danych osobowych, wewnątrz określonej organizacji….

Czytaj więcej...

Dokumentacja SWB i PBE dla systemu niejawnego

Dokumentacja SWB i PBE dla systemu niejawnego

Zgodnie z Ustawą o Ochronie Informacji Niejawnych z dnia 5 sierpnia 2010 r. (dalej zwaną Ustawą) systemy teleinformatyczne, w których mają być przetwarzane informacje niejawne, podlegają akredytacji bezpieczeństwa teleinformatycznego. ABW albo SKW udziela akredytacji bezpieczeństwa teleinformatycznego dla systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli „poufne” lub wyższej, natomiast akredytacji dla systemów przetwarzających informacje niejawne oznaczone klauzulą „zastrzeżone” udziela Kierownik jednostki organizacyjnej. Akredytacja w obu przypadkach udzielana jest na podstawie kompletnej dokumentacji bezpieczeństwa systemu teleinformatycznego….

Czytaj więcej...

Szczególne Wymagania Bezpieczeństwa (SWB)

Zgodnie z art. 60 ust. 2 oraz art. 61 ust. 1 i 3 Ustawy z dnia 22 stycznia 1999 r. o Ochronie Informacji Niejawnych [art. 48 ust. 4 oraz art. 49 ust. 1 i 2 nowej Ustawy z dnia 5 sierpnia 2010 r. o OIN] we wszystkich systemach i sieciach teleinformatycznych, dla wytwarzania, przechowywania i przekazywania informacji niejawnych, wymagane jest opracowanie szczególnych wymagań bezpieczeństwa. Dokumenty szczególnych wymagań bezpieczeństwa opracowuje się po przeprowadzeniu szacowania ryzyka dla…

Czytaj więcej...

Procedury Bezpiecznej Eksploatacji (PBE)

Procedury Bezpiecznej Eksploatacji (PBE)

Zgodnie z art. 60 ust. 2 Ustawy o ochronie informacji niejawnych z dnia 22 stycznia 1999 r. (art. 48 ust. 4 Ustawy o ochronie informacji niejawnych z dnia 5 sierpnia 2010 r.) dokument Procedur Bezpiecznej Eksploatacji powinien być opracowany dla każdego systemu/sieci TI, w którym będą przetwarzane informacje niejawne. Dokument procedur bezpiecznej eksploatacji opracowuje się na etapie wdrażania oraz modyfikuje na etapie eksploatacji przed dokonaniem zmian w systemie teleinformatycznym. PBE powinno zawierać procedury bezpiecznej eksploatacji,…

Czytaj więcej...

Analiza ryzyka

Analiza ryzyka

Zgodnie z Rozporządzeniem Prezesa Rady ministrów z dnia 25 sierpnia 2005 r. w sprawnie podstawowych wymagań bezpieczeństwa teleinformatycznego [§12] Szczególne Wymagania Bezpieczeństwa (SWB) „opracowuje się po przeprowadzeniu szacowania ryzyka dla IN [..] z uwzględnieniem warunków charakterystycznych dla jednostki organizacyjnej”. Znaczy to, iż przed przystąpieniem do opracowywania dokumentacji systemu niejawnego należy przeprowadzić analizę ryzyka. Analiza ryzyka jest jednym z elementów procesu zarządzania ryzykiem. Wykonuje się ją podczas projektowania sytemu/sieci TI, cyklicznie w trakcie eksploatacji oraz w…

Czytaj więcej...