Akredytacja systemów niejawnych

Akredytacja systemów niejawnych

Zgodnie z Art. 48.  ust. 1 Ustawy o ochronie informacji niejawnych z dnia 5 sierpnia 2010 r., wszystkie systemy  teleinformatyczne,  w  których  mają  być  przetwarzane  informacje  niejawne, podlegają akredytacji bezpieczeństwa teleinformatycznego.  Akredytacji takiej udziela się na czas określony, nie dłuższy niż 5 lat. Dla systemu teleinformatycznego, przeznaczonego  do  przetwarzania informacji  niejawnych o klauzuli „poufne” lub wyższej, akredytacji bezpieczeństwa  teleinformatycznego udziela ABW  albo  SKW. ABW lub SKW udziela albo odmawia udzielenia akredytacji,  w  terminie  6  miesięcy  od  otrzymania …

Czytaj więcej...

Poradnik: Wzorcowa dokumentacja bezpieczeństwa systemu niejawnego cz.2 – PBE

Poradnik: Wzorcowa dokumentacja bezpieczeństwa systemu niejawnego cz.2 – PBE

Teleinformatyczny system niejawny musi pracować wedle ściśle określonych procedur. Procedury takie powinny być zebrane i opisane w dokumencie „Procedury Bezpiecznej Eksploatacji” (PBE). Strukturę dokumentu Procedur Bezpiecznej Eksploatacji oraz zakres informacji, które powinny się w nim znaleźć, określa Rozporządzenie Prezesa Rady Ministrów z dnia 20 lipca 2011 r., w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego. Dokument Procedur Bezpiecznej Eksploatacji opracowuje się na etapie wdrażania systemu teleinformatycznego, po przeprowadzeniu szacowania ryzyka dla bezpieczeństwa informacji niejawnych z uwzględnieniem wprowadzonych…

Czytaj więcej...

Poradnik: Wzorcowa dokumentacja bezpieczeństwa systemu niejawnego cz.1 – SWB

Poradnik: Wzorcowa dokumentacja bezpieczeństwa systemu niejawnego cz.1 – SWB

Jednym z głównych elementów uzyskania akredytacji systemu niejawnego, niezależnie od klauzuli, jest napisanie dokumentacji bezpieczeństwa dla tego systemu. Jest to praktycznie pierwszy etap w staraniu się o uzyskanie świadectwa bezpieczeństwa dla systemu niejawnego. Zachęcam do zapoznania się 3 częściowym cyklem wzorcowej dokumentacji systemu niejawnego. W części pierwszej skupię się na Szczególnych Wymaganiach Bezpieczeństwa systemu. Druga część będzie poświęcona Procedurom Bezpiecznej Eksploatacji, natomiast w trzeciej część postaram się przybliżyć pojęcie szacowania ryzyka i analizy ryzyka, która…

Czytaj więcej...

Administrator Systemu Niejawnego (AS)

Administrator Systemu Niejawnego (AS)

Administrator systemu to osoba lub zespół osób odpowiedzialnych za funkcjonowanie systemu/sieci TI oraz za przestrzeganie zasad i wymagań bezpieczeństwa TI (art. 54 ust.1 pkt 1 UOIN). Administratorem systemu niejawnego powinna być osoba, która bezpośredni zarządza systemem lub siecią Teleinformatyczną. Możliwe jest powołanie na to stanowisko i skierowanie na szkolenie do Agencji Bezpieczeństwa Wewnętrznego jego przełożonego (np. szefa oddziału). W tym przypadku administratorzy także muszą posiadać odpowiednie poświadczenie bezpieczeństwa oraz powinni zostać przeszkoleni przez administratora, który…

Czytaj więcej...

Inspektor Bezpieczeństwa Teleinformatycznego (IBTI)

Inspektor Bezpieczeństwa Teleinformatycznego (IBTI)

Stanowisko lub funkcję inspektora bezpieczeństwa teleinformatycznego (IBTI) może zajmować lub pełnić osoba, która posiada obywatelstwo polskie, posiada odpowiednie poświadczenie bezpieczeństwa wydane po przeprowadzeniu postępowania sprawdzającego, odbyła przeszkolenie w zakresie ochrony informacji niejawnych, odbyła specjalistyczne szkolenie z zakresu bezpieczeństwa teleinformatycznego prowadzonego prze służby ochrony państwa (art. 18 ust.5 i art. 64 ust. 3 uoin). Inspektora bezpieczeństwa teleinformatycznego odpowiada za bieżącą kontrolę zgodności funkcjonowania sieci lub systemu teleinformatycznego ze szczególnymi wymaganiami bezpieczeństwa oraz za kontrolę przestrzegania procedur…

Czytaj więcej...

Ochrona informacji niejawnych w systemach teleinformatycznych

Informacja niejawna – termin prawniczy, który w prawie polskim został zdefiniowany w ustawie o ochronie informacji niejawnych z 22 stycznia 1999 roku. Oznacza informację, która wymaga ochrony przed nieuprawnionym ujawnieniem, jako stanowiącą tajemnicę państwową lub służbową, niezależnie od formy i sposobu jej wyrażenia, także w trakcie jej opracowania (Art. 1 ust. 1 UOIN). Wejście w życie Ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych – UOIN (t.j. Dz. U. Nr 196, poz….

Czytaj więcej...

Role osób funkcyjnych związanych z bezpieczeństwem informacji niejawnych

Zgodnie z przepisami dotyczącymi bezpieczeństwa systemów teleinformatycznych przetwarzających informacje niejawne o bezpieczeństwo tych systemów dbają określone osoby funkcyjne. Tymi osobami są kierownik jednostki organizacyjnej (KJO), administrator systemu (AS) oraz inspektor bezpieczeństwa teleinformatycznego (IBTI). Dodatkowo też swój wkład w bezpieczeństwo teleinformatyczne mają służby ochrony państwa (SOP). Poniżej krótki opis kto czym się zajmuje. Kierownik jednostki organizacyjnej Odpowiada za całokształt bezpieczeństwa informacji niejawnych Opracowanie i przekazanie służbie ochrony państwa dokumentacji bezpieczeństwa TI Wyznaczanie administratora systemu i inspektora…

Czytaj więcej...

Zdobyć certyfikat bezpieczeństwa TI!

Zgodnie z art 64 ust. 1 UOIN kierownik jednostki organizacyjnej wyznacza administratora systemu (AS) oraz inspektora bezpieczeństwa teleinformatycznego (IBTI). Osoby te powinny posiadać poświadczenie bezpieczeństwa upoważniające do dostępu do informacji niejawnych oznaczonych taką samą lub wyższą klauzulą jak system teleinformatyczny, którym będą się “opiekowały” (art 33 UOIN). Dodatkowo osoby wyznaczane na administratora systemu oraz inspektora bezpieczeństwa teleinformatycznego muszą posiadać odpowiedni certyfikat potwierdzający udział w szkoleniu z zakresu bezpieczeństwa teleinformatycznego. Szkolenia te prowadzone są przez funkcjonariuszy…

Czytaj więcej...

Nośniki elektroniczne

Nośnik elektroniczny to materiał lub urządzenie służące do zapisywania, przechowywania i odczytywania danych w postaci cyfrowej lub analogowej czyli np. dyskietki, płyty CD, dyski twarde, pamięci typu flash. Wszystkie nośniki elektroniczne, które będą służyć do przechowywania informacji niejawnych powinny być zarejestrowane w Kancelarii Tajnej oraz powinny zostać odpowiednio oznaczone. Sposób oznaczania nośników elektronicznych normuje Rozporządzenie z dnia 5 października 2005 r. w sprawie sposobu oznaczania materiałów, umieszczania na nich klauzul tajności, a także zmiany nadanej…

Czytaj więcej...