Bezpieczeństwo systemów informatycznych Niezbędne dokumenty do otrzymania akredytacji przez ABW
Zagadnienia Struktura dokumentacji związanej z bezpieczeństwem – zalecenia ABW Struktura organizacji zarządzania bezpieczeństwem w organizacji Ogólny schemat procesu budowy bezpieczeństwa teleinformatycznego Wymagania dotyczące dokumentacji systemu zarządzania bezpieczeństwem informacji w celu uzyskania akredytacji przez ABW Dokument polityki bezpieczeństwa, Plan bezpieczeństwa teleinformatycznego, SWBS, PBE. Podsumowanie
Struktura dokumentacji związanej z bezpieczeństwem – zalecenia ABW Ustawy o ochronie Rozporządzenia do ustaw Zalecenia służb ochrony państwa dotyczące bezpieczeństwa Szczegółowe zalecenia dotyczące dokumentacji bezpieczeństwa teleinformatycznego Szczegółowe zalecenia dotyczące ochrony fizycznej systemów IT ochrony elektromagnetycznej przeprowadzania audytów analizy zagrożeń zarządzania ryzykiem Wytyczne dotyczące stosowania kryteriów oceny bezpieczeństwa IT dotyczące opracowania SWBS dotyczące opracowania PBE Struktura i zawartość SWBS PBE Dokument Polityki Bezpieczeństwa Plan Teleinformatycznego Szczegółowe SI
Pełnomocnik ds. bezpieczeństwa Prezes Firmy Kierownik jednostki organizacyjnej [UOIN] Administrator Danych Osobowych [UODO] Pełnomocnik ds. bezpieczeństwa Pełnomocnik OIN (PION) [UOIN] Administrator Danych Osobowych [UODO]*) Inspektor Bezpieczeństwa Teleinformatycznego [UOIN] Kancelaria Tajna (KT) [UOIN] Wysunięte stanowiska Kancelarii Tajnej Administrator Bezpieczeństwa Teleinformat. Główny Administrator Systemu (GAS) [UOIN] Administrator Bezpieczeństwa Informacji [UODO]**) Starszy Administrator Systemu (SAS) Zespól utrzymania i rozwoju (osoba trzecia) Administrator Systemu (AS) Powołał Podlega Nadzoruje Kontroluje *) wypełnia obowiązki, które ustawa o ochronie danych osobowych nakłada na Administratora Danych Osobowych **) pełni obowiązki, które ustawa o ochronie danych osobowych nakłada na Administratora Bezpieczeństwa Informacji
Kierownik jednostki organizacyjnej Struktura organizacji zarządzania bezpieczeństwem w organizacji PEŁNOMOCNIK DS. BEZPIECZEŃSTWA PREZES FIRMY Kierownik jednostki organizacyjnej Administrator danych ADMINISTRATOR BEZPIECZEŃSTWA TELEINFORMATYCZNEGO (Główny administrator systemu) INSPEKTOR BEZPIECZEŃSTWA TELEINFORMATYCZNEGO Zespół ochrony (kierowany przez pełnomocnika ds. bezpieczeństwa) LOKALNY ADMINISTRATOR SYSTEMU TELEINFORMATYCZNEGO (Administrator systemu) Kancelaria tajna Kancelarie administracyjne Archiwum zakładowe Systemy teleinformatyczne Nadzór i kontrola w gestii pełnomocnika Wypełnia obowiązki, które ustawa o ochronie danych osobowych nakłada na administratora danych Wypełnia obowiązki, które ustawa o ochronie informacji niejawnych nakłada na pełnomocnika informacji niejawnych Pełni obowiązki administratora bezpieczeństwa informacji zgodnie z ustawa o ochronie danych osobowych nakłada na Pełni obowiązki administratora systemu zgodnie z ustawa o ochronie informacji niejawnych nakłada na pełnomocnika informacji niejawnych
Ogólny schemat procesu budowy bezpieczeństwa teleinformatycznego Zaintereso wane strony Wymagania i oczekiwania dotyczące bezpieczeństwa informacji Cykl opracowywania, utrzymywania i doskonalenia Zarządzanie bezpieczeństwem informacji Ustanowienie SZBI Wdrożenie i eksploatacja SZBI Monitorowanie i przegląd SZBI Utrzymanie i doskonalenie SZBI Wykonaj (Do) Sprawdzaj (Check) Planuj Plan) Działaj (Act)
Ustanowienie SZBI Na tym etapie instytucja powinna podjąć następujące działania: Powołać zespół ds. zarządzania bezpieczeństwem Określić zakres SZBI uwzględniający charakter prowadzonej działalności, instytucji, jej lokalizacji, aktywów i technologii, Opracować politykę SZBI uwzględniającą charakter prowadzonej działalności, instytucji, jej lokalizacji, aktywów i technologii – Dokument polityki Bezpieczeństwa, Określić systematyczne podejście do szacowania ryzyka, Określić ryzyka, Oszacować ryzyka, Zidentyfikować i ocenić warianty traktowania ryzyk, Wybrać cele stosowania zabezpieczeń oraz zabezpieczenia jako środki traktowania ryzyk, Przygotować deklarację stosowania zabezpieczeń, Uzyskać akceptację kierownictwa dla zaproponowanych ryzyk szczątkowych oraz autoryzację do wdrażania i eksploatacji SZBI Opracować plan bezpieczeństwa – Plan bezpieczeństwa teleinformatycznego Opracować szczególne wymagania bezpieczeństwa - SWBS
Wdrożenie i eksploatacja SZBI Na tym etapie instytucja powinna podjąć następujące działania: Sformułować plan postępowania z ryzykiem, w którym są określone odpowiednie działania kierownictwa, zakresy odpowiedzialności oraz priorytety dla zarządzania ryzykami związanymi z bezpieczeństwem informacji, Wdrożyć plan postępowania z ryzykiem w celu osiągnięcia zidentyfikowanych celów stosowania zabezpieczeń, które obejmują rozważenie przydzielania ról i zakresów odpowiedzialności, Wdrożyć wybrane zabezpieczenia tak aby osiągnąć cel stosowania zabezpieczeń, Opracować procedury bezpiecznej eksploatacji - PBE Wdrożyć programy uświadamiania i szkolenia, Zarządzać eksploatacją, Administrować zasobami, Wdrożyć procedury bezpiecznej eksploatacji i inne zabezpieczenia zdolne do zapewnienia natychmiastowego wykrycia i reakcji na incydenty związane z naruszeniem bezpieczeństwa.
Monitorowanie i przegląd SZBI Na tym etapie instytucja powinna podjąć następujące działania: Wykonywać procedury bezpiecznej eksploatacji i stosować inne zabezpieczenia w celu: natychmiastowego wykrywania błędów w wynikach przetwarzania, natychmiastowego identyfikowania naruszenia bezpieczeństwa oraz incydentów, zakończonych niepowodzeniem lub sukcesem, umożliwienia kierownictwu stwierdzenia, czy działania związane z bezpieczeństwem delegowane na poszczególne osoby lub wdrożone za pomocą środków informatycznych są wykonywane zgodnie z oczekiwaniami, Wykonywać regularne przeglądy skuteczności SZBI (w tym zgodność z polityką i celami oraz przegląd zabezpieczeń), biorąc pod uwagę wyniki audytów bezpieczeństwa, incydentów, sugestii oraz informacji zwrotnych od wszystkich zainteresowanych stron,
Monitorowanie i przegląd SZBI Dokonywać przeglądów poziomu ryzyka szczątkowego oraz ryzyka akceptowalnego, biorąc pod uwagę zmiany: w instytucji, technologii, celów biznesowych, zidentyfikowanych zagrożeń, zewnętrznych zdarzeń, takich jak zmiany prawa lub stosowanych regulacji, W zaplanowanych odstępach czasu przeprowadzać audyty wewnętrzne SZBI, W regularnych odstępach czasu podejmować przeglądy SZBI realizowane przez kierownictwo tak, aby zapewnić, że zakres jest odpowiedni oraz zostały zidentyfikowane udoskonalenia procesu SZBI, Rejestrować działania i zdarzenia, które mogą mieć wpływ na skuteczność lub jakość realizacji systemu zarządzania bezpieczeństwem informacji.
Utrzymanie i doskonalenie SZBI Na tym etapie instytucja powinna podjąć następujące działania: Wdrożyć w SZBI zidentyfikowane udoskonalenia, Podejmować odpowiednie działania korygujące lub zabezpieczające (wyciągać wnioski z doświadczeń w dziedzinie bezpieczeństwa), Informować o wynikach działań i uzgadniać je ze wszystkimi zainteresowanymi stronami, Zapewniać, że udoskonalenia osiągają zamierzone cele.
Wymagania dotyczące dokumentacji systemu zarządzania bezpieczeństwem informacji Dokumentacja SZBI powinna obejmować: Udokumentowane deklaracje polityki bezpieczeństwa oraz celów stosowania zabezpieczeń – dokument polityki bezpieczeństwa, Plan bezpieczeństwa teleinformatycznego, Polityki bezpieczeństwa teleinformatycznego dla poszczególnych systemów informatycznych, Szczególne wymagania bezpieczeństwa systemów informatycznych – SWBS-y Procedury bezpiecznej eksploatacji - PBE, Raport z procesu szacowania ryzyka, Plan postępowania z ryzykiem, Deklarację stosowania
Dokument Polityki Bezpieczeństwa (punkt 3. 1 Dokument Polityki Bezpieczeństwa (punkt 3.1.1 normy PN ISO /IEC 177799 ) ogólne cele, zakres i znaczenie bezpieczeństwa, oświadczenie o intencjach kierownictwa, potwierdzające cele, zakres i zasady bezpieczeństwa informacji, krótkie wyjaśnienie polityki bezpieczeństwa, zasad, standardów i wymagań zgodności mających szczególne znaczenie dla firmy: zgodność z prawem i wymaganiami wynikającymi z umów, wymagania dotyczące kształcenia w dziedzinie bezpieczeństwa, zapobieganie i wykrywanie szkodliwego oprogramowania, zarządzanie ciągłością działania, konsekwencje naruszenia polityki bezpieczeństwa,
Dokument Polityki Bezpieczeństwa cd.. ogólne i szczegółowe obowiązki w odniesieniu do zarządzania bezpieczeństwem, zasady zgłaszania przypadków naruszenia bezpieczeństwa, odsyłacze do dokumentacji mogącej uzupełnić politykę np.: szczegółowe polityki bezpieczeństwa dla poszczególnych systemów informatycznych, szczególne wymagania bezpieczeństwa dla poszczególnych systemów informatycznych, procedury bezpiecznej eksploatacji dla poszczególnych systemów informatycznych, ogólne zalecenia do przestrzegania przez użytkowników zasad bezpieczeństwa
Dokument polityki bezpieczeństwa – spis treści WPROWADZENIE 1. ZAKRES DOKUMENTU 2. TERMINY I DEFINICJE 3. BEZPIECZEŃSTWO INFORMACJI W INSTYTUCJI 3.1. Dlaczego chronimy informację w Urzędzie Dozoru Technicznego 3.2. Rodzaje informacji 3.3. Hierarchia polityk bezpieczeństwa w Urzędzie Dozoru Technicznego 4. KONCEPCJA POLITYKI BEZPIECZEŃSTWA SYSTEMÓW TELEINFORMATYCZNYCH 4.1. Cel i zakres polityki bezpieczeństwa systemów teleinformatycznych 4.2. Specyfikacja i klasyfikacja informacji podlegającej ochronie w systemach teleinformatycznych 4.3. Opis znaczenia systemów teleinformatycznych dla wykonywanych zadań biznesowych 4.4. Wymagany poziom bezpieczeństwa teleinformatycznego 4.5. Cele budowania bezpieczeństwa teleinformatycznego 4.6. Uwagi dodatkowe 5. INTENCJE KIEROWNICTWA, POTWIERDZAJĄCE CELE I ZASADY BEZPIECZEŃSTWA INFORMACJI 6. WYJAŚNIENIE POLITYKI BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH 6.1. Zasady polityki bezpieczeństwa systemów informatycznych 6.2. Zarządzenia 6.3. Procesy 6.4. Metody 6.5. Procedury 6.6. Wymagania dotyczące kompetencji, edukacji i szkolenia w dziedzinie bezpieczeństwa 6.7. Zarządzanie ciągłością działania biznesowego 6.8. Plany odtwarzania działania systemów teleinformatycznych 6.9. Konsekwencje naruszenia polityki bezpieczeństwa 6.10. Zapobieganie i wykrywanie szkodliwego oprogramowania 7. DEFINICJE OGÓLNYCH I SZCZEGÓŁOWYCH OBOWIĄZKÓW W ODNIESIENIU DO ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI 8. DOKUMENTY ZWIĄZANE Lub według ISO/IEC TR 13335-3:1998(E) Załącznik - spis zawartości polityki bezpieczeństwa w zakresie systemów teleinformatycznych
Plan bezpieczeństwa teleinformatycznego Żeby polityka bezpieczeństwa nie pozostała martwym dokumentem, powinna zostać opracowana koncepcja bezpieczeństwa teleinformatycznego, która powinna zostać udokumentowana – zapisana w postaci dokumentu o nazwie „Plan bezpieczeństwa teleinformatycznego w UDT”. Dokument (niejawny – opatrzony najwyższą stosowaną w Instytucji klauzulą tajności) ten zawiera opis przedsięwzięć, które należy zrealizować, aby osiągnąć wyspecyfikowane w „Dokumencie polityki bezpieczeństwa ....” cele i poziomy bezpieczeństwa w ramach przyznanych środków finansowych.
Plan bezpieczeństwa teleinformatycznego Podstawowe zadania, które powinny wynikać z planu bezpieczeństwa teleinformatycznego to: ustalenie, czy w stosunku do informacji przetwarzanej, przechowywanej i przesyłanej w systemach informatycznych mają zastosowanie regulacje prawne i jakie to są regulacje (należy je przytoczyć), zinwentaryzowanie zasobów teleinformatycznych, zidentyfikowanie obiegu informacji w instytucji, ze szczególnym uwzględnieniem obiegu informacji wrażliwej (informacje niejawne + dane osobowe),
Plan bezpieczeństwa teleinformatycznego zidentyfikowanie systemów teleinformatycznych w całym instytucji (również planowanych), objętych polityką bezpieczeństwa teleinformatycznego, zidentyfikowanie zadań służbowych realizowanych przez wymienione systemy teleinformatyczne w aspekcie wymaganych zasobów sprzętowych i programowych, określenie, na jakie zagrożenia narażony jest obieg informacji w systemach objętych polityką bezpieczeństwa,
Plan bezpieczeństwa teleinformatycznego określenie (jakościowe, np. 1,2,3 lub niskie, średnie, wysokie, bardzo wysokie) szkód poniesionych w przypadku utraty poufności, integralności lub dostępności informacji w systemach objętych polityka bezpieczeństwa teleinformatycznego, określenie, jakie przedsięwzięcia w zakresie zakupu/instalacji dodatkowego sprzętu komputerowego i oprogramowania, zakupu/instalacji środków ochrony technicznej obiektów, zmian organizacyjnych i kadrowych muszą być zrealizowane, aby osiągnąć poziom bezpieczeństwa teleinformatycznego założony w „Polityce bezpieczeństwa...”, określenie sposobu wykorzystania sprzętu i oprogramowania z zakresu bezpieczeństwa oraz wdrożenie przedsięwzięć typu organizacyjnego, sformułowanych w dokumentach: „Szczególne wymagania bezpieczeństwa systemu” oraz „Procedury bezpiecznej eksploatacji”.
Plan bezpieczeństwa - SPIS TREŚCI 1. WPROWADZENIE 2. AKTY PRAWNE REGULUJĄCE OCHRONĘ W UDT 3. INWENTARYZACJA ZASOBÓW TELEINFORMATYCZNYCH 4. OBIEG INFORMACJI WRAŻLIWEJ W INSTYTUCJI 5. SYSTEMY TELEINFORMATYCZNE W UDT OBJĘTE POLITYKA BEZPIECZEŃSTWA 5.1. Uwarunkowania 5.2. Eksploatowane i planowane systemy informatyczne w UDT 5.3. Zadania służbowe realizowane przez systemy teleinformatyczne 5.4. Kwalifikacja systemów informatycznych UDT 5.5. Stopień ochrony informacji w systemach teleinformatycznych 6. ZAGROŻENIA INFORMACJI W SYSTEMACH TELEINFORMATYCZNYCH 6.1. Oszacowanie zagrożeń systemów informatycznych UDT 6.2. Oszacowanie podatności 6.3. Dopuszczalne czasy niedostępności zasobów informatycznych 7. ZABEZPIECZENIA 7.1. Identyfikacja istniejących zabezpieczeń / planowanych zabezpieczeń 7.2 Formalna aprobata bezpieczeństwa systemu 8. HARMONOGRAM WDRAŻANIA ZABEZPIECZEŃ DODATKOWYCH 9. DOKUMENTY ZWIĄZANE
SWBS - Spis treści 1. Wprowadzenie 1.1. Nazwa systemu 1.2. Cel – rola projektu/systemu 1.3. Lokalizacja systemu 1.4. Podmioty odpowiedzialne za projekt oraz eksploatację systemu 1.5. Użytkownicy systemu 1.6. Kluczowe daty związane z projektami i/lub systemami ZSI UDT 1.7. Odnośniki do dokumentacji związanej z bezpieczeństwem
SWBS - Spis treści 2. Definicja systemu 2.1. Rola systemu 2.2. Charakterystyka informacji w systemie 2.3. Poziomy bezpieczeństwa użytkowników 2.4. Architektura systemu 2.5. Podsumowanie
SWBS - Spis treści 3. Definicja wymagań bezpieczeństwa 3.1. Zagrożenia dla systemu 3.2. Stopień ważności informacji 3.3. Podatność systemu na zagrożenia 3.4. Minimalne standardy bezpieczeństwa 3.5. Tryb bezpieczeństwa
SWBS - Spis treści 3.6. Podsumowanie wymagań bezpieczeństwa 3.6.1. Ogólne wymagania bezpieczeństwa 3.6.2. Wymagania bezpieczeństwa w zakresie informacji niejawnych 3.6.3. Wymagania bezpieczeństwa dotyczące środowisk
SWBS - Spis treści 4. Definicja środowisk bezpieczeństwa 4.1. Globalne Środowisko Bezpieczeństwa (GŚB) 4.2. Lokalne Środowisko Bezpieczeństwa (LŚB) 4.3. Elektroniczne Środowisko Bezpieczeństwa (EŚB)
SWBS - Spis treści 5. Definicja środków zabezpieczających 5.1. Dostęp / kontrola dostępu 5.2. Uwierzytelnienie 5.3. Rozliczalność 5.4. Audyt 5.5. Ponowne wykorzystanie obiektu i niszczenie nośników danych 5.6. Integralność 5.7. Dostępność 5.8. Plany awaryjne 5.9. Bezpieczeństwo kanałów łączności 5.10. Pozostałe ryzyko (ryzyko szczątkowe)
SWBS - Spis treści 6. Administrowanie bezpieczeństwem 6.1. Zarządzający bezpieczeństwem 6.1.1. Władze 6.1.2. Organizacja 6.1.3. Stanowiska 6.2. Zarządzanie ryzykiem 6.2.1. Strategia analizy ryzyka dla systemu informatycznego 6.2.2. Procedura zarządzania ryzykiem dla systemu informatycznego 6.2.3. Wymagania związane z postępowaniem z ryzykiem
SWBS - Spis treści 6.3. Procedury Bezpiecznej Eksploatacji 6.4. Kontrola konfiguracji 6.5. Utrzymanie (konserwacja) i serwis 6.6. Dokumentacja 6.7. Szkolenia 6.8. Akredytacja / Ponowna Akredytacja 6.9. Wycofywanie z Użycia / Usuwanie Sprzętu
Układ zawartości PBE Rozdział I - Wprowadzenie Niniejszy dokument ustanawia procedury bezpieczeństwa związane z wytwarzaniem, przechowywaniem, przetwarzaniem i przekazywaniem informacji niejawnych do oznaczonych maksymalną klauzulą pofne Prezentowany dokument Procedur Bezpiecznej Eksploatacji opracowany został na podstawie wymagań zawartych w: Ustawie z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz. U. Nr 11, p. 95 ze zmianami), Rozporządzeniu Prezesa Rady Ministrów z dnia 25 lutego 1999 r. W sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych (Dz. U. Nr 18, poz. 162) Innych rozporządzeniach wykonawczych wydanych do ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych, Zaleceniach Departamentu Bezpieczeństwa Teleinformatycznego Agencji Bezpieczeństwa Wewnętrznego dotyczących ochrony informacji niejawnych w systemach i sieciach TI, Wewnętrznych regulacjach bezpieczeństwa w instytucji, Lokalnych instrukcjach bezpieczeństwa obowiązujących w instytucji
Układ zawartości PBE Rozdział II - Procedury administrowania ADMINISTROWANIE SYSTEMEM PRZYDZIELANIE UPRAWNIEŃ UŻYTKOWNIKOM SYSTEMU ZGŁASZANIE INCYDENTÓW BEZPIECZEŃSTWA TELEINFORMATYCZNEGO DYSTRYBUCJA DOKUMENTÓW SZCZEGÓLNYCH WYMAGAŃ BEZPIECZEŃSTWA I PROCEDUR BEZPIECZNEJ EKSPLOATACJI
Układ zawartości PBE Rozdział III - Procedury bezpieczeństwa osobowego SZKOLENIE UŻYTKOWNIKÓW SYSTEMU WSTĘP I PRZEBYWANIE W STREFACH BEZPIECZEŃSTWA PERSONELU POMOCNICZEGO STOSOWANIE W SYSTEMIE ZASADY „DWÓCH PAR OCZU”
Układ zawartości PBE Rozdział IV - Procedury bezpieczeństwa dokumentów KLASYFIKOWANIE DOKUMENTÓW I MATERIAŁÓW PRZECHOWYWANIE DOKUMENTÓW I MATERIAŁÓW KONTROLOWANIE SPOSOBU POSTĘPOWANIA Z DOKUMENTAMI I MATERIAŁAMI ZARZĄDZANIE NOŚNIKAMI PRZETWARZANIE INFORMACJI NIEJAWNYCH PRZEKAZYWANIE INFORMACJI NIEJAWNYCH NISZCZENIE WYDRUKÓW KONTROLNYCH I NOŚNIKÓW DYSTRYBUCJA DOKUMENTÓW SZCZEGÓLNYCH WYMAGAŃ BEZPIECZEŃSTWA I PROCEDUR BEZPIECZNEJ EKSPLOATACJI
Układ zawartości PBE Rozdział V - Procedury ochrony fizycznej KONTROLA DOSTĘPU DO STREFY BEZPIECZEŃSTA ZARZĄDZANIE KLUCZAMI DO POMIESZCZEŃ KONTROLA WNOSZENIA ORAZ WYNOSZENIA ZE STREFY BEZPIECZEŃSTWA ZASOBÓW INFORMATYCZNYCH EKSPLOATACJA SYSTEMU SYGNALIZACJI NAPADU I WŁAMANIA EKSPLOATACJA SYSTEMU ELEKTRONICZNEJ KONTROLI DOSTĘPU EKSPLOATACJA SYSTEMU TELEWIZJI DOZOROWEJ OCHRONA STREF BEZPIECZEŃSTWA I STERF ADMINISTRACYJNYCH PO GODZINACH NORMALNEJ PRACY
Układ zawartości PBE Rozdział VI - Procedury ochrony elektromagnetycznej WYMAGANIA W ZAKRESIE ZAPEWNIENIA OCHRONY ELEKTROMAGNETYCZNEJ INSTALACJA ŚRODKÓW OCHRONY ELEKTROMAGNETYCZNEJ EKSPLOATACJA ŚRODKÓW OCHRONY ELEKTROMAGNETYCZNEJ PONOWNA AKREDYTACJA ŚRODKÓW OCHRONY ELEKTROMAGNETYCZNEJ
Układ zawartości PBE Rozdział VII - Procedury ochrony kryptograficznej EKSPLOATACJA URZĄDZEŃ KRYPTOGRAFICZNYCH ZARZĄDZANIE KLUCZAMI, PARAMETRAMI LUB ZMIENNYMI KRYPTOGRAFICZNYMI GENEROWANIE KLUCZY KRYPTOGRAFICZNYCH LUB PARAMETRÓW DYSTRYBUCJA KLUCZY KRYPTOGRAFICZNYCH SERWISOWANIE URZĄDZEŃ I OPROGRAMOWANIA KRYPTOGRAFICZNEGO
Układ zawartości PBE Rozdział VIII - Procedury bezpieczeństwa transmisji ZABEZPIECZANIE ELEMENTÓW SYSTEMU PRZEKAZUJĄCYCH INFORMACJE NIEJAWNE W POSTACI NIE ZASZYFROWANEJ ZAPEWNIANIE I EKSPLOATACJA ŁĄCZY ZAPASOWYCH I DRÓG OBEJŚCIOWYCH METODY MASKOWANIA RUCHU INFORMACJI NIEJAWNYCH
Układ zawartości PBE Rozdział IX - Procedury bezpieczeństwa urządzeń teleinformatycznych SERWISOWANIE URZĄDZEŃ TELEINFORMATYCZNYCH WYKONYWANIE NAPRAW I KONSERWACJI URZĄDZEŃ TELEINFORMATYCZNYCH DOKUMENTOWANIE NAPRAW I KONSERWACJI URZĄDZEŃ TELEINFORMATYCZNYCH WYMIANA URZĄDZEŃ TELEINFORMATYCZNYCH URUCHAMIANIE STANOWISKA PRACY SYSTEMU WYŁĄCZANIE STANOWISKA PRACY SYSTEMU PRZEPROWADZANIE KONTROLI STANU ZABEZPIECZEŃ OBUDÓW URZĄDZEŃ
Układ zawartości PBE Rozdział X - Procedury kontroli dostępu i bezpieczeństwa oprogramowania IDENTYFIKACJA UŻYTKOWNIKÓW SYSTEMU UWIERZYTELNIANIE UŻYTKOWNIKÓW SYSTEMU STOSOWANIE MECHANIZMÓW KONTROLI DOSTĘPU MODYFIKACJA OPROGRAMOWANIA OPERACYJNEGO WYKONYWANIE KOPII ZAPASOWYCH SYSTEMU OPERACYJNEGO WPROWADZANIE DO UŻYTKU NOWEGO OPROGRAMOWANIA
Układ zawartości PBE Rozdział XI - Procedury ochrony antywirusowej KONTROLA ANTYWIRUSOWA OPROGRAMOWANIA ORAZ PLIKÓW KONTROLA ANTYWIRUSOWA NOŚNIKÓW POCHODZĄCYCH ZE ŹRÓDEŁ ZEWNĘTRZNYCH POSTĘPOWANIE W PRZYPADKU WYKRYCIA WIRUSA LUB OPROGRAMOWANIA SZKODLIWEGO
Układ zawartości PBE Rozdział XII - Procedury zarządzania konfiguracją KONFIGUROWANIE OPROGRAMOWANIA KONTROLA KONFIGURACJI BAZOWEJ WPROWADZANIE ZMIAN W KONFIGURACJI URZĄDZEŃ WPROWADZANIE ZMIAN W KONFIGURACJI OPROGRAMOWANIA WYKONYWANIE PRZEGLĄDÓW OPROGRAMOWANIA
Układ zawartości PBE Rozdział XIII - Procedury utrzymania ciągłości działania WYKONYWANIE KOPII ZAPASOWYCH DANYCH POSTĘPOWANIE W SYTUACJI WYSTĄPIENIA AWARII ZASILANIA ENERGETYCZNEGO POSTĘPOWANIE W SYTUACJI WYSTĄPIENIA BŁĘDÓW W FUNKCJONOWANIU OPROGRAMOWANIA POSTĘPOWANIE W SYTUACJI WYSTĄPIENIA ZAGROŻEŃ ŚRODOWISKOWYCH POSTĘPOWANIE W SYTUACJI WYSTĄPIENIA ZAGROŻEŃ TERRORYSTYCZNYCH SZKOLENIE I ODBYWANIE ĆWICZEŃ ZWIĄZANYCH ZE STOSOWANIEM PROCEDUR POSTĘPOWANIA W SYTUACJACH AWARYJNYCH
Układ zawartości PBE Rozdział XIV - Procedury rozliczalności zdarzeń i audytowania bezpieczeństwa WYKONYWANIE PRZEGLĄDÓW ZAPISÓW DZIENNIKÓW ZDZARZEŃ PRZEPROWADZANIE WEWNĘTRZNYCH AUDYTÓW BEZPIECZEŃSTWA SYSTEMU DOKUMENTOWANIE AUDYTÓW I KONTROLI BEZPIECZEŃSTWA SYSTEMU URUCHAMIANIE PROGRAMÓW LUB NARZĘDZI MONITORUJĄCYCH I AUDYTUJĄCYCH BEZPIECZEŃSTWO SYSTEMU REAGOWANIE NA ZDARZENIA ZWIĄZANE Z BEZPIECZEŃSTWEM SYSTEMU ARCHIWIZOWANIE ZAPISÓW DZIENNIKÓW ZDARZEŃ
Podsumowanie Wyszczególnione dokumenty: Dokument polityki bezpieczeństwa, Plan bezpieczeństwa teleinformatycznego, Polityki bezpieczeństwa dla systemów informatyczntych Szczególne wymagania bezpieczeństwa systemów, Procedury bezpiecznej eksploatacji określają jak to bezpieczeństwo jest zarządzane, osiągane i monitorowane, formułują wiążące porozumienie pomiędzy kierownikiem jednostki organizacyjnej systemu IT.
Podsumowanie Zatwierdzenie treści dokumentów lub nie wniesienie zastrzeżeń przez właściwą służbę ochrony państwa jest równoznaczne z zezwoleniem na wytwarzanie, przechowywanie, przetwarzanie i przekazywanie informacji niejawnych – akredytacją systemu lub sieci IT
Podsumowanie Zgodnie z art..62 ust.1 Ustawy o Ochronie Informacji Niejawnych [UOIN] systemy i sieci TI, w których przetwarzane są informacje niejawne stanowiące tajemnicę państwową podlegają certyfikowaniu przez służby ochrony państwa – muszą więc uzyskać akredytację w postaci certyfikatu akredytacji systemu lub sieci TI
Podsumowanie Dokument SWBS może przybierać wiele form w zależności od natury i stopnia skomplikowania systemu lub sieci IT (lub połączenia wielu sieci): Szczególne Wymagania Bezpieczeństwa Systemu (SWBS), Szczególne Wymagania Bezpieczeństwa Informacji Elektronicznych w Systemie (SWBIES), Szczególne Wymagania Bezpieczeństwa Połączeń Międzysystemowych (SWBPM), Szczególne Wymagania Bezpieczeństwa Środowiska (SWBŚ)