Administrator, Inspektor, Pełnomocnik, Kierownik – ważne funkcje w systemie niejawnym

W  celu przetwarzania informacji niejawnych w systemie teleinformatycznym należy powierzyć dwie funkcje pracownikom jednostki organizacyjnej lub zatrudnić nowe osoby do pełnienia tych funkcji. Pierwsza to „administratora systemu”, druga to „inspektor bezpieczeństwa teleinformatycznego”. Funkcje te nie mogą być łączone ze sobą. Administrator systemu zajmuje się utrzymywaniem systemu, jak sama nazwa wskazuje administruje systemem. Inspektor bezpieczeństwa teleinformatycznego zajmuje się kontrolą systemu, a dokładniej kontrolą zgodności systemu z dokumentacją bezpieczeństwa oraz przestrzeganiem procedur. Podsumowując, jeżeli chcemy przetwarzać informacje niejawne w systemie teleinformatycznym, np. na autonomicznym stanowisku komputerowym, to musimy zatrudnić dwóch nowych pracowników lub powierzyć już zatrudnionym pracownikom dwie funkcje. Osoby pełniące funkcje administratora i inspektora muszą przejść specjalistyczne szkolenie z zakresu bezpieczeństwa teleinformatycznego prowadzone przez ABW albo SKW. Dopiero po odbyciu takiego szkolenia można zajmować te stanowiska.

 

Administrator systemu

Administrator systemu (w skrócie AS) to osoba lub zespół osób odpowiedzialnych za funkcjonowanie systemu teleinformatycznego oraz za przestrzeganie zasad i wymagań bezpieczeństwa przewidzianych dla systemu teleinformatycznego. Dodatkowo administrator nie może być jednocześnie inspektorem bezpieczeństwa teleinformatycznego (w skrócie IBTI). Zakaz łącznie funkcji AS z funkcją IBTI ma na celu zapobieżenie powstania sytuacji, w której osoba kontrolując będzie kontrolowała samą siebie.

Podstawa prawna: art. 52 ust. 1 pkt 2 Ustawy o ochronie informacji niejawnych

Obowiązki administratora systemu

Administrator systemu:

  • bierze udział w tworzeniu dokumentacji bezpieczeństwa
  • bierze udział w procesie zarządzania ryzykiem
  • realizuje szkolenia użytkowników systemu TI
  • utrzymuje zgodność systemu TI z jego dokumentacją bezpieczeństwa
  • wdraża zabezpieczenia w systemie teleinformatycznym

Podstawa prawna: § 13 Rozporządzenia w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego

Inspektor bezpieczeństwa teleinformatycznego

Inspektor bezpieczeństwa teleinformatycznego (w skrócie IBTI) to pracownik lub pracownicy pionu ochrony odpowiedzialni za weryfikację i bieżącą kontrolę zgodności funkcjonowania systemu teleinformatycznego ze szczególnymi wymaganiami bezpieczeństwa oraz przestrzegania procedur bezpiecznej eksploatacji. Podstawowe zadanie IBTI to kontrola. IBTI nie może być jednocześnie administratorem systemu.

Podstawa prawna: art. 52 ust. 1 pkt 1 Ustawy o ochronie informacji niejawnych

Obowiązki inspektora bezpieczeństwa teleinformatycznego

Inspektor bezpieczeństwa teleinformatycznego:

  • bierze udział w procesie zarządzania ryzykiem w systemie TI
  • weryfikuje poprawność realizacji zadań przez administratora
  • weryfikuje znajomość i przestrzeganie przez użytkowników zasad ochrony informacji niejawnych
  • weryfikuje znajomość i przestrzeganie przez użytkowników procedur bezpiecznej eksploatacji
  • weryfikuje stan zabezpieczeń systemu teleinformatycznego
  • analizuje rejestry zdarzeń systemu teleinformatycznego

Podstawa prawna: § 14 Rozporządzenia w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego

Wymagania dla AS i IBTI

Stanowiska lub funkcję administratora systemu i inspektora bezpieczeństwa teleinformatycznego mogą zajmować lub pełnić osoby spełniające następujące wymagania:

  • odbycie specjalistycznych szkoleń z zakresu bezpieczeństwa teleinformatycznego prowadzonych przez ABW albo SKW
  • posiadanie obywatelstwa polskiego, z wyjątkiem pracowników pionu ochrony zatrudnionych u przedsiębiorców
  • posiadanie odpowiednie poświadczenie bezpieczeństwa lub upoważnienie
  • posiadanie zaświadczenia o odbytym przeszkoleniu w zakresie ochrony informacji niejawnych

Podstawa prawna: art. 16, art. 52 ust. 4 Ustawy o ochronie informacji niejawnych

Pełnomocnik ochrony

Pełnomocnik do spraw ochrony informacji niejawnych (w skrócie POIN) jest to osoba bezpośrednio podległa kierownikowi jednostki organizacyjnej odpowiedzialna zapewnienie przestrzegania przepisów o ochronie informacji niejawnych.

Podstawa prawna: art. 14 ust. 2 Ustawy o ochronie informacji niejawnych

Obowiązki pełnomocnika ochrony informacji niejawnych

Pełnomocnik do spraw ochrony informacji niejawnych:

w zakresie bezpieczeństwa teleinformatycznego

  • odpowiada za zapewnienie przestrzegania przepisów o ochronie informacji niejawnych w jednostce organizacyjnej
  • zapewnia ochronę informacji niejawnych
  • zapewnia ochronę systemów teleinformatycznych, w których są przetwarzane informacje niejawne
  • zarządza ryzykiem bezpieczeństwa informacji niejawnych
  • przeprowadza szacowanie ryzyka
  • kontroluje ochronę informacji niejawnych
  • opracowuje i aktualizuje plan ochrony informacji niejawnych (plan ochrony wymaga akceptacji przez kierownika jednostki organizacyjnej)
  • prowadzi szkolenia w zakresie ochrony informacji niejawnych
  • podejmuje działania zmierzające do wyjaśnienia okoliczności naruszenia przepisów o ochronie informacji niejawnych
  • ogranicza negatywne skutki naruszenia przepisów o ochronie informacji niejawnych
  • zawiadamia kierownika o naruszeniu przepisów o ochronie informacji niejawnych
  • w przypadku naruszenia przepisów o ochronie informacji niejawnych o klauzuli “poufne” lub wyższej zawiadamia ABW lub SKW

Podstawa prawna: art. 14.2, art. 15.1, 15.2, art. 17.2 Ustawy o ochronie informacji niejawnych

Obowiązki kierownika jednostki organizacyjnej

Kierownik jednostki organizacyjnej:

w zakresie bezpieczeństwa teleinformatycznego

  • odpowiada za ochronę informacji niejawnych
  • udziela akredytacji bezpieczeństwa teleinformatycznego dla systemu TI przeznaczonego do przetwarzania informacji niejawnych o klauzuli “zastrzeżone” przez zatwierdzenie dokumentacji bezpieczeństwa systemu TI
  • odpowiada za opracowanie i przekazanie dokumentacji bezpieczeństwa do ABW lub SKW, dla systemów TI, w których przetwarzane są informacje niejawne o klauzuli „poufne” lub wyższej
  • akceptuje wyniki szacowania ryzyka oraz odpowiada za właściwą organizację bezpieczeństwa teleinformatycznego
  • wyznacza „administratora systemu”
  • wyznacza „inspektora bezpieczeństwa teleinformatycznego”
  • zapewnia przeszkolenie z zakresu bezpieczeństwa teleinformatycznego oraz zapoznanie z procedurami bezpiecznej eksploatacji osób pracujących w systemie TI
  • odpowiada za zapewnienie ciągłości procesu zarządzania ryzykiem w systemie teleinformatycznym
  • dokonuje formalnego zaakceptowania ryzyka szczątkowego wraz z jego ewentualnymi konsekwencjami w procesie zarządzania ryzykiem

Podstawa prawna: art. 14.1, 14.2, art. 48.9, art. 49.5, 49.7, art. 52.1 Ustawy o ochronie informacji niejawnych

Podstawa prawna: § 7, § 19.4, § 22 Rozporządzenia w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego