Dokumentacja bezpieczeństwa SWB i PBE

Co powinna zawierać dokumentacja bezpieczeństwa (SWB i PBE)

Co to jest dokumentacja bezpieczeństwa systemu TI przetwarzającego informacje niejawne

Każdy system teleinformatyczny, w którym przetwarzane są informacje niejawne musi posiadać dokumentację bezpieczeństwa, czyli dokumenty:

  • szczególne wymagania bezpieczeństwa
  • procedury bezpiecznej eksploatacji

w skrócie SWB i PBE.

Dokumentacja bezpieczeństwa jest podstawą udzielenia akredytacji bezpieczeństwa teleinformatycznego. Potwierdzeniem udzielenia akredytacja jest wydanie świadectwa akredytacji bezpieczeństwa systemu teleinformatycznego. Świadectwo daje nam prawo do przetwarzania informacji niejawnych w systemie teleinformatycznym. Dodatkowo oprócz zatwierdzonej dokumentacji bezpieczeństwa, aby móc przetwarzać informacje niejawne należy przejść audyt bezpieczeństwa systemu teleinformatycznego przeprowadzony przez ABW albo SKW.

Dokumentacja dla systemu TI „zastrzeżonego”

Należy zauważyć, że proces akredytacji nie jest taki sam dla wszystkich klauzul informacji niejawnych. Inaczej wygląda dla klauzuli „zastrzeżone”, a inaczej dla „poufne”, „tajne” i „ściśle tajne”. W przypadku gdy w systemie TI mają być przetwarzane informacje niejawne o maksymalnej klauzuli „zastrzeżone” wtedy akredytacji udziela kierownik jednostki organizacyjnej, w której ma funkcjonować system. Kierownik jednostki organizacyjnej udziela akredytacji poprze zatwierdzenie dokumentację bezpieczeństwa. Następnie kierownik jednostki organizacyjnej przesyła zatwierdzoną dokumentację do ABW albo SKW. Po otrzymaniu dokumentacji poddawana jest ona ocenie. ABW albo SKW może przedstawić kierownikowi jednostki organizacyjnej uwagi i dodatkowe zalecenia do wdrożenia. Może także nakazać zaprzestać przetwarzania informacji niejawnych w systemie TI.

Dokumentacja dla systemu TI dla pozostałych systemów

W przypadku przetwarzania w systemie TI informacji niejawnych o klauzuli „poufne”, „tajne” i „ściśle tajne”, akredytacji udziela ABW albo SKW. Kierownik jednostki organizacyjnej przekazuje dokumentację bezpieczeństwa do ABW albo SKW, które mogą wnieść uwagi lub zatwierdzić dokumentację. Po zatwierdzeniu dokumentacji przeprowadzany jest audyt bezpieczeństwa. Pozytywny wynik audytu pozwala na otrzymanie świadectwa akredytacji. Po otrzymaniu świadectwa można przystąpić do przetwarzania informacji niejawnych.

Aktualizacja dokumentacji bezpieczeństwa

Dokumenty SWB i PBE podlegają aktualizacji w trakcie życia systemu teleinformatycznego. Wielokrotnie się zdarza, że zapisy w dokumentacji nie przystają do rzeczywistości. Nie ma problemu, aby dostosować dokumentację. Zmiany w dokumentacji bezpieczeństwa przeprowadza się przeważnie w postaci aneksu do dokumentacji. Trzeba mieć na uwadze, że  podstawą dokonywania wszelkich zmian w systemie TI jest przeprowadzenie szacowania ryzyka.  Do ABW albo SKW wysyła się aneks do dokumentacji w celu zatwierdzenia, łącznie z wynikami szacowania ryzyka. Może się zdarzyć, że zmiany w dokumentacji, a tym samym w systemie teleinformatycznym będą tak duże, że potrzebny będzie ponowny audyt bezpieczeństwa, a co za tym idzie nowa akredytacja.

Kiedy można przetwarzać informacje niejawne

Każdy system teleinformatyczny, w którym przetwarzane są informacje niejawne podlega akredytacji bezpieczeństwa teleinformatycznego. Dla klauzuli „poufne” lub wyższej akredytacji udziela ABW albo SKW. Dla klauzuli „zastrzeżone” akredytacji udziela kierownik jednostki organizacyjnej.

Dokumentacja bezpieczeństwa (SWB i PBE)

Dokumentacją bezpieczeństwa systemu teleinformatycznego jest dokument szczególnych wymagań bezpieczeństwa oraz dokument procedur bezpiecznej eksploatacji systemu teleinformatycznego. Czyli w skład dokumentacji bezpieczeństwa wchodzą dwa dokumenty. Dokument oznaczany w skrócie SWB (szczególne wymagania bezpieczeństwa) i dokument oznaczany w skrócie PBE (procedury bezpiecznej eksploatacji).

Dokumentacja bezpieczeństwa (dokumenty SWB i PBE) stanowi element procesu akredytacji. Na podstawie dokumentacji bezpieczeństwa i audytu bezpieczeństwa systemu teleinformatycznego udziela się akredytacji. Za opracowanie i przekazanie dokumentów SWB i PBE do ABW albo SKW odpowiada kierownik jednostki organizacyjnej, w której będzie funkcjonował system teleinformatyczny. Podsumowując, bez dokumentów SWB i PBE nie ma możliwości uzyskania akredytacji bezpieczeństwa systemu TI. Dokumenty te podlegają ocenie i zatwierdzeniu przez ABW albo SKW.

Dokument SWB

Dokument SWB, czyli szczególne wymagania bezpieczeństwa, jest systematycznym opisem sposobu zarządzania bezpieczeństwem systemu teleinformatycznego. Prościej, SWB jest to dokument opisujący system teleinformatyczny, a także zastosowane środki ochrony.

Zawartość dokumentu SWB

Dokument SWB powinien zawierać:

  • klauzule tajności informacji niejawnych
  • grupy użytkowników i ich uprawnienia w systemie TI
  • tryb bezpieczeństwa pracy
  • przeznaczenie systemu TI
  • funkcjonalność systemu TI
  • wymagania eksploatacyjne odnoszące się do wymiany informacji
  • lokalizację systemu TI

Opis procesu zarządzania ryzykiem:

  • opis metodyki szacowania ryzyka
  • raport z procesu szacowania ryzyka
  • informacje o ryzyka szczątkowych
  • deklarację akceptacji ryzyk szczątkowych

Ponadto dokument SWB powinien zawierać:

  • opis zastosowanych zabezpieczeń
  • informacje o poświadczeniach bezpieczeństwa
  • informacje o innych formalnych uprawnieniach do dostępu do IN
  • opis bezpieczeństwa fizycznego
  • środki ochrony fizycznej
  • granice i lokalizacje stref ochronnych
  • informacje o zastosowanych urządzeniach i narzędziach kryptograficznych
  • opis procesu ciągłości działania
    • tworzenie kopii zapasowej
    • odzyskiwanie systemu
    • zasilanie awaryjne
    • alternatywne łącza i urządzenia
  • konfiguracja systemu TI
  • konserwacja systemu TI
  • przeglądy systemu TI
  • serwis systemu
  • środki ochrony przed incydentami bezpieczeństwa
  • zastosowany antywirus
  • wprowadzanie poprawek i uaktualnień w systemie TI
  • informacje o ochronie nośników
    • oznaczanie
    • dostęp
    • transport
    • obniżanie klauzuli tajności
    • niszczenie nośników
  • opis identyfikacji i uwierzytelnienia użytkowników
  • opis identyfikacji i uwierzytelnienia urządzeń
  • opis środków kontroli dostępu
  • informacje o audycie wewnętrznym
  • opis zarządzania ryzykiem
  • informacje o zmianach w systemie TI
    • aktualizacja dokumentacji bezpieczeństwa
    • warunki ponownej akredytacji
  • informacje o wycofaniu systemu z eksploatacji

Dokument PBE

Dokument PBE, czyli procedury bezpiecznej eksploatacji, jest opisem sposobu i trybu postępowania w sprawach związanych z bezpieczeństwem informacji niejawnych przetwarzanych w systemie teleinformatycznym oraz zakresem odpowiedzialności użytkowników systemu teleinformatycznego i pracowników mających do niego dostęp. Mówiąc prościej PBE to zbiór procedur skierowanych do użytkowników, administratorów, inspektorów.

Zawartość dokumentu PBE

Dokument PBE powinien zawierać zbiór procedur odnoszących się do następujących zagadnień:

  • administrowanie systemem TI
  • administrowanie środkami ochrony
  • bezpieczeństwo urządzeń
  • bezpieczeństwo oprogramowania
  • zarządzanie konfiguracją sprzętową
  • zarządzanie konfiguracją programową
  • zasady serwisowania
  • zasady modernizowania
  • zasady wycofania elementów systemu
  • plany awaryjne
  • monitorowanie systemu TI
  • audyt systemu TI
  • zarządzanie nośnikami
  • zarządzanie materiałami kryptograficznymi
  • ochrona elektromagnetyczna
  • incydenty bezpieczeństwa teleinformatycznego
  • szkolenia użytkowników
  • wprowadzanie i wyprowadzanie danych

Przykład procedury z dokumentu PBE

Procedura nr 5

Dział: Administrowanie systemem TI

Nazwa procedury: Blokowanie kont użytkowników

Osoby odpowiedzialne: Administrator Systemu

  1. Konto użytkownika w systemie TI blokuje administrator w następujących przypadkach:
    • na wniosek pełnomocnika do spraw ochrony informacji niejawnych
    • na wniosek kierownika jednostki organizacyjnej
    • na wniosek inspektora bezpieczeństwa teleinformatycznego po zatwierdzeniu przez pełnomocnika do spraw ochrony informacji niejawnych
    • na wniosek administratora systemu po zatwierdzeniu przez pełnomocnika do spraw ochrony informacji niejawnych
  2. Wzór wniosku znajduje się w załączniku nr 1 do procedury
  3. Po otrzymaniu wniosku administrator systemu blokuje konto użytkownika w systemie operacyjnym.
  4. Po zablokowaniu konta administrator systemu odnotowuje ten fakt w książce działań administratora oraz na wniosku, a następnie dołącza wniosek do akt systemu.

Załącznik nr 1: wzór wniosku

  1. Nr wniosku:__________
  2. Data:__________
  3. Imię i nazwisko użytkownika:__________
  4. Biuro:__________
  5. Login użytkownika:__________
  6. Zlecający: Inspektor BTI/administrator systemu/brak
  7. Podpis zlecającego:__________
  8. Zatwierdzający: Kierownik JO/Pełnomocnik OIN
  9. Podpis zatwierdzającego:__________
  10. Powód blokady konta: brak poświadczenia/odejście z pracy/zmiana stanowiska pracy/inne:__________
  11. Potwierdzenie blokady konta, podpis administratora:__________
  12. Potwierdzenie wpisu do książki działań administratora, podpis administratora:__________