Aktualizacja dokumentów SWB i PBE w akredytowanym systemie teleinformatycznym przetwarzającym informacje niejawne
Każdy system, w którym przetwarzane są informacje niejawne posiada zatwierdzoną dokumentację bezpieczeństwa (SWB i PBE). Jeżeli chcemy dokonać zmian w akredytowanym systemie teleinformatycznym, to przed dokonaniem zmian musimy zmodyfikować dokumentację. Zmiany wprowadzone do dokumentacji muszą zostać jednak zatwierdzone przez organ, który udzielił akredytacji. Należy tutaj zauważyć, że dla informacji niejawnych o klauzuli Zastrzeżone akredytacji udziela kierownik jednostki organizacyjnej, natomiast dla informacji o klauzuli Poufne i wyżej, akredytacji udziela ABW albo SKW. Zmiany w dokumentacji systemu Zastrzeżonego zatwierdza kierownik jednostki, jednak muszą one zostać przekazane do ABW albo SKW, które mogą zgłosić uwagi do wprowadzonych zmian.
Zmiany w dokumentacji wprowadzamy w postaci aneksów do dokumentacji. W aneksie opisujemy, które części dokumentacji zostały zmienione, co zostało dodane, co usunięte. Dodatkowo, w przypadku wprowadzania w systemie zmian, które mogą mieć wpływ na bezpieczeństwo przetwarzanych informacji, wymagane jest przeprowadzenie szacowania ryzyka. W takim przypadku raport z szacowania również musi zostać przekazany do organu akredytacyjnego w celu oceny i akceptacji. Może się zdarzyć, że wprowadzone zmiany będą wymagał przeprowadzenia audytu przez ABW lub SKW. Jest to jednak uzgadniane indywidualnie.
Podsumowując:
- aktualizację przygotowujemy w formie aneksu
- gdy zmiany mają wpływ na bezpieczeństwo to wymagane szacowanie ryzyka
- aneks zatwierdza organ, który akredytował system