Przygotujemy dla ciebie dokumentację bezpieczeństwa (SWB i PBE) systemu teleinformatycznego przetwarzającego informacje niejawne.
- Profesjonalna dokumentacja SWB i PBE
- Gwarantujemy 100% skuteczność
- Tanio i solidnie
- Czas przygotowania dokumentacji to tylko 1 miesiąc
Zajmujemy się w sposób profesjonalny przygotowywaniem dokumentów SWB i PBE na potrzeby akredytacji bezpieczeństwa systemu teleinformatycznego. Posiadamy wieloletnią praktykę, w szczególności w zakresie akredytacji systemów teleinformatycznych. Zajmujemy się wszystkimi systemami teleinformatycznymi przetwarzającymi informacje niejawne: pojedyncze stanowiska komputerowe, sieci teleinformatyczne, wiele lokalizacji. Systemy przetwarzające informacje krajowe, międzynarodowe UE, NATO.
Każdy system teleinformatyczny, w którym przetwarzane są informacje niejawne musi posiadać dokumentację bezpieczeństwa, czyli dokumenty:
- „szczególne wymagania bezpieczeństwa„
- „procedury bezpiecznej eksploatacji„
w skrócie SWB i PBE.
Opis dokumentu SWB
Dokument SWB, czyli szczególne wymagania bezpieczeństwa, jest systematycznym opisem sposobu zarządzania bezpieczeństwem systemu teleinformatycznego. Prościej, SWB jest to dokument opisujący system teleinformatyczny, a także zastosowane środki ochrony.
Podstawa prawna: art. 2 pkt 7 Ustawy o ochronie informacji niejawnych
Zawartość dokumentu SWB
Dokument SWB powinien zawierać:
- klauzule tajności informacji niejawnych
- grupy użytkowników i ich uprawnienia w systemie TI
- tryb bezpieczeństwa pracy
- przeznaczenie systemu TI
- funkcjonalność systemu TI
- wymagania eksploatacyjne odnoszące się do wymiany informacji
- lokalizację systemu TI
Opis procesu zarządzania ryzykiem:
- opis metodyki szacowania ryzyka
- raport z procesu szacowania ryzyka
- informacje o ryzyka szczątkowych
- deklarację akceptacji ryzyk szczątkowych
Ponadto dokument SWB powinien zawierać:
- opis zastosowanych zabezpieczeń
- informacje o poświadczeniach bezpieczeństwa
- informacje o innych formalnych uprawnieniach do dostępu do IN
- opis bezpieczeństwa fizycznego
- środki ochrony fizycznej
- granice i lokalizacje stref ochronnych
- informacje o zastosowanych urządzeniach i narzędziach kryptograficznych
- opis procesu ciągłości działania
- tworzenie kopii zapasowej
- odzyskiwanie systemu
- zasilanie awaryjne
- alternatywne łącza i urządzenia
- konfiguracja systemu TI
- konserwacja systemu TI
- przeglądy systemu TI
- serwis systemu
- środki ochrony przed incydentami bezpieczeństwa
- zastosowany antywirus
- wprowadzanie poprawek i uaktualnień w systemie TI
- informacje o ochronie nośników
- oznaczanie
- dostęp
- transport
- obniżanie klauzuli tajności
- niszczenie nośników
- opis identyfikacji i uwierzytelnienia użytkowników
- opis identyfikacji i uwierzytelnienia urządzeń
- opis środków kontroli dostępu
- informacje o audycie wewnętrznym
- opis zarządzania ryzykiem
- informacje o zmianach w systemie TI
- aktualizacja dokumentacji bezpieczeństwa
- warunki ponownej akredytacji
- informacje o wycofaniu systemu z eksploatacji
Podstawa prawna: § 25 ust. 2 i 3 Rozporządzenia w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego
Opis dokumentu PBE
Dokument PBE, czyli procedury bezpiecznej eksploatacji, jest opisem sposobu i trybu postępowania w sprawach związanych z bezpieczeństwem informacji niejawnych przetwarzanych w systemie teleinformatycznym oraz zakresem odpowiedzialności użytkowników systemu teleinformatycznego i pracowników mających do niego dostęp. Mówiąc prościej PBE to zbiór procedur skierowanych do użytkowników, administratorów, inspektorów.
Podstawa prawna: art. 2 pkt 8 Ustawy o ochronie informacji niejawnych
Zawartość dokumentu PBE
Dokument PBE powinien zawierać zbiór procedur odnoszących się do następujących zagadnień:
- administrowanie systemem TI
- administrowanie środkami ochrony
- bezpieczeństwo urządzeń
- bezpieczeństwo oprogramowania
- zarządzanie konfiguracją sprzętową
- zarządzanie konfiguracją programową
- zasady serwisowania
- zasady modernizowania
- zasady wycofania elementów systemu
- plany awaryjne
- monitorowanie systemu TI
- audyt systemu TI
- zarządzanie nośnikami
- zarządzanie materiałami kryptograficznymi
- ochrona elektromagnetyczna
- incydenty bezpieczeństwa teleinformatycznego
- szkolenia użytkowników
- wprowadzanie i wyprowadzanie danych
Podstawa prawna: § 26 ust. 2 Rozporządzenia w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego