Osoby funkcyjne

Jakie są zadania osób funkcyjnych

By ochrona-niejawnych.pl / 13 maja, 2018

Poniżej przedstawiono zadania osób funkcyjnych Kierownika Jednostki Organizacyjnej, Pełnomocnika Ochrony, Administratora Systemu, Inspektora Bezpieczeństwa Teleinformatycznego. Przedstawione zadania dotyczą tylko zakresu bezpieczeństwa teleinformatycznego.

KIEROWNIK JEDNOSTKI ORGANIZACYJNEJ (KJO)

  • odpowiada za ochronę informacji niejawnych (art.14.1 ustawy o ochronie informacji niejawnych)
  • kierownikowi podlega bezpośrednio pełnomocnik ochrony (art.14.2 ustawy o ochronie informacji niejawnych)
  • udziela akredytacji systemowi, w który mają być przetwarzane informacje niejawne o klauzuli zastrzeżone (art.48.9 ustawy o ochronie informacji niejawnych)
  • odpowiada za opracowanie i przekazanie dokumentacji bezpieczeństwa do ABW w przypadku klauzuli poufne i wyżej (art.49.5 ustawy o ochronie informacji niejawnych)
  • akceptuje wyniki szacowania ryzyka oraz odpowiada za właściwą organizację bezpieczeństwa teleinformatycznego (art.49.7 ustawy o ochronie informacji niejawnych)
  • wyznacza administratora systemu i inspektora bezpieczeństwa teleinformatycznego (art.52.1 ustawy o ochronie informacji niejawnych)
  • zapewnia przeszkolenie użytkowników z zakresu bezpieczeństwa teleinformatycznego
  • zapewnia użytkownikom zapoznanie z procedurami bezpiecznej eksploatacji (par.7 rozporządzenia w sprawie pods.wym. bezp. teleinformatycznego)
  • odpowiada za zapewnienie ciągłości procesu zarządzania ryzykiem (par.19.4 rozporządzenia w sprawie pods.wym. bezp. teleinformatycznego)
  • dokonuje formalnego zaakceptowania ryzyka szczątkowego wraz z jego ewentualnymi konsekwencjami (par.22 rozporządzenia w sprawie pods.wym. bezp. teleinformatycznego)

PEŁNOMOCNIK ds. OCHRONY INFORMACJI NIEJAWNYCH (POIN)

  • odpowiada za zapewnienie przestrzegania ochrony informacji niejawnych (art.14.2 ustawy o ochronie informacji niejawnych)
  • zapewnia ochronę informacji niejawnych, systemów teleinformatycznych, zarządza ryzykiem, prowadzi szkolenia (art.15.1 ustawy o ochronie informacji niejawnych)
  • pełnomocnikowi podlega pion ochrony (art.15.2 ustawy o ochronie informacji niejawnych)
  • wyjaśnia incydent i zawiadamia ABW w przypadku naruszenia przepisów informacji niejawnych o klauzuli poufne i wyższych (art.17.2 ustawy o ochronie informacji niejawnych)

INSPEKTOR BEZPIECZEŃSTWA TELEINFORMATYCZNEGO (IBTI)

  • odpowiada za bieżącą kontrolę zgodności funkcjonowania sytemu z SWB oraz za kontrolę przestrzegania PBE (art.52.1.1 ustawy o ochronie informacji niejawnych). Do jego zadań należy m.in.:
    • kontrola poprawności formy stosowanych haseł, częstotliwości zmian haseł
    • szkolenie użytkowników
    • monitorowanie zmian (w mechanizmach bezpieczeństwa)
    • reagowanie na sygnały o incydentach, wyjaśnianie ich, dokumentowanie, raportowanie do POIN
    • przeprowadzanie okresowej analizy ryzyka (z AS)
    • tworzenie planów awaryjnych
    • uczestnictwo w pracach nad dokumentacją bezpieczeństwa
    • prowadzenie dziennika IBTI
    • nadzór nad PBE
    • współpraca z AS
    • przegląd dzienników zdarzeń bezpieczeństwa w systemie TI (logowanie, zmiana uprawnień itp.)
    • sprawdzanie integralności urządzeń (plomby)
    • testowanie mechanizmów bezpieczeństwa (alarmy, eskd)
    • przegląd dziennika zdarzeń z CCTV, ESKD, SA
  • bierze udział w procesie zarządzania ryzykiem (par.14 rozporządzenia w sprawie pods.wym. bezp. teleinformatycznego)
    • weryfikuje działania administratora, w tym zarządzanie konfiguracją i przydzielanie uprawnień użytkownikom
    • weryfikuje znajomość i przestrzeganie przez użytkowników zasad ochrony informacji niejawnych oraz procedur, w tym wykorzystywania urządzeń i narzędzi
    • weryfikuje stan zabezpieczeń, w tym analizuje rejestry zdarzeń w systemie

ADMINISTRATOR SYSTEMU (AS)

  • odpowiedzialny jest za funkcjonowanie systemu teleinformatycznego oraz za przestrzeganie zasad i wymagań bezpieczeństwa systemu TI (art. 52.1.2 ustawy o ochronie informacji niejawnych), m.in. odpowiada za:
    • przydzielanie i odbieranie kont, blokowanie kont
    • przegląd kont użytkowników i ich uprawnień
    • deponowanie kopii haseł
    • szkolenie użytkowników
    • konfigurowanie urządzeń i oprogramowania, a przede wszystkim mechanizmów kontroli
    • monitorowanie zmian
    • przeglądanie dzienników systemowych (nie dotyczy dzienników bezpieczeństwa)
    • reagowanie na sygnały o incydentach i usuwanie ich skutków
    • prowadzenie ewidencji sprzętu, oprogramowania
    • tworzenie kopii bezpieczeństwa
    • uczestnictwo w pracach nad dokumentacją bezpieczeństwa
    • informowanie IBTI, POIN o stanie systemu TI
    • prowadzenie dziennika AS
    • aktualizacja antywirusa, wgrywanie poprawek systemu
    • współpraca z IBTI
    • pomoc użytkownikom
    • wypełnianie zadań określonych w PBE
  • bierze udział w tworzeniu dokumentacji bezpieczeństwa oraz w procesie zarządzania ryzykiem (par.13 rozporządzenia w sprawie pods.wym. bezp. teleinformatycznego)
    • realizuje szkolenia użytkowników
    • utrzymuje zgodność systemu z dokumentacją
    • wdraża zabezpieczenia
Tags: , , ,

Podobne: