Poniżej przedstawiono zadania osób funkcyjnych Kierownika Jednostki Organizacyjnej, Pełnomocnika Ochrony, Administratora Systemu, Inspektora Bezpieczeństwa Teleinformatycznego. Przedstawione zadania dotyczą tylko zakresu bezpieczeństwa teleinformatycznego.
KIEROWNIK JEDNOSTKI ORGANIZACYJNEJ (KJO)
- odpowiada za ochronę informacji niejawnych (art.14.1 ustawy o ochronie informacji niejawnych)
- kierownikowi podlega bezpośrednio pełnomocnik ochrony (art.14.2 ustawy o ochronie informacji niejawnych)
- udziela akredytacji systemowi, w który mają być przetwarzane informacje niejawne o klauzuli zastrzeżone (art.48.9 ustawy o ochronie informacji niejawnych)
- odpowiada za opracowanie i przekazanie dokumentacji bezpieczeństwa do ABW w przypadku klauzuli poufne i wyżej (art.49.5 ustawy o ochronie informacji niejawnych)
- akceptuje wyniki szacowania ryzyka oraz odpowiada za właściwą organizację bezpieczeństwa teleinformatycznego (art.49.7 ustawy o ochronie informacji niejawnych)
- wyznacza administratora systemu i inspektora bezpieczeństwa teleinformatycznego (art.52.1 ustawy o ochronie informacji niejawnych)
- zapewnia przeszkolenie użytkowników z zakresu bezpieczeństwa teleinformatycznego
- zapewnia użytkownikom zapoznanie z procedurami bezpiecznej eksploatacji (par.7 rozporządzenia w sprawie pods.wym. bezp. teleinformatycznego)
- odpowiada za zapewnienie ciągłości procesu zarządzania ryzykiem (par.19.4 rozporządzenia w sprawie pods.wym. bezp. teleinformatycznego)
- dokonuje formalnego zaakceptowania ryzyka szczątkowego wraz z jego ewentualnymi konsekwencjami (par.22 rozporządzenia w sprawie pods.wym. bezp. teleinformatycznego)
PEŁNOMOCNIK ds. OCHRONY INFORMACJI NIEJAWNYCH (POIN)
-
odpowiada za zapewnienie przestrzegania ochrony informacji niejawnych (art.14.2 ustawy o ochronie informacji niejawnych)
-
zapewnia ochronę informacji niejawnych, systemów teleinformatycznych, zarządza ryzykiem, prowadzi szkolenia (art.15.1 ustawy o ochronie informacji niejawnych)
-
pełnomocnikowi podlega pion ochrony (art.15.2 ustawy o ochronie informacji niejawnych)
-
wyjaśnia incydent i zawiadamia ABW w przypadku naruszenia przepisów informacji niejawnych o klauzuli poufne i wyższych (art.17.2 ustawy o ochronie informacji niejawnych)
INSPEKTOR BEZPIECZEŃSTWA TELEINFORMATYCZNEGO (IBTI)
- odpowiada za bieżącą kontrolę zgodności funkcjonowania sytemu z SWB oraz za kontrolę przestrzegania PBE (art.52.1.1 ustawy o ochronie informacji niejawnych). Do jego zadań należy m.in.:
- kontrola poprawności formy stosowanych haseł, częstotliwości zmian haseł
- szkolenie użytkowników
- monitorowanie zmian (w mechanizmach bezpieczeństwa)
- reagowanie na sygnały o incydentach, wyjaśnianie ich, dokumentowanie, raportowanie do POIN
- przeprowadzanie okresowej analizy ryzyka (z AS)
- tworzenie planów awaryjnych
- uczestnictwo w pracach nad dokumentacją bezpieczeństwa
- prowadzenie dziennika IBTI
- nadzór nad PBE
- współpraca z AS
- przegląd dzienników zdarzeń bezpieczeństwa w systemie TI (logowanie, zmiana uprawnień itp.)
- sprawdzanie integralności urządzeń (plomby)
- testowanie mechanizmów bezpieczeństwa (alarmy, eskd)
- przegląd dziennika zdarzeń z CCTV, ESKD, SA
- bierze udział w procesie zarządzania ryzykiem (par.14 rozporządzenia w sprawie pods.wym. bezp. teleinformatycznego)
- weryfikuje działania administratora, w tym zarządzanie konfiguracją i przydzielanie uprawnień użytkownikom
- weryfikuje znajomość i przestrzeganie przez użytkowników zasad ochrony informacji niejawnych oraz procedur, w tym wykorzystywania urządzeń i narzędzi
- weryfikuje stan zabezpieczeń, w tym analizuje rejestry zdarzeń w systemie
ADMINISTRATOR SYSTEMU (AS)
- odpowiedzialny jest za funkcjonowanie systemu teleinformatycznego oraz za przestrzeganie zasad i wymagań bezpieczeństwa systemu TI (art. 52.1.2 ustawy o ochronie informacji niejawnych), m.in. odpowiada za:
- przydzielanie i odbieranie kont, blokowanie kont
- przegląd kont użytkowników i ich uprawnień
- deponowanie kopii haseł
- szkolenie użytkowników
- konfigurowanie urządzeń i oprogramowania, a przede wszystkim mechanizmów kontroli
- monitorowanie zmian
- przeglądanie dzienników systemowych (nie dotyczy dzienników bezpieczeństwa)
- reagowanie na sygnały o incydentach i usuwanie ich skutków
- prowadzenie ewidencji sprzętu, oprogramowania
- tworzenie kopii bezpieczeństwa
- uczestnictwo w pracach nad dokumentacją bezpieczeństwa
- informowanie IBTI, POIN o stanie systemu TI
- prowadzenie dziennika AS
- aktualizacja antywirusa, wgrywanie poprawek systemu
- współpraca z IBTI
- pomoc użytkownikom
- wypełnianie zadań określonych w PBE
- bierze udział w tworzeniu dokumentacji bezpieczeństwa oraz w procesie zarządzania ryzykiem (par.13 rozporządzenia w sprawie pods.wym. bezp. teleinformatycznego)
- realizuje szkolenia użytkowników
- utrzymuje zgodność systemu z dokumentacją
- wdraża zabezpieczenia