SZACOWANIE RYZYKA ORAZ ZARZĄDZANIE RYZYKIEM W ŚWIETLE NOWEJ USTAWY
Z DNIA 5 SIERPNIA 2010 R. O OCHRONIE INFORMACJI NIEJAWNYCH

PRZYKŁAD METODY ANALIZY RYZYKA OPARTEJ NA GOTOWYCH MACIERZACH

Ustawa z dnia 5 sierpnia 2010 roku (Dz.U.2010.182.1228) w znacznie szerszym zakresie niż dotychczas porusza problematykę z zakresu szacowania i zarządzania ryzykiem.
Do tej pory pracownicy pionów ochrony mogli spotkać się z tym zagadnieniem wyłącznie przy uruchamianiu systemu teleinformatycznego i obowiązkiem udokumentowania przeprowadzenia analizy ryzyka w dokumentacji bezpieczeństwa teleinformatycznego.

 

Nowa UOIN wprowadziła między innymi nowe pojęcia z zakresu ryzyka. W art. 2 pkt 15-17 UOIN zostały one sprecyzowane w bardzo ogólny sposób:

15) ryzykiem – jest kombinacja prawdopodobieństwa wystąpienia zdarzenia niepożądanego i jego konsekwencji;
16) szacowaniem ryzyka – jest całościowy proces analizy i oceny ryzyka;
17) zarządzaniem ryzykiem – są skoordynowane działania w zakresie zarządzania bezpieczeństwem informacji, z uwzględnieniem ryzyka.

Ponadto, w art. 15 ust. 1 pkt 3 UOIN do zadań pełnomocnika ochrony przypisano zadanie w tym zakresie, a mianowicie „zarządzanie ryzykiem bezpieczeństwa informacji niejawnych, w szczególności szacowanie ryzyka”.

Należy zaznaczyć, iż UOIN temu zagadnieniu poświęca nieco więcej miejsca:

- art. 19 ust. 1:
Szkolenie w zakresie ochrony informacji niejawnych przeprowadza się w celu:

pkt 2 zapoznania z zasadami ochrony informacji niejawnych w zakresie niezbędnym do wykonywania pracy lub pełnienia służby, z uwzględnieniem zasad zarządzania ryzykiem bezpieczeństwa informacji niejawnych, w szczególności szacowania ryzyka”;

pkt 3 sposobami ochrony informacji niejawnych oraz postępowania w sytuacjach zagrożenia dla takich informacji lub w przypadku ich ujawnienia”.

- art. 43 ust. 4:
Kierownik jednostki organizacyjnej, w której są przetwarzane informacje niejawne o klauzuli „poufne” lub wyższej, zatwierdza opracowaną przez pełnomocnika ochrony dokumentację określającą poziom zagrożeń związanych z nieuprawnionym dostępem do informacji niejawnych lub ich utratą”.

- art. 45.
ust. 1. Jednostki organizacyjne, w których są przetwarzane informacje niejawne, stosują środki bezpieczeństwa fizycznego odpowiednie do poziomu zagrożeń w celu uniemożliwienia osobom nieuprawnionym dostępu do takich informacji,
w szczególności chroniące przed:

1) działaniem obcych służb specjalnych;

2) zamachem terrorystycznym lub sabotażem;

3) kradzieżą lub zniszczeniem materiału;

4) próbą wejścia osób nieuprawnionych do pomieszczeń, w których są przetwarzane
 informacje niejawne;

5) nieuprawnionym dostępem do informacji o wyższej klauzuli tajności niewynikającym
 z posiadanych uprawnień.

ust. 2. Zakres stosowania środków bezpieczeństwa fizycznego uzależnia się od poziomu zagrożeń związanych z nieuprawnionym dostępem do informacji niejawnych lub ich utratą.

ust. 3. Przy określaniu poziomu zagrożeń, o którym mowa w ust. 2, uwzględnia się w szczególności występujące rodzaje zagrożeń, klauzule tajności i liczbę informacji niejawnych. W uzasadnionych przypadkach przy określaniu poziomu zagrożeń uwzględnia się wskazania odpowiednio ABW lub SKW.

- art. 49.
ust. 1.
 Dokument szczególnych wymagań bezpieczeństwa systemu teleinformatycznego powinien zawierać w szczególności wyniki procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych w systemie teleinformatycznym oraz określać przyjęte w ramach zarządzania ryzykiem sposoby osiągania i utrzymywania odpowiedniego poziomu bezpieczeństwa systemu, a także opisywać aspekty jego budowy, zasady działania i eksploatacji, które mają związek z bezpieczeństwem systemu lub wpływają na jego bezpieczeństwo. Przebieg i wyniki procesu szacowania ryzyka mogą zostać przedstawione w odrębnym dokumencie niż dokument szczególnych wymagań bezpieczeństwa.

ust. 4. Podstawą dokonywania wszelkich zmian w systemie teleinformatycznym jest przeprowadzenie procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych w tym systemie.

ust. 7. Kierownik jednostki organizacyjnej akceptuje wyniki procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych oraz jest odpowiedzialny za właściwą organizację bezpieczeństwa teleinformatycznego.

W niniejszym opracowaniu postaram się przybliżyć Państwu zasady przeprowadzenia procesu analizy i oceny ryzyka w zakresie właściwej ochrony informacji niejawnych
w jednostkach organizacyjnych, w których takie informacje są
przyjmowane, przetwarzane, przechowywane i udostępniane.

W materiale wykorzystano przede wszystkim wymagania polskich norm ISO 27001:2007 oraz ISO 27005:2010, a także zalecenia Agencji Bezpieczeństwa Wewnętrznego i Służby Kontrwywiadu Wojskowego.

AUTOR

 

mgr inż. Marek Anzel, ekspert z zakresu ochrony informacji niejawnych i systemów teleinformatycznych. Wykładowca i konsultant cyklicznych szkoleń organizowanych przez Krajowe Stowarzyszenie Ochrony Informacji Niejawnych, Ogólnopolskie Stowarzyszenie Pełnomocników Ochrony Informacji Niejawnych. Wykładowca przedmiotów z zakresu ochrony informacji niejawnych na studiach podyplomowych w Akademii Marynarki Wojennej, na Uniwersytecie Śląskim oraz PWSBiA w Warszawie. Autor:
- „Vademecum Kancelarii Tajnej”,
- „Poradnika dla Personelu Kancelarii Tajnej”,
- "Szacowania ryzyka oraz zarządzania ryzykiem w świetle nowej ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych",
- "Przykładowej dokumentacji pełnomocnika ochrony w świetle ustawy o ochronie informacji niejawnych",
współautor „Poradnika Pełnomocnika Ochrony”.
Ponadto na stałe współpracuje z dwumiesięcznikiem „Ochrona Mienia i Informacji”, w którym prezentuje praktyczną wiedzę z zakresu bezpieczeństwa informacji, w tym ochrony informacji niejawnych oraz systemów i sieci teleinformatycznych. 

 

 


Cena jednego egzemplarza książki
,,SZACOWANIE RYZYKA ORAZ ZARZĄDZANIE RYZYKIEM W ŚWIETLE NOWEJ USTAWY Z DNIA 5 SIERPNIA 2010 R. O OCHRONIE INFORMACJI NIEJAWNYCH” - ISBN 978-83-930686-1-6, wynosi: 25,20 + koszt wysyłki.

Książkę można nabyć pod adresem: http://www.one1.pl

 


Pozycje, które ukazały się z tej serii: