Nowa UOIN wprowadziła między innymi nowe
pojęcia z zakresu ryzyka. W art. 2 pkt 15-17
UOIN zostały one sprecyzowane w bardzo ogólny sposób:
15) ryzykiem – jest kombinacja
prawdopodobieństwa wystąpienia zdarzenia niepożądanego
i jego konsekwencji;
16) szacowaniem ryzyka – jest całościowy proces analizy i
oceny ryzyka;
17) zarządzaniem ryzykiem – są skoordynowane działania w
zakresie zarządzania bezpieczeństwem informacji,
z uwzględnieniem ryzyka.
Ponadto, w art. 15 ust. 1 pkt 3 UOIN do
zadań pełnomocnika ochrony przypisano zadanie w tym
zakresie, a mianowicie „zarządzanie ryzykiem
bezpieczeństwa informacji niejawnych, w szczególności
szacowanie ryzyka”.
Należy zaznaczyć, iż UOIN temu
zagadnieniu poświęca nieco więcej miejsca:
- art. 19
ust. 1:
„Szkolenie
w zakresie ochrony informacji niejawnych przeprowadza się w
celu:
pkt 2
zapoznania z zasadami ochrony informacji niejawnych w
zakresie niezbędnym do wykonywania pracy lub pełnienia
służby, z uwzględnieniem zasad zarządzania ryzykiem
bezpieczeństwa informacji niejawnych, w szczególności
szacowania ryzyka”;
pkt 3
sposobami ochrony informacji niejawnych oraz postępowania
w sytuacjach zagrożenia dla takich informacji lub w
przypadku ich ujawnienia”.
-
art. 43
ust. 4:
„Kierownik
jednostki organizacyjnej, w której są przetwarzane
informacje niejawne o klauzuli „poufne” lub wyższej,
zatwierdza opracowaną przez pełnomocnika ochrony
dokumentację określającą poziom zagrożeń związanych z
nieuprawnionym dostępem do informacji niejawnych lub ich
utratą”.
-
art. 45.
ust. 1.
Jednostki organizacyjne, w których są przetwarzane
informacje niejawne, stosują środki bezpieczeństwa
fizycznego odpowiednie do poziomu zagrożeń w celu
uniemożliwienia osobom nieuprawnionym dostępu do takich
informacji,
w szczególności chroniące przed:
1) działaniem
obcych służb specjalnych;
2) zamachem
terrorystycznym lub sabotażem;
3) kradzieżą
lub zniszczeniem materiału;
4) próbą
wejścia osób nieuprawnionych do pomieszczeń, w których są
przetwarzane
informacje niejawne;
5) nieuprawnionym
dostępem do informacji o wyższej klauzuli tajności
niewynikającym
z posiadanych uprawnień.
ust. 2.
Zakres stosowania środków bezpieczeństwa fizycznego
uzależnia się od poziomu zagrożeń związanych z
nieuprawnionym dostępem do informacji niejawnych lub ich
utratą.
ust. 3.
Przy określaniu poziomu zagrożeń,
o którym mowa w ust. 2, uwzględnia się w szczególności
występujące rodzaje
zagrożeń, klauzule tajności i liczbę informacji niejawnych.
W uzasadnionych przypadkach przy określaniu poziomu
zagrożeń uwzględnia się wskazania odpowiednio ABW lub SKW.
-
art. 49.
ust. 1. Dokument
szczególnych wymagań bezpieczeństwa systemu
teleinformatycznego powinien zawierać w szczególności
wyniki procesu szacowania ryzyka dla bezpieczeństwa
informacji niejawnych przetwarzanych w systemie
teleinformatycznym oraz określać przyjęte w ramach
zarządzania ryzykiem sposoby osiągania i utrzymywania
odpowiedniego poziomu bezpieczeństwa systemu, a także
opisywać aspekty jego budowy, zasady działania i
eksploatacji, które mają związek z bezpieczeństwem systemu
lub wpływają na jego bezpieczeństwo. Przebieg i wyniki
procesu szacowania ryzyka mogą zostać przedstawione w
odrębnym dokumencie niż dokument szczególnych wymagań
bezpieczeństwa.
ust. 4.
Podstawą dokonywania wszelkich zmian w systemie
teleinformatycznym jest przeprowadzenie procesu
szacowania ryzyka dla bezpieczeństwa informacji
niejawnych przetwarzanych w tym systemie.
ust. 7.
Kierownik jednostki organizacyjnej akceptuje wyniki
procesu szacowania ryzyka dla bezpieczeństwa informacji
niejawnych oraz jest odpowiedzialny za właściwą organizację
bezpieczeństwa teleinformatycznego.
W niniejszym opracowaniu postaram się przybliżyć Państwu
zasady przeprowadzenia procesu analizy i oceny ryzyka w
zakresie właściwej ochrony informacji niejawnych
w jednostkach organizacyjnych, w których takie informacje są
przyjmowane, przetwarzane, przechowywane i udostępniane.
W
materiale wykorzystano przede wszystkim wymagania polskich
norm ISO 27001:2007 oraz ISO 27005:2010, a także zalecenia
Agencji Bezpieczeństwa Wewnętrznego i Służby Kontrwywiadu Wojskowego.
AUTOR
mgr inż. Marek Anzel,
ekspert z zakresu ochrony informacji niejawnych i systemów
teleinformatycznych. Wykładowca i konsultant cyklicznych
szkoleń organizowanych przez Krajowe Stowarzyszenie Ochrony
Informacji Niejawnych, Ogólnopolskie Stowarzyszenie
Pełnomocników Ochrony Informacji Niejawnych. Wykładowca
przedmiotów z zakresu ochrony informacji niejawnych na
studiach podyplomowych w Akademii Marynarki Wojennej, na
Uniwersytecie Śląskim oraz PWSBiA w Warszawie. Autor:
-
„Vademecum Kancelarii Tajnej”,
- „Poradnika dla Personelu
Kancelarii Tajnej”,
- "Szacowania ryzyka oraz zarządzania ryzykiem w świetle nowej ustawy z
dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych",
- "Przykładowej
dokumentacji pełnomocnika ochrony w świetle ustawy o
ochronie informacji niejawnych",
współautor „Poradnika
Pełnomocnika Ochrony”.
Ponadto na stałe współpracuje z
dwumiesięcznikiem „Ochrona Mienia i Informacji”, w którym
prezentuje praktyczną wiedzę z zakresu bezpieczeństwa
informacji, w tym ochrony informacji niejawnych oraz
systemów i sieci teleinformatycznych.
Cena jednego egzemplarza książki
,,SZACOWANIE RYZYKA ORAZ ZARZĄDZANIE RYZYKIEM W
ŚWIETLE NOWEJ USTAWY Z DNIA 5 SIERPNIA 2010 R. O OCHRONIE
INFORMACJI NIEJAWNYCH” - ISBN 978-83-930686-1-6,
wynosi: 25,20 + koszt wysyłki.
Książkę można nabyć pod adresem:
http://www.one1.pl
Pozycje, które ukazały się z tej serii:
|