|
BEZPIECZEŃSTWO
TELEINFORMATYCZNE |
Autor -
mgr inż. Marek ANZEL - pełnomocnik ochrony. Ekspert z zakresu ochrony informacji
niejawnych i systemów teleinformatycznych.
Wykładowca i konsultant cyklicznych szkoleń
organizowanych przez Krajowe Stowarzyszenie
Ochrony Informacji Niejawnych, Ogólnopolskie
Stowarzyszenie Pełnomocników
Ochrony Informacji Niejawnych. Wykładowca
przedmiotów z zakresu SZBI na studiach
podyplomowych na Uniwersytecie Śląskim i
Akademii WSB w Dąbrowie Górniczej. Autor
Poradników z zakresu SZBI, w tym związanych z
funkcjonowaniem systemu ochrony informacji
niejawnych. Ponadto na stałe współpracuje z
kwartalnikiem wydawnictwa BECK „Informacja w
Administracji Publicznej”, w którym prezentuje
praktyczną wiedzę z zakresu bezpieczeństwa
informacji. |
Poradnik skierowany jest
do wszystkich osób zajmujących się bezpieczeństwem teleinformatycznym, głównie
do pełnomocników ochrony, inspektorów bezpieczeństwa teleinformatycznego oraz
administratorów systemu.
W Poradniku
opisano podstawowe wymagania bezpieczeństwa teleinformatycznego, jakim powinny
odpowiadać systemy teleinformatyczne przeznaczone do przetwarzania informacji
niejawnych.
Poradnik,
krok po kroku, opisuje zasady organizacji
systemu teleinformatycznego, na każdym
z jego etapów funkcjonowania:
1)
planowania;
2)
projektowania;
3)
wdrażania;
4)
eksploatacji;
5)
wycofywania.
Poradnik dotyczy
organizacji i funkcjonowania wszystkich systemów teleinformatycznych, bez
względu na klauzulę tajności przetwarzanych w nich informacji niejawnych.
Opisane w nim podstawowe
wymagania bezpieczeństwa i praktyczne wskazówki swobodnie można wdrożyć zarówno
przy organizacji systemu teleinformatycznego przeznaczonego wyłącznie do
przetwarzania informacji niejawnych o klauzuli „zastrzeżone”, jak również dla
systemów TI dedykowanych do przetwarzania informacji o wyższych klauzulach
tajności.
Wiele opisanych w
Poradniku praktycznych wskazówek wynika nie tylko stricte z regulacji prawnych i
zaleceń ABW/SKW ale również z wieloletniego doświadczenia autora Poradnika na
niwie bezpieczeństwa teleinformatycznego.
Czytelnicy znajdą w nim
przykłady (wzory) Zarządzeń/Decyzji, wniosków, pism przewodnich, zgłoszeń itp.,
które na pewno stanowić będą dużą pomoc w przygotowaniu procesu akredytacji
bezpieczeństwa teleinformatycznego.
Poniżej spis treści:
Rozdział 1.
ETAP
PLANOWANIA
|
1.1.
Przeznaczenie systemu
teleinformatycznego
|
1.2. Maksymalna klauzula
tajności informacji niejawnych,
które będą przetwarzane
w systemie teleinformatycznym
|
1.3. Tryb bezpieczeństwa pracy
systemu teleinformatycznego
|
1.4.
Szacunkowa liczba użytkowników
|
1.5.
Planowana lokalizacja
|
1.5.1. Bezpieczeństwo fizyczne
|
1.5.2. Ochrona
elektromagnetyczna
|
1.5.3. Podsumowanie wymagań w
zakresie lokalizacji
|
Rozdział 2.
ETAP PROJEKTOWANIA
|
2.1.
Przeprowadzenie wstępnego
szacowania ryzyka dla
bezpieczeństwa informacji
niejawnych w celu określenia
wymagań dla zabezpieczeń
|
2.2. Wybór zabezpieczeń dla
systemu teleinformatycznego w
oparciu o wyniki wstępnego
szacowania ryzyka dla
bezpieczeństwa informacji
niejawnych
|
2.3. Uzgodnienie z podmiotem
akredytującym plan akredytacji
obejmujący zakres
i harmonogram przedsięwzięć
wymaganych do uzyskania
akredytacji bezpieczeństwa
teleinformatycznego
|
2.4. Uzgodnienie z podmiotem
zaopatrującym w klucze
kryptograficzne rodzaj oraz
ilość niezbędnych urządzeń lub
narzędzi kryptograficznych, a
także sposób ich wykorzystania
|
2.5. Opracowanie dokumentu
szczególnych wymagań
bezpieczeństwa
|
Rozdział 3.
ETAP WDRAŻANIA
|
3.1. Pozyskanie
i wdrożenie urządzeń lub
narzędzi realizujących
zabezpieczenia w systemie
teleinformatycznym
|
3.2. Przeprowadzenie testów
bezpieczeństwa systemu
teleinformatycznego
|
3.3. Przeprowadzenie szacowanie
ryzyka dla bezpieczeństwa
informacji niejawnych
z uwzględnieniem wprowadzonych
zabezpieczeń
|
3.4. Opracowanie dokumentu
procedur bezpiecznej
eksploatacji oraz uzupełnienie
dokumentu szczególnych wymagań
bezpieczeństwa
|
3.5. Poddanie systemu
teleinformatycznego akredytacji
bezpieczeństwa
teleinformatycznego
|
3.5.1. akredytacja systemu TI
„poufne” i wyżej
|
3.5.2. akredytacja systemu TI
„zastrzeżone”
|
3.5.3.
akredytacja systemu TI
„międzynarodowych”
|
Rozdział 4.
ETAP EKSPLOATACJI
|
4.1.
Utrzymanie zgodności systemu teleinformatycznego
z jego dokumentacją bezpieczeństwa
|
4.2.
Zapewnienie ciągłości procesu zarządzania
ryzykiem w systemie teleinformatycznym
|
4.3.
Okresowe przeprowadzanie testów bezpieczeństwa w
celu weryfikacji poprawności działania
poszczególnych zabezpieczeń oraz usuwanie
stwierdzonych nieprawidłowości
|
4.4.
Wprowadzanie zmian do systemu
teleinformatycznego uaktualnianie dokumentacji
bezpieczeństwa systemu teleinformatycznego
|
Rozdział 5.
ETAP WYCOFYWANIA
|
5.1.
Zaprzestanie eksploatacji systemu
teleinformatycznego
|
5.2.
Pisemne powiadomienie ABW albo SKW o wycofaniu
systemu z eksploatacji
|
5.3.
Zwrócenie do ABW albo SKW świadectwa akredytacji
bezpieczeństwa systemu teleinformatycznego
|
5.4.
Usunięcie informacji niejawnych z systemu
teleinformatycznego, w szczególności przez
przeniesienie ich do innego systemu
teleinformatycznego, zarchiwizowanie lub
zniszczenie informatycznych nośników danych
|
LITERATURA
.....................................................................................................................................................
|
Do nabycia pod adresem:
http://www.one1.pl/52-pomoce-naukowe
©
mgr inż. Marek ANZEL
|