OBOWIĄZKI

INSPEKTORA BEZPIECZEŃSTWA TELEINFORMATYCZNEGO
I ADMINISTRATORA SYSTEMU
 

Kierownik jednostki organizacyjnej wyznacza:

1. Pracownika lub pracowników pionu ochrony pełniących funkcję inspektora bezpieczeństwa teleinformatycznego, odpowiedzialnych za weryfikację i bieżącą kontrolę zgodności funkcjonowania systemu teleinformatycznego ze szczególnymi wymaganiami bezpieczeństwa oraz przestrzegania procedur bezpiecznej eksploatacji.
2. Administratora systemu, niepełniącego funkcji inspektora bezpieczeństwa teleinformatycznego, odpowiedzialnego za funkcjonowanie systemu teleinformatycznego oraz za przestrzeganie zasad i wymagań bezpieczeństwa przewidzianych dla systemu teleinformatycznego.
 
Stanowiska lub funkcje inspektora bezpieczeństwa teleinformatycznego i administratora systemu mogą zajmować lub pełnić osoby spełniające następujące wymagania:

 
punktor

obywatelstwo polskie, z wyjątkiem pracowników pionu ochrony zatrudnionych u przedsiębiorców;

punktor

odpowiednie poświadczenie bezpieczeństwa lub upoważnienie przez kierownika jednostki organizacyjnej, jeżeli nie posiada ona poświadczenia bezpieczeństwa (dotyczy upoważnienia dopuszczającego do pracy na stanowiskach związanych z dostępem danej osoby do informacji niejawnych o klauzuli „zastrzeżone”);

punktor zaświadczenie o odbytym przeszkoleniu w zakresie ochrony informacji niejawnych;
punktor odbycie specjalistycznego szkolenia z zakresu bezpieczeństwa teleinformatycznego prowadzonego przez ABW albo SKW.

Inspektor bezpieczeństwa teleinformatycznego
realizuje zadania w zakresie weryfikacji i bieżącej kontroli zgodności funkcjonowania eksploatowanego w danej jednostce organizacyjnej systemu teleinformatycznego z jego dokumentacją bezpieczeństwa, a w szczególności kontroluje:

1) przestrzeganie zasad ochrony przetwarzanych w systemie teleinformatycznym informacji niejawnych;
2) poprawność realizacji zadań wykonywanych przez administratora;
3) zgodność konfiguracji systemu teleinformatycznego z dokumentacją bezpieczeństwa systemu teleinformatycznego;
4) stan środków bezpieczeństwa fizycznego i ochrony elektromagnetycznej;
5) aktualność wykazów osób mających dostęp do systemu teleinformatycznego, prawidłowość przydzielania kont użytkownikom, zakres nadanych im uprawnień i prawidłowość zabezpieczeń zastosowanych w systemie teleinformatycznym;
6) znajomość i przestrzeganie przez użytkowników procedur bezpiecznej eksploatacji systemu teleinformatycznego.

Ponadto inspektor bezpieczeństwa teleinformatycznego:

punktor

analizuje rejestry zdarzeń w systemie teleinformatycznym i prawidłowość ich archiwizowania;

punktor

informuje pełnomocnika ochrony o wszelkich zdarzeniach związanych lub mogących mieć wpływ na bezpieczeństwo systemu teleinformatycznego;

punktor uczestniczy w opracowywaniu programów organizacyjno-użytkowych, projektów koncepcyjnych i technicznych planowanych do budowy systemów teleinformatycznych.

Administrator systemu
realizuje zadania w zakresie odpowiedzialności za funkcjonowanie systemu teleinformatycznego oraz odpowiada za przestrzeganie zasad i wymagań bezpieczeństwa przewidzianych dla systemu teleinformatycznego, w szczególności:

1) opracowuje i uaktualniania dokumentację bezpieczeństwa systemu teleinformatycznego;
2) przechowuje oryginały zatwierdzonej dokumentacji bezpieczeństwa teleinformatycznego systemu teleinformatycznego;
3) uczestniczy w procesie szacowania ryzyka;
4) wdraża procedury bezpiecznej eksploatacji;
5) szkoli użytkowników systemu teleinformatycznego z zakresu procedur bezpiecznej eksploatacji;
6) utrzymuje zgodność konfiguracji i parametrów systemu teleinformatycznego z dokumentacją bezpieczeństwa systemu;
7) systematycznie kontroluje funkcjonowanie mechanizmów zabezpieczeń i poprawność działania systemu teleinformatycznego;
8) informuje pełnomocnika ochrony o stwierdzonych naruszeniach bezpieczeństwa systemu teleinformatycznego;
9) zgłasza do pełnomocnika ochrony potrzeby w zakresie serwisowania i certyfikacji środków ochrony elektromagnetycznej;
10) analizuje i archiwizuje rejestr zdarzeń w systemie teleinformatycznym;
11) prowadzi wykaz osób mających dostęp do systemu teleinformatycznego zawierający co najmniej:

punktor

imię i nazwisko;

punktor

nazwę jednostki (komórki) organizacyjnej;

punktor posiadane poświadczenie bezpieczeństwa (jego numer, klauzulę i datę ważności);

12) przydziela użytkownikom konta, zgodnie z uprawnieniami nadanymi przez kierownika jednostki (komórki) organizacyjnej;
13) zapewnia dostęp do systemu teleinformatycznego wyłącznie użytkowników posiadających wymagane uprawnienia oraz odpowiednie i ważne poświadczenia bezpieczeństwa.