|
OBOWIĄZKI
INSPEKTORA BEZPIECZEŃSTWA TELEINFORMATYCZNEGO
I ADMINISTRATORA SYSTEMU |
Kierownik jednostki organizacyjnej wyznacza:
1. Pracownika lub pracowników pionu ochrony pełniących funkcję inspektora
bezpieczeństwa teleinformatycznego, odpowiedzialnych za weryfikację i bieżącą
kontrolę zgodności funkcjonowania systemu teleinformatycznego ze szczególnymi
wymaganiami bezpieczeństwa oraz przestrzegania procedur bezpiecznej
eksploatacji.
2. Administratora systemu, niepełniącego funkcji inspektora bezpieczeństwa
teleinformatycznego, odpowiedzialnego za funkcjonowanie systemu
teleinformatycznego oraz za przestrzeganie zasad i wymagań bezpieczeństwa
przewidzianych dla systemu teleinformatycznego.
Stanowiska lub funkcje inspektora bezpieczeństwa teleinformatycznego i
administratora systemu mogą zajmować lub pełnić osoby spełniające następujące
wymagania:
Inspektor bezpieczeństwa teleinformatycznego
realizuje zadania w zakresie weryfikacji i bieżącej kontroli zgodności
funkcjonowania eksploatowanego w danej jednostce organizacyjnej systemu
teleinformatycznego z jego dokumentacją bezpieczeństwa, a w szczególności
kontroluje:
1) przestrzeganie zasad ochrony przetwarzanych w systemie teleinformatycznym
informacji niejawnych;
2) poprawność realizacji zadań wykonywanych przez administratora;
3) zgodność konfiguracji systemu teleinformatycznego z dokumentacją
bezpieczeństwa systemu teleinformatycznego;
4) stan środków bezpieczeństwa fizycznego i ochrony elektromagnetycznej;
5) aktualność wykazów osób mających dostęp do systemu teleinformatycznego,
prawidłowość przydzielania kont użytkownikom, zakres nadanych im uprawnień i
prawidłowość zabezpieczeń zastosowanych w systemie teleinformatycznym;
6) znajomość i przestrzeganie przez użytkowników procedur bezpiecznej
eksploatacji systemu teleinformatycznego.
Ponadto inspektor bezpieczeństwa teleinformatycznego:
|
analizuje rejestry zdarzeń w systemie
teleinformatycznym i prawidłowość ich
archiwizowania;
|
|
informuje pełnomocnika ochrony o
wszelkich zdarzeniach związanych lub
mogących mieć wpływ na bezpieczeństwo
systemu teleinformatycznego;
|
|
uczestniczy w
opracowywaniu programów
organizacyjno-użytkowych, projektów
koncepcyjnych i technicznych planowanych do
budowy systemów teleinformatycznych. |
Administrator systemu
realizuje zadania w zakresie odpowiedzialności za funkcjonowanie systemu
teleinformatycznego oraz odpowiada za przestrzeganie zasad i wymagań
bezpieczeństwa przewidzianych dla systemu teleinformatycznego, w szczególności:
1) opracowuje i uaktualniania dokumentację bezpieczeństwa systemu
teleinformatycznego;
2) przechowuje oryginały zatwierdzonej dokumentacji bezpieczeństwa
teleinformatycznego systemu teleinformatycznego;
3) uczestniczy w procesie szacowania ryzyka;
4) wdraża procedury bezpiecznej eksploatacji;
5) szkoli użytkowników systemu teleinformatycznego z zakresu procedur
bezpiecznej eksploatacji;
6) utrzymuje zgodność konfiguracji i parametrów systemu teleinformatycznego z
dokumentacją bezpieczeństwa systemu;
7) systematycznie kontroluje funkcjonowanie mechanizmów zabezpieczeń i
poprawność działania systemu teleinformatycznego;
8) informuje pełnomocnika ochrony o stwierdzonych naruszeniach bezpieczeństwa
systemu teleinformatycznego;
9) zgłasza do pełnomocnika ochrony potrzeby w zakresie serwisowania i
certyfikacji środków ochrony elektromagnetycznej;
10) analizuje i archiwizuje rejestr zdarzeń w systemie teleinformatycznym;
11) prowadzi wykaz osób mających dostęp do systemu teleinformatycznego
zawierający co najmniej:
|
imię i nazwisko;
|
|
nazwę jednostki (komórki) organizacyjnej;
|
|
posiadane
poświadczenie bezpieczeństwa (jego numer,
klauzulę i datę ważności); |
12) przydziela użytkownikom konta, zgodnie z uprawnieniami nadanymi przez
kierownika jednostki (komórki) organizacyjnej;
13) zapewnia dostęp do systemu teleinformatycznego wyłącznie użytkowników
posiadających wymagane uprawnienia oraz odpowiednie i ważne poświadczenia
bezpieczeństwa.
|