ZARZĄDZANIE RYZYKIEM
BEZPIECZEŃSTWA
INFORMACJI NIEJAWNYCH
W art. 15 ust. 1 pkt. 3 ustawy z dnia 5 sierpnia 2010 roku o ochronie informacji niejawnych zwanej dalej Ustawą, pełnomocnikowi do spraw ochrony informacji niejawnych przypisano nowe zadanie, a mianowicie: „zarządzanie ryzykiem bezpieczeństwa informacji niejawnych, w szczególności szacowanie ryzyka”.

Aby zrozumieć, w jakich aspektach należy rozważać wyżej wymienione zadanie, warto wrócić się do definicji zawartych w art. 2 pkt 15-17 ustawy, a mianowicie:

15) ryzykiem – jest kombinacja prawdopodobieństwa wystąpienia zdarzenia niepożądanego i jego konsekwencji;
16) szacowaniem ryzyka – jest całościowy proces analizy i oceny ryzyka;
17) zarządzaniem ryzykiem – są skoordynowane działania w zakresie zarządzania bezpieczeństwem informacji, z uwzględnieniem ryzyka;
Podobną treść tych definicji przedstawiono w Polskiej Normie PN-ISO/IEC 27001:2007 – Technika informatyczna - Techniki bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji Wymagania:

punktor szacowanie ryzyka - całościowy proces analizy i oceny ryzyka
[ISO/IEC Guide 73:2002];
punktor analiza ryzyka - systematyczne wykorzystanie informacji do zidentyfikowania źródeł i oszacowania ryzyka
[ISO/IEC Guide 73:2002];
punktor ocena ryzyka - proces porównywania oszacowanego ryzyka z określonymi kryteriami
w celu określenia znaczenia ryzyka
[ISO/IEC Guide 73:2002];
punktor zarządzanie ryzykiem - skoordynowane działania kierowania i zarządzania organizacją z uwzględnieniem ryzyka
[ISO/IEC Guide 73:2002];
punktor postępowanie z ryzykiem - proces wyboru i wdrażania środków modyfikujących
ryzyko
[ISO/IEC Guide 73:2002].

Zarządzanie ryzykiem bezpieczeństwa informacji niejawnych, w szczególności szacowanie ryzyka, o którym mowa w art.15 ust. 1 pkt 3 ustawy, należy rozpatrywać w dwóch aspektach:

a) środków bezpieczeństwa fizycznego stosowanych do zabezpieczania informacji niejawnych;
b) bezpieczeństwa informacji niejawnych przetwarzanych w systemach teleinformatycznych.

ad. a) W przypadku bezpieczeństwa fizycznego, należy przyjąć postanowienia zawarte
w rozdziale 7 Ustawy -
Kancelarie tajne. Środki bezpieczeństwa fizycznego.

Jak wynika z zapisów art. 43 ust. 4 Kierownik jednostki organizacyjnej, w której są przetwarzane informacje niejawne o klauzuli „poufne” lub wyższej, zatwierdza opracowaną przez pełnomocnika ochrony dokumentację określającą poziom zagrożeń związanych
z nieuprawnionym dostępem do informacji niejawnych lub ich utratą
”.

Metodykę szacowania ryzyka i opracowania dokumentacji określającej poziom zagrożeń zawarto szczegółowo w rozporządzeniu Rady Ministrów z dnia 29 maja 2012 roku w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczania informacji niejawnych (Dz.U.2012.683).

Analizę poziomu zagrożeń oraz zasady doboru środków bezpieczeństwa fizycznego opisałem szczegółowo w poradniku formatu A4

„Przykładowa dokumentacja pełnomocnika ochrony w świetle ustawy o ochronie informacji niejawnych”

- wydawnictwo
PHU ONE Magdalena Chachurska - ISBN 978-83-930686-2-3 - Poznań 2012
.

ad. b) Zupełnie inne zasady obowiązują w przypadku zarządzania ryzykiem dla systemów teleinformatycznych, w których przetwarzane są informacje niejawne.

Proces zarządzania ryzykiem w systemie teleinformatycznym prowadzi się w celu zapewnienia i utrzymania na poziomie akceptowanym przez kierownika danej jednostki organizacyjnej bezpieczeństwa informacji niejawnych przetwarzanych w tym systemie.

Zgodnie z postanowieniami zawartymi w art. 49 ust. 1 Ustawy „dokument szczególnych wymagań bezpieczeństwa systemu teleinformatycznego powinien zawierać w szczególności wyniki procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych w systemie teleinformatycznym oraz określać przyjęte w ramach zarządzania ryzykiem sposoby osiągania i utrzymywania odpowiedniego poziomu bezpieczeństwa systemu, …”.

W tym samym art. w ust. 4 i 7 możemy przeczytać, iż „podstawą dokonywania wszelkich zmian w systemie teleinformatycznym jest przeprowadzenie procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych w tym systemie” oraz  „ … kierownik jednostki organizacyjnej akceptuje wyniki procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych oraz jest odpowiedzialny za właściwą organizację bezpieczeństwa teleinformatycznego”.

Bardzo ogólny proces szacowania dla bezpieczeństwa informacji niejawnych przetwarzanych w systemie teleinformatycznym opisano w rozdziale III rozporządzenia Prezesa Rady Ministrów z dnia 20 lipca 2011 roku w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz.U.2011.159.948).

Zasady przeprowadzenia szacowania ryzyka dla bezpieczeństwa systemu teleinformatycznego opisałem szczegółowo w poradniku formatu A4

„Szacowanie ryzyka oraz zarządzanie ryzykiem w świetle nowej ustawy z dnia 5 sierpnia
2010 r. o ochronie informacji niejawnych - przykład metody analizy ryzyka opartej na gotowych macierzach”

- wydawnictwo
PHU ONE Magdalena Chachurska - ISBN 978-83-930686-1-6 - Poznań 2011.

Podsumowanie

Nakazana Ustawą dokumentacja określająca poziom zagrożeń związanych
z nieuprawnionym dostępem do informacji niejawnych lub ich utratą oraz przeprowadzanie procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych
w systemach teleinformatycznych - w ramach dokumentu szczególnych wymagań bezpieczeństwa systemu teleinformatycznego - jest nowym, trudnym wyzwaniem dla osób zajmujących się ochroną informacji niejawnych.

Dlatego, aby wyjść naprzeciw Państwa potrzebom, serdecznie polecam wymienione powyżej wydawnictwa firmy PHU ONE, w których szczegółowo opisano przedmiotową problematykę.

 © mgr inż. Marek ANZEL