|
ZARZĄDZANIE RYZYKIEM
BEZPIECZEŃSTWA
INFORMACJI NIEJAWNYCH |
W art. 15 ust. 1 pkt. 3 ustawy z dnia
5 sierpnia 2010 roku o ochronie informacji niejawnych zwanej
dalej Ustawą, pełnomocnikowi do spraw ochrony informacji
niejawnych przypisano nowe zadanie, a mianowicie:
„zarządzanie ryzykiem bezpieczeństwa informacji niejawnych,
w szczególności szacowanie ryzyka”. |
Aby zrozumieć, w jakich aspektach należy rozważać wyżej wymienione zadanie,
warto wrócić się do definicji zawartych w art. 2 pkt 15-17 ustawy, a mianowicie:
15) ryzykiem – jest kombinacja prawdopodobieństwa wystąpienia zdarzenia
niepożądanego i jego konsekwencji;
16) szacowaniem ryzyka – jest całościowy proces analizy i oceny ryzyka;
17) zarządzaniem ryzykiem – są skoordynowane działania w zakresie zarządzania
bezpieczeństwem informacji, z uwzględnieniem ryzyka;
Podobną treść tych definicji przedstawiono w Polskiej Normie PN-ISO/IEC
27001:2007 – Technika informatyczna - Techniki bezpieczeństwa. Systemy
zarządzania bezpieczeństwem informacji Wymagania:
|
szacowanie ryzyka - całościowy proces
analizy i oceny ryzyka
[ISO/IEC Guide 73:2002]; |
|
analiza ryzyka - systematyczne wykorzystanie
informacji do zidentyfikowania źródeł i
oszacowania ryzyka
[ISO/IEC Guide 73:2002]; |
|
ocena ryzyka - proces porównywania
oszacowanego ryzyka z określonymi kryteriami
w celu określenia znaczenia ryzyka
[ISO/IEC Guide 73:2002]; |
|
zarządzanie ryzykiem - skoordynowane
działania kierowania i zarządzania organizacją z
uwzględnieniem ryzyka
[ISO/IEC Guide 73:2002]; |
|
postępowanie z ryzykiem - proces wyboru i
wdrażania środków modyfikujących
ryzyko
[ISO/IEC Guide 73:2002]. |
Zarządzanie ryzykiem bezpieczeństwa
informacji niejawnych, w szczególności szacowanie ryzyka, o
którym mowa w art.15 ust. 1 pkt 3 ustawy, należy
rozpatrywać w dwóch aspektach:
a) środków bezpieczeństwa fizycznego stosowanych do zabezpieczania informacji
niejawnych;
b) bezpieczeństwa informacji niejawnych przetwarzanych w systemach
teleinformatycznych.
ad. a)
W przypadku bezpieczeństwa fizycznego, należy przyjąć postanowienia
zawarte
w rozdziale 7 Ustawy -
Kancelarie tajne.
Środki bezpieczeństwa fizycznego.
Jak
wynika z zapisów art. 43 ust. 4 „Kierownik
jednostki organizacyjnej, w której są przetwarzane informacje niejawne
o klauzuli „poufne” lub wyższej, zatwierdza opracowaną przez pełnomocnika
ochrony dokumentację określającą poziom zagrożeń związanych
z nieuprawnionym dostępem do informacji niejawnych lub ich utratą”.
Metodykę szacowania ryzyka i opracowania dokumentacji
określającej poziom zagrożeń zawarto szczegółowo w rozporządzeniu
Rady Ministrów z dnia 29 maja 2012 roku w sprawie środków
bezpieczeństwa fizycznego stosowanych do zabezpieczania informacji niejawnych (Dz.U.2012.683).
|
Analizę poziomu zagrożeń oraz zasady doboru
środków bezpieczeństwa fizycznego opisałem
szczegółowo w poradniku formatu A4
„Przykładowa dokumentacja pełnomocnika ochrony w
świetle ustawy o ochronie informacji niejawnych”
-
wydawnictwo
PHU ONE Magdalena Chachurska - ISBN
978-83-930686-2-3 - Poznań 2012. |
ad. b)
Zupełnie inne zasady obowiązują w przypadku zarządzania ryzykiem dla systemów
teleinformatycznych, w których przetwarzane są informacje
niejawne.
Proces zarządzania ryzykiem
w systemie teleinformatycznym prowadzi się w celu zapewnienia i utrzymania na
poziomie akceptowanym przez kierownika danej jednostki organizacyjnej
bezpieczeństwa informacji niejawnych przetwarzanych w tym systemie.
Zgodnie z postanowieniami zawartymi w art. 49 ust. 1 Ustawy „dokument
szczególnych wymagań bezpieczeństwa systemu teleinformatycznego powinien
zawierać w szczególności wyniki procesu szacowania ryzyka dla
bezpieczeństwa informacji niejawnych przetwarzanych w systemie
teleinformatycznym oraz określać przyjęte w ramach zarządzania ryzykiem
sposoby osiągania i utrzymywania odpowiedniego poziomu bezpieczeństwa systemu, …”.
W tym samym art. w ust. 4 i 7 możemy przeczytać, iż „podstawą
dokonywania wszelkich zmian w systemie teleinformatycznym jest
przeprowadzenie procesu szacowania ryzyka dla bezpieczeństwa informacji
niejawnych przetwarzanych w tym systemie” oraz
„ … kierownik jednostki
organizacyjnej akceptuje wyniki procesu szacowania ryzyka dla
bezpieczeństwa informacji niejawnych oraz jest odpowiedzialny za właściwą
organizację bezpieczeństwa teleinformatycznego”.
Bardzo ogólny proces szacowania dla bezpieczeństwa informacji
niejawnych przetwarzanych w systemie teleinformatycznym opisano
w rozdziale III rozporządzenia
Prezesa Rady Ministrów z dnia 20 lipca 2011 roku w sprawie
podstawowych wymagań bezpieczeństwa
teleinformatycznego (Dz.U.2011.159.948).
|
Zasady przeprowadzenia szacowania ryzyka dla
bezpieczeństwa systemu teleinformatycznego
opisałem szczegółowo w poradniku formatu A4
„Szacowanie ryzyka oraz zarządzanie ryzykiem w
świetle nowej ustawy z dnia 5 sierpnia
2010 r. o ochronie informacji niejawnych -
przykład metody analizy ryzyka opartej na
gotowych macierzach”
-
wydawnictwo
PHU ONE Magdalena Chachurska - ISBN
978-83-930686-1-6 - Poznań 2011. |
Podsumowanie
Nakazana Ustawą dokumentacja określająca poziom zagrożeń
związanych
z nieuprawnionym dostępem do informacji niejawnych lub ich utratą oraz
przeprowadzanie procesu szacowania ryzyka dla bezpieczeństwa informacji
niejawnych przetwarzanych
w systemach teleinformatycznych - w ramach
dokumentu szczególnych wymagań bezpieczeństwa systemu
teleinformatycznego - jest nowym, trudnym wyzwaniem dla osób zajmujących
się ochroną informacji niejawnych.
Dlatego, aby wyjść naprzeciw Państwa potrzebom, serdecznie polecam wymienione
powyżej wydawnictwa firmy
PHU ONE,
w których szczegółowo opisano przedmiotową problematykę.
©
mgr inż. Marek ANZEL
|