Rozdział 4 - Dokumentacja bezpieczeństwa teleinformatycznego - Podstawowe wymagania bezpieczeństwa teleinformatycznego.

Dziennik Ustaw

Dz.U.2011.159.948

Akt obowiązujący
Wersja od: 1 sierpnia 2011 r.

Rozdział  4

Dokumentacja bezpieczeństwa teleinformatycznego

§  25.
1.
Dokument szczególnych wymagań bezpieczeństwa systemu teleinformatycznego:
1)
opracowuje się na etapie projektowania systemu teleinformatycznego, po przeprowadzeniu wstępnego szacowania ryzyka dla bezpieczeństwa informacji niejawnych, które mają być przetwarzane w systemie teleinformatycznym, w sposób uwzględniający specyfikę budowy, charakterystykę systemu teleinformatycznego, a także warunki charakterystyczne dla jednostki organizacyjnej;
2)
bieżąco uzupełnia się na etapie wdrażania systemu teleinformatycznego, po przeprowadzeniu szacowania ryzyka dla bezpieczeństwa informacji niejawnych z uwzględnieniem wprowadzonych zabezpieczeń;
3)
uaktualnia się na etapie eksploatacji systemu teleinformatycznego, przed dokonaniem zmian w systemie teleinformatycznym.
2.
Dokument szczególnych wymagań bezpieczeństwa zawiera następujące dane:
1)
rodzaje oraz klauzule tajności informacji niejawnych, które będą przetwarzane w systemie teleinformatycznym;
2)
grupy użytkowników systemu teleinformatycznego wyodrębnione ze względu na posiadane uprawnienia do pracy w systemie teleinformatycznym;
3)
tryb bezpieczeństwa pracy systemu teleinformatycznego;
4)
przeznaczenie i funkcjonalność systemu teleinformatycznego;
5)
wymagania eksploatacyjne dla wymiany informacji i połączeń z innymi systemami teleinformatycznymi;
6)
lokalizację systemu teleinformatycznego.
3.
W dokumencie szczególnych wymagań bezpieczeństwa zawiera się ponadto informacje o:
1)
metodyce użytej w procesie szacowania ryzyka dla bezpieczeństwa informacji niejawnych oraz raport z tego procesu;
2)
zastosowanych zabezpieczeniach;
3)
ryzykach szczątkowych oraz deklaracji ich akceptacji;
4)
poświadczeniach bezpieczeństwa lub innych formalnych uprawnieniach do dostępu do informacji niejawnych, posiadanych przez użytkowników systemu teleinformatycznego;
5)
bezpieczeństwie fizycznym, w tym granicach i lokalizacji stref ochronnych oraz środkach ich ochrony;
6)
ochronie elektromagnetycznej;
7)
stosowanych urządzeniach lub narzędziach kryptograficznych;
8)
ciągłości działania, w tym tworzeniu kopii zapasowych, odzyskiwaniu systemu oraz, jeżeli to właściwe, zapewnieniu alternatywnych łączy telekomunikacyjnych lub urządzeń, a także zasilaniu awaryjnym;
9)
ustawieniach konfiguracyjnych systemu teleinformatycznego;
10)
utrzymaniu systemu, w tym dokonywaniu przeglądów diagnostycznych i napraw;
11)
zapobieganiu incydentom bezpieczeństwa teleinformatycznego, w tym ochronie przed oprogramowaniem złośliwym;
12)
zasadach wprowadzania poprawek lub uaktualnień oprogramowania;
13)
ochronie nośników, w tym ich oznaczaniu, dostępie, transporcie, obniżaniu ich klauzul tajności i niszczeniu;
14)
identyfikacji i uwierzytelnieniu użytkowników i urządzeń;
15)
kontroli dostępu;
16)
audycie wewnętrznym;
17)
zarządzaniu ryzykiem w systemie teleinformatycznym;
18)
zmianach w systemie teleinformatycznym, w tym dotyczących aktualizacji dokumentacji bezpieczeństwa systemu teleinformatycznego oraz warunkach ponownej akredytacji systemu teleinformatycznego i wycofania z eksploatacji.
§  26.
1.
Dokument procedur bezpiecznej eksploatacji:
1)
opracowuje się na etapie wdrażania systemu teleinformatycznego, po przeprowadzeniu szacowania ryzyka dla bezpieczeństwa informacji niejawnych z uwzględnieniem wprowadzonych zabezpieczeń;
2)
uaktualnia się na etapie eksploatacji systemu teleinformatycznego, przed dokonaniem zmian w systemie teleinformatycznym.
2.
W dokumencie procedur bezpiecznej eksploatacji określa się szczegółowy wykaz procedur bezpieczeństwa wraz z dokładnym opisem sposobu ich wykonania, realizowanych przez osoby odpowiedzialne za bezpieczeństwo teleinformatyczne oraz osoby uprawnione do pracy w systemie teleinformatycznym, obejmujący:
1)
administrowanie systemem teleinformatycznym oraz zastosowanymi środkami zabezpieczającymi;
2)
bezpieczeństwo urządzeń;
3)
bezpieczeństwo oprogramowania;
4)
zarządzanie konfiguracją sprzętowo-programową, w tym zasady serwisowania lub modernizacji oraz wycofywania z użycia elementów systemu teleinformatycznego;
5)
plany awaryjne;
6)
monitorowanie i audyt systemu teleinformatycznego;
7)
zarządzanie nośnikami;
8)
zarządzanie materiałami kryptograficznymi;
9)
stosowanie ochrony elektromagnetycznej;
10)
reagowanie na incydenty bezpieczeństwa teleinformatycznego;
11)
szkolenia użytkowników systemu teleinformatycznego dotyczące zasad korzystania z systemu teleinformatycznego;
12)
wprowadzanie danych do systemu i ich wyprowadzanie z systemu.
§  27.
W przypadku systemu teleinformatycznego funkcjonującego w więcej niż jednej jednostce organizacyjnej, po uzgodnieniu z jednostką organizującą system, dokumentacja bezpieczeństwa systemu teleinformatycznego może być uzupełniona o aneksy zawierające dane dotyczące konkretnych lokalizacji, sporządzane przez kierowników jednostek organizacyjnych, w których znajdują się elementy systemu teleinformatycznego.
Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .