PROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0)

Transkrypt

1 pełna nazwa jednostki organizacyjnej ZATWIERDZAM... PROCEDURY BEZPIECZNEJ EKSPLOATACJI DLA SYSTEMU TELEINFORMATYCZNEGO NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0) Pełnomocnik Ochrony Kierownik Jednostki Organizacyjnej.... miejscowość miesiąc rok sporządzenia dokumentu

2 Procedury bezpiecznej eksploatacji dla systemu teleinformatycznego Strona 2 z 36 SPIS TREŚCI: I. Wprowadzenie..... I.1. Informacje ogólne.... I.2. Klauzula tajności systemu TI.... I.3. Dopuszczenie systemu TI.... I.4. Opis systemu TI.... I.5. Obowiązujące akty prawne..... Część I Procedury obowiązujące personel funkcyjny systemu NAZWA SYSTEMU. II. Procedury administrowania systemem teleinformatycznym oraz zastosowanymi środkami zabezpieczającymi..... Procedura konfiguracji sprzętu komputerowego wykorzystywanego w Systemie..... Procedura zakładania i dezaktywacji kont użytkowników.... Procedura aktualizacji Rejestru użytkowników Systemu..... Procedura aktualizacji oprogramowania antywirusowego..... Procedura pobierania i rejestrowania nośników..... Procedura uruchamiania, zamykania systemu, kończenie pracy z systemem.... Procedura korzystania ze specjalistycznego oprogramowania i usług.... III. Procedury związane z bezpieczeństwem urządzeń..... Procedura dostępu do pomieszczenia Systemu.... Procedura nadzoru nad środkami ochrony fizycznej i technicznej Procedura pobierania zapasowych kluczy i kodów.... Procedura składowania dzienników zdarzeń SSWiN oraz SKD.... Procedura nadzoru nad środkami bezpieczeństwa fizycznego podzespołów systemu NAZWA SYSTEMU.... IV. Procedury związane z bezpieczeństwem oprogramowania..... Procedura wykonywania kopii zapasowych systemu operacyjnego.... Procedura bezpiecznego przechowywania oprogramowania.... Procedura przeciwdziałania infekcjom wirusowym.... V. Procedury związane z zarządzaniem konfiguracją sprzętowo-programową Procedura zarządzania konfiguracją.... Procedura testowania oprogramowania przeznaczonego do użycia w systemie.... Procedura uaktualnienia oprogramowania.... VI. Procedury serwisowania lub modernizacji oraz wycofywania z użycia elementów systemu teleinformatycznego..... Procedura prowadzenia napraw.... Procedura wycofania z użycia elementów systemu.... Procedura zakończenia eksploatacji systemu i jego wycofania.... VII. Procedury monitorowania i audytu systemu teleinformatycznego.... Procedura wykonywania kopii dziennika zdarzeń.... Procedura prowadzenia audytów wewnętrznych.... Procedura wykonywania analizy dziennika zdarzeń.... Procedura dokumentowania analizy dziennika zdarzeń....

3 Procedury bezpiecznej eksploatacji dla systemu teleinformatycznego Strona 3 z 36 VIII. Procedury zarządzania materiałami kryptograficznymi..... IX. Procedury stosowania ochrony elektromagnetycznej..... Część II Procedury obowiązujące użytkowników systemu NAZWA SYSTEMU. X. Procedury związane bezpieczeństwem dokumentów.... Procedura oznaczania, rejestrowania, obiegu oraz niszczenia dokumentów.... Procedura kontroli dokumentów wytworzonych w systemie.... Procedura wykonywania kopii dokumentów na nośnikach danych.... Procedura deponowania elektronicznych nośników danych.... XI. Procedury awaryjne..... Procedura pobierania zdeponowanego hasła administratora.... Procedura zapewnienia ciągłości działania systemu.... Procedura na wypadek sytuacji specjalnych (włamania, atak terrorystyczny itp.).... Procedura na wypadek pożaru.... Procedura na wypadek zaistnienia zagrożeń środowiskowych.... Procedura odtworzenia działania systemu.... XII. Procedury zarządzania nośnikami..... Procedura deklasyfikacji/niszczenia nośników danych..... Procedura postępowania z nośnikami danych.... XIII. Procedury reagowania na incydenty bezpieczeństwa teleinformatycznego..... Procedura informowania o naruszeniu środków bezpieczeństwa elektronicznego.... Procedura reagowania na incydent komputerowy.... XIV. Procedury szkolenia użytkowników systemu teleinformatycznego..... Procedura szkolenia osób funkcyjnych w Systemie.... Procedura szkolenia użytkowników Systemu..... XV. Procedury wprowadzania danych do systemu i ich wyprowadzania z systemu..... Procedura importowania danych z innych systemów.... Procedura eksportowania danych do innych systemów.... Procedura wykonywania kopii zapasowej danych.... XVI. Podsumowanie..... Załączniki... Załącznik nr 1 Spis inwentaryzacyjny sprzętu.... Załącznik nr 2 Wykaz oprogramowania zainstalowanego w systemie " NAZWA SYSTEMU ".... Załącznik nr 3 Wzór plomby zabezpieczającej.... Załącznik nr 4 Indywidualna Karta Użytkownika systemu NAZWA SYSTEMU.... Załącznik nr 5 - Rejestr użytkowników Systemu.... Załącznik nr 6 wzór Protokołu otwarcia pomieszczenia/szafy.... Załącznik nr 7 Wzór meldunku o wykryciu wirusa... Załącznik nr 8- wzór Rejestru Kontroli systemu.... Załącznik nr 9 - wzór Dziennika Administratora Systemu.... Załącznik nr 10 - wzór Rejestru zgłoszeń użytkowników Systemu.... Załącznik nr 11 - Meldunek o naruszeniu bezpieczeństwa w systemie.... Załącznik nr 12 - Wykaz osób zapoznanych z Procedurami Bezpiecznej Eksploatacji....

4 Procedury bezpiecznej eksploatacji dla systemu teleinformatycznego Strona 4 z 36 Załącznik nr 13 Zakres okresowej kontroli wewnętrznej....

5 Procedury bezpiecznej eksploatacji dla systemu teleinformatycznego Strona 5 z 36 I. WPROWADZENIE Niniejszy dokument stanowi Procedury Bezpiecznej Eksploatacji dla Systemu Teleinformatycznego NAZWA SYSTEMU zwanego dalej Systemem przetwarzającego informacje niejawne w pełna nazwa jednostki organizacyjnej I.1. INFORMACJE OGÓLNE Procedury Bezpieczeństwa zostały opracowane w związku z wymaganiami ustawy o ochronie informacji niejawnych z dnia 5 sierpnia 2010 roku (Dz. U ) oraz rozporządzenia Prezesa Rady Ministrów z dnia 20 lipca 2011r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz. U ). Po zatwierdzeniu przez DBTI ABW dokumentacji bezpieczeństwa systemu teleinformatycznego nie mogą mieć miejsca żadne odstępstwa od postanowień w nich zawartych. Wprowadzenie istotnych zmian bądź poprawek do Procedur Bezpiecznej Eksploatacji wymagają zgody DBTI ABW. Do warunków które mogą determinować konieczność reakredytacji systemu zaliczamy: zmiana klauzuli informacji wprowadzanej, przechowywanej lub przetwarzanej w Systemie; zmiana zagrożeń Systemu; wykrycie nowych słabych miejsc Systemu mających istotny wpływ na jego bezpieczeństwo; zmiana wymagań bezpieczeństwa będąca następstwem zmian dokumentów normatywnych stanowiących o wymaganiach na bezpieczeństwo Systemu; zmiany wprowadzone w oprogramowaniu systemowym lub oprogramowaniu mającym związek z bezpieczeństwem systemu; zmiany klasy bezpieczeństwa zastosowanych urządzeń lub oprogramowania realizującego funkcje zabezpieczeń; zmiany w konfiguracji sprzętowej Systemu mające wpływ na bezpieczeństwo; naruszenie bezpieczeństwa lub integralności Systemu; wynik kontroli przeprowadzonej przez ABW. Wszelkie zmiany w systemie powinny być poprzedzone przeprowadzeniem ponownej analizy ryzyka ujawnienia lub utraty informacji niejawnych przetwarzanych w systemie NAZWA SYSTEMU mającej na celu ustalenie czy ryzyko pozostaje na akceptowalnym poziomie. Zmiany muszą być również udokumentowane w formie aneksów przedstawionych do oceny DBTI ABW. W przypadku istotnych zmian w systemie należy sporządzić kolejną wersję dokumentacji. Niniejsze Procedury Bezpiecznej Eksploatacji są obowiązujące i mają zastosowanie do wszystkich użytkowników Systemu. I.2. KLAUZULA TAJNOŚCI SYSTEMU TI System NAZWA SYSTEMU jest systemem pozwalającym na wytwarzanie, przetwarzanie oraz przechowywanie informacji niejawnych do klauzuli Poufne włącznie. I.3. DOPUSZCZENIE SYSTEMU TI Organem akredytującym System jest Departament Bezpieczeństwa Teleinformatycznego Agencji Bezpieczeństwa Wewnętrznego (DBTI ABW).

6 Procedury bezpiecznej eksploatacji dla systemu teleinformatycznego Strona 6 z 36 Zatwierdzenie SWB i PBE przez DBTI ABW oznacza, iż zostały spełnione wymagania bezpieczeństwa w celu zapewnienia ochrony informacji niejawnych wytwarzanych, przetwarzanych oraz przechowywanych w tym Systemie. I.4. OPIS SYSTEMU TI System " NAZWA SYSTEMU " wykorzystywany jest do wytwarzania, przetwarzania oraz przechowywania dokumentów związanych z działalnością pełna nazwa jednostki organizacyjnej, tzn. do wytwarzania, przetwarzania oraz przechowywania pism, korespondencji, sprawozdań, itp. Wszystkie wyżej wymienione czynności wynikają z obowiązków nałożonych na gestora systemu art. 41 ustawy z dnia 12 czerwca 2003 roku Prawo Pocztowe (Dz. U. z 2008 r. Nr 189, poz z późniejszymi zmianami), na podstawie którego operatorzy pocztowi są obowiązani do wykonywania zadań na rzecz obronności, bezpieczeństwa państwa lub bezpieczeństwa i porządku publicznego. System NAZWA SYSTEMU będzie służył wymianie korespondencji pomiędzy pełna nazwa jednostki organizacyjnej, a uprawnionymi służbami wynikającej z art. 41 ustawy z dnia 12 czerwca 2003 roku Prawo Pocztowe (Dz. U z późniejszymi zmianami) w związku z art 27, 28 i 34 ustawy z dnia 24 maja 2002 roku o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu (Dz. U z późniejszymi zmianami). System teleinformatyczny NAZWA SYSTEMU stanowi autonomiczne stanowisko komputerowe przeznaczone do wspomagania działalności pełna nazwa jednostki organizacyjnej Dane wejściowe wprowadzane są do systemu poprzez: klawiaturę; nośniki danych elektronicznych (płyta CD R i RW, płyta DVD R i RW). Dane wyjściowe wyprowadzane są z systemu w postaci: wyników na ekranie monitora; wydruków na papierze; elektronicznych danych na nośnikach (płyta CD R i RW, płyta DVD R i RW). System teleinformatyczny nie służy do wymiany informacji niejawnych w trybie on-line. Wymiana informacji pomiędzy Systemem, a innymi systemami teleinformatycznymi możliwa jest tylko przez nośniki wykorzystywane przez zainstalowany napęd optyczny (płyty CD i DVD). System teleinformatyczny pracuje w dedykowanym trybie bezpieczeństwa pracy. Wszyscy użytkownicy systemu NAZWA SYSTEMU posiadają poświadczenie bezpieczeństwa upoważniające do dostępu do informacji niejawnych o klauzuli "Poufne", oraz wszyscy użytkownicy posiadają uzasadnioną potrzebę dostępu do wszystkich informacji niejawnych przetwarzanych w tym Systemie. Spis inwentaryzacyjny sprzętu przedstawia załącznik nr 1. Dokładny wykaz oprogramowania zainstalowanego w Systemie zamieszczony został w załączniku nr 2. I.5. OBOWIĄZUJĄCE AKTY PRAWNE. Dokumentacja bezpieczeństwa systemu teleinformatycznego, w której skład wchodzi między innymi niniejszy dokument szczególnych wymagań bezpieczeństwa została opracowana zgodnie z przepisami zawartymi w: ustawie z dnia 5 sierpnia 2010r. o ochronie informacji niejawnych (Dz. U. z 2010 r. Nr 182, poz. 1228);

7 Procedury bezpiecznej eksploatacji dla systemu teleinformatycznego Strona 7 z 36 rozporządzeniu Prezesa Rady Ministrów z dnia 28 grudnia 2010 r. w sprawie wzorów zaświadczeń stwierdzających odbycie szkolenia w zakresie ochrony informacji niejawnych oraz sposobu rozliczania kosztów przeprowadzenia szkolenia przez Agencję Bezpieczeństwa Wewnętrznego lub Służbę Kontrwywiadu Wojskowego (Dz. U. z 2010 r. Nr 258, poz. 1751); rozporządzeniu Prezesa Rady Ministrów z dnia 28 grudnia 2010 r. w sprawie wzorów poświadczeń bezpieczeństwa (Dz. U. z 2010 r. Nr 258, poz.1752); rozporządzeniu Prezesa Rady Ministrów z dnia 28 grudnia 2010 r. w sprawie wzoru decyzji o odmowie wydania poświadczenia bezpieczeństwa (Dz. U. z 2010 r. Nr 258, poz. 1753); rozporządzeniu Prezesa Rady Ministrów z dnia 28 grudnia 2010 r. w sprawie wzoru decyzji o cofnięciu poświadczenia bezpieczeństwa (Dz. U. z 2010 r. Nr 258, poz. 1754); rozporządzeniu Prezesa Rady Ministrów z dnia 27 kwietnia 2011 r. w sprawie przygotowania i przeprowadzania kontroli stanu zabezpieczenia informacji niejawnych (Dz. U. z 2011 r. Nr 93, poz. 514); rozporządzeniu Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie wzoru świadectwa akredytacji bezpieczeństwa systemu teleinformatycznego (Dz. U. z 2011 r. Nr156, poz. 926); rozporządzeniu Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz. U. z 2011 r. Nr 159, poz. 948); rozporządzeniu Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie opłat za przeprowadzenie przez Agencję Bezpieczeństwa Wewnętrznego albo Służbę Kontrwywiadu Wojskowego czynności z zakresu bezpieczeństwa teleinformatycznego (Dz. U. z 2011 r. Nr 159, poz. 949); rozporządzeniu Prezesa Rady Ministrów z dnia 7 grudnia 2011 r. w sprawie nadawania, przyjmowania, przewożenia, wydawania i ochrony materiałów zawierających informacje niejawne (Dz. U. z 2011 r. Nr 271, poz. 1603); rozporządzeniu Rady Ministrów z dnia 7 grudnia 2011 r. w sprawie organizacji i funkcjonowania kancelarii tajnych oraz sposobu i trybu przetwarzania informacji niejawnych (Dz. U. z 2011 r. Nr 276, poz. 1631); rozporządzeniu Prezesa Rady Ministrów z dnia 22 grudnia 2011 r. w sprawie sposobu oznaczania materiałów i umieszczania na nich klauzul tajności (Dz. U. z 2011r. Nr 288, poz. 1692); rozporządzeniu Rady Ministrów z dnia 29 maja 2012 r. w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczenia informacji niejawnych (Dz. U. z 2012 r., poz. 683); dokumencie Szczegółowe zalecenia dotyczące analizy oraz zarządzania ryzykiem w systemach teleinformatycznych, Wersja 2.0; dokumencie Zalecenia dotyczące bezpieczeństwa teleinformatycznego, Wersja 2.2.; dokumencie Zalecenia dotyczące ochrony elektromagnetycznej systemów teleinformatycznych, Wersja 4.4; dokumencie Zalecenia dotyczące ustawienia zabezpieczeń systemu Windows 7 dla systemów teleinformatycznych przetwarzających informacje niejawne. Wersja 1.1; dokumencie Zalecenia dotyczące opracowania dokumentu Szczególnych Wymagań Bezpieczeństwa dla systemu teleinformatycznego. Wersja 2.1.