Dokumentacja SWB i PBE

Przygotujemy dla ciebie dokumentację bezpieczeństwa (SWB i PBE) systemu teleinformatycznego przetwarzającego informacje niejawne.

  • Profesjonalna dokumentacja SWB i PBE
  • Gwarantujemy 100% skuteczność
  • Tanio i solidnie
  • Czas przygotowania dokumentacji to tylko 1 miesiąc

Firma F-tec zajmuje się w sposób profesjonalny przygotowywaniem dokumentów SWB i PBE na potrzeby akredytacji bezpieczeństwa systemu teleinformatycznego.

Każdy system teleinformatyczny, w którym przetwarzane są informacje niejawne musi posiadać dokumentację bezpieczeństwa, czyli dokumenty:

  • szczególne wymagania bezpieczeństwa
  • procedury bezpiecznej eksploatacji

w skrócie SWB i PBE.

Dokumentacja bezpieczeństwa (dokumenty SWB i PBE) stanowi element procesu akredytacji. Na podstawie dokumentacji bezpieczeństwa i audytu bezpieczeństwa systemu teleinformatycznego udziela się akredytacji. Bez dokumentów SWB i PBE nie ma możliwości uzyskania akredytacji bezpieczeństwa systemu TI. Dokumenty te podlegają ocenie i zatwierdzeniu przez ABW albo SKW.

Opis dokumentu SWB

Dokument SWB, czyli szczególne wymagania bezpieczeństwa, jest systematycznym opisem sposobu zarządzania bezpieczeństwem systemu teleinformatycznego. Prościej, SWB jest to dokument opisujący system teleinformatyczny, a także zastosowane środki ochrony.

Podstawa prawna: art. 2 pkt 7 Ustawy o ochronie informacji niejawnych

Zawartość dokumentu SWB

Dokument SWB powinien zawierać:

  • klauzule tajności informacji niejawnych
  • grupy użytkowników i ich uprawnienia w systemie TI
  • tryb bezpieczeństwa pracy
  • przeznaczenie systemu TI
  • funkcjonalność systemu TI
  • wymagania eksploatacyjne odnoszące się do wymiany informacji
  • lokalizację systemu TI

Opis procesu zarządzania ryzykiem:

  • opis metodyki szacowania ryzyka
  • raport z procesu szacowania ryzyka
  • informacje o ryzyka szczątkowych
  • deklarację akceptacji ryzyk szczątkowych

Ponadto dokument SWB powinien zawierać:

  • opis zastosowanych zabezpieczeń
  • informacje o poświadczeniach bezpieczeństwa
  • informacje o innych formalnych uprawnieniach do dostępu do IN
  • opis bezpieczeństwa fizycznego
  • środki ochrony fizycznej
  • granice i lokalizacje stref ochronnych
  • informacje o zastosowanych urządzeniach i narzędziach kryptograficznych
  • opis procesu ciągłości działania
    • tworzenie kopii zapasowej
    • odzyskiwanie systemu
    • zasilanie awaryjne
    • alternatywne łącza i urządzenia
  • konfiguracja systemu TI
  • konserwacja systemu TI
  • przeglądy systemu TI
  • serwis systemu
  • środki ochrony przed incydentami bezpieczeństwa
  • zastosowany antywirus
  • wprowadzanie poprawek i uaktualnień w systemie TI
  • informacje o ochronie nośników
    • oznaczanie
    • dostęp
    • transport
    • obniżanie klauzuli tajności
    • niszczenie nośników
  • opis identyfikacji i uwierzytelnienia użytkowników
  • opis identyfikacji i uwierzytelnienia urządzeń
  • opis środków kontroli dostępu
  • informacje o audycie wewnętrznym
  • opis zarządzania ryzykiem
  • informacje o zmianach w systemie TI
    • aktualizacja dokumentacji bezpieczeństwa
    • warunki ponownej akredytacji
  • informacje o wycofaniu systemu z eksploatacji

Podstawa prawna: § 25 ust. 2 i 3 Rozporządzenia w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego

Opis dokumentu PBE

Dokument PBE, czyli procedury bezpiecznej eksploatacji, jest opisem sposobu i trybu postępowania w sprawach związanych z bezpieczeństwem informacji niejawnych przetwarzanych w systemie teleinformatycznym oraz zakresem odpowiedzialności użytkowników systemu teleinformatycznego i pracowników mających do niego dostęp. Mówiąc prościej PBE to zbiór procedur skierowanych do użytkowników, administratorów, inspektorów.

Podstawa prawna: art. 2 pkt 8 Ustawy o ochronie informacji niejawnych

Zawartość dokumentu PBE

Dokument PBE powinien zawierać zbiór procedur odnoszących się do następujących zagadnień:

  • administrowanie systemem TI
  • administrowanie środkami ochrony
  • bezpieczeństwo urządzeń
  • bezpieczeństwo oprogramowania
  • zarządzanie konfiguracją sprzętową
  • zarządzanie konfiguracją programową
  • zasady serwisowania
  • zasady modernizowania
  • zasady wycofania elementów systemu
  • plany awaryjne
  • monitorowanie systemu TI
  • audyt systemu TI
  • zarządzanie nośnikami
  • zarządzanie materiałami kryptograficznymi
  • ochrona elektromagnetyczna
  • incydenty bezpieczeństwa teleinformatycznego
  • szkolenia użytkowników
  • wprowadzanie i wyprowadzanie danych

Podstawa prawna: § 26 ust. 2 Rozporządzenia w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego

 

Jeżeli są państwo zainteresowani ofertą to proszę o kontakt pod numerem telefonu: 730 131 722

lub poprzez poniższy formularz: