Służba Kontrwywiadu Wojskowego

Akredytacja bezpieczeństwa teleinformatycznego

Proces akredytacji bezpieczeństwa teleinformatycznego (ABT) realizowany jest na wniosek Kierownika jednostki organizującej system (KJO), skierowany bezpośrednio do Dyrektora Zarządu VI SKW. Za dzień wszczęcia procesu ABT uważa się datę wpłynięcia do SKW wniosku o ABT na formularzu WA‑01 (Załącznik poniżej) wraz z dokumentacją bezpieczeństwa. Dokumentacja bezpieczeństwa musi być kompletna pod względem wymaganych podpisów zarówno w dokumentacji papierowej jak i elektronicznej kopii autoryzowanej przez KJO

Dokumentacja bezpieczeństwa na potrzeby realizowanego procesu akredytacji wykonywana jest w egzemplarzu pojedynczym. Dodatkowo Wnioskodawca zobowiązany jest dołączyć elektroniczną kopię dokumentów, wykonaną w formacie pdf zabezpieczonym przed zapisem.

Ocena bezpieczeństwa systemu obejmuje:

  • ocenę spełnienia przez dokumentację bezpieczeństwa wymagań formalnych dotyczących zawartości i prezentacji,ocenę kompletności, wewnętrznej spójności i zgodności zapisów dokumentacji bezpieczeństwa z wymaganiami,
  • analizę poziomu bezpieczeństwa informacji niejawnych przetwarzanych w systemie.

W ramach procesów akredytacyjnych realizowanych przez SKW, jako nadrzędną przyjmuje się zasadę oceny dowodów dostarczanych przez Organizatorów systemów (Wnioskodawców), np. zapisy dokumentacji bezpieczeństwa systemu, wyniki audytu bezpieczeństwa teleinformatycznego, wyniki przeprowadzonych testów bezpieczeństwa/podatnościowych, jak również uznawania wyników ekspertyz/badań/ocen wykonywanych przez inne specjalistyczne komórki/instytucje resortu obrony narodowej, bądź SKW.

Jeżeli w wyniku przeprowadzonej oceny bezpieczeństwa systemu stwierdzone zostaną:

  • niezgodności powodujące konieczność odmowy udzielenia akredytacji (w tym te mające negatywny wpływ na bezpieczeństwo systemu),
  • zapisy uniemożliwiające dokonanie jednoznacznej oceny bezpieczeństwa systemu, stosowne zastrzeżenia przesyłane są w formie pisemnej wraz z przesłanym egzemplarzem dokumentacji bezpieczeństwa (kopia elektroniczna pozostaje w dyspozycji Zarządu VI) do Wnioskodawcy, przy czym dopuszcza się dodatkowo możliwość wyjaśnienia (w trybie roboczym) stanowiska SKW w zakresie bezpieczeństwa systemu teleinformatycznego, wskazanej we wniosku osobie kontaktowej.

Brak ustosunkowania się Wnioskodawcy do stwierdzonych przez SKW niezgodności, w przypadku o którym mowa powyżej, w terminie 6 miesięcy od odesłania dokumentacji bezpieczeństwa, skutkuje odmową wydania akredytacji bezpieczeństwa dla systemu. O  wydaniu odmowy akredytacji pisemnie informuje się Wnioskodawcę. Dokumentacja bezpieczeństwa wraz z nośnikiem zawierającym elektroniczną kopię dokumentu jest odsyłana za pismem do Wnioskodawcy.

W przypadku braku niezgodności mających wpływ na bezpieczeństwo systemu, dokumentacja bezpieczeństwa jest zatwierdzana przez Dyrektora Zarząd VI SKW lub przez właściwego Zastępcę, po czym zatwierdzony pojedynczy egzemplarz dokumentacji bezpieczeństwa odsyłany jest za pismem do Wnioskodawcy, wraz z nośnikiem zawierającym elektroniczną kopię dokumentu. W Zarządzie VI SKW pozostaje zarchiwizowana elektroniczna wersja dokumentacji bezpieczeństwa.

W przypadku systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych o klauzuli „ZASTRZEŻONE” Kierownik jednostki organizacyjnej (KJO) udziela akredytacji bezpieczeństwa teleinformatycznego poprzez zatwierdzenie dokumentacji bezpieczeństwa.

W ciągu 30 dni od udzielenia akredytacji bezpieczeństwa teleinformatycznego, KJO przekazuje do SKW dokumentacje bezpieczeństwa systemu teleinformatycznego.
KJO przesyła dokumentację bezpieczeństwa wykonaną w egzemplarzu pojedynczym wraz z dołączoną elektroniczną wersja (pierwsza strona dokumentu powinna zawierać w polu „ZATWIERDZAM” podpis KJO oraz informacje o okresie na który udzielona została akredytacja). Dodatkowo wraz z dokumentacją bezpieczeństwa należy przesłać formularz zgłoszenia udzielonej akredytacji bezpieczeństwa systemu teleinformatycznego – ZA-01 (Załącznik poniżej).

W ciągu 30 dni od otrzymania dokumentacji bezpieczeństwa SKW może przedstawić KJO zalecenia dotyczące konieczności przeprowadzenia dodatkowych czynności związanych z bezpieczeństwem informacji niejawnych. Wówczas KJO w terminie 30 dni od otrzymania zalecenia informuje SKW o realizacji zaleceń.

W szczególnie uzasadnionych przypadkach SKW może nakazać wstrzymanie przetwarzania informacji niejawnych w systemie teleinformatycznym posiadającym akredytację bezpieczeństwa teleinformatycznego.

W każdym z ww. przypadków dokumentacja bezpieczeństwa wraz z nośnikiem zawierającym elektroniczną kopię dokumentu jest odsyłana za pismem do KJO. W Zarządzie VI SKW zostaje zarchiwizowana elektroniczna wersja dokumentacji bezpieczeństwa.

Załączniki do strony

pdf doc WA-01

„Integralną częścią wniosku WA-01 jest płyta CD-R z zamkniętą sesją  zawierająca: wersję elektroniczną pdf (podpisaną przez KJO i zeskanowaną), wersję docx dokumentacji bezpieczeństwa, szablony zabezpieczeń systemowych zgodne z MS SCM (GPO Backup), pliki konfiguracyjne urządzeń sieciowych, dokumenty odniesienia i inne wg występowania”.

pdf doc ZA-01 „Integralną częścią wniosku ZA-01 jest płyta CD-R z zamkniętą sesją zawierająca: wersję elektroniczną pdf (zatwierdzoną przez KJO i zeskanowaną), wersję docx dokumentacji bezpieczeństwa, szablony zabezpieczeń systemowych zgodne z MS SCM, pliki konfiguracyjne urządzeń, dokumenty odniesienia i inne wg występowania”.

W celu wypełnienia wymagań określonych §18 ust. 3 pkt 3 rozporządzenia Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz. U. 2011 Nr 159, poz. 948) KJO przesyła do SKW do uzgodnienia plan akredytacji (Załącznik poniżej)

 

Metadane

Data publikacji : 14.10.2015
Data modyfikacji : 27.06.2022
Podmiot udostępniający informację:
Służba Kontrwywiadu Wojskowego
Osoba wytwarzająca/odpowiadająca za informację:
Administrator SKW
Osoba udostępniająca informację:
Administrator SKW
Osoba modyfikująca informację:
Administrator SKW

Opcje strony

do góry