Dz.Urz.MON.2012.8
DECYZJA Nr 7/MON
MINISTRA OBRONY NARODOWEJ
z dnia 20 stycznia 2012 r.
w sprawie organizacji ochrony systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych w resorcie obrony narodowej
Na podstawie § 2 pkt 6 i 14 rozporządzenia Rady
Ministrów z dnia 9 lipca 1996 r. w sprawie szczegółowego zakresu
działania Ministra Obrony Narodowej (Dz. U. Nr 94, poz. 426), w celu
właściwej organizacji ochrony systemów teleinformatycznych
przeznaczonych do przetwarzania informacji niejawnych w resorcie obrony
narodowej ustala się, co następuje:
Rozdział 1
Postanowienia ogólne
1. Użyte w decyzji określenia oznaczają:
1) administrator systemu – administratora systemu teleinformatycznego w
rozumieniu przepisu art. 52 ust. 1 pkt 2 ustawy z dnia 5 sierpnia 2010
r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228), zwanej
dalej „ustawą”;
2) jednostka organizacyjna – Ministerstwo Obrony Narodowej, jednostkę
organizacyjną podległą Ministrowi Obrony Narodowej lub przez niego
nadzorowaną;
3) komórka organizacyjna – komórkę organizacyjną Ministerstwa Obrony
Narodowej w rozumieniu statutu Ministerstwa Obrony Narodowej
stanowiącego załącznik do zarządzenia Nr 160 Prezesa Rady Ministrów z
dnia 24 października 2006 r. w sprawie nadania statutu Ministerstwu
Obrony Narodowej (M. P. Nr 76, poz. 768, z późn. zm.1));
4) kierownik jednostki (komórki) organizacyjnej – dowódcę, szefa,
dyrektora, komendanta lub inną osobę kierującą działalnością jednostki
(komórki) organizacyjnej, w tym osobę czasowo pełniącą obowiązki;
5) lokalny system teleinformatyczny – system teleinformatyczny
funkcjonujący w jednej jednostce organizacyjnej;
6) oficer
bezpieczeństwa systemów łączności i informatyki – funkcję sprawowaną w
celu nadzoru nad bezpieczeństwem materiałów kryptograficznych;
7) ogólnosystemowa
dokumentacja bezpieczeństwa – dokumentację bezpieczeństwa rozległego
systemu teleinformatycznego;
8) organizator
systemu – kierownika jednostki organizacyjnej organizującej system
teleinformatyczny lub upoważnionego przez niego kierownika komórki
organizacyjnej;
9) pełnomocnik
ochrony – pełnomocnika kierownika jednostki organizacyjnej do spraw
ochrony informacji niejawnych w rozumieniu przepisu art. 14 ust. 2
ustawy;
10) rozległy system teleinformatyczny –
system teleinformatyczny funkcjonujący w więcej niż jednej jednostce
organizacyjnej.
Rozdział 2
Organizacja bezpieczeństwa teleinformatycznego
2. Zadania w zakresie bezpieczeństwa teleinformatycznego realizują:
1) w jednostce organizacyjnej:
a) kierownik jednostki organizacyjnej,
b) kierownik komórki organizacyjnej,
c) pełnomocnik ochrony,
d) inspektor bezpieczeństwa teleinformatycznego,
e) administrator systemu,
f) oficer bezpieczeństwa systemów łączności i informatyki;
2) Pełnomocnik Ministra Obrony Narodowej do Spraw Ochrony Informacji
Niejawnych Dyrektor Departamentu Ochrony Informacji Niejawnych, zwany
dalej „Pełnomocnikiem Ministra”;
3) Komendant Resortowego Centrum Zarządzania Bezpieczeństwem Sieci i
Usług Teleinformatycznych;
4) Służba Kontrwywiadu Wojskowego.
3. Szczegółowy wykaz zadań w zakresie bezpieczeństwa teleinformatycznego
dla osób funkcyjnych i instytucji wymienionych w pkt 2 zawiera załącznik
Nr 1 do decyzji.
4. Sposób powoływania oraz kwalifikacje wymagane do pełnienia funkcji
inspektora bezpieczeństwa teleinformatycznego i administratora systemu
określa załącznik Nr 2 do decyzji.
Rozdział 3
Dokumentacja bezpieczeństwa teleinformatycznego
5. Dla systemów teleinformatycznych, w których mają być przetwarzane
informacje niejawne, opracowuje się dokumentację bezpieczeństwa
teleinformatycznego składającą się ze szczególnych wymagań
bezpieczeństwa i procedur bezpiecznej eksploatacji.
6. Dokument szczególnych wymagań bezpieczeństwa systemu
teleinformatycznego powinien zawierać w szczególności wyniki procesu
szacowania ryzyka dla bezpieczeństwa przetwarzanych w systemie
teleinformatycznym informacji niejawnych oraz określać przyjęte w ramach
zarządzania ryzykiem sposoby osiągania i utrzymywania odpowiedniego
poziomu bezpieczeństwa systemu, a w przypadku systemów, w których
przewiduje się wykorzystanie urządzeń lub narzędzi kryptograficznych,
dodatkowo ich zabezpieczenie w dokumenty kryptograficzne.
7. Przebieg i wyniki procesu szacowania ryzyka mogą zostać przedstawione
w odrębnym dokumencie niż dokument szczególnych wymagań bezpieczeństwa.
8. Za opracowanie dokumentacji bezpieczeństwa systemu
teleinformatycznego i za przesłanie jej do podmiotu udzielającego
akredytacji odpowiada organizator systemu.
9. Dokumentację bezpieczeństwa wykonuje się, z zastrzeżeniem pkt 10, w
dwóch egzemplarzach, po jednym dla administratora systemu
teleinformatycznego i podmiotu udzielającego akredytacji, chyba że
podmiot udzielający akredytacji postanowi inaczej.
10. W przypadku systemów teleinformatycznych, dla których organizatorami
są kierownicy komórek organizacyjnych, wykonywany jest dodatkowy
egzemplarz dokumentacji bezpieczeństwa z przeznaczeniem dla Pełnomocnika
Ministra.
11. W przypadku rozległych systemów teleinformatycznych opracowuje się
ogólnosystemową dokumentację bezpieczeństwa teleinformatycznego i
wynikające z niej załączniki dla poszczególnych lokalizacji lub usług
uruchamianych w ramach tego systemu.
12. W ogólnosystemowej dokumentacji bezpieczeństwa organizator systemu
teleinformatycznego opisuje minimalne wymagania bezpieczeństwa, w tym
szczegółowe warunki i zasady dołączania nowych lokalizacji oraz
uruchamiania nowych usług, a także określa niezbędne do wyznaczenia w
poszczególnych lokalizacjach osoby funkcyjne i zakres ich zadań.
13. Kierownicy jednostek (komórek) organizacyjnych odpowiedzialni za
poszczególne lokalizacje lub wdrażane usługi w rozległym systemie
teleinformatycznym odpowiadają za opracowanie załączników wymienionych w
pkt 11 i udostępniają organizatorowi systemu niezbędne informacje
pozwalające na przeprowadzenie procesu szacowania ryzyka dla systemu,
chyba że dokumentacja ogólnosystemowa stanowi inaczej.
14. Zmiany w dokumentacji bezpieczeństwa mogą być wprowadzane aneksami.
15. Za akceptację wyników procesu szacowania ryzyka dla bezpieczeństwa
informacji niejawnych i za właściwą organizację bezpieczeństwa
teleinformatycznego odpowiada, z zastrzeżeniem pkt 16, organizator
systemu.
16. Dla organizowanych w komórkach organizacyjnych systemów
teleinformatycznych przeznaczonych do przetwarzania informacji
niejawnych:
1) dokumentacja bezpieczeństwa przesyłana jest do organu udzielającego
akredytacji przez Pełnomocnika Ministra;
2) wyniki szacowania ryzyka dla informacji niejawnych akceptuje
Pełnomocnik Ministra.
17. Przed przedłożeniem do akredytacji, dokumentacja bezpieczeństwa
systemu podlega
uzgodnieniu z:
1) właściwym oficerem bezpieczeństwa systemów łączności i informatyki, w
przypadku stosowania urządzeń lub narzędzi kryptograficznych, w zakresie
ich doboru i sposobu użycia oraz zabezpieczenia w dokumenty
kryptograficzne;
2) Resortowym Centrum Zarządzania Bezpieczeństwem Sieci i Usług
Teleinformatycznych pod względem doboru oraz stosowania urządzeń lub
narzędzi kryptograficznych stosowanych w rozległych systemach
teleinformatycznych;
3) właściwym pełnomocnikiem ochrony – w zakresie poprawności
przeprowadzenia szacowania ryzyka dla informacji niejawnych oraz
zgodności zapisów dokumentacji z przepisami i procedurami z zakresu
ochrony informacji niejawnych;
4) innym kierownikiem jednostki organizacyjnej – w razie potrzeby.
Rozdział 4
Akredytacja systemów teleinformatycznych
18. Akredytacji bezpieczeństwa teleinformatycznego dla systemów
teleinformatycznych przeznaczonych do przetwarzania informacji
niejawnych o klauzuli „poufne” lub wyższej i systemów
teleinformatycznych przeznaczonych do przetwarzania informacji
niejawnych międzynarodowych udziela Służba Kontrwywiadu Wojskowego.
19. Akredytacji bezpieczeństwa teleinformatycznego dla systemów
teleinformatycznych przeznaczonych do przetwarzania informacji
niejawnych o klauzuli „zastrzeżone” udziela organizator systemu.
20. W przypadku systemów teleinformatycznych przeznaczonych do
przetwarzania informacji niejawnych oznaczonych klauzulą „zastrzeżone”,
w których zakłada się przetwarzanie informacji niejawnych
międzynarodowych, warunkiem dopuszczenia do ich przetwarzania jest
wcześniejsze udzielenie przez organizatora systemu akredytacji
bezpieczeństwa w trybie art. 48 ust. 9 lub 10 ustawy. Rozpoczęcie
przetwarzania informacji niejawnych możliwe jest:
1) w odniesieniu do informacji oznaczonych klauzulą „zastrzeżone” – po
zatwierdzeniu przez organizatora systemu stosownej dokumentacji
bezpieczeństwa;
2) w odniesieniu do informacji niejawnych międzynarodowych – po
otrzymaniu pisemnego potwierdzenia dopuszczenia przez Służbę
Kontrwywiadu Wojskowego możliwości przetwarzania w danym systemie
informacji niejawnych międzynarodowych, stanowiącego potwierdzenie
spełnienia przez system wymagań wynikających z regulacji lub umów
międzynarodowych.
Rozdział 5
Uruchamianie i wycofywanie systemów teleinformatycznych z eksploatacji
21. Informacje o uruchomieniu i wycofaniu z eksploatacji systemu
teleinformatycznego umieszcza się w decyzji lub rozkazie właściwego
kierownika jednostki (komórki) organizacyjnej.
22. O wyłączeniu z eksploatacji systemu teleinformatycznego organizator
systemu powiadamia Służbę Kontrwywiadu Wojskowego.
23. W przypadku wyłączenia z eksploatacji systemu przeznaczonego do
przetwarzania informacji niejawnych o klauzuli „poufne” lub wyższej,
organizator systemu dodatkowo zwraca do organu, który udzielił
akredytacji, świadectwo akredytacji bezpieczeństwa systemu
teleinformatycznego.
24. W przypadku systemów organizowanych w komórkach organizacyjnych,
informacja, o której mowa w pkt 22, przesyłana jest przez Pełnomocnika
Ministra.
Rozdział 6
Postanowienia końcowe
25. W decyzji Nr 122/MON Ministra Obrony Narodowej z dnia 18 marca
2008 r. w sprawie powoływania w resorcie obrony narodowej pełnomocników
i zastępców pełnomocników do spraw ochrony informacji niejawnych,
administratorów systemów oraz inspektorów bezpieczeństwa
teleinformatycznego (Dz. Urz. MON Nr 6, poz. 61) uchyla się pkt 12-29.
26. Traci moc decyzja Nr 24/MON Ministra Obrony Narodowej z dnia 31
stycznia 2006 r. w sprawie organizacji szczególnej ochrony systemów i
sieci teleinformatycznych w resorcie obrony narodowej (Dz. Urz. MON Nr
2, poz. 19 oraz z 2007 r. Nr 23, poz. 241).
27. W przypadku systemów teleinformatycznych, które uzyskały akredytację
przed wejściem w życie niniejszej decyzji, nie wymagane jest formalne
upoważnienie wynikające z zapisów definicji zawartej w pkt 1 ppkt 8.
28. Decyzja wchodzi w życie po upływie 14 dni od dnia ogłoszenia.
-------------------------------------
1) Zmiany wymienionego zarządzenia zostały ogłoszone w M. P. z 2007 r.
Nr 57, poz. 647 i Nr 97, poz. 1073, z 2008 r. Nr 68, poz. 611 oraz z
2010 r. Nr 99, poz. 1168.
ZAŁĄCZNIKI
Załącznik Nr 1
Szczegółowy wykaz zadań w zakresie bezpieczeństwa teleinformatycznego
1. Kierownik jednostki organizacyjnej odpowiada za organizację,
eksploatację i bezpieczeństwo systemów teleinformatycznych
funkcjonujących w jednostce organizacyjnej, w szczególności za:
1) nadzór nad opracowaniem dokumentacji bezpieczeństwa dla
organizowanych przez siebie systemów teleinformatycznych;
2) akceptację wyników procesu szacowania ryzyka dla bezpieczeństwa
informacji niejawnych przetwarzanych w organizowanych przez siebie
systemach teleinformatycznych;
3) udzielanie akredytacji bezpieczeństwa teleinformatycznego dla
organizowanych przez siebie systemów teleinformatycznych przeznaczonych
do przetwarzania informacji niejawnych o klauzuli „zastrzeżone”;
4) wyznaczanie, zgodnie z art. 52 ustawy z dnia 5 sierpnia 2010 r. o
ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228), zwanej dalej
„ustawą”, osób funkcyjnych dla organizowanych przez siebie systemów
teleinformatycznych;
5) wyznaczanie osób funkcyjnych przewidzianych w dokumentacji
bezpieczeństwa dla eksploatowanych w jednostce organizacyjnej systemów
teleinformatycznych;
6) występowanie do Służby Kontrwywiadu Wojskowego z wnioskami o:
a) weryfikację w trybie art. 48 ust. 11 i 12 ustawy poprawności
akredytacji bezpieczeństwa teleinformatycznego udzielonej dla systemów
teleinformatycznych przetwarzających informacje niejawne oznaczone
klauzulą „zastrzeżone”,
b) udzielenie akredytacji bezpieczeństwa teleinformatycznego dla
organizowanych przez siebie systemów teleinformatycznych przeznaczonych
do przetwarzania informacji niejawnych o klauzuli „poufne” lub wyższej,
c) udzielenie akredytacji bezpieczeństwa teleinformatycznego dla
organizowanych przez siebie systemów teleinformatycznych przeznaczonych
do przetwarzania informacji niejawnych międzynarodowych,
d) określenie poziomu zabezpieczenia miejsca, technicznego poziomu
zabezpieczenia urządzenia lub klasy urządzenia,
e) przeprowadzenie certyfikacji środków ochrony elektromagnetycznej
przeznaczonych do ochrony informacji niejawnych o klauzuli „poufne” lub
wyższej,
f) dopuszczenie do stosowania w organizowanym przez siebie systemie
przeznaczonym do przetwarzania informacji niejawnych o klauzuli
„zastrzeżone”, urządzeń lub narzędzi kryptograficznych w trybie art. 50
ust. 7 ustawy.
2. Kierownik komórki organizacyjnej odpowiada za eksploatację i
bezpieczeństwo systemów teleinformatycznych funkcjonujących w komórce
organizacyjnej, w szczególności za wyznaczanie osób funkcyjnych
przewidzianych w dokumentacji bezpieczeństwa dla tych systemów. Ponadto
w przypadku, kiedy kierownik komórki organizacyjnej został upoważniony
przez kierownika jednostki organizacyjnej do pełnienia funkcji
organizatora systemów teleinformatycznych, dodatkowo odpowiada za ich
organizację, w szczególności za:
1) nadzór nad opracowaniem dokumentacji bezpieczeństwa dla
organizowanych przez siebie systemów teleinformatycznych;
2) występowanie o wyznaczenie, zgodnie z art. 52 ust. 1 pkt 2 ustawy,
osób funkcyjnych dla organizowanych przez siebie systemów
teleinformatycznych;
3) udzielanie akredytacji bezpieczeństwa teleinformatycznego dla
organizowanych przez siebie systemów teleinformatycznych przeznaczonych
do przetwarzania informacji niejawnych o klauzuli „zastrzeżone”;
4) występowanie do Służby Kontrwywiadu Wojskowego przez Pełnomocnika
Ministra Obrony Narodowej do Spraw Ochrony Informacji Niejawnych
Dyrektora Departamentu Ochrony Informacji Niejawnych, zwanego dalej
„Pełnomocnikiem Ministra”, z wnioskami o:
a) weryfikację w trybie art. 48 ust. 11 i 12 ustawy poprawności
akredytacji bezpieczeństwa teleinformatycznego udzielonej dla systemów
teleinformatycznych przetwarzających informacje niejawne oznaczone
klauzulą „zastrzeżone”,
b) udzielenie akredytacji bezpieczeństwa teleinformatycznego dla
organizowanych przez siebie systemów teleinformatycznych przeznaczonych
do przetwarzania informacji niejawnych o klauzuli „poufne” lub wyższej,
c) udzielenie akredytacji bezpieczeństwa teleinformatycznego dla
organizowanych przez siebie systemów teleinformatycznych przeznaczonych
do przetwarzania informacji niejawnych międzynarodowych,
d) określenie poziomu zabezpieczenia miejsca, technicznego poziomu
zabezpieczenia urządzenia lub klasy urządzenia;
e) przeprowadzenie certyfikacji środków ochrony elektromagnetycznej
przeznaczonych do ochrony informacji niejawnych o klauzuli „poufne” lub
wyższej,
f) dopuszczenie do stosowania w organizowanym przez siebie systemie
przeznaczonym do przetwarzania informacji niejawnych o klauzuli
„zastrzeżone”, urządzeń lub narzędzi kryptograficznych w trybie art. 50
ust. 7 ustawy;
5) informowanie Pełnomocnika Ministra o stanie realizacji prac
związanych z opracowywaniem dokumentacji bezpieczeństwa systemów
teleinformatycznych i jej przygotowaniem do wdrożenia;
6) przekazywanie Pełnomocnikowi Ministra informacji o potrzebach w
zakresie wyposażenia w środki ochrony elektromagnetycznej przeznaczone
do przetwarzania informacji niejawnych o klauzuli „poufne” lub wyższej.
3. Pełnomocnik ochrony odpowiada za zapewnienie ochrony systemów
teleinformatycznych funkcjonujących w jednostce organizacyjnej (z
wyłączeniem organizacyjnych, technicznych, programowych i
eksploatacyjnych aspektów ochrony kryptograficznej), w szczególności za:
1) zapewnienie przestrzegania zasad ochrony informacji niejawnych
przetwarzanych w systemach teleinformatycznych, w tym właściwego i
bezpiecznego obiegu dokumentów oraz informatycznych nośników danych;
2) zapewnienie bezpieczeństwa fizycznego obszarów, w których usytuowane
są systemy teleinformatyczne;
3) organizację i prowadzenie szkoleń użytkowników w zakresie
bezpieczeństwa teleinformatycznego;
4) nadzór nad konfiguracją systemów teleinformatycznych i
przemieszczaniem ich elementów składowych;
5) prowadzenie ewidencji systemów teleinformatycznych – ewidencja
systemów może być prowadzona w postaci elektronicznej i powinna zawierać
co najmniej: nazwę systemu, klauzule przetwarzanych w nim informacji,
nazwę komórki, w której uruchomiono system, lokalizację, imię i nazwisko
administratora, datę uruchomienia oraz datę upływu ważności akredytacji;
6) prowadzenie ewidencji środków ochrony elektromagnetycznej – ewidencja
tych środków może być prowadzona w postaci elektronicznej i powinna
zawierać co najmniej: nazwę i numer seryjny środka ochrony
elektromagnetycznej, numer wydanego certyfikatu i Techniczny Poziom
Zabezpieczenia Urządzenia oraz termin ważności wydanego certyfikatu;
7) prowadzenie procesu szacowania ryzyka dla bezpieczeństwa informacji
niejawnych.
Ponadto pełnomocnik ochrony:
1) uczestniczy w opracowywaniu projektów dokumentów regulujących w
danej jednostce
organizacyjnej problematykę ochrony przetwarzanych w systemach
teleinformatycznych
informacji niejawnych, w tym:
a) programów organizacyjno-użytkowych, projektów koncepcyjnych i
technicznych planowanych do budowy systemów teleinformatycznych,
b) dokumentacji bezpieczeństwa systemów teleinformatycznych;
2) uzgadnia dokumentację bezpieczeństwa:
a) organizowanych w danej jednostce organizacyjnej systemów
teleinformatycznych,
b) dla elementów rozległych systemów teleinformatycznych funkcjonujących
w danej jednostce organizacyjnej.
4. Inspektor bezpieczeństwa teleinformatycznego realizuje zadania w
zakresie weryfikacji i
bieżącej kontroli zgodności funkcjonowania eksploatowanego w danej
jednostce organizacyjnej systemu teleinformatycznego z jego dokumentacją
bezpieczeństwa, a w szczególności kontroluje:
1) przestrzeganie zasad ochrony przetwarzanych w systemie
teleinformatycznym informacji niejawnych;
2) poprawność realizacji zadań wykonywanych przez administratora;
3) zgodność konfiguracji systemu teleinformatycznego z dokumentacją
bezpieczeństwa systemu teleinformatycznego;
4) stan środków bezpieczeństwa fizycznego i ochrony elektromagnetycznej;
5) aktualność wykazów osób mających dostęp do systemu
teleinformatycznego, prawidłowość przydzielania kont użytkownikom,
zakres nadanych im uprawnień i prawidłowość zabezpieczeń zastosowanych w
systemie teleinformatycznym;
6) znajomość i przestrzeganie przez użytkowników procedur bezpiecznej
eksploatacji systemu teleinformatycznego.
Ponadto inspektor bezpieczeństwa teleinformatycznego:
1) analizuje rejestry zdarzeń w systemie teleinformatycznym i
prawidłowość ich archiwizowania;
2) informuje pełnomocnika ochrony o wszelkich zdarzeniach związanych lub
mogących mieć wpływ na bezpieczeństwo systemu teleinformatycznego;
3) uczestniczy w opracowywaniu programów organizacyjno-użytkowych,
projektów koncepcyjnych i technicznych planowanych do budowy systemów
teleinformatycznych.
5. Administrator systemu realizuje zadania w zakresie odpowiedzialności
za funkcjonowanie
systemu teleinformatycznego oraz odpowiada za przestrzeganie zasad i
wymagań
bezpieczeństwa przewidzianych dla systemu teleinformatycznego, w
szczególności:
1) opracowuje i uaktualniania dokumentację bezpieczeństwa systemu
teleinformatycznego;
2) przechowuje oryginały zatwierdzonej dokumentacji bezpieczeństwa
teleinformatycznego systemu teleinformatycznego;
3) uczestniczy w procesie szacowania ryzyka;
4) wdraża procedury bezpiecznej eksploatacji;
5) szkoli użytkowników systemu teleinformatycznego z zakresu procedur
bezpiecznej eksploatacji;
6) utrzymuje zgodność konfiguracji i parametrów systemu
teleinformatycznego z dokumentacją bezpieczeństwa systemu;
7) systematycznie kontroluje funkcjonowanie mechanizmów zabezpieczeń i
poprawność działania systemu teleinformatycznego;
8) informuje pełnomocnika ochrony o stwierdzonych naruszeniach
bezpieczeństwa systemu teleinformatycznego;
9) zgłasza do pełnomocnika ochrony potrzeby w zakresie serwisowania i
certyfikacji środków ochrony elektromagnetycznej;
10) analizuje i archiwizuje rejestr zdarzeń w systemie
teleinformatycznym;
11) prowadzi wykaz osób mających dostęp do systemu teleinformatycznego
zawierający co najmniej: imię i nazwisko, nazwę jednostki (komórki)
organizacyjnej, posiadane poświadczenie bezpieczeństwa (jego numer,
klauzulę i datę ważności) oraz przydziela użytkownikom konta, zgodnie z
uprawnieniami nadanymi przez kierownika jednostki (komórki)
organizacyjnej;
12) zapewnia dostęp do systemu teleinformatycznego wyłącznie
użytkowników posiadających wymagane uprawnienia oraz odpowiednie i ważne
poświadczenia bezpieczeństwa.
6. Oficer bezpieczeństwa systemów łączności i informatyki realizuje
zadania w zakresie nadzoru nad bezpieczeństwem kryptograficznym, w
szczególności:
1) nadzoruje przekazywanie urządzeń i narzędzi kryptograficznych poza
jednostkę (komórkę) organizacyjną;
2) prowadzi kontrole urządzeń i narzędzi kryptograficznych stosowanych w
systemach teleinformatycznych;
3) w przypadku stosowania urządzeń lub narzędzi kryptograficznych –
uzgadnia dokumentację bezpieczeństwa systemu teleinformatycznego pod
kątem odpowiedniego doboru tych urządzeń i zabezpieczenia w dokumenty
kryptograficzne.
7. Pełnomocnik Ministra oprócz zadań określonych w pkt 3 jest właściwy w
zakresie:
1) opracowywania projektów aktów normatywnych i projektów wytycznych
normujących zasady ochrony systemów teleinformatycznych w resorcie
obrony narodowej;
2) akceptacji wyników szacowania ryzyka dla systemów
teleinformatycznych, dla których kierownicy komórek organizacyjnych
pełnią funkcję organizatora systemu.
8. Komendant Resortowego Centrum Zarządzania Bezpieczeństwem Sieci i
Usług
Teleinformatycznych (RCZBSiUT) jest właściwy do:
1) opracowywania projektów wytycznych i projektów innych dokumentów
dotyczących:
a) organizacji, funkcjonowania i bezpieczeństwa systemów ochrony
kryptograficznej stosowanych w systemach teleinformatycznych resortu
obrony narodowej,
b) gospodarki materiałowej i zasad eksploatacji urządzeń ochrony
kryptograficznej;
2) koordynowania działalności organów bezpieczeństwa systemów
łączności i informatyki rodzajów Sił Zbrojnych Rzeczypospolitej
Polskiej, Dowództwa Operacyjnego Sił Zbrojnych, Inspektoratu Wsparcia
Sił Zbrojnych, Dowództwa Garnizonu Warszawa i równorzędnych oraz Centrum
Wsparcia Teleinformatycznego Sił Zbrojnych Ministerstwa Obrony
Narodowej;
3) planowania, organizowania, prognozowania rozwoju, eksploatacji i
nadzoru nad funkcjonowaniem systemów ochrony kryptograficznej
stosowanych w systemach teleinformatycznych resortu obrony narodowej;
4) planowania, organizowania oraz sprawowania nadzoru nad szkoleniem
specjalistycznym personelu organów bezpieczeństwa systemów łączności i
informatyki;
5) koordynacji działań podległego mu Centrum Wsparcia Technicznego
Systemu Reagowania na Incydenty Komputerowe w stosunku do resortowych
systemów teleinformatycznych;
6) uzgadniania dokumentacji bezpieczeństwa teleinformatycznego dla
systemów rozległych w przypadku stosowania urządzeń lub narzędzi
kryptograficznych pod względem ich doboru i stosowania oraz
zabezpieczenia w dokumenty kryptograficzne.
Ponadto Komendant RCZBSiUT wyznacza, ze składu osobowego RCZBSiUT, osobę
lub osoby pełniące funkcję oficera bezpieczeństwa łączności i
informatyki dla komórek organizacyjnych Ministerstwa Obrony Narodowej.
9. Służba Kontrwywiadu Wojskowego jest właściwa w zakresie:
1) określania ogólnych zasad bezpieczeństwa teleinformatycznego;
2) weryfikacji poprawności akredytacji udzielonych dla systemów
teleinformatycznych przeznaczonych do przetwarzania informacji
niejawnych oznaczonych klauzulą „zastrzeżone”;
3) udzielania akredytacji bezpieczeństwa teleinformatycznego dla
systemów teleinformatycznych przeznaczonych do przetwarzania informacji
niejawnych o klauzuli „poufne” lub wyższej;
4) udzielania akredytacji dla systemów teleinformatycznych
przeznaczonych do przetwarzania informacji niejawnych międzynarodowych;
5) wydawania świadectw akredytacji bezpieczeństwa teleinformatycznego;
6) badań i oceny bezpieczeństwa w ramach certyfikacji:
a) środków ochrony elektromagnetycznej,
b) urządzeń i narzędzi kryptograficznych,
c) urządzeń i narzędzi służących do realizacji zabezpieczeń
teleinformatycznych;
7) określania poziomu zabezpieczenia miejsca, technicznego poziomu
zabezpieczenia urządzenia lub klasy urządzenia;
8) prowadzenia specjalistycznych szkoleń dla administratorów systemów i
inspektorów bezpieczeństwa teleinformatycznego;
9) dokonywania okresowej i doraźnych ocen stanu zabezpieczenia
informacji niejawnych w resorcie obrony narodowej, w zakresie
bezpieczeństwa teleinformatycznego;
10) opiniowania projektów dokumentów normatywnych dotyczących
organizacji,
funkcjonowania i bezpieczeństwa systemów teleinformatycznych oraz
projektów
wytycznych i projektów innych dokumentów dotyczących:
a) organizacji, funkcjonowania i bezpieczeństwa systemów ochrony
kryptograficznej, stosowanych w systemach teleinformatycznych resortu
obrony narodowej,
b) gospodarki materiałowej i zasad eksploatacji urządzeń ochrony
kryptograficznej,
c) prognozowania rozwoju systemów ochrony kryptograficznej;
11) kontroli systemów teleinformatycznych i przestrzegania przepisów
obowiązujących w tym zakresie;
12) nadzoru nad realizacją zadań określonych w pkt 3;
13) opiniowania programów szkoleń dotyczących eksploatacji urządzeń
ochrony kryptograficznej;
14) wykonywania funkcji krajowego organu dystrybucji i generacji
materiałów kryptograficznych na potrzeby jednostek oraz pełnienia
funkcji National Distribution Authotrity (NDA) dla materiałów
kryptograficznych wykorzystywanych w systemach teleinformatycznych
przetwarzających informację NATO;
15) wydawania zaleceń w zakresie bezpieczeństwa teleinformatycznego do
stosowania w resorcie obrony narodowej.
Załącznik Nr 2
Sposób powoływania oraz kwalifikacje wymagane do pełnienia funkcji
inspektora bezpieczeństwa teleinformatycznego i administratora systemu
1. Administratorów systemów teleinformatycznych, z zastrzeżeniem pkt 2,
wyznaczają kierownicy jednostek organizacyjnych eksploatujących te
systemy, zgodnie z dokumentacją bezpieczeństwa.
2. W przypadku systemów teleinformatycznych organizowanych lub
eksploatowanych w komórkach organizacyjnych, administratorów wyznacza
Dyrektor Generalny Ministerstwa Obrony Narodowej na wniosek kierowników
właściwych komórek organizacyjnych przesłany przez Pełnomocnika Ministra
Obrony Narodowej do Spraw Ochrony Informacji Niejawnych Dyrektora
Departamentu Ochrony Informacji Niejawnych, zwanego dalej
„Pełnomocnikiem Ministra”.
3. Administratorem systemu nie może być pracownik pionu ochrony.
4. Przepis pkt 3 nie dotyczy systemów teleinformatycznych
eksploatowanych w pionach ochrony jednostek organizacyjnych.
5. W przypadku, o którym mowa w pkt 4, nie można łączyć funkcji
administratora systemu i inspektora bezpieczeństwa teleinformatycznego.
6. Do pełnienia funkcji administratora systemu zaleca się wyznaczać
osoby posiadające wykształcenie informatyczne.
7. Do pełnienia funkcji administratora systemu, w którym przetwarzane są
informacje niejawne o klauzuli „tajne” lub „ściśle tajne”, wyznacza się
osoby posiadające kwalifikacje w zakresie administrowania systemami
teleinformatycznymi, potwierdzone ważnym świadectwem, certyfikatem lub
zaświadczeniem.
8. Kierownicy jednostek (komórek) organizacyjnych kierują osoby
wyznaczone do pełnienia funkcji administratora systemu, o którym mowa w
pkt 7, na dodatkowe szkolenia, poza określonymi w art. 52 ust. 4 ustawy
z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr
182, poz. 1228), w celu podnoszenia ich kwalifikacji w zakresie
administrowania systemami teleinformatycznymi.
9. Dodatkowe szkolenia kończące się wydaniem dokumentu, o którym mowa w
pkt 8, potwierdzającego nabycie umiejętności w zakresie administrowania
systemem użytkowanym w jednostce (komórce) organizacyjnej, są
prowadzone:
1) w ośrodkach kształcenia autoryzowanych przez producenta
(producentów) sprzętu komputerowego, oprogramowania lub urządzeń wraz z
oprogramowaniem, zapewniających bezpieczeństwo systemów
teleinformatycznych;
2) przez organy wojskowe pod warunkiem uzgodnienia programu oraz formy
szkolenia przez Dyrektora Departamentu Informatyki i Telekomunikacji.
10. Na szkolenia, o których mowa w pkt 8, kierownicy jednostek
(komórek) organizacyjnych mogą kierować (w miarę posiadanych środków)
administratorów pozostałych systemów teleinformatycznych.
11. O wyznaczeniu do pełnienia funkcji administratora systemu, a także o
odwołaniu z pełnienia tej funkcji, kierownicy jednostek (komórek)
organizacyjnych informują właściwego pełnomocnika ochrony.
12. Inspektorów bezpieczeństwa teleinformatycznego wyznaczają:
1) w jednostkach organizacyjnych – kierownicy tych jednostek, na
wniosek pełnomocnika ochrony, spośród pracowników pionu ochrony;
2) w Ministerstwie Obrony Narodowej – Dyrektor Generalny Ministerstwa
Obrony Narodowej, na wniosek Pełnomocnika Ministra, spośród żołnierzy
zawodowych i pracowników Departamentu Ochrony Informacji Niejawnych.
13. W stosunku do osób wyznaczonych do pełnienia funkcji inspektora
bezpieczeństwa teleinformatycznego, przepisy pkt 6 -10 stosuje się
odpowiednio.
14. Wyznaczenie i odwołanie administratora systemu lub inspektora
bezpieczeństwa teleinformatycznego odbywa się w formie decyzji (rozkazu)
osób wskazanych odpowiednio w pkt 1, 2 i 12. Decyzja (rozkaz) powinna
zawierać co najmniej informacje określające:
1) podstawę prawną wyznaczenia lub odwołania;
2) imię i nazwisko osoby wyznaczanej lub odwoływanej oraz nazwę
jednostki (komórki) organizacyjnej;
3) w przypadku inspektora bezpieczeństwa teleinformatycznego – nazwę
jednostki organizacyjnej, w której będzie wykonywał zadania;
4) w przypadku administratora – nazwę, klauzulę i lokalizację systemu
teleinformatycznego.
15. Żołnierzom zawodowym wyznaczonym do pełnienia funkcji
administratora systemu lub inspektora bezpieczeństwa teleinformatycznego
za realizację powierzonych im czynności wypłaca się dodatkowe
wynagrodzenie na zasadach i w trybie określonym w przepisach o służbie
wojskowej żołnierzy zawodowych, a pracownikom wyznaczonym do pełnienia
tych funkcji – na zasadach określonych w przepisach o wynagrodzeniu
pracowników.
16. W przypadkach uzasadnionych względami etatowymi, funkcję inspektora
bezpieczeństwa teleinformatycznego może pełnić pełnomocnik ochrony.
|