|
OBOWIĄZKI PEŁNOMOCNIKA
DS. OCHRONY INFORMACJI NIEJAWNYCH |
Kierownik jednostki organizacyjnej, w której są przetwarzane informacje
niejawne, odpowiada za ich ochronę, w szczególności za zorganizowanie i
zapewnienie funkcjonowania tej ochrony.
Kierownikowi jednostki organizacyjnej bezpośrednio podlega zatrudniony przez
niego pełnomocnik do spraw ochrony informacji niejawnych, który
odpowiada za zapewnienie przestrzegania przepisów o ochronie informacji
niejawnych.
Pełnomocnikiem ochrony może być osoba, która posiada:
1) obywatelstwo polskie;
2) wykształcenie wyższe;
3) odpowiednie poświadczenie bezpieczeństwa wydane przez ABW albo SKW, a także
przez były Urząd Ochrony Państwa lub byłe Wojskowe Służby Informacyjne;
4) zaświadczenie o przeszkoleniu w zakresie ochrony informacji niejawnych
przeprowadzonym przez ABW albo SKW, a także przez byłe Wojskowe Służby
Informacyjne.
OBOWIĄZKI
1. Do zadań pełnomocnika ochrony należy:
1) zapewnienie ochrony informacji niejawnych, w tym stosowanie środków
bezpieczeństwa fizycznego;
2) zapewnienie ochrony systemów teleinformatycznych, w których są przetwarzane
informacje niejawne;
3) zarządzanie ryzykiem bezpieczeństwa informacji niejawnych, w szczególności
szacowanie ryzyka;
4) kontrola ochrony informacji niejawnych oraz przestrzegania przepisów o
ochronie tych informacji, w szczególności okresowa (co najmniej raz na trzy
lata) kontrola ewidencji, materiałów i obiegu dokumentów;
5) prowadzenie szkoleń w zakresie ochrony informacji niejawnych mających na celu
zapoznanie z:
|
przepisami dotyczącymi ochrony informacji
niejawnych oraz odpowiedzialności karnej,
dyscyplinarnej i służbowej za ich naruszenie, w
szczególności za nieuprawnione ujawnienie
informacji niejawnych;
|
|
zasadami ochrony informacji niejawnych w
zakresie niezbędnym do wykonywania pracy lub
pełnienia służby, z uwzględnieniem zasad
zarządzania ryzykiem bezpieczeństwa informacji
niejawnych, w szczególności szacowania ryzyka;
|
|
sposobami ochrony informacji niejawnych oraz
postępowania w sytuacjach zagrożenia dla takich
informacji lub w przypadku ich ujawnienia.
|
6) prowadzenie zwykłych postępowań sprawdzających oraz kontrolnych postępowań
sprawdzających;
7) prowadzenie aktualnego wykazu osób zatrudnionych lub pełniących służbę w
jednostce organizacyjnej albo wykonujących czynności zlecone, które posiadają
uprawnienia do dostępu do informacji niejawnych, oraz osób, którym odmówiono
wydania poświadczenia bezpieczeństwa lub je cofnięto, obejmującego wyłącznie:
8) przekazywanie odpowiednio ABW lub SKW do ewidencji danych osób
uprawnionych do dostępu do informacji niejawnych, a także osób, którym odmówiono
wydania poświadczenia bezpieczeństwa lub wobec których podjęto decyzję o
cofnięciu poświadczenia bezpieczeństwa, na podstawie wykazu, o którym mowa w pkt
7.
9) Kierownik jednostki organizacyjnej może powierzyć pełnomocnikowi ochrony oraz
pracownikom pionu ochrony wykonywanie innych zadań, jeżeli ich realizacja nie
naruszy prawidłowego wykonywania powyższych zadań.
2. W przypadku stwierdzenia naruszenia w jednostce organizacyjnej przepisów o
ochronie informacji niejawnych pełnomocnik ochrony zawiadamia o tym kierownika
jednostki organizacyjnej i podejmuje niezwłocznie działania zmierzające do
wyjaśnienia okoliczności tego naruszenia oraz ograniczenia jego negatywnych
skutków.
3. W przypadku stwierdzenia naruszenia przepisów o ochronie informacji
niejawnych o klauzuli „poufne” lub wyższej pełnomocnik ochrony zawiadamia
niezwłocznie również odpowiednio ABW lub SKW.
4. Pełnomocnik ds. ochrony informacji niejawnych opracowuje i uaktualnia
(wymagające akceptacji kierownika jednostki organizacyjnej) następujące
dokumenty:
|
plan ochrony informacji niejawnych w
jednostce organizacyjnej, w tym w razie
wprowadzenia stanu nadzwyczajnego;
|
|
sposób i tryb przetwarzania informacji
niejawnych o klauzuli „poufne” w podległych
komórkach organizacyjnych;
|
|
dokumentację określającą poziom zagrożeń
związanych z nieuprawnionym dostępem do
informacji niejawnych lub ich utratą (w
jednostce organizacyjnej, w której są
przetwarzane informacje niejawne o klauzuli
„poufne” lub wyższej);
|
|
instrukcję dotyczącą sposobu i trybu
przetwarzania informacji niejawnych o klauzuli
„zastrzeżone” w podległych komórkach
organizacyjnych oraz zakres i warunki stosowania
środków bezpieczeństwa fizycznego w celu ich
ochrony.
|
5. Pełnomocnik ochrony odpowiada za zapewnienie ochrony systemów
teleinformatycznych funkcjonujących w jednostce organizacyjnej (z wyłączeniem
organizacyjnych, technicznych, programowych i eksploatacyjnych aspektów ochrony
kryptograficznej), w szczególności za:
1) zapewnienie przestrzegania zasad ochrony informacji niejawnych przetwarzanych
w systemach teleinformatycznych, w tym właściwego i bezpiecznego obiegu
dokumentów oraz informatycznych nośników danych;
2) zapewnienie bezpieczeństwa fizycznego obszarów, w których usytuowane są
systemy teleinformatyczne;
3) organizację i prowadzenie szkoleń użytkowników w zakresie bezpieczeństwa
teleinformatycznego;
4) nadzór nad konfiguracją systemów teleinformatycznych i przemieszczaniem ich
elementów składowych;
5) prowadzenie ewidencji systemów teleinformatycznych, która powinna zawierać co
najmniej:
|
nazwę systemu; |
|
klauzule
przetwarzanych w nim informacji; |
|
nazwę komórki, w
której uruchomiono system; |
|
lokalizację; |
|
imię i nazwisko
administratora; |
|
datę uruchomienia; |
|
datę upływu
ważności akredytacji. |
6) prowadzenie ewidencji środków ochrony elektromagnetycznej, która powinna
zawierać co najmniej:
|
nazwę i numer
seryjny środka ochrony elektromagnetycznej; |
|
numer wydanego
certyfikatu; |
|
Techniczny Poziom
Zabezpieczenia Urządzenia; |
|
termin ważności
wydanego certyfikatu. |
7) prowadzenie procesu szacowania ryzyka dla bezpieczeństwa informacji
niejawnych.
Ponadto pełnomocnik ochrony:
Uczestniczy w opracowywaniu projektów dokumentów regulujących w danej
jednostce organizacyjnej problematykę ochrony przetwarzanych w systemach
teleinformatycznych informacji niejawnych, w tym:
|
programów
organizacyjno-użytkowych, projektów
koncepcyjnych i technicznych planowanych do
budowy systemów teleinformatycznych; |
|
dokumentacji
bezpieczeństwa systemów teleinformatycznych. |
Uzgadnia dokumentację bezpieczeństwa:
|
organizowanych w
danej jednostce organizacyjnej systemów
teleinformatycznych; |
|
dla elementów
rozległych systemów teleinformatycznych
funkcjonujących w danej jednostce
organizacyjnej. |
|