BEZPIECZEŃSTWO TELEINFORMATYCZNE

Systemy teleinformatyczne, w których mają być przetwarzane informacje niejawne, podlegają akredytacji bezpieczeństwa teleinformatycznego.
Akredytacji udziela się na czas określony, nie dłuższy niż 5 lat.

ABW albo SKW udziela akredytacji bezpieczeństwa teleinformatycznego dla systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli „poufne” lub wyższej.
ABW albo SKW udziela albo odmawia udzielenia akredytacji w terminie 6 miesięcy od otrzymania kompletnej dokumentacji bezpieczeństwa systemu teleinformatycznego. W uzasadnionych przypadkach, w szczególności wynikających z rozległości systemu i stopnia jego skomplikowania, termin ten może być przedłużony o kolejne 6 miesięcy. Od odmowy udzielenia akredytacji nie służy odwołanie.

Potwierdzeniem udzielenia przez ABW albo SKW akredytacji jest świadectwo akredytacji bezpieczeństwa systemu teleinformatycznego.
Świadectwo akredytacji bezpieczeństwa systemu teleinformatycznego wydaje się na podstawie:

punktor zatwierdzonej przez ABW albo SKW dokumentacji bezpieczeństwa systemu teleinformatycznego;
punktor wyników audytu bezpieczeństwa systemu teleinformatycznego przeprowadzonego przez ABW albo SKW.

Świadectwo akredytacji bezpieczeństwa systemu teleinformatycznego powinno zawierać:

punktor oznaczenie organu;
punktor datę wydania;
punktor oznaczenie podmiotu występującego z wnioskiem o jego wydanie;
punktor oznaczenie przedmiotu podlegającego akredytacji bezpieczeństwa systemu
teleinformatycznego;
punktor powołanie podstawy prawnej;
punktor rozstrzygnięcie oraz uzasadnienie faktyczne i prawne;
punktor wskazanie okresu ważności świadectwa;
punktor podpis, z podaniem imienia i nazwiska oraz stanowiska osoby upoważnionej do jego wydania.

ABW albo SKW może odstąpić od przeprowadzenia audytu bezpieczeństwa systemu teleinformatycznego jeżeli system jest przeznaczony do przetwarzania informacji niejawnych o klauzuli „poufne”.

Kierownik jednostki organizacyjnej udziela akredytacji bezpieczeństwa teleinformatycznego dla systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli „zastrzeżone” przez zatwierdzenie dokumentacji bezpieczeństwa systemu teleinformatycznego.
W przypadku gdy system o klauzuli „zastrzeżone” będzie funkcjonował w więcej niż jednej jednostce organizacyjnej, akredytacji udziela kierownik jednostki organizującej system.
W ciągu 30 dni od udzielenia akredytacji bezpieczeństwa teleinformatycznego kierownik jednostki organizacyjnej przekazuje odpowiednio ABW lub SKW dokumentację bezpieczeństwa systemu teleinformatycznego.
W ciągu 30 dni od otrzymania dokumentacji bezpieczeństwa systemu teleinformatycznego ABW albo SKW może przedstawić kierownikowi jednostki organizacyjnej, który udzielił akredytacji bezpieczeństwa teleinformatycznego, zalecenia dotyczące konieczności przeprowadzenia dodatkowych czynności związanych z bezpieczeństwem informacji niejawnych. Kierownik jednostki organizacyjnej w terminie 30 dni od otrzymania zalecenia informuje odpowiednio ABW lub SKW o realizacji zaleceń. W szczególnie uzasadnionych przypadkach ABW albo SKW może nakazać wstrzymanie przetwarzania informacji niejawnych w systemie teleinformatycznym posiadającym akredytację bezpieczeństwa teleinformatycznego.

Dokument szczególnych wymagań bezpieczeństwa systemu teleinformatycznego powinien zawierać w szczególności wyniki procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych w systemie teleinformatycznym oraz określać przyjęte w ramach zarządzania ryzykiem sposoby osiągania i utrzymywania odpowiedniego poziomu bezpieczeństwa systemu, a także opisywać aspekty jego budowy, zasady działania i eksploatacji, które mają związek z bezpieczeństwem systemu lub wpływają na jego bezpieczeństwo. Przebieg i wyniki procesu szacowania ryzyka mogą zostać przedstawione w odrębnym dokumencie niż dokument szczególnych wymagań bezpieczeństwa.

Dokument szczególnych wymagań bezpieczeństwa opracowuje się na etapie projektowania, w razie potrzeby konsultuje z ABW albo SKW, bieżąco uzupełnia na etapie wdrażania i modyfikuje na etapie eksploatacji przed dokonaniem zmian w systemie teleinformatycznym.

Dokument procedur bezpiecznej eksploatacji opracowuje się na etapie wdrażania oraz modyfikuje na etapie eksploatacji przed dokonaniem zmian w systemie teleinformatycznym.

Podstawą dokonywania wszelkich zmian w systemie teleinformatycznym jest przeprowadzenie procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych w tym systemie.

Kierownik jednostki organizacyjnej, w której będzie funkcjonował system teleinformatyczny, odpowiada za opracowanie oraz przekazanie odpowiednio ABW lub SKW dokumentacji bezpieczeństwa systemu teleinformatycznego (z zastrzeżeniem - klauzuli „zastrzeżone”).

W przypadku gdy system teleinformatyczny będzie funkcjonował w więcej niż jednej jednostce organizacyjnej, za opracowanie oraz przekazanie odpowiednio ABW lub SKW dokumentacji bezpieczeństwa systemu teleinformatycznego odpowiada kierownik jednostki organizującej system.

Kierownik jednostki organizacyjnej akceptuje wyniki procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych oraz jest odpowiedzialny za właściwą organizację bezpieczeństwa teleinformatycznego.

W terminie 30 dni od otrzymania dokumentacji bezpieczeństwa systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli „poufne” lub wyższej ABW albo SKW przeprowadza na jej podstawie ocenę bezpieczeństwa tego systemu. Pozytywny wynik oceny stanowi podstawę do zatwierdzenia przez ABW albo SKW dokumentacji bezpieczeństwa systemu teleinformatycznego. W uzasadnionych przypadkach, w szczególności wynikających ze stopnia skomplikowania systemu, termin przeprowadzenia oceny może być przedłużony o kolejne 30 dni.

Środki ochrony elektromagnetycznej przeznaczone do ochrony informacji niejawnych o klauzuli „poufne” lub wyższej podlegają badaniom i ocenie bezpieczeństwa w ramach certyfikacji prowadzonych przez ABW albo SKW.

Urządzenia i narzędzia kryptograficzne przeznaczone do ochrony informacji niejawnych podlegają badaniom i ocenie bezpieczeństwa w ramach certyfikacji prowadzonych przez ABW albo SKW.
ABW albo SKW, na wniosek zainteresowanego podmiotu, przeprowadza certyfikację urządzenia lub narzędzia służącego do realizacji zabezpieczenia teleinformatycznego, przeznaczonego do ochrony informacji niejawnych.
Pozytywne wyniki ocen bezpieczeństwa uzyskane na podstawie wyników badań prowadzonych w ramach certyfikacji stanowią podstawę do wydania przez ABW albo SKW certyfikatu ochrony elektromagnetycznej, certyfikatu ochrony kryptograficznej lub certyfikatu bezpieczeństwa teleinformatycznego. Certyfikaty są wydawane, w zależności od wyników ocen bezpieczeństwa, na okres nie krótszy niż 3 lata. Od odmowy wydania certyfikatu nie służy odwołanie.

Certyfikacje są prowadzone przez ABW albo SKW.
Szef ABW albo Szef SKW może zlecić podmiotowi zewnętrznemu badanie urządzenia lub narzędzia służącego do ochrony informacji niejawnych, na zasadach, warunkach i w zakresie przez siebie określonych.

Bez konieczności przeprowadzania badań i oceny Szef ABW albo Szef SKW może dopuścić do stosowania w systemie teleinformatycznym przeznaczonym do przetwarzania informacji niejawnych o klauzuli „zastrzeżone” urządzenia lub narzędzia kryptograficzne, jeżeli otrzymały stosowny certyfikat wydany przez krajową władzę bezpieczeństwa państwa będącego członkiem NATO lub Unii Europejskiej lub inny uprawniony organ w NATO lub w Unii Europejskiej.

Obowiązkowi akredytacji nie podlegają systemy teleinformatyczne znajdujące się poza strefami ochronnymi oraz służące bezpośrednio do pozyskiwania i przekazywania w sposób niejawny informacji oraz utrwalania dowodów w trakcie realizacji czynności operacyjno-rozpoznawczych lub procesowych przez uprawnione do tego podmioty. Wyłączenie obowiązku akredytacji nie obejmuje interfejsów, o których mowa w art. 179 ust. 4a ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800, z późn. zm.13)), oraz systemów z nimi współpracujących.
Obowiązkowi akredytacji oraz badań i oceny bezpieczeństwa w ramach procesów certyfikacji prowadzonych przez ABW albo SKW nie podlegają systemy teleinformatyczne, urządzenia lub narzędzia kryptograficzne wykorzystywane przez AW lub SWW do uzyskiwania lub przetwarzania informacji niejawnych podczas wykonywania czynności operacyjno-rozpoznawczych poza granicami Rzeczypospolitej Polskiej oraz wydzielone stanowiska służące wyłącznie do odbierania i przetwarzania tych informacji na terytorium Rzeczypospolitej Polskiej.

Kierownik jednostki organizacyjnej wyznacza:

punktor pracownika lub pracowników pionu ochrony pełniących funkcję inspektora bezpieczeństwa teleinformatycznego, odpowiedzialnych za weryfikację i bieżącą kontrolę zgodności funkcjonowania systemu teleinformatycznego ze szczególnymi wymaganiami bezpieczeństwa oraz przestrzegania procedur bezpiecznej eksploatacji;
punktor osobę lub zespół osób, niepełniących funkcji inspektora bezpieczeństwa teleinformatycznego, odpowiedzialnych za funkcjonowanie systemu teleinformatycznego oraz za przestrzeganie zasad i wymagań bezpieczeństwa przewidzianych dla systemu teleinformatycznego, zwanych dalej „administratorem systemu”.

W uzasadnionych przypadkach, za zgodą ABW albo SKW, administrator systemu lub inspektor bezpieczeństwa teleinformatycznego może wykonywać zadania w więcej niż jednej jednostce organizacyjnej na podstawie porozumienia właściwych kierowników jednostek organizacyjnych.

ABW i SKW udzielają kierownikom jednostek organizacyjnych pomocy niezbędnej do realizacji ich zadań, w szczególności wydając zalecenia w zakresie bezpieczeństwa teleinformatycznego.
Stanowiska lub funkcje (administrator systemu lub inspektor bezpieczeństwa teleinformatycznego) mogą zajmować lub pełnić osoby spełniające wymagania, o których mowa w art. 16*, po odbyciu specjalistycznych szkoleń z zakresu bezpieczeństwa teleinformatycznego prowadzonych przez ABW albo SKW.

Koszty szkoleń pokrywa jednostka organizacyjna, w której osoba szkolona jest zatrudniona, pełni służbę lub wykonuje prace zlecone.
Jednostki organizacyjne - MON oraz Policja, nie pokrywają kosztów szkoleń przeprowadzonych przez ABW albo SKW.

Wzajemne prawa i obowiązki podmiotu przeprowadzającego szkolenie, uczestnika szkolenia oraz jednostki organizacyjnej, w której osoba szkolona jest zatrudniona, pełni służbę lub wykonuje czynności zlecone, określa umowa zawarta między tym podmiotem, uczestnikiem szkolenia oraz jednostką organizacyjną.

* Art. 16.
Pracownikiem pionu ochrony w jednostce organizacyjnej może być osoba, która posiada:
1) obywatelstwo polskie, z wyjątkiem pracowników pionu ochrony zatrudnionych u przedsiębiorców;
2) odpowiednie poświadczenie bezpieczeństwa lub upoważnienie, o którym mowa w art. 21 ust. 4 pkt 1;
3) zaświadczenie o odbytym przeszkoleniu w zakresie ochrony informacji niejawnych.

Art. 53.
1. Za przeprowadzenie czynności, o których mowa w art. 48 ust. 3–6 oraz art. 50 ust. 1–4, pobiera się opłaty.
2. Z opłat, o których mowa w ust. 1, są zwolnione jednostki organizacyjne będące jednostkami budżetowymi.

3.  Przedsiębiorcy obowiązani na podstawie odrębnych ustaw do wykonywania zadań
publicznych na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku
publicznego są zwolnieni z opłat za przeprowadzenie czynności, o których mowa w art. 48
ust. 3–6, w przypadku akredytacji bezpieczeństwa teleinformatycznego systemów
teleinformatycznych niezbędnych do wykonania tych zadań.
4.  Prezes Rady Ministrów określi, w drodze rozporządzenia, szczegółowy sposób i tryb ustalania wysokości oraz poboru opłat, o których mowa w ust. 1.
5.  Wydając rozporządzenie, o którym mowa w ust. 4, uwzględnia się odpowiednio:
 
1) łączne koszty ponoszone na przeprowadzenie czynności, o których mowa w art. 48 ust. 3–6 oraz art. 50 ust. 1–4;
2) wysokość kwoty bazowej w postaci kwoty przeciętnego miesięcznego wynagrodzenia w sektorze przedsiębiorstw bez wypłat nagród z zysku w czwartym kwartale roku poprzedniego, ogłaszanego przez Prezesa Głównego Urzędu Statystycznego na podstawie art. 7 ust. 1 ustawy z dnia 17 lipca 1998 r. o pożyczkach i kredytach studenckich;
3) wysokości poszczególnych opłat, o których mowa w ust. 1, stanowiące krotność kwoty bazowej – odpowiednio do stopnia skomplikowania przeprowadzonych czynności;
4) maksymalną wysokość opłat, o których mowa w ust. 1, stanowiącą równowartość nieprzekraczającą stukrotności kwoty bazowej;
5) minimalną wysokość opłat, o których mowa w ust. 1, stanowiącą równowartość 0,1 kwoty bazowej – za godzinę pracy osoby wykonującej określone czynności;
6) potrzebę sprawnego i szybkiego przeprowadzania procesu ustalania i poboru opłat, o których mowa w ust. 1.