|
BEZPIECZEŃSTWO TELEINFORMATYCZNE |
Systemy teleinformatyczne, w których mają być przetwarzane informacje
niejawne, podlegają akredytacji bezpieczeństwa teleinformatycznego.
Akredytacji udziela się na czas
określony, nie dłuższy niż 5 lat.
ABW albo SKW udziela akredytacji bezpieczeństwa
teleinformatycznego dla systemu teleinformatycznego
przeznaczonego do przetwarzania informacji niejawnych o
klauzuli „poufne” lub wyższej.
ABW albo SKW udziela albo odmawia udzielenia akredytacji w terminie 6 miesięcy od otrzymania
kompletnej dokumentacji bezpieczeństwa systemu
teleinformatycznego. W uzasadnionych przypadkach, w
szczególności wynikających z rozległości systemu i stopnia
jego skomplikowania, termin ten może być przedłużony o
kolejne 6 miesięcy. Od odmowy udzielenia akredytacji nie
służy odwołanie.
Potwierdzeniem udzielenia przez ABW albo SKW akredytacji jest świadectwo akredytacji
bezpieczeństwa systemu teleinformatycznego.
Świadectwo akredytacji bezpieczeństwa systemu
teleinformatycznego wydaje się na
podstawie:
|
zatwierdzonej przez ABW albo
SKW dokumentacji
bezpieczeństwa systemu
teleinformatycznego; |
|
wyników audytu bezpieczeństwa systemu teleinformatycznego
przeprowadzonego przez ABW albo SKW. |
Świadectwo akredytacji bezpieczeństwa systemu
teleinformatycznego powinno zawierać:
|
oznaczenie organu; |
|
datę wydania; |
|
oznaczenie podmiotu występującego z wnioskiem o
jego wydanie; |
|
oznaczenie przedmiotu
podlegającego akredytacji
bezpieczeństwa systemu
teleinformatycznego; |
|
powołanie podstawy prawnej; |
|
rozstrzygnięcie oraz uzasadnienie faktyczne i
prawne; |
|
wskazanie okresu ważności świadectwa; |
|
podpis, z podaniem imienia i nazwiska oraz
stanowiska osoby upoważnionej do jego wydania. |
ABW albo SKW może odstąpić od przeprowadzenia audytu
bezpieczeństwa systemu teleinformatycznego jeżeli system jest przeznaczony do
przetwarzania informacji niejawnych o klauzuli „poufne”.
Kierownik jednostki organizacyjnej udziela
akredytacji bezpieczeństwa teleinformatycznego dla systemu
teleinformatycznego przeznaczonego do przetwarzania
informacji niejawnych o klauzuli „zastrzeżone” przez
zatwierdzenie dokumentacji bezpieczeństwa systemu
teleinformatycznego.
W przypadku gdy system o klauzuli „zastrzeżone” będzie funkcjonował w więcej niż jednej jednostce
organizacyjnej, akredytacji udziela
kierownik jednostki organizującej system.
W ciągu 30 dni od udzielenia akredytacji
bezpieczeństwa teleinformatycznego
kierownik jednostki organizacyjnej przekazuje odpowiednio
ABW lub SKW dokumentację bezpieczeństwa systemu
teleinformatycznego.
W ciągu 30 dni od otrzymania dokumentacji bezpieczeństwa
systemu teleinformatycznego ABW albo SKW może przedstawić
kierownikowi jednostki organizacyjnej, który udzielił
akredytacji bezpieczeństwa teleinformatycznego, zalecenia
dotyczące konieczności przeprowadzenia dodatkowych czynności
związanych z bezpieczeństwem informacji niejawnych.
Kierownik jednostki organizacyjnej w terminie 30 dni od
otrzymania zalecenia informuje odpowiednio ABW lub SKW o
realizacji zaleceń. W szczególnie uzasadnionych przypadkach
ABW albo SKW może nakazać wstrzymanie przetwarzania
informacji niejawnych w systemie teleinformatycznym
posiadającym akredytację bezpieczeństwa teleinformatycznego.
Dokument szczególnych wymagań bezpieczeństwa systemu
teleinformatycznego powinien zawierać w
szczególności wyniki procesu szacowania ryzyka dla
bezpieczeństwa informacji niejawnych przetwarzanych w
systemie teleinformatycznym oraz określać przyjęte w ramach
zarządzania ryzykiem sposoby osiągania i utrzymywania
odpowiedniego poziomu bezpieczeństwa systemu, a także
opisywać aspekty jego budowy, zasady działania i
eksploatacji, które mają związek z bezpieczeństwem systemu
lub wpływają na jego bezpieczeństwo. Przebieg i wyniki
procesu szacowania ryzyka mogą zostać przedstawione w
odrębnym dokumencie niż dokument szczególnych wymagań
bezpieczeństwa.
Dokument szczególnych wymagań bezpieczeństwa opracowuje
się na etapie projektowania, w razie potrzeby konsultuje z
ABW albo SKW, bieżąco uzupełnia na etapie wdrażania i
modyfikuje na etapie eksploatacji przed dokonaniem zmian w
systemie teleinformatycznym.
Dokument procedur bezpiecznej eksploatacji opracowuje się
na etapie wdrażania oraz modyfikuje na etapie eksploatacji
przed dokonaniem zmian w systemie teleinformatycznym.
Podstawą dokonywania wszelkich zmian w systemie
teleinformatycznym jest przeprowadzenie procesu szacowania ryzyka dla bezpieczeństwa
informacji niejawnych przetwarzanych w tym systemie.
Kierownik jednostki organizacyjnej, w której będzie
funkcjonował system teleinformatyczny, odpowiada za
opracowanie oraz przekazanie odpowiednio ABW lub SKW
dokumentacji bezpieczeństwa systemu teleinformatycznego (z
zastrzeżeniem - klauzuli „zastrzeżone”).
W przypadku gdy system teleinformatyczny będzie
funkcjonował w więcej niż jednej jednostce organizacyjnej,
za opracowanie oraz przekazanie odpowiednio ABW lub SKW
dokumentacji bezpieczeństwa systemu teleinformatycznego
odpowiada kierownik jednostki organizującej system.
Kierownik jednostki organizacyjnej akceptuje wyniki
procesu szacowania ryzyka dla bezpieczeństwa informacji
niejawnych oraz jest odpowiedzialny za właściwą organizację
bezpieczeństwa teleinformatycznego.
W terminie 30 dni od otrzymania dokumentacji
bezpieczeństwa systemu teleinformatycznego przeznaczonego do
przetwarzania informacji niejawnych o klauzuli „poufne” lub
wyższej ABW albo SKW przeprowadza na jej podstawie ocenę
bezpieczeństwa tego systemu. Pozytywny wynik oceny stanowi
podstawę do zatwierdzenia przez ABW albo SKW dokumentacji
bezpieczeństwa systemu teleinformatycznego. W uzasadnionych
przypadkach, w szczególności wynikających ze stopnia
skomplikowania systemu, termin przeprowadzenia oceny może
być przedłużony o kolejne 30 dni.
Środki ochrony elektromagnetycznej przeznaczone do ochrony
informacji niejawnych o klauzuli „poufne” lub wyższej
podlegają badaniom i ocenie bezpieczeństwa w ramach
certyfikacji prowadzonych przez ABW albo SKW.
Urządzenia i narzędzia kryptograficzne przeznaczone do
ochrony informacji niejawnych podlegają badaniom i ocenie
bezpieczeństwa w ramach certyfikacji prowadzonych przez ABW
albo SKW.
ABW albo SKW, na wniosek zainteresowanego podmiotu,
przeprowadza certyfikację urządzenia lub narzędzia służącego
do realizacji zabezpieczenia teleinformatycznego,
przeznaczonego do ochrony informacji niejawnych.
Pozytywne wyniki ocen bezpieczeństwa uzyskane na podstawie
wyników badań prowadzonych w ramach certyfikacji stanowią podstawę do wydania przez ABW albo SKW certyfikatu ochrony
elektromagnetycznej, certyfikatu ochrony kryptograficznej lub certyfikatu bezpieczeństwa
teleinformatycznego. Certyfikaty są wydawane, w zależności
od wyników ocen bezpieczeństwa, na okres nie krótszy niż 3
lata. Od odmowy wydania certyfikatu nie służy odwołanie.
Certyfikacje są
prowadzone przez ABW albo SKW.
Szef ABW albo Szef SKW może zlecić podmiotowi
zewnętrznemu badanie urządzenia lub narzędzia służącego do
ochrony informacji niejawnych, na zasadach, warunkach i w
zakresie przez siebie określonych.
Bez konieczności przeprowadzania badań i oceny Szef
ABW albo Szef SKW może dopuścić do stosowania w systemie
teleinformatycznym przeznaczonym do przetwarzania informacji
niejawnych o klauzuli „zastrzeżone” urządzenia lub narzędzia
kryptograficzne, jeżeli otrzymały stosowny certyfikat wydany
przez krajową władzę bezpieczeństwa państwa będącego
członkiem NATO lub Unii Europejskiej lub inny uprawniony
organ w NATO lub w Unii Europejskiej.
Obowiązkowi akredytacji
nie podlegają systemy teleinformatyczne znajdujące się poza
strefami ochronnymi oraz służące bezpośrednio do
pozyskiwania i przekazywania w sposób niejawny informacji
oraz utrwalania dowodów w trakcie realizacji czynności
operacyjno-rozpoznawczych lub procesowych przez uprawnione
do tego podmioty. Wyłączenie obowiązku akredytacji nie
obejmuje interfejsów, o których mowa w art. 179 ust. 4a
ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne
(Dz. U. Nr 171, poz. 1800, z późn. zm.13)), oraz systemów z
nimi współpracujących.
Obowiązkowi akredytacji
oraz badań i oceny bezpieczeństwa w ramach procesów
certyfikacji prowadzonych przez ABW albo SKW nie podlegają
systemy teleinformatyczne, urządzenia lub narzędzia
kryptograficzne wykorzystywane przez AW lub SWW do
uzyskiwania lub przetwarzania informacji niejawnych podczas
wykonywania czynności operacyjno-rozpoznawczych poza
granicami Rzeczypospolitej Polskiej oraz wydzielone
stanowiska służące wyłącznie do odbierania i przetwarzania
tych informacji na terytorium Rzeczypospolitej Polskiej.
Kierownik jednostki organizacyjnej wyznacza:
|
pracownika lub pracowników
pionu ochrony pełniących
funkcję inspektora
bezpieczeństwa
teleinformatycznego,
odpowiedzialnych za
weryfikację i bieżącą
kontrolę zgodności
funkcjonowania systemu
teleinformatycznego ze
szczególnymi wymaganiami
bezpieczeństwa oraz
przestrzegania procedur
bezpiecznej eksploatacji; |
|
osobę lub zespół osób, niepełniących funkcji inspektora
bezpieczeństwa teleinformatycznego, odpowiedzialnych za
funkcjonowanie systemu teleinformatycznego oraz za
przestrzeganie zasad i wymagań bezpieczeństwa przewidzianych
dla systemu teleinformatycznego, zwanych dalej
„administratorem systemu”. |
W uzasadnionych przypadkach, za zgodą ABW albo SKW,
administrator systemu lub inspektor bezpieczeństwa
teleinformatycznego może wykonywać zadania w więcej niż
jednej jednostce organizacyjnej na podstawie porozumienia
właściwych kierowników jednostek organizacyjnych.
ABW i SKW udzielają kierownikom jednostek organizacyjnych
pomocy niezbędnej do realizacji ich zadań, w szczególności
wydając zalecenia w zakresie bezpieczeństwa
teleinformatycznego.
Stanowiska lub funkcje (administrator systemu lub inspektor
bezpieczeństwa teleinformatycznego) mogą
zajmować lub pełnić osoby spełniające wymagania, o których
mowa w art. 16*, po odbyciu specjalistycznych szkoleń z
zakresu bezpieczeństwa teleinformatycznego prowadzonych
przez ABW albo SKW.
Koszty szkoleń pokrywa
jednostka organizacyjna, w której osoba szkolona jest
zatrudniona, pełni służbę lub wykonuje prace zlecone.
Jednostki organizacyjne - MON oraz Policja, nie pokrywają kosztów szkoleń
przeprowadzonych przez ABW albo SKW.
Wzajemne prawa i obowiązki podmiotu przeprowadzającego
szkolenie, uczestnika szkolenia
oraz jednostki organizacyjnej, w której osoba szkolona jest
zatrudniona, pełni służbę lub wykonuje czynności zlecone,
określa umowa zawarta między tym podmiotem, uczestnikiem
szkolenia oraz jednostką organizacyjną.
* Art. 16.
Pracownikiem pionu ochrony w jednostce organizacyjnej może
być osoba, która posiada:
1) obywatelstwo polskie, z wyjątkiem
pracowników pionu ochrony zatrudnionych u przedsiębiorców;
2) odpowiednie poświadczenie bezpieczeństwa lub
upoważnienie, o którym mowa w art. 21 ust. 4 pkt 1;
3) zaświadczenie o odbytym przeszkoleniu w zakresie
ochrony informacji niejawnych.
Art. 53.
1. Za przeprowadzenie czynności, o których mowa w art. 48
ust. 3–6 oraz art. 50 ust. 1–4, pobiera się opłaty.
2. Z opłat, o których mowa w ust. 1, są zwolnione jednostki
organizacyjne będące jednostkami budżetowymi.
3. Przedsiębiorcy obowiązani na podstawie odrębnych
ustaw do wykonywania zadań
publicznych na rzecz obronności, bezpieczeństwa państwa oraz
bezpieczeństwa i porządku
publicznego są zwolnieni z opłat za przeprowadzenie
czynności, o których mowa w art. 48
ust. 3–6, w przypadku akredytacji bezpieczeństwa
teleinformatycznego systemów
teleinformatycznych niezbędnych do wykonania tych zadań.
4. Prezes Rady Ministrów określi, w drodze
rozporządzenia, szczegółowy sposób i tryb ustalania
wysokości oraz poboru opłat, o których mowa w ust. 1.
5. Wydając rozporządzenie, o którym mowa w ust. 4,
uwzględnia się odpowiednio:
1) łączne koszty ponoszone na przeprowadzenie
czynności, o których mowa w art. 48 ust. 3–6 oraz art. 50
ust. 1–4;
2) wysokość kwoty bazowej w postaci kwoty przeciętnego
miesięcznego wynagrodzenia w sektorze przedsiębiorstw bez
wypłat nagród z zysku w czwartym kwartale roku poprzedniego,
ogłaszanego przez Prezesa Głównego Urzędu Statystycznego na
podstawie art. 7 ust. 1 ustawy z dnia 17 lipca 1998 r. o
pożyczkach i kredytach studenckich;
3) wysokości poszczególnych opłat, o których mowa w ust. 1,
stanowiące krotność kwoty bazowej – odpowiednio do stopnia
skomplikowania przeprowadzonych czynności;
4) maksymalną wysokość opłat, o których mowa w ust. 1,
stanowiącą równowartość nieprzekraczającą stukrotności kwoty
bazowej;
5) minimalną wysokość opłat, o których mowa w ust. 1,
stanowiącą równowartość 0,1 kwoty bazowej – za godzinę pracy
osoby wykonującej określone czynności;
6) potrzebę sprawnego i szybkiego przeprowadzania procesu
ustalania i poboru opłat, o których mowa w ust. 1.
|