Warszawa, dnia 9 lutego 2012 r. Poz. 8



Podobne dokumenty
DECYZJA Nr 122/MON MINISTRA OBRONY NARODOWEJ. z dnia 18 marca 2008 r.

DECYZJA Nr 74/MON MINISTRA OBRONY NARODOWEJ z dnia 27 marca 2013 r. w sprawie eksploatacji niejawnego systemu teleinformatycznego PL_NS NOAN

DECYZJA Nr 44/MON MINISTRA OBRONY NARODOWEJ. z dnia 5 lutego 2010 r. w sprawie szkolenia w zakresie ochrony informacji niejawnych

Warszawa, dnia 17 grudnia 2013 r. Poz. 340

Zarządzenie Nr 622 /OIN/2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016r.

DECYZJA Nr 20/MON MINISTRA OBRONY NARODOWEJ

Warszawa, dnia 10 marca 2014 r. Poz. 85. DECYZJA Nr 75/MON MINISTRA OBRONY NARODOWEJ. z dnia 7 marca 2014 r.

Warszawa, dnia 22 grudnia 2015 r. Poz. 96 DECYZJA NR 278 KOMENDANTA GŁÓWNEGO STRAŻY GRANICZNEJ. z dnia 22 grudnia 2015 r.

PROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0)

DECYZJA Nr 108 /MON MINISTRA OBRONY NARODOWEJ. z dnia 7 kwietnia 2009 r. w sprawie zasad realizacji polityki informacyjnej w resorcie obrony narodowej

z dnia 6 lutego 2015 r. w sprawie dokumentacji szkolenia w zakresie ochrony informacji niejawnych w resorcie obrony narodowej

ZARZĄDZENIE Nr 20/2011

PRZEPISY PRAWNE W ZAKRESIE OCHRONY INFORMACJI NIEJAWNYCH

DECYZJA Nr 317/MON MINISTRA OBRONY NARODOWEJ. z dnia 3 lipca 2008 r. w sprawie oceny sytuacji kadrowej w resorcie obrony narodowej

Warszawa, dnia 11 stycznia 2016 r. Poz. 7

ZARZĄDZENIE NR 88/2017 STAROSTY RACIBORSKIEGO. z dnia 6 lipca 2017 r.

Warszawa, dnia 4 lutego 2015 r. Poz. 33. DECYZJA Nr 35/MON MINISTRA OBRONY NARODOWEJ. z dnia 4 lutego 2015 r.

Warszawa, dnia 15 czerwca 2015 r. Poz DECYZJA Nr 209 /MON MINISTRA OBRONY NARODOWEJ. z dnia 12 czerwca 2015 r.

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.

DECYZJA Nr 250/MON MINISTRA OBRONY NARODOWEJ. z dnia 26 czerwca 2015 r. w sprawie organizacji w resorcie obrony narodowej systemu skargowo-wnioskowego

D E C Y Z J A NR 41. z dnia 19 listopada 2015 r.

Informacje niejawne i ich podział (oprac. Tomasz A. Winiarczyk)

DECYZJA Nr 310/MON MINISTRA OBRONY NARODOWEJ. z dnia 04 sierpnia 2015 r. w sprawie zasad i trybu zlecania zadań publicznych

Warszawa, dnia 14 marca 2012 r. Poz DECYZJA Nr 73/MON MINISTRA OBRONY NARODOWEJ. z dnia 13 marca 2012 r.

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

DECYZJA Nr 262/MON MINISTRA OBRONY NARODOWEJ. z dnia 24 czerwca 2014 r.

ZARZĄDZENIE NR 53 KOMENDANTA GŁÓWNEGO STRAŻY GRANICZNEJ. z dnia 20 czerwca 2016 r.

ZARZĄDZENIE Nr 10 DYREKTORA GENERALNEGO SŁUŻBY ZAGRANICZNEJ. z dnia 9 maja 2011 r.

Dz.U Nr 18 poz. 162 ROZPORZĄDZENIE PREZESA RADY MINISTRÓW

ZARZĄDZENIE NR 89/2017 STAROSTY RACIBORSKIEGO. z dnia 6 lipca 2017 r.

DECYZJA Nr 404/MON MINISTRA OBRONY NARODOWEJ. z dnia 19 grudnia 2013 r.

DZIENNIK URZĘDOWY KOMENDY GŁÓWNEJ STRAŻY GRANICZNEJ

DECYZJA Nr 173/MON MINISTRA OBRONY NARODOWEJ. z dnia 3 lipca 2013 r.

z dnia 13 marca 2012 r. w sprawie dokumentacji szkolenia w zakresie ochrony informacji niejawnych w resorcie obrony narodowej

Zadania Zespołu ds. Ochrony Informacji Niejawnych Pomorskiego Urzędu Wojewódzkiego w Gdańsku

DECYZJA Nr 414/MON MINISTRA OBRONY NARODOWEJ. z dnia 23 grudnia 2013 r.

DECYZJA Nr 276/MON MINISTRA OBRONY NARODOWEJ. z dnia 4 czerwca 2008 r. w sprawie wprowadzenia i funkcjonowania karty opisu stanowiska służbowego

Dziennik Urzędowy Ministra Obrony Narodowej Nr 4 z dnia r., poz. 20

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

Warszawa, dnia 18 grudnia 2013 r. Poz DECYZJA Nr 396/MON MINISTRA OBRONY NARODOWEJ. z dnia 18 grudnia 2013 r.

Na czym polega planowanie ochrony informacji niejawnych w jednostce organizacyjnej?

DZIENNIK URZĘDOWY KOMENDY GŁÓWNEJ STRAŻY GRANICZNEJ. Warszawa, dnia 22 marca 2012 r. Poz. 16 ZARZĄDZENIE NR 21 KOMENDANTA GŁÓWNEGO STRAŻY GRANICZNEJ

REGULAMIN WEWNĘTRZNY PEŁNOMOCNIKA DS. OCHRONY INFORMACJI NIEJAWNYCH

Warszawa, dnia 30 grudnia 2013 r. Poz ROZPORZĄDZENIE MINISTRA OBRONY NARODOWEJ. z dnia 19 grudnia 2013 r.

Z A R Z Ą D Z E N I E NR 10 A/2012 Burmistrza Miasta Lipna z dnia 14 lutego 2012 r.

DECYZJA Nr 292/MON MINISTRA OBRONY NARODOWEJ. z dnia 1 października 2004 r.

DZIENNIK URZĘDOWY. Dziennik Urzędowy Ministra Pracy i Polityki Społecznej 1. Warszawa, dnia 29 marca 2013 r. Poz. 5

Warszawa, dnia 4 lutego 2019 r. Pozycja 13

ZARZĄDZENIE NR 5$ PREZYDENTA MIASTA ZIELONA GÓRA. z dnia. J..lti & r.

Zarządzenie Nr 20/2018/2019 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 12 lutego 2019 r.

Warszawa, dnia 3 lipca 2012 r. Poz ZARZĄDZENIE Nr 55/MON MINISTRA OBRONY NARODOWEJ. z dnia 02 lipca 2012 r.

Warszawa, dnia 6 kwietnia 2017 r. Poz. 22

DECYZJA Nr 22/MON MINISTRA OBRONY NARODOWEJ. z dnia 31 stycznia 2006 r.

Warszawa, dnia 19 października 2012 r. Poz DECYZJA Nr 332/MON MINISTRA OBRONY NARODOWEJ. z dnia 19 października 2012 r.

Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.

Warszawa, dnia 25 września 2013 r. Poz. 83 DECYZJA NR 402 KOMENDANTA GŁÓWNEGO POLICJI. z dnia 23 września 2013 r.

2. Administratorem Danych Osobowych w SGSP w rozumieniu ustawy o ochronie danych osobowych jest Rektor-Komendant SGSP.

Spis treści. Analiza Ryzyka 2.0 ARIN Instrukcja Użytkowania

Warszawa, dnia 8 grudnia 2016 r. Poz. 76

Warszawa, dnia 28 grudnia 2012 r. Poz. 7 DECYZJA NR 15 KOMENDANTA GŁÓWNEGO PAŃSTWOWEJ STRAŻY POŻARNEJ. z dnia 16 kwietnia 2012 r.

Warszawa, dnia 27 czerwca 2012 r. Poz. 724 ROZPORZĄDZENIE MINISTRA OBRONY NARODOWEJ. z dnia 14 czerwca 2012 r.

Warszawa, dnia 23 lutego 2016 r. Poz. 6. z dnia 16 lutego 2016 r.

DECYZJA Nr 178/MON MINISTRA OBRONY NARODOWEJ z dnia 17 listopada 2017 r.

Warszawa, dnia 14 sierpnia 2013 r. Poz DECYZJA Nr 230/MON MINISTRA OBRONY NARODOWEJ z dnia 14 sierpnia 2013 r.

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ

DECYZJA NR 348 KOMENDANTA GŁÓWNEGO POLICJI. z dnia 22 listopada 2011 r.

A. Zakres tematyczny oceny sytuacji kadrowej żołnierzy zawodowych: określa MINISTRA OBRONY NARODOWEJ

Ochrona informacji niejawnych.

Warszawa, dnia 9 października 2013 r. Poz DECYZJA Nr 296/MON MINISTRA OBRONY NARODOWEJ. z dnia 9 października 2013 r.

Warszawa, dnia 2 września 2014 r. Poz. 303

DECYZJA Nr 297/MON MINISTRA OBRONY NARODOWEJ. z dnia 17 lipca 2014 r.

Warszawa, dnia 22 sierpnia 2017 r. Poz. 49

Polityka Bezpieczeństwa Firmy

Warszawa, dnia 25 marca 2014 r. Poz DECYZJA Nr 92/MON MINISTRA OBRONY NARODOWEJ. z dnia 21 marca 2014 r.

Warszawa, dnia 7 marca 2012 r. Poz. 86. DECYZJA Nr 61/MON MINISTRA OBRONY NARODOWEJ. z dnia 5 marca 2012 r.

Polityka bezpieczeństwa

Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.

ZARZĄDZENIE Nr 27/MON MINISTRA OBRONY NARODOWEJ. z dnia 4 października 2016 r.

Zarządzenie Nr 56/2012/2013 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 27 marca 2013 r.

ROZPORZĄDZENIE PREZESA RADY MINISTRÓW. z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego

Zarządzenie nr 52 Rektora Uniwersytetu Jagiellońskiego z 19 lipca 2019 roku

R E G U L A M I N W E W NĘTRZNY B I U R A O C H R O N Y

INSTRUKCJA BEZPIECZEŃSTWA PRZEMYSŁOWEGO (IBP)

DECYZJA Nr 212/MON MINISTRA OBRONY NARODOWEJ. z dnia 29 kwietnia 2008 r. w sprawie działalności promocyjnej w resorcie obrony narodowej

Zespoły Szkół Centra Kształcenia Rolniczego organizują zadania dotyczące kierowania bezpieczeństwem narodowym według odrębnych uregulowań i procedur.

Warszawa, dnia 3 grudnia 2013 r. Poz. 1418

DZIENNIK URZĘDOWY. Warszawa, dnia 15 lutego 2019 r. Poz. 7. ZARZĄDZENIE Nr 7 MINISTRA GOSPODARKI MORSKIEJ I ŻEGLUGI ŚRÓDLĄDOWEJ 1)

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

U C H W A Ł A Nr IX/70/2015 Zarządu Powiatu Ropczycko Sędziszowskiego z dnia 19 marca 2015

Warsztaty ochrony informacji niejawnych

INSTRUKCJA BEZPIECZEŃSTWA PRZEMYSŁOWEGO

Warszawa, dnia 7 sierpnia 2018 r. Poz. 30 Z A R Z Ą D Z E N I E NR 10 M I N I S T R A I N F R A S T R U K T URY 1) z dnia 7 sierpnia 2018 r.

Warszawa, dnia 28 lutego 2014 r. Poz. 75. DECYZJA Nr 61/MON MINISTRA OBRONY NARODOWEJ. z dnia 26 lutego 2014 r.

Ochrona informacji niejawnych.

z dnia 5 marca 2012 r.

ZARZĄDZENIE Nr 22/MON MINISTRA OBRONY NARODOWEJ z dnia 29 lipca 2014 r.

Regulamin organizacyjny Okręgowej Komisji Egzaminacyjnej w Warszawie. Rozdział I Postanowienia ogólne

Transkrypt:

Departament Ochrony Informacji Niejawnych Warszawa, dnia 9 lutego 2012 r. Poz. 8 DECYZJA Nr 7/MON MINISTRA OBRONY NARODOWEJ z dnia 20 stycznia 2012 r. w sprawie organizacji ochrony systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych w resorcie obrony narodowej Na podstawie 2 pkt 6 i 14 rozporządzenia Rady Ministrów z dnia 9 lipca 1996 r. w sprawie szczegółowego zakresu działania Ministra Obrony Narodowej (Dz. U. Nr 94, poz. 426), w celu właściwej organizacji ochrony systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych w resorcie obrony narodowej ustala się, co następuje: Rozdział 1 Postanowienia ogólne 1. Użyte w decyzji określenia oznaczają: 1) administrator systemu administratora systemu teleinformatycznego w rozumieniu przepisu art. 52 ust. 1 pkt 2 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228), zwanej dalej ustawą ; 2) jednostka organizacyjna Ministerstwo Obrony Narodowej, jednostkę organizacyjną podległą Ministrowi Obrony Narodowej lub przez niego nadzorowaną; 3) komórka organizacyjna komórkę organizacyjną Ministerstwa Obrony Narodowej w rozumieniu statutu Ministerstwa Obrony Narodowej stanowiącego załącznik do zarządzenia Nr 160 Prezesa Rady Ministrów z dnia 24 października 2006 r. w sprawie nadania statutu Ministerstwu Obrony Narodowej (M. P. Nr 76, poz. 768, z późn. zm. 1) ); 4) kierownik jednostki (komórki) organizacyjnej dowódcę, szefa, dyrektora, komendanta lub inną osobę kierującą działalnością jednostki (komórki) organizacyjnej, w tym osobę czasowo pełniącą obowiązki; 5) lokalny system teleinformatyczny system teleinformatyczny funkcjonujący w jednej jednostce organizacyjnej; 1) Zmiany wymienionego zarządzenia zostały ogłoszone w M. P. z 2007 r. Nr 57, poz. 647 i Nr 97, poz. 1073, z 2008 r. Nr 68, poz. 611 oraz z 2010 r. Nr 99, poz. 1168. 1

6) oficer bezpieczeństwa systemów łączności i informatyki funkcję sprawowaną w celu nadzoru nad bezpieczeństwem materiałów kryptograficznych; 7) ogólnosystemowa dokumentacja bezpieczeństwa dokumentację bezpieczeństwa rozległego systemu teleinformatycznego; 8) organizator systemu kierownika jednostki organizacyjnej organizującej system teleinformatyczny lub upoważnionego przez niego kierownika komórki organizacyjnej; 9) pełnomocnik ochrony pełnomocnika kierownika jednostki organizacyjnej do spraw ochrony informacji niejawnych w rozumieniu przepisu art. 14 ust. 2 ustawy; 10) rozległy system teleinformatyczny system teleinformatyczny funkcjonujący w więcej niż jednej jednostce organizacyjnej. Rozdział 2 Organizacja bezpieczeństwa teleinformatycznego 2. Zadania w zakresie bezpieczeństwa teleinformatycznego realizują: 1) w jednostce organizacyjnej: a) kierownik jednostki organizacyjnej, b) kierownik komórki organizacyjnej, c) pełnomocnik ochrony, d) inspektor bezpieczeństwa teleinformatycznego, e) administrator systemu, f) oficer bezpieczeństwa systemów łączności i informatyki; 2) Pełnomocnik Ministra Obrony Narodowej do Spraw Ochrony Informacji Niejawnych Dyrektor Departamentu Ochrony Informacji Niejawnych, zwany dalej Pełnomocnikiem Ministra ; 3) Komendant Resortowego Centrum Zarządzania Bezpieczeństwem Sieci i Usług Teleinformatycznych; 4) Służba Kontrwywiadu Wojskowego. 3. Szczegółowy wykaz zadań w zakresie bezpieczeństwa teleinformatycznego dla osób funkcyjnych i instytucji wymienionych w pkt 2 zawiera załącznik Nr 1 do decyzji. 4. Sposób powoływania oraz kwalifikacje wymagane do pełnienia funkcji inspektora bezpieczeństwa teleinformatycznego i administratora systemu określa załącznik Nr 2 do decyzji. Rozdział 3 Dokumentacja bezpieczeństwa teleinformatycznego 5. Dla systemów teleinformatycznych, w których mają być przetwarzane informacje niejawne, opracowuje się dokumentację bezpieczeństwa teleinformatycznego składającą się ze szczególnych wymagań bezpieczeństwa i procedur bezpiecznej eksploatacji. 6. Dokument szczególnych wymagań bezpieczeństwa systemu teleinformatycznego powinien zawierać w szczególności wyniki procesu szacowania ryzyka dla bezpieczeństwa przetwarzanych w systemie teleinformatycznym informacji niejawnych oraz określać przyjęte w ramach zarządzania ryzykiem sposoby osiągania i utrzymywania odpowiedniego poziomu bezpieczeństwa systemu, a w przypadku systemów, w których przewiduje się wykorzystanie urządzeń lub narzędzi kryptograficznych, dodatkowo ich zabezpieczenie w dokumenty kryptograficzne. 7. Przebieg i wyniki procesu szacowania ryzyka mogą zostać przedstawione w odrębnym dokumencie niż dokument szczególnych wymagań bezpieczeństwa. 8. Za opracowanie dokumentacji bezpieczeństwa systemu teleinformatycznego i za przesłanie jej do podmiotu udzielającego akredytacji odpowiada organizator systemu. 2

9. Dokumentację bezpieczeństwa wykonuje się, z zastrzeżeniem pkt 10, w dwóch egzemplarzach, po jednym dla administratora systemu teleinformatycznego i podmiotu udzielającego akredytacji, chyba że podmiot udzielający akredytacji postanowi inaczej. 10. W przypadku systemów teleinformatycznych, dla których organizatorami są kierownicy komórek organizacyjnych, wykonywany jest dodatkowy egzemplarz dokumentacji bezpieczeństwa z przeznaczeniem dla Pełnomocnika Ministra. 11. W przypadku rozległych systemów teleinformatycznych opracowuje się ogólnosystemową dokumentację bezpieczeństwa teleinformatycznego i wynikające z niej załączniki dla poszczególnych lokalizacji lub usług uruchamianych w ramach tego systemu. 12. W ogólnosystemowej dokumentacji bezpieczeństwa organizator systemu teleinformatycznego opisuje minimalne wymagania bezpieczeństwa, w tym szczegółowe warunki i zasady dołączania nowych lokalizacji oraz uruchamiania nowych usług, a także określa niezbędne do wyznaczenia w poszczególnych lokalizacjach osoby funkcyjne i zakres ich zadań. 13. Kierownicy jednostek (komórek) organizacyjnych odpowiedzialni za poszczególne lokalizacje lub wdrażane usługi w rozległym systemie teleinformatycznym odpowiadają za opracowanie załączników wymienionych w pkt 11 i udostępniają organizatorowi systemu niezbędne informacje pozwalające na przeprowadzenie procesu szacowania ryzyka dla systemu, chyba że dokumentacja ogólnosystemowa stanowi inaczej. 14. Zmiany w dokumentacji bezpieczeństwa mogą być wprowadzane aneksami. 15. Za akceptację wyników procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych i za właściwą organizację bezpieczeństwa teleinformatycznego odpowiada, z zastrzeżeniem pkt 16, organizator systemu. 16. Dla organizowanych w komórkach organizacyjnych systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych: 1) dokumentacja bezpieczeństwa przesyłana jest do organu udzielającego akredytacji przez Pełnomocnika Ministra; 2) wyniki szacowania ryzyka dla informacji niejawnych akceptuje Pełnomocnik Ministra. 17. Przed przedłożeniem do akredytacji, dokumentacja bezpieczeństwa systemu podlega uzgodnieniu z: 1) właściwym oficerem bezpieczeństwa systemów łączności i informatyki, w przypadku stosowania urządzeń lub narzędzi kryptograficznych, w zakresie ich doboru i sposobu użycia oraz zabezpieczenia w dokumenty kryptograficzne; 2) Resortowym Centrum Zarządzania Bezpieczeństwem Sieci i Usług Teleinformatycznych pod względem doboru oraz stosowania urządzeń lub narzędzi kryptograficznych stosowanych w rozległych systemach teleinformatycznych; 3) właściwym pełnomocnikiem ochrony w zakresie poprawności przeprowadzenia szacowania ryzyka dla informacji niejawnych oraz zgodności zapisów dokumentacji z przepisami i procedurami z zakresu ochrony informacji niejawnych; 4) innym kierownikiem jednostki organizacyjnej w razie potrzeby. Rozdział 4 Akredytacja systemów teleinformatycznych 18. Akredytacji bezpieczeństwa teleinformatycznego dla systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych o klauzuli poufne lub wyższej i systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych międzynarodowych udziela Służba Kontrwywiadu Wojskowego. 19. Akredytacji bezpieczeństwa teleinformatycznego dla systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych o klauzuli zastrzeżone udziela organizator systemu. 20. W przypadku systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych oznaczonych klauzulą zastrzeżone, w których zakłada się przetwarzanie 3

informacji niejawnych międzynarodowych, warunkiem dopuszczenia do ich przetwarzania jest wcześniejsze udzielenie przez organizatora systemu akredytacji bezpieczeństwa w trybie art. 48 ust. 9 lub 10 ustawy. Rozpoczęcie przetwarzania informacji niejawnych możliwe jest: 1) w odniesieniu do informacji oznaczonych klauzulą zastrzeżone po zatwierdzeniu przez organizatora systemu stosownej dokumentacji bezpieczeństwa; 2) w odniesieniu do informacji niejawnych międzynarodowych po otrzymaniu pisemnego potwierdzenia dopuszczenia przez Służbę Kontrwywiadu Wojskowego możliwości przetwarzania w danym systemie informacji niejawnych międzynarodowych, stanowiącego potwierdzenie spełnienia przez system wymagań wynikających z regulacji lub umów międzynarodowych. Rozdział 5 Uruchamianie i wycofywanie systemów teleinformatycznych z eksploatacji 21. Informacje o uruchomieniu i wycofaniu z eksploatacji systemu teleinformatycznego umieszcza się w decyzji lub rozkazie właściwego kierownika jednostki (komórki) organizacyjnej. 22. O wyłączeniu z eksploatacji systemu teleinformatycznego organizator systemu powiadamia Służbę Kontrwywiadu Wojskowego. 23. W przypadku wyłączenia z eksploatacji systemu przeznaczonego do przetwarzania informacji niejawnych o klauzuli poufne lub wyższej, organizator systemu dodatkowo zwraca do organu, który udzielił akredytacji, świadectwo akredytacji bezpieczeństwa systemu teleinformatycznego. 24. W przypadku systemów organizowanych w komórkach organizacyjnych, informacja, o której mowa w pkt 22, przesyłana jest przez Pełnomocnika Ministra. Rozdział 6 Postanowienia końcowe 25. W decyzji Nr 122/MON Ministra Obrony Narodowej z dnia 18 marca 2008 r. w sprawie powoływania w resorcie obrony narodowej pełnomocników i zastępców pełnomocników do spraw ochrony informacji niejawnych, administratorów systemów oraz inspektorów bezpieczeństwa teleinformatycznego (Dz. Urz. MON Nr 6, poz. 61) uchyla się pkt 12-29. 26. Traci moc decyzja Nr 24/MON Ministra Obrony Narodowej z dnia 31 stycznia 2006 r. w sprawie organizacji szczególnej ochrony systemów i sieci teleinformatycznych w resorcie obrony narodowej (Dz. Urz. MON Nr 2, poz. 19 oraz z 2007 r. Nr 23, poz. 241). 27. W przypadku systemów teleinformatycznych, które uzyskały akredytację przed wejściem w życie niniejszej decyzji, nie wymagane jest formalne upoważnienie wynikające z zapisów definicji zawartej w pkt 1 ppkt 8. 28. Decyzja wchodzi w życie po upływie 14 dni od dnia ogłoszenia. Minister Obrony Narodowej: T. Siemoniak 4

Załączniki do decyzji Ministra Obrony Narodowej z dnia 20 stycznia 2012 r. (poz. 8 ) Szczegółowy wykaz zadań w zakresie bezpieczeństwa teleinformatycznego załącznik Nr 1 1. Kierownik jednostki organizacyjnej odpowiada za organizację, eksploatację i bezpieczeństwo systemów teleinformatycznych funkcjonujących w jednostce organizacyjnej, w szczególności za: 1) nadzór nad opracowaniem dokumentacji bezpieczeństwa dla organizowanych przez siebie systemów teleinformatycznych; 2) akceptację wyników procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych w organizowanych przez siebie systemach teleinformatycznych; 3) udzielanie akredytacji bezpieczeństwa teleinformatycznego dla organizowanych przez siebie systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych o klauzuli zastrzeżone ; 4) wyznaczanie, zgodnie z art. 52 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228), zwanej dalej ustawą, osób funkcyjnych dla organizowanych przez siebie systemów teleinformatycznych; 5) wyznaczanie osób funkcyjnych przewidzianych w dokumentacji bezpieczeństwa dla eksploatowanych w jednostce organizacyjnej systemów teleinformatycznych; 6) występowanie do Służby Kontrwywiadu Wojskowego z wnioskami o: a) weryfikację w trybie art. 48 ust. 11 i 12 ustawy poprawności akredytacji bezpieczeństwa teleinformatycznego udzielonej dla systemów teleinformatycznych przetwarzających informacje niejawne oznaczone klauzulą zastrzeżone, b) udzielenie akredytacji bezpieczeństwa teleinformatycznego dla organizowanych przez siebie systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych o klauzuli poufne lub wyższej, c) udzielenie akredytacji bezpieczeństwa teleinformatycznego dla organizowanych przez siebie systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych międzynarodowych, d) określenie poziomu zabezpieczenia miejsca, technicznego poziomu zabezpieczenia urządzenia lub klasy urządzenia, e) przeprowadzenie certyfikacji środków ochrony elektromagnetycznej przeznaczonych do ochrony informacji niejawnych o klauzuli poufne lub wyższej, f) dopuszczenie do stosowania w organizowanym przez siebie systemie przeznaczonym do przetwarzania informacji niejawnych o klauzuli zastrzeżone, urządzeń lub narzędzi kryptograficznych w trybie art. 50 ust. 7 ustawy. 2. Kierownik komórki organizacyjnej odpowiada za eksploatację i bezpieczeństwo systemów teleinformatycznych funkcjonujących w komórce organizacyjnej, w szczególności za wyznaczanie osób funkcyjnych przewidzianych w dokumentacji bezpieczeństwa dla tych systemów. Ponadto w przypadku, kiedy kierownik komórki organizacyjnej został upoważniony przez kierownika jednostki organizacyjnej do pełnienia funkcji organizatora systemów teleinformatycznych, dodatkowo odpowiada za ich organizację, w szczególności za: 1) nadzór nad opracowaniem dokumentacji bezpieczeństwa dla organizowanych przez siebie systemów teleinformatycznych; 2) występowanie o wyznaczenie, zgodnie z art. 52 ust. 1 pkt 2 ustawy, osób funkcyjnych dla organizowanych przez siebie systemów teleinformatycznych; 3) udzielanie akredytacji bezpieczeństwa teleinformatycznego dla organizowanych przez siebie 5

systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych o klauzuli zastrzeżone ; 4) występowanie do Służby Kontrwywiadu Wojskowego przez Pełnomocnika Ministra Obrony Narodowej do Spraw Ochrony Informacji Niejawnych Dyrektora Departamentu Ochrony Informacji Niejawnych, zwanego dalej Pełnomocnikiem Ministra, z wnioskami o: a) weryfikację w trybie art. 48 ust. 11 i 12 ustawy poprawności akredytacji bezpieczeństwa teleinformatycznego udzielonej dla systemów teleinformatycznych przetwarzających informacje niejawne oznaczone klauzulą zastrzeżone, b) udzielenie akredytacji bezpieczeństwa teleinformatycznego dla organizowanych przez siebie systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych o klauzuli poufne lub wyższej, c) udzielenie akredytacji bezpieczeństwa teleinformatycznego dla organizowanych przez siebie systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych międzynarodowych, d) określenie poziomu zabezpieczenia miejsca, technicznego poziomu zabezpieczenia urządzenia lub klasy urządzenia; e) przeprowadzenie certyfikacji środków ochrony elektromagnetycznej przeznaczonych do ochrony informacji niejawnych o klauzuli poufne lub wyższej, f) dopuszczenie do stosowania w organizowanym przez siebie systemie przeznaczonym do przetwarzania informacji niejawnych o klauzuli zastrzeżone, urządzeń lub narzędzi kryptograficznych w trybie art. 50 ust. 7 ustawy; 5) informowanie Pełnomocnika Ministra o stanie realizacji prac związanych z opracowywaniem dokumentacji bezpieczeństwa systemów teleinformatycznych i jej przygotowaniem do wdrożenia; 6) przekazywanie Pełnomocnikowi Ministra informacji o potrzebach w zakresie wyposażenia w środki ochrony elektromagnetycznej przeznaczone do przetwarzania informacji niejawnych o klauzuli poufne lub wyższej. 3. Pełnomocnik ochrony odpowiada za zapewnienie ochrony systemów teleinformatycznych funkcjonujących w jednostce organizacyjnej (z wyłączeniem organizacyjnych, technicznych, programowych i eksploatacyjnych aspektów ochrony kryptograficznej), w szczególności za: 1) zapewnienie przestrzegania zasad ochrony informacji niejawnych przetwarzanych w systemach teleinformatycznych, w tym właściwego i bezpiecznego obiegu dokumentów oraz informatycznych nośników danych; 2) zapewnienie bezpieczeństwa fizycznego obszarów, w których usytuowane są systemy teleinformatyczne; 3) organizację i prowadzenie szkoleń użytkowników w zakresie bezpieczeństwa teleinformatycznego; 4) nadzór nad konfiguracją systemów teleinformatycznych i przemieszczaniem ich elementów składowych; 5) prowadzenie ewidencji systemów teleinformatycznych ewidencja systemów może być prowadzona w postaci elektronicznej i powinna zawierać co najmniej: nazwę systemu, klauzule przetwarzanych w nim informacji, nazwę komórki, w której uruchomiono system, lokalizację, imię i nazwisko administratora, datę uruchomienia oraz datę upływu ważności akredytacji; 6) prowadzenie ewidencji środków ochrony elektromagnetycznej ewidencja tych środków może być prowadzona w postaci elektronicznej i powinna zawierać co najmniej: nazwę i numer seryjny środka ochrony elektromagnetycznej, numer wydanego certyfikatu i Techniczny Poziom Zabezpieczenia Urządzenia oraz termin ważności wydanego certyfikatu; 7) prowadzenie procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych. Ponadto pełnomocnik ochrony: 6

1) uczestniczy w opracowywaniu projektów dokumentów regulujących w danej jednostce organizacyjnej problematykę ochrony przetwarzanych w systemach teleinformatycznych informacji niejawnych, w tym: a) programów organizacyjno-użytkowych, projektów koncepcyjnych i technicznych planowanych do budowy systemów teleinformatycznych, b) dokumentacji bezpieczeństwa systemów teleinformatycznych; 2) uzgadnia dokumentację bezpieczeństwa: a) organizowanych w danej jednostce organizacyjnej systemów teleinformatycznych, b) dla elementów rozległych systemów teleinformatycznych funkcjonujących w danej jednostce organizacyjnej. 4. Inspektor bezpieczeństwa teleinformatycznego realizuje zadania w zakresie weryfikacji i bieżącej kontroli zgodności funkcjonowania eksploatowanego w danej jednostce organizacyjnej systemu teleinformatycznego z jego dokumentacją bezpieczeństwa, a w szczególności kontroluje: 1) przestrzeganie zasad ochrony przetwarzanych w systemie teleinformatycznym informacji niejawnych; 2) poprawność realizacji zadań wykonywanych przez administratora; 3) zgodność konfiguracji systemu teleinformatycznego z dokumentacją bezpieczeństwa systemu teleinformatycznego; 4) stan środków bezpieczeństwa fizycznego i ochrony elektromagnetycznej; 5) aktualność wykazów osób mających dostęp do systemu teleinformatycznego, prawidłowość przydzielania kont użytkownikom, zakres nadanych im uprawnień i prawidłowość zabezpieczeń zastosowanych w systemie teleinformatycznym; 6) znajomość i przestrzeganie przez użytkowników procedur bezpiecznej eksploatacji systemu teleinformatycznego. Ponadto inspektor bezpieczeństwa teleinformatycznego: 1) analizuje rejestry zdarzeń w systemie teleinformatycznym i prawidłowość ich archiwizowania; 2) informuje pełnomocnika ochrony o wszelkich zdarzeniach związanych lub mogących mieć wpływ na bezpieczeństwo systemu teleinformatycznego; 3) uczestniczy w opracowywaniu programów organizacyjno-użytkowych, projektów koncepcyjnych i technicznych planowanych do budowy systemów teleinformatycznych. 5. Administrator systemu realizuje zadania w zakresie odpowiedzialności za funkcjonowanie systemu teleinformatycznego oraz odpowiada za przestrzeganie zasad i wymagań bezpieczeństwa przewidzianych dla systemu teleinformatycznego, w szczególności: 1) opracowuje i uaktualniania dokumentację bezpieczeństwa systemu teleinformatycznego; 2) przechowuje oryginały zatwierdzonej dokumentacji bezpieczeństwa teleinformatycznego systemu teleinformatycznego; 3) uczestniczy w procesie szacowania ryzyka; 4) wdraża procedury bezpiecznej eksploatacji; 5) szkoli użytkowników systemu teleinformatycznego z zakresu procedur bezpiecznej eksploatacji; 6) utrzymuje zgodność konfiguracji i parametrów systemu teleinformatycznego z dokumentacją bezpieczeństwa systemu; 7) systematycznie kontroluje funkcjonowanie mechanizmów zabezpieczeń i poprawność działania systemu teleinformatycznego; 8) informuje pełnomocnika ochrony o stwierdzonych naruszeniach bezpieczeństwa systemu teleinformatycznego; 9) zgłasza do pełnomocnika ochrony potrzeby w zakresie serwisowania i certyfikacji środków ochrony elektromagnetycznej; 10) analizuje i archiwizuje rejestr zdarzeń w systemie teleinformatycznym; 11) prowadzi wykaz osób mających dostęp do systemu teleinformatycznego zawierający co 7

najmniej: imię i nazwisko, nazwę jednostki (komórki) organizacyjnej, posiadane poświadczenie bezpieczeństwa (jego numer, klauzulę i datę ważności) oraz przydziela użytkownikom konta, zgodnie z uprawnieniami nadanymi przez kierownika jednostki (komórki) organizacyjnej; 12) zapewnia dostęp do systemu teleinformatycznego wyłącznie użytkowników posiadających wymagane uprawnienia oraz odpowiednie i ważne poświadczenia bezpieczeństwa. 6. Oficer bezpieczeństwa systemów łączności i informatyki realizuje zadania w zakresie nadzoru nad bezpieczeństwem kryptograficznym, w szczególności: 1) nadzoruje przekazywanie urządzeń i narzędzi kryptograficznych poza jednostkę (komórkę) organizacyjną; 2) prowadzi kontrole urządzeń i narzędzi kryptograficznych stosowanych w systemach teleinformatycznych; 3) w przypadku stosowania urządzeń lub narzędzi kryptograficznych uzgadnia dokumentację bezpieczeństwa systemu teleinformatycznego pod kątem odpowiedniego doboru tych urządzeń i zabezpieczenia w dokumenty kryptograficzne. 7. Pełnomocnik Ministra oprócz zadań określonych w pkt 3 jest właściwy w zakresie: 1) opracowywania projektów aktów normatywnych i projektów wytycznych normujących zasady ochrony systemów teleinformatycznych w resorcie obrony narodowej; 2) akceptacji wyników szacowania ryzyka dla systemów teleinformatycznych, dla których kierownicy komórek organizacyjnych pełnią funkcję organizatora systemu. 8. Komendant Resortowego Centrum Zarządzania Bezpieczeństwem Sieci i Usług Teleinformatycznych (RCZBSiUT) jest właściwy do: 1) opracowywania projektów wytycznych i projektów innych dokumentów dotyczących: a) organizacji, funkcjonowania i bezpieczeństwa systemów ochrony kryptograficznej stosowanych w systemach teleinformatycznych resortu obrony narodowej, b) gospodarki materiałowej i zasad eksploatacji urządzeń ochrony kryptograficznej; 2) koordynowania działalności organów bezpieczeństwa systemów łączności i informatyki rodzajów Sił Zbrojnych Rzeczypospolitej Polskiej, Dowództwa Operacyjnego Sił Zbrojnych, Inspektoratu Wsparcia Sił Zbrojnych, Dowództwa Garnizonu Warszawa i równorzędnych oraz Centrum Wsparcia Teleinformatycznego Sił Zbrojnych Ministerstwa Obrony Narodowej; 3) planowania, organizowania, prognozowania rozwoju, eksploatacji i nadzoru nad funkcjonowaniem systemów ochrony kryptograficznej stosowanych w systemach teleinformatycznych resortu obrony narodowej; 4) planowania, organizowania oraz sprawowania nadzoru nad szkoleniem specjalistycznym personelu organów bezpieczeństwa systemów łączności i informatyki; 5) koordynacji działań podległego mu Centrum Wsparcia Technicznego Systemu Reagowania na Incydenty Komputerowe w stosunku do resortowych systemów teleinformatycznych; 6) uzgadniania dokumentacji bezpieczeństwa teleinformatycznego dla systemów rozległych w przypadku stosowania urządzeń lub narzędzi kryptograficznych pod względem ich doboru i stosowania oraz zabezpieczenia w dokumenty kryptograficzne. Ponadto Komendant RCZBSiUT wyznacza, ze składu osobowego RCZBSiUT, osobę lub osoby pełniące funkcję oficera bezpieczeństwa łączności i informatyki dla komórek organizacyjnych Ministerstwa Obrony Narodowej. 9. Służba Kontrwywiadu Wojskowego jest właściwa w zakresie: 1) określania ogólnych zasad bezpieczeństwa teleinformatycznego; 2) weryfikacji poprawności akredytacji udzielonych dla systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych oznaczonych klauzulą zastrzeżone ; 3) udzielania akredytacji bezpieczeństwa teleinformatycznego dla systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych o klauzuli poufne lub wyższej; 8

4) udzielania akredytacji dla systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych międzynarodowych; 5) wydawania świadectw akredytacji bezpieczeństwa teleinformatycznego; 6) badań i oceny bezpieczeństwa w ramach certyfikacji: a) środków ochrony elektromagnetycznej, b) urządzeń i narzędzi kryptograficznych, c) urządzeń i narzędzi służących do realizacji zabezpieczeń teleinformatycznych; 7) określania poziomu zabezpieczenia miejsca, technicznego poziomu zabezpieczenia urządzenia lub klasy urządzenia; 8) prowadzenia specjalistycznych szkoleń dla administratorów systemów i inspektorów bezpieczeństwa teleinformatycznego; 9) dokonywania okresowej i doraźnych ocen stanu zabezpieczenia informacji niejawnych w resorcie obrony narodowej, w zakresie bezpieczeństwa teleinformatycznego; 10) opiniowania projektów dokumentów normatywnych dotyczących organizacji, funkcjonowania i bezpieczeństwa systemów teleinformatycznych oraz projektów wytycznych i projektów innych dokumentów dotyczących: a) organizacji, funkcjonowania i bezpieczeństwa systemów ochrony kryptograficznej, stosowanych w systemach teleinformatycznych resortu obrony narodowej, b) gospodarki materiałowej i zasad eksploatacji urządzeń ochrony kryptograficznej, c) prognozowania rozwoju systemów ochrony kryptograficznej; 11) kontroli systemów teleinformatycznych i przestrzegania przepisów obowiązujących w tym zakresie; 12) nadzoru nad realizacją zadań określonych w pkt 3; 13) opiniowania programów szkoleń dotyczących eksploatacji urządzeń ochrony kryptograficznej; 14) wykonywania funkcji krajowego organu dystrybucji i generacji materiałów kryptograficznych na potrzeby jednostek oraz pełnienia funkcji National Distribution Authotrity (NDA) dla materiałów kryptograficznych wykorzystywanych w systemach teleinformatycznych przetwarzających informację NATO; 15) wydawania zaleceń w zakresie bezpieczeństwa teleinformatycznego do stosowania w resorcie obrony narodowej. 9

załącznik Nr 2 Sposób powoływania oraz kwalifikacje wymagane do pełnienia funkcji inspektora bezpieczeństwa teleinformatycznego i administratora systemu 1. Administratorów systemów teleinformatycznych, z zastrzeżeniem pkt 2, wyznaczają kierownicy jednostek organizacyjnych eksploatujących te systemy, zgodnie z dokumentacją bezpieczeństwa. 2. W przypadku systemów teleinformatycznych organizowanych lub eksploatowanych w komórkach organizacyjnych, administratorów wyznacza Dyrektor Generalny Ministerstwa Obrony Narodowej na wniosek kierowników właściwych komórek organizacyjnych przesłany przez Pełnomocnika Ministra Obrony Narodowej do Spraw Ochrony Informacji Niejawnych Dyrektora Departamentu Ochrony Informacji Niejawnych, zwanego dalej Pełnomocnikiem Ministra. 3. Administratorem systemu nie może być pracownik pionu ochrony. 4. Przepis pkt 3 nie dotyczy systemów teleinformatycznych eksploatowanych w pionach ochrony jednostek organizacyjnych. 5. W przypadku, o którym mowa w pkt 4, nie można łączyć funkcji administratora systemu i inspektora bezpieczeństwa teleinformatycznego. 6. Do pełnienia funkcji administratora systemu zaleca się wyznaczać osoby posiadające wykształcenie informatyczne. 7. Do pełnienia funkcji administratora systemu, w którym przetwarzane są informacje niejawne o klauzuli tajne lub ściśle tajne, wyznacza się osoby posiadające kwalifikacje w zakresie administrowania systemami teleinformatycznymi, potwierdzone ważnym świadectwem, certyfikatem lub zaświadczeniem. 8. Kierownicy jednostek (komórek) organizacyjnych kierują osoby wyznaczone do pełnienia funkcji administratora systemu, o którym mowa w pkt 7, na dodatkowe szkolenia, poza określonymi w art. 52 ust. 4 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228), w celu podnoszenia ich kwalifikacji w zakresie administrowania systemami teleinformatycznymi. 9. Dodatkowe szkolenia kończące się wydaniem dokumentu, o którym mowa w pkt 8, potwierdzającego nabycie umiejętności w zakresie administrowania systemem użytkowanym w jednostce (komórce) organizacyjnej, są prowadzone: 1) w ośrodkach kształcenia autoryzowanych przez producenta (producentów) sprzętu komputerowego, oprogramowania lub urządzeń wraz z oprogramowaniem, zapewniających bezpieczeństwo systemów teleinformatycznych; 2) przez organy wojskowe pod warunkiem uzgodnienia programu oraz formy szkolenia przez Dyrektora Departamentu Informatyki i Telekomunikacji. 10. Na szkolenia, o których mowa w pkt 8, kierownicy jednostek (komórek) organizacyjnych mogą kierować (w miarę posiadanych środków) administratorów pozostałych systemów teleinformatycznych. 11. O wyznaczeniu do pełnienia funkcji administratora systemu, a także o odwołaniu z pełnienia tej funkcji, kierownicy jednostek (komórek) organizacyjnych informują właściwego pełnomocnika ochrony. 12. Inspektorów bezpieczeństwa teleinformatycznego wyznaczają: 1) w jednostkach organizacyjnych kierownicy tych jednostek, na wniosek pełnomocnika ochrony, spośród pracowników pionu ochrony; 2) w Ministerstwie Obrony Narodowej Dyrektor Generalny Ministerstwa Obrony Narodowej, na wniosek Pełnomocnika Ministra, spośród żołnierzy zawodowych i pracowników Departamentu Ochrony Informacji Niejawnych. 10

13. W stosunku do osób wyznaczonych do pełnienia funkcji inspektora bezpieczeństwa teleinformatycznego, przepisy pkt 6-10 stosuje się odpowiednio. 14. Wyznaczenie i odwołanie administratora systemu lub inspektora bezpieczeństwa teleinformatycznego odbywa się w formie decyzji (rozkazu) osób wskazanych odpowiednio w pkt 1, 2 i 12. Decyzja (rozkaz) powinna zawierać co najmniej informacje określające: 1) podstawę prawną wyznaczenia lub odwołania; 2) imię i nazwisko osoby wyznaczanej lub odwoływanej oraz nazwę jednostki (komórki) organizacyjnej; 3) w przypadku inspektora bezpieczeństwa teleinformatycznego nazwę jednostki organizacyjnej, w której będzie wykonywał zadania; 4) w przypadku administratora nazwę, klauzulę i lokalizację systemu teleinformatycznego. 15. Żołnierzom zawodowym wyznaczonym do pełnienia funkcji administratora systemu lub inspektora bezpieczeństwa teleinformatycznego za realizację powierzonych im czynności wypłaca się dodatkowe wynagrodzenie na zasadach i w trybie określonym w przepisach o służbie wojskowej żołnierzy zawodowych, a pracownikom wyznaczonym do pełnienia tych funkcji na zasadach określonych w przepisach o wynagrodzeniu pracowników. 16. W przypadkach uzasadnionych względami etatowymi, funkcję inspektora bezpieczeństwa teleinformatycznego może pełnić pełnomocnik ochrony. 11

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres