Art. 10. - Ochrona EUCI przetwarzanych w systemach teleinformatycznych - Decyzja 2013/488/UE w sprawie przepisów bezpieczeństwa dotyczących ochrony informacji niejawnych UE
Dzienniki UE
Dz.U.UE.L.2013.274.1
Akt obowiązujący Wersja od: 1 lipca 2021 r.
Artykuł 10
Ochrona EUCI przetwarzanych w systemach teleinformatycznych
1.
Zabezpieczanie informacji w ramach systemów teleinformatycznych oznacza pewność, że systemy te będą chronić informacje, które są w nich przetwarzane, i będą działać zgodnie z przeznaczeniem, w razie potrzeby pod kontrolą uprawnionych użytkowników. Skuteczne zabezpieczanie informacji gwarantuje odpowiedni poziom poufności, integralności, dostępności, niezaprzeczalności i autentyczności. Zabezpieczanie informacji opiera się na procesie zarządzania ryzykiem.2.
"System teleinformatyczny" (CIS) oznacza system umożliwiający przetwarzanie informacji w formie elektronicznej. CIS obejmuje wszystkie zasoby niezbędne do jego funkcjonowania, w tym infrastrukturę, organizację, personel oraz zasoby informatyczne. Niniejsza decyzja ma zastosowanie do (CIS) przetwarzających EUCI.3.
CIS przetwarza EUCI zgodnie z koncepcją zabezpieczania informacji.4.
Wszystkie CIS poddawane są procedurze akredytacji. Celem akredytacji jest upewnienie się, że zastosowano wszystkie odpowiednie środki bezpieczeństwa i że osiągnięto wystarczający poziom ochrony EUCI i CIS zgodnie z niniejszą decyzją. W świadectwie akredytacji określa się najwyższą klauzulę tajności informacji, które mogą być przetwarzane w ramach danego CIS, oraz odpowiednie warunki.5.
Stosowane są specjalne środki bezpieczeństwa w celu ochrony CIS przetwarzającego informacje niejawne o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL i wyższej przed narażeniem tych informacji na szwank z powodu niezamierzonych emisji elektromagnetycznych (tzw. "środki bezpieczeństwa TEMPEST"). Takie środki bezpieczeństwa są proporcjonalne do ryzyka wykorzystania informacji niejawnych i do poziomu klauzuli tajności.6.
Jeżeli EUCI podlegają ochronie przy użyciu produktów kryptograficznych, produkty te są zatwierdzane w sposób następujący:a)
poufność informacji niejawnych o klauzuli tajności SECRET UE/EU SECRET i wyższej podlega ochronie przy użyciu produktów kryptograficznych zatwierdzonych - na podstawie zalecenia Komitetu ds. Bezpieczeństwa - przez Radę działającą jako organ ds. zatwierdzania produktów kryptograficznych (CAA);b)
poufność informacji niejawnych o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub RESTREINT UE/EU RESTRICTED podlega ochronie przy użyciu produktów kryptograficznych zatwierdzonych - na podstawie zalecenia Komitetu ds. Bezpieczeństwa - przez Sekretarza Generalnego Rady (zwanego dalej "Sekretarzem Generalnym") działającego jako CAA.Niezależnie od przepisów lit. b) w obrębie krajowych systemów państw członkowskich poufność EUCI o klauzuli tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub RESTREINT UE/EU RESTRICTED może być chroniona przy użyciu produktów kryptograficznych zatwierdzonych przez CAA danego państwa członkowskiego.
7.
Podczas transmisji EUCI drogą elektroniczną stosuje się zatwierdzone produkty kryptograficzne. Niezależnie od tego wymogu w wyjątkowych okolicznościach mogą mieć zastosowanie szczególne procedury lub szczególne konfiguracje techniczne określone w załączniku IV.8.
Właściwe organy, odpowiednio, SGR i państw członkowskich ustanawiają następujące organy zajmujące się zabezpieczaniem informacji:a)
organ ds. zabezpieczania informacji (IAA);b)
organ ds. TEMPEST (TA);c)
organ ds. zatwierdzania produktów kryptograficznych (CAA);d)
organ ds. dystrybucji produktów kryptograficznych (CDA).9.
W odniesieniu do każdego systemu właściwe organy, odpowiednio, SGR i państw członkowskich ustanawiają:a)
organ ds. akredytacji bezpieczeństwa (SAA);b)
organ operacyjny ds. zabezpieczania informacji.10.
Przepisy dotyczące wykonania niniejszego artykułu znajdują się w załączniku IV.© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.