Art. 36. - CIS, w których korzysta się z EUCI - Decyzja 2015/444 w sprawie przepisów bezpieczeństwa dotyczących ochrony informacji niejawnych UE
Dzienniki UE
Dz.U.UE.L.2015.72.53
Akt obowiązujący Wersja od: 17 marca 2015 r.
Artykuł 36
CIS, w których korzysta się z EUCI
1.
CIS przetwarza EUCI zgodnie z koncepcją zabezpieczania informacji.2.
W przypadku CIS, w których korzysta się z EUCI, zgodność z polityką Komisji w dziedzinie bezpieczeństwa systemów informatycznych, o której mowa w decyzji C(2006) 3602 11 , oznacza, że:a)
w odniesieniu do realizacji polityki w zakresie bezpieczeństwa systemów informatycznych w całym cyklu życia systemu informacyjnego stosuje się podejście Planuj - Wykonaj - Sprawdź - Działaj;b)
potrzeby w zakresie bezpieczeństwa muszą zostać określone z zastosowaniem oceny wpływu na działalność;c)
system informacyjny i zawarte w nim dane muszą być poddane formalnej klasyfikacji aktywów;d)
wszystkie obowiązkowe środki bezpieczeństwa określone w ramach polityki w dziedzinie bezpieczeństwa systemów informatycznych muszą zostać wdrożone;e)
musi zostać zastosowany proces zarządzania ryzykiem, który składa się z następujących etapów: identyfikacja zagrożeń i podatności, ocena ryzyka, zmniejszenie ryzyka, akceptacja ryzyka i informowanie o ryzyku;f)
określa się, wdraża, sprawdza i poprawia plan bezpieczeństwa, w tym politykę bezpieczeństwa i procedurę bezpiecznej eksploatacji systemu.3.
Wszyscy pracownicy zaangażowani w projektowanie, budowę, testowanie, funkcjonowanie, zarządzanie lub stosowanie CIS, w których przetwarzane są EUCI, zgłaszają SAA wszelkie ewentualne niedoskonałości w zakresie bezpieczeństwa, incydenty, naruszenia lub narażenia na szwank bezpieczeństwa, które mogą mieć wpływ na ochronę CIS lub znajdujących się w nich EUCI.4.
Jeżeli EUCI podlegają ochronie przy użyciu produktów kryptograficznych, produkty te są zatwierdzane w następujący sposób:a)
pierwszeństwo przyznaje się produktom zatwierdzonym przez Radę lub Sekretarza Generalnego Rady Unii Europejskiej, działającego jako organ ds. zatwierdzania produktów kryptograficznych Rady, na podstawie zalecenia Grupy Ekspertów ds. Bezpieczeństwa Komisji;b)
jeżeli uzasadniają to określone względy operacyjne, organ Komisji ds. zatwierdzania produktów kryptograficznych (CAA) może, na podstawie zalecenia Grupy Ekspertów ds. Bezpieczeństwa Komisji, znieść wymogi wynikające z lit. a) i udzielić tymczasowej akceptacji na dany okres.5.
Podczas transmisji EUCI drogą elektroniczną, ich przetwarzania i przechowywania na nośnikach elektronicznych stosuje się zatwierdzone produkty kryptograficzne. Niezależnie od tego wymogu w okolicznościach nadzwyczajnych zastosowanie mogą mieć szczególne procedury lub szczególne konfiguracje techniczne zatwierdzone przez CAA.6.
Wdrażane są specjalne środki bezpieczeństwa w celu ochrony CIS przetwarzającego informacje niejawne z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższą przed narażeniem tych informacji na szwank z powodu niezamierzonych emisji elektromagnetycznych (tzw. "środki bezpieczeństwa TEMPEST"). Takie środki bezpieczeństwa są proporcjonalne do ryzyka wykorzystania informacji niejawnych i do poziomu klauzuli tajności.7.
Organ ds. bezpieczeństwa Komisji obejmuje następujące funkcje:-
organu ds. zabezpieczania informacji (IAA);-
organu ds. akredytacji bezpieczeństwa (SAA);-
organu ds. TEMPEST (TA);-
organu ds. zatwierdzania produktów kryptograficznych (CAA);-
organu ds. dystrybucji produktów kryptograficznych (CDA).8.
Organ ds. bezpieczeństwa Komisji wyznacza dla każdego systemu operacyjny organ ds. zabezpieczania informacji.9.
Obowiązki w ramach funkcji opisanych w ust. 7 i 8 określone zostaną w przepisach wykonawczych.11 Decyzja C(2006) 3602 z dnia 16 sierpnia 2006 r. dotycząca bezpieczeństwa systemów informacyjnych wykorzystywanych przez Komisję Europejską.
© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.