Rozdział 5 - OCHRONA INFORMACJI NIEJAWNYCH UE W SYSTEMACH TELEINFORMATYCZNYCH (CIS) - Decyzja 2015/444 w sprawie przepisów bezpieczeństwa dotyczących ochrony informacji niejawnych UE
Dzienniki UE
Dz.U.UE.L.2015.72.53
Akt obowiązujący Wersja od: 17 marca 2015 r.
ROZDZIAŁ 5
OCHRONA INFORMACJI NIEJAWNYCH UE W SYSTEMACH TELEINFORMATYCZNYCH (CIS)
OCHRONA INFORMACJI NIEJAWNYCH UE W SYSTEMACH TELEINFORMATYCZNYCH (CIS)
Podstawowe zasady zabezpieczania informacji
1.
Zabezpieczanie informacji w kontekście systemów teleinformatycznych oznacza pewność, że systemy te będą chronić informacje, które są w nich przetwarzane, i będą działać tak jak powinny i kiedy powinny pod kontrolą uprawnionych użytkowników.2.
Skuteczne zabezpieczanie informacji gwarantuje odpowiedni poziom:autentyczności: gwarancja, że informacje są prawdziwe i pochodzą z rzetelnych źródeł;
dostępności: cecha polegająca na tym, że informacje są dostępne i gotowe do wykorzystania na wniosek uprawnionego podmiotu;
poufności: cecha polegająca na tym, że informacje nie są ujawniane nieupoważnionym osobom lub podmiotom ani do celów nieuprawnionego przetwarzania;
integralności: cecha polegająca na zachowywaniu dokładności i kompletności zasobów i informacji;
niezaprzeczalności: możliwość udowodnienia, że działanie lub wydarzenie miało miejsce, aby następnie nie można było zaprzeczyć wystąpieniu tego działania lub wydarzenia.
3.
Zabezpieczanie informacji opiera się na procesie zarządzania ryzykiem.Definicje
Do celów niniejszego rozdziału stosuje się poniższe definicje:
a)
"akredytacja" oznacza formalne upoważnienie i zezwolenie przyznane systemowi teleinformatycznemu przez organ ds. akredytacji bezpieczeństwa (SAA) na przetwarzanie EUCI w środowisku operacyjnym tego systemu w następstwie formalnego zatwierdzenia planu bezpieczeństwa i jego prawidłowego wdrożenia;b)
"procedura akredytacji" oznacza konieczne etapy i zadania wymagane przed przyznaniem akredytacji przez organ ds. akredytacji bezpieczeństwa. Te etapy i zadania są określone w standardzie procedury akredytacji;c)
"system teleinformatyczny" (CIS) oznacza system umożliwiający korzystanie z informacji w formie elektronicznej. System teleinformatyczny obejmuje wszystkie zasoby niezbędne do jego funkcjonowania, w tym infrastrukturę, organizację, pracowników oraz zasoby informatyczne;d)
"ryzyko szczątkowe" oznacza ryzyko, które pozostaje po wdrożeniu środków bezpieczeństwa, z uwagi na to, że nie przeciwdziała się wszystkim zagrożeniom i że nie każdą podatność można wyeliminować;e)
"ryzyko" oznacza prawdopodobieństwo, że dane zagrożenie wykorzysta wewnętrzną i zewnętrzną podatność danej organizacji lub jakiegokolwiek systemu przez nią używanego i przez to wyrządzi szkodę tej organizacji i jej zasobom materialnym lub niematerialnym. Ryzyko mierzone jest jako połączenie prawdopodobieństwa wystąpienia zagrożeń oraz ich skutków;f)
"akceptacja ryzyka" jest decyzją o zaakceptowaniu dalszego występowania określonego ryzyka szczątkowego po zmniejszeniu ryzyka;g)
"ocena ryzyka" polega na określaniu zagrożeń i podatności oraz przeprowadzeniu odpowiedniej analizy ryzyka, tj. analizy prawdopodobieństwa i skutków;h)
"informowanie o ryzyku" polega na upowszechnianiu wiedzy o ryzyku wśród społeczności korzystających z CIS, na informowaniu o takim ryzyku organów zatwierdzających i na składaniu sprawozdań z takiego ryzyka organom operacyjnym;i)
"zmniejszanie ryzyka" polega na łagodzeniu, usuwaniu lub redukowaniu ryzyka (przy pomocy odpowiedniego połączenia środków technicznych, fizycznych, organizacyjnych lub proceduralnych), jego przenoszeniu lub monitorowaniu.CIS, w których korzysta się z EUCI
1.
CIS przetwarza EUCI zgodnie z koncepcją zabezpieczania informacji.2.
W przypadku CIS, w których korzysta się z EUCI, zgodność z polityką Komisji w dziedzinie bezpieczeństwa systemów informatycznych, o której mowa w decyzji C(2006) 3602 11 , oznacza, że:a)
w odniesieniu do realizacji polityki w zakresie bezpieczeństwa systemów informatycznych w całym cyklu życia systemu informacyjnego stosuje się podejście Planuj - Wykonaj - Sprawdź - Działaj;b)
potrzeby w zakresie bezpieczeństwa muszą zostać określone z zastosowaniem oceny wpływu na działalność;c)
system informacyjny i zawarte w nim dane muszą być poddane formalnej klasyfikacji aktywów;d)
wszystkie obowiązkowe środki bezpieczeństwa określone w ramach polityki w dziedzinie bezpieczeństwa systemów informatycznych muszą zostać wdrożone;e)
musi zostać zastosowany proces zarządzania ryzykiem, który składa się z następujących etapów: identyfikacja zagrożeń i podatności, ocena ryzyka, zmniejszenie ryzyka, akceptacja ryzyka i informowanie o ryzyku;f)
określa się, wdraża, sprawdza i poprawia plan bezpieczeństwa, w tym politykę bezpieczeństwa i procedurę bezpiecznej eksploatacji systemu.3.
Wszyscy pracownicy zaangażowani w projektowanie, budowę, testowanie, funkcjonowanie, zarządzanie lub stosowanie CIS, w których przetwarzane są EUCI, zgłaszają SAA wszelkie ewentualne niedoskonałości w zakresie bezpieczeństwa, incydenty, naruszenia lub narażenia na szwank bezpieczeństwa, które mogą mieć wpływ na ochronę CIS lub znajdujących się w nich EUCI.4.
Jeżeli EUCI podlegają ochronie przy użyciu produktów kryptograficznych, produkty te są zatwierdzane w następujący sposób:a)
pierwszeństwo przyznaje się produktom zatwierdzonym przez Radę lub Sekretarza Generalnego Rady Unii Europejskiej, działającego jako organ ds. zatwierdzania produktów kryptograficznych Rady, na podstawie zalecenia Grupy Ekspertów ds. Bezpieczeństwa Komisji;b)
jeżeli uzasadniają to określone względy operacyjne, organ Komisji ds. zatwierdzania produktów kryptograficznych (CAA) może, na podstawie zalecenia Grupy Ekspertów ds. Bezpieczeństwa Komisji, znieść wymogi wynikające z lit. a) i udzielić tymczasowej akceptacji na dany okres.5.
Podczas transmisji EUCI drogą elektroniczną, ich przetwarzania i przechowywania na nośnikach elektronicznych stosuje się zatwierdzone produkty kryptograficzne. Niezależnie od tego wymogu w okolicznościach nadzwyczajnych zastosowanie mogą mieć szczególne procedury lub szczególne konfiguracje techniczne zatwierdzone przez CAA.6.
Wdrażane są specjalne środki bezpieczeństwa w celu ochrony CIS przetwarzającego informacje niejawne z klauzulą tajności CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższą przed narażeniem tych informacji na szwank z powodu niezamierzonych emisji elektromagnetycznych (tzw. "środki bezpieczeństwa TEMPEST"). Takie środki bezpieczeństwa są proporcjonalne do ryzyka wykorzystania informacji niejawnych i do poziomu klauzuli tajności.7.
Organ ds. bezpieczeństwa Komisji obejmuje następujące funkcje:-
organu ds. zabezpieczania informacji (IAA);-
organu ds. akredytacji bezpieczeństwa (SAA);-
organu ds. TEMPEST (TA);-
organu ds. zatwierdzania produktów kryptograficznych (CAA);-
organu ds. dystrybucji produktów kryptograficznych (CDA).8.
Organ ds. bezpieczeństwa Komisji wyznacza dla każdego systemu operacyjny organ ds. zabezpieczania informacji.9.
Obowiązki w ramach funkcji opisanych w ust. 7 i 8 określone zostaną w przepisach wykonawczych.Akredytacja CIS, w których korzysta się z EUCI
1.
Wszystkie CIS, w których korzysta się z EUCI, poddawane są procedurze akredytacji na podstawie zasad zabezpieczania informacji; poziom ich szczegółowości musi być proporcjonalny do poziomu wymaganej ochrony.2.
Procedura akredytacji obejmuje formalne zatwierdzenie przez organ ds. akredytacji bezpieczeństwa Komisji planu bezpieczeństwa dla danego CIS w celu uzyskania pewności, że:a)
proces zarządzania ryzykiem, o którym mowa w art. 36 ust. 2, został odpowiednio przeprowadzony;b)
właściciel systemu świadomie zaakceptował ryzyko szczątkowe; orazc)
osiągnięto wystarczający poziom ochrony CIS i przetwarzanych w nim EUCI zgodnie z niniejszą decyzją.3.
Organ Komisji ds. akredytacji bezpieczeństwa wydaje świadectwo akredytacji określające najwyższą klauzulę tajności EUCI, które mogą być przetwarzane w danym CIS, a także odpowiednie warunki jego działania. Nie narusza to zadań powierzonych Radzie Akredytacji w zakresie Bezpieczeństwa i określonych w art. 11 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 512/2014 12 .4.
Wspólna Rada Akredytacji w zakresie Bezpieczeństwa jest odpowiedzialna za udzielanie akredytacji CIS Komisji, w funkcjonowanie którego zaangażowanych jest kilka stron. W skład tej rady wchodzi po jednym przedstawicielu SAA z każdej zaangażowanej strony, a jej obradom przewodniczy przedstawiciel SAA ze strony Komisji.5.
Procedura akredytacji obejmuje szereg zadań, które muszą wykonać zaangażowane strony. Odpowiedzialność za przygotowywanie dokumentacji akredytacyjnej spoczywa całkowicie na właścicielu systemu CIS.6.
Za akredytację odpowiedzialny jest organ Komisji ds. akredytacji bezpieczeństwa, który na każdym etapie cyklu życia CIS ma prawo do:a)
zażądania zastosowania procesu akredytacji;b)
przeprowadzenia audytu lub inspekcji CIS;c)
w przypadku gdy przestały być spełnione warunki działania - zażądania określenia planu poprawy bezpieczeństwa i jego skutecznego wdrożenia w ściśle określonych ramach czasowych, ewentualnego wycofania zezwolenia na eksploatację CIS do momentu, w którym warunki działania zostaną ponownie spełnione.7.
Procedurę akredytacji określono w standardzie procedury akredytacji dla CIS, w którym przetwarzane są EUCI; zostaje on przyjęty zgodnie z art.10 ust. 3 decyzji C(2006) 3602.Okoliczności nadzwyczajne
1.
Niezależnie od przepisów niniejszego rozdziału w okolicznościach nadzwyczajnych, takich jak zbliżający się lub trwający kryzys, konflikt, stan wojny, lub w wyjątkowych sytuacjach operacyjnych można stosować specjalne procedury opisane poniżej.2.
EUCI można transmitować z wykorzystaniem produktów kryptograficznych zatwierdzonych dla niższego poziomu klauzuli tajności lub w postaci niezaszyfrowanej za zgodą właściwego organu, jeżeli jakakolwiek zwłoka spowodowałaby szkody wyraźnie większe od szkód, które mogłoby spowodować ujawnienie materiałów niejawnych, oraz jeżeli:a)
nadawca i odbiorca nie posiadają wymaganego urządzenia szyfrującego; orazb)
materiały niejawne nie mogą być dostarczone na czas w inny sposób.3.
Informacje niejawne transmitowane w okolicznościach przedstawionych w ust. 1 nie są opatrzone żadnymi oznaczeniami ani wskazaniami odróżniającymi je od informacji jawnych lub informacji, które mogą być chronione przy pomocy dostępnego urządzenia szyfrującego. Odbiorcy są bezzwłocznie powiadamiani za pomocą innych środków o poziomie klauzuli tajności.4.
Następnie sporządzane jest sprawozdanie dla właściwego organu i Grupy Ekspertów ds. Bezpieczeństwa Komisji.11 Decyzja C(2006) 3602 z dnia 16 sierpnia 2006 r. dotycząca bezpieczeństwa systemów informacyjnych wykorzystywanych przez Komisję Europejską.
12 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 512/2014 z dnia 16 kwietnia 2014 r. zmieniające rozporządzenie (UE) nr 912/2010 ustanawiające Agencję Europejskiego GNSS (Dz.U. L 150 z 20.5.2014, s. 72).
© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.