Decyzja 2010/260/UE w sprawie planu bezpieczeństwa dla funkcjonowania wizowego systemu informacyjnego
Dz.U.UE.L.2010.112.25
Akt oczekującyDECYZJA KOMISJI
z dnia 4 maja 2010 r.
w sprawie planu bezpieczeństwa dla funkcjonowania wizowego systemu informacyjnego
(Dz.U.UE L z dnia 5 maja 2010 r.)
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 767/2008 z dnia 9 lipca 2008 r. w sprawie Wizowego Systemu Informacyjnego (VIS) oraz wymiany danych pomiędzy państwami członkowskimi na temat wiz krótkoterminowych (rozporządzenie w sprawie VIS)(1), w szczególności jego art. 32,
a także mając na uwadze, co następuje:
(1) Zgodnie z art. 32 ust. 3 rozporządzenia (WE) nr 767/2008 organ zarządzający podejmie niezbędne środki dla osiągnięcia celów określonych w art. 32 ust. 2 w odniesieniu do funkcjonowania VIS, łącznie z przyjęciem planu bezpieczeństwa.
(2) Zgodnie z art. 26 ust. 4 rozporządzenia (WE) nr 767/2008 w okresie przejściowym, zanim organ zarządzający podejmie swoje obowiązki, Komisja jest odpowiedzialna za zarządzanie operacyjne VIS.
(3) Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady(2) ma zastosowanie do przetwarzania danych osobowych przez Komisję w trakcie pełnienia przez nią obowiązków w zakresie zarządzania operacyjnego VIS.
(4) Zgodnie z art. 26 ust. 7 rozporządzenia (WE) nr 767/2008, jeżeli w okresie przejściowym Komisja deleguje swoje obowiązki, zanim obowiązki podejmie organ zarządzający, Komisja dokłada wszelkich starań, aby delegowanie tych zadań nie wpłynęło niekorzystnie na jakikolwiek ustanowiony prawem Unii Europejskiej system skutecznej kontroli, niezależnie od tego, czy jest to kontrola sprawowana przez Trybunał Sprawiedliwości, Trybunał Obrachunkowy czy przez Europejskiego Inspektora Ochrony Danych.
(5) Po podjęciu obowiązków organ zarządzający powinien określić własny plan bezpieczeństwa w odniesieniu do VIS.
(6) W decyzji Komisji 2008/602/WE z dnia 17 czerwca 2008 r. ustanawiającej architekturę fizyczną i wymogi dotyczące interfejsów krajowych oraz infrastruktury łączności między Centralnym Wizowym Systemem Informacyjnym (VIS) i interfejsami krajowymi w fazie rozwoju(3) przedstawiono niezbędne usługi z zakresu bezpieczeństwa dotyczące sieci na potrzeby VIS.
(7) Zgodnie z art. 27 rozporządzenia (WE) nr 767/2008 główny centralny VIS, sprawujący nadzór techniczny i administrację, mieści się w Strasburgu, we Francji, natomiast rezerwowy centralny VIS, zdolny do zapewnienia wszystkich funkcji głównego centralnego VIS w przypadku jego awarii, mieści się w Sankt Johann im Pongau, w Austrii.
(8) Należy określić funkcje urzędników ds. bezpieczeństwa w celu zapewnienia skutecznego i szybkiego reagowania na zdarzenia zagrażające bezpieczeństwu oraz ich zgłaszania.
(9) Należy ustanowić politykę bezpieczeństwa określającą wszystkie szczegółowe informacje techniczne i organizacyjne zgodnie z przepisami niniejszej decyzji.
(10) Należy określić środki zapewniające odpowiedni poziom bezpieczeństwa funkcjonowania VIS,
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
ROZDZIAŁ I
PRZEPISY OGÓLNE
PRZEPISY OGÓLNE
Przedmiot
Niniejsza decyzja ustanawia organizację i środki bezpieczeństwa (plan bezpieczeństwa) w rozumieniu art. 32 ust. 3 rozporządzenia (WE) nr 767/2008.
ROZDZIAŁ II
ORGANIZACJA, OBOWIĄZKI I ZARZĄDZANIE ZDARZENIAMI
ORGANIZACJA, OBOWIĄZKI I ZARZĄDZANIE ZDARZENIAMI
Zadania Komisji
a) przygotowanie, aktualizację i przegląd polityki bezpieczeństwa opisanej w art. 7 niniejszej decyzji;
b) monitorowanie skuteczności wdrażania procedur bezpieczeństwa odnośnie do centralnego VIS i infrastruktury łączności;
c) udział w przygotowaniu sprawozdań dotyczących bezpieczeństwa, o których mowa w art. 50 ust. 3 i 4 rozporządzenia (WE) nr 767/2008;
d) koordynację i pomoc w zakresie kontroli i audytów przeprowadzanych przez Europejskiego Inspektora Ochrony Danych, o których mowa w art. 42 rozporządzenia (WE) nr 767/2008;
e) monitorowanie, czy niniejsza decyzja i polityka bezpieczeństwa są odpowiednio i w pełni stosowane przez wszystkich wykonawców, w tym podwykonawców, zaangażowanych w jakikolwiek sposób w zarządzanie VIS i jego funkcjonowanie;
f) prowadzenie wykazu pojedynczych krajowych punktów kontaktowych odnośnie do bezpieczeństwa VIS i udostępnianie go lokalnym urzędnikom ds. bezpieczeństwa centralnego VIS i infrastruktury łączności.
Lokalny urzędnik ds. bezpieczeństwa centralnego VIS
a) lokalne zadania operacyjne w zakresie bezpieczeństwa obejmujące kontrole zapór sieciowych, systematyczne testy bezpieczeństwa, przeprowadzanie audytu i sprawozdawczość;
b) monitorowanie efektywności planu ciągłości działania oraz zapewnianie przeprowadzania systematycznych ćwiczeń;
c) zabezpieczanie dowodów dotyczących wszelkich zdarzeń, które mogą mieć wpływ na bezpieczeństwo centralnego VIS lub infrastruktury łączności, oraz zgłaszanie takich zdarzeń urzędnikowi ds. bezpieczeństwa systemu;
d) informowanie urzędnika ds. bezpieczeństwa systemu o potrzebie zmiany polityki bezpieczeństwa;
e) monitorowanie stosowania niniejszej decyzji i polityki bezpieczeństwa przez każdego z wykonawców, w tym podwykonawców, zaangażowanych w jakikolwiek sposób w zarządzanie centralnym VIS i jego funkcjonowanie;
f) dopilnowanie, by pracownicy zapoznali się ze swoimi obowiązkami, i monitorowanie stosowania polityki bezpieczeństwa;
g) monitorowanie zmian w technologii informacyjnej związanych z bezpieczeństwem oraz zapewnianie odpowiedniego przeszkolenia pracowników;
h) przygotowywanie podstawowych informacji i opcji dotyczących ustanawiania, aktualizacji i przeglądu polityki bezpieczeństwa zgodnie z art. 7.
Lokalny urzędnik ds. bezpieczeństwa infrastruktury łączności
a) wszelkie zadania operacyjne w zakresie bezpieczeństwa związane z infrastrukturą łączności, takie jak kontrola zapór sieciowych, systematyczne testy bezpieczeństwa, przeprowadzanie audytu i sprawozdawczość;
b) monitorowanie efektywności planu ciągłości działania oraz zapewnianie przeprowadzania systematycznych ćwiczeń;
c) zabezpieczanie dowodów dotyczących wszelkich zdarzeń, które mogą mieć wpływ na bezpieczeństwo infrastruktury łączności lub centralnego VIS lub na systemy krajowe, oraz zgłaszanie takich zdarzeń urzędnikowi ds. bezpieczeństwa systemu;
d) informowanie urzędnika ds. bezpieczeństwa systemu o potrzebie zmiany polityki bezpieczeństwa;
e) monitorowanie stosowania niniejszej decyzji i polityki bezpieczeństwa przez każdego z wykonawców, w tym podwykonawców, zaangażowanych w jakikolwiek sposób w zarządzanie infrastrukturą łączności;
f) dopilnowanie, by pracownicy zapoznali się ze swoimi obowiązkami, i monitorowanie stosowania polityki bezpieczeństwa;
g) monitorowanie zmian w technologii informacyjnej związanych z bezpieczeństwem oraz zapewnianie odpowiedniego przeszkolenia pracowników;
h) przygotowywanie podstawowych informacji i opcji dotyczących ustanawiania, aktualizacji i przeglądu polityki bezpieczeństwa zgodnie z art. 7.
Zdarzenia zagrażające bezpieczeństwu
Zarządzanie zdarzeniami
ROZDZIAŁ III
ŚRODKI BEZPIECZEŃSTWA
ŚRODKI BEZPIECZEŃSTWA
Polityka bezpieczeństwa
Wdrażanie środków bezpieczeństwa
Kontrola dostępu do infrastruktury
Kontrola nośników danych i aktywów
Kontrola przechowywania
Kontrola hasła
Kontrola dostępu
(i) jest ograniczony do upoważnionych osób;
(ii) jest ograniczony do przypadków, w których można określić cel zgodny z prawem zgodnie z art. 42 i art. 50 ust. 2 rozporządzenia (WE) nr 767/2008;
(iii) nie trwa dłużej, niż jest to niezbędne do celów dostępu, i nie wykracza poza zakres tego celu; oraz
(iv) odbywa się wyłącznie zgodnie z polityką kontroli dostępu, która zostanie określona w ramach polityki bezpieczeństwa.
Kontrola łączności
Infrastruktura łączności jest monitorowana w celu zapewnienia dostępności, integralności i poufności w zakresie wymiany informacji. Dane przesyłane w ramach infrastruktury łączności chronione są za pomocą środków kryptograficznych.
Kontrola zapisu danych
Konta osób upoważnionych do dostępu do oprogramowania VIS z centralnego VIS monitoruje lokalny urzędnik ds. bezpieczeństwa centralnego VIS. Korzystanie z tych kont, w tym czas i identyfikator użytkownika, jest rejestrowane.
Kontrola transportu
Bezpieczeństwo infrastruktury łączności
Monitorowanie
Środki kryptograficzne
W stosownych przypadkach w celu ochrony informacji stosuje się środki kryptograficzne. Ich zastosowanie wraz z celem i warunkami ich zastosowania muszą zostać uprzednio zatwierdzone przez urzędnika ds. bezpieczeństwa systemu.
ROZDZIAŁ IV
BEZPIECZEŃSTWO ZASOBÓW LUDZKICH
BEZPIECZEŃSTWO ZASOBÓW LUDZKICH
Profile personelu
Informowanie pracowników
ROZDZIAŁ V
PRZEPIS KOŃCOWY
PRZEPIS KOŃCOWY
Stosowanie
Sporządzono w Brukseli dnia 4 maja 2010 r.
W imieniu Komisji | |
José Manuel BARROSO | |
Przewodniczący |
______
(1) Dz.U. L 218 z 13.8.2008, s. 60.
(2) Dz.U. L 8 z 12.1.2001, s. 1.
(3) Dz.U. L 194 z 23.7.2008, s. 3.
© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.