Przepisy bezpieczeństwa mające zastosowanie do Europejskiej Służby Działań Zewnętrznych - ADMIN(2017) 10.

Rejestr PBO

Zwolnienia z wymogu posiadania PBO

CONFIDENTIEL UE/EU CONFIDENTIAL:

RESTREINT UE/EU RESTRICTED bez załącznika(-ów)

Oznaczenia

Skrócone oznaczenia klauzul tajności

Wytwarzanie EUCI

Obniżanie i znoszenie klauzul tajności EUCI

Na terytorium UE

W przypadku przewozu z jednego państwa członkowskiego do drugiego przepisy lit. c) są ograniczone do informacji niejawnych o klauzuli tajności do poziomu CONFIDENTIEL UE/EU CONFIDENTIAL.

Z terytorium UE na terytorium państwa trzeciego lub pomiędzy jednostkami organizacyjnymi UE w państwach trzecich

Przeprowadzanie inspekcji ESDZ w zakresie bezpieczeństwa i sprawozdawczość

Przeprowadzanie inspekcji w zakresie bezpieczeństwa w agencjach i organach UE ustanowionych na mocy tytułu V rozdział 2 TUE oraz sprawozdawczość.

Lista kontrolna na potrzeby inspekcji ESDZ w zakresie bezpieczeństwa

Bezpieczeństwo w całym cyklu życia CIS

Najlepsze praktyki

Ochrona w głąb

Zasada minimalizmu i najmniejszych uprawnień

Świadomość zabezpieczania informacji

Ocena i zatwierdzanie produktów służących bezpieczeństwu systemów informatycznych

Transmisja w strefach bezpieczeństwa

Bezpieczne połączenia międzysystemowe CIS

Komputerowe nośniki informacji

Okoliczności nadzwyczajne

Organ ds. zatwierdzania produktów kryptograficznych (CAA)

Organ ds. dystrybucji produktów kryptograficznych (CDA)

Rada Akredytacji w zakresie Bezpieczeństwa (SAB)

Organ operacyjny ds. zabezpieczania informacji

Instrukcje bezpieczeństwa programu/projektu (IBP)

"akredytacja" oznacza proces prowadzący do formalnego stwierdzenia przez organ ds. akredytacji bezpieczeństwa (SAA), że określony system jest zatwierdzony do celów działania na zdefiniowanym poziomie klauzuli tajności, w konkretnym trybie bezpiecznej pracy systemu w swoim środowisku operacyjnym oraz na poziomie ryzyka możliwym do zaakceptowania, przy założeniu, że wdrożono zatwierdzony zestaw technicznych, fizycznych, organizacyjnych i proceduralnych środków bezpieczeństwa;

"zasoby" oznaczają wszystkie elementy, które mają wartość dla danej organizacji, prowadzenia przez nią działań i ich ciągłości, w tym zasoby informacyjne, które wspierają misję organizacji;

"uprawnienie do dostępu do EUCI" oznacza uprawnienie wydawane zgodnie z niniejszą decyzją przez organ ESDZ ds. bezpieczeństwa po wydaniu PBO przez odpowiednie organy państwa członkowskiego, stanowiące poświadczenie, że dana osoba - o ile stwierdzono, że spełnia ona zasadę ograniczonego dostępu - może uzyskać dostęp do EUCI opatrzonych klauzulą tajności do określonego poziomu (CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższego) do określonego terminu (zob. art. 2 załącznika A I);

"naruszenie" oznacza działanie określonej osoby lub zaniechanie przez nią działania w sposób sprzeczny z zasadami bezpieczeństwa ustanowionymi w niniejszej decyzji lub z polityką bądź wytycznymi dotyczącymi bezpieczeństwa, określającymi środki niezbędne do ich wdrożenia;

"cykl życia CIS" oznacza cały okres istnienia CIS, który obejmuje powstanie pomysłu, opracowanie koncepcji, zaplanowanie, analizę wymogów, zaprojektowanie, utworzenie, testowanie, wdrożenie, działanie, konserwację i wycofanie z działania;

"umowa niejawna" oznacza umowę zawieraną przez ESDZ z wykonawcą na dostawę towarów, wykonanie robót lub świadczenie usług, której wykonanie wymaga dostępu do EUCI lub wytwarzania takich informacji bądź wiąże się z dostępem do nich lub ich wytwarzaniem;

"niejawna umowa o podwykonawstwo" oznacza umowę zawieraną przez wykonawcę ESDZ z innym wykonawcą (tj. podwykonawcą) na dostawę towarów, wykonanie robót lub świadczenie usług, której wykonanie wymaga dostępu do EUCI lub wytwarzania takich informacji bądź wiąże się z dostępem do nich lub ich wytwarzaniem;

"system teleinformatyczny" (CIS) oznacza każdy system umożliwiający przetwarzanie informacji w formie elektronicznej; system teleinformatyczny obejmuje wszystkie zasoby niezbędne do jego funkcjonowania, w tym infrastrukturę, organizację, personel oraz zasoby informatyczne; - zob. art. 8 ust. 2 załącznika A;

"narażenie na szwank EUCI" oznacza ujawnienie EUCI w całości lub częściowo nieupoważnionym osobom lub podmiotom (zob. art. 9 ust. 2);

"wykonawca" oznacza osobę fizyczną lub prawną posiadającą zdolność prawną do zawierania umów;

"produkty kryptograficzne" oznaczają algorytmy kryptograficzne, sprzęt i oprogramowanie kryptograficzne, a także produkty zawierające szczegóły stosowania i związaną z nim dokumentację oraz klucze;

"operacja WPBiO" oznacza wojskową lub cywilną operację zarządzania kryzysowego prowadzoną na mocy tytułu V rozdział 2 TUE;

"zniesienie klauzuli tajności" oznacza zniesienie wszelkiej klauzuli tajności;

"ochrona w głąb" oznacza stosowanie szeregu środków bezpieczeństwa w formie wielu warstw zabezpieczeń;

"wyznaczona władza bezpieczeństwa" (WWB) oznacza instytucję podlegającą krajowej władzy bezpieczeństwa (KWB) w państwie członkowskim, odpowiedzialną za przekazywanie podmiotom gospodarczym lub innym informacji dotyczących krajowej polityki we wszelkich sprawach związanych z bezpieczeństwem przemysłowym oraz za udzielanie wskazówek i pomocy w jej realizacji; zadania WWB może wykonywać KWB lub dowolny inny właściwy organ;

"dokument" oznacza każdą zapisaną informację, niezależnie od jej postaci fizycznej lub cech;

"obniżenie klauzuli tajności" oznacza obniżenie poziomu klauzuli tajności;

"informacje niejawne UE" (EUCI) oznaczają wszelkie informacje lub materiały objęte klauzulą tajności UE, których nieuprawnione ujawnienie mogłoby w różnym stopniu wyrządzić szkodę interesom Unii Europejskiej lub interesom co najmniej jednego państwa członkowskiego (zob. art. 2 lit. f));

"świadectwo bezpieczeństwa przemysłowego" oznacza stwierdzenie przez KWB lub WWB w wyniku procedur administracyjnych, że z punktu widzenia bezpieczeństwa dany obiekt jest w stanie zapewnić odpowiednią ochronę EUCI opatrzonych określoną klauzulą tajności, a personel tego obiektu, któremu niezbędny jest dostęp do EUCI, posiada odpowiednie poświadczenie bezpieczeństwa i odebrał instruktaż dotyczący odpowiednich wymogów bezpieczeństwa niezbędnych do uzyskania dostępu do EUCI i do ochrony EUCI;

"przetwarzanie" EUCI oznacza wszelkie możliwe działania, jakim mogą być poddawane EUCI w całym cyklu ich życia; pojęcie to obejmuje wytwarzanie, modyfikowanie i przenoszenie EUCI, obniżanie lub znoszenie ich klauzul tajności oraz ich zniszczenie. W odniesieniu do CIS pojęcie to obejmuje również gromadzenie, wyświetlanie, przesyłanie i przechowywanie EUCI;

"posiadacz" oznacza odpowiednio uprawnioną osobę, której potrzeby w ramach ograniczonego dostępu zostały ustalone i w której posiadaniu znajduje się EUCI, w związku z czym odpowiada ona za ochronę przedmiotowych informacji;

"podmiot gospodarczy lub inny" oznacza podmiot zaangażowany w dostawę towarów, wykonanie robót lub świadczenie usług; może to być podmiot przemysłowy, gospodarczy, usługowy, naukowy, badawczy, edukacyjny lub rozwojowy bądź osoba prowadząca działalność gospodarczą;

"bezpieczeństwo przemysłowe" oznacza stosowanie środków mających zapewnić ochronę EUCI przez wykonawców lub podwykonawców podczas negocjacji poprzedzających zawarcie umów i na wszystkich etapach cyklu życia umów niejawnych - zob. art. 9 ust. 1 załącznika A;

"zabezpieczanie informacji" w ramach systemów teleinformatycznych oznacza pewność, że systemy te będą chronić przetwarzane informacje i będą działać zgodnie z potrzebami i w każdej sytuacji, w której będzie to potrzebne, pod kontrolą uprawnionych użytkowników; skuteczne zabezpieczanie informacji zapewnia odpowiedni poziom poufności, integralności, dostępności, niezaprzeczalności i autentyczności; zabezpieczanie informacji opiera się na procesie zarządzania ryzykiem - zob. art. 8 ust. 1 załącznika A;

"połączenie międzysystemowe" oznacza, do celów niniejszej decyzji, bezpośrednie połączenie co najmniej dwóch systemów informatycznych w celu wspólnego korzystania z danych i innych zasobów informacyjnych (np. łączności) w sposób jednokierunkowy lub wielokierunkowy (zob. załącznik A IV, pkt 31);

"zarządzanie informacjami niejawnymi" polega na stosowaniu środków administracyjnych służących kontroli EUCI na wszystkich etapach ich cyklu życia w uzupełnieniu środków przewidzianych w art. 5, 6 i 8, co ma pomóc w powstrzymywaniu od zamierzonego lub przypadkowego nieuprawnionego ujawnienia tych informacji lub ich utraty, w wykrywaniu takich przypadków i usuwaniu ich skutków; środki takie dotyczą w szczególności wytwarzania, rejestracji, kopiowania, tłumaczenia, przenoszenia, przetwarzania, przechowywania i niszczenia EUCI - zob. art. 7 ust. 1 załącznika A;

"materiały" oznaczają jakikolwiek dokument lub dowolne urządzenia lub sprzęt, już wytworzone lub będące w trakcie wytwarzania;

"wytwórca" oznacza instytucję, agencję lub organ UE, państwo członkowskie, państwo trzecie lub organizację międzynarodową, w ramach właściwości której wytworzono informacje niejawne lub wprowadzono je do struktur UE;

"bezpieczeństwo osobowe" oznacza stosowanie środków gwarantujących, że dostęp do EUCI jest przyznawany tylko osobom, które:

zob. art. 5 ust. 1 załącznika A;

"poświadczenie bezpieczeństwa osobowego" (PBO) w zakresie dostępu do EUCI oznacza oświadczenie właściwego organu państwa członkowskiego, wydawane po zakończeniu postępowania sprawdzającego prowadzonego przez właściwe organy państwa członkowskiego; stanowi ono poświadczenie, że dana osoba - o ile stwierdzono, że spełnia ona zasadę ograniczonego dostępu - może uzyskać dostęp do EUCI opatrzonych klauzulą tajności do określonego poziomu (CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższego) do określonej daty; osobę taką określa się jako "posiadającą poświadczenie bezpieczeństwa";

"zaświadczenie potwierdzające posiadanie poświadczenia bezpieczeństwa osobowego" oznacza zaświadczenie wydane przez właściwy organ, potwierdzające, że dana osoba posiada poświadczenie bezpieczeństwa lub uprawnienie do dostępu do EUCI wydane przez kierownika dyrekcji ESDZ odpowiedzialnej za bezpieczeństwo, oraz zawierające informację o poziomie klauzuli tajności EUCI, do których dana osoba może uzyskać dostęp (CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższym), dacie ważności odpowiedniego PBO oraz dacie ważności samego zaświadczenia;

"bezpieczeństwo fizyczne" oznacza stosowanie fizycznych i technicznych środków ochrony w celu powstrzymania nieuprawnionego dostępu do EUCI - zob. art. 6 załącznika A;

"instrukcje bezpieczeństwa programu/projektu (IBP)" oznaczają wykaz procedur bezpieczeństwa stosowanych do określonego programu/projektu w celu ujednolicenia procedur bezpieczeństwa; instrukcje mogą być zmieniane podczas trwania programu/projektu;

"rejestracja" oznacza stosowanie procedur rejestrowania etapów cyklu życia informacji, w tym jej dystrybucji i zniszczenia - zob. pkt 21 załącznika A III;

"ryzyko szczątkowe" oznacza ryzyko, które pozostaje po wdrożeniu środków bezpieczeństwa, z uwagi na to, że nie przeciwdziała się wszystkim zagrożeniom i że nie każdą podatność można wyeliminować;

"ryzyko" oznacza prawdopodobieństwo, że dane zagrożenie wykorzysta wewnętrzną i zewnętrzną podatność danej organizacji lub jakiegokolwiek systemu przez nią używanego i przez to wyrządzi szkodę tej organizacji i jej zasobom materialnym lub niematerialnym; ryzyko mierzone jest jako połączenie prawdopodobieństwa wystąpienia zagrożeń oraz ich skutków;

"akceptacja ryzyka" jest decyzją o zaakceptowaniu dalszego występowania określonego ryzyka szczątkowego po zmniejszeniu ryzyka;

"ocena ryzyka" polega na określaniu zagrożeń i podatności oraz przeprowadzeniu odpowiedniej analizy ryzyka, tj. analizy prawdopodobieństwa i skutków;

"powiadamianie o ryzyku" polega na upowszechnianiu wiedzy o ryzyku wśród społeczności korzystających z CIS, na informowaniu o takim ryzyku organów zatwierdzających i na składaniu sprawozdań z nich organom operacyjnym;

"proces zarządzania ryzykiem" oznacza cały proces określania, kontrolowania i minimalizacji niepewnych zdarzeń, które mogą wpłynąć na bezpieczeństwo danej organizacji lub jakiegokolwiek systemu przez nią używanego; obejmuje on wszystkie działania związane z ryzykiem, w tym ocenę, zmniejszanie ryzyka, akceptację i powiadamianie;

"zmniejszanie ryzyka" polega na łagodzeniu, usuwaniu lub redukowaniu ryzyka (przy pomocy odpowiedniego połączenia środków technicznych, fizycznych, organizacyjnych lub proceduralnych), jego przenoszeniu lub monitorowaniu;

"dokument określający aspekty bezpieczeństwa" (DOAB) oznacza zbiór specjalnych warunków umownych, wydany przez instytucję zamawiającą, stanowiący integralną część każdej umowy niejawnej obejmującej dostęp do EUCI lub ich wytwarzanie, określający wymogi bezpieczeństwa lub wskazujący te elementy umowy, których bezpieczeństwo wymaga ochrony - zob. sekcja II załącznika A V;

"przewodnik nadawania klauzul" (PNK) oznacza dokument opisujący niejawne elementy programu lub umowy i określający mające zastosowanie poziomy klauzul tajności; PNK może być rozszerzany podczas trwania programu lub umowy, a klauzule tajności dla części informacji mogą być zmieniane lub obniżane; jeżeli PNK jest opracowany, to powinien być częścią SAL - zob. sekcja II załącznika A V;

"postępowanie sprawdzające" oznacza procedury sprawdzające przeprowadzane przez właściwy organ państwa członkowskiego zgodnie z jego przepisami ustawowymi i wykonawczymi w celu uzyskania pewności, że nie istnieją żadne znane niekorzystne okoliczności, które mogłyby stanowić przeszkodę w wydaniu danej osobie krajowego PBO lub PBO UE do dostępu do EUCI do określonego poziomu klauzuli tajności (CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższej);

"procedury bezpiecznej eksploatacji systemu" (SecOP) oznaczają opis sposobu wdrożenia polityki bezpieczeństwa, który należy przyjąć, procedur operacyjnych, których należy przestrzegać, oraz obowiązków personelu;

"szczególnie chronione informacje jawne" to informacje lub materiały, które ESDZ musi chronić z powodu zobowiązań prawnych określonych w Traktatach lub aktach prawnych przyjętych w celu ich wykonania lub ze względu na ich szczególną ochronę; szczególnie chronione informacje jawne obejmują między innymi informacje lub materiały objęte ze względu na swój charakter obowiązkiem tajemnicy zawodowej, o którym mowa w art. 339 TFUE, informacje objęte interesami chronionymi na mocy art. 4 rozporządzenia (WE) nr 1049/2001 Parlamentu Europejskiego i Rady 6  w związku z odpowiednim orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej lub dane osobowe objęte zakresem rozporządzenia (WE) nr 45/2001.

"oświadczenie o szczególnych wymaganiach bezpieczeństwa" (SSRS) oznacza wiążący zestaw zasad bezpieczeństwa, których należy przestrzegać, oraz szczegółowych wymogów bezpieczeństwa, które należy wdrożyć, stanowiący podstawę procesu certyfikacji i akredytacji CIS;

"TEMPEST" oznacza sprawdzanie, analizę i kontrolę emisji elektromagnetycznych umożliwiających przechwycenie danych oraz środki służące tłumieniu takich emisji;

"zagrożenie" oznacza potencjalną przyczynę niepożądanego incydentu, który może skutkować szkodą dla organizacji lub jakiegokolwiek systemu przez nią używanego; zagrożenia takie mogą być przypadkowe lub zamierzone (rozmyślne) i obejmują elementy zagrażające, potencjalne cele i metody ataku;

"podatność" oznacza każdego rodzaju słaby punkt, który może zostać wykorzystany przez jedno zagrożenie lub większą ich liczbę; podatność może być zaniechaniem lub może odnosić się do słabego punktu środków kontroli, jeżeli chodzi o ich solidność, wszechstronność lub spójność; może mieć charakter techniczny, proceduralny, fizyczny, organizacyjny lub operacyjny.