Wdrożenie i eksploatacja Systemu Przetwarzania Informacji Niejawnych - Poufnych w Ministerstwie Spraw Zagranicznych i w placówkach zagranicznych.
Dzienniki resortowe
Dz.Urz.MSZ.2011.9.75
Akt obowiązujący Wersja od: 17 października 2011 r.
ZARZĄDZENIE Nr 22
DYREKTORA GENERALNEGO SŁUŻBY ZAGRANICZNEJ
z dnia 17 października 2011 r.
w sprawie wdrożenia i eksploatacji Systemu Przetwarzania Informacji Niejawnych - Poufnych w Ministerstwie Spraw Zagranicznych i w placówkach zagranicznych
Na podstawie art. 25 ust. 4 pkt 1 w związku z ust. 10 ustawy z dnia 21 listopada 2008 r. o służbie cywilnej (Dz. U. Nr 227, poz. 1505 oraz z 2009 r. Nr 157, poz. 1241, Nr 219, poz. 1706 i Nr 157, poz. 1241) zarządza się, co następuje:
Rozdział 1
Przepisy ogólne
Przepisy ogólne
§ 1.
Zarządzenie określa:1)
zasady wdrożenia, eksploatacji oraz administrowania systemem przetwarzania informacji niejawnych o klauzuli "Poufne", "Confidentiel UE/EU Confidential" i "NATO Confidential" włącznie, zwanym dalej "systemem SPIN-P" w Ministerstwie Spraw Zagranicznych oraz w placówkach zagranicznych;2)
zadania komórek organizacyjnych Ministerstwa Spraw Zagranicznych, zwanych dalej "komórkami organizacyjnymi" i placówek zagranicznych oraz obowiązki zatrudnionych w nich pracowników związane z wdrożeniem, utrzymaniem, użytkowaniem i zarządzaniem systemem SPIN-P.§ 2.
Pojęcia używane w zarządzeniu są zgodne z definicjami zawartymi w słowniku obowiązujących pojęć dla potrzeb Księgi Norm Teleinformatycznych i Teletechnicznych, ustalonym w odrębnym trybie.§ 3.
1.
Wprowadza się do eksploatacji system SPIN-P w Ministerstwie Spraw Zagranicznych i w placówkach zagranicznych.2.
Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki, w porozumieniu z dyrektorem komórki organizacyjnej właściwej w sprawach ochrony informacji niejawnych, jest upoważniony do wydania i aktualizowania instrukcji, wytycznych i poleceń określających szczegółowe zasady wdrażania systemu SPIN-P oraz jego wykorzystania do realizacji zadań służbowych.3.
Użytkownicy i administratorzy ponoszą odpowiedzialność służbową za nieprzestrzeganie zasad użytkowania systemu SPIN-P, określonych w "Procedurach Bezpiecznej Eksploatacji systemu SPIN-P", instrukcjach, wytycznych i poleceniach, o których mowa w ust. 2.4.
Inspektor Bezpieczeństwa Teleinformatycznego ponosi odpowiedzialność służbową za weryfikację i bieżącą kontrolę zgodności funkcjonowania systemu SPIN-P ze szczególnymi wymaganiami bezpieczeństwa oraz przestrzegania procedur bezpiecznej eksploatacji, instrukcji, wytycznych i poleceń, o których mowa w ust. 2 a także za realizację zadań określonych w § 14 rozporządzenia Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz. U. Nr 159, poz. 948).5.
Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki jest upoważniony do przekazywania do urzędów polskiej administracji publicznej urządzeń szyfrujących zakupionych przez Ministerstwo Spraw Zagranicznych, w celu ich dalszego wykorzystania na stanowisku roboczym systemu SPIN-P w danym urzędzie.Rozdział 2
System SPIN-P
System SPIN-P
§ 4.
1.
System SPIN-P składa się z infrastruktury serwerowej zainstalowanej w Centrali Ministerstwa Spraw Zagranicznych, brzegowych urządzeń dostępowych oraz stacji roboczych.2.
Infrastruktura serwerowa obejmuje serwery: aplikacyjne, poczty elektronicznej, plików i urządzeń szyfrujących.§ 5.
1.
System SPIN-P umożliwia przetwarzanie i przesyłanie informacji niejawnych do klauzuli "Poufne", "Confidentiel UE/EU Confidential" i "NATO Confidential" włącznie.2.
System SPIN-P jest eksploatowany w Ministerstwie Spraw Zagranicznych, w placówkach zagranicznych, a także w wybranych urzędach polskiej administracji publicznej.3.
System SPIN-P posiada następujące środowiska:1)
produkcyjne;2)
szkoleniowe;3)
testowe;4)
rozwojowe.4.
Zasady obiegu informacji niejawnych w systemie SPIN-P określają odrębne przepisy.Rozdział 3
Zadania komórek organizacyjnych
Zadania komórek organizacyjnych
§ 6.
1.
Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki, pełniący funkcję Gestora systemu SPIN-P:1)
wnioskuje do kierownika jednostki organizacyjnej, w rozumieniu przepisów o ochronie informacji niejawnych, o wyznaczenie administratorów systemu sprawujących nadzór nad realizacją zadań związanych z jego funkcjonowaniem;2)
wyznacza administratora materiałów kryptograficznych, sprawującego nadzór nad warstwą kryptograficzną systemu;3)
sprawuje nadzór nad wykonywaniem obowiązków przez administratorów systemu oraz przez administratora materiałów kryptograficznych;4)
odpowiada za planowanie środków finansowych na funkcjonowanie i rozwój systemu, w szczególności za środki przeznaczone na zakup sprzętu, akcesoriów i licencji oprogramowania;5)
współpracuje z dyrektorem komórki właściwej w sprawach finansowych w celu wykonania zadań określonych w zarządzeniu;6)
odpowiada za prowadzenie ewidencji sprzętu, akcesoriów i licencji oprogramowania niezbędnych do funkcjonowania systemu;7)
odpowiada za prowadzenie spraw formalno-prawnych związanych z wykorzystywaniem urządzeń wchodzących w skład systemu.2.
Pełnomocnik do spraw Ochrony Informacji Niejawnych Ministerstwa Spraw Zagranicznych:1)
wnioskuje do kierownika jednostki organizacyjnej, w rozumieniu przepisów o ochronie informacji niejawnych, o wyznaczenie Inspektora Bezpieczeństwa Teleinformatycznego;2)
sprawuje nadzór nad wykonywaniem obowiązków przez Inspektora Bezpieczeństwa Teleinformatycznego;3)
sprawuje nadzór nad obiegiem informacji w systemie SPIN-P.3.
Dyrektor komórki organizacyjnej właściwej w sprawach zarządzania informacją określa wymagania funkcjonalne związane z mechanizmami udostępniania, gromadzenia, wykorzystania oraz przekazywania informacji w systemie SPIN-P.Rozdział 4
Obowiązki Administratora Głównego systemu SPIN-P
Obowiązki Administratora Głównego systemu SPIN-P
§ 7.
Administrator Główny systemu SPIN-P wykonuje obowiązki określone w dokumencie "Procedury Bezpiecznej Eksploatacji systemu SPIN-P", w tym w szczególności:1)
nadzoruje prawidłowe funkcjonowanie wszystkich komponentów systemu, a w przypadku wykrycia nieprawidłowości niezwłocznie przystępuje do działań mających na celu przywrócenie jego poprawnej pracy;2)
zapewnia ciągłość działania systemu;3)
ściśle współpracuje z administratorami pomocniczymi systemu;4)
administruje kontami użytkowników i ich uprawnieniami;5)
odtwarza system i dane przetwarzane w systemie z kopii bezpieczeństwa;6)
opracowuje i aktualizuje dokumentację bezpieczeństwa, techniczną systemu oraz przedkłada ją do zatwierdzenia dyrektorowi komórki organizacyjnej właściwej w sprawach teleinformatyki;7)
powiadamia inspektora Bezpieczeństwa Teleinformatycznego o incydentach oraz ryzykach naruszenia zasad ochrony informacji przetwarzanych w systemie;8)
wykonuje inne czynności wskazane w dokumentacji bezpieczeństwa systemu.Rozdział 5
Obowiązki administratora materiałów kryptograficznych
Obowiązki administratora materiałów kryptograficznych
§ 8.
Administrator materiałów kryptograficznych realizuje zadania określone w dokumencie "Procedury Bezpiecznej Eksploatacji systemu SPIN-P", w tym w szczególności:1)
prowadzi ewidencję i nadzoruje dystrybucję materiałów kryptograficznych przeznaczonych dla stacji roboczych systemu;2)
wskazuje Inspektorowi Bezpieczeństwa Teleinformatycznego ewentualne nieprawidłowości w procesie posługiwania się materiałami kryptograficznymi przez użytkowników systemu;3)
wytwarza materiały kryptograficzne na stacji generacji kluczy SPIN-P, służące identyfikacji użytkownika w systemie.Rozdział 6
Obowiązki Administratorów systemów wspierających
Obowiązki Administratorów systemów wspierających
§ 9.
1.
Administratorzy systemów i usług wspierających są zobowiązani:1)
ściśle współpracować z Administratorem Głównym systemu SPIN-P;2)
powiadamiać Administratora Głównego systemu SPIN-P o wystąpieniu zdarzeń zagrażających utracie ciągłości działania lub bezpieczeństwu systemu SPIN-P;3)
we współpracy z Administratorem Głównym systemu SPIN-P podejmować czynności w celu usunięcia awarii.2.
Administratorzy systemów wspierających są zobowiązani do przestrzegania zasad użytkowania systemu określonych w dokumentacji bezpieczeństwa systemu SPIN-P.Rozdział 7
Obowiązki użytkownika systemu SPIN-P
Obowiązki użytkownika systemu SPIN-P
§ 10.
1.
Użytkownik systemu SPIN-P jest zobowiązany:1)
przestrzegać zasad użytkowania, określonych w instrukcji, o której mowa w § 3 ust. 2, dokumentacji bezpieczeństwa oraz stosować wytyczne i polecenia wydane w tym zakresie przez dyrektora komórki organizacyjnej właściwej w sprawach teleinformatyki oraz działającego z jego upoważnienia Administratora Głównego systemu SPIN-P;2)
zapoznać się z dokumentem "Procedury Bezpiecznej Eksploatacji Systemu SPIN-P", a w szczególności z częścią odpowiadającą zakresowi obowiązków;3)
uczestniczyć w szkoleniach dotyczących zasad działania systemu SPIN-P;4)
korzystać z systemu SPIN-P wyłącznie w celu realizacji zadań służbowych;5)
korzystać z systemu SPIN-P w taki sposób, aby ograniczyć ryzyko nieuprawnionego zapoznania się osób postronnych z informacjami przetwarzanymi za pomocą systemu SPIN-P;6)
chronić dane pozwalające na uwierzytelnienie się pozwalające na dostęp do systemu SPIN-P;7)
nie udostępniać indywidualnego konta użytkownika żadnej innej osobie;8)
wylogować się z systemu SPIN-P za każdym razem, gdy opuszcza stanowisko pracy;9)
nie pozostawiać bez nadzoru, w tym zabezpieczenia technicznego pomieszczenia, w którym zainstalowane jest stanowisko systemu SPIN-P;10)
każdorazowo po zakończeniu pracy na stanowisku sprawdzić stan zabezpieczenia pomieszczenia, w którym zlokalizowane jest stanowisko, w tym w szczególności zamknięcie drzwi i włączenie systemów zabezpieczenia technicznego pomieszczenia;11)
bezzwłocznie powiadomić Administratora Głównego systemu SPIN-P oraz Inspektora Bezpieczeństwa Teleinformatycznego o incydentach oraz przypadkach wystąpienia ryzyka naruszenia zasad ochrony informacji niejawnych przetwarzanych w systemie.2.
Użytkownik powinien przestrzegać następujących ograniczeń:1)
zabronione jest samowolne instalowanie lub usuwanie oprogramowania komputerowego;2)
zabroniona jest samowolna zmiana ustawień i modyfikacji systemu operacyjnego komputera lub parametrów systemu SPIN-P;3)
zabronione jest samowolne przełączanie kabli sieciowych oraz dokonywanie innych modyfikacji konfiguracji sprzętowej stanowiska SPIN-P;4)
zabronione jest dokonywanie prób uzyskania nielegalnego dostępu do plików lub danych uwierzytelniających innych użytkowników.Rozdział 8
Bezpieczeństwo systemu SPIN-P
Bezpieczeństwo systemu SPIN-P
§ 11.
1.
Administratorzy systemu odpowiadają za bezpieczeństwo systemu SPIN-P, w tym proponują reguły bezpieczeństwa i po ich zatwierdzeniu przez Departament Bezpieczeństwa Teleinformatycznego ABW wdrażają je w systemie SPIN-P.2.
Administratorzy systemu uzgadniają reguły, o których mowa w ust. 1, z Inspektorem Bezpieczeństwa Teleinformatycznego.Rozdział 9
Zasady przyłączenia stanowisk do systemu SPIN-P
Zasady przyłączenia stanowisk do systemu SPIN-P
§ 12.
1.
Stanowisko systemu SPIN-P może być zainstalowane w Ministerstwie Spraw Zagranicznych oraz w jednostkach organizacyjnych podległych Ministrowi Spraw Zagranicznych na wniosek skierowany do dyrektora komórki organizacyjnej właściwej w sprawach teleinformatyki. Z wnioskiem takim wystąpić może:1)
kierownik placówki zagranicznej;2)
dyrektor komórki organizacyjnej w Ministerstwie Spraw Zagranicznych;3)
członek Kierownictwa Ministerstwa Spraw Zagranicznych.2.
Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki podejmuje decyzję o zainstalowaniu stanowiska systemu SPIN-P po otrzymaniu od wnioskodawcy następujących dokumentów:1)
wypełnionej ankiety bezpieczeństwa teleinformatycznego stanowiska węzła systemu SPIN-P, której wzór został określony w załączniku do zarządzenia;2)
wniosku o określenie sprzętowej strefy ochrony elektromagnetycznej - WS-01, którego wzór określa Agencja Bezpieczeństwa Wewnętrznego;oraz zatwierdzeniu powyższych dokumentów przez Departament Bezpieczeństwa Teleinformatycznego Agencji Bezpieczeństwa Wewnętrznego.
Rozdział 10
Przepisy końcowe
Przepisy końcowe
§ 13.
1.
Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki jest zobowiązany do opracowania i wdrożenia w terminie 30 dni od dnia wejścia w życie zarządzenia instrukcji, o której mowa w § 3 ust. 2.2.
Z dniem wejścia zarządzenia w życie wycofuje się z eksploatacji zainstalowany w Ministerstwie Spraw Zagranicznych i placówkach zagranicznych system "SPIN-Z".3.
Od dnia wejścia zarządzenia w życie w placówkach zagranicznych przyłączonych do systemu SPIN-P informacje oznaczone klauzulą poufne należy przesyłać wyłącznie za pośrednictwem tego systemu,4.
Termin wdrożenia i rozpoczęcia użytkowania systemu SPIN-P wyznacza się na 17 października 2011, przy czym placówki zagraniczne, które nie są przyłączone do systemu SPIN-P w dniu wejścia zarządzenia w życie będą przyłączane do tego systemu niezwłocznie po uzyskaniu świadectwa akredytacji bezpieczeństwa systemu teleinformatycznego.§ 14.
Zarządzenie wchodzi w życie z dniem podpisania.