Wdrożenie i eksploatacja Systemu Przetwarzania Informacji Niejawnych - Poufnych w Ministerstwie Spraw Zagranicznych i w placówkach zagranicznych.

Dzienniki resortowe

Dz.Urz.MSZ.2011.9.75

| Akt obowiązujący
Wersja od: 17 października 2011 r.

ZARZĄDZENIE Nr 22
DYREKTORA GENERALNEGO SŁUŻBY ZAGRANICZNEJ
z dnia 17 października 2011 r.
w sprawie wdrożenia i eksploatacji Systemu Przetwarzania Informacji Niejawnych - Poufnych w Ministerstwie Spraw Zagranicznych i w placówkach zagranicznych

Na podstawie art. 25 ust. 4 pkt 1 w związku z ust. 10 ustawy z dnia 21 listopada 2008 r. o służbie cywilnej (Dz. U. Nr 227, poz. 1505 oraz z 2009 r. Nr 157, poz. 1241, Nr 219, poz. 1706 i Nr 157, poz. 1241) zarządza się, co następuje:

Rozdział  1

Przepisy ogólne

§  1.
Zarządzenie określa:
1)
zasady wdrożenia, eksploatacji oraz administrowania systemem przetwarzania informacji niejawnych o klauzuli "Poufne", "Confidentiel UE/EU Confidential" i "NATO Confidential" włącznie, zwanym dalej "systemem SPIN-P" w Ministerstwie Spraw Zagranicznych oraz w placówkach zagranicznych;
2)
zadania komórek organizacyjnych Ministerstwa Spraw Zagranicznych, zwanych dalej "komórkami organizacyjnymi" i placówek zagranicznych oraz obowiązki zatrudnionych w nich pracowników związane z wdrożeniem, utrzymaniem, użytkowaniem i zarządzaniem systemem SPIN-P.
§  2.
Pojęcia używane w zarządzeniu są zgodne z definicjami zawartymi w słowniku obowiązujących pojęć dla potrzeb Księgi Norm Teleinformatycznych i Teletechnicznych, ustalonym w odrębnym trybie.
§  3.
1.
Wprowadza się do eksploatacji system SPIN-P w Ministerstwie Spraw Zagranicznych i w placówkach zagranicznych.
2.
Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki, w porozumieniu z dyrektorem komórki organizacyjnej właściwej w sprawach ochrony informacji niejawnych, jest upoważniony do wydania i aktualizowania instrukcji, wytycznych i poleceń określających szczegółowe zasady wdrażania systemu SPIN-P oraz jego wykorzystania do realizacji zadań służbowych.
3.
Użytkownicy i administratorzy ponoszą odpowiedzialność służbową za nieprzestrzeganie zasad użytkowania systemu SPIN-P, określonych w "Procedurach Bezpiecznej Eksploatacji systemu SPIN-P", instrukcjach, wytycznych i poleceniach, o których mowa w ust. 2.
4.
Inspektor Bezpieczeństwa Teleinformatycznego ponosi odpowiedzialność służbową za weryfikację i bieżącą kontrolę zgodności funkcjonowania systemu SPIN-P ze szczególnymi wymaganiami bezpieczeństwa oraz przestrzegania procedur bezpiecznej eksploatacji, instrukcji, wytycznych i poleceń, o których mowa w ust. 2 a także za realizację zadań określonych w § 14 rozporządzenia Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz. U. Nr 159, poz. 948).
5.
Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki jest upoważniony do przekazywania do urzędów polskiej administracji publicznej urządzeń szyfrujących zakupionych przez Ministerstwo Spraw Zagranicznych, w celu ich dalszego wykorzystania na stanowisku roboczym systemu SPIN-P w danym urzędzie.

Rozdział  2

System SPIN-P

§  4.
1.
System SPIN-P składa się z infrastruktury serwerowej zainstalowanej w Centrali Ministerstwa Spraw Zagranicznych, brzegowych urządzeń dostępowych oraz stacji roboczych.
2.
Infrastruktura serwerowa obejmuje serwery: aplikacyjne, poczty elektronicznej, plików i urządzeń szyfrujących.
§  5.
1.
System SPIN-P umożliwia przetwarzanie i przesyłanie informacji niejawnych do klauzuli "Poufne", "Confidentiel UE/EU Confidential" i "NATO Confidential" włącznie.
2.
System SPIN-P jest eksploatowany w Ministerstwie Spraw Zagranicznych, w placówkach zagranicznych, a także w wybranych urzędach polskiej administracji publicznej.
3.
System SPIN-P posiada następujące środowiska:
1)
produkcyjne;
2)
szkoleniowe;
3)
testowe;
4)
rozwojowe.
4.
Zasady obiegu informacji niejawnych w systemie SPIN-P określają odrębne przepisy.

Rozdział  3

Zadania komórek organizacyjnych

§  6.
1.
Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki, pełniący funkcję Gestora systemu SPIN-P:
1)
wnioskuje do kierownika jednostki organizacyjnej, w rozumieniu przepisów o ochronie informacji niejawnych, o wyznaczenie administratorów systemu sprawujących nadzór nad realizacją zadań związanych z jego funkcjonowaniem;
2)
wyznacza administratora materiałów kryptograficznych, sprawującego nadzór nad warstwą kryptograficzną systemu;
3)
sprawuje nadzór nad wykonywaniem obowiązków przez administratorów systemu oraz przez administratora materiałów kryptograficznych;
4)
odpowiada za planowanie środków finansowych na funkcjonowanie i rozwój systemu, w szczególności za środki przeznaczone na zakup sprzętu, akcesoriów i licencji oprogramowania;
5)
współpracuje z dyrektorem komórki właściwej w sprawach finansowych w celu wykonania zadań określonych w zarządzeniu;
6)
odpowiada za prowadzenie ewidencji sprzętu, akcesoriów i licencji oprogramowania niezbędnych do funkcjonowania systemu;
7)
odpowiada za prowadzenie spraw formalno-prawnych związanych z wykorzystywaniem urządzeń wchodzących w skład systemu.
2.
Pełnomocnik do spraw Ochrony Informacji Niejawnych Ministerstwa Spraw Zagranicznych:
1)
wnioskuje do kierownika jednostki organizacyjnej, w rozumieniu przepisów o ochronie informacji niejawnych, o wyznaczenie Inspektora Bezpieczeństwa Teleinformatycznego;
2)
sprawuje nadzór nad wykonywaniem obowiązków przez Inspektora Bezpieczeństwa Teleinformatycznego;
3)
sprawuje nadzór nad obiegiem informacji w systemie SPIN-P.
3.
Dyrektor komórki organizacyjnej właściwej w sprawach zarządzania informacją określa wymagania funkcjonalne związane z mechanizmami udostępniania, gromadzenia, wykorzystania oraz przekazywania informacji w systemie SPIN-P.

Rozdział  4

Obowiązki Administratora Głównego systemu SPIN-P

§  7.
Administrator Główny systemu SPIN-P wykonuje obowiązki określone w dokumencie "Procedury Bezpiecznej Eksploatacji systemu SPIN-P", w tym w szczególności:
1)
nadzoruje prawidłowe funkcjonowanie wszystkich komponentów systemu, a w przypadku wykrycia nieprawidłowości niezwłocznie przystępuje do działań mających na celu przywrócenie jego poprawnej pracy;
2)
zapewnia ciągłość działania systemu;
3)
ściśle współpracuje z administratorami pomocniczymi systemu;
4)
administruje kontami użytkowników i ich uprawnieniami;
5)
odtwarza system i dane przetwarzane w systemie z kopii bezpieczeństwa;
6)
opracowuje i aktualizuje dokumentację bezpieczeństwa, techniczną systemu oraz przedkłada ją do zatwierdzenia dyrektorowi komórki organizacyjnej właściwej w sprawach teleinformatyki;
7)
powiadamia inspektora Bezpieczeństwa Teleinformatycznego o incydentach oraz ryzykach naruszenia zasad ochrony informacji przetwarzanych w systemie;
8)
wykonuje inne czynności wskazane w dokumentacji bezpieczeństwa systemu.

Rozdział  5

Obowiązki administratora materiałów kryptograficznych

§  8.
Administrator materiałów kryptograficznych realizuje zadania określone w dokumencie "Procedury Bezpiecznej Eksploatacji systemu SPIN-P", w tym w szczególności:
1)
prowadzi ewidencję i nadzoruje dystrybucję materiałów kryptograficznych przeznaczonych dla stacji roboczych systemu;
2)
wskazuje Inspektorowi Bezpieczeństwa Teleinformatycznego ewentualne nieprawidłowości w procesie posługiwania się materiałami kryptograficznymi przez użytkowników systemu;
3)
wytwarza materiały kryptograficzne na stacji generacji kluczy SPIN-P, służące identyfikacji użytkownika w systemie.

Rozdział  6

Obowiązki Administratorów systemów wspierających

§  9.
1.
Administratorzy systemów i usług wspierających są zobowiązani:
1)
ściśle współpracować z Administratorem Głównym systemu SPIN-P;
2)
powiadamiać Administratora Głównego systemu SPIN-P o wystąpieniu zdarzeń zagrażających utracie ciągłości działania lub bezpieczeństwu systemu SPIN-P;
3)
we współpracy z Administratorem Głównym systemu SPIN-P podejmować czynności w celu usunięcia awarii.
2.
Administratorzy systemów wspierających są zobowiązani do przestrzegania zasad użytkowania systemu określonych w dokumentacji bezpieczeństwa systemu SPIN-P.

Rozdział  7

Obowiązki użytkownika systemu SPIN-P

§  10.
1.
Użytkownik systemu SPIN-P jest zobowiązany:
1)
przestrzegać zasad użytkowania, określonych w instrukcji, o której mowa w § 3 ust. 2, dokumentacji bezpieczeństwa oraz stosować wytyczne i polecenia wydane w tym zakresie przez dyrektora komórki organizacyjnej właściwej w sprawach teleinformatyki oraz działającego z jego upoważnienia Administratora Głównego systemu SPIN-P;
2)
zapoznać się z dokumentem "Procedury Bezpiecznej Eksploatacji Systemu SPIN-P", a w szczególności z częścią odpowiadającą zakresowi obowiązków;
3)
uczestniczyć w szkoleniach dotyczących zasad działania systemu SPIN-P;
4)
korzystać z systemu SPIN-P wyłącznie w celu realizacji zadań służbowych;
5)
korzystać z systemu SPIN-P w taki sposób, aby ograniczyć ryzyko nieuprawnionego zapoznania się osób postronnych z informacjami przetwarzanymi za pomocą systemu SPIN-P;
6)
chronić dane pozwalające na uwierzytelnienie się pozwalające na dostęp do systemu SPIN-P;
7)
nie udostępniać indywidualnego konta użytkownika żadnej innej osobie;
8)
wylogować się z systemu SPIN-P za każdym razem, gdy opuszcza stanowisko pracy;
9)
nie pozostawiać bez nadzoru, w tym zabezpieczenia technicznego pomieszczenia, w którym zainstalowane jest stanowisko systemu SPIN-P;
10)
każdorazowo po zakończeniu pracy na stanowisku sprawdzić stan zabezpieczenia pomieszczenia, w którym zlokalizowane jest stanowisko, w tym w szczególności zamknięcie drzwi i włączenie systemów zabezpieczenia technicznego pomieszczenia;
11)
bezzwłocznie powiadomić Administratora Głównego systemu SPIN-P oraz Inspektora Bezpieczeństwa Teleinformatycznego o incydentach oraz przypadkach wystąpienia ryzyka naruszenia zasad ochrony informacji niejawnych przetwarzanych w systemie.
2.
Użytkownik powinien przestrzegać następujących ograniczeń:
1)
zabronione jest samowolne instalowanie lub usuwanie oprogramowania komputerowego;
2)
zabroniona jest samowolna zmiana ustawień i modyfikacji systemu operacyjnego komputera lub parametrów systemu SPIN-P;
3)
zabronione jest samowolne przełączanie kabli sieciowych oraz dokonywanie innych modyfikacji konfiguracji sprzętowej stanowiska SPIN-P;
4)
zabronione jest dokonywanie prób uzyskania nielegalnego dostępu do plików lub danych uwierzytelniających innych użytkowników.

Rozdział  8

Bezpieczeństwo systemu SPIN-P

§  11.
1.
Administratorzy systemu odpowiadają za bezpieczeństwo systemu SPIN-P, w tym proponują reguły bezpieczeństwa i po ich zatwierdzeniu przez Departament Bezpieczeństwa Teleinformatycznego ABW wdrażają je w systemie SPIN-P.
2.
Administratorzy systemu uzgadniają reguły, o których mowa w ust. 1, z Inspektorem Bezpieczeństwa Teleinformatycznego.

Rozdział  9

Zasady przyłączenia stanowisk do systemu SPIN-P

§  12.
1.
Stanowisko systemu SPIN-P może być zainstalowane w Ministerstwie Spraw Zagranicznych oraz w jednostkach organizacyjnych podległych Ministrowi Spraw Zagranicznych na wniosek skierowany do dyrektora komórki organizacyjnej właściwej w sprawach teleinformatyki. Z wnioskiem takim wystąpić może:
1)
kierownik placówki zagranicznej;
2)
dyrektor komórki organizacyjnej w Ministerstwie Spraw Zagranicznych;
3)
członek Kierownictwa Ministerstwa Spraw Zagranicznych.
2.
Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki podejmuje decyzję o zainstalowaniu stanowiska systemu SPIN-P po otrzymaniu od wnioskodawcy następujących dokumentów:
1)
wypełnionej ankiety bezpieczeństwa teleinformatycznego stanowiska węzła systemu SPIN-P, której wzór został określony w załączniku do zarządzenia;
2)
wniosku o określenie sprzętowej strefy ochrony elektromagnetycznej - WS-01, którego wzór określa Agencja Bezpieczeństwa Wewnętrznego;

oraz zatwierdzeniu powyższych dokumentów przez Departament Bezpieczeństwa Teleinformatycznego Agencji Bezpieczeństwa Wewnętrznego.

Rozdział  10

Przepisy końcowe

§  13.
1.
Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki jest zobowiązany do opracowania i wdrożenia w terminie 30 dni od dnia wejścia w życie zarządzenia instrukcji, o której mowa w § 3 ust. 2.
2.
Z dniem wejścia zarządzenia w życie wycofuje się z eksploatacji zainstalowany w Ministerstwie Spraw Zagranicznych i placówkach zagranicznych system "SPIN-Z".
3.
Od dnia wejścia zarządzenia w życie w placówkach zagranicznych przyłączonych do systemu SPIN-P informacje oznaczone klauzulą poufne należy przesyłać wyłącznie za pośrednictwem tego systemu,
4.
Termin wdrożenia i rozpoczęcia użytkowania systemu SPIN-P wyznacza się na 17 października 2011, przy czym placówki zagraniczne, które nie są przyłączone do systemu SPIN-P w dniu wejścia zarządzenia w życie będą przyłączane do tego systemu niezwłocznie po uzyskaniu świadectwa akredytacji bezpieczeństwa systemu teleinformatycznego.
§  14.
Zarządzenie wchodzi w życie z dniem podpisania.

ZAŁĄCZNIK

BIURO INFORMATYKI I TELEKOMUNIKACJI MINISTERSTWO SPRAW ZAGRANICZNYCH