Rozdział 10 - Bezpieczeństwo systemów i sieci teleinformatycznych - Ochrona informacji niejawnych.

Dziennik Ustaw

Dz.U.2005.196.1631 t.j.

Akt utracił moc
Wersja od: 31 marca 2010 r.

Rozdział  10

Bezpieczeństwo systemów i sieci teleinformatycznych

Art.  60.
1.
Systemy i sieci teleinformatyczne, w których mają być wytwarzane, przetwarzane, przechowywane lub przekazywane informacje niejawne, podlegają akredytacji bezpieczeństwa teleinformatycznego przez służby ochrony państwa.
2.
Akredytacja, o której mowa w ust. 1, następuje na podstawie dokumentów szczególnych wymagań bezpieczeństwa i procedur bezpiecznej eksploatacji.
3.
Urządzenia i narzędzia kryptograficzne, służące do ochrony informacji niejawnych stanowiących tajemnicę państwową lub tajemnicę służbową oznaczonych klauzulą "poufne", podlegają badaniom i certyfikacji prowadzonym przez służby ochrony państwa.
4.
W wyniku badań i certyfikacji, o których mowa w ust. 3, służby ochrony państwa wydają wzajemnie uznawane certyfikaty ochrony kryptograficznej.
5.
Wytwarzanie, przetwarzanie, przechowywanie lub przekazywanie informacji niejawnych stanowiących tajemnicę państwową, odpowiednio do ich klauzuli tajności, jest dopuszczalne po uzyskaniu certyfikatu akredytacji bezpieczeństwa teleinformatycznego dla systemu lub sieci teleinformatycznej, wydanego przez właściwą służbę ochrony państwa.
6.
Certyfikat, o którym mowa w ust. 5, wydaje się na podstawie:
  1)
przeprowadzonych zgodnie z ustawą postępowań sprawdzających wobec osób mających dostęp do systemu lub sieci teleinformatycznej;
  2)
zatwierdzonych przez właściwą służbę ochrony państwa dokumentów szczególnych wymagań bezpieczeństwa i procedur bezpiecznej eksploatacji;
  3)
audytu bezpieczeństwa systemu lub sieci teleinformatycznej, polegającego na weryfikacji poprawności realizacji wymagań i procedur, określonych w dokumentach szczególnych wymagań bezpieczeństwa i procedur bezpiecznej eksploatacji.
7.
Szef właściwej służby ochrony państwa po zapoznaniu się z wynikiem analizy ryzyka dla bezpieczeństwa informacji niejawnych może, bez spełnienia niektórych wymagań w zakresie ochrony fizycznej, elektromagnetycznej lub kryptograficznej, dokonać, na czas określony, nie dłuższy jednak niż na 2 lata, akredytacji bezpieczeństwa teleinformatycznego systemu lub sieci teleinformatycznej, którym przyznano określoną klauzulę tajności, w przypadku gdy brak możliwości ich eksploatacji powodowałby zagrożenie dla porządku publicznego, obronności, bezpieczeństwa albo interesów międzynarodowych państwa.
8.
Kierownicy jednostek organizacyjnych organów uprawnionych do prowadzenia na mocy odrębnych przepisów czynności operacyjno-rozpoznawczych mogą podjąć decyzję o eksploatacji środków technicznych umożliwiających uzyskiwanie, przetwarzanie, przechowywanie i przekazywanie w sposób tajny informacji oraz utrwalanie dowodów, bez konieczności spełnienia wymagań określonych w ust. 1 i 3 oraz 5 i 6, w przypadkach gdy ich spełnienie uniemożliwiałoby lub w znacznym stopniu utrudniałoby realizację czynności operacyjnych.
Art.  61.
1.
Dokumenty szczególnych wymagań bezpieczeństwa systemu lub sieci teleinformatycznej powinny być kompletnym i wyczerpującym opisem ich budowy, zasad działania i eksploatacji. Dokumenty te opracowuje się w fazie projektowania, bieżąco uzupełnia w fazie wdrażania i modyfikuje w fazie eksploatacji przed dokonaniem zmian w systemie lub sieci teleinformatycznej.
2.
Procedury bezpiecznej eksploatacji opracowuje się i uzupełnia w fazie wdrażania oraz modyfikuje w fazie eksploatacji przed dokonaniem zmian w systemie lub sieci teleinformatycznej.
3.
Dokumenty, o których mowa w ust. 1, oraz procedury, o których mowa w ust. 2, opracowuje oraz przekazuje służbie ochrony państwa kierownik jednostki organizacyjnej, który jest także odpowiedzialny za eksploatację i bezpieczeństwo systemu lub sieci teleinformatycznej.
4.
Dokumenty szczególnych wymagań bezpieczeństwa oraz procedury bezpiecznej eksploatacji systemów i sieci teleinformatycznych, w których mają być wytwarzane, przetwarzane, przechowywane lub przekazywane informacje niejawne stanowiące tajemnicę państwową, są w każdym przypadku indywidualnie zatwierdzane przez właściwą służbę ochrony państwa w terminie 30 dni od dnia ich otrzymania.
5.
Dokumenty szczególnych wymagań bezpieczeństwa oraz procedury bezpiecznej eksploatacji systemów i sieci teleinformatycznych, w których mają być wytwarzane, przetwarzane, przechowywane lub przekazywane informacje niejawne stanowiące tajemnicę służbową, są przedstawiane właściwej służbie ochrony państwa. Niewniesienie zastrzeżeń przez służbę ochrony państwa do tych wymagań, w terminie 30 dni od dnia ich przedstawienia, uprawnia do przejścia do kolejnej fazy budowy systemu lub sieci teleinformatycznej, o której mowa w ust. 1.
Art.  62.
1.
Prezes Rady Ministrów określi, w drodze rozporządzenia, podstawowe wymagania bezpieczeństwa teleinformatycznego, jakim powinny odpowiadać systemy i sieci teleinformatyczne służące do wytwarzania, przetwarzania, przechowywania lub przekazywania informacji niejawnych, oraz sposób opracowywania dokumentów szczególnych wymagań bezpieczeństwa i procedur bezpiecznej eksploatacji tych systemów i sieci.
2.
W rozporządzeniu, o którym mowa w ust. 1, określa się w szczególności podstawowe wymagania bezpieczeństwa teleinformatycznego w zakresie ochrony fizycznej, elektromagnetycznej, kryptograficznej, niezawodności transmisji, kontroli dostępu w sieciach lub systemach teleinformatycznych służących do wytwarzania, przetwarzania, przechowywania lub przekazywania informacji niejawnych. W dokumentach szczególnych wymagań bezpieczeństwa określa się środki ochrony kryptograficznej, elektromagnetycznej, technicznej i organizacyjnej systemu lub sieci teleinformatycznej. Procedury bezpiecznej eksploatacji obejmują sposób i tryb postępowania w sprawach związanych z bezpieczeństwem informacji niejawnych oraz określają zakres odpowiedzialności użytkowników systemu lub sieci teleinformatycznych i pracowników mających do nich dostęp.
Art.  63.
1.
Za przeprowadzenie czynności, o których mowa w art. 60 ust. 3-6, pobiera się opłaty.
2.
Z opłat, o których mowa w ust. 1, są zwolnione jednostki organizacyjne będące jednostkami budżetowymi.
3.
Przedsiębiorcy obowiązani na podstawie odrębnych ustaw do wykonywania zadań publicznych na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego zwolnieni są z opłat za przeprowadzenie czynności, o których mowa w art. 60 ust. 5 i 6, w przypadku akredytacji bezpieczeństwa teleinformatycznego systemów i sieci teleinformatycznych niezbędnych do wykonania tych zadań.
4.
Prezes Rady Ministrów określi, w drodze rozporządzenia, wysokość opłat, o których mowa w ust. 1, z uwzględnieniem kosztów ponoszonych na przeprowadzenie czynności, o których mowa w art. 60 ust. 3-6.
Art.  64.
1.
Kierownik jednostki organizacyjnej wyznacza:
  1)
osobę lub zespół osób, odpowiedzialnych za funkcjonowanie systemów lub sieci teleinformatycznych oraz za przestrzeganie zasad i wymagań bezpieczeństwa systemów i sieci teleinformatycznych, zwane dalej "administratorem systemu";
  2)
pracownika lub pracowników pionu ochrony pełniących funkcje inspektorów bezpieczeństwa teleinformatycznego, odpowiedzialnych za bieżącą kontrolę zgodności funkcjonowania sieci lub systemu teleinformatycznego ze szczególnymi wymaganiami bezpieczeństwa oraz za kontrolę przestrzegania procedur bezpiecznej eksploatacji, o których mowa w art. 61 ust. 2.
2.
Służby ochrony państwa udzielają kierownikom jednostek organizacyjnych pomocy niezbędnej dla realizacji ich zadań, w szczególności wydając zalecenia w zakresie bezpieczeństwa teleinformatycznego.
3.
Stanowiska lub funkcje administratora systemu albo inspektora bezpieczeństwa teleinformatycznego mogą zajmować lub pełnić osoby określone w art. 18 ust. 5, posiadające poświadczenia bezpieczeństwa odpowiednie do klauzuli informacji wytwarzanych, przetwarzanych, przechowywanych lub przekazywanych w systemach lub sieciach teleinformatycznych, po odbyciu specjalistycznych szkoleń z zakresu bezpieczeństwa teleinformatycznego prowadzonych przez służby ochrony państwa.

Dokumenty powiązane

Orzeczenia i pisma urzędowe liczba obiektów na liście: (2)
Orzeczenia sądów liczba obiektów na liście: (2)
Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .