Rozdział 6 - Zakres i szczególne wymagania dotyczące stosowania środków bezpieczeństwa fizycznego przeznaczonych do ochrony informacji niejawnych oraz kryteria tworzenia stref ochronnych - Szczegółowe zadania pełnomocników ochrony w zakresie ochrony informacji niejawnych w jednostkach organizacyjnych podległych Ministrowi Obrony Narodowej lub przez niego nadzorowanych.
Dziennik Ustaw
Dz.U.2022.322 t.j.
Akt obowiązujący Wersja od: 9 lutego 2022 r.
Rozdział 6
Zakres i szczególne wymagania dotyczące stosowania środków bezpieczeństwa fizycznego przeznaczonych do ochrony informacji niejawnych oraz kryteria tworzenia stref ochronnych
Zakres i szczególne wymagania dotyczące stosowania środków bezpieczeństwa fizycznego przeznaczonych do ochrony informacji niejawnych oraz kryteria tworzenia stref ochronnych
§ 13.
1.
W celu zapewnienia w jednostce organizacyjnej skutecznej ochrony informacji niejawnych stosuje się środki bezpieczeństwa fizycznego obejmujące przedsięwzięcia organizacyjne, ochronę fizyczną i ochronę techniczną, z zastrzeżeniem § 15 ust. 10b.2.
Ochrona fizyczna obejmuje zespół przedsięwzięć mających na celu zapewnienie stałej kontroli nad materiałami niejawnymi i jest realizowana przez osoby przeszkolone, w tym przez siły ochronne i służby dyżurne zapewniające między innymi kontrolę dostępu do pomieszczeń lub obszarów, rejonów, stref, w których są przetwarzane informacje niejawne, oraz nadzór nad technicznymi środkami wspomagającymi ochronę fizyczną, a także reagowanie na sygnały alarmowe lub techniczne.3.
Ochronę techniczną stanowią zabezpieczenia uniemożliwiające lub opóźniające wtargnięcie osób nieuprawnionych w sposób niezauważony lub z użyciem siły do pomieszczeń, obszarów, rejonów, stref, w których są przetwarzane informacje niejawne.§ 14.
1.
Zabezpieczenia służące do ochrony fizycznej informacji niejawnych tworzą w szczególności:1)
bariery fizyczne chroniące granice pomieszczeń, obszarów, rejonów, stref, w których są przetwarzane informacje niejawne, w tym w szczególności ogrodzenia, przegrody budowlane, zabezpieczenia mechaniczne, a także urządzenia do przechowywania materiałów niejawnych;2)
system kontroli dostępu obejmujący system elektroniczny lub rozwiązanie organizacyjne, stosowane w celu zagwarantowania uzyskiwania dostępu do pomieszczeń, obszarów, rejonów, stref, w których są przetwarzane informacje niejawne, wyłącznie przez osoby posiadające odpowiednie uprawnienia;3)
system alarmowy służący do wykrywania i sygnalizowania naruszenia chronionych granic pomieszczeń, obszarów, rejonów oraz stref;4)
telewizyjny system nadzoru stosowany do obserwowania i rejestrowania sytuacji w nadzorowanym obszarze, rejonie, strefie oraz do weryfikacji zdarzeń alarmowych;5)
system kontroli osób i przedmiotów obejmujący system elektroniczny lub rozwiązanie organizacyjne polegające na kontroli rzeczy osobistych, a także przedmiotów wnoszonych lub wynoszonych, stosowany w celu zapobiegania próbom nieuprawnionego wnoszenia do stref ochronnych rzeczy zagrażających bezpieczeństwu informacji niejawnych lub nieuprawnionego wynoszenia materiałów niejawnych z budynków lub obiektów;6)
depozytory przeznaczone do przechowywania telefonów komórkowych i innych urządzeń rejestrujących obraz i dźwięk;7)
depozytory kluczy przeznaczone do bezpiecznego zdawania, przechowywania i pobierania kluczy do pomieszczeń i urządzeń, w których przetwarzane są informacje niejawne.2.
Systemy alarmowe, elektroniczne systemy kontroli dostępu, telewizyjne systemy nadzoru muszą spełniać wymagania o standardzie nie niższym niż określony w Normie Obronnej NO-04-A004 - Obiekty wojskowe. Systemy alarmowe.§ 15.
1.
Tworzy się następujące strefy ochronne:1)
strefę ochronną I - obejmującą pomieszczenie, zespół pomieszczeń lub obszar, w którym informacje niejawne są przetwarzane, w taki sposób, że wstęp do tego pomieszczenia, zespołu pomieszczeń lub obszaru umożliwia uzyskanie bezpośredniego dostępu do tych informacji, przy czym spełnione są następujące wymagania:a)
granice strefy są wyraźnie określone i zabezpieczone,b)
w planie ochrony informacji niejawnych wskazana jest najwyższa klauzula tajności przetwarzanych informacji niejawnych,c)
osoby pracujące lub pełniące służbę w strefie muszą posiadać odpowiednie uprawnienie do dostępu do informacji niejawnych w zakresie niezbędnym do wykonywania pracy lub pełnienia służby w tej strefie,d)
w strefie mogą przebywać wyłącznie osoby, którym nadano stałe lub okresowe uprawnienia do dostępu do tej strefy,e)
w przypadku konieczności wstępu osób innych niż te, o których mowa w lit. c i d, przetwarzane informacje niejawne chroni się przed możliwością dostępu do nich tych osób oraz zapewnia się nadzór osoby uprawnionej;2)
strefę ochronną II - obejmującą pomieszczenie, zespół pomieszczeń lub obszar, w którym informacje niejawne są przetwarzane, w taki sposób, że wstęp do tego pomieszczenia, zespołu pomieszczeń lub obszaru nie umożliwia uzyskania bezpośredniego dostępu do tych informacji, przy czym spełnione są następujące wymagania:a)
granice strefy są wyraźnie określone i zabezpieczone,b)
osoby pracujące lub pełniące służbę w tej strefie muszą posiadać odpowiednie uprawnienie do dostępu do informacji niejawnych w zakresie niezbędnym do wykonywania pracy lub pełnienia służby w tej strefie,c)
w strefie mogą przebywać wyłącznie osoby, którym nadano stałe lub okresowe uprawnienia do dostępu do tej strefy,d)
w przypadku konieczności wstępu osób innych niż te, o których mowa w lit. b i c, zapewnia się nadzór osoby uprawnionej;3)
strefę ochronną III - obejmującą pomieszczenie, zespół pomieszczeń lub obszar wymagający wyraźnego określenia granic, w obrębie których jest możliwe kontrolowanie osób i pojazdów, przy czym:a)
w strefie tej mogą przebywać osoby, którym nadano stałe lub okresowe uprawnienia dostępu do tej strefy,b)
w przypadku konieczności wstępu osób innych niż te, o których mowa w lit. a, zapewnia się nadzór osoby uprawnionej,c)
w kompleksach, w których dyslokowanych jest więcej niż jedna jednostka organizacyjna, zasady wejścia do strefy ochronnej III ustala kierownik jednostki organizacyjnej, który jest odpowiedzialny za organizację i funkcjonowanie systemu ochrony całego kompleksu, w porozumieniu z kierownikami jednostek organizacyjnych stacjonujących na terenie tego kompleksu.2.
Wejście do strefy ochronnej I lub strefy ochronnej II następuje wyłącznie ze strefy ochronnej.3.
W strefie ochronnej I lub II można utworzyć specjalną strefę ochronną, chronioną przed podsłuchem, spełniającą odpowiednio wymagania zawarte w ust. 1 pkt 1 i 2 oraz dodatkowo następujące warunki:1)
strefę wyposaża się w system sygnalizacji włamania i napadu;2)
strefa pozostaje zamknięta, gdy nikogo w niej nie ma, albo jest chroniona, gdy ktoś w niej przebywa;3)
strefa podlega okresowym inspekcjom przeprowadzanym według zaleceń SKW, a także po każdorazowym nieuprawnionym wejściu do strefy lub podejrzeniu, że takie wejście mogło mieć miejsce;4)
w strefie nie mogą znajdować się linie komunikacyjne, telefony, inne urządzenia komunikacyjne ani sprzęt elektryczny lub elektroniczny, których umieszczenie w strefie nie zostało uzgodnione z SKW;5)
wnoszenie przedmiotów do strefy odbywa się na zasadach określonych w procedurach bezpieczeństwa opracowanych dla tej strefy.4.
Dopuszcza się możliwość organizacji dodatkowego systemu kontroli dostępu w ramach strefy ochronnej I i II, jeżeli jest to podyktowane względami bezpieczeństwa przetwarzanych w jednostce organizacyjnej informacji niejawnych.5.
Strefę ochronną można utworzyć tymczasowo w celu realizacji zamierzeń związanych z dostępem do informacji niejawnych w warunkach zastanych po zapewnieniu ciągłej ochrony fizycznej tej strefy.6.
W przypadku gdy ochrona fizyczna jednostki organizacyjnej oraz prace związane z utrzymaniem infrastruktury tej jednostki, w szczególności sprzątanie, konserwacje, naprawy i remonty, wiążą się z bezpośrednim dostępem do informacji niejawnych, personel sprawujący ochronę, sprzątający lub techniczny musi posiadać uprawnienie do dostępu do informacji niejawnych odpowiednie do klauzuli tych informacji; jeżeli ochrona fizyczna jednostki organizacyjnej lub prace związane z utrzymaniem infrastruktury tej jednostki wiążą się z dostępem do informacji niejawnych o klauzuli "poufne" lub wyższej i wykonuje je podmiot zewnętrzny, musi on posiadać stosowne świadectwo bezpieczeństwa przemysłowego.7.
W strefie ochronnej I i strefie ochronnej II przetwarza się informacje niejawne do klauzuli "ściśle tajne" włącznie.8.
W strefie ochronnej III przetwarza się informacje niejawne do klauzuli "poufne" włącznie, bez możliwości przetwarzania w systemach teleinformatycznych informacji o klauzuli "poufne".9.
Przetwarzanie informacji niejawnych o klauzuli "poufne" lub wyższej w systemach teleinformatycznych odbywa się w strefie ochronnej I lub w strefie ochronnej II, w warunkach uwzględniających wyniki procesu szacowania ryzyka, o którym mowa w art. 49 ust. 1 ustawy.10.
Przekazywanie informacji niejawnych o klauzuli "poufne" lub wyższej pomiędzy elementami systemów teleinformatycznych odbywa się w strefie ochronnej, na podstawie wyników procesu szacowania ryzyka, o którym mowa w art. 49 ust. 1 ustawy.10a.
Przetwarzanie informacji niejawnych o klauzuli "zastrzeżone" w systemach teleinformatycznych odbywa się w pomieszczeniu, zespole pomieszczeń lub obszarze wyposażonych w system kontroli dostępu, w warunkach uwzględniających wyniki procesu szacowania ryzyka, o którym mowa w art. 49 ust. 1 ustawy.10b.
Przetwarzanie informacji niejawnych w części mobilnej zasobów systemu teleinformatycznego odbywa się na podstawie wyników procesu szacowania ryzyka, o którym mowa w art. 49 ust. 1 ustawy, w sposób określony w dokumentacji bezpieczeństwa systemu teleinformatycznego.10c.
Zgodę na przetwarzanie informacji niejawnych, o których mowa w ust. 10a, poza strefami ochronnymi wydaje na wniosek kierownika jednostki organizującej system teleinformatyczny Minister Obrony Narodowej lub osoba przez niego upoważniona.11.
Newralgiczne elementy systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych o klauzuli "zastrzeżone", w szczególności serwery, systemy zarządzania siecią, kontrolery sieciowe umieszcza się w strefie ochronnej z uwzględnieniem wyników procesu szacowania ryzyka, o którym mowa w art. 49 ust. 1 ustawy.§ 16.
1.
Strefy ochronne oznacza się czytelnie, w następujący sposób:1)
strefę ochronną I - tablicą w kształcie prostokąta z napisem koloru czarnego "STREFA OCHRONNA I" na czerwonym tle;2)
strefę ochronną II - tablicą w kształcie prostokąta z napisem koloru czarnego "STREFA OCHRONNA II" na żółtym tle;3)
strefę ochronną III - tablicą w kształcie prostokąta z napisem koloru czarnego "STREFA OCHRONNA III" na zielonym tle.2.
Tablice, o których mowa w ust. 1, umieszcza się przy wejściu do strefy, w widocznych miejscach. Można odstąpić od oznaczania strefy ochronnej III, jeśli jest to uzasadnione względami ochrony informacji niejawnych.§ 17.
1.
W warunkach tymczasowych, poza miejscem stałej lokalizacji jednostki organizacyjnej, można odstąpić od oznaczania stref ochronnych, jeśli demaskowałoby to stanowiska lub punkty dowodzenia (kierowania) lub inne urządzenia.2.
Organizacja stref ochronnych oraz sposób ich oznaczania w przypadku przetwarzania informacji niejawnych w mobilnych systemach teleinformatycznych odbywa się na podstawie wyników procesu szacowania ryzyka, o których mowa w art. 49 ust. 1 ustawy, w sposób określony w dokumentacji bezpieczeństwa systemu teleinformatycznego.