Rządowy projekt ustawy o ochronie informacji niejawnych oraz o zmianie niektórych ustaw

2.
Akredytacji, o której mowa w ust. 1, udziela się na czas określony, nie
dłuższy niż 5 lat.
3.
ABW lub SKW udziela akredytacji bezpieczeństwa
teleinformatycznego systemu teleinformatycznego przeznaczonego do przetwarzania
informacji niejawnych o klauzuli „poufne” lub wyższej.
4. ABW lub SKW udzielają lub odmawiają udzielenia akredytacji,
o której mowa w ust. 3, w terminie 6 miesięcy od otrzymania kompletnej dokumentacji
bezpieczeństwa systemu teleinformatycznego. W uzasadnionych przypadkach,
w szczególności wynikających z rozległości systemu i stopnia jego skomplikowania, termin
ten może być przedłużony o kolejne 6 miesięcy.
5.
Potwierdzeniem udzielenia przez ABW lub SKW akredytacji, o której
mowa w ust. 3, jest świadectwo akredytacji bezpieczeństwa systemu teleinformatycznego,
w szczególności zawierające warunki jego ważności.
6.
wiadectwo, o którym mowa w ust. 5, wydaje się na podstawie:
1) zatwierdzonej przez ABW lub SKW dokumentacji bezpieczeństwa
systemu teleinformatycznego;
2) wyników audytu bezpieczeństwa systemu teleinformatycznego
przeprowadzonego przez ABW lub SKW.
7. ABW lub SKW może odstąpić od przeprowadzenia audytu
bezpieczeństwa systemu teleinformatycznego, o którym mowa w ust. 6 pkt 2, jeżeli system
jest przeznaczony do przetwarzania informacji niejawnych o klauzuli „poufne”.
8.
Kierownik jednostki organizacyjnej udziela akredytacji bezpieczeństwa
teleinformatycznego systemu teleinformatycznego przeznaczonego do przetwarzania
informacji niejawnych o klauzuli „zastrzeżone” przez zatwierdzenie dokumentacji
bezpieczeństwa systemu teleinformatycznego.
9. W przypadku gdy system, o którym mowa w ust. 8, będzie
funkcjonował w więcej niż jednej jednostce organizacyjnej, akredytacji, o której mowa
w ust. 8, udziela kierownik jednostki organizującej system.
10. W ciągu 30 dni od udzielenia akredytacji bezpieczeństwa
teleinformatycznego, o której mowa w ust. 8, kierownik jednostki organizacyjnej przekazuje
odpowiednio ABW lub SKW dokumentację bezpieczeństwa systemu teleinformatycznego.
11. W
ciągu 30 dni od otrzymania dokumentacji bezpieczeństwa systemu
teleinformatycznego ABW lub SKW może przedstawić kierownikowi jednostki
organizacyjnej, który udzielił akredytacji bezpieczeństwa teleinformatycznego, zalecenia
46


w zakresie
konieczności przeprowadzenia dodatkowych czynności związanych
z bezpieczeństwem informacji niejawnych. Kierownik jednostki organizacyjnej w terminie
30 dni od otrzymania zalecenia informuje odpowiednio ABW lub SKW o realizacji zaleceń.
W szczególnie uzasadnionych przypadkach ABW lub SKW może nakazać wstrzymanie
przetwarzania informacji niejawnych w systemie teleinformatycznym posiadającym
akredytację bezpieczeństwa teleinformatycznego.

Art. 49. 1. Dokument
szczególnych
wymagań bezpieczeństwa systemu
teleinformatycznego powinien zawierać w szczególności wyniki procesu szacowania ryzyka
dla bezpieczeństwa informacji niejawnych przetwarzanych w systemie teleinformatycznym
oraz przyjęte w ramach zarządzania ryzykiem sposoby osiągania i
utrzymywania
odpowiedniego poziomu bezpieczeństwa systemu, a także opisywać aspekty budowy, zasady
działania i eksploatacji, które mają związek lub wpływają na bezpieczeństwo systemu.
Przebieg i wyniki procesu szacowania ryzyka mogą zostać przedstawione w odrębnym od
szczególnych wymagań bezpieczeństwa dokumencie.
2. Dokument
szczególnych
wymagań bezpieczeństwa opracowuje się na
etapie projektowania, w razie potrzeby konsultuje z ABW lub SKW, bieżąco uzupełnia na
etapie wdrażania i modyfikuje na etapie eksploatacji przed dokonaniem zmian w systemie
teleinformatycznym.
3. Dokument procedur bezpiecznej eksploatacji określa sposób i tryb
postępowania w sprawach związanych z bezpieczeństwem informacji niejawnych
przetwarzanych w


systemie teleinformatycznym oraz zakres odpowiedzialności
użytkowników systemu teleinformatycznego i pracowników mających do niego dostęp.
4.
Dokument procedur bezpiecznej eksploatacji opracowuje się na etapie
wdrażania oraz modyfikuje na etapie eksploatacji przed dokonaniem zmian w systemie
teleinformatycznym.
5. Podstawą dokonania wszelkich zmian w systemie teleinformatycznym
jest przeprowadzenie procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych
przetwarzanych w tym systemie.
6. Kierownik jednostki organizacyjnej, w której będzie funkcjonował
system teleinformatyczny, odpowiada za opracowanie oraz przekazanie odpowiednio ABW
lub SKW dokumentacji bezpieczeństwa systemu teleinformatycznego.
7. W przypadku gdy system teleinformatyczny będzie funkcjonował
w więcej niż jednej jednostce organizacyjnej, za opracowanie oraz przekazanie odpowiednio
47


ABW lub SKW dokumentacji bezpieczeństwa systemu teleinformatycznego odpowiada
kierownik jednostki organizującej system.
8. Kierownik jednostki organizacyjnej akceptuje wyniki procesu
szacowania ryzyka dla bezpieczeństwa informacji niejawnych oraz jest odpowiedzialny za
właściwą organizację bezpieczeństwa teleinformatycznego.
9. W terminie 30 dni od otrzymania dokumentacji bezpieczeństwa
systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych
o klauzuli „poufne” lub wyższej ABW lub SKW przeprowadza na jej podstawie ocenę
bezpieczeństwa tego systemu. Pozytywny wynik oceny stanowi podstawę do zatwierdzenia
przez ABW lub SKW dokumentacji bezpieczeństwa systemu teleinformatycznego.
W uzasadnionych przypadkach, w szczególności wynikających ze stopnia skomplikowania
systemu, termin przeprowadzenia oceny może być przedłużony o kolejne 30 dni.
10.
Prezes Rady Ministrów określi, w drodze rozporządzenia, podstawowe
wymagania bezpieczeństwa teleinformatycznego, jakim powinny odpowiadać systemy
teleinformatyczne, oraz sposób opracowywania dokumentacji bezpieczeństwa systemów
teleinformatycznych.
11. W
rozporządzeniu, o którym mowa w ust. 10, Prezes Rady Ministrów
uwzględni w szczególności wymagania w zakresie zarządzania ryzykiem oraz dotyczące
zapewnienia poufności, integralności i dostępności informacji niejawnych przetwarzanych
w systemach teleinformatycznych.

Art. 50. 1.
rodki ochrony elektromagnetycznej przeznaczone do ochrony
informacji niejawnych o klauzuli „poufne” lub wyższej podlegają badaniom i ocenie
bezpieczeństwa w ramach procesów certyfikacji prowadzonych przez ABW lub SKW.
2. Urządzenia i narzędzia kryptograficzne przeznaczone do ochrony
informacji niejawnych podlegają badaniom i ocenie bezpieczeństwa w ramach procesów
certyfikacji prowadzonych przez ABW lub SKW.
3. ABW lub SKW, na wniosek zainteresowanego podmiotu,
przeprowadza proces certyfikacji urządzenia lub narzędzia realizującego zabezpieczenia
teleinformatyczne, przeznaczonego do ochrony informacji niejawnych.
4.
Pozytywne wyniki ocen bezpieczeństwa na podstawie wyników badań
prowadzonych w ramach procesów certyfikacji, o których mowa w ust. 1 – 3, stanowią
podstawę do wydania przez ABW lub SKW certyfikatu ochrony elektromagnetycznej,
certyfikatu ochrony kryptograficznej lub certyfikatu bezpieczeństwa teleinformatycznego.
48


Certyfikaty są wydawane, w zależności od wyników ocen bezpieczeństwa, na okres nie
krótszy niż 3 lata.
5.
ABW i SKW wzajemnie informują się o przypadkach zawieszenia lub
unieważnienia certyfikatów, o których mowa w ust. 4.
6.
Procesy certyfikacji, o których mowa w ust. 1 – 3, są prowadzone
przez ABW lub SKW z pominięciem właściwości, o której mowa w art. 10 ust. 2 i 3.
7. Szef ABW lub Szef SKW może zlecić podmiotowi zewnętrznemu
badanie cząstkowe urządzenia lub narzędzia służącego do ochrony informacji niejawnych, na
zasadach i
warunkach przez siebie określonych. W przypadku środka ochrony
elektromagnetycznej zlecane badania mogą być pełne.
8. Bez
konieczności przeprowadzania badań i oceny Szef ABW lub Szef
SKW może dopuścić do stosowania w systemie teleinformatycznym przeznaczonym do
przetwarzania informacji niejawnych o klauzuli „zastrzeżone” urządzenia lub narzędzia
kryptograficzne, jeżeli otrzymały stosowny certyfikat wydany przez krajową władzę
bezpieczeństwa państwa będącego członkiem NATO lub Unii Europejskiej lub inny
uprawniony organ w NATO lub w Unii Europejskiej.

Art. 51. 1. Obowiązkowi akredytacji, o którym mowa w art. 48 ust. 1, nie
podlegają systemy teleinformatyczne znajdujące się poza strefami ochronnymi oraz służące
bezpośrednio do pozyskiwania i przekazywania w sposób niejawny informacji oraz
utrwalania dowodów w trakcie realizacji czynności operacyjno-rozpoznawczych lub
procesowych przez uprawnione do tego podmioty. Wyłączenie obowiązku akredytacji nie
obejmuje interfejsów, o których mowa w art. 179 ust. 4a ustawy z dnia 16 lipca 2004 r. –
Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800, z późn. zm.13)), oraz systemów z nimi
współpracujących.
2. Obowiązkowi akredytacji, o którym mowa w art. 48 ust. 1, oraz badań
i oceny bezpieczeństwa w ramach procesów certyfikacji prowadzonych przez ABW lub SKW
nie podlegają systemy teleinformatyczne, urządzenia lub narzędzia kryptograficzne
wykorzystywane przez AW lub SWW do uzyskiwania lub przetwarzania informacji
niejawnych podczas wykonywania czynności operacyjno-rozpoznawczych poza granicami
Rzeczypospolitej Polskiej oraz wydzielone stanowiska służące wyłącznie do odbierania
i przetwarzania tych informacji na terytorium Rzeczypospolitej Polskiej.

Art. 52. 1. Kierownik jednostki organizacyjnej wyznacza:
49


1) pracownika lub pracowników pionu ochrony pełniących funkcję
inspektora bezpieczeństwa teleinformatycznego, odpowiedzialnych
za weryfikację i bieżącą kontrolę zgodności funkcjonowania
systemu teleinformatycznego ze szczególnymi wymaganiami
bezpieczeństwa oraz przestrzegania procedur bezpiecznej
eksploatacji;
2) osobę lub zespół osób, niepełniących funkcji inspektora
bezpieczeństwa teleinformatycznego, odpowiedzialnych za
funkcjonowanie systemu teleinformatycznego oraz za
przestrzeganie zasad i wymagań bezpieczeństwa dla
systemu
teleinformatycznego, zwane dalej „administratorem systemu”.
2. W uzasadnionych przypadkach, za zgodą ABW lub SKW,
administrator systemu lub inspektor bezpieczeństwa teleinformatycznego może wykonywać
zadania w więcej niż jednej jednostce organizacyjnej na podstawie porozumienia właściwych
kierowników jednostek organizacyjnych.
3. ABW i SKW udzielają kierownikom jednostek organizacyjnych
pomocy niezbędnej do realizacji ich zadań, w szczególności wydając zalecenia w zakresie
bezpieczeństwa teleinformatycznego.
4.
Stanowiska lub funkcje, o których mowa w ust. 1, mogą zajmować lub
pełnić osoby spełniające wymagania, o których mowa w art. 16, po odbyciu specjalistycznych
szkoleń z zakresu bezpieczeństwa teleinformatycznego prowadzonych przez ABW lub SKW.
5. Koszty
szkoleń, o których mowa w ust. 4, pokrywa jednostka
organizacyjna, w której osoba szkolona jest zatrudniona, pełni służbę lub wykonuje prace
zlecone, z zastrzeżeniem ust. 6.
6.
Jednostki organizacyjne, o których mowa w art. 1 ust. 2 pkt 2 oraz
w art. 23 ust. 5 pkt 4, nie pokrywają kosztów szkoleń przeprowadzonych przez ABW lub
SKW.
7.
Wzajemne prawa i obowiązki podmiotu przeprowadzającego szkolenie
i uczestnika szkolenia, o którym mowa w ust. 4, określa umowa zawarta między tym
podmiotem a jednostką organizacyjną, w której osoba szkolona jest zatrudniona, pełni służbę
lub wykonuje czynności zlecone.

Art. 53. 1. Za przeprowadzenie czynności, o których mowa w art. 48 ust. 3 – 6
oraz art. 50 ust. 1 – 4, pobiera się opłaty.
50