Rządowy projekt ustawy o ochronie informacji niejawnych oraz o zmianie niektórych ustaw

Ocena Skutków Regulacji

1. Podmioty, na które oddziałuje rozporz dzenie
Zakres oddziaływania znowelizowanych przepisów rozporządzenia jest ograniczony do
przewoźników przesyłek zawierających informacje niejawne (wymienionych w § 2
rozporządzenia) oraz podmiotów wymienionych w art. 1 ust. 2 ustawy o ochronie informacji
niejawnych

2. Wpływ regulacji na sektor finansów publicznych, w tym na budżet państwa i
budżety jednostek samorz du terytorialnego
Przewidywana zmiana rozporządzenia zmniejszy koszty podróży kurierskich co w
konsekwencji pociągnie za sobą oszczędności dla budżetu państwa w kwocie…………

3. Wpływ regulacji na rynek pracy
Wejście w życie rozporządzenia nie będzie miało wpływu na rynek pracy.

4. Wpływ regulacji na konkurencyjność gospodarki i przedsiębiorczość, w tym na
funkcjonowanie przedsiębiorstw
Wejście w życie rozporządzenia nie wpłynie na konkurencyjność, zarówno wewnętrzną, jak i
zewnętrzną gospodarki.

5. Wpływ regulacji na sytuację i rozwój regionalny
Wejście w życie rozporządzenia pozostanie bez wpływu na sytuację i rozwój regionalny.

6. Zgodność z przepisami prawa Unii Europejskiej
Przedmiotowe rozporządzenie nie jest objęte zakresem Unii Europejskiej. Projekt
rozporządzenia nie zawiera przepisów technicznych i w związku z tym nie podlega
procedurze notyfikacji aktów prawnych, określonej w rozporządzeniu Rady Ministrów z dnia
23 grudnia 2002 r. w sprawie sposobu funkcjonowania krajowego systemu notyfikacji norm i
aktów prawnych (Dz.U. Nr 239, poz. 2039 i z 2004 r. Nr 65, poz. 597).
40-02-aa

13
Projekt

ROZPORZ DZENIE PREZESA RADY MINISTRÓW
z dnia ………
w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego
Na podstawie art. 49 ust. 10 ustawy z dnia … o ochronie informacji niejawnych
oraz o zmianie niektórych ustaw (Dz. U. z … r., Nr …, poz. …), zwanej dalej ustawą,
zarządza się, co następuje:
Rozdział 1
Przepisy ogólne
§ 1. Rozporządzenie określa:
1) podstawowe wymagania bezpieczeństwa teleinformatycznego, jakim powinny
odpowiadać systemy teleinformatyczne służące do przetwarzania informacji
niejawnych;
2) sposób opracowywania dokumentacji bezpieczeństwa systemów teleinforma-
tycznych.
§ 2. Ilekroć w rozporządzeniu jest mowa o:
1) ABW — należy przez to rozumieć Agencję Bezpieczeństwa Wewnętrznego;
2) autentyczności — należy przez to rozumieć właściwość określającą, że tożsa-
mość podmiotu lub zasobu jest taka jak deklarowana;
3) dedykowanym trybie bezpieczeństwa pracy — należy przez to rozumieć tryb
bezpieczeństwa pracy, w którym wszyscy użytkownicy systemu teleinforma-
tycznego posiadają poświadczenia bezpieczeństwa o klauzuli nie mniejszej niż
maksymalna klauzula tajności informacji przetwarzanych w systemie, formalną
zgodę na dostęp do wszystkich kategorii informacji przetwarzanych w systemie
oraz jednakową potrzebę dostępu do wszystkich informacji przetwarzanych
w systemie;
4) dostępności — należy przez to rozumieć właściwość określającą, że zasób jest
możliwy do wykorzystania na żądanie, w założonym czasie, przez uprawniony
podmiot;
5) incydencie bezpieczeństwa teleinformatycznego — należy przez to rozumieć
każde zdarzenie, które może mieć negatywny wpływ na bezpieczeństwo zaso-
bów systemu teleinformatycznego, spowodowane w szczególności awarią sys-
temu teleinformatycznego, działaniem osób uprawnionych lub nieuprawnionych
do pracy w tym systemie albo zaniechaniem osób uprawnionych;
6) informatycznym nośniku danych — należy przez to rozumieć informatyczny no-
śnik danych w rozumieniu art. 3 pkt 1 ustawy z dnia 17 lutego 2005 r. o informa-
tyzacji działalności podmiotów realizujących zadania publiczne (Dz.
U.
z 2005 r., nr 64, poz. 565);
7) integralności — należy przez to rozumieć właściwość określającą, że zasób nie
został zmodyfikowany w sposób nieuprawniony;
8) kategorii informacji — należy przez to rozumieć grupę informacji niejawnych,
dla których, poza wymogiem posiadania stosownego poświadczenia bezpie-
czeństwa, wymagana jest formalna (udokumentowana) zgoda na dostęp;
9) niezaprzeczalności — należy przez to rozumieć właściwość określającą, że
podmioty uczestniczące w wymianie informacji nie mogą zanegować swego
uczestnictwa w całości lub części tej wymiany;
10) podatności — należy przez to rozumieć słabość zasobu lub zabezpieczenia,
która może zostać wykorzystana przez zagrożenie;
11) połączeniu międzysystemowym — należy przez to rozumieć techniczne lub or-
ganizacyjne połączenie dwóch lub więcej zarządzanych przez różne podmioty
systemów teleinformatycznych, umożliwiające ich współpracę, a w szczegól-
ności wymianę danych;
12) poufności — należy przez to rozumieć właściwość określającą, że informacja
nie jest udostępniana lub ujawniana nieuprawnionym do tego podmiotom;
13) przedziałowym trybie bezpieczeństwa pracy — należy przez to rozumieć tryb
bezpieczeństwa pracy, w którym wszyscy użytkownicy systemu teleinforma-
tycznego posiadają poświadczenia bezpieczeństwa o klauzuli nie mniejszej niż
maksymalna klauzula tajności informacji przetwarzanych w systemie, ale nie
wszyscy użytkownicy posiadają formalną zgodę na dostęp do wszystkich kate-
gorii informacji przetwarzanych w systemie oraz nie wszyscy użytkownicy po-
siadają jednakową potrzebę dostępu do wszystkich informacji przetwarzanych
w systemie;
14) przekazywaniu informacji — należy przez to rozumieć zarówno transmisję in-
formacji, jak i przekazywanie informacji na informatycznych nośnikach danych,
na których zostały utrwalone;
15) rozliczalności — należy przez to rozumieć właściwość określającą, że działania
podmiotu mogą być jednoznacznie przypisane tylko temu podmiotowi;
16) ryzyku — należy przez to rozumieć kombinację prawdopodobieństwa zdarzenia
i jego konsekwencji;
17) SKW — należy przez to rozumieć Służbę Kontrwywiadu Wojskowego;
18) strefie kontrolowanego dostępu — należy przez to rozumieć obszar, do którego
możliwość wstępu mają jedynie osoby uprawnione;
19) systemowym trybie bezpieczeństwa pracy — należy przez to rozumieć tryb
bezpieczeństwa pracy, w którym wszyscy użytkownicy systemu teleinforma-
tycznego posiadają poświadczenia bezpieczeństwa o klauzuli nie mniejszej niż
maksymalna klauzula tajności informacji przetwarzanych w systemie oraz for-
malną zgodę na dostęp do wszystkich kategorii informacji przetwarzanych
w systemie, ale nie wszyscy użytkownicy posiadają jednakową potrzebę dostę-
pu do wszystkich informacji przetwarzanych w systemie;
20) testach bezpieczeństwa — należy przez to rozumieć testy poprawności funk-
cjonowania zabezpieczeń w systemie teleinformatycznym;
21) trybie bezpieczeństwa pracy — należy przez to rozumieć tryb pracy systemu te-
leinformatycznego określający rodzaj użytkowników systemu pod względem
posiadanego poświadczenia bezpieczeństwa, posiadanej formalnej zgody na
dostęp do kategorii informacji przetwarzanych w systemie oraz posiadanej po-

2
trzeby dostępu do informacji przetwarzanych w systemie (wyróżnia się cztery
tryby bezpieczeństwa pracy: dedykowany, systemowy, przedziałowy i wielopo-
ziomowy);
22) wielopoziomowym trybie bezpieczeństwa pracy — należy przez to rozumieć
tryb bezpieczeństwa pracy, w którym nie wszyscy użytkownicy systemu telein-
formatycznego posiadają poświadczenia bezpieczeństwa o klauzuli co najmniej
równej maksymalnej klauzuli tajności informacji przetwarzanych w systemie, nie
wszyscy użytkownicy posiadają formalną zgodę na dostęp do wszystkich kate-
gorii informacji przetwarzanych w systemie oraz nie wszyscy użytkownicy po-
siadają jednakową potrzebę dostępu do wszystkich informacji przetwarzanych
w systemie;
23) zabezpieczeniu — należy przez to rozumieć środki o charakterze fizycznym,
technicznym lub administracyjnym zmniejszające ryzyko;
24) zagrożeniu — należy przez to rozumieć potencjalną przyczynę niepożądanego
zdarzenia, które może wywołać szkodę w systemie teleinformatycznym lub or-
ganizacji;
25) zasobach systemu teleinformatycznego — należy przez to rozumieć przetwa-
rzane w systemie teleinformatycznym informacje niejawne, jak również usługi,
oprogramowanie, dane i sprzęt mające wpływ na bezpieczeństwo tych informa-
cji.
Rozdział 2
Podstawowe wymagania bezpieczeństwa teleinformatycznego
§ 3. 1. Bezpieczeństwo informacji niejawnych przetwarzanych w systemie tele-
informatycznym zapewnia się przez wdrożenie spójnego zbioru zabezpieczeń
z zakresu bezpieczeństwa fizycznego, osobowego i teleinformatycznego, w celu
stworzenia bezpiecznego środowiska pracy systemu teleinformatycznego oraz reali-
zacji następujących celów bezpieczeństwa:
1) zapewnienia
poufności informacji niejawnych;
2) zapewnienia
integralności informacji niejawnych;
3) zapewnienia
dostępności informacji niejawnych.
2. Aby zrealizować cele bezpieczeństwa, o których mowa w ust. 1, w systemie
teleinformatycznym stosuje się:
1) zasadę zarządzania ryzykiem, polegającą na objęciu systemu teleinformatycz-
nego procesem zarządzania ryzykiem, o którym mowa w rozdziale 3;
2) zasadę minimalnej funkcjonalności, polegającą na instalowaniu i wykorzystywa-
niu w systemie teleinformatycznym wyłącznie funkcji, protokołów i usług nie-
zbędnych dla prawidłowej realizacji zadań, do których system został przezna-
czony;
3) zasadę ograniczania przywilejów, polegającą na nadawaniu użytkownikom sys-
temu teleinformatycznego jedynie takich przywilejów i uprawnień, jakie są im
niezbędne do wykonywania zadań służbowych;
4) zasadę wielopoziomowej ochrony systemu, polegającą na stosowaniu zabez-
pieczeń na możliwie wielu różnych poziomach organizacji ochrony systemu te-

3
leinformatycznego, w celu ograniczenia występowania przypadków, w których
przełamanie pojedynczego zabezpieczenia skutkuje naruszeniem celów bez-
pieczeństwa;
5) zasadę ograniczonego zaufania, polegającą na tym, że system teleinformatycz-
ny powinien traktować pozostałe systemy teleinformatyczne jak niezaufane
i posiadać zabezpieczenia kontrolujące wymianę informacji z tymi systemami;
6) zasadę weryfikacji sposobu realizacji ochrony systemu teleinformatycznego, po-
legającą na potwierdzeniu zastosowania zasad określonych w pkt 1–5 oraz
okresowym sprawdzaniu poprawności działania zabezpieczeń wdrożonych
w systemie teleinformatycznym.
3. Projektując zbiór zabezpieczeń, o których mowa w ust. 1, uwzględnia się,
odpowiednio do zadań realizowanych przez system teleinformatyczny:
1) środki realizujące identyfikację i uwierzytelnienie osób uprawnionych do korzy-
stania z systemu teleinformatycznego;
2) środki realizujące nadzór nad zapoznawaniem się z informacjami oraz zapew-
niające kontrolę dostępu do zasobów systemu teleinformatycznego, z uwzględ-
nieniem porzeby dostępu do informacji;
3) środki weryfikacji źródła pochodzenia oraz integralności zasobów systemu tele-
informatycznego;
4) środki zapewniające integralność zasobów systemu teleinformatycznego;
5) środki zapewniające dostępność zasobów systemu teleinformatycznego;
6) środki kontroli połączeń międzysystemowych;
7) środki oceny i weryfikacji poprawności działania poszczególnych zabezpieczeń
w całym cyklu życia systemu;
8) środki rejestrujące działania użytkowników oraz systemu teleinformatycznego;
9) środki zapewniające autentyczność i niezaprzeczalność;
10) środki ochrony informacji niejawnych zapisanych na informatycznych nośnikach
danych, w przypadku nie zapewnienia właściwego bezpieczeństwa fizycznego.
4. Zabezpieczenia, o których mowa w ust. 1, wdraża się na podstawie wyników
szacowania ryzyka dla systemu teleinformatycznego, z uwzględnieniem klauzul in-
formacji przewarzanych w systemie, trybu bezpieczeństwa pracy systemu oraz zale-
ceń, o których mowa w art. 48 ust. 3 ustawy.
§ 4. 1. Bezpieczeństwo informacji niejawnych przetwarzanych w systemie tele-
informatycznym uwzględnia się w całym cyklu życia systemu teleinformatycznego,
składającym się z etapów:
1) planowania;
2) projektowania;
3) wdrażania;
4) eksploatacji;
5) wycofywania.
2. Na etapie planowania ustala się potrzeby w zakresie przetwarzania informa-

4