Rządowy projekt ustawy o ochronie żeglugi i portów morskich

1) przekazywaniu informacji niejawnych – należy przez to rozumieć zarówno transmisję
informacji niejawnych, jak i przekazywanie elektronicznego nośnika danych, na
którym zostały one utrwalone;
2) przetwarzaniu informacji niejawnych – należy przez to rozumieć także, wytwarzanie,
przechowywanie lub przekazywanie informacji niejawnych;
3) osobie odpowiedzialnej – należy przez to rozumieć osobę lub podmiot, którzy są
zobowiązani do zapewnienia ochrony informacji z zakresu ochrony żeglugi i portów
morskich przed nieuprawnionym dostępem lub ujawnieniem, zgodnie z przepisami
ustawy o ochronie żeglugi i portów morskich.

Rozdział 2
Bezpieczeństwo teleinformatyczne
§ 3. 1. Bezpieczeństwo teleinformatyczne zapewnia się chroniąc informacje
przetwarzane w
systemach i sieciach teleinformatycznych przed utratą właściwości
gwarantujących to bezpieczeństwo, w szczególności przed utratą poufności, dostępności
i integralności.
2. Bezpieczeństwo teleinformatyczne zapewnia się przed rozpoczęciem oraz w trakcie
przetwarzania informacji niejawnych w systemie lub sieci teleinformatycznej.
§ 4. Właściwą organizację bezpieczeństwa teleinformatycznego zapewnia osoba
odpowiedzialna, która w szczególności:
1) zapewnia opracowanie dokumentacji bezpieczeństwa teleinformatycznego;
2) realizuje ochronę fizyczną i kryptograficzną systemu lub sieci teleinformatycznej;
3) zapewnia niezawodność transmisji oraz kontrolę dostępu do urządzeń systemu lub
sieci teleinformatycznej;
4) dokonuje analizy stanu bezpieczeństwa teleinformatycznego oraz zapewnia usunięcie
stwierdzonych nieprawidłowości;
5) zapewnia przeszkolenie z zakresu bezpieczeństwa teleinformatycznego dla osób
uprawnionych do pracy w systemie lub sieci teleinformatycznej;
6) zawiadamia właściwą służbę ochrony państwa o zaistniałym incydencie
bezpieczeństwa teleinformatycznego dotyczącym informacji niejawnych oznaczonych
co najmniej klauzulą „poufne”.
§ 5. Ochrona fizyczna systemu lub sieci teleinformatycznej polega na:

2

1) umieszczeniu urządzeń systemu lub sieci teleinformatycznej w strefie bezpieczeństwa,
strefie administracyjnej lub specjalnej strefie bezpieczeństwa, zwanych dalej „strefą
kontrolowanego dostępu” w zależności od:
a) klauzuli
tajności,
b) ilości,
c) zagrożeń dla poufności, integralności lub dostępności
- informacji niejawnych;
2) zastosowaniu środków zapewniających ochronę fizyczną, w szczególności przed:
a) nieuprawnionym
dostępem,
b) podglądem,
c) podsłuchem.
§ 6. 1. Ochrona kryptograficzna informacji niejawnych przetwarzanych w systemie lub
sieci teleinformatycznej polega na zastosowaniu mechanizmów gwarantujących ich poufność,
integralność oraz uwierzytelnienie.
2. Ochronę kryptograficzną stosuje się przy przekazywaniu informacji niejawnych
w formie transmisji poza strefę kontrolowanego dostępu.
3. Przekazywanie informacji niejawnych utrwalonych na elektronicznych nośnikach
danych poza strefę kontrolowanego dostępu odbywa się z zapewnieniem, odpowiedniej do
klauzuli tajności tych informacji, ochrony kryptograficznej lub po spełnieniu wymagań,
o których mowa w przepisach w sprawie trybu i sposobu przyjmowania, przewożenia,
wydawania i
ochrony materiałów, w celu ich zabezpieczenia przed nieuprawnionym
ujawnieniem, utratą, uszkodzeniem lub zniszczeniem.

§ 7. Niezawodność transmisji polega na zapewnieniu integralności i dostępności
informacji niejawnych przekazywanych w systemach lub sieciach teleinformatycznych.
Zapewnia się ją w szczególności przez wykorzystywanie zapasowych łączy
telekomunikacyjnych.

§ 8. 1. W celu zapewnienia kontroli dostępu do systemu lub sieci teleinformatycznej:
1) osoba odpowiedzialna lub osoba przez nią upoważniona ustala warunki i sposób
przydzielania uprawnień osobom uprawnionym do pracy w systemie lub sieci
teleinformatycznej;
2) administrator systemów określa warunki oraz sposób przydzielania tym osobom kont
oraz mechanizmów kontroli dostępu, a także zapewnia ich właściwe wykorzystanie.

3

2. System lub sieć teleinformatyczną wyposaża się w mechanizmy kontroli dostępu
odpowiednie do klauzuli tajności informacji niejawnych w nich przetwarzanych.

§ 9. 1. Przy opracowaniu szczególnych wymagań bezpieczeństwa systemu lub sieci
teleinformatycznej uwzględnia się, w szczególności: dane o budowie oraz charakterystykę
systemu lub sieci teleinformatycznej.
2. Dane o budowie systemu lub sieci teleinformatycznej obejmują dane dotyczące
elementów wchodzących w skład tego systemu lub sieci w zakresie:
1) lokalizacji;
2) typu wykorzystywanych urządzeń oraz oprogramowania;
3) sposobu realizowania połączeń wewnętrznych oraz zewnętrznych;
4) konfiguracji sprzętowej i ustawień mechanizmów zabezpieczających;
5) środowiska eksploatacji.
3. Charakterystyka systemu lub sieci teleinformatycznej powinna określać:
1) klauzulę tajności informacji niejawnych, które będą w nich przetwarzane;
2) kategorie uprawnień osób uprawnionych do pracy w systemie lub sieci
teleinformatycznej w zakresie dostępu do przetwarzanych w nich informacji
niejawnych, w zależności od klauzuli tajności tych informacji;
3) tryb bezpieczeństwa pracy systemu lub sieci teleinformatycznej.

§ 10. Szczególne wymagania bezpieczeństwa określają co najmniej:
1) osoby odpowiedzialne za wdrożenie środków zapewniających bezpieczeństwo
teleinformatyczne;
2) zadania osób odpowiedzialnych za bezpieczeństwo teleinformatyczne;
3) granice i lokalizację stref kontrolowanego dostępu oraz środki ich ochrony;
4) środki ochrony kryptograficznej, elektromagnetycznej, technicznej lub organizacyjnej
systemu lub sieci teleinformatycznej;
5) inne zastosowane środki ochrony zapewniające bezpieczeństwo teleinformatyczne
informacji niejawnych;
6) zasady zarządzania ryzykiem;
7)
zasady szkolenia z zakresu bezpieczeństwa teleinformatycznego osób
odpowiedzialnych za bezpieczeństwo teleinformatyczne oraz osób uprawnionych do
pracy w systemie lub sieci teleinformatycznej.


4

§ 11. 1. Procedury bezpiecznej eksploatacji zawierają szczegółowy wykaz czynności wraz
z dokładnym opisem sposobu ich wykonania, które powinny być realizowane przez osoby
odpowiedzialne za bezpieczeństwo teleinformatyczne oraz osoby uprawnione do pracy
w systemie lub sieci teleinformatycznej.
2. Szczegółowy wykaz czynności powinien być ujęty w tematycznie wyodrębnione
procedury bezpieczeństwa dotyczące w szczególności:
1) administrowania systemem lub siecią teleinformatyczną;
2) bezpieczeństwa osobowego;
3) bezpieczeństwa dokumentów i materiałów niejawnych, w tym procedur sporządzania
kopii z tych dokumentów oraz niszczenia dokumentów i ich kopii;
4) ochrony kryptograficznej, elektromagnetycznej, fizycznej, niezawodności transmisji
lub kontroli dostępu do urządzeń systemu lub sieci teleinformatycznej;
5) bezpieczeństwa urządzeń i oprogramowania;
6) zapewnienia ciągłości działania systemu lub sieci teleinformatycznej;
7) zarządzania konfiguracją;
8) audytu bezpieczeństwa.

§ 12. W procedurach, o których mowa w § 11, określa się tryb postępowania przez osoby
odpowiedzialne za bezpieczeństwo teleinformatyczne oraz osoby uprawnione do pracy
w systemie lub sieci teleinformatycznej w sytuacji wystąpienia incydentu bezpieczeństwa
teleinformatycznego.

Rozdział 3
Przyjmowanie, przewożenie, wydawanie i ochrona materiałów zawieraj cych
informacje niejawne z zakresu ochrony żeglugi i portów morskich
§ 13. 1 Materiały zawierające informacje niejawne są przekazywane przewoźnikom przez
osoby odpowiedzialne lub osoby przez nich upoważnione, zwane dalej „nadawcą”.
2. Nadawca składa zamówienie na wykonanie właściwych czynności, kierując je do
przewoźników spełniających wymagania w zakresie ochrony informacji niejawnych.
§ 14. Materiały są przyjmowane przez przewoźników od nadawcy w postaci prawidłowo
zapakowanych przesyłek listowych lub paczek, a w szczególności właściwie zaadresowanych,
zabezpieczonych, opakowanych i oznaczonych, zwanych dalej „przesyłkami”.


5

§ 15. 1. Materiały zawierające informacje niejawne, nadawane jako przesyłki listowe za
pośrednictwem przewoźników, powinny być opakowane w dwie nieprzezroczyste i mocne
koperty, przy czym na kopertach muszą być umieszczone:
1) na wewnętrznej:
a) klauzula
tajności i ewentualne dodatkowe oznaczenie,
b) imienne określenie adresata,
c) imię, nazwisko i podpis osoby pakującej,
d) numer, pod którym dokument został zarejestrowany w dzienniku rejestracji
dokumentów;
2) na zewnętrznej:
a) nazwa jednostki organizacyjnej adresata,
b) adres siedziby adresata,
c) numer wykazu i pozycji w wykazie przesyłek nadanych,
d) nazwa jednostki organizacyjnej nadawcy.
2. Miejsca sklejenia każdej koperty zabezpiecza się przez odciśnięcie pieczęci
„do pakietów” i za pomocą przezroczystej taśmy samoprzylepnej.
§ 16. 1. Przewoźnicy przyjmują przesyłki na podstawie wykazu przesyłek nadanych,
sporządzonego przez nadawcę lub na podstawie dokumentów stosowanych przez operatora
pocztowego.
2. Wykaz przesyłek nadanych sporządzany jest w dwóch egzemplarzach, po jednym
egzemplarzu dla nadawcy przesyłki i przewoźnika.
3. Przyjęcie przesyłki potwierdza się podpisem, zapisem liczbowym i słownym ilości
przyjętych przesyłek oraz odciskiem pieczęci przewoźnika na obu egzemplarzach wykazu
przesyłek nadanych.
4. W przypadku przekazania materiałów bez pośrednictwa przewoźników, adresat
przesyłki potwierdza pisemnie nadawcy ich odbiór.

§ 17. Przewóz przesyłek planuje się w taki sposób, aby dostarczane były w możliwie
najkrótszym czasie do adresata.
§ 18. Trasa przewozu przesyłki zawierającej informacje niejawne może być uzgadniana
z nadawcą.
§ 19. Załadunek, przeładunek i wyładunek przesyłki musi odbywać się pod kontrolą
konwojentów, przewoźnika lub pracowników nadawcy lub adresata przesyłki.

6