Na podstawie § 2 pkt 6 i 14 rozporządzenia Rady Ministrów z dnia 9 lipca 1996 r. w sprawie szczegółowego zakresu działania Ministra Obrony Narodowej (Dz. U. Nr 94, poz. 426), w związku z art. 2 pkt 6a ustawy z dnia 14 grudnia 1995 r. o urzędzie Ministra Obrony Narodowej (Dz. U. z 1996 r. Nr 10, poz. 56, z późn. zm.¹⁾) ustala się, co następuje:

§ 1. Użyte w decyzji określenia oznaczają:

1) resort obrony narodowej - dział administracji rządowej, w skład którego wchodzą: Minister jako kierownik działu administracji rządowej - obrona narodowa, Ministerstwo jako urząd, jednostki organizacyjne podległe lub nadzorowane przez Ministra, w tym przedsiębiorstwa państwowe, dla których jest on organem założycielskim oraz Siły Zbrojne Rzeczypospolitej Polskiej;

2) jednostka organizacyjna:

a) Ministerstwo Obrony Narodowej jako urząd Ministra Obrony Narodowej,

b) jednostka organizacyjna podległa Ministrowi Obrony Narodowej lub przez niego nadzorowana,

c) jednostka wojskowa lub związek organizacyjny wchodzące w skład Sił Zbrojnych - w rozumieniu przepisów ustawy o powszechnym obowiązku obrony Rzeczypospolitej Polskiej;

3) komórka organizacyjna - komórkę organizacyjną Ministerstwa Obrony Narodowej w rozumieniu rozporządzenia Prezesa Rady Ministrów z dnia 24 października 2006 r. w sprawie nadania statutu Ministerstwu Obrony Narodowej (Dz. U. Nr 76, poz. 768, z 2007 r. Nr 57, poz. 647 oraz Nr 97, poz. 1073);

4) kierownik jednostki (komórki) organizacyjnej - dowódcę, dyrektora, szefa, komendanta, prezesa;

5) pełnomocnik ochrony - pełnomocnika kierownika jednostki organizacyjnej do spraw ochrony informacji niejawnych;

6) administrator - osobę lub zespół osób odpowiedzialnych za funkcjonowanie systemów lub sieci teleinformatycznych oraz za przestrzeganie zasad i wymagań bezpieczeństwa systemów i sieci teleinformatycznych;

7) system teleinformatyczny - system, który tworzą urządzenia, narzędzia, metody postępowania i procedury stosowane przez wyspecjalizowanych pracowników, w sposób zapewniający wytwarzanie, przechowywanie, przetwarzanie lub przekazywanie informacji;

8) sieć teleinformatyczna - organizacyjne i techniczne połączenie systemów teleinformatycznych;

9) zdarzenie - określony stan systemu, usługi lub sieci, który wskazuje na możliwe naruszenie polityki bezpieczeństwa, błąd zabezpieczenia lub nieznaną dotychczas sytuację, która może być związana z bezpieczeństwem;

10) incydent komputerowy - pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia procesów dowodzenia i kierowania oraz zagrażają bezpieczeństwu informacji;

11) zagrożenie - potencjalną możliwość naruszenia bezpieczeństwa systemu lub sieci teleinformatycznej;

12) reagowanie - zachowanie lub postępowanie jako odpowiedź na zaistniałe zdarzenie;

13) System Reagowania na Incydenty Komputerowe resortu obrony narodowej (SRnIK) - system zorganizowany w trzypoziomową strukturę, w skład której wchodzą:

a) Centrum Koordynacyjne, którego funkcję spełnia Wojskowe Biuro Bezpieczeństwa Łączności i Informatyki na podstawie Decyzji Nr 24/MON z dnia 31 stycznia 2006 r. w sprawie organizacji szczególnej ochrony systemów i sieci teleinformatycznych w resorcie obrony narodowej (Dz. Urz. MON Nr 2, poz. 19 oraz z 2007 r. Nr 23, poz. 241),

b) Centrum Wsparcia Technicznego, którego funkcję spełnia Centrum Zarządzania Systemami Teleinformatycznymi na podstawie Decyzji Nr 24/MON z dnia 31 stycznia 2006 r. w sprawie organizacji szczególnej ochrony systemów i sieci teleinformatycznych w resorcie obrony narodowej,

c) administratorzy systemów i sieci teleinformatycznych w jednostkach i komórkach organizacyjnych;

14) organizator systemu - instytucję wojskową (osobę funkcyjną) odpowiedzialną za tworzenie, rozwój i funkcjonowanie systemu.

§ 2. 1. W celu zapewnienia realizacji i koordynacji procesów zapobiegania, wykrywania i reagowania na incydenty komputerowe w systemach i sieciach teleinformatycznych resortu obrony narodowej, z wyłączeniem systemów i sieci teleinformatycznych i narodowych segmentów sieci międzynarodowych Służby Wywiadu Wojskowego i Służby Kontrwywiadu Wojskowego, organizuje się SRnIK.

2. Nadzór nad funkcjonowaniem SRnIK sprawuje Dyrektor Departamentu Informatyki i Telekomunikacji Ministerstwa Obrony Narodowej.

§ 3. Departament Informatyki i Telekomunikacji jest uprawniony i właściwy do:

1) przeprowadzania przeglądów SRnIK oraz reagowania na wyniki tych przeglądów;

2) pełnienia roli punktu kontaktowego SRnIK w stosunku do organizacji narodowych i międzynarodowych, w tym Organizacji Traktatu Północnoatlantyckiego;

3) organizowania resortowych systemów i sieci teleinformatycznych z uwzględnieniem procesów realizowanych w ramach SRnIK;

4) tworzenia polityki wykorzystania systemów i sieci teleinformatycznych resortu obrony narodowej przez inne osoby prawne i fizyczne;

5) organizowania szkoleń z zakresu reagowania na incydenty komputerowe;

6) zatwierdzania dokumentów określonych w § 7 ust. 1 pkt 1.

§ 4. Centrum Koordynacyjne SRnIK jest uprawnione i właściwe do:

1) koordynowania procesu reagowania na incydenty komputerowe w systemach i sieciach teleinformatycznych;

2) określania zasad funkcjonowania SRnIK;

3) nadzoru nad realizacją zadań przez Centrum Wsparcia Technicznego SRnIK;

4) prowadzenia działań proaktywnych, polegających na analizie infrastruktury teleinformatycznej i opracowywaniu zaleceń zapobiegających wystąpieniu incydentów;

5) współpracy w zakresie reagowania na incydenty komputerowe i bezpieczeństwa teleinformatycznego:

a) z Centrum Koordynacyjnym systemu reagowania na incydenty komputerowe w Organizacji Traktatu Północnoatlantyckiego,

b) z krajowymi i międzynarodowymi organami koordynującymi systemu reagowania na incydenty komputerowe,

c) z Agencją Bezpieczeństwa Wewnętrznego (Rządowym Zespołem do spraw Reagowania na Incydenty Komputerowe),

d) ze Służbą Kontrwywiadu Wojskowego,

e) z Departamentem Ochrony Informacji Niejawnych Ministerstwa Obrony Narodowej,

f) z Żandarmerią Wojskową,

g) z Zarządem Planowania Systemów Dowodzenia i Łączności - P6 Sztabu Generalnego Wojska Polskiego,

h) z pionami ochrony właściwych jednostek organizacyjnych;

6) analizowaniu informacji o zdarzeniach oraz tworzenia na ich bazie okresowych raportów o stanie bezpieczeństwa w systemach i sieciach teleinformatycznych;

7) udziału w pracach grup roboczych w ramach Organizacji Traktatu Północnoatlantyckiego oraz reprezentowania resortu obrony narodowej w kontaktach z organizacjami spoza resortu obrony narodowej w zakresie reagowania na incydenty w systemach i sieciach teleinformatycznych;

8) prowadzenia portali informacyjnych - oddzielnie dla jawnych i niejawnych sieci i systemów teleinformatycznych resortu obrony narodowej - na potrzeby obsługi incydentów komputerowych;

9) prowadzenia wykazu osób funkcyjnych odpowiedzialnych za SRnIK i osób współpracujących w tym zakresie, w tym danych teleadresowych.

§ 5. Centrum Wsparcia Technicznego Systemu Reagowania na Incydenty Komputerowe jest uprawnione i właściwe do:

1) współpracy z Centrum Koordynacyjnym SRnIK w zakresie ustalania zasad funkcjonowania SRnIK;

2) współpracy w zakresie reagowania na incydenty komputerowe i bezpieczeństwa teleinformatycznego:

a) z Centrum Technicznym systemu reagowania na incydenty komputerowe Organizacji Traktatu Północnoatlantyckiego,

b) z krajowymi i międzynarodowymi zespołami systemu reagowania na incydenty komputerowe,

c) z pionami ochrony właściwych jednostek organizacyjnych;

3) monitorowania w trybie ciągłym stanu bezpieczeństwa systemów i sieci teleinformatycznych;

4) zbierania informacji o zdarzeniach oraz tworzenia na ich bazie raportów o stanie bezpieczeństwa w nadzorowanych systemach i sieciach teleinformatycznych;

5) prowadzenia, w porozumieniu z właściwymi pionami ochrony, kontroli konfiguracji systemów i sieci teleinformatycznych, z wykorzystaniem określonych w pkt 8 środków technicznych, w celu ustalenia aktualnego stanu zabezpieczenia tych systemów i sieci;

6) realizacji zadań związanych z bezpośrednią obsługą incydentów w systemach i sieciach teleinformatycznych;

7) udzielania pomocy administratorom w trakcie obsługi incydentu oraz przywracania funkcjonowania systemu lub sieci teleinformatycznej po zaistniałym incydencie;

8) stosowania zaakceptowanych przez organizatora systemu środków technicznych i organizacyjnych oraz narzędzi do zdalnego zarządzania i kontroli konfiguracji sieci i systemów teleinformatycznych, służących do zapobiegania, wykrywania i usuwania skutków naruszeń bezpieczeństwa;

9) wnioskowania do właściwego pionu ochrony w sprawie czasowego wyłączania lub zaniechania przetwarzania informacji w systemie lub sieci teleinformatycznej, w której stwierdzono wystąpienie incydentu komputerowego;

10) udziału w pracach grup roboczych w ramach Organizacji Traktatu Północnoatlantyckiego w zakresie reagowania na incydenty komputerowe;

11) prowadzenia ewidencji administratorów systemów i sieci teleinformatycznych, zawierającej stopień wojskowy, imię i nazwisko oraz numer telefonu, nazwę jednostki (komórki) organizacyjnej każdej osoby wyznaczonej do pełnienia funkcji administratora systemu.

§ 6. Administratorzy systemów i sieci teleinformatycznych w jednostkach i komórkach organizacyjnych są zobowiązani do:

1) przestrzegania obowiązujących dokumentów normatywnych i zaleceń w zakresie przeciwdziałania naruszeniom bezpieczeństwa systemów i sieci teleinformatycznych;

2) nadzorowania użytkowników administrowanych przez nich systemów i sieci teleinformatycznych w zakresie przestrzegania ustalonych procedur bezpieczeństwa;

3) wykonywania poleceń Centrum Wsparcia Technicznego SRnIK w zakresie przeciwdziałania wystąpieniu i reagowania na incydenty komputerowe;

4) współpracy z instytucjami określonymi w § 4 pkt 5 lit d, e, f w zakresie zabezpieczenia śladów i ustalenia przyczyn wystąpienia incydentu;

5) zgłaszania do Centrum Wsparcia Technicznego SRnIK oraz inspektora bezpieczeństwa teleinformatycznego wykrytych naruszeń bezpieczeństwa oraz wszelkich zdarzeń mogących wpłynąć na naruszenie bezpieczeństwa teleinformatycznego w administrowanych przez nich systemach i sieciach teleinformatycznych;

6) informowania Centrum Wsparcia Technicznego SRnIK o zmianach personalnych administratorów oraz istotnych zmianach w konfiguracji systemów i sieci teleinformatycznych mogących mieć wpływ na ich bezpieczeństwo.

§ 7. 1. Dyrektor Wojskowego Biura Bezpieczeństwa Łączności i Informatyki odpowiada za:

1) opracowanie i aktualizację:

a) „Podręcznika reagowania na incydenty komputerowe w resorcie obrony narodowej",

b) „Standardowych Procedur Operacyjnych SRnIK w resorcie obrony narodowej"

2) przekazanie dokumentacji określonej w ust. 1 pkt 1 do zatwierdzenia Dyrektora Departamentu Informatyki i Telekomunikacji;

3) wdrażanie w resorcie obrony narodowej zaleceń Służby Kontrwywiadu Wojskowego z zakresu bezpieczeństwa teleinformatycznego, o których mowa w art. 5 ust. 1 pkt 3 ustawy z dnia 9 czerwca 2006 r o Służbie Kontrwywiadu Wojskowego (Dz. U. Nr 104, poz. 709 oraz Nr 218, poz. 1592);

2. Dokumentacja, o której mowa w ust. 1 pkt 1, przed zatwierdzeniem podlega uzgodnieniu:

1) ze Służbą Kontrwywiadu Wojskowego;

2) z Departamentem Ochrony Informacji Niejawnych;

3) z Żandarmerią Wojskową;

4) z Centrum Zarządzania Systemami Teleinformatycznymi;

5) z Zarządem Planowania Systemów Dowodzenia i Łączności - P6 Sztabu Generalnego Wojska Polskiego.

§ 8. Kierownicy wszystkich szczebli kierowania i dowodzenia resortu zapewnią:

1) ścisłe przestrzeganie i realizowanie przez podległe stany osobowe procedur przeciwdziałania incydentom komputerowym;

2) ścisłe przestrzeganie obowiązujących dokumentów normatywnych i zaleceń w zakresie przeciwdziałania naruszeniom bezpieczeństwa systemów i sieci teleinformatycznych;

3) realizowanie przez użytkowników systemów i sieci teleinformatycznych poleceń administratora w zakresie określonym w § 6;

4) uwzględnienie obowiązków nałożonych niniejszą decyzją w dokumentacji bezpieczeństwa systemów i sieci teleinformatycznych.

§ 9.1. Powołuje się Zespół do prowadzenia cyklicznych analiz zagrożeń dla przetwarzania w systemach i sieciach teleinformatycznych, w tym m.in. określania przyczyn wystąpienia incydentów komputerowych oraz sposobów postępowania zapobiegających występowaniu ich w przyszłości, zwany dalej „Zespołem".

2. W skład Zespołu wchodzą przedstawiciele: Departamentu Informatyki i Telekomunikacji, Departamentu Ochrony Informacji Niejawnych, Komendy Głównej Żandarmerii Wojskowej, Służby Kontrwywiadu Wojskowego, Zarządu Planowania Systemów Dowodzenia i Łączności - P6 Sztabu Generalnego Wojska Polskiego, Centrum Zarządzania Systemami Teleinformatycznymi oraz Wojskowego Biura Bezpieczeństwa Łączności i Informatyki.

3. Przewodniczącego Zespołu wyznaczy Dyrektor Departamentu Informatyki i Telekomunikacji.

4. Kierownicy jednostek organizacyjnych, wymienionych w ust. 2, przedstawią Dyrektorowi Departamentu Informatyki i Telekomunikacji imienne kandydatury członków Zespołu - w terminie nie dłuższym, niż 14 dni po wejściu decyzji w życie.

5. Przewodniczący Zespołu zwołuje jego posiedzenia nie rzadziej niż raz na trzy miesiące.

§ 10. Decyzja wchodzi w życie z dniem ogłoszenia.