Akt prawny
obowiązujący
Wersja aktualna od 2011-10-17
Wersja aktualna od 2011-10-17
obowiązujący
ZARZĄDZENIE Nr 22 DYREKTORA GENERALNEGO SŁUŻBY ZAGRANICZNEJ
z dnia 17 października 2011 r.
w sprawie wdrożenia i eksploatacji Systemu Przetwarzania Informacji Niejawnych – Poufnych w Ministerstwie Spraw Zagranicznych i w placówkach zagranicznych
Na podstawie art. 25 ust. 4 pkt 1 w związku z ust. 10 ustawy z dnia 21 listopada 2008 r. o służbie cywilnej (Dz. U. Nr 227, poz. 1505 oraz z 2009 r. Nr 157, poz. 1241, Nr 219, poz. 1706 i Nr 157, poz. 1241) zarządza się, co następuje:
Rozdział 1
Przepisy ogólne
§ 1
Zarządzenie określa:
1) zasady wdrożenia, eksploatacji oraz administrowania systemem przetwarzania informacji niejawnych o klauzuli „Poufne", „Confidentiel UE/EU Confidential" i „NATO Confidential" włącznie, zwanym dalej „systemem SPIN-P" w Ministerstwie Spraw Zagranicznych oraz w placówkach zagranicznych;
2) zadania komórek organizacyjnych Ministerstwa Spraw Zagranicznych, zwanych dalej „komórkami organizacyjnymi" i placówek zagranicznych oraz obowiązki zatrudnionych w nich pracowników związane z wdrożeniem, utrzymaniem, użytkowaniem i zarządzaniem systemem SPIN-P.
§ 2
Pojęcia używane w zarządzeniu są zgodne z definicjami zawartymi w słowniku obowiązujących pojęć dla potrzeb Księgi Norm Teleinformatycznych i Teletechnicznych, ustalonym w odrębnym trybie.
§ 3
1. Wprowadza się do eksploatacji system SPIN-P w Ministerstwie Spraw Zagranicznych i w placówkach zagranicznych.
2. Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki, w porozumieniu z dyrektorem komórki organizacyjnej właściwej w sprawach ochrony informacji niejawnych, jest upoważniony do wydania i aktualizowania instrukcji, wytycznych i poleceń określających szczegółowe zasady wdrażania systemu SPIN-P oraz jego wykorzystania do realizacji zadań służbowych.
3. Użytkownicy i administratorzy ponoszą odpowiedzialność służbową za nieprzestrzeganie zasad użytkowania systemu SPIN-P, określonych w „Procedurach Bezpiecznej Eksploatacji systemu SPIN-P", instrukcjach, wytycznych i poleceniach, o których mowa w ust. 2.
4. Inspektor Bezpieczeństwa Teleinformatycznego ponosi odpowiedzialność służbową za weryfikację i bieżącą kontrolę zgodności funkcjonowania systemu SPIN-P ze szczególnymi wymaganiami bezpieczeństwa oraz przestrzegania procedur bezpiecznej eksploatacji, instrukcji, wytycznych i poleceń, o których mowa w ust. 2 a także za realizację zadań określonych w § 14 rozporządzenia Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz. U. Nr 159, poz. 948).
5. Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki jest upoważniony do przekazywania do urzędów polskiej administracji publicznej urządzeń szyfrujących zakupionych przez Ministerstwo Spraw Zagranicznych, w celu ich dalszego wykorzystania na stanowisku roboczym systemu SPIN-P w danym urzędzie.
Rozdział 2
System SPIN-P
§ 4
1. System SPIN-P składa się z infrastruktury serwerowej zainstalowanej w Centrali Ministerstwa Spraw Zagranicznych, brzegowych urządzeń dostępowych oraz stacji roboczych.
2. Infrastruktura serwerowa obejmuje serwery: aplikacyjne, poczty elektronicznej, plików i urządzeń szyfrujących.
§ 5
1. System SPIN-P umożliwia przetwarzanie i przesyłanie informacji niejawnych do klauzuli „Poufne", „Confidentiel UE/EU Confidential" i „NATO Confidential" włącznie.
2. System SPIN-P jest eksploatowany w Ministerstwie Spraw Zagranicznych, w placówkach zagranicznych, a także w wybranych urzędach polskiej administracji publicznej.
3. System SPIN-P posiada następujące środowiska:
1) produkcyjne;
2) szkoleniowe;
3) testowe;
4) rozwojowe.
4. Zasady obiegu informacji niejawnych w systemie SPIN-P określają odrębne przepisy.
Rozdział 3
Zadania komórek organizacyjnych
§ 6
1. Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki, pełniący funkcję Gestora systemu SPIN-P:
1) wnioskuje do kierownika jednostki organizacyjnej, w rozumieniu przepisów o ochronie informacji niejawnych, o wyznaczenie administratorów systemu sprawujących nadzór nad realizacją zadań związanych z jego funkcjonowaniem;
2) wyznacza administratora materiałów kryptograficznych, sprawującego nadzór nad warstwą kryptograficzną systemu;
3) sprawuje nadzór nad wykonywaniem obowiązków przez administratorów systemu oraz przez administratora materiałów kryptograficznych;
4) odpowiada za planowanie środków finansowych na funkcjonowanie i rozwój systemu, w szczególności za środki przeznaczone na zakup sprzętu, akcesoriów i licencji oprogramowania;
5) współpracuje z dyrektorem komórki właściwej w sprawach finansowych w celu wykonania zadań określonych w zarządzeniu;
6) odpowiada za prowadzenie ewidencji sprzętu, akcesoriów i licencji oprogramowania niezbędnych do funkcjonowania systemu;
7) odpowiada za prowadzenie spraw formalno-prawnych związanych z wykorzystywaniem urządzeń wchodzących w skład systemu.
2. Pełnomocnik do spraw Ochrony Informacji Niejawnych Ministerstwa Spraw Zagranicznych:
1) wnioskuje do kierownika jednostki organizacyjnej, w rozumieniu przepisów o ochronie informacji niejawnych, o wyznaczenie Inspektora Bezpieczeństwa Teleinformatycznego;
2) sprawuje nadzór nad wykonywaniem obowiązków przez Inspektora Bezpieczeństwa Teleinformatycznego;
3) sprawuje nadzór nad obiegiem informacji w systemie SPIN-P.
3. Dyrektor komórki organizacyjnej właściwej w sprawach zarządzania informacją określa wymagania funkcjonalne związane z mechanizmami udostępniania, gromadzenia, wykorzystania oraz przekazywania informacji w systemie SPIN-P.
Rozdział 4
Obowiązki Administratora Głównego systemu SPIN-P
§ 7
Administrator Główny systemu SPIN-P wykonuje obowiązki określone w dokumencie „Procedury Bezpiecznej Eksploatacji systemu SPIN-P", w tym w szczególności:
1) nadzoruje prawidłowe funkcjonowanie wszystkich komponentów systemu, a w przypadku wykrycia nieprawidłowości niezwłocznie przystępuje do działań mających na celu przywrócenie jego poprawnej pracy;
2) zapewnia ciągłość działania systemu;
3) ściśle współpracuje z administratorami pomocniczymi systemu;
4) administruje kontami użytkowników i ich uprawnieniami;
5) odtwarza system i dane przetwarzane w systemie z kopii bezpieczeństwa;
6) opracowuje i aktualizuje dokumentację bezpieczeństwa, techniczną systemu oraz przedkłada ją do zatwierdzenia dyrektorowi komórki organizacyjnej właściwej w sprawach teleinformatyki;
7) powiadamia Inspektora Bezpieczeństwa Teleinformatycznego o incydentach oraz ryzykach naruszenia zasad ochrony informacji przetwarzanych w systemie;
8) wykonuje inne czynności wskazane w dokumentacji bezpieczeństwa systemu.
Rozdział 5
Obowiązki administratora materiałów kryptograficznych
§ 8
Administrator materiałów kryptograficznych realizuje zadania określone w dokumencie „Procedury Bezpiecznej Eksploatacji systemu SPIN-P", w tym w szczególności:
1) prowadzi ewidencję i nadzoruje dystrybucję materiałów kryptograficznych przeznaczonych dla stacji roboczych systemu;
2) wskazuje Inspektorowi Bezpieczeństwa Teleinformatycznego ewentualne nieprawidłowości w procesie posługiwania się materiałami kryptograficznymi przez użytkowników systemu;
3) wytwarza materiały kryptograficzne na stacji generacji kluczy SPIN-P, służące identyfikacji użytkownika w systemie.
Rozdział 6
Obowiązki Administratorów systemów wspierających
§ 9
1. Administratorzy systemów i usług wspierających są zobowiązani:
1) ściśle współpracować z Administratorem Głównym systemu SPIN-P;
2) powiadamiać Administratora Głównego systemu SPIN-P o wystąpieniu zdarzeń zagrażających utracie ciągłości działania lub bezpieczeństwu systemu SPIN-P;
3) we współpracy z Administratorem Głównym systemu SPIN-P podejmować czynności w celu usunięcia awarii.
2. Administratorzy systemów wspierających są zobowiązani do przestrzegania zasad użytkowania systemu określonych w dokumentacji bezpieczeństwa systemu SPIN-P.
Rozdział 7
Obowiązki użytkownika systemu SPIN-P
§ 10
1. Użytkownik systemu SPIN-P jest zobowiązany:
1) przestrzegać zasad użytkowania, określonych w instrukcji, o której mowa w § 3 ust. 2, dokumentacji bezpieczeństwa oraz stosować wytyczne i polecenia wydane w tym zakresie przez dyrektora komórki organizacyjnej właściwej w sprawach teleinformatyki oraz działającego z jego upoważnienia Administratora Głównego systemu SPIN-P;
2) zapoznać się z dokumentem „Procedury Bezpiecznej Eksploatacji Systemu SPIN-P", a w szczególności z częścią odpowiadającą zakresowi obowiązków;
3) uczestniczyć w szkoleniach dotyczących zasad działania systemu SPIN-P;
4) korzystać z systemu SPIN-P wyłącznie w celu realizacji zadań służbowych;
5) korzystać z systemu SPIN-P w taki sposób, aby ograniczyć ryzyko nieuprawnionego zapoznania się osób postronnych z informacjami przetwarzanymi za pomocą systemu SPIN-P;
6) chronić dane pozwalające na uwierzytelnienie się pozwalające na dostęp do systemu SPIN-P;
7) nie udostępniać indywidualnego konta użytkownika żadnej innej osobie;
8) wylogować się z systemu SPIN-P za każdym razem, gdy opuszcza stanowisko pracy;
9) nie pozostawiać bez nadzoru, w tym zabezpieczenia technicznego pomieszczenia, w którym zainstalowane jest stanowisko systemu SPIN-P;
10) każdorazowo po zakończeniu pracy na stanowisku sprawdzić stan zabezpieczenia pomieszczenia, w którym zlokalizowane jest stanowisko, w tym w szczególności zamknięcie drzwi i włączenie systemów zabezpieczenia technicznego pomieszczenia;
11) bezzwłocznie powiadomić Administratora Głównego systemu SPIN-P oraz Inspektora Bezpieczeństwa Teleinformatycznego o incydentach oraz przypadkach wystąpienia ryzyka naruszenia zasad ochrony informacji niejawnych przetwarzanych w systemie.
2. Użytkownik powinien przestrzegać następujących ograniczeń:
1) zabronione jest samowolne instalowanie lub usuwanie oprogramowania komputerowego;
2) zabroniona jest samowolna zmiana ustawień i modyfikacji systemu operacyjnego komputera lub parametrów systemu SPIN-P;
3) zabronione jest samowolne przełączanie kabli sieciowych oraz dokonywanie innych modyfikacji konfiguracji sprzętowej stanowiska SPIN-P;
4) zabronione jest dokonywanie prób uzyskania nielegalnego dostępu do plików lub danych uwierzytelniających innych użytkowników.
Rozdział 8
Bezpieczeństwo systemu SPIN-P
§ 11
1. Administratorzy systemu odpowiadają za bezpieczeństwo systemu SPIN-P, w tym proponują reguły bezpieczeństwa i po ich zatwierdzeniu przez Departament Bezpieczeństwa Teleinformatycznego ABW wdrażają je w systemie SPIN-P.
2. Administratorzy systemu uzgadniają reguły, o których mowa w ust. 1, z Inspektorem Bezpieczeństwa Teleinformatycznego.
Rozdział 9
Zasady przyłączenia stanowisk do systemu SPIN-P
§ 12
1. Stanowisko systemu SPIN-P może być zainstalowane w Ministerstwie Spraw Zagranicznych oraz w jednostkach organizacyjnych podległych Ministrowi Spraw Zagranicznych na wniosek skierowany do dyrektora komórki organizacyjnej właściwej w sprawach teleinformatyki. Z wnioskiem takim wystąpić może:
1) kierownik placówki zagranicznej;
2) dyrektor komórki organizacyjnej w Ministerstwie Spraw Zagranicznych;
3) członek Kierownictwa Ministerstwa Spraw Zagranicznych.
2. Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki podejmuje decyzję o zainstalowaniu stanowiska systemu SPIN-P po otrzymaniu od wnioskodawcy następujących dokumentów:
1) wypełnionej ankiety bezpieczeństwa teleinformatycznego stanowiska węzła systemu SPIN-P, której wzór został określony w załączniku do zarządzenia;
2) wniosku o określenie sprzętowej strefy ochrony elektromagnetycznej - WS-01, którego wzór określa Agencja Bezpieczeństwa Wewnętrznego; oraz zatwierdzeniu powyższych dokumentów przez Departament Bezpieczeństwa Teleinformatycznego Agencji Bezpieczeństwa Wewnętrznego.
Rozdział 10
Przepisy końcowe
§ 13
1. Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki jest zobowiązany do opracowania i wdrożenia w terminie 30 dni od dnia wejścia w życie zarządzenia instrukcji, o której mowa w § 3 ust. 2.
2. Z dniem wejścia zarządzenia w życie wycofuje się z eksploatacji zainstalowany w Ministerstwie Spraw Zagranicznych i placówkach zagranicznych system „SPIN-Z".
3. Od dnia wejścia zarządzenia w życie w placówkach zagranicznych przyłączonych do systemu SPIN-P informacje oznaczone klauzulą poufne należy przesyłać wyłącznie za pośrednictwem tego systemu.
4. Termin wdrożenia i rozpoczęcia użytkowania systemu SPIN-P wyznacza się na 17 października 2011, przy czym placówki zagraniczne, które nie są przyłączone do systemu SPIN-P w dniu wejścia zarządzenia w życie będą przyłączane do tego systemu niezwłocznie po uzyskaniu świadectwa akredytacji bezpieczeństwa systemu teleinformatycznego.
§ 14
Zarządzenie wchodzi w życie z dniem podpisania.
Dyrektor Generalny Służby Zagranicznej |
Jarosław Czubiński |
Załącznik do zarządzenia Nr 22 Dyrektora Generalnego Służby Zagranicznej
z dnia 17 października 2011 r. (poz. 75)
ANKIETA BEZPIECZEŃSTWA TELEINFORMATYCZNEGO WĘZŁA SYSTEMU SPIN-P