Dzienniki Urzędowe - rok 2011 nr 3 poz. 22

Na podstawie art. 25 ust. 4 pkt 1 i ust. 10 ustawy z dnia 21 listopada 2008 r. o służbie cywilnej (Dz. U. Nr 227, poz. 1505 oraz z 2009 r. Nr 157, poz. 1241 i Nr 219, poz. 1706) zarządza się, co następuje:

1. Zarządzenie określa:

1) zasady wykorzystywania nośników danych cyfrowych, zwanych dalej „nośnikami”;

2) zasady wdrożenia i eksploatacji systemu Bezpieczny Pendrive;

3) zadania komórek organizacyjnych Ministerstwa Spraw Zagranicznych i placówek zagranicznych oraz obowiązki zatrudnionych w nich pracowników związane z wdrożeniem, utrzymaniem, użytkowaniem i zarządzaniem systemem Bezpieczny Pendrive oraz innymi nośnikami.

2. Nośniki służą przechowywaniu zarówno informacji jawnych, jak i niejawnych, przy czym zasady postępowania z nośnikami zawierającymi informacje niejawne, w tym szczególne zasady ich przechowywania określają przepisy o ochronie informacji niejawnych.

Pojęcia używane w zarządzeniu są zgodne z definicjami zawartymi w słowniku obowiązujących pojęć dla potrzeb Księgi Norm Teleinformatycznych i Teletechnicznych, ustalonym w odrębnym trybie.

1. Każdy nośnik używany w środowisku teleinformatycznym Ministerstwa Spraw Zagranicznych i placówek zagranicznych, z wyłączeniem płyt CD i DVD, powinien posiadać unikalny numer seryjny pozwalający na powiązanie go z indywidualnym użytkownikiem lub rolą pełnioną w danym systemie teleinformatycznym.

2. Z zastrzeżeniem ust. 3 i 4, w środowisku teleinformatycznym Ministerstwa Spraw Zagranicznych i placówek zagranicznych możliwe jest używanie wyłącznie następujących nośników stanowiących własność pracodawcy:

1) określonych w zarządzeniu przenośnych nośników danych;

2) innych nośników danych zainstalowanych trwale w sprzęcie teleinformatycznym przekazanym użytkownikowi przez pracodawcę;

3) zarejestrowanych płyt CD i DVD.

3. Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki w uzasadnionych przypadkach może wyrazić zgodę na używanie innych nośników, niż określone w ust. 1, w szczególności dla celów sporządzania dokumentacji fotograficznej, szkoleniowych lub testowych.

4. W przypadku konieczności jednorazowego transferu danych z nośnika, innego niż określony w ust. 2 i 3 do środowiska teleinformatycznego Ministerstwa Spraw Zagranicznych i placówek zagranicznych użytkownik jest obowiązany zwrócić się do komórki organizacyjnej właściwej w sprawach teleinformatyki a w placówce zagranicznej do właściwego regionalnego administratora systemów teleinformatycznych o sprawdzenie tego nośnika przy pomocy zaktualizowanego oprogramowania antywirusowego i przeprowadzenie transferu danych.

W środowisku teleinformatycznym Ministerstwa Spraw Zagranicznych i placówek zagranicznych zabrania się używania nośników stanowiących własność użytkowników, a w szczególności dokonywania czynności polegających na kopiowaniu, przegrywaniu plików, montowaniu, demontowaniu urządzeń, wgrywaniu, przegrywaniu oprogramowania oraz danych w celu przeniesienia lub skopiowania informacji ze sprzętu teleinformatycznego pracodawcy na nośniki inne, niż określone w zarządzeniu lub nośniki stanowiące własność użytkowników.

Pełnomocnik do spraw ochrony informacji niejawnych jest upoważniony do opracowania i wdrożenia w drodze instrukcji szczegółowej procedury określającej zasady wykorzystywania nośników danych do przetwarzania, przechowywania i przenoszenia informacji niejawnych.

1. W Ministerstwie Spraw Zagranicznych i w placówkach zagranicznych wprowadza się do eksploatacji system Bezpieczny Pendrive, służący do bezpiecznego przetwarzania, przechowywania i przenoszenia służbowych informacji jawnych.

2. System Bezpieczny Pendrive składa się z serwera zarządzającego opartego o zwirtualizowany system VMware ACE i szyfrowanych przenośnych nośników danych Iron Key w wersji Enterprise z licencją na serwer Ministerstwa Spraw Zagranicznych zwanych dalej „pendrive” spełniających następujących parametry:

1) pojemność min. 4GB;

2) model S200 AES 256 bit;

3) standard FIPS: 140-2 Level 3;

4) kompatybilność z systemami: Windows XP/VI-STA/7, Windows 2000, MAC OS X, Linux 2.60.

3. Warunkiem dopuszczenia pendriva do użytkowania jest przypisanie go w karcie ewidencyjnej określonemu użytkownikowi przez administratora systemu Bezpieczny Pendrive.

1. Z zastrzeżeniem ust. 2 użytkownikowi może zostać przydzielony tylko jeden pendrive.

2. W przypadkach szczególnych za zgodą dyrektora komórki organizacyjnej właściwej w sprawach teleinformatyki użytkownikowi może zostać przydzielony dodatkowy pendrive.

3. Pendrive jest przydzielany użytkownikowi na jego wniosek, skierowany do dyrektora komórki organizacyjnej właściwej w sprawach teleinformatyki.

4. Wykaz stanowisk i funkcji osób, którym w trybie, o którym mowa w ust. 3 może zostać przydzielony pendrive, określa załącznik nr 1 do zarządzenia.

5. Innym osobom niezajmującym stanowisk albo niepełniącym funkcji określonych w załączniku, o którym mowa w ust. 4, pendrive może zostać przydzielony za zgodą dyrektora komórki organizacyjnej właściwej w sprawach teleinformatyki na uzasadniony wniosek dyrektora komórki organizacyjnej lub kierownika placówki zagranicznej.

1. Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki może przydzielić pracownikom tej komórki oraz komórki organizacyjnej właściwej w sprawach infrastruktury i komórki organizacyjnej właściwej w sprawach ochrony informacji niejawnych, a także pracownikom wykonującym funkcje regionalnych administratorów sieci teleinformatycznych (RAST) i regionalnych administratorów systemów zabezpieczeń technicznych (RASZT) przenośny twardy dysk – Lenovo ThinkPad USB Secure Hard Drive.

2. Innym osobom niezajmującym stanowisk albo niepełniącym funkcji określonych w załączniku, o którym mowa w ust. 3, przenośny twardy dysk może zostać przydzielony za zgodą dyrektora komórki organizacyjnej właściwej w sprawach teleinformatyki na uzasadniony wniosek dyrektora komórki organizacyjnej lub kierownika placówki zagranicznej.

3. Wykaz stanowisk i funkcji osób, którym może zostać przydzielony twardy dysk określa załącznik nr 1 do zarządzenia.

1. Płyty CD i DVD, stanowiące własność pracodawcy i przekazane użytkownikowi po zapisaniu na nich danych podlegają niezwłocznej rejestracji w kancelarii obsługującej komórkę organizacyjną lub placówkę zagraniczną.

2. Przepisy zarządzenia stosuje się do płyt CD i DVD, z tym, że:

1) dla płyt CD i DVD nie wyznacza się administratora;

2) do czasowego przekazywania płyt CD i DVD nie stosuje się przepisów rozdziału 8 – ich przekazanie pomiędzy użytkownikami wymaga odnotowania w kancelarii obsługującej komórkę organizacyjną lub placówkę zagraniczną;

3) ewidencję płyt CD i DVD prowadzi właściwa kancelaria obsługująca komórkę organizacyjną lub placówkę zagraniczną.

1. Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki:

1) pełni funkcję organizatora (gestora) Systemu Bezpieczny Pendrive w Ministerstwie Spraw Zagranicznych i w placówkach zagranicznych;

2) wyznacza spośród podległych sobie pracowników administratorów poszczególnych nośników w Ministerstwie Spraw Zagranicznych oraz określa ich szczegółowe obowiązki w instrukcji, o której mowa w ust. 2;

3) sprawuje nadzór nad wykonywaniem obowiązków przez administratora poszczególnych nośników;

4) odpowiada za sprawną organizację dystrybucji nośników do pracowników Ministerstwa Spraw Zagranicznych i placówek zagranicznych;

5) odpowiada za planowanie środków finansowych na funkcjonowanie i rozwój poszczególnych nośników, w szczególności środki przeznaczone na zakup sprzętu, akcesoriów i licencji oprogramowania;

6) współpracuje z dyrektorami innych komórek organizacyjnych w celu wykonania zadań określonych w zarządzeniu;

7) odpowiada za prowadzenie wydzielonej ewidencji nośników.

2. Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki jest upoważniony do wydania instrukcji określającej:

1) szczegółowe obowiązki użytkowników i administratorów nośników;

2) szczegółowe zalecenia dotyczące bezpiecznego użytkowania przenośnych nośników pamięci;

3) szczegółowe zasady tworzenia i korzystania z haseł do przenośnych nośników;

4) szczegółowe zasady i sposób ewidencji nośników.

Administrator jest obowiązany:

1) wykonywać obowiązki określone w instrukcji, o której mowa w § 10 ust. 2;

2) zapewnić ciągłość działania systemu Bezpieczny Pendrive, dysków twardych lub innych nośników;

3) zapewnić podstawowe szkolenie użytkownika systemu podczas wydania nośnika, a w szczególności poinstruować użytkownika w zakresie przestrzegania zasad bezpieczeństwa;

4) w przypadku wystąpienia zdarzenia zagrażającego bezpieczeństwu informacji zapisanych na nośniku ograniczyć uprawnienia dostępowe użytkownika włącznie z zablokowaniem dostępu do infrastruktury teleinformatycznej Ministerstwa Spraw Zagranicznych na czas niezbędny do wyjaśnienia zaistniałego zdarzenia;

5) wnioskować do dyrektora generalnego służby zagranicznej o wyciągnięcie konsekwencji służbowych w stosunku do osób naruszających przepisy zarządzenia;

6) współpracować z właściwą w sprawach szkoleń komórką organizacyjną Ministerstwa Spraw Zagranicznych w zakresie opracowywania materiałów szkoleniowych dla użytkowników nośników;

7) tworzyć i aktualizować dokumentację techniczną systemu Bezpieczny Pendrive, dysków twardych lub innych nośników oraz przedkładać ją do zatwierdzenia dyrektorowi komórki organizacyjnej właściwej w sprawach teleinformatyki.

1. Użytkownik odpowiada za bezpieczny i zgodny z przeznaczeniem oraz instrukcją, o której mowa w § 10 ust. 2, sposób użytkowania i przechowywania nośnika.

2. Użytkownik odpowiada za utratę, zniszczenie lub inną szkodę powstałą w powierzonym mu nośniku na zasadach określonych w przepisach Kodeksu Pracy dla odpowiedzialności za mienie pracodawcy powierzone pracownikowi, w szczególności odpowiada w pełnej wysokości za szkodę powstałą w tym mieniu, chyba, że wykaże, iż powstała ona z przyczyn od niego niezależnych.

3. Użytkownik jest obowiązany:

1) chronić nośnik, hasła dostępu do nośnika przed dostępem osób nieuprawnionych, a także przed ryzykiem przypadkowej utraty bądź kradzieży;

2) nie udostępniać nośnika do użytku innym osobom, a jeżeli zajdzie taka konieczność należy dokonać przekazania zgodnie z § 14;

3) przestrzegać zasad użytkowania, określonych w instrukcji, o której mowa w § 10 ust. 2, oraz stosować wytyczne i polecenia wydane w tym zakresie przez dyrektora komórki organizacyjnej właściwej w sprawach teleinformatyki oraz działającego z jego upoważnienia administratora;

4) niezwłocznie powiadamiać właściwego administratora, a następnie bezpośredniego przełożonego o przypadku kradzieży lub zagubienia nośnika, lub o podejrzeniu o uzyskaniu dostępu do hasła do nośnika przez osoby nieuprawnione;

5) niezwłocznie zgłosić właściwemu administratorowi każdy przypadek, uszkodzenia lub przypadkowego zniszczenia nośnika zawierającego informacje jawne;

6) niezwłocznie zgłosić właściwemu administratorowi oraz pełnomocnikowi do spraw ochrony informacji niejawnych każdy przypadek kradzieży lub zagubienia, uszkodzenia lub przypadkowego zniszczenia nośnika zawierającego informacje niejawne;

7) zachować ostrożność przy korzystaniu z nośnika poza środowiskiem teleinformatycznym resortu spraw zagranicznych.

4. Powierzenie użytkownikowi przenośnego nośnika, o którym mowa w § 6 i § 8, następuje na podstawie umowy, której wzór określa załącznik nr 2 do zarządzenia.

1. W przypadku konieczności czasowego przekazania nośnika zawierającego informacje jawne innemu użytkownikowi, przy braku możliwości przekazania go za pośrednictwem pracownika prowadzącego ewidencję lub administratora, nośnik należy przekazać protokolarnie a protokół przekazania przesłać administratorowi. Wzór protokołu przekazania określa załącznik nr 3 do zarządzenia.

2. W przypadku potrzeby czasowego przekazania nośnika zarejestrowanego, jako materiał niejawny innemu użytkownikowi, nośnik należy przekazać zgodnie z procedurą zatwierdzoną przez pełnomocnika do spraw ochrony informacji niejawnych.

3. Czasowe przekazanie nośnika nie powinno przekraczać 30 dni.

4. Protokół przekazania nośnika winien zawierać, co najmniej imię i nazwisko zdającego, imię i nazwisko odbiorcy, numer i typ nośnika oraz okres, na jaki nośnik został przekazany.

5. Przez podpisanie protokołu czasowego przekazania odbiorca przyjmuje na siebie odpowiedzialność za zgodne z zarządzeniem korzystanie z nośnika oraz odpowiedzialność za jego utratę, zniszczenie lub inną szkodę powstałą w powierzonym mu nośniku, tak jak zdający.

1. Nośniki wykorzystywane w środowisku teleinformatycznym Ministerstwa Spraw Zagranicznych i placówek zagranicznych podlegają ewidencji. Za nadzór nad prawidłowym prowadzeniem ewidencji nośników odpowiada dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki.

2. Karta ewidencyjna nośnika powinna zawierać następujące dane:

1) imię i nazwisko administratora;

2) numer seryjny nośnika;

3) typ nośnika;

4) datę zamontowania lub udostępnienia;

5) datę wymontowania lub oddania;

6) imię i nazwisko użytkownika;

7) datę i powód przekazania nośnika do zniszczenia;

8) ilość sztuk;

9) datę usunięcia danych oraz nazwisko i podpis osoby, która je usunęła.

1. Dane z nośnika usuwane są poprzez nadpisanie zapisanych danych za pomocą oprogramowania zaakceptowanego przez komórkę organizacyjną właściwą w sprawach teleinformatyki, a w przypadku nośników zawierających informacje niejawne zgodnie z procedurą, o której mowa w § 5.

2. W przypadku nośnika, który nie był wykorzystywany do przetwarzania informacji niejawnych lub danych osobowych dyrektor komórki właściwej w sprawach teleinformatyki w porozumieniu z pełnomocnikiem ochrony informacji niejawnych może podjąć decyzję o jego przekazaniu w celu dalszej eksploatacji innej jednostce organizacyjnej administracji publicznej po uprzednim usunięciu danych, w trybie o którym mowa w ust. 1.

3. Za wykonanie czynności, o których mowa ust. 1 odpowiada właściwy administrator.

4. W przypadku przekazania komputera do magazynu lub innemu użytkownikowi obowiązkiem właściwego administratora systemu jest, z zastrzeżeniem ust. 6, całkowite skasowanie zawartości zainstalowanych w nim nośników, z wykorzystaniem wskazanego przez komórkę organizacyjną właściwą w sprawach teleinformatyki, urządzenia lub oprogramowania kasującego i odnotowanie tego faktu w karcie ewidencyjnej.

5. Pełnomocnik do spraw ochrony informacji niejawnych w instrukcji, o której mowa w § 5 ust. 2 określi szczególne zasady postępowania z nośnikami zawierającymi informacje niejawne lub dane osobowe.

6. W przypadku sprzętu komputerowego użytkowanego poza granicami Rzeczypospolitej Polskiej właściwy administrator może powierzyć wykonywanie obowiązków określonych w ust. 4 właściwemu regionalnemu administratorowi systemów teleinformatycznych (RAST).

1. Uszkodzone lub wycofane z eksploatacji nośniki, za zastrzeżeniem § 15 ust. 2, są niszczone w sposób trwale uniemożliwiający odczytanie ich zawartości. W przypadku placówek zagranicznych skutkuje to koniecznością przesłania nośników danych, z zachowaniem przepisów o ochronie informacji niejawnych, do komórki organizacyjnej właściwej w sprawach teleinformatyki wraz z odpowiednim protokołem przekazania i kartą ewidencyjną.

2. Nośniki niszczone są dwuetapowo poprzez:

1) demagnetyzację przy pomocy demagnetyzera, w przypadku nośników wykorzystujących zjawisko magnetyzmu;

2) mechaniczne rozdrobnienie.

3. Niszczenie nośników przeprowadzane jest komisyjnie, przy udziale przynajmniej dwóch pracowników wyznaczonych przez dyrektora komórki organizacyjnej właściwej w sprawach teleinformatyki, a z jego przebiegu należy sporządzić pisemny protokół.

Nie dłużej niż do końca pierwszego kwartału 2011 roku dopuszcza się stosowanie innych urządzeń typu pendrive, niż określonych w zarządzeniu wyłącznie dla potrzeb konsularnych.

1. Do końca pierwszego kwartału 2011 roku użytkownicy przenośnych nośników pamięci stanowiących własność pracodawcy, innych niż określonych w zarządzeniu obowiązani są zdeponować je odpowiednio:

1) w Ministerstwie Spraw Zagranicznych – w komórce organizacyjnej właściwej w sprawach teleinformatyki;

2) w placówce zagranicznej – w miejscu określonym przez kierownika regionalnego administratora systemów teleinformatycznych (RAST).

2. Do końca pierwszego kwartału 2011 roku użytkownicy płyt CD i DVD obowiązani są przekazać je do zniszczenia lub zarejestrować zgodnie z instrukcją, o której mowa w § 10 ust. 2.

3. Do końca pierwszego kwartału 2011 roku, dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki dokona ewidencji nośników, o której mowa w § 14 ust. 1.

4. Wszyscy pracownicy przechowujący służbowe dane cyfrowe na nośnikach nie stanowiących własności pracodawcy obowiązani są je trwale usunąć do końca pierwszego kwartału 2011 roku.

5. Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki w terminie 7 dni od wejścia zarządzenia w życie wyda zalecenia dotyczące usuwania danych cyfrowych.

6. Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki odpowiada za wdrożenie systemu informatycznego blokującego możliwość wykorzystania innych nośników niż określonych w zarządzeniu, w środowisku teleinformatycznym resortu.

Zarządzenie wchodzi w życie z dniem podpisania.

Załączniki do zarządzenia Nr 1 Dyrektora Generalnego
Służby Zagranicznej z dnia 17 stycznia 2011 r. (poz. 22)

Załącznik nr 1

WYKAZ STANOWISK I FUNKCJI OSÓB, KTÓRYM MOŻE ZOSTAĆ PRZYDZIELONY NOŚNIK

I. IronKey S200

1) Minister Spraw Zagranicznych;

2) Sekretarz stanu w Ministerstwie Spraw Zagranicznych;

3) Podsekretarz stanu w Ministerstwie Spraw Zagranicznych;

4) Dyrektor Generalny Służby Zagranicznej;

5) dyrektor komórki organizacyjnej Ministerstwa Spraw Zagranicznych;

6) zastępca dyrektora komórki organizacyjnej Ministerstwa Spraw Zagranicznych;

7) kierownik placówki zagranicznej;

8) zastępca kierownika placówki zagranicznej lub pracownik wyznaczony do zastępowania kierownika placówki zagranicznej;

9) pełnomocnik lub specjalny wysłannik Ministra Spraw Zagranicznych, a także inna osoba wykonująca szczególne funkcje określone przez Ministra Spraw Zagranicznych w akcie prawa wewnętrznego.

II. Lenovo ThinkPad USB Secure Hard Drive

1) pracownicy komórki organizacyjnej właściwej w sprawach teleinformatyki;

2) pracownicy Wydziału Zarządzania Projektami Budowlanymi i Wydziału Eksploatacji i Utrzymania Technicznego Biura Infrastruktury i Logistyki;

3) pracownicy Wydziału Bezpieczeństwa Teleinformatycznego i Ochrony Danych Osobowych i Wydział Systemów Zabezpieczeń, Biura Pełnomocnika Ochrony Informacji Niejawnych;

4) Regionalni Administratorzy Systemów Teleinformatycznych;

5) Regionalni Administratorzy Systemów Zabezpieczeń technicznych.

Załącznik nr 2

WZÓR

Załącznik nr 3

WZÓR