Dzienniki Urzędowe - rok 2011 nr 9 poz. 75

Na podstawie art. 25 ust. 4 pkt 1 w związku z ust. 10 ustawy z dnia 21 listopada 2008 r. o służbie cywilnej (Dz. U. Nr 227, poz. 1505 oraz z 2009 r. Nr 157, poz. 1241, Nr 219, poz. 1706 i Nr 157, poz. 1241) zarządza się, co następuje:

Zarządzenie określa:

1) zasady wdrożenia, eksploatacji oraz administrowania systemem przetwarzania informacji niejawnych o klauzuli „Poufne", „Confidentiel UE/EU Confidential" i „NATO Confidential" włącznie, zwanym dalej „systemem SPIN-P" w Ministerstwie Spraw Zagranicznych oraz w placówkach zagranicznych;

2) zadania komórek organizacyjnych Ministerstwa Spraw Zagranicznych, zwanych dalej „komórkami organizacyjnymi" i placówek zagranicznych oraz obowiązki zatrudnionych w nich pracowników związane z wdrożeniem, utrzymaniem, użytkowaniem i zarządzaniem systemem SPIN-P.

Pojęcia używane w zarządzeniu są zgodne z definicjami zawartymi w słowniku obowiązujących pojęć dla potrzeb Księgi Norm Teleinformatycznych i Teletechnicznych, ustalonym w odrębnym trybie.

1. Wprowadza się do eksploatacji system SPIN-P w Ministerstwie Spraw Zagranicznych i w placówkach zagranicznych.

2. Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki, w porozumieniu z dyrektorem komórki organizacyjnej właściwej w sprawach ochrony informacji niejawnych, jest upoważniony do wydania i aktualizowania instrukcji, wytycznych i poleceń określających szczegółowe zasady wdrażania systemu SPIN-P oraz jego wykorzystania do realizacji zadań służbowych.

3. Użytkownicy i administratorzy ponoszą odpowiedzialność służbową za nieprzestrzeganie zasad użytkowania systemu SPIN-P, określonych w „Procedurach Bezpiecznej Eksploatacji systemu SPIN-P", instrukcjach, wytycznych i poleceniach, o których mowa w ust. 2.

4. Inspektor Bezpieczeństwa Teleinformatycznego ponosi odpowiedzialność służbową za weryfikację i bieżącą kontrolę zgodności funkcjonowania systemu SPIN-P ze szczególnymi wymaganiami bezpieczeństwa oraz przestrzegania procedur bezpiecznej eksploatacji, instrukcji, wytycznych i poleceń, o których mowa w ust. 2 a także za realizację zadań określonych w § 14 rozporządzenia Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz. U. Nr 159, poz. 948).

5. Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki jest upoważniony do przekazywania do urzędów polskiej administracji publicznej urządzeń szyfrujących zakupionych przez Ministerstwo Spraw Zagranicznych, w celu ich dalszego wykorzystania na stanowisku roboczym systemu SPIN-P w danym urzędzie.

1. System SPIN-P składa się z infrastruktury serwerowej zainstalowanej w Centrali Ministerstwa Spraw Zagranicznych, brzegowych urządzeń dostępowych oraz stacji roboczych.

2. Infrastruktura serwerowa obejmuje serwery: aplikacyjne, poczty elektronicznej, plików i urządzeń szyfrujących.

1. System SPIN-P umożliwia przetwarzanie i przesyłanie informacji niejawnych do klauzuli „Poufne", „Confidentiel UE/EU Confidential" i „NATO Confidential" włącznie.

2. System SPIN-P jest eksploatowany w Ministerstwie Spraw Zagranicznych, w placówkach zagranicznych, a także w wybranych urzędach polskiej administracji publicznej.

3. System SPIN-P posiada następujące środowiska:

1) produkcyjne;

2) szkoleniowe;

3) testowe;

4) rozwojowe.

4. Zasady obiegu informacji niejawnych w systemie SPIN-P określają odrębne przepisy.

1. Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki, pełniący funkcję Gestora systemu SPIN-P:

1) wnioskuje do kierownika jednostki organizacyjnej, w rozumieniu przepisów o ochronie informacji niejawnych, o wyznaczenie administratorów systemu sprawujących nadzór nad realizacją zadań związanych z jego funkcjonowaniem;

2) wyznacza administratora materiałów kryptograficznych, sprawującego nadzór nad warstwą kryptograficzną systemu;

3) sprawuje nadzór nad wykonywaniem obowiązków przez administratorów systemu oraz przez administratora materiałów kryptograficznych;

4) odpowiada za planowanie środków finansowych na funkcjonowanie i rozwój systemu, w szczególności za środki przeznaczone na zakup sprzętu, akcesoriów i licencji oprogramowania;

5) współpracuje z dyrektorem komórki właściwej w sprawach finansowych w celu wykonania zadań określonych w zarządzeniu;

6) odpowiada za prowadzenie ewidencji sprzętu, akcesoriów i licencji oprogramowania niezbędnych do funkcjonowania systemu;

7) odpowiada za prowadzenie spraw formalno-prawnych związanych z wykorzystywaniem urządzeń wchodzących w skład systemu.

2. Pełnomocnik do spraw Ochrony Informacji Niejawnych Ministerstwa Spraw Zagranicznych:

1) wnioskuje do kierownika jednostki organizacyjnej, w rozumieniu przepisów o ochronie informacji niejawnych, o wyznaczenie Inspektora Bezpieczeństwa Teleinformatycznego;

2) sprawuje nadzór nad wykonywaniem obowiązków przez Inspektora Bezpieczeństwa Teleinformatycznego;

3) sprawuje nadzór nad obiegiem informacji w systemie SPIN-P.

3. Dyrektor komórki organizacyjnej właściwej w sprawach zarządzania informacją określa wymagania funkcjonalne związane z mechanizmami udostępniania, gromadzenia, wykorzystania oraz przekazywania informacji w systemie SPIN-P.

Administrator Główny systemu SPIN-P wykonuje obowiązki określone w dokumencie „Procedury Bezpiecznej Eksploatacji systemu SPIN-P", w tym w szczególności:

1) nadzoruje prawidłowe funkcjonowanie wszystkich komponentów systemu, a w przypadku wykrycia nieprawidłowości niezwłocznie przystępuje do działań mających na celu przywrócenie jego poprawnej pracy;

2) zapewnia ciągłość działania systemu;

3) ściśle współpracuje z administratorami pomocniczymi systemu;

4) administruje kontami użytkowników i ich uprawnieniami;

5) odtwarza system i dane przetwarzane w systemie z kopii bezpieczeństwa;

6) opracowuje i aktualizuje dokumentację bezpieczeństwa, techniczną systemu oraz przedkłada ją do zatwierdzenia dyrektorowi komórki organizacyjnej właściwej w sprawach teleinformatyki;

7) powiadamia Inspektora Bezpieczeństwa Teleinformatycznego o incydentach oraz ryzykach naruszenia zasad ochrony informacji przetwarzanych w systemie;

8) wykonuje inne czynności wskazane w dokumentacji bezpieczeństwa systemu.

Administrator materiałów kryptograficznych realizuje zadania określone w dokumencie „Procedury Bezpiecznej Eksploatacji systemu SPIN-P", w tym w szczególności:

1) prowadzi ewidencję i nadzoruje dystrybucję materiałów kryptograficznych przeznaczonych dla stacji roboczych systemu;

2) wskazuje Inspektorowi Bezpieczeństwa Teleinformatycznego ewentualne nieprawidłowości w procesie posługiwania się materiałami kryptograficznymi przez użytkowników systemu;

3) wytwarza materiały kryptograficzne na stacji generacji kluczy SPIN-P, służące identyfikacji użytkownika w systemie.

1. Administratorzy systemów i usług wspierających są zobowiązani:

1) ściśle współpracować z Administratorem Głównym systemu SPIN-P;

2) powiadamiać Administratora Głównego systemu SPIN-P o wystąpieniu zdarzeń zagrażających utracie ciągłości działania lub bezpieczeństwu systemu SPIN-P;

3) we współpracy z Administratorem Głównym systemu SPIN-P podejmować czynności w celu usunięcia awarii.

2. Administratorzy systemów wspierających są zobowiązani do przestrzegania zasad użytkowania systemu określonych w dokumentacji bezpieczeństwa systemu SPIN-P.

1. Użytkownik systemu SPIN-P jest zobowiązany:

1) przestrzegać zasad użytkowania, określonych w instrukcji, o której mowa w § 3 ust. 2, dokumentacji bezpieczeństwa oraz stosować wytyczne i polecenia wydane w tym zakresie przez dyrektora komórki organizacyjnej właściwej w sprawach teleinformatyki oraz działającego z jego upoważnienia Administratora Głównego systemu SPIN-P;

2) zapoznać się z dokumentem „Procedury Bezpiecznej Eksploatacji Systemu SPIN-P", a w szczególności z częścią odpowiadającą zakresowi obowiązków;

3) uczestniczyć w szkoleniach dotyczących zasad działania systemu SPIN-P;

4) korzystać z systemu SPIN-P wyłącznie w celu realizacji zadań służbowych;

5) korzystać z systemu SPIN-P w taki sposób, aby ograniczyć ryzyko nieuprawnionego zapoznania się osób postronnych z informacjami przetwarzanymi za pomocą systemu SPIN-P;

6) chronić dane pozwalające na uwierzytelnienie się pozwalające na dostęp do systemu SPIN-P;

7) nie udostępniać indywidualnego konta użytkownika żadnej innej osobie;

8) wylogować się z systemu SPIN-P za każdym razem, gdy opuszcza stanowisko pracy;

9) nie pozostawiać bez nadzoru, w tym zabezpieczenia technicznego pomieszczenia, w którym zainstalowane jest stanowisko systemu SPIN-P;

10) każdorazowo po zakończeniu pracy na stanowisku sprawdzić stan zabezpieczenia pomieszczenia, w którym zlokalizowane jest stanowisko, w tym w szczególności zamknięcie drzwi i włączenie systemów zabezpieczenia technicznego pomieszczenia;

11) bezzwłocznie powiadomić Administratora Głównego systemu SPIN-P oraz Inspektora Bezpieczeństwa Teleinformatycznego o incydentach oraz przypadkach wystąpienia ryzyka naruszenia zasad ochrony informacji niejawnych przetwarzanych w systemie.

2. Użytkownik powinien przestrzegać następujących ograniczeń:

1) zabronione jest samowolne instalowanie lub usuwanie oprogramowania komputerowego;

2) zabroniona jest samowolna zmiana ustawień i modyfikacji systemu operacyjnego komputera lub parametrów systemu SPIN-P;

3) zabronione jest samowolne przełączanie kabli sieciowych oraz dokonywanie innych modyfikacji konfiguracji sprzętowej stanowiska SPIN-P;

4) zabronione jest dokonywanie prób uzyskania nielegalnego dostępu do plików lub danych uwierzytelniających innych użytkowników.

1. Administratorzy systemu odpowiadają za bezpieczeństwo systemu SPIN-P, w tym proponują reguły bezpieczeństwa i po ich zatwierdzeniu przez Departament Bezpieczeństwa Teleinformatycznego ABW wdrażają je w systemie SPIN-P.

2. Administratorzy systemu uzgadniają reguły, o których mowa w ust. 1, z Inspektorem Bezpieczeństwa Teleinformatycznego.

1. Stanowisko systemu SPIN-P może być zainstalowane w Ministerstwie Spraw Zagranicznych oraz w jednostkach organizacyjnych podległych Ministrowi Spraw Zagranicznych na wniosek skierowany do dyrektora komórki organizacyjnej właściwej w sprawach teleinformatyki. Z wnioskiem takim wystąpić może:

1) kierownik placówki zagranicznej;

2) dyrektor komórki organizacyjnej w Ministerstwie Spraw Zagranicznych;

3) członek Kierownictwa Ministerstwa Spraw Zagranicznych.

2. Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki podejmuje decyzję o zainstalowaniu stanowiska systemu SPIN-P po otrzymaniu od wnioskodawcy następujących dokumentów:

1) wypełnionej ankiety bezpieczeństwa teleinformatycznego stanowiska węzła systemu SPIN-P, której wzór został określony w załączniku do zarządzenia;

2) wniosku o określenie sprzętowej strefy ochrony elektromagnetycznej – WS-01, którego wzór określa Agencja Bezpieczeństwa Wewnętrznego; oraz zatwierdzeniu powyższych dokumentów przez Departament Bezpieczeństwa Teleinformatycznego Agencji Bezpieczeństwa Wewnętrznego.

1. Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki jest zobowiązany do opracowania i wdrożenia w terminie 30 dni od dnia wejścia w życie zarządzenia instrukcji, o której mowa w § 3 ust. 2.

2. Z dniem wejścia zarządzenia w życie wycofuje się z eksploatacji zainstalowany w Ministerstwie Spraw Zagranicznych i placówkach zagranicznych system „SPIN-Z".

3. Od dnia wejścia zarządzenia w życie w placówkach zagranicznych przyłączonych do systemu SPIN-P informacje oznaczone klauzulą poufne należy przesyłać wyłącznie za pośrednictwem tego systemu.

4. Termin wdrożenia i rozpoczęcia użytkowania systemu SPIN-P wyznacza się na 17 października 2011, przy czym placówki zagraniczne, które nie są przyłączone do systemu SPIN-P w dniu wejścia zarządzenia w życie będą przyłączane do tego systemu niezwłocznie po uzyskaniu świadectwa akredytacji bezpieczeństwa systemu teleinformatycznego.

Zarządzenie wchodzi w życie z dniem podpisania.

Załącznik do zarządzenia Nr 22 Dyrektora Generalnego Służby Zagranicznej
z dnia 17 października 2011 r. (poz. 75)

ANKIETA BEZPIECZEŃSTWA TELEINFORMATYCZNEGO WĘZŁA SYSTEMU SPIN-P

Treść załącznika w formie PDF do pobrania tutaj