Upload File

zarządzenie nr r-34-2011 · 2011. 6. 2. · zarządzenie nr r-34/2011 rektora politechniki...

  • Home
  • Documents
  • Zarządzenie Nr R-34-2011 · 2011. 6. 2. · Zarządzenie Nr R-34/2011 Rektora Politechniki Lubelskiej z dnia 1 czerwca 2011 r. w sprawie wprowadzenia Instrukcji dotyczącej sposobu
25
Zarządzenie Nr R-34/2011 Rektora Politechniki Lubelskiej z dnia 1 czerwca 2011 r. w sprawie wprowadzenia Instrukcji dotyczącej sposobu i trybu przetwarzania informacji niejawnych o klauzuli „poufne”, „zastrzeżone” w Politechnice Lubelskiej Na podstawie art. 66 ust. 1 i 2 Ustawy z dnia 27 lipca 2005 r. Prawo o szkolnictwie wyższym (Dz. U. Nr 164, poz. 1365, z późn. zm.), w związku z art. 43 ust. 3 i 5 Ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228) oraz § 32 ust. 1 i 2 Statutu Politechniki Lubelskiej z a r z ą d z a m, co następuje: § 1. Zatwierdzam opracowaną przez Pełnomocnika ds. ochrony informacji niejawnych Instrukcję dotyczącą sposobu i trybu przetwarzania informacji niejawnych o klauzuli „poufne”, „zastrzeżone” w Politechnice Lubelskiej, zwaną dalej Instrukcją, stanowiącą załącznik do niniejszego zarządzenia. § 2. Zobowiązuję wszystkich pracowników Politechniki Lubelskiej do przestrzegania postanowień Instrukcji w zakresie wytwarzania, przetwarzania, gromadzenia, przechowywania, przekazywania oraz udostępniania informacji niejawnych. § 3. Nadzór nad zapewnieniem przestrzegania w Politechnice Lubelskiej przepisów ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228) oraz postanowień Instrukcji powierzam Pełnomocnikowi ds. ochrony informacji niejawnych.

Upload: others

Post on 31-Jan-2021

1 views

Category:

Documents


0 download

Report

TRANSCRIPT

  • Zarządzenie Nr R-34/2011

    Rektora Politechniki Lubelskiej z dnia 1 czerwca 2011 r.

    w sprawie wprowadzenia Instrukcji dotyczącej sposobu i trybu przetwarzania informacji niejawnych

    o klauzuli „poufne”, „zastrzeżone” w Politechnice Lubelskiej

    Na podstawie art. 66 ust. 1 i 2 Ustawy z dnia 27 lipca 2005 r. Prawo o szkolnictwie wyższym (Dz. U. Nr 164, poz. 1365, z późn. zm.), w związku z art. 43 ust. 3 i 5 Ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228) oraz § 32 ust. 1 i 2 Statutu Politechniki Lubelskiej z a r z ą d z a m, co następuje:

    § 1.

    Zatwierdzam opracowaną przez Pełnomocnika ds. ochrony informacji niejawnych Instrukcję dotyczącą sposobu i trybu przetwarzania informacji niejawnych o klauzuli „poufne”, „zastrzeżone” w Politechnice Lubelskiej, zwaną dalej Instrukcją, stanowiącą załącznik do niniejszego zarządzenia.

    § 2.

    Zobowiązuję wszystkich pracowników Politechniki Lubelskiej do przestrzegania postanowień Instrukcji w zakresie wytwarzania, przetwarzania, gromadzenia, przechowywania, przekazywania oraz udostępniania informacji niejawnych.

    § 3.

    Nadzór nad zapewnieniem przestrzegania w Politechnice Lubelskiej przepisów ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228) oraz postanowień Instrukcji powierzam Pełnomocnikowi ds. ochrony informacji niejawnych.

  • 2

    § 4. Zarządzenie wchodzi w życie z dniem podpisania.

    R e k t o r

    Prof. dr hab. inż. Marek Opielak

  • 1

    Załącznik do Zarządzenia Nr R-34/2011

    Rektora Politechniki Lubelskiej z dnia 1 czerwca 2011 r.

    INSTRUKCJA DOTYCZĄCA SPOSOBU I TRYBU PRZETWARZANIA

    INFORMACJI NIEJAWNYCH O KLAUZULI „POUFNE”, „ZASTRZEŻONE” W POLITECHNICE LUBELSKIEJ

    Lublin, 2011 r.

  • 2

    Spis treści: I. WSTĘP ............................................................................................................................. 3

    II. ORGANIZACJA OCHRONY INFORMACJI NIEJAWNYCH W UCZELNI ................................................................................................................... 3

    III. OZNACZANIE I KLASYFIKOWANIE INFORMACJI NIEJAWNYCH ... 6 3.1. Sposoby oznaczenia materiałów zawierających informacje .................. niejawne .......................................................................................................... 7 3.2. Pozostałe informacje umieszczane na materiałach niejawnych ........... 9 3.3. Znoszenie klauzul tajności, przedłużenie/skrócenie okresu ochrony, wykonywanie wyciągów, odpisów ............................................................ 9 IV. KANCELARIA INFORMACJI NIEJAWNAYCH ........................................... 11 4.1. Organizacja i funkcjonowanie kancelarii niejawnej............................ 13 4.2. Zasady postępowania z dokumentami w kancelarii niejawnej ......... 13 4.3. Tryb i sposób nadawania, przyjmowania, przewożenia, wydawania i ochrony materiałów zawierających informacje niejawne ................. 15 V. BEZPIECZEŃSTWO TELEINFORMATYCZNE ............................................. 17 5.1. Podstawowe wymagania bezpieczeństwa teleinformatycznego ....... 19 5.2. Zarządzanie ryzykiem w systemie teleinformatycznym .................... 22 VI. POSTANOWIENIA KOŃCOWE ......................................................................... 23

  • 3

    I. Wstęp Zgodnie z art. 1 ust. 2 pkt 4 ustawy z dnia 5 sierpnia 2010 r. o ochronie

    informacji niejawnych (Dz. U. Nr 182, poz. 1228), zwanej dalej „Ustawą”, przepisy Ustawy znajdują zastosowanie do Politechniki Lubelskiej, jako państwowej osoby prawnej.

    Niniejsza Instrukcja została opracowana na podstawie art. 43 ust. 3 i 5 Ustawy.

    Zgodnie z art. 43 ust. 3 Ustawy Rektor Politechniki Lubelskiej, jako kierownik jednostki organizacyjnej w rozumieniu Ustawy zatwierdza, opracowany przez Pełnomocnika ds. ochrony informacji niejawnych, sposób i tryb przetwarzania informacji niejawnych o klauzuli „poufne” w podległych komórkach organizacyjnych.

    W świetle natomiast art. 43 ust. 5 Ustawy Rektor Politechniki Lubelskiej, jako kierownik jednostki organizacyjnej w rozumieniu Ustawy zatwierdza opracowaną przez Pełnomocnika ds. ochrony informacji niejawnych, Instrukcję dotyczącą sposobu i trybu przetwarzania informacji o klauzuli „zastrzeżone” w podległych komórkach organizacyjnych oraz zakres i warunki stosowania środków bezpieczeństwa fizycznego w celu ich ochrony. Ilekroć w Instrukcji jest mowa o informacjach niejawnych rozumie się przez to informacje, których nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody dla Rzeczypospolitej Polskiej albo byłoby z punktu widzenia interesów niekorzystne, także w trakcie ich opracowywania oraz niezależnie od formy i sposobu ich wyrażania.

    Ochrona tak rozumianych informacji niejawnych realizowana jest w Politechnice Lubelskiej poprzez stosowanie zasad:

    1) klasyfikowania informacji niejawnych; 2) organizowania ochrony informacji niejawnych; 3) przetwarzania informacji niejawnych; 4) postępowania sprawdzającego prowadzonego w celu ustalenia,

    czy osoba nim objęta daje rękojmię zachowania tajemnicy, zwanego dalej „postępowaniem sprawdzającym”;

    5) organizacji kontroli stanu zabezpieczenia informacji niejawnych; 6) ochrony informacji niejawnych w systemach teleinformatycznych; 7) stosowania środków bezpieczeństwa fizycznego w odniesieniu

    do informacji niejawnych. II. Organizacja ochrony informacji niejawnych w Uczelni Rektor Politechniki Lubelskiej, jako kierownik jednostki organizacyjnej, w której są przetwarzane informacje niejawne, odpowiada za ich ochronę, w szczególności za zorganizowanie i zapewnienie funkcjonowania tej ochrony.

  • 4

    Rektorowi Politechniki Lubelskiej bezpośrednio podlega zatrudniony przez niego Pełnomocnik ds. ochrony informacji niejawnych, zwany „pełnomocnikiem ochrony”, który odpowiada za zapewnienie przestrzegania przepisów o ochronie informacji niejawnych.

    Pełnomocnikiem ochrony może zostać osoba, która posiada: 1) obywatelstwo polskie; 2) wykształcenie wyższe; 3) odpowiednie poświadczenie bezpieczeństwa wydane przez ABW albo

    SKW, a także przez były Urząd Ochrony Państwa lub byłe Wojskowe Służby Informacyjne;

    4) zaświadczenie o przeszkoleniu w zakresie ochrony informacji niejawnych przeprowadzonym przez ABW albo SKW.

    Do zadań pełnomocnika ochrony należy: 1) zapewnienie ochrony informacji niejawnych, w tym stosowanie

    środków bezpieczeństwa fizycznego; 2) zapewnienie ochrony systemów teleinformatycznych, w których są

    przetwarzane informacje niejawne; 3) zarządzanie ryzykiem bezpieczeństwa informacji niejawnych,

    w szczególności szacowanie ryzyka; 4) kontrola ochrony informacji niejawnych oraz przestrzeganie przepisów

    o ochronie tych informacji, w szczególności okresowa kontrola ewidencji materiałów i obiegu dokumentów (co najmniej raz na trzy lata);

    5) opracowanie i aktualizowanie, wymagającego akceptacji kierownika jednostki organizacyjnej, planu ochrony informacji niejawnych Politechniki Lubelskiej i nadzorowanie jego realizacji w razie wprowadzenia stanu nadzwyczajnego;

    6) prowadzenie szkoleń w zakresie ochrony informacji niejawnych; 7) prowadzenie zwykłych postępowań sprawdzających oraz kontrolnych

    postępowań sprawdzających; 8) prowadzenie aktualnego wykazu osób zatrudnionych w Uczelni albo

    wykonujących czynności zlecone, które posiadają uprawnienia do dostępu do informacji niejawnych oraz osób, którym odmówiono wydania poświadczenia bezpieczeństwa lub je cofnięto, obejmującego wyłącznie: a) imię i nazwisko, b) numer PESEL, c) imię ojca, d) datę i miejsce urodzenia, e) adres miejsca zamieszkania lub pobytu, f) określenie dokumentu kończącego procedurę, datę jego wydania

    oraz numer;

  • 5

    9) przekazywanie ABW do ewidencji danych o osobach uprawnionych do dostępu do informacji niejawnych o klauzuli „poufne” oraz ewidencję osób, którym odmówiono wydania poświadczenia bezpieczeństwa lub podjęto decyzję o cofnięciu poświadczenia bezpieczeństwa.

    W przypadku stwierdzenia naruszenia w Politechnice Lubelskiej

    przepisów o ochronie informacji niejawnych pełnomocnik ochrony zawiadamia o tym Rektora Politechniki Lubelskiej i podejmuje niezwłocznie działania zmierzające do wyjaśnienia okoliczności tego naruszenia oraz ograniczenia jego negatywnych skutków.

    W przypadku stwierdzenia naruszenia przepisów o ochronie informacji niejawnych o klauzuli „poufne” pełnomocnik ochrony zawiadamia również niezwłocznie ABW.

    Informacjom niejawnym nadaje się klauzulę „poufne”, jeżeli ich nieuprawnione ujawnienie spowoduje szkodę dla Rzeczypospolitej Polskiej przez to, że:

    1) utrudni prowadzenie bieżącej polityki zagranicznej Rzeczypospolitej Polskiej;

    2) utrudni realizację przedsięwzięć obronnych; 3) zakłóci porządek publiczny lub zagrozi bezpieczeństwu obywateli; 4) utrudni wykonywanie zadań służbom lub instytucjom

    odpowiedzialnym za ochronę bezpieczeństwa lub podstawowych interesów Rzeczypospolitej Polskiej;

    5) utrudni wykonywanie zadań służbom lub instytucjom odpowiedzialnym za ochronę porządku publicznego, bezpieczeństwa obywateli lub ściganie sprawców przestępstw i przestępstw skarbowych oraz organom sprawiedliwości;

    6) zagrozi stabilności systemu finansowemu Rzeczypospolitej Polskiej; 7) wpłynie niekorzystnie na funkcjonowanie gospodarki narodowej.

    Dopuszczenie do pracy lub zlecanie prac związanych z dostępem do informacji niejawnych o klauzuli „poufne” może nastąpić po:

    1) uzyskaniu poświadczenia bezpieczeństwa oraz 2) odbyciu szkolenia w zakresie ochrony informacji niejawnych. Poświadczenie bezpieczeństwa umożliwiające dostęp do wiadomości

    niejawnych o klauzuli „poufne” uzyskuje osoba, wobec której przeprowadzone zostało zwykłe postępowanie sprawdzające zakończone wynikiem pozytywnym.

    Postępowanie to przeprowadza pełnomocnik ochrony na pisemne polecenie Rektora Politechniki Lubelskiej. Szczegółowe zasady oraz tryb przeprowadzania postępowania sprawdzającego określa Ustawa.

  • 6

    Akta zakończonych zwykłych postępowań sprawdzających mogą być udostępnione do wglądu osobie sprawdzanej, z wyłączeniem danych dotyczących osób trzecich.

    Akta te przechowywane są przez pełnomocnika ochrony przez co najmniej 20 lat, z uwzględnieniem przepisów ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2006 r. Nr 97, poz. 673, z późn. zm.) oraz aktów wykonawczych wydanych na jej podstawie.

    Informacjom niejawnym nadaje się klauzulę „zastrzeżone”, jeżeli nie nadano im wyższej klauzuli tajności, a ich nieuprawnione ujawnienie może mieć szkodliwy wpływ na wykonywanie przez organy władzy publicznej lub inne jednostki organizacyjne zadań w zakresie:

    1) obrony narodowej; 2) polityki zagranicznej; 3) bezpieczeństwa publicznego; 4) przestrzegania praw i wolności obywateli; 5) wymiaru sprawiedliwości; 6) interesów ekonomicznych Rzeczypospolitej Polskiej. Dopuszczenie do pracy lub zlecanie prac związanych z dostępem

    do informacji niejawnych o klauzuli „zastrzeżone” może nastąpić po: 1) pisemnym upoważnieniu przez Rektora Politechniki Lubelskiej, jeżeli

    osoba nie posiada poświadczenia bezpieczeństwa oraz 2) odbyciu szkolenia w zakresie ochrony informacji niejawnych. Wzór pisemnego upoważnienia oraz zasady i tryb przeprowadzania

    postępowania sprawdzającego mającego na celu ustalenie, czy osoba, która ma zostać dopuszczona do prac związanych z dostępem do informacji niejawnych o klauzuli „zastrzeżone” daje rękojmię zachowania tajemnicy określi pełnomocnik ochrony.

    W zakresie wydawania pisemnego upoważnienia oraz sprawdzania osoby, która dopuszczona zostanie do informacji niejawnych mają zastosowanie przepisy kodeksu postępowania administracyjnego. III. Oznaczanie i klasyfikowanie informacji niejawnych W Politechnice Lubelskiej są wytwarzane, przetwarzane, przechowywane i przyjmowane oraz wysyłane wiadomości niejawne o klauzuli „poufne” i „zastrzeżone”.

    Klauzulę tajności nadaje osoba, która jest uprawniona do podpisania dokumentu. Informacje niejawne podlegają ochronie do czasu zniesienia lub zmiany klauzuli tajności. Zniesienie lub zmiana klauzuli tajności są możliwe w przypadku ustania lub zmiany ustawowych przesłanek ochrony wyłącznie po wyrażeniu pisemnej zgody przez osobę, która nadała klauzulę tajności albo jej przełożonego. Osoba nadająca klauzulę tajności może określić datę lub wydarzenie, po których nastąpi zniesienie lub zmiana klauzuli tajności.

  • 7

    Rektor Politechniki Lubelskiej w ciągu 36 miesięcy od wejścia w życie Ustawy przeprowadzi przegląd wytworzonych w Politechnice Lubelskiej materiałów zawierających informacje niejawne pod kątem ustalenia czy spełniają ustawowe przesłanki ochrony na podstawie Ustawy i w razie potrzeby dokona zmiany lub zniesienia klauzuli tajności.

    Nie rzadziej niż raz na 5 lat przeprowadzany jest przegląd materiałów pod kątem ustalenia, czy spełniają one ustawowe przesłanki ochrony.

    Informacje niejawne mogą być udostępnione wyłącznie osobie uprawnionej, zgodnie z przepisami Ustawy oraz postanowieniami niniejszej Instrukcji dotyczącymi dostępu do materiałów oznaczonych określoną klauzulą tajności.

    Informacje te muszą być przetwarzane w warunkach uniemożliwiających ich nieuprawnione ujawnienie, zgodnie z przepisami Ustawy oraz postanowieniami niniejszej Instrukcji dotyczącymi zasad przechowywania dokumentów w kancelarii niejawnej, bezpieczeństwa systemu teleinformatycznego, obiegu materiałów i środków bezpieczeństwa fizycznego, a także muszą być chronione stosownie do nadanej klauzuli tajności.

    3.1. Sposoby oznaczenia materiałów zawierających informacje niejawne Na każdej stronie materiałów zawierających informacje niejawne,

    utrwalone za pomocą pisma, zwanych dalej „pismem”, umieszcza się: 1) w lewym górnym rogu sygnaturę literowo-cyfrową, na którą składają

    się oddzielone myślnikiem: a) literowe oznaczenie jednostki (komórki organizacyjnej), np. „RI”, b) oznaczenie klauzuli tajności, („Pf”- dla klauzuli poufne lub „Z”- dla

    klauzuli zastrzeżone), c) numer, pod którym pismo zostało zarejestrowane w ewidencji

    łamany przez rok lub dwie ostatnie cyfry roku, np. „9/11”; 2) w prawym górnym rogu w kolejności pionowej:

    a) klauzulę tajności, b) numer egzemplarza pisma („Egz. Nr …”; „Egz. pojedynczy”);

    3) w prawym dolnym rogu klauzulę tajności oraz numer strony łamany przez liczbę stron całego pisma, np. „Zastrzeżone str. 1/8”.

    Na pierwszej stronie pisma umieszcza się również: 1) w lewym górnym rogu nazwę jednostki lub komórki organizacyjnej; 2) w prawym górnym rogu, w kolejności pionowej:

    a) nazwę miejscowości i datę podpisania pisma, np. „Lublin, ..... stycznia 2011 r.”,

    b) napis „podlega ochronie do ...”, c) w przypadku pisma, któremu nadano bieg korespondencyjny pod

    numerem egzemplarza w kolejności pionowej:

  • 8

    − nazwę stanowiska adresata, − imię i nazwisko lub w przypadku wielu adresatów adnotacji

    „adresaci według rozdzielnika”.

    Na ostatniej stronie pisma umieszcza się również: 1) z lewej strony pod treścią:

    a) liczbę załączników oraz liczbę stron, jeżeli są dołączone do pisma, np. „Zał. 3: 2 na 12 str. oraz płyta CD-R – 1 szt.”,

    b) klauzulę tajności załączników wraz z numerami, pod jakimi zostały zaewidencjonowane, np. „Zał. Nr 1 - ZASTRZEŻONE – DEWD Pf-9/11”,

    c) liczbę stron każdego załącznika lub informację oznaczającą rodzaj załączonego materiału i jednostkę miary, np. „na 5 str.”, „płyta CD-R – 1 szt.”,

    d) w przypadku, gdy adresatowi wysyła się inną liczbę załączników niż pozostawia w aktach, napis „tylko adresat” – jeżeli przekazuje się załączniki adresatowi bez pozostawiania w aktach; napis „do zwrotu” – jeżeli załączniki mają być zwrócone;

    2) z prawej strony pod treścią i adnotacją o załącznikach w kolejności pionowej: a) nazwa stanowiska, b) imię i nazwisko osoby uprawnionej do jego podpisania;

    4) w lewym dolnym rogu w kolejności pionowej: a) liczbę wykonanych egzemplarzy, np. „Wykonano w 2 egz.”, b) liczbę adresatów poszczególnych egzemplarzy lub adnotację

    „adresaci według rozdzielnika”, c) imię i nazwisko lub inne dane identyfikującego sporządzającego

    i wykonawcę, np. „Wykonał: Krzysztof Jarecki (tel. 81 5366679) Sporządził: Jerzy Kowalczyk (tel. 81 5366618)”.

    Na pismach stanowiących załączniki, na pierwszej stronie w prawym górnym rogu umieszcza się dodatkowo napis: ”Załącznik nr ... do pisma nr ... z dnia ....”.

    Jeżeli klauzula pisma przewodniego jest inna po odłączeniu załączników, zamieszcza się na piśmie przewodnim dyspozycję co do tajności pisma po trwałym odłączeniu załączników.

    Na każdej stronie pod numerem egzemplarza umieszcza się napis: − „Zastrzeżone/poufne po odłączeniu załączników”, lub − „Jawne po odłączeniu załączników”. Przy rejestracji pisma przewodniego w ewidencji, w rubryce „Informacje

    uzupełniające/Uwagi” wpisuje się adnotację o klauzuli tajności pisma po odłączeniu załączników.

  • 9

    Na trwale oprawionych dokumentach klauzulę tajności umieszcza się po prawej stronie na górze i na dole zewnętrznych ścianek okładki oraz, jeżeli jest, na stronie tytułowej.

    3.2. Pozostałe informacje umieszczane na materiałach niejawnych

    W przypadku pism, którym nadano bieg korespondencyjny, na pierwszej stronie w prawym górnym rogu pod numerem egzemplarza można umieścić dyspozycje dla adresata o treści:

    1) „udzielanie informacji tylko za pisemną zgodą nadawcy”, 2) „kopiowanie tylko za pisemną zgodą nadawcy”, 3) „odpis tylko za pisemną zgodą nadawcy”, 4) „wypis (wyciąg) od … do … tylko za pisemną zgodą nadawcy”. Dokumenty elektroniczne przetwarzane wyłącznie w systemie

    teleinformatycznym, podlegające ewidencji w elektronicznym rejestrze dokumentów, oznacza się jak w punkcie 3.1 niniejszej Instrukcji, za wyjątkiem sposobu oznaczania numeru egzemplarza.

    Zamiast „Egz. Nr ...”, „Egz. pojedynczy” umieszcza się napis „Egz. elektroniczny”.

    Materiały w postaci prezentacji multimedialnej oznacza się w następujący sposób:

    1) na każdym slajdzie umieszcza się: a) w prawym górnym rogu klauzulę tajności, b) w prawym dolnym rogu klauzulę tajności, numer slajdu łamany

    przez liczbę slajdów; 2) na pierwszym slajdzie umieszcza się dodatkowo:

    a) w lewym górnym rogu nazwę jednostki (komórki organizacyjnej), oraz sygnaturę literowo-cyfrową, na które składają się oddzielone myślnikiem: − literowe oznaczenie jednostki (komórki organizacyjnej),

    np. „RI”, − oznaczenie klauzuli tajności, np. „Pf”, „Z”, − numer, pod którym zostało zarejestrowane w ewidencji, łamany

    przez rok lub dwie ostatnie cyfry roku, np. „9/11”, b) napis „podlega ochronie do ...”.

    3.3. Znoszenie klauzul tajności, przedłużenie/skrócenie okresu ochrony, wykonywanie wyciągów, odpisów

    Na pismach zawierających informacje niejawne, wobec których minął

    ustawowy okres ochrony lub okres ochrony ustanowiony przez upoważnione

  • 10

    osoby skreśla się klauzulę tajności na każdej stronie w prawym górnym i dolnym rogu. Na pierwszej stronie nad skreśloną klauzulą tajności w prawym górnym rogu umieszcza się dodatkowo napis „Jawne” oraz datę, imię, nazwisko i podpis osoby dokonującej adnotacji.

    Na pismach zawierających informacje niejawne, wobec których zniesiono lub zmieniono przyznaną klauzulę tajności:

    1) na każdej stronie w prawym górnym i dolnym rogu skreśla się dotychczasowe klauzule tajności;

    2) nad skreślonymi klauzulami tajności umieszcza się nowe klauzule tajności;

    3) na pierwszej stronie nad skreśloną klauzulą tajności w prawym górnym rogu umieszcza się datę, imię, nazwisko i podpis osoby dokonującej tych adnotacji oraz wskazuje się podstawy dokonanej zmiany.

    Przedłużenie lub skrócenie okresu ochronnego na pismach zawierających informację niejawną odnotowuje się przez umieszczenie na pierwszej stronie dokumentu w prawym górnym rogu nad klauzulą tajności napisu: „Skrócono okres ochrony do dnia ….” albo „Przedłużono okres ochrony do dnia ….”, a także daty, imienia, nazwiska i podpisu osoby dokonującej adnotacji oraz podstawy dokonania tej zmiany.

    Czynności znoszenia klauzuli tajności, przedłużenia lub skrócenia okresu ochronnego dokonuje Kierownik Kancelarii niejawnej. Skreśleń i adnotacji dokonuje się kolorem czerwonym, w sposób czytelny. Wycieranie, wywabianie lub zamazywanie klauzuli tajności i dokonanych zmian jest niedozwolone.

    Na zawierających informacje niejawne kopiach, odpisach, wyciągach, tłumaczeniach pism, wypisach z nich i wydrukach dokumentów elektronicznych przetwarzanych wyłącznie w systemie teleinformatycznym oraz wydrukach z informatycznych nośników danych przesyłanych jako załączniki do pism umieszcza się:

    1) na wszystkich stronach w prawym górnym rogu napis: „Kopia”, „Odpis”, „Wyciąg”, „Tłumaczenie z języka” (nazwa języka – imię i nazwisko tłumacza, „Wypis” lub „Wydruk”;

    2) na pierwszej stronie dodatkowo numer, pod jakim zostały zarejestrowane w ewidencji, numer wykonanego egzemplarza kopii, odpisu, wyciągu, tłumaczenia, wypisu lub wydruku;

    3) na ostatniej stronie dodatkowo napis „Za zgodność” i odcisk pieczęci z nazwą jednostki lub komórki organizacyjnej.

    Za zgodność z oryginałem kopii, odpisu, wyciągu, wypisu lub wydruku potwierdza podpisem kierownik jednostki lub komórki organizacyjnej lub inne osoby przez nich upoważnione, a tłumaczenia - osoba dokonująca tłumaczenia.

    Podpisy wykonuje się czytelnie imieniem i nazwiskiem.

  • 11

    Fakt sporządzenia kopii, odpisu, wyciągu, tłumaczenia lub wypisu odnotowuje się na ostatniej stronie dokumentu, z którego sporządzono kopię, odpis, wyciąg, tłumaczenie lub wypis przez odcisk pieczęci lub o:

    1) nazwie jednostki lub komórki organizacyjnej, w której sporządzono kopię, odpis, wyciąg, tłumaczenie lub wypis;

    2) liczbie egzemplarzy sporządzonych kopii, odpisu, wyciągu, tłumaczenia lub wypisu;

    3) dacie sporządzenia kopii, odpisu, wyciągu, tłumaczenia lub wypisu; 4) numerze, pod jakim kopię, odpis, wyciąg, tłumaczenie lub wypis

    zostały zarejestrowane w ewidencji. IV. Kancelaria informacji niejawnych

    Rektor Politechniki Lubelskiej, jako kierownik jednostki organizacyjnej, w której przetwarzane są informacje niejawne o klauzuli „poufne”, „zastrzeżone”, tworzy Kancelarię informacji niejawnych, zwaną dalej „Kancelarią niejawną” i na wniosek Pełnomocnika ochrony zatrudnia Kierownika Kancelarii Niejawnej, zwanego dalej „Kierownikiem Kancelarii”. Kierownik Kancelarii jest pracownikiem pionu ochrony.

    Zgodnie z Ustawą pracownikiem pionu ochrony może zostać osoba, która posiada:

    1) obywatelstwo polskie; 2) odpowiednie poświadczenie bezpieczeństwa dopuszczające do

    dostępu do wiadomości niejawnych o klauzuli nie mniej jak „poufne”; 3) zaświadczenie o odbytym przeszkoleniu w zakresie ochrony informacji

    niejawnych. Do podstawowych zadań Kierownika Kancelarii należy: 1) bezpośredni nadzór nad obiegiem dokumentów; 2) udostępnianie lub wydawanie dokumentów osobom do tego

    uprawnionym; 3) egzekwowanie zwrotu dokumentów; 4) kontrola przestrzegania właściwego oznaczania i rejestrowania

    dokumentów w kancelarii oraz jednostce organizacyjnej; 5) prowadzenie bieżącej kontroli postępowania z dokumentami; 6) wykonywanie poleceń pełnomocnika ochrony. Kancelaria niejawna stanowi wyodrębnioną komórkę organizacyjną,

    w zakresie ochrony informacji niejawnych podległą Pełnomocnikowi ochrony. Przy organizacji Kancelarii niejawnej oraz zabezpieczeniu pomieszczeń,

    w których przetwarzane są lub będą informacje niejawne oznaczone klauzulą „poufne” należy określić poziom zagrożenia nieuprawnionego ujawnienia informacji niejawnych lub ich utraty uwzględniający:

    1) zagrożenia związane z zasobami ludzkimi; 2) zagrożenia związane z lokalizacją;

  • 12

    3) zagrożenia związane z organizacją i środkami ochrony fizycznej; 4) zagrożenia związane z działaniem sił natury.

    W zależności od poziomu zagrożeń przyjęte zostaną środki bezpieczeństwa fizycznego uniemożliwiające osobom nieuprawnionym dostęp do takich informacji, w szczególności chroniące przed:

    1) działaniem obcych służb specjalnych; 2) zamachem terrorystycznym lub sabotażem; 3) kradzieżą lub zniszczeniem materiału; 4) próbą wejścia do pomieszczeń, w których przetwarzane są informacje

    niejawne; 5) nieuprawnionym dostępem do informacji o wyższej klauzuli tajności

    niewynikającym z posiadanych uprawnień. W celu uniemożliwienia osobom nieuprawnionym dostępu do informacji

    niejawnych o klauzuli „poufne” należy w szczególności zorganizować strefę ochronną, wprowadzić system kontroli wejść i wyjść ze strefy, określić uprawnienia do przebywania w strefie oraz stosować wyposażenie i urządzenia służące ochronie informacji niejawnych, którym przyznano certyfikaty adekwatne do przechowywanej informacji niejawnej.

    Za zgodą Rektora Politechniki Lubelskiej, po uzgodnieniu z Pełnomocnikiem ochrony, w Kancelarii niejawnej mogą być przyjmowane, rejestrowane, przechowywane i wysyłane dokumenty i materiały oznaczone klauzulą „zastrzeżone”.

    Informacje te przetwarzane są w strefie chronionej odpowiednio: 1) przy wysokim poziomie zagrożenia – w szafie stalowej,

    w pomieszczeniu zabezpieczonym w drzwi o zwiększonej odporności na włamanie z zamkiem wielopunktowym i blokadami przeciwwyważeniowymi, z oknami zabezpieczonymi przed podglądem i włamaniem;

    2) przy średnim poziomie zagrożenia – w szafie stalowej, w pomieszczeniu zabezpieczonym w drzwi z zamkiem wielopunktowym;

    3) przy niskim poziomie zagrożenia – w odpowiedniej szafie stalowej.

    Dokumenty o klauzuli „poufne”, „zastrzeżone” przechowywane są w szafach stalowych klasy A.

    Dokumenty i materiały oznaczone różnymi klauzulami tajności są przechowywane w odrębnych szafach, chyba że wchodzą w skład zbioru dokumentów.

    Szczegółowe wymagania techniczne urządzeń do przechowywania dokumentów i materiałów niejawnych określa Załącznik nr 1 do rozporządzenia Rady Ministrów z dnia 1 czerwca 2010 r. w sprawie organizacji i funkcjonowania kancelarii tajnych (Dz. U. z 2010, Nr 114, poz. 765).

  • 13

    4.1. Organizacja i funkcjonowanie kancelarii niejawnej

    W przypadku zmiany na stanowisku Kierownika Kancelarii sporządza się w dwóch egzemplarzach protokół zdawczo-odbiorczy.

    Pierwszy egzemplarz protokołu przechowywany jest w Kancelarii, natomiast drugi egzemplarz – u Pełnomocnika ochrony.

    Protokół sporządza się w obecności osoby zdającej obowiązki i osoby przyjmującej obowiązki oraz Pełnomocnika ochrony. Protokół podpisują zdający i przyjmujący obowiązki i zatwierdza go Pełnomocnik ochrony.

    W pomieszczeniach kancelarii niejawnej można wydzielić miejsce, w którym osoby upoważnione mogą zapoznawać się z dokumentami – czytelnię. Czytelnia powinna być zorganizowana w sposób umożliwiający stały nadzór nad dokumentami ze strony Kierownika Kancelarii.

    Rektor Politechniki Lubelskiej zatwierdza plan ochrony informacji niejawnych opracowany przez Pełnomocnika ochrony, który powinien zawierać w szczególności:

    1) opis granicy strefy ochronnej; 2) zastosowane środki ochrony fizycznej; 3) zasady i sposób zdawania, przechowywania i wydawania kluczy oraz

    ich duplikatów do pomieszczeń oraz szaf, w których przechowywane są informacje niejawne;

    4) procedurę przyznawania uprawnień do wejścia, wyjścia i przebywania w strefie ochronnej, w tym dla pracowników obsługi technicznej, personelu sprzątającego, oraz interesantów;

    5) sposobu interwencji osób odpowiedzialnych za ochronę fizyczną – portierów, w przypadku wywołania alarmu;

    6) procedury ewakuacji i niszczenia informacji niejawnych w tym w razie wprowadzenia stanów nadzwyczajnych.

    W Kancelarii przyjmuje się, rejestruje, przechowuje, przekazuje i wysyła dokumenty i materiały oraz prowadzi następujące dokumenty:

    1) rejestr dzienników, książek ewidencyjnych i teczek; 2) dziennik ewidencji; 3) książkę doręczeń przesyłek miejscowych; 4) wykaz przesyłek nadanych; 5) rejestr wydanych przedmiotów - do ewidencjonowania wydanych

    nośników do zapisów w postaci cyfrowej, dysków cyfrowych i taśm elektromagnetycznych.

    4.2. Zasady postępowania z dokumentami w kancelarii niejawnej

    Kierownik Kancelarii lub biura podawczego przyjmuje przesyłki lub

    dokumenty za pokwitowaniem i odciska na nich pieczęć i datę wpływu do jednostki organizacyjnej.

  • 14

    W trakcie przyjmowania przesyłki sprawdza się: 1) prawidłowość adresu; 2) całość pieczęci i opakowania; 3) zgodność odcisku pieczęci na opakowaniu z nazwą jednostki

    organizacyjnej nadawcy; 4) zgodność numeru na przesyłce z numerem tej przesyłki w wykazie lub

    w książce doręczeń. W przypadku stwierdzenia uszkodzenia przesyłki lub śladów jej

    otwierania osoba kwitująca odbiór sporządza, wraz z doręczającym, protokół uszkodzenia. Jeden egzemplarz protokołu przekazuje się nadawcy, drugi pełnomocnikowi ochrony odbiorcy.

    Przesyłki lub dokumenty przyjęte przez biuro podawcze niezwłocznie przekazuje się Kancelarii.

    Po otwarciu przesyłki Kierownik Kancelarii sprawdza, czy zawartość przesyłki odpowiada wyszczególnionym numerom ewidencyjnym, następnie ustala, czy liczba załączników i stron jest zgodna z liczbą oznaczoną na poszczególnych dokumentach.

    W przypadku stwierdzenia nieprawidłowości co do zawartości przesyłki Kierownik Kancelarii sporządza, w dwóch egzemplarzach, protokół z otwarcia przesyłki zawierający opis nieprawidłowości. Jeden egzemplarz przekazuje się do kancelarii nadawcy. Fakt sporządzenia protokołu uszkodzenia przesyłki bądź protokołu niezgodności w zawartości przesyłki odnotowuje się w odpowiednim rejestrze w rubryce „Informacje uzupełniające/Uwagi”.

    Kierownik kancelarii rejestruje przyjęte dokumenty w odpowiednim dzienniku lub rejestrze.

    Zarejestrowane dokumenty Kierownik Kancelarii przekazuje albo udostępnia adresatowi lub upoważnionej osobie za pokwitowaniem.

    W Kancelarii nie otwiera się przesyłek oznaczonych „do rąk własnych”. W dzienniku lub rejestrze wpisuje się nadawcę, numer i datę wpływu dokumentu, a w rubryce „Informacje uzupełniające/Uwagi” odnotowuje się, że przesyłka oznaczona była „do rąk własnych”.

    W przypadku zwrotu przesyłki oznaczonej „do rąk własnych” do Kancelarii, Kierownik Kancelarii uzupełnia dane dotyczące przesyłki w dzienniku lub rejestrze. Jeżeli adresat takiej przesyłki podjął decyzję o przechowywaniu przesyłki w Kancelarii w stanie zamkniętym, Kierownik Kancelarii dokonuje aktualizacji danych w dzienniku lub rejestrze przy udziale adresata. Przesyłka przechowywana jest w stanie zamkniętym.

    Przesyłki pilne doręcza się niezwłocznie adresatom za pokwitowaniem. Przy kwitowaniu odbioru przesyłek adresat potwierdza w ewidencji odbiór przesyłki czytelnie imieniem i nazwiskiem oraz odnotowuje godzinę doręczenia.

    Otrzymaną i wysyłaną przesyłkę, dokument lub inny materiał rejestruje się we właściwej ewidencji w kolejności wytworzenia lub otrzymania.

  • 15

    Rejestracji we właściwych ewidencjach dokonuje się atramentem lub tuszem. Zmian we właściwych ewidencjach dokonuje się kolorem czerwonym, umieszczając datę i czytelny podpis osoby dokonującej zmiany.

    W przypadku anulowania pozycji w ewidencji należy podać powód anulowania, umieszczając datę i czytelny podpis osoby dokonującej anulowania. Anulowania pozycji w ewidencji dokonuje się kolorem czerwonym.

    Zabrania się wycierania i zamazywania rejestracji we właściwych ewidencjach.

    Dokumenty, materiały oraz zbiory dokumentów dotyczące spraw ostatecznie zakończonych przechowuje się w kancelarii nie dłużej niż 2 lata. Po upływie tego okresu przekazuje się je do archiwum zakładowego lub składnicy akt, spełniających wymogi bezpieczeństwa odpowiednie do klauzuli tajności.

    4.3. Tryb i sposób nadawania, przyjmowania, przewożenia, wydawania i ochrony materiałów zawierających informacje niejawne

    Politechnika Lubelska powierza przyjmowanie, przewożenie, wydawanie i ochronę materiałów zawierających informacje niejawne w celu ich zabezpieczenia przed nieuprawnionym ujawnieniem, utratą, uszkodzeniem lub zniszczeniem przewoźnikom spełniającym warunki określone w rozporządzeniu Prezesa Rady Ministrów z dnia 29 września 2005 r. w sprawie trybu i sposobu przyjmowania, przewożenia, wydawania i ochrony materiałów zawierających informacje niejawne (Dz. U. z 2005, Nr 200, poz. 1650, z późn. zm.).

    Politechnika Lubelska, jako jednostka organizacyjna, na rzecz której przewożone są materiały niejawne zwana jest dalej „nadawcą”.

    Nadawca przekazuje przewoźnikom materiały zawierające informacje niejawne w postaci przesyłek listowych lub paczek, zaadresowanych, opakowanych i oznaczonych zgodnie z niżej przyjętymi wymogami.

    Materiały stanowiące informacje niejawne, nadawane za pośrednictwem przewoźników jako przesyłki listowe powinny być opakowane w dwie nieprzezroczyste i mocne koperty, przy czym na kopertach muszą być umieszczone:

    1) na wewnętrznej: a) klauzula tajności i ewentualne dodatkowe oznaczenie, b) imienne określenie adresata, c) imię i nazwisko osoby pakującej, d) numer, pod którym dokument został zarejestrowany

    w odpowiedniej ewidencji; 2) na zewnętrznej:

    a) nazwa jednostki organizacyjnej adresata, b) adres siedziby adresata,

  • 16

    c) numer wykazu i pozycji w wykazie przesyłek nadanych, d) nazwa jednostki organizacyjnej nadawcy.

    Przesyłki listowe nie powinny przekraczać wymiarów od 10 cm x 15 cm do 25 cm x 35 cm i masy do 0,5 kg.

    Miejsca sklejenia każdej koperty zabezpiecza się przez odciśnięcie pieczęci „do pakietów” i za pomocą przezroczystej taśmy samoprzylepnej, przy czym na kopercie zewnętrznej, zamiast tej taśmy, może być stosowana pieczęć odciśnięta w substancji zapewniającej jej trwały odcisk.

    Przesyłki nadawane u przewoźnika prowadzącego działalność w zakresie usług pocztowych są nadawane jako przesyłki polecone lub przesyłki z zadeklarowaną wartością.

    Materiały stanowiące informacje niejawne, nadawane za pośrednictwem przewoźników, jako paczki, powinny być opakowane w dwie nieprzezroczyste warstwy mocnego papieru i zabezpieczone w sposób przyjęty dla przesyłek listowych.

    Paczki nie powinny przekraczać wymiarów od 5 cm x 10 cm x 15 cm do 35 cm x 35 cm x 35 cm i masy do 5 kg.

    Przewoźnicy przyjmują przesyłki na podstawie wykazu przesyłek nadanych, wykonanego przez nadawcę lub na podstawie dokumentów stosowanych przez operatora pocztowego.

    Przesyłki zawierające informacje niejawne oznaczone klauzulą „poufne” przewozi i ochrania co najmniej jeden konwojent posiadający stosowne dopuszczenie do informacji niejawnych.

    Przesyłki przewożone są w zamkniętych oraz zaplombowanych paczkach, workach, zwanych dalej „pojemnikami”. Na każdym pojemniku umieszcza się informację zawierającą nazwę i adres nadawcy i odbiorcy oraz pouczenie o postępowaniu ze znalezionym pojemnikiem o treści: „Znalazca niniejszego pojemnika proszony jest o niezwłoczne przekazanie go do najbliższej jednostki Policji. Pojemnika nie rozplombowywać i nie otwierać”.

    W przypadku uszkodzenia przesyłki przewoźnik winien zabezpieczyć ją w celu niedopuszczenia do dalszych uszkodzeń i ujawnienia jej zawartości oraz wykonać protokół w trzech egzemplarzach, z których pierwszy winien wydać adresatowi, drugi wysyłać nadawcy, a trzeci pozostawić u siebie. Uszkodzoną przesyłkę, wraz z protokołem dotyczącym uszkodzenia przekazuje się adresatowi.

    Przewoźnik powinien wydać przesyłki upoważnionemu przedstawicielowi adresata na podstawie wykazu przesyłek wydanych, wykonanego przez przewoźnika. Przedstawiciel adresata, przed odebraniem przesyłki, obowiązany jest przedstawić upoważnienie do jej odbioru.

    W przypadku nieotrzymania przez adresata od przewoźnika przesyłki ujętej w wykazie przesyłek nadanych i zawiadomienia o tym fakcie nadawcy - nadawca występuje do przewoźnika z żądaniem podjęcia czynności wyjaśniających, których celem jest ustalenie osób odpowiedzialnych za utratę

  • 17

    przesyłki, oraz okoliczności, w jakich to nastąpiło, informując o tym jednocześnie – w przypadku utraty materiałów o klauzuli „poufne” – Agencję Bezpieczeństwa Wewnętrznego.

    Przewoźnik po dokonaniu ustaleń utraty przesyłki, winien udzielić nadawcy odpowiedzi na piśmie, nie później niż w ciągu 2 tygodni od otrzymania od nadawcy żądania, informując jednocześnie Agencję Bezpieczeństwa Wewnętrznego.

    Materiały niejawne oznaczone klauzulą „poufne” i „zastrzeżone” mogą być przesyłane poza granice Rzeczypospolitej Polskiej za pośrednictwem przewoźnika prowadzącego działalność w zakresie usług pocztowych na zasadach opisanych w niniejszym rozdziale.

    Wzory dokumentów: wzór protokołu w sprawie uszkodzenia przesyłki, wzór wykazu przesyłek wydanych oraz wzór upoważnienia do nadawania i odbioru przesyłek są zgodne z załącznikami do rozporządzenia Prezesa Rady Ministrów z dnia 29 września 2005 r. w sprawie trybu i sposobu nadawania, przyjmowania, przewożenia, wydawania i ochrony materiałów zawierających informacje niejawne (Dz.U.05.200.1650 z późn. zm.). V. Bezpieczeństwo teleinformatyczne

    System teleinformatyczny, w którym mają być przetwarzane informacje niejawne podlega akredytacji bezpieczeństwa teleinformatycznego.

    System teleinformatyczny do przetwarzania informacji niejawnych o klauzuli „poufne” w Politechnice Lubelskiej podlega, zgodnie z Ustawą, akredytacji Agencji Bezpieczeństwa Wewnętrznego, przy czym akredytacja systemu informatycznego udzielona przed wejściem w życie ustawy zachowuje ważność do czasu dokonania w systemie teleinformatycznym zmian, które mogą mieć istotny wpływ na bezpieczeństwo teleinformatyczne, nie dłużej jednak niż przez okres 5 lat od dnia wejścia w życie ustawy.

    Potwierdzeniem udzielenia przez ABW akredytacji jest świadectwo akredytacji bezpieczeństwa systemu teleinformatycznego. Świadectwo to wydaje się na podstawie:

    1) zatwierdzonej przez ABW dokumentacji bezpieczeństwa systemu teleinformatycznego;

    2) wyników audytu bezpieczeństwa systemu teleinformatycznego przeprowadzonego przez ABW.

    ABW może odstąpić od przeprowadzenia audytu bezpieczeństwa systemu teleinformatycznego.

    Akredytacji udziela się na czas określony nie dłuższy niż 5 lat. Rektor Politechniki Lubelskiej udziela akredytacji bezpieczeństwa teleinformatycznego dla systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli "zastrzeżone" przez zatwierdzenie dokumentacji bezpieczeństwa systemu teleinformatycznego.

  • 18

    Opracowaną dokumentację bezpieczeństwa systemu teleinformatycznego Rektor Politechniki Lubelskiej w ciągu 30 dni od udzielenia akredytacji, przesyła do ABW.

    ABW może w ciągu 30 dni od otrzymania dokumentacji bezpieczeństwa systemu teleinformatycznego przedstawić Rektorowi Politechniki Lubelskiej, zalecenia dotyczące konieczności przeprowadzenia dodatkowych czynności związanych z bezpieczeństwem informacji niejawnych.

    Rektor Politechniki Lubelskiej w terminie 30 dni od otrzymania zalecenia informuje ABW o realizacji zaleceń.

    Na dokumentację bezpieczeństwa systemu teleinformatycznego składają się: dokument szczególnych wymagań bezpieczeństwa oraz dokument procedur bezpiecznej eksploatacji systemu teleinformatycznego, opracowane zgodnie z zasadami określonymi w Ustawie.

    Dokumentem szczególnych wymagań bezpieczeństwa jest systematyczny opis sposobu zarządzania bezpieczeństwem systemu teleinformatycznego. Dokument szczególnych wymagań bezpieczeństwa powinien zawierać w szczególności wyniki procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych w systemie teleinformatycznym oraz określać przyjęte w ramach zarządzania ryzykiem sposoby osiągania i utrzymania odpowiedniego poziomu bezpieczeństwa systemu. Dokument ten powinien opisywać aspekty budowy systemu teleinformatycznego, zasady działania i eksploatacji mające wpływ na jego bezpieczeństwo.

    Przebieg i wyniki procesu szacowania ryzyka mogą zostać przedstawione w odrębnym dokumencie niż dokument szczególnych wymagań bezpieczeństwa.

    Dokument szczególnych wymagań bezpieczeństwa jest dokumentem opracowywanym na etapie projektowania systemu teleinformatycznego, w razie potrzeby może być on konsultowany z ABW, na bieżąco uzupełniany na etapie wdrażania i modyfikowany w czasie eksploatacji przed dokonaniem zmian w systemie teleinformatycznym.

    Dokument procedur bezpiecznej eksploatacji opracowuje się na etapie wdrażania oraz modyfikuje na etapie eksploatacji przed dokonaniem zmian w systemie teleinformatycznym.

    Podstawą dokonywania wszelkich zmian w systemie teleinformatycznym jest przeprowadzenie procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych w tym systemie.

    Rektor Politechniki Lubelskiej odpowiada za opracowanie i przekazanie ABW dokumentacji bezpieczeństwa sytemu teleinformatycznego.

    Rektor Politechniki Lubelskiej akceptuje wyniki procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych oraz jest odpowiedzialny za właściwą organizację bezpieczeństwa teleinformatycznego.

    Środki ochrony elektromagnetycznej przeznaczone do ochrony informacji niejawnych o klauzuli „poufne” podlegają badaniom i ocenie bezpieczeństwa

  • 19

    w ramach certyfikacji prowadzonych przez ABW. Certyfikacja urządzenia lub narzędzia służącego do realizacji zabezpieczenia teleinformatycznego, przeznaczonego do ochrony informacji niejawnych, następuje na wniosek Rektora Politechniki Lubelskiej.

    Pozytywne wyniki ocen bezpieczeństwa uzyskane na podstawie badań prowadzonych przez ABW stanowią podstawę wydania przez ABW certyfikatu ochrony elektromagnetycznej. Certyfikaty te wydawane są, w zależności od wyników ocen bezpieczeństwa, na okres nie krótszy niż 3 lata.

    Bez konieczności przeprowadzania badań i oceny Szef ABW może dopuścić do stosowania w systemie teleinformatycznym przeznaczonym do przetwarzania informacji niejawnych o klauzuli "zastrzeżone" urządzenia, jeżeli otrzymały stosowny certyfikat wydany przez krajową władzę bezpieczeństwa państwa będącego członkiem NATO lub Unii Europejskiej lub inny uprawniony organ w NATO lub w Unii Europejskiej.

    Dla właściwego funkcjonowania ochrony informacji niejawnych w zakresie bezpieczeństwa informatycznego Rektor Politechniki Lubelskiej wyznacza:

    1) pracownika pionu ochrony pełniącego funkcję inspektora bezpieczeństwa teleinformatycznego, odpowiedzialnego za weryfikację i bieżącą kontrolę zgodności funkcjonowania systemu teleinformatycznego ze szczególnymi wymaganiami bezpieczeństwa oraz przestrzegania procedur bezpiecznej eksploatacji;

    2) osobę, niepełniącą funkcji inspektora bezpieczeństwa teleinformatycznego, odpowiedzialną za funkcjonowanie sytemu teleinformatycznego oraz za przestrzeganie zasad i wymagań bezpieczeństwa przewidzianych dla systemu teleinformatycznego, zwanego „administratorem systemu”.

    Osoby te muszą spełniać wymagania stawiane pracownikom pionu ochrony oraz odbyć specjalistyczne szkolenia z zakresu bezpieczeństwa teleinformatycznego prowadzone przez ABW.

    5.1. Podstawowe wymagania bezpieczeństwa teleinformatycznego

    Bezpieczeństwo informacji niejawnych przetwarzanych w systemie

    teleinformatycznym zapewnia się przez wdrożenie spójnego zbioru zabezpieczeń w zakresie bezpieczeństwa fizycznego, osobowego i teleinformatycznego mających na celu zapewnienie poufności, integralności i dostępności informacji niejawnych.

    Poziom wprowadzanych środków zabezpieczenia teleinformatycznego dostosowuje się do wyników szacowania ryzyka dla wdrażanego systemu teleinformatycznego.

  • 20

    Cele bezpieczeństwa systemu teleinformatycznego realizuje się poprzez: 1) zasadę zarządzania ryzykiem, polegającą na objęciu systemu

    teleinformatycznego procesem zarządzania ryzykiem; 2) zasadę minimalnej funkcjonalności, polegającą na instalowaniu

    i wykorzystywaniu w systemie teleinformatycznym wyłącznie funkcji, protokołów i usług niezbędnych dla prawidłowej realizacji zadań, do których system został przeznaczony;

    3) zasadę ograniczenia przywilejów, polegającą na nadawaniu użytkownikom systemu teleinformatycznego jedynie takich przywilejów i uprawnień, jakie są im niezbędne do wykonywania zadań służbowych;

    4) zasadę wielopoziomowej ochrony systemu, polegającą na stosowaniu zabezpieczeń na możliwie wielu różnych poziomach organizacji ochrony systemu teleinformatycznego, w celu ograniczenia występowania przypadków, w których przełamanie pojedynczego zabezpieczenia skutkuje naruszeniem celów bezpieczeństwa;

    5) zasadę ograniczonego zaufania, polegającą na tym, że system teleinformatyczny powinien traktować pozostałe systemy teleinformatyczne jak nie zaufane i posiadać zabezpieczenia kontrolujące wymianę informacji z tymi systemami;

    6) zasadę weryfikacji realizacji ochrony systemu teleinformatycznego, polegającą na potwierdzeniu wymienionych zasad oraz okresowym sprawdzaniu poprawności działania zabezpieczeń wdrożonych w systemie teleinformatycznym.

    Bezpieczeństwo informacji niejawnych przetwarzanych w systemie teleinformatycznym realizuje się w czasie kolejnych etapów „życia” systemu teleinformatycznego, w czasie których określa się potrzeby w zakresie ochrony informacji niejawnych:

    1) w okresie planowania – ustala się potrzeby co do przeznaczenia systemu, maksymalną klauzulę tajności „poufne” dla wiadomości przetwarzanych w tym systemie oraz liczbę użytkowników, planowaną lokalizację;

    2) w okresie projektowania – przeprowadza się wstępne szacowanie ryzyka dla projektowanego systemu, dokonuje wyboru zabezpieczeń uwzględniających oszacowany poziom ryzyka, opracowuje się szczegółowe wymagania bezpieczeństwa (SWB);

    3) w okresie wdrażania – pozyskuje się urządzenia realizujące zabezpieczenie systemu, przeprowadza się testy bezpieczeństwa systemu, przeprowadza się szacowanie ryzyka uwzględniające wprowadzony poziom zabezpieczeń, opracowuje się procedury bezpiecznej eksploatacji (PBE) oraz poddaje się system akredytacji bezpieczeństwa teleinformatycznego;

  • 21

    4) w okresie eksploatacji – utrzymuje się zgodność systemu z dokumentacją bezpieczeństwa systemu, zapewnia się ciągłość procesu zarządzania ryzykiem systemu, modyfikuje się system w zależności od potrzeb.

    Inspektor bezpieczeństwa teleinformatycznego bierze udział w szacowaniu ryzyka z zakresie bezpieczeństwa informacji przetwarzanych w systemie teleinformatycznym oraz prowadzi kontrolę w zakresie zgodności stosowanych procedur z SWB i PBE, a w szczególności w zakresie:

    1) poprawności realizacji zadań przez administratora, właściwej eksploatacji zabezpieczeń, zarządzania konfiguracją;

    2) znajomości i przestrzegania przez użytkowników zasad ochrony informacji niejawnych oraz procedur bezpiecznej eksploatacji;

    3) stanu zabezpieczeń systemu - analizuje rejestry zdarzeń systemu teleinformatycznego.

    Administrator systemu teleinformatycznego odpowiada za funkcjonowanie systemu oraz zasad i wymagań bezpieczeństwa, w szczególności:

    1) wdraża zabezpieczenia systemu teleinformatycznego; 2) prowadzi szkolenie użytkowników systemu z zakresu jego

    eksploatacji; 3) utrzymuje zgodność systemu z jego dokumentacją bezpieczeństwa; 4) udziela wsparcia w zakresie zarządzania ryzykiem przez:

    a) informowanie o stwierdzonych naruszeniach bezpieczeństwa, b) informowanie o nowych zagrożeniach w systemie, c) systematyczne kontrolowanie funkcji zabezpieczeń w systemie.

    Informacje niejawne przetwarzane w systemie teleinformatycznym chroni się przed nieuprawnionym dostępem, w tym przed podglądem i podsłuchem. Kontrolę dostępu do systemu teleinformatycznego zapewnia się przez:

    1) określenie i przydzielenie poszczególnym użytkownikom uprawnień do pracy w systemie;

    2) ochronę informacji i materiałów uniemożliwiającą dostęp do systemu do takiej klauzuli tajności, do jakiej dopuszczenia mają użytkownicy;

    3) instalację elementów systemu informatycznego w sposób zapewniający możliwość wykrycia prób fizycznego dostępu do danych.

    W systemie teleinformatycznym przetwarzającym informacje niejawne tworzy się, z zachowaniem integralności systemu, rejestry zdarzeń. Rejestry te pozwalają na analizę działań naruszających bezpieczeństwo informacji, jak również rozliczenie indywidualnych działań użytkowników systemu.

    System teleinformatyczny zabezpiecza się przed działaniem oprogramowania złośliwego.

  • 22

    Informatyczne nośniki danych przeznaczone do przekazywania lub przechowywania informacji niejawnych obejmuje się ochroną – od momentu oznaczenia klauzulą tajności aż do ich fizycznego zniszczenia lub zniesienia klauzuli tajności w sposób uzgodniony z ABW.

    5.2. Zarządzanie ryzykiem w systemie teleinformatycznym

    Zarządzanie ryzykiem w systemie teleinformatycznym polega na realizacji

    procesów: 1) szacowania ryzyka; 2) postępowania z ryzykiem; 3) akceptacji ryzyka; 4) komunikowania ryzyka; 5) przeglądu i monitorowania ryzyka. Rektor Politechniki Lubelskiej, jako kierownik jednostki organizacyjnej

    organizującej system teleinformatyczny, odpowiada za zapewnienie ciągłości procesu zarządzania ryzykiem dla tego systemu.

    Szacowanie ryzyka – obejmuje analizę ryzyka, na którą składają się identyfikacja ryzyka i estymacja ryzyka oraz ocenę ryzyka.

    Identyfikacja ryzyka zależna jest od zasobów systemu teleinformatycznego, zagrożeń i podatności systemu, wdrożonych zabezpieczeń oraz konsekwencji wykorzystania przez poszczególne zagrożenia ich podatności na naruszenie bezpieczeństwa systemu. W procesie estymacji ryzyka wyznacza się poziomy zidentyfikowanych ryzyk.

    Ocena ryzyka polega na porównaniu wyznaczonych poziomów ryzyk z przyjętymi dla systemu teleinformatycznego kryteriami w celu określenia znaczenia poszczególnych ryzyk dla bezpieczeństwa systemu teleinformatycznego.

    Szacowanie ryzyka przedstawia się w dokumentacji bezpieczeństwa teleinformatycznego, wykorzystuje się w procesie projektowania zabezpieczeń oraz zachowuje się jako podstawę przyszłych uaktualnień.

    Postępowanie z ryzykiem – obejmuje obniżanie ryzyka poprzez wdrażanie zabezpieczeń, pozostawienie ryzyka na poziomie określonym w trakcie estymacji ryzyka i zaniechanie dalszych działań, które mogłyby prowadzić do wzrostu ryzyka, unikanie ryzyka poprzez nie podejmowanie działań będących źródłem ryzyka oraz przeniesienie ryzyka na inny podmiot.

    Akceptacja ryzyka polega na formalnym i świadomym zaakceptowaniu ryzyka szczątkowego, wraz z ewentualnymi konsekwencjami, przez kierownika jednostki organizacyjnej na podstawie danych zawartych w dokumentacji bezpieczeństwa systemu teleinformatycznego.

    Komunikowanie ryzyka – polega na wzajemnej wymianie informacji dotyczących ryzyka, między odpowiedzialnymi za zarządzanie ryzykiem, a zainteresowanymi stronami.

  • 23

    Przegląd i monitorowanie ryzyka – polega na monitorowaniu czynników ryzyka i udoskonalaniu procesu zarządzania ryzykiem stosownie do zmieniających się okoliczności. VI. Postanowienia końcowe

    Wszystkie postanowienia zawarte w niniejszej Instrukcji opracowano na podstawie Ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228) oraz przepisów wykonawczych obowiązujących w dniu wejścia w życie ustawy, tj. w dniu 1 stycznia 2011 r.


ZARZĄDZENIE REKTORA Nr 9/2013 z dnia 01 października 2013 r

Zarządzenie Nr 4 z 14 kwietnia 2008 r

ZARZĄDZENIE Nr 116/2020 z dnia 3 2020 r. -19 · ZARZĄDZENIE Nr 116/2020 Rektora Uniwersytetu Wrocławskiego z dnia 3 września 2020 r. w sprawie zasad funkcjonowania Uniwersytetu

Zarządzenie ryzykiem bankowym

Zarządzenie z dnia 8 lutego 2016 r. - bip.gorzow.rdos.gov.plbip.gorzow.rdos.gov.pl/files/obwieszczenia/50790/Zarzadzenie_RDOS... · ZARZĄDZENIE REGIONALNEGO DYREKTORA OCHRONY ŚRODOWISKA

Zarządzenie Nr 8/2011 Rektora Collegium Mazovia Innowacyjnej

ZARZĄDZENIE 40 - bip.um.wroc.pl

Warszawa, dnia 28 kwietnia 2011 r. ZARZĄDZENIE

ZARZĄDZENIE NR 16/2014 · 2019. 1. 25. · DZIENNIK URZĘDOWY Głównego Inspektoratu Transportu Drogowego Warszawa, dnia 18 września 2014 r. Poz. 14 ZARZĄDZENIE NR 28/ 2 0 1 4

Zarządzenie Nr 161/2011 w sprawie zasad przeprowadzenia i … · 2012-03-13 · Zarządzenie Nr 161/2011 Burmistrza Książa Wlkp. z dnia 16 listopada 2011 roku w sprawie zasad przeprowadzenia

Zarządzenie Rektora PG nr 20/2019 z 10 czerwca 2019 r

Zarządzenie Nr XXedziennik.uke.gov.pl/DU_UKE/2013/56/akt.pdf · Zarządzenie Nr 29 Prezesa Urzędu Komunikacji Elektronicznej z dnia 18 grudnia 2013 r. w sprawie planu zagospodarowania

Zarządzenie Nr R-87/2013

Zarządzenie Nr /2007 · 2015. 9. 24. · Zarządzenie Nr 72/2011/DSOZ Prezesa Narodowego Funduszu Zdrowia z dnia 20 października 2011 r. w sprawie określenia warunków zawierania

Zarządzenie z dnia 25 kwietnia 2014 r

ZARZĄDZENIE NR 9/2005

Zarządzenie Rektora Politechniki Gdańskiej nr 49/2014 z 5 ...€¦ · Zarządzenie Rektora Politechniki Gdańskiej nr 49/2014 z 5 grudnia 2014 r. w sprawie: wprowadzenia wytycznych

Zarządzenie Rektora KUL z dnia 26 lutego 2015 r. w sprawie

Zarządzenie Nr 56/2011/2012

Zarządzenie z dnia 19 maja 2014 r.bip.gdansk.rdos.gov.pl/files/obwieszczenia/22853/... · ZARZĄDZENIE REGIONALNEGO DYREKTORA OCHRONY ŚRODOWISKA W GDAŃSKU z dnia 19 maja 2014 r

Zarządzenie nr 123/12/13g1.bip.gliwice.eu/pub/html/zsg/123 Termin wystawiania stopni na semestr.pdf · ZARZĄDZENIE NR 123/12/13 Z DNIA 7 STYCZNIA 2013 R 1 Zarządzenie nr 123/12/13

ZARZĄDZENIE NR 3^ WOJEWODY DOLNOŚLĄSKIEGObip.duw.pl/download/2/11161/Zarzadzenienr31.pdf · 3 Zarządzenie nr 38 Wojewody Dolnośląskiego z dnia 22 lutego 2016 r. w sprawie realizacji

ZARZĄDZENIE Nr 34/2017 Rektora Uniwersytetu Wrocławskiego ... · ZARZĄDZENIE Nr 34/2017 Rektora Uniwersytetu Wrocławskiego z dnia 22 marca 2017 r. w sprawie wprowadzenia Procedury

Zarządzenie z dnia 28 kwietnia 2014 r. - bip.gdansk.rdos ...bip.gdansk.rdos.gov.pl/files/obwieszczenia/22182/Zarzadzenie_RDOS... · ZARZĄDZENIE REGIONALNEGO DYREKTORA OCHRONY ŚRODOWISKA

Cognity Szkolenia - Zarządzenie czasem

Zarządzenie dyrektor ZKM ws. zmian w komunikacji od 2 kwietnia 2015 r

BURMISTRZA MSZCZONOWA ZARZĄDZENIE NR 11/16 planu ...5071,sprawozdanie-z... · ZARZĄDZENIE NR 11/16 BURMISTRZA MSZCZONOWA z dnia 30 marca 2016 r. w sprawie przekazania sprawozdania

Zarządzenie z dnia 8 lipca 2021 r

ZARZĄDZENIE NR

ZARZĄDZENIE Nr 46 /MON

Zarządzenie Nr XX · Web view2. Traci moc zarządzenie nr 13 Prezesa Urzędu Komunikacji Elektronicznej z dnia 22 maja 2015 r. w sprawie planu zagospodarowania częstotliwości dla

Zarządzenie Rektora PG w spr. tłumaczeń...str. 1 Zarządzenie Rektora Politechniki Gdańskiej nr 9/2016 z 25 kwietnia 2016 r. w sprawie: nazw w językach obcych kierunków i specjalności,

Zarządzenie Nr R–52/2015 Rektora Politechniki Lubelskiej z ......4. Traci moc Zarządzenie Nr R-56/2013 Rektora Politechniki Lubelskiej z dnia 22 lipca 2013 r. w sprawie wprowadzenia

INSTRUKCJA KANCELARYJNA - dobrepraktyki.powiat … · Wybór systemu Zarządzenie Nr /11 Prezydenta/burmistrza/prezydenta z dnia …. stycznia 2011 r. w sprawie wskazania sposobu

ZARZĄDZENIE Nr 24 KOMENDANTA GŁÓWNEGO POLICJI · 2018. 11. 22. · ZARZĄDZENIE Nr 24 KOMENDANTA GŁÓWNEGO POLICJI z dnia 21 lipca 2015 r. w sprawie szczegółowych zasad przyznawania