REKLAMA
Dzienniki Urzędowe - rok 2007 nr 20 poz. 202
Departament Ochrony Informacji Niejawnych
DECYZJA Nr 448/MON
MINISTRA OBRONY NARODOWEJ
z dnia 4 października 2007 r.
w sprawie trybu akredytacji bezpieczeństwa fizycznego i technicznego pomieszczeń specjalnych
Na podstawie § 2 pkt 6 i pkt 14 rozporządzenia Rady Ministrów z dnia 9 lipca 1996 r. w sprawie szczegółowego zakresu działania Ministra Obrony Narodowej (Dz. U. Nr 94, poz. 426), w związku z art. 14 ust. 1 pkt 1, 4 i 6 ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz. U. z 2005 r. Nr 196, poz. 1631, z późn. zm.1)), w celu zapewnienia szczególnej ochrony informacjom niejawnym pochodzącym z wymiany międzynarodowej oraz materiałom i narzędziom kryptograficznym, stanowiącym tajemnicę państwową, przed ich nieuprawnionym ujawnieniem, ustala się, co następuje:
1. Ilekroć w decyzji jest mowa o:
1) jednostce organizacyjnej - należy przez to rozumieć komórki organizacyjne Ministerstwa Obrony Narodowej, jednostki organizacyjne podległe Ministrowi Obrony Narodowej lub przez niego nadzorowane, inne jednostki organizacyjne realizujące produkcję, usługi lub wykonujące innego rodzaju czynności, stanowiące tajemnicę państwową ze względu na obronność państwa i potrzeby Sił Zbrojnych Rzeczypospolitej Polskiej, zwanych dalej „Siłami Zbrojnymi”, a także przedsiębiorców zajmujących się obrotem wyrobami, technologiami i licencjami objętymi tajemnicą państwową ze względu na obronność państwa lub wykonujących inne tego rodzaju czynności, jeżeli uczestnikami tego obrotu są jednostki organizacyjne podległe Ministrowi Obrony Narodowej lub przez niego nadzorowane;
2) kierowniku jednostki organizacyjnej - należy przez to rozumieć dyrektora, szefa, dowódcę, komendanta, kierownika, prezesa;
3) pomieszczeniu specjalnym - należy przez to rozumieć:
a) kancelarię tajną - zagraniczną,
b) punktu obsługi dokumentów zagranicznych,
c) kancelarię kryptograficzną,
d) stację łączności kryptograficznej,
e) kabinę kryptograficzną,
f) pomieszczenie wydzielone;
4) zespole pomieszczeń specjalnych - należy przez to rozumieć pomieszczenia wchodzące w skład:
a) kancelarii tajnej - zagranicznej,
b) punktu obsługi dokumentów zagranicznych, tworzonych na bazie kancelarii tajnych,
c) kancelarii kryptograficznej,
d) stacji łączności kryptograficznej,
e) kabiny kryptograficznej,
f) pomieszczenia wydzielonego;
5) kancelarii tajnej - zagranicznej - należy przez to rozumieć komórkę wchodzącą w skład pionu ochrony jednostki organizacyjnej, odpowiedzialną za przyjmowanie, rejestrowanie, przechowywanie, obieg i udostępnianie dokumentów niejawnych wymienianych z innymi państwami i organizacjami międzynarodowymi, na podstawie zawartych przez Rzeczpospolitą Polską umów międzynarodowych;
6) punkcie obsługi dokumentów zagranicznych - należy przez to rozumieć wydzieloną część kancelarii tajnej odpowiedzialną za przyjmowanie, rejestrowanie, przechowywanie, obieg i udostępnianie dokumentów niejawnych wymienianych z innymi państwami i organizacjami międzynarodowymi, na podstawie zawartych przez Rzeczpospolitą Polską umów międzynarodowych;
7) kancelarii kryptograficznej - należy przez to rozumieć etatową komórkę organizacyjną, funkcjonującą w jednostce organizacyjnej, zorganizowaną w celu rejestrowania, przechowywania, dystrybuowania oraz niszczenia materiałów i środków kryptograficznych pochodzenia krajowego i z wymiany międzynarodowej;
8) stacji łączności kryptograficznej - należy przez to rozumieć komórkę wewnętrzną funkcjonującą w jednostce organizacyjnej, realizującą zadania związane z ochroną kryptograficzną (szyfrowanie i deszyfrowanie) informacji niejawnych z wykorzystaniem certyfikowanych urządzeń i narzędzi kryptograficznych;
9) kabinie kryptograficznej - należy przez to rozumieć pomieszczenie pełniące jednocześnie funkcję kancelarii kryptograficznej oraz stacji łączności kryptograficznej zorganizowane na okręcie lub pomocniczej jednostce pływającej;
10) pomieszczeniu wydzielonym - należy przez to rozumieć pomieszczenie lub zespół pomieszczeń, w którym:
a) zainstalowano serwery sieciowe, terminale sieci teleinformatycznych, autonomiczne stanowiska komputerowe, a także ich elementy aktywne lub pasywne, w szczególności routery, switche, modemy, panele światłowodowe, służące do ochrony informacji niejawnych wytwarzanych, przetwarzanych, przechowywanych lub przekazywanych w jednostce organizacyjnej, z wykorzystaniem materiałów i narzędzi kryptograficznych w przypadku systemów i sieci teleinformatycznych Organizacji Traktatu Północnoatlantyckiego, zwanego dalej „NATO", lub Unii Europejskiej oraz systemów i sieci teleinformatycznych zautomatyzowanych Systemów Dowodzenia pracujących w trybie dwudziestoczterogodzinnym,
b) prowadzi się projektowanie, produkcję, montaż, naprawę lub serwisowanie urządzeń ochrony kryptograficznej lub innych wyrobów o przeznaczeniu specjalnym służących do ochrony informacji niejawnych, wchodzące w skład pomieszczenia lub zespołu pomieszczeń kancelarii kryptograficznej;
11) audycie akredytacji bezpieczeństwa fizycznego i technicznego - należy przez to rozumieć sprawdzenie i ocenę stanu przygotowania pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych oraz personelu do ochrony informacji niejawnych stanowiących tajemnicę państwową;
12) audyt w nadzorze - należy przez to rozumieć usystematyzowane i niezależne sprawdzenie, w ramach wydanej akredytacji (przyznanego certyfikatu), mające potwierdzić prawidłowe wypełnianie i stosowanie przyjętych procedur, instrukcji w sferze bezpieczeństwa przetwarzanych, przechowywanych informacji niejawnych;
13) certyfikacie akredytacji bezpieczeństwa fizycznego i technicznego - należy przez to rozumieć dokument, potwierdzający zdolność personelu i pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych do zapewnienia wymaganej ochrony informacjom niejawnym pochodzącym z wymiany międzynarodowej oraz materiałom i narzędziom kryptograficznym, stanowiącym tajemnicę państwową lub służbową, wytwarzanym, przechowywanym, przetwarzanym lub przekazywanym w tych pomieszczeniach, przed ich nieuprawnionym ujawnieniem.
2. Szef Służby Kontrwywiadu Wojskowego, zwany dalej „Szefem SKW", powoła ze składu osobowego podległych komórek organizacyjnych Służby Kontrwywiadu Wojskowego, Komisję Akredytacji Bezpieczeństwa Fizycznego i Technicznego Służby Kontrwywiadu Wojskowego, zwaną dalej „Komisją".
3. W skład Komisji wchodzi:
1) przewodniczący;
2) audytorzy (audytorzy wiodący, audytorzy techniczni).
4. Komisja przeprowadza:
1) audyty akredytacji bezpieczeństwa fizycznego i technicznego pomieszczeń specjalnych lub zespołów pomieszczeń specjalnych organizowanych lub funkcjonujących w jednostkach organizacyjnych;
2) audyty w nadzorze pomieszczeń specjalnych lub zespołów pomieszczeń specjalnych organizowanych lub funkcjonujących w jednostkach organizacyjnych.
5. Komisja przeprowadza audyty akredytacji bezpieczeństwa fizycznego i technicznego oraz audyty w nadzorze akredytowanych pomieszczeń specjalnych lub zespołów pomieszczeń specjalnych na podstawie stałego pisemnego upoważnienia; wzór upoważnienia określa załącznik Nr 1 do decyzji.
6. Nadzór nad pracami Komisji, z upoważnienia i w imieniu Szefa SKW, sprawuje Dyrektor Biura Ochrony Informacji Niejawnych Służby Kontrwywiadu Wojskowego.
7. Dyrektor Biura Ochrony Informacji Niejawnych Służby Kontrwywiadu Wojskowego:
1) decyduje o przeprowadzeniu audytu akredytacji bezpieczeństwa fizycznego i technicznego oraz audytu w nadzorze pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych;
2) zatwierdza wnioski Komisji;
3) w imieniu Szefa SKW podejmuje decyzje w zakresie funkcjonowania pomieszczeń specjalnych lub zespołów pomieszczeń specjalnych.
8. Szef SKW wydaje Certyfikaty Akredytacji Bezpieczeństwa Fizycznego i Technicznego dla pomieszczeń specjalnych lub zespołów pomieszczeń specjalnych.
9. We wniosku o przeprowadzenie audytu akredytacji bezpieczeństwa fizycznego i technicznego pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych, należy zawrzeć następujące informacje:
1) dane dotyczące jednostki organizacyjnej zgłaszającej pomieszczenie specjalne lub zespół pomieszczeń specjalnych do audytu akredytacji bezpieczeństwa fizycznego i technicznego:
a) nazwa jednostki organizacyjnej,
b) adres jednostki organizacyjnej;
2) dane dotyczące lokalizacji pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych, w tym:
a) typ pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych,
b) nazwa jednostki organizacyjnej, na terenie której znajduje się pomieszczenie specjalne lub zespół pomieszczeń specjalnych,
c) adres jednostki organizacyjnej, na terenie której znajduje się pomieszczenie specjalne lub zespół pomieszczeń specjalnych,
d) numer kompleksu koszarowego jednostki organizacyjnej, na terenie której znajduje się pomieszczenie specjalne lub zespół pomieszczeń specjalnych,
e) numer budynku, w którym znajduje się pomieszczenie specjalne lub zespół pomieszczeń specjalnych,
f) numer pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych;
3) imię i nazwisko osoby upoważnionej do kontaktów roboczych w sprawie audytu akredytacji bezpieczeństwa fizycznego i technicznego pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych;
4) numer telefonu, faksu do osoby upoważnionej do kontaktów roboczych w sprawie audytu akredytacji bezpieczeństwa fizycznego i technicznego pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych.
10. W przypadku zgłoszenia przez jednostkę organizacyjną do przeprowadzenia audytu akredytacji bezpieczeństwa fizycznego i technicznego kilku pomieszczeń specjalnych lub zespołów pomieszczeń specjalnych, każde z tych pomieszczeń powinno być zgłoszone na odrębnym formularzu ACR-1; wzór formularza ACR-1 określa załącznik Nr 2 do decyzji.
11. Komisja przeprowadza weryfikację danych zawartych w formularzu ACR-1; w przypadku stwierdzenia błędów w wypełnieniu formularza ACR-1 lub braku wymaganych danych, formularz ten jest odsyłany do uzupełnienia; poprawnie wypełniony formularz ACR-1 jest rejestrowany przez nadanie mu numeru identyfikacyjnego audytu akredytacji bezpieczeństwa fizycznego i technicznego pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych.
12. Przewodniczący Komisji wyznacza zespół audytorów upoważnionych do przeprowadzenia audytu akredytacji bezpieczeństwa fizycznego i technicznego pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych oraz przesyła do jednostki organizacyjnej informację o wysłaniu lub oddelegowaniu zespołu audytorów, z jednoczesnym podaniem następujących danych:
1) termin przeprowadzenia audytu akredytacji bezpieczeństwa fizycznego i technicznego pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych;
2) dane dotyczące zespołu audytorów Komisji:
a) skład zespołu audytorów,
b) numer telefonu kontaktowego do zespołu audytorów,
c) marka i numer rejestracyjny pojazdu zespołu audytorów;
3) dane dotyczące audytu akredytacji bezpieczeństwa fizycznego i technicznego pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych:
a) wykaz osób zobowiązanych do uczestniczenia w audycie akredytacji bezpieczeństwa fizycznego i technicznego pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych:
- personel pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych,
- oficer bezpieczeństwa łączności,
- pełnomocnik do spraw ochrony informacji niejawnych,
- administrator systemu alarmowego,
- komendant ochrony obiektu,
- lokalny oficer bezpieczeństwa,
- oficer bezpieczeństwa obszaru terminala,
- przedstawiciele firm wykonujących prace w pomieszczeniu specjalnym lub zespole pomieszczeń specjalnych,
b) wykaz dokumentacji wymaganej w trakcie audytu akredytacji bezpieczeństwa fizycznego i technicznego pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych:
- dokumentacja przetargowa,
- dane firm wykonujących prace w pomieszczeniu specjalnym lub zespole pomieszczeń specjalnych,
- plan ochrony jednostki organizacyjnej,
- Program Organizacyjno-Użytkowy na wykonanie pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych,
- dokumentacja systemu alarmowego,
- podkłady budowlane,
- schemat przebiegu poziomu bezpieczeństwa,
- schemat rozmieszczenia sprzętu kwaterunkowo-biurowego oraz urządzeń w pomieszczeniu specjalnym lub zespole pomieszczeń specjalnych,
- wykaz sprzętu znajdującego się w pomieszczeniu specjalnym lub zespole pomieszczeń specjalnych.
13. Potwierdzenie audytu akredytacji bezpieczeństwa fizycznego i technicznego odnotowywane jest na formularzu ACR-2; wzór formularza ACR-2 określa załącznik Nr 3 do decyzji.
14. Audyt akredytacji bezpieczeństwa fizycznego i technicznego polega na sprawdzeniu i ocenie stanu przygotowania pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych oraz personelu do ochrony informacji niejawnych. Sprawdzenie i ocena prowadzona będzie w następujących obszarach:
1) prawnym;
2) organizacyjnym;
3) bezpieczeństwa osobowego;
4) bezpieczeństwa fizycznego;
5) bezpieczeństwa technicznego;
6) bezpieczeństwa instalacji;
7) wyposażenia;
8) dokumentacji;
9) technicznego zabezpieczenia przeciwpodsłuchowego.
15. Sprawdzenie i ocena dokonywana jest przez zespół audytorów Komisji co do zgodności z wymogami bezpieczeństwa określonymi w obowiązujących w resorcie obrony narodowej dokumentach normatywnych.
16. W obszarze prawnym sprawdzeniu i ocenie podlegają następujące dokumenty:
1) etat audytowanej jednostki organizacyjnej;
2) rozkazy o wyznaczeniu osób funkcyjnych na stanowiska służbowe podlegające audytowi;
3) Program Organizacyjno-Użytkowy na wykonanie pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych.
17. W obszarze organizacyjnym sprawdzeniu i ocenie podlegają:
1) lokalizacja pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych oraz wyznaczone strefy bezpieczeństwa;
2) skład i organizacja pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych:
a) ilość pomieszczeń,
b) przeznaczenie pomieszczeń,
c) sposób udostępniania dokumentów i przyjmowania interesantów,
d) umiejscowienie pomieszczenia socjalnego;
3) sposób przechowywania dokumentów niejawnych;
4) gospodarka kluczami użytku bieżącego i kluczami zapasowymi oraz sposób przechowywania kodów dostępu do zamków szyfrowych i systemów alarmowych:
a) miejsce i sposób przechowywania,
b) wykaz osób upoważnionych do pobierania,
c) książka ewidencji kluczy.
18. W obszarze bezpieczeństwa osobowego sprawdzeniu i ocenie podlegają następujące dokumenty osób funkcyjnych:
1) poświadczenia bezpieczeństwa;
2) certyfikaty bezpieczeństwa NATO;
3) certyfikaty bezpieczeństwa Unii Europejskiej;
4) zaświadczenia o przeszkoleniu specjalistycznym;
5) zaświadczenia o przeszkoleniu w zakresie ochrony informacji niejawnych.
19. W obszarze bezpieczeństwa fizycznego praw-dzeniu i ocenie podlegają zastosowane rozwiązania:
1) architektoniczno-budowlane:
a) grubości ścian,
b) grubości stropów,
c) zabezpieczenie okien,
d) zabezpieczenie otworów wentylacyjnych;
2) mechaniczne:
a) klasa zainstalowanych drzwi wejściowych,
b) klasa zainstalowanych drzwi wewnętrznych.
20. W obszarze bezpieczeństwa technicznego sprawdzeniu i ocenie podlegają:
1) System Alarmowania Pożaru;
2) System Sygnalizacji Włamania i Napadu;
3) System Kontroli Dostępu;
4) System Telewizji Przemysłowej.
21. W obszarze bezpieczeństwa instalacyjnego sprawdzeniu i ocenie podlegają:
1) istniejące instalacje sygnałowe i energetyczne;
2) zainstalowane w pomieszczeniu specjalnym lub zespole pomieszczeń specjalnych autonomiczne stanowiska komputerowe lub urządzenia łączności;
3) instalacje telefoniczne.
22. W obszarze wyposażenia sprawdzeniu podlegają umieszczone w pomieszczeniu specjalnym lub zespole pomieszczeń specjalnych:
1) sejfy, szafy stalowe przeznaczone do przechowywania dokumentów niejawnych;
2) niszczarka służąca do niszczenia dokumentów niejawnych;
3) urządzenia służące do ewakuacji dokumentów niejawnych;
4) narzędzia przeznaczone do niszczenia dokumentów niejawnych;
5) sprzęt kwaterunkowo-biurowy;
6) komplet dokumentacji i urządzeń ewidencyjnych.
23. W obszarze dokumentacji sprawdzeniu i ocenie podlegają zapisy umieszczone w:
1) Planie ochrony jednostki organizacyjnej, na terenie której znajduje się audytowane pomieszczenie specjalne lub zespół pomieszczeń specjalnych;
2) Instrukcji pracy audytowanego pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych;
3) Instrukcji postępowania na przypadek zagrożenia.
24. Po przeprowadzeniu audytu akredytacji bezpieczeństwa fizycznego i technicznego pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych, audytorzy Komisji mogą stwierdzać niezgodności lub odstępstwa występujące w obszarach, o których mowa w pkt 14-23.
25. Stwierdzenie niezgodności następuje, gdy w danym obszarze bezpieczeństwa brak jest wymaganych mechanizmów bezpieczeństwa.
26. Stwierdzenie odstępstwa następuje, gdy zastosowane w danym obszarze bezpieczeństwa mechanizmy bezpieczeństwa nie są zgodne z wymaganiami, ale gwarantują wymagany poziom bezpieczeństwa i zamiast wymaganych mechanizmów bezpieczeństwa zastosowano inne mechanizmy bezpieczeństwa.
27. W trakcie audytu akredytacji bezpieczeństwa fizycznego i technicznego pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych, prowadzonego przez zespół audytorów Komisji, wszystkie stwierdzone niezgodności z wymogami bezpieczeństwa są odnotowywane w formularzu ACR-3; wzór formularza ACR-3 określa załącznik nr 4 do decyzji.
28. W formularzu ACR-3 należy zawrzeć następujące informacje:
1) obszar bezpieczeństwa, którego dotyczy stwierdzona niezgodność;
2) zaobserwowane przez audytora fakty;
3) podstawa prawna stwierdzenia niezgodności (punkt z wytycznych, norm, instrukcji, którego dotyczy niezgodność;
4) przyczyny stwierdzonych niezgodności;
5) zaproponowane działania korygujące;
6) dane osoby odpowiedzialnej za działania korygujące;
7) termin zakończenia działań korygujących.
29. Kierownik jednostki organizacyjnej zobowiązany jest powiadomić Komisję o usunięciu niezgodności stwierdzonych w trakcie audytu akredytacji bezpieczeństwa fizycznego i technicznego pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych wykorzystując do tego celu formularz ACR-4; wzór formularza ACR-4 określa załącznik Nr 5 do decyzji.
30. W formularzu ACR-4 należy zawrzeć następujące informacje:
1) sposób wykonania działań korygujących;
2) stopień wykonania działań korygujących.
31. W trakcie audytu akredytacji bezpieczeństwa fizycznego i technicznego pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych, prowadzonego przez zespół audytorów Komisji, wszystkie stwierdzone odstępstwa od wymogów bezpieczeństwa, gwarantujące jednocześnie odpowiedni poziom bezpieczeństwa, są odnotowywane na formularzu ACR-5. Każde odstępstwo musi być odnotowane na odrębnym formularzu ACR-5; wzór formularza ACR-5 określa załącznik Nr 6 do decyzji.
32. W formularzu ACR-5, należy zawrzeć następujące informacje:
1) obszar bezpieczeństwa, którego dotyczy stwierdzone odstępstwo;
2) zaobserwowany przez audytora fakt;
3) podstawa prawna stwierdzenia odstępstwa (punkt z wytycznych, norm, instrukcji, którego dotyczy odstępstwo);
4) ustalenia zespołu audytorów Komisji z kierownikiem jednostki organizacyjnej o możliwości akceptacji odstępstwa.
33. Formularz ACR-5 należy przechowywać w akredytowanym pomieszczeniu specjalnym lub zespole pomieszczeń specjalnych.
34. Zespół audytorów Komisji sporządza zestawienie z wykonanych szczegółowych czynności sprawdzających w ramach prowadzonego audytu akredytacji bezpieczeństwa fizycznego i technicznego pomieszczenia specjalnego lub zespołów pomieszczeń specjalnych. Zestawienie odnotowywane jest na formularzu ACR-6; wzór formularza ACR-6 określa załącznik Nr 7 do decyzji.
35. Na podstawie materiału zebranego w trakcie audytu akredytacji bezpieczeństwa fizycznego i technicznego pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych zespół audytorów Komisji może opracować trzy rodzaje raportów:
1) raport audytorów Komisji z przeprowadzonego audytu akredytacji bezpieczeństwa fizycznego i technicznego pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych zakończonego pozytywnym rezultatem - formularz ACR-7a; raport będzie stanowił podstawę do wystąpienia z wnioskiem o:
a) przyznanie Certyfikatu Akredytacji Bezpieczeństwa Fizycznego i Technicznego dla pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych,
b) utrzymanie wydanego wcześniej Certyfikatu Akredytacji Bezpieczeństwa Fizycznego i Technicznego dla pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych,
c) przyznanie nowego (kolejnego) Certyfikatu Akredytacji Bezpieczeństwa Fizycznego i Technicznego dla pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych;
2) raport audytorów Komisji z przeprowadzonego audytu akredytacji bezpieczeństwa fizycznego i technicznego pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych zakończonego negatywnym rezultatem - formularz ACR-7b; raport będzie stanowił podstawę do wystąpienia z wnioskiem o terminową eksploatację pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych;
3) raport audytorów Komisji z przeprowadzonego audytu akredytacji bezpieczeństwa fizycznego i technicznego pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych zakończonego negatywnym rezultatem - formularz ACR-7c; raport będzie stanowił podstawę do wystąpienia z wnioskiem o:
a) nieprzyznanie Certyfikatu Akredytacji Bezpieczeństwa Fizycznego i Technicznego dla pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych,
b) zawieszenie wydanego wcześniej Certyfikatu Akredytacji Bezpieczeństwa Fizycznego i Technicznego dla pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych,
c) cofnięcie wydanego wcześniej Certyfikatu Akredytacji Bezpieczeństwa Fizycznego i Technicznego dla pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych.
36. Wzory raportów, o których mowa w:
1) pkt 35 ppkt 1, określa załącznik Nr 8 do decyzji;
2) pkt 35 ppkt 2, określa załącznik Nr 9 do decyzji;
3) pkt 35 ppkt 3, określa załącznik Nr 10 do decyzji.
37. Raporty, o których mowa w pkt 35, sporządzane są przez zespół audytorów Komisji w dwóch egzemplarzach, z których jeden otrzymuje Komisja, a drugi - audytowana jednostka organizacyjna.
38. W przypadku negatywnej oceny pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych, w raporcie Komisja formułuje zalecenia przedkładane do realizacji właściwemu kierownikowi jednostki organizacyjnej.
39. Opracowany raport (formularz ACR-7a, ACR-7b lub ACR-7c) wraz z załącznikami (formularz ACR-3, ACR-4, ACR-5) jest przedstawiany przez zespół audytorów Komisji - Przewodniczącemu Komisji.
40. Przewodniczący Komisji wraz z zespołem audytorów Komisji dokonuje oceny przedstawionego materiału oraz analizy wniosków i na ich podstawie podejmuje decyzję; decyzja jest wydawana w formie Orzeczenia Komisji Akredytacji Bezpieczeństwa Fizycznego i Technicznego Służby Kontrwywiadu Wojskowego.
41. Komisja może wydać decyzję w trzech formach orzeczenia:
1) orzeczenie Komisji - formularz ACR-8a, w sprawie:
a) przyznania Certyfikatu Akredytacji Bezpieczeństwa Fizycznego i Technicznego dla pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych,
b) utrzymania wydanego wcześniej Certyfikatu Akredytacji Bezpieczeństwa Fizycznego i Technicznego dla pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych,
c) przyznania nowego Certyfikatu Akredytacji Bezpieczeństwa Fizycznego i Technicznego dla pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych;
2) orzeczenie Komisji - formularz ACR-8b, w sprawie terminowej eksploatacji pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych;
3) orzeczenie Komisji - formularz ACR-8c, w sprawie: a) nie przyznania Certyfikatu Akredytacji Bezpieczeństwa Fizycznego i Technicznego dla pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych,
b) zawieszenia wydanego wcześniej Certyfikatu Akredytacji Bezpieczeństwa Fizycznego i Technicznego dla pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych,
c) cofnięcia wydanego wcześniej Certyfikatu Akredytacji Bezpieczeństwa Fizycznego i Technicznego dla pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych.
42. Wzory orzeczeń, o których mowa w:
1) pkt 41 ppkt 1, określa załącznik Nr 11 do decyzji;
2) pkt 41 ppkt 2, określa załącznik Nr 12 do decyzji;
3) pkt 41 ppkt 3, określa załącznik Nr 13 do decyzji.
43. Komisja, po zatwierdzeniu przez Dyrektora Biura Ochrony Informacji Niejawnych Służby Kontrwywiadu Wojskowego wydanych orzeczeń, o których mowa w pkt 41:
1) występuje z wnioskiem do Szefa SKW o wydanie Certyfikatu Akredytacji Bezpieczeństwa Fizycznego i Technicznego dla pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych, które zostało sprawdzone, a stan jego zabezpieczenia został zweryfikowany z obowiązującymi wymaganiami i pozytywnie oceniony w trakcie prowadzonego audytu akredytacji bezpieczeństwa fizycznego i technicznego;
2) w uzasadnionych, szczególnie ważnych przypadkach występuje do Szefa SKW o zgodę na terminową eksploatację pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych; zezwolenie nie może przekroczyć okresu sześciu miesięcy; jeżeli pomieszczenie specjalne lub zespół pomieszczeń specjalnych nie uzyska w tym okresie docelowego Certyfikatu Akredytacji Bezpieczeństwa Fizycznego i Technicznego, zezwolenie terminowe wygasa;
3) w przypadku stwierdzenia naruszenia warunków wystawienia Certyfikatu Akredytacji Bezpieczeństwa Fizycznego i Technicznego dla pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych, występuje do Szefa SKW z wnioskiem o:
a) wyłączenie takiego pomieszczenia z eksploatacji na czas usunięcia ich przyczyn,
b) zawieszenie ważności Certyfikatu Akredytacji Bezpieczeństwa Fizycznego i Technicznego na czas usunięcia ich przyczyn;
4) w przypadku stwierdzenia faktu nieprzestrzegania zasad ochrony informacji niejawnych w pomieszczeniu specjalnym lub zespole pomieszczeń specjalnych posiadającym Certyfikat Akredytacji Bezpieczeństwa Fizycznego i Technicznego występuje do Szefa SKW z wnioskiem o cofnięcie ważności wydanego certyfikatu.
44. Decyzje dotyczące orzeczeń Komisji, o których mowa w pkt 41, po zatwierdzeniu przez Dyrektora Biura Ochrony Informacji Niejawnych Służby Kontrwywiadu Wojskowego, są ostateczne.
45. Szef SKW wydaje Certyfikat Akredytacji Bezpieczeństwa Fizycznego iTechnicznego dla pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych:
1) kancelarii tajnych - zagranicznych;
2) punktów obsługi dokumentów zagranicznych, tworzonych na bazie kancelarii tajnych;
3) kancelarii kryptograficznych;
4) stacji łączności kryptograficznej;
5) kabin kryptograficznych;
6) pomieszczeń wydzielonych.
46. Wzór Certyfikatu Akredytacji Bezpieczeństwa Fizycznego iTechnicznego dla pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych określa załącznik Nr 14 do decyzji.
47. Certyfikat Akredytacji Bezpieczeństwa Fizycznego iTechnicznego dla pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych wydawany jest w trzech egzemplarzach, z których:
1) pierwszy otrzymuje Komisja;
2) drugi otrzymuje:
a) Departament Ochrony Informacji Niejawnych Ministerstwa Obrony Narodowej, w przypadku pomieszczeń lub zespołów pomieszczeń kancelarii tajnych - zagranicznych i punktów obsługi dokumentów zagranicznych oraz pomieszczeń wydzielonych (autonomicznych stanowisk komputerowych przetwarzających informacje niejawne NATO lub Unii Europejskiej);
b) Wojskowe Biuro Bezpieczeństwa Łączności i Informatyki, w przypadku pomieszczeń lub zespołów pomieszczeń kancelarii kryptograficznych, stacji łączności kryptograficznej, kabin kryptograficznych, pomieszczeń wydzielonych;
3) trzeci otrzymuje jednostka organizacyjna, której dotyczył audyt akredytacji bezpieczeństwa fizycznego i technicznego.
48. Certyfikat Akredytacji Bezpieczeństwa Fizycznego iTechnicznego dla pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych wydawany jest na okres do:
1) pięciu lat - dla pomieszczeń, w których są wytwarzane, przechowywane, przetwarzane lub przekazywane informacje niejawne stanowiące tajemnicę państwową o klauzuli ŚCIŚLE TAJNE;
2) siedmiu lat - dla pomieszczeń, w których są wytwarzane, przechowywane, przetwarzane lub przekazywane informacje niejawne stanowiące tajemnicę państwową o klauzuli TAJNE.
49. Pomieszczenia specjalne lub zespoły pomieszczeń specjalnych, którym kończy się okres ważności wydanego Certyfikatu Akredytacji Bezpieczeństwa Fizycznego iTechnicznego, należy zgłaszać do ponownego audytu akredytacji bezpieczeństwa fizycznego i technicznego minimum na sześć miesięcy przed wygaśnięciem terminu ważności.
50. Po wydaniu Certyfikatu Akredytacji Bezpieczeństwa Fizycznego iTechnicznego, niedopuszczalne jest wnoszenie do pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych sprzętu kwaterunkowo-biurowego, urządzeń łączności i informatyki, sprzętu elektrycznego lub dowolnego innego sprzętu lub urządzeń.
51. W przypadku wystąpienia konieczności doposażenia pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych Komisja indywidualnie określi tryb dalszego postępowania, po otrzymaniu zgłoszenia w tej sprawie.
52. Tryb i sposób doposażenia pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych odbywać się powinien przez:
1) doposażenie pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych w sprzęt kwaterunkowo-biurowy lub urządzenia łączności, informatyki, urządzenia ochrony kryptograficznej o Poziomie Zabezpieczenia Urządzenia równym PZU-0 (urządzenia łączności, informatyki, urządzenia ochrony kryptograficznej muszą posiadać certyfikaty potwierdzające określony Poziom Zabezpieczenia Urządzenia) wymaga zgody Komisji; w takim przypadku należy przesłać do Komisji, oprócz informacji o konieczności doposażenia danego pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych, również wykaz wstawianego sprzętu wraz z numerami fabrycznymi oraz kopie certyfikatów potwierdzających dany Poziom Zabezpieczenia Urządzenia;
2) doposażenie pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych w urządzenia łączności i informatyki, inne urządzenia elektryczne lub elektroniczne o Poziomie Zabezpieczenia Urządzenia większym niż PZU-0 wymaga recertyfikacji danego pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych;
3) w przypadku wystąpienia konieczności wymiany urządzeń (awaria, wymiana na nowy model), zainstalowanych w pomieszczeniach specjalnych lub zespołach pomieszczeń specjalnych pracujących w trybie ciągłym (zainstalowane urządzenia pracują w trybie dwudziestoczterogodzinnym) można dokonać ich wymiany bez konieczności przerywania pracy w pomieszczeniu specjalnym lub zespole pomieszczeń specjalnych pod warunkiem przesłania do Komisji powiadomienia o konieczności wymiany urządzeń z pełną listą (nazwa, typ, numer fabryczny, miejsce instalacji, skład komisji dokonującej przeinstalowania urządzeń) wymienianego sprzętu (zarówno urządzenia stare i nowe); komisja dokona recertyfikacji pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych w możliwie krótkim czasie po wymianie urządzeń.
53. W przypadku, gdy jednostka organizacyjna posiadająca akredytowane pomieszczenie specjalne lub zespół pomieszczeń specjalnych:
1) zostaje zlikwidowana, należy poinformować Komisję o zaistniałej sytuacji i odesłać Certyfikat Akredytacji Bezpieczeństwa Fizycznego i Technicznego;
2) zmienia nazwę, należy poinformować Komisję, która określi tryb dalszego postępowania;
3) dokonuje zmiany miejsca stałej dyslokacji (zmiana garnizonu) należy:
a) poinformować Komisję o zaistniałej sytuacji i odesłać Certyfikat Akredytacji Bezpieczeństwa Fizycznego i Technicznego,
b) przygotować pomieszczenie specjalne lub zespół pomieszczeń specjalnych w nowej lokalizacji,
c) po przygotowaniu pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych w nowej lokalizacji postępować zgodnie z procedurą określoną w decyzji.
54. Komisja może prowadzić audyty w nadzorze akredytowanych pomieszczeń specjalnych lub zespołów pomieszczeń specjalnych.
55. W trakcie audytu w nadzorze pomieszczeń specjalnych lub zespołów pomieszczeń specjalnych sprawdzeniu podlegają następujące elementy:
1) posiadanie wymaganych dokumentów (poświadczeń bezpieczeństwa, certyfikatów bezpieczeństwa NATO, zaświadczeń o przeszkoleniu przez pełnomocnika do spraw ochrony informacji niejawnych, zaświadczeń o przeszkoleniu specjalistycznym) upoważniających personel do pracy w audytowanym pomieszczeniu specjalnym lub zespole pomieszczeń specjalnych;
2) znajomość obowiązujących dokumentów normatywnych przez personel audytowanego pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych;
3) zgodność wyposażenia pomieszczenia specjalnego lub zespołu pomieszczeń specjalnych z wykazem oznakowanego sprzętu;
4) oznakowanie urządzeń i traktów teletechnicznych linią „RED", zachowanie odległości pomiędzy urządzeniami i liniami „RED" oraz „BLACK"
5) procedury reagowania w sytuacjach nadzwyczajnych, takich jak: pożar, powódź, ewakuacja, sygnał alarmowy i awaryjny systemu alarmowego oraz praktycznej ich znajomości przez stany osobowe jednostki organizacyjnej, a w tym głównie przez pracowników pionu ochrony, służby dyżurne, warty, pododdziały alarmowe, policję;
6) sposób przechowywania kluczy użytku bieżącego i zapasowych, kombinacji do zamków szyfrowych oraz kodów dostępu systemu alarmowego, w tym sposobu prowadzenia „Książki systemu alarmowego" i procedur przechowywania i analizowania rejestrów systemu alarmowego;
7) praktyczne sprawdzenie sposobu reagowania personelu oraz służb dyżurnych w sytuacjach nadzwyczajnych w czasie służbowym i w czasie wolnym od służby.
56. Komisja prowadzi audyty w nadzorze akredytowanych pomieszczeń specjalnych lub zespołów pomieszczeń specjalnych na podstawie pisemnego upoważnienia wydanego przez Szefa SKW; wzór upoważnienia określa załącznik Nr 15 do decyzji.
57. W przypadku stwierdzenia nieprzestrzegania zasad ochrony informacji niejawnych w pomieszczeniach, które posiadają certyfikat akredytacji bezpieczeństwa fizycznego i technicznego, komisja występuje do Szefa Służby Kontrwywiadu Wojskowego o cofnięcie ważności wydanego certyfikatu.
58. Dyrektor Departamentu Ochrony Informacji Niejawnych Ministerstwa Obrony Narodowej:
1) prowadzi w Głównej Kancelarii Zagranicznej Ministerstwa Obrony Narodowej szczegółową ewidencję kancelarii tajnych - zagranicznych i punktów obsługi dokumentów zagranicznych oraz pomieszczeń wydzielonych (autonomicznych stanowisk komputerowych NATO lub UE) tworzonych i akredytowanych w jednostkach organizacyjnych;
2) przechowuje w Głównej Kancelarii Zagranicznej Ministerstwa Obrony Narodowej Certyfikaty Akredytacji Bezpieczeństwa Fizycznego i Technicznego, o których mowa w pkt 47 ppkt 2 lit. a.
59. Dyrektor Wojskowego Biura Bezpieczeństwa Łączności i Informatyki:
1) prowadzi szczegółową ewidencję kancelarii kryptograficznych, stacji łączności kryptograficznej, kabin kryptograficznych, pomieszczeń wydzielonych tworzonych i akredytowanych w jednostkach organizacyjnych;
2) przechowuje Certyfikaty Akredytacji Bezpieczeństwa Fizycznego i Technicznego, o których mowa w pkt 47 ppkt 2 lit. b.
60. Kierownicy jednostek organizacyjnych, w których utworzono pomieszczenia, o których mowa w pkt 1 ppkt 3 lit. a i b oraz ppkt 4 lit. a i b:
1) występują do Dyrektora Biura Ochrony Informacji Niejawnych Służby Kontrwywiadu Wojskowego z pisemnymi wnioskami o przeprowadzenie audytu akredytacji bezpieczeństwa fizycznego i technicznego w trybie i na zasadach określonych niniejszą decyzją;
2) ogłaszają w rozkazie wewnętrznym fakt uruchomienia w komórce organizacyjnej Ministerstwa Obrony Narodowej lub jednostce organizacyjnej podległej Ministrowi Obrony Narodowej lub przez niego nadzorowanej, na podstawie Certyfikatu Akredytacji Bezpieczeństwa Fizycznego i Technicznego otrzymanego ze Służby Kontrwywiadu Wojskowego, kancelarii tajnej - zagranicznej lub punktu obsługi dokumentów zagranicznych;
3) obejmują kancelarię tajną - zagraniczną lub punkt obsługi dokumentów zagranicznych kontrolą i stałym nadzorem służbowym;
4) zapewniają im warunki funkcjonowania, zgodnie z przepisami o ochronie informacji niejawnych;
5) informują Dyrektora Biura Ochrony Informacji Niejawnych Służby Kontrwywiadu Wojskowego o przypadkach naruszenia przepisów o ochronie informacji niejawnych;
6) informują Dyrektora Departamentu Ochrony Informacji Niejawnych Ministerstwa Obrony Narodowej o uruchomieniu w komórce organizacyjnej Ministerstwa Obrony Narodowej lub jednostce organizacyjnej podległej Ministrowi Obrony Narodowej lub przez niego nadzorowanej kancelarii tajnej - zagranicznej, punktu obsługi dokumentów zagranicznych lub pomieszczeń wydzielonych (autonomicznych stanowisk komputerowych NATO lub UE) oraz o ich likwidacji - dla celów określonych w pkt 58.
61. Kierownicy jednostek organizacyjnych, w których utworzono pomieszczenia, określone w pkt 1 ppkt 3 lit. c-f oraz ppkt 4 lit. c-f:
1) występują do Dyrektora Biura Ochrony Informacji Niejawnych Służby Kontrwywiadu Wojskowego z pisemnymi wnioskami o przeprowadzenie audytu akredytacji bezpieczeństwa fizycznego i technicznego w trybie i na zasadach określonych niniejszą decyzją;
2) ogłaszają w rozkazie wewnętrznym fakt uruchomienia w komórce organizacyjnej Ministerstwa Obrony Narodowej lub jednostce organizacyjnej podległej Ministrowi Obrony Narodowej lub przez niego nadzorowanej, na podstawie Certyfikatu Akredytacji Bezpieczeństwa Fizycznego i Technicznego otrzymanego ze Służby Kontrwywiadu Wojskowego, kancelarii kryptograficznej, stacji łączności kryptograficznej, kabiny kryptograficznej, pomieszczenia wydzielonego;
3) obejmują kancelarię kryptograficzną, stację łączności kryptograficznej, kabinę kryptograficzną, pomieszczenie wydzielone kontrolą i stałym nadzorem służbowym;
4) zapewniają im warunki funkcjonowania, zgodnie z przepisami o ochronie informacji niejawnych;
5) informują Dyrektora Biura Ochrony Informacji Niejawnych Służby Kontrwywiadu Wojskowego o przypadkach naruszenia przepisów o ochronie informacji niejawnych;
6) informują Dyrektora Wojskowego Biura Bezpieczeństwa Łączności i Informatyki o uruchomieniu w komórce organizacyjnej Ministerstwa Obrony Narodowej lub jednostce organizacyjnej podległej Ministrowi Obrony Narodowej lub przez niego nadzorowanej kancelarii kryptograficznej, stacji łączności kryptograficznej, kabiny kryptograficznej, pomieszczenia wydzielonego oraz o ich likwidacji - dla celów określonych w pkt 59.
62. Kierownicy jednostek organizacyjnych, jako zleceniodawcy, określają przedsiębiorcom, jednostkom naukowym lub badawczo-rozwojowym w „Instrukcji bezpieczeństwa przemysłowego", o której mowa w art. 71 ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych, warunki do spełnienia wymagane niniejszą decyzją, w przypadkach realizacji umów na rzecz resortu obrony narodowej, związanych z dostępem do informacji niejawnych, pochodzących z wymiany zagranicznej lub materiałów i narzędzi kryptograficznych.
63. Certyfikaty Bezpieczeństwa wystawione na podstawie dotychczasowych przepisów zachowują swoją ważność do upływu ich ważności, z zastrzeżeniem pkt 64.
64. Kierownicy jednostek organizacyjnych, w których funkcjonują pomieszczenia specjalne lub zespoły pomieszczeń specjalnych, posiadające ważny bezterminowo Certyfikat Bezpieczeństwa, zobowiązani są do niezwłocznego zgłoszenia pomieszczeń specjalnych lub zespołów pomieszczeń specjalnych, do audytu akredytacji bezpieczeństwa fizycznego i technicznego na zasadach określonych niniejszą decyzją.
65. Traci moc decyzja 25/MON Ministra Obrony Narodowej z dnia 31 stycznia 2006 r. w sprawie trybu certyfikacji, recertyfikacji oraz kontroli kancelarii zagranicznych, punktów obsługi dokumentów zagranicznych, kancelarii kryptograficznych, stacji łączności kryptograficznej, kabin kryptograficznych oraz pomieszczeń wydzielonych organizowanych lub funkcjonujących w jednostkach i komórkach organizacyjnych resortu obrony narodowej (Dz. Urz. MON Nr 2, poz. 20).
66. Decyzja wchodzi w życie po upływie 14 dni od dnia ogłoszenia.
Minister Obrony Narodowej: A. Szczygło
|
1) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2006 Nr 104, poz. 708 i 711, Nr 149, poz. 1078, Nr 218, poz. 1592 i Nr 220, poz. 1600.
Załączniki do decyzji Nr 448/MON Ministra Obrony Narodowej
z dnia 4 października 2007 r.(poz. 202)
Załącznik Nr 1
Załącznik Nr 2
Załącznik Nr 3
Załącznik Nr 4
Załącznik Nr 5
Załącznik Nr 6
Załącznik Nr 7
Załącznik Nr 8
Załącznik Nr 9
Załącznik Nr 10
Załącznik Nr 11
Załącznik Nr 12
Załącznik Nr 13
Załącznik Nr 14
Załącznik Nr 15
- Data ogłoszenia: 2007-11-09
- Data wejścia w życie: 2007-11-24
- Data obowiązywania: 2007-11-24
- Dokument traci ważność: 2009-06-02
REKLAMA
Dzienniki Urzędowe
REKLAMA
REKLAMA