REKLAMA
Dzienniki Urzędowe - rok 2011 nr 3 poz. 22
ZARZĄDZENIE Nr 1 DYREKTORA GENERALNEGO SŁUŻBY ZAGRANICZNEJ
z dnia 17 stycznia 2011 r.
w sprawie zasad wykorzystywania nośników danych cyfrowych oraz wdrożenia i eksploatacji systemu Bezpieczny Pendrive w Ministerstwie Spraw Zagranicznych i placówkach zagranicznych
Na podstawie art. 25 ust. 4 pkt 1 i ust. 10 ustawy z dnia 21 listopada 2008 r. o służbie cywilnej (Dz. U. Nr 227, poz. 1505 oraz z 2009 r. Nr 157, poz. 1241 i Nr 219, poz. 1706) zarządza się, co następuje:
Rozdział 1
Przepisy ogólne
§ 1
1. Zarządzenie określa:
1) zasady wykorzystywania nośników danych cyfrowych, zwanych dalej „nośnikami”;
2) zasady wdrożenia i eksploatacji systemu Bezpieczny Pendrive;
3) zadania komórek organizacyjnych Ministerstwa Spraw Zagranicznych i placówek zagranicznych oraz obowiązki zatrudnionych w nich pracowników związane z wdrożeniem, utrzymaniem, użytkowaniem i zarządzaniem systemem Bezpieczny Pendrive oraz innymi nośnikami.
2. Nośniki służą przechowywaniu zarówno informacji jawnych, jak i niejawnych, przy czym zasady postępowania z nośnikami zawierającymi informacje niejawne, w tym szczególne zasady ich przechowywania określają przepisy o ochronie informacji niejawnych.
§ 2
Pojęcia używane w zarządzeniu są zgodne z definicjami zawartymi w słowniku obowiązujących pojęć dla potrzeb Księgi Norm Teleinformatycznych i Teletechnicznych, ustalonym w odrębnym trybie.
§ 3
1. Każdy nośnik używany w środowisku teleinformatycznym Ministerstwa Spraw Zagranicznych i placówek zagranicznych, z wyłączeniem płyt CD i DVD, powinien posiadać unikalny numer seryjny pozwalający na powiązanie go z indywidualnym użytkownikiem lub rolą pełnioną w danym systemie teleinformatycznym.
2. Z zastrzeżeniem ust. 3 i 4, w środowisku teleinformatycznym Ministerstwa Spraw Zagranicznych i placówek zagranicznych możliwe jest używanie wyłącznie następujących nośników stanowiących własność pracodawcy:
1) określonych w zarządzeniu przenośnych nośników danych;
2) innych nośników danych zainstalowanych trwale w sprzęcie teleinformatycznym przekazanym użytkownikowi przez pracodawcę;
3) zarejestrowanych płyt CD i DVD.
3. Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki w uzasadnionych przypadkach może wyrazić zgodę na używanie innych nośników, niż określone w ust. 1, w szczególności dla celów sporządzania dokumentacji fotograficznej, szkoleniowych lub testowych.
4. W przypadku konieczności jednorazowego transferu danych z nośnika, innego niż określony w ust. 2 i 3 do środowiska teleinformatycznego Ministerstwa Spraw Zagranicznych i placówek zagranicznych użytkownik jest obowiązany zwrócić się do komórki organizacyjnej właściwej w sprawach teleinformatyki a w placówce zagranicznej do właściwego regionalnego administratora systemów teleinformatycznych o sprawdzenie tego nośnika przy pomocy zaktualizowanego oprogramowania antywirusowego i przeprowadzenie transferu danych.
§ 4
W środowisku teleinformatycznym Ministerstwa Spraw Zagranicznych i placówek zagranicznych zabrania się używania nośników stanowiących własność użytkowników, a w szczególności dokonywania czynności polegających na kopiowaniu, przegrywaniu plików, montowaniu, demontowaniu urządzeń, wgrywaniu, przegrywaniu oprogramowania oraz danych w celu przeniesienia lub skopiowania informacji ze sprzętu teleinformatycznego pracodawcy na nośniki inne, niż określone w zarządzeniu lub nośniki stanowiące własność użytkowników.
§ 5
Pełnomocnik do spraw ochrony informacji niejawnych jest upoważniony do opracowania i wdrożenia w drodze instrukcji szczegółowej procedury określającej zasady wykorzystywania nośników danych do przetwarzania, przechowywania i przenoszenia informacji niejawnych.
Rozdział 2
System Bezpieczny Pendrive
§ 6
1. W Ministerstwie Spraw Zagranicznych i w placówkach zagranicznych wprowadza się do eksploatacji system Bezpieczny Pendrive, służący do bezpiecznego przetwarzania, przechowywania i przenoszenia służbowych informacji jawnych.
2. System Bezpieczny Pendrive składa się z serwera zarządzającego opartego o zwirtualizowany system VMware ACE i szyfrowanych przenośnych nośników danych Iron Key w wersji Enterprise z licencją na serwer Ministerstwa Spraw Zagranicznych zwanych dalej „pendrive” spełniających następujących parametry:
1) pojemność min. 4GB;
2) model S200 AES 256 bit;
3) standard FIPS: 140-2 Level 3;
4) kompatybilność z systemami: Windows XP/VI-STA/7, Windows 2000, MAC OS X, Linux 2.60.
3. Warunkiem dopuszczenia pendriva do użytkowania jest przypisanie go w karcie ewidencyjnej określonemu użytkownikowi przez administratora systemu Bezpieczny Pendrive.
§ 7
1. Z zastrzeżeniem ust. 2 użytkownikowi może zostać przydzielony tylko jeden pendrive.
2. W przypadkach szczególnych za zgodą dyrektora komórki organizacyjnej właściwej w sprawach teleinformatyki użytkownikowi może zostać przydzielony dodatkowy pendrive.
3. Pendrive jest przydzielany użytkownikowi na jego wniosek, skierowany do dyrektora komórki organizacyjnej właściwej w sprawach teleinformatyki.
4. Wykaz stanowisk i funkcji osób, którym w trybie, o którym mowa w ust. 3 może zostać przydzielony pendrive, określa załącznik nr 1 do zarządzenia.
5. Innym osobom niezajmującym stanowisk albo niepełniącym funkcji określonych w załączniku, o którym mowa w ust. 4, pendrive może zostać przydzielony za zgodą dyrektora komórki organizacyjnej właściwej w sprawach teleinformatyki na uzasadniony wniosek dyrektora komórki organizacyjnej lub kierownika placówki zagranicznej.
Rozdział 3
Przenośny twardy dysk
§ 8
1. Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki może przydzielić pracownikom tej komórki oraz komórki organizacyjnej właściwej w sprawach infrastruktury i komórki organizacyjnej właściwej w sprawach ochrony informacji niejawnych, a także pracownikom wykonującym funkcje regionalnych administratorów sieci teleinformatycznych (RAST) i regionalnych administratorów systemów zabezpieczeń technicznych (RASZT) przenośny twardy dysk – Lenovo ThinkPad USB Secure Hard Drive.
2. Innym osobom niezajmującym stanowisk albo niepełniącym funkcji określonych w załączniku, o którym mowa w ust. 3, przenośny twardy dysk może zostać przydzielony za zgodą dyrektora komórki organizacyjnej właściwej w sprawach teleinformatyki na uzasadniony wniosek dyrektora komórki organizacyjnej lub kierownika placówki zagranicznej.
3. Wykaz stanowisk i funkcji osób, którym może zostać przydzielony twardy dysk określa załącznik nr 1 do zarządzenia.
Rozdział 4
Płyty CD i DVD
§ 9
1. Płyty CD i DVD, stanowiące własność pracodawcy i przekazane użytkownikowi po zapisaniu na nich danych podlegają niezwłocznej rejestracji w kancelarii obsługującej komórkę organizacyjną lub placówkę zagraniczną.
2. Przepisy zarządzenia stosuje się do płyt CD i DVD, z tym, że:
1) dla płyt CD i DVD nie wyznacza się administratora;
2) do czasowego przekazywania płyt CD i DVD nie stosuje się przepisów rozdziału 8 – ich przekazanie pomiędzy użytkownikami wymaga odnotowania w kancelarii obsługującej komórkę organizacyjną lub placówkę zagraniczną;
3) ewidencję płyt CD i DVD prowadzi właściwa kancelaria obsługująca komórkę organizacyjną lub placówkę zagraniczną.
Rozdział 5
Zadania komórki organizacyjnej właściwej w sprawach teleinformatyki
§ 10
1. Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki:
1) pełni funkcję organizatora (gestora) Systemu Bezpieczny Pendrive w Ministerstwie Spraw Zagranicznych i w placówkach zagranicznych;
2) wyznacza spośród podległych sobie pracowników administratorów poszczególnych nośników w Ministerstwie Spraw Zagranicznych oraz określa ich szczegółowe obowiązki w instrukcji, o której mowa w ust. 2;
3) sprawuje nadzór nad wykonywaniem obowiązków przez administratora poszczególnych nośników;
4) odpowiada za sprawną organizację dystrybucji nośników do pracowników Ministerstwa Spraw Zagranicznych i placówek zagranicznych;
5) odpowiada za planowanie środków finansowych na funkcjonowanie i rozwój poszczególnych nośników, w szczególności środki przeznaczone na zakup sprzętu, akcesoriów i licencji oprogramowania;
6) współpracuje z dyrektorami innych komórek organizacyjnych w celu wykonania zadań określonych w zarządzeniu;
7) odpowiada za prowadzenie wydzielonej ewidencji nośników.
2. Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki jest upoważniony do wydania instrukcji określającej:
1) szczegółowe obowiązki użytkowników i administratorów nośników;
2) szczegółowe zalecenia dotyczące bezpiecznego użytkowania przenośnych nośników pamięci;
3) szczegółowe zasady tworzenia i korzystania z haseł do przenośnych nośników;
4) szczegółowe zasady i sposób ewidencji nośników.
Rozdział 6
Obowiązki administratora systemu Bezpieczny Pendrive, administratora przenośnych dysków twardych oraz administratorów innych nośników
§ 11
Administrator jest obowiązany:
1) wykonywać obowiązki określone w instrukcji, o której mowa w § 10 ust. 2;
2) zapewnić ciągłość działania systemu Bezpieczny Pendrive, dysków twardych lub innych nośników;
3) zapewnić podstawowe szkolenie użytkownika systemu podczas wydania nośnika, a w szczególności poinstruować użytkownika w zakresie przestrzegania zasad bezpieczeństwa;
4) w przypadku wystąpienia zdarzenia zagrażającego bezpieczeństwu informacji zapisanych na nośniku ograniczyć uprawnienia dostępowe użytkownika włącznie z zablokowaniem dostępu do infrastruktury teleinformatycznej Ministerstwa Spraw Zagranicznych na czas niezbędny do wyjaśnienia zaistniałego zdarzenia;
5) wnioskować do dyrektora generalnego służby zagranicznej o wyciągnięcie konsekwencji służbowych w stosunku do osób naruszających przepisy zarządzenia;
6) współpracować z właściwą w sprawach szkoleń komórką organizacyjną Ministerstwa Spraw Zagranicznych w zakresie opracowywania materiałów szkoleniowych dla użytkowników nośników;
7) tworzyć i aktualizować dokumentację techniczną systemu Bezpieczny Pendrive, dysków twardych lub innych nośników oraz przedkładać ją do zatwierdzenia dyrektorowi komórki organizacyjnej właściwej w sprawach teleinformatyki.
Rozdział 7
Obowiązki użytkowników
§ 12
1. Użytkownik odpowiada za bezpieczny i zgodny z przeznaczeniem oraz instrukcją, o której mowa w § 10 ust. 2, sposób użytkowania i przechowywania nośnika.
2. Użytkownik odpowiada za utratę, zniszczenie lub inną szkodę powstałą w powierzonym mu nośniku na zasadach określonych w przepisach Kodeksu Pracy dla odpowiedzialności za mienie pracodawcy powierzone pracownikowi, w szczególności odpowiada w pełnej wysokości za szkodę powstałą w tym mieniu, chyba, że wykaże, iż powstała ona z przyczyn od niego niezależnych.
3. Użytkownik jest obowiązany:
1) chronić nośnik, hasła dostępu do nośnika przed dostępem osób nieuprawnionych, a także przed ryzykiem przypadkowej utraty bądź kradzieży;
2) nie udostępniać nośnika do użytku innym osobom, a jeżeli zajdzie taka konieczność należy dokonać przekazania zgodnie z § 14;
3) przestrzegać zasad użytkowania, określonych w instrukcji, o której mowa w § 10 ust. 2, oraz stosować wytyczne i polecenia wydane w tym zakresie przez dyrektora komórki organizacyjnej właściwej w sprawach teleinformatyki oraz działającego z jego upoważnienia administratora;
4) niezwłocznie powiadamiać właściwego administratora, a następnie bezpośredniego przełożonego o przypadku kradzieży lub zagubienia nośnika, lub o podejrzeniu o uzyskaniu dostępu do hasła do nośnika przez osoby nieuprawnione;
5) niezwłocznie zgłosić właściwemu administratorowi każdy przypadek, uszkodzenia lub przypadkowego zniszczenia nośnika zawierającego informacje jawne;
6) niezwłocznie zgłosić właściwemu administratorowi oraz pełnomocnikowi do spraw ochrony informacji niejawnych każdy przypadek kradzieży lub zagubienia, uszkodzenia lub przypadkowego zniszczenia nośnika zawierającego informacje niejawne;
7) zachować ostrożność przy korzystaniu z nośnika poza środowiskiem teleinformatycznym resortu spraw zagranicznych.
4. Powierzenie użytkownikowi przenośnego nośnika, o którym mowa w § 6 i § 8, następuje na podstawie umowy, której wzór określa załącznik nr 2 do zarządzenia.
Rozdział 8
Przekazywanie nośników
§ 13
1. W przypadku konieczności czasowego przekazania nośnika zawierającego informacje jawne innemu użytkownikowi, przy braku możliwości przekazania go za pośrednictwem pracownika prowadzącego ewidencję lub administratora, nośnik należy przekazać protokolarnie a protokół przekazania przesłać administratorowi. Wzór protokołu przekazania określa załącznik nr 3 do zarządzenia.
2. W przypadku potrzeby czasowego przekazania nośnika zarejestrowanego, jako materiał niejawny innemu użytkownikowi, nośnik należy przekazać zgodnie z procedurą zatwierdzoną przez pełnomocnika do spraw ochrony informacji niejawnych.
3. Czasowe przekazanie nośnika nie powinno przekraczać 30 dni.
4. Protokół przekazania nośnika winien zawierać, co najmniej imię i nazwisko zdającego, imię i nazwisko odbiorcy, numer i typ nośnika oraz okres, na jaki nośnik został przekazany.
5. Przez podpisanie protokołu czasowego przekazania odbiorca przyjmuje na siebie odpowiedzialność za zgodne z zarządzeniem korzystanie z nośnika oraz odpowiedzialność za jego utratę, zniszczenie lub inną szkodę powstałą w powierzonym mu nośniku, tak jak zdający.
Rozdział 9
Ewidencja nośników
§ 14
1. Nośniki wykorzystywane w środowisku teleinformatycznym Ministerstwa Spraw Zagranicznych i placówek zagranicznych podlegają ewidencji. Za nadzór nad prawidłowym prowadzeniem ewidencji nośników odpowiada dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki.
2. Karta ewidencyjna nośnika powinna zawierać następujące dane:
1) imię i nazwisko administratora;
2) numer seryjny nośnika;
3) typ nośnika;
4) datę zamontowania lub udostępnienia;
5) datę wymontowania lub oddania;
6) imię i nazwisko użytkownika;
7) datę i powód przekazania nośnika do zniszczenia;
8) ilość sztuk;
9) datę usunięcia danych oraz nazwisko i podpis osoby, która je usunęła.
Rozdział 10
Usuwanie danych z nośników
§ 15
1. Dane z nośnika usuwane są poprzez nadpisanie zapisanych danych za pomocą oprogramowania zaakceptowanego przez komórkę organizacyjną właściwą w sprawach teleinformatyki, a w przypadku nośników zawierających informacje niejawne zgodnie z procedurą, o której mowa w § 5.
2. W przypadku nośnika, który nie był wykorzystywany do przetwarzania informacji niejawnych lub danych osobowych dyrektor komórki właściwej w sprawach teleinformatyki w porozumieniu z pełnomocnikiem ochrony informacji niejawnych może podjąć decyzję o jego przekazaniu w celu dalszej eksploatacji innej jednostce organizacyjnej administracji publicznej po uprzednim usunięciu danych, w trybie o którym mowa w ust. 1.
3. Za wykonanie czynności, o których mowa ust. 1 odpowiada właściwy administrator.
4. W przypadku przekazania komputera do magazynu lub innemu użytkownikowi obowiązkiem właściwego administratora systemu jest, z zastrzeżeniem ust. 6, całkowite skasowanie zawartości zainstalowanych w nim nośników, z wykorzystaniem wskazanego przez komórkę organizacyjną właściwą w sprawach teleinformatyki, urządzenia lub oprogramowania kasującego i odnotowanie tego faktu w karcie ewidencyjnej.
5. Pełnomocnik do spraw ochrony informacji niejawnych w instrukcji, o której mowa w § 5 ust. 2 określi szczególne zasady postępowania z nośnikami zawierającymi informacje niejawne lub dane osobowe.
6. W przypadku sprzętu komputerowego użytkowanego poza granicami Rzeczypospolitej Polskiej właściwy administrator może powierzyć wykonywanie obowiązków określonych w ust. 4 właściwemu regionalnemu administratorowi systemów teleinformatycznych (RAST).
Rozdział 11
Niszczenie nośników
§ 16
1. Uszkodzone lub wycofane z eksploatacji nośniki, za zastrzeżeniem § 15 ust. 2, są niszczone w sposób trwale uniemożliwiający odczytanie ich zawartości. W przypadku placówek zagranicznych skutkuje to koniecznością przesłania nośników danych, z zachowaniem przepisów o ochronie informacji niejawnych, do komórki organizacyjnej właściwej w sprawach teleinformatyki wraz z odpowiednim protokołem przekazania i kartą ewidencyjną.
2. Nośniki niszczone są dwuetapowo poprzez:
1) demagnetyzację przy pomocy demagnetyzera, w przypadku nośników wykorzystujących zjawisko magnetyzmu;
2) mechaniczne rozdrobnienie.
3. Niszczenie nośników przeprowadzane jest komisyjnie, przy udziale przynajmniej dwóch pracowników wyznaczonych przez dyrektora komórki organizacyjnej właściwej w sprawach teleinformatyki, a z jego przebiegu należy sporządzić pisemny protokół.
Rozdział 12
Przepisy przejściowe i końcowe
§ 17
Nie dłużej niż do końca pierwszego kwartału 2011 roku dopuszcza się stosowanie innych urządzeń typu pendrive, niż określonych w zarządzeniu wyłącznie dla potrzeb konsularnych.
§ 18
1. Do końca pierwszego kwartału 2011 roku użytkownicy przenośnych nośników pamięci stanowiących własność pracodawcy, innych niż określonych w zarządzeniu obowiązani są zdeponować je odpowiednio:
1) w Ministerstwie Spraw Zagranicznych – w komórce organizacyjnej właściwej w sprawach teleinformatyki;
2) w placówce zagranicznej – w miejscu określonym przez kierownika regionalnego administratora systemów teleinformatycznych (RAST).
2. Do końca pierwszego kwartału 2011 roku użytkownicy płyt CD i DVD obowiązani są przekazać je do zniszczenia lub zarejestrować zgodnie z instrukcją, o której mowa w § 10 ust. 2.
3. Do końca pierwszego kwartału 2011 roku, dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki dokona ewidencji nośników, o której mowa w § 14 ust. 1.
4. Wszyscy pracownicy przechowujący służbowe dane cyfrowe na nośnikach nie stanowiących własności pracodawcy obowiązani są je trwale usunąć do końca pierwszego kwartału 2011 roku.
5. Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki w terminie 7 dni od wejścia zarządzenia w życie wyda zalecenia dotyczące usuwania danych cyfrowych.
6. Dyrektor komórki organizacyjnej właściwej w sprawach teleinformatyki odpowiada za wdrożenie systemu informatycznego blokującego możliwość wykorzystania innych nośników niż określonych w zarządzeniu, w środowisku teleinformatycznym resortu.
§ 19
Zarządzenie wchodzi w życie z dniem podpisania.
Dyrektor Generalny Służby Zagranicznej |
Jarosław Czubiński |
Załączniki do zarządzenia Nr 1 Dyrektora Generalnego
Służby Zagranicznej z dnia 17 stycznia 2011 r. (poz. 22)
Załącznik nr 1
WYKAZ STANOWISK I FUNKCJI OSÓB, KTÓRYM MOŻE ZOSTAĆ PRZYDZIELONY NOŚNIK
I. IronKey S200
1) Minister Spraw Zagranicznych;
2) Sekretarz stanu w Ministerstwie Spraw Zagranicznych;
3) Podsekretarz stanu w Ministerstwie Spraw Zagranicznych;
4) Dyrektor Generalny Służby Zagranicznej;
5) dyrektor komórki organizacyjnej Ministerstwa Spraw Zagranicznych;
6) zastępca dyrektora komórki organizacyjnej Ministerstwa Spraw Zagranicznych;
7) kierownik placówki zagranicznej;
8) zastępca kierownika placówki zagranicznej lub pracownik wyznaczony do zastępowania kierownika placówki zagranicznej;
9) pełnomocnik lub specjalny wysłannik Ministra Spraw Zagranicznych, a także inna osoba wykonująca szczególne funkcje określone przez Ministra Spraw Zagranicznych w akcie prawa wewnętrznego.
II. Lenovo ThinkPad USB Secure Hard Drive
1) pracownicy komórki organizacyjnej właściwej w sprawach teleinformatyki;
2) pracownicy Wydziału Zarządzania Projektami Budowlanymi i Wydziału Eksploatacji i Utrzymania Technicznego Biura Infrastruktury i Logistyki;
3) pracownicy Wydziału Bezpieczeństwa Teleinformatycznego i Ochrony Danych Osobowych i Wydział Systemów Zabezpieczeń, Biura Pełnomocnika Ochrony Informacji Niejawnych;
4) Regionalni Administratorzy Systemów Teleinformatycznych;
5) Regionalni Administratorzy Systemów Zabezpieczeń technicznych.
Załącznik nr 2
WZÓR
Załącznik nr 3
WZÓR
- Data ogłoszenia: 2011-03-07
- Data wejścia w życie: 2011-01-17
- Data obowiązywania: 2011-02-14
REKLAMA
Dzienniki Urzędowe
REKLAMA
REKLAMA