|
DECYZJA Nr 137/MON
MINISTRA OBRONY NARODOWEJ
z dnia 23 kwietnia 2009 r.
w sprawie trybu akredytacji
bezpieczeństwa fizycznego i technicznego pomieszczeń specjalnych
Na podstawie § 2 pkt 6 i 14
rozporządzenia Rady Ministrów z dnia 9 lipca 1996 r. w sprawie szczegółowego
zakresu działania Ministra Obrony Narodowej (Dz. U. Nr 94, poz. 426), w
związku z art. 14 ust. 1 pkt 1, 4 i 6 ustawy z dnia 22 stycznia 1999 r. o
ochronie informacji niejawnych (Dz. U. z 2005 r. Nr 196, poz. 1631, z późn.
zm.1)) ustala się, co następuje:
§ 1.
Ilekroć w decyzji jest mowa o:
1) jednostce organizacyjnej —
należy przez to rozumieć Siły Zbrojne Rzeczypospolitej Polskiej i ich
jednostki organizacyjne, zwane dalej „Siłami Zbrojnymi", jednostki
organizacyjne podległe Ministrowi Obrony Narodowej lub przez niego
nadzorowane, komórki organizacyjne Ministerstwa Obrony Narodowej,
przedsiębiorców zajmujących się obrotem wyrobami, technologiami i licencjami
objętymi tajemnicą państwową ze względu na obronność państwa, jeżeli
uczestnikami tego obrotu są jednostki organizacyjne podległe Ministrowi Obrony
Narodowej lub przez niego nadzorowane, w tym również polskie wojskowe
przedstawicielstwa dyplomatyczne poza granicami kraju;
2) kierowniku jednostki
organizacyjnej — należy przez to rozumieć dyrektora, szefa, dowódcę,
komendanta, kierownika, prezesa jednostki organizacyjnej, o której mowa w pkt
1;
3) jednostce certyfikującej — należy przez to rozumieć Jednostkę Certyfikującą
Służby Kontrwywiadu Wojskowego, zwaną dalej „JC SKW", funkcjonującą w
strukturze organizacyjnej Biura Bezpieczeństwa Teleinformatycznego Służby
Kontrwywiadu Wojskowego, zwanego dalej „BBT SKW',' powołaną zarządzeniem Szefa
Służby Kontrwywiadu Wojskowego, którą kieruje Kierownik JC SKW;
4) pomieszczeniu specjalnym — należy przez to rozumieć pomieszczenie lub
zespół pomieszczeń, w których znajduje się odpowiednio:
a) specjalna strefa bezpieczeństwa,
b) kancelaria tajna - zagraniczna, która jest odpowiedzialna za przyjmowanie,
rejestrowanie, przechowywanie, obieg i udostępnianie dokumentów niejawnych
pochodzących z wymiany z innymi państwami i organizacjami międzynarodowymi, na
podstawie zawartych przez Rzeczpospolitą Polską umów międzynarodowych,
c) punkt obsługi dokumentów
zagranicznych, który jest częścią kancelarii tajnej, odpowiedzialny za
przyjmowanie, rejestrowanie, przechowywanie, obieg i udostępnianie dokumentów
niejawnych wymienianych z innymi państwami i organizacjami międzynarodowymi,
na podstawie zawartych przez Rzeczpospolitą Polską umów międzynarodowych,
d) kancelaria kryptograficzna,
która jest odpowiedzialna za rejestrowanie, przechowywanie, dystrybuowanie
oraz niszczenie materiałów kryptograficznych pochodzenia krajowego i
międzynarodowego,
e) element systemu teleinformatycznego przeznaczony do wytwarzania,
przechowywania, przetwarzania, przekazywania informacji niejawnych
pochodzących z wymiany międzynarodowej, o klauzuli stanowiącej narodowy
odpowiednik klauzuli „tajne" i „ściśle tajne''. W odniesieniu do urządzenia
kryptograficznego, pochodzącego z wymiany międzynarodowej, tylko w sytuacji,
gdy klauzula urządzenia stanowi narodowy odpowiednik klauzuli „tajne" i
„ściśle tajne";
5) specjalnej strefie bezpieczeństwa — należy przez to rozumieć wydzieloną
część obiektu poddaną stałej kontroli w zakresie stosowania środków ochrony
fizycznej informacji niejawnych stanowiących tajemnicę państwową, której
urządzenie i wyposażenie uwzględnia zastosowanie środków zabezpieczających
pomieszczenia znajdujące się w tej strefie przed podsłuchem i podglądem;
6) strefie bezpieczeństwa — należy przez to rozumieć oznaczony i chroniony
obszar, obiekt, fragment budynku, kompleks, jedno lub kilka pomieszczeń, w
których są wytwarzane, przetwarzane, przechowywane lub przekazywane informacje
niejawne stanowiące tajemnicę państwową lub służbową o klauzuli „poufne",
poddany szczególnej kontroli wejść i wyjść oraz kontroli przebywania;
7) akredytacji bezpieczeństwa fizycznego i technicznego, zwanej dalej
„akredytacją bezpieczeństwa" — należy przez to rozumieć dopuszczenie
pomieszczenia specjalnego do eksploatacji;
8) audycie bezpieczeństwa fizycznego i technicznego, zwanego dalej „audytem" —
należy przez to rozumieć systematyczny, niezależny i udokumentowany proces
zbierania dowodów oraz ich oceny, mający na celu określenie stopnia spełnienia
przez pomieszczenie specjalne wymagań zabezpieczenia fizycznego i technicznego
w zakresie ochrony informacji niejawnych stanowiących tajemnicę państwową
przed dostępem do nich osób nieuprawnionych;
9) audycie certyfikacyjnym bezpieczeństwa fizycznego i technicznego, zwanego
dalej „audytem certyfikacyjnym" - należy przez to rozumieć audyt warunkujący
wydanie Certyfikatu Akredytacji Bezpieczeństwa Fizycznego i Technicznego dla
pomieszczenia specjalnego;
10) audycie w nadzorze bezpieczeństwa fizycznego i technicznego, zwanego dalej
„audytem w nadzorze" — należy przez to rozumieć audyt pomieszczenia
specjalnego posiadającego Certyfikat Akredytacji Bezpieczeństwa Fizycznego i
Technicznego, który realizowany jest w trybie określonym w § 6;
11) Certyfikacie Akredytacji Bezpieczeństwa Fizycznego i Technicznego — należy
przez to rozumieć dokument potwierdzający, że pomieszczenie specjalne spełnia
wymagania określające zdolność tego pomieszczenia do ochrony informacji
niejawnych stanowiących tajemnicę państwową lub tajemnicę służbową o klauzuli
„poufne" przed dostępem do nich osób nieuprawnionych.
§ 2.
1. Pomieszczenie specjalne podlega
akredytacji bezpieczeństwa w zakresie podstawowym, określonym w § 6 pkt 1, w
wyniku której, na podstawie pozytywnej oceny z procesu akredytacyjnego, wydaje
się Certyfikat Akredytacji Bezpieczeństwa Fizycznego i Technicznego.
2. W przypadku organizowania, w pomieszczeniu specjalnym, specjalnej strefy
bezpieczeństwa, podlega ono akredytacji bezpieczeństwa w zakresie poszerzonym,
określonym w § 6 pkt 2.
§ 3.
1. Akredytacja bezpieczeństwa
przeprowadzana jest przez JC SKW, na wniosek kierownika jednostki
organizacyjnej. Wzór wniosku określa załącznik Nr 1 do decyzji.
2. Wniosek, o którym mowa w ust. 1, kierowany jest do Kierownika JC SKW.
§ 4.
We wniosku, o którym mowa w § 3
ust. 1, podaje się w szczególności następujące informacje:
1) nazwę i adres jednostki organizacyjnej zgłaszającej do akredytacji;
2) dane dotyczące lokalizacji pomieszczenia specjalnego, w tym:
a) rodzaj (typ) pomieszczenia,
b) numer kompleksu koszarowego jednostki organizacyjnej (dotyczy komórek
organizacyjnych Ministerstwa Obrony Narodowej), na terenie której znajduje się
pomieszczenie specjalne,
- numer budynku, w którym znajduje się pomieszczenie specjalne,
- numer pomieszczenia;
3) imię i nazwisko osoby upoważnionej do kontaktów roboczych.
§ 5.
Działając z upoważnienia Szefa
Służby Kontrwywiadu Wojskowego Dyrektor BBT SKW upoważniony jest do:
1) określenia zasad funkcjonowania JC SKW;
2) wydawania członkom zespołu
audytującego pisemnych upoważnień do przeprowadzenia audytu, których wzór
określa załącznik Nr 2 do decyzji;
3) sprawowania nadzoru nad pracami JC SKW;
4) podpisywania Certyfikatów Akredytacji Bezpieczeństwa Fizycznego i
Technicznego;
5) wydawania decyzji o odmowie wydania certyfikatu oraz decyzji o zawieszeniu
lub cofnięciu certyfikatu.
§ 6.
Audyt prowadzony jest:
1) w zakresie podstawowym, który
obejmuje obszary:
a) organizacyjny:
- lokalizacja pomieszczenia specjalnego,
- skład i organizacja pomieszczenia specjalnego, w tym:
i. przeznaczenie pomieszczeń;
ii. sposób udostępniania dokumentów
i przyjmowania interesantów;
iii. umiejscowienie pomieszczenia
socjalnego,
- sposób przechowywania dokumentów niejawnych,
- gospodarka kluczami użytku bieżącego i kluczami zapasowymi oraz sposób
przechowywania kodów dostępu do zamków szyfrowych i systemów alarmowych, w
tym:
i. miejsce i sposób przechowywania;
ii. wykaz osób upoważnionych do
pobierania;
iii. ewidencja kluczy,
b) bezpieczeństwa fizycznego:
- aspekty konstrukcyjno-budowlane:
i. grubości ścian;
ii. grubości stropów;
iii. zabezpieczenie okien;
iv. zabezpieczenie otworów
wentylacyjnych,
- aspekty mechaniczne:
i. klasa zainstalowanych drzwi wejściowych;
ii. klasa zainstalowanych drzwi
wewnętrznych,
c) bezpieczeństwa technicznego:
- System Alarmowania Pożaru,
- System Sygnalizacji Włamania i Napadu,
- System Kontroli Dostępu,
- System Telewizji Przemysłowej,
d) bezpieczeństwa instalacji:
- istniejące instalacje sygnałowe i energetyczne (tylko w części dotyczącej
audytowanego pomieszczenia specjalnego),
- zainstalowane, w pomieszczeniu specjalnym, autonomiczne stanowiska komputerowe
lub urządzenia łączności,
- instalacje telefoniczne,
e) wyposażenia:
- szafy stalowe przeznaczone do przechowywania dokumentów niejawnych,
- urządzenia i narzędzia służące do niszczenia dokumentów niejawnych,
- urządzenia służące do ewakuacji dokumentów niejawnych,
- sprzęt kwaterunkowo-biurowy,
f) dokumentacji:
- plan ochrony jednostki organizacyjnej, na terenie której znajduje się
audytowane pomieszczenie specjalne,
- dokumentacja techniczna pomieszczenia specjalnego,
- instrukcja pracy Kancelarii Kryptograficznej,
- instrukcja postępowania w przypadku zagrożeń,
- urządzenia ewidencyjne;
2) w zakresie poszerzonym, który obejmuje przedsięwzięcia wymienione w pkt 1
lit. a-f wraz z technicznym zabezpieczeniem przeciw podglądowi i podsłuchowi.
§ 7.
1. Niezgodności stwierdzone podczas
audytu, odnotowywane są w formularzu ACR-2, którego wzór określa załącznik Nr
3 do decyzji, zawierający w szczególności informacje:
1) obszar, którego dotyczy stwierdzona niezgodność;
2) zaobserwowane przez audytora fakty;
3) podstawa prawna stwierdzonej niezgodności (punkt z wytycznych, norm,
instrukcji, którego dotyczy niezgodność);
4) przyczyny stwierdzonych niezgodności;
5) zaproponowane działania korygujące;
6) dane osoby odpowiedzialnej za działania korygujące;
7) termin zakończenia działań korygujących;
8) podpisy audytora i osoby odpowiedzialnej za obszar, którego niezgodność
dotyczy.
2. Kierownik jednostki organizacyjnej zapoznawany jest ze stwierdzonymi
niezgodnościami.
3. Audyt kończy się opracowaniem, przez zespół audytujący, raportu z audytu,
który zatwierdza Kierownik JC SKW.
4. Raport z audytu zawiera następujące informacje:
1) nazwę i adres wnioskodawcy;
2) cel audytu;
3) zakres audytu;
4) zespół audytujący;
5) przedstawicieli audytowanej komórki;
6) datę rozpoczęcia i zakończenia audytu;
7) dokumenty odniesienia;
8) przebieg audytu;
9) spostrzeżenia poczynione w trakcie audytu;
10) wyszczególnienie stwierdzonych niezgodności;
11) podsumowanie wyników audytu;
12) załączniki.
5. Raport z audytu sporządzany jest
w dwóch egzemplarzach, z których pierwszy przekazywany jest wnioskodawcy, a
drugi pozostaje w JC SKW.
6. Kierownik jednostki
organizacyjnej, po zapoznaniu się z raportem z audytu i usunięciu niezgodności
stwierdzonych w trakcie audytu, powiadamia Kierownika JC SKW o usunięciu tych
niezgodności, wykorzystując do tego celu formularz ACR-3, którego wzór określa
załącznik Nr 4 do decyzji.
§ 8.
1. Kierownik JC SKW, w zależności
od wyniku procesu akredytacyjnego, wnioskuje do Dyrektora BBT SKW o:
1) przyznanie Certyfikatu Akredytacji Bezpieczeństwa Fizycznego i Technicznego
dla pomieszczenia specjalnego, którego wzór określa załącznik Nr 5 do decyzji;
2) odmowę przyznania Certyfikatu
Akredytacji Bezpieczeństwa Fizycznego i Technicznego dla pomieszczenia
specjalnego.
2. Przyznanie Certyfikatu Akredytacji Bezpieczeństwa Fizycznego i Technicznego
lub odmowa jego przyznania kończy proces akredytacji.
3. Certyfikat Akredytacji Bezpieczeństwa Fizycznego i Technicznego lub decyzja
o odmowie
jego przyznania przekazywany jest do wnioskodawcy w terminie do 14 dni od daty
jego podpisania.
4. Rozstrzygnięcie Dyrektora BBT SKW, w przed-miocie oceny bezpieczeństwa
fizycznego i technicznego, jest ostateczne.
5. Pomieszczenia specjalne, posiadające Certyfikat Akredytacji Bezpieczeństwa
Fizycznego i Technicznego, podlegają audytom w nadzorze.
§ 9.
1. Certyfikat Akredytacji
Bezpieczeństwa Fizycznego i Technicznego dla pomieszczeń specjalnych, w
których funkcjonują kancelarie tajne — zagraniczne lub punkty obsługi
dokumentów zagranicznych, wydawany jest w czterech numerowanych egzemplarzach,
z których:
1) pierwszy pozostaje w JC SKW;
2) drugi otrzymuje jednostka organizacyjna, która wnioskowała o akredytację
bezpieczeństwa;
3) trzeci otrzymuje Pełnomocnik Ministra Obrony Narodowej do Spraw Ochrony
Informacji Niejawnych;
4) czwarty otrzymuje Biuro Ochrony Informacji Niejawnych Służby Kontrwywiadu
Wojskowego.
2. Certyfikat Akredytacji
Bezpieczeństwa Fizycznego i Technicznego dla pomieszczeń specjalnych, w
których funkcjonują Kancelarie Kryptograficzne, wydawany jest w pięciu
numerowanych egzemplarzach, z których:
1) pierwszy pozostaje w JC SKW;
2) drugi otrzymuje jednostka organizacyjna, która wnioskowała o akredytację
bezpieczeństwa;
3) trzeci otrzymuje Biuro Łączności i Informatyki Służby Kontrwywiadu
Wojskowego;
4) czwarty otrzymuje Pełnomocnik Ministra Obrony Narodowej do Spraw Ochrony
Informacji Niejawnych;
5) piąty otrzymuje Wojskowe Biuro Bezpieczeństwa Łączności i Informatyki.
3. Certyfikat Akredytacji Bezpieczeństwa Fizycznego i Technicznego dla
pomieszczenia specjalnego, w którym funkcjonuje element systemu teleinformatycznego,
wydawany jest w czterech numerowanych egzemplarzach, z których:
1) pierwszy pozostaje w JC SKW;
2) drugi otrzymuje jednostka organizacyjna, która wnioskowała o akredytację
bezpieczeństwa;
3) trzeci otrzymuje Pełnomocnik Ministra Obrony Narodowej do Spraw Ochrony
Informacji Niejawnych;
4) czwarty otrzymuje Wojskowe Biuro Bezpieczeństwa Łączności i Informatyki.
4. Certyfikat Akredytacji Bezpieczeństwa Fizycznego i Technicznego dla
pomieszczenia specjalnego, w którym funkcjonuje specjalna strefa
bezpieczeństwa, wydawany jest w czterech numerowanych egzemplarzach, z
których:
1) pierwszy pozostaje w JC SKW;
2) drugi otrzymuje jednostka organizacyjna, która wnioskowała o akredytację
bezpieczeństwa;
3) trzeci otrzymuje Biuro Ochrony Informacji Niejawnych Służby Kontrwywiadu
Wojskowego;
4) czwarty otrzymuje Pełnomocnik Ministra Obrony Narodowej do Spraw Ochrony
Informacji Niejawnych.
§ 10.
Certyfikat Akredytacji
Bezpieczeństwa Fizycznego i Technicznego dla pomieszczenia specjalnego może
być wydany na okres do:
1) trzech lat — dla pomieszczeń specjalnych, które stanowią specjalną strefę
bezpieczeństwa;
2) pięciu lat — dla pomieszczeń, w których są wytwarzane, przechowywane,
przetwarzane lub przekazywane informacje niejawne stanowiące tajemnicę
państwową o klauzuli „ściśle tajne";
3) siedmiu lat — dla pomieszczeń, w których są wytwarzane, przechowywane,
przetwarzane lub przekazywane informacje niejawne stanowiące tajemnicę
państwową o klauzuli „tajne";
4) dziesięciu lat — dla pomieszczeń, w których są wytwarzane, przechowywane,
przetwarzane lub przekazywane informacje niejawne stanowiące tajemnicę
służbową o klauzuli "poufne".
§ 11.
1. W przypadku stwierdzenia
naruszenia warunków certyfikatu, Dyrektor BBT SKW, na wniosek Kierownika JC
SKW, może zawiesić certyfikat do czasu usunięcia naruszeń lub go cofnąć.
2. O zawieszeniu lub cofnięciu certyfikatu informuje się podmioty wymienione
odpowiednio w § 9.
3. Pomieszczenie specjalne, dla którego kończy się okres ważności wydanego
certyfikatu, zgłasza się do ponownej akredytacji minimum na sześć miesięcy
przed terminem upływu ważności certyfikatu.
4.
Po
wydaniu Certyfikatu Akredytacji Bezpieczeństwa Fizycznego i Technicznego dla
pomieszczenia specjalnego, które jest specjalną strefą bezpieczeństwa
niedopuszczalne jest wnoszenie jakichkolwiek przedmiotów pod rygorem cofnięcia
certyfikatu.
5. W przypadku wystąpienia
konieczności doposażenia pomieszczenia specjalnego, będącego specjalną strefą
bezpieczeństwa, dla którego wydano ważny certyfikat, tok postępowania określa
Kierownik JC SKW w trybie indywidualnym.
6. W
przypadku likwidacji, zmiany nazwy lub zmiany miejsca stałej
dyslokacji jednostki organizacyjnej, która posiada akredytowane pomieszczenie
specjalne, o zaistniałym fakcie należy poinformować Kierownika JC SKW, który
określi tryb dalszego postępowania.
§ 12.
Certyfikaty wydane na podstawie
dotychczasowych przepisów zachowują ważność do upływu terminu ich ważności.
§ 13.
Traci
moc decyzja 448/MON Ministra Obrony Narodowej z dnia 4 października 2007 r. w
sprawie trybu akredytacji bezpieczeństwa fizycznego i technicznego pomieszczeń
specjalnych (Dz. Urz. MON Nr 20, poz. 202).
§ 14.
Decyzja
wchodzi w życie po upływie 14 dni od dnia ogłoszenia.
======================
1) Zmiany tekstu jednolitego
wymienionej ustawy zostały ogłoszone w Dz. U. z 2006 r. Nr 104, poz. 708 i
711, Nr 149, poz. 1078, Nr 218, poz. 1592 i Nr 220, poz. 1600 oraz z 2008 r.
Nr 171, poz. 1056.
Załączniki
(dostępne na CD)
Załącznik Nr 1 - Wzór
formularza ACR-1
Załącznik Nr 2 - Wzór
upoważnienia
Załącznik Nr 3 -
Wzór formularza ACR-2
Załącznik Nr 4 -
Wzór formularza ACR-3
Załącznik Nr 5 -
Wzór certyfikatu akredytacji bezpieczeństwa fizycznego i technicznego
|
