Rozdział 10

Bezpieczeństwo systemów i sieci teleinformatycznych

Art. 60. 1. Systemy i sieci teleinformatyczne, w których mają być wytwarzane, przetwarzane, przechowywane lub przekazywane informacje niejawne, podlegają akredytacji bezpieczeństwa teleinformatycznego przez służby ochrony państwa.

2. Akredytacja, o której mowa w ust. 1, następuje na podstawie dokumentów szczególnych wymagań bezpieczeństwa i procedur bezpiecznej eksploatacji.

3. Urządzenia i narzędzia kryptograficzne, służące do ochrony informacji niejawnych stanowiących tajemnicę państwową lub tajemnicę służbową oznaczonych klauzulą „poufne”, podlegają badaniom i certyfikacji prowadzonym przez służby ochrony państwa.

4. W wyniku badań i certyfikacji, o których mowa w ust. 3, służby ochrony państwa wydają wzajemnie uznawane certyfikaty ochrony kryptograficznej.

5. Wytwarzanie, przetwarzanie, przechowywanie lub przekazywanie informacji niejawnych stanowiących tajemnicę państwową, odpowiednio do ich klauzuli tajności, jest dopuszczalne po uzyskaniu certyfikatu akredytacji bezpieczeństwa teleinformatycznego dla systemu lub sieci teleinformatycznej, wydanego przez właściwą służbę ochrony państwa.

6. Certyfikat, o którym mowa w ust. 5, wydaje się na podstawie:

1) przeprowadzonych zgodnie z ustawą postępowań sprawdzających wobec osób mających dostęp do systemu lub sieci teleinformatycznej;

2) zatwierdzonych przez właściwą służbę ochrony państwa dokumentów szczególnych wymagań bezpieczeństwa i procedur bezpiecznej eksploatacji;

3) audytu bezpieczeństwa systemu lub sieci teleinformatycznej, polegającego na weryfikacji poprawności realizacji wymagań i procedur, określonych w dokumentach szczególnych wymagań bezpieczeństwa i procedur bezpiecznej eksploatacji.

7. Szef właściwej służby ochrony państwa po zapoznaniu się z wynikiem analizy ryzyka dla bezpieczeństwa informacji niejawnych może, bez spełnienia niektórych wymagań w zakresie ochrony fizycznej, elektromagnetycznej lub kryptograficznej, dokonać, na czas określony, nie dłuższy jednak niż na 2 lata, akredytacji bezpieczeństwa teleinformatycznego systemu lub sieci teleinformatycznej, którym przyznano określoną klauzulę tajności, w przypadku gdy brak możliwości ich eksploatacji powodowałby zagrożenie dla porządku publicznego, obronności, bezpieczeństwa albo interesów międzynarodowych państwa.

8. Kierownicy jednostek organizacyjnych organów uprawnionych do prowadzenia na mocy odrębnych przepisów czynności operacyjno-rozpoznawczych mogą podjąć decyzję o eksploatacji środków technicznych umożliwiających uzyskiwanie, przetwarzanie, przechowywanie i przekazywanie w sposób tajny informacji oraz utrwalanie dowodów, bez konieczności spełnienia wymagań określonych w ust. 1 i 3 oraz 5 i 6, w przypadkach gdy ich spełnienie uniemożliwiałoby lub w znacznym stopniu utrudniałoby realizację czynności operacyjnych.

Rozdział 10

Bezpieczeństwo systemów i sieci teleinformatycznych

Art. 60. [Akredytacja systemów i sieci teleinformatycznych] [75] 1. Systemy i sieci teleinformatyczne, w których mają być wytwarzane, przetwarzane, przechowywane lub przekazywane informacje niejawne, podlegają akredytacji bezpieczeństwa teleinformatycznego przez służby ochrony państwa.

2. Akredytacja, o której mowa w ust. 1, następuje na podstawie dokumentów szczególnych wymagań bezpieczeństwa i procedur bezpiecznej eksploatacji.

3. Urządzenia i narzędzia kryptograficzne, służące do ochrony informacji niejawnych stanowiących tajemnicę państwową lub tajemnicę służbową oznaczonych klauzulą „poufne", podlegają badaniom i certyfikacji prowadzonym przez służby ochrony państwa.

4. W wyniku badań i certyfikacji, o których mowa w ust. 3, służby ochrony państwa wydają wzajemnie uznawane certyfikaty ochrony kryptograficznej.

5. Wytwarzanie, przetwarzanie, przechowywanie lub przekazywanie informacji niejawnych stanowiących tajemnicę państwową, odpowiednio do ich klauzuli tajności, jest dopuszczalne po uzyskaniu certyfikatu akredytacji bezpieczeństwa teleinformatycznego dla systemu lub sieci teleinformatycznej, wydanego przez właściwą służbę ochrony państwa.

6. Certyfikat, o którym mowa w ust. 5, wydaje się na podstawie:

1) przeprowadzonych zgodnie z ustawą postępowań sprawdzających wobec osób mających dostęp do systemu lub sieci teleinformatycznej,

2) zatwierdzonych przez właściwą służbę ochrony państwa dokumentów szczególnych wymagań bezpieczeństwa i procedur bezpiecznej eksploatacji,

3) audytu bezpieczeństwa systemu lub sieci teleinformatycznej, polegającego na weryfikacji poprawności realizacji wymagań i procedur, określonych w dokumentach szczególnych wymagań bezpieczeństwa i procedur bezpiecznej eksploatacji.

7. Szef właściwej służby ochrony państwa po zapoznaniu się z wynikiem analizy ryzyka dla bezpieczeństwa informacji niejawnych może, bez spełnienia niektórych wymagań w zakresie ochrony fizycznej, elektromagnetycznej lub kryptograficznej, dokonać, na czas określony, nie dłuższy jednak niż na 2 lata, akredytacji bezpieczeństwa teleinformatycznego systemu lub sieci teleinformatycznej, którym przyznano określoną klauzulę tajności, w przypadku gdy brak możliwości ich eksploatacji powodowałby zagrożenie dla porządku publicznego, obronności, bezpieczeństwa albo interesów międzynarodowych państwa.

8. Kierownicy jednostek organizacyjnych organów uprawnionych do prowadzenia na mocy odrębnych przepisów czynności operacyjno-rozpoznawczych mogą podjąć decyzję o eksploatacji środków technicznych umożliwiających uzyskiwanie, przetwarzanie, przechowywanie i przekazywanie w sposób tajny informacji oraz utrwalanie dowodów, bez konieczności spełnienia wymagań określonych w ust. 1 i 3 oraz 5 i 6, w przypadkach gdy ich spełnienie uniemożliwiałoby lub w znacznym stopniu utrudniałoby realizację czynności operacyjnych.

Rozdział 10

Bezpieczeństwo systemów i sieci teleinformatycznych

Art. 60. [Ochrona systemów i sieci teleinformatycznych] 1. Systemy i sieci teleinformatyczne, służące do wytwarzania, przechowywania, przetwarzania lub przekazywania informacji niejawnych stanowiących tajemnicę państwową, podlegają szczególnej ochronie przed nieuprawnionym ujawnieniem tych informacji, a także przed możliwością przypadkowego lub świadomego narażenia ich bezpieczeństwa.

2. Przekazanie informacji niejawnych stanowiących tajemnicę państwową za pośrednictwem systemów i sieci teleinformatycznych, które składają się z certyfikowanych urządzeń i narzędzi kryptograficznych, może nastąpić pod warunkiem zastosowania kryptograficznych metod i środków ochrony, dopuszczonych do eksploatacji na podstawie szczególnych wymagań bezpieczeństwa, w trybie art. 61 i 62.

3. Szczególne wymagania bezpieczeństwa systemu lub sieci teleinformatycznej powinny być kompletnym i wyczerpującym opisem ich budowy, zasad działania i eksploatacji wraz z procedurami bezpieczeństwa, które muszą być spełnione w fazie projektowania, wdrażania i funkcjonowania systemu lub sieci. Procedury bezpieczeństwa obejmują zasady i tryb postępowania w sprawach związanych z bezpieczeństwem informacji niejawnych, a także określają zakres odpowiedzialności użytkowników systemu lub sieci teleinformatycznych oraz pracowników mających do nich dostęp.

4. Prezes Rady Ministrów określi, w drodze rozporządzenia, podstawowe wymagania bezpieczeństwa teleinformatycznego, jakim powinny odpowiadać systemy i sieci teleinformatyczne służące do wytwarzania, przetwarzania, przechowywania lub przekazywania informacji niejawnych, oraz wytyczne do opracowywania szczególnych wymagań bezpieczeństwa tych systemów i sieci.

5. W rozporządzeniu, o którym mowa w ust. 4, określa się w szczególności podstawowe wymagania bezpieczeństwa systemów i sieci teleinformatycznych w zakresie ochrony fizycznej, elektromagnetycznej, kryptograficznej, bezpieczeństwa transmisji w sieciach lub systemach teleinformatycznych służących do wytwarzania, przetwarzania, przechowywania lub przekazywania informacji niejawnych.