Brak zabezpieczeń teleinformatycznych w urzędzie gminy/miasta uniemożliwia elektroniczne przetwarzanie danych

FUNKCJONOWANIE SAMORZĄDU - SAS 2 / 2021

PYTANIE

Czy w przypadku gdy urząd gminy nie posiada akredytacji dla systemów teleinformatycznych, nie wyznaczył również inspektora bezpieczeństwa
teleinformatycznego oraz administratora systemu, to dokumenty zawierające informacje niejawne (zastrzeżone) powinny być pisane np. odręcznie?

ODPOWIEDŹ

W przypadku braku udzielenia akredytacji bezpieczeństwa teleinformatycznego dla systemu teleinformatycznego, przeznaczonego do przetwarzania informacji niejawnych o klauzuli „zastrzeżone”, pisma winny być sporządzane odręcznie (przy zastosowaniu zasad bezpieczeństwa).

Kierownik jednostki organizacyjnej, w której są przetwarzane informacje niejawne, odpowiada za ich ochronę, w szczególności za zorganizowanie i zapewnienie funkcjonowania tej ochrony. W jednostce winien być przygotowany Plan ochrony Informacji Niejawnych. Kierownik jednostki organizacyjnej ma wyznaczyć:
pełnomocnika do spraw ochrony informacji niejawnych, zwanego „pełnomocnikiem ochrony”, który odpowiada za zapewnienie przestrzegania przepisów o ochronie informacji niejawnych;
inspektora bezpieczeństwa teleinformatycznego – pracownika lub pracowników pionu ochrony, odpowiedzialnych za weryfikację i bieżącą kontrolę zgodności funkcjonowania systemu teleinformatycznego ze szczególnymi wymaganiami bezpieczeństwa oraz przestrzegania procedur bezpiecznej eksploatacji;
administratora systemu – osobę lub zespół osób, niepełniących funkcji inspektora bezpieczeństwa teleinformatycznego, odpowiedzialnych za funkcjonowanie systemu teleinformatycznego oraz za przestrzeganie zasad i wymagań bezpieczeństwa przewidzianych dla systemu teleinformatycznego.

NALEŻY PAMIĘTAĆ!

Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji, zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność nie tylko z uwagi na przetwarzanie informacji niejawnych.

Dokumenty niejawne o klauzuli „zastrzeżone” mogą być ewidencjonowane na zasadach określonych przez kierownika jednostki, opisanych w Planie Ochrony Informacji Niejawnych,
Dokumenty niejawne wpływające do urzędu (także wytworzone i wychodzące z urzędu) ewidencjonuje się w dzienniku ewidencyjnym. Co do zasady wszystkie materiały zawierające informacje niejawne podlegają ewidencjonowaniu.
Informacje niejawne oznaczone klauzulą „zastrzeżone” można przechowywać na stanowisku pracy odpowiednio przygotowanym i zabezpieczonym. Informacje niejawne oznaczone klauzulą „zastrzeżone” mogą być udostępniane wyłącznie osobie uprawnionej do dostępu do informacji niejawnych o określonej klauzuli niejawności. Uzyskanie uprawnień dostępu do informacji niejawnych o klauzuli „zastrzeżone” może nastąpić po uzyskaniu przez pracownika upoważnienia dostępu do informacji niejawnych, oznaczonych klauzulą „zastrzeżone”, wydanego przez kierownika jednostki oraz po przeszkoleniu danej osoby w zakresie przepisów ustawy o ochronie informacji niejawnych i uzyskaniu odpowiedniego zaświadczenia. Zwykle postępowanie sprawdzające wobec pracowników jednostki w związku z dostępem do informacji niejawnych oznaczonych klauzulą „zastrzeżone” na pisemne polecenie kierownika jednostki przeprowadza pełnomocnik ds. ochrony informacji niejawnych.
Zapewnienie bezpieczeństwa teleinformatycznego jest obowiązkiem kierownika jednostki. Należy chronić informacje przetwarzane w systemach i sieciach teleinformatycznych przed utratą właściwości gwarantujących to bezpieczeństwo, w szczególności przed utratą poufności, dostępności i integralności. Za właściwą organizację bezpieczeństwa teleinformatycznego odpowiada wójt/burmistrz. Dokumentacja bezpieczeństwa systemu teleinformatycznego, w którym mają być wytwarzane, przetwarzane, przechowywane informacje niejawne, podlega akredytacji przez wójta gminy (odpowiednio burmistrza). Wójt udziela akredytacji bezpieczeństwa teleinformatycznego dla systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli „zastrzeżone” przez zatwierdzenie dokumentacji bezpieczeństwa systemu teleinformatycznego. Akredytacji udziela się na czas określony, nie dłuższy niż 5 lat. Przygotowaną dokumentację należy w ciągu 30 dni od udzielenia akredytacji bezpieczeństwa teleinformatycznego przekazać ABW.
Brak wdrożenia odpowiednich zabezpieczeń teleinformatycznych uniemożliwia wykorzystanie posiadanych zasobów do przekazywania dokumentów objętych klauzulą tajności za pomocą rozwiązań elektronicznych do wymiany informacji na odległość. Należy jak najszybciej wdrożyć odpowiednie procedury i dostosować własny system do wymagań bezpieczeństwa. Przydatny do tego może być obowiązkowy audyt (dokonywany nie rzadziej niż raz do roku) w ramach Krajowych Ram Interoperacyjności.

dr Marcin Adamczyk
radca prawny
Narodowy Instytut Samorządu Terytorialnego,
Wydział Prawa i Administracji UWM w Olsztynie.
Partner zarządzający działem prawa samorządowego w Kancelarii Prawnej „AJIP”

PODSTAWA PRAWNA:
– Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (t.j. Dz.U. z 2019 r., poz. 742)
– Rozporządzenie Rady Ministrów z dnia 7 grudnia 2011 r. w sprawie organizacji i funkcjonowania kancelarii tajnych oraz sposobu i trybu przetwarzania informacji niejawnych (t.j. Dz.U. z 2017 r., poz. 1558)
– Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (t.j. Dz.U. z 2017 r., poz. 2247)

SPIS TREŚCI

Wydawca: SKIBNIEWSKI MEDIA, Warszawa