10.05.2011 ROZPORZDZENIE PREZESA RADY MINISTRW z dnia . w sprawie podstawowych wymaga bezpieczestwa teleinformatycznego Na podstawie art. 49 ust.

9 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228) zarzdza si, co nastpuje: Rozdzia 1 Przepisy oglne 1. Rozporzdzenie okrela: )1 podstawowe wymagania bezpieczestwa teleinformatycznego, jakim powinny odpowiada systemy teleinformatyczne, o ktrych mowa w art. 48 ust. 1 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych, zwanej dalej ustaw; )2 niezbdne dane, jakie powinna zawiera dokumentacja bezpieczestwa systemw teleinformatycznych oraz sposb jej opracowywania. 2. Ilekro w rozporzdzeniu jest mowa o: )1 dostpnoci naley przez to rozumie waciwo okrelajc, e zasb systemu teleinformatycznego jest moliwy do wykorzystania na danie, w okrelonym czasie, przez podmiot uprawniony do pracy w systemie teleinformatycznym; )2 incydencie bezpieczestwa teleinformatycznego naley przez to rozumie takie pojedyncze zdarzenie lub seri zdarze, zwizanych z bezpieczestwem informacji niejawnych, ktre zagraaj ich poufnoci, dostpnoci lub integralnoci; )3 informatycznym noniku danych naley przez to rozumie materia sucy do zapisywania, przechowywania i odczytywania danych w postaci cyfrowej; )4 integralnoci naley przez to rozumie waciwo okrelajc, e zasb systemu teleinformatycznego nie zosta zmodyfikowany w sposb nieuprawniony;

)5 oprogramowaniu zoliwym naley przez to rozumie oprogramowanie, ktrego celem jest przeprowadzenie nieuprawnionych lub szkodliwych dziaa w systemie teleinformatycznym; )6 podatnoci naley przez to rozumie sabo zasobu lub zabezpieczenia systemu teleinformatycznego, ktra moe zosta wykorzystana przez zagroenie; )7 poczeniu midzysystemowym naley przez to rozumie techniczne lub organizacyjne poczenie dwch lub wicej systemw teleinformatycznych, umoliwiajce ich wspprac, a w szczeglnoci wymian danych; )8 poufnoci naley przez to rozumie waciwo okrelajc, e informacja nie jest ujawniana nieuprawnionym do tego podmiotom; )9 przekazywaniu informacji naley przez to rozumie zarwno transmisj informacji, jak i przekazywanie informacji na informatycznych nonikach danych, na ktrych zostay utrwalone; )10 testach bezpieczestwa naley przez to rozumie testy poprawnoci i skutecznoci funkcjonowania zabezpiecze w systemie teleinformatycznym; )11 zabezpieczeniu naley przez to rozumie rodki o charakterze fizycznym, technicznym lub organizacyjnym zmniejszajce ryzyko; )12 zagroeniu naley przez to rozumie potencjaln przyczyn niepodanego zdarzenia, ktre moe wywoa szkod w zasobach systemu teleinformatycznego; )13 zaleceniach naley przez to rozumie zalecenia w zakresie bezpieczestwa teleinformatycznego, o ktrych mowa w art. 53 ust. 3 ustawy; )14 zasobach systemu teleinformatycznego naley przez to rozumie przetwarzane w systemie teleinformatycznym informacje, jak rwnie osoby, usugi, oprogramowanie, dane i sprzt oraz inne elementy majce wpyw na bezpieczestwo tych informacji. 3.Ze wzgldu na posiadane przez uytkownikw systemu teleinformatycznego uprawnienia dostpu do informacji niejawnych, system teleinformatyczny przeznaczony do przetwarzania informacji niejawnych moe funkcjonowa w jednym z nastpujcych trybw bezpieczestwa pracy: )1 dedykowanym - w ktrym spenione s cznie nastpujce warunki:

a) wszyscy uytkownicy posiadaj uprawnienie do dostpu do informacji niejawnych o najwyszej klauzuli tajnoci, jakie mog by przetwarzane w tym systemie teleinformatycznym, b) wszyscy uytkownicy maj uzasadnion potrzeb dostpu do wszystkich informacji niejawnych przetwarzanych w systemie teleinformatycznym; )2 systemowym - w ktrym spenione s cznie nastpujce warunki: a) wszyscy uytkownicy posiadaj uprawnienie do dostpu do informacji niejawnych o najwyszej klauzuli tajnoci, jakie mog by przetwarzane w tym systemie teleinformatycznym, b) nie wszyscy uytkownicy maj uzasadnion potrzeb dostpu do wszystkich informacji niejawnych przetwarzanych w systemie teleinformatycznym; )3 wielopoziomowym - w ktrym spenione s cznie nastpujce warunki: a) nie wszyscy uytkownicy posiadaj uprawnienie do dostpu do informacji niejawnych o najwyszej klauzuli tajnoci, jakie mog by przetwarzane w tym systemie teleinformatycznym, b) nie wszyscy uytkownicy maj uzasadnion potrzeb dostpu do wszystkich informacji niejawnych przetwarzanych w systemie teleinformatycznym. 4.Jednostka organizujca system teleinformatyczny przeznaczony do przetwarzania informacji niejawnych midzynarodowych, uwzgldnia przy jego organizowaniu wymagania bezpieczestwa teleinformatycznego wynikajce z umw midzynarodowych. Rozdzia 2 Podstawowe wymagania bezpieczestwa teleinformatycznego 1.1. Bezpieczestwo informacji niejawnych przetwarzanych w systemie

teleinformatycznym zapewnia si przez wdroenie spjnego zbioru zabezpiecze w celu zapewnienia poufnoci, integralnoci i dostpnoci tych informacji. .2Cel, o ktrym mowa w ust. 1, osiga si poprzez: )1 objcie systemu teleinformatycznego procesem zarzdzania ryzykiem dla bezpieczestwa informacji niejawnych przetwarzanych w systemie teleinformatycznym, teleinformatycznym; 3 zwanego dalej zarzdzaniem ryzykiem w systemie

)2 ograniczenie

zaufania,

polegajce

na

traktowaniu

innych

systemw

teleinformatycznych jako potencjalnych rde zagroe oraz wdroeniu w systemie teleinformatycznym zabezpiecze kontrolujcych wymian informacji z tymi systemami teleinformatycznymi; )3 wprowadzenie organizacji wielopoziomowej systemu ochrony systemu w teleinformatycznego, celu ograniczenia

polegajcej na stosowaniu zabezpiecze na moliwie wielu rnych poziomach ochrony teleinformatycznego, wystpowania przypadkw, w ktrych przeamanie pojedynczego zabezpieczenia skutkuje naruszeniem celu, o ktrym mowa w ust. 1; )4 wykonywanie okresowych testw bezpieczestwa; )5 ograniczanie uprawnie, polegajce na nadawaniu uytkownikom systemu teleinformatycznego wycznie uprawnie niezbdnych do wykonywania pracy; )6 minimalizacj funkcjonalnoci, polegajc na instalowaniu, uaktywnianiu

i wykorzystywaniu w systemie teleinformatycznym wycznie funkcji, protokow komunikacyjnych i usug niezbdnych dla prawidowej realizacji zada, do ktrych system teleinformatyczny zosta przeznaczony. 2.W celu zapewnienia ochrony przed nieuprawnionym dostpem do systemu

teleinformatycznego: )1 ustala si warunki i sposb przydzielania uytkownikom uprawnie do pracy w systemie teleinformatycznym; )2 chroni si informacje i materiay umoliwiajce dostp do systemu

teleinformatycznego; )3 chroni si elementy systemu teleinformatycznego istotne dla jego bezpieczestwa oraz wdraa si je w sposb zapewniajcy moliwo wykrycia wprowadzenia nieuprawnionych zmian lub prb ich wprowadzenia. 3.Przed dopuszczeniem osb do pracy w systemie teleinformatycznym kierownik jednostki organizacyjnej zapewnia ich przeszkolenie z zakresu bezpieczestwa teleinformatycznego oraz zapoznanie z procedurami bezpiecznej eksploatacji w zakresie, jaki ich dotyczy. 4.1. W celu niedopuszczenia do utraty poufnoci informacji niejawnych na skutek wykorzystania elektromagnetycznej emisji ujawniajcej, ktra pochodzi z elementw systemu, w systemie teleinformatycznym przetwarzajcym informacje niejawne o klauzuli poufne lub 4

wyszej, stosuje si rodki ochrony elektromagnetycznej dobierane na podstawie wynikw szacowania ryzyka dla bezpieczestwa informacji niejawnych, z uwzgldnieniem zalece. .1W celu niedopuszczenia do utraty dostpnoci informacji niejawnych przetwarzanych w urzdzeniach teleinformatycznych na skutek zakcania ich pracy za pomoc emisji lub impulsw elektromagnetycznych o duej mocy, stosuje si rodki ochrony elektromagnetycznej dobierane na podstawie wynikw szacowania ryzyka dla bezpieczestwa informacji niejawnych. 5.1. W celu zapewnienia dostpnoci zasobw w systemie teleinformatycznym ustala si: )1 zasady tworzenia i przechowywania kopii zapasowych; )2 procedury postpowania w sytuacjach kryzysowych, w tym w przypadkach awarii elementw systemu teleinformatycznego; )3 procedury monitorowania stanu technicznego systemu teleinformatycznego. .1W zalenoci od potrzeb oraz wynikw szacowania ryzyka dla bezpieczestwa informacji niejawnych, w celu zapewnienia dostpnoci zasobw systemu teleinformatycznego stosuje si w szczeglnoci alternatywne cza telekomunikacyjne, alternatywne urzdzenia lub zasilanie awaryjne. 6.1. W zalenoci od potrzeb oraz wynikw szacowania ryzyka dla bezpieczestwa informacji niejawnych, transmisj danych pomidzy elementami systemu teleinformatycznego chroni si przed wykryciem, przechwyceniem lub zakcaniem. .1Poufno informacji niejawnych przekazywanych w formie transmisji poza strefami ochronnymi zapewnia si poprzez stosowanie urzdze lub narzdzi kryptograficznych, certyfikowanych zgodnie z art. 50 ust. 2 ustawy lub dopuszczonych w trybie z art. 50 ust. 7 ustawy, odpowiednich do klauzuli tajnoci przekazywanych informacji. .2W szczeglnie uzasadnionych przypadkach, biorc pod uwag wyniki szacowania ryzyka dla bezpieczestwa informacji niejawnych rodki ochrony kryptograficznej, o ktrych mowa w ust. 2, mog zosta uzupenione lub zastpione zabezpieczeniami innymi ni kryptograficzne. 7.W zakresie niezbdnym do zapewnienia przegldu, analizy oraz dostarczania dowodw dziaa naruszajcych bezpieczestwo informacji niejawnych, dla systemu teleinformatycznego przetwarzajcego informacje niejawne tworzy si i przechowuje rejestry zdarze oraz zapewnia si ich poufno, integralno i dostpno.

 8.System teleinformatyczny wyposaa si w mechanizmy lub procedury zapobiegajce incydentom bezpieczestwa teleinformatycznego, w tym zabezpieczajce przed dziaaniem oprogramowania zoliwego, a take umoliwiajce jak najszybsze wykrywanie incydentw bezpieczestwa teleinformatycznego oraz zapewniajce niezwoczne informowanie odpowiednich osb o wykrytym incydencie. 9.Administrator systemu teleinformatycznego bierze udzia w tworzeniu dokumentacji bezpieczestwa systemu teleinformatycznego oraz w procesie zarzdzania ryzykiem w systemie teleinformatycznym: )1 realizujc szkolenia uytkownikw systemu teleinformatycznego; )2 utrzymujc zgodno systemu teleinformatycznego z jego dokumentacj

bezpieczestwa; )3 wdraajc zabezpieczenia w systemie teleinformatycznym. 10.Inspektor bezpieczestwa teleinformatycznego bierze udzia w procesie zarzdzania ryzykiem w systemie teleinformatycznym, weryfikujc: )1 poprawno realizacji zada przez administratora, w tym waciwe zarzdzanie konfiguracj oraz uprawnieniami przydzielanymi uytkownikom; )2 znajomo i przestrzeganie przez uytkownikw zasad ochrony informacji niejawnych oraz procedur bezpiecznej eksploatacji w systemie teleinformatycznym, w tym w zakresie wykorzystywania urzdze i narzdzi sucych do ochrony informacji niejawnych; )3 stan zabezpiecze systemu teleinformatycznego, w tym analizujc rejestry zdarze systemu teleinformatycznego. 11.1. W przypadku organizacji poczenia midzysystemowego uwzgldnia si wymaganie ograniczonego zaufania, o ktrym mowa w 5 ust. 2 pkt 2. .3Organizujc poczenie midzysystemowe wdraa si zabezpieczenia uniemoliwiajce przekazywanie niepodanych informacji pomidzy czonymi systemami teleinformatycznymi, w szczeglnoci uniemoliwiajce przekazywanie informacji o wyszej klauzuli tajnoci do systemu teleinformatycznego przetwarzajcego informacje o klauzuli niszej. 12.Urzdzenie, narzdzie lub rodek przeznaczony do ochrony informacji niejawnych, dla ktrego zosta wydany przez Agencj Bezpieczestwa Wewntrznego, zwan dalej ABW, lub Sub Kontrwywiadu Wojskowego, zwan dalej SKW, certyfikat, o ktrym mowa w art. 50 ust.

4 ustawy, podlega ochronie do momentu jego zniszczenia lub wycofania, zgodnie z zaleceniami ABW lub SKW. 13.1. Informatyczne noniki danych przeznaczone do przetwarzania informacji niejawnych obejmuje si ochron od momentu oznaczenia nonika klauzul tajnoci a do trwaego usunicia danych na nim zapisanych oraz zniesienia klauzuli tajnoci albo do momentu jego zniszczenia. .4Informacje niejawne przekazywane poza stref ochronn na informatycznych nonikach danych chroni si: )1 z wykorzystaniem urzdze lub narzdzi kryptograficznych, certyfikowanych zgodnie z art. 50 ust. 2 ustawy lub dopuszczonych w trybie art. 50 ust. 7 ustawy, odpowiednich do klauzuli tajnoci przekazywanych informacji, lub )2 przez spenienie wymaga, o ktrych mowa w przepisach w sprawie trybu i sposobu przyjmowania, przewoenia, wydawania i ochrony materiaw, w celu ich zabezpieczenia przed nieuprawnionym ujawnieniem, utrat, uszkodzeniem lub zniszczeniem. .5Sposb i metody trwaego usuwania danych oraz niszczenia informatycznych nonikw danych okrela si z uwzgldnieniem zalece. .6Klauzula tajnoci informatycznych nonikw danych umoliwiajcych wielokrotny zapis, na ktrych zapisano informacje niejawne oznaczone klauzul tajne lub cile tajne, nie podlega zniesieniu lub obnieniu. 14.1. Bezpieczestwo skadajcym si z etapw: )1 planowania; )2 projektowania; )3 wdraania; )4 eksploatacji; )5 wycofywania. .1Na etapie planowania ustala si potrzeby w zakresie przetwarzania informacji niejawnych w systemie teleinformatycznym, w szczeglnoci okrela si: )6 przeznaczenie systemu teleinformatycznego; informacji niejawnych przetwarzanych w systemie

teleinformatycznym uwzgldnia si w caym cyklu funkcjonowania systemu teleinformatycznego,

)7 maksymaln klauzul tajnoci informacji niejawnych, ktre bd przetwarzane w systemie teleinformatycznym; )8 tryb bezpieczestwa pracy systemu teleinformatycznego; )9 szacunkow liczb uytkownikw; )10 planowan lokalizacj. .2Na etapie projektowania: )11 przeprowadza si wstpne szacowanie ryzyka dla bezpieczestwa informacji niejawnych w celu okrelenia wymaga dla zabezpiecze; )12 dokonuje si wyboru zabezpiecze dla systemu teleinformatycznego w oparciu o wyniki wstpnego szacowania ryzyka dla bezpieczestwa informacji niejawnych; )13 uzgadnia si z podmiotem akredytujcym plan akredytacji obejmujcy zakres i harmonogram przedsiwzi wymaganych do uzyskania akredytacji bezpieczestwa teleinformatycznego; )14 uzgadnia si z podmiotem zaopatrujcym w klucze kryptograficzne rodzaj oraz ilo niezbdnych urzdze lub narzdzi kryptograficznych, a take sposb ich wykorzystania; )15 opracowuje si dokument szczeglnych wymaga bezpieczestwa. .3Na etapie wdraania: )16 pozyskuje i wdraa si urzdzenia lub narzdzia realizujce zabezpieczenia w systemie teleinformatycznym; )17 przeprowadza si testy bezpieczestwa systemu teleinformatycznego; )18 przeprowadza si szacowanie ryzyka dla bezpieczestwa informacji niejawnych z uwzgldnieniem wprowadzonych zabezpiecze; )19 opracowuje si dokument procedur bezpiecznej eksploatacji oraz uzupenia dokument szczeglnych wymaga bezpieczestwa; )20 system teleinformatyczny poddaje si akredytacji bezpieczestwa

teleinformatycznego. .4Na etapie eksploatacji: )21 utrzymuje si zgodno systemu teleinformatycznego z jego dokumentacj bezpieczestwa;

)22 zapewnia

si

cigo

procesu

zarzdzania

ryzykiem

systemie

teleinformatycznym; )23 okresowo przeprowadza si testy bezpieczestwa w celu weryfikacji poprawnoci dziaania poszczeglnych zabezpiecze oraz usuwa stwierdzone nieprawidowoci; )24 w zalenoci od potrzeb wprowadza si zmiany do systemu teleinformatycznego oraz, jeli jest to waciwe, wykonuje testy bezpieczestwa, a take uaktualnia dokumentacj wymagaj bezpieczestwa podmiotu, systemu ktry teleinformatycznego, akredytacji przy czym modyfikacje mogce mie wpyw na bezpieczestwo systemu teleinformatycznego zgody udzieli bezpieczestwa teleinformatycznego, za w przypadku systemw teleinformatycznych, o ktrych mowa w art. 48 ust. 9 i 10 ustawy, przekazania, odpowiednio do ABW albo SKW, w terminie 30 dni od wprowadzenia wyej wymienionych modyfikacji, uaktualnionej dokumentacji bezpieczestwa systemu teleinformatycznego, w szczeglnoci w formie aneksw. .5Na etapie wycofywania: )25 zaprzestaje si eksploatacji systemu teleinformatycznego; )26 powiadamia si pisemnie ABW albo SKW o wycofaniu systemu z eksploatacji; )27 zwraca si do ABW albo SKW wiadectwo akredytacji bezpieczestwa systemu teleinformatycznego, jeeli system teleinformatyczny przeznaczony by do przetwarzania informacji niejawnych o klauzuli poufne lub wyszej; )28 usuwa si informacje niejawne z systemu teleinformatycznego, w szczeglnoci poprzez przeniesienie ich do innego systemu teleinformatycznego, zarchiwizowanie lub zniszczenie informatycznych nonikw danych. Rozdzia 3 Zarzdzanie ryzykiem w systemie teleinformatycznym 1.1. Proces zarzdzania ryzykiem w systemie teleinformatycznym prowadzi si w celu zapewnienia i utrzymania na poziomie akceptowanym przez kierownika danej jednostki organizacyjnej bezpieczestwa informacji niejawnych przetwarzanych w tym systemie. .1Zarzdzanie ryzykiem w systemie teleinformatycznym prowadzi si realizujc procesy: )1 szacowania ryzyka dla bezpieczestwa informacji niejawnych; )2 postpowania z ryzykiem; 9

)3 akceptacji ryzyka; )4 przegldu, monitorowania i informowania o ryzyku. .2Przed przeprowadzeniem procesu szacowania ryzyka: )5 ustala si granice i zakres analizy ryzyka; )6 ustanawia si struktur organizacyjn odpowiedzialn za zarzdzanie ryzykiem w systemie teleinformatycznym; )7 dokonuje si wyboru metody analizy ryzyka. .3Kierownik jednostki organizujcej system teleinformatyczny, odpowiada za zapewnienie cigoci procesu zarzdzania ryzykiem w systemie teleinformatycznym. .4W sytuacji, gdy system teleinformatyczny jest uytkowany przez kilka niezalenych jednostek organizacyjnych, kady kierownik jednostki organizacyjnej uytkujcej system teleinformatyczny, wspdziaa z osob, o ktrej mowa w ust. 4 w celu zapewnienia cigoci procesu zarzdzania ryzykiem w systemie teleinformatycznym. 2.1. Szacowanie ryzyka dla bezpieczestwa informacji niejawnych obejmuje: )1 analiz ryzyka, na ktr skadaj si: a) identyfikacja ryzyka, b) okrelenie wielkoci ryzyk; )2 ocen ryzyka. .1W ramach identyfikacji ryzyka okrela si: )3 zasoby systemu teleinformatycznego; )4 zagroenia; )5 podatnoci; )6 zabezpieczenia; )7 skutki wystpienia incydentu bezpieczestwa teleinformatycznego. .2W procesie okrelania wielkoci ryzyk wyznacza si poziomy zidentyfikowanych ryzyk. .3W procesie oceny ryzyka porwnuje si wyznaczone poziomy ryzyk z tymi, ktre mona zaakceptowa. Na podstawie oceny podejmuje si decyzj co do dalszego postpowania z ryzykami.

10

.4Wstpne szacowanie ryzyka dla bezpieczestwa informacji niejawnych przeprowadza si przed podjciem decyzji o wprowadzeniu niezbdnych zabezpiecze w systemie teleinformatycznym. .5Wyniki wstpnego szacowania ryzyka, o ktrym mowa w ust. : )8 przedstawia si w dokumentacji bezpieczestwa systemu teleinformatycznego; )9 wykorzystuje si w procesie projektowania zabezpiecze dla danego systemu teleinformatycznego przeciwdziaajcych zidentyfikowanym zagroeniom; )10 zachowuje si na potrzeby przyszych uaktualnie. .6Szacowanie ryzyka dla bezpieczestwa informacji niejawnych przeprowadza si ponownie: )11 w przypadku wprowadzania w systemie teleinformatycznym zmian, ktre mog mie wpyw na bezpieczestwo przetwarzanych w nim informacji; )12 po wykryciu nowych zagroe lub zidentyfikowaniu nowych podatnoci, ktre nie byy rozpatrywane podczas wczeniejszego szacowania ryzyka dla bezpieczestwa informacji niejawnych; )13 w przypadku zaistnienia istotnego incydentu bezpieczestwa teleinformatycznego; )14 jeli zmianie lub rozszerzeniu ulego przeznaczenie, zadania lub funkcjonalno systemu teleinformatycznego; )15 okresowo, w ramach procesu zarzdzania ryzykiem w systemie

teleinformatycznym. .7Czstotliwo okresowego przeprowadzania szacowania ryzyka, o ktrym mowa w ust. pkt 5 okrela si w dokumentacji bezpieczestwa systemu teleinformatycznego. 3.1. W ramach postpowania z ryzykiem moliwe jest: )1 obnianie ryzyka poprzez wdraanie zabezpiecze; )2 pozostawienie ryzyka na poziomie okrelonym w procesie szacowania ryzyka i zaniechanie dalszych dziaa; )3 unikanie ryzyka poprzez niepodejmowanie dziaa bdcych rdem ryzyka; )4 przeniesienie ryzyka na inny podmiot w zakresie odpowiedzialnoci za zarzdzanie ryzykiem bez moliwoci przeniesienia odpowiedzialnoci za skutki wynikajce z naruszenia poufnoci, integralnoci lub dostpnoci informacji niejawnych przetwarzanych w systemie teleinformatycznym..

11

.1Doboru zabezpiecze, o ktrych mowa w ust. 1 pkt 1, dokonuje si z uwzgldnieniem zalece. .2Dla ryzyk, ktre nie mog by zaakceptowane ze wzgldu na ich zbyt wysoki poziom, proces postpowania z ryzykiem przeprowadza si ponownie, analizujc inne warianty. .3Ryzyka pozostajce po procesie postpowania z ryzykiem (ryzyka szcztkowe) podlegaj procesowi akceptacji ryzyka. 4.Kierownik jednostki organizacyjnej w procesie akceptacji ryzyka dokonuje formalnego zaakceptowania ryzyka szcztkowego wraz z jego ewentualnymi konsekwencjami. 5.Proces przegldu, monitorowania i informowania o ryzyku przeprowadza si przez: )1 regularny przegld i udoskonalanie procesu zarzdzania ryzykiem w systemie teleinformatycznym w celu zapewnienia jego prawidowoci i skutecznoci stosownie do zmieniajcych si okolicznoci; )2 monitorowanie czynnikw ryzyka w celu wykrycia zmian we wczesnym ich stadium i moliwie szybkim na nie reagowaniu; )3 niezwoczne przekazywanie informacji o pojawiajcych si ryzykach osobom odpowiedzialnym za zarzdzanie ryzykiem. 6.W procesie zarzdzania ryzykiem w systemie teleinformatycznym uwzgldnia si zalecenia. Rozdzia 4 Dokumentacja bezpieczestwa teleinformatycznego 1.1. Dokument szczeglnych wymaga bezpieczestwa systemu teleinformatycznego opracowuje si po przeprowadzeniu szacowania ryzyka dla bezpieczestwa informacji niejawnych, ktre maj by przetwarzane w systemie teleinformatycznym, z uwzgldnieniem warunkw charakterystycznych dla jednostki organizacyjnej. .2.Dokument szczeglnych wymaga bezpieczestwa zawiera nastpujce dane: rodzaje oraz klauzule tajnoci informacji niejawnych, ktre bd przetwarzane w systemie teleinformatycznym; )1 grupy uytkownikw systemu teleinformatycznego wyodrbnione ze wzgldu na posiadane uprawnienia do pracy w systemie teleinformatycznym, 12

)2 tryb bezpieczestwa pracy systemu teleinformatycznego; )3 przeznaczenie i funkcjonalno systemu teleinformatycznego; )4 wymagania eksploatacyjne dla wymiany informacji i pocze z innymi systemami teleinformatycznymi; )5 lokalizacj systemu teleinformatycznego. .2.W dokumencie szczeglnych wymaga bezpieczestwa ponadto zawiera si

informacje o: )6 metodyce uytej w procesie szacowania ryzyka dla bezpieczestwa informacji niejawnych oraz raport z tego procesu; )7 zastosowanych zabezpieczeniach; )8 ryzykach szcztkowych oraz deklaracji ich akceptacji; )9 powiadczeniach bezpieczestwa lub innych formalnych uprawnieniach do dostpu do informacji niejawnych, posiadanych przez uytkownikw systemu teleinformatycznego; )10 bezpieczestwie fizycznym, w tym granicach i lokalizacji stref ochronnych oraz rodkach ich ochrony; )11 ochronie elektromagnetycznej; )12 stosowanych urzdzeniach lub narzdziach kryptograficznych; )13 cigoci dziaania, w tym tworzeniu kopii zapasowych, odzyskiwaniu systemu oraz, jeeli to waciwe, zapewnieniu alternatywnych czy telekomunikacyjnych lub urzdze, a take zasilaniu awaryjnym; )14 ustawieniach konfiguracyjnych systemu teleinformatycznego; )15 utrzymaniu systemu, w tym dokonywaniu przegldw diagnostycznych i napraw; )16 zapobieganiu incydentom bezpieczestwa teleinformatycznego, w tym ochronie przed oprogramowaniem zoliwym; )17 zasadach wprowadzania poprawek lub uaktualnie oprogramowania; )18 ochronie nonikw, w tym ich oznaczaniu, dostpie, transporcie, obnianiu ich klauzul tajnoci i niszczeniu; )19 identyfikacji i uwierzytelnieniu uytkownikw i urzdze;

13

)20 kontroli dostpu; )21 audycie wewntrznym; )22 zarzdzaniu ryzykiem w systemie teleinformatycznym; )23 zmianach w systemie teleinformatycznym, w tym dotyczcych aktualizacji

dokumentacji bezpieczestwa systemu teleinformatycznego oraz warunkach ponownej akredytacji systemu teleinformatycznego i wycofania z eksploatacji; 2.1. W dokumencie procedur bezpiecznej eksploatacji okrela si szczegowy wykaz procedur bezpieczestwa wraz z dokadnym opisem sposobu ich wykonania, realizowanych przez osoby odpowiedzialne za bezpieczestwo teleinformatyczne oraz osoby uprawnione do pracy w systemie teleinformatycznym, obejmujcy: )1 administrowanie systemem teleinformatycznym oraz zastosowanymi rodkami

zabezpieczajcymi; )2 bezpieczestwo urzdze; )3 bezpieczestwo oprogramowania; )4 zarzdzanie konfiguracj sprztowo-programow, w tym zasady serwisowania lub modernizacji oraz wycofywania z uycia elementw systemu teleinformatycznego; )5 plany awaryjne; )6 monitorowanie i audyt systemu teleinformatycznego; )7 zarzdzanie nonikami; )8 zarzdzanie materiaami kryptograficznymi; )9 stosowanie ochrony elektromagnetycznej; )1 reagowanie na incydenty bezpieczestwa teleinformatycznego; )2 szkolenia uytkownikw systemu teleinformatycznego dotyczce zasad korzystania z systemu teleinformatycznego; )3 wprowadzanie danych do systemu i ich wyprowadzanie z systemu. .2.W szczeglnie uzasadnionych przypadkach zwizanych z przeznaczeniem lub funkcjonalnoci systemu teleinformatycznego dodatkowe procedury bezpieczestwa mog zosta okrelone w zaleceniach.

14

 3.W przypadku systemu teleinformatycznego funkcjonujcego w wicej ni jednej jednostce organizacyjnej, po uzgodnieniu z jednostk organizujc system, dokumentacja bezpieczestwa systemu teleinformatycznego moe by uzupeniona o aneksy zawierajce dane dotyczce konkretnych lokalizacji, sporzdzane przez kierownikw jednostek organizacyjnych, w ktrych znajduj si elementy systemu teleinformatycznego. Rozdzia 2 Przepis kocowy 1.Rozporzdzenie wchodzi w ycie po upywie 14 dni od dnia ogoszenia. 1)

Prezes Rady Ministrw

1)

Niniejsze rozporzdzenie byo poprzedzone rozporzdzeniem Prezesa Rady Ministrw z dnia 25 sierpnia 2005 r. w sprawie podstawowych wymaga bezpieczestwa teleinformatycznego (Dz. U. z 2005 r., Nr 171, poz. 1433), ktre traci moc z dniem wejcia w ycie niniejszego rozporzdzenia na podstawie art. 189 ust. 1 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228).

15

UZASADNIENIE

Rozporzdzenie Prezesa Rady Ministrw w sprawie podstawowych wymaga bezpieczestwa teleinformatycznego stanowi wykonanie upowanienia ustawowego wynikajcego z art. 49 ust. 9 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228), zwanej dalej ustaw. Problematyka stanowica materi normatywn projektu jest aktualnie uregulowana w rozporzdzeniu Prezesa Rady Ministrw z dnia 25 sierpnia 2005 r. w sprawie podstawowych wymaga bezpieczestwa teleinformatycznego (Dz. U. Nr 171, poz. 1433). Proponowane doprecyzowanie rozporzdzenie podstawowych ma na celu okrelenie, ujednolicenie dla oraz

wymaga

bezpieczestwa

systemw

teleinformatycznych sucych do przetwarzania informacji niejawnych, przez co uatwi oraz usprawni organizacj systemu teleinformatycznego i tworzenie dokumentacji bezpieczestwa teleinformatycznego, zgodnie z nowymi przepisami ustawowymi. Obejmuje ono rwnie unormowanie stosowania spjnego zbioru zabezpiecze w celu zapewnienia ochrony informacji niejawnych przetwarzanych w systemach teleinformatycznych przed utrat poufnoci, integralnoci i dostpnoci, mogcych zaistnie w wyniku przypadku lub celowych dziaa. W przedmiotowym projekcie rozporzdzenia uszczegowiono podstawowe wymagania bezpieczestwa teleinformatycznego oraz tre przepisw dotyczcych dokumentacji bezpieczestwa teleinformatycznego. Okrelajc wymagania bezpieczestwa uwzgldniono regulacje zawarte w dokumentach normatywnych Unii Europejskiej (UE) i Organizacji Traktatu Pnocnoatlantyckiego (NATO) (Security within The North Atlantic Treaty Organisation C-M(2002)49, Decyzja Rady Unii Europejskiej z dnia 19 marca 2001 r. w sprawie przyjcia przepisw Rady dotyczcych bezpieczestwa) oraz wytyczne amerykaskiego National Institute of Standards and Technology (NIST) odnoszce si do bezpieczestwa systemw teleinformatycznych (w szczeglnoci dokument Special Publication 800-53 wykorzystany jako pomocniczy wzorzec sprawdzonych rozwiza dotyczcych regulowanej rozporzdzeniem materii). Szczeglny nacisk pooono na fakt, i bezpieczestwo informacji niejawnych przetwarzanych w systemie teleinformatycznym musi by uwzgldnione w caym cyklu ycia systemu teleinformatycznego, ktry to cykl szczegowo unormowano w 18. 16

Istotnym novum tego projektu rozporzdzenia jest rozdzia 3, zawierajcy przepisy dotyczce zarzdzania ryzykiem w systemie teleinformatycznym, okrelajce jego poszczeglne procesy oraz sposb ich realizacji. Sposb zarzdzania ryzykiem w systemie teleinformatycznym oparto o Polsk Norm PN-ISO/IEC 27005:2010. Definicje podatnoci oraz zagroenia zostay z kolei zaczerpnite z Polskiej Normy PNISO/IEC 17799:2007. Naley wyranie podkreli, e szacownie ryzyka dla bezpieczestwa informacji niejawnych jest jednym z trzech najwaniejszych, obok uwarunkowa wynikajcych z obowizujcych przepisw rodkw prawnych ochrony i zalece systemu w zakresie bezpieczestwa Std, teleinformatycznego, teleinformatycznego.

wprowadzenie takiego uregulowania ma na celu zapewnienie doboru zabezpiecze sucych ochronie sytemu teleinformatycznego w sposb spjny i racjonalny. W myl proponowanych uregulowa, za zapewnienie cigoci procesu zarzdzania ryzykiem w systemie teleinformatycznym, odpowiada kierownik jednostki organizacyjnej organizujcej ten system, a w przypadku, gdy system teleinformatyczny jest uytkowany przez kilka niezalenych jednostek organizacyjnych kady kierownik jednostki organizacyjnej uytkujcej system teleinformatyczny, wspdziaajc z innymi kierownikami jednostek organizacyjnych, w celu zapewnienia cigoci procesu zarzdzania ryzykiem w systemie teleinformatycznym. Projekt rozporzdzenia stanowi rozwinicie zawartej w nowej ustawie o ochronie informacji niejawnych zasady, zgodnie z ktr szacowanie ryzyka dla bezpieczestwa informacji niejawnych stao si podstaw okrelenia niezbdnych elementw bezpieczestwa teleinformatycznego. To wanie na podstawie wynikw szacowania ryzyka dla bezpieczestwa informacji niejawnych bdzie mona okreli, ktre zabezpieczenia s niezbdne, a ktre mona zastpi innymi (w tym np. taszymi) rozwizaniami zakadajc, e ryzyko szcztkowe z nimi zwizane bdzie mogo by zaakceptowane. Powysze rozwizanie (dziki zastosowaniu elastycznego i indywidualnego podejcia do kadego organizowanego systemu teleinformatycznego) moe mie wic korzystny wpyw na kwestie zwizane z kosztami organizacji bezpieczestwa teleinformatycznego. W stosunku do poprzedniego stanu prawnego, rozdzia 4, regulujcy zagadnienia zwizane z dokumentacj bezpieczestwa teleinformatycznego, zosta znacznie rozszerzony

17

i uszczegowiony, przy czym duy nacisk pooono w nim na zgodno z obowizujcymi w tym zakresie uregulowaniami UE i NATO. W rozdziale tym usystematyzowano m. in. wymagania dotyczce zawartoci dokumentacji bezpieczestwa, warunkujcej moliwo akredytacji systemu teleinformatycznego oraz sprawowania pniejszego nadzoru w celu zapewnienia bezpieczestwa przetwarzanym w nim informacjom niejawnym. Zgodnie z art. 5 ustawy z dnia 7 lipca 2005 r. o dziaalnoci lobbingowej w procesie stanowienia prawa (Dz. U. Nr 169, poz. 1414, z pn. zm.) projekt rozporzdzenia zosta udostpniony w Biuletynie Informacji Publicznej na stronie podmiotowej Kancelarii Prezesa Rady Ministrw. W toku dotychczasowych uzgodnie nie wpyny od podmiotw zainteresowanych pracami nad projektem zgoszenia w trybie okrelonym w art. 7 ustawy z dnia 7 lipca 2005 r. o dziaalnoci lobbingowej w procesie stanowienia prawa.

18

Ocena Skutkw Regulacji 1. Podmioty, na ktre oddziauje rozporzdzenie oraz omwienie wynikw konsultacji spoecznych Zakres oddziaywania przepisw rozporzdzenia jest ograniczony do podmiotw zainteresowanych teleinformatycznego. Projekt zosta skierowany do konsultacji z organizacjami zrzeszajcymi penomocnikw do spraw ochrony informacji niejawnych oraz specjalistw z zakresu bezpieczestwa systemw teleinformatycznych. Dokumenty zawierajce uwagi do projektu przekazay nastpujce podmioty: Krajowe Stowarzyszenie Ochrony Informacji Niejawnych (KSOIN)-7 uwag, Oglnopolskie Stowarzyszenie Penomocnikw Ochrony Informacji Niejawnych (OSPOIN)-8 uwag oraz Stowarzyszenie ds. Bezpieczestwa Systemw Informacyjnych (ISSA)14 uwag. Spord 29 uwag zgoszonych przez organizacje spoeczne, w projekcie uwzgldniono w caoci lub w czci 12 uwag, przy czym niektre uwagi nieuwzgldnione formalnie stay si faktycznie bezprzedmiotowe wskutek przyjcia dalej idcych propozycji uczestnikw uzgodnie midzyresortowych. Waniejsze nieuwzgldnione uwagi obejmoway nastpujce zagadnienia. 1) W opinii ISSA przedstawiona w projekcie definicja integralnoci nie bierze pod uwag przypadkw zniszczenia zasobu oraz przypadkowej (niezamierzonej) modyfikacji. Wobec czego proponowano nastpujc now definicj tego pojcia ( 2 ust. 3): "integralnoci - naley przez to rozumie waciwo okrelajc, e zasb systemu teleinformatycznego nie zosta zmodyfikowany lub zniszczony w nieuprawniony lub przypadkowy sposb". Zdaniem projektodawcy definicja zawarta w projekcie odpowiada cile jego zakresowi przedmiotowemu wobec czego brak jest potrzeby przyjmowania definicji obejmujcej swoim zakresem zjawiska wykraczajce poza ten zakres. 2) Dokument NIST 800-53 (str B 3) w definicji poufnoci mwi w sposb bezpersonalny o autoryzowanych dostpach, natomiast norma ISO 27001 wymienia nieupowanionych ludzi, podmioty i procesy (p 3.3). Zawarta w projekcie definicja poufnoci zawiera ograniczenia poufnoci do podmiotw i nie obejmuje wymienionych powyej elementw. Std propozycja ISSA wyliczenia w definicji nie tylko podmiotw, ale rwnie ludzi i procesw poprzez uzupenienie definicji zawartej w projekcie ( 2 pkt 8) o waciwo okrelajc, e informacja nie jest uzyskaniem wiadectwa akredytacji bezpieczestwa systemu

19

ujawniana

nieuprawnionym

osobom,

podmiotom,

procesom;".

Zdaniem

projektodawcy definicja zawarta w projekcie nie wymaga ucilenia, poniewa uyte w niej okrelenie podmiot jest pojciem oglniejszym i obejmuje swoim zakresem elementy opisane przez wnioskodawc. 3) KSOIN zaproponowao ucilenie definicji zawartej w 2 pkt 9 w brzmieniu: przekazywaniu informacji - naley przez to rozumie zarwno transmisj informacji, jak i przekazywanie informacji na informatycznych nonikach danych poza stref ochronn, na ktrych zostay utrwalone, uzasadniajc to stwierdzeniem, i z treci rozporzdzenia wynika, i przekazywanie informacji na informatycznych nonikach danych dotyczy wycznie przekazywania tych informacji poza stref ochronn. Zdaniem projektodawcy definicja zawarta w projekcie nie wymaga ucilenia, poniewa z treci projektowanego rozporzdzenia NIE wynika, i przekazywanie informacji na informatycznych nonikach danych dotyczy wycznie przekazywania tych informacji poza stref ochronn. 4) KSOIN zaproponowao dopisanie w 8 (obecny 9) w ust. 1 nowego pkt 4 o treci : procedury postpowania w sytuacjach nadzwyczajnych, o ktrych mowa w art. 15 ust. 1 pkt 5 ustawy z dnia 5 sierpnia 2010 roku o ochronie informacji niejawnych, uzasadniajc to stwierdzeniem, e zapewnienie dostpnoci jest rwnie bardzo wanym elementem w razie wprowadzenia stanw nadzwyczajnych. Zdaniem projektodawcy uwaga nie moga zosta uwzgldniona w przedmiotowym projekcie, gdy waciwym dokumentem, w ktrym procedury postpowania w sytuacjach nadzwyczajnych powinny si znale, jest plan ochrony informacji niejawnych. 5) ISSA zaproponowao nowe brzmienie ust. 3 w 9 (obecnie 10) obejmujce ucilenie szczeglnie uzasadnionych przypadkw, w ktrych rodki ochrony kryptograficznej mog by zastpione innymi rodkami proponowany tekst: "W szczeglnie uzasadnionych przypadkach, biorc pod uwag wyniki szacowania ryzyka dla bezpieczestwa informacji niejawnych ( 21 ust. 4) rodki ochrony kryptograficznej, o ktrych mowa w ust. 2, mog zosta uzupenione lub zastpione innymi rodkami.". Zdaniem projektodawcy zawarte w przepisie ograniczenie swobody zastpowania rodkw ochrony kryptograficznej innymi rodkami jest wystarczajce do zapobieenia dowolnoci stosowania innych rodkw (gdy kady taki zabieg wymaga bdzie szczeglnego uzasadnienia w dokumentacji systemu teleinformatycznego), a jednoczenie w procesie oceny dokumentacji przez ABW albo

20

SKW

umoliwi

dostosowanie

rodkw

ochrony

informacji

niejawnych

przetwarzanych w systemie teleinformatycznych do rzeczywistych zagroe. 6) ISSA zaproponowao, aby na etapie planowania cyklu funkcjonowania systemu teleinformatycznego, w ramach okrelania potrzeb w zakresie przetwarzania informacji niejawnych w systemie teleinformatycznym, doda wymg okrelenia przewidywanego czasu ycia systemu, z uwagi na to, e inaczej bdzie si podchodzi do zabezpieczenia systemu, ktry z zaoenia ma funkcjonowa p roku, a inaczej do takiego ktry bdzie dziaa przez lat 30 (propozycja dodania w 18 ust. 2 pkt 6: 6) przewidywany czas ycia systemu.). Zdaniem projektodawcy brak jest uzasadnienia dla uwzgldnienia tej propozycji, poniewa to ustawa przewiduje akredytacj systemu teleinformatycznego na czas okrelony, a zatem na etapie planowania cyklu funkcjonowania systemu horyzont czasowy jego dziaania musi by okrelony.
7) OSPOIN zaproponowao wprowadzenie do projektu daleko idcych zmian w rozdz. 3

Zarzdzanie ryzykiem w systemie teleinformatycznym tj. aby ust. 1 w 19 nada brzmienie: 1. Zarzdzanie ryzykiem w systemie teleinformatycznym jest realizowane zgodnie z Polsk Norm PN ISO/IEC 27005:2010 Zarzdzanie ryzykiem w bezpieczestwie informacji wraz z pniejszymi zmianami lub uzupenieniami albo Polsk Norm j zastpujc. i jednoczenie skreli 20-24. W obszernym uzasadnieniu propozycji OSPOIN formuuje 3 gwne argumenty majce przemawia za przedstawion propozycj zmian: a) opis procesu zarzdzania ryzykiem w systemie teleinformatycznym jest ewidentnie wzorowany na modelu zarzdzania ryzykiem wprowadzonym w normie PN ISO/IEC 27005:2010 Zarzdzanie ryzykiem w bezpieczestwie informacji, jednak nie jest kompletny. Skrtowo opisu poszczeglnych dziaa wskazanych w 19-21 i tak nie daje moliwoci zaprojektowania procesu bez uzyskania bardziej szczegowych wskazwek, przy czym szereg poj wystpujcych w projekcie rozporzdzenia np. poziom ryzyka, zbyt wysoki poziom ryzyka, czynniki ryzyka pozostaj niezdefiniowane, s one natomiast wyjanione w ww. Polskiej Normie; wszystko to razem powoduje i tak konieczno signicia do normy PN ISO/IEC 27005; b) brak podstawowego elementu procesu, jakim jest Ustanowienie kontekstu obejmujce m.in. okrelenie kryteriw szacowania skutkw, szacowania ryzyka oraz akceptowania ryzyka relatywizuje proces i pozbawia go odniesienia do realiw danej

21

organizacji, co moe powodowa, e cay proces nie bdzie dawa wiarygodnych i spjnych wynikw. c) brak dziaa wpisanych w element Informowanie [i konsultowanie] o ryzyku moe spowodowa trudno w zdefiniowaniu konkretnych procedur i oderwanie elementw szacowania i postpowania z ryzykiem od rzeczywistoci danej organizacji. Propozycji zgoszonej przez OSPOIN powicono wiele uwagi podczas konferencji uzgodnieniowej. Przeprowadzona przez ekspertw wieloaspektowa analiza konsekwencji jej uwzgldnienia w projekcie doprowadzia do wniosku, e jakkolwiek propozycja nie moe zosta uwzgldniona w jej literalnym brzmieniu, to jednak zawarta ju w projekcie metodyka zarzdzania ryzykiem w systemie teleinformatycznym powinna zosta uzupeniona o pkt 2 i 3 przytoczonego powyej uzasadnienia propozycji OSPOIN. Odnonie do pkt 1 uzasadnienia propozycji eksperci wyrazili zgodny pogld, e przepisy projektu dotyczce zarzdzania ryzykiem w systemie teleinformatycznym, chocia dopuszczaj subsydiarne stosowanie wspomnianej normy PN ISO/IEC 27005:2010 i, co wicej, s oparte w zasadniczej czci na metodyce wzorowanej na tej normie, tym niemniej to wanie one stanowi powinny trzon zasadniczej regulacji procesu zarzdzania ryzykiem w systemie teleinformatycznym poprzez fakt zakotwiczenia tej regulacji w systemie prawa powszechnie obowizujcego (cytowany dokument normatywny nie ma charakteru obowizujcego zgodnie z art. 5 ust. 3 ustawy z dnia 12 wrzenia 2002 r. o normalizacji, Dz. U. Nr 169, poz. 1386, z pn. zm.). Naley przy tym zauway, e regulacja zawarta w normie obejmuje swoim zakresem znacznie szerszy zakres zagadnie ni projekt rozporzdzenia, a zatem z koniecznoci regulacja ta musi by bardziej uniwersalna. Projektowane rozporzdzenie, z uwagi na zakrelony ustaw ograniczony zakres przedmiotowy, moe zawiera unormowania wyznaczajce jedynie podstawowe wymagania w zakresie bezpieczestwa przetwarzania informacji niejawnych w systemach teleinformatycznych, podczas gdy norma nie wyodrbnia tej problematyki skupiajc si na abstrakcyjnych postanowieniach zarzdzania bezpieczestwem informacji, dostosowanych do specyfiki dziaalnoci gospodarczej (rozbieno midzy tymi sferami regulacji widoczna jest szczeglnie w kwestii zakresu przeniesienia ryzyka, por. 21 ust. 1 pkt 4). Nie bez znaczenia przeciwko penemu przyjciu propozycji OSPOIN jest take ograniczona dostpno dokumentu normalizacyjnego, ktrego rozpowszechnianie jest odpatne i podlega ochronie takiej

22

samej jak w przypadku utworw literackich (art. 5 ust. 5 ustawy z dnia 12 wrzenia 2002 r. o normalizacji). 2. Wpyw regulacji na sektor finansw publicznych, w tym na budet pastwa i budety jednostek samorzdu terytorialnego Wejcie w ycie rozporzdzenia nie bdzie miao wpywu na budet pastwa i budet jednostek samorzdu terytorialnego. 3. Wpyw regulacji na rynek pracy Wejcie w ycie rozporzdzenia nie bdzie miao wpywu na rynek pracy. 4. Wpyw regulacji na konkurencyjno gospodarki i przedsibiorczo, w tym na funkcjonowanie przedsibiorstw Wejcie w ycie rozporzdzenia nie wpynie na konkurencyjno, zarwno wewntrzn, jak i zewntrzn gospodarki. 5. Wpyw regulacji na sytuacj i rozwj regionalny Wejcie w ycie rozporzdzenia pozostanie bez wpywu na sytuacj i rozwj regionalny. 6. Zgodno z przepisami prawa Unii Europejskiej Przedmiotowe rozporzdzenie nie jest objte zakresem prawa Unii Europejskiej. W zwizku z tym projekt nie zosta przedstawiony waciwym instytucjom i organom Unii Europejskiej lub Europejskiemu Bankowi Centralnemu celem uzyskania opinii, dokonania konsultacji albo uzgodnienia. Projekt rozporzdzenia nie zawiera przepisw technicznych i w zwizku z tym nie podlega procedurze notyfikacji aktw prawnych, okrelonej w rozporzdzeniu Rady Ministrw z dnia 23 grudnia 2002 r. w sprawie sposobu funkcjonowania krajowego systemu notyfikacji norm i aktw prawnych (Dz. U. Nr 239, poz. 2039 i z 2004r. Nr 65, poz. 597).

23