P-120-36-11

ROZPORZDZENIE PREZESA RADY MINISTRW z dnia 20 lipca 2011 r.

w sprawie podstawowych wymaga bezpieczestwa teleinformatycznego

Na podstawie art. 49 ust. 9 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228) zarzdza si, co nastpuje:

Rozdzia 1 Przepisy oglne

1. Rozporzdzenie okrela: 1) podstawowe wymagania bezpieczestwa teleinformatycznego, jakim

powinny odpowiada systemy teleinformatyczne, o ktrych mowa w art. 48 ust. 1 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych, zwanej dalej ustaw; 2) niezbdne dane, jakie powinna zawiera dokumentacja bezpieczestwa systemw teleinformatycznych oraz sposb jej opracowywania.

2. Ilekro w rozporzdzeniu jest mowa o: 1) dostpnoci naley przez to rozumie waciwo okrelajc, e zasb systemu teleinformatycznego jest moliwy do wykorzystania na danie, w okrelonym czasie, przez podmiot uprawniony do pracy w systemie teleinformatycznym; 2) elektromagnetycznej emisji ujawniajcej naley przez to rozumie sygnay elektromagnetyczne zwizane z przetwarzaniem informacji w systemach teleinformatycznych, powstajce w sposb naturalny, ale

niezamierzony, ktre odebrane i poddane analizie mog prowadzi do odtworzenia fragmentu lub caoci przetwarzanej informacji niejawnej; 3) incydencie bezpieczestwa teleinformatycznego naley rozumie przez to

takie pojedyncze zdarzenie lub seri zdarze, zwizanych

z bezpieczestwem informacji niejawnych, ktre zagraaj ich poufnoci, dostpnoci lub integralnoci; 4) informatycznym noniku danych naley przez to rozumie materia sucy do zapisywania, przechowywania i odczytywania danych w postaci cyfrowej; 5) integralnoci naley przez to rozumie waciwo okrelajc, e zasb systemu teleinformatycznego nie zosta zmodyfikowany w sposb nieuprawniony; 6) oprogramowaniu zoliwym naley przez to rozumie oprogramowanie, ktrego celem jest przeprowadzenie nieuprawnionych lub szkodliwych dziaa w systemie teleinformatycznym; 7) podatnoci naley przez to rozumie sabo zasobu lub zabezpieczenia systemu teleinformatycznego, ktra moe zosta wykorzystana przez zagroenie; 8) poczeniu midzysystemowym naley przez to rozumie techniczne lub organizacyjne poczenie dwch lub wicej systemw teleinformatycznych, umoliwiajce ich wspprac, a w szczeglnoci wymian danych; 9) poufnoci naley przez to rozumie waciwo okrelajc, e informacja nie jest ujawniana podmiotom do tego nieuprawnionym; 10) przekazywaniu informacji naley przez to rozumie zarwno transmisj informacji, jak i przekazywanie informacji na informatycznych nonikach danych, na ktrych zostay utrwalone; 11) testach bezpieczestwa naley przez to rozumie testy poprawnoci i skutecznoci matycznym; 12) zabezpieczeniu naley przez to rozumie rodki o charakterze fizycznym, technicznym lub organizacyjnym zmniejszajce ryzyko; funkcjonowania zabezpiecze w systemie teleinfor-

13) zagroeniu

naley

przez

to

rozumie

potencjaln

przyczyn

niepodanego zdarzenia, ktre moe wywoa szkod w zasobach systemu teleinformatycznego; 14) zaleceniach naley przez to rozumie zalecenia w zakresie bezpieczestwa teleinformatycznego, o ktrych mowa w art. 52 ust. 3 ustawy; 15) zasobach systemu teleinformatycznego naley przez to rozumie informacje przetwarzane w systemie teleinformatycznym, jak rwnie osoby, usugi, oprogramowanie, dane i sprzt oraz inne elementy majce wpyw na bezpieczestwo tych informacji.

3. Ze wzgldu na posiadane przez uytkownikw systemu teleinformatycznego uprawnienia dostpu do informacji niejawnych, system teleinformatyczny przeznaczony do przetwarzania informacji niejawnych moe funkcjonowa w jednym z nastpujcych trybw bezpieczestwa pracy: 1) dedykowanym w ktrym spenione s cznie nastpujce warunki: a) wszyscy uytkownicy posiadaj uprawnienie do dostpu do informacji niejawnych o najwyszej klauzuli tajnoci, jakie mog by

przetwarzane w tym systemie teleinformatycznym, b) wszyscy uytkownicy maj uzasadnion potrzeb dostpu do wszystkich informacji niejawnych przetwarzanych w systemie

teleinformatycznym; 2) systemowym w ktrym spenione s cznie nastpujce warunki: a) wszyscy uytkownicy posiadaj uprawnienie do dostpu do informacji niejawnych o najwyszej klauzuli tajnoci, jakie mog by

przetwarzane w tym systemie teleinformatycznym, b) nie wszyscy uytkownicy maj uzasadnion potrzeb dostpu do wszystkich informacji niejawnych przetwarzanych w systemie

teleinformatycznym; 3) wielopoziomowym w ktrym spenione s cznie nastpujce warunki: a) nie wszyscy uytkownicy posiadaj uprawnienie do dostpu do informacji niejawnych o najwyszej klauzuli tajnoci, jakie mog by przetwarzane w tym systemie teleinformatycznym,

b) nie wszyscy uytkownicy maj uzasadnion potrzeb dostpu do wszystkich informacji niejawnych przetwarzanych w systemie

teleinformatycznym.

4. Jednostka przetwarzania informacji

organizujca niejawnych

system

teleinformatyczny

przeznaczony przy

do jego

midzynarodowych

uwzgldnia

organizowaniu wymagania bezpieczestwa teleinformatycznego wynikajce z umw midzynarodowych.

Rozdzia 2 Podstawowe wymagania bezpieczestwa teleinformatycznego

5. 1. Bezpieczestwo

informacji

niejawnych

przetwarzanych

systemie

teleinformatycznym zapewnia si przez wdroenie spjnego zbioru zabezpiecze w celu zapewnienia poufnoci, integralnoci i dostpnoci tych informacji. 2. Cel, o ktrym mowa w ust. 1, osiga si przez: 1) objcie systemu teleinformatycznego procesem zarzdzania ryzykiem dla bezpieczestwa informacji niejawnych przetwarzanych w systemie teleinformatycznym, zwanego dalej zarzdzaniem ryzykiem w systemie teleinformatycznym; 2) ograniczenie zaufania, polegajce na traktowaniu innych systemw teleinformatycznych jako potencjalnych rde zagroe oraz wdroeniu w systemie teleinformatycznym zabezpiecze kontrolujcych wymian informacji z tymi systemami teleinformatycznymi; 3) wprowadzenie wielopoziomowej ochrony systemu teleinformatycznego, polegajcej na stosowaniu zabezpiecze na moliwie wielu rnych poziomach organizacji ochrony systemu teleinformatycznego, w celu ograniczenia wystpowania przypadkw, w ktrych przeamanie

pojedynczego zabezpieczenia skutkuje naruszeniem celu, o ktrym mowa w ust. 1; 4) wykonywanie okresowych testw bezpieczestwa;

5) ograniczanie uprawnie, polegajce na nadawaniu uytkownikom systemu teleinformatycznego wycznie uprawnie niezbdnych do wykonywania pracy; 6) minimalizacj uaktywnianiu funkcjonalnoci, i wykorzystywaniu polegajc w systemie na instalowaniu,

teleinformatycznym

wycznie funkcji, protokow komunikacyjnych i usug niezbdnych do prawidowej realizacji zada, do ktrych system teleinformatyczny zosta przeznaczony.

6. W celu zapewnienia ochrony przed nieuprawnionym dostpem do systemu teleinformatycznego: 1) ustala si warunki i sposb przydzielania uytkownikom uprawnie do pracy w systemie teleinformatycznym; 2) chroni si informacje i materiay umoliwiajce dostp do systemu teleinformatycznego; 3) chroni si elementy systemu teleinformatycznego istotne dla jego bezpieczestwa oraz wdraa si je w sposb zapewniajcy moliwo wykrycia wprowadzenia nieuprawnionych zmian lub prb ich

wprowadzenia.

7. Przed dopuszczeniem osb do pracy w systemie teleinformatycznym kierownik jednostki organizacyjnej zapewnia ich przeszkolenie z zakresu bezpieczestwa

teleinformatycznego oraz zapoznanie z procedurami bezpiecznej eksploatacji w zakresie, jaki ich dotyczy.

8. 1. W celu niedopuszczenia do utraty poufnoci informacji niejawnych na skutek wykorzystania elektromagnetycznej emisji ujawniajcej, ktra pochodzi z elementw systemu, w systemie teleinformatycznym przetwarzajcym informacje niejawne o klauzuli poufne lub wyszej stosuje si rodki ochrony elektromagnetycznej dobierane na podstawie wynikw szacowania ryzyka dla bezpieczestwa informacji niejawnych, z uwzgldnieniem zalece.

2. W celu niedopuszczenia do utraty dostpnoci informacji niejawnych przetwarzanych w urzdzeniach teleinformatycznych na skutek zakcania ich pracy za pomoc emisji lub impulsw elektromagnetycznych o duej mocy stosuje si rodki ochrony elektromagnetycznej dobierane na podstawie wynikw szacowania ryzyka dla

bezpieczestwa informacji niejawnych.

9. 1. W celu zapewnienia dostpnoci zasobw w systemie teleinformatycznym ustala si: 1) zasady tworzenia i przechowywania kopii zapasowych; 2) procedury postpowania w sytuacjach kryzysowych, w tym

w przypadkach awarii elementw systemu teleinformatycznego; 3) procedury monitorowania stanu technicznego systemu

teleinformatycznego. 2. W zalenoci od potrzeb oraz wynikw szacowania ryzyka dla bezpieczestwa informacji niejawnych, w celu zapewnienia dostpnoci zasobw systemu teleinformatycznego stosuje si w szczeglnoci alternatywne cza telekomunikacyjne, alternatywne urzdzenia lub zasilanie awaryjne.

10. 1. W zalenoci od potrzeb oraz wynikw szacowania ryzyka dla bezpieczestwa informacji niejawnych, transmisj danych pomidzy elementami systemu teleinformatycznego chroni si przed wykryciem, przechwyceniem lub zakcaniem. 2. Poufno informacji niejawnych przekazywanych w formie transmisji poza strefami ochronnymi zapewnia si przez stosowanie urzdze lub narzdzi kryptograficznych, certyfikowanych zgodnie z art. 50 ust. 2 ustawy lub dopuszczonych w trybie art. 50 ust. 7 ustawy, odpowiednich do klauzuli tajnoci przekazywanych informacji. 3. W szczeglnie uzasadnionych przypadkach, biorc pod uwag wyniki szacowania ryzyka dla bezpieczestwa informacji niejawnych, rodki ochrony

kryptograficznej, o ktrych mowa w ust. 2, mog zosta uzupenione lub zastpione zabezpieczeniami innymi ni kryptograficzne.

 11. W zakresie niezbdnym do zapewnienia przegldu, analizy oraz dostarczania dowodw dziaa naruszajcych bezpieczestwo informacji niejawnych, dla systemu teleinformatycznego przetwarzajcego informacje niejawne tworzy si i przechowuje rejestry zdarze oraz zapewnia si ich poufno, integralno i dostpno.

12. System teleinformatyczny wyposaa si w mechanizmy lub procedury zapobiegajce incydentom bezpieczestwa teleinformatycznego, w tym zabezpieczajce przed dziaaniem oprogramowania zoliwego, a take umoliwiajce jak najszybsze wykrywanie incydentw bezpieczestwa teleinformatycznego oraz zapewniajce niezwoczne informowanie odpowiednich osb o wykrytym incydencie.

13. Administrator systemu teleinformatycznego bierze udzia w tworzeniu dokumentacji bezpieczestwa systemu teleinformatycznego oraz w procesie zarzdzania ryzykiem w systemie teleinformatycznym: 1) realizujc szkolenia uytkownikw systemu teleinformatycznego; 2) utrzymujc zgodno systemu teleinformatycznego z jego dokumentacj bezpieczestwa; 3) wdraajc zabezpieczenia w systemie teleinformatycznym.

14. Inspektor bezpieczestwa teleinformatycznego bierze udzia w procesie zarzdzania ryzykiem w systemie teleinformatycznym, weryfikujc: 1) poprawno realizacji zada przez administratora, w tym waciwe zarzdzanie konfiguracj oraz uprawnieniami przydzielanymi

uytkownikom; 2) znajomo i przestrzeganie przez uytkownikw zasad ochrony informacji niejawnych oraz procedur bezpiecznej eksploatacji

w systemie teleinformatycznym, w tym w zakresie wykorzystywania urzdze i narzdzi sucych do ochrony informacji niejawnych; 3) stan zabezpiecze systemu teleinformatycznego, w tym analizujc rejestry zdarze systemu teleinformatycznego.

 15. 1. W przypadku organizacji poczenia midzysystemowego uwzgldnia si wymaganie ograniczonego zaufania, o ktrym mowa w 5 ust. 2 pkt 2. 2. Organizujc poczenie midzysystemowe wdraa si zabezpieczenia uniemoliwiajce przekazywanie niepodanych informacji pomidzy czonymi systemami teleinformatycznymi, w szczeglnoci uniemoliwiajce przekazywanie informacji o wyszej klauzuli tajnoci do systemu teleinformatycznego przetwarzajcego informacje o klauzuli niszej.

16. Urzdzenie, narzdzie lub rodek przeznaczony do ochrony informacji niejawnych, dla ktrego zosta wydany przez Agencj Bezpieczestwa Wewntrznego, zwan dalej ABW, lub Sub Kontrwywiadu Wojskowego, zwan dalej SKW, certyfikat, o ktrym mowa w art. 50 ust. 4 ustawy, podlega ochronie do momentu jego zniszczenia lub wycofania, zgodnie z zaleceniami ABW lub SKW.

17. 1. Informatyczne noniki danych przeznaczone do przetwarzania informacji niejawnych obejmuje si ochron od momentu oznaczenia nonika klauzul tajnoci a do trwaego usunicia danych na nim zapisanych oraz zniesienia klauzuli tajnoci albo do momentu jego zniszczenia. 2. Informacje niejawne przekazywane poza stref ochronn na

informatycznych nonikach danych chroni si: 1) z wykorzystaniem urzdze lub narzdzi kryptograficznych,

certyfikowanych zgodnie z art. 50 ust. 2 ustawy lub dopuszczonych w trybie art. 50 ust. 7 ustawy, odpowiednich do klauzuli tajnoci przekazywanych informacji, lub 2) przez spenienie wymaga, o ktrych mowa w przepisach w sprawie trybu i sposobu przyjmowania, przewoenia, wydawania i ochrony materiaw, w celu ich zabezpieczenia przed nieuprawnionym

ujawnieniem, utrat, uszkodzeniem lub zniszczeniem. 3. Sposb i metody trwaego usuwania danych oraz niszczenia

informatycznych nonikw danych okrela si z uwzgldnieniem zalece.

4. Klauzula tajnoci informatycznych nonikw danych umoliwiajcych wielokrotny zapis, na ktrych zapisano informacje niejawne oznaczone klauzul tajne lub cile tajne, nie podlega zniesieniu lub obnieniu.

18. 1. Bezpieczestwo informacji niejawnych przetwarzanych w systemie teleinformatycznym uwzgldnia si w caym cyklu funkcjonowania systemu

teleinformatycznego, skadajcym si z etapw: 1) planowania; 2) projektowania; 3) wdraania; 4) eksploatacji; 5) wycofywania. 2. Na etapie planowania ustala si potrzeby w zakresie przetwarzania informacji niejawnych w systemie teleinformatycznym, w szczeglnoci okrela si: 1) przeznaczenie systemu teleinformatycznego; 2) maksymaln klauzul tajnoci informacji niejawnych, ktre bd przetwarzane w systemie teleinformatycznym; 3) tryb bezpieczestwa pracy systemu teleinformatycznego; 4) szacunkow liczb uytkownikw; 5) planowan lokalizacj. 3. Na etapie projektowania: 1) przeprowadza si wstpne szacowanie ryzyka dla bezpieczestwa informacji niejawnych w celu okrelenia wymaga dla zabezpiecze; 2) dokonuje si wyboru zabezpiecze dla systemu teleinformatycznego w oparciu o wyniki wstpnego szacowania ryzyka dla bezpieczestwa informacji niejawnych; 3) uzgadnia si z podmiotem akredytujcym plan akredytacji obejmujcy zakres i harmonogram przedsiwzi wymaganych do uzyskania akredytacji bezpieczestwa teleinformatycznego;

4) uzgadnia si z podmiotem zaopatrujcym w klucze kryptograficzne rodzaj oraz ilo niezbdnych urzdze lub narzdzi kryptograficznych, a take sposb ich wykorzystania; 5) opracowuje si dokument szczeglnych wymaga bezpieczestwa. 4. Na etapie wdraania: 1) pozyskuje i wdraa si urzdzenia lub narzdzia realizujce zabezpieczenia w systemie teleinformatycznym; 2) przeprowadza si testy bezpieczestwa systemu teleinformatycznego; 3) przeprowadza si szacowanie ryzyka dla bezpieczestwa informacji niejawnych z uwzgldnieniem wprowadzonych zabezpiecze; 4) opracowuje si dokument procedur bezpiecznej eksploatacji oraz uzupenia dokument szczeglnych wymaga bezpieczestwa; 5) system teleinformatyczny poddaje si akredytacji bezpieczestwa teleinformatycznego. 5. Na etapie eksploatacji: 1) utrzymuje si zgodno systemu teleinformatycznego z jego

dokumentacj bezpieczestwa; 2) zapewnia si cigo procesu zarzdzania ryzykiem w systemie teleinformatycznym; 3) okresowo przeprowadza si testy bezpieczestwa w celu weryfikacji poprawnoci dziaania poszczeglnych zabezpiecze oraz usuwa stwierdzone nieprawidowoci; 4) w zalenoci od potrzeb wprowadza si zmiany do systemu teleinformatycznego oraz, jeeli jest to waciwe, wykonuje testy bezpieczestwa, a take uaktualnia dokumentacj bezpieczestwa systemu teleinformatycznego, przy czym modyfikacje mogce mie wpyw na bezpieczestwo systemu teleinformatycznego wymagaj zgody podmiotu, ktry udzieli akredytacji bezpieczestwa

teleinformatycznego, za w przypadku systemw teleinformatycznych, o ktrych mowa w art. 48 ust. 9 i 10 ustawy przekazania, odpowiednio do ABW albo SKW, w terminie 30 dni od wprowadzenia wyej wymienionych modyfikacji, uaktualnionej dokumentacji

10

bezpieczestwa

systemu

teleinformatycznego,

w szczeglnoci

w formie aneksw. 6. Na etapie wycofywania: 1) zaprzestaje si eksploatacji systemu teleinformatycznego; 2) powiadamia si pisemnie ABW albo SKW o wycofaniu systemu z eksploatacji; 3) zwraca si do ABW albo SKW wiadectwo akredytacji bezpieczestwa systemu teleinformatycznego, jeeli system teleinformatyczny

przeznaczony by do przetwarzania informacji niejawnych o klauzuli poufne lub wyszej; 4) usuwa si informacje niejawne z systemu teleinformatycznego, w szczeglnoci przez przeniesienie ich lub do innego systemu informa-

teleinformatycznego,

zarchiwizowanie

zniszczenie

tycznych nonikw danych.

Rozdzia 3 Zarzdzanie ryzykiem w systemie teleinformatycznym

19. 1. Proces zarzdzania ryzykiem w systemie teleinformatycznym prowadzi si w celu zapewnienia i utrzymania na poziomie akceptowanym przez kierownika danej jednostki organizacyjnej bezpieczestwa informacji niejawnych przetwarzanych w tym systemie. 2. Zarzdzanie ryzykiem w systemie teleinformatycznym prowadzi si, realizujc procesy: 1) szacowania ryzyka dla bezpieczestwa informacji niejawnych; 2) postpowania z ryzykiem; 3) akceptacji ryzyka; 4) przegldu, monitorowania i informowania o ryzyku. 3. Przed przeprowadzeniem procesu szacowania ryzyka: 1) ustala si granice i zakres analizy ryzyka;

11

2) ustanawia si struktur organizacyjn odpowiedzialn za zarzdzanie ryzykiem w systemie teleinformatycznym; 3) dokonuje si wyboru metody analizy ryzyka. 4. Kierownik jednostki organizujcej system teleinformatyczny odpowiada za zapewnienie cigoci procesu zarzdzania ryzykiem w systemie teleinformatycznym. 5. W sytuacji, gdy system teleinformatyczny jest uytkowany przez kilka niezalenych jednostek organizacyjnych, kady kierownik jednostki organizacyjnej uytkujcej system teleinformatyczny wspdziaa z osob, o ktrej mowa w ust. 4, w celu zapewnienia cigoci procesu zarzdzania ryzykiem w systemie teleinformatycznym.

20. 1. Szacowanie ryzyka dla bezpieczestwa informacji niejawnych obejmuje: 1) analiz ryzyka, na ktr skadaj si: a) identyfikacja ryzyka, b) okrelenie wielkoci ryzyk; 2) ocen ryzyka. 2. W ramach identyfikacji ryzyka okrela si: 1) zasoby systemu teleinformatycznego; 2) zagroenia; 3) podatnoci; 4) zabezpieczenia; 5) skutki wystpienia incydentu bezpieczestwa teleinformatycznego. 3. W procesie okrelania wielkoci ryzyk wyznacza si poziomy

zidentyfikowanych ryzyk. 4. W procesie oceny ryzyka porwnuje si wyznaczone poziomy ryzyk z tymi, ktre mona zaakceptowa. Na podstawie oceny podejmuje si decyzj co do dalszego postpowania z ryzykami. 5. Wstpne szacowanie ryzyka dla bezpieczestwa informacji niejawnych przeprowadza si przed podjciem decyzji o wprowadzeniu niezbdnych zabezpiecze w systemie teleinformatycznym. 6. Wyniki wstpnego szacowania ryzyka, o ktrym mowa w ust. 5:

12

1) przedstawia

si

dokumentacji

bezpieczestwa

systemu

teleinformatycznego; 2) wykorzystuje si w procesie projektowania zabezpiecze dla danego systemu teleinformatycznego przeciwdziaajcych zidentyfikowanym zagroeniom; 3) zachowuje si na potrzeby przyszych uaktualnie. 7. Szacowanie przeprowadza si ponownie: 1) w przypadku wprowadzania w systemie teleinformatycznym zmian, ktre mog mie wpyw na bezpieczestwo przetwarzanych w nim informacji; 2) po wykryciu nowych zagroe lub zidentyfikowaniu nowych podatnoci, ktre nie byy rozpatrywane podczas wczeniejszego szacowania ryzyka dla bezpieczestwa informacji niejawnych; 3) w przypadku zaistnienia istotnego incydentu bezpieczestwa ryzyka dla bezpieczestwa informacji niejawnych

teleinformatycznego; 4) jeeli zmianie lub rozszerzeniu ulego przeznaczenie, zadania lub funkcjonalno systemu teleinformatycznego; 5) okresowo, w ramach procesu zarzdzania ryzykiem w systemie teleinformatycznym. 8. Czstotliwo okresowego przeprowadzania szacowania ryzyka, o ktrym mowa w ust. 7 pkt 5, okrela si w dokumentacji bezpieczestwa systemu

teleinformatycznego.

21. 1. W ramach postpowania z ryzykiem moliwe jest: 1) obnianie ryzyka przez wdraanie zabezpiecze; 2) pozostawienie ryzyka na poziomie okrelonym w procesie szacowania ryzyka i zaniechanie dalszych dziaa; 3) unikanie ryzyka przez niepodejmowanie dziaa bdcych rdem ryzyka;

13

4) przeniesienie ryzyka na inny podmiot w zakresie odpowiedzialnoci za zarzdzanie ryzykiem bez moliwoci przeniesienia odpowiedzialnoci za skutki wynikajce z naruszenia poufnoci, integralnoci lub dostpnoci informacji niejawnych przetwarzanych w systemie teleinformatycznym. 2. Doboru zabezpiecze, o ktrych mowa w ust. 1 pkt 1, dokonuje si z uwzgldnieniem zalece. 3. Dla ryzyk, ktre nie mog by zaakceptowane ze wzgldu na ich zbyt wysoki poziom, proces postpowania z ryzykiem przeprowadza si ponownie, analizujc inne warianty. 4. Ryzyka pozostajce po procesie postpowania z ryzykiem (ryzyka szcztkowe) podlegaj procesowi akceptacji ryzyka.

22. Kierownik jednostki organizacyjnej w procesie akceptacji ryzyka dokonuje formalnego zaakceptowania ryzyka szcztkowego wraz z jego ewentualnymi

konsekwencjami.

23. Proces przegldu, monitorowania i informowania o ryzyku przeprowadza si przez: 1) regularny przegld i udoskonalanie procesu zarzdzania ryzykiem w systemie teleinformatycznym w celu zapewnienia jego prawidowoci i skutecznoci stosownie do zmieniajcych si okolicznoci; 2) monitorowanie czynnikw ryzyka w celu wykrycia zmian we wczesnym ich stadium i moliwie szybkim na nie reagowaniu; 3) niezwoczne przekazywanie informacji o pojawiajcych si ryzykach osobom odpowiedzialnym za zarzdzanie ryzykiem.

24. W

procesie

zarzdzania

ryzykiem

systemie

teleinformatycznym

uwzgldnia si zalecenia.

14

Rozdzia 4 Dokumentacja bezpieczestwa teleinformatycznego

25. 1. Dokument teleinformatycznego:

szczeglnych

wymaga

bezpieczestwa

systemu

1) opracowuje si na etapie projektowania systemu teleinformatycznego, po przeprowadzeniu wstpnego szacowania ryzyka dla bezpieczestwa informacji niejawnych, ktre maj by przetwarzane w systemie teleinformatycznym, w sposb uwzgldniajcy specyfik budowy, charakterystyk systemu teleinformatycznego, a take warunki

charakterystyczne dla jednostki organizacyjnej; 2) bieco uzupenia si na etapie wdraania systemu

teleinformatycznego, po przeprowadzeniu szacowania ryzyka dla bezpieczestwa informacji niejawnych z uwzgldnieniem

wprowadzonych zabezpiecze; 3) uaktualnia si na etapie eksploatacji systemu teleinformatycznego, przed dokonaniem zmian w systemie teleinformatycznym. 2. Dokument szczeglnych wymaga bezpieczestwa zawiera nastpujce dane: 1) rodzaje oraz klauzule tajnoci informacji niejawnych, ktre bd przetwarzane w systemie teleinformatycznym; 2) grupy uytkownikw systemu teleinformatycznego wyodrbnione ze wzgldu na posiadane uprawnienia do pracy w systemie

teleinformatycznym; 3) tryb bezpieczestwa pracy systemu teleinformatycznego; 4) przeznaczenie i funkcjonalno systemu teleinformatycznego; 5) wymagania eksploatacyjne dla wymiany informacji i pocze z innymi systemami teleinformatycznymi; 6) lokalizacj systemu teleinformatycznego. 3. W dokumencie szczeglnych wymaga bezpieczestwa zawiera si ponadto informacje o:

15

1) metodyce uytej w procesie szacowania ryzyka dla bezpieczestwa informacji niejawnych oraz raport z tego procesu; 2) zastosowanych zabezpieczeniach; 3) ryzykach szcztkowych oraz deklaracji ich akceptacji; 4) powiadczeniach bezpieczestwa lub innych formalnych

uprawnieniach do dostpu do informacji niejawnych, posiadanych przez uytkownikw systemu teleinformatycznego; 5) bezpieczestwie fizycznym, w tym granicach i lokalizacji stref ochronnych oraz rodkach ich ochrony; 6) ochronie elektromagnetycznej; 7) stosowanych urzdzeniach lub narzdziach kryptograficznych; 8) cigoci dziaania, w tym tworzeniu kopii zapasowych, odzyskiwaniu systemu oraz, jeeli to waciwe, zapewnieniu alternatywnych czy telekomunikacyjnych lub urzdze, a take zasilaniu awaryjnym; 9) ustawieniach konfiguracyjnych systemu teleinformatycznego; 10) utrzymaniu systemu, w tym dokonywaniu przegldw diagnostycznych i napraw; 11) zapobieganiu incydentom bezpieczestwa teleinformatycznego, w tym ochronie przed oprogramowaniem zoliwym; 12) zasadach wprowadzania poprawek lub uaktualnie oprogramowania; 13) ochronie nonikw, w tym ich oznaczaniu, dostpie, transporcie, obnianiu ich klauzul tajnoci i niszczeniu; 14) identyfikacji i uwierzytelnieniu uytkownikw i urzdze; 15) kontroli dostpu; 16) audycie wewntrznym; 17) zarzdzaniu ryzykiem w systemie teleinformatycznym; 18) zmianach w systemie teleinformatycznym, w tym dotyczcych aktualizacji dokumentacji bezpieczestwa systemu

teleinformatycznego oraz warunkach ponownej akredytacji systemu teleinformatycznego i wycofania z eksploatacji.

16

 26. 1. Dokument procedur bezpiecznej eksploatacji: 1) opracowuje si na etapie wdraania systemu teleinformatycznego, po przeprowadzeniu szacowania ryzyka dla bezpieczestwa informacji niejawnych z uwzgldnieniem wprowadzonych zabezpiecze; 2) uaktualnia si na etapie eksploatacji systemu teleinformatycznego, przed dokonaniem zmian w systemie teleinformatycznym. 2. W dokumencie procedur bezpiecznej eksploatacji okrela si szczegowy wykaz procedur bezpieczestwa wraz z dokadnym opisem sposobu ich wykonania, realizowanych przez osoby odpowiedzialne za bezpieczestwo teleinformatyczne oraz osoby uprawnione do pracy w systemie teleinformatycznym, obejmujcy: 1) administrowanie systemem teleinformatycznym oraz zastosowanymi rodkami zabezpieczajcymi; 2) bezpieczestwo urzdze; 3) bezpieczestwo oprogramowania; 4) zarzdzanie konfiguracj sprztowo-programow, w tym zasady serwisowania lub modernizacji oraz wycofywania z uycia elementw systemu teleinformatycznego; 5) plany awaryjne; 6) monitorowanie i audyt systemu teleinformatycznego; 7) zarzdzanie nonikami; 8) zarzdzanie materiaami kryptograficznymi; 9) stosowanie ochrony elektromagnetycznej; 10) reagowanie na incydenty bezpieczestwa teleinformatycznego; 11) szkolenia uytkownikw systemu teleinformatycznego dotyczce zasad korzystania z systemu teleinformatycznego; 12) wprowadzanie danych do systemu i ich wyprowadzanie z systemu.

27. W przypadku systemu teleinformatycznego funkcjonujcego w wicej ni jednej jednostce organizacyjnej, po uzgodnieniu z jednostk organizujc system, dokumentacja bezpieczestwa systemu teleinformatycznego moe by uzupeniona o aneksy

17

zawierajce dane dotyczce konkretnych lokalizacji, sporzdzane przez kierownikw jednostek organizacyjnych, w ktrych znajduj si elementy systemu teleinformatycznego.

Rozdzia 5 Przepis kocowy

28. Rozporzdzenie wchodzi w ycie po upywie 14 dni od dnia ogoszenia. 1)

PREZES RADY MINISTRW

Donald Tusk

1)

Niniejsze rozporzdzenie byo poprzedzone rozporzdzeniem Prezesa Rady Ministrw z dnia 25 sierpnia 2005 r. w sprawie podstawowych wymaga bezpieczestwa teleinformatycznego (Dz. U. Nr 171, poz. 1433), ktre traci moc z dniem wejcia w ycie niniejszego rozporzdzenia na podstawie art. 189 ust. 1 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228).

Sprawdzono pod wzgldem prawnym i redakcyjnym: Prezes Rzdowego Centrum Legislacji Maciej Berek Dyrektor Departamentu Rady Ministrw Hanka Babiska 07/31rch

18

UZASADNIENIE

Rozporzdzenie Prezesa Rady Ministrw w sprawie podstawowych wymaga bezpieczestwa teleinformatycznego stanowi wykonanie upowanienia ustawowego

wynikajcego z art. 49 ust. 9 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228), zwanej dalej ustaw. Problematyka stanowica materi normatywn projektu jest aktualnie uregulowana w rozporzdzeniu Prezesa Rady Ministrw z dnia 25 sierpnia 2005 r. w sprawie podstawowych wymaga bezpieczestwa teleinformatycznego (Dz. U. Nr 171, poz. 1433). Proponowane rozporzdzenie ma na celu okrelenie, ujednolicenie oraz

doprecyzowanie podstawowych wymaga bezpieczestwa dla systemw teleinformatycznych sucych do przetwarzania informacji niejawnych, przez co uatwi oraz usprawni organizacj systemu teleinformatycznego i tworzenie dokumentacji bezpieczestwa teleinformatycznego, zgodnie z nowymi przepisami ustawowymi. Obejmuje ono rwnie unormowanie stosowania spjnego zbioru zabezpiecze w celu zapewnienia ochrony informacji niejawnych przetwarzanych w systemach teleinformatycznych przed utrat poufnoci, integralnoci i dostpnoci, mogcych zaistnie w wyniku przypadku lub celowych dziaa. W przedmiotowym projekcie rozporzdzenia uszczegowiono podstawowe wymagania bezpieczestwa teleinformatycznego oraz tre przepisw dotyczcych dokumentacji bezpieczestwa teleinformatycznego. Okrelajc wymagania bezpieczestwa uwzgldniono regulacje zawarte w dokumentach normatywnych Unii Europejskiej (UE) i Organizacji Traktatu Pnocnoatlantyckiego (NATO) (Security within The North Atlantic Treaty Organisation C-M(2002)49, Decyzja Rady Unii Europejskiej z dnia 19 marca 2001 r. w sprawie przyjcia przepisw Rady dotyczcych bezpieczestwa) oraz wytyczne amerykaskiego National Institute of Standards and Technology (NIST) odnoszce si do bezpieczestwa systemw teleinformatycznych (w szczeglnoci dokument Special

Publication 800-53 wykorzystany jako pomocniczy wzorzec sprawdzonych rozwiza dotyczcych regulowanej rozporzdzeniem materii). Szczeglny nacisk pooono na fakt, i bezpieczestwo informacji niejawnych przetwarzanych w systemie teleinformatycznym musi by uwzgldnione w caym cyklu ycia systemu teleinformatycznego, ktry to cykl szczegowo unormowano w 18. Istotnym novum tego projektu rozporzdzenia jest rozdzia 3, zawierajcy przepisy dotyczce zarzdzania ryzykiem w systemie teleinformatycznym, okrelajce jego

poszczeglne procesy oraz sposb ich realizacji. Sposb zarzdzania ryzykiem w systemie teleinformatycznym oparto o Polsk Norm PN-ISO/IEC 27005:2010. Definicje podatnoci oraz zagroenia zostay z kolei zaczerpnite z Polskiej Normy PN-ISO/IEC 17799:2007. Naley wyranie podkreli, e szacownie ryzyka dla bezpieczestwa informacji niejawnych jest jednym z trzech najwaniejszych, obok uwarunkowa wynikajcych z obowizujcych przepisw prawnych i zalece w zakresie bezpieczestwa

teleinformatycznego, rodkw ochrony systemu teleinformatycznego. Std, wprowadzenie takiego uregulowania ma na celu zapewnienie doboru zabezpiecze sucych ochronie sytemu teleinformatycznego w sposb spjny i racjonalny. W myl proponowanych uregulowa, za zapewnienie cigoci procesu zarzdzania ryzykiem w systemie teleinformatycznym, odpowiada kierownik jednostki organizacyjnej organizujcej ten system, a w przypadku, gdy system teleinformatyczny jest uytkowany przez kilka niezalenych jednostek organizacyjnych kady kierownik jednostki organizacyjnej uytkujcej system teleinformatyczny, wspdziaajc z innymi kierownikami jednostek organizacyjnych, w celu zapewnienia cigoci procesu zarzdzania ryzykiem w systemie teleinformatycznym. Projekt rozporzdzenia stanowi rozwinicie zawartej w nowej ustawie o ochronie informacji niejawnych zasady, zgodnie z ktr szacowanie ryzyka dla bezpieczestwa informacji niejawnych stao si podstaw okrelenia niezbdnych elementw bezpieczestwa teleinformatycznego. To wanie na podstawie wynikw szacowania ryzyka

dla bezpieczestwa informacji niejawnych bdzie mona okreli, ktre zabezpieczenia s niezbdne, a ktre mona zastpi innymi (w tym np. taszymi) rozwizaniami zakadajc, e ryzyko szcztkowe z nimi zwizane bdzie mogo by zaakceptowane. Powysze rozwizanie (dziki zastosowaniu elastycznego i indywidualnego podejcia do kadego organizowanego systemu teleinformatycznego) moe mie wic korzystny wpyw na kwestie zwizane z kosztami organizacji bezpieczestwa teleinformatycznego. W stosunku do poprzedniego stanu prawnego, rozdzia 4, regulujcy zagadnienia zwizane z dokumentacj bezpieczestwa teleinformatycznego, zosta znacznie rozszerzony i uszczegowiony, przy czym duy nacisk pooono w nim na zgodno z obowizujcymi w tym zakresie uregulowaniami UE i NATO. W rozdziale tym usystematyzowano m. in. wymagania dotyczce zawartoci dokumentacji bezpieczestwa, warunkujcej moliwo akredytacji systemu teleinformatycznego oraz sprawowania pniejszego nadzoru w celu zapewnienia bezpieczestwa przetwarzanym w nim informacjom niejawnym.

Zgodnie z art. 5 ustawy z dnia 7 lipca 2005 r. o dziaalnoci lobbingowej w procesie stanowienia prawa (Dz. U. Nr 169, poz. 1414, z pn. zm.) projekt rozporzdzenia zosta udostpniony w Biuletynie Informacji Publicznej na stronie podmiotowej Kancelarii Prezesa Rady Ministrw. W toku dotychczasowych uzgodnie nie wpyny od podmiotw zainteresowanych pracami nad projektem zgoszenia w trybie okrelonym w art. 7 ustawy z dnia 7 lipca 2005 r. o dziaalnoci lobbingowej w procesie stanowienia prawa.

OCENA SKUTKW REGULACJI

1. Podmioty, na ktre oddziauje rozporzdzenie oraz omwienie wynikw konsultacji spoecznych Zakres oddziaywania przepisw rozporzdzenia jest ograniczony do podmiotw zainteresowanych teleinformatycznego. Projekt zosta skierowany do konsultacji z organizacjami zrzeszajcymi penomocnikw do spraw ochrony informacji niejawnych oraz specjalistw z zakresu bezpieczestwa systemw teleinformatycznych. Dokumenty zawierajce uwagi do projektu przekazay nastpujce podmioty: Krajowe Stowarzyszenie Ochrony Informacji Niejawnych (KSOIN)-7 uwag, Oglnopolskie Stowarzyszenie Penomocnikw Ochrony Informacji Niejawnych (OSPOIN)-8 uwag oraz Stowarzyszenie ds. Bezpieczestwa Systemw Informacyjnych uzyskaniem wiadectwa akredytacji bezpieczestwa systemu

(ISSA)14 uwag. Spord 29 uwag zgoszonych przez organizacje spoeczne, w projekcie uwzgldniono w caoci lub w czci 12 uwag, przy czym niektre uwagi nieuwzgldnione formalnie stay si faktycznie bezprzedmiotowe wskutek przyjcia dalej idcych propozycji uczestnikw uzgodnie midzyresortowych. Waniejsze nieuwzgldnione uwagi obejmoway nastpujce zagadnienia. 1) W opinii ISSA przedstawiona w projekcie definicja integralnoci nie bierze pod uwag przypadkw zniszczenia zasobu oraz przypadkowej (niezamierzonej) modyfikacji. Wobec czego proponowano nastpujc now definicj tego pojcia ( 2 ust. 3): "integralnoci naley przez to rozumie waciwo okrelajc, e zasb systemu teleinformatycznego nie zosta zmodyfikowany lub zniszczony

w nieuprawniony lub przypadkowy sposb". Zdaniem projektodawcy definicja zawarta w projekcie odpowiada cile jego zakresowi przedmiotowemu wobec czego brak jest potrzeby przyjmowania definicji obejmujcej swoim zakresem zjawiska wykraczajce poza ten zakres. 2) Dokument NIST 800-53 (str B 3) w definicji poufnoci mwi w sposb bezpersonalny o autoryzowanych dostpach, natomiast norma ISO 27001 wymienia

nieupowanionych ludzi, podmioty i procesy (p 3.3). Zawarta w projekcie definicja poufnoci zawiera ograniczenia poufnoci do podmiotw i nie obejmuje

wymienionych powyej elementw. Std propozycja ISSA wyliczenia w definicji nie tylko podmiotw, ale rwnie ludzi i procesw poprzez uzupenienie definicji zawartej w projekcie ( 2 pkt 8) o waciwo okrelajc, e informacja nie jest

ujawniana

nieuprawnionym

osobom,

podmiotom,

procesom;".

Zdaniem

projektodawcy definicja zawarta w projekcie nie wymaga ucilenia, poniewa uyte w niej okrelenie podmiot jest pojciem oglniejszym i obejmuje swoim zakresem elementy opisane przez wnioskodawc. 3) KSOIN zaproponowao ucilenie definicji zawartej w 2 pkt 9 w brzmieniu: przekazywaniu informacji - naley przez to rozumie zarwno transmisj informacji, jak i przekazywanie informacji na informatycznych nonikach danych poza stref ochronn, na ktrych zostay utrwalone, uzasadniajc to stwierdzeniem, i z treci rozporzdzenia wynika, i przekazywanie informacji na informatycznych nonikach danych dotyczy wycznie przekazywania tych informacji poza stref ochronn. Zdaniem projektodawcy definicja zawarta w projekcie nie wymaga ucilenia, poniewa z treci projektowanego rozporzdzenia NIE wynika, i przekazywanie informacji na informatycznych nonikach danych dotyczy wycznie przekazywania tych informacji poza stref ochronn. 4) KSOIN zaproponowao dopisanie w 8 (obecny 9) w ust. 1 nowego pkt 4 o treci : procedury postpowania w sytuacjach nadzwyczajnych, o ktrych mowa w art. 15 ust. 1 pkt 5 ustawy z dnia 5 sierpnia 2010 roku o ochronie informacji niejawnych, uzasadniajc to stwierdzeniem, e zapewnienie dostpnoci jest rwnie bardzo wanym elementem w razie wprowadzenia stanw nadzwyczajnych. Zdaniem projektodawcy uwaga nie moga zosta uwzgldniona w przedmiotowym projekcie, gdy waciwym dokumentem, w ktrym procedury postpowania w sytuacjach nadzwyczajnych powinny si znale, jest plan ochrony informacji niejawnych. 5) ISSA zaproponowao nowe brzmienie ust. 3 w 9 (obecnie 10) obejmujce

ucilenie szczeglnie uzasadnionych przypadkw, w ktrych rodki ochrony kryptograficznej mog by zastpione innymi rodkami proponowany tekst: "W szczeglnie uzasadnionych przypadkach, biorc pod uwag wyniki szacowania ryzyka dla bezpieczestwa informacji niejawnych ( 21 ust. 4) rodki ochrony kryptograficznej, o ktrych mowa w ust. 2, mog zosta uzupenione lub zastpione innymi rodkami.". Zdaniem projektodawcy zawarte w przepisie ograniczenie swobody zastpowania rodkw ochrony kryptograficznej innymi rodkami jest wystarczajce do zapobieenia dowolnoci stosowania innych rodkw (gdy kady taki zabieg wymaga bdzie szczeglnego uzasadnienia w dokumentacji systemu teleinformatycznego), a jednoczenie w procesie oceny dokumentacji przez ABW albo

SKW

umoliwi

dostosowanie

rodkw

ochrony

informacji

niejawnych

przetwarzanych w systemie teleinformatycznych do rzeczywistych zagroe. 6) ISSA zaproponowao, aby na etapie planowania cyklu funkcjonowania systemu teleinformatycznego, w ramach okrelania potrzeb w zakresie przetwarzania informacji niejawnych w systemie teleinformatycznym, doda wymg okrelenia przewidywanego czasu ycia systemu, z uwagi na to, e inaczej bdzie si podchodzi do zabezpieczenia systemu, ktry z zaoenia ma funkcjonowa p roku, a inaczej do takiego ktry bdzie dziaa przez lat 30 (propozycja dodania w 18 ust. 2 pkt 6: 6) przewidywany czas ycia systemu.). Zdaniem projektodawcy brak jest uzasadnienia dla uwzgldnienia tej propozycji, poniewa to ustawa przewiduje akredytacj systemu teleinformatycznego na czas okrelony, a zatem na etapie planowania cyklu funkcjonowania systemu horyzont czasowy jego dziaania musi by okrelony. 7) OSPOIN zaproponowao wprowadzenie do projektu daleko idcych zmian w rozdz. 3 Zarzdzanie ryzykiem w systemie teleinformatycznym tj. aby ust. 1 w 19 nada brzmienie: 1. Zarzdzanie ryzykiem w systemie teleinformatycznym jest

realizowane zgodnie z Polsk Norm PN ISO/IEC 27005:2010 Zarzdzanie ryzykiem w bezpieczestwie informacji wraz z pniejszymi zmianami lub uzupenieniami albo Polsk Norm j zastpujc. i jednoczenie skreli 20-24. W obszernym uzasadnieniu propozycji OSPOIN formuuje 3 gwne argumenty majce przemawia za przedstawion propozycj zmian: a) opis procesu zarzdzania ryzykiem w systemie teleinformatycznym jest

ewidentnie wzorowany na modelu zarzdzania ryzykiem wprowadzonym w normie PN ISO/IEC 27005:2010 Zarzdzanie ryzykiem w bezpieczestwie informacji, jednak nie jest kompletny. Skrtowo opisu poszczeglnych dziaa wskazanych w 19-21 i tak nie daje moliwoci zaprojektowania procesu bez uzyskania bardziej szczegowych wskazwek, przy czym szereg poj wystpujcych w projekcie rozporzdzenia np. poziom ryzyka, zbyt wysoki poziom ryzyka, czynniki ryzyka pozostaj niezdefiniowane, s one natomiast wyjanione w ww. Polskiej Normie; wszystko to razem powoduje i tak konieczno signicia do normy PN ISO/IEC 27005; b) brak podstawowego elementu procesu, jakim jest Ustanowienie kontekstu

obejmujce m.in. okrelenie kryteriw szacowania skutkw, szacowania ryzyka oraz akceptowania ryzyka relatywizuje proces i pozbawia go odniesienia do realiw danej

organizacji, co moe powodowa, e cay proces nie bdzie dawa wiarygodnych i spjnych wynikw. c) brak dziaa wpisanych w element Informowanie [i konsultowanie] o ryzyku

moe spowodowa trudno w zdefiniowaniu konkretnych procedur i oderwanie elementw szacowania i postpowania z ryzykiem od rzeczywistoci danej organizacji. Propozycji zgoszonej przez OSPOIN powicono wiele uwagi podczas konferencji uzgodnieniowej. Przeprowadzona przez ekspertw wieloaspektowa analiza

konsekwencji jej uwzgldnienia w projekcie doprowadzia do wniosku, e jakkolwiek propozycja nie moe zosta uwzgldniona w jej literalnym brzmieniu, to jednak zawarta ju w projekcie metodyka zarzdzania ryzykiem w systemie

teleinformatycznym powinna zosta uzupeniona o pkt 2 i 3 przytoczonego powyej uzasadnienia propozycji OSPOIN. Odnonie do pkt 1 uzasadnienia propozycji eksperci wyrazili zgodny pogld, e przepisy projektu dotyczce zarzdzania ryzykiem w systemie teleinformatycznym, chocia dopuszczaj subsydiarne stosowanie wspomnianej normy PN ISO/IEC 27005:2010 i, co wicej, s oparte w zasadniczej czci na metodyce wzorowanej na tej normie, tym niemniej to wanie one stanowi powinny trzon zasadniczej regulacji procesu zarzdzania ryzykiem w systemie teleinformatycznym poprzez fakt zakotwiczenia tej regulacji w systemie prawa powszechnie obowizujcego (cytowany dokument normatywny nie ma charakteru obowizujcego zgodnie z art. 5 ust. 3 ustawy z dnia 12 wrzenia 2002 r. o normalizacji, Dz. U. Nr 169, poz. 1386, z pn. zm.). Naley przy tym zauway, e regulacja zawarta w normie obejmuje swoim zakresem znacznie szerszy zakres zagadnie ni projekt rozporzdzenia, a zatem z koniecznoci regulacja ta musi by bardziej uniwersalna. Projektowane rozporzdzenie, z uwagi na zakrelony ustaw ograniczony zakres przedmiotowy, moe zawiera unormowania wyznaczajce jedynie podstawowe wymagania w zakresie bezpieczestwa przetwarzania informacji niejawnych w systemach teleinformatycznych, podczas gdy norma nie wyodrbnia tej problematyki skupiajc si na abstrakcyjnych postanowieniach zarzdzania

bezpieczestwem informacji, dostosowanych do specyfiki dziaalnoci gospodarczej (rozbieno midzy tymi sferami regulacji widoczna jest szczeglnie w kwestii zakresu przeniesienia ryzyka, por. 21 ust. 1 pkt 4). Nie bez znaczenia przeciwko penemu przyjciu propozycji OSPOIN jest take ograniczona dostpno dokumentu normalizacyjnego, ktrego rozpowszechnianie jest odpatne i podlega ochronie takiej

samej jak w przypadku utworw literackich (art. 5 ust. 5 ustawy z dnia 12 wrzenia 2002 r. o normalizacji).

2. Wpyw regulacji na sektor finansw publicznych, w tym na budet pastwa i budety jednostek samorzdu terytorialnego Wejcie w ycie rozporzdzenia nie bdzie miao wpywu na budet pastwa i budet jednostek samorzdu terytorialnego.

3. Wpyw regulacji na rynek pracy Wejcie w ycie rozporzdzenia nie bdzie miao wpywu na rynek pracy.

4. Wpyw regulacji na konkurencyjno gospodarki i przedsibiorczo, w tym na funkcjonowanie przedsibiorstw Wejcie w ycie rozporzdzenia nie wpynie na konkurencyjno, zarwno wewntrzn, jak i zewntrzn gospodarki.

5. Wpyw regulacji na sytuacj i rozwj regionalny Wejcie w ycie rozporzdzenia pozostanie bez wpywu na sytuacj i rozwj regionalny.

6. Zgodno z przepisami prawa Unii Europejskiej Przedmiotowe rozporzdzenie nie jest objte zakresem prawa Unii Europejskiej. W zwizku z tym projekt nie zosta przedstawiony waciwym instytucjom i organom Unii Europejskiej lub Europejskiemu Bankowi Centralnemu celem uzyskania opinii, dokonania konsultacji albo uzgodnienia. Projekt rozporzdzenia nie zawiera przepisw technicznych i w zwizku z tym nie podlega procedurze notyfikacji aktw prawnych, okrelonej w rozporzdzeniu Rady Ministrw z dnia 23 grudnia 2002 r. w sprawie sposobu funkcjonowania krajowego systemu notyfikacji norm i aktw prawnych (Dz. U. Nr 239, poz. 2039 i z 2004r. Nr 65, poz. 597).

07/32rch