Kliknij ten link, aby przejść do panelu logowania.
Teraz do wszystkich płatnych Serwisów internetowych
Wydawnictwa Podatkowego GOFIN loguj się w jednym
miejscu.


Po zalogowaniu znajdziesz menu z linkiem do swojego
konta abonenta i dodatkowych opcji.

Jak szukać?»

Ujednolicone przepisy prawne - www.przepisy.gofin.pl
Aktualnie jesteś: Ujednolicone przepisy prawne (strona główna) » Prawo pracy » Obowiązki pracodawcy i odpowiedzialność materialna pracowników »  Ustawa z dnia 5.08.2010 r. o ochronie informacji ...

Ustawa z dnia 5.08.2010 r.
o ochronie informacji niejawnych

 Dz. U. z 2010 r. nr 182, poz. 1228
 zmieniony przez
zmiany w:
 zmieniony przez
zmiany w:
 
 zmieniony przez
zmiany w:
 zmieniony przez
zmiany w:
 Dz. U. z 2016 r. poz. 1167
 zmieniony przez
zmiany w:
 zmieniony przez
zmiany w:
 zmieniony przez
zmiany w:
 zmieniony przez
zmiany w:
Wyświetl wersje poprzedzające
 Dz. U. z 2018 r. poz. 412
 zmieniony przez
zmiany w:
 zmieniony przez
zmiany w:
 zmieniony przez
zmiany w:
Wyświetl wcześniejsze wersje
2019.02.06 - bieżąca
 zmieniony przez
zmiany w:

Uwaga od redakcji:
Zmiany, które wchodzą w życie w wybranej wersji czasowej - zaznaczono kolorem

Rozdział 8

Bezpieczeństwo teleinformatyczne

Art. 48. 1. Systemy teleinformatyczne, w których mają być przetwarzane informacje niejawne, podlegają akredytacji bezpieczeństwa teleinformatycznego.

2. Akredytacji, o której mowa w ust. 1, udziela się na czas określony, nie dłuższy niż 5 lat.

3. ABW albo SKW udziela akredytacji bezpieczeństwa teleinformatycznego dla systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli "poufne" lub wyższej.

4. ABW albo SKW udziela albo odmawia udzielenia akredytacji, o której mowa w ust. 3, w terminie 6 miesięcy od otrzymania kompletnej dokumentacji bezpieczeństwa systemu teleinformatycznego. W uzasadnionych przypadkach, w szczególności wynikających z rozległości systemu i stopnia jego skomplikowania, termin ten może być przedłużony o kolejne 6 miesięcy. Od odmowy udzielenia akredytacji nie służy odwołanie.

5. Potwierdzeniem udzielenia przez ABW albo SKW akredytacji, o której mowa w ust. 3, jest świadectwo akredytacji bezpieczeństwa systemu teleinformatycznego.

6. Świadectwo, o którym mowa w ust. 5, wydaje się na podstawie:

    1) zatwierdzonej przez ABW albo SKW dokumentacji bezpieczeństwa systemu teleinformatycznego;

    2) wyników audytu bezpieczeństwa systemu teleinformatycznego przeprowadzonego przez ABW albo SKW.

7. Świadectwo, o którym mowa w ust. 5, powinno zawierać:

    1) oznaczenie organu;

    2) datę wydania;

    3) oznaczenie podmiotu występującego z wnioskiem o jego wydanie;

    4) oznaczenie przedmiotu podlegającego akredytacji bezpieczeństwa systemu teleinformatycznego;

    5) powołanie podstawy prawnej;

    6) rozstrzygnięcie oraz uzasadnienie faktyczne i prawne;

    7) wskazanie okresu ważności świadectwa;

    8) podpis, z podaniem imienia i nazwiska oraz stanowiska osoby upoważnionej do jego wydania.

8. ABW albo SKW może odstąpić od przeprowadzenia audytu bezpieczeństwa systemu teleinformatycznego, o którym mowa w ust. 6 pkt 2, jeżeli system jest przeznaczony do przetwarzania informacji niejawnych o klauzuli "poufne".

9. Kierownik jednostki organizacyjnej udziela akredytacji bezpieczeństwa teleinformatycznego dla systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli "zastrzeżone" przez zatwierdzenie dokumentacji bezpieczeństwa systemu teleinformatycznego.

10. W przypadku gdy system, o którym mowa w ust. 9, będzie funkcjonował w więcej niż jednej jednostce organizacyjnej, akredytacji, o której mowa w ust. 9, udziela kierownik jednostki organizującej system.

11. W ciągu 30 dni od udzielenia akredytacji bezpieczeństwa teleinformatycznego, o której mowa w ust. 9, kierownik jednostki organizacyjnej przekazuje odpowiednio ABW lub SKW dokumentację bezpieczeństwa systemu teleinformatycznego.

12. W ciągu 30 dni od otrzymania dokumentacji bezpieczeństwa systemu teleinformatycznego ABW albo SKW może przedstawić kierownikowi jednostki organizacyjnej, który udzielił akredytacji bezpieczeństwa teleinformatycznego, zalecenia dotyczące konieczności przeprowadzenia dodatkowych czynności związanych z bezpieczeństwem informacji niejawnych. Kierownik jednostki organizacyjnej w terminie 30 dni od otrzymania zalecenia informuje odpowiednio ABW lub SKW o realizacji zaleceń. W szczególnie uzasadnionych przypadkach ABW albo SKW może nakazać wstrzymanie przetwarzania informacji niejawnych w systemie teleinformatycznym posiadającym akredytację bezpieczeństwa teleinformatycznego.

13. Prezes Rady Ministrów określi, w drodze rozporządzenia, wzór świadectwa akredytacji bezpieczeństwa systemu teleinformatycznego.

14. W rozporządzeniu, o którym mowa w ust. 13, Prezes Rady Ministrów uwzględni we wzorze świadectwa zakres danych określonych w ust. 7 oraz zapewni zróżnicowanie wzorów świadectw wydawanych przez ABW oraz SKW.

Art. 49. 1. Dokument szczególnych wymagań bezpieczeństwa systemu teleinformatycznego powinien zawierać w szczególności wyniki procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych w systemie teleinformatycznym oraz określać przyjęte w ramach zarządzania ryzykiem sposoby osiągania i utrzymywania odpowiedniego poziomu bezpieczeństwa systemu, a także opisywać aspekty jego budowy, zasady działania i eksploatacji, które mają związek z bezpieczeństwem systemu lub wpływają na jego bezpieczeństwo. Przebieg i wyniki procesu szacowania ryzyka mogą zostać przedstawione w odrębnym dokumencie niż dokument szczególnych wymagań bezpieczeństwa.

2. Dokument szczególnych wymagań bezpieczeństwa opracowuje się na etapie projektowania, w razie potrzeby konsultuje z ABW albo SKW, bieżąco uzupełnia na etapie wdrażania i modyfikuje na etapie eksploatacji przed dokonaniem zmian w systemie teleinformatycznym.

3. Dokument procedur bezpiecznej eksploatacji opracowuje się na etapie wdrażania oraz modyfikuje na etapie eksploatacji przed dokonaniem zmian w systemie teleinformatycznym.

4. Podstawą dokonywania wszelkich zmian w systemie teleinformatycznym jest przeprowadzenie procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych w tym systemie.

5. Kierownik jednostki organizacyjnej, w której będzie funkcjonował system teleinformatyczny, odpowiada za opracowanie oraz przekazanie odpowiednio ABW lub SKW dokumentacji bezpieczeństwa systemu teleinformatycznego, z zastrzeżeniem art. 48 ust. 9.

6. W przypadku gdy system teleinformatyczny będzie funkcjonował w więcej niż jednej jednostce organizacyjnej, za opracowanie oraz przekazanie odpowiednio ABW lub SKW dokumentacji bezpieczeństwa systemu teleinformatycznego odpowiada kierownik jednostki organizującej system.

7. Kierownik jednostki organizacyjnej akceptuje wyniki procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych oraz jest odpowiedzialny za właściwą organizację bezpieczeństwa teleinformatycznego.

8. W terminie 30 dni od otrzymania dokumentacji bezpieczeństwa systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli "poufne" lub wyższej ABW albo SKW przeprowadza na jej podstawie ocenę bezpieczeństwa tego systemu. Pozytywny wynik oceny stanowi podstawę do zatwierdzenia przez ABW albo SKW dokumentacji bezpieczeństwa systemu teleinformatycznego. W uzasadnionych przypadkach, w szczególności wynikających ze stopnia skomplikowania systemu, termin przeprowadzenia oceny może być przedłużony o kolejne 30 dni.

9. Prezes Rady Ministrów określi, w drodze rozporządzenia, podstawowe wymagania bezpieczeństwa teleinformatycznego, jakim powinny odpowiadać systemy teleinformatyczne, niezbędne dane, jakie powinna zawierać dokumentacja bezpieczeństwa systemów informatycznych oraz sposób opracowania tej dokumentacji.

10. W rozporządzeniu, o którym mowa w ust. 9, Prezes Rady Ministrów uwzględni w szczególności wymagania w zakresie zarządzania ryzykiem oraz dotyczące zapewnienia poufności, integralności i dostępności informacji niejawnych przetwarzanych w systemach teleinformatycznych.

Art. 50. 1. Środki ochrony elektromagnetycznej przeznaczone do ochrony informacji niejawnych o klauzuli "poufne" lub wyższej podlegają badaniom i ocenie bezpieczeństwa w ramach certyfikacji prowadzonych przez ABW albo SKW.

2. Urządzenia i narzędzia kryptograficzne przeznaczone do ochrony informacji niejawnych podlegają badaniom i ocenie bezpieczeństwa w ramach certyfikacji prowadzonych przez ABW albo SKW.

3. ABW albo SKW, na wniosek zainteresowanego podmiotu, przeprowadza certyfikację urządzenia lub narzędzia służącego do realizacji zabezpieczenia teleinformatycznego, przeznaczonego do ochrony informacji niejawnych.

4. Pozytywne wyniki ocen bezpieczeństwa uzyskane na podstawie wyników badań prowadzonych w ramach certyfikacji, o których mowa w ust. 1-3, stanowią podstawę do wydania przez ABW albo SKW certyfikatu ochrony elektromagnetycznej, certyfikatu ochrony kryptograficznej lub certyfikatu bezpieczeństwa teleinformatycznego. Certyfikaty są wydawane, w zależności od wyników ocen bezpieczeństwa, na okres nie krótszy niż 3 lata. Od odmowy wydania certyfikatu nie służy odwołanie.

5. Certyfikacje, o których mowa w ust. 1-3, są prowadzone przez ABW albo SKW z pominięciem właściwości, o której mowa w art. 10 ust. 2 i 3.

6. Szef ABW albo Szef SKW może zlecić podmiotowi zewnętrznemu badanie urządzenia lub narzędzia służącego do ochrony informacji niejawnych, na zasadach, warunkach i w zakresie przez siebie określonych.

7. Bez konieczności przeprowadzania badań i oceny Szef ABW albo Szef SKW może dopuścić do stosowania w systemie teleinformatycznym przeznaczonym do przetwarzania informacji niejawnych o klauzuli "zastrzeżone" urządzenia lub narzędzia kryptograficzne, jeżeli otrzymały stosowny certyfikat wydany przez krajową władzę bezpieczeństwa państwa będącego członkiem NATO lub Unii Europejskiej lub inny uprawniony organ w NATO lub w Unii Europejskiej.

Art. 51. 1. Obowiązkowi akredytacji, o którym mowa w art. 48 ust. 1, nie podlegają systemy teleinformatyczne znajdujące się poza strefami ochronnymi oraz służące bezpośrednio do pozyskiwania i przekazywania w sposób niejawny informacji oraz utrwalania dowodów w trakcie realizacji czynności operacyjno-rozpoznawczych lub procesowych przez uprawnione do tego podmioty. Wyłączenie obowiązku akredytacji nie obejmuje interfejsów, o których mowa w art. 179 ust. 4a ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne (Dz. U. z 2017 r. poz. 1907 i 2201 oraz z 2018 r. poz. 106 i 138), oraz systemów z nimi współpracujących.

2. Obowiązkowi akredytacji, o którym mowa w art. 48 ust. 1, oraz badań i oceny bezpieczeństwa w ramach procesów certyfikacji prowadzonych przez ABW albo SKW nie podlegają systemy teleinformatyczne, urządzenia lub narzędzia kryptograficzne wykorzystywane przez AW lub SWW do uzyskiwania lub przetwarzania informacji niejawnych podczas wykonywania czynności operacyjno-rozpoznawczych poza granicami Rzeczypospolitej Polskiej oraz wydzielone stanowiska służące wyłącznie do odbierania i przetwarzania tych informacji na terytorium Rzeczypospolitej Polskiej.

Art. 52. 1. Kierownik jednostki organizacyjnej wyznacza:

    1) pracownika lub pracowników pionu ochrony pełniących funkcję inspektora bezpieczeństwa teleinformatycznego, odpowiedzialnych za weryfikację i bieżącą kontrolę zgodności funkcjonowania systemu teleinformatycznego ze szczególnymi wymaganiami bezpieczeństwa oraz przestrzegania procedur bezpiecznej eksploatacji;

    2) osobę lub zespół osób, niepełniących funkcji inspektora bezpieczeństwa teleinformatycznego, odpowiedzialnych za funkcjonowanie systemu teleinformatycznego oraz za przestrzeganie zasad i wymagań bezpieczeństwa przewidzianych dla systemu teleinformatycznego, zwanych dalej "administratorem systemu".

2. W uzasadnionych przypadkach, za zgodą ABW albo SKW, administrator systemu lub inspektor bezpieczeństwa teleinformatycznego może wykonywać zadania w więcej niż jednej jednostce organizacyjnej na podstawie porozumienia właściwych kierowników jednostek organizacyjnych.

3. ABW i SKW udzielają kierownikom jednostek organizacyjnych pomocy niezbędnej do realizacji ich zadań, w szczególności wydając zalecenia w zakresie bezpieczeństwa teleinformatycznego.

4. Stanowiska lub funkcje, o których mowa w ust. 1, mogą zajmować lub pełnić osoby spełniające wymagania, o których mowa w art. 16, po odbyciu specjalistycznych szkoleń z zakresu bezpieczeństwa teleinformatycznego prowadzonych przez ABW albo SKW.

5. Koszty szkoleń, o których mowa w ust. 4, pokrywa jednostka organizacyjna, w której osoba szkolona jest zatrudniona, pełni służbę lub wykonuje prace zlecone, z zastrzeżeniem ust. 6.

6. Jednostki organizacyjne, o których mowa w art. 1 ust. 2 pkt 2 oraz Policja, nie pokrywają kosztów szkoleń przeprowadzonych przez ABW albo SKW.

7. Wzajemne prawa i obowiązki podmiotu przeprowadzającego szkolenie, uczestnika szkolenia, o którym mowa w ust. 4, oraz jednostki organizacyjnej, w której osoba szkolona jest zatrudniona, pełni służbę lub wykonuje czynności zlecone, określa umowa zawarta między tym podmiotem, uczestnikiem szkolenia oraz jednostką organizacyjną.

Istniejące wersje czasowe art. 53
Tekst pierwotny
Dz. U. z 2010 r. nr 182, poz. 1228
2016.08.03 Tekst jednolity
ujednolicony przez
Dz. U. z 2016 r. poz. 1167
2018.02.23 Tekst jednolity
ujednolicony przez
Dz. U. z 2018 r. poz. 412
2018.10.01
zmieniony przez
Pokaż wszystkie w jednym oknie

Art. 53. 1. Za przeprowadzenie czynności, o których mowa w art. 48 ust. 3-6 oraz art. 50 ust. 1-4, pobiera się opłaty.

2. Z opłat, o których mowa w ust. 1, są zwolnione jednostki organizacyjne będące jednostkami budżetowymi.

3. Przedsiębiorcy obowiązani na podstawie odrębnych ustaw do wykonywania zadań publicznych na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego są zwolnieni z opłat za przeprowadzenie czynności, o których mowa w art. 48 ust. 3-6, w przypadku akredytacji bezpieczeństwa teleinformatycznego systemów teleinformatycznych niezbędnych do wykonania tych zadań.

4. Prezes Rady Ministrów określi, w drodze rozporządzenia, szczegółowy sposób i tryb ustalania wysokości oraz poboru opłat, o których mowa w ust. 1.

5. Wydając rozporządzenie, o którym mowa w ust. 4, uwzględnia się odpowiednio:

    1) łączne koszty ponoszone na przeprowadzenie czynności, o których mowa w art. 48 ust. 3-6 oraz art. 50 ust. 1-4;

    2) wysokość kwoty bazowej w postaci kwoty przeciętnego miesięcznego wynagrodzenia w sektorze przedsiębiorstw bez wypłat nagród z zysku w czwartym kwartale roku poprzedniego, ogłaszanego przez Prezesa Głównego Urzędu Statystycznego na podstawie art. 7 ust. 1 ustawy z dnia 17 lipca 1998 r. o pożyczkach i kredytach studenckich;

    3) wysokości poszczególnych opłat, o których mowa w ust. 1, stanowiące krotność kwoty bazowej - odpowiednio do stopnia skomplikowania przeprowadzonych czynności;

    4) maksymalną wysokość opłat, o których mowa w ust. 1, stanowiącą równowartość nieprzekraczającą stukrotności kwoty bazowej;

    5) minimalną wysokość opłat, o których mowa w ust. 1, stanowiącą równowartość 0,1 kwoty bazowej - za godzinę pracy osoby wykonującej określone czynności;

    6) potrzebę sprawnego i szybkiego przeprowadzania procesu ustalania i poboru opłat, o których mowa w ust. 1.

 
Wydawnictwo Podatkowe GOFIN
Szanowny Użytkowniku !
Prosimy o zapoznanie się z poniższymi informacjami oraz wyrażenie dobrowolnej zgody poprzez kliknięcie przycisku "Zgadzam się".
Pamiętaj, że zawsze możesz wycofać zgodę.

Serwis internetowy, z którego Pani/Pan korzysta używa plików cookies w celu:

  • zapewnienia prawidłowego działania serwisów (utrzymania sesji),

  • analizy statystyk ruchu i reklam w serwisach,

  • zbierania i przetwarzania danych osobowych w celu wyświetlenia personalizowanych reklam.

Pliki cookies

Są to pliki instalowane w urządzeniach końcowych osób korzystających z serwisu, w celu administrowania serwisem, dostosowania treści serwisu do preferencji użytkownika, utrzymania sesji użytkownika oraz dla celów statystycznych i targetowania behawioralnego reklamy (dostosowania treści reklamy do indywidualnych potrzeb użytkownika). Informujemy, że istnieje możliwość określenia przez użytkownika serwisu warunków przechowywania lub uzyskiwania dostępu do informacji zawartych w plikach cookies za pomocą ustawień przeglądarki lub konfiguracji usługi. Szczegółowe informacje na ten temat dostępne są u producenta przeglądarki, u dostawcy usługi dostępu do internetu oraz w Polityce prywatności i plików cookies.

Administratorzy

Administratorem Pana/Pani danych osobowych w związku z korzystaniem z serwisu internetowego i jego usług jest Wydawnictwo Podatkowe GOFIN sp. z o.o.

Administratorem danych osobowych w plikach cookies w związku z wyświetleniem analizy statystyk i wyświetlaniem spersonalizowanych reklam jest partner Wydawnictwa Podatkowego GOFIN sp. z o.o., Stroer Digital Operations sp. z o.o. (SDO). Odbiorcą informacji z plików cookies są Netsprint S.A., Google LLC oraz spółki zlecające SDO realizację kampanii reklamowej, a także podmioty badające i zliczające tę kampanię. Dane te mogą ponadto zostać udostępnione na rzecz partnerów handlowych SDO.

Jakie ma Pani/Pan prawa w stosunku do swoich danych osobowych?

Wobec swoich danych mają Pan/Pani prawo do żądania dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania danych, prawo do cofnięcia zgody.

Podstawy prawne przetwarzania Pani/Pana danych osobowych

  • Niezbędność przetwarzania danych w związku z wykonaniem umowy

    Umowa w naszym przypadku oznacza akceptację regulaminu naszych usług. Jeśli zatem akceptuje Pani/Pan umowę na realizację danej usługi, to możemy przetwarzać Pani/Pana dane w zakresie niezbędnym do realizacji tej umowy.

  • Niezbędność przetwarzania danych w związku z prawnie uzasadnionym interesem administratora

    Dotyczy sytuacji, gdy przetwarzanie danych jest uzasadnione z uwagi na usprawiedliwione potrzeby administratora, tj. dokonanie pomiarów statystycznych, ulepszania naszych usług, jak również prowadzenie marketingu i promocji własnych usług administratora w serwisie internetowym.

  • Dobrowolna zgoda

    Aby móc wyświetlać spersonalizowane reklamy dopasowane do Pani/Pana zainteresowań, partner Wydawnictwa Podatkowego GOFIN sp. z o.o., Stroer Digital Operations sp. z o.o. musi mieć możliwość przetwarzania Pani/Pana danych. Udzielenie takiej zgody jest całkowicie dobrowolne (nie ma obowiązku jej udzielenia).

Zgoda

W związku z powyższymi wyjaśnieniami prosimy o wyrażenie dobrowolnej zgody na przetwarzanie Pani/Pana danych osobowych w związku z możliwością wyświetlenia reklam dopasowanych do Pani/Pana zainteresowań poprzez kliknięcie w przycisk „Zgadzam się” lub „Nie teraz” w przypadku braku zgody.
Wydawnictwo Podatkowe GOFIN sp. z o.o., ul. Owocowa 8, 66-400 Gorzów Wlkp., tel. 95 720 85 40, faks 95 720 85 60