Za bezpieczeństwo sieci informatycznej odpowiada wójt

W większości jednostek samorządowych w systemach teleinformatycznych są przetwarzane informacje niejawne oznaczone klauzulą "zastrzeżone". Systemy uruchomione przed wejściem w życie nowej ustawy o ochronie informacji niejawnych (tj. 2 stycznia 2011 r.) były akredytowane przez Agencję Bezpieczeństwa Wewnętrznego na podstawie przedstawionej przez jednostkę samorządową dokumentacji. Można z nich korzystać na dotychczasowych zasadach przez kolejne pięć lat, chyba że zostaną w nich dokonane zmiany mogące mieć istotny wpływ na bezpieczeństwo przetwarzanych informacji niejawnych. W przypadku takich zmian, upływu terminu ważności dotychczasowego poświadczenia lub uruchomienia nowego systemu teleinformatycznego, musi on uzyskać nową akredytację.

Zgodnie z ustawą akredytacji systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli "zastrzeżone" udziela kierownik jednostki organizacyjnej w rozumieniu ustawy, czyli w jednostkach samorządowych odpowiednio - burmistrz, starosta, marszałek województwa. Akredytacji tej udziela się na podstawie dokumentacji bezpieczeństwa systemu, na którą składają się: dokument szczególnych wymagań bezpieczeństwa oraz dokument bezpiecznej eksploatacji opracowane zgodnie z zasadami określonymi w ustawie. W praktyce dokumentację tę przygotowuje administrator sytemu w danej jednostce we współpracy z pełnomocnikiem do spraw ochrony informacji niejawnych.

W ciągu 30 dni od udzielenia akredytacji przez kierownika jednostki organizacyjne, wspomnianą dokumentację należy przekazać do ABW. Nie ma żadnej formy akceptacji przez tę służbę przedłożonej dokumentacji. Milczenie ABW będzie najlepszą oceną. Agencja może jednak przekazać kierownikowi jednostki zalecenia dotyczące konieczności przeprowadzenia dodatkowych czynności związanych z bezpieczeństwem informacji niejawnych.

Dopuszczalne jest stworzenie systemu teleinformatycznego, który będzie funkcjonował w więcej niż jednej jednostce organizacyjnej. W takim przypadku akredytacji udziela kierownik jednostki organizującej system. W przypadku dzielenia siedziby przez kilka jednostek może to być bardzo ekonomiczne rozwiązanie, zwłaszcza przy niedużej liczbie przetwarzanych informacji niejawnych. Należy pamiętać, że w jednostce organizacyjnej, w której przetwarzane są informacje niejawne w systemie teleinformatycznym, należy wyznaczyć inspektora bezpieczeństwa teleinformatycznego i administratora systemu. Inspektor powinien być pracownikiem pionu ochrony (komórki podległej pełnomocnikowi ochrony). Odpowiada on za weryfikację i bieżącą kontrolę funkcjonowania systemu opisaną w dokumentacji bezpieczeństwa. Natomiast administrator jest odpowiedzialny przede wszystkim za funkcjonowanie systemu. Funkcji tych nie można łączyć. .

Inspektor bezpieczeństwa i administrator systemu służącego do przetwarzania informacji zastrzeżonych muszą zostać upoważnieni do dostępu do informacji oznaczonych najniższą klauzulą tajności (jeżeli nie mają poświadczenia bezpieczeństwa). Dodatkowo powinni odbyć szkolenie w zakresie ochrony informacji niejawnych oraz specjalistyczne szkolenie z zakresu bezpieczeństwa teleinformatycznego prowadzone przez ABW.

Dorota Jęda

Ustawa z 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz.U. nr 182, poz. 1228).