plan ochrony informacji niejawnych w uniwersytecie śląskim w

Transkrypt

Załącznik nr 1
do Zarządzenia nr 108
Rektora UŚ
z dnia 19 października 2016 r.
ZATWIERDZAM
REKTOR
prof. dr hab. Andrzej Kowalczyk
Dnia 19 października 2016 r.
PLAN
OCHRONY INFORMACJI NIEJAWNYCH
W UNIWERSYTECIE ŚLĄSKIM
W KATOWICACH
Opracował:
PEŁNOMOCNIK
REKTORA DS. OCHRONY INFORMACJI
NIEJAWNYCH
mgr inż. Witold Cybulski
PLAN OCHRONY INFORMACJI NIEJAWNYCH W UNIWERSYTECIE ŚLĄSKIM
W KATOWICACH
SPIS TREŚCI
I.
DEFINICJE W ROZUMIENIU PLANU OCHRONY INFORMACJI NIEJAWNYCH
UNIWERSYTETU ŚLĄSKIEGO ........................................................................................ 4
II. CHARAKTERYSTYKA UNIWERSYTETU ŚLĄSKIEGO ............................................ 5
1.
2.
3.
4.
5.
6.
7.
Dane ogólne. ......................................................................................................................................................... 5
Osoby odpowiedzialne za administrowanie bezpieczeństwem informacji niejawnych w Uniwersytecie Śląskim
oraz ich obowiązki. ............................................................................................................................................... 5
Rodzaje materiałów niejawnych, występujących w Uniwersytecie Śląskim oraz sposób i tryb ich przetwarzania.
.............................................................................................................................................................................. 8
Komórki organizacyjne, nr budynków oraz pomieszczeń w których przetwarzane są informacje niejawne o
klauzuli „Poufne” i „Zastrzeżone”. ...................................................................................................................... 9
Stanowiska, których zajmowanie może łączyć się z dostępem do informacji niejawnych. .................................... 9
Sposób i tryb przetwarzania materiałów niejawnych o klauzuli „Poufne” w jednostkach organizacyjnych
Uniwersytetu Śląskiego. ........................................................................................................................................ 9
Sposób i tryb przetwarzania materiałów niejawnych o klauzuli „Zastrzeżone” w podległych jednostkach
Uniwersytetu Śląskiego. ........................................................................................................................................ 9
III. OPIS STREF OCHRONNYCH, POMIESZCZEŃ LUB OBSZARÓW, W TYM
OKREŚLENIE ICH GRANIC I WPROWADZONEGO SYSTEMU KONTROLI
DOSTĘPU............................................................................................................................. 10
1.
2.
Informacje ogólne. .............................................................................................................................................. 10
Opis strefy. .......................................................................................................................................................... 10
IV. ZASTOSOWANE ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO ............................. 12
1.
2.
Dane ogólne. ....................................................................................................................................................... 12
Środki ochrony fizycznej zastosowane w ochronie strefy Uniwersytetu Śląskiego. ............................................ 12
V. PROCEDURY ZARZĄDZANIA KLUCZAMI I KODAMI DOSTĘPU DO SZAF,
POMIESZCZEŃ I STREF, W KTÓRYCH PRZETWARZANE SĄ INFORMACJE
NIEJAWNE .......................................................................................................................... 16
1.
2.
3.
Zasady przechowywania i pobierania kluczy. ..................................................................................................... 16
Zasady przechowywania kodów dostępu. ........................................................................................................... 16
Zasady zmiany kodów dostępu. ........................................................................................................................... 16
VI. PROCEDURY ZARZĄDZANIA UPRAWNIENIAMI DO WEJŚCIA, WYJŚCIA I
PRZEBYWANIA W STREFACH OCHRONNYCH ...................................................... 18
VII. PLANY I PROCEDURY PROWADZENIA KONTROLI OCHRONY INFORMACJI
NIEJAWNYCH.................................................................................................................... 19
VIII.
PLANY I PROCEDURY PROWADZENIA SZKOLEŃ W ZAKRESIE
OCHRONY INFORMACJI NIEJAWNYCH ................................................................... 20
IX. SPOSÓB INTERWENCJI OSÓB ODPOWIEDZIALNYCH ZA OCHRONĘ
FIZYCZNĄ W PRZYPADKACH WYWOŁANIA ALARMU....................................... 21
str. 2
W KATOWICACH
X. PLANY AWARYJNE UWZGLĘDNIAJĄCE POTRZEBĘ OCHRONY
INFORMACJI NIEJAWNYCH W RAZIE WYSTĄPIENIA SYTUACJI
NADZWYCZAJNYCH, W TYM WPROWADZENIA STANÓW
NADZWYCZAJNYCH, W CELU ZAPOBIEŻENIA UTRACIE POUFNOŚCI,
INTEGRALNOŚCI LUB DOSTĘPNOŚCI INFORMACJI NIEJAWNYCH ............... 22
1.
2.
3.
4.
5.
Postępowanie w przypadku wystąpienia sytuacji nadzwyczajnych:.................................................................... 22
Postępowanie w przypadku wprowadzenia stanów nadzwyczajnych: ................................................................ 23
Zadania i obowiązki osób odpowiedzialnych za ewakuację................................................................................ 23
Niszczenie materiałów zawierających informacje niejawne w przypadku braku możliwości ewakuacji: ........... 24
Inne ustalenia. ..................................................................................................................................................... 24
XI. PLANY CIĄGŁOŚCI DZIAŁANIA ZAWIERAJĄCE ŚRODKI ZAPOBIEGAWCZE
I NAPRAWCZE SŁUŻĄCE ZMINIMALIZOWANIU SKUTKÓW
NIEWŁAŚCIWEGO POSTĘPOWANIA Z INFORMACJAMI NIEJAWNYMI LUB
WYSTĄPIENIA INCYDENTÓW BEZPIECZEŃSTWA ZWIĄZANYCH Z
PRZETWARZANIEM INFORMACJI NIEJAWNYCH ................................................ 25
1.
2.
3.
Działania zapobiegawcze przeciwdziałające niewłaściwemu postępowaniu z informacjami niejawnymi: ....... 25
Działania naprawcze służące zminimalizowaniu skutków niewłaściwego postępowania z informacjami
niejawnymi: ......................................................................................................................................................... 25
Postępowanie w przypadku wystąpienia incydentu bezpieczeństwa związanego z przetwarzaniem informacji
niejawnych: ......................................................................................................................................................... 25
XII. ODPOWIEDZIALNOŚĆ KARNA, DYSCYPLINARNA I SŁUŻBOWA ZA
NARUSZENIE PRZEPISÓW O OCHRONIE INFORMACJI NIEJAWNYCH ......... 26
XIII.
AKTY PRAWNE ZWIĄZANE Z OCHRONĄ INFORMACJI NIEJAWNYCH . 28
XIV.
WYKAZ ZAŁĄCZNIKÓW ........................................................................................ 30
str. 3
W KATOWICACH
I.
DEFINICJE W ROZUMIENIU PLANU OCHRONY INFORMACJI
NIEJAWNYCH UNIWERSYTETU ŚLĄSKIEGO
Ilekroć w Planie ochrony jest użyte:
1)
ustawa - należy rozumieć ustawę z dnia 5 sierpnia 2010 roku o ochronie informacji
niejawnych (Dz.U. z 2016 r., poz. 1167 - t.j.);
2)
plan ochrony - należy rozumieć „Plan ochrony informacji niejawnych w Uniwersytecie
Śląskim w Katowicach”;
3)
pełnomocnik ochrony - należy rozumieć pełnomocnika rektora ds. ochrony informacji
niejawnych;
4)
BSK - należy rozumieć bezpieczne stanowisko komputerowe Uniwersytetu Śląskiego
przeznaczone do wytwarzania, przetwarzania, przechowywania informacji niejawnych;
5)
inspektor bezpieczeństwa
teleinformatycznego BSK UŚ;
6)
administrator systemu - należy rozumieć administratora BSK UŚ;
7)
kancelaria - należy rozumieć kancelarię niejawną;
8)
pracownik kancelarii - należy rozumieć pracownika kancelarii niejawnej;
9)
DSOO - należy rozumieć Dział Spraw Obronnych i Ochrony Uniwersytetu Śląskiego;
-
należy
rozumieć
inspektora
bezpieczeństwa
10)
DBTI ABW - należy rozumieć Departament Bezpieczeństwa Teleinformatycznego
Agencji Bezpieczeństwa Wewnętrznego;
11)
„Z” - należy rozumieć „Zastrzeżone”;
12)
„Pf” - należy rozumieć „Poufne”;
13)
SWB - należy rozumieć Szczególne Wymagania Bezpieczeństwa BSK;
14)
PBE - należy rozumieć Procedury Bezpiecznej Eksploatacji BSK;
15)
dokument - należy rozumieć każdą utrwaloną informację niejawną;
16)
przetwarzaniem informacji niejawnych - należy rozumieć wszelkie operacje
wykonywane w odniesieniu do informacji niejawnych i na tych informacjach,
w szczególności ich wytwarzanie, modyfikowanie, kopiowanie, klasyfikowanie,
gromadzenie, przechowywanie, przekazywanie lub udostępnianie;
17)
ryzyko - należy rozumieć kombinację prawdopodobieństwa wystąpienia zdarzenia
niepożądanego i jego konsekwencji;
18)
szacowanie ryzyka - należy rozumieć całościowy proces analizy i oceny ryzyka;
19)
zarządzanie ryzykiem - należy rozumieć skoordynowane działania w zakresie
zarządzania bezpieczeństwem informacji, z uwzględnieniem ryzyka;
portier - pracownik ochrony niekwalifikowany;
20)
str. 4
W KATOWICACH
II.
1.
CHARAKTERYSTYKA UNIWERSYTETU ŚLĄSKIEGO
Dane ogólne.
1) Uniwersytet Śląski w Katowicach, zwany Uniwersytetem Śląskim, jest uczelnią
publiczną, działającą na podstawie ustawy z dnia 27 lipca 2005 roku Prawo
o szkolnictwie wyższym (tekst jednolity - Dz.U. z 2012 r., poz. 572, z późn. zm.),
rozporządzenia Rady Ministrów z dnia 8 czerwca 1968 roku w sprawie utworzenia
Uniwersytetu Śląskiego w Katowicach (Dz.U. Nr 18, poz. 116) oraz statutu Uniwersytetu
Śląskiego uchwalonego przez Senat UŚ Uchwałą nr 110 z dnia 24 stycznia 2012 roku
z późn. zm.
2) Siedzibą Uniwersytetu Śląskiego są Katowice.
3) W skład Uniwersytetu Śląskiego wchodzą następujące podstawowe jednostki
organizacyjne:
a) Wydział Artystyczny,
b) Wydział Biologii i Ochrony Środowiska,
c) Wydział Etnologii i Nauki o Edukacji,
d) Wydział Filologiczny,
e) Wydział Informatyki i Nauki o Materiałach,
f) Wydział Matematyki, Fizyki i Chemii,
g) Wydział Nauk o Ziemi,
h) Wydział Nauk Społecznych,
i) Wydział Pedagogiki i Psychologii,
j) Wydział Prawa i Administracji,
k) Wydział Radia i Telewizji im. K. Kieślowskiego,
l) Wydział Teologiczny,
m) Szkoła Zarządzania Uniwersytetu Śląskiego.
4) Ponadto w skład Uniwersytetu wchodzą:
a) Biblioteka Uniwersytetu Śląskiego oraz biblioteki jednostek organizacyjnych
Uniwersytetu,
b) ogólnouczelniane, międzywydziałowe i pozawydziałowej jednostki organizacyjne
prowadzące działalność naukową, naukowo-dydaktyczną lub dydaktyczną,
c) ogólnouczelniana, międzywydziałowe i pozawydziałowe jednostki organizacyjne
prowadzące wyłącznie działalność usługową,
d) jednostki organizacyjne administracji Uniwersytetu.
5) Uniwersytet prowadzi, inicjuje i wspiera prace naukowe, przedsięwzięcia artystyczne,
kulturalne oraz kształci studentów i uczestników studiów doktoranckich na poziomie
akademickim, a także sprzyja innym inicjatywom edukacyjnym.
6) Uniwersytet współpracuje ze szkołami i placówkami kulturalnymi polskimi
i zagranicznymi, a także z polskimi i zagranicznymi placówkami oświatowowychowawczymi, instytucjami oraz organizacjami.
2.
Osoby odpowiedzialne za administrowanie bezpieczeństwem informacji niejawnych
w Uniwersytecie Śląskim oraz ich obowiązki.
1) Osobami odpowiedzialnymi za administrowanie bezpieczeństwem informacji niejawnych
w Uniwersytecie Śląskim są:
a) rektor,
str. 5
W KATOWICACH
b)
c)
d)
e)
pełnomocnik ochrony,
administrator systemu,
inspektor bezpieczeństwa,
pracownik kancelarii niejawnej.
2) Obowiązki rektora.
Rektor odpowiada za całość spraw związanych z ochroną informacji niejawnych
w szczególności za zorganizowanie i zapewnienie funkcjonowania tej ochrony. Rektorowi
bezpośrednio podlega zatrudniony przez niego pełnomocnik ochrony, który odpowiada za
zapewnienie przestrzegania przepisów o ochronie informacji niejawnych. Do zadań rektora
należy:
a) wyznaczanie i odwoływanie pełnomocnika ochrony, kierownika kancelarii niejawnej,
administratora systemu oraz inspektora bezpieczeństwa,
b) podejmowanie decyzji w sprawie utworzenia kancelarii i BSK,
c) podejmowanie decyzji o przebudowie i likwidacji kancelarii i BSK,
d) podejmowanie decyzji w zakresie wykorzystywania zasobów sprzętowych,
oprogramowania systemu oraz zgromadzonych informacji.
3) Obowiązki pełnomocnika ochrony:
a) pełnomocnik ochrony informacji niejawnych w Uniwersytecie Śląskim w Katowicach
jest powoływany przez rektora na podstawie jego zarządzenia, który powinien posiadać:
 obywatelstwo polskie,
 wykształcenie wyższe,
 odpowiednie poświadczenie bezpieczeństwa wydane przez ABW,
 zaświadczenie o przeszkoleniu w zakresie ochrony informacji przeprowadzonym
przez ABW,
b) do jego zadań należy:
 zapewnienie ochrony informacji niejawnych, w tym stosowanie środków
bezpieczeństwa fizycznego,
 zapewnienie ochrony systemów teleinformatycznych, w których są przetwarzane
informacje niejawne,
 zarządzanie ryzykiem bezpieczeństwa informacji niejawnych, w szczególności
szacowanie ryzyka,
 kontrola ochrony informacji niejawnych oraz przestrzegania przepisów o ochronie
tych informacji, w szczególności okresowa (co najmniej raz na trzy lata) kontrola
ewidencji, materiałów i obiegu dokumentów,
 opracowywanie i aktualizowanie, wymagającego akceptacji kierownika jednostki
organizacyjnej, planu ochrony informacji niejawnych w Uniwersytecie Śląskim,
w tym w razie wprowadzenia stanu nadzwyczajnego, i nadzorowanie jego realizacji,
 prowadzenie szkoleń w zakresie ochrony informacji niejawnych,
 prowadzenie zwykłych postępowań sprawdzających oraz kontrolnych postępowań
sprawdzających,
 prowadzenie aktualnego wykazu osób zatrudnionych w Uniwersytecie Śląskim albo
wykonujących czynności zlecone, które posiadają uprawnienia do dostępu do
informacji niejawnych, oraz osób, którym odmówiono wydania poświadczenia
bezpieczeństwa lub je cofnięto,
str. 6
W KATOWICACH




przekazywanie odpowiednio ABW do ewidencji, danych osób uprawnionych do
dostępu do informacji niejawnych, a także osób, którym odmówiono wydania
poświadczenia bezpieczeństwa lub wobec których podjęto decyzję o cofnięciu
poświadczenia bezpieczeństwa,
kierowanie podległym mu DSOO,
koordynowanie ochrony fizycznej Uniwersytetu Śląskiego,
podejmowanie działań zmierzających do wyjaśnienia okoliczności naruszenia
przepisów o ochronie informacji niejawnych.
4) Obowiązki inspektora bezpieczeństwa BSK.
Inspektor bezpieczeństwa wyznaczony jest przez rektora, który powinien posiadać aktualne
poświadczenie bezpieczeństwa osobowego do klauzuli „Poufne”, oraz przeszkolenie
przeprowadzone przez ABW w tym zakresie. Podlega bezpośrednio pełnomocnikowi ochrony.
Odpowiedzialny jest za:
a) kontrolę zgodności funkcjonowania BSK z dokumentacją SWB oraz za kontrolę
przestrzegania PBE,
b) kontrolowanie i nadzorowanie administratora systemu,
c) monitorowanie zmian w funkcjonowaniu mechanizmów zabezpieczeń w zakresie
przestrzegania PBE,
d) przeglądanie wspólnie z administratorem logów systemu operacyjnego,
e) reagowanie na sygnały o incydentach w zakresie bezpieczeństwa BSK oraz wyjaśnienie
ich przyczyn i podejmowanie korków zmniejszających ryzyko ich ponownego
wystąpienia,
f) uczestniczenie w okresowej analizie ryzyka,
g) uczestniczenie w komisyjnym niszczeniu technicznych nośników informacji wycofanych
z eksploatacji,
h) informowanie pełnomocnika ochrony o wszelkich zdarzeniach związanych lub mogących
mieć związek z bezpieczeństwem BSK,
i) weryfikowanie raz w roku uprawnień użytkowników systemu pod kątem spełniania
wymagań formalnych (aktualności poświadczeń bezpieczeństwa osobowego),
j) prowadzenie dziennika działań,
k) przeciwdziałanie wpływom złośliwego oprogramowania, zwłaszcza wpływom wirusów
komputerowych w zakresie przestrzegania procedur bezpiecznej eksploatacji,
l) podnoszenie kwalifikacji zawodowych na kursach specjalistycznych oraz poprzez
samokształcenie,
m) wykonywanie obowiązków administratora w wypadku dłuższej jego nieobecności.
5) Obowiązki administratora BSK.
Administrator BSK wyznaczony jest przez rektora i powinien posiadać aktualne poświadczenie
bezpieczeństwa osobowego do klauzuli „Poufne” oraz przeszkolenie przeprowadzone przez
ABW w tym zakresie.
Administrator systemu odpowiada za:
a) określanie mechanizmów zabezpieczeń w wykorzystywanych systemach operacyjnych
na podstawie posiadanej wiedzy i dokumentacji otrzymanej od służb ochrony państwa,
b) reagowanie na sygnały o incydentach w zakresie bezpieczeństwa, wyjaśnienie ich
przyczyn i podejmowanie kroków zmniejszających ryzyko ich ponownego wystąpienia,
c) prowadzenie aktywnej polityki antywirusowej,
str. 7
W KATOWICACH
d)
e)
f)
g)
h)
i)
j)
k)
l)
m)
n)
przeprowadzanie szkoleń użytkowników BSK,
przechowywanie oświadczeń stwierdzających zapoznanie się użytkowników z PBE,
uczestnictwo w okresowej analizie ryzyka,
kontrolowanie raz na kwartał zgodności oprogramowania zainstalowanego w BSK
z dokumentacją,
przydzielanie i odbieranie uprawnień użytkownikom systemu operacyjnego,
przydzielanie pierwszych haseł,
instalowanie systemu operacyjnego i oprogramowania użytkowego oraz jego
konfigurowanie,
instalowanie i konfigurowanie urządzeń,
wykonywanie kopii bezpieczeństwa systemu operacyjnego,
przywracanie sprawności systemu po awariach,
podnoszenie kwalifikacji zawodowych na kursach specjalistycznych i poprzez
samokształcenie,
informowanie pełnomocnika ochrony o wszelkich zdarzeniach związanych
z bezpieczeństwem BSK.
6) Obowiązki pracownika kancelarii niejawnej.
Do podstawowych zadań pracownika kancelarii, w odniesieniu do materiałów
podlegających rejestracji w kancelarii, należy:
a) bezpośredni nadzór nad obiegiem materiałów,
b) udostępnianie materiałów osobom do tego uprawnionym,
c) wydawanie materiałów osobom do tego uprawnionym, które zapewniają
odpowiednie warunki do ich przechowywania,
d) egzekwowanie zwrotu materiałów,
e) kontrola przestrzegania właściwego oznaczania i rejestrowania materiałów
w Uniwersytecie Śląskim.
3.
Rodzaje materiałów niejawnych, występujących w Uniwersytecie Śląskim oraz
sposób i tryb ich przetwarzania.
1)
Uniwersytet Śląski jest przygotowany do wytwarzania, przetwarzania i przechowywania
informacji niejawnych oznaczonych klauzulami „Poufne” i „Zastrzeżone”.
2)
Materiałami zawierającymi informacje o klauzuli „Poufne” w Uniwersytecie Śląskim są:
a) dokumenty planowania operacyjnego,
b) dokumenty z zakresu ochrony informacji niejawnych,
c) urządzenia ewidencyjne kancelarii, protokoły z kontroli i zniszczenia,
d) mogą być również inne dokumenty zgodnie z wykazem stanowiącym załącznik nr 1.
3)
Materiałami zawierającymi informacje o klauzuli „Zastrzeżone” w Uniwersytecie
Śląskim są:
b) dokumenty z zakresu ochrony informacji niejawnych,
c) urządzenia ewidencyjne kancelarii, protokoły z kontroli i zniszczenia,
d) mogą być również inne dokumenty zgodnie z wykazem stanowiącym załącznik nr 1.
str. 8
W KATOWICACH
4)
Hierarchia ważności dokumentów:
b) akta postepowań sprawdzających,
c) dokumenty z zakresu ochrony informacji niejawnych.
5)
Forma danych wyjściowych:
a) papierowa;
b) elektroniczna w postaci:
 dyskietki,
 płyty CD, DVD,
 pendrive.
6)
Wykaz podstawowych rodzajów dokumentów wytwarzanych w Uniwersytecie Śląskim
w Katowicach, mogących zawierać informacje niejawne o klauzuli „Poufne”
i „Zastrzeżone” stanowi „Załącznik nr 1”.
4.
Komórki organizacyjne, nr budynków oraz pomieszczeń w których przetwarzane
są informacje niejawne o klauzuli „Poufne” i „Zastrzeżone”.
1) Wytwarzanie, przetwarzanie i przechowywanie dokumentów (materiałów) niejawnych
w Uniwersytecie Śląskim powinno odbywać się w kancelarii i BSK. Kancelaria i BSK
usytuowane są w budynku przy ul. Bankowej 5 w Katowicach na pierwszym piętrze
w pomieszczeniu nr 107 i 108.
2) Zasady pracy kancelarii niejawnej określa „Instrukcja pracy kancelarii niejawnej”.
3) Zasady pracy BSK określają dokumenty „Szczególnych wymagań bezpieczeństwa”
i „Procedury bezpiecznej eksploatacji”.
5.
Stanowiska, których zajmowanie może łączyć się z dostępem do informacji
niejawnych.
Pełnomocnik ochrony opracowuje wykaz stanowisk i prac zleconych, z którymi może łączyć się
dostęp do informacji niejawnych z podziałem na poszczególne klauzule, stanowiący „Załącznik
nr 2” do planu. Aktualizacji wykazu dokonuje pełnomocnik na bieżąco w przypadku
wprowadzenia zmian w strukturze organizacyjnej Uniwersytetu Śląskiego.
6.
Sposób i tryb przetwarzania materiałów niejawnych o klauzuli „Poufne”
w jednostkach organizacyjnych Uniwersytetu Śląskiego.
W jednostkach organizacyjnych Uniwersytetu Śląskiego nie przewiduje się przetwarzania,
wytwarzania i przechowywania informacji niejawnych o klauzuli „Poufne”. Dopuszcza się
jednak korzystanie z materiałów niejawnych oznaczonych klauzulą „Poufne” w jednostkach
organizacyjnych Uniwersytetu Śląskiego w ciągu dnia, które jednak należy zwrócić do kancelarii
przed zakończeniem regulaminowych godzin pracy.
7.
Sposób i tryb przetwarzania materiałów niejawnych o klauzuli „Zastrzeżone”
w podległych jednostkach Uniwersytetu Śląskiego.
W jednostkach organizacyjnych Uniwersytetu Śląskiego nie przewiduje się przetwarzania,
wytwarzania informacji niejawnych o klauzuli „Zastrzeżone”. Dopuszcza się krótkotrwałe
wykorzystywanie dokumentów (materiałów) zawierających informacje niejawne oznaczone
klauzulą „Zastrzeżone” w jednostkach organizacyjnych Uniwersytetu Śląskiego w ciągu dnia,
które należy zwrócić do kancelarii przed zakończeniem regulaminowych godzin pracy.
str. 9
W KATOWICACH
III.
1.
OPIS STREF OCHRONNYCH, POMIESZCZEŃ LUB OBSZARÓW,
W TYM OKREŚLENIE ICH GRANIC I WPROWADZONEGO
SYSTEMU KONTROLI DOSTĘPU
Informacje ogólne.
1) Wyróżnia się następujące strefy ochronne służące fizycznej ochronie informacji
niejawnych:
a) strefę ochronną II – obejmującą pomieszczenie lub obszar, w którym informacje
niejawne o klauzuli tajności „poufne” lub wyższej są przetwarzane w taki sposób,
że wstęp do tego pomieszczenia lub obszaru nie umożliwia bezpośredniego dostępu
do tych informacji; pomieszczenie lub obszar spełniają następujące wymogi:
 wyraźnego określenia i zabezpieczenia granic oraz kontrolowania każdego
przypadku wstępu na ten obszar i opuszczenia obszaru,
 wyraźnego wskazania najwyższej klauzuli tajności informacji niejawnych
przetwarzanych na tym obszarze,
 wprowadzenia systemu kontroli dostępu zezwalającego na wstęp wyłącznie osób,
które posiadają odpowiednie uprawnienie do dostępu do informacji niejawnych
oraz którym przyznano upoważnienie do wstępu na ten obszar, a w przypadku
wszystkich innych osób − zapewnienia nadzoru osoby uprawnionej lub
równoważnych mechanizmów kontrolnych,
 w przypadku konieczności wstępu osób innych niż te, o których mowa w lit. C,
zapewnia się nadzór osoby uprawnionej lub równoważne mechanizmy kontrolne,
 wstęp możliwy jest wyłącznie ze obszaru kontrolowanego,
b) strefę ochronną III – obszar wokół strefy ochronnej II lub przed wejściem do tej
strefy, który wymaga wyraźnego określenia granic, w obrębie których możliwe jest
kontrolowanie osób i pojazdów,
c) obszar kontrolowany – obejmujący pomieszczenia lub teren wymagający
wyraźnego określenia granic, w obrębie których jest możliwe kontrolowanie osób
i pojazdów.
2) Pomieszczenie lub obszar w każdej strefie ochronnej, w których praca nie odbywa się
w systemie całodobowym, sprawdza się bezpośrednio po zakończeniu
regulaminowych godzin pracy w celu upewnienia się, że informacje niejawne zostały
właściwie zabezpieczone.
2.
Opis stref.
1) Strefami ochronnymi objęte są pomieszczenia Działu Spraw Obronnych i Ochrony
znajdującego się na I piętrze w budynku przy ul. Bankowej 5 w Katowicach. Budynek
jest ogólnodostępny dla interesantów w godzinach normalnej pracy (7.30 - 15.30). Nie
prowadzi się wydawania przepustek, ani sprawdzania tożsamości osób wchodzących.
Aby zapobiec wchodzeniu do budynku osób nieuprawnionych zorganizowana jest
ochrona portierska w postaci jednoosobowych dyżurów. Portier ma możliwość
obserwacji interesantów na monitorach poprzez system kamer umieszczonych na
zewnątrz i wewnątrz budynku. Interweniuje gdy ktoś przebywa budynku przez
dłuższy czas bez określonego celu lub zachowuje się podejrzanie.
str. 10
W KATOWICACH
2) Szkic terenu przyległego przedstawia „Załącznik nr 3”.
3) W pomieszczeniach Działu Spraw Obronnych i Ochrony wyróżnia się:
a) Obszar kontrolowany - stanowią pomieszczenia nr 102 i 105,
b) Strefę ochronną III - stanowią pomieszczenia nr 106 i 109,
c) Strefę ochronną II
- stanowią pomieszczenia nr 107 (znajduje się w nim BSK)
i 108 (znajduje się w nim kancelaria).
4) Rozmieszczenie stref ochronnych przedstawia „Załącznik nr 4”.
str. 11
W KATOWICACH
IV.
1.
ZASTOSOWANE ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO
Dane ogólne.
Środki bezpieczeństwa fizycznego stosuje się we wszystkich pomieszczeniach i obszarach,
w których są przetwarzane informacje niejawne, zarówno w formie papierowej jak
i w systemach teleinformatycznych. W zależności od poziomu zagrożeń stosuje się kombinację
następujących środków bezpieczeństwa fizycznego:
a) bariery fizyczne – środki chroniące granice miejsca, w którym przetwarzane są
informacje niejawne, w szczególności są to ogrodzenia, ściany, bramy, drzwi i okna,
b) systemy sygnalizacji włamania i napadu – stosowane w celu podwyższenia poziomu
bezpieczeństwa, które dają bariery fizyczne, a w pomieszczeniach i budynkach w celu
zastąpienia lub wsparcia pracowników jednostki organizacyjnej lub personelu
bezpieczeństwa,
c) kontrola dostępu – stosowana w celu zagwarantowania, że dostęp do chronionego
obszaru uzyskują wyłącznie osoby posiadające odpowiednie uprawnienia,
d) personel bezpieczeństwa – osoby przeszkolone, nadzorowane, a w razie konieczności
posiadające odpowiednie uprawnienie dostępu do informacji niejawnych, zatrudnione
w celu wykonywania czynności związanych z fizyczną ochroną informacji niejawnych,
w tym kontroli dostępu, nadzoru nad systemem monitoringu wizyjnego, a także
reagowania na alarmy lub sygnały awaryjne,
e) system monitoringu wizyjnego – stosowany przez pracowników jednostki organizacyjnej
lub personel bezpieczeństwa w celu bieżącego monitorowania ochronnego lub
sprawdzania incydentów bezpieczeństwa i sygnałów alarmowych pochodzących
z systemów sygnalizacji włamania i napadu,
f) szafy i zamki – stosowane do przechowywania informacji niejawnych lub
zabezpieczające te informacje przed nieuprawnionym dostępem,
g) system kontroli osób i przedmiotów polegający na użyciu odpowiednich urządzeń
technicznych lub zwracaniu się o dobrowolne poddanie się kontroli lub udostępnienie do
kontroli rzeczy osobistych, a także przedmiotów wnoszonych lub wynoszonych –
stosowany w celu zapobiegania próbom nieuprawnionego wnoszenia na chroniony
obszar rzeczy zagrażających bezpieczeństwu informacji niejawnych lub nieuprawnionego
wynoszenia informacji niejawnych z budynków lub obiektów.
2.
Środki ochrony fizycznej zastosowane w ochronie strefy Uniwersytetu Śląskiego.
1)
Bariery fizyczne:
a) budynek przy ul. Bankowej 5 jest ogólnodostępny dla interesantów w godzinach
regulaminowej pracy (7.30 - 15.30). Nie prowadzi się wydawania przepustek, ani
sprawdzania tożsamości osób wchodzących. Aby zapobiec wchodzeniu do budynku
osób nieuprawnionych zorganizowana jest ochrona portierska w postaci
jednoosobowych dyżurów. Portier ma możliwość obserwacji interesantów na
monitorach poprzez system kamer umieszczonych na zewnątrz i wewnątrz budynku.
Interweniuje gdy ktoś przebywa w budynku przez dłuższy czas bez określonego celu
lub zachowuje się podejrzanie,
b) po godzinie 15.30, brama wjazdowa i furtka zamykana jest na klucz, a wejście do
budynku możliwe jest po wywołaniu portiera dzwonkiem i uzyskaniu jego zgody na
wejście,
str. 12
W KATOWICACH
c) ściany i stropy pomieszczeń, w którym usytuowane są kancelaria i BSK wykonane są
z materiałów niepalnych spełniających wymagania w zakresie klasy odporności
pożarowej oraz nośności granicznej odpowiadającej konstrukcji murowanej z cegły
pełnej o grubości 250 mm,
d) drzwi wejściowe do pomieszczeń kancelarii i BSK wykonane są z blachy stalowej,
wyposażone w dwa zamki wielopunktowe typu „GERDA” i spełniają wymagania,
o których mowa w Polskiej Normie PN-90/B-92270,
e) okna w pomieszczeniach kancelarii i BSK zabezpieczone są zewnętrznymi kratami
stalowymi z prętów o średnicy 20 mm i płaskowników 40x5 mm o oczkach 120x280
mm otwieranymi od wewnątrz zamkiem odpowiadającym normie PN-EN-12320.
Ponadto okna zabezpieczone są żaluzjami wewnętrznymi przed obserwacją
z zewnątrz. Okna znajdują się na wysokości 5 m od poziomu otaczającego terenu
i 7 m od poziomu dachu,
f) szkic terenu przyległego przedstawia załącznik nr 3.
2)
Systemy sygnalizacji włamania i napadu:
a) pomieszczenia Działu Spraw Obronnych i Ochrony wyposażone są w system
sygnalizacji napadu i włamania klasy SA 3. Każdy pracownik Działu posiada własny
kod dostępu. Możliwe jest sprawdzenie, kto i o której godzinie włączał lub wyłączał
system alarmowy. Trzykrotne błędne wprowadzenie kodu powoduje blokadę systemu
i uruchamia się sygnał dźwiękowy i świetlny,
b) kod do pomieszczeń kancelarii i BSK posiadają:
 pełnomocnik ochrony,
 z-ca kierownika DSOO,
 pracownik kancelarii,
c) konserwacji systemu raz na kwartał dokonuje firma posiadająca certyfikat ABW,
a pracownicy poświadczenie bezpieczeństwa z dostępem do informacji niejawnych
oznaczonych klauzulą „Zastrzeżone”,
d) w przypadku incydentu systemu sygnalizacji, wyjaśnienia przeprowadzał będzie
specjalista ds. ochrony mienia, który dokona odczytu pamięci zdarzeń centrali,
e) wejście do strefy ochronnej odbywa się za pomocą kart zbliżeniowych indywidualnie
przypisanych pracownikom Działu Spraw Obronnych i Ochrony. System kontroli
dostępu oparty jest na centrali SSWiN Satel INTEGRA 128. Pozwala on na trwałe
przechowywanie informacji na temat dostępu poszczególnych użytkowników do
strefy ochronnej (data, godzina),
f) ochronę przeciwpożarową pomieszczeń kancelarii i BSK zapewnia się w następujący
sposób:
 drzwi, ściany, sufity wykonano z materiałów niepalnych,
 oznaczono drogi ewakuacji tablicami fluoroscencyjnymi,
 wyposażono w gaśnicę proszkową do gaszenia ognia w zarodku,
 budynek wyposażono w sygnalizację przeciwpożarową.
3)
Kontrola dostępu:
a) uprawnienia na stały wstęp do obszaru kontrolowanego i strefy ochronnej III
w godzinach pracy mają wszyscy pracownicy zatrudnieni w DSOO. Stały wstęp do
strefy ochronnej II mają osoby upoważnione. Wstęp innych osób do strefy ochronnej
III jest możliwy po uzyskaniu zgody pracownika działu. Interesant jest identyfikowany
poprzez wideo domofon,
str. 13
W KATOWICACH
b) wstęp osób nieupoważnionych do strefy ochronnej II i III jest możliwy po uzyskaniu
zgody pełnomocnika ochrony i może nastąpić pod warunkiem zabezpieczenia informacji
niejawnych przed ich przypadkowym ujawnieniem,
c) sprzątanie, prace konserwacyjne, naprawcze i remontowe mogą odbywać się tylko pod
nadzorem pracowników DSOO i pod warunkiem zabezpieczenia informacji niejawnych
przed przypadkowym ujawnieniem. Personel wykonujący te prace nie musi posiadać
poświadczeń bezpieczeństwa,
d) do strefy ochronnej II i III interesantom zabrania się wnoszenia laptopów, aparatów
fotograficznych, kamer, telefonów komórkowych i innych urządzeń zapisujących dźwięk
i obraz.
4)
Personel bezpieczeństwa:
w Uniwersytecie Śląskim stosowane są następujące rodzaje służb realizujące zadania, których
celem jest zapewnienie bezpieczeństwa osób przebywających w obiektach Uniwersytetu
Śląskiego, ochrona mienia oraz transportowanie powierzonych do ochrony wartości pieniężnych
i przedmiotów wartościowych:
a) posterunek stały (PS) - wystawiany w miejscu wymagającym ochrony całodobowej lub
w określonych z góry godzinach, jedno lub wieloosobowy,
b) posterunek doraźny (PD) - wystawiony w miejscu, które wymaga ochrony
natychmiastowej i tymczasowej, jedno lub wieloosobowy,
c) obchód (OB) - przeprowadzany w celu skontrolowania sposobu wykonywania zadań
ochrony przez pracowników ochrony oraz rozpoznania aktualnego stanu bezpieczeństwa
obiektu lub grupy obiektów i strefy zewnętrznej,
d) patrol (P) – posterunek ruchomy poruszający się po wyznaczonej trasie, w oznaczonym
interwale czasowym, z zadaniami dotyczącymi sprawdzania stanu zabezpieczeń
obiektów Uniwersytetu Śląskiego, miejsc newralgicznych i podejmowania interwencji
w przypadku popełniania przestępstw lub wykroczeń na terenie stanowiącym własność
lub dzierżawionym przez Uniwersytet Śląski, jedno lub wieloosobowy,
e) grupa interwencyjna (GI) - dwuosobowa, uzbrojona w środki przymusu
bezpośredniego załoga, dysponująca pojazdem samochodowym, kierowana po emisji
sygnału z lokalnego systemu alarmowego przez operatorów SMA, zgodnie
z opracowanymi procedurami dla każdego zdarzenia i obiektu Uniwersytetu Śląskiego,
w miejsca zagrożone, w celu nie dopuszczenia do popełnienia czynu karalnego,
udzielania wsparcia pracownikom ochrony fizycznej ujęcia sprawców, zabezpieczenia
miejsca zdarzenia do czasu przybycia Policji,
f) monitoring (M) - stały dozór sygnałów przesyłanych, gromadzonych i przetwarzanych
w elektronicznych urządzeniach, systemach alarmowych. Jedna Stacja Monitorowania
Alarmów przyjmująca sygnały z wszystkich zainstalowanych systemów zabezpieczeń
elektronicznych w obiektach Uniwersytetu Śląskiego, kierując w zagrożone miejsca GI.
5)
System monitoringu wizyjnego:
budynek przy ul. Bankowej 5 posiada zainstalowany system telewizji dozorowej CCTV.
System składa się z czterech kamer stacjonarnych, rejestratora i monitora. Dane zapisywane są
na dysku twardym rejestratora i przechowywane maksymalnie przez okres 3 miesięcy.
6)
Szafy i zamki:
a) w strefie ochronnej II i III znajdują się 3 szafy metalowe,
str. 14
W KATOWICACH
b) szafy charakteryzują się solidną konstrukcją i wykonaniem. Zapewniają odporność na
próby nielegalnego otwarcia przez osobę do tego nieprzygotowaną, z użyciem
podręcznych, łatwo dostępnych narzędzi ręcznych. Spełniają wymagania kategorii S1
określone w Polskiej Normie PN-EN 14450, są zainstalowane i użytkowane zgodnie
z instrukcją producenta,
c) zamki do szaf charakteryzują się odpornością na sprawne działania osoby
nieuprawnionej, posługującej się zwykłymi, powszechnie dostępnymi środkami.
Spełniają wymagania kategorii A określone w Polskiej Normie PN-EN 1300,
d) szafy i zamki spełniają warunki do przechowywania informacji niejawnych o klauzuli
„Poufne” lub niższej.
str. 15
W KATOWICACH
V.
1.
PROCEDURY ZARZĄDZANIA KLUCZAMI I KODAMI DOSTĘPU
DO
SZAF,
POMIESZCZEŃ
I
STREF,
W
KTÓRYCH
PRZETWARZANE SĄ INFORMACJE NIEJAWNE
Zasady przechowywania i pobierania kluczy.
1) Klucze użytku bieżącego do kancelarii i BSK po godzinach pracy przechowywane są
w torebkach oplombowanych plombą plastikową z kolejnym numerem. Fakt otwarcia
i zamknięcia ww. pomieszczeń, numery plomb oraz godziny wpisywany jest w książce
otwarcia kancelarii i BSK. Torby z kluczami deponowane są w metalowej kasetce
zamykanej na klucz.
2) Klucz do kasetki przechowywany jest w metalowej szafce zamykanej na klucz, do
którego dostęp posiadają:
a) pełnomocnik ochrony - kierownik DSOO,
b) z-ca kierownika działu - specjalista,
c) pracownik kancelarii - specjalista.
3) Drugi komplet kluczy do kancelarii i BSK, szafki i kasetki przechowywany jest
u pełnomocnika ochrony.
4) Klucze od drzwi wejściowych do pomieszczeń Działu po godzinach pracy zdawane są na
portierni za pokwitowaniem w „Książce wydawania kluczy”. Klucze mogą być
wydawane tylko osobie, która jest upoważniona przez kierownika Działu w wykazie
znajdującym się na portierni. Wykaz osób upoważnionych uaktualnia kierownik Działu.
2.
Zasady przechowywania kodów dostępu.
1) Kody dostępu znane są tylko osobom funkcyjnym na czas wykonywania obowiązków
służbowych na tym stanowisku. W przypadku zmian personalnych na tych stanowiskach
należy bezwzględnie dokonać ich wymiany. Dla zapewnienia możliwości dostępu
w sytuacjach nadzwyczajnych kody dostępu zapisane w formie papierowej przechowuje
się w ustalonych miejscach.
2) Kod dostępu administratora do systemu alarmowego kancelarii i BSK jest
przechowywany u pełnomocnika ochrony.
3) Kod dostępu administratora do systemu alarmowego DSOO przechowywany jest
u kierownika działu.
4) Kod dostępu administratora do BSK przechowywany jest w kancelarii.
5) Kod dostępu do zamku szyfrowego szafy metalowej kancelarii przechowywany jest
u pełnomocnika ochrony.
6) Kod do zamka szyfrowego pełnomocnika ochrony przechowywany jest w kancelarii.
7) Kody dostępu zapisane na formularzu (wzór „Załącznik nr 5”) przechowuje się
w nieprzeźroczystej, zapieczętowanej kopercie (wzór „Załącznik nr 6”)
zaewidencjonowanej w kancelarii. Na kopercie zamieszcza się dane dotyczące osób
upoważnionych do jej pobrania i otwarcia oraz osób, które mogą wyrazić na tą zgodę.
3.
Zasady zmiany kodów dostępu.
1) Zmiany kodów dostępu do systemu alarmowego kancelarii i BSK dokonuje się
w przypadku zmiany osoby na stanowisku pełnomocnika ochrony lub w przypadku ich
ujawnienia.
2) Zmiany kodów dostępu administratora BSK dokonuje się w przypadku zmiany osoby na
tym stanowisku lub w przypadku jego ujawnienia.
str. 16
W KATOWICACH
3) Zmiany kodów użytkowników BSK zmieniane są co 30 dni, a czynność ta wymuszana
jest przez system.
4) Kody do zamków szyfrowych zmieniane są raz w roku, oraz po każdej przeprowadzonej
konserwacji zamków.
str. 17
W KATOWICACH
VI.
PROCEDURY ZARZĄDZANIA UPRAWNIENIAMI DO WEJŚCIA,
WYJŚCIA I PRZEBYWANIA W STREFACH OCHRONNYCH
1.
Uprawnienia na stały wstęp do strefy ochronnej III i obszaru kontrolowanego
w godzinach pracy mają wszyscy pracownicy zatrudnieni w DSOO. Stały wstęp do
strefy ochronnej II mają osoby upoważnione. Wstęp innych osób do obszaru
kontrolowanego jest możliwy po uzyskaniu zgody pracownika działu. Interesant jest
identyfikowany poprzez wideo domofon.
Wstęp osób do strefy ochronnej II i III jest możliwy po uzyskaniu zgody pełnomocnika
ochrony i może nastąpić pod warunkiem zabezpieczenia informacji niejawnych przed ich
przypadkowym ujawnieniem.
Osoby wchodzące do strefy ochronnej II powinny posiadać aktualne poświadczenie
bezpieczeństwa (upoważnienie) oraz zaświadczenie o odbytym szkoleniu z zakresu
ochrony informacji niejawnych.
Sprzątanie, prace konserwacyjne, naprawcze i remontowe mogą odbywać się tylko pod
nadzorem pracowników DSOO i pod warunkiem zabezpieczenia informacji niejawnych
przed przypadkowym ujawnieniem. Personel wykonujący te prace nie musi posiadać
poświadczeń bezpieczeństwa.
Do strefy ochronnej II i III interesantom zabrania się wnoszenia laptopów, aparatów
fotograficznych, kamer, telefonów komórkowych i innych urządzeń zapisujących dźwięk
i obraz.
2.
3.
4.
5.
str. 18
W KATOWICACH
VII.
PLANY I PROCEDURY PROWADZENIA KONTROLI OCHRONY
INFORMACJI NIEJAWNYCH
1.
Celem kontroli jest sprawdzenie i ocena stanu przestrzegania przepisów o ochronie
informacji niejawnych, w tym:
1) zapewnienie zgodnego z obowiązującymi przepisami postępowania z dokumentami
niejawnymi przez wykonawców;
2) eliminowanie stwierdzonych niedociągnięć i nieprawidłowości w zakresie
wytwarzania, przechowywania i obiegu dokumentów niejawnych;
3) ustalenie przyczyn ujawnionych naruszeń zasad ochrony informacji niejawnych;
4) formułowanie wniosków i zaleceń w sprawie doskonalenia systemu ochrony
informacji niejawnych;
5) wyrabianie u wykonawców właściwych nawyków w postępowaniu z dokumentami
niejawnymi;
6) sprawdzenie zgodności stanu faktycznego posiadanych materiałów niejawnych ze
stanem ewidencyjnym.
2.
W Uniwersytecie Śląskim przeprowadza się kontrolę okresową nie rzadziej niż raz na
trzy lata, która jest podstawową formą sprawdzenia realizacji zadań w dziedzinie ochrony
informacji niejawnych w Uniwersytecie Śląskim.
3.
Prowadzi ją komisja wyznaczona zarządzeniem rektora.
4.
Celem kontroli okresowej jest sprawdzenie przestrzegania przepisów o ochronie
informacji niejawnych oraz zgodności stanu faktycznego materiałów niejawnych ze
stanem ewidencyjnym na podstawie takich urządzeń jak:
1) rejestr dzienników ewidencji i teczek;
2) dziennik ewidencyjny;
3) rejestr wydanych przedmiotów;
4) książka ewidencji wydawnictw, dokumentacji technicznej oraz materiałów
informatycznych;
5) rejestr wydanych dokumentów;
6) inne pomocnicze urządzenia ewidencyjne.
5.
Pełnomocnik ochrony przeprowadza okresowo kontrolę zabezpieczenia pomieszczeń po
zakończeniu godzin pracy, w których przechowywane są materiały niejawne.
6.
Terminy ww. kontroli pełnomocnik ochrony ujmuje w „Planie zamierzeń DSOO” na
dany rok.
7.
Kontrolę planową lub doraźną ochrony informacji niejawnych i przestrzegania przepisów
w tym zakresie ma prawo przeprowadzić Agencja Bezpieczeństwa Wewnętrznego.
str. 19
W KATOWICACH
VIII.
PLANY I PROCEDURY PROWADZENIA SZKOLEŃ W ZAKRESIE
OCHRONY INFORMACJI NIEJAWNYCH
1.
Szkolenie w zakresie ochrony informacji niejawnych przeprowadza się w celu
zapoznania z:
1) przepisami dotyczącymi ochrony informacji niejawnych oraz odpowiedzialności
karnej, dyscyplinarnej i służbowej za ich naruszenie, w szczególności za
nieuprawnione ujawnienie informacji niejawnych;
2) zasadami ochrony informacji niejawnych w zakresie niezbędnym do wykonywania
pracy lub pełnienia służby, z uwzględnieniem zasad zarządzania ryzykiem
bezpieczeństwa informacji niejawnych, w szczególności szacowania ryzyka;
3) sposobami ochrony informacji niejawnych oraz postępowania w sytuacjach zagrożenia
dla takich informacji lub w przypadku ich ujawnienia.
2.
Szkolenie w zakresie ochrony informacji niejawnych przeprowadzają:
1) ABW - dla pełnomocnika ochrony i ich zastępców oraz osób przewidzianych na te
stanowiska, przedsiębiorców wykonujących działalność jednoosobowo, a także dla
kierowników przedsiębiorców, u których nie zatrudniono pełnomocników ochrony;
2) pełnomocnik ochrony - dla pozostałych osób zatrudnionych lub wykonujących
czynności zlecone w jednostce organizacyjnej.
3.
Szkolenie przeprowadza się nie rzadziej niż raz na 5 lat. Po zakończonym szkoleniu
wydaje się zaświadczenie wg wzoru stanowiący „Załącznik nr 7”.
4.
Można odstąpić od przeprowadzenia szkolenia, jeżeli osoba podejmująca pracę albo
wykonująca czynności zlecone przedstawi pełnomocnikowi ochrony aktualne
zaświadczenie o odbyciu szkolenia.
5.
W Uniwersytecie Śląskim prowadzi się ponadto szkolenia uzupełniające. Tematykę
szkoleń opracowuje pełnomocnik ochrony i ujmuje w „Planie zasadniczych
przedsięwzięć DSOO” na dany rok.
6.
W szkoleniu biorą udział osoby wymienione w „Wykazie stanowisk/funkcji oraz prac
zleconych, z którymi może łączyć się dostęp do informacji niejawnych oznaczonych
klauzulą „Poufne” i „Zastrzeżone”” – załącznik nr 2.
str. 20
W KATOWICACH
IX.
SPOSÓB INTERWENCJI OSÓB ODPOWIEDZIALNYCH ZA
OCHRONĘ FIZYCZNĄ W PRZYPADKACH WYWOŁANIA
ALARMU
1.
Każde wzbudzenie sygnalizacji włamania wymaga reakcji pracownika ochrony fizycznej
który:
1) lokalizuje miejsce, z którego pochodzi sygnał;
2) weryfikuje sygnał, w przypadku stwierdzenia oczywistej nieprawidłowości działania
systemu alarmowego powiadamia o tym Stację Monitorowania Alarmów, do końca
zmiany zwraca szczególną uwagę na miejsce, z którego pochodził sygnał o włamaniu.
2.
W wypadku prawidłowego działania systemu sygnalizacji włamania w oczekiwaniu na
przybycie GI podejmuje czynności mające na celu ujęcie sprawcy, uniemożliwienie
ucieczki, jego identyfikację, ustalenie kierunku jego przemieszczania, zabezpieczenia
miejsca zdarzenia przed przybyciem GI lub Policji.
3.
Dalsze czynności wykonuje zgodnie z „Instrukcją postępowania pracownika ochrony
w sytuacjach nadzwyczajnych”.
str. 21
W KATOWICACH
X.
1.
PLANY AWARYJNE UWZGLĘDNIAJĄCE POTRZEBĘ OCHRONY
INFORMACJI
NIEJAWNYCH
W
RAZIE
WYSTĄPIENIA
SYTUACJI NADZWYCZAJNYCH, W TYM WPROWADZENIA
STANÓW NADZWYCZAJNYCH, W CELU ZAPOBIEŻENIA
UTRACIE POUFNOŚCI, INTEGRALNOŚCI LUB DOSTĘPNOŚCI
INFORMACJI NIEJAWNYCH
Postępowanie w przypadku wystąpienia sytuacji nadzwyczajnych:
1) Pożar.
a) Postępowanie pracownika kancelarii:
 pracownik kancelarii w przypadku zauważenia pożaru w kancelarii powiadamia Straż
Pożarną tel. 998, przekazując informacje o zaistniałym pożarze. Ponadto ostrzega
innych użytkowników obiektu i razem z nimi przystępuje do gaszenia pożaru przy
użyciu podręcznego sprzętu gaśniczego. W przypadku nie ugaszenia pożaru
w zarodku prowadzi w dalszym ciągu akcję gaśniczą przy użyciu gaśnic z korytarza
i wody z hydrantów pożarowych - aż do przybycia zaalarmowanej Straży Pożarnej.
Do czasu przybycia Straży Pożarnej, akcją kieruje pracownik kancelarii lub pracownik
pionu ochrony. Równocześnie z akcją gaśniczą należy prowadzić ewakuację akt
i zabezpieczenie ich po wyniesieniu,
 ewakuację akt oraz wyposażenia kancelarii pracownik kancelarii (pracownik pionu
ochrony) prowadzi w następującej kolejności:
1) materiały niejawne,
2) inne dokumenty,
3) wyposażenie kancelarii,
 materiały niejawne umieszcza się w niepalnych workach (wcześniej przygotowanych),
które po zasznurowaniu i opieczętowaniu przenosi się w bezpieczne miejsce. Worki
w czasie pakowania i przenoszenia muszą być przez cały czas pod nadzorem
pracownika kancelarii lub pracownika pionu ochrony. Miejsce, w którym składa się
worki z materiałami niejawnymi podlega stałemu nadzorowi,
 po zakończeniu akcji gaśniczej rektor na wniosek pełnomocnika ochrony lub
pracownika kancelarii wyznacza miejsce przechowywania materiałów niejawnych do
chwili przywrócenia możliwości korzystania z pomieszczenia kancelarii oraz
powołuje komisję w celu sprawdzenia stanu zgodności stanu faktycznego
dokumentów niejawnych ze stanem ewidencyjnym i wyjaśnienia przyczyny powstania
pożaru.
b) Postępowanie pracownika ochrony:
 w przypadku zauważenia pożaru w pomieszczeniach DSOO postępuje zgodnie
z zasadami postępowania zawartymi w instrukcji przeciwpożarowej.
2) Włamanie.
W przypadku zauważenia włamania lub próby włamania pracownik ochrony powiadamia GI
i pełnomocnika ochrony. Następnie postępuje zgodnie z ich poleceniami.
3) Katastrofa budowlana.
W przypadku wystąpienia katastrofy budowlanej kierownik obiektu wzmacnia ochronę
terenu przez GI do czasu przeniesienia materiałów niejawnych w bezpieczne miejsce.
str. 22
W KATOWICACH
2.
Postępowanie w przypadku wprowadzenia stanów nadzwyczajnych:
1) Stan nadzwyczajny jest to stan w wewnętrznym porządku państwa, w którym z uwagi
na szczególne zagrożenia część regulacji konstytucyjnych zostaje na czas trwania stanu
zawieszona, a na to miejsce wstępują wyjątkowe regulacje, przede wszystkim są to
regulacje dotyczące wolności i praw człowieka i obywatela oraz wprowadzające
dodatkowe obowiązki, a także dotyczące dodatkowych uprawnień dla władzy
wykonawczej powodując skupienie władzy w rękach egzekutywy.
2) W polskim prawie przewidziane do wprowadzenia są trzy stany nadzwyczajne:
a) stan wyjątkowy,
b) stan wojenny,
c) stan klęski żywiołowej.
3) Warunkiem wprowadzenia stanu nadzwyczajnego jest zaistnienie sytuacji, kiedy zwykłe
środki konstytucyjne są niewystarczające.
4) Wprowadzenie stanu nadzwyczajnego następuje w drodze rozporządzenia na podstawie
Konstytucji i ustaw szczególnych. Ogłoszenie takiego rozporządzenia następuje
w Dzienniku Ustaw, a oprócz tego przez podanie do publicznej wiadomości w drodze
obwieszczeń czy za pośrednictwem środków masowego przekazu. W ustawach
szczególnych określone są granice ingerowania w wolności i prawa człowieka
i obywatela oraz muszą być określone zasady działania władzy publicznej w trakcie
trwania stanu nadzwyczajnego.
W razie wprowadzenie każdego stanu nadzwyczajnego przewiduje się wykonanie
następujących przedsięwzięć:
a) wprowadzenie kontroli wejść i wyjść przy bramie głównej budynku przy ul.
Bankowej 5,
b) przygotowanie materiałów zawierających informacje niejawne do ewakuacji,
c) przeprowadzenie ewakuacji materiałów zawierających informacje niejawne do
innego obiektu Uniwersytetu Śląskiego lub do doraźnie wskazanego miejsca,
d) nawiązanie współpracy z Komendą Wojewódzką Policji w Katowicach.
3.
Zadania i obowiązki osób odpowiedzialnych za ewakuację.
W celu zabezpieczenia informacji niejawnych w przypadku zaistnienia konieczności
opuszczenia siedziby Uniwersytetu
Śląskiego w związku z wprowadzeniem stanu
nadzwyczajnego, nw. osoby funkcyjne są zobowiązane do podjęcia następujących działań:
1) wykonawcy:
a) posiadać aktualną ewidencję materiałów przekazywanych do kancelarii,
b) skompletować materiały niejawne w posiadanych pojemnikach, skrzyniach
i workach ewakuacyjnych,
c) bezwzględnie zdać posiadane materiały niejawne do kancelarii,
d) zapewnić ochronę materiałów do czasu ich przekazania w przypadku braku
możliwości zdania ich do kancelarii.
2) Pracownika kancelarii:
a) zebrać od wykonawców wszystkie materiały zawierające informacje niejawne,
b) uaktualnić wykaz materiałów przewidzianych do ewakuacji,
c) przygotować materiały do ewakuacji poprzez spakowanie ich do worków
ewakuacyjnych
str. 23
W KATOWICACH
d) nadzorować załadunek materiałów do środka transportu,
e) wykonywać inne czynności nakazane przez pełnomocnika ochrony.
4.
Niszczenie materiałów zawierających informacje niejawne w przypadku braku
możliwości ewakuacji:
1) w przypadku możliwości utraty dokumentów rektor podejmuje decyzję o ich zniszczeniu,
a w przypadku jego nieobecności decyzję podejmuje zastępujący go prorektor;
2) niszczenia dokumentów dokonuje się komisyjnie i z czynności tej sporządza się protokół
w 3 egzemplarzach;
3) niszczenia dokumentów wykonanych w formie papierowej dokonuje się przez spalenie,
a nośników teleinformatycznych poprzez ich mechaniczne zniszczenie za pomocą
urządzeń zgniatających;
4) informację o zniszczeniu materiałów przesyła się do Ministerstwa Nauki i Szkolnictwa
Wyższego, w której podaje się, jakie materiały zostały zniszczone, gdzie, kiedy, w jakich
okolicznościach oraz na czyje polecenie.
5.
Inne ustalenia.
Samochód do ewakuacji materiałów niejawnych zabezpieczy Kanclerz.
str. 24
W KATOWICACH
XI.
1.
1)
2)
3)
4)
5)
6)
7)
8)
9)
2.
PLANY CIĄGŁOŚCI DZIAŁANIA ZAWIERAJĄCE ŚRODKI
ZAPOBIEGAWCZE I NAPRAWCZE SŁUŻĄCE
ZMINIMALIZOWANIU SKUTKÓW NIEWŁAŚCIWEGO
POSTĘPOWANIA Z INFORMACJAMI NIEJAWNYMI LUB
WYSTĄPIENIA INCYDENTÓW BEZPIECZEŃSTWA
ZWIĄZANYCH Z PRZETWARZANIEM INFORMACJI
NIEJAWNYCH
Działania zapobiegawcze przeciwdziałające niewłaściwemu postępowaniu
z informacjami niejawnymi:
prowadzenie postępowań sprawdzających i wydawanie poświadczeń bezpieczeństwa;
prowadzenie szkoleń;
wydawanie upoważnień do dostępu do klauzuli „Zastrzeżone”;
prowadzenie wykazu osób upoważnionych do dostępu;
opracowanie wykazu podstawowych rodzajów dokumentów mogących zawierać
informacje niejawne;
opracowanie wykazu stanowisk, których zajmowanie może łączyć się z dostępem do
informacji niejawnych;
prowadzenie kontroli materiałów niejawnych;
zapewnienie ochrony informacji niejawnych;
opracowanie i aktualizowanie planów i instrukcji z zakresu ochrony informacji
niejawnych.
Działania naprawcze służące zminimalizowaniu
postępowania z informacjami niejawnymi:
skutków
niewłaściwego
1) dokonanie niezbędnych zmian organizacyjnych;
2) opracowanie nowych dokumentów;
3) dokonanie wymiany zamków do pomieszczeń strefy ochronnej II, III i obszaru
kontrolowanego w przypadku zagubienia kluczy;
4) dokonanie zmiany kodów dostępu w przypadku podejrzeń, co do ich ujawnienia;
5) podjęcie innych działań w zależności od sytuacji.
3.
Postępowanie w przypadku wystąpienia incydentu bezpieczeństwa związanego
z przetwarzaniem informacji niejawnych:
W przypadku zagubienia materiału zawierającego informacje niejawne należy postępować wg
„Instrukcji postępowania w przypadku ujawnienia informacji niejawnych oznaczonych klauzulą
„Poufne” i „Zastrzeżone”” – „Załącznik nr 8”.
str. 25
W KATOWICACH
XII.
ODPOWIEDZIALNOŚĆ KARNA, DYSCYPLINARNA I SŁUŻBOWA
ZA NARUSZENIE PRZEPISÓW O OCHRONIE INFORMACJI
NIEJAWNYCH
1.
Zakres odpowiedzialności karnej osób, które dopuściły się przestępstwa lub czynu
zabronionego przeciwko ochronie informacji został określony przepisami Kodeksu
Karnego (ustawa z dnia 6 czerwca 1997 r., Kodeks Karny, Dz.U. z dnia 2 sierpnia 1997 r.
z późn. zm.), a w szczególności:
a) Art. 266:
§ 1. Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub
wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną
pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie,
karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Funkcjonariusz publiczny, który ujawnia osobie nieuprawnionej informację niejawną
o klauzuli "zastrzeżone" lub "poufne" lub informację, którą uzyskał w związku
z wykonywaniem czynności służbowych, a której ujawnienie może narazić na szkodę
prawnie chroniony interes, podlega karze pozbawienia wolności do lat 3.
§ 3. Ściganie przestępstwa określonego w § 1 następuje na wniosek pokrzywdzonego.
b) Art. 267:
§ 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej,
otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując
albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej
zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności
do lat 2.
§ 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części
systemu informatycznego.
§ 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest
uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym
urządzeniem lub oprogramowaniem.
§ 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1–3 ujawnia
innej osobie.
§ 5. Ściganie przestępstwa określonego w § 1–4 następuje na wniosek pokrzywdzonego.
c) Art. 268:
§ 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis
istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej
zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do lat 2.
§ 2. Jeżeli czyn określony w § 1 dotyczy zapisu na informatycznym nośniku danych,
sprawca podlega karze pozbawienia wolności do lat 3.
§ 3. Kto, dopuszczając się czynu określonego w § 1 lub 2, wyrządza znaczną szkodę
majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.
str. 26
W KATOWICACH
d) Art. 268a:
§ 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia
dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia
automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze
pozbawienia wolności do lat 3.
§ 2. Kto, dopuszczając się czynu określonego w § 1, wyrządza znaczną szkodę majątkową,
podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 3. Ściganie przestępstwa określonego w § 1 lub 2 następuje na wniosek pokrzywdzonego.
e) Art. 269:
§ 1. Kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym
znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania
administracji rządowej, innego organu państwowego lub instytucji państwowej albo
samorządu terytorialnego albo zakłóca lub uniemożliwia automatyczne przetwarzanie,
gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności od 6
miesięcy do lat 8.
§ 2. Tej samej karze podlega, kto dopuszcza się czynu określonego w § 1, niszcząc albo
wymieniając informatyczny nośnik danych lub niszcząc albo uszkadzając urządzenie
służące do automatycznego przetwarzania, gromadzenia lub przekazywania danych
informatycznych.
f) Art. 269a:
Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie
lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu
komputerowego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od
3 miesięcy do lat 5.
g) Art. 269b:
§ 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub
programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165
§ 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a,
a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji
przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze
pozbawienia wolności do lat 3.
§ 2. W razie skazania za przestępstwo określone w § 1, sąd orzeka przepadek określonych
w nim przedmiotów, a może orzec ich przepadek, jeżeli nie stanowiły własności sprawcy.
2.
Wobec pracowników, którzy nie przestrzegają wymagań związanych z ochroną
informacji niejawnych, dopuszczają się uchybień w zakresie niewłaściwego
zabezpieczania dokumentów, stwarzając warunki do ujawnienia informacji niejawnych
osobom nieuprawnionym, mogą być zastosowane sankcje służbowe i dyscyplinarne.
str. 27
W KATOWICACH
XIII.
AKTY PRAWNE
NIEJAWNYCH
ZWIĄZANE
Z
OCHRONĄ
INFORMACJI
DZIENNIK USTAW z 2016 r., poz. 1167 – t. j.
Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych.
DZIENNIK USTAW z 2011 r. Nr 276, poz. 1631 z późn. zm.
Rozporządzenie Rady Ministrów z dnia 7 grudnia 2011 r. w sprawie organizacji
i funkcjonowania kancelarii tajnych oraz sposobu i trybu przetwarzania informacji niejawnych.
DZIENNIK USTAW z 2011 r. Nr 288, poz. 1692
Rozporządzenie Prezesa Rady Ministrów z dnia 22 grudnia 2011 r. w sprawie sposobu
oznaczania materiałów i umieszczania na nich klauzul tajności.
Rozporządzenie Prezesa Rady Ministrów z dnia 28 grudnia 2010 r. w sprawie przekazywania
informacji, udostępniania dokumentów oraz udzielania pomocy służbom i instytucjom
uprawnionym do prowadzenia poszerzonych postępowań sprawdzających, kontrolnych
postępowań sprawdzających oraz postępowań bezpieczeństwa przemysłowego.
Rozporządzenie Prezesa Rady Ministrów z dnia 28 grudnia 2010 r. w sprawie wzorów
zaświadczeń stwierdzających odbycie szkolenia w zakresie ochrony informacji niejawnych oraz
sposobu rozliczania kosztów przeprowadzenia szkolenia przez Agencję Bezpieczeństwa
Wewnętrznego lub Służbę Kontrwywiadu Wojskowego.
Rozporządzenie Prezesa Rady Ministrów z dnia 28 grudnia 2010 r. w sprawie wzorów
poświadczeń bezpieczeństwa.
Rozporządzenie Prezesa Rady Ministrów z dnia 28 grudnia 2010 r. w sprawie wzoru decyzji
o odmowie wydania poświadczenia bezpieczeństwa.
Rozporządzenie Prezesa Rady Ministrów z dnia 28 grudnia 2010 r. w sprawie wzoru decyzji o
cofnięciu poświadczenia bezpieczeństwa.
Rozporządzenie Prezesa Rady Ministrów z dnia 22 marca 2011 r. w sprawie wysokości i trybu
zwrotu zryczałtowanych kosztów ponoszonych przez ABW albo SKW za przeprowadzenie
sprawdzenia przedsiębiorcy oraz postępowań sprawdzających.
Rozporządzenie Rady Ministrów z dnia 5 kwietnia 2011 r. w sprawie wzorów kwestionariusza
bezpieczeństwa przemysłowego, świadectwa przemysłowego, decyzji o odmowie wydania
świadectwa bezpieczeństwa przemysłowego oraz decyzji o cofnięciu świadectwa
bezpieczeństwa przemysłowego.
str. 28
W KATOWICACH
Rozporządzenie Prezesa Rady Ministrów z dnia 27 kwietnia 2011 r. w sprawie przygotowania
i przeprowadzenia kontroli stanu zabezpieczenia informacji niejawnych.
Rozporządzenie Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie wzoru świadectwa
akredytacji bezpieczeństwa systemu teleinformatycznego.
Rozporządzenie Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie podstawowych
wymagań bezpieczeństwa teleinformatycznego.
Rozporządzenie Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie opłat za
przeprowadzenie przez ABW albo SKW czynności z zakresu bezpieczeństwa
teleinformatycznego.
Rozporządzenie Prezesa Rady Ministrów z dnia 7 grudnia 2011 r. w sprawie nadawania,
przyjmowania, przewożenia, wydawania i ochrony materiałów zawierających informacje
niejawne.
DZIENNIK USTAW z 2012 r., poz.683
Rozporządzenie Rady Ministrów z dnia 29 maja 2012 r. w sprawie środków bezpieczeństwa
fizycznego stosowanego do zabezpieczenia informacji niejawnych.
Rozporządzenie Prezesa Rady Ministrów z dnia 3 kwietnia 2003 r. w sprawie zakresu,
warunków i trybu przekazywania ABW informacji uzyskanych w wyniku wykonywania
czynności operacyjno-rozpoznawczych oraz organy, służby i instytucje państwowe.
str. 29
W KATOWICACH
XIV.
WYKAZ ZAŁĄCZNIKÓW
Załącznik nr 1
- Wykaz podstawowych rodzajów dokumentów wytwarzanych
w Uniwersytecie Śląskim w Katowicach, mogących zawierać informacje
niejawne o klauzuli „Poufne” i „Zastrzeżone”;
Załącznik nr 2
- Wykaz stanowisk/funkcji oraz prac zleconych, z którymi może łączyć
się dostęp do informacji niejawnych o klauzuli „Poufne”
i „Zastrzeżone”;
Załącznik nr 3
- Szkic terenu przyległego do budynku Rektoratu przy ul. Bankowej 5;
Załącznik nr 4
- Plan graficzny stref ochronnych;
Załącznik nr 5
- Wzór formularza do kodów;
Załącznik nr 6
- Wzór kopert do przechowywania kodów lub kluczy zapasowych;
Załącznik nr 7
- Wzór zaświadczenia stwierdzającego odbycie szkolenia;
Załącznik nr 8
- Instrukcja postępowania w przypadku ujawnienia informacji
niejawnych oznaczonych klauzulą „Poufne” i „Zastrzeżone”;
str. 30

plan ochrony informacji niejawnych w uniwersytecie śląskim w

Transkrypt

Podobne dokumenty

Generuj PDF - Dolnośląski Urząd Wojewódzki

dr Stanisław Topolewski - Instytut Nauk Społecznych i

POLICJA WARMIŃSKO-MAZURSKA WYDZIAŁ DS. OCHRONY

Zarządzenie Nr 112/2013 - BIP Urząd Miejski w Bornem Sulinowie

Kierownik Kancelarii Tajnej w Wydziale do spraw Ochrony

Skaner GT-2500 - Wojskowy Instytut Łączności

St referent ds. obsługi kancelaryjnej Nazwa oferty oferta pracy dla

Polityka bezpieczeństwa