Michał Paluszek Warszawa, 2 marca 2015 r. Przedsiębiorcy telekomunikacyjni a obowiązki na rzecz obronności.
Michał Paluszek
Warszawa, 2 marca 2015 r.
Przedsiębiorcy telekomunikacyjni a
obowiązki na rzecz obronności.
O jakich obowiązkach mowa?
„Trzon” uregulowany w Dziale VIII PT Motto:Art. 176. Przedsiębiorca telekomunikacyjny jest obowiązany dowykonywania zadań i obowiązków na rzecz obronności, bezpieczeństwapaństwa oraz bezpieczeństwa i porządku publicznego w zakresie i nawarunkach określonych w niniejszej ustawie oraz w przepisach odrębnych.
O jakich obowiązkach mowa?
Obowiązki wynikające wprost z PT: Plan działań w sytuacjach szczególnych zagrożeń Udostępnianie infrastruktury telekomunikacyjnej Udostępnianie interfejsów Blokowanie połączeń Retencja danych Udostępnianie danych Obowiązek ciągłości działania – na żądanie Prezesa UKE Warunki do przetwarzania informacji niejawnych
Kto musi spełniać obowiązki?
Ogólnie: każdy przedsiębiorca telekomunikacyjny.Wyłączenia w PT (np. retencja) i rozporządzeniach: podmiotowe i przedmiotowe Przykład: § 2. Obowiązkowi sporządzenia planu nie podlega przedsiębiorca, który
wykonuje działalność telekomunikacyjną (...):2) wyłącznie na obszarze nieprzekraczającym granic administracyjnych
jednej gminy, z wyłączeniem gmin będących miastami na prawach powiatu (...),5) polegającą wyłącznie na rozprowadzaniu lub rozpowszechnianiu
programów radiofonicznych lub telewizyjnych (...)6) polegającą wyłącznie na świadczeniu usług dostępu do sieci Internet za
pośrednictwem sieci telekomunikacyjnej obsługującej do 500 zakończeń sieci posiadających własny adres IP (...)
Kto musi spełniać obowiązki?
Cedowanie obowiązków „obronnych”:PT wprost dopuszcza możliwość cedowania tylko niektórych obowiązków (przygotowanie interfejsów, retencja)Częściowy outsourcing (kto za mnie przygotuje plan?)Odpowiedzialność zawsze spoczywa na nas!
Kto musi spełniać obowiązki?
Wnioski:Duża gama obowiązkówNie da się „z góry” określić zakresu obowiązków dla danego przedsiębiorcy – za dużo zmiennych
Nie tylko PT
Ustawa z dnia 22 stycznia 1999 r. o ochronieinformacji niejawnych (Dz. U. Nr 11, poz. 95, zpóźn. zm.)Obecnie jest to ustawa z dn. 5 sierpnia 2010 r.(Dz.U. 2010.182.1228).
Nie tylko PT
UOIN:
określa zasady klasyfikacji i ochrony wyjątkowo ważnych informacji
Wskazuje ABW i SKW jako organy „właściwe”
Jest „równoważna” z prawem telekomunikacyjnym
„Ściśle tajne” - o co chodzi
UOIN definiuje:
4 „stopnie niejawności”, od „zastrzeżonego” po „ściśle tajne”.
Dostęp do informacji niejawnej tylkoz odpowiednim poświadczeniem
Zmiana statusu informacji wymaga zgody osoby, która nadała ten status
„Ściśle tajne” - przykład
Art. 5 UOIN: Informacjom niejawnym nadaje się klauzulę "ściśletajne", jeżeli ich nieuprawnione ujawnienie spowoduje wyjątkowopoważną szkodę dla Rzeczypospolitej Polskiej przez to, że:1) zagrozi niepodległości, suwerenności lub integralnościterytorialnej Rzeczypospolitej Polskiej;2) zagrozi bezpieczeństwu wewnętrznemu lub porządkowikonstytucyjnemu Rzeczypospolitej Polskiej;3) zagrozi sojuszom lub pozycji międzynarodowej RzeczypospolitejPolskiej;4) osłabi gotowość obronną Rzeczypospolitej Polskiej (...);
Certyfikat bezpieczeństwa przemysłowego
Art. 54.2. Dokumentem potwierdzającym zdolnośćdo ochrony informacji niejawnych o klauzuli"poufne" lub wyższej jest świadectwobezpieczeństwa przemysłowego, zwane dalej"świadectwem", wydawane przez ABW albo SKW poprzeprowadzeniu postępowania bezpieczeństwaprzemysłowego.
Certyfikat bezpieczeństwa przemysłowego
III stopnie bezpieczeństwa przemysłowego – UOIN wiąże z nimiinne obowiązki niż PT.PT: świadectwo bezpieczeństwa przemysłowego:
1) pierwszego stopnia - jeżeli wykonuje działalnośćtelekomunikacyjną na terenie więcej niż trzech województw alboeksploatuje sieć telekomunikacyjną obsługującą powyżej 50.000zakończeń sieci;
2) co najmniej drugiego stopnia - jeżeli eksploatuje siećtelekomunikacyjną obsługującą od 5.000 do 50.000 zakończeń sieci;
3) co najmniej trzeciego stopnia - jeżeli eksploatuje siećtelekomunikacyjną obsługującą od 500 do 5.000 zakończeń sieci.
Certyfikat bezpieczeństwa przemysłowego
LUB:świadectwo bezpieczeństwa przemysłowego:
1) pierwszego stopnia - jeżeli wykonuje działalnośćtelekomunikacyjną na terenie więcej niż trzech województw alboeksploatuje sieć telekomunikacyjną obsługującą powyżej 100.000zakończeń sieci posiadających własny adres IP;
2) co najmniej drugiego stopnia - jeżeli eksploatuje siećtelekomunikacyjną obsługującą od 5.000 do 100.000 zakończeń sieciposiadających własny adres IP;
3) co najmniej trzeciego stopnia - jeżeli eksploatuje siećtelekomunikacyjną obsługującą od 500 do 5.000 zakończeń sieciposiadających własny adres IP.
Certyfikat bezpieczeństwa przemysłowego
Klasyfikacja informacji niejawnych
Tajne
Ściśle Tajne
Poufne
Zastrzeżone
Bezpieczeństwo Przemysłowe (certyfikaty)
I stopień (działalność pow. 3 województw/50k zakończeń
sieci/adresów IP
II stopień (5k-50k zakończeń sieci/adresów IP
III stopień (500-5k zakończeń sieci/adresów IP
Certyfikat bezpieczeństwa przemysłowego
to „zbiór” mniejszych wymogów w zakresie:
posiadanej infrastruktury bezpieczeństwa osobowego
bezpieczeństwa teleinformatycznego
Certyfikat bezpieczeństwa przemysłowego
Infrastruktura:
lArt. 42. 1. Kierownik jednostki organizacyjnej, w której sąprzetwarzane informacje niejawne o klauzuli "tajne" lub"ściśle tajne", tworzy kancelarię, zwaną dalej "kancelariątajną", i zatrudnia jej kierownika.lOsobne rozporządzenie na organizację KT
Certyfikat bezpieczeństwa przemysłowego
Bezpieczeństwo teleinformatyczne:
lArt. 48. 1. Systemy teleinformatyczne, w których mają byćprzetwarzane informacje niejawne, podlegają akredytacjibezpieczeństwa teleinformatycznego.lPotwierdzeniem udzielenia przez ABW jest świadectwoakredytacji bezpieczeństwa systemu teleinformatycznego.
Certyfikat bezpieczeństwa przemysłowego
Bezpieczeństwo osobowe –postępowanie sprawdzające
Kogo sprawdzamy / osoby potrzebne dla inf. niejawnych
Kierownik jednostki
Pełnomocnik ochrony
Kierownik KT
Inni pracownicy?
Sankcje
PT: Art. 209. 1. pkt. 10): kto nie wypełnia lub nienależycie wypełnia
obowiązki lub zadania na rzecz obronności i bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego, w zakresie i na warunkach określonych w ustawie lub decyzjach wydanych na jej podstawie – podlega karze pieniężnej.Karę pieniężną nakłada Prezes UKE, w drodze decyzji, w wysokości do 3% przychodu ukaranego podmiotu, osiągniętego w poprzednim roku kalendarzowym.
Kodeks karny: Art. 265. § 1. Kto ujawnia lub wbrew przepisom ustawy wykorzystuje informacje niejawne o klauzuli "tajne" lub "ściśle tajne", podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
Podsumowanie
Przedsiębiorca telekomunikacyjny musi mieć możliwośćprzetwarzania informacji z klauzulą „ściśle tajne” i posiadać certyfikat bezpieczeństwa przemysłowego.
A zatem przedsiębiorca telekomunikacyjny musi:Posiadać kancelarię tajną,Posiadać odpowiednio certyfikowaną kadrę Posiadać certyfikat bezpieczeństwa przemysłowegoOpcjonalnie: posiadać certyfikat bezp. teleinformatycznego