Michał Paluszek

Warszawa, 2 marca 2015 r.

Przedsiębiorcy telekomunikacyjni a

obowiązki na rzecz obronności.

O jakich obowiązkach mowa?

„Trzon” uregulowany w Dziale VIII PT Motto:Art. 176. Przedsiębiorca telekomunikacyjny jest obowiązany dowykonywania zadań i obowiązków na rzecz obronności, bezpieczeństwapaństwa oraz bezpieczeństwa i porządku publicznego w zakresie i nawarunkach określonych w niniejszej ustawie oraz w przepisach odrębnych.

O jakich obowiązkach mowa?

Obowiązki wynikające wprost z PT: Plan działań w sytuacjach szczególnych zagrożeń Udostępnianie infrastruktury telekomunikacyjnej Udostępnianie interfejsów Blokowanie połączeń Retencja danych Udostępnianie danych Obowiązek ciągłości działania – na żądanie Prezesa UKE Warunki do przetwarzania informacji niejawnych

Kto musi spełniać obowiązki?

Ogólnie: każdy przedsiębiorca telekomunikacyjny.Wyłączenia w PT (np. retencja) i rozporządzeniach: podmiotowe i przedmiotowe Przykład: § 2. Obowiązkowi sporządzenia planu nie podlega przedsiębiorca, który

wykonuje działalność telekomunikacyjną (...):2) wyłącznie na obszarze nieprzekraczającym granic administracyjnych

jednej gminy, z wyłączeniem gmin będących miastami na prawach powiatu (...),5) polegającą wyłącznie na rozprowadzaniu lub rozpowszechnianiu

programów radiofonicznych lub telewizyjnych (...)6) polegającą wyłącznie na świadczeniu usług dostępu do sieci Internet za

pośrednictwem sieci telekomunikacyjnej obsługującej do 500 zakończeń sieci posiadających własny adres IP (...)

Kto musi spełniać obowiązki?

Cedowanie obowiązków „obronnych”:PT wprost dopuszcza możliwość cedowania tylko niektórych obowiązków (przygotowanie interfejsów, retencja)Częściowy outsourcing (kto za mnie przygotuje plan?)Odpowiedzialność zawsze spoczywa na nas!

Kto musi spełniać obowiązki?

Wnioski:Duża gama obowiązkówNie da się „z góry” określić zakresu obowiązków dla danego przedsiębiorcy – za dużo zmiennych

Nie tylko PT

Ustawa z dnia 22 stycznia 1999 r. o ochronieinformacji niejawnych (Dz. U. Nr 11, poz. 95, zpóźn. zm.)Obecnie jest to ustawa z dn. 5 sierpnia 2010 r.(Dz.U. 2010.182.1228).

Nie tylko PT

UOIN:

określa zasady klasyfikacji i ochrony wyjątkowo ważnych informacji

Wskazuje ABW i SKW jako organy „właściwe”

Jest „równoważna” z prawem telekomunikacyjnym

„Ściśle tajne” - o co chodzi

UOIN definiuje:

4 „stopnie niejawności”, od „zastrzeżonego” po „ściśle tajne”.

Dostęp do informacji niejawnej tylkoz odpowiednim poświadczeniem

Zmiana statusu informacji wymaga zgody osoby, która nadała ten status

„Ściśle tajne” - przykład

Art. 5 UOIN: Informacjom niejawnym nadaje się klauzulę "ściśletajne", jeżeli ich nieuprawnione ujawnienie spowoduje wyjątkowopoważną szkodę dla Rzeczypospolitej Polskiej przez to, że:1) zagrozi niepodległości, suwerenności lub integralnościterytorialnej Rzeczypospolitej Polskiej;2) zagrozi bezpieczeństwu wewnętrznemu lub porządkowikonstytucyjnemu Rzeczypospolitej Polskiej;3) zagrozi sojuszom lub pozycji międzynarodowej RzeczypospolitejPolskiej;4) osłabi gotowość obronną Rzeczypospolitej Polskiej (...);

Ale…

Informacja niejawna to nie to samo co żądanie wydania danych (adresu IP,

billingu) !

Certyfikat bezpieczeństwa przemysłowego

Art. 54.2. Dokumentem potwierdzającym zdolnośćdo ochrony informacji niejawnych o klauzuli"poufne" lub wyższej jest świadectwobezpieczeństwa przemysłowego, zwane dalej"świadectwem", wydawane przez ABW albo SKW poprzeprowadzeniu postępowania bezpieczeństwaprzemysłowego.

Certyfikat bezpieczeństwa przemysłowego

III stopnie bezpieczeństwa przemysłowego – UOIN wiąże z nimiinne obowiązki niż PT.PT: świadectwo bezpieczeństwa przemysłowego:

1) pierwszego stopnia - jeżeli wykonuje działalnośćtelekomunikacyjną na terenie więcej niż trzech województw alboeksploatuje sieć telekomunikacyjną obsługującą powyżej 50.000zakończeń sieci;

2) co najmniej drugiego stopnia - jeżeli eksploatuje siećtelekomunikacyjną obsługującą od 5.000 do 50.000 zakończeń sieci;

3) co najmniej trzeciego stopnia - jeżeli eksploatuje siećtelekomunikacyjną obsługującą od 500 do 5.000 zakończeń sieci.

Certyfikat bezpieczeństwa przemysłowego

LUB:świadectwo bezpieczeństwa przemysłowego:

1) pierwszego stopnia - jeżeli wykonuje działalnośćtelekomunikacyjną na terenie więcej niż trzech województw alboeksploatuje sieć telekomunikacyjną obsługującą powyżej 100.000zakończeń sieci posiadających własny adres IP;

2) co najmniej drugiego stopnia - jeżeli eksploatuje siećtelekomunikacyjną obsługującą od 5.000 do 100.000 zakończeń sieciposiadających własny adres IP;

3) co najmniej trzeciego stopnia - jeżeli eksploatuje siećtelekomunikacyjną obsługującą od 500 do 5.000 zakończeń sieciposiadających własny adres IP.

Certyfikat bezpieczeństwa przemysłowego

Klasyfikacja informacji niejawnych

Tajne

Ściśle Tajne

Poufne

Zastrzeżone

Bezpieczeństwo Przemysłowe (certyfikaty)

I stopień (działalność pow. 3 województw/50k zakończeń

sieci/adresów IP

II stopień (5k-50k zakończeń sieci/adresów IP

III stopień (500-5k zakończeń sieci/adresów IP

Certyfikat bezpieczeństwa przemysłowego

to „zbiór” mniejszych wymogów w zakresie:

posiadanej infrastruktury bezpieczeństwa osobowego

bezpieczeństwa teleinformatycznego

Certyfikat bezpieczeństwa przemysłowego

Infrastruktura:

lArt. 42. 1. Kierownik jednostki organizacyjnej, w której sąprzetwarzane informacje niejawne o klauzuli "tajne" lub"ściśle tajne", tworzy kancelarię, zwaną dalej "kancelariątajną", i zatrudnia jej kierownika.lOsobne rozporządzenie na organizację KT

Certyfikat bezpieczeństwa przemysłowego

Bezpieczeństwo teleinformatyczne:

lArt. 48. 1. Systemy teleinformatyczne, w których mają byćprzetwarzane informacje niejawne, podlegają akredytacjibezpieczeństwa teleinformatycznego.lPotwierdzeniem udzielenia przez ABW jest świadectwoakredytacji bezpieczeństwa systemu teleinformatycznego.

Certyfikat bezpieczeństwa przemysłowego

Bezpieczeństwo osobowe –postępowanie sprawdzające

Kogo sprawdzamy / osoby potrzebne dla inf. niejawnych

Kierownik jednostki

Pełnomocnik ochrony

Kierownik KT

Inni pracownicy?

Sankcje

PT: Art. 209. 1. pkt. 10): kto nie wypełnia lub nienależycie wypełnia

obowiązki lub zadania na rzecz obronności i bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego, w zakresie i na warunkach określonych w ustawie lub decyzjach wydanych na jej podstawie – podlega karze pieniężnej.Karę pieniężną nakłada Prezes UKE, w drodze decyzji, w wysokości do 3% przychodu ukaranego podmiotu, osiągniętego w poprzednim roku kalendarzowym.

Kodeks karny: Art. 265. § 1. Kto ujawnia lub wbrew przepisom ustawy wykorzystuje informacje niejawne o klauzuli "tajne" lub "ściśle tajne", podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Podsumowanie

Przedsiębiorca telekomunikacyjny musi mieć możliwośćprzetwarzania informacji z klauzulą „ściśle tajne” i posiadać certyfikat bezpieczeństwa przemysłowego.

A zatem przedsiębiorca telekomunikacyjny musi:Posiadać kancelarię tajną,Posiadać odpowiednio certyfikowaną kadrę Posiadać certyfikat bezpieczeństwa przemysłowegoOpcjonalnie: posiadać certyfikat bezp. teleinformatycznego

Dziękuję!

Dziękuję za uwagę!

Pytania?

Michał Paluszek

m.paluszek@3s.pl