Decyzja rady z dnia 19 marca 2001 r w sprawie przyjęcia przepisów Rady dotyczących bezpieczeństwa



Pobieranie 0.52 Mb.
Strona9/12
Data10.05.2016
Rozmiar0.52 Mb.
1   ...   4   5   6   7   8   9   10   11   12

Ochrona informacji PRZETWARZANYCH za pośrednictwem technologii informacYJNYCH ORAZ systemów ŁąCZności



Spis treści

Strona

Rozdział I

Wprowadzenie




Rozdział II

Definicje




Rozdział III

Odpowiedzialność w zakresie bezpieczeństwa




Rozdział IV

Nietechniczne środki bezpieczeństwa




Rozdział V

Techniczne środki bezpieczeństwa




Rozdział VI

Bezpieczeństwo podczas korzystania




Rozdział VII

Zakup




Rozdział VIII

Korzystanie tymczasowe lub sporadyczne





Rozdział I

Wprowadzenie

WSKAZÓWKI ogólne


1. Polityka dotycząca bezpieczeństwa oraz wymogi bezpieczeństwa przedstawione w niniejszej sekcji mają zastosowanie do wszystkich systemów i sieci łączności i informacyjnych (zwanych dalej SYSTEMAMI), przeznaczonych do przetwarzania informacji oznaczonych klauzulą CONFIDENTIEL UE i wyżej.
2. SYSTEMY przetwarzające informacji RESTREINT UE wymagają również środków bezpieczeństwa w celu ochrony poufności tych informacji. Wszystkie SYSTEMY wymagają środków bezpieczeństwa w celu ochrony integralności i dostępności tych systemów i informacji, które zawierają. Środki bezpieczeństwa w odniesieniu do tych systemów, zostaną określone przez wyznaczony Organ Bezpieczeństwa ds. Akredytacji (SAA), proporcjonalnie do oceny stopnia zagrożenia oraz zgodnie z polityką określoną w niniejszych przepisach bezpieczeństwa.
3. Ochrona systemów sensorowych zawierających wbudowane SYSTEMY IT zostaje ustanowiona i określona w ogólnym kontekście systemów, do których należą, wykorzystując mające zastosowanie przepisy niniejszej sekcji, w zakresie, w jakim jest to niezbędne.
ZAGROŻENIA I SŁABE PUNKTY SYSTEMÓW
4. W ujęciu ogólnym, zagrożenie może być zdefiniowane jako potencjalne ryzyko przypadkowego lub celowego naruszenia bezpieczeństwa. W przypadku SYSTEMÓW, takie naruszenie obejmuje utratę jednej lub więcej z cech poufności, integralności i dostępności. Słaby punkt może być zdefiniowany jako słabość lub brak kontroli, które mogą ułatwić lub umożliwić powstanie zagrożenia w odniesieniu do określonego aktywa lub celu. Słaby punkt może być wynikiem zaniedbania lub może wiązać się z brakami w sprawności, kompleksowości lub spójności kontroli; może mieć charakter techniczny, proceduralny lub operacyjny.
5. Informacje niejawne i jawne przetwarzane w SYSTEMACH, w spójnej postaci przeznaczonej do szybkiego wyszukiwania, łączności i korzystania są narażone na wiele zagrożeń. Zagrożenia te obejmują dostęp do informacji przez nieupoważnionych użytkowników, lub odwrotnie, odmowę dostępu użytkownikom upoważnionym. Istnieją również zagrożenia nieuprawnionego ujawnienia, zniszczenia, modyfikacji lub usunięcia informacji. Ponadto, złożone i niejednokrotnie wrażliwe wyposażenie jest kosztowne i często trudno szybko je naprawić lub wymienić. Dlatego SYSTEMY te są atrakcyjnym celem dla działań wywiadu gromadzącego dane i sabotażu, w szczególności jeżeli środki bezpieczeństwa są uznawane za nieskuteczne.
ŚRODKI BEZPIECZEŃSTWA
6. Głównym celem środków bezpieczeństwa określonych w niniejszej sekcji jest zapewnienie ochrony przed nieuprawnionym ujawnieniem informacji (utratą poufności) oraz przed utratą integralności i dostępności informacji. W celu osiągnięcia odpowiedniego poziomu zabezpieczenia SYSTEMU przetwarzającego informacje niejawne UE, określa się właściwe normy konwencjonalnego bezpieczeństwa, łącznie z właściwymi specjalnymi procedurami i technikami indywidualnie przeznaczonymi dla każdego SYSTEMU.
7. W celu stworzenia bezpiecznego środowiska dla funkcjonowania SYSTEMU, zostaje ustalony i wykonany zrównoważony zestaw środków bezpieczeństwa. Obszary stosowania tych środków dotyczą elementów fizycznych, pracowników, procedur nie-technicznych oraz komputerowych i łącznościowych procedur operacyjnych.
8. Komputerowe środki bezpieczeństwa (właściwości sprzętu komputerowego i oprogramowania odpowiedzialnego za bezpieczeństwo) są wymagane w celu wykonywania zasady niezbędnej wiedzy oraz zapobiegania lub wykrywania nieuprawnionego ujawnienia informacji. Zakres, w jakim polega się na komputerowych środkach bezpieczeństwa zostaje ustalony podczas procesu ustanawiania wymogów bezpieczeństwa. W procesie akredytacji ustala się, czy istnieje odpowiedni stopień pewności w celu zwiększenia zakresu, w jakim można polegać na komputerowych środkach bezpieczeństwa.
OŚWIADCZENIE O SPECJALNYCH WYMOGACH BEZPIECZEŃSTWA SYSTEMU (SSRS)
9. W odniesieniu do wszystkich SYSTEMÓW przetwarzających informacje oznaczone klauzulą CONFIDENTIEL UE i wyżej wymaga się sporządzenia przez Organ Operacyjny Systemu IT (ITSOA) oświadczenia o specjalnych wymogach bezpieczeństwa systemu (SSRS), we współpracy i przy współudziale oraz wsparciu wymaganym ze strony zespołu projektantów i zwierzchnictwa INFOSEC, oraz zatwierdzonego przez Urząd Bezpieczeństwa ds. Akredytacji (SAA). SSRS jest również wymagane w przypadku, gdy dostępność i integralność informacji RESTREINT UE lub informacji jawnych zostają uznane za istotne przez SAA.
10. SSRS jest formułowane w początkowej fazie powstawania projektu, a następnie uzupełniane i udoskonalane w miarę rozwoju projektu, wypełniając różnorodne zadania na poszczególnych etapach realizacji danego projektu i w okresie funkcjonowania SYSTEMU.
11. SSRS stanowi wiążące porozumienie między Organem Operacyjnym Systemu IT a SSA, na podstawie którego zostaje dokonana akredytacja SYSTEMU.
12. SSRS jest kompletnym i precyzyjnym oświadczeniem przestrzegania zasad bezpieczeństwa oraz szczegółowych wymogów w zakresie bezpieczeństwa, które muszą zostać spełnione. Jest opracowane w oparciu o politykę Rady dotyczącą bezpieczeństwa i ocenę ryzyka, lub nałożony przez parametry środowiska operacyjnego, najniższy stopień poświadczenia bezpieczeństwa pracowników, najwyższa klauzula tajności przetwarzanych informacji, bezpieczny tryb działania lub wymagania użytkownika. SSRS stanowi integralną część dokumentacji projektu przedkładanej właściwym organom w celach zatwierdzenia odnoszącego się do aspektów technicznych, budżetowych i bezpieczeństwa. W swojej ostatecznej postaci, SSRS stanowi kompletne oświadczenie określające, czego potrzebuje SYSTEM, aby być zabezpieczony.
BEZPIECZNE TRYBY DZIAŁANIA
13. Wszystkie SYSTEMY przetwarzające informacje oznaczone klauzulą CONFIDENTIEL UE i wyższą, zostają akredytowane do działania w jednym, lub w przypadku gdy jest to uzasadnione przez wymagania podczas różnych okresów, w więcej niż jednym, z poniższych bezpiecznych trybów działania, lub ich krajowych odpowiednikach:
a) tryb dedykowany;
b) tryb wysokopoziomowy;
c) tryb wielopoziomowy.

Rozdział II




Definicje

DODATKOWE OZNAKOWANIA


14. Stosuje się dodatkowe oznakowania, takie jak CRYPTO lub każde inne oznaczenia uznawane przez UE wskazujące na specjalne traktowanie, w przypadku gdy istnieje potrzeba ograniczonego rozpowszechniania i specjalnego traktowania, poza wynikającym z klauzuli tajności.
15. „DEDYKOWANY” BEZPIECZNY TRYB DZIAŁANIA oznacza: tryb działania, w którym WSZYSTKIE osoby posiadające dostęp do SYSTEMU są upoważnione do dostępu do informacji o najwyższym stopniu tajności, przetwarzanych w ramach SYSTEMU oraz posiadają powszechną potrzebę niezbędnej wiedzy w odniesieniu do WSZYSTKICH informacji przetwarzanych w ramach tego SYSTEMU.
Uwagi:
1) Powszechna potrzeba niezbędnej wiedzy oznacza, że nie istnieje obowiązkowy wymóg dla zabezpieczającego oprogramowania komputerowego zapewniania podziału informacji w ramach SYSTEMU.
2) Pozostałe właściwości bezpieczeństwa (np. fizycznego, dotyczącego pracowników i proceduralnego) spełniają wymogi określone dla najwyższego stopnia tajności oraz wszystkich kategorii oznaczeń informacji przetwarzanych w ramach SYSTEMU.
16. „wysokopoziomowy” BEZPIECZNY TRYB DZIAŁANIA oznacza tryb działania, w którym WSZYSTKIE osoby posiadające dostęp do SYSTEMU są upoważnione do dostępu do informacji o najwyższym poziomie klasyfikacji przetwarzanych w ramach SYSTEMU, ale NIE WSZYSTKIE osoby upoważnione do dostępu do SYSTEMU mają powszechną potrzebę niezbędnej wiedzy w odniesieniu do informacji przetwarzanych w ramach SYSTEMU.
Uwagi:
1) Brak powszechnej potrzeby niezbędnej wiedzy oznacza, że istnieje wymóg w odniesieniu do zabezpieczającego oprogramowania komputerowego do zapewniania selektywnego dostępu do oraz podziału informacji w ramach SYSTEMU.
2) Pozostałe właściwości bezpieczeństwa (np. fizycznego, dotyczącego pracowników i proceduralnego) spełniają wymogi określone dla najwyższego stopnia tajności oraz wszystkich kategorii oznaczeń informacji przetwarzanych w ramach SYSTEMU.
3) Wszystkie informacje przetwarzane lub dostępne dla SYSTEMU w tym trybie działania wraz z odpowiednimi danymi podlegają takiej ochronie – tak długo, jak nie zostanie nic innego ustalone – jakby należały do kategorii i najwyższego poziomu zaklasyfikowania, chyba, że istniejąca funkcja oznaczania jest w wystarczającej mierze godna zaufania
17 „WIELOPOZIOMOWY” BEZPIECZNY TRYB DZIAŁANIA oznacza tryb działania, w którym NIE WSZYSTKIE osoby posiadające dostęp do SYSTEMU są sprawdzane do najwyższego poziomu klauzuli tajności, przetwarzanych w ramach SYSTEMU i NIE WSZYSTKIE osoby upoważnione do dostępu do SYSTEMU mają powszechną potrzebę niezbędnej wiedzy w odniesieniu do informacji przetwarzanych w ramach SYSTEMU.
Uwagi:
1) Ten tryb działania umożliwia na bieżąco przetwarzanie informacji o różnych stopniach tajności i o mieszanych kategoriach oznaczeń informacji.
2) Fakt, że nie wszystkie osoby są upoważnione do dostępu do informacji o najwyższych stopniach tajności w połączeniu z brakiem powszechnej potrzeby niezbędnej wiedzy, oznacza, że istnieje wymóg dla zabezpieczającego oprogramowania komputerowego zapewniania selektywnego dostępu oraz podziału informacji w SYSTEMIE.
18. INFOSEC oznacza: stosowanie środków bezpieczeństwa w celu ochrony informacji przetwarzanych, przechowywanych i przekazywanych za pośrednictwem systemów łączności, informacji i innych systemów elektronicznych, przed przypadkową lub celową utratą poufności, integralności lub dostępności, oraz w celu zapobiegania utraty integralności i dostępności samych systemów. Środki stosowane w ramach INFOSEC obejmują środki bezpieczeństwa komputerowego, przekazu, nadawania oraz środki ochrony kryptograficznej, oraz wykrywania, dokumentowania i przeciwdziałania zagrożeniom w odniesieniu do informacji i SYSTEMÓW.
19. BEZPIECZEŃSTWO KOMPUTEROWE (COMPUSEC) oznacza: stosowanie właściwości sprzętu komputerowego, oprogramowania firmowego oraz oprogramowania odpowiedzialnego za bezpieczeństwo w systemie komputerowym w celu ochrony przed lub zapobiegania nieuprawnionemu ujawnieniu, manipulacji, modyfikacji/usunięciu informacji lub blokadzie obsługi.
20. PRODUKT BEZPIECZEŃSTWA KOMPUTEROWEGO oznacza: element ogólnego bezpieczeństwa komputerowego, który ma zostać włączony do systemu IT w celu wykorzystania do wzmocnienia lub zapewnienia poufności, integralności lub dostępności przetwarzanych informacji.
21. BEZPIECZEŃSTWO SYSTEMÓW ŁĄCZNOŚCI (COMSEC) oznacza: stosowanie środków bezpieczeństwa w telekomunikacji, w celu uniemożliwienia osobom nieupoważnionym dostępu do informacji, które można uzyskać dzięki posiadaniu lub analizie takich systemów telekomunikacyjnych, lub w celu zapewnienia autentyczności takiej telekomunikacji.
Uwaga:
Takie środki obejmują ochronę kryptograficzną, przekazywania i nadawania, oraz bezpieczeństwo proceduralne, fizyczne, dotyczące pracowników, dokumentów i komputerowe.
22. OCENA oznacza: szczegółowe badanie techniczne aspektów bezpieczeństwa SYSTEMU lub aspektów kryptograficznych lub produktu bezpieczeństwa komputerowego, wykonywane przez właściwy organ.
Uwagi:
1) Ocena polega na zbadaniu, czy istnieje wymagana funkcjonalność środków bezpieczeństwa oraz czy nie istnieją niepożądane skutki uboczne takiej funkcjonalności oraz na ocenie niezawodności takiej funkcjonalności.
2) Ocena określa zakres, w jakim wymagania bezpieczeństwa SYSTEMU lub wymogi bezpieczeństwa produktu bezpieczeństwa komputerowego, zostają spełnione oraz ustanawia poziom zapewnienia SYSTEMU lub ochrony kryptograficznej lub powierzonej funkcji produktu bezpieczeństwa komputerowego.
23. CERTYFIKACJA oznacza: wydawanie, na podstawie niezależnych badań i oceny, formalnego oświadczenia o zakresie, w jakim SYSTEM spełnia wymogi bezpieczeństwa, lub że produkt bezpieczeństwa komputerowego spełnia uprzednio określone wymogi bezpieczeństwa.
24. AKREDYTACJA oznacza: autoryzację i zatwierdzenie przyznane SYSTEMOWI w celu przetwarzania informacji niejawnych UE w jego środowisku operacyjnym.
Uwaga:
Taka akredytacja powinna być przyznana po wykonaniu wszystkich właściwych procedur bezpieczeństwa i po osiągnięciu wystarczającego poziomu ochrony zasobów systemu. Akredytacji zwykle udziela się na podstawie SSRS, włącznie z:
a) oświadczeniem dotyczącym celu akredytacji systemu; w szczególności, z informacji jakiego stopnia (stopni) tajności będzie się korzystać i jaki system oraz jaki bezpieczny tryb(-y) działania sieci się proponuje;
b) dokonaniem przeglądu zarządzania ryzykiem, w celu określenia zagrożeń, słabych punktów i środków przeciwdziałania;
c) procedurami bezpieczeństwa operacyjnego (SecOP), ze szczegółowym opisem proponowanych działań (tzn. trybów, usług jakie mają być realizowane) oraz wraz z opisem podaniem właściwości bezpieczeństwa SYSTEMU, stanowiących podstawę akredytacji;
d) planem wykonania i utrzymania właściwości bezpieczeństwa systemu;
e) planem początkowej i dalszej kontroli, oceny i certyfikacji bezpieczeństwa systemu lub sieci, oraz
f) certyfikacją, jeśli wymagane wraz z innymi elementami akredytacji.
25. SYSTEM IT oznacza: zespół urządzeń, metod i procedur oraz, jeżeli to niezbędne, pracowników, zorganizowanych w celu realizacji funkcji przetwarzania informacji.
Uwagi:
1) Powyższe oznacza zespół instalacji, skonfigurowanych w celu korzystania z informacji w ramach systemu.
2) Takie systemy mogą mieć zastosowanie we wspieraniu działań konsultacyjnych, dowodzenia, kontrolnych, łącznościowych, naukowych lub administracyjnych, wraz z przetwarzaniem tekstów;
3) Granice systemu będą zwykle ustalane jako elementy podlegające kontroli jednego ITSOA.
4) System IT może zawierać podsystemy, z których niektóre same mogą być systemami IT.
26. Na CECHY BEZPIECZEŃSTWA SYSTEMU IT składają się wszystkie funkcje, cechy charakterystyczne i właściwości sprzętu komputerowego/oprogramowania firmowego/oprogramowania odpowiedzialnego za bezpieczeństwo; procedur działania, procedur odpowiedzialności oraz kontroli dostępu, obszaru sieci IT, obszaru odległego terminalu/stacji roboczej, ograniczenia zarządzania, struktury fizycznej i urządzeń, kontroli pracowników i łączności, niezbędnych w celu zapewnienia wystarczającego poziomu ochrony informacji niejawnych, które mają być przetwarzane w systemie IT.
27. SIEĆ IT oznacza: organizację, o dużym zasięgu geograficznym, systemów IT wzajemnie połączonych w celu wymiany danych i obejmującą części składowe wzajemnie połączonych systemów IT oraz ich interfejsu z danymi wspomagającymi lub sieciami łączności.
Uwagi:
1) Sieć IT może korzystać z usług jednej lub kilku sieci łączności wzajemnie połączonych w celu wymiany danych; kilka sieci IT może korzystać z powszechnych sieci łączności.
2) Sieć IT nazywana jest „lokalną” jeśli łączy kilka komputerów w tym samym miejscu.
28. WŁAŚCIWOŚCI BEZPIECZEŃSTWA SIECI IT obejmują właściwości systemu bezpieczeństwa IT poszczególnych systemów IT, zawierających sieć łącznie z takimi dodatkowymi częściami składowymi i właściwościami związanymi z siecią (na przykład, sieci łączności, identyfikacja bezpieczeństwa, mechanizmy i procedury oznaczania, kontrole dostępu, programy i rejestracja śladów audytu) niezbędnych w celu osiągnięcia wymaganego poziomu ochrony informacji niejawnych.
29. OBSZAR IT oznacza; obszar zawierający jeden lub kilka komputerów, ich lokalne jednostki peryferyjne i składowania, jednostki kontrolne i sieci dedykowane oraz urządzenia służące do łączności.
Uwaga:
Nie dotyczy to oddzielnego obszaru, w którym znajdują się odległe urządzenia peryferyjne lub terminale/stacje robocze, nawet pomimo, iż są one połączone z urządzeniami z obszaru IT.
30. OBSZAR ODLEGŁEGO TERMINALU/STACJI ROBOCZEJ oznacza: obszar zawierający niektóre urządzenia komputerowe, ich lokalne urządzenia peryferyjne lub terminale/stacje robocze oraz wszelkie związane z nimi urządzenia służące do łączności, wyodrębnione z obszaru IT.
31. Środki przeciwdziałania TEMPEST: środki bezpieczeństwa przeznaczone do ochrony urządzeń i infrastruktury łączności przed ujawnieniem informacji niejawnych poprzez nieumyślną emisję elektromagnetyczną.
Rozdział III
Odpowiedzialność w zakresie bezpieczeństwa
OGÓLNE
32. Obowiązki Komitetu ds. Bezpieczeństwa, określone w sekcji I ust. 4, obejmują również kwestie dotyczące INFOSEC. Komitet ds. Bezpieczeństwa organizuje swoją działalność w taki sposób, aby mógł zapewnić doradztwo ekspertów w powyższych kwestiach.
33. W przypadku wystąpienia problemów dotyczących bezpieczeństwa (incydenty, naruszenie itp.), odpowiedzialne organy krajowe i/lub Biuro ds. Bezpieczeństwa SGR niezwłocznie podejmują działania. Wszystkie problemy zgłasza się do Biura ds. Bezpieczeństwa SGR.
34. Sekretarz Generalny/Wysoki Przedstawiciel lub, gdzie właściwe, szef zdecentralizowanej agencji UE, ustanawia biuro INFOSEC w celu zapewnienia organowi bezpieczeństwa informacji w sprawie wykonywania i kontroli specjalnych właściwości bezpieczeństwa zaprojektowanych jako część SYSTEMÓW.
Urząd Bezpieczeństwa ds. Akredytacji (SAA)
35. Urzędem Bezpieczeństwa ds. Akredytacji mogą być:
– OBN,
– organ wyznaczony przez Sekretarza Generalnego/Wysokiego Przedstawiciela,
– organ bezpieczeństwa zdecentralizowanej agencji UE lub
– ich delegowani/nominowanych przedstawiciele, w zależności od SYSTEMU podlegającego akredytacji.
36. Urząd Bezpieczeństwa ds. Akredytacji jest odpowiedzialny za zapewnienie zgodności SYSTEMÓW z polityką bezpieczeństwa Rady. Jednym z jego zadań jest zatwierdzanie SYSTEMU w zakresie korzystania z informacji niejawnych do określonego stopnia tajności w jego środowisku operacyjnym. W odniesieniu do Sekretariatu Generalnego Rady i odpowiednio, zdecentralizowanych agencjach UE, Urząd Bezpieczeństwa ds. Akredytacji ponosi odpowiedzialność za bezpieczeństwo w imieniu Sekretarza Generalnego/Wysokiego Przedstawiciela lub szefów zdecentralizowanych agencji.
Jurysdykcja Urzędu Bezpieczeństwa ds. Akredytacji SGR obejmuje wszystkie SYSTEMY działające na terenie siedzib SGR. SYSTEMY i części składowe SYSTEMÓW działających w ramach Państwa Członkowskiego pozostają pod jurysdykcją tego Państwa Członkowskiego. Jeżeli różne części składowe SYSTEMU podlegają jurysdykcji Urzędu Bezpieczeństwa ds. Akredytacji SGR oraz innych Urzędów Bezpieczeństwa ds. Akredytacji, wszystkie strony powołają wspólny zarząd do spraw, koordynowany przez Urząd Bezpieczeństwa ds. Akredytacji SGR.
ORGAN INFOSEC (IA)
37. Organ INFOSEC jest odpowiedzialny za działalność biura INFOSEC. W odniesieniu do SGR i odpowiednio zdecentralizowanych agencji UE, organ INFOSEC jest odpowiedzialny za:
– udzielanie porad i pomocy technicznej Urzędowi Bezpieczeństwa ds. Akredytacji,
– pomoc w opracowywaniu SSRS,
– przegląd SSRS w celu zapewnienia spójności z niniejszymi przepisami dotyczącymi bezpieczeństwa, polityką INFOSEC oraz z dokumentacją techniczną,
– uczestnictwo, gdzie właściwe, w zespołach/zarządach do spraw akredytacji oraz przedkładanie Urzędowi Bezpieczeństwa ds. Akredytacji zaleceń INFOSEC w sprawach akredytacji,
– zapewnianie wsparcia prowadzonej przez INFOSEC działalności szkoleniowej i edukacyjnej,
– udzielanie porad technicznych w dochodzeniach prowadzonych w związku z incydentami dotyczącymi INFOSEC,
– ustanowienie informacji technicznych dotyczących polityki zapewniającej stosowanie wyłącznie legalnego oprogramowania.
Organ Operacyjny Systemu IT (ITSOA)
38. Organ INFOSEC, na możliwie najwcześniejszym etapie, przekazuje Organowi OperacyjnEmU Systemu IT odpowiedzialność za wykonywanie i działania kontrolne specjalnych właściwości bezpieczeństwa SYSTEMU. Odpowiedzialność ta obejmuje cały okres funkcjonowania SYSTEMU, od fazy projektowania do ostatecznej likwidacji.
39. Organ Operacyjny Systemu IT jest odpowiedzialny za wszystkie środki bezpieczeństwa określone jako część całego SYSTEMU. Odpowiedzialność ta obejmuje przygotowanie SecOP. Organ Operacyjny Systemu IT określa normy i praktyki dotyczące bezpieczeństwa, które muszą spełniać dostawcy SYSTEMU.
40. Organ Operacyjny Systemu IT może przekazać część swoich obowiązków, gdzie właściwe, na przykład urzędnikowi ds. bezpieczeństwa INFOSEC i urzędnikowi ds. bezpieczeństwa terenu INFOSEC. Różne funkcje INFOSEC mogą być wykonywane przez pojedynczą osobę.
UŻYTKOWNICY
41. Wszyscy użytkownicy są odpowiedzialni za zapewnienie, że ich działania nie wpływają negatywnie na bezpieczeństwo SYSTEMU, z którego korzystają.
SZKOLENIA INFOSEC
42. Działalność szkoleniowa i edukacyjna INFOSEC jest dostępna na różnych poziomach, oraz dla różnych pracowników zatrudnionych, gdzie właściwe, w ramach SGR, zdecentralizowanych agencji UE lub służb rządowych Państw Członkowskich.
Rozdział IV
Nie-techniczne środki bezpieczeństwa
BEZPIECZEŃSTWO PRACOWNIKÓW
43. Użytkownicy SYSTEMU podlegają postępowaniu sprawdzającemu oraz posiadają potrzebę niezbędnej wiedzy, odpowiednio do stopnia tajności i zawartości informacji przetwarzanych w ich konkretnym SYSTEMIE. Dostęp do niektórych urządzeń lub informacji szczególnych ze względu na bezpieczeństwo SYSTEMÓW będzie wymagać specjalnego poświadczenia wydanego zgodnie z procedurami Rady.
44. Urząd Bezpieczeństwa ds. Akredytacji wyznacza wszystkie sensytywne stanowiska oraz określa poziom poświadczenia i nadzoru, wymagany od pracowników, którzy je zajmują.
45. SYSTEMY są określone i zaprojektowane w sposób ułatwiający przydział obowiązków i odpowiedzialności pracownikom tak, aby zapobiec posiadaniu przez jedną osobę całkowitej wiedzy na temat kluczowych punktów bezpieczeństwa systemu lub wyłącznej kontroli nad nimi. Celem powinna być konieczność współdziałania między dwoma lub więcej osobami w celu dokonania zmiany lub celowej degradacji systemu lub sieci.
BEZPIECZEŃSTWO FIZYCZNE
46. IT oraz odległe obszary terminalu/stacji roboczej (jak określono w ust. 29 i 30), w obrębie których informacje oznaczone klauzulą CONFIDENTIEL UE i wyższą są wykorzystywane przez środki IT, lub w przypadku gdy istnieje potencjalna możliwość dostępu do takich informacji, są traktowane jak strefy bezpieczeństwa klasy I i II UE lub, gdzie właściwe, ich krajowe odpowiedniki.
47. IT oraz odległe obszary terminalu/stacji roboczej, w których bezpieczeństwo SYSTEMU może być zmieniane nie może być pod opieką wyłącznie jednego upoważnionego urzędnika/innego pracownika.
KONTROLA DOSTĘPU DO SYSTEMU
48. Wszystkie informacje i materiały, pozwalające na kontrolę dostępu do SYSTEMU, podlegają ochronie na mocy uzgodnień współmiernych informacjom o najwyższym stopniu tajności i kategorii oznaczeń, do których mogą umożliwiać dostęp.
49. Informacje i materiały dotyczące kontroli dostępu, które nie są już wykorzystywane w tym celu, zostają zniszczone w zastosowaniu ust. 61-63.
Rozdział V
Techniczne środki bezpieczeństwa
BEZPIECZEŃSTWO INFORMACJI
50. Obowiązkiem autora informacji jest określanie oraz klasyfikowanie wszystkich dokumentów zawierających informacje, niezależnie czy występują one w postaci wydruku z dysku twardego czy zapisu na komputerowym nośniku. Dół i góra każdej strony wydruku zawiera oznaczenie klauzuli. Wydruk, niezależnie czy występuje w postaci zapisu na dysku twardym czy zapisu na komputerowym nośniku, oznaczony zostaje taką samą klauzulą jak najwyższy stopień tajności informacji wykorzystanych przy jego sporządzaniu. Sposób, w jaki SYSTEM funkcjonuje również może wpływać na stopień tajności wydruków z tego systemu.
51. Obowiązkiem organizacji i posiadaczy jej informacji jest rozpatrywanie problemów powstałych w związku z nagromadzeniem pojedynczych elementów informacji oraz wniosków, jakie można wyciągnąć na podstawie powiązanych elementów oraz ustalanie czy przyznanie wyższego stopnia tajności jest właściwe w odniesieniu do całości informacji.
52. Fakt, że informacja może być zwięzłym kodem, kodem transmisyjnym lub przedstawiona w innej podwójnej formie, nie zapewnia żadnej ochrony bezpieczeństwa i dlatego nie powinna wpływać na klasyfikację informacji.
53. Jeżeli informacja jest przekazywana z jednego SYSTEMU do innego, podczas przekazywania oraz w SYSTEMIE docelowym jest ona chroniona w sposób współmierny do oryginalnej klauzuli i kategorii informacji.
54. Ze wszystkich komputerowych nośników informacji korzysta się w sposób współmierny do klauzuli najwyżej sklasyfikowanej przechowywanej informacji lub oznaczenia nośnika, i przez cały czas poddaje się odpowiedniej ochronie.
55. Komputerowe nośniki informacji wielokrotnego użycia stosowane w celu rejestracji informacji niejawnych UE zachowują najwyższy stopień tajności informacji, do której były kiedykolwiek użyte, do czasu odpowiedniego obniżenia lub zniesienia stopnia tajności tych informacji i następującego przeklasyfikowania nośników lub zniesienia stopnia tajności lub zniszczenia nośników zgodnie z procedurami zatwierdzonymi przez SGR lub procedurami krajowymi (patrz ust. 61-63).
KONTROLA I EWIDENCJA INFORMACJI
56. Prowadzone są, automatyczne (fiszki audytu) lub ręczne dzienniki ewidencji w celu rejestracji dostępu do informacji niejawnych oznaczonych klauzulą SECRET UE i wyższą. Rejestry te przechowywane są zgodnie z niniejszymi przepisami dotyczącymi bezpieczeństwa.
57. Niejawne wydruki UE, przechowywane w obszarze IT, mogą być traktowane jako jeden niejawny element i nie muszą być rejestrowane, pod warunkiem, że materiał jest określony, oznaczony klauzulą oraz poddawany kontroli we właściwy sposób.
58. W przypadku gdy wydruk zostaje otrzymany z SYSTEMU korzystającego z informacji niejawnych UE, i zostaje przekazany do odległego terminalu/obszaru stacji roboczej z obszaru IT, ustanawia się procedury, za zgodą Urzędu Bezpieczeństwa ds. Akredytacji w celu kontrolowania tego wydruku. Takie procedury, w odniesieniu do informacji oznaczonych klauzulą SECRET UE i wyższą, zawierają specjalne instrukcje dotyczące ewidencjonowania informacji.
TRAKTOWANIE I KONTROLA WYMIENIALNYCH KOMPUTEROWYCH NOŚNIKÓW INFORMACJI
59. Wszystkie wymienialne komputerowe nośniki informacji niejawnych oznaczonych klauzulą CONFIDENTIEL UE i wyższą, są traktowane tak jako materiały i będzie się stosować w odniesieniu do nich ogólne reguły. Właściwe oznaczenia identyfikacyjne i klasyfikacyjne muszą zostać dostosowane do szczególnej fizycznej formy nośników w celu umożliwienia ich łatwego rozpoznania.
60. Użytkownicy ponoszą odpowiedzialność za zapewnienie, że informacje niejawne UE są przechowywane na nośnikach z właściwymi oznaczeniami klasyfikacyjnymi i podlegają ochronie. Ustanawia się procedury w celu zapewnienia, że w odniesieniu do wszystkich poziomów informacji UE, przechowywanie informacji na komputerowych nośnikach informacji odbywa się zgodnie z niniejszymi przepisami dotyczącymi bezpieczeństwa.
DEKLASYFIKACJA I ZNISZCZENIE KOMPUTEROWYCH NOŚNIKÓW INFORMACJI
61. Komputerowe nośniki informacji, używane do rejestracji informacji niejawnych UE mogą być obniżone lub zdeklasyfikowane, jeżeli stosuje się procedury zatwierdzone przez SGR lub procedury krajowe.
62. Komputerowe nośniki informacji, na których były przechowywane informacje oznaczone klauzulą TRÈS SECRET UE/EU TOP SECRET lub informacje specjalnych kategorii nie są deklasyfikowane ani ponownie wykorzystywane.
63. Jeżeli komputerowe nośniki informacji nie mogą być zdeklasyfikowane lub nie są ponownie wykorzystane, nośniki te zostają zniszczone zgodnie z procedurami zatwierdzonymi przez SGR lub procedurami krajowymi.
BEZPIECZEŃSTWO ŁĄCZNOŚCI
64. Jeżeli informacje niejawne UE są przekazywane drogą elektromagnetyczną, stosuje się specjalne środki w celu ochrony poufności, integralności oraz dostępności takich przekazów. Urząd Bezpieczeństwa ds. Akredytacji ustala wymogi dotyczące ochrony przekazów przed wykryciem i przejęciem. Informacje przekazywane za pomocą systemu łączności podlegają ochronie opartej na wymogach poufności, integralności oraz dostępności.
65. Jeśli w celu zapewnienia ochrony poufności, integralności i dostępności wymagane są metody kryptograficzne, takie metody lub powiązane produkty zostają specjalnie zatwierdzone do tego celu przez Urząd Bezpieczeństwa ds. Akredytacji.
66. Podczas przekazu, poufność informacji niejawnych oznaczonych klauzulą SECRET UE i wyższą, podlega ochronie za pośrednictwem metod kryptograficznych lub produktów zatwierdzonych przez Radę na podstawie zalecenia Komitetu ds. Bezpieczeństwa Rady. Podczas przekazu, poufność informacji niejawnych oznaczonych klauzulą CONFIDENTIEL UE lub RESTREINT UE podlega ochronie za pośrednictwem metod kryptograficznych lub produktów zatwierdzonych albo przez Sekretarza Generalnego/Wysokiego Przedstawiciela na podstawie zalecenia Komitetu ds. Bezpieczeństwa Rady, albo przez Państwo Członkowskie.
67. Szczegółowe reguły mające zastosowanie do przekazu informacji niejawnych UE zostają wymienione w specjalnych instrukcjach bezpieczeństwa, zatwierdzonych przez Radę na podstawie zalecenia Komitetu ds. Bezpieczeństwa Rady.
68. W wyjątkowych okolicznościach operacyjnych, informacje niejawne oznaczone klauzulami RESTREINT UE, CONFIDENTIEL UE oraz SECRET UE mogą być przekazywane w formie nieszyfrowanego tekstu, pod warunkiem każdorazowego wyraźnego upoważnienia. Za takie wyjątkowe okoliczności uważa się:
a) stany zbliżającego się lub trwającego kryzysu, konfliktu lub stanów wojny; oraz
b) sytuacje, w których czas doręczenia ma kluczowe znaczenie, środki szyfrowania nie są dostępne i ocenia się, że przekazane informacje nie mogą zostać wykorzystane w czasie tak, aby negatywnie wpłynąć na operacje.
69. SYSTEM posiada zdolność do skutecznej odmowy dostępu do informacji niejawnych UE w każdej lub we wszystkich odległych stacjach roboczych lub terminalach, jeżeli jest to wymagane albo poprzez fizyczne przerwanie połączenia lub poprzez specjalne właściwości oprogramowania zatwierdzone przez Urząd Bezpieczeństwa ds. Akredytacji.
BEZPIECZEŃSTWO INSTALACJI I PROMIENIOWANIA
70. Początkowa instalacja SYSTEMÓW oraz zasadnicze w nich zmiany zostają tak określone, aby instalacja była wykonywana przez monterów, którzy zostali poddani postępowaniu sprawdzającemu, oraz pod stałym nadzorem wykwalifikowanych pracowników technicznych upoważnionych do dostępu do informacji niejawnych UE o stopniu tajności równemu informacjom o najwyższej klauzuli, jakie będą przechowywane i przetwarzane w SYSTEMIE.
71. Wszystkie urządzenia są instalowane zgodnie z obecną polityką bezpieczeństwa Rady.
72. SYSTEMY wykorzystujące informacje niejawne oznaczone klauzulą CONFIDENTIEL UE i wyższą, są chronione w taki sposób, aby ich bezpieczeństwo nie mogło zostać zagrożone przez ujawnienie poprzez emisję, którego badanie i kontrola jest określona jako „TEMPEST”.
73. Środki przeciwdziałania TEMPEST w odniesieniu do instalacji SGR lub zdecentralizowanych agencji UE są analizowane i zatwierdzone przez organ TEMPEST wyznaczony przez Organ ds. Bezpieczeństwa SGR. W odniesieniu do instalacji krajowych, które korzystają z informacji niejawnych UE, organem zatwierdzającym jest uznany krajowy organ zatwierdzający TEMPEST.
Rozdział VI
Bezpieczeństwo podczas przetwarzania
PROCEDURY BEZPIECZEŃSTWA OPERACYJNEGO
74. SecOP określają zasady, jakie mają zostać przyjęte w odniesieniu do kwestii bezpieczeństwa, procedur operacyjnych, jakie mają być przestrzegane oraz obowiązków pracowników. Opracowanie SecOP należy do obowiązków ITSOA.
OCHRONA OPROGRAMOWANIA/ZARZĄDZANIE KONFIGURACJĄ
75. Zakres ochrony bezpieczeństwa programów użytkowych zostaje ustalony na podstawie oceny klauzuli tajności samego programu, niż klauzuli informacji, które ma przetwarzać. Wykorzystywane wersje oprogramowania powinny być weryfikowane w regularnych odstępach czasu w celu zapewnienia ich integralności i właściwego funkcjonowania.
76. Nowe lub zmienione wersje oprogramowania nie powinny być używane do przetwarzania informacji niejawnych UE do czasu weryfikacji przez ITSOA.
WYKRYWANIE OBECNOŚCI OPROGRAMOWANIA DESTRUKCYJNEGO/WIRUSÓW KOMPUTEROWYCH
77. Wykrywanie obecności oprogramowania destrukcyjnego/wirusów komputerowych jest przeprowadzane okresowo, zgodnie z wymogami Urzędu Bezpieczeństwa ds. Akredytacji.
78. Wszystkie komputerowe nośniki informacji wpływające do SGR lub zdecentralizowanych agencji UE lub Państw Członkowskich przed wprowadzeniem do SYSTEMU, powinny zostać sprawdzone pod kątem wykrycia obecności oprogramowania destrukcyjnego lub wirusów komputerowych,
KONSERWACJA
79. Umowy i procedury dotyczące regularnej i doraźnej konserwacji SYSTEMÓW, w odniesieniu do których zostały sporządzone SSRS, określają wymogi i uzgodnienia dotyczące pracowników przeprowadzających konserwacje oraz ich wyposażenia wchodzących na teren obszaru IT.
80. Wymogi zostają wyraźnie określone w SSRS, a procedury zostają wyraźnie określone w SecOP. Wykonawcy usług konserwacyjnych wymagającemu zdalnego dostępu do celów procedur diagnostycznych uzyskuje na to pozwolenie jedynie w wyjątkowych okolicznościach, pod ścisłą kontrolą bezpieczeństwa i wyłącznie za zgodą Urzędu Bezpieczeństwa ds. Akredytacji.
Rozdział VII
Zakup
81. Każdy produkt bezpieczeństwa, który ma być stosowany w ramach SYSTEMU, który ma zostać zakupiony powinien albo zostać oceniony i certyfikowany, albo być na bieżąco oceniany i certyfikowany przez właściwy organ oceniający lub certyfikujący zgodnie z międzynarodowymi potwierdzonymi kryteriami (takimi jak wspólne kryteria oceny bezpieczeństwa technologii informacyjnych, patrz ISO 15 408).
82. Przy podejmowaniu decyzji, czy sprzęt, szczególnie komputerowe nośniki informacji, powinien być raczej wydzierżawiony niż zakupiony, należy wziąć pod uwagę fakt, że sprzęt taki, raz użyty do przetwarzania informacji niejawnych UE, nie może być udostępniony poza odpowiednio zabezpieczonym środowiskiem, bez uprzedniego zniesienia stopnia tajności za zgodą Urzędu Bezpieczeństwa ds. Akredytacji, przy czym zgoda taka nie zawsze jest możliwa.
AKREDYTACJA
83. Wszystkie SYSTEMY, w odniesieniu do których zostaje sporządzone SSRS, przed przetwarzaniem informacji niejawnych UE, podlegają akredytacji Urzędu Bezpieczeństwa ds. Akredytacji, w oparciu o informacje zawarte w SSRS, SecOP oraz w innej właściwej dokumentacji. Podsystemy oraz odległe terminale/stacje robocze są akredytowane jako część wszystkich SYSTEMÓW, z którymi są połączone. W przypadku gdy SYSTEM wspomaga działania zarówno Rady jak i innych organizacji, zostaje akredytowany za wspólną zgodą SGR oraz właściwych organów bezpieczeństwa.
84. Proces akredytacji może być prowadzony zgodnie ze strategią akredytacji właściwą dla danego SYSTEMU i określoną przez Urząd Bezpieczeństwa ds. Akredytacji.
OCENA I CERTYFIKACJA
85. Przed akredytacją, w niektórych przypadkach, właściwości sprzętu komputerowego, oprogramowania firmowego i oprogramowania odpowiedzialnego za bezpieczeństwo SYSTEMU podlegają ocenie i certyfikacji w celu potwierdzenia ich zdolności do ochrony informacji na zakładanym poziomie klasyfikacji.
86. Wymogi dotyczące oceny i certyfikacji zostają zawarte w planie systemu i wyraźnie określone w SSRS.
87. Proces oceny i certyfikacji prowadzony jest, zgodnie z zatwierdzonymi wytycznymi, oraz przez wykwalifikowanych i właściwie upoważnionych pracowników technicznych działających w imieniu OrganU OperacyjnEGO Systemu IT.
88. Zespoły pracowników mogą być zapewniane przez wyznaczone przez Państwa Członkowskie organy oceniające i certyfikujące lub ich wyznaczonych przedstawicieli, na przykład, przez posiadającego odpowiednie kompetencje i właściwie upoważnionego wykonawcę.
89. Zakres danych procesów oceny i certyfikacji może zostać ograniczony (na przykład, tylko do aspektów integracji), w przypadku gdy SYSTEMY działają na bazie istniejących produktów bezpieczeństwa komputerowego ocenionych i certyfikowanych na szczeblu krajowym.
RUTYNOWA KONTROLA WŁAŚCIWOŚCI BEZPIECZEŃSTWA W CELU PRZEDŁUŻENIA OKRESU AKREDYTACJI
90. Organ Operacyjny Systemu IT ustanawia rutynowe procedury kontrolne, które zapewniają, że wszystkie właściwości bezpieczeństwa SYSTEMU są nadal ważne.
91. Rodzaje zmian, które mogłyby spowodować ponowną akredytację lub które wymagają uprzedniej zgody Urzędu Bezpieczeństwa ds. Akredytacji są wyraźnie określone i wskazane w SSRS. Po każdej zmianie, naprawie lub awarii, która mogłaby mieć wpływ na właściwości bezpieczeństwa SYSTEMU, Organ Operacyjny Systemu IT zapewnia przeprowadzenie kontroli w celu zapewnienia poprawnego funkcjonowania właściwości bezpieczeństwa. Przedłużenie okresu akredytacji SYSTEMU zwykle zależy od przeprowadzenia kontroli zakończonej zadowalającym wynikiem.
92. Wszystkie SYSTEMY, w których zastosowano właściwości bezpieczeństwa, są okresowo kontrolowane i przeglądane przez Urząd Bezpieczeństwa ds. Akredytacji. W odniesieniu do SYSTEMÓW przetwarzających informacje oznaczone klauzulą TRÈS SECRET UE/EU TOP SECRET lub informacji posiadających dodatkowe oznaczenia, kontrole są przeprowadzane nie rzadziej niż raz na rok.
Rozdział VIII
Korzystanie tymczasowe lub sporadyczne
BEZPIECZEŃSTWO MIKROKOMPUTERÓW/KOMPUTERÓW OSOBISTYCH
93. Mikrokomputery/komputery osobiste (PC) z dyskami stałymi (lub innymi trwałymi nośnikami informacji) działające albo w trybie niezależnym lub w ramach skonfigurowanej sieci, oraz przenośne urządzenia komputerowe (np. przenośne komputery osobiste i elektroniczne „notatniki”) z trwałymi dyskami twardymi uważa się za nośniki informacji w takim samum sensie jak dyskietki lub inne wymienialne komputerowe nośniki informacji.
94. Takiemu sprzętowi zapewnia się poziom bezpieczeństwa, w kwestii dostępu, korzystania, przechowywania i transportu współmierny do najwyższego stopnia tajności informacji kiedykolwiek przechowywanej lub przetwarzanej (do czasu obniżenia lub zniesienia stopnia tajności zgodnie z zatwierdzonymi procedurami).
KORZYSTANIE Z PRYWATNEGO SPRZĘTU IT DO URZĘDOWEJ PRACY RADY
95. Korzystanie z prywatnych wymienialnych komputerowych nośników informacji, oprogramowania oraz sprzętu komputerowego IT (na przykład z komputerów osobistych i przenośnych urządzeń komputerowych) z możliwością przechowywania jest zakazane w odniesieniu do korzystania z informacji niejawnych UE.
96. Prywatny sprzęt komputerowy, oprogramowanie oraz nośniki nie mogą zostać wniesione na teren którejkolwiek ze stref klasy I lub II, na terenie których są przetwarzane informacje niejawne UE, bez zezwolenia szefa Biura ds. Bezpieczeństwa SGR lub organu administracyjnego Państwa Członkowskiego lub danej zdecentralizowanej agencji UE.
KORZYSTANIE ZE SPRZĘTU IT BĘDĄCEGO WŁASNOŚCIĄ WYKONAWCY LUB POCHODZĄCEGO ZE ŹRÓDŁA KRAJOWEGO DO URZĘDOWEJ PRACY RADY
97. Szef Biura ds. Bezpieczeństwa SGR lub urząd Państwa Członkowskiego lub odpowiednia zdecentralizowana agencja UE może zezwolić na korzystanie ze sprzętu IT oraz oprogramowania, będących własnością wykonawcy, w organizacjach w celu wspierania prac urzędowych Rady. Korzystanie ze sprzętu IT i oprogramowania, pochodzących ze źródeł krajowych, przez pracowników SGR lub zdecentralizowanej agencji UE może również być dozwolone; w takim przypadku sprzęt IT zostaje wpisany na właściwy wykaz SGR. W każdym przypadku, jeżeli sprzęt IT ma być używany do przetwarzania informacji niejawnych UE, zasięga się opinii właściwego Urzędu Bezpieczeństwa ds. Akredytacji w celu, aby elementy INFOSEC, które mają zastosowanie przy korzystaniu z tego sprzętu zostały właściwie uwzględnione i zastosowane.

SEKCJA XII


UDOSTĘPNIANIE INFORMACJI NIEJAWNYCH PAŃSTWOM TRZECIM ORAZ ORGANIZACJOM MIĘDZYNARODOWYM
ZASADY REGULUJĄCE UDOSTĘPNIANIE INFORMACJI NIEJAWNYCH UE
1. Udostępnienie informacji niejawnych UE państwom trzecim lub organizacjom międzynarodowym będzie podlegać decyzji Rady, podejmowanej na podstawie:
– charakteru i treści takich informacji,
– zasady „niezbędnej wiedzy” otrzymującego,
– skali korzyści dla UE.
Państwo Członkowskie będące autorem informacji niejawnej UE zostanie poproszone o wyrażenie zgody na jej udostępnienie.
2. Decyzje te będą podejmowane indywidualnie w każdym przypadku, w zależności od:
– pożądanego poziomu współpracy z danymi państwami trzecimi lub organizacjami międzynarodowymi,
– zaufania, jakim można je obdarzyć, które wynika z poziomu ochrony, który byłby stosowany w odniesieniu do informacji niejawnych UE powierzonych tym państwom lub organizacjom oraz od poziomu spójności przepisów dotyczących bezpieczeństwa stosowanych tam oraz w UE; Komitet ds. Bezpieczeństwa Rady przedstawi Radzie swoją opinię techniczną w tym względzie.
3. Przyjęcie przez państwa trzecie lub organizacje międzynarodowe informacji niejawnych UE spowoduje zobowiązanie, że informacje nie będą wykorzystywane w celach innych niż te uzasadniające udostępnienie lub wymianę informacji, oraz że zapewnią one ochronę zgodną z wymogami Rady.
POZIOMY
4. Po podjęciu decyzji o możliwości udostępnienia lub wymiany informacji niejawnych z danym państwem lub organizacją międzynarodową, Rada zdecyduje o możliwym poziomie współpracy. Będzie to zależało w szczególności od polityki i przepisów dotyczących bezpieczeństwa stosowanych przez to państwo lub organizację.
5. Istnieją trzy poziomy współpracy:
Poziom 1
Współpraca z państwami trzecimi lub organizacjami międzynarodowymi, których polityka i przepisy dotyczące bezpieczeństwa są bardzo zbliżone do obowiązujących w UE.
Poziom 2
Współpraca z państwami trzecimi lub organizacjami międzynarodowymi, których polityka i przepisy dotyczące bezpieczeństwa znacznie różnią się od obowiązujących w UE.
Poziom 3
Okazjonalna współpraca z państwami trzecimi lub organizacjami międzynarodowymi, których polityka i przepisy dotyczące bezpieczeństwa nie mogą zostać ocenione.
6. W odniesieniu do każdego poziomu współpracy ustali się przepisy dotyczące bezpieczeństwa, przeredagowane w poszczególnych przypadkach w świetle opinii technicznej Komitetu ds. Bezpieczeństwa Rady, które otrzymujący informacje niejawne zobowiążą się zastosować w celu ochrony informacji im udostępnionych. Takie procedury i przepisy dotyczące bezpieczeństwa są wyszczególnione w dodatkach 4, 5 i 6.
UMOWY
7. Z chwilą, gdy Rada stwierdza, że istnieje stała i długoterminowa potrzeba wymiany informacji niejawnych między UE a państwami trzecimi lub innymi organizacjami międzynarodowymi, sporządzi z nimi „umowy w sprawie procedur bezpieczeństwa w odniesieniu do wymiany informacji niejawnych”, określające cel współpracy oraz wzajemne reguły dotyczące ochrony wymienianych informacji.
8. W przypadku okazjonalnej współpracy na poziomie 3, która z definicji jest ograniczona w czasie i co do celu, zamiast „umowy w sprawie procedur bezpieczeństwa w odniesieniu do wymiany informacji niejawnych” można zastosować zwykły protokół ustaleń, określający charakter informacji niejawnych będących przedmiotem wymiany oraz wzajemne zobowiązania dotyczące tych informacji, pod warunkiem, że nie są one oznaczone klauzulą wyższą niż RESTREINT UE”.
9. Projekty umów w sprawie procedur bezpieczeństwa lub protokołów ustaleń zostaną zatwierdzone przez Komitet ds. Bezpieczeństwa Rady, przed ich przedstawieniem, celem podjęcia decyzji, Radzie.
10. OBN udzielą wszelkiej niezbędnej pomocy Sekretarzowi Generalnemu/Wysokiemu Przedstawicielowi w celu zapewnienia, że informacje, które mają zostać udostępnione, są wykorzystywane i chronione zgodnie z przepisami porozumień w sprawie procedur bezpieczeństwa lub Protokołów ustaleń.
Dodatek 1
Wykaz krajowych organów bezpieczeństwa
BELGIA
Ministère des Affaires Étrangères, du Commerce Extérieur et de la Coopération au Développement

Direction de la sécurité — A 01

Rue des Petits Carmes, 15

1   ...   4   5   6   7   8   9   10   11   12


©absta.pl 2016
wyślij wiadomość

    Strona główna