Jak informuje rzecznik prasowy Prokuratury Krajowej prok. Przemysław Nowak „kontrolę doraźną” przeprowadzono w siedzibie Centralnego Biura Antykorupcyjnego na wniosek Zespołu Śledczego nr 3 Prokuratury Krajowej. 19 marca ABW sporządziła, a następnie przesłała do Prokuratury Krajowej wystąpienie pokontrolne dotyczące m.in. kwestii akredytacji bezpieczeństwa teleinformatycznego dla systemu Pegasus.
Ustawowe wymogi ws. bezpieczeństwa systemu teleinformatycznego
Zgodnie z ustawą o ochronie informacji niejawnych (art. 48 i nast.) systemy teleinformatyczne, w których mają być przetwarzane informacje niejawne (czyli m.in. informacje uzyskiwane i przetwarzane w ramach kontroli operacyjnej), podlegają akredytacji bezpieczeństwa teleinformatycznego. Takiej akredytacji udziela ABW albo SKW, a na potwierdzenie wystawia świadectwo akredytacji bezpieczeństwa systemu teleinformatycznego. Wcześniej ABW albo SKW muszą zatwierdzić dokumentację i wyniki audytu bezpieczeństwa systemu.
Przepisy przewidują również wyjątki od obowiązku akredytacji bezpieczeństwa teleinformatycznego. Zgodnie z art. 51 ustawy o ochronie informacji niejawnych w brzmieniu obowiązującym do dnia 23 kwietnia 2022 r., obowiązkowi akredytacji nie podlegały systemy teleinformatyczne znajdujące się poza strefami ochronnymi oraz służące bezpośrednio do pozyskiwania i przekazywania w sposób niejawny informacji oraz utrwalania dowodów w trakcie realizacji czynności operacyjno-rozpoznawczych lub procesowych przez uprawnione do tego podmioty.
Czytaj więcej
155 spraw, 20 tys. stron dokumentów w 103 tomach akt – CBA w raporcie ujawnia zakres używania sys...
W wystąpieniu pokontrolnym ABW wskazano też, że wyjątek z art. 51 ustawy o ochronie informacji niejawnych nie mógł dotyczyć oprogramowania Pegasus, gdyż elementy tego systemu znajdowały się w strefach ochronnych Centralnego Biura Antykorupcyjnego.