Rządowy projekt ustawy o ochronie informacji niejawnych oraz o zmianie niektórych ustaw
- określenie zasad ochrony informacji, których nieuprawnione ujawnienie spowodowałoby lub mogło spowodować szkody dla Rzeczypospolitej Polskiej albo byłoby z punktu widzenia jej interesów niekorzystne, także w trakcie ich opracowywania oraz niezależnie od formy i sposobu ich wyrażania;- utrata mocy przez ustawę z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych;
- Kadencja sejmu: 6
- Nr druku: 2791
- Data wpłynięcia: 2010-02-16
- Uchwalenie: Projekt uchwalony
- tytuł: o ochronie informacji niejawnych
- data uchwalenia: 2010-08-05
- adres publikacyjny: Dz.U. Nr 182, poz. 1228
2791
cji niejawnych w systemie teleinformatycznym, a w szczególności określa się:
1) przeznaczenie systemu teleinformatycznego;
2) maksymalną klauzulę tajności oraz ilość informacji planowanych do przetwa-
rzania w systemie;
3) tryb
bezpieczeństwa pracy systemu;
4) liczbę użytkowników;
5) rozległość i planowane obciążenie systemu;
6) planowaną lokalizację.
3. Na etapie projektowania:
1) przeprowadza się wstępne szacowanie ryzyka dla projektowanego systemu te-
leinformatycznego w celu określenia wymagań dla zabezpieczeń;
2) dokonuje się wyboru zabezpieczeń dla systemu teleinformatycznego,
z uwzględnieniem wyników wstępnego szacowania ryzyka;
3) opracowuje się dokument szczególnych wymagań bezpieczeństwa systemu te-
leinformatycznego.
4. Na etapie wdrażania:
1) pozyskuje i wdraża się urządzenia lub narzędzia realizujące zabezpieczenia
w systemie teleinformatycznym;
2) przeprowadza
się testy bezpieczeństwa systemu teleinformatycznego;
3) przeprowadza się szacowanie ryzyka dla systemu teleinformatycznego
z uwzględnieniem wprowadzonych zabezpieczeń;
4) opracowuje się dokument procedur bezpiecznej eksploatacji oraz uzupełnienia
dokument szczególnych wymagań bezpieczeństwa systemu teleinformatyczne-
go;
5) system teleinformatyczny poddaje się akredytacji bezpieczeństwa teleinforma-
tycznego.
5. Na etapie eksploatacji:
1) utrzymuje się zgodność systemu teleinformatycznego z dokumentacją bezpie-
czeństwa systemu teleinformatycznego;
2) zapewnia się ciągłość procesu zarządzania ryzykiem w systemie teleinforma-
tycznym;
3) okresowo przeprowadza się testy bezpieczeństwa w celu weryfikacji poprawno-
ści działania poszczególnych zabezpieczeń oraz usuwa stwierdzone nieprawi-
dłowości;
4) w zależności od potrzeb wprowadza się modyfikacje do systemu teleinforma-
tycznego oraz, jeśli jest to właściwe, wykonuje testy bezpieczeństwa, a także
uaktualnia dokumentację bezpieczeństwa systemu teleinformatycznego. Mody-
fikacje systemu teleinformatycznego mające wpływ na jego bezpieczeństwo
wymagają zgody podmiotu, który udzielił akredytacji bezpieczeństwa teleinfor-
matycznego oraz mogą wymagać ponownego udzielenia akredytacji bezpie-
czeństwa teleinformatycznego.
5
6. Na etapie wycofywania systemu teleinformatycznego z eksploatacji, bezpie-
czeństwo informacji niejawnych, które były przetwarzane w tym systemie, zapewnia
się poprzez właściwe zniszczenie lub archiwizację tych informacji.
§ 5. 1. System teleinformatyczny obsługiwany jest przez wyspecjalizowany per-
sonel zgodnie z procedurami zawartymi w dokumentacji bezpieczeństwa systemu
teleinformatycznego.
2. Przed dopuszczeniem osób do pracy w systemie teleinformatycznym za-
pewnia się ich przeszkolenie z zakresu bezpieczeństwa teleinformatycznego oraz
zaznajamia z procedurami bezpiecznej eksploatacji w zakresie jaki ich dotyczy.
§ 6. Inspektor bezpieczeństwa teleinformatycznego bierze udział w szacowaniu
ryzyka dla bezpieczeństwa informacji przetwarzanych w systemie teleinformatycz-
nym, a w ramach bieżącej kontroli zgodności funkcjonowania systemu teleinforma-
tycznego ze szczególnymi wymaganiami bezpieczeństwa oraz przestrzegania pro-
cedur bezpiecznej eksploatacji prowadzi kontrolę:
1) poprawności realizacji zadań przez administratora, a w szczególności właściwą
eksploatację zabezpieczeń, zarządzanie konfiguracją oraz uprawnieniami przy-
dzielanymi użytkownikom;
2) znajomości i przestrzegania przez użytkowników zasad ochrony informacji nie-
jawnych oraz procedur bezpiecznej eksploatacji w systemie teleinformatycz-
nym, w szczególności w zakresie wykorzystywania urządzeń i narzędzi służą-
cych do ochrony informacji niejawnych;
3) stanu zabezpieczeń systemu teleinformatycznego, w szczególności analizując
rejestry zdarzeń systemu teleinformatycznego.
§ 7. W ramach odpowiedzialności za funkcjonowanie systemu teleinformatycz-
nego oraz przestrzeganie zasad i wymagań bezpieczeństwa dla systemu teleinfor-
matycznego administrator w szczególności:
1) wdraża zabezpieczenia w systemie teleinformatycznym;
2) prowadzi szkolenia użytkowników systemu z zakresu jego eksploatacji oraz wy-
korzystania zabezpieczeń;
3) utrzymuje
zgodność systemu z jego dokumentacją bezpieczeństwa;
4) udziela wsparcia w procesie zarządzania ryzykiem w systemie teleinformatycz-
nym, w szczególności przez:
a) informowanie o stwierdzonych naruszeniach bezpieczeństwa,
b) informowanie o zmianach poziomu istniejących lub pojawieniu się nowych
zagrożeń bądź podatności w systemie,
c) systematyczne kontrolowanie funkcjonowania zabezpieczeń w systemie
oraz poprawności działania systemu.
§ 8. 1. Informacje niejawne przetwarzane w systemie teleinformatycznym chroni
się przed nieuprawnionym dostępem, a w tym przed podglądem i podsłuchem.
2. W celu zapewnienia kontroli dostępu do systemu teleinformatycznego:
1) ustala
się warunki i sposób przydzielania uprawnień do pracy w systemie;
6
2) chroni się informacje i materiały umożliwiające dostęp do systemu teleinforma-
tycznego, odpowiednio do klauzuli informacji, do których dostęp umożliwiają;
3) elementy systemu teleinformatycznego, istotne dla jego bezpieczeństwa, insta-
luje się w sposób zapewniający możliwość wykrycia prób fizycznego dostępu
lub wprowadzenia nieuprawnionych zmian.
3. W systemie teleinformatycznym przetwarzającym informacje niejawne ozna-
czone klauzulą „poufne” lub wyższą wprowadza się, odpowiednio do wyników sza-
cowania ryzyka dla informacji niejawnych, środki zapobiegawcze ograniczające elek-
tromagnetyczną emisję ujawniającą pochodzącą z elementów systemu teleinforma-
tycznego, przez umieszczanie urządzeń teleinformatycznych, połączeń i
linii
w strefach kontrolowanego dostępu spełniających wymagania w zakresie tłumienno-
ści elektromagnetycznej lub stosowanie urządzeń teleinformatycznych, połączeń
i linii o obniżonym poziomie emisji lub ich ekranowanie z jednoczesnym filtrowaniem
zewnętrznych linii zasilających i sygnałowych.
4. Podczas przekazywania informacji niejawnych w formie transmisji poza stre-
fę kontrolowanego dostępu stosuje się urządzenia lub narzędzia kryptograficzne za-
pewniające poufność tych informacji, a jeśli to właściwe również integralność, nieza-
przeczalność lub autentyczność.
§ 9. Urządzenie lub narzędzie przeznaczone do ochrony informacji niejawnych,
dla którego został wydany przez ABW lub SKW certyfikat ochrony kryptograficznej
lub elektromagnetycznej, podlega ochronie do momentu jego zniszczenia. Sposób
niszczenia danego typu urządzenia lub narzędzia ustala się z ABW lub SKW.
§ 10. W systemie teleinformatycznym przetwarzającym informacje niejawne na-
leży tworzyć, zabezpieczać integralność i przechowywać rejestry zdarzeń w zakresie
niezbędnym do zapewnienia przeglądu, analizy oraz dostarczania dowodów działań
naruszających bezpieczeństwo informacji, jak również w celu rozliczania działań in-
dywidualnych użytkowników.
§ 11. System teleinformatyczny zabezpiecza się przed działaniem oprogramo-
wania złośliwego.
§ 12. 1. W celu zapewnienia dostępności zasobów, w systemie teleinformatycz-
nym wprowadza się w szczególności:
1) zasady tworzenia i przechowywania kopii zapasowych;
2) procedury
postępowania w sytuacjach kryzysowych, w tym w przypadkach awa-
rii elementów systemu;
3) monitorowanie stanu technicznego i wydajności systemu.
2. W zależności od potrzeb oraz wyników szacowania ryzyka, w celu zapew-
nienia dostępności zasobów systemu teleinformatycznego stosuje się redundancję
sprzętu i łączy komunikacyjnych oraz zasilanie awaryjne.
3. W zależności od potrzeb oraz wyników szacowania ryzyka, transmisję da-
nych w systemie teleinformatycznym chroni się przed wykryciem, przechwyceniem
lub zakłócaniem, stosując w szczególności:
1) maskowanie
ruchu;
2) zmianę parametrów transmisji.
7
§ 13. 1. W przypadku organizacji połączenia międzysystemowego uwzględnia
się zasadę ograniczonego zaufania, o której mowa w § 3 ust. 2 pkt 5.
2. Organizując połączenie międzysystemowe dla systemów teleinformatycz-
nych przetwarzających informacje niejawne o różnych klauzulach tajności, wdraża
się zabezpieczenia uniemożliwiające przekazywanie informacji o wyższej klauzuli
tajności do systemu przetwarzającego informacje o klauzuli niższej.
3. Połączenie międzysystemowe narodowych systemów teleinformatycznych
z systemami teleinformatycznymi innych państw lub organizacji międzynarodowych
musi spełniać zarówno wymagania narodowe, jak również wymagania tych państw
bądź organizacji.
§ 14. 1. Informatyczne nośniki danych przeznaczone do przekazywania lub
przechowywania informacji niejawnych obejmuje się ochroną od momentu oznacze-
nia klauzulą tajności aż do ich fizycznego zniszczenia lub zniesienia klauzuli tajności,
o którym mowa w ust. 3.
2. Informacje niejawne przekazywane poza strefę kontrolowanego dostępu na
informatycznych nośnikach danych chroni się:
1) z
wykorzystaniem urządzeń lub narzędzi kryptograficznych, odpowiednich do
klauzuli tajności przekazywanych informacji lub
2) przez spełnienie wymagań, o których mowa w przepisach w sprawie trybu
i sposobu przyjmowania, przewożenia, wydawania i ochrony materiałów, w celu
ich zabezpieczenia przed nieuprawnionym ujawnieniem, utratą, uszkodzeniem
lub zniszczeniem.
3. Przed obniżeniem lub zniesieniem klauzuli tajności informatycznego nośnika
danych przeprowadza się proces wymazywania danych z wykorzystaniem metod
i narzędzi uzgodnionych z ABW lub SKW.
4. Możliwość obniżenia lub zniesienia klauzuli tajności oraz sposób fizycznego
niszczenia informatycznych nośników danych i innych elementów systemu teleinfor-
matycznego, które mogą przechowywać informacje niejawne, uzgadnia się z ABW
lub SKW.
§ 15. System teleinformatyczny wyposaża się w mechanizmy i procedury umoż-
liwiające wykrywanie incydentów bezpieczeństwa teleinformatycznego oraz zapew-
niające niezwłoczne informowanie o tym odpowiednich osób.
Rozdział 3
Zarządzanie ryzykiem w systemie teleinformatycznym
§ 16. 1. Zarządzanie ryzykiem w systemie teleinformatycznym polega na reali-
zacji procesów:
1) szacowania
ryzyka;
2) postępowania z ryzykiem;
3) akceptacji
ryzyka;
4) komunikowania
ryzyka;
5) przeglądu i monitorowania ryzyka.
8
2. Kierownik jednostki organizacyjnej organizującej system teleinformatyczny,
odpowiada za zapewnienie ciągłości procesu zarządzania ryzykiem dla tego syste-
mu.
3. W sytuacji, gdy system teleinformatyczny jest użytkowany przez kilka nieza-
leżnych jednostek organizacyjnych, każdy kierownik jednostki organizacyjnej użytku-
jącej system teleinformatyczny, współdziała z osobą, o której mowa w ust. 2 w celu
zapewnienia ciągłości procesu zarządzania ryzykiem dla tego systemu.
§ 17. 1. Szacowanie ryzyka obejmuje:
1) analizę ryzyka, na którą składają się:
a) identyfikacja ryzyka,
b) estymacja ryzyka,
2) ocenę ryzyka.
2. W ramach identyfikacji ryzyka określa się:
1) zasoby systemu teleinformatycznego;
2) zagrożenia;
3) podatności;
4) wdrożone zabezpieczenia;
5) konsekwencje wykorzystania przez poszczególne zagrożenia odpowiadających
im podatności, a w szczególności naruszenia celów bezpieczeństwa.
3. W procesie estymacji ryzyka wyznacza się poziomy zidentyfikowanych ry-
zyk.
4. Ocena ryzyka polega na porównaniu wyznaczonych poziomów ryzyk
z przyjętymi dla systemu teleinformatycznego kryteriami w celu określenia znaczenia
poszczególnych ryzyk dla bezpieczeństwa systemu teleinformatycznego. Na pod-
stawie oceny podejmuje się decyzję co do dalszego postępowania z ryzykami.
5. Wstępne szacowanie ryzyka przeprowadza się przed podjęciem decyzji
o wprowadzeniu niezbędnych zabezpieczeń w systemie teleinformatycznym.
6. Wyniki wstępnego szacowania ryzyka, o którym mowa w ust. 5:
1) przedstawia
się w dokumentacji bezpieczeństwa systemu teleinformatycznego;
2) wykorzystuje się w procesie projektowania zabezpieczeń dla danego systemu
teleinformatycznego przeciwdziałających zidentyfikowanym zagrożeniom;
3) zachowuje
się jako podstawę do przyszłych uaktualnień.
7. Szacowanie ryzyka przeprowadza się ponownie:
1) w przypadku wprowadzania zmian w systemie teleinformatycznym;
2) po wykryciu nowych zagrożeń lub zidentyfikowaniu nowych podatności, które
nie były rozpatrywane podczas wcześniejszego szacowania ryzyka;
3) w przypadku zaistnienia poważnego incydentu bezpieczeństwa teleinforma-
tycznego;
9
1) przeznaczenie systemu teleinformatycznego;
2) maksymalną klauzulę tajności oraz ilość informacji planowanych do przetwa-
rzania w systemie;
3) tryb
bezpieczeństwa pracy systemu;
4) liczbę użytkowników;
5) rozległość i planowane obciążenie systemu;
6) planowaną lokalizację.
3. Na etapie projektowania:
1) przeprowadza się wstępne szacowanie ryzyka dla projektowanego systemu te-
leinformatycznego w celu określenia wymagań dla zabezpieczeń;
2) dokonuje się wyboru zabezpieczeń dla systemu teleinformatycznego,
z uwzględnieniem wyników wstępnego szacowania ryzyka;
3) opracowuje się dokument szczególnych wymagań bezpieczeństwa systemu te-
leinformatycznego.
4. Na etapie wdrażania:
1) pozyskuje i wdraża się urządzenia lub narzędzia realizujące zabezpieczenia
w systemie teleinformatycznym;
2) przeprowadza
się testy bezpieczeństwa systemu teleinformatycznego;
3) przeprowadza się szacowanie ryzyka dla systemu teleinformatycznego
z uwzględnieniem wprowadzonych zabezpieczeń;
4) opracowuje się dokument procedur bezpiecznej eksploatacji oraz uzupełnienia
dokument szczególnych wymagań bezpieczeństwa systemu teleinformatyczne-
go;
5) system teleinformatyczny poddaje się akredytacji bezpieczeństwa teleinforma-
tycznego.
5. Na etapie eksploatacji:
1) utrzymuje się zgodność systemu teleinformatycznego z dokumentacją bezpie-
czeństwa systemu teleinformatycznego;
2) zapewnia się ciągłość procesu zarządzania ryzykiem w systemie teleinforma-
tycznym;
3) okresowo przeprowadza się testy bezpieczeństwa w celu weryfikacji poprawno-
ści działania poszczególnych zabezpieczeń oraz usuwa stwierdzone nieprawi-
dłowości;
4) w zależności od potrzeb wprowadza się modyfikacje do systemu teleinforma-
tycznego oraz, jeśli jest to właściwe, wykonuje testy bezpieczeństwa, a także
uaktualnia dokumentację bezpieczeństwa systemu teleinformatycznego. Mody-
fikacje systemu teleinformatycznego mające wpływ na jego bezpieczeństwo
wymagają zgody podmiotu, który udzielił akredytacji bezpieczeństwa teleinfor-
matycznego oraz mogą wymagać ponownego udzielenia akredytacji bezpie-
czeństwa teleinformatycznego.
5
6. Na etapie wycofywania systemu teleinformatycznego z eksploatacji, bezpie-
czeństwo informacji niejawnych, które były przetwarzane w tym systemie, zapewnia
się poprzez właściwe zniszczenie lub archiwizację tych informacji.
§ 5. 1. System teleinformatyczny obsługiwany jest przez wyspecjalizowany per-
sonel zgodnie z procedurami zawartymi w dokumentacji bezpieczeństwa systemu
teleinformatycznego.
2. Przed dopuszczeniem osób do pracy w systemie teleinformatycznym za-
pewnia się ich przeszkolenie z zakresu bezpieczeństwa teleinformatycznego oraz
zaznajamia z procedurami bezpiecznej eksploatacji w zakresie jaki ich dotyczy.
§ 6. Inspektor bezpieczeństwa teleinformatycznego bierze udział w szacowaniu
ryzyka dla bezpieczeństwa informacji przetwarzanych w systemie teleinformatycz-
nym, a w ramach bieżącej kontroli zgodności funkcjonowania systemu teleinforma-
tycznego ze szczególnymi wymaganiami bezpieczeństwa oraz przestrzegania pro-
cedur bezpiecznej eksploatacji prowadzi kontrolę:
1) poprawności realizacji zadań przez administratora, a w szczególności właściwą
eksploatację zabezpieczeń, zarządzanie konfiguracją oraz uprawnieniami przy-
dzielanymi użytkownikom;
2) znajomości i przestrzegania przez użytkowników zasad ochrony informacji nie-
jawnych oraz procedur bezpiecznej eksploatacji w systemie teleinformatycz-
nym, w szczególności w zakresie wykorzystywania urządzeń i narzędzi służą-
cych do ochrony informacji niejawnych;
3) stanu zabezpieczeń systemu teleinformatycznego, w szczególności analizując
rejestry zdarzeń systemu teleinformatycznego.
§ 7. W ramach odpowiedzialności za funkcjonowanie systemu teleinformatycz-
nego oraz przestrzeganie zasad i wymagań bezpieczeństwa dla systemu teleinfor-
matycznego administrator w szczególności:
1) wdraża zabezpieczenia w systemie teleinformatycznym;
2) prowadzi szkolenia użytkowników systemu z zakresu jego eksploatacji oraz wy-
korzystania zabezpieczeń;
3) utrzymuje
zgodność systemu z jego dokumentacją bezpieczeństwa;
4) udziela wsparcia w procesie zarządzania ryzykiem w systemie teleinformatycz-
nym, w szczególności przez:
a) informowanie o stwierdzonych naruszeniach bezpieczeństwa,
b) informowanie o zmianach poziomu istniejących lub pojawieniu się nowych
zagrożeń bądź podatności w systemie,
c) systematyczne kontrolowanie funkcjonowania zabezpieczeń w systemie
oraz poprawności działania systemu.
§ 8. 1. Informacje niejawne przetwarzane w systemie teleinformatycznym chroni
się przed nieuprawnionym dostępem, a w tym przed podglądem i podsłuchem.
2. W celu zapewnienia kontroli dostępu do systemu teleinformatycznego:
1) ustala
się warunki i sposób przydzielania uprawnień do pracy w systemie;
6
2) chroni się informacje i materiały umożliwiające dostęp do systemu teleinforma-
tycznego, odpowiednio do klauzuli informacji, do których dostęp umożliwiają;
3) elementy systemu teleinformatycznego, istotne dla jego bezpieczeństwa, insta-
luje się w sposób zapewniający możliwość wykrycia prób fizycznego dostępu
lub wprowadzenia nieuprawnionych zmian.
3. W systemie teleinformatycznym przetwarzającym informacje niejawne ozna-
czone klauzulą „poufne” lub wyższą wprowadza się, odpowiednio do wyników sza-
cowania ryzyka dla informacji niejawnych, środki zapobiegawcze ograniczające elek-
tromagnetyczną emisję ujawniającą pochodzącą z elementów systemu teleinforma-
tycznego, przez umieszczanie urządzeń teleinformatycznych, połączeń i
linii
w strefach kontrolowanego dostępu spełniających wymagania w zakresie tłumienno-
ści elektromagnetycznej lub stosowanie urządzeń teleinformatycznych, połączeń
i linii o obniżonym poziomie emisji lub ich ekranowanie z jednoczesnym filtrowaniem
zewnętrznych linii zasilających i sygnałowych.
4. Podczas przekazywania informacji niejawnych w formie transmisji poza stre-
fę kontrolowanego dostępu stosuje się urządzenia lub narzędzia kryptograficzne za-
pewniające poufność tych informacji, a jeśli to właściwe również integralność, nieza-
przeczalność lub autentyczność.
§ 9. Urządzenie lub narzędzie przeznaczone do ochrony informacji niejawnych,
dla którego został wydany przez ABW lub SKW certyfikat ochrony kryptograficznej
lub elektromagnetycznej, podlega ochronie do momentu jego zniszczenia. Sposób
niszczenia danego typu urządzenia lub narzędzia ustala się z ABW lub SKW.
§ 10. W systemie teleinformatycznym przetwarzającym informacje niejawne na-
leży tworzyć, zabezpieczać integralność i przechowywać rejestry zdarzeń w zakresie
niezbędnym do zapewnienia przeglądu, analizy oraz dostarczania dowodów działań
naruszających bezpieczeństwo informacji, jak również w celu rozliczania działań in-
dywidualnych użytkowników.
§ 11. System teleinformatyczny zabezpiecza się przed działaniem oprogramo-
wania złośliwego.
§ 12. 1. W celu zapewnienia dostępności zasobów, w systemie teleinformatycz-
nym wprowadza się w szczególności:
1) zasady tworzenia i przechowywania kopii zapasowych;
2) procedury
postępowania w sytuacjach kryzysowych, w tym w przypadkach awa-
rii elementów systemu;
3) monitorowanie stanu technicznego i wydajności systemu.
2. W zależności od potrzeb oraz wyników szacowania ryzyka, w celu zapew-
nienia dostępności zasobów systemu teleinformatycznego stosuje się redundancję
sprzętu i łączy komunikacyjnych oraz zasilanie awaryjne.
3. W zależności od potrzeb oraz wyników szacowania ryzyka, transmisję da-
nych w systemie teleinformatycznym chroni się przed wykryciem, przechwyceniem
lub zakłócaniem, stosując w szczególności:
1) maskowanie
ruchu;
2) zmianę parametrów transmisji.
7
§ 13. 1. W przypadku organizacji połączenia międzysystemowego uwzględnia
się zasadę ograniczonego zaufania, o której mowa w § 3 ust. 2 pkt 5.
2. Organizując połączenie międzysystemowe dla systemów teleinformatycz-
nych przetwarzających informacje niejawne o różnych klauzulach tajności, wdraża
się zabezpieczenia uniemożliwiające przekazywanie informacji o wyższej klauzuli
tajności do systemu przetwarzającego informacje o klauzuli niższej.
3. Połączenie międzysystemowe narodowych systemów teleinformatycznych
z systemami teleinformatycznymi innych państw lub organizacji międzynarodowych
musi spełniać zarówno wymagania narodowe, jak również wymagania tych państw
bądź organizacji.
§ 14. 1. Informatyczne nośniki danych przeznaczone do przekazywania lub
przechowywania informacji niejawnych obejmuje się ochroną od momentu oznacze-
nia klauzulą tajności aż do ich fizycznego zniszczenia lub zniesienia klauzuli tajności,
o którym mowa w ust. 3.
2. Informacje niejawne przekazywane poza strefę kontrolowanego dostępu na
informatycznych nośnikach danych chroni się:
1) z
wykorzystaniem urządzeń lub narzędzi kryptograficznych, odpowiednich do
klauzuli tajności przekazywanych informacji lub
2) przez spełnienie wymagań, o których mowa w przepisach w sprawie trybu
i sposobu przyjmowania, przewożenia, wydawania i ochrony materiałów, w celu
ich zabezpieczenia przed nieuprawnionym ujawnieniem, utratą, uszkodzeniem
lub zniszczeniem.
3. Przed obniżeniem lub zniesieniem klauzuli tajności informatycznego nośnika
danych przeprowadza się proces wymazywania danych z wykorzystaniem metod
i narzędzi uzgodnionych z ABW lub SKW.
4. Możliwość obniżenia lub zniesienia klauzuli tajności oraz sposób fizycznego
niszczenia informatycznych nośników danych i innych elementów systemu teleinfor-
matycznego, które mogą przechowywać informacje niejawne, uzgadnia się z ABW
lub SKW.
§ 15. System teleinformatyczny wyposaża się w mechanizmy i procedury umoż-
liwiające wykrywanie incydentów bezpieczeństwa teleinformatycznego oraz zapew-
niające niezwłoczne informowanie o tym odpowiednich osób.
Rozdział 3
Zarządzanie ryzykiem w systemie teleinformatycznym
§ 16. 1. Zarządzanie ryzykiem w systemie teleinformatycznym polega na reali-
zacji procesów:
1) szacowania
ryzyka;
2) postępowania z ryzykiem;
3) akceptacji
ryzyka;
4) komunikowania
ryzyka;
5) przeglądu i monitorowania ryzyka.
8
2. Kierownik jednostki organizacyjnej organizującej system teleinformatyczny,
odpowiada za zapewnienie ciągłości procesu zarządzania ryzykiem dla tego syste-
mu.
3. W sytuacji, gdy system teleinformatyczny jest użytkowany przez kilka nieza-
leżnych jednostek organizacyjnych, każdy kierownik jednostki organizacyjnej użytku-
jącej system teleinformatyczny, współdziała z osobą, o której mowa w ust. 2 w celu
zapewnienia ciągłości procesu zarządzania ryzykiem dla tego systemu.
§ 17. 1. Szacowanie ryzyka obejmuje:
1) analizę ryzyka, na którą składają się:
a) identyfikacja ryzyka,
b) estymacja ryzyka,
2) ocenę ryzyka.
2. W ramach identyfikacji ryzyka określa się:
1) zasoby systemu teleinformatycznego;
2) zagrożenia;
3) podatności;
4) wdrożone zabezpieczenia;
5) konsekwencje wykorzystania przez poszczególne zagrożenia odpowiadających
im podatności, a w szczególności naruszenia celów bezpieczeństwa.
3. W procesie estymacji ryzyka wyznacza się poziomy zidentyfikowanych ry-
zyk.
4. Ocena ryzyka polega na porównaniu wyznaczonych poziomów ryzyk
z przyjętymi dla systemu teleinformatycznego kryteriami w celu określenia znaczenia
poszczególnych ryzyk dla bezpieczeństwa systemu teleinformatycznego. Na pod-
stawie oceny podejmuje się decyzję co do dalszego postępowania z ryzykami.
5. Wstępne szacowanie ryzyka przeprowadza się przed podjęciem decyzji
o wprowadzeniu niezbędnych zabezpieczeń w systemie teleinformatycznym.
6. Wyniki wstępnego szacowania ryzyka, o którym mowa w ust. 5:
1) przedstawia
się w dokumentacji bezpieczeństwa systemu teleinformatycznego;
2) wykorzystuje się w procesie projektowania zabezpieczeń dla danego systemu
teleinformatycznego przeciwdziałających zidentyfikowanym zagrożeniom;
3) zachowuje
się jako podstawę do przyszłych uaktualnień.
7. Szacowanie ryzyka przeprowadza się ponownie:
1) w przypadku wprowadzania zmian w systemie teleinformatycznym;
2) po wykryciu nowych zagrożeń lub zidentyfikowaniu nowych podatności, które
nie były rozpatrywane podczas wcześniejszego szacowania ryzyka;
3) w przypadku zaistnienia poważnego incydentu bezpieczeństwa teleinforma-
tycznego;
9
Projekty ustaw
![Ceny mieszkań nieznacznie spadły, ale to rata kredytu zaskoczyła [© Freepik]](https://s3.egospodarka.pl/grafika2/rynek-mieszkaniowy/Ceny-mieszkan-nieznacznie-spadly-ale-to-rata-kredytu-zaskoczyla-267988-50x33crop.jpg "Ceny mieszkań nieznacznie spadły, ale to rata kredytu zaskoczyła [© Freepik]")
Ceny mieszkań nieznacznie spadły, ale to rata kredytu zaskoczyła
