Określenie rodzajów testów bezpieczeństwa dokonywanych w ramach oceny bezpieczeństwa systemów teleinformatycznych.

Dzienniki resortowe

Dz.Urz.ABW.2016.28

Akt obowiązujący
Wersja od: 21 lipca 2016 r.

ZARZĄDZENIE Nr 65
SZEFA AGENCJI BEZPIECZEŃSTWA WEWNĘTRZNEGO
z dnia 21 lipca 2016 r.
w sprawie określenia rodzajów testów bezpieczeństwa dokonywanych w ramach oceny bezpieczeństwa systemów teleinformatycznych

Na podstawie art. 32a ust. 12 ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu (Dz. U. z 2015 r. poz. 1929 z późn. zm.) zarządza się, co następuje:
§  1.
Zarządzenie określa rodzaje testów bezpieczeństwa wykonywanych w ramach oceny bezpieczeństwa systemów teleinformatycznych, o której mowa w art. 32a ust. 1 ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu, zwanej dalej "ustawą".
§  2.
Użyte w zarządzeniu określenia oznaczają:
1)
ocena bezpieczeństwa - ocena, o której mowa w art. 32a ust. 1 ustawy;
2)
system - systemy teleinformatyczne, sieci teleinformatyczne i dane, o których mowa w art. 32a ust. 1 ustawy, podlegające ocenie bezpieczeństwa;
3)
podmiot zarządzający systemem - podmiot, o którym mowa w art. 32a ust. 3 ustawy;
4)
środowisko produkcyjne - środowisko, w którym działa system podlegający ocenie bezpieczeństwa;
5)
środowisko testowe - odizolowane od środowiska produkcyjnego środowisko zawierające elementy środowiska produkcyjnego lub będące kopią środowiska produkcyjnego podlegające ocenie bezpieczeństwa.
§  3.
W ramach oceny bezpieczeństwa Agencja Bezpieczeństwa Wewnętrznego może przeprowadzać testy bezpieczeństwa, określone następującymi parametrami:
1)
w zależności od wykorzystywanej infrastruktury do przeprowadzenia oceny bezpieczeństwa:
a)
testy zewnętrzne z sieci Internet,
b)
testy wewnętrzne w sieci lokalnej podmiotu zarządzającego systemem;
2)
w zależności od środowiska, w którym przeprowadzana jest ocena bezpieczeństwa:
a)
środowisko testowe,
b)
środowisko produkcyjne systemu;
3)
w zależności od wiedzy na temat badanego systemu posiadanej przez przeprowadzającego testy:
a)
nie dysponuje żadną wiedzą o systemie podlegającym ocenie,
b)
dysponuje wiedzą o systemie podlegającym ocenie.
§  4.
Określenie rodzaju przeprowadzanego testu wykonywanego w ramach oceny bezpieczeństwa, wymaga wskazania każdego z parametrów, o których mowa w § 3.
§  5.
Zarządzenie wchodzi w życie z dniem następującym po dniu ogłoszenia.
Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .