§ 15. - Tryb oceny i sposób dopuszczania rozwiązań informatycznych, w których mają być przetwarzane informacje niejawne.

Dziennik Ustaw

Dz.U.2022.2098

Akt obowiązujący

Wersja od: 14 października 2022 r.

§ 15.

W zakresie czynności realizowanych w ramach trybu oceny rozwiązania informatycznego przeznaczonego do przetwarzania informacji niejawnych gestor rozwiązania informatycznego, na etapie planowania, projektowania i pozyskania rozwiązania informatycznego:

analizuje kierunki zastosowania rozwiązania informatycznego w Siłach Zbrojnych Rzeczypospolitej Polskiej, w tym w czasie wojny, w razie ogłoszenia stanu nadzwyczajnego, mobilizacji lub sytuacji kryzysowej;

analizuje funkcjonalności zabezpieczeń dostarczanych przez dane rozwiązanie informatyczne, które mogą zostać zastosowane do zabezpieczenia poufności, integralności i dostępności informacji niejawnych;

przeprowadza proces wstępnego szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych z zastosowaniem rozwiązania informatycznego;

projektuje zbiór dodatkowych zabezpieczeń, z uwzględnieniem wymogów określonych w § 5 ust. 2 i 3 oraz z uwzględnieniem wyników realizacji czynności, o których mowa w pkt 1-3;

współpracuje z instytucjami odpowiedzialnymi za pozyskanie i wprowadzenie na wyposażenie Sił Zbrojnych Rzeczypospolitej Polskiej "SpW" zawierającego rozwiązania informatyczne lub ich komponenty;

współpracuje z eksperckimi jednostkami wspierającymi, o których mowa w § 14 pkt 1.

Na etapie, o którym mowa w ust. 1, gestor rozwiązania informatycznego może opracować i uzgodnić z SKW plan dopuszczenia rozwiązania informatycznego. Plan ten obejmuje zakres i harmonogram przedsięwzięć wymaganych do uzyskania dopuszczenia rozwiązania informatycznego do przetwarzania informacji niejawnych. Opracowanie planu możliwe jest w przypadkach rozpatrywania szczególnie skomplikowanych rozwiązań informatycznych.

Na etapie wdrażania rozwiązania informatycznego gestor rozwiązania informatycznego odpowiada za:

analizę funkcjonalności dodatkowych zabezpieczeń zastosowanych do wzmocnienia poziomu ochrony dostarczanych przez dane rozwiązanie informatyczne, które mogą zostać zastosowane do zabezpieczenia poufności, integralności i dostępności przetwarzanych informacji niejawnych;

przeprowadzenie procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych z zastosowaniem rozwiązania informatycznego, z uwzględnieniem przepisów ustawy;

opracowanie procedur wymiany informacji oraz stosowanie dodatkowych zabezpieczeń na styku z systemami teleinformatycznymi, z uwzględnieniem postanowień, o których mowa w § 10;

zaplanowanie i przeprowadzenie testów bezpieczeństwa we współpracy z Dowódcą Komponentu Wojsk Obrony Cyberprzestrzeni;

opracowanie dokumentu "Wymagania ochrony informacji niejawnych" dla danego rozwiązania informatycznego;

współpracę z eksperckimi jednostkami wspierającymi, o których mowa w § 14 pkt 1;

uzgodnienie dokumentu "Wymagania ochrony informacji niejawnych" z właściwym pełnomocnikiem do spraw ochrony informacji niejawnych oraz Dowódcą Komponentu Wojsk Obrony Cyberprzestrzeni.

Na etapie eksploatacji rozwiązania informatycznego gestor rozwiązania informatycznego odpowiada za:

nadzór nad utrzymywaniem zgodności eksploatacji rozwiązania informatycznego z dokumentem "Wymagania ochrony informacji niejawnych";

prowadzenie szkoleń w zakresie eksploatacji rozwiązania informatycznego zgodnie z dokumentem "Wymagania ochrony informacji niejawnych";

bieżące monitorowanie podatności, zagrożeń, poziomu ryzyka, oraz w miarę potrzeb wprowadzanie adekwatnych zmian w dokumencie "Wymagania ochrony informacji niejawnych";

konsultowanie, w przypadku dostrzeżenia takiej potrzeby, planowanych do wprowadzenia zmian z właściwym pełnomocnikiem do spraw ochrony informacji niejawnych lub Dowódcą Komponentu Wojsk Obrony Cyberprzestrzeni.

Na etapie wycofywania rozwiązania informatycznego gestor rozwiązania informatycznego odpowiada za koordynowanie przedsięwzięć związanych z wycofaniem z wyposażenia Sił Zbrojnych Rzeczypospolitej Polskiej rozwiązania informatycznego.