§ 2. - Tryb oceny i sposób dopuszczania rozwiązań informatycznych, w których mają być przetwarzane informacje niejawne.

Dziennik Ustaw

Dz.U.2022.2098

Akt obowiązujący
Wersja od: 14 października 2022 r.
§  2. 
Ilekroć w rozporządzeniu jest mowa o:
1)
dopuszczeniu rozwiązania informatycznego - należy przez to rozumieć formalne potwierdzenie realizacji wymogów określonych w rozporządzeniu w odniesieniu do rozwiązania informatycznego;
2)
dostępności - należy przez to rozumieć właściwość zasobu określającą możliwość jego wykorzystania na żądanie, w założonym czasie, przez uprawniony podmiot;
3)
gestorze rozwiązania informatycznego - należy przez to rozumieć jednostkę lub komórkę organizacyjną odpowiedzialną za realizację czynności związanych z oceną rozwiązania informatycznego planowanego do przetwarzania informacji niejawnych;
4)
głównym użytkowniku - należy przez to rozumieć kierownika jednostki organizacyjnej, w której jest eksploatowane rozwiązanie informatyczne podlegające dopuszczeniu;
5)
incydencie - należy przez to rozumieć incydent w rozumieniu art. 2 pkt 5 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2022 r. poz. 1863);
6)
integralności - należy przez to rozumieć właściwość zasobu określającą, że nie został on zmodyfikowany w sposób nieuprawniony;
7)
komponencie rozwiązania informatycznego - należy przez to rozumieć część rozwiązania informatycznego realizującą daną funkcjonalność w jego obrębie;
8)
podatności - należy przez to rozumieć słabość zasobu lub zabezpieczenia, która może zostać wykorzystana przez zagrożenie;
9)
poufności - należy przez to rozumieć właściwość określającą, że informacja nie jest udostępniana lub ujawniana nieuprawnionym do tego podmiotom;
10)
przekazywaniu informacji - należy przez to rozumieć zarówno przekazywanie informacji na informatycznych nośnikach danych, na których zostały utrwalone, jak i w formie teletransmisji;
11)
rozwiązaniu informatycznym - należy przez to rozumieć rozwiązanie informatyczne, o którym mowa w art. 2 pkt 19 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych, zwanej dalej "ustawą";
12)
ryzyku - należy przez to rozumieć ryzyko w rozumieniu art. 2 pkt 12 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa;
13)
SKW - należy przez to rozumieć Służbę Kontrwywiadu Wojskowego;
14)
testach bezpieczeństwa - należy przez to rozumieć testy mające na celu weryfikację poprawności i skuteczności funkcjonowania zabezpieczeń, ustalenie ich aktualnego stanu oraz rekomendowanie skutecznych rozwiązań służących zapewnieniu odporności rozwiązania informatycznego oraz współpracujących z nim systemów teleinformatycznych na zagrożenia, w skład których wchodzą testy weryfikacyjne, podatnościowe oraz penetracyjne;
15)
testach penetracyjnych - należy przez to rozumieć element testów bezpieczeństwa obejmujący zaplanowanie i przeprowadzenie kontrolowanego ataku mającego na celu praktyczną weryfikację poprawności i skuteczności funkcjonowania procedur i zabezpieczeń oraz opracowanie rekomendacji dotyczących skutecznych rozwiązań, które zwiększają poziom odporności rozwiązania informatycznego oraz współpracujących z nim systemów teleinformatycznych na zagrożenia;
16)
testach podatnościowych - należy przez to rozumieć element testów bezpieczeństwa umożliwiający:
a)
identyfikację oraz ocenę wagi podatnych na zagrożenia słabych punktów w rozwiązaniu informatycznym oraz interfejsach współpracujących z nim systemów teleinformatycznych, w tym w wykorzystywanych w nich rozwiązaniach sprzętowych, programowych, infrastrukturalnych oraz organizacyjnych,
b)
dostarczanie gestorowi rozwiązania informatycznego informacji o rzeczywistych podatnościach zasobów niezbędnych do prawidłowego projektowania, wdrażania i optymalizacji jego zabezpieczeń, przy uwzględnieniu wyników szacowania ryzyka;
17)
testach weryfikacyjnych - należy przez to rozumieć element testów bezpieczeństwa mający na celu weryfikację poprawności implementacji zabezpieczeń w rozwiązaniu informatycznym oraz w interfejsach współpracujących z nim systemów teleinformatycznych;
18)
zabezpieczeniu - należy przez to rozumieć środki o charakterze fizycznym, technicznym lub proceduralnym zmniejszające ryzyko;
19)
zagrożeniu - należy przez to rozumieć potencjalną przyczynę niepożądanego zdarzenia, które może wywołać szkodę w rozwiązaniu informatycznym oraz we współpracujących z nim systemach teleinformatycznych.