§ 5. - Tryb oceny i sposób dopuszczania rozwiązań informatycznych, w których mają być przetwarzane informacje niejawne.
Dziennik Ustaw
Dz.U.2022.2098
Akt obowiązujący Wersja od: 14 października 2022 r.
§ 5.
1.
Rozwiązania informatyczne ocenia się w zakresie wdrożenia spójnego zbioru zabezpieczeń służących zapewnieniu zachowania bezpieczeństwa informacji niejawnych przetwarzanych przy ich zastosowaniu, na podstawie właściwego doboru w danym rozwiązaniu informatycznym metod realizacji następujących celów bezpieczeństwa:1)
poufności informacji niejawnych;2)
integralności informacji niejawnych;3)
dostępności informacji niejawnych.2.
Realizując cele bezpieczeństwa:1)
wdraża się spójny zbiór zabezpieczeń w zakresie bezpieczeństwa osobowego, bezpieczeństwa fizycznego, bezpieczeństwa informatycznego, a także odpowiednie procedury związane z wykorzystywaniem rozwiązań informatycznych do określonych zastosowań;2)
ogranicza się zakres obszarów zastosowania rozwiązań informatycznych z uwzględnieniem sposobu i przypadków ich użycia;3)
ogranicza się dostęp do wykorzystania rozwiązań informatycznych tylko przez podmioty uprawnione w zakresie wynikającym z ich zadań oraz wyłącznie w zakresie niezbędnym do ich realizacji;4)
stosuje się wielopoziomową ochronę, polegającą na stosowaniu zabezpieczeń na różnych poziomach, w celu ograniczenia występowania przypadków, w których przełamanie pojedynczego zabezpieczenia skutkuje przełamaniem pozostałych;5)
wdraża się procedury wymiany informacji niejawnych z systemami teleinformatycznymi;6)
zapewnia się sprawowanie nadzoru nad poprawną eksploatacją rozwiązania informatycznego zgodnie z warunkami jego dopuszczenia.3.
Projektując zbiór zabezpieczeń, o których mowa w ust. 2, stosuje się, w zależności od możliwości technicznych oraz poziomu ryzyka ujawnienia, utraty lub naruszenia integralności informacji niejawnych, odpowiednio do zadań realizowanych przy wykorzystywaniu rozwiązań informatycznych:1)
zabezpieczenia realizujące kontrolę dostępu do zasobów rozwiązań informatycznych, w szczególności zapewnienie ochrony fizycznej ich komponentów;2)
warunki i sposób przydziału uprawnień do eksploatacji rozwiązań informatycznych;3)
procedury postępowania związane z wykorzystywaniem rozwiązań informatycznych, w tym w czasie wojny, w razie ogłoszenia stanu nadzwyczajnego, mobilizacji lub sytuacji kryzysowej;4)
środki zapewniające ochronę transmisji danych przed wykryciem, przechwyceniem lub zakłóceniem;5)
środki zapewniające ochronę elektromagnetyczną;6)
mechanizmy lub procedury dotyczące reagowania na incydenty;7)
inne niezbędne procedury i mechanizmy zabezpieczania informacji niejawnych przetwarzanych w ramach rozwiązania informatycznego.4.
Działania, o których mowa w ust. 3, opisuje się szczegółowo w dokumencie "Wymagania ochrony informacji niejawnych" opracowywanym dla danego rozwiązania informatycznego.