Art. 48. 1. Systemy teleinformatyczne, w których mają być przetwarzane
informacje niejawne, podlegają akredytacji bezpieczeństwa teleinformatycznego.
2. Akredytacji, o której mowa w ust. 1, udziela się na czas określony, nie dłuższy
niż 5 lat.
3. ABW albo SKW udziela akredytacji bezpieczeństwa teleinformatycznego dla
systemu teleinformatycznego przeznaczonego do przetwarzania informacji
niejawnych o klauzuli „poufne” lub wyższej.
4. ABW albo SKW udziela albo odmawia udzielenia akredytacji, o której mowa
w ust. 3, w terminie 6 miesięcy od otrzymania kompletnej dokumentacji bezpieczeństwa systemu teleinformatycznego. W uzasadnionych przypadkach, w szczególności wynikających z rozległości systemu i stopnia jego skomplikowania,
termin ten może być przedłużony o kolejne 6 miesięcy. Od odmowy udzielenia
akredytacji nie służy odwołanie.
5. Potwierdzeniem udzielenia przez ABW albo SKW akredytacji, o której mowa
w ust. 3, jest świadectwo akredytacji bezpieczeństwa systemu teleinformatycznego.
6. Świadectwo, o którym mowa w ust. 5, wydaje się na podstawie:
1) zatwierdzonej przez ABW albo SKW dokumentacji bezpieczeństwa systemu teleinformatycznego;
2) wyników audytu bezpieczeństwa systemu teleinformatycznego
przeprowadzonego przez ABW albo SKW.
7. Świadectwo, o którym mowa w ust. 5, powinno zawierać:
1) oznaczenie organu;
2) datę wydania;
3) oznaczenie podmiotu występującego z wnioskiem o jego wydanie;
4) oznaczenie przedmiotu podlegającego akredytacji bezpieczeństwa systemu
teleinformatycznego;
5) powołanie podstawy prawnej;
6) rozstrzygnięcie oraz uzasadnienie faktyczne i prawne;
7) wskazanie okresu ważności świadectwa;
8) podpis, z podaniem imienia i nazwiska oraz stanowiska osoby upoważnionej do jego wydania.
8. ABW albo SKW może odstąpić od przeprowadzenia audytu bezpieczeństwa
systemu teleinformatycznego, o którym mowa w ust. 6 pkt 2, jeżeli system jest
przeznaczony do przetwarzania informacji niejawnych o klauzuli „poufne”.
9. Kierownik jednostki organizacyjnej udziela akredytacji bezpieczeństwa
teleinformatycznego dla systemu teleinformatycznego przeznaczonego do
przetwarzania informacji niejawnych o klauzuli „zastrzeżone” przez zatwierdzenie
dokumentacji bezpieczeństwa systemu teleinformatycznego.
10. W przypadku gdy system, o którym mowa w ust. 9, będzie funkcjonował
w więcej niż jednej jednostce organizacyjnej, akredytacji, o której mowa w ust. 9,
udziela kierownik jednostki organizującej system.
11. W ciągu 30 dni od udzielenia akredytacji bezpieczeństwa
teleinformatycznego, o której mowa w ust. 9, kierownik jednostki organizacyjnej przekazuje odpowiednio ABW lub SKW dokumentację bezpieczeństwa systemu teleinformatycznego.
12. W ciągu 30 dni od otrzymania dokumentacji bezpieczeństwa systemu
teleinformatycznego ABW albo SKW może przedstawić kierownikowi jednostki
organizacyjnej, który udzielił akredytacji bezpieczeństwa teleinformatycznego,
zalecenia dotyczące konieczności przeprowadzenia dodatkowych czynności
związanych z bezpieczeństwem informacji niejawnych. Kierownik jednostki
organizacyjnej w terminie 30 dni od otrzymania zalecenia informuje odpowiednio
ABW lub SKW o realizacji zaleceń. W szczególnie uzasadnionych przypadkach ABW
albo SKW może nakazać wstrzymanie przetwarzania informacji niejawnych
w systemie teleinformatycznym posiadającym akredytację bezpieczeństwa teleinformatycznego.
13. Prezes Rady Ministrów określi, w drodze rozporządzenia, wzór świadectwa
akredytacji bezpieczeństwa systemu teleinformatycznego.
14. W rozporządzeniu, o którym mowa w ust. 13, Prezes Rady Ministrów
uwzględni we wzorze świadectwa zakres danych określonych w ust. 7 oraz zapewni
zróżnicowanie wzorów świadectw wydawanych przez ABW oraz SKW.

Ustawa o ochronie informacji niejawnych art. 48

DODAJ