Art. 49. 1. Dokument szczególnych wymagań bezpieczeństwa systemu
teleinformatycznego powinien zawierać w szczególności wyniki procesu szacowania
ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych w systemie
teleinformatycznym oraz określać przyjęte w ramach zarządzania ryzykiem sposoby
osiągania i utrzymywania odpowiedniego poziomu bezpieczeństwa systemu, a także
opisywać aspekty jego budowy, zasady działania i eksploatacji, które mają związek
z bezpieczeństwem systemu lub wpływają na jego bezpieczeństwo. Przebieg i wyniki
procesu szacowania ryzyka mogą zostać przedstawione w odrębnym dokumencie niż
dokument szczególnych wymagań bezpieczeństwa.
2. Dokument szczególnych wymagań bezpieczeństwa opracowuje się na etapie
projektowania, w razie potrzeby konsultuje z ABW albo SKW, bieżąco uzupełnia na
etapie wdrażania i modyfikuje na etapie eksploatacji przed dokonaniem zmian
w systemie teleinformatycznym.
3. Dokument procedur bezpiecznej eksploatacji opracowuje się na etapie
wdrażania oraz modyfikuje na etapie eksploatacji przed dokonaniem zmian
w systemie teleinformatycznym.
4. Podstawą dokonywania wszelkich zmian w systemie teleinformatycznym jest
przeprowadzenie procesu szacowania ryzyka dla bezpieczeństwa informacji
niejawnych przetwarzanych w tym systemie.
5. Kierownik jednostki organizacyjnej, w której będzie funkcjonował system
teleinformatyczny, odpowiada za opracowanie oraz przekazanie odpowiednio ABW
lub SKW dokumentacji bezpieczeństwa systemu teleinformatycznego,
z zastrzeżeniem art. 48 ust. 9.
6. W przypadku gdy system teleinformatyczny będzie funkcjonował w więcej
niż jednej jednostce organizacyjnej, za opracowanie oraz przekazanie odpowiednio
ABW lub SKW dokumentacji bezpieczeństwa systemu teleinformatycznego
odpowiada kierownik jednostki organizującej system.
7. Kierownik jednostki organizacyjnej akceptuje wyniki procesu szacowania
ryzyka dla bezpieczeństwa informacji niejawnych oraz jest odpowiedzialny za
właściwą organizację bezpieczeństwa teleinformatycznego.
8. W terminie 30 dni od otrzymania dokumentacji bezpieczeństwa systemu
teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych
o klauzuli „poufne” lub wyższej ABW albo SKW przeprowadza na jej podstawie
ocenę bezpieczeństwa tego systemu. Pozytywny wynik oceny stanowi podstawę do
zatwierdzenia przez ABW albo SKW dokumentacji bezpieczeństwa systemu
teleinformatycznego. W uzasadnionych przypadkach, w szczególności wynikających
ze stopnia skomplikowania systemu, termin przeprowadzenia oceny może być
przedłużony o kolejne 30 dni.
9. Prezes Rady Ministrów określi, w drodze rozporządzenia, podstawowe
wymagania bezpieczeństwa teleinformatycznego, jakim powinny odpowiadać
systemy teleinformatyczne, niezbędne dane, jakie powinna zawierać dokumentacja
bezpieczeństwa systemów informatycznych oraz sposób opracowania tej dokumentacji.
10. W rozporządzeniu, o którym mowa w ust. 9, Prezes Rady Ministrów
uwzględni w szczególności wymagania w zakresie zarządzania ryzykiem oraz
dotyczące zapewnienia poufności, integralności i dostępności informacji niejawnych
przetwarzanych w systemach teleinformatycznych.

Ustawa o ochronie informacji niejawnych art. 49

DODAJ