Ilekroć w rozporządzeniu jest mowa o:
1) dopuszczeniu rozwiązania informatycznego – należy przez to rozumieć formalne potwierdzenie realizacji wymogów określonych w rozporządzeniu w odniesieniu do rozwiązania informatycznego;
2) dostępności – należy przez to rozumieć właściwość zasobu określającą możliwość jego wykorzystania na żądanie, w założonym czasie, przez uprawniony podmiot;
3) gestorze rozwiązania informatycznego – należy przez to rozumieć jednostkę lub komórkę organizacyjną odpowie- dzialną za realizację czynności związanych z oceną rozwiązania informatycznego planowanego do przetwarzania informacji niejawnych;
4) głównym użytkowniku – należy przez to rozumieć kierownika jednostki organizacyjnej, w której jest eksploatowane rozwiązanie informatyczne podlegające dopuszczeniu;
5) incydencie – należy przez to rozumieć incydent w rozumieniu art. 2 pkt 5 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2022 r. poz. 1863);
6) integralności – należy przez to rozumieć właściwość zasobu określającą, że nie został on zmodyfikowany w sposób nieuprawniony;
7) komponencie rozwiązania informatycznego – należy przez to rozumieć część rozwiązania informatycznego realizu- jącą daną funkcjonalność w jego obrębie;
8) podatności – należy przez to rozumieć słabość zasobu lub zabezpieczenia, która może zostać wykorzystana przez zagrożenie;
9) poufności – należy przez to rozumieć właściwość określającą, że informacja nie jest udostępniana lub ujawniana nieuprawnionym do tego podmiotom;
10) przekazywaniu informacji – należy przez to rozumieć zarówno przekazywanie informacji na informatycznych nośni- kach danych, na których zostały utrwalone, jak i w formie teletransmisji;
11) rozwiązaniu informatycznym – należy przez to rozumieć rozwiązanie informatyczne, o którym mowa w art. 2 pkt 19 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych, zwanej dalej „ustawą”;
12) ryzyku – należy przez to rozumieć ryzyko w rozumieniu art. 2 pkt 12 ustawy z dnia 5 lipca 2018 r. o krajowym sys- temie cyberbezpieczeństwa; Dziennik Ustaw –2– Poz. 2098
13) SKW – należy przez to rozumieć Służbę Kontrwywiadu Wojskowego;
14) testach bezpieczeństwa – należy przez to rozumieć testy mające na celu weryfikację poprawności i skuteczności funkcjonowania zabezpieczeń, ustalenie ich aktualnego stanu oraz rekomendowanie skutecznych rozwiązań służą- cych zapewnieniu odporności rozwiązania informatycznego oraz współpracujących z nim systemów teleinforma- tycznych na zagrożenia, w skład których wchodzą testy weryfikacyjne, podatnościowe oraz penetracyjne;
15) testach penetracyjnych – należy przez to rozumieć element testów bezpieczeństwa obejmujący zaplanowanie i prze- prowadzenie kontrolowanego ataku mającego na celu praktyczną weryfikację poprawności i skuteczności funkcjo- nowania procedur i zabezpieczeń oraz opracowanie rekomendacji dotyczących skutecznych rozwiązań, które zwięk- szają poziom odporności rozwiązania informatycznego oraz współpracujących z nim systemów teleinformatycznych na zagrożenia;
16) testach podatnościowych – należy przez to rozumieć element testów bezpieczeństwa umożliwiający:
a) identyfikację oraz ocenę wagi podatnych na zagrożenia słabych punktów w rozwiązaniu informatycznym oraz interfejsach współpracujących z nim systemów teleinformatycznych, w tym w wykorzystywanych w nich roz- wiązaniach sprzętowych, programowych, infrastrukturalnych oraz organizacyjnych,
b) dostarczanie gestorowi rozwiązania informatycznego informacji o rzeczywistych podatnościach zasobów nie- zbędnych do prawidłowego projektowania, wdrażania i optymalizacji jego zabezpieczeń, przy uwzględnieniu wyników szacowania ryzyka;
17) testach weryfikacyjnych – należy przez to rozumieć element testów bezpieczeństwa mający na celu weryfikację poprawności implementacji zabezpieczeń w rozwiązaniu informatycznym oraz w interfejsach współpracujących z nim systemów teleinformatycznych;
18) zabezpieczeniu – należy przez to rozumieć środki o charakterze fizycznym, technicznym lub proceduralnym zmniej- szające ryzyko;
19) zagrożeniu – należy przez to rozumieć potencjalną przyczynę niepożądanego zdarzenia, które może wywołać szkodę w rozwiązaniu informatycznym oraz we współpracujących z nim systemach teleinformatycznych.