1. Rozwiązania informatyczne ocenia się w zakresie wdrożenia spójnego zbioru zabezpieczeń służących zapew- nieniu zachowania bezpieczeństwa informacji niejawnych przetwarzanych przy ich zastosowaniu, na podstawie właści- wego doboru w danym rozwiązaniu informatycznym metod realizacji następujących celów bezpieczeństwa:
1) poufności informacji niejawnych;
2) integralności informacji niejawnych;
3) dostępności informacji niejawnych. 2. Realizując cele bezpieczeństwa:
1) wdraża się spójny zbiór zabezpieczeń w zakresie bezpieczeństwa osobowego, bezpieczeństwa fizycznego, bezpie- czeństwa informatycznego, a także odpowiednie procedury związane z wykorzystywaniem rozwiązań informatycz- nych do określonych zastosowań;
2) ogranicza się zakres obszarów zastosowania rozwiązań informatycznych z uwzględnieniem sposobu i przypadków ich użycia;
3) ogranicza się dostęp do wykorzystania rozwiązań informatycznych tylko przez podmioty uprawnione w zakresie wynikającym z ich zadań oraz wyłącznie w zakresie niezbędnym do ich realizacji;
4) stosuje się wielopoziomową ochronę, polegającą na stosowaniu zabezpieczeń na różnych poziomach, w celu ograniczenia występowania przypadków, w których przełamanie pojedynczego zabezpieczenia skutkuje przełamaniem pozostałych;
5) wdraża się procedury wymiany informacji niejawnych z systemami teleinformatycznymi;
6) zapewnia się sprawowanie nadzoru nad poprawną eksploatacją rozwiązania informatycznego zgodnie z warunkami jego dopuszczenia. Dziennik Ustaw –3– Poz. 2098 3. Projektując zbiór zabezpieczeń, o których mowa w ust. 2, stosuje się, w zależności od możliwości technicznych oraz poziomu ryzyka ujawnienia, utraty lub naruszenia integralności informacji niejawnych, odpowiednio do zadań reali- zowanych przy wykorzystywaniu rozwiązań informatycznych:
1) zabezpieczenia realizujące kontrolę dostępu do zasobów rozwiązań informatycznych, w szczególności zapewnienie ochrony fizycznej ich komponentów;
2) warunki i sposób przydziału uprawnień do eksploatacji rozwiązań informatycznych;
3) procedury postępowania związane z wykorzystywaniem rozwiązań informatycznych, w tym w czasie wojny, w razie ogłoszenia stanu nadzwyczajnego, mobilizacji lub sytuacji kryzysowej;
4) środki zapewniające ochronę transmisji danych przed wykryciem, przechwyceniem lub zakłóceniem;
5) środki zapewniające ochronę elektromagnetyczną;
6) mechanizmy lub procedury dotyczące reagowania na incydenty;
7) inne niezbędne procedury i mechanizmy zabezpieczania informacji niejawnych przetwarzanych w ramach rozwiąza- nia informatycznego. 4. Działania, o których mowa w ust. 3, opisuje się szczegółowo w dokumencie „Wymagania ochrony informacji nie- jawnych” opracowywanym dla danego rozwiązania informatycznego.