Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Ustaw
  3. Dz.U.2022.2098

Tryb oceny i sposób dopuszczania rozwiązań informatycznych, w których mają być przetwarzane informacje niejawne.

ROZPORZĄDZENIE
MINISTRA OBRONY NARODOWEJ
z dnia 29 września 2022 r.
w sprawie trybu oceny i sposobu dopuszczania rozwiązań informatycznych, w których mają być przetwarzane informacje niejawne

Na podstawie art. 51 ust. 6 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2019 r. poz. 742 oraz z 2022 r. poz. 655 i 1933) zarządza się, co następuje:
§  1. 
Rozporządzenie określa tryb oceny i sposób dopuszczania rozwiązań informatycznych niebędących systemami teleinformatycznymi do przetwarzania informacji niejawnych.
§  2. 
Ilekroć w rozporządzeniu jest mowa o:
1)
dopuszczeniu rozwiązania informatycznego - należy przez to rozumieć formalne potwierdzenie realizacji wymogów określonych w rozporządzeniu w odniesieniu do rozwiązania informatycznego;
2)
dostępności - należy przez to rozumieć właściwość zasobu określającą możliwość jego wykorzystania na żądanie, w założonym czasie, przez uprawniony podmiot;
3)
gestorze rozwiązania informatycznego - należy przez to rozumieć jednostkę lub komórkę organizacyjną odpowiedzialną za realizację czynności związanych z oceną rozwiązania informatycznego planowanego do przetwarzania informacji niejawnych;
4)
głównym użytkowniku - należy przez to rozumieć kierownika jednostki organizacyjnej, w której jest eksploatowane rozwiązanie informatyczne podlegające dopuszczeniu;
5)
incydencie - należy przez to rozumieć incydent w rozumieniu art. 2 pkt 5 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2022 r. poz. 1863);
6)
integralności - należy przez to rozumieć właściwość zasobu określającą, że nie został on zmodyfikowany w sposób nieuprawniony;
7)
komponencie rozwiązania informatycznego - należy przez to rozumieć część rozwiązania informatycznego realizującą daną funkcjonalność w jego obrębie;
8)
podatności - należy przez to rozumieć słabość zasobu lub zabezpieczenia, która może zostać wykorzystana przez zagrożenie;
9)
poufności - należy przez to rozumieć właściwość określającą, że informacja nie jest udostępniana lub ujawniana nieuprawnionym do tego podmiotom;
10)
przekazywaniu informacji - należy przez to rozumieć zarówno przekazywanie informacji na informatycznych nośnikach danych, na których zostały utrwalone, jak i w formie teletransmisji;
11)
rozwiązaniu informatycznym - należy przez to rozumieć rozwiązanie informatyczne, o którym mowa w art. 2 pkt 19 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych, zwanej dalej "ustawą";
12)
ryzyku - należy przez to rozumieć ryzyko w rozumieniu art. 2 pkt 12 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa;
13)
SKW - należy przez to rozumieć Służbę Kontrwywiadu Wojskowego;
14)
testach bezpieczeństwa - należy przez to rozumieć testy mające na celu weryfikację poprawności i skuteczności funkcjonowania zabezpieczeń, ustalenie ich aktualnego stanu oraz rekomendowanie skutecznych rozwiązań służących zapewnieniu odporności rozwiązania informatycznego oraz współpracujących z nim systemów teleinformatycznych na zagrożenia, w skład których wchodzą testy weryfikacyjne, podatnościowe oraz penetracyjne;
15)
testach penetracyjnych - należy przez to rozumieć element testów bezpieczeństwa obejmujący zaplanowanie i przeprowadzenie kontrolowanego ataku mającego na celu praktyczną weryfikację poprawności i skuteczności funkcjonowania procedur i zabezpieczeń oraz opracowanie rekomendacji dotyczących skutecznych rozwiązań, które zwiększają poziom odporności rozwiązania informatycznego oraz współpracujących z nim systemów teleinformatycznych na zagrożenia;
16)
testach podatnościowych - należy przez to rozumieć element testów bezpieczeństwa umożliwiający:
a)
identyfikację oraz ocenę wagi podatnych na zagrożenia słabych punktów w rozwiązaniu informatycznym oraz interfejsach współpracujących z nim systemów teleinformatycznych, w tym w wykorzystywanych w nich rozwiązaniach sprzętowych, programowych, infrastrukturalnych oraz organizacyjnych,
b)
dostarczanie gestorowi rozwiązania informatycznego informacji o rzeczywistych podatnościach zasobów niezbędnych do prawidłowego projektowania, wdrażania i optymalizacji jego zabezpieczeń, przy uwzględnieniu wyników szacowania ryzyka;
17)
testach weryfikacyjnych - należy przez to rozumieć element testów bezpieczeństwa mający na celu weryfikację poprawności implementacji zabezpieczeń w rozwiązaniu informatycznym oraz w interfejsach współpracujących z nim systemów teleinformatycznych;
18)
zabezpieczeniu - należy przez to rozumieć środki o charakterze fizycznym, technicznym lub proceduralnym zmniejszające ryzyko;
19)
zagrożeniu - należy przez to rozumieć potencjalną przyczynę niepożądanego zdarzenia, które może wywołać szkodę w rozwiązaniu informatycznym oraz we współpracujących z nim systemach teleinformatycznych.
§  3. 
W ramach rozwiązań informatycznych dopuszcza się przetwarzanie informacji na poziomach taktycznym i operacyjnym, niezbędne do wykonania zadania realizowanego z wykorzystaniem danego rozwiązania informatycznego, w szczególności o krótkotrwałym charakterze przetwarzanych informacji niejawnych.
§  4. 
W ramach trybu oceny za rozwiązania informatyczne niebędące systemem teleinformatycznym można uznawać wyłącznie sprzęt wojskowy lub sprzęt, który podlega procesowi pozyskiwania w ramach procedury pozyskiwania, zwany dalej "SpW", oraz jego elementy.
§  5. 
1. 
Rozwiązania informatyczne ocenia się w zakresie wdrożenia spójnego zbioru zabezpieczeń służących zapewnieniu zachowania bezpieczeństwa informacji niejawnych przetwarzanych przy ich zastosowaniu, na podstawie właściwego doboru w danym rozwiązaniu informatycznym metod realizacji następujących celów bezpieczeństwa:
1)
poufności informacji niejawnych;
2)
integralności informacji niejawnych;
3)
dostępności informacji niejawnych.
2. 
Realizując cele bezpieczeństwa:
1)
wdraża się spójny zbiór zabezpieczeń w zakresie bezpieczeństwa osobowego, bezpieczeństwa fizycznego, bezpieczeństwa informatycznego, a także odpowiednie procedury związane z wykorzystywaniem rozwiązań informatycznych do określonych zastosowań;
2)
ogranicza się zakres obszarów zastosowania rozwiązań informatycznych z uwzględnieniem sposobu i przypadków ich użycia;
3)
ogranicza się dostęp do wykorzystania rozwiązań informatycznych tylko przez podmioty uprawnione w zakresie wynikającym z ich zadań oraz wyłącznie w zakresie niezbędnym do ich realizacji;
4)
stosuje się wielopoziomową ochronę, polegającą na stosowaniu zabezpieczeń na różnych poziomach, w celu ograniczenia występowania przypadków, w których przełamanie pojedynczego zabezpieczenia skutkuje przełamaniem pozostałych;
5)
wdraża się procedury wymiany informacji niejawnych z systemami teleinformatycznymi;
6)
zapewnia się sprawowanie nadzoru nad poprawną eksploatacją rozwiązania informatycznego zgodnie z warunkami jego dopuszczenia.
3. 
Projektując zbiór zabezpieczeń, o których mowa w ust. 2, stosuje się, w zależności od możliwości technicznych oraz poziomu ryzyka ujawnienia, utraty lub naruszenia integralności informacji niejawnych, odpowiednio do zadań realizowanych przy wykorzystywaniu rozwiązań informatycznych:
1)
zabezpieczenia realizujące kontrolę dostępu do zasobów rozwiązań informatycznych, w szczególności zapewnienie ochrony fizycznej ich komponentów;
2)
warunki i sposób przydziału uprawnień do eksploatacji rozwiązań informatycznych;
3)
procedury postępowania związane z wykorzystywaniem rozwiązań informatycznych, w tym w czasie wojny, w razie ogłoszenia stanu nadzwyczajnego, mobilizacji lub sytuacji kryzysowej;
4)
środki zapewniające ochronę transmisji danych przed wykryciem, przechwyceniem lub zakłóceniem;
5)
środki zapewniające ochronę elektromagnetyczną;
6)
mechanizmy lub procedury dotyczące reagowania na incydenty;
7)
inne niezbędne procedury i mechanizmy zabezpieczania informacji niejawnych przetwarzanych w ramach rozwiązania informatycznego.
4. 
Działania, o których mowa w ust. 3, opisuje się szczegółowo w dokumencie "Wymagania ochrony informacji niejawnych" opracowywanym dla danego rozwiązania informatycznego.
§  6. 
1. 
W celu zagwarantowania poufności i integralności informacji niejawnych przekazywanych przez komponenty rozwiązań informatycznych, w formie transmisji poza obszarami objętymi ochroną fizyczną, stosuje się ochronę kryptograficzną.
2. 
Doboru rozwiązań z zakresu ochrony kryptograficznej, o których mowa w ust. 1, dokonuje się z uwzględnieniem wyników procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych za pomocą rozwiązania informatycznego oraz opinii Dowództwa Komponentu Wojsk Obrony Cyberprzestrzeni.
§  7. 
W celu zagwarantowania poufności informacji niejawnych przetwarzanych przy użyciu rozwiązań informatycznych, zagrożonych w wyniku elektromagnetycznej emisji ujawniającej, rozwiązania z zakresu ochrony elektromagnetycznej dobiera się z uwzględnieniem wyników procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych. W szczególnym przypadku rozwiązania informatyczne lub ich komponenty mogą podlegać badaniom poziomu ich emisyjności w celu zapewnienia właściwej ochrony elektromagnetycznej, z uwzględnieniem zaleceń.
§  8. 
W celu zagwarantowania realizacji procesu wykrywania incydentów, a także zapewnienia niezwłocznego informowania odpowiednich osób o wykrytym incydencie, w dokumencie "Wymagania ochrony informacji niejawnych" stosuje się procedury reagowania na incydenty związane z przetwarzaniem informacji niejawnych za pomocą rozwiązań informatycznych.
§  9. 
W celu zapewnienia właściwej ochrony informacji niejawnych przetwarzanych w ramach rozwiązania informatycznego na niejawnych wymiennych informatycznych nośnikach danych, które można wyodrębnić z rozwiązania informatycznego, stosuje się procedury właściwe dla ochrony materiału niejawnego w rozumieniu art. 2 pkt 4 ustawy, stosownie do najwyższej klauzuli przechowywanych informacji.
§  10. 
1. 
Rozwiązania informatyczne dopuszczone do przetwarzania informacji niejawnych mogą wymieniać informacje niejawne z systemami teleinformatycznymi posiadającymi akredytację bezpieczeństwa teleinformatycznego w rozumieniu przepisów ustawy z zastosowaniem wyłącznie procedur określonych w dokumencie "Wymagania ochrony informacji niejawnych", które zostały uwzględnione w dokumentacji szczególnych wymagań bezpieczeństwa oraz procedur bezpiecznej eksploatacji dla przedmiotowego systemu, wykonanymi według wymagań ustawy.
2. 
Wymianę informacji, o której mowa w ust. 1, realizuje się, zapewniając minimalizację wymienianych danych, stosownie do sytuacji i realizowanych zadań, oraz odpowiednio uwzględnia się wymaganie ograniczonego zaufania, o którym mowa w przepisach wydanych na podstawie art. 49 ust. 9 ustawy, z tym zastrzeżeniem, że potencjalnym źródłem zagrożeń może być zarówno inny system teleinformatyczny, jak i inne rozwiązanie informatyczne.
§  11. 
Dopuszczenie rozwiązania informatycznego do przetwarzania informacji niejawnych realizuje się przed rozpoczęciem przetwarzania informacji niejawnych w ramach jego eksploatacji.
§  12. 
1. 
W celu dopuszczenia rozwiązań informatycznych do przetwarzania informacji niejawnych, w rozumieniu art. 51 ust. 3 ustawy, opracowuje się dokument "Wymagania ochrony informacji niejawnych".
2. 
Dokument "Wymagania ochrony informacji niejawnych" zawiera informacje o:
1)
rodzajach oraz najwyższej klauzuli informacji niejawnych, które mogą być przetwarzane za pomocą rozwiązania informatycznego;
2)
przeznaczeniu rozwiązania informatycznego;
3)
podmiotach uprawnionych do eksploatacji rozwiązania informatycznego;
4)
podmiocie sprawującym nadzór nad eksploatacją zgodną z warunkami określonymi w dokumencie "Wymagania ochrony informacji niejawnych";
5)
wymaganych środkach w zakresie bezpieczeństwa osobowego przed dopuszczeniem do pracy z wykorzystaniem rozwiązania informatycznego;
6)
środkach ochrony fizycznej komponentów rozwiązania informatycznego;
7)
rozwiązaniach w zakresie zapewnienia ochrony elektromagnetycznej;
8)
stosowaniu ochrony kryptograficznej lub innych rozwiązań w zakresie bezpieczeństwa transmisji;
9)
certyfikatach lub innych dokumentach potwierdzających ocenę bezpieczeństwa rozwiązania informatycznego lub jego komponentu wydanych przez krajowe władze bezpieczeństwa państwa członkowskiego NATO lub UE lub właściwy organ NATO lub UE;
10)
ochronie nośników danych, w szczególności ich ochronie fizycznej;
11)
procedurach wykorzystania rozwiązania informatycznego w stanach nadzwyczajnych, w tym w czasie wojny, w razie ogłoszenia stanu nadzwyczajnego, mobilizacji lub sytuacji kryzysowej;
12)
niezbędnych szkoleniach dla podmiotów użytkujących rozwiązania informatyczne;
13)
procedurach wymiany danych z systemami teleinformatycznymi posiadającymi akredytację bezpieczeństwa teleinformatycznego oraz systemami informacyjnymi, o których mowa w art. 2 pkt 14 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa;
14)
procedurach reagowania na incydenty związane z eksploatacją rozwiązania informatycznego;
15)
procedurach reagowania na incydenty związane z przetwarzaniem informacji niejawnych za pomocą rozwiązań informatycznych;
16)
wynikach procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych w ramach rozwiązania informatycznego;
17)
przyjętych w ramach zarządzania ryzykiem sposobów osiągania i utrzymywania odpowiedniego poziomu bezpieczeństwa informacji niejawnych przetwarzanych w ramach rozwiązania informatycznego;
18)
aspektach budowy, dostępnych trybów pracy, działania i eksploatacji rozwiązania informatycznego, które mają związek z bezpieczeństwem informacji niejawnych przetwarzanych w ramach rozwiązania informatycznego lub wpływają na ich bezpieczeństwo;
19)
oświadczeniu zrealizowania procesu oceny bezpieczeństwa rozwiązania informatycznego zgodnie z wymogami niniejszego rozporządzenia;
20)
wykazie zaleceń i wymagań dla głównego użytkownika;
21)
innych danych niezbędnych do prawidłowego wdrożenia rozwiązania informatycznego oraz prawidłowej ochrony informacji niejawnych.
§  13. 
Tryb oceny bezpieczeństwa rozwiązania informatycznego przeznaczonego do przetwarzania informacji niejawnych realizowany przez:
1)
Szefa Sztabu Generalnego Wojska Polskiego, zwanego dalej "Szefem Sztabu Generalnego WP" - obejmuje czynności, o których mowa w § 14 pkt 2 i 3;
2)
gestora rozwiązania informatycznego - obejmuje czynności, o których mowa w § 15.
§  14. 
W zakresie czynności realizowanych w ramach trybu oceny rozwiązania informatycznego przeznaczonego do przetwarzania informacji niejawnych Szef Sztabu Generalnego WP podejmuje następujące czynności:
1)
wyznacza, w formie rozkazu, gestora rozwiązania informatycznego oraz wyznacza lub wskazuje eksperckie jednostki wspierające;
2)
akceptuje wyniki procesu szacowania ryzyka zrealizowanego przez gestora rozwiązania informatycznego oraz zapewnia właściwą organizację ochrony informacji niejawnych, związanej z eksploatacją rozwiązania informatycznego w Siłach Zbrojnych Rzeczypospolitej Polskiej, z uwzględnieniem wyników przedmiotowego procesu;
3)
zatwierdza i przesyła do SKW dokument "Wymagania ochrony informacji niejawnych";
4)
nadzoruje realizację zadań przez gestora rozwiązania informatycznego;
5)
informuje SKW, w formie pisemnej, o wycofaniu rozwiązania informatycznego z eksploatacji;
6)
prowadzi wykaz rozwiązań informatycznych dopuszczonych do przetwarzania informacji niejawnych przez SKW.
§  15. 
1. 
W zakresie czynności realizowanych w ramach trybu oceny rozwiązania informatycznego przeznaczonego do przetwarzania informacji niejawnych gestor rozwiązania informatycznego, na etapie planowania, projektowania i pozyskania rozwiązania informatycznego:
1)
analizuje kierunki zastosowania rozwiązania informatycznego w Siłach Zbrojnych Rzeczypospolitej Polskiej, w tym w czasie wojny, w razie ogłoszenia stanu nadzwyczajnego, mobilizacji lub sytuacji kryzysowej;
2)
analizuje funkcjonalności zabezpieczeń dostarczanych przez dane rozwiązanie informatyczne, które mogą zostać zastosowane do zabezpieczenia poufności, integralności i dostępności informacji niejawnych;
3)
przeprowadza proces wstępnego szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych z zastosowaniem rozwiązania informatycznego;
4)
projektuje zbiór dodatkowych zabezpieczeń, z uwzględnieniem wymogów określonych w § 5 ust. 2 i 3 oraz z uwzględnieniem wyników realizacji czynności, o których mowa w pkt 1-3;
5)
współpracuje z instytucjami odpowiedzialnymi za pozyskanie i wprowadzenie na wyposażenie Sił Zbrojnych Rzeczypospolitej Polskiej "SpW" zawierającego rozwiązania informatyczne lub ich komponenty;
6)
współpracuje z eksperckimi jednostkami wspierającymi, o których mowa w § 14 pkt 1.
2. 
Na etapie, o którym mowa w ust. 1, gestor rozwiązania informatycznego może opracować i uzgodnić z SKW plan dopuszczenia rozwiązania informatycznego. Plan ten obejmuje zakres i harmonogram przedsięwzięć wymaganych do uzyskania dopuszczenia rozwiązania informatycznego do przetwarzania informacji niejawnych. Opracowanie planu możliwe jest w przypadkach rozpatrywania szczególnie skomplikowanych rozwiązań informatycznych.
3. 
Na etapie wdrażania rozwiązania informatycznego gestor rozwiązania informatycznego odpowiada za:
1)
analizę funkcjonalności dodatkowych zabezpieczeń zastosowanych do wzmocnienia poziomu ochrony dostarczanych przez dane rozwiązanie informatyczne, które mogą zostać zastosowane do zabezpieczenia poufności, integralności i dostępności przetwarzanych informacji niejawnych;
2)
przeprowadzenie procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych z zastosowaniem rozwiązania informatycznego, z uwzględnieniem przepisów ustawy;
3)
opracowanie procedur wymiany informacji oraz stosowanie dodatkowych zabezpieczeń na styku z systemami teleinformatycznymi, z uwzględnieniem postanowień, o których mowa w § 10;
4)
zaplanowanie i przeprowadzenie testów bezpieczeństwa we współpracy z Dowódcą Komponentu Wojsk Obrony Cyberprzestrzeni;
5)
opracowanie dokumentu "Wymagania ochrony informacji niejawnych" dla danego rozwiązania informatycznego;
6)
współpracę z eksperckimi jednostkami wspierającymi, o których mowa w § 14 pkt 1;
7)
uzgodnienie dokumentu "Wymagania ochrony informacji niejawnych" z właściwym pełnomocnikiem do spraw ochrony informacji niejawnych oraz Dowódcą Komponentu Wojsk Obrony Cyberprzestrzeni.
4. 
Na etapie eksploatacji rozwiązania informatycznego gestor rozwiązania informatycznego odpowiada za:
1)
nadzór nad utrzymywaniem zgodności eksploatacji rozwiązania informatycznego z dokumentem "Wymagania ochrony informacji niejawnych";
2)
prowadzenie szkoleń w zakresie eksploatacji rozwiązania informatycznego zgodnie z dokumentem "Wymagania ochrony informacji niejawnych";
3)
bieżące monitorowanie podatności, zagrożeń, poziomu ryzyka, oraz w miarę potrzeb wprowadzanie adekwatnych zmian w dokumencie "Wymagania ochrony informacji niejawnych";
4)
konsultowanie, w przypadku dostrzeżenia takiej potrzeby, planowanych do wprowadzenia zmian z właściwym pełnomocnikiem do spraw ochrony informacji niejawnych lub Dowódcą Komponentu Wojsk Obrony Cyberprzestrzeni.
5. 
Na etapie wycofywania rozwiązania informatycznego gestor rozwiązania informatycznego odpowiada za koordynowanie przedsięwzięć związanych z wycofaniem z wyposażenia Sił Zbrojnych Rzeczypospolitej Polskiej rozwiązania informatycznego.
§  16. 
Główny użytkownik, w ramach dopuszczenia rozwiązania informatycznego na etapie eksploatacji i wycofywania, odpowiada za przestrzeganie wymagań i zaleceń określonych w dokumencie "Wymagania ochrony informacji niejawnych".
§  17. 
W zakresie czynności realizowanych w ramach trybu oceny rozwiązania informatycznego przeznaczonego do przetwarzania informacji niejawnych ekspercka jednostka wspierająca, o której mowa w § 14 pkt 1, jest obowiązana udzielać pomocy gestorowi w procesie oceny i dopuszczenia rozwiązania informatycznego do przetwarzania informacji niejawnych - zgodnie z zakresem posiadanych kompetencji.
§  18. 
W celu dopuszczenia rozwiązania informatycznego do przetwarzania informacji niejawnych dokument "Wymagania ochrony informacji niejawnych" jest opracowywany przez gestora rozwiązania informatycznego, a następnie podlega uzgodnieniu z:
1)
właściwym pełnomocnikiem do spraw ochrony informacji niejawnych - w zakresie zgodności z przepisami ustawy;
2)
Dowódcą Komponentu Wojsk Obrony Cyberprzestrzeni - w zakresie zapewnienia odporności rozwiązania informatycznego na zagrożenia pochodzące z cyberprzestrzeni przy zastosowaniu rozwiązań w nim opisanych.
§  19. 
W ramach trybu dopuszczenia rozwiązania informatycznego do przetwarzania informacji niejawnych uzgodniony dokument "Wymagania ochrony informacji niejawnych", podpisany przez gestora rozwiązania informatycznego, po zatwierdzeniu, Szef Sztabu Generalnego WP przesyła do SKW. W przypadku braku uzgodnień, o których mowa w § 18, dokument nie jest rozpatrywany.
§  20. 
1. 
SKW rozstrzyga w przedmiocie dopuszczenia rozwiązania informatycznego po otrzymaniu dokumentu "Wymagania ochrony informacji niejawnych". O dopuszczeniu rozwiązania informatycznego SKW informuje, w formie pisemnej, Szefa Sztabu Generalnego WP.
2. 
Rozstrzygnięcie w przedmiocie dopuszczenia rozwiązania informatycznego jest podejmowane bez zbędnej zwłoki, jednak nie później niż w ciągu 3 miesięcy od dnia otrzymania dokumentu "Wymagania ochrony informacji niejawnych".
3. 
W sprawach szczególnie skomplikowanych rozstrzygnięcie w przedmiocie dopuszczenia rozwiązania informatycznego jest podejmowane nie później niż w ciągu 6 miesięcy od dnia otrzymania dokumentu "Wymagania ochrony informacji niejawnych".
4. 
SKW, na podstawie wyników oceny bezpieczeństwa rozwiązania informatycznego, przy uwzględnieniu poziomu zagrożenia bezpieczeństwa informacji niejawnych, określa termin ważności dopuszczenia, a także może skrócić jego termin ważności, zawiesić dopuszczenie lub je cofnąć w każdym czasie. O wyniku rozstrzygnięcia informuje, w formie pisemnej, Szefa Sztabu Generalnego WP.
§  21. 
Brak informacji o dopuszczeniu rozwiązania informatycznego, o której mowa w § 20 ust. 1, jest równoznaczny z brakiem dopuszczenia rozwiązania informatycznego do przetwarzania informacji niejawnych.
§  22. 
1. 
W ramach trybu dopuszczenia rozwiązań informatycznych do przetwarzania informacji niejawnych, po uzyskaniu dopuszczenia SKW, Szef Sztabu Generalnego WP umieszcza dane rozwiązanie w wykazie rozwiązań informatycznych dopuszczonych do przetwarzania informacji niejawnych.
2. 
Wykaz, o którym mowa w ust. 1, zawiera:
1)
nazwę rozwiązania informatycznego;
2)
maksymalną klauzulę tajności informacji niejawnych, do których przetwarzania rozwiązanie informatyczne zostało dopuszczone;
3)
gestora rozwiązania informatycznego;
4)
okres ważności dopuszczenia rozwiązania informatycznego;
5)
inne dane niezbędne do prawidłowego wdrożenia rozwiązania informatycznego.
§  23. 
1. 
W przypadku wprowadzania zmian w dokumencie "Wymagania ochrony informacji niejawnych" w ramach trybu dopuszczania rozwiązań informatycznych do przetwarzania informacji niejawnych, przepisy § 15-20 stosuje się odpowiednio.
2. 
Aktualizacja dokumentu, o którym mowa w ust. 1, może odbywać się w formie aneksu.
§  24. 
Rozporządzenie wchodzi w życie z dniem następującym po dniu ogłoszenia.

Zmiany w prawie

Rząd chce zmieniać obowiązujące regulacje dotyczące czynników rakotwórczych i mutagenów
Rząd chce zmieniać obowiązujące regulacje dotyczące czynników rakotwórczych i mutagenów

Rząd przyjął we wtorek projekt zmian w Kodeksie pracy, którego celem jest nowelizacja art. 222, by dostosować polskie prawo do przepisów unijnych. Chodzi o dodanie czynników reprotoksycznych do obecnie obwiązujących regulacji dotyczących czynników rakotwórczych i mutagenów. Nowela upoważnienia ustawowego pozwoli na zmianę wydanego na jej podstawie rozporządzenia Ministra Zdrowia w sprawie substancji chemicznych, ich mieszanin, czynników lub procesów technologicznych o działaniu rakotwórczym lub mutagennym w środowisku pracy.

Grażyna J. Leśniak 16.04.2024
Bez kary za brak lekarza w karetce do końca tego roku
Bez kary za brak lekarza w karetce do końca tego roku

W ponad połowie specjalistycznych Zespołów Ratownictwa Medycznego brakuje lekarzy. Ministerstwo Zdrowia wydłuża więc po raz kolejny czas, kiedy Narodowy Fundusz Zdrowia nie będzie pobierał kar umownych w przypadku niezapewnienia lekarza w zespołach ratownictwa. Pierwotnie termin wyznaczony był na koniec czerwca tego roku.

Beata Dązbłaż 10.04.2024
Będzie zmiana ustawy o rzemiośle zgodna z oczekiwaniami środowiska
Będzie zmiana ustawy o rzemiośle zgodna z oczekiwaniami środowiska

Rozszerzenie katalogu prawnie dopuszczalnej formy prowadzenia działalności gospodarczej w zakresie rzemiosła, zmiana definicji rzemiosła, dopuszczenie wykorzystywania przez przedsiębiorców, niezależnie od formy prowadzenia przez nich działalności, wszystkich kwalifikacji zawodowych w rzemiośle, wymienionych w ustawie - to tylko niektóre zmiany w ustawie o rzemiośle, jakie zamierza wprowadzić Ministerstwo Rozwoju i Technologii.

Grażyna J. Leśniak 08.04.2024
Tabletki "dzień po" bez recepty nie będzie. Jest weto prezydenta
Tabletki "dzień po" bez recepty nie będzie. Jest weto prezydenta

Dostępność bez recepty jednego z hormonalnych środków antykoncepcyjnych (octan uliprystalu) - takie rozwiązanie zakładała zawetowana w piątek przez prezydenta Andrzeja Dudę nowelizacja prawa farmaceutycznego. Wiek, od którego tzw. tabletka "dzień po" byłaby dostępna bez recepty miał być określony w rozporządzeniu. Ministerstwo Zdrowia stało na stanowisku, że powinno to być 15 lat. Wątpliwości w tej kwestii miała Kancelaria Prezydenta.

Katarzyna Nocuń 29.03.2024
Małżonkowie zapłacą za 2023 rok niższy ryczałt od najmu
Małżonkowie zapłacą za 2023 rok niższy ryczałt od najmu

Najem prywatny za 2023 rok rozlicza się według nowych zasad. Jedyną formą opodatkowania jest ryczałt od przychodów ewidencjonowanych, według stawek 8,5 i 12,5 proc. Z kolei małżonkowie wynajmujący wspólną nieruchomość zapłacą stawkę 12,5 proc. dopiero po przekroczeniu progu 200 tys. zł, zamiast 100 tys. zł. Taka zmiana weszła w życie w połowie 2023 r., ale ma zastosowanie do przychodów uzyskanych za cały 2023 r.

Monika Pogroszewska 27.03.2024
Ratownik medyczny wykona USG i zrobi test na COVID
Ratownik medyczny wykona USG i zrobi test na COVID

Mimo krytycznych uwag Naczelnej Rady Lekarskiej, Ministerstwo Zdrowia zmieniło rozporządzenie regulujące uprawnienia ratowników medycznych. Już wkrótce, po ukończeniu odpowiedniego kursu będą mogli wykonywać USG, przywrócono im też możliwość wykonywania testów na obecność wirusów, którą mieli w pandemii, a do listy leków, które mogą zaordynować, dodano trzy nowe preparaty. Większość zmian wejdzie w życie pod koniec marca.

Agnieszka Matłacz 12.03.2024
Metryka aktu
Identyfikator:

Dz.U.2022.2098
Rodzaj: Rozporządzenie
Tytuł: Tryb oceny i sposób dopuszczania rozwiązań informatycznych, w których mają być przetwarzane informacje niejawne.
Data aktu: 29/09/2022
Data ogłoszenia: 14/10/2022
Data wejścia w życie: 15/10/2022