art. 49

Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych

Dz.U. 2010 nr 182 poz. 1228

Treść przepisu

Art. 49. 1. Dokument szczególnych wymagań bezpieczeństwa systemu teleinformatycznego powinien zawierać w szczególności wyniki procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych w systemie teleinformatycznym oraz określać przyjęte w ramach zarządzania ryzykiem sposoby osiągania i utrzymywania odpowied-niego poziomu bezpieczeństwa systemu, a także opisywać aspekty jego budowy, zasady działania i eksploatacji, które mają związek z bezpieczeństwem systemu lub wpływają na jego bezpieczeństwo. Przebieg i wyniki procesu szacowania ryzyka mogą zostać przedstawione w odrębnym dokumencie niż dokument szczególnych wymagań bezpieczeństwa. 2. Dokument szczególnych wymagań bezpieczeństwa opracowuje się na etapie projektowania, w razie potrzeby kon-sultuje z ABW albo SKW, bieżąco uzupełnia na etapie wdrażania i modyfikuje na etapie eksploatacji przed dokonaniem zmian w systemie teleinformatycznym. Dziennik Ustaw – 26 – Poz. 1209 3. Dokument procedur bezpiecznej eksploatacji opracowuje się na etapie wdrażania oraz modyfikuje na etapie eksploatacji przed dokonaniem zmian w systemie teleinformatycznym. 4. Podstawą dokonywania wszelkich zmian w systemie teleinformatycznym jest przeprowadzenie procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych w tym systemie. 5. Kierownik jednostki organizacyjnej, w której będzie funkcjonował system teleinformatyczny, odpowiada za opraco-wanie oraz przekazanie odpowiednio ABW lub SKW dokumentacji bezpieczeństwa systemu teleinformatycznego, z zastrze-żeniem art. 48 ust. 9. 6. W przypadku gdy system teleinformatyczny będzie funkcjonował w więcej niż jednej jednostce organizacyjnej, za opracowanie oraz przekazanie odpowiednio ABW lub SKW dokumentacji bezpieczeństwa systemu teleinformatycznego odpowiada kierownik jednostki organizującej system. 7. Kierownik jednostki organizacyjnej akceptuje wyniki procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych oraz jest odpowiedzialny za właściwą organizację bezpieczeństwa teleinformatycznego. 8. W terminie 30 dni od otrzymania dokumentacji bezpieczeństwa systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli „poufne” lub wyższej ABW albo SKW przeprowadza na jej podstawie ocenę bezpieczeństwa tego systemu. Pozytywny wynik oceny stanowi podstawę do zatwierdzenia przez ABW albo SKW dokumentacji bezpieczeństwa systemu teleinformatycznego. W uzasadnionych przypadkach, w szczególności wynikają-cych ze stopnia skomplikowania systemu, termin przeprowadzenia oceny może być przedłużony o kolejne 30 dni. 9. Prezes Rady Ministrów określi, w drodze rozporządzenia, podstawowe wymagania bezpieczeństwa teleinformatycz-nego, jakim powinny odpowiadać systemy teleinformatyczne, niezbędne dane, jakie powinna zawierać dokumentacja bez-pieczeństwa systemów informatycznych oraz sposób opracowania tej dokumentacji. 10. W rozporządzeniu, o którym mowa w ust. 9, Prezes Rady Ministrów uwzględni w szczególności wymagania w zakresie zarządzania ryzykiem oraz dotyczące zapewnienia poufności, integralności i dostępności informacji niejawnych przetwarza-nych w systemach teleinformatycznych.

Źródło: Internetowy System Aktów Prawnych — ISAP (isap.sejm.gov.pl), pozyskano 12.07.2026. · PDF źródłowy