teleinfor, WSPOL, I rok semestr II, Ochrona danych osobowych i informacji niejawnych
[ Pobierz całość w formacie PDF ]
Dziennik Ustaw Nr 159
— 9338 —
Poz. 948
948
ROZPORZĄDZENIE PREZESA RADY MINISTRÓW
z dnia 20 lipca 2011 r.
w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego
Na podstawie art. 49 ust. 9 ustawy z dnia 5 sierp-
nia 2010 r. o ochronie informacji niejawnych (Dz. U.
Nr 182, poz. 1228) zarządza się, co następuje:
8) połączeniu międzysystemowym — należy przez to
rozumieć techniczne lub organizacyjne połączenie
dwóch lub więcej systemów teleinformatycznych,
umożliwiające ich współpracę, a w szczególności
wymianę danych;
Rozdział 1
Przepisy ogólne
9) poufności — należy przez to rozumieć właściwość
określającą, że informacja nie jest ujawniana pod-
miotom do tego nieuprawnionym;
§ 1. Rozporządzenie określa:
1) podstawowe wymagania bezpieczeństwa telein-
formatycznego, jakim powinny odpowiadać syste-
my teleinformatyczne, o których mowa w art. 48
ust. 1 ustawy z dnia 5 sierpnia 2010 r. o ochronie
informacji niejawnych, zwanej dalej „ustawą”;
10) przekazywaniu informacji — należy przez to rozu-
mieć zarówno transmisję informacji, jak i przeka-
zywanie informacji na informatycznych nośnikach
danych, na których zostały utrwalone;
11) testach bezpieczeństwa — należy przez to rozu-
mieć testy poprawności i skuteczności funkcjono-
wania zabezpieczeń w systemie teleinformatycz-
nym;
2) niezbędne dane, jakie powinna zawierać doku-
mentacja bezpieczeństwa systemów teleinforma-
tycznych oraz sposób jej opracowywania.
§ 2. Ilekroć w rozporządzeniu jest mowa o:
12) zabezpieczeniu — należy przez to rozumieć środki
o charakterze fizycznym, technicznym lub organi-
zacyjnym zmniejszające ryzyko;
1) dostępności — należy przez to rozumieć właści-
wość określającą, że zasób systemu teleinforma-
tycznego jest możliwy do wykorzystania na żąda-
nie, w określonym czasie, przez podmiot upraw-
niony do pracy w systemie teleinformatycznym;
13) zagrożeniu — należy przez to rozumieć potencjal-
ną przyczynę niepożądanego zdarzenia, które
może wywołać szkodę w zasobach systemu telein-
formatycznego;
2) elektromagnetycznej emisji ujawniającej — należy
przez to rozumieć sygnały elektromagnetyczne
związane z przetwarzaniem informacji w syste-
mach teleinformatycznych, powstające w sposób
naturalny, ale niezamierzony, które odebrane
i poddane analizie mogą prowadzić do odtworze-
nia fragmentu lub całości przetwarzanej informa-
cji niejawnej;
14) zaleceniach — należy przez to rozumieć zalecenia
w zakresie bezpieczeństwa teleinformatycznego,
o których mowa w art. 52 ust. 3 ustawy;
15) zasobach systemu teleinformatycznego — należy
przez to rozumieć informacje przetwarzane w sys-
temie teleinformatycznym, jak również osoby,
usługi, oprogramowanie, dane i sprzęt oraz inne
elementy mające wpływ na bezpieczeństwo tych
informacji.
3) incydencie bezpieczeństwa teleinformatycznego
— należy przez to rozumieć takie pojedyncze zda-
rzenie lub serię zdarzeń, związanych z bezpieczeń-
stwem informacji niejawnych, które zagrażają ich
poufności, dostępności lub integralności;
§ 3. Ze względu na posiadane przez użytkowników
systemu teleinformatycznego uprawnienia dostępu
do informacji niejawnych system teleinformatyczny
przeznaczony do przetwarzania informacji niejaw-
nych może funkcjonować w jednym z następujących
trybów bezpieczeństwa pracy:
4) informatycznym nośniku danych — należy przez to
rozumieć materiał służący do zapisywania, prze-
chowywania i odczytywania danych w postaci
cyfrowej;
5) integralności — należy przez to rozumieć właści-
wość określającą, że zasób systemu teleinforma-
tycznego nie został zmodyfikowany w sposób
nieuprawniony;
1) dedykowanym — w którym spełnione są łącznie
następujące warunki:
a) wszyscy użytkownicy posiadają uprawnienie do
dostępu do informacji niejawnych o najwyższej
klauzuli tajności, jakie mogą być przetwarzane
w tym systemie teleinformatycznym,
6) oprogramowaniu złośliwym — należy przez to
rozumieć oprogramowanie, którego celem jest
przeprowadzenie nieuprawnionych lub szkodli-
wych działań w systemie teleinformatycznym;
b) wszyscy użytkownicy mają uzasadnioną potrze-
bę dostępu do wszystkich informacji niejaw-
nych przetwarzanych w systemie teleinforma-
tycznym;
7) podatności — należy przez to rozumieć słabość
zasobu lub zabezpieczenia systemu teleinforma-
tycznego, która może zostać wykorzystana przez
zagrożenie;
Dziennik Ustaw Nr 159
— 9339 —
Poz. 948
2) systemowym — w którym spełnione są łącznie
następujące warunki:
5) ograniczanie uprawnień, polegające na nadawa-
niu użytkownikom systemu teleinformatycznego
wyłącznie uprawnień niezbędnych do wykonywa-
nia pracy;
a) wszyscy użytkownicy posiadają uprawnienie do
dostępu do informacji niejawnych o najwyższej
klauzuli tajności, jakie mogą być przetwarzane
w tym systemie teleinformatycznym,
6) minimalizację funkcjonalności, polegającą na in-
stalowaniu, uaktywnianiu i wykorzystywaniu
w systemie teleinformatycznym wyłącznie funk-
cji, protokołów komunikacyjnych i usług niezbęd-
nych do prawidłowej realizacji zadań, do których
system teleinformatyczny został przeznaczony.
b) nie wszyscy użytkownicy mają uzasadnioną po-
trzebę dostępu do wszystkich informacji niejaw-
nych przetwarzanych w systemie teleinforma-
tycznym;
3) wielopoziomowym — w którym spełnione są łącz-
nie następujące warunki:
§ 6. W celu zapewnienia ochrony przed nieupraw-
nionym dostępem do systemu teleinformatycznego:
a) nie wszyscy użytkownicy posiadają uprawnie-
nie do dostępu do informacji niejawnych o naj-
wyższej klauzuli tajności, jakie mogą być prze-
twarzane w tym systemie teleinformatycznym,
1) ustala się warunki i sposób przydzielania użytkow-
nikom uprawnień do pracy w systemie teleinfor-
matycznym;
2) chroni się informacje i materiały umożliwiające
dostęp do systemu teleinformatycznego;
b) nie wszyscy użytkownicy mają uzasadnioną po-
trzebę dostępu do wszystkich informacji niejaw-
nych przetwarzanych w systemie teleinforma-
tycznym.
3) chroni się elementy systemu teleinformatycznego
istotne dla jego bezpieczeństwa oraz wdraża się je
w sposób zapewniający możliwość wykrycia
wprowadzenia nieuprawnionych zmian lub prób
ich wprowadzenia.
§ 4. Jednostka organizująca system teleinforma-
tyczny przeznaczony do przetwarzania informacji
niejawnych międzynarodowych uwzględnia przy jego
organizowaniu wymagania bezpieczeństwa teleinfor-
matycznego wynikające z umów międzynarodowych.
§ 7. Przed dopuszczeniem osób do pracy w syste-
mie teleinformatycznym kierownik jednostki organi-
zacyjnej zapewnia ich przeszkolenie z zakresu bezpie-
czeństwa teleinformatycznego oraz zapoznanie z pro-
cedurami bezpiecznej eksploatacji w zakresie, jaki ich
dotyczy.
Rozdział 2
Podstawowe wymagania bezpieczeństwa
teleinformatycznego
§ 8. 1. W celu niedopuszczenia do utraty poufności
informacji niejawnych na skutek wykorzystania elek-
tromagnetycznej emisji ujawniającej, która pochodzi
z elementów systemu, w systemie teleinformatycz-
nym przetwarzającym informacje niejawne o klauzuli
„poufne” lub wyższej stosuje się środki ochrony elek-
tromagnetycznej dobierane na podstawie wyników
szacowania ryzyka dla bezpieczeństwa informacji nie-
jawnych, z uwzględnieniem zaleceń.
§ 5. 1. Bezpieczeństwo informacji niejawnych prze-
twarzanych w systemie teleinformatycznym zapewnia
się przez wdrożenie spójnego zbioru zabezpieczeń
w celu zapewnienia poufności, integralności i dostęp-
ności tych informacji.
2. Cel, o którym mowa w ust. 1, osiąga się przez:
1) objęcie systemu teleinformatycznego procesem
zarządzania ryzykiem dla bezpieczeństwa informa-
cji niejawnych przetwarzanych w systemie tele-
informatycznym, zwanego dalej „zarządzaniem
ryzykiem w systemie teleinformatycznym”;
2. W celu niedopuszczenia do utraty dostępności
informacji niejawnych przetwarzanych w urządze-
niach teleinformatycznych na skutek zakłócania ich
pracy za pomocą emisji lub impulsów elektromagne-
tycznych o dużej mocy stosuje się środki ochrony
elektromagnetycznej dobierane na podstawie wyni-
ków szacowania ryzyka dla bezpieczeństwa informacji
niejawnych.
2) ograniczenie zaufania, polegające na traktowaniu
innych systemów teleinformatycznych jako poten-
cjalnych źródeł zagrożeń oraz wdrożeniu w syste-
mie teleinformatycznym zabezpieczeń kontrolują-
cych wymianę informacji z tymi systemami telein-
formatycznymi;
§ 9. 1. W celu zapewnienia dostępności zasobów
w systemie teleinformatycznym ustala się:
3) wprowadzenie wielopoziomowej ochrony syste-
mu teleinformatycznego, polegającej na stosowa-
niu zabezpieczeń na możliwie wielu różnych
poziomach organizacji ochrony systemu tele-
informatycznego, w celu ograniczenia występo-
wania przypadków, w których przełamanie poje-
dynczego zabezpieczenia skutkuje naruszeniem
celu, o którym mowa w ust. 1;
1) zasady tworzenia i przechowywania kopii zapaso-
wych;
2) procedury postępowania w sytuacjach kryzyso-
wych, w tym w przypadkach awarii elementów sy-
stemu teleinformatycznego;
4) wykonywanie okresowych testów bezpieczeń-
stwa;
3) procedury monitorowania stanu technicznego
systemu teleinformatycznego.
Dziennik Ustaw Nr 159
— 9340 —
Poz. 948
2. W zależności od potrzeb oraz wyników szacowa-
nia ryzyka dla bezpieczeństwa informacji niejawnych,
w celu zapewnienia dostępności zasobów systemu te-
leinformatycznego stosuje się w szczególności alter-
natywne łącza telekomunikacyjne, alternatywne urzą-
dzenia lub zasilanie awaryjne.
2) znajomość i przestrzeganie przez użytkowników
zasad ochrony informacji niejawnych oraz proce-
dur bezpiecznej eksploatacji w systemie teleinfor-
matycznym, w tym w zakresie wykorzystywania
urządzeń i narzędzi służących do ochrony informa-
cji niejawnych;
3) stan zabezpieczeń systemu teleinformatycznego,
w tym analizując rejestry zdarzeń systemu telein-
formatycznego.
§ 10. 1. W zależności od potrzeb oraz wyników sza-
cowania ryzyka dla bezpieczeństwa informacji niejaw-
nych, transmisję danych pomiędzy elementami syste-
mu teleinformatycznego chroni się przed wykryciem,
przechwyceniem lub zakłócaniem.
§ 15. 1. W przypadku organizacji połączenia mię-
dzysystemowego uwzględnia się wymaganie ograni-
czonego zaufania, o którym mowa w § 5 ust. 2 pkt 2.
2. Poufność informacji niejawnych przekazywa-
nych w formie transmisji poza strefami ochronnymi
zapewnia się przez stosowanie urządzeń lub narzędzi
kryptograficznych, certyfikowanych zgodnie z art. 50
ust. 2 ustawy lub dopuszczonych w trybie art. 50 ust. 7
ustawy, odpowiednich do klauzuli tajności przekazy-
wanych informacji.
2. Organizując połączenie międzysystemowe,
wdraża się zabezpieczenia uniemożliwiające przekazy-
wanie niepożądanych informacji pomiędzy łączonymi
systemami teleinformatycznymi, w szczególności
uniemożliwiające przekazywanie informacji o wyższej
klauzuli tajności do systemu teleinformatycznego
przetwarzającego informacje o klauzuli niższej.
3. W szczególnie uzasadnionych przypadkach, bio-
rąc pod uwagę wyniki szacowania ryzyka dla bezpie-
czeństwa informacji niejawnych, środki ochrony kryp-
tograficznej, o których mowa w ust. 2, mogą zostać
uzupełnione lub zastąpione zabezpieczeniami innymi
niż kryptograficzne.
§ 16. Urządzenie, narzędzie lub środek przezna-
czony do ochrony informacji niejawnych, dla którego
został wydany przez Agencję Bezpieczeństwa
Wewnętrznego, zwaną dalej „ABW”, lub Służbę
Kontrwywiadu Wojskowego, zwaną dalej „SKW”,
certyfikat, o którym mowa w art. 50 ust. 4 ustawy,
podlega ochronie do momentu jego zniszczenia lub
wycofania, zgodnie z zaleceniami ABW lub SKW.
§ 11. W zakresie niezbędnym do zapewnienia prze-
glądu, analizy oraz dostarczania dowodów działań na-
ruszających bezpieczeństwo informacji niejawnych,
dla systemu teleinformatycznego przetwarzającego
informacje niejawne tworzy się i przechowuje rejestry
zdarzeń oraz zapewnia się ich poufność, integralność
i dostępność.
§ 17. 1. Informatyczne nośniki danych przeznaczo-
ne do przetwarzania informacji niejawnych obejmuje
się ochroną od momentu oznaczenia nośnika klauzulą
tajności aż do trwałego usunięcia danych na nim zapi-
sanych oraz zniesienia klauzuli tajności albo do mo-
mentu jego zniszczenia.
§ 12. System teleinformatyczny wyposaża się
w mechanizmy lub procedury zapobiegające incyden-
tom bezpieczeństwa teleinformatycznego, w tym
zabezpieczające przed działaniem oprogramowania
złośliwego, a także umożliwiające jak najszybsze wy-
krywanie incydentów bezpieczeństwa teleinforma-
tycznego oraz zapewniające niezwłoczne informowa-
nie odpowiednich osób o wykrytym incydencie.
2. Informacje niejawne przekazywane poza strefę
ochronną na informatycznych nośnikach danych chro-
ni się:
1) z wykorzystaniem urządzeń lub narzędzi krypto-
graficznych, certyfikowanych zgodnie z art. 50
ust. 2 ustawy lub dopuszczonych w trybie art. 50
ust. 7 ustawy, odpowiednich do klauzuli tajności
przekazywanych informacji, lub
§ 13. Administrator systemu teleinformatycznego
bierze udział w tworzeniu dokumentacji bezpieczeń-
stwa systemu teleinformatycznego oraz w procesie
zarządzania ryzykiem w systemie teleinformatycznym:
2) przez spełnienie wymagań, o których mowa
w przepisach w sprawie trybu i sposobu przyjmo-
wania, przewożenia, wydawania i ochrony mate-
riałów, w celu ich zabezpieczenia przed nieupraw-
nionym ujawnieniem, utratą, uszkodzeniem lub
zniszczeniem.
1) realizując szkolenia użytkowników systemu telein-
formatycznego;
2) utrzymując zgodność systemu teleinformatyczne-
go z jego dokumentacją bezpieczeństwa;
3) wdrażając zabezpieczenia w systemie teleinforma-
tycznym.
3. Sposób i metody trwałego usuwania danych
oraz niszczenia informatycznych nośników danych
określa się z uwzględnieniem zaleceń.
§ 14. Inspektor bezpieczeństwa teleinformatyczne-
go bierze udział w procesie zarządzania ryzykiem
w systemie teleinformatycznym, weryfikując:
4. Klauzula tajności informatycznych nośników da-
nych umożliwiających wielokrotny zapis, na których
zapisano informacje niejawne oznaczone klauzulą
„tajne” lub „ściśle tajne”, nie podlega zniesieniu lub
obniżeniu.
1) poprawność realizacji zadań przez administratora,
w tym właściwe zarządzanie konfiguracją oraz
uprawnieniami przydzielanymi użytkownikom;
Dziennik Ustaw Nr 159
— 9341 —
Poz. 948
§ 18. 1. Bezpieczeństwo informacji niejawnych
przetwarzanych w systemie teleinformatycznym
uwzględnia się w całym cyklu funkcjonowania syste-
mu teleinformatycznego, składającym się z etapów:
5) system teleinformatyczny poddaje się akredytacji
bezpieczeństwa teleinformatycznego.
5. Na etapie eksploatacji:
1) planowania;
1) utrzymuje się zgodność systemu teleinformatycz-
nego z jego dokumentacją bezpieczeństwa;
2) projektowania;
2) zapewnia się ciągłość procesu zarządzania ryzy-
kiem w systemie teleinformatycznym;
3) wdrażania;
4) eksploatacji;
3) okresowo przeprowadza się testy bezpieczeństwa
w celu weryfikacji poprawności działania poszcze-
gólnych zabezpieczeń oraz usuwa stwierdzone
nieprawidłowości;
5) wycofywania.
2. Na etapie planowania ustala się potrzeby w za-
kresie przetwarzania informacji niejawnych w syste-
mie teleinformatycznym, w szczególności określa się:
4) w zależności od potrzeb wprowadza się zmiany do
systemu teleinformatycznego oraz, jeżeli jest to
właściwe, wykonuje testy bezpieczeństwa, a także
uaktualnia dokumentację bezpieczeństwa syste-
mu teleinformatycznego, przy czym modyfikacje
mogące mieć wpływ na bezpieczeństwo systemu
teleinformatycznego wymagają zgody podmiotu,
który udzielił akredytacji bezpieczeństwa teleinfor-
matycznego, zaś w przypadku systemów teleinfor-
matycznych, o których mowa w art. 48 ust. 9 i 10
ustawy — przekazania, odpowiednio do ABW albo
SKW, w terminie 30 dni od wprowadzenia wyżej
wymienionych modyfikacji, uaktualnionej doku-
mentacji bezpieczeństwa systemu teleinforma-
tycznego, w szczególności w formie aneksów.
1) przeznaczenie systemu teleinformatycznego;
2) maksymalną klauzulę tajności informacji niejaw-
nych, które będą przetwarzane w systemie telein-
formatycznym;
3) tryb bezpieczeństwa pracy systemu teleinforma-
tycznego;
4) szacunkową liczbę użytkowników;
5) planowaną lokalizację.
3. Na etapie projektowania:
1) przeprowadza się wstępne szacowanie ryzyka dla
bezpieczeństwa informacji niejawnych w celu
określenia wymagań dla zabezpieczeń;
6. Na etapie wycofywania:
1) zaprzestaje się eksploatacji systemu teleinforma-
tycznego;
2) dokonuje się wyboru zabezpieczeń dla systemu
teleinformatycznego w oparciu o wyniki wstępne-
go szacowania ryzyka dla bezpieczeństwa infor-
macji niejawnych;
2) powiadamia się pisemnie ABW albo SKW o wyco-
faniu systemu z eksploatacji;
3) zwraca się do ABW albo SKW świadectwo akredy-
tacji bezpieczeństwa systemu teleinformatyczne-
go, jeżeli system teleinformatyczny przeznaczony
był do przetwarzania informacji niejawnych
o klauzuli „poufne” lub wyższej;
3) uzgadnia się z podmiotem akredytującym plan
akredytacji obejmujący zakres i harmonogram
przedsięwzięć wymaganych do uzyskania akredy-
tacji bezpieczeństwa teleinformatycznego;
4) uzgadnia się z podmiotem zaopatrującym w klu-
cze kryptograficzne rodzaj oraz ilość niezbędnych
urządzeń lub narzędzi kryptograficznych, a także
sposób ich wykorzystania;
4) usuwa się informacje niejawne z systemu telein-
formatycznego, w szczególności przez przeniesie-
nie ich do innego systemu teleinformatycznego,
zarchiwizowanie lub zniszczenie informatycznych
nośników danych.
5) opracowuje się dokument szczególnych wymagań
bezpieczeństwa.
Rozdział 3
4. Na etapie wdrażania:
Zarządzanie ryzykiem
w systemie teleinformatycznym
1) pozyskuje i wdraża się urządzenia lub narzędzia
realizujące zabezpieczenia w systemie teleinfor-
matycznym;
§ 19. 1. Proces zarządzania ryzykiem w systemie
teleinformatycznym prowadzi się w celu zapewnienia
i utrzymania na poziomie akceptowanym przez kie-
rownika danej jednostki organizacyjnej bezpieczeń-
stwa informacji niejawnych przetwarzanych w tym
systemie.
2) przeprowadza się testy bezpieczeństwa systemu
teleinformatycznego;
3) przeprowadza się szacowanie ryzyka dla bezpie-
czeństwa informacji niejawnych z uwzględnie-
niem wprowadzonych zabezpieczeń;
2. Zarządzanie ryzykiem w systemie teleinforma-
tycznym prowadzi się, realizując procesy:
4) opracowuje się dokument procedur bezpiecznej
eksploatacji oraz uzupełnia dokument szczegól-
nych wymagań bezpieczeństwa;
1) szacowania ryzyka dla bezpieczeństwa informacji
niejawnych;
Dziennik Ustaw Nr 159
— 9342 —
Poz. 948
2) postępowania z ryzykiem;
6. Wyniki wstępnego szacowania ryzyka, o którym
mowa w ust. 5:
3) akceptacji ryzyka;
1) przedstawia się w dokumentacji bezpieczeństwa
systemu teleinformatycznego;
4) przeglądu, monitorowania i informowania o ryzy-
ku.
2) wykorzystuje się w procesie projektowania zabez-
pieczeń dla danego systemu teleinformatycznego
przeciwdziałających zidentyfikowanym zagroże-
niom;
3. Przed przeprowadzeniem procesu szacowania
ryzyka:
1) ustala się granice i zakres analizy ryzyka;
3) zachowuje się na potrzeby przyszłych uaktualnień.
2) ustanawia się strukturę organizacyjną odpowie-
dzialną za zarządzanie ryzykiem w systemie telein-
formatycznym;
7. Szacowanie ryzyka dla bezpieczeństwa informa-
cji niejawnych przeprowadza się ponownie:
1) w przypadku wprowadzania w systemie teleinfor-
matycznym zmian, które mogą mieć wpływ na
bezpieczeństwo przetwarzanych w nim informacji;
3) dokonuje się wyboru metody analizy ryzyka.
4. Kierownik jednostki organizującej system tele-
informatyczny odpowiada za zapewnienie ciągłości
procesu zarządzania ryzykiem w systemie teleinfor-
matycznym.
2) po wykryciu nowych zagrożeń lub zidentyfikowa-
niu nowych podatności, które nie były rozpatrywa-
ne podczas wcześniejszego szacowania ryzyka dla
bezpieczeństwa informacji niejawnych;
5. W sytuacji gdy system teleinformatyczny jest
użytkowany przez kilka niezależnych jednostek organi-
zacyjnych, każdy kierownik jednostki organizacyjnej
użytkującej system teleinformatyczny współdziała
z osobą, o której mowa w ust. 4, w celu zapewnienia
ciągłości procesu zarządzania ryzykiem w systemie
teleinformatycznym.
3) w przypadku zaistnienia istotnego incydentu bez-
pieczeństwa teleinformatycznego;
4) jeżeli zmianie lub rozszerzeniu uległo przeznacze-
nie, zadania lub funkcjonalność systemu teleinfor-
matycznego;
5) okresowo, w ramach procesu zarządzania ryzy-
kiem w systemie teleinformatycznym.
§ 20. 1. Szacowanie ryzyka dla bezpieczeństwa
informacji niejawnych obejmuje:
8. Częstotliwość okresowego przeprowadzania
szacowania ryzyka, o którym mowa w ust. 7 pkt 5,
określa się w dokumentacji bezpieczeństwa systemu
teleinformatycznego.
1) analizę ryzyka, na którą składają się:
a) identyfikacja ryzyka,
b) określenie wielkości ryzyk;
§ 21. 1. W ramach postępowania z ryzykiem możli-
we jest:
2) ocenę ryzyka.
1) obniżanie ryzyka przez wdrażanie zabezpieczeń;
2. W ramach identyfikacji ryzyka określa się:
2) pozostawienie ryzyka na poziomie określonym
w procesie szacowania ryzyka i zaniechanie dal-
szych działań;
1) zasoby systemu teleinformatycznego;
2) zagrożenia;
3) unikanie ryzyka przez niepodejmowanie działań
będących źródłem ryzyka;
3) podatności;
4) przeniesienie ryzyka na inny podmiot w zakresie
odpowiedzialności za zarządzanie ryzykiem bez
możliwości przeniesienia odpowiedzialności za
skutki wynikające z naruszenia poufności, integral-
ności lub dostępności informacji niejawnych prze-
twarzanych w systemie teleinformatycznym.
4) zabezpieczenia;
5) skutki wystąpienia incydentu bezpieczeństwa tele-
informatycznego.
3. W procesie określania wielkości ryzyk wyznacza
się poziomy zidentyfikowanych ryzyk.
2. Doboru zabezpieczeń, o których mowa w ust. 1
pkt 1, dokonuje się z uwzględnieniem zaleceń.
4. W procesie oceny ryzyka porównuje się wyzna-
czone poziomy ryzyk z tymi, które można zaakcepto-
wać. Na podstawie oceny podejmuje się decyzję co
do dalszego postępowania z ryzykami.
3. Dla ryzyk, które nie mogą być zaakceptowane ze
względu na ich zbyt wysoki poziom, proces postępo-
wania z ryzykiem przeprowadza się ponownie, anali-
zując inne warianty.
5. Wstępne szacowanie ryzyka dla bezpieczeństwa
informacji niejawnych przeprowadza się przed podję-
ciem decyzji o wprowadzeniu niezbędnych zabezpie-
czeń w systemie teleinformatycznym.
4. Ryzyka pozostające po procesie postępowania
z ryzykiem (ryzyka szczątkowe) podlegają procesowi
akceptacji ryzyka.
[ Pobierz całość w formacie PDF ]