Akredytacje bezpieczeństwa teleinformatycznego

W nowej ustawie wiele uwagi poświęcono bezpieczeństwu teleinformatycznemu. Z ustawy wynika, że systemy teleinformatyczne, w których mają być przetwarzane informacje niejawne, podlegają akredytacji bezpieczeństwa teleinformatycznego. Akredytacji udziela się na czas określony, nie dłuższy niż 5 lat.

ABW albo SKW udziela akredytacji bezpieczeństwa teleinformatycznego dla systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli "poufne" lub wyższej.

Ustawa przewiduje, że ABW albo SKW udziela albo odmawia udzielenia akredytacji w terminie sześciu miesięcy od otrzymania kompletnej dokumentacji bezpieczeństwa systemu teleinformatycznego. W uzasadnionych przypadkach, w szczególności wynikających z rozległości systemu i stopnia jego skomplikowania, termin ten może być przedłużony o kolejne sześć miesięcy. Od odmowy udzielenia akredytacji nie służy odwołanie.

Potwierdzeniem udzielenia przez ABW albo SKW akredytacji jest świadectwo akredytacji bezpieczeństwa systemu teleinformatycznego.

Świadectwo wydaje się na podstawie:

● zatwierdzonej przez ABW albo SKW dokumentacji bezpieczeństwa systemu teleinformatycznego;

● wyników audytu bezpieczeństwa systemu teleinformatycznego przeprowadzonego przez ABW albo SKW.

ABW albo SKW może odstąpić od przeprowadzenia audytu bezpieczeństwa systemu teleinformatycznego, jeżeli system jest przeznaczony do przetwarzania informacji niejawnych o klauzuli "poufne".

Kierownik jednostki organizacyjnej udziela akredytacji bezpieczeństwa teleinformatycznego dla systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli "zastrzeżone" przez zatwierdzenie dokumentacji bezpieczeństwa systemu teleinformatycznego.

W przypadku gdy system będzie funkcjonował w więcej niż jednej jednostce organizacyjnej, akredytacji udziela kierownik jednostki organizującej system.

W ciągu 30 dni od udzielenia akredytacji bezpieczeństwa teleinformatycznego kierownik jednostki organizacyjnej przekazuje odpowiednio ABW lub SKW dokumentację bezpieczeństwa systemu teleinformatycznego.

Jak wynika z nowych przepisów, środki ochrony elektromagnetycznej przeznaczone do ochrony informacji niejawnych o klauzuli "poufne" lub wyższej podlegają badaniom i ocenie bezpieczeństwa w ramach certyfikacji prowadzonych przez ABW albo SKW.

Natomiast urządzenia i narzędzia kryptograficzne przeznaczone do ochrony informacji niejawnych podlegają badaniom i ocenie bezpieczeństwa w ramach certyfikacji prowadzonych przez ABW albo SKW.

Zgodnie z nową ustawą, ABW albo SKW, na wniosek zainteresowanego podmiotu, przeprowadza certyfikację urządzenia lub narzędzia służącego do realizacji zabezpieczenia teleinformatycznego, przeznaczonego do ochrony informacji niejawnych.

Szef ABW albo szef SKW może zlecić podmiotowi zewnętrznemu badanie urządzenia lub narzędzia służącego do ochrony informacji niejawnych, na zasadach, warunkach i w zakresie przez siebie określonych

Krzysztof Tomaszewski

krzysztof.tomaszewski@infor.pl

Ustawa z 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz.U. nr 182, poz. 1228).