t.j.
status: obowiązujący
Rozporządzenie określa tryb oceny i sposób dopuszczania rozwiązań informatycznych niebędących systemami teleinformatycznymi do przetwarzania informacji niejawnych.
Ilekroć w rozporządzeniu jest mowa o: 1) dopuszczeniu rozwiązania informatycznego – należy przez to rozumieć formalne potwierdzenie realizacji wymogów określonych w rozporządzeniu w odniesieniu do rozwiązania informatycznego; 2) dostępności – należy przez to rozumieć właściwość zasobu określającą możliwość jego wykorzystania na żądanie, w założonym czasie, przez uprawniony podmiot; 3) gestorze rozwiązania informatycznego – należy przez to rozumieć jednostkę lub komórkę organizacyjną odpowie- dzialną za realizację czynności związanych z oceną rozwiązania informatycznego planowanego do przetwarzania informacji niejawnych; 4) głównym użytkowniku – należy przez to rozumieć kierownika jednostki organizacyjnej, w której jest eksploatowane rozwiązanie informatyczne podlegające dopuszczeniu; 5) incydencie – należy przez to rozumieć incydent w rozumieniu art. 2 pkt 5 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2022 r. poz. 1863); 6) integralności – należy przez to rozumieć właściwość zasobu określającą, że nie został on zmodyfikowany w sposób nieuprawniony; 7) komponencie rozwiązania informatycznego – należy przez to rozumieć część rozwiązania informatycznego realizu- jącą daną funkcjonalność w jego obrębie; 8) podatności – należy przez to rozumieć słabość zasobu lub zabezpieczenia, która może zostać wykorzystana przez zagrożenie; 9) poufności – należy przez to rozumieć właściwość określającą, że informacja nie jest udostępniana lub ujawniana nieuprawnionym do tego podmiotom; 10) przekazywaniu informacji – należy przez to rozumieć zarówno przekazywanie informacji na informatycznych nośni- kach danych, na których zostały utrwalone, jak i w formie teletransmisji; 11) rozwiązaniu informatycznym – należy przez to rozumieć rozwiązanie informatyczne, o którym mowa w art. 2 pkt 19 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych, zwanej dalej „ustawą”; 12) ryzyku – należy przez to rozumieć ryzyko w rozumieniu art. 2 pkt 12 ustawy z dnia 5 lipca 2018 r. o krajowym sys- temie cyberbezpieczeństwa; 13) SKW – należy przez to rozumieć Służbę Kontrwywiadu Wojskowego; 14) testach bezpieczeństwa – należy przez to rozumieć testy mające na celu weryfikację poprawności i skuteczności funkcjonowania zabezpieczeń, ustalenie ich aktualnego stanu oraz rekomendowanie skutecznych rozwiązań służą- cych zapewnieniu odporności rozwiązania informatycznego oraz współpracujących z nim systemów teleinforma- tycznych na zagrożenia, w skład których wchodzą testy weryfikacyjne, podatnościowe oraz penetracyjne; 15) testach penetracyjnych – należy przez to rozumieć element testów bezpieczeństwa obejmujący zaplanowanie i prze- prowadzenie kontrolowanego ataku mającego na celu praktyczną weryfikację poprawności i skuteczności funkcjo- nowania procedur i zabezpieczeń oraz opracowanie rekomendacji dotyczących skutecznych rozwiązań, które zwięk- szają poziom odporności rozwiązania informatycznego oraz współpracujących z nim systemów teleinformatycznych na zagrożenia; 16) testach podatnościowych – należy przez to rozumieć element testów bezpieczeństwa umożliwiający: a) identyfikację oraz ocenę wagi podatnych na zagrożenia słabych punktów w rozwiązaniu informatycznym oraz interfejsach współpracujących z nim systemów teleinformatycznych, w tym w wykorzystywanych w nich roz- wiązaniach sprzętowych, programowych, infrastrukturalnych oraz organizacyjnych, b) dostarczanie gestorowi rozwiązania informatycznego informacji o rzeczywistych podatnościach zasobów nie- zbędnych do prawidłowego projektowania, wdrażania i optymalizacji jego zabezpieczeń, przy uwzględnieniu wyników szacowania ryzyka; 17) testach weryfikacyjnych – należy przez to rozumieć element testów bezpieczeństwa mający na celu weryfikację poprawności implementacji zabezpieczeń w rozwiązaniu informatycznym oraz w interfejsach współpracujących z nim systemów teleinformatycznych; 18) zabezpieczeniu – należy przez to rozumieć środki o charakterze fizycznym, technicznym lub proceduralnym zmniej- szające ryzyko; 19) zagrożeniu – należy przez to rozumieć potencjalną przyczynę niepożądanego zdarzenia, które może wywołać szkodę w rozwiązaniu informatycznym oraz we współpracujących z nim systemach teleinformatycznych.
W ramach rozwiązań informatycznych dopuszcza się przetwarzanie informacji na poziomach taktycznym i operacyjnym, niezbędne do wykonania zadania realizowanego z wykorzystaniem danego rozwiązania informatycznego, w szczególności o krótkotrwałym charakterze przetwarzanych informacji niejawnych.
W ramach trybu oceny za rozwiązania informatyczne niebędące systemem teleinformatycznym można uznawać wyłącznie sprzęt wojskowy lub sprzęt, który podlega procesowi pozyskiwania w ramach procedury pozyskiwania, zwany dalej „SpW”, oraz jego elementy.
1. Rozwiązania informatyczne ocenia się w zakresie wdrożenia spójnego zbioru zabezpieczeń służących zapew- nieniu zachowania bezpieczeństwa informacji niejawnych przetwarzanych przy ich zastosowaniu, na podstawie właści- wego doboru w danym rozwiązaniu informatycznym metod realizacji następujących celów bezpieczeństwa: 1) poufności informacji niejawnych; 2) integralności informacji niejawnych; 3) dostępności informacji niejawnych. 2. Realizując cele bezpieczeństwa: 1) wdraża się spójny zbiór zabezpieczeń w zakresie bezpieczeństwa osobowego, bezpieczeństwa fizycznego, bezpie- czeństwa informatycznego, a także odpowiednie procedury związane z wykorzystywaniem rozwiązań informatycz- nych do określonych zastosowań; 2) ogranicza się zakres obszarów zastosowania rozwiązań informatycznych z uwzględnieniem sposobu i przypadków ich użycia; 3) ogranicza się dostęp do wykorzystania rozwiązań informatycznych tylko przez podmioty uprawnione w zakresie wynikającym z ich zadań oraz wyłącznie w zakresie niezbędnym do ich realizacji; 4) stosuje się wielopoziomową ochronę, polegającą na stosowaniu zabezpieczeń na różnych poziomach, w celu ograniczenia występowania przypadków, w których przełamanie pojedynczego zabezpieczenia skutkuje przełamaniem pozostałych; 5) wdraża się procedury wymiany informacji niejawnych z systemami teleinformatycznymi; 6) zapewnia się sprawowanie nadzoru nad poprawną eksploatacją rozwiązania informatycznego zgodnie z warunkami jego dopuszczenia. 3. Projektując zbiór zabezpieczeń, o których mowa w ust. 2, stosuje się, w zależności od możliwości technicznych oraz poziomu ryzyka ujawnienia, utraty lub naruszenia integralności informacji niejawnych, odpowiednio do zadań reali- zowanych przy wykorzystywaniu rozwiązań informatycznych: 1) zabezpieczenia realizujące kontrolę dostępu do zasobów rozwiązań informatycznych, w szczególności zapewnienie ochrony fizycznej ich komponentów; 2) warunki i sposób przydziału uprawnień do eksploatacji rozwiązań informatycznych; 3) procedury postępowania związane z wykorzystywaniem rozwiązań informatycznych, w tym w czasie wojny, w razie ogłoszenia stanu nadzwyczajnego, mobilizacji lub sytuacji kryzysowej; 4) środki zapewniające ochronę transmisji danych przed wykryciem, przechwyceniem lub zakłóceniem; 5) środki zapewniające ochronę elektromagnetyczną; 6) mechanizmy lub procedury dotyczące reagowania na incydenty; 7) inne niezbędne procedury i mechanizmy zabezpieczania informacji niejawnych przetwarzanych w ramach rozwiąza- nia informatycznego. 4. Działania, o których mowa w ust. 3, opisuje się szczegółowo w dokumencie „Wymagania ochrony informacji nie- jawnych” opracowywanym dla danego rozwiązania informatycznego.
1. W celu zagwarantowania poufności i integralności informacji niejawnych przekazywanych przez komponenty rozwią- zań informatycznych, w formie transmisji poza obszarami objętymi ochroną fizyczną, stosuje się ochronę kryptograficzną. 2. Doboru rozwiązań z zakresu ochrony kryptograficznej, o których mowa w ust. 1, dokonuje się z uwzględnieniem wyników procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych za pomocą rozwiązania informatycznego oraz opinii Dowództwa Komponentu Wojsk Obrony Cyberprzestrzeni.
W celu zagwarantowania poufności informacji niejawnych przetwarzanych przy użyciu rozwiązań informatycz- nych, zagrożonych w wyniku elektromagnetycznej emisji ujawniającej, rozwiązania z zakresu ochrony elektromagnetycz- nej dobiera się z uwzględnieniem wyników procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych. W szczególnym przypadku rozwiązania informatyczne lub ich komponenty mogą podlegać badaniom poziomu ich emi- syjności w celu zapewnienia właściwej ochrony elektromagnetycznej, z uwzględnieniem zaleceń.
W celu zagwarantowania realizacji procesu wykrywania incydentów, a także zapewnienia niezwłocznego informo- wania odpowiednich osób o wykrytym incydencie, w dokumencie „Wymagania ochrony informacji niejawnych” stosuje się procedury reagowania na incydenty związane z przetwarzaniem informacji niejawnych za pomocą rozwiązań informatycznych.
W celu zapewnienia właściwej ochrony informacji niejawnych przetwarzanych w ramach rozwiązania informa- tycznego na niejawnych wymiennych informatycznych nośnikach danych, które można wyodrębnić z rozwiązania infor- matycznego, stosuje się procedury właściwe dla ochrony materiału niejawnego w rozumieniu art. 2 pkt 4 ustawy, stosow- nie do najwyższej klauzuli przechowywanych informacji.
1. Rozwiązania informatyczne dopuszczone do przetwarzania informacji niejawnych mogą wymieniać infor- macje niejawne z systemami teleinformatycznymi posiadającymi akredytację bezpieczeństwa teleinformatycznego w rozumieniu przepisów ustawy z zastosowaniem wyłącznie procedur określonych w dokumencie „Wymagania ochrony informacji niejawnych”, które zostały uwzględnione w dokumentacji szczególnych wymagań bezpieczeństwa oraz proce- dur bezpiecznej eksploatacji dla przedmiotowego systemu, wykonanymi według wymagań ustawy. 2. Wymianę informacji, o której mowa w ust. 1, realizuje się, zapewniając minimalizację wymienianych danych, sto- sownie do sytuacji i realizowanych zadań, oraz odpowiednio uwzględnia się wymaganie ograniczonego zaufania, o którym mowa w przepisach wydanych na podstawie art. 49 ust. 9 ustawy, z tym zastrzeżeniem, że potencjalnym źró- dłem zagrożeń może być zarówno inny system teleinformatyczny, jak i inne rozwiązanie informatyczne.
Dopuszczenie rozwiązania informatycznego do przetwarzania informacji niejawnych realizuje się przed rozpo- częciem przetwarzania informacji niejawnych w ramach jego eksploatacji.
1. W celu dopuszczenia rozwiązań informatycznych do przetwarzania informacji niejawnych, w rozumieniu art. 51 ust. 3 ustawy, opracowuje się dokument „Wymagania ochrony informacji niejawnych”. 2. Dokument „Wymagania ochrony informacji niejawnych” zawiera informacje o: 1) rodzajach oraz najwyższej klauzuli informacji niejawnych, które mogą być przetwarzane za pomocą rozwiązania informatycznego; 2) przeznaczeniu rozwiązania informatycznego; 3) podmiotach uprawnionych do eksploatacji rozwiązania informatycznego; 4) podmiocie sprawującym nadzór nad eksploatacją zgodną z warunkami określonymi w dokumencie „Wymagania ochrony informacji niejawnych”; 5) wymaganych środkach w zakresie bezpieczeństwa osobowego przed dopuszczeniem do pracy z wykorzystaniem rozwiązania informatycznego; 6) środkach ochrony fizycznej komponentów rozwiązania informatycznego; 7) rozwiązaniach w zakresie zapewnienia ochrony elektromagnetycznej; 8) stosowaniu ochrony kryptograficznej lub innych rozwiązań w zakresie bezpieczeństwa transmisji; 9) certyfikatach lub innych dokumentach potwierdzających ocenę bezpieczeństwa rozwiązania informatycznego lub jego komponentu wydanych przez krajowe władze bezpieczeństwa państwa członkowskiego NATO lub UE lub właś- ciwy organ NATO lub UE; 10) ochronie nośników danych, w szczególności ich ochronie fizycznej; 11) procedurach wykorzystania rozwiązania informatycznego w stanach nadzwyczajnych, w tym w czasie wojny, w razie ogłoszenia stanu nadzwyczajnego, mobilizacji lub sytuacji kryzysowej; 12) niezbędnych szkoleniach dla podmiotów użytkujących rozwiązania informatyczne; 13) procedurach wymiany danych z systemami teleinformatycznymi posiadającymi akredytację bezpieczeństwa teleinfor- matycznego oraz systemami informacyjnymi, o których mowa w art. 2 pkt 14 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa; 14) procedurach reagowania na incydenty związane z eksploatacją rozwiązania informatycznego; 15) procedurach reagowania na incydenty związane z przetwarzaniem informacji niejawnych za pomocą rozwiązań infor- matycznych; 16) wynikach procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych w ramach rozwią- zania informatycznego; 17) przyjętych w ramach zarządzania ryzykiem sposobów osiągania i utrzymywania odpowiedniego poziomu bezpie- czeństwa informacji niejawnych przetwarzanych w ramach rozwiązania informatycznego; 18) aspektach budowy, dostępnych trybów pracy, działania i eksploatacji rozwiązania informatycznego, które mają związek z bezpieczeństwem informacji niejawnych przetwarzanych w ramach rozwiązania informatycznego lub wpływają na ich bezpieczeństwo; 19) oświadczeniu zrealizowania procesu oceny bezpieczeństwa rozwiązania informatycznego zgodnie z wymogami niniejszego rozporządzenia; 20) wykazie zaleceń i wymagań dla głównego użytkownika; 21) innych danych niezbędnych do prawidłowego wdrożenia rozwiązania informatycznego oraz prawidłowej ochrony informacji niejawnych.
Tryb oceny bezpieczeństwa rozwiązania informatycznego przeznaczonego do przetwarzania informacji nie- jawnych realizowany przez: 1) Szefa Sztabu Generalnego Wojska Polskiego, zwanego dalej „Szefem Sztabu Generalnego WP” – obejmuje czynności, o których mowa w § 14 pkt 2 i 3; 2) gestora rozwiązania informatycznego – obejmuje czynności, o których mowa w § 15.
W zakresie czynności realizowanych w ramach trybu oceny rozwiązania informatycznego przeznaczonego do przetwarzania informacji niejawnych Szef Sztabu Generalnego WP podejmuje następujące czynności: 1) wyznacza, w formie rozkazu, gestora rozwiązania informatycznego oraz wyznacza lub wskazuje eksperckie jednostki wspierające; 2) akceptuje wyniki procesu szacowania ryzyka zrealizowanego przez gestora rozwiązania informatycznego oraz za- pewnia właściwą organizację ochrony informacji niejawnych, związanej z eksploatacją rozwiązania informatycznego w Siłach Zbrojnych Rzeczypospolitej Polskiej, z uwzględnieniem wyników przedmiotowego procesu; 3) zatwierdza i przesyła do SKW dokument „Wymagania ochrony informacji niejawnych”; 4) nadzoruje realizację zadań przez gestora rozwiązania informatycznego; 5) informuje SKW, w formie pisemnej, o wycofaniu rozwiązania informatycznego z eksploatacji; 6) prowadzi wykaz rozwiązań informatycznych dopuszczonych do przetwarzania informacji niejawnych przez SKW.
1. W zakresie czynności realizowanych w ramach trybu oceny rozwiązania informatycznego przeznaczonego do przetwarzania informacji niejawnych gestor rozwiązania informatycznego, na etapie planowania, projektowania i pozyskania rozwiązania informatycznego: 1) analizuje kierunki zastosowania rozwiązania informatycznego w Siłach Zbrojnych Rzeczypospolitej Polskiej, w tym w czasie wojny, w razie ogłoszenia stanu nadzwyczajnego, mobilizacji lub sytuacji kryzysowej; 2) analizuje funkcjonalności zabezpieczeń dostarczanych przez dane rozwiązanie informatyczne, które mogą zostać zastosowane do zabezpieczenia poufności, integralności i dostępności informacji niejawnych; 3) przeprowadza proces wstępnego szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych z zastosowaniem rozwiązania informatycznego; 4) projektuje zbiór dodatkowych zabezpieczeń, z uwzględnieniem wymogów określonych w § 5 ust. 2 i 3 oraz z uwzględnieniem wyników realizacji czynności, o których mowa w pkt 1–3; 5) współpracuje z instytucjami odpowiedzialnymi za pozyskanie i wprowadzenie na wyposażenie Sił Zbrojnych Rzeczy- pospolitej Polskiej „SpW” zawierającego rozwiązania informatyczne lub ich komponenty; 6) współpracuje z eksperckimi jednostkami wspierającymi, o których mowa w § 14 pkt 1. 2. Na etapie, o którym mowa w ust. 1, gestor rozwiązania informatycznego może opracować i uzgodnić z SKW plan dopuszczenia rozwiązania informatycznego. Plan ten obejmuje zakres i harmonogram przedsięwzięć wymaganych do uzyskania dopuszczenia rozwiązania informatycznego do przetwarzania informacji niejawnych. Opracowanie planu moż- liwe jest w przypadkach rozpatrywania szczególnie skomplikowanych rozwiązań informatycznych. 3. Na etapie wdrażania rozwiązania informatycznego gestor rozwiązania informatycznego odpowiada za: 1) analizę funkcjonalności dodatkowych zabezpieczeń zastosowanych do wzmocnienia poziomu ochrony dostarczanych przez dane rozwiązanie informatyczne, które mogą zostać zastosowane do zabezpieczenia poufności, integralności i dostępności przetwarzanych informacji niejawnych; 2) przeprowadzenie procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych przetwarzanych z zastoso- waniem rozwiązania informatycznego, z uwzględnieniem przepisów ustawy; 3) opracowanie procedur wymiany informacji oraz stosowanie dodatkowych zabezpieczeń na styku z systemami tele- informatycznymi, z uwzględnieniem postanowień, o których mowa w § 10; 4) zaplanowanie i przeprowadzenie testów bezpieczeństwa we współpracy z Dowódcą Komponentu Wojsk Obrony Cyberprzestrzeni; 5) opracowanie dokumentu „Wymagania ochrony informacji niejawnych” dla danego rozwiązania informatycznego; 6) współpracę z eksperckimi jednostkami wspierającymi, o których mowa w § 14 pkt 1; 7) uzgodnienie dokumentu „Wymagania ochrony informacji niejawnych” z właściwym pełnomocnikiem do spraw ochrony informacji niejawnych oraz Dowódcą Komponentu Wojsk Obrony Cyberprzestrzeni. 4. Na etapie eksploatacji rozwiązania informatycznego gestor rozwiązania informatycznego odpowiada za: 1) nadzór nad utrzymywaniem zgodności eksploatacji rozwiązania informatycznego z dokumentem „Wymagania ochrony informacji niejawnych”; 2) prowadzenie szkoleń w zakresie eksploatacji rozwiązania informatycznego zgodnie z dokumentem „Wymagania ochrony informacji niejawnych”; 3) bieżące monitorowanie podatności, zagrożeń, poziomu ryzyka, oraz w miarę potrzeb wprowadzanie adekwatnych zmian w dokumencie „Wymagania ochrony informacji niejawnych”; 4) konsultowanie, w przypadku dostrzeżenia takiej potrzeby, planowanych do wprowadzenia zmian z właściwym peł- nomocnikiem do spraw ochrony informacji niejawnych lub Dowódcą Komponentu Wojsk Obrony Cyberprzestrzeni. 5. Na etapie wycofywania rozwiązania informatycznego gestor rozwiązania informatycznego odpowiada za koordy- nowanie przedsięwzięć związanych z wycofaniem z wyposażenia Sił Zbrojnych Rzeczypospolitej Polskiej rozwiązania informatycznego.
Główny użytkownik, w ramach dopuszczenia rozwiązania informatycznego na etapie eksploatacji i wycofywania, odpowiada za przestrzeganie wymagań i zaleceń określonych w dokumencie „Wymagania ochrony informacji niejawnych”.
W zakresie czynności realizowanych w ramach trybu oceny rozwiązania informatycznego przeznaczonego do przetwarzania informacji niejawnych ekspercka jednostka wspierająca, o której mowa w § 14 pkt 1, jest obowiązana udzielać pomocy gestorowi w procesie oceny i dopuszczenia rozwiązania informatycznego do przetwarzania informacji niejawnych – zgodnie z zakresem posiadanych kompetencji.
W celu dopuszczenia rozwiązania informatycznego do przetwarzania informacji niejawnych dokument „Wyma- gania ochrony informacji niejawnych” jest opracowywany przez gestora rozwiązania informatycznego, a następnie podlega uzgodnieniu z: 1) właściwym pełnomocnikiem do spraw ochrony informacji niejawnych – w zakresie zgodności z przepisami ustawy; 2) Dowódcą Komponentu Wojsk Obrony Cyberprzestrzeni – w zakresie zapewnienia odporności rozwiązania informa- tycznego na zagrożenia pochodzące z cyberprzestrzeni przy zastosowaniu rozwiązań w nim opisanych.
W ramach trybu dopuszczenia rozwiązania informatycznego do przetwarzania informacji niejawnych uzgod- niony dokument „Wymagania ochrony informacji niejawnych”, podpisany przez gestora rozwiązania informatycznego, po zatwierdzeniu, Szef Sztabu Generalnego WP przesyła do SKW. W przypadku braku uzgodnień, o których mowa w § 18, dokument nie jest rozpatrywany.
1. SKW rozstrzyga w przedmiocie dopuszczenia rozwiązania informatycznego po otrzymaniu dokumentu „Wymagania ochrony informacji niejawnych”. O dopuszczeniu rozwiązania informatycznego SKW informuje, w formie pisemnej, Szefa Sztabu Generalnego WP. 2. Rozstrzygnięcie w przedmiocie dopuszczenia rozwiązania informatycznego jest podejmowane bez zbędnej zwłoki, jednak nie później niż w ciągu 3 miesięcy od dnia otrzymania dokumentu „Wymagania ochrony informacji niejawnych”. 3. W sprawach szczególnie skomplikowanych rozstrzygnięcie w przedmiocie dopuszczenia rozwiązania informa- tycznego jest podejmowane nie później niż w ciągu 6 miesięcy od dnia otrzymania dokumentu „Wymagania ochrony informacji niejawnych”. 4. SKW, na podstawie wyników oceny bezpieczeństwa rozwiązania informatycznego, przy uwzględnieniu poziomu zagrożenia bezpieczeństwa informacji niejawnych, określa termin ważności dopuszczenia, a także może skrócić jego ter- min ważności, zawiesić dopuszczenie lub je cofnąć w każdym czasie. O wyniku rozstrzygnięcia informuje, w formie pisemnej, Szefa Sztabu Generalnego WP.
Brak informacji o dopuszczeniu rozwiązania informatycznego, o której mowa w § 20 ust. 1, jest równoznaczny z brakiem dopuszczenia rozwiązania informatycznego do przetwarzania informacji niejawnych.
1. W ramach trybu dopuszczenia rozwiązań informatycznych do przetwarzania informacji niejawnych, po uzys- kaniu dopuszczenia SKW, Szef Sztabu Generalnego WP umieszcza dane rozwiązanie w wykazie rozwiązań informatycznych dopuszczonych do przetwarzania informacji niejawnych. 2. Wykaz, o którym mowa w ust. 1, zawiera: 1) nazwę rozwiązania informatycznego; 2) maksymalną klauzulę tajności informacji niejawnych, do których przetwarzania rozwiązanie informatyczne zostało dopuszczone; 3) gestora rozwiązania informatycznego; 4) okres ważności dopuszczenia rozwiązania informatycznego; 5) inne dane niezbędne do prawidłowego wdrożenia rozwiązania informatycznego.
1. W przypadku wprowadzania zmian w dokumencie „Wymagania ochrony informacji niejawnych” w ramach trybu dopuszczania rozwiązań informatycznych do przetwarzania informacji niejawnych, przepisy § 15–20 stosuje się odpowiednio. 2. Aktualizacja dokumentu, o którym mowa w ust. 1, może odbywać się w formie aneksu.
Rozporządzenie wchodzi w życie z dniem następującym po dniu ogłoszenia. Minister Obrony Narodowej: z up. M. Wiśniewski