D.U.2018.2080

ROZPORZĄDZENIE

RADY MINISTRÓW

z dnia 16 października 2018 roku 

w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej

   

 

Na podstawie art. 10 ust. 5 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560) zarządza się, co następuje:

§ 1.
Do dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej zalicza się:
1) dokumentację normatywną;

2) dokumentację operacyjną.

§ 2.
Dokumentację, o której mowa w § 1 pkt 1, stanowią:
1) dokumentacja dotycząca systemu zarządzania bezpieczeństwem informacji wytworzona zgodnie z wymaganiami normy PN-EN ISO/IEC 27001;

2) dokumentacja ochrony infrastruktury, z wykorzystaniem której świadczona jest usługa kluczowa, dotycząca:
a) charakterystyki usługi kluczowej oraz infrastruktury,
b) szacowania ryzyka dla obiektów infrastruktury,
c) oceny aktualnego stanu ochrony infrastruktury (plan postępowania z ryzykiem),
d) opisu zabezpieczeń technicznych obiektów infrastruktury,
e) zasad organizacji i wykonywania ochrony fizycznej infrastruktury,
f) danych o specjalistycznej uzbrojonej formacji ochronnej, o której mowa w art. 2 pkt 7 ustawy z dnia 22 sierpnia 1997 r. o ochronie osób i mienia (Dz. U. z 2017 r. poz. 2213 oraz z 2018 r. poz. 138, 650, 1629 i 1669), chroniącej infrastrukturę, jeśli taka formacja występuje;

3) dokumentacja systemu zarządzania ciągłością działania usługi kluczowej wytworzona zgodnie z wymaganiami normy PN-EN ISO 22301;

4) dokumentacja techniczna systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;

5) dokumentacja wynikająca ze specyfiki świadczonej usługi kluczowej w danym sektorze lub podsektorze.

§ 3.
Dokumentację, o której mowa w § 1 pkt 2, stanowią:
1) dokumentacja dotycząca procedur oraz instrukcji wynikających z dokumentacji normatywnej;

2) opisy sposobów dokumentowania wykonania czynności w ramach ustalonych procedur;

3) dokumentacja poświadczająca każdorazowe wykonanie procedury.

§ 4.
Rozporządzenie wchodzi w życie z dniem ogłoszenia.