Porozumienie o przeprowadzeniu oceny bezpieczeństwa

Porozumienie o przeprowadzeniu oceny bezpieczeństwa

stanowi załącznik do rozporządzenia Rady Ministrów z dnia 6 czerwca 2025 r. w sprawie przeprowadzania oceny bezpieczeństwa związanej z zapobieganiem zdarzeniom o charakterze terrorystycznym lub uprawdopodabniającym popełnienie przestępstwa szpiegostwa.

📝 Wzór porozumienia dostępny do pobrania w interaktywnym formacie PDF

Porozumienie o przeprowadzeniu oceny bezpieczeństwa to dokument, który formalizuje proces audytu systemów teleinformatycznych. Jest to umowa zawierana pomiędzy podmiotem zarządzającym systemem a Agencją Bezpieczeństwa Wewnętrznego (ABW), która określa ramy, zakres i harmonogram testów bezpieczeństwa. Celem jest identyfikacja podatności i wzmocnienie ochrony infrastruktury krytycznej oraz kluczowych systemów państwowych.

Czym jest ocena bezpieczeństwa systemu?

Ocena bezpieczeństwa to kompleksowy proces analityczny, którego celem jest weryfikacja odporności systemu teleinformatycznego na potencjalne zagrożenia. Polega na symulowaniu działań, które mógłby podjąć potencjalny intruz w celu naruszenia poufności, integralności lub dostępności danych. Proces ten jest ściśle regulowany, a jego przebieg musi być precyzyjnie zaplanowany, aby zminimalizować ryzyko zakłócenia pracy badanego systemu.

Rodzaje czynności w ramach oceny bezpieczeństwa

Zgodnie z regulacjami, audyt bezpieczeństwa może obejmować szeroki wachlarz działań, od pasywnych po aktywne testy penetracyjne. Podstawowe czynności to:

• Pasywne zbieranie informacji (OSINT): Gromadzenie ogólnodostępnych danych z internetu dotyczących systemu, które mogą wpłynąć na jego bezpieczeństwo.
• Półpasywne zbieranie informacji: Analiza systemu z perspektywy zwykłego użytkownika (bez uprawnień uwierzytelnionych), w celu zrozumienia jego funkcjonowania i potencjalnych słabości.
• Aktywne zbieranie informacji: Działania przekraczające uprawnienia standardowego użytkownika, takie jak skanowanie portów, enumeracja usług czy wykrywanie systemów zabezpieczeń (IDS/IPS, firewall).
• Identyfikacja podatności: Analiza zebranych informacji w celu zidentyfikowania konkretnych luk w architekturze systemu i jego usługach sieciowych.

Za dodatkową zgodą podmiotu zarządzającego, ocena może zostać rozszerzona o bardziej zaawansowane testy:

• Wykorzystanie podatności (exploitation): Próby aktywnego użycia zidentyfikowanych luk w celu ominięcia zabezpieczeń.
• Analiza wpływu inżynierii społecznej: Testowanie odporności procedur bezpieczeństwa poprzez weryfikację zachowań użytkowników.
• Testy odporności na złośliwe oprogramowanie: Sprawdzenie, jak system reaguje na symulowane ataki z wykorzystaniem narzędzi hakerskich.
  
  

Jak przebiega proces zawarcia porozumienia z ABW?

Procedura prowadząca do podpisania porozumienia jest wieloetapowa i zapewnia obu stronom możliwość precyzyjnego ustalenia warunków audytu. Oto kluczowe kroki:

1. Krok 1: Wstępne zapytanie i zebranie informacji
   ABW zwraca się do podmiotu z prośbą o przekazanie kluczowych informacji o systemie, takich jak jego architektura, adresacja sieciowa, polityka kopii zapasowych, posiadane zabezpieczenia oraz dane kontaktowe do osób odpowiedzialnych za proces po stronie podmiotu. Termin na odpowiedź to 14 dni (dla systemów w planie rocznym) lub 7 dni (dla systemów spoza planu).
2. Krok 2: Analiza i projekt porozumienia
   Na podstawie otrzymanych danych, ABW w ciągu 30 dni przygotowuje i przesyła projekt porozumienia. Dokument ten zawiera propozycję harmonogramu, zakresu oraz rodzaju testów bezpieczeństwa.
3. Krok 3: Negocjacje i uzgodnienia
   Podmiot zarządzający systemem ma 14 dni na wniesienie ewentualnych zastrzeżeń do projektu. Mogą one dotyczyć np. zakresu testów, aby zminimalizować ryzyko zakłóceń w działaniu systemu. ABW analizuje zastrzeżenia i jeśli ich uwzględnienie nie uczyni oceny bezwartościową, wprowadza stosowne zmiany.
4. Krok 4: Zawarcie finalnego porozumienia
   Po zakończeniu uzgodnień, Szef ABW oraz kierownik podmiotu zarządzającego systemem podpisują ostateczną wersję porozumienia.

Co zawiera Porozumienie o przeprowadzeniu oceny bezpieczeństwa?

Finalny dokument jest szczegółowym planem działania. Jego wzór jest określony w załączniku do rozporządzenia, a kluczowe elementy to:

• Harmonogram oceny: Dokładne daty rozpoczęcia i zakończenia testów.
• Zakres i rodzaj testów: Precyzyjne określenie, jakie czynności (zgodnie z § 3 rozporządzenia) będą przeprowadzane.
• Dane kontaktowe: Wskazanie osoby wyznaczonej do bieżącego kontaktu oraz osoby upoważnionej do reprezentowania podmiotu.
• Zgody na ryzyko: Ewentualna zgoda podmiotu na przeprowadzenie testów mimo zidentyfikowanych ryzyk (np. możliwość zakłócenia pracy systemu).
• Dostęp do infrastruktury: Uzgodnienia dotyczące sposobu udostępnienia pomieszczeń lub urządzeń zespołowi przeprowadzającemu audyt.
  
  

Przebieg i zakończenie oceny bezpieczeństwa

Stały kontakt i możliwość wstrzymania testów

Podczas trwania audytu kluczowy jest stały kontakt między osobą wyznaczoną przez podmiot a zespołem ABW. W przypadku wystąpienia nieprzewidzianych zakłóceń lub realnego zagrożenia dla stabilności systemu, testy są natychmiast wstrzymywane. Dalsze działania mogą być podjęte tylko na pisemny wniosek podmiotu, który akceptuje związane z tym ryzyko.

Raport końcowy – podsumowanie i rekomendacje

W terminie 60 dni od zakończenia oceny, ABW przygotowuje szczegółowy raport. Zawiera on m.in. opis przeprowadzonych testów, wykaz zidentyfikowanych podatności wraz z oceną poziomu ich zagrożenia oraz, co najważniejsze, zalecenia i rekomendacje dotyczące usunięcia luk i wzmocnienia bezpieczeństwa systemu.

Ryzyka i sytuacje szczególne – kiedy ocena może zostać wstrzymana?

ABW może odstąpić od przeprowadzenia oceny, jeśli analiza wstępna wykaże zbyt wysokie ryzyko, np. gdy:

• Podmiot nie posiada aktualnej kopii bezpieczeństwa.
• Istnieje groźba nieodwracalnego zniszczenia danych.
• Czas przywracania systemu z backupu jest zbyt długi i mógłby zakłócić jego funkcjonowanie.
• Testy mogłyby uszkodzić infrastrukturę fizyczną.

W takich sytuacjach podmiot może jednak złożyć wniosek o przeprowadzenie audytu, świadomie akceptując potencjalne negatywne konsekwencje.

Data wejścia w życie: 8 lipiec 2025 r.
Podstawa prawna: — Dz.U. 2025, poz. 810