16 dzu 2008 nr 227 poz. 1505 z późn. zm.
17 w resorcie obrony narodowej pełnomocnicy organizują kontrole okresowe w pierwszym kwartale każdego roku ka-lendarzowego. prowadzą również postępowania wyjaśniają-ce okoliczności naruszenia przepisów o ochronie informacji niejawnych oraz przedstawiają ich wyniki kierownikowi jed-nostki organizacyjnej wraz z ewentualnymi wnioskami.
NR 3/2013
P R a w O I d y S C y P L I n a
przetwarzania informacji niejawnych o klauzuli
„zastrzeżone” oraz „poufne”.
Pełnomocnik ocenia poziom zagrożeń dla jed-nostki organizacyjnej, związanych z nieuprawnio-nym dostępem do informacji niejawnych lub ich utratą. Procedura wykonania dokumentacji bezpie-czeństwa przebiega dwuetapowo. Najpierw należy dokonać wspomnianej oceny poziomu zagrożeń.
Analiza powinna uwzględniać sześć czynników:
klauzule tajności przetwarzanych informacji, bę materiałów niejawnych, postać informacji, licz-bę osób z dostępem do informacji niejawnych, lo-kalizację miejsc przechowywania, dostęp osób do budynku. Można również wziąć pod uwagę inne czynniki o realnym znaczeniu: zagrożenie kradzie-żą, pożarem, powodzią. Każdemu z nich przyzna-je się liczbę punktów, wynikającą z przyzna-jego istotności.
Ich suma zdecyduje o przypisaniu jednostki do jed-nego z przewidywanych poziomów zagrożenia.
W przepisach wymieniono trzy poziomy: wysoki, średni i niski – przy czym każdemu przyporządko-wano stały przedział punktowy.
W dalszej kolejności ustala się minimalne wy-magania dla wskazanego poziomu zagrożeń.
Opisano je w formie tabel, obejmujących sześć ro-dzajów zabezpieczeń: szafy stalowe, pomieszcze-nia, budynki, kontrola dostępu, personel bezpie-czeństwa oraz systemy sygnalizacji włamania i na-padu, granice dostępu. Możliwe jest stosowanie elastycznych kombinacji powyższych zabezpie-czeń. Jeśli zabezpieczenia danego typu spełniają niższe standardy, mogą zostać uzupełnione środ-kiem innego rodzaju o wyższym poziomie.
Wymaga się osiągnięcia minimalnej punktacji dla wszystkich stosowanych środków bezpieczeństwa dla konkretnego poziomu stwierdzonych zagrożeń i klauzul tajności.
Taki sposób oceny zagrożeń umożliwia dostoso-wanie ochrony do zindywidualizowanych warun-ków występujących w jednostce organizacyjnej.
Metodykę tych działań opisano w Rozporządzeniu Rady Ministrów z dnia 29 maja 2012 roku w spra-wie środków bezpieczeństwa fizycznego stosowa-nych do zabezpieczenia informacji niejawstosowa-nych18. Pełnomocnik organizuje cykliczne szkolenia doty-czące ochrony informacji niejawnych – co najmniej raz na pięć lat. Ponadto prowadzi zwykłe i
kontrol-ne postępowania sprawdzające wobec pracowników oraz osób wykonujących prace zlecone na rzecz jed-nostki organizacyjnej. Ich celem jest przyznanie do-stępu do informacji niejawnych oznaczonych klau-zulą „poufne”19.
Pełnomocnik prowadzi wykaz osób zatrudnio-nych lub pełniących służbę w jednostce organiza-cyjnej albo wykonujących czynności zlecone, któ-re mają uprawnienia do dostępu do informacji nie-jawnych, oraz osób, którym odmówiono wydania poświadczenia bezpieczeństwa lub je cofnięto.
Przekazuje odpowiednio ABW lub SKW dane osób uprawnionych do dostępu do informacji niejawnych, a także tych, którym odmówiono wydania poświad-czenia bezpieczeństwa lub wobec których wydano decyzję o jego cofnięciu. Powiadamia ABW albo SKW o incydentach dotyczących informacji ozna-czonych klauzulą co najmniej „poufne”.
Pełnomocnik powinien mieć obywatelstwo polskie oraz wykształcenie wyższe. Kandydat na to stano-wisko obowiązkowo podlega poszerzonemu postę-powaniu sprawdzającemu prowadzonemu przez ABW albo SKW. Musi również przejść szkolenie prowadzone przez tę instytucję.
W przywołanym już rozporządzeniu z 2 listopa-da 2011 roku w sprawie szczegółowych zalistopa-dań peł-nomocników ochrony w zakresie ochrony informa-cji niejawnych w jednostkach organizacyjnych pod-ległych ministrowi obrony narodowej lub przez nie-go nadzorowanych przewidziano stanowisko pełno-mocnika ministra, który koordynuje i nadzoruje działanie pozostałych pełnomocników w tym dzia-le administracji20. Ponadto opracowuje wytyczne dla pionów ochrony informacji niejawnych oraz przygotowuje i opiniuje projekty aktów prawnych.
Pełni funkcję gestora dla specjalistycznego sprzę-tu przeznaczonego do ochrony informacji.
Organizuje szkolenie dotyczące ochrony informa-cji niejawnych dla kadry kierowniczej MON, in-spektorów i administratorów bezpieczeństwa
tele-18 dzu 2012 poz. 683.
19 w toku wspomnianych procedur jest uprawniony do wy-dania decyzji administracyjnej o umorzeniu postępowania, odmowie przyznania poświadczenia bezpieczeństwa oraz o jego cofnięciu (w wypadku postępowań kontrolnych).
20 obecnie funkcję tę pełni dyrektor departamentu ochrony informacji niejawnych mon.
P R a w O I d y S C y P L I n a
informatycznego, kierowników i pracowników kan-celarii tajnych oraz dla podmiotów bezpośrednio podporządkowanych ministrowi21.
W rozporządzeniu zakreślono również zasady współdziałania pełnomocników ochrony ze Służbą Kontrwywiadu Wojskowego. W resorcie obrony wydano także odrębną regulację w postaci Decyzji nr 119/MON Ministra Obrony Narodowej z dnia 23 kwietnia 2012 r. w sprawie szczegółowych za-sad oraz trybu prowadzenia i dokumentowania po-stępowań sprawdzających w resorcie obrony na-rodowej22.
Kancelaria tajna jest wyodrębnioną komórką or-ganizacyjną, podległą pełnomocnikowi ochrony, odpowiedzialną za prawidłowe rejestrowanie, prze-chowywanie, obieg i wydawanie materiałów za-wierających informacje niejawne. Podstawowym obowiązkiem kierownika kancelarii jest nadzór nad obiegiem materiałów z wspomnianymi informacja-mi. Czyni to między innymi rejestrując dokumen-ty w narzędziach ewidencyjnych (rejestrze dzien-ników ewidencji i teczek, dziennikach ewidencyj-nych, książkach doręczeń przesyłek miejscowych, wykazach przesyłek nadanych, rejestrach wyda-nych przedmiotów, kartach zapoznania się z doku-mentem). Ponadto udostępnia i przekazuje wspo-mniane materiały osobom uprawnionym oraz czu-wa nad ich zwrotem. Kontroluje przestrzeganie
wła-ściwego oznaczania materiałów. Stanowisko to wy-stępuje w jednostkach dysponujących kancelaria-mi tajnykancelaria-mi (tj. przetwarzających materiały „tajne”
lub „ściśle tajne”). W innym wypadku czynności te może wykonywać inny upoważniony pracownik.
22 maja 2012 roku ukazały się wytyczne Służby Kontrwywiadu Wojskowego w sprawie powoływa-nia i odwoływapowoływa-nia kancelarii kryptograficznych.
Zgodnie z nimi w jednostkach organizacyjnych, nadzorowanych przez SKW, w których wykorzy-stuje się materiały kryptograficzne lub planuje się korzystać z nich, utworzono organy bezpieczeństwa systemów łączności i informatyki (OBSŁiI) oraz stacjonarne lub polowe kancelarie kryptograficzne.
kontrolowanie
Zapewnienie bezpośredniego nadzoru nad sys-temami teleinformatycznymi do przetwarzania in-formacji niejawnych jest zadaniem administratora systemu oraz inspektora bezpieczeństwa. Osoby te wyznacza kierownik jednostki organizacyjnej, określając ich obowiązki w dokumentacji
bezpie-21 wyjątek stanowią: inspektorat wsparcia sz, komenda główna Żandarmerii wojskowej, dowództwo wojsk lądo-wych, dowództwo marynarki wojennej, dowództwo sił po-wietrznych. szkolenia organizują pełnomocnicy w wymienio-nych jednostkach.
22 dz.urz. mon 2012 poz. 148.
sylwia guzowska
bezpieczeństwo systemów teleinformatycznych objęte jest szczególnym nadzorem
NR 3/2013
P R a w O I d y S C y P L I n a
czeństwa sporządzonej dla każdego systemu.
Zwykle obejmują one: sprawdzanie i bieżącą kon-trolę zgodności działania systemu z dokumentacją bezpieczeństwa, jego obsługę, w tym udzielanie do-stępu użytkownikom oraz zapewnienie poufności, integralności i dostępności danych tam zawartych.
Wymienione osoby, w porozumieniu z pełno-mocnikiem, szacują ryzyko, tworząc projekt Szczególnych wymagań bezpieczeństwa oraz Procedur bezpiecznej eksploatacji – dokumentów dla wspomnianych systemów. Oszacowanie obej-muje analizę ryzyka, na którą składają się: identy-fikacja i określenie wielkości ryzyka, następnie je-go ocena. Identyfikacja ryzyka musi uwzględniać:
zasoby systemu teleinformatycznego, występujące zagrożenia, podatność, zastosowane zabezpiecze-nia, następstwa zaistnienia incydentu bezpieczeń-stwa. Określanie poziomu ryzyka wymaga jego po-równania z tymi, które można zaakceptować, oraz podjęcia decyzji dotyczącej dalszego postępowania.
Szacowanie przeprowadza się ponownie w sytu-acji wprowadzania kluczowych zmian w systemie, w razie pojawienia nowych zagrożeń oraz cyklicz-nie w toku zarządzania bezpieczeństwem. 20 stycz-nia 2012 roku minister obrony narodowej wydał Decyzję nr 7/MON w sprawie organizacji ochrony systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych w resorcie obrony narodowej23. W jednostkach organizacyj-nych objętych nią mogą działać oficerowie bezpie-czeństwa systemów łączności i informatyki. Ich za-daniem jest kontrola urządzeń i narzędzi kryptogra-ficznych stosowanych w systemach teleinformatycz-nych oraz nadzorowanie ich przekazywania poza jednostkę organizacyjną. Oficerowie ci uzgadniają dokumentację bezpieczeństwa systemu pod kątem odpowiedniego doboru urządzeń i zabezpieczenia w dokumenty kryptograficzne (fot.).
Użytkownicy informacji niejawnych to osoby wy-konujące wszelkie operacje na nich, w szczególno-ści polegające na zapoznawaniu się z ich treszczególno-ścią, ich wytwarzaniu, kopiowaniu, klasyfikowaniu, przecho-wywaniu oraz udostępnianiu. Do ich obowiązków należy zachowanie w tajemnicy informacji, z któ-rymi zapoznali się w toku czynności służbowych.
Obowiązek ten trwa także po zakończeniu służby, zatrudnienia lub wykonywania zadań
warunkują-cych dostęp do informacji. Są one zobowiązane do przestrzegania przepisów w toku pracy z informa-cjami niejawnymi. Dotyczy to również przestrzega-nia wewnętrznych procedur umieszczonych w pla-nach ochrony, regulamipla-nach organizacyjnych, do-kumentacji systemów teleinformatycznych, instruk-cjach. Obejmują obowiązek wykonywania zaleceń pracowników pionu ochrony. W szczególności cho-dzi tu o takie korzystanie z informacji, które zapew-ni zachowazapew-nie ich tajności.
na rzecz bezPieczeństwa
W polskim systemie prawnym przewidziano obo-wiązek ochrony około 50 rodzajów tajemnic praw-nie chronionych. Nie sformułowano przy tym usta-wowej definicji tego pojęcia. Za tajemnicę należy uznać wszelką informację, którą na mocy przepi-sów ustawowych wyłączono z dostępu do informa-cji publicznej. Przy czym wyłączenie musi mieć charakter wyraźny w wyniku wprowadzenia zaka-zu ich ujawniania lub ustanowienia odrębnej proce-dury udostępniania. Należy przy tym zauważyć, że przepisy o ochronie informacji niejawnych tworzą jedyny tak zaawansowany system ochrony danych.
Jest to podyktowane ich szczególnym znaczeniem dla bezpieczeństwa państwa.
Ochrona informacji niejawnych w naszym kraju jest wzorowana na rozwiązaniach istniejących w państwach o utrwalonym systemie demokratycz-nym. W tekście opisano kompetencje osób odpo-wiedzialnych za ochronę informacji niejawnych. Ich działania tworzą spójny system, który umożliwia zapewnienie bezpieczeństwa informacji oraz ade-kwatną reakcję w wypadku zagrożenia ujawnie-niem. Obowiązujące rozwiązania należy uznać za nowoczesne oraz spełniające światowe standardy.
Należy również podkreślić ich zgodność z artyku-łem 61 ustęp 3 Konstytucji RP z 1997 roku. n
23 dz.urz. mon 2012 poz. 8.
autor jest absolwentem uniwersytetu im. adama mickiewicza w poznaniu oraz studiów doktoranckich na uniwersytecie w poznaniu. był między innymi inspektorem w wydziale bezpieczeństwa i zarządzania kryzysowego w lubuskim urzędzie wojewódzkim. od 2009 r.
jest pełnomocnikiem ds. ochrony informacji niejawnych.
I n n E a R m I E