Jednostka organizacyjna pragnąca należycie zabezpieczyć swoje aktywa informa-cyjne winna zarządzać nimi w sposób systemowy i kompleksowy z wykorzysta-niem różnych metodyk i norm (krajowych i międzynarodowych).
SZBI obejmuje całościowo wszelkie wewnętrzne i zewnętrzne zagrożenia63 i składa się z wielu dokumentacji, w tym:
środków bezpieczeństwa stosowanych do zabezpieczenia informacji niejawnych. Obo-wiązek organizacji kancelarii tajnych mają jedynie jednostki organizacyjne dysponują-ce informacjami oznaczonymi klauzulami „ściśle tajne” i „tajne” (art. 42 uoin). W uza-sadniających przypadkach można zorganizować kancelarię tajną obsługującą dwie lub więcej jednostek organizacyjnych. Kierownik jednostki organizacyjnej ma obowiązek informowania, odpowiednio ABW lub SKW o utworzeniu lub likwidacji kancelarii tajnej.
60 Wytyczne Agencji Bezpieczeństwa Wewnętrznego Krajowej Władzy Bezpieczeństwa z dnia 31 grudnia 2010 r.
61 Ibidem, pkt 26–28. Kancelarie ATOMAL – miejsca przechowywania materiałów o
te-matyce nuklearnej lub kryptografi cznej.
62 Zniszczenia dokonuje się w taki sposób, aby niemożliwe było całkowite lub częścio-we odtworzenie jego treści. Dokumenty o klauzuli „ściśle tajne” lub „tajne” powinny być niszczone przez pracownika kancelarii tajnej w obecności świadka posiadającego uprawnienia dostępu do informacji niejawnych o klauzuli co najmniej równej klauzuli tajności niszczonego dokumentu. Zniszczenie dokumentów powinno być potwierdzo-ne protokołem zniszczenia potwierdzonym podpisami osób uczestniczących w niszcze-niu. Po protokolarnym zniszczeniu dokumentu uzupełnia się rejestry, dzienniki i inne informacje o jego rejestracji adnotacją o zniszczeniu (§ 10, ust. 3 rozp.).
63 Zagrożenia – potencjalne przyczyny niepożądanego zdarzenia, które mogą spowo-dować szkodę w zasobach systemu informacyjnego (informatycznego). W literaturze przedmiotu wyróżnia się następujące rodzaje zagrożeń: tradycyjne (szpiegostwo, dy-wersja, sabotaż oraz związane z umyślnym lub nieumyślnym zachowaniem człowie-ka), losowe (wszelkiego rodzaju klęski żywiołowe, katastrofy, awarie, wypadki itp.), technologiczne – związane z przetwarzaniem informacji w urządzeniach i sieciach te-leinformatycznych) oraz odnoszące się do praw obywatelskich (ingerencja służb spe-cjalnych, ograniczanie jawności życia publicznego). Szerzej zob. P. Bączek, Zagrożenia
• PBI64;
• procedur i regulacji wewnątrz jednostkowych;
• instrukcji, zarządzeń i postępowania z systemami informatycznymi;
• instrukcji odtworzenia środowiska po wystąpieniu incydentów związanych
z bezpieczeństwem informacji65;
• spisu zasobów informatycznych;
• dokumentu określającego podatność systemu na incydenty bezpieczeństwa
(poziom zagrożenia nieuprawnionym ujawnieniem66), wnioski z analizy i osza-cowania ryzyka oraz sposoby postępowania w sytuacjach kryzysowych. Przy budowie SZBI, który uwzględnia standardy przyjęte przez NATO i UE, szczególnie przydatne są normy ISO (zob. przypis 17). Aktualnie najpo-pularniejszymi standardami bezpieczeństwa informacji są: norma PN ISO/ IEC 17799:2007 – Technika informatyczna – Technika bezpieczeństwa – Prak-tyczne zasady zarządzania bezpieczeństwem informacji, norma PN ISO/IEC 27001:2007 – Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji. Wymagania oraz norma PN ISO/IEC 27005:2010 – Technika informatyczna – Techniki w bezpieczeństwie informacji. Normy te są zbiorami wytycznych pozwalających na wdrożenie efektywnego SZBI we wszystkich jednostkach organizacyjnych, przy czym każda z nich określa własne wymagania i oszacowuje prawdopodobieństwo oraz skutki wystąpienia niepożądanego zdarzenia/ryzyka.
Jednostki organizacyjne, w których są przetwarzane informacje niejawne, stosują środki bezpieczeństwa fi zycznego odpowiednie do poziomu zagro-żeń w celu uniemożliwienia osobom nieuprawnionym dostępu do informacji w szczególności chroniących przed:
1) działaniem obcych służb specjalnych;
64 PBI to dokument zawierający wiele zaleceń oraz jasno sprecyzowanych zadań i proce-dur, według których dana organizacja buduje, zarządza oraz udostępnia swoje zasoby informacyjne i informatyczne. PBI określa również obowiązki użytkowników systemu lub sieci informatycznych oraz pracowników mających do nich dostęp. Zob. A. Pola-czek, Audyt bezpieczeństwa informacji w praktyce, Gliwice 2006. PBI dotyczy całego procesu korzystania z informacji, tj. zbierania, utrwalania, przechowywania, opra-cowywania, zmieniania, udostępniania i usuwania, a także wszystkich systemów jej przetwarzania, zarówno klasycznych (archiwów, kartotek, dokumentów papierowych), jak i systemów komputerowych. Na podstawie literatury przedmiotu można podzie-lić politykę bezpieczeństwa informacji na trzy obszary, które się wzajemnie przenikają i uzupełniają, a mianowicie: politykę organizacyjną, politykę ochrony technicznej i poli-tykę personalną. W zależności od wielkości organizacji obszary te mogą być zarządzane w różnych komórkach.
65 Incydent bezpieczeństwa to pojedyncze zdarzenie lub seria zdarzeń związanych z bez-pieczeństwem informacji, które zagrażają ich poufności, integralności i dostępności.
66 Poziom zagrożenia określa się w trzystopniowej skali: wysoki, średni albo niski, dla po-mieszczenia lub obszaru, w którym są przetwarzane informacje niejawne. Podstawo-we kryteria i sposób określania poziomu zagrożeń zawiera załącznik nr 1 do Rozporzą-dzenia w sprawie środków bezpieczeństwa fi zycznego stosowanych do zabezpieczenia informacji niejawnych.
2) zamachem terrorystycznym67 lub sabotażem68; 3) kradzieżą lub zniszczeniem materiału;
4) próbą wejścia osób nieuprawnionych do pomieszczeń, w których są przetwa-rzane informacje niejawne;
5) nieuprawnionym dostępem do informacji o wyższej klauzuli tajności, niewyni-kającym z posiadanych uprawnień.
Zakres stosowania środków bezpieczeństwa fi zycznego uzależnia się od poziomu zagrożeń związanych z nieuprawnionym dostępem do informacji nie-jawnych lub ich utratą. Przy określaniu poziomu zagrożeń, o którym mowa, uwzględnia się w szczególności występujące rodzaje zagrożeń, klauzule tajności i liczbę informacji niejawnych. W uzasadnionych przypadkach przy określaniu poziomu zagrożeń uwzględnia się wskazania odpowiednio ABW lub SKW.
W zależności od poziomu zagrożenia, określonego w wyniku przeprowa-dzonej analizy, do ochrony informacji niejawnych wykorzystuje się następujące środki i mechanizmy69:
a) personel bezpieczeństwa – osoby przeszkolone, nadzorowane, a w razie ko-nieczności posiadające odpowiednie uprawnienie dostępu do informacji jawnych, wykonujące czynności związane z fi zyczną ochroną informacji nie-jawnych (w tym kontrole dostępu do pomieszczeń lub obszarów, w których są przetwarzane informacje niejawne, nadzór nad systemem dozoru wizyjnego, a także reagowanie na incydenty bezpieczeństwa, alarmy i sygnały);
67 Obowiązujący polski Kodeks karny nie posługuje się pojęciem terroru i terroryzmu. Używa jedynie pojęcia przestępstwa o charakterze terrorystycznym, które przedsta-wiono w rozdziale XIV Objaśnienie wyrażeń ustawowych – art. 115 § 20: „Przestęp-stwem o charakterze terrorystycznym jest czyn zabroniony zagrożony karą pozba-wienia wolności, której górna granica wynosi co najmniej 5 lat popełniony w celu: 1) poważnego zastraszenia wielu osób, 2) zmuszenia organu władzy publicznej Rzeczy-pospolitej Polskiej lub innego państwa albo organu organizacji międzynarodowej do podjęcia lub zaniechania określonych czynności, 3) wywołania poważnych zakłóceń w ustroju lub gospodarce Rzeczypospolitej Polskiej, innego państwa lub organizacji międzynarodowej – a także groźba popełnienia takiego czynu”.
68 Według Słownika współczesnego języka polskiego sabotaż to: 1) celowe dezorganizo-wanie pracy (np. niszczenie narzędzi, maszyn, spowolnienie produkcji, wykonydezorganizo-wanie wadliwych wyrobów) mające osłabić przeciwnika; dywersja, 2) tajne, podstępne dzia-łanie mające utrudnić lub uniemożliwić realizację jakiegoś planu. W obowiązującym w Polsce Kodeksie karnym penalizowany jest jedynie sabotaż komputerowy. Zgodnie z art. 269 § 1 kk polega on na niszczeniu, uszkadzaniu, usuwaniu lub zmianie danych informatycznych o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w ko-munikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego albo zakłócaniu lub uniemoż-liwianiu automatycznego przetwarzania, gromadzenia lub przekazywania takich da-nych. Sabotaż komputerowy zagrożony jest karą pozbawienia wolności od pół roku do 8 lat.
69 Rozporządzenie w sprawie środków bezpieczeństwa fi zycznego stosowanych do za-bezpieczenia informacji niejawnych.
b) bariery fi zyczne – środki chroniące granice miejsc, w których są przetwarzane informacje niejawne, w szczególności ogrodzenia, ściany, bramy, drzwi i okna; c) szafy i zamki – stosowane do przechowywania informacji niejawnych lub
za-bezpieczające te informacje przed nieuprawnionym dostępem;
d) mechanizmy kontroli dostępu – obejmujące elektroniczny system pomocni-czy lub rozwiązania organizacyjne stosowane w celu zagwarantowania do-stępu do pomieszczenia lub obszaru, w którym są przetwarzane informacje niejawne, wyłącznie osobom posiadającym odpowiednie uprawnienia; e) system sygnalizacji włamania i napadu – elektroniczny system pomocniczy
stosowany w celu realizacji procedur ochrony informacji niejawnych oraz podwyższenia poziomu bezpieczeństwa, który zapewniają bariery fi zyczne, a w pomieszczeniach i budynkach zastępujący lub wspierający personel bez-pieczeństwa;
f) system dozoru wizyjnego – elektroniczny system pomocniczy stosowany w celu bieżącego monitorowania ochronnego lub sprawdzania incydentów bezpieczeństwa i sygnałów alarmowych przez personel bezpieczeństwa; g) system kontroli osób i przedmiotów – obejmujący elektroniczny system
po-mocniczy lub rozwiązanie organizacyjne polegające na zwracaniu się o dobro-wolne poddanie się kontroli lub udostępnienie do kontroli rzeczy osobistych, a także przedmiotów wnoszonych lub wynoszonych – stosowany w celu za-pobiegania próbom nieuprawnionego wnoszenia na chroniony obszar rzeczy zagrażających bezpieczeństwu informacji niejawnych lub nieuprawnionego wynoszenia informacji niejawnych z budynków lub obiektów.