Chcę w firmie mieć dostęp do informacji o klauzuli zastrzeżone – co muszę zrobić?

Informacje niejawne to informacje, do których dostęp wymaga spełnienia określonych warunków. W Polsce informacje niejawne dzielną się na cztery klauzule: Ściśle Tajne, Tajne, Poufne oraz Zastrzeżone. Organizacja ochrony informacji niejawnych oparta jest na kilku podstawowych zasadach, do których przestrzegania są zobowiązani adresaci ustawy. Najważniejsze zgrupowano w art. 8 ustawy stanowiącym, że informacje niejawne, którym nadano określoną klauzulę tajności:

  • mogą być udostępnione wyłącznie osobie uprawnionej, zgodnie z przepisami ustawy dotyczącymi dostępu do określonej klauzuli tajności;
  • muszą być przetwarzane w warunkach uniemożliwiających ich nieuprawnione ujawnienie, zgodnie z przepisami określającymi wymagania dotyczące kancelarii tajnych, bezpieczeństwa systemów teleinformatycznych, obiegu materiałów i środków bezpieczeństwa fizycznego, odpowiednich do nadanej klauzuli tajności;
  • muszą być chronione, odpowiednio do nadanej klauzuli tajności, z zastosowaniem środków bezpieczeństwa określonych w ustawie i przepisach wykonawczych wydanych na jej podstawie

 

Jak wygląda organizacja przetwarzania informacji niejawnych o klauzuli “ZASTRZEŻONE”?

Zgodnie z art. 5 ust. 4 ustawy informacje niejawne oznaczane są klauzulą „zastrzeżone”, jeżeli nie nadano im wyższej klauzuli tajności, a ich nieuprawnione ujawnienie może mieć szkodliwy wpływ na wykonywanie przez organy władzy publicznej lub inne jednostki organizacyjne zadań w zakresie obrony narodowej, polityki zagranicznej, bezpieczeństwa publicznego, przestrzegania praw i wolności obywateli, wymiaru sprawiedliwości albo interesów ekonomicznych Rzeczypospolitej Polskiej.

Zgodnie z art. 54 ust. 9 ustawy, przedsiębiorca zamierzający wykonywać umowy lub zadania związane z dostępem do informacji niejawnych o klauzuli „zastrzeżone” nie ma obowiązku posiadania świadectwa bezpieczeństwa przemysłowego.

Zgodnie z art. 54 ust. 10 ustawy, jest on jednak zobowiązany spełnić wymagania ustawy w zakresie ochrony informacji niejawnych oznaczonych klauzulą „zastrzeżone”, z wyjątkiem wymogu powoływania pełnomocnika ochrony, jeżeli będzie uzyskiwał dostęp do informacji niejawnych na terenie obiektów jednostki zlecającej wykonanie umowy lub zadania. Zgodnie z art. 21 ust. 4 ustawy, osoby mające wykonywać prace związane z dostępem do informacji niejawnych o klauzuli „zastrzeżone” powinny się legitymować pisemnym upoważnieniem wydanym przez kierownika jednostki organizacyjnej, w sytuacji, gdy nie posiadają poświadczenia bezpieczeństwa oraz zaświadczeniem o odbyciu szkolenia w zakresie ochrony informacji niejawnych.

W praktyce oznacza to, iż w przypadku gdy przedsiębiorca zamierza wykonywać prace, które wiążą się z dostępem do informacji niejawnych o klauzuli “zastrzeżone” w obiektach zleceniodawcy (bez konieczności przetwarzania ich u siebie), wystarczy że jego pracownicy posiadają stosowne upoważnienie wydane przez Kierownika jednostki organizacyjnej oraz zaświadczenie o przeszkoleniu wydane przez Pełnomocnika ds. ochrony informacji niejawnych. Pełnomocnik w takim przypadku może być zatrudniony tylko do przeprowadzenia szkolenia. Art. 21 ust. 4 pkt 1 ustawy nie wskazuje wprost, na jakiej podstawie prawnej Kierownik jednostki organizacyjnej będzie miał dostęp do klauzuli „zastrzeżone”. Mając jednak na względzie, iż to on jest podmiotem uprawnionym do wydawania pisemnych upoważnień do dostępu do takich informacji, należy wnioskować, iż ma on zapewniony dostęp do klauzuli „zastrzeżone” na mocy ustawy, bez konieczności wydawania odrębnego pisemnego upoważnienia, w którym sam siebie upoważniałby do tych informacji niejawnych. Należy jednak pamiętać, iż aby mieć dostęp do informacji niejawnych musi on także posiadać zaświadczenie o przeszkoleniu w zakresie ochrony informacji niejawnych. Nie wyobrażam sobie sytuacji, gdzie Kierownik jednostki organizacyjnej wydaje upoważnienia dostępu do informacji “zastrzeżonych” samemu nie będąc przeszkolonym w tym zakresie i tak naprawdę nie mając wiedzy na temat informacji niejawnych.

Jeśli natomiast przedsiębiorca chciałby przetwarzać informacje niejawne we własnych obiektach musi on zorganizować Pion ochrony informacji niejawnych oraz zatrudnić Pełnomocnika ds. ochrony informacji niejawnych. Zgodnie z art. 15 ust. 2 ustawy organizacja pionu ochrony w jednostkach organizacyjnych, w których przetwarzane są informacje niejawne o klauzuli „zastrzeżone”, nie różni się zasadniczo od organizacji pionu ochrony jednostek, w których przetwarzane są informacje o wyższych klauzulach. W przypadku przetwarzania informacji niejawnych oznaczonych klauzulą „zastrzeżone” Pełnomocnik ochrony zobowiązany jest do sporządzenia planu ochrony informacji niejawnych oraz instrukcji dotyczącej sposobu i trybu przetwarzania tych informacji oraz zakresu i warunków stosowania środków bezpieczeństwa fizycznego w celu ich ochrony. W przypadku informacji niejawnych o klauzuli “zastrzeżone” nie ma konieczności tworzenia stref ochronnych, lecz należy wyznaczyć pomieszczenie, w którym będzie wprowadzona kontrola dostępu. Informacje niejawne o klauzuli „zastrzeżone” przetwarza się w pomieszczeniu lub obszarze wyposażonych w system kontroli dostępu i przechowuje się w szafie metalowej, pomieszczeniu wzmocnionym lub zamkniętym na klucz meblu biurowym.  Za pomieszczenie to powinien być odpowiedzialny pracownik Pionu ochrony. Należy pamiętać, iż chociaż przy klauzuli “zastrzeżone” nie am wymogu sporządzenia dokumentacji określające poziom zagrożeń związanych z nieuprawnionym dostępem do informacji niejawnych lub ich utratą, Pełnomocnik ochrony musi przeprowadzić analizę zagrożeń zgodnie z metodyką opisaną w Rozporządzeniu Rady Ministrów z dnia 29 maja 2012 r. w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczania informacji niejawnych. W zależności od wyznaczonego poziomu zagrożeń za wprowadzone zabezpieczenia fizyczne należy zdobyć od 2 do 4 pkt.

W przypadku gdy przedsiębiorca, dodatkowo będzie chciał posiadać system teleinformatyczny przetwarzający informacje niejawne oznaczone klauzulą “zastrzeżone” musi on zatrudnić Administratora systemu oraz Inspektora bezpieczeństwa teleinformatycznego. Osoby te powinny przejść specjalistyczne szkolenie w ABW. Pełnomocnik ochrony może również pełnić rolę Inspektora BTI, musi on również odbyć szkolenie specjalistyczne dla Inspektorów w ABW. Pełnomocnik ochrony w takim przypadku wraz z Administratorem i Inspektorem tworzą dokumentację bezpieczeństwa systemów teleinformatycznych przetwarzających informacje niejawne, tj. Szczególne wymagania bezpieczeństwa (SWB) oraz Procedury bezpiecznej eksploatacji (PBE). Dokumentację tę zatwierdza Kierownik jednostki organizacyjnej, tym samym wydając akredytację dla systemu teleinformatycznego. Ponadto w ciągu 30 dni od zatwierdzenia, dokumentację tę wysyła się do ABW celem sprawdzenia jej pod kontem zgodności z obowiązującymi procedurami. W ciągu 30 dni od otrzymania dokumentacji bezpieczeństwa systemu teleinformatycznego ABWmoże przedstawić Kierownikowi jednostki organizacyjnej, który udzielił akredytacji bezpieczeństwa teleinformatycznego, zalecenia dotyczące konieczności przeprowadzenia dodatkowych czynności związanych z bezpieczeństwem informacji niejawnych. Kierownik jednostki organizacyjnej w terminie 30 dni od otrzymania zalecenia informuje ABW o realizacji zaleceń lub przesyła ponownie dokumentację z naniesionymi poprawkami. W szczególnie uzasadnionych przypadkach ABW może nakazać wstrzymanie przetwarzania informacji niejawnych w systemie teleinformatycznym posiadającym akredytację bezpieczeństwa teleinformatycznego.

Reasumując przy klauzuli „ZASTRZEŻONE”, w przypadku przedsiębiorcy chcącego posiadać pełną zdolność do ochrony tych informacji:

  • Wszelkie dokumenty podpisuje i zatwierdza Kierownik Jednostki Organizacyjnej, ABW nie przeprowadza postępowanie sprawdzające zwane postępowaniem bezpieczeństwa przemysłowego
  • Potrzebne osoby funkcyjne:
    • Kierownik Jednostki Organizacyjnej
    • Pełnomocnik ds. Ochrony Informacji Niejawnych: obywatelstwo polskie, wykształcenie wyższe, poświadczenie bezpieczeństwa (wydaje ABW), szkolenie w ABW (szkolenie raz na 5 lat)
    • Kierownik kancelarii niejawnej (punktu przetwarzania informacji zastrzeżonych): upoważnienie wydane przez Kierownika Jednostki Organizacyjnej oraz przeszkolenie przez Pełnomocnika ds. Ochrony Informacji Niejawnych
    • Administrator systemu niejawnego: upoważnienie wydane przez Kierownika Jednostki Organizacyjnej, przeszkolenie przez Pełnomocnika ds. Ochrony Informacji Niejawnych oraz specjalistyczne szkolenie w ABW
    • Inspektor Bezpieczeństwa TI: upoważnienie wydane przez Kierownika Jednostki Organizacyjnej, przeszkolenie przez Pełnomocnika ds. Ochrony Informacji Niejawnych oraz specjalistyczne szkolenie w ABW – tę funkcję może również pełnić Pełnomocnik ds. Ochrony Informacji Niejawnych pod warunkiem posiadania szkolenie specjalistycznego w ABW
  • Potrzebne pomieszczenie:
    • Dowolne pomieszczenie, zamykane na klucz z kontrolą dostępu (techniczną lub organizacyjną)
    • Zabezpieczenia fizyczne dostosowane do określonego poziomu zagrożeń – od 2 do 4 pkt. według metodyki z Rozporządzenia Rady Ministrów z dnia 29 maja 2012 r. w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczania informacji niejawnych
  • Potrzebny sprzęt komputerowy/biurowy
    • Zwykły komputer (może być nawet notebook)
    • Zwykła drukarka
    • Niszczarka spełniająca normę w zakresie niszczenia dokumentów o klauzuli “zastrzeżone”
  • Potrzebna dokumentacja:
    • Plan ochrony informacji niejawnych w jednostce organizacyjnej, w tym w razie wprowadzenia stanu nadzwyczajnego
    • Instrukcja dotycząca sposobu i trybu przetwarzania informacji niejawnych o klauzuli zastrzeżone w podległych komórkach organizacyjnych oraz zakres i warunki stosowania środków bezpieczeństwa fizycznego w celu ich ochrony
    • Wykaz osób zatrudnionych lub pełniących służbę w jednostce organizacyjnej albo wykonujących czynności zlecone, które posiadają uprawnienia do dostępu do informacji niejawnych, oraz osób, którym odmówiono wydania poświadczenia bezpieczeństwa lub je cofnięto
    • Szczególne wymagania bezpieczeństwa (SWB)
    • Procedury bezpiecznej eksploatacji (PBE)

Zapraszamy do zapoznania się z naszą ofertą. Świadczymy usługi przygotowania i wdrożenia procedur ochrony informacji niejawnych dla każdej klauzuli niejawności. Otrzymują Państwo kompleksowe wykonanie działań polegających na przygotowaniu Państwa przedsiębiorstwa do przetwarzania informacji niejawnych i gwarancję sukcesu.

Zobacz również:

Leave a Comment

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.