Prezentacja MNiSW Ochrona informacji niejawnych

Download Report

Transcript Prezentacja MNiSW Ochrona informacji niejawnych

Ochrona informacji niejawnych w
prowadzonych przygotowaniach
obronnych w świetle nowej ustawy o
ochronie informacji niejawnych
Dz. U. Nr 182, poz. 1228
Zmiany systemowe w ujęciu ogólnym:
• Ograniczenie ilości informacji niejawnych poprzez
zmianę definicji klauzul.
• Rezygnacja z podziału na tajemnicę państwową i
służbową.
• Możliwość kwestionowania zawyżonej lub zaniżonej
klauzuli.
• Elementy zarządzania ryzykiem.
• Zmiana zasad obiegu i przechowywania informacji o
niższych klauzulach.
• Rezygnacja z postępowań sprawdzających do poziomu
„zastrzeżone”.
• Zwiększenie elastyczności okresów ochrony informacji
niejawnych.
• Obowiązkowe odrębne szkolenia dla kierowników
jednostek organizacyjnych (KJO).
• Obowiązkowe cykliczne szkolenia dla wszystkich
uczestników przetwarzania informacji niejawnych.
• Jedna krajowa władza bezpieczeństwa.
Zmiany w ujęciu szczegółowym:
• Brak załącznika – rozbudowane definicje klauzul –
przesądza interes państwa.
• Brak „sztywnych” okresów ochrony.
• Znaczące rozszerzenie zakresu stosowania kpa w
postępowaniach sprawdzających.
• Definicje przedsiębiorcy, kierownika przedsiębiorcy,
przetwarzania informacji, systemu teleinformatycznego.
• Jedna KWB – Szef ABW.
• Szkolenia: cykliczność i zróżnicowanie podmiotowe.
• Dostęp do „zastrzeżonych” na podstawie upoważnienia
KJO, po przeszkoleniu.
• Zniesienie obligatoryjnej odmowy dla osób skazanych
za określone kategorie przestępstw.
• Procedura wstępnej weryfikacji informacji przed
wszczęciem kontrolnego postępowania
sprawdzającego.
• Dobór środków bezpieczeństwa fizycznego uzależniony
od faktycznego poziomu zagrożeń.
• Obowiązek organizowania kancelarii tajnej od klauzuli
„tajne”.
• Zasady obiegu informacji „poufne”
i „zastrzeżone” określa KJO.
• Jedna KT obsługuje więcej jednostek.
• Obowiązek informowania służb
o utworzeniu i likwidacji KT.
• Szacowanie ryzyka w bezpieczeństwie
teleinformatycznym.
• Systemy teleinformatyczne „zastrzeżone” akredytuje
KJO.
• Certyfikacja środków ochrony kryptograficznej,
elektromagnetycznej oraz innych zabezpieczających.
• Okresowa akredytacja systemów TI.
• Możliwość zastosowania środka kryptograficznego
certyfikowanego przez NATO, UE lub państwo
członkowskie.
• Świadectwo bezpieczeństwa przemysłowego od
klauzuli „poufne”.
• Przedsiębiorcy wykonujący działalność gospodarczą
osobiście – wystarczy poświadczenie bezpieczeństwa
(PB).
• Rezygnacja z obowiązku tworzenia pionu ochrony przy
świadectwach bezpieczeństwa przemysłowego (ŚBP)
III stopnia.
• Sprawdzenia przedsiębiorcy, czy nie utracił zdolności
do ochrony informacji niejawnych.
Nadawanie klauzul,
zadania kierownika jednostki organizacyjnej
i pełnomocnika ochrony;
bezpieczeństwo osobowe.
art. 1 ust. 1 uooin
Ustawa określa zasady ochrony informacji, których
nieuprawnione ujawnienie spowodowałoby lub mogłoby
spowodować szkody dla Rzeczypospolitej Polskiej
albo byłoby z punktu widzenia jej interesów
niekorzystne, także w trakcie ich opracowywania oraz
niezależnie od formy i sposobu ich wyrażania, zwanych
dalej „informacjami niejawnymi”, (…)
art. 1 ust. 3 uooin
Przepisy ustawy o ochronie informacji niejawnych nie
naruszają przepisów innych ustaw o ochronie tajemnicy
zawodowej lub innych tajemnic prawnie
chronionych, z zastrzeżeniem art. 5.
2. Nowe definicje klauzul tajności.
• Art. 5 uooin – określa zakres rzeczowy
informacji niejawnych, w zależności od ich
znaczenia dla sfer interesów
Rzeczypospolitej Polskiej;
• Podział na 4 kategorie – adekwatnie
oznaczane klauzulami tajności:
- „ściśle tajne”,
- „tajne”,
- „poufne”,
- „zastrzeżone”.
ŚCIŚLE TAJNE
nieuprawnione ujawnienie spowoduje wyjątkowo poważną szkodę dla Rzeczypospolitej
Polskiej przez to, że:
- zagrozi niepodległości, suwerenności lub integralności terytorialnej Rzeczypospolitej
Polskiej;
- zagrozi bezpieczeństwu wewnętrznemu lub porządkowi konstytucyjnemu
Rzeczypospolitej Polskiej;
- zagrozi sojuszom lub pozycji międzynarodowej Rzeczypospolitej Polskiej;
- osłabi gotowość obronną Rzeczypospolitej Polskiej;
- doprowadzi lub może doprowadzić do identyfikacji funkcjonariuszy, żołnierzy lub
pracowników służb odpowiedzialnych za realizację zadań wywiadu lub kontrwywiadu,
którzy wykonują czynności operacyjno-rozpoznawcze, jeżeli zagrozi to bezpieczeństwu
wykonywanych czynności lub może doprowadzić do identyfikacji osób udzielających
im pomocy w tym zakresie;
- zagrozi lub może zagrozić życiu lub zdrowiu funkcjonariuszy, żołnierzy lub pracowników,
którzy wykonują czynności operacyjno-rozpoznawcze, lub osób udzielających im pomocy
w tym zakresie;
- zagrozi lub może zagrozić życiu lub zdrowiu świadków koronnych lub osób dla nich
najbliższych albo świadków, o których mowa w art. 184 ustawy z dnia 6 czerwca 1997 r. —
Kodeks postępowania karnego
(Dz. U. Nr 89, poz. 555, z późn. zm.5)), lub osób dla nich najbliższych.
TAJNE
nieuprawnione ujawnienie spowoduje poważną szkodę dla Rzeczypospolitej
Polskiej przez to, że:
- uniemożliwi realizację zadań związanych z ochroną suwerenności lub
porządku konstytucyjnego Rzeczypospolitej Polskiej;
- pogorszy stosunki Rzeczypospolitej Polskiej z innymi państwami lub
organizacjami międzynarodowymi;
- zakłóci przygotowania obronne państwa lub funkcjonowanie Sił Zbrojnych
Rzeczypospolitej Polskiej;
- utrudni wykonywanie czynności operacyjno-rozpoznawczych prowadzonych
w celu zapewnienia bezpieczeństwa państwa lub ścigania sprawców zbrodni
przez służby lub instytucje do tego uprawnione;
- w istotny sposób zakłóci funkcjonowanie organów ścigania
i wymiaru sprawiedliwości;
- przyniesie stratę znacznych rozmiarów w interesach ekonomicznych
Rzeczypospolitej Polskiej.
POUFNE
nieuprawnione ujawnienie spowoduje szkodę dla
Rzeczypospolitej Polskiej przez to, że:
- utrudni prowadzenie bieżącej polityki zagranicznej Rzeczypospolitej
Polskiej;
- utrudni realizację przedsięwzięć obronnych lub negatywnie wpłynie na
zdolność bojową Sił Zbrojnych Rzeczypospolitej Polskiej;
- zakłóci porządek publiczny lub zagrozi bezpieczeństwu obywateli;
- utrudni wykonywanie zadań służbom lub instytucjom odpowiedzialnym za
ochronę bezpieczeństwa lub podstawowych interesów Rzeczypospolitej
Polskiej;
- utrudni wykonywanie zadań służbom lub instytucjom odpowiedzialnym za
ochronę porządku publicznego, bezpieczeństwa obywateli lub ściganie
sprawców przestępstw
i przestępstw skarbowych oraz organom wymiaru sprawiedliwości;
- zagrozi stabilności systemu finansowego Rzeczypospolitej Polskiej;
- wpłynie niekorzystnie na funkcjonowanie gospodarki narodowej.
ZASTRZEŻONE
nieuprawnione ujawnienie może mieć
szkodliwy wpływ
na wykonywanie przez organy władzy publicznej lub inne jednostki
organizacyjne zadań w zakresie:
- obrony narodowej,
- polityki zagranicznej,
- bezpieczeństwa publicznego,
- przestrzegania praw i wolności obywateli,
- wymiaru sprawiedliwości albo
- interesów ekonomicznych
Rzeczypospolitej Polskiej.
3. Zmiana zasad nadawania, zmiany i znoszenia klauzul; czas ich
obowiązywania.
REGUŁA: ochrona do czasu zniesienia lub zmiany
klauzuli tajności, przy czym - właściwa osoba może
określić „z góry” datę lub wydarzenie, po którym
nastąpi klauzuli tej zniesienie lub zmiana.
WARUNEK PRZEDMIOTOWY: ustanie lub zmiana
ustawowych przesłanek ochrony
– czyli, gdy informacja utraci cechy, które
predestynują ją do opatrzenia właściwą klauzulą
tajności, zgodnie z wymogami określonymi w art. 5
uooin.
Cd. pkt 3. Zmiana zasad nadawania, zmiany
i znoszenia klauzul; czas ich obowiązywania.
WARUNEK PODMIOTOWY: wyrażenie pisemnej
zgody przez właściwą osobę albo jej przełożonego; w
przypadku klauzuli „ściśle tajne” – pisemną zgodę
wyraża KJO, w której została klauzula ta nadana.
INSTRUMENT: KJO przeprowadzają nie rzadziej niż
raz na 5 lat przegląd materiałów pod kątem
spełniania warunków klasyfikacyjnych.
UWAGA – uprawnienia „dziedziczą” następcy prawni,
a gdy ich brak – odpowiednio: ABW albo SKW.
4. Weryfikacja prawidłowości nadanej
klauzuli tajności.
UWAGA – nie należy traktować jako instrumentu
udostępniania informacji publicznej w trybie
art. 16 w zw. z art. 5 ust. 1 ustawy
z dnia 6 września 2001 r. o dostępie
do informacji publicznej
(Dz. U. Nr 112, poz. 1198 z późn. zm.).
UOOIN określa procedurę w „wewnętrznym” obrocie IN –
czyli między podmiotami uprawnionymi do ich
przetwarzania.
Cd. pkt 4. Weryfikacja prawidłowości nadanej
klauzuli tajności.
PROCEDURA w przypadku stwierdzenia zawyżenia lub
zaniżenia klauzuli tajności:
- wniosek odbiorcy do osoby, która nadała klauzulę tajności
albo do jej przełożonego – o dokonanie stosownej zmiany,
- w przypadku odmowy lub braku reakcji w ciągu 30 dni –
wnoszący może zwrócić się odpowiednio do ABW lub SKW
o rozstrzygnięcie (służby mają na to 30 dni od daty złożenia
do nich wniosku),
- sytuacja szczególna – gdy stroną sporu jest ABW
lub SKW – rozstrzyga Prezes Rady Ministrów
lub upoważniona przez niego, w uooin wskazana osoba.
5. KONTROLA STANU ZABEZPIECZENIA INFORMACJI NIEJAWNYCH (w tym możliwość
kontroli systemów teleinformatycznych nieposiadających akredytacji bezpieczeństwa
teleinformatycznego).
• Uprawnienia kontrolerów z ABW lub SKW – art. 12 ust.
1 uooin – 8 punktów.
• Uprawnienie szczególne – udostępnienie do kontroli
systemów teleinformatycznych nieposiadających
akredytacji:
a)warunek: w czasie kontroli zostanie w znacznym
stopniu uprawdopodobnione podejrzenie możliwości
przetwarzania informacji niejawnych w systemach
teleinformatycznych innych niż do tego przeznaczone,
b)cel i zakres: udostępnienie jest niezbędne do ustalenia
czy nieuprawnione przetwarzanie miało miejsce oraz
wyjaśnienie okoliczności z tym związanych.
Cd. pkt 5
• Dodatkowy obszar kontroli – prawidłowość realizacji
postępowań sprawdzających, kontrolnych
postępowań sprawdzających oraz postępowań
bezpieczeństwa przemysłowego:
a) postępowań realizowanych przez ABW albo SKW –
realizuje Prezes Rady Ministrów,
b) postępowań realizowanych przez pełnomocników
ochrony (PO) – realizują odpowiednio: ABW albo
SKW,
c) wyłączenie: postępowania realizowane przez AW,
CBA, BOR, Policję, SW, SWW, SG oraz ŻW – na ich
„wewnętrzne” potrzeby.
UWAGA - Subsydiarne stosowanie enumeratywnie
wskazanych przepisów ustawy z dnia 23 grudnia
1994 r.
o Najwyższej Izbie Kontroli (Dz. U. z 2007 r. Nr 231,
poz. 1701 z późn. zm.)
6. Zadania KJO i pełnomocników ochrony
A) KJO – kompetencja ogólna – odpowiedzialność za ochronę informacji
niejawnych, w szczególności za zorganizowanie
i zapewnienie funkcjonowania tej ochrony.
Dodatkowo – zadania szczególne wynikające z poszczególnych przepisów
uooin, np.:
- art. 42 ust. 1 – KJO tworzy kancelarię tajną i zatrudnia jej kierownika,
- art. 48 ust. 9 – KJO udziela akredytacji bezpieczeństwa teleinformatycznego
dla systemu teleinformatycznego przeznaczonego do przetwarzania
informacji niejawnych
o klauzuli „zastrzeżone” przez zatwierdzenie dokumentacji bezpieczeństwa
systemu teleinformatycznego.
B) PO – kompetencja ogólna – odpowiedzialność za zapewnienie
przestrzegania przepisów o ochronie informacji niejawnych.
Dodatkowo – zadania szczególne – art. 15 ust. 1 uooin.
7. Zmiany w systemie szkoleń
• Właściwość podmiotowa - art. 19 ust. 2 uooin:
a) ABW lub SKW - dla:
- PO i ich zastępców (także osoby przewidziane na te stanowiska),
- przedsiębiorców wykonujących działalność jednoosobowo,
- kierowników przedsiębiorców, u których nie zatrudniono PO.
b) ABW lub SKW wspólnie z PO - dla kierownika jednostki organizacyjnej,
w której są przetwarzane informacje niejawne o klauzuli „ściśle tajne”
lub „tajne”.
c) PO - dla pozostałych osób w jednostce organizacyjnej.
d) ABW – dla posłów i senatorów.
Cd. pkt 7
• Cykliczność – nie rzadziej niż raz na 5
lat; przesądza aktualne zaświadczenie
o przeszkoleniu.
• Podstawą finansowo-organizacyjną –
umowa.
8. Zasady dostępu do informacji niejawnych o klauzuli
„zastrzeżone”.
•
•
a)
b)
Podstawa prawna – art. 21 ust. 4 uooin.
Wymogi:
pisemne upoważnienie przez KJO
– chyba że dana osoba posiada poświadczenie
bezpieczeństwa,
odbycie szkolenia w zakresie ochrony informacji
niejawnych.
9. Rodzaje postępowań sprawdzających.
1) Zwykłe postępowanie sprawdzające:
- kryterium rzeczowe: dostęp do informacji
niejawnych
o klauzuli „poufne”,
- kryterium podmiotowe – wyłączenie:
a) PO, zastępców PO oraz kandydatów na te
stanowiska,
b) KJO, w których są przetwarzane informacje
niejawne o klauzuli „poufne” lub wyższej,
c) osób ubiegających się o dostęp do
międzynarodowych informacji niejawnych;
- podmiot prowadzący – co do zasady PO jednostki
organizacyjnej, z zastrzeżeniem art. 23 ust. 5
uooin.
Cd. pkt 9
2) Poszerzone postępowanie sprawdzające:
- kryterium rzeczowe: dostęp do informacji
niejawnych o klauzuli „tajne” lub „ściśle tajne”,
- kryterium podmiotowe: osoby wymagające dostępu
do w/w klauzul oraz osoby wyłączone z zakresu
zwykłego postępowania sprawdzającego (niezależnie
od klauzuli tajności),
- podmiot prowadzący – odpowiednio ABW
lub SKW, z zastrzeżeniem art. 23 ust. 5 uooin.
10. Poświadczenie bezpieczeństwa
jako podstawa dostępu do informacji niejawnych oraz sytuacje
wyjątkowe w tym zakresie.
Droga odwoławcza w przypadku odmowy wydania lub cofnięcia
poświadczenia bezpieczeństwa.
10.1. ZASADA:
- klauzula „poufne” i wyższa,
- przeprowadzone stosowne postępowania
sprawdzające (zwykłe albo poszerzone),
- termin ważności:
# 10 lat – „poufne”,
# 7 lat – „tajne”,
# 5 lat – „ściśle tajne”.
10.2. Sytuacje szczególne:
-
art. 29 ust. 5 uooin – ograniczenie stosowania poświadczeń
bezpieczeństwa (PB) wydanych
w trybie art. 23 ust. 5 uooin (podmioty prowadzące
postępowania sprawdzające
„na własne potrzeby”),
- art. 34 ust. 1 i 2 uooin – gdy dana osoba posiada już odpowiednie
PB (z wyjątkiem wydanych
w trybie art. 23 ust. 5 uooin) i przedstawia
je w „nowym” miejscu pracy lub służby – KJO,
w terminie 7 dni informuje o zatrudnieniu tej osoby organ, który
wydał PB oraz odpowiednio ABW lub SKW.
10.3. Wyjątki od zasady:
- art. 34 ust. 4 uooin – wyłączenie rzeczowe, gdy dostęp
do informacji niejawnych wynika z ratyfikowanych przez
RP umów międzynarodowych, wówczas nie
przeprowadza się postępowania sprawdzającego,
- art. 34 ust. 10 uooin – wyłączenia podmiotowe i ich
regulacje szczególne związane z:
a) dostępem do międzynarodowych informacji
niejawnych,
b) dostępem do informacji niejawnych o klauzuli „ściśle
tajne”,
c) bezwzględnym wyłączeniem:
# Prezydenta RP oraz osoby wybranej na ten
urząd,
# Marszałków: Sejmu i Senatu,
# Prezesa Rady Ministrów.
10.4. Dostęp o charakterze wyjątkowym
a) art. 34 ust. 5 uooin – podmioty tamże wskazane, za ich
pisemną zgodą - mogą:
- w szczególnie uzasadnionych przypadkach
zezwolić
na jednorazowe udostępnienie informacji niejawnych
osobie nieposiadającej PB,
- zezwolić na udostępnienie informacji niejawnych
o klauzuli „tajne” lub „ściśle tajne” osobie, wobec której
wszczęto poszerzone postępowanie sprawdzające;
b) art. 34 ust. 9 uooin – KJO, za jego pisemną zgodą –
może zezwolić na udostępnienie informacji niejawnych
o klauzuli „poufne” – osobie, wobec której wszczęto
postępowanie sprawdzające - zatrudnionej, pełniącej
służbę lub wykonującej czynności zlecone – w tej
jednostce organizacyjnej;
Cd. pkt 10.4.
c) art. 34 ust. 6 uooin – w stanach nadzwyczajnych –
Prezydent RP
lub Prezes Rady Ministrów odpowiednio – może
wyrazić zgodę na odstąpienie od przeprowadzenia
postępowania sprawdzającego.
10.5. Postępowania odwoławcze w przypadkach odmowy wydania lub
cofnięcia PB.
# Procedury – normuje Rozdział 6 uooin.
# Różnice – w zależności od tego, jaki podmiot wydał decyzję
o odmowie wydania lub cofnięciu PB:
a) gdy decyzję wydała ABW, SKW albo podmioty, o których
mowa
w art. 23 ust. 5 uooin - odwołanie do Prezesa Rady
Ministrów:
- termin: 14 dni od dnia doręczenia osobie sprawdzanej
danej
decyzji,
- sposób: za pośrednictwem podmiotu, który
przeprowadził
postępowanie sprawdzające lub kontrolne
postępowanie
sprawdzające,
- czas rozstrzygnięcia: 3 miesiące,
- środek zaskarżenia na decyzję Prezesa Rady Ministrów:
skarga do sądu administracyjnego (w terminie 30
dni);
Cd. pkt 10.5.
b) gdy decyzję wydał pełnomocnik ochrony w wyniku
zwykłego postępowania sprawdzającego (z
wyłączeniem postępowań sprawdzających w trybie
art. 23 ust. 5 uooin)
- odwołanie (odpowiednio) do Szefa ABW albo
Szefa SKW:
- termin: 14 dni od dnia doręczenia osobie
sprawdzanej danej decyzji,
- sposób: za pośrednictwem pełnomocnika ochrony,
który przeprowadził postępowanie sprawdzające lub
kontrolne postępowanie sprawdzające,
- czas rozstrzygnięcia: 3 miesiące,
- środek zaskarżenia na decyzję Szefa ABW albo
Szefa SKW: skarga do sądu administracyjnego (w
terminie 30 dni).
10.6. Odwoławcza procedura szczególna
– wznowienie postępowania (art. 39 ust. 1 uooin).
a) podmioty uprawnione: Prezes Rady Ministrów, pełnomocnicy ochrony, ABW,
SKW i instytucje z art. 23
ust. 5 uooin,
b) procedura: z urzędu lub na wniosek osoby sprawdzanej,
c) przesłanki:
- postępowanie sprawdzające lub kontrolne postępowanie
sprawdzające zakończone decyzją ostateczną,
- decyzja została wydana wyłącznie w związku z:
# przedstawieniem zarzutu popełnienia
przestępstwa,
# postawieniem w stan oskarżenia lub
# skazaniem za przestępstwo umyślne ścigane
z oskarżenia publicznego lub umyślne
przestępstwo skarbowe,
- a postępowanie karne zostało następnie umorzone
lub zakończone uniewinnieniem osoby sprawdzanej.
11. Przechowywanie akt postępowań sprawdzających
A) normuje art. 72 ust. 6 uooin; zróżnicowanie
z uwagi na podmiot, który przeprowadził dane
postępowanie sprawdzające (w tym
postępowanie bezpieczeństwa przemysłowego):
a) jako wyodrębniona część w archiwach służb
i instytucji, które przeprowadziły dane
postępowanie,
b) przez pełnomocnika ochrony lub w pionie
ochrony - w przypadku akt zwykłych
postępowań sprawdzających oraz
kontrolnych postępowań sprawdzających
przeprowadzonych przez tego
pełnomocnika.
Cd. pkt 11. Przechowywanie akt postępowań sprawdzających.
B) okres przechowywania: co najmniej 20 lat,
C) zasady: z uwzględnieniem przepisów ustawy z dnia
14 lipca 1983 r. o narodowym zasobie archiwalnym i
archiwach (Dz. U. z 2006 r.
Nr 97, poz. 673, z późn. zm.13) oraz aktów
wykonawczych wydanych na jej podstawie.
12. Przepisy prawne mające zastosowanie
w okresie przejściowym.
Rozdział 12 uooin:
1. KJO, w terminie 36 miesięcy od dnia wejścia w życie
ustawy, przegląd wytworzonych w podległych im
jednostkach organizacyjnych materiałów zawierających
informacje niejawne w celu ustalenia, czy spełniają
ustawowe przesłanki ochrony na podstawie ustawy,
i dokonają w razie potrzeby zmiany lub zniesienia
klauzuli tajności.
2. PB wydane na podstawie przepisów dotychczasowych
zachowują ważność przez okres wskazany w tych
przepisach.
3. Przepis art. 14 ust. 3 pkt 2 (wymóg wykształcenia
wyższego) stosuje się do pełnomocników ochrony
i zastępców pełnomocników ochrony zatrudnionych po
dniu wejścia w życie ustawy.
Cd. pkt 12
4. Kierownicy jednostek organizacyjnych, w których
w dniu wejścia w życie ustawy funkcjonują
kancelarie tajne, informują o nich w terminie do 3
miesięcy od tej daty odpowiednio ABW lub SKW, z
określeniem klauzuli tajności przetwarzanych IN.
5. Akredytacje systemów teleinformatycznych
udzielone przed dniem wejścia w życie ustawy
zachowują ważność nie dłużej niż przez okres 5 lat
od dnia wejścia w życie ustawy, chyba że
wcześniej dokonano w systemie
teleinformatycznym zmian, które mogą mieć istotny
wpływ na bezpieczeństwo teleinformatyczne.
Cd. pkt 12
6. ŚBP wydane na podstawie przepisów dotychczasowych, ważne w
dniu wejścia w życie ustawy, potwierdzające zdolność do ochrony
informacji niejawnych:
1) o klauzuli „ściśle tajne” - potwierdzają także zdolność do ochrony
informacji niejawnych
o klauzuli „tajne” i „poufne” w okresie wskazanym
w niniejszej ustawie;
2) o klauzuli „tajne” - potwierdzają także zdolność
do ochrony informacji niejawnych o klauzuli „poufne” w okresie
wskazanym w niniejszej ustawie.
!!! Przy czym - okresy ważności świadectw, liczone są od daty
wydania świadectwa.
Cd. pkt 12
7. Przedsiębiorcy wykonujący umowy związane
z dostępem do informacji niejawnych
o klauzuli „poufne”, nieposiadający w dniu wejścia w życie
ustawy ważnego świadectwa bezpieczeństwa przemysłowego
powinni uzyskać takie świadectwo w terminie
12 miesięcy od dnia wejścia w życie ustawy.
8. Do postępowań sprawdzających, kontrolnych postępowań
sprawdzających i postępowań bezpieczeństwa
przemysłowego wszczętych
i niezakończonych przed dniem wejścia
w życie ustawy stosuje się przepisy dotychczasowe.
Cd. pkt 12
9. Dotychczasowe przepisy wykonawcze wydane na
podstawie uooin z 1999 r., zachowują moc
do dnia wejścia w życie przepisów wykonawczych
wydanych na podstawie „nowej” uooin z 2010 r.,
nie dłużej jednak niż przez okres
12 miesięcy od dnia jej wejścia
w życie.
Organizacja obiegu informacji
niejawnych,
bezpieczeństwo fizyczne.
1. Przypadki obligatoryjnego tworzenia kancelarii tajnych
(KT).
A) zasada - jednostka organizacyjna (JO),
w której są przetwarzane informacje niejawne (IN) o klauzuli
„TAJNE” lub „ŚCIŚLE TAJNE”;
B) gdzie - wszystkie JO podlegające uooin – vide: art. 1 ust. 2;
UWAGA: art. 1 ust. 2 pkt 6
- przedsiębiorcy tylko w ramach ŚBP
I i II stopnia;
C) odpowiedzialny – KJO (w tym – kierownik przedsiębiorcy tam,
gdzie dotyczy);
Cd. pkt 1. Przypadki obligatoryjnego tworzenia kancelarii
tajnych (KT).
D) regulacja fakultatywna – KJO może utworzyć
więcej niż jedną KT;
E) zadanie obligatoryjne KJO
– informowanie odpowiednio ABW
lub SKW o utworzeniu lub likwidacji KT, z
określeniem klauzuli tajności przetwarzanych w
niej IN.
2. Specyfika i odrębne regulacje dotyczące
obiegu IN o klauzuli „poufne” i „zastrzeżone”.
A) Pf i Z – przetwarzanie za pośrednictwem KT
– za zgodą KJO;
B) Pf – jeśli nie w KT – to komórki organizacyjne, w których materiały
o klauzuli Pf są rejestrowane oraz które zapewniają możliwość
ustalenia w każdych okolicznościach, gdzie dany materiał się
znajduje oraz kto się z nim zapoznał; a ponadto:
a) PO opracowuje instrukcję dotyczącą sposobu
i trybu przetwarzania tych IN,
b) KJO zatwierdza w/w instrukcję oraz zakres
i warunki stosowania środków bezpieczeństwa fizycznego
(ŚBF);
Cd. pkt 2. Specyfika i odrębne regulacje dotyczące obiegu IN o klauzuli
„poufne”
i „zastrzeżone”.
C) Z – nie ma wymogów specjalnych,
z tym że – KJO zatwierdza opracowany przez PO –
sposób i tryb przetwarzania tych IN w podległych
komórkach organizacyjnych.
3. Nowe rozwiązania organizacyjne KT, w tym
możliwość obsługiwania kilku JO
przez jedną KT.
A) KT – cechy konstytutywne:
-
stanowi wyodrębnioną komórkę organizacyjną,
-
w zakresie ochrony IN - podlega PO,
-
obsługiwana – przez pracowników pionu ochrony,
-
właściwość rzeczowa – odpowiedzialność
za właściwe rejestrowanie, przechowywanie, obieg
i wydawanie materiałów uprawnionym osobom;
Cd pkt 3. Nowe rozwiązania organizacyjne KT,
w tym możliwość obsługiwania kilku JO
przez jedną KT.
B) Jedna KT obsługująca dwie i więcej JO
– wymogi:
- przypadki uzasadnione,
- zgoda odpowiednio – ABW lub SKW,
- podległość, obsada i zasady finansowania – określone
przez właściwych KJO.
4. Kancelarie tajne a strefy ochronne.
Każda KT jest strefą ochronną, ale nie każda strefa
ochronna jest KT.
A)
B)
przeznaczeniem strefy ochronnej – jest uniemożliwienie
osobom nieuprawnionym dostępu do IN o klauzuli Pf lub
wyższej;
kryteria tworzenia stref ochronnych – określi
rozporządzenie Rady Ministrów wskazane w art. 47 ust. 1
uooin;
Cd. pkt 4. Kancelarie tajne a strefy ochronne.
C) minimalne wymogi strefy ochronnej:
a)
b)
c)
system kontroli wejść i wyjść ze stref ochronnych,
określenie uprawnień do przebywania w strefach
ochronnych,
certyfikowane wyposażenie
i urządzenia służące ochronie IN;
5. Ocena ryzyka jako podstawa budowy bezpieczeństwa
fizycznego.
Bezpieczeństwo fizyczne – wymóg obligatoryjny, bez względu
na klauzulę przetwarzanych IN,
ALE – adekwatny do:
a) występujących rodzajów zagrożeń,
b) klauzuli tajności,
c) liczby IN.
Zakres stosowania środków bezpieczeństwa fizycznego
(ŚBF) – zależy od poziomu zagrożeń związanych z
nieuprawnionym dostępem do IN lub z możliwością ich utraty.
Cd. pkt 5. Ocena ryzyka jako podstawa budowy
bezpieczeństwa fizycznego.
Szacowanie ryzyka dla IN na podstawie:
a) analizy zagrożeń:
- działaniem obcych służb specjalnych,
- zamachem terrorystycznym lub sabotażem,
- kradzieżą lub zniszczeniem materiału,
- próbą wejścia osób nieuprawnionych do pomieszczeń, w których
są przetwarzane IN;
- nieuprawnionym dostępem do informacji
o wyższej klauzuli tajności, niewynikającym
z posiadanych uprawnień.
b) oceny ryzyka wg kryteriów i sposobu określania poziomu
zagrożeń - determinującego dobór odpowiednich ŚBF –
przedmiot rozporządzenia Rady Ministrów z art. 47 ust. 1 uooin.
6. Autonomiczne systemy obiegu informacji
w resortach.
Ranga zarządzenia – akt normatywny o charakterze
wewnętrznym – obowiązuje tylko jednostki
organizacyjnie podległe organowi wydającemu
te akty. Nie mogą one stanowić podstawy decyzji
wobec obywateli, osób prawnych oraz innych
podmiotów (vide: art. 93 Konstytucji RP).
Zakresy szczególne pod względem:
1. rzeczowym (art. 47 ust. 4 uooin) – zarządzenie
ministra właściwego do spraw kultury i ochrony
dziedzictwa narodowego - szczególny sposób
i tryb przetwarzania informacji niejawnych
wchodzących w skład zasobu archiwalnego
archiwów państwowych, dobór i stosowanie środków
bezpieczeństwa fizycznego oraz organizację
komórek organizacyjnych odpowiedzialnych
za przetwarzanie materiałów niejawnych,
Cd. pkt 6.
Autonomiczne systemy obiegu
informacji w resortach.
2. podmiotowym (art. 47 ust. 3 uooin)
– zarządzenia w sprawie szczególnego sposobu organizacji i
funkcjonowania kancelarii tajnych oraz komórek
organizacyjnych, o których mowa w art. 44 ust. 1 (innych niż
kancelaria tajna komórek organizacyjnych odpowiedzialnych
za przetwarzanie materiałów niejawnych,
np. biblioteki, magazyny map, filmoteki itp.), sposobu i trybu
przetwarzania informacji niejawnych oraz doboru i stosowania
środków bezpieczeństwa fizycznego.
Systemy teleinformatyczne
Akredytacja
Na czas określony, nie dłuższy niż 5 lat
„Poufne” lub wyższa – ABW albo SKW
„Zastrzeżone” – kierownik jednostki organizacyjnej
ABW albo SKW – w terminie 6 miesięcy od otrzymania
kompletnej dokumentacji
w szczególnie uzasadnionych przypadkach + 6 miesięcy
Od odmowy nie przysługuje odwołanie
Akredytacja
Świadectwo akredytacji wydawane na podstawie:
• zatwierdzonej dokumentacji
• wyników audytu bezpieczeństwa przeprowadzonego
przez ABW albo SKW
Zgodnie z wzorem określonym w rozporządzeniu
Służby mogą odstąpić od przeprowadzenia audytu, jeżeli
system jest przeznaczony do przetwarzania informacji
niejawnych o klauzuli "poufne".
Akredytacja
Kierownik jednostki organizacyjnej udziela akredytacji
systemu do klauzuli "zastrzeżone" przez zatwierdzenie
dokumentacji
Dokumentację w ciągu 30 dni przekazuje odpowiedniej
służbie
Służba w ciągu 30 dni może przedstawić zalecenia
dotyczące konieczności przeprowadzenia dodatkowych
czynności
Kierownik w ciągu 30 dni informuje o realizacji
zaleceń
Ale służba może też nakazać wstrzymanie
przetwarzania informacji niejawnych
Dokumentacja
Szczególne Wymagania Bezpieczeństwa Systemu (SWBS):
• wyniki procesu szacowania ryzyka
• sposoby osiągania i utrzymywania odpowiedniego poziomu
bezpieczeństwa systemu
• aspekty jego budowy, zasady działania i eksploatacji, które
mają związek z bezpieczeństwem systemu lub wpływają na
jego bezpieczeństwo
Przebieg i wyniki procesu szacowania ryzyka
mogą zostać przedstawione w odrębnym
dokumencie niż dokument szczególnych
wymagań bezpieczeństwa
Dokumentacja
Szczególne wymagania bezpieczeństwa systemu:
• opracowuje się na etapie projektowania
• bieżąco uzupełnia na etapie wdrażania
• modyfikuje na etapie eksploatacji przed dokonaniem zmian
w systemie teleinformatycznym
Procedury bezpiecznej eksploatacji opracowuje
się na etapie wdrażania oraz modyfikuje na etapie
eksploatacji przed dokonaniem zmian
w razie potrzeby konsultuje się z ABW albo SKW
Dokumentacja
Kierownik jednostki organizacyjnej:
• odpowiada za opracowanie oraz przekazanie służbom
dokumentacji
• akceptuje wyniki procesu szacowania ryzyka
• jest odpowiedzialny za właściwą organizację
bezpieczeństwa teleinformatycznego
W przypadku systemu mającego funkcjonować
w wielu jednostkach organizacyjnych za
dokumentację odpowiada kierownik jednostki
organizującej system
Dokumentacja
W terminie 30 dni od otrzymania dokumentacji bezpieczeństwa systemu
teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o
klauzuli "poufne" lub wyższej ABW albo SKW przeprowadza na jej podstawie
ocenę bezpieczeństwa tego systemu. Pozytywny wynik oceny stanowi podstawę
do zatwierdzenia przez ABW albo SKW dokumentacji bezpieczeństwa systemu
teleinformatycznego. W uzasadnionych przypadkach, w szczególności
wynikających ze stopnia skomplikowania systemu, termin przeprowadzenia
oceny może być przedłużony o kolejne 30 dni.
ABW albo SKW udziela albo odmawia udzielenia akredytacji w
terminie 6 miesięcy od otrzymania kompletnej dokumentacji
bezpieczeństwa systemu teleinformatycznego. W uzasadnionych
przypadkach, w szczególności wynikających z rozległości systemu
i stopnia jego skomplikowania, termin ten może być przedłużony o
kolejne 6 miesięcy. Od odmowy udzielenia akredytacji nie służy
odwołanie.
Kontrole
Jeżeli w czasie wykonywania kontroli stanu zabezpieczenia informacji
niejawnych, zostanie w znacznym stopniu uprawdopodobnione
podejrzenie możliwości przetwarzania informacji niejawnych w
systemach teleinformatycznych nieposiadających akredytacji
bezpieczeństwa teleinformatycznego, funkcjonariusze ABW albo
funkcjonariusze lub żołnierze SKW mogą żądać udostępnienia do
kontroli tych systemów, wyłącznie w celu i zakresie niezbędnym do
ustalenia, czy przetwarzanie takie miało miejsce, oraz wyjaśnienia
okoliczności z tym związanych
Przejściowe
1. Akredytacje zachowują ważność do czasu dokonania w systemie
zmian, które mogą mieć istotny wpływ na bezpieczeństwo
teleinformatyczne, nie dłużej jednak niż przez okres 5 lat.
2. Ponowna akredytacja przeprowadzana jest w trybie art. 48. Służby
mogą odstąpić od przeprowadzenia audytu, niezależnie od klauzuli
tajności informacji niejawnych przetwarzanych w systemie.
3. Środki techniczne dopuszczone do eksploatacji na podstawie art. 60
mogą być użytkowane do czasu uzyskania akredytacji, jednak nie
dłużej niż przez okres 12 miesięcy.