Na czym polega planowanie ochrony informacji niejawnych w jednostce organizacyjnej?

Transkrypt

1 dr Agata Lasota - Jądrzak ekspert ds. bezpieczeństwa informacji ZPP Wielkopolska Na czym polega planowanie ochrony informacji niejawnych w jednostce organizacyjnej? Planowanie ochrony informacji niejawnych w jednostce organizacyjnej jest realizowane w oparciu o szereg aktów prawnych w RP, które w sposób szczegółowy regulują tematykę związaną z wszechstronnym zapewnieniem bezpieczeństwa przetwarzanych w organizacji informacji niejawnych. Głównym aktem prawnym, który określa zasady i organizację systemu ochrony informacji niejawnych w Polsce jest ustawa z dnia 5 sierpnia 2010r. o ochronie informacji niejawnych 1 oraz wydane na jej podstawie akty wykonawcze. Proces planowania działań i procedur należy odnieść do poszczególnych elementów systemu ochrony informacji niejawnych obejmujących bezpieczeństwo osobowe, bezpieczeństwo fizyczne, bezpieczeństwo teleinformatyczne i bezpieczeństwo przemysłowe. Należy podkreślić, że najważniejszym elementem systemu ochrony informacji niejawnych jest bezpieczeństwo osobowe, po pierwsze dlatego, że dotyczy osób bezpośrednio odpowiedzialnych za ochronę informacji niejawnych w organizacji, a po drugie obejmuje osoby mające dostęp do informacji klauzulowanych. Zgodnie z zapisami uoin za ochronę informacji w jednostce organizacyjnej a także za zorganizowanie pionu ochrony odpowiada kierownik jednostki organizacyjnej, a pełnomocnik ds. ochrony informacji niejawnych odpowiedzialny jest za przestrzeganie przepisów o ochronie informacji niejawnych. Pomimo tego, że pojęcie bezpieczeństwa osobowego nie zostało do tej pory zdefiniowane, to według literatury przedmiotu, może być rozumiane jako szereg przedsięwzięć organizacyjnych, sprawdzeniowych, zmierzających do dopuszczenia do informacji niejawnych wyłącznie osób dających gwarancję rękojmi zachowania tajemnicy. Dalej, w ramach bezpieczeństwa fizycznego kluczową kwestią jest zapewnienie, aby w organizacji zastosowano adekwatność środków ochrony fizycznej do poszczególnych rodzajów klauzul tajności. 1 (t.j. Dz. U. z 2016 r. poz. 1167).

2 Dążąc do zapewnienia bezpieczeństwa niejawnych systemów teleinformatycznych, koniecznym jest wdrożenie procedur związanych z uzyskaniem świadectw akredytacji wydanych przez służby specjalne ABW bądź SKW, zgodnie z ich właściwością, w wyniku których niejawne systemy teleinformatyczne będą mogły zostać dopuszczone do pracy w dedykowanych do tego pomieszczeniach. Bezpieczeństwo przemysłowe to pozytywnie zakończone procedury, realizowane przez ABW bądź SKW a związane z dopuszczeniem przedsiębiorców do informacji niejawnych, w związku z wykonywaniem przez nich umów lub zadań wymagających dostępu do tego rodzaju informacji. W kontekście poruszanej tematyki należy przywołać art. 8 w/cyt. ustawy, gdzie zawarte są zasady ochrony informacji niejawnych, zgodnie z którymi informacje niejawne: 1) Mogą być udostępnione wyłącznie osobie uprawnionej, zgodnie z przepisami ustawy dotyczącymi dostępu do określonej klauzuli tajności; 2) Muszą być przetwarzane w warunkach uniemożliwiających ich nieuprawnione ujawnienie, zgodnie z przepisami określającymi wymagania dotyczące kancelarii tajnych, bezpieczeństwa systemów teleinformatycznych, obiegu materiałów i środków bezpieczeństwa fizycznego, odpowiednich do nadanej klauzuli tajności; 3) Muszą być chronione, odpowiednio do nadanej klauzuli tajności, z zastosowaniem środków bezpieczeństwa określonych w ustawie i przepisach wykonawczych wydanych na jej podstawie. Odnosząc się do powyższego, jednostka organizacyjna w której przetwarzane są informacje niejawne, zobligowana została do przedsięwzięcia szeregu czynności faktycznych i prawnych, mających na celu zapewnienie bezpieczeństwa tej kategorii informacji przed ich nieuprawnionym ujawnieniem. W celu wypełnienia przesłanek zawartych w art. 8 uoin, ustawa o ochronie informacji przewiduje obowiązek tzw. ciągłego działania, począwszy od etapu planowania, po etap realizacji i dalej etap monitorowania. W tym ujęciu można mówić o zarządzaniu systemem ochrony informacji niejawnych, które można rozumieć jako proces planowania, organizowania, kierowania oraz kontrolowania działań w obszarze działalności organizacyjno - normatywnej,

3 szkoleniowej, bezpieczeństwa osobowego, bezpieczeństwa fizycznego, bezpieczeństwa teleinformatycznego, bezpieczeństwa przemysłowego zapewniający ochronę Państwa a tym samym obywateli RP przed wszelkimi zagrożeniami zarówno zewnętrznymi jak i wewnętrznymi. W zakresie obowiązków dotyczących etapu planowania uoin nakłada na kierownika jednostki organizacyjnej, oraz pełnomocnika ochrony, obowiązek sporządzenia i wprowadzenia wymaganych ustawą n/wym. dokumentów dotyczących zasad ochrony i przetwarzania informacji niejawnych: 1) Plan ochrony informacji niejawnych w tym w razie wprowadzenia stanu nadzwyczajnego (art. 15 uoin); 2) Opracowanie dokumentacji określającej sposób i tryb przetwarzania informacji niejawnych o klauzuli poufne (art. 43 ust. 1 pkt 3 uoin); 3) Opracowanie instrukcji dotyczącej sposobu i trybu przetwarzania informacji niejawnych o klauzuli zastrzeżone (art. 43 ust. 1 pkt 5 uoin); 4) Opracowanie dokumentacji określającej: poziom zagrożeń związanych z nieuprawnionym dostępem do informacji niejawnych lub ich utratą (art. 43 ust. 1 pkt 4 uoin) oraz dokumentacji obejmującej proces szacowania ryzyka (art. 15). Zakres odpowiedzialności za przygotowanie wymienionych dokumentów dotyczy: 1) pełnomocnika ochrony (opracowuje, aktualizuje, nadzoruje); 2) kierownika jednostki organizacyjnej (akceptuje, zatwierdza). Etap realizacji związany jest z fizycznym i faktycznym wprowadzeniem w organizacji procedur zawartych w dokumentacji bezpieczeństwa i obejmuje: 1) Zastosowanie środków bezpieczeństwa fizycznego adekwatnych do uzyskanego poziomu zagrożeń; 2) przetwarzanie informacji niejawnych w systemach informatycznych, w warunkach uwzględniających wyniki procesu szacowania ryzyka;

4 3) Wyznaczenie stref ochronnych w jednostce organizacyjnej z jednoczesnym z ich graficznym odwzorowaniem w planach ochrony obiektów; 4) Wdrożenie procedur zarządzania związanych z: a) uprawnieniami do wejścia, wyjścia i przebywania w strefach ochronnych, b) kluczami i kodami dostępu do szaf, pomieszczeń lub obszarów, w których są przetwarzane informacje niejawne, c) z reagowaniem osób odpowiedzialnych za ochronę informacji niejawnych oraz personelu bezpieczeństwa w przypadku zagrożenia utratą lub ujawnieniem informacji niejawnych, 5) Wdrożenie planów awaryjnych uwzględniających potrzebę ochrony informacji niejawnych w razie wystąpienia sytuacji szczególnych, w tym wprowadzenia stanów nadzwyczajnych, w celu zapobieżenia utracie poufności, integralności lub dostępności informacji niejawnych a także wdrożenie zasad dotyczących sposobu i trybu przetwarzania informacji niejawnych o klauzuli Pf i Z ; 6) Zapoznanie z wprowadzonymi regulacjami, wszystkich osób mających dostęp do informacji niejawnych. Etap monitorowania dotyczy sprawowanego nadzoru w zakresie przestrzegania wprowadzonych w organizacji wszelkich procedur związanych z zapewnieniem ochrony informacji niejawnych i obejmuje: 1) Sprawowanie bieżącego nadzoru nad przestrzeganiem przepisów o ochronie informacji niejawnych; 2) Aktualizowanie opracowanych dokumentów w przypadku zaistnienia jakichkolwiek zmian; 3) Kontrolę ochrony informacji niejawnych, w szczególności okresową kontrolę ewidencji, materiałów i obiegu co najmniej dokumentów (co najmniej raz na trzy lata); 4) Weryfikację i bieżącą kontrolę zgodności funkcjonowania systemu teleinformatycznego ze Szczególnymi Wymaganiami Bezpieczeństwa oraz przestrzegania Procedur Bezpiecznej Eksploatacji.

5 Podsumowując, wdrożenie powyżej przywołanych oraz wymaganych przepisami prawa mechanizmów zapewni zarówno kompleksową ochronę informacjom niejawnym przetwarzanym w organizacji jak i skutkować będzie utrzymaniem bezpieczeństwa na właściwym poziomie. Jednocześnie, podejmowane działania w omawianym zakresie w znacznym stopniu zminimalizują ryzyko wystąpienia zagrożeń i zminimalizują ewentualny wpływ ich skutków. Bibliografia: Akty prawne: 1. Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (t.j. Dz.U r., poz. 1167). 2. Rozporządzenie Rady Ministrów z dnia 29 maja 2012 r. w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczania informacji niejawnych - (Dz.U. z 2012 r., poz. 683); 3. Rozporządzenie Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie wzoru świadectwa akredytacji bezpieczeństwa systemu teleinformatycznego Dz.U. z 2011 r., Nr 156, poz. 926; 4. Rozporządzenie Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz.U. z 2011 r., Nr 159, poz. 948); 5. Rozporządzenie Rady Ministrów z dnia 7 grudnia 2011 r. w sprawie organizacji i funkcjonowania kancelarii tajnych oraz sposobu i trybu przetwarzania informacji niejawnych (Dz.U. z 2011 r., Nr 276, poz z późn. zm); 6. Rozporządzenie Prezesa Rady Ministrów z dnia 22 marca 2011 r. w sprawie wysokości i trybu zwrotu zryczałtowanych kosztów ponoszonych przez Agencję Bezpieczeństwa Wewnętrznego albo Służbę Kontrwywiadu Wojskowego za przeprowadzenie sprawdzenia przedsiębiorcy oraz postępowań sprawdzających (Dz.U. z 2011 r., Nr 67, poz. 356);

6 7. Rozporządzenie Prezesa Rady Ministrów z dnia 27 kwietnia 2011r. w sprawie przygotowania i przeprowadzania kontroli stanu zabezpieczenia informacji niejawnych (Dz.U. z 2011 r., Nr 93 poz. 541);