Wybrane obowiązki kierownika jednostki organizacyjnej jako zarządzającego bezpieczeństwem informacji

Transkrypt

1 Wybrane obowiązki kierownika jednostki organizacyjnej jako zarządzającego bezpieczeństwem informacji Katarzyna Żebrowska Gieszczyńska Naczelnik Wydziału ds. Ochrony Informacji Niejawnych Pełnomocnik ds. ochrony informacji niejawnych Administrator Bezpieczeństwa Informacji Komenda Wojewódzka Policji w Olsztynie

2 Jawność i jej ograniczenia JAWNOŚĆ Konstytucja RP art Każdemu zapewnia się wolność wyrażania swoich poglądów oraz pozyskiwania i rozpowszechniania informacji. ( ) art Obywatel ma prawo do uzyskiwania informacji o działalności organów władzy publicznej oraz osób pełniących funkcje publiczne. Prawo to obejmuje również uzyskiwanie informacji o działalności organów samorządu gospodarczego i zawodowego, a także innych osób oraz jednostek organizacyjnych w zakresie, w jakim wykonują one zadania władzy publicznej i gospodarują mieniem komunalnym lub majątkiem Skarbu państwa. 2. Prawo do uzyskiwania informacji obejmuje dostęp do dokumentów oraz wstęp na posiedzenia kolegialnych organów władzy publicznej pochodzących z powszechnych wyborów, z możliwością rejestracji dźwięku lub obrazu. TAJNOŚĆ Konstytucja RP art Wolność człowieka podlega ochronie prawnej. 2. Każdy jest zobowiązany szanować wolności i prawa innych. Nikogo nie wolno zmuszać do czynienia tego, czego prawo mu nie nakazuje. 3. Ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw mogą być ustanawiane tylko w ustawie i tylko wtedy, gdy są konieczne w demokratycznym państwie dla jego *bezpieczeństwa lub *porządku publicznego, bądź dla *ochrony środowiska, *zdrowia i *moralności publicznej, albo *wolności i praw innych osób. Ograniczenia te nie mogą naruszać istoty wolności i praw. art. 61 ust. 3 Ograniczenie prawa, o którym mowa w art.. 61 ust. 1 i 2, może nastąpić wyłącznie ze względu na określone w ustawach ochronę wolności i praw innych osób i podmiotów gospodarczych oraz ochronę porządku publicznego, bezpieczeństwa lub ważnego interesu gospodarczego państwa. ( )

3 Jawność i jej ograniczenia art Prawo do informacji publicznej podlega ograniczeniu w zakresie i na zasadach określonych w przepisach o ochronie informacji niejawnych oraz o ochronie innych tajemnic ustawowo chronionych. 1a. 2.Prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. Ograniczenie to nie dotyczy informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji, oraz w przypadku, gdy osoba fizyczna lub przedsiębiorca rezygnują z przysługującego im prawa. 3. Nie można, z zastrzeżeniem ust. 1 i 2, ograniczać dostępu do informacji o sprawach rozstrzyganych w postępowaniu przed organami państwa, w szczególności w postępowaniu administracyjnym, karnym lub cywilnym, ze względu na ochronę interesu strony, jeżeli postępowanie dotyczy władz publicznych lub innych podmiotów wykonujących zadania publiczne albo osób pełniących funkcje publiczne - w zakresie tych zadań lub funkcji. 4. Ograniczenia dostępu do informacji w sprawach, o których mowa w ust. 3, nie naruszają prawa do informacji o organizacji i pracy organów prowadzących postępowania, w szczególności o czasie, trybie i miejscu oraz kolejności rozpatrywania spraw.

4 Jawność i jej ograniczenia Ograniczenia jawności -z uwagi na: *ochronę prywatności *zakres anonimizacji *konieczność spełnienia określonych warunków *wykazanie interesu *trudności techniczne w udostępnieniu *sposoby udostępnienia *koszt dostępu Tajemnice

5 Jawność i jej ograniczenia Tajemnice Przesłanka materialna obejmuje zakres podmiotowy, w tym wskazanie podmiotów zobowiązanych i beneficjentów tajemnicy, zakres przedmiotowy zakres czasowy utajnienia. Przesłanka formalna to wola utajnienia przejawiająca się poprzez określoną formę utajnienia. Jest uzewnętrzniana przez różnorakie czynności, może także wynikać z samej ustawy. Przybiera postać różnorodnych działań podmiotów reprezentujących zazwyczaj beneficjenta tajemnic bądź w razie różnic interesów, działania podmiotu publicznego, dokonującego ich wyważenia.

6 Jawność i jej ograniczenia T A J E M N I C E Inne tajemnice ustawowo chronione Informacje niejawne

7 Jawność i jej ograniczenia Podstawy prawne tajemnic Słowo tajemnica występuje w 233 ustawach i 171 rozporządzeniach. Jedynie część z ustaw pozwala zrekonstruować formalne i materialne przesłanki tajemnic. Regulacja tajemnic jest niejednolita. Ustawodawca - definiuje tajemnice i wskazuje jej normatywną nazwę (np. statystyczna, kontrolerska, przedsiębiorstwa) - nie definiuje tajemnicy ale określa przesłanki materialne i formalne, wprowadza i posługuje się normatywną nazwą tajemnicy (adwokacka, radcy prawnego, notarialna, dziennikarska) - nie definiuje tajemnicy ale określa przesłanki materialne i formalne, nie wprowadza i nie posługuje się normatywną nazwa tajemnicy (tajemnica sędziowska, prokuratorska) - stwierdza, że określone informacje stanowią tajemnicę prawnie chronioną - jednoznacznie przesądza, że dana tajemnica jest tajemnicą zawodową - nie definiuje tajemnicy, nie wprowadza normatywnej nazwy tajemnicy, nie posługuje się określeniem tajemnica - wskazuje na obowiązek zachowania tajemnicy (lub tajemnic) w treści przysięgi zawodowej

8 Jawność i jej ograniczenia Ograniczenia jawności wprost określone przez ustawodawcę jako tajemnice tajemnica telekomunikacyjna tajemnica statystyczna tajemnica kontrolerska tajemnica skarbowa tajemnica celna tajemnica bankowa tajemnica przedsiębiorstwa tajemnica adwokacka tajemnica radcy prawnego tajemnica notarialna tajemnica lekarska tajemnica dziennikarska tajemnica ubezpieczeniowa

9 Jawność i jej ograniczenia Ustawodawca wprowadza również tajemnice poprzez wskazanie, że określone informacje stanowią tajemnice prawnie chronione. Taki sposób regulacji przewiduje ustawa prawo własności przemysłowej; ustawa o systemie ubezpieczeń społecznych; ustawa o substancjach chemicznych i ich mieszaninach; ustawa o cmentarzach i chowaniu zmarłych; rozporządzenie w sprawie wydawania dokumentów stwierdzających uprawnienia do kierowania pojazdami; rozporządzenie w sprawie egzaminowania osób ubiegających się o uprawnienia do kierowania pojazdami.

10 Jawność i jej ograniczenia Ponadto tajemnice stanowią 1) tajemnica sędziowska ("sędzia jest obowiązany zachować w tajemnicy okoliczności sprawy, o których powziął wiadomość ze względu na swój urząd, poza jawną rozprawą sądową") 2) tajemnica prokuratorska ("prokurator jest obowiązany zachować w tajemnicy okoliczności sprawy, o których w postępowaniu przygotowawczym, a także poza jawną rozprawą sądową, powziął wiadomość ze względu na swoje stanowisko prokuratora") 3) tajemnica komornicza ("komornik jest obowiązany zachować w tajemnicy okoliczności sprawy, o których powziął wiadomość ze względu na wykonywane czynności") 4) tajemnica agenta ubezpieczeniowego ( agent ubezpieczeniowy jest obowiązany zachować w tajemnicy wszystkie informacje uzyskane w związku z wykonywaniem czynności agencyjnych, dotyczące zakładu ubezpieczeń, drugiej strony umowy ubezpieczenia oraz podmiotu szukającego ochrony ubezpieczeniowej [...] ) 5) tajemnica brokera ubezpieczeniowego ( broker ubezpieczeniowy jest obowiązany [...] zachować w tajemnicy wszystkie informacje uzyskane w związku z wykonywaniem czynności brokerskich [...] ) 6) tajemnica rzecznika patentowego ("rzecznik patentowy jest obowiązany zachować w tajemnicy wszelkie informacje, które uzyskał w związku z wykonywaniem czynności zawodowych. Rzecznika patentowego nie można zwolnic z obowiązku zachowania tajemnicy zawodowej co do faktów, o których dowiedział się, udzielając pomocy w sprawach własności przemysłowej") 7) tajemnica biegłego rewidenta ( biegły rewident oraz podmiot uprawniony do badania sprawozdań finansowych są obowiązani zachować w tajemnicy wszystkie informacje i dokumenty związane z wykonywaniem czynności rewizji finansowej [...] )

11 Jawność i jej ograniczenia Wyraźne wskazanie w ustawie, że tajemnica stanowi tajemnicę zawodową obejmuje m.in. tajemnicę adwokacką (art. 5 PrAdw) tajemnicę radcy prawnego (art. 27 ust. 1 RadPrU) tajemnicę notarialną (art PrNot) tajemnicę dziennikarską (art. 16 ust. 3 PrPras) tajemnicę rzecznika patentowego (art. 14 ust. 1. RzeczPatentU) tajemnicę biegłego rewidenta (art. 59 ust. 1 RewidentU) tajemnicę zawodową doradcy podatkowego (art. 37 ustawy o doradztwie podatkowym) tajemnicę diagnosty laboratoryjnego (art. 29 ust. 1 ustawy o diagnostyce laboratoryjnej) tajemnicę pielęgniarki (art. 42 ust. 4 i art. 56 ust. 2 pkt 1 ustawy o zawodach pielęgniarki i położnej) tajemnicę położnej (art. 42 ust. 4 i art. 56 ust. 2 pkt 1 ustawy o zawodach pielęgniarki i położnej)

12 Jawność i jej ograniczenia Wyraźne wskazanie w ustawie, że tajemnica stanowi tajemnicę zawodową obejmuje m.in. tajemnicę osób zatrudnionych w jednostkach służby medycyny (art. 11 ust. 3 ustawy) tajemnicę psychologa (art. 14 ust. 1-3 ustawy o zawodzie psychologa i samorządzie zawodowym psychologów) tajemnicę farmaceuty (art. 21 pkt 2 oraz art. 4d ustawy z dnia 19 kwietnia 1991 r. o izbach aptekarskich) tajemnicę zawodową osób zatrudnionych w zakładzie leczniczym dla zwierząt (art. 28. ust. 4 o zakładach leczniczych dla zwierząt) tajemnicę zawodową członków organów spółdzielczych kas oszczędnościowokredytowych oraz osób pozostających z kasa w stosunku pracy (art. 9e ustawy o SKOK) tajemnicę zawodową określoną w ustawie o giełdach towarowych (art. 53) tajemnicę zawodową określoną w ustawie o obrocie instrumentami finansowymi (art ) tajemnicę zawodową przewodniczącego Komisji [Nadzoru Finansowego], jego zastępców, członków Komisji, pracowników urzędu Komisji i osób zatrudnionych w Urzędzie Komisji na podstawie umowy o dzieło, umowy zlecenia albo innych umów o podobnym charakterze (art. 19 ust. 1 i 2 ustawy o nadzorze nad rynkiem kapitałowym)

13 Jawność i jej ograniczenia Wyraźne wskazanie w ustawie, że tajemnica stanowi tajemnicę zawodową obejmuje m.in. tajemnicę zawodową przewodniczącego Komisji Nadzoru Finansowego, jego zastępcy, członków Komisji Nadzoru Finansowego, pracowników Urzędu Komisji Nadzoru Finansowego i osób zatrudnionych w Urzędzie Komisji Nadzoru Finansowego na podstawie umowy o dzieło, umowy zlecenia albo innych umów o podobnym charakterze (art. 10a ustawy prawo bankowe) tajemnicę zawodową określoną w ustawie o funduszach inwestycyjnych (art. 280 ust. 1-4) tajemnicę zawodową dotyczącą usług płatniczych (art. 11 ust1-3 ustawy o usługach płatniczych) tajemnicę zawodową dotyczącą działalności funduszu emerytalnego (art. 49) tajemnicę zawodową pracowników jednostki notyfikowanej dokonującej oceny zgodności materiałów wybuchowych przeznaczonych do użytku cywilnego (art. 48 ust. 7 ustawy o materiałach wybuchowych przeznaczonych do użytku cywilnego ) tajemnicę zawodową rzeczoznawcy majątkowego (art. 175 ust. 3 ustawy o gospodarce nieruchomościami)

14 Jawność i jej ograniczenia Obok regulacji wprost wprowadzających tajemnice prawnie chronione i szczegółowo określających zakres obowiązywania poufności informacji, krąg podmiotów zobowiązanych do przestrzegania tajemnicy czy wyjątki od obowiązku zachowania tajemnicy, istnieją przepisy, które wskazują na obowiązek zachowania tajemnicy (lub tajemnic) w treści przysięgi zawodowej lub gdzie wymóg zachowania poufności jest konstruowany poprzez nałożenie obowiązku zachowania tajemnicy (tajemnic) prawnie (ustawowo) chronionej. Wskazana regulacja odnosi się m.in. do 1) ekspertów urzędu patentowego, 2) członków korpusu służby cywilnej, 3) pracowników samorządowych, 4) pracowników urzędów państwowych, 5) pracowników sadów i prokuratury, 6) strażników gminnych, 7) funkcjonariuszy policji (ślubowanie: tajemnice związane ze służbą).

15 Ochrona tajemnic a ochrona danych osobowych OCHRONA PRYWATNOŚCI OCHRONA DANYCH OSOBOWYCH XIX w. Samuel D. Warren i Louis D. Brandeis (1890 ): zmiany polityczne, społeczne i ekonomiczne determinują przemiany w pojmowaniu prawa do życia (right to life), które pierwotnie oznaczało jedynie ochronę przed fizyczną ingerencją, stopniowo poszerzając się do uznania prawa do cieszenia się życiem i prawa do bycia pozostawionym w spokoju (the right to be let alone) XX w. Marek Safian: pochodną ochrony prywatności jest koncepcja ochrony danych osobowych, będąca jej niechcianym, ale dynamicznie rozwijającym się dzieckiem. To nieskuteczność prewencyjnego oddziaływania tradycyjnych cywilnoprawnych i karnoprawnych mechanizmów ochrony prywatności skłoniła do wykorzystania środków administracyjnoprawnych, nakierowanych na działania zapobiegawcze oraz zapewniających ochronę instytucjonalną.

16 Główne obowiązki administratora danych osobowych (ADO) Konstytucja RP art. 47 Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz decydowania o swoim życiu osobistym. art Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. 2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. 3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. 4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. 5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa. Ustawa o ochronie danych osobowych art.1 ust.1 Każdy ma prawo do ochrony dotyczących go danych osobowych.

17 Główne obowiązki administratora danych osobowych (ADO) Administrator danych Organ, jednostka organizacyjna, podmiot lub osoba (fizyczna lub prawna) decydująca o celach i środkach przetwarzania danych (art. 7 ust. 4 Ustawy o odo) Zasady przetwarzania danych wyznacza art. 26 Ustawy, ujmując je w formę podstawowych obowiązków administratora danych, który powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a co za tym idzie przestrzegać pewnych zasad: 1) zasady legalizmu - przetwarzanie danych zgodnie z prawem; 2) zasady celowości - zbieranie danych dla oznaczonych, zgodnych z prawem celów i niepoddawanie dalszemu przetwarzaniu niezgodnemu z tymi celami; 3) zasady merytorycznej poprawności i adekwatności danych dane muszą być merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane; 4) zasady ograniczenia czasowego przechowywanie danych w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

18 Główne obowiązki administratora danych osobowych (ADO) art. 36 ust. 1 Ustawy o odo Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.

19 Główne obowiązki administratora danych osobowych (ADO) Zadania i procesy realizowane w jednostce organizacyjnej w związku z ustawą Określenie, jakie dane i od kogo będą zbierane. Ustalenie, w jakim celu będą przetwarzane. Ustalenie, czy wymagana jest rejestracja zbioru danych osobowych. Zadania związane z rejestracją zbiorów danych osobowych. Przygotowanie treści informacji ( obowiązek informacyjny ) dla osób, których dane będą zbierane oraz treści ewentualnych zgód na przetwarzanie danych. Wydawanie i odbieranie upoważnień do przetwarzania danych osobowych, prowadzenie ewidencji wydanych upoważnień. Zabezpieczenie danych osobowych w formie tradycyjnej i w systemach teleinformatycznych. Stworzenie i aktualizowanie dokumentacji (polityka bezpieczeństwa i instrukcja zarządzania systemem). Nadzór nad ochroną danych osobowych (monitorowanie zabezpieczeń) i ewentualne powołanie administratora bezpieczeństwa informacji, który będzie pełnić ten nadzór. Usuwanie danych osobowych. Poddawanie się kontroli GIODO.

20 Główne obowiązki administratora danych osobowych (ADO) Zabezpieczenie danych osobowych praktyczne wskazówki, zalecenia: Zabezpieczenia fizyczne; Dostęp do danych w systemie informatycznym; Zabezpieczenie komputerów stacji roboczych; Zabezpieczenie serwerów; Dodatkowe wymogi systemu, w którym przetwarza się dane osobowe; Korzystanie z Internetu; Zabezpieczenia strony internetowej; Serwis i konserwacja sprzętu; Zapasowe kopie danych i ich usuwanie; Środki organizacyjne ochrony; Szkolenia, program budowania świadomości; Monitorowanie i nadzorowanie zabezpieczeń.

21 Główne obowiązki administratora danych osobowych (ADO) Skutki wycieku danych osobowych: 1. Naruszenie przepisów prawa; 2. Negatywny wpływ na reputację organizacji; 3. Narażenie prywatności osób; 4. Zakłócenie funkcjonowania jednostki organizacyjnej; 5. Straty finansowe; 6. Odpowiedzialność administracyjna; pracownicza, karna lub cywilnoprawna.

22 Ochrona tajemnic a ochrona informacji niejawnych Sposób regulacji zakresu przedmiotowego tajemnic Zakres przedmiotowy poszczególnych tajemnic uregulowany został niejednolicie. Zakres ten ustawodawca rzadko wyznacza poprzez odwołanie się do pewnego systemu czy zbioru wartości, bądź dóbr chronionych (np. art. 1 ust. 1 w zw. z art. 5 OchrInfNiejawU, czy art. 5 UInfPubl w zakresie ochrony prawa do prywatności). Znacznie częściej zakres przedmiotowy konstruowany jest poprzez wskazanie informacji, danych, okoliczności sprawy, faktów, dokumentów, akt, dokumentacji, umów lub materiałów, które objęte będą tajemnicą lub wskazanie, że tajemnicą objęte są wszystkie informacje uzyskane od określonej kategorii osób, w związku z wykonywanym zawodem lub podjętymi czynnościami.

23 Ochrona tajemnic a ochrona informacji niejawnych Odwołanie się do dóbr chronionych i przeprowadzanie testu szkody - art. 1 ust. 1 w zw. z art. 5 OchrInfNiejawU Art. 1 ust.1. Ustawa określa zasady ochrony informacji, których nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody dla Rzeczypospolitej Polskiej albo byłoby z punktu widzenia jej interesów niekorzystne, także w trakcie ich opracowywania oraz niezależnie od formy i sposobu ich wyrażania ( ). Art. 5. Informacjom niejawnym nadaje się klauzule: ściśle tajne, jeżeli ich nieuprawnione ujawnienie spowoduje wyjątkowo poważną szkodę dla RP przez to, że ( ) tajne, jeżeli ich nieuprawnione ujawnienie spowoduje poważną szkodę dla RP przez to, że( ) poufne, jeżeli ich nieuprawnione ujawnienie spowoduje szkodę dla RP przez to, że ( ) zastrzeżone, jeżeli nie nadano im wyższej klauzuli tajności, a ich nieuprawnione ujawnienie może mieć szkodliwy wpływ na wykonywanie przez organy władzy publicznej lub inne jednostki organizacyjne zadań w zakresie obrony narodowej, polityki zagranicznej, bezpieczeństwa publicznego, przestrzegania praw i wolności obywateli, wymiaru sprawiedliwości albo interesów ekonomicznych Rzeczypospolitej Polskiej.

24 Obowiązki kierownika jednostki w zakresie ochrony informacji niejawnych Kierownik jednostki organizacyjnej: odpowiada za ochronę informacji niejawnych, w szczególności za zorganizowanie i zapewnienie funkcjonowania tej ochrony (art. 14 ust. 1); -zatrudnia pełnomocnika ochrony oraz jego zastępcę i organizuje pion ochrony (art. 14 ust.2,4), natomiast Pełnomocnik ds. ochrony informacji niejawnych odpowiada za zapewnienie przestrzegania przepisów o ochronie informacji niejawnych w jednostce organizacyjnej; -określa szczegółowy zakres czynności zastępcy pełnomocnika ochrony (art. 14 ust.5); -przeprowadza nie rzadziej niż raz na 5 lat przegląd materiałów w celu ustalenia, czy spełniają ustawowe przesłanki ochrony (art. 6 ust.4); -wyraża pisemną zgodę na zniesienie lub zmianę klauzuli tajności w przypadku informacji niejawnych o klauzuli ściśle tajne, jeżeli została nadana przez tę jednostkę organizacyjną (art. 6 ust. 5);

25 Obowiązki kierownika jednostki w zakresie ochrony informacji niejawnych Kierownik jednostki organizacyjnej: -współdziała ze służbami i instytucjami uprawnionymi do prowadzenia poszerzonych postępowań sprawdzających, kontrolnych postępowań sprawdzających oraz postępowań bezpieczeństwa przemysłowego, w szczególności udostępniając funkcjonariuszom, pracownikom albo żołnierzom tych służ i instytucji, po przedstawieniu przez nich pisemnego upoważnienia, pozostające w ich dyspozycji informacje i dokumenty niezbędne do realizacji czynności w ramach tych postępowań (art. 13); -wnioskuje odpowiednio do ABW lub SKW o przeprowadzenie poszerzonego postępowania sprawdzającego (art. 23 ust. 2); -wydaje pisemne plecenie przeprowadzenia zwykłego postępowania sprawdzającego (art. 23 ust. 1); -wnioskuje co najmniej 6 miesięcy przed upływem terminu ważności poświadczenia bezpieczeństwa do właściwego organu o przeprowadzenie kolejnego postępowania sprawdzającego (art. 32 ust.1); -informuje w terminie 7 dni organ, który wydał poświadczenie bezpieczeństwa, oraz odpowiednio ABW lub SKW o zatrudnieniu osoby przedstawiającej takie poświadczenie (art. 34 ust. 2);

26 Obowiązki kierownika jednostki w zakresie ochrony informacji niejawnych Kierownik jednostki organizacyjnej: -składa wyjaśnienia w toku procedur kontrolnych prowadzonych przez ABW lub SKW (art.12 ust.1 pkt 5); -wydaje pisemne upoważnienie do dostępu do informacji niejawnych do klauzuli zastrzeżone osobie, która nie posiada poświadczenia bezpieczeństwa (art. 21 ust. 4); -tworzy kancelarię tajną, jeżeli w podległej mu jednostce są przetwarzanie informacje oznaczone klauzulą tajne i ściśle tajne, w przypadku uzasadnionym względami organizacyjnymi może utworzyć więcej niż jedną kancelarię tajną (art. 42 ust.1, 2 ); -może wyrazić zgodę na przetwarzanie w kancelarii tajnej informacji niejawnych o klauzuli poufne lub zastrzeżone (art. 42 ust. 5); -informuje odpowiednio ABW lub SKW o utworzeniu lub likwidacji kancelarii tajnej, z określeniem klauzuli tajności przetwarzanych w niej informacji niejawnych (art. 42 ust. 6);

27 Obowiązki kierownika jednostki w zakresie ochrony informacji niejawnych Kierownik jednostki organizacyjnej: -zatwierdza opracowany przez pełnomocnika ochrony sposób i tryb przetwarzania informacji niejawnych o klauzuli poufne w podległych komórkach organizacyjnych (art. 43 ust. 3); -zatwierdza opracowaną przez Pełnomocnika ochrony dokumentację określającą poziom zagrożeń związanych z nieuprawnionym dostępem do informacji niejawnych lub ich utratą (art. 43 ust. 4); -zatwierdza opracowaną przez Pełnomocnika ochrony instrukcję dotyczącą sposobu i trybu przetwarzania informacji niejawnych o klauzuli zastrzeżone w podległych komórkach organizacyjnych oraz zakres i warunki stosowania środków bezpieczeństwa fizycznego w celu ich ochrony (art. 43 ust. 5);

28 Obowiązki kierownika jednostki w zakresie ochrony informacji niejawnych Kierownik jednostki organizacyjnej: -udziela akredytacji bezpieczeństwa teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli zastrzeżone przez zatwierdzenie dokumentacji bezpieczeństwa systemu teleinformatycznego (art. 48 ust.9); -w ciągu 30 dni od udzielenia akredytacji, o której mowa powyżej, przekazuje odpowiednio ABW lub SKW dokumentację bezpieczeństwa systemu teleinformatycznego; -akceptuje wyniki procesu szacowania ryzyka dla bezpieczeństwa informacji niejawnych oraz jest odpowiedzialny za właściwą organizację bezpieczeństwa teleinformatycznego (art. 49 ust. 7); -wyznacza pracownika lub pracowników pionu ochrony pełniących funkcję inspektora bezpieczeństwa teleinformatycznego, odpowiedzialnych za weryfikację i bieżącą kontrolę zgodności funkcjonowania systemu teleinformatycznego ze szczególnymi wymaganiami bezpieczeństwa oraz przestrzegania procedur eksploatacji (art. 52 ust.1 pkt 1);

29 Obowiązki kierownika jednostki w zakresie ochrony informacji niejawnych Kierownik jednostki organizacyjnej: -organizującej system odpowiada za opracowanie oraz przekazanie odpowiednio ABW lub SKW dokumentacji bezpieczeństwa systemu teleinformatycznego w przypadku gdy system teleinformatyczny będzie funkcjonował w więcej niż jednej jednostce organizacyjnej (art. 49 ust. 6); -wyznacza osobę lub zespół osób, niepełniących funkcji inspektora bezpieczeństwa teleinformatycznego, odpowiedzialnych za funkcjonowanie systemu teleinformatycznego oraz za przestrzeganie zasad i wymagań bezpieczeństwa przewidzianych dla systemu teleinformatycznego, zwanych administratorem systemu (art. 52 ust. 1 pkt 2);

30 Obowiązki kierownika jednostki w zakresie ochrony informacji niejawnych Podstawowe zasady ochrony informacji niejawnych Zasada ograniczonego dostępu (tzw. need-to-know) (art. 4): -rękojmia zachowania tajemnicy; -dostęp do informacji w zakresie niezbędnym do wykonywania pracy lub pełnienia służby na zajmowanym stanowisku albo wykonywania czynności zleconych. Zasada kontroli wytwórcy nad sposobem ochrony informacji (art. 6 ): -klauzulę tajności nadaje osoba uprawniona do podpisania dokumentu lub oznaczenia innego niż dokument materiału; -bez jego pisemnej zgody albo jej przełożonego nie można zmienić lub znieść klauzuli tajności. Zasada adekwatności środków bezpieczeństwa fizycznego: -dostosowanie zakresu środków bezpieczeństwa fizycznego odpowiedniego do poziomu zagrożeń związanych z nieuprawnionym dostępem do informacji niejawnych lub ich utratą (art. 45 ust. 2).

31 Obowiązki kierownika jednostki w zakresie ochrony informacji niejawnych Jednostki organizacyjne, w których przetwarzane są informacje niejawne, stosują środki bezpieczeństwa fizycznego odpowiednie do poziomu zagrożeń w celu uniemożliwienia osobom nieuprawnionym dostępu do takich informacji, w szczególności chroniące przed: -działaniem obcych służb specjalnych; -zamachem terrorystycznym lub sabotażem; -kradzieżą lub zniszczeniem materiału; -próbą wejścia osób nieuprawnionych do pomieszczeń, w których przetwarzane są informacje niejawne; -nieuprawnionym dostępem do informacji o wyższej klauzuli tajności niewynikającym z posiadanych uprawnień. System środków bezpieczeństwa fizycznego obejmuje stosowanie rozwiązań organizacyjnych, wyposażenia i urządzeń służących ochronie informacji niejawnych oraz systemów pomocniczych wspomagających ochronę informacji niejawnych.

32 Obowiązki kierownika jednostki w zakresie ochrony informacji niejawnych Postępowanie w sytuacjach zagrożenia dla informacji niejawnych: Postępowanie w sytuacjach zagrożenia dla informacji niejawnych powinno mieć na celu zapobieżenie naruszenia przepisów o ochronie tych informacji, w tym w szczególności zapobieżenie ujawnienia, utraty lub ich zniszczenia. Rodzaj i skala zagrożeń związanych z nieuprawnionym dostępem lub utratą informacji niejawnych powinny zostać uwzględnione przy określaniu poziomu zagrożeń (art.45).

33 Obowiązki kierownika jednostki w zakresie ochrony informacji niejawnych Postępowanie w sytuacjach zagrożenia dla informacji niejawnych: Postępowanie w sytuacjach zagrożenia dla informacji niejawnych powinno mieć przede wszystkim charakter prewencyjny i zapobiegawczy oraz polegać na przeciwdziałaniu zaistnienia sytuacji zagrożenia dla takich informacji. Kierownik jednostki organizacyjnej powinien zatwierdzić, opracowaną przez pełnomocnika ochrony, procedurę postępowania w sytuacjach zagrożenia dla informacji niejawnych. Z przedmiotową procedurą powinni zostać zapoznani wszyscy pracownicy mający dostęp do informacji niejawnych.

34 Obowiązki kierownika jednostki w zakresie ochrony informacji niejawnych Postępowanie w sytuacjach zagrożenia dla informacji niejawnych: W przypadku stwierdzenia naruszenia przepisów o ochronie informacji niejawnych pełnomocnik ochrony powinien: -niezwłocznie zawiadomić kierownika jednostki organizacyjnej; -niezwłocznie podjąć działania wyjaśniające (niezbędne jest opracowanie szczegółowej instrukcji, wytycznych postępowania wyjaśniającego), -podjąć działania ograniczające negatywne skutki naruszenia przepisów, -niezwłocznie zawiadomić, w przypadku stwierdzenia naruszenia przepisów o ochronie informacji niejawnych o klauzuli poufne lub wyższej, również odpowiednio ABW lub SKW (art.17). W przypadku stwierdzenia zaistnienia stanu naruszenia przepisów o ochronie informacji niejawnych przez osobę inną niż pełnomocnik ochrony jednostki organizacyjnej, konieczne jest niezwłoczne poinformowanie o tym zdarzeniu pełnomocnika ochrony.

35 Obowiązki kierownika jednostki w zakresie ochrony informacji niejawnych Postępowanie w przypadku ujawnienia informacji niejawnych: W przypadku stwierdzenia zaistnienia uzasadnionego podejrzenia popełnienia przestępstwa ujawnienia informacji niejawnych (art. 265 oraz art. 266 k.k.) istnieje obowiązek niezwłocznego zawiadomienia właściwego organu ścigania (prokuratura lub ABW). (art. 304 k.p.k.) Procedura postępowania zarówno w sytuacjach zagrożenia dla informacji niejawnych jak i w przypadku naruszenia przepisów o ich ochronie (zwłaszcza ujawnieniu), powinna być opracowana dla konkretnej jednostki organizacyjnej w sposób zindywidualizowany. Powinna mieć ona rangę aktu prawa wewnętrznego obowiązującego w danej jednostce organizacyjnej np. w postaci załącznika do planu ochrony informacji niejawnych.

36 Problemy ochrony tajemnic Zmieniła się rola i pozycja państwa jako podmiotu bezpieczeństwa, co przypisuje się najogólniej wzrostowi znaczenia syndromu współzależności (politycznej, ekonomicznej a także w konsekwencji społecznej). Zmiana pozycji państwa dokonuje się w warunkach rewolucji informacyjnej, która wzmacnia rolę informacji i zarządzania jej zasobami w tworzeniu bezpieczeństwa obywateli i narodów. Istnieje zatem potrzeba świadomego stosowania instrumentu, jakim jest zespół procedur ochrony informacji w warunkach niestabilnego otoczenia, upadku tradycyjnych wartości stanowiących o istocie relacji pomiędzy obywatelem a państwem, wyrażającym się w pojęciu patriotyzmu, czy też zaufaniu obywatela do organów państwa.

37 Wybrane obowiązki kierownika jednostki organizacyjnej jako zarządzającego bezpieczeństwem informacji Do zadań generała należy zachowanie po pierwsze spokoju, aby nie wzbudzać podejrzeń, a po drugie prawości, aby móc zaprowadzać porządek. Sun Tzu, Sztuka Wojny, dziewięć rodzajów terenu