PROBLEMATYKA OCHRONY INFORMACJI NIEJAWNYCH

ZARZĄDZANIE KRYZYSOWE PROBLEMATYKA OCHRONY INFORMACJI NIEJAWNYCH Andrzej Marjański 2 R e f l e k s y j n i e Kryzys to szansa na sukces, którą trzeba umieć wykorzystać - kryzys może być bowiem twórczy. Lee Iacocca (właśc. Lido Anthony Iacocca) (ur. 15 października 1924) amerykański menedżer przemysłu samochodowego, prezes Forda i Chryslera. 1

Agenda 3 Konieczność zabezpieczenia informacji Rodzaje informacji Tajemnica państwowa i służbowa Polityka bezpieczeństwa informacji Nieuczciwa konkurencja Kancelaria tajna Zakres informacji niejawnych Koszt bezpieczeństwa Konieczność zabezpieczenia informacji Od zarania dziejów w każdej państwowości, w ramach aktywności społecznych funkcjonowały w obiegu wiadomości, które uznawano za tajemnicę Wraz z rozwojem cywilizacyjnym i kształtowaniem się aparatu państwa informacje te nabierały szczególnego charakteru Nikogo dziś nie trzeba przekonywać, że informacja (jawna i niejawna) jest towarem strategicznym i choćby dlatego należy ją odpowiednio chronić przed nieuprawnionym ujawnieniem. Zachodzi konieczność wprowadzania skutecznych mechanizmów zabezpieczania informacji prze dostaniem się jej w niepowołane ręce * 4 2

Bezpieczeństwo jako norma i obowiązek Bezpieczeństwo informacji jest nie tylko normą i koniecznością, ale także obowiązkiem dla firm i organizacji Wymogi prawa nakładają na zarządy organizacji obowiązek podjęcia szeregu działań o charakterze organizacyjnym i technicznym w zakresie ochrony przetwarzanych informacji. Powodzenie realizacji ochrony informacji zależy od: umiejętnego zarządzania bezpieczeństwem poszczególnych rodzajów informacji, poziomu świadomości pracowników dopuszczonych do przetwarzania informacji odpowiednio dobranych rozwiązań technicznych. 5 Rodzaje informacji W organizacjach są przetwarzane różne rodzaje informacji, jedne są chronione ze względu na interes firmy, inne ze względu na wymogi przepisów prawa, pozostałe zaś są bądź muszą być ujawniane. * 6 3

Jakie informacje organizacja musi chronić? Najważniejsze dla organizacji, są informacje stanowiące jej tajemnice Zarząd musi je sam wskazać i pojąć działanie w celu ich ochrony Inne informacje, których przetwarzanie w organizacji wynika z przepisów prawa, są wskazywane przez odpowiednie akty prawne i to z nich wynikają wymogi dla ochrony tych informacji. Zatem konieczność wdrożenia polityki bezpieczeństwa informacji wynika z dwóch aspektów: biznesowego prawnego. 7 Aspekt biznesowy Dbałość o interesy firmy, a przede wszystkim ochrona jej tajemnic. Kluczową sprawą jest ochrona tzw. tajemnicy przedsiębiorstwa, zdefiniowana w Ustawie z 16 kwietnia 1993r. o zwalczaniu nieuczciwej konkurencji Art. 11 ust. 4 Ustawy o zwalczaniu nieuczciwej konkurencji Przez Tajemnicę przedsiębiorstwa rozumie się: Nie ujawnione do wiadomości publicznej informacje techniczne, technologiczne, handlowe lub organizacyjne przedsiębiorstwa, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności. * 8 4

Polityka bezpieczeństwa informacji Ochrona tajemnic przedsiębiorstwa, wymaga najpierw dokładnego określenia, a następnie podjęcia działanie w celu ich zabezpieczenia Proces ten nazywa się wdrożeniem Polityki Bezpieczeństwa Informacji. Polityka to opracowanie zasad: zarządzania, procedur i instrukcji ochrony informacji, wyznaczenie osób odpowiedzialnych za bezpieczeństwo tych informacji, szkolenia osób dopuszczonych do przetwarzania tych informacji, zabezpieczenie systemów przetwarzania ww. informacji (papierowych czy informatycznych). * * 9 Jeśli Zarząd organizacji nie określi i nie poinformuje, które informację są ważne dla organizacji i stanowią tajemnicę podmiotu, osoby dopuszczone do nich nie wiedząc o tym fakcie, nie będą ich chronić. W rezultacie może dojść do sytuacji, że cenne informacje zostaną ujawnione np. konkurencji. Nie można będzie skorzystać z zapisów ustawy o zwalczaniu nieuczciwej konkurencji w sytuacji, gdy tajemnice firmowe zostaną ujawnione lub wykorzystane w sposób zagrażający interesom firmy. * Brak bezpieczeństwa informacji 10 5

Art. 11 ust.1 Ustawy o zwalczaniu nieuczciwej konkurencji Czynem nieuczciwej konkurencji jest przekazanie, ujawnienie lub wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa albo ich nabycie od osoby nieuprawnionej, jeżeli zagraża istotnym interesom przedsiębiorcy * Nieuczciwa konkurencja 11 Nieuczciwa konkurencja Art. 18 Ustawy o zwalczaniu nieuczciwej konkurencji W razie dokonania czynu nieuczciwej konkurencji przedsiębiorca, którego interes został zagrożony lub naruszony, może żądać: zaniechania niedozwolonych działań, usunięcia skutków niedozwolonych działań, złożenia oświadczenia o odpowiedniej treści, naprawienia wyrządzonej szkody, wydania bezpodstawnie uzyskanych korzyści * 12 6

Nieuczciwa konkurencja Art. 23 Ustawy o zwalczaniu nieuczciwej konkurencji Kto, wbrew ciążącemu na nim obowiązkowi w stosunku do przedsiębiorcy, ujawnia innej osobie lub wykorzystuje we własnej działalności gospodarczej informację stanowiącą tajemnicę przedsiębiorstwa, jeżeli wyrządza to poważną szkodę przedsiębiorcy, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 13 * Skutki braku określenia co stanowi informację niejawną Jeżeli osoba, która "sprzedała" informacje konkurencji, stwierdzi, iż nie wiedziała o tym, że ujawnione informacje stanowiły tajemnicę przedsiębiorstwa, bo takowa w firmie nie była określona i nikt nie zobowiązał jej do ochrony tych informacji. Sprawa z pozoru oczywista, staje się trudna do wygrania. Kto w takiej sytuacji zawinił i jakie mogą być tego konsekwencje? Oczywiście Zarząd, ponieważ nie określił tajemnic przedsiębiorstwa i nie podjął stosownych działań w celu ich ochrony. Jeżeli Zarząd firmy nie określi tajemnicy przedsiębiorstwa i nie będzie jej chronić nie dba o interesy swojej firmy! W konsekwencji może być to powód do jego odwołania. * 14 7

15 Aspekt prawny Konieczności wdrożenia Polityki Bezpieczeństwa Informacji wiąże się z konkretnymi wymaganiami w celu ochrony danego rodzaju informacji, a zarazem z poniesieniem przez organizację niezbędnych kosztów. W tym wypadku nie ma możliwości wyboru, odpowiednie akty prawne wskazują informacje, których obowiązek ochrony spada na organizacje, w których są one przetwarzane. * 16 Aspekt prawny Spośród informacji prawnie chronionych najpowszechniejsze są oczywiście dane osobowe (pracowników i klientów), które przetwarzane są niemal w każdej organizacji. Ustawa z 29 sierpnia 1997r. o ochronie danych osobowych wskazuje obowiązki techniczne i organizacyjne ochrony zbiorów danych osobowych, które musi wypełnić Administrator danych - czyli Zarząd organizacji m.in.: zabezpieczenie zbiorów, rejestracja zbiorów, szkolenia osób. * 8

Tajemnica państwowa i służbowa Grupa informacji prawnie chronionych z jasno określonymi, ale bardziej rygorystycznymi wymogami ochrony są informacje niejawne stanowiące tajemnicę państwową i służbową Wskazane w Ustawie z 22 stycznia 1999r. o ochronie informacji niejawnych. Podlegają im zarówno te organizacje, których działalność jest bezpośrednio związana z dostępem do tego rodzaju informacji, jak również firmy, które świadczą dla nich różne usługi. Wymagania dla tych informacji różnią się w zależności od nadanej klauzuli: zastrzeżone, poufne, tajne ściśle tajne * 17 Tajemnica państwowa i służbowa Ustawa wskazuje rodzaje informacji, którym powinno się nadawać określone klauzule, aczkolwiek rodzaj klauzuli jest wybierany przez wyznaczoną osobę i niejednokrotnie jest różny w różnych organizacjach - klauzule często zaniża się, aby uniknąć poniesienia wyższych nakładów techniczno-organizacyjnych. * 18 9

Tajemnica państwowa i służbowa Przy przetwarzaniu informacji niejawnych szczególnie istotne są wymogi dotyczące poświadczenia bezpieczeństwa osobowego wydawanego przez Służby Ochrony Państwa (ABW lub Wojskowe Służby Informacyjne). W tym wypadku nie zależy to jedynie od przeszkolenia danej osoby, jak np. przy dopuszczeniu do przetwarzania danych osobowych i może się wiązać z koniecznością wymiany kadr. * 19 Tajemnica państwowa i służbowa Dla firm lub jednostek naukowych i badawczorozwojowych, które ubiegają się o zawarcie umów związanych z dostępem do informacji stanowiących tajemnicę państwową niezbędne jest: otrzymanie odpowiedniego świadectwa bezpieczeństwa przemysłowego, aby móc wykonać dane zlecenie. Wiąże się to z konkretnymi nakładami inwestycyjnymi: kancelaria tajna, zabezpieczenie systemów informatycznych, szkolenia ludzi, stworzenie instrukcji bezpieczeństwa * 20 10

Ochrona informacji prawnie chronionych Kolejne wymogi prawne ochrony informacji nakładają na organizacje poszczególne akty prawne, związane z charakterem prowadzonej przez nie działalności. Tajemnice zawodowe: handlowa, bankowa, maklerska, statystyczna, wynalazcza, lekarska itp. Jest ich w polskim prawodawstwie kilkadziesiąt rodzajów Poszczególne przepisy nie określają tak precyzyjnych wymogów ochrony tych tajemnic, jak w przypadku danych osobowych czy informacji niejawnych. Należy podjąć niezbędne działania w celu ich ochrony podobnie jak w przypadku ochrony tajemnicy przedsiębiorstwa. Nie podjęcie działań przez organizację w celu ochrony informacji prawnie chronionych może skutkować odpowiedzialnością karną np. w przypadku przetwarzania danych osobowych. * 21 Ochrona danych osobowych Art. 52 Ustawy o ochronie danych osobowych Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Wprowadzenie Polityki Bezpieczeństwa Informacji w organizacji chroni zarówno interesy przedsiębiorcy, jak również pomaga wypełnić obowiązki ochrony informacji wynikające z przepisów prawa. Zabezpiecza przed konsekwencjami prawnymi i pozwala w przypadku sytuacji naruszenia zasad ochrony przez osoby dopuszczone do informacji (pracownicy, współpracownicy, przedstawiciele firm zewnętrznych) podjąć odpowiednie działania dyscyplinarne. Podstawą do tego jest przyjęcie odpowiednich regulaminów zasad ochrony informacji i zebranie pisemnych zobowiązań ochrony informacji od osób do nich dopuszczonych * 22 11

Odpowiedzialność za naruszenie zasad ochrony informacji 23 Za naruszenie zasad ochrony informacji grozi odpowiedzialność karna na podstawie przepisów: Kodeksu pracy karnych Ustawy o ochronie danych osobowych Kodeksu karnego dotyczących przestępstw przeciwko ochronie informacji Karnych chroniących tajemnice zawodowe * W przypadku ujawnienia tajemnicy pracodawcy na podstawie Kodeksu Pracy: Art. 52 kodeksu pracy Pracodawca może rozwiązać umowę o pracę bez wypowiedzenia z winy pracownika w razie: ciężkiego naruszenia przez pracownika podstawowych obowiązków pracowniczych, popełnienia przez pracownika w czasie trwania umowy o pracę przestępstwa, które uniemożliwia dalsze zatrudnianie go na zajmowanym stanowisku, jeżeli przestępstwo jest oczywiste lub zostało stwierdzone prawomocnym wyrokiem, (...) * 24 Kodeks pracy 12

Ustawa o ochronie danych osobowych Art. 51 Ustawy o ochronie danych osobowych Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym,podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. 25 W przypadku ujawnienia lub wykorzystania informacji na podstawie Kodeksu karnego: Art.266 Kodeksu Karnego 1. Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 26 Kodeks karny 13

W przypadku nieuprawnionego uzyskania informacji: Art. 267 Kodeksu Karnego 1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Nieuprawnione uzyskanie informacji 2. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym. 3. Tej samej karze podlega, kto w informację uzyskaną w sposób określony w 1 lub 2 ujawnia innej osobie. * 27 Kodeks karny W przypadku naruszenia integralności lub zniszczenia zapisu w informacji podlegającej ochronie: Art. 268 Kodeksu Karnego 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 28 Kodeks karny 14

W przypadku zniszczenia informacji o szczególnym znaczeniu (tajemnica państwowa): Art. 269 Kodeksu Karnego 1.Kto, na komputerowym nośniku informacji, niszczy, uszkadza, usuwa lub zmienia zapis o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub administracji samorządowej albo zakłóca lub uniemożliwia automatyczne gromadzenie lub przekazywanie takich informacji, podlega karze pozbawienia wolności od 6 miesięcy do lat 8. 2. Tej samej karze podlega, kto dopuszcza się czynu określonego w 1, niszcząc albo wymieniając nośnik albo wymieniając nośnik informacji lub niszcząc albo uszkadzając urządzenie służące automatycznemu przetwarzaniu, gromadzeniu lub przesyłaniu informacji. * 29 Kodeks karny 30 Kodeks karny W przypadku oszustw komputerowych: Art.287 Kodeksu Karnego Kto, w celu osiągnięcia korzyści materialnej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przesyłanie informacji lub zmienia, usuwa albo wprowadza nowy zapis na komputerowym nośniku informacji, podlega karze pozbawienia wolności od 3 miesięcy do 5 lat. * 15

Przykłady przepisów w przypadku ujawnienia tajemnic zawodowych: Art. 171 Prawa bankowego 5. Kto, będąc obowiązany do zachowania tajemnicy bankowej, ujawnia lub wykorzystuje informacje stanowiące tajemnicę bankową, niezgodnie z upoważnieniem określonym w ustawie, podlega grzywnie do 1 000 000 złotych i karze pozbawienia wolności do lat 3. Art. 306 Ordynacji podatkowej 1. Kto, będąc obowiązanym do zachowania tajemnicy skarbowej, ujawnia informacje objęte tą tajemnicą, podlega karze pozbawienia wolności do lat 5. 2. Kto będąc obowiązany do zachowania tajemnicy skarbowej ujawnia informacje określone w art. 182, podlega karze pozbawienia wolności od 6 miesięcy do lat 5. * 31 Inne przepisy Zagrożenia dla bezpieczeństwa informacji Konieczność wdrożenia Polityki Bezpieczeństwa Informacji wynika z: aspektów prawnych i biznesowych, wiąże się z koniecznością zabezpieczenia się przed różnorakimi zagrożeniami wewnętrznymi i zewnętrznymi. Kradzież informacji jest bardzo powszechna, bowiem informacja jest najcenniejszym towarem w obecnych czasach. 32 16

Formy kradzieży informacji Celem złodziei informacji jest najczęściej wykorzystanie nieświadomości pracowników danej firmy, którzy udostępniają im cenne informacje w różnej postaci. Socjotechnika to główna broń w wykradaniu informacji. Bardzo powszechne jest również włamywanie się do systemów informatycznych (z zewnątrz czy od wewnątrz organizacji), Zwyczajne włamanie do pomieszczeń firmy. 33 Kancelaria Tajna to w ogólnym rozumieniu miejsce gdzie gromadzi się dokumenty niejawne, niedostępne dla wszystkich Tak naprawdę miejsce bardzo często niedoceniane pod względem pełnionej funkcji (jednakowo przez decydentów jak i przez bezpośrednich użytkowników). Kancelaria tajna jest jednym z wielu elementów ogólnej polityki bezpieczeństwa organizacji i zarazem jedynym o ściśle określonych, tak bardzo specyficznych wymaganiach, związanych z realizowanymi na co dzień zadaniami niejawnymi * 34 Kancelaria tajna 17

35 Kancelaria tajna wg NATO Kancelaria tajna wg NATO Analiza systemowa funkcji kancelarii tajnej pozwala wyrobić sobie jednoznaczny pogląd na szereg czynności takich jak: planowanie Wdrażanie eksploatację bezpiecznych warunków OIN dotyczących przyjmowania, tworzenia, udostępniania, przechowywania ekspediowania dokumentów niejawnych, działania podstawowe składają się na wieloaspektralne zapewnienie ochrony informacji. 36 18

Kancelaria tajna wg NATO Właściciele lub zarząd, dążąc w swym działaniu do objęcia nowych intratnych kontraktów krajowych lub zagranicznych wiążących się z elementami obronności i bezpieczeństwa, chcą przebić konkurencję nie tylko kosztem oferty ale i posiadanymi uprawnieniami: ISO, AQAP, Deklaracja Uprawnień DoE, Działania podejmue się po to by móc zaistnieć np. w natowskim pakiecie projektowym w ramach NSIP (NATO Security Investment Programme), uzyskać numer (NCAGE) i uprawnienia stałego dostawcy dla NC3A (w ramach porozumienia Basic Ordering Agremment - BOA), jak to schematycznie obrazuje rysunek * 37 38 Przerywane kręgi sygnalizują konieczność posiadania odpowiednich uprawnień z zakresu OIN w ramach współpracy natowskiej (np. NSIP-NC3A) i nie tylko (DoE-NCAGE, w ujęciu krajowym jako NPG Narodowy Podmiot Gospodarczy dla państw spoza NATO) lub dla wybranych produktów (AQAP-PB- ŚBP). 19

Kancelaria tajna w organizacji Organizacja pragnąca w swej codziennej działalności realizować kontrakty o charakterze niejawnym nie może, niestety, funkcjonować bez pełnomocnika ochrony informacji niejawnych (OIN), z podporządkowanymi mu ustawowo elementami strukturalnego pionu ochrony, wraz z komórką organizacyjną kancelarii tajnej. Rozumując wyłącznie kategoriami biznesowymi zderza się z ustawowym wymogiem ochrony informacji niejawnych (OIN), czyli koniecznością posiadania warunków zapewniających rękojmię ochrony informacji na odpowiednim poziomie nie tylko wśród swego personelu (Poświadczenia Bezpieczeństwa Osobowego o stosownej klauzuli uprawnień) ale również wobec wobec firmy (Świadectwo Bezpieczeństwa Przemysłowego dla danego kontraktu, poprzedzone kwestionariuszem sprawdzającym stan i możliwości OIN w firmie). * 39 Określenie zakresu informacji niejawnych Przystępując do działania na rynku objętym ustawową ochroną informacji niejawnych (OIN) trzeba sobie postawić szereg pytań i racjonalnie na nie odpowiedzieć. Należy głęboko zastanowić się nad całym szeregiem zagadnień organizacyjnych, personalnych, lokalowych, technicznych, Kosztowych * 40 20

Określenie zakresu informacji niejawnych Określenie jednoznacznie: Co będzie podlegało ochronie Jakie są wymagane formy bezpieczeństwa OIN? Jaka może być postać informacji/dokumentu? Jakie są potrzeby, wymogi i możliwości lokalowe? Jakie zabezpieczenie finansowe jest niezbędne dla realizacji zasad podstawowych i spełnienia wymagań minimalnych OIN? Jak to wkomponować w istniejące lub planowane systemowe zarządzanie jakością oraz bezpieczeństwem produktów, środowiska i ludzi? * 41 Określenie zakresu informacji niejawnych Po szerokiej analizie można podjąć dalsze pragmatyczne działania, przez cały czas mając na uwadze dwie rozbieżne (a chwilami przeciwstawne sobie) tendencje: w biznesie wszystko co nie jest zabronione - jest dozwolone za chybione pomysły trzeba zapłacić gotówką (jednorazowo lub w określonym czasie); w ochronie informacji wszystko co nie jest dozwolone jest zabronione za samowolę w tym względzie ustawodawca penalizuje odpowiedzialność osobistą (czasami jest to grzywna, ale na ogół areszt lub kara więzienia) * 42 21

Określenie zakresu informacji niejawnych Upraszczając łatwy do zapamiętania na wypadek wpadki mnemonik: Za straty w biznesie - są raty, za utratę informacji kraty!!! Nie wolno o tym zapominać, na każdym z etapów realizowanych działań * 43 OIN ex definitione -wg ABW Celem ograniczenia dostępu do pewnych kategorii informacji i objęcia ich specjalnym systemem bezpieczeństwa jest ochrona podstawowych interesów Rzeczypospolitej Polskiej oraz stworzenie warunków do współpracy sojuszniczej w ramach organizacji międzynarodowych, szczególnie Organizacji Traktatu Północnoatlantyckiego. System postępowań sprawdzających i procedur ochrony ma za zadanie uniemożliwienie uzyskania dostępu do chronionych informacji przez podmioty, które mogłyby je wykorzystać w sposób zagrażający podstawowym interesom państwa, a przede wszystkim niepodległości, nienaruszalności terytorium, interesom obronności bezpieczeństwa państwa i obywateli. * 44 22

System ochrony informacji niejawnych Na system ochrony informacji niejawnych składają się: bezpieczeństwo osobowe, bezpieczeństwo fizyczne, bezpieczeństwo obiegu dokumentów bezpieczeństwo przemysłowe i bezpieczeństwo teleinformatyczne * 45 Działalność kancelarii tajnej Funkcjonowanie kancelarii tajnej jest nierozłącznie związane z dwoma osobami: pełnomocnikiem ochrony informacji niejawnych; kierownikiem kancelarii tajnej. Pełnomocnik odpowiada za stworzone w firmie procedury z zakresu OIN i ich przestrzeganie (co realizuje poprzez proces dopuszczania osób do informacji sprawdzenie rękojmi zachowania tajemnicy, oraz nadzór nad codzienną działalnością pionu ochrony w tym kancelarii tajnej) oraz planowanie działań związanych z OIN w sytuacjach kryzysowych. Kierownik kancelarii tajnej i podległy mu personel (kanceliści i archiwiści o ile jest konieczność i potrzeba ich zatrudniania) odpowiadają za bieżący codzienny nadzór nad obiegiem informacji niejawnych. * 46 23

Obowiązki kierownika kancelarii rejestrowanie dokumentów niejawnych otrzymywanych, wysyłanych oraz wytworzonych na potrzeby wewnętrzne jednostki organizacyjnej, według zasad ustalonych w zarządzeniu o powołaniu kancelarii tajnej; prowadzenie ewidencji pieczęci urzędowych oraz służbowych posiadanych przez jednostkę organizacyjną lubjej wybraną komórkę; wysyłanie dokumentów wytworzonych w jednostce organizacyjnej do adresatów; prowadzenie wykazów osób upoważnionych do dostępu do informacji niejawnych, posiadających stosowne poświadczenia bezpieczeństwa; udostępnianie dokumentów niejawnych tylko osobom uprawnionym * 47 Obowiązki kierownika kancelarii prowadzenie bieżącej kontroli sposobu wytwarzania dokumentów niejawnych przez wykonawców i wykonawców technicznych; rozliczanie wykonawców z powierzonych im dokumentów niejawnych; kompletowanie dokumentów oraz przygotowywanie akt do archiwizacji oraz stosownie do ustaleń ich przechowywanie okresowe wg potrzeb organizacyjnych; wykonywanie poleceń pełnomocnika ochrony * 48 24

Kancelaria Tajna wymaga przede wszystkim przemyślanych działań opartych na rozwiązaniach ustawowych, ale przy tym istotnym i zasadniczym elementem całego procesu jest określenie: najwyższej klauzuli przewidywanych dokumentów niejawnych; rodzaju tajemnicy (służbowa, państwowa/sojusznicza); nośników informacji (tradycyjne, OEM, materiały niejawne); sposobu obsługi dokumentów niejawnych. 49 Kancelaria tajna 50 Koszt bezpieczeństwa Bezpieczeństwo kosztuje ale nie ma ceny, Próby stosowania przeliczeń stopy zwrotu zysku z inwestycji związanych z ochroną informacji jest przedsięwzięciem chybionym, nie służącym sprawie OIN. Osoby upierające się tylko przy ekonomicznym aspekcie sprawy, należy jak najszybciej zapoznać z rozdziałem XXXIII Kodeksu Karnego i wyznaczyć jako odpowiedzialne za inwestycję wobec Zarządu przedsiębiorstwa oraz Krajowej Władzy Bezpieczeństwa Z praktyki wiadomo, że to bardzo pomaga - na ogół można się obyć bez konieczności szukania dodatkowych argumentów w sprawie * 25

51 Literatura do wykładu : S.Mazur, Zarządzanie kryzysowe, obrona cywilna kraju, ochrona informacji niejawnych, AWF Katowice, Katowice 2003 M. Byczkowski, Konieczność i obowiązek wdrożenia Polityki Bezpieczeństwa Informacji w organizacji, www.niejawna.pl M. Blim, Kancelaria Tajna co trzeba i warto o niej wiedzieć, www.niejawna.pl Pytania? Zwyciężać mogą ci, którzy wierzą, że mogą. Wergiliusz amarjanski.spoleczna.pl 26