Jak przetwarzać informacje niejawne w firmie? Wprowadzenie do przetwarzania informacji niejawnych.

 

Nota prawna: zgodnie z Ustawą z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych organami uprawnionymi do nadawania uprawnień do przetwarzania informacji niejawnych są: Agencja Bezpieczeństwa Wewnętrznego w przypadku cywili oraz Służba Kontrwywiadu Wojskowego w przypadku żołnierzy Wojska Polskiego. W celu uzyskania dopuszczenia do przetwarzania informacji niejawnych należy skontaktować się z tymi instytucjami.

Artykuły i szkolenia dostępne w IKMJ mają na celu zapoznanie czytelników i uczestników z:

  • zasadami dotyczącymi przetwarzania informacji niejawnych w celach poglądowych
  • kosztami związanymi z dopuszczeniem do przetwarzania informacji niejawnych
  • wymaganiami organizacyjnymi i technicznymi niezbędnymi do przetwarzania informacji niejawnych

Szkolenia dostępne w IKMJ nie uprawniają do przetwarzania informacji niejawnych i maja charakter poglądowy.

Co to jest informacja niejawna?

Są to informacje “…których nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody dla Rzeczypospolitej Polskiej albo byłoby z punktu widzenia jej interesów niekorzystne, także w trakcie ich opracowywania oraz niezależnie od formy i sposobu ich wyrażania…” (art. 1.1 Ustawy). Informacje niejawne są utrwalane na nośnikach papierowych lub elektronicznych, a także przekazywane w formie ustnej. Mogą je przetwarzać tylko osoby lub organizacje posiadające dopuszczenie do przetwarzania informacji niejawnych nadane przez ABW lub SKW.

Do czego potrzebne nam jest dopuszczenie do przetwarzania informacji niejawnych?

Jeśli jako firma pragniemy realizować zlecenia na rzecz wojska, policji lub administracji rządowej, na rzecz innych firm, gdzie zakres prac jest objęty klauzulą niejawności, w takim przypadku musimy ubiegać się o dopuszczenia informacji niejawnych. Przed rozpoczęciem postępowania mającego na celu dopuszczenie do informacji niejawnych zalecamy dokładnie określić czy są to informacje objęte klauzulą “zastrzeżone”, “poufne”, “tajne” czy też “ściśle tajne” i dopiero podejmować działania, aby nie ponosić zbędnych kosztów.

Jakie są rodzaje informacji niejawnych?

Występują cztery rodzaje informacji niejawnych. Podaję kwalifikacje od najniższego stopnia tajności do najwyższego.

  • informacje z klauzulą “zastrzeżone
  • informacje z klauzulą “poufne
  • informacje z klauzulą “tajne
  • informacje z klauzulą “ściśle tajne
Zobacz podobne  Normy serii ISO 27000

Czym różnią się od siebie poszczególne rodzaje informacji?

Dokładane definicje poszczególnych rodzajów informacji są podane Rozdziale 2 Ustawą z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych.

  • Informacje o klauzuli “zastrzeżone” są to informacje, których “.. nieuprawnione ujawnienie może mieć szkodliwy wpływ na wykonywanie przez organy władzy publicznej lub inne jednostki organizacyjne zadań w zakresie obrony narodowej, polityki zagranicznej, bezpieczeństwa publicznego, przestrzegania praw i wolności obywateli, wymiaru sprawiedliwości albo interesów ekonomicznych Rzeczypospolitej Polskiej” (art. 5.4 Ustawy)

Co trzeba zrobić żeby móc przetwarzać informacje niejawne o klauzuli “zastrzeżone” w firmie?

Uzyskanie dopuszczenia do przetwarzania informacji niejawnych o klauzuli “zastrzeżone” jest stosunkowo proste i tanie. W tym celu kierownik jednostki organizacyjnej (Właściciel w przypadku firmy prowadzonej jako osoba fizyczna prowadząca działalność gospodarcza, Członkowie Zarządu w przypadku spółek kapitałowych, Wspólnicy w przypadku spółek osobowych lub kapitałowo-osobowych) musi zgłosić się na szkolenie do ABW, które trwa jeden dzień i kosztuje około 300-400 zł (cena na rok 2020). Po odbyciu szkolenia uzyskuje dopuszczenie do przetwarzania informacji niejawnych.

Jeżeli kierownik jednostki organizacyjnej chce aby personel firmy również mógł przetwarzać informacje niejawne o klauzuli “zastrzeżone” musi przeszkolić wytypowane osoby z zasad przetwarzania informacji niejawnych i nadać im uprawnienie do przetwarzania tych informacji.

Po uzyskaniu dopuszczenia mam prawo wglądu w te informacji, jednak gdy chcemy je przyjmować i przetwarzać w firmie musimy wdrożyć dodatkowe zabezpieczenia.

 

  • Informacje o klauzuli “poufne” są to informacje, których “..nieuprawnione ujawnienie spowoduje szkodę dla Rzeczypospolitej Polskiej przez to, że:
    1) utrudni prowadzenie bieżącej polityki zagranicznej Rzeczypospolitej Polskiej;
    2) utrudni realizację przedsięwzięć obronnych lub negatywnie wpłynie na zdolność bojową Sił Zbrojnych Rzeczypospolitej Polskiej;
    3) zakłóci porządek publiczny lub zagrozi bezpieczeństwu obywateli;
    4) utrudni wykonywanie zadań służbom lub instytucjom odpowiedzialnym za ochronę bezpieczeństwa lub podstawowych interesów Rzeczypospolitej Polskiej;
    5) utrudni wykonywanie zadań służbom lub instytucjom odpowiedzialnym za ochronę porządku publicznego, bezpieczeństwa obywateli lub ściganie sprawców przestępstw i przestępstw skarbowych oraz organom wymiaru sprawiedliwości;
    6) zagrozi stabilności systemu finansowego Rzeczypospolitej Polskiej;
    7) wpłynie niekorzystnie na funkcjonowanie gospodarki narodowej.” (art. 5.3 Ustawy)
Zobacz podobne  Cyberbezpieczeństwo - dyrektywy UE i wymagania prawne

 

  • Informacje o klauzuli “tajne” są to informacje, których “..nieuprawnione ujawnienie spowoduje poważną szkodę dla Rzeczypospolitej Polskiej przez to, że:
    1) uniemożliwi realizację zadań związanych z ochroną suwerenności lub porządku konstytucyjnego Rzeczypospolitej Polskiej;
    2) pogorszy stosunki Rzeczypospolitej Polskiej z innymi państwami lub organizacjami międzynarodowymi;
    3) zakłóci przygotowania obronne państwa lub funkcjonowanie Sił Zbrojnych Rzeczypospolitej Polskiej;
    4) utrudni wykonywanie czynności operacyjno-rozpoznawczych prowadzonych w celu zapewnienia bezpieczeństwa państwa lub ścigania sprawców zbrodni przez służby lub instytucje do tego uprawnione;
    5) w istotny sposób zakłóci funkcjonowanie organów ścigania i wymiaru sprawiedliwości;
    6) przyniesie stratę znacznych rozmiarów w interesach ekonomicznych Rzeczypospolitej Polskiej.” (art. 5.2 Ustawy)

 

  • Informacje o klauzuli “ściśle tajne” są to informacje, których “…nieuprawnione ujawnienie spowoduje wyjątkowo poważną szkodę dla Rzeczypospolitej Polskiej przez to, że:
    1) zagrozi niepodległości, suwerenności lub integralności terytorialnej Rzeczypospolitej Polskiej;
    2) zagrozi bezpieczeństwu wewnętrznemu lub porządkowi konstytucyjnemu Rzeczypospolitej Polskiej;
    3) zagrozi sojuszom lub pozycji międzynarodowej Rzeczypospolitej Polskiej;
    4) osłabi gotowość obronną Rzeczypospolitej Polskiej;
    5) doprowadzi lub może doprowadzić do identyfikacji funkcjonariuszy, żołnierzy lub pracowników służb odpowiedzialnych za realizację zadań wywiadu lub kontrwywiadu, którzy wykonują czynności operacyjno-rozpoznawcze, jeżeli zagrozi to bezpieczeństwu wykonywanych czynności lub może doprowadzić do identyfikacji osób udzielających im pomocy w tym zakresie;
    6) zagrozi lub może zagrozić życiu lub zdrowiu funkcjonariuszy, żołnierzy lub pracowników, którzy wykonują czynności operacyjno-rozpoznawcze, lub osób udzielających im pomocy w tym zakresie;
    7) zagrozi lub może zagrozić życiu lub zdrowiu świadków koronnych lub osób dla nich najbliższych, osób, którym udzielono środków ochrony i pomocy przewidzianych w ustawie z dnia 28 listopada 2014 r. o ochronie i pomocy dla pokrzywdzonego i świadka (Dz. U. z 2015 r. poz. 21), albo świadków, o których mowa w art. 184 ustawy z dnia 6 czerwca 1997 r. – Kodeks postępowania karnego, lub osób dla nich najbliższych.” (art. 5.1 Ustawy)
Zobacz podobne  Jakie są cele cyberbezpieczeństwa?

 

Co trzeba zrobić żeby móc przetwarzać informacje niejawne o klauzuli “poufne”, “tajne”, “ściśle tajne” w firmie?

Tutaj wymagania są znacznie większe i kosztowne. W tym celu musimy uzyskać Certyfikat Bezpieczeństwa Przemysłowego, które nadaje nam ABW po spełnieniu wymagań określonych w ustawie. Wymagania te są zależne stopnia dostępu do informacji niejawnej, a mamy 3 stopnie:

  • Stopień I – pełny dostęp do informacji niejawnej z kancelarią tajną oraz systemem teleinformatycznym
    • W tym przypadku uzyskujemy uprawnienie do przetwarzania informacji niejawnych w wersji papierowej i elektronicznej
    • Weryfikację osobową przechodzi co najmniej 5 osób:
      • Kierownik Jednostki Organizacyjnej
      • Kierownik Pionu Informacji Niejawnej
      • Kierownik Kancelarii Tajnej
      • Inspektor Bezpieczeństwa Teleinformatycznego
      • Inspektor Systemu
    • Musimy utworzyć Kancelarię Tajną i wyposażyć ją w sprzęt komputerowy klasy tempest do przetwarzania informacji niejawnej
    • Szacowany koszt to:
      • 3/4 tys. zł za weryfikację jednej osoby
      • koszty utworzenia Kancelarii Tajnej
      • koszty zakupu sprzętu komputerowego klasy tempest (około 30 tys. zł za komputer z monitorem i drukarką)
  • Stopień II – pełny dostęp do informacji niejawnej z kancelarią tajną
    • W tym przypadku uzyskujemy uprawnienie do przetwarzania informacji niejawnych w wersji papierowej
    • Weryfikację osobową przechodzi co najmniej 4 osób:
      • Kierownik Jednostki Organizacyjnej
      • Kierownik Pionu Informacji Niejawnej
      • Kierownik Kancelarii Tajnej
      • Inspektor Systemu
    • Musimy utworzyć Kancelarię Tajną
    • Szacowany koszt to:
      • 3/4 tys. zł za weryfikację jednej osoby
      • koszty utworzenia Kancelarii Tajnej
  • Stopień III – bezpieczeństwo personelu (bez kancelarii i systemu teleinformatycznego)
    • W tym przypadku uzyskujemy uprawnienie do wglądu do informacji niejawnych w kancelarii tajnej organizacji, która udostępnia nam informacje
    • Weryfikację osobową przechodzi co najmniej 4 osób:
      • Kierownik Jednostki Organizacyjnej
    • Szacowany koszt to:
      • 3/4 tys. zł za weryfikację jednej osoby

 

Autor: Mariusz Mazur (4994))

 


 

Masz pytania związane z Systemem  Zarządzania? Koniecznie dołącz do grupy na Facebooku ISO Poland. Twoje pytania na pewno nie zostaną bez odpowiedzi.

 

 

 

Scroll to Top