Ochrona informacji niejawnych

Podstawowe definicje i pojęcia wynikające z przepisów Ustawy o ochronie informacji niejawnych:

INFORMACJE NIEJAWNE 
informacje, których nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody dla RP albo byłoby z punktu widzenia jej interesów niekorzystne (także informacje
w trakcie ich opracowywania oraz niezależnie od formy i sposobu ich wyrażania).
/art. 1 ust. 1/

Jednostka organizacyjna
1) organ władzy publicznej, w szczególności:

a) Sejm i Senat Rzeczypospolitej Polskiej,
b) Prezydent Rzeczypospolitej Polskiej,
c) organa administracji rządowej,
d) organa jednostek samorządu terytorialnego, a także inne podległe im jednostki organizacyjne lub przez nie nadzorowane,
e) sądy i trybunały,
f) organa kontroli państwowej i ochrony prawa,

2) jednostki organizacyjne podległe Ministrowi Obrony Narodowej lub przez niego nadzorowane;
3) Narodowy Bank Polski;
4) państwowe osoby prawne i inne niż wymienione wyżej państwowe jednostki organizacyjne,
5) jednostki organizacyjne podległe organom władzy publicznej lub nadzorowane przez te organy;
6) przedsiębiorcy zamierzający ubiegać się albo ubiegający się o zawarcie umów związanych z dostępem do informacji niejawnych lub wykonujący takie umowy albo wykonujący na podstawie przepisów prawa zadania związane z dostępem do informacji niejawnych.
Rękojmia zachowania tajemnicy
jest zdolność osoby do spełnienia ustawowych wymogów dla zapewnienia ochrony informacji niejawnych przed ich nieuprawnionym ujawnieniem, stwierdzona w wyniku przeprowadzenia postępowania sprawdzającego.

Dokumentem
jest każda utrwalona informacja niejawna ( art. 2 pkt 3 )..

Materiałem
jest dokument lub przedmiot albo dowolna ich część, chronione jako informacja niejawna, a zwłaszcza urządzenie, wyposażenie lub broń wyprodukowane albo będące w trakcie produkcji, a także składnik użyty do ich wytworzenia( art. 2 pkt 4 ).

Przetwarzaniem informacji niejawnych
są wszelkie operacje wykonywane w odniesieniu do informacji niejawnych i na tych informacjach, w szczególności ich wytwarzanie, modyfikowanie, kopiowanie, klasyfikowanie, gromadzenie, przechowywanie, przekazywanie lub udostępnianie ( art. 2 pkt 5 ).

Systemem teleinformatycznym
jest system teleinformatyczny w rozumieniu art. 2 pkt 3 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204, z późn. zm.),( art. 2 pkt 6 ).
system teleinformatyczny – zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania, zapewniający przetwarzanie
i przechowywanie, a także wysyłanie i odbieranie danych poprzez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci urządzenia końcowego w rozumieniu ustawy z dnia 21 lipca 2000 r. – Prawo telekomunikacyjne.

Dokumentem szczególnych wymagań bezpieczeństwa
jest systematyczny opis sposobu zarządzania bezpieczeństwem systemu teleinformatycznego.

Dokumentem procedur bezpiecznej eksploatacji systemu teleinformatycznego
jest opis sposobu i trybu postępowania w sprawach związanych z bezpieczeństwem informacji niejawnych przetwarzanych w systemie teleinformatycznym oraz zakres odpowiedzialności użytkowników systemu teleinformatycznego i pracowników mających do niego dostęp.

Dokumentacją bezpieczeństwa systemu teleinformatycznego
jest dokument szczególnych wymagań bezpieczeństwa oraz dokument procedur bezpiecznej eksploatacji systemu teleinformatycznego, opracowane zgodnie z zasadami określonymi w ustawie.

Akredytacją bezpieczeństwa teleinformatycznego
jest dopuszczenie systemu teleinformatycznego do przetwarzania informacji niejawnych

Certyfikacją
jest proces potwierdzania zdolności urządzenia, narzędzia lub innego środka do ochrony informacji niejawnych.

Audytem bezpieczeństwa systemu teleinformatycznego
jest weryfikacja poprawności realizacji wymagań i procedur, określonych w dokumentacji bezpieczeństwa systemu teleinformatycznego.

Przedsiębiorcą
jest przedsiębiorca w rozumieniu art. 4 ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U. z 2007 r. Nr 155, poz. 1095, z późn. zm.) lub każda inna jednostka organizacyjna, niezależnie od formy własności, którzy w ramach prowadzonej działalności gospodarczej zamierzają realizować lub realizują związane z dostępem do informacji niejawnych umowy lub zadania wynikające z przepisów prawa

Kierownikiem przedsiębiorcy
jest członek jednoosobowego zarządu lub innego jednoosobowego organu zarządzającego, a jeżeli organ jest wieloosobowy – cały organ albo członek lub członkowie tego organu wyznaczeni co najmniej uchwałą zarządu do pełnienia funkcji kierownika przedsiębiorcy, z wyłączeniem pełnomocników ustanowionych przez ten organ lub jednostkę; w przypadku spółki jawnej i spółki cywilnej kierownikiem przedsiębiorcy są wspólnicy prowadzący sprawy spółki, w przypadku spółki partnerskiej – wspólnicy prowadzący sprawy spółki albo zarząd, a w odniesieniu do spółki komandytowej i spółki komandytowo-akcyjnej – komplementariusze prowadzący sprawy spółki; w przypadku osoby fizycznej prowadzącej działalność gospodarczą kierownikiem przedsiębiorcy jest ta osoba; za kierownika przedsiębiorcy uważa się również likwidatora, a także syndyka lub zarządcę ustanowionego w postępowaniu upadłościowym; kierownik przedsiębiorcy jest kierownikiem jednostki organizacyjnej w rozumieniu przepisów ustawy.

Ryzykiem
jest kombinacja prawdopodobieństwa wystąpienia zdarzenia niepożądanego i jego konsekwencji.

Szacowaniem ryzyka
jest całościowy proces analizy i oceny ryzyka.

Zarządzaniem ryzykiem
są skoordynowane działania w zakresie zarządzania bezpieczeństwem informacji, z uwzględnieniem ryzyka.

Zatrudnieniem
jest również odpowiednio powołanie, mianowanie lub wyznaczenie.

Ochrona informacji niejawnych jest ściśle związana z bezpieczeństwem państwa i co za tym idzie, z przygotowaniami obronnymi. Znaczenie ochrony informacji niejawnych dla prowadzenia przygotowań obronnych nie wydaje się problemem dyskusyjnym.
Jest bezsporne, że podejmowanie skutecznych i efektywnych działań musi odbywać się w warunkach zapewniających ochronę informacji niejawnych.
Organizacja ochrony informacji niejawnych może być charakteryzowana jako sfera aktywności organów państwa związana ściśle z potrzebą zapewnienia jego bezpieczeństwa.
W ujęciu przedmiotowym mówimy o rodzajach i charakterze informacji niejawnych.
W aspekcie podmiotowym o sferze instytucjonalnej tj. o analizie poszczególnych elementów struktury (organów, instytucji i podmiotów), wzajemnych między nimi relacjach i normach wskazanych w ustawie o ochronie informacji niejawnych i przepisach wykonawczych.
W tym ujęciu mówimy o systemie ochrony informacji niejawnych.
W sensie organizacyjnym podstawowymi elementami systemu ochrony informacji są: służby ochrony państwa, kierownicy jednostek organizacyjnych, podlegli im pełnomocnicy ochrony oraz piony ochrony. Pełnomocnik ochrony jest powoływany w każdej instytucji,
w której informacje niejawne są wytwarzane, przetwarzane, przekazywane lub przechowywane. Pełnomocnika powołuje kierownik jednostki organizacyjnej, który jednocześnie odpowiada za ochronę informacji niejawnych w tej jednostce. Obszar zadań pełnomocnika obejmuje odpowiedzialność za zapewnienie przestrzegania, przepisów
o ochronie informacji niejawnych.
W zakresie bezpośrednio związanym ze sferą przygotowań obronnych pełnomocnik ochrony, w razie wprowadzenia stanu nadzwyczajnego (tzn. stanu wyjątkowego, wojennego lub klęski żywiołowej), ma prawo żądać od komórek organizacyjnych w swojej jednostce organizacyjnej udzielenia natychmiastowej pomocy.
W realizacji swoich zadań pełnomocnik ochrony współpracuje z właściwymi jednostkami i komórkami organizacyjnymi służb ochrony państwa. Pełnomocnik ochrony na bieżąco informuje kierownika jednostki organizacyjnej o przebiegu tej współpracy. Opracowuje ponadto plan postępowania z materiałami zawierającymi informacje niejawne w razie wprowadzenia stanu nadzwyczajnego.
Oczywiste wydaje się stwierdzenie, że całokształt zadań związanych z realizacją przygotowań obronnych powinien być bezwzględnie realizowany w warunkach zapewniających ochronę informacji niejawnych. Takie lapidarne ujęcie jednak dobrze oddaje relację pomiędzy omawianymi sferami aktywności organów państwa – można zatem mówić o ochronie informacji niejawnych, jako niezbędnym warunku przygotowań obronnych. O ile więc zakres działania organów państwa, w warunkach państwa demokratycznego, jest przedmiotem regulacji prawa powszechnie obowiązującego (i co oczywiste, podanego do wiadomości publicznej), to wypełnienie treścią przepisów istotnych z punktu widzenia bezpieczeństwa, musi się odbywać w warunkach niejawności.
W całokształcie zadań, realizowanych w ramach przygotowań obronnych, bezwzględnej ochronie podlegają zadania związane z zapewnieniem prawidłowego funkcjonowania systemu kierowania państwem oraz dowodzenia siłami zbrojnymi. Obszar procesów decyzyjnych w sferze obronności – w tym szczególnie treść zamierzeń i harmonogram ich realizacji – objęty być powinien skuteczną ochroną.
W Uczelni jednostką organizacyjną powołaną do ochrony informacji jest Sekcja ds. obronnych i informacji niejawnych podległa bezpośrednio Rektorowi.
W ramach Sekcji utworzono kancelarię informacji niejawnych.

Artykuły Ustawy z dnia 5 sierpnia 2010 r. o  ochronie informacji niejawnych (wg stanu prawnego na sierpień 2016 r.) – które bezpośrednio dotyczą kierowników jednostek organizacyjnych  (Rektora Uniwersytetu Opolskiego).

Art. 4.
1. Informacje niejawne mogą być udostępnione wyłącznie osobie dającej rękojmię zachowania tajemnicy i tylko w zakresie niezbędnym do wykonywania przez nią pracy lub pełnienia służby na zajmowanym stanowisku albo wykonywania czynności zleconych.

Art. 6.
1. Klauzulę tajności nadaje osoba, która jest uprawniona do podpisania dokumentu lub oznaczenia innego niż dokument materiału.
2. Informacje niejawne podlegają ochronie w sposób określony w ustawie do czasu zniesienia lub zmiany klauzuli tajności na zasadach określonych
w ust. 3, z zastrzeżeniem ust. 6. Osoba, o której mowa w ust. 1, może określić datę lub wydarzenie, po których nastąpi zniesienie lub zmiana klauzuli tajności.
3. Zniesienie lub zmiana klauzuli tajności są możliwe wyłącznie po wyrażeniu pisemnej zgody przez osobę, o której mowa w ust. 1, albo jej przełożonego w przypadku ustania lub zmiany ustawowych przesłanek ochrony, o których mowa w art. 5, z zastrzeżeniem ust. 5.
4. Kierownicy jednostek organizacyjnych przeprowadzają nie rzadziej niż raz na 5 lat przegląd materiałów w celu ustalenia, czy spełniają ustawowe przesłanki ochrony.
5. Pisemną zgodę na wykonanie czynności, o których mowa w ust. 3, w przypadku informacji niejawnych o klauzuli „ściśle tajne” wyraża kierownik jednostki organizacyjnej, w której materiałowi została nadana klauzula tajności.
6. Po zniesieniu lub zmianie klauzuli tajności podejmuje się czynności polegające na naniesieniu odpowiednich zmian w oznaczeniu materiału i poinformowaniu o nich odbiorców. Odbiorcy materiału, którzy przekazali go kolejnym odbiorcom, są odpowiedzialni za poinformowanie ich o zniesieniu lub zmianie klauzuli tajności.

Art. 13.
1.Kierownicy jednostek organizacyjnych współdziałają ze służbami
i instytucjami uprawnionymi do prowadzenia poszerzonych postępowań sprawdzających, kontrolnych postępowań sprawdzających oraz postępowań bezpieczeństwa przemysłowego, w szczególności udostępniają funkcjonariuszom, pracownikom albo żołnierzom tych służb
i instytucji, po przedstawieniu przez nich pisemnego upoważnienia, pozostające w ich dyspozycji informacje i dokumenty niezbędne do realizacji czynności w ramach tych postępowań.

Art. 14.
1. Kierownik jednostki organizacyjnej, w której są przetwarzane informacje niejawne, odpowiada za ich ochronę, w szczególności za zorganizowanie i zapewnienie funkcjonowania tej ochrony.
2. Kierownikowi jednostki organizacyjnej bezpośrednio podlega zatrudniony przez niego pełnomocnik do spraw ochrony informacji niejawnych, zwany dalej „pełnomocnikiem ochrony”, który odpowiada za zapewnienie przestrzegania przepisów o ochronie informacji niejawnych.
3. Pełnomocnikiem ochrony może być osoba, która posiada:
1) obywatelstwo polskie;
2) wykształcenie wyższe;
3) odpowiednie poświadczenie bezpieczeństwa wydane przez ABW albo SKW, a także przez były Urząd Ochrony Państwa lub byłe Wojskowe Służby Informacyjne;
4) zaświadczenie o przeszkoleniu w zakresie ochrony informacji niejawnych przeprowadzonym przez ABW albo SKW, a także przez byłe Wojskowe Służby Informacyjne.
4. Kierownik jednostki organizacyjnej może zatrudnić zastępcę lub zastępców pełnomocnika ochrony, z zastrzeżeniem spełnienia przez te osoby warunków, o których mowa w ust. 3.
5. Szczegółowy zakres czynności zastępcy pełnomocnika ochrony określa kierownik jednostki organizacyjnej.

Art. 15.
1. Do zadań pełnomocnika ochrony należy:
1)      zapewnienie ochrony informacji niejawnych, w tym stosowanie środków bezpieczeństwa fizycznego;
2)      zapewnienie ochrony systemów teleinformatycznych, w których są przetwarzane informacje niejawne;
3)      zarządzanie ryzykiem bezpieczeństwa informacji niejawnych, w szczególności szacowanie ryzyka;
4)      kontrola ochrony informacji niejawnych oraz przestrzegania przepisów o ochronie tych informacji, w szczególności okresowa (co najmniej raz na trzy lata) kontrola ewidencji, materiałów i obiegu dokumentów;
5)      opracowywanie i aktualizowanie, wymagającego akceptacji kierownika jednostki organizacyjnej, planu ochrony informacji niejawnych w jednostce organizacyjnej, w tym w razie wprowadzenia stanu nadzwyczajnego, i nadzorowanie jego realizacji;
6)      prowadzenie szkoleń w zakresie ochrony informacji niejawnych;
7)      prowadzenie zwykłych postępowań sprawdzających oraz kontrolnych postępowań sprawdzających;
8)      prowadzenie aktualnego wykazu osób zatrudnionych lub pełniących służbę w jednostce organizacyjnej albo wykonujących czynności zlecone, które posiadają uprawnienia do dostępu do informacji niejawnych, oraz osób, którym odmówiono wydania poświadczenia bezpieczeństwa lub je cofnięto, obejmującego wyłącznie:
a) imię i nazwisko,
b) numer PESEL,
c) imię ojca,
d) datę i miejsce urodzenia,
e) adres miejsca zamieszkania lub pobytu,
f) określenie dokumentu kończącego procedurę, datę jego wydania oraz numer;
9)      przekazywanie odpowiednio ABW lub SKW do ewidencji, o których mowa w art. 73 ust. 1, danych, o których mowa w art. 73 ust. 2, osób uprawnionych do dostępu do informacji niejawnych, a także osób, którym odmówiono wydania poświadczenia bezpieczeństwa lub wobec których podjęto decyzję o cofnięciu poświadczenia bezpieczeństwa, na podstawie wykazu, o którym mowa w pkt 8.

2. Zadania, o których mowa w ust. 1, pełnomocnik ochrony realizuje przy pomocy wyodrębnionej i podległej mu komórki organizacyjnej do spraw ochrony informacji niejawnych, zwanej dalej „pionem ochrony”, jeżeli jest ona utworzona w jednostce organizacyjnej.
3. Zadanie, o którym mowa w ust. 1 pkt 9, nie dotyczy pełnomocników ochrony w służbach i instytucjach uprawnionych do prowadzenia poszerzonych postępowań sprawdzających, o których mowa w art. 23 ust. 2 i 5.
4. Kierownik jednostki organizacyjnej może powierzyć pełnomocnikowi ochrony oraz pracownikom pionu ochrony wykonywanie innych zadań, jeżeli ich realizacja nie naruszy prawidłowego wykonywania zadań, o których mowa w ust. 1.

Art. 21.
4. Dopuszczenie do pracy lub pełnienia służby na stanowiskach albo zlecenie prac, związanych z dostępem danej osoby do informacji niejawnych o klauzuli „zastrzeżone” może nastąpić po:
1) pisemnym upoważnieniu przez kierownika jednostki organizacyjnej, jeżeli nie posiada ona poświadczenia bezpieczeństwa;
2) odbyciu szkolenia w zakresie ochrony informacji niejawnych

Art. 43.
5. Kierownik jednostki organizacyjnej zatwierdza, opracowaną przez pełnomocnika ochrony, instrukcję dotyczącą sposobu i trybu przetwarzania informacji niejawnych o klauzuli „zastrzeżone” w podległych komórkach organizacyjnych oraz zakres i warunki stosowania środków bezpieczeństwa fizycznego w celu ich ochrony.

Art. 48.
9. Kierownik jednostki organizacyjnej udziela akredytacji bezpieczeństwa teleinformatycznego dla systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli „zastrzeżone” przez zatwierdzenie dokumentacji bezpieczeństwa systemu teleinformatycznego.
10. W przypadku gdy system, o którym mowa w ust. 9, będzie funkcjonował w więcej niż jednej jednostce organizacyjnej, akredytacji, o której mowa w ust. 9, udziela kierownik jednostki organizującej system.
11. W ciągu 30 dni od udzielenia akredytacji bezpieczeństwa teleinformatycznego, o której mowa w ust. 9, kierownik jednostki organizacyjnej przekazuje odpowiednio ABW lub SKW dokumentację bezpieczeństwa systemu teleinformatycznego.
12. W ciągu 30 dni od otrzymania dokumentacji bezpieczeństwa systemu teleinformatycznego ABW albo SKW może przedstawić kierownikowi jednostki organizacyjnej, który udzielił akredytacji bezpieczeństwa teleinformatycznego, zalecenia dotyczące konieczności przeprowadzenia dodatkowych czynności związanych z bezpieczeństwem informacji niejawnych. Kierownik jednostki organizacyjnej w terminie 30 dni od otrzymania zalecenia informuje odpowiednio ABW lub SKW o realizacji zaleceń. W szczególnie uzasadnionych przypadkach ABW albo SKW może nakazać wstrzymanie przetwarzania informacji niejawnych w systemie teleinformatycznym posiadającym akredytację bezpieczeństwa teleinformatycznego.

Art. 52.
1.Kierownik jednostki organizacyjnej wyznacza:
1) pracownika lub pracowników pionu ochrony pełniących funkcję inspektora bezpieczeństwa teleinformatycznego, odpowiedzialnych za weryfikację i bieżącą kontrolę zgodności funkcjonowania systemu teleinformatycznego ze szczególnymi wymaganiami bezpieczeństwa oraz przestrzegania procedur bezpiecznej eksploatacji;
2) osobę lub zespół osób, niepełniących funkcji inspektora bezpieczeństwa teleinformatycznego, odpowiedzialnych za funkcjonowanie systemu teleinformatycznego oraz za przestrzeganie zasad i wymagań bezpieczeństwa przewidzianych dla systemu teleinformatycznego, zwanych dalej „administratorem systemu”.