Niniejszy artykuł ma na celu podsumowanie wszystkich zmian, jakie powinny być wprowadzone w każdej jednostce organizacyjnej, w której były i są przetwarzane informacje niejawne, bez względu na ich klauzule tajności.

Zadania – bezpośrednio po wejściu w życie OchrInfU

Szkolenia

Jednym z warunków dopuszczenia do pracy lub pełnienia służby na stanowiskach albo zlecania prac, związanych z dostępem danej osoby do informacji niejawnych, jest odbycie szkolenia w zakresie ochrony informacji niejawnych.

Zgodnie z art. 19 ust. 3 OchrInfU szkolenie w zakresie ochrony informacji niejawnych przeprowadza się nie rzadziej niż raz na 5 lat. Należy zaznaczyć, że wskazany w OchrInfU termin wskazuje graniczny okres szkolenia. W przypadku zmiany obowiązujących przepisów zasadne jest przeprowadzenie dodatkowego szkolenia.

Ustawa o ochronie informacji niejawnych zmieniła dotychczasową tematykę szkolenia, której zagadnienia zawarto w art. 19 ust. 1.

W urzędach samorządu terytorialnego, gdzie generalnie przetwarzane są informacje niejawne o klauzuli „zastrzeżone”, ewentualnie „poufne”, szkolenie organizuje pełnomocnik ochrony. Należy zaznaczyć, że obowiązek przeszkolenia dotyczy również kierownika jednostki organizacyjnej. Wyjątkiem są pełnomocnicy ochrony i zastępcy pełnomocników, którzy zobligowani są do odbycia szkolenia prowadzonego przez ABW lub SKW.

Szkolenie w zakresie ochrony informacji niejawnych kończy się wydaniem odpowiedniego zaświadczenia.

Od 14.11.2014 r. obowiązują nowe wzory zaświadczeń, które zmienione zostały rozporządzeniem Prezesa Rady Ministrów z 22.10.2014 r. zmieniającym rozporządzenie w sprawie wzorów zaświadczeń stwierdzających odbycie szkolenia w zakresie ochrony informacji niejawnych oraz sposobu rozliczania kosztów przeprowadzenia szkolenia przez Agencję Bezpieczeństwa Wewnętrznego lub Służbę Kontrwywiadu Wojskowego (Dz.U. z 2014 r. poz. 1483).

Każda osoba, po odbyciu szkolenia, ma obowiązek złożenia pisemnego oświadczenia o zapoznaniu się z przepisami o ochronie informacji niejawnych.

Dokumentacja

Bezpośrednio po wejściu w życie OchrInfU pełnomocnicy ochrony zobligowani zostali do wdrożenia nowo obowiązujących regulacji. Dotyczyło to przede wszystkim opracowania trzech dokumentów:

1) wykazu osób zatrudnionych lub pełniących służbę w jednostce organizacyjnej albo wykonujących czynności zlecone, które posiadają uprawnienia do dostępu do informacji niejawnych, oraz osób, którym odmówiono wydania poświadczenia bezpieczeństwa lub je cofnięto (dalej: Wykaz osób);

2) instrukcji dotyczącej sposobu i trybu przetwarzania informacji niejawnych o klauzuli „zastrzeżone” w podległych komórkach organizacyjnych oraz zakresu i warunków stosowania środków bezpieczeństwa fizycznego w celu ich ochrony (dalej: Instrukcja „zastrzeżone”);

3) dokumentacji określającej sposób i tryb przetwarzania informacji niejawnych o klauzuli „poufne” w podległych komórkach organizacyjnych (dalej: Dokumentacja „poufne”).

Przy opracowywaniu Wykazu osób należy uwzględnić przepis art. 15 ust. 1 pkt 8 OchrInfU, zgodnie z którym Wykaz osób może obejmować wyłącznie imię i nazwisko, numer PESEL, imię ojca, datę i miejsce urodzenia, adres miejsca zamieszkania lub pobytu, określenie dokumentu kończącego procedurę, datę jego wydania oraz numer.

Instrukcję „zastrzeżone” opracowuje pełnomocnik ochrony, zatwierdza kierownik jednostki organizacyjnej. W obowiązujących przepisach nie sprecyzowano struktury tego dokumentu. Każdy pełnomocnik ochrony powinien dostosować przedmiotową Instrukcję do potrzeb własnej jednostki organizacyjnej.

Dokumentację „poufne” opracowuje również pełnomocnik ochrony i zatwierdza kierownik jednostki organizacyjnej.

Podobnie jak w przypadku Instrukcji, pełnomocnikom ochrony pozostawiono pełną swobodę w zakresie zawartości Dokumentacji „poufne”. Ma ona zawierać przede wszystkim tryb i sposób przetwarzania takich informacji.

Upoważnienia

Po wejściu w życie OchrInfU uprawnieniem do dostępu do informacji niejawnych o klauzuli tajności „zastrzeżone” może być pisemne Upoważnienie wydane przez kierownika jednostki organizacyjnej. Przy wyższych klauzulach tajności wymagane jest poświadczenie bezpieczeństwa wydane w wyniku pozytywnie zakończonego postępowania sprawdzającego. W OchrInfU nie określono elementów upoważnienia. W praktyce, pełnomocnicy ochrony wypracowali nieformalny wzór takiego upoważnienia. Zawiera ono oznaczenie jednostki organizacyjnej, podstawę prawną, imię (imiona), nazwisko, PESEL i imię ojca osoby upoważnionej, cel wydania bądź okres, na jaki upoważnienie zostaje wydane, pieczątkę i podpis kierownika jednostki organizacyjnej, datę i miejsce wydania.

Kierownicy jednostek organizacyjnych, w których przetwarzane są informacje niejawne maksymalnie o klauzuli „zastrzeżone”, mają zapewniony dostęp do tych informacji na mocy OchrInfU, bez konieczności wydawania odrębnego pisemnego upoważnienia, w którym sam siebie upoważniałby do tych informacji. Jedynym warunkiem dostępu do informacji niejawnych jest posiadanie ważnego zaświadczenia o przeszkoleniu w zakresie ochrony informacji niejawnych, do którego wydania uprawniony jest pełnomocnik ochrony.

Wdrożenie postanowień OchrInfU – termin realizacji najpóźniej do 2.4.2011 r.

Ustawa o ochronie informacji niejawnych wprowadziła obowiązek tworzenia kancelarii tajnych w jednostkach organizacyjnych, w których są przetwarzane informacje niejawne o klauzuli „tajne” lub „ściśle tajne” (art. 42 ust. 1 OchrInfU). Zgodnie z art. 2 pkt 5 OchrInfU przez przetwarzanie rozumie się „wszelkie operacje wykonywane w odniesieniu do informacji niejawnych i na tych informacjach, w szczególności ich wytwarzanie, modyfikowanie, kopiowanie, klasyfikowanie, gromadzenie, przechowywanie, przekazywanie lub udostępnianie”.

Zacytowana powyżej definicja ustawowa jest o tyle ważna, że gromadzenie czy przechowywanie materiałów niejawnych o klauzulach „tajne” lub „ściśle tajne”, wytworzonych przed dniem wejścia w życie OchrInfU, wobec których nie dokonano przeglądu i zmiany bądź zniesienia klauzuli tajności, zobowiązuje kierowników jednostek organizacyjnych do utworzenia kancelarii tajnej. Bez znaczenia jest, że od dnia obowiązywania OchrInfU zaprzestano wytwarzania takich informacji.

Ważne
Nazwa „kancelaria tajna” zagwarantowana jest dla komórek organizacyjnych odpowiedzialnych za właściwe rejestrowanie, przechowywanie, obieg i wydawanie materiałów niejawnych o klauzuli „tajne” lub „ściśle tajne”.

Do czasu wejścia w życie Ochr­InfU praktycznie wszystkie kancelarie były kancelariami tajnymi. W związku z powyższym kierownicy jednostek organizacyjnych, w których w dniu wejścia w życie ustawy funkcjonowały takie kancelarie, zobligowani zostali do poinformowania o nich w terminie do 3 miesięcy od tej daty odpowiednio ABW lub SKW, z określeniem klauzuli tajności przetwarzanych informacji niejawnych (art. 184 OchrInfU).

Obowiązek ten nie dotyczył jednostek organizacyjnych, które dokonały weryfikacji klauzul tajności zgodnie z nowo obowiązującymi zasadami klasyfikowania informacji niejawnych i zachowały możliwość przetwarzania informacji oznaczonych klauzulą maksymalnie „zastrzeżone” lub „poufne”.

Jednakże jednostki te stanęły przed koniecznością zmiany dotychczas używanej nazwy kancelarii tajnej. Ustawa o ochronie informacji niejawnych nie określa nazewnictwa takich kancelarii i pozostawia pełną dowolność wyboru nazwy tej komórki organizacyjnej. Należy podkreślić, że obowiązek informacyjny o utworzeniu bądź likwidacji zgłoszonej w trybie art. 184 OchrInfU kancelarii tajnej funkcjonuje cały czas. Wynika on z postanowień art. 42 ust. 6 OchrInfU.

Wdrożenie zmian – termin realizacji najpóźniej do 31.12.2013 r.

Rozporządzenie Rady Ministrów z 7.12.2011 r. w sprawie organizacji i funkcjonowania kancelarii tajnych oraz sposobu i trybu przetwarzania informacji niejawnych (Dz.U. z 2011 r. Nr 276, poz. 1631) wprowadziło jednolity system kancelaryjny. Do tej pory poszczególne resorty i organy państwowe mogły stosować swoje wewnętrzne wzory druków kancelaryjnych. Zgodnie z postanowieniami zawartymi w § 12 rozporządzenia: Formularze dzienników, rejestrów oraz innych urządzeń ewidencyjnych stosowane według dotychczasowych wzorów mogą być wykorzystywane do wyczerpania zapasów, nie dłużej jednak niż do 31.12.2013 r.

Ważne
Najpóźniej do 31.12.2013 r. należało wdrożyć nowe wzory formularzy dzienników, rejestrów i innych urządzeń ewidencyjnych wykorzystywanych w kancelariach tajnych.

Wdrożenie zmian – termin realizacji najpóźniej do 2.1.2014 r.

Klasyfikowanie

Jak wspomniano powyżej, OchrInfU wprowadziła nowe definicje klauzul tajności i zasady klasyfikowania informacji niejawnych. Generalnie można stwierdzić, że każda informacja niejawna jest tajemnicą państwową, gdyż jej nieuprawnione ujawnienie może spowodować, w większym lub mniejszym wymiarze, szkody dla Rzeczypospolitej Polskiej.

W związku z powyższym kierownicy jednostek organizacyjnych zobowiązani zostali do przeprowadzenia, w terminie 36 miesięcy od dnia wejścia w życie OchrInfU, przeglądu wytworzonych w podległych im jednostkach organizacyjnych materiałów zawierających informacje niejawne w celu ustalenia, czy spełniają ustawowe przesłanki ochrony na podstawie OchrInfU, i dokonania w razie potrzeby zmiany lub zniesienia klauzuli tajności (art. 181 ust. 1 OchrInfU).

Zgodę na zniesienie lub zmianę klauzuli tajności może wydać wyłącznie osoba, która ją nadała lub jej przełożony. Wyjątkiem są informacje niejawne o klauzuli „ściśle tajne”, gdzie uprawnienia te leżą w gestii wyłącznie kierownika jednostki organizacyjnej.

Zgodę na zniesienie lub zmianę klauzuli tajności wydaje się na piśmie. Zgoda ta może być udzielona w odrębnym dokumencie podlegającym rejestracji lub bezpośrednio na dokumencie, ewentualnie w metryce dokumentu elektronicznego.

Ważne
Decyzję w zakresie zmiany lub zniesienia klauzuli tajności można podjąć wyłącznie w stosunku do materiałów wytworzonych we własnej jednostce organizacyjnej.

Kolejne przeglądy należy przeprowadzać nie rzadziej niż raz na 5 lat.

Po zniesieniu lub zmianie klauzuli tajności podejmuje się czynności polegające na naniesieniu odpowiednich zmian w oznaczeniu materiału i poinformowaniu o nich odbiorców. Odbiorcy materiału, którzy przekazali go kolejnym odbiorcom, są odpowiedzialni za poinformowanie ich o zniesieniu lub zmianie klauzuli tajności (art. 6 ust. 6 OchrInfU).

Wdrożenie postanowień Ochr­InfU
– termin realizacji najpóźniej do 4.7.2015 r.

Zgodnie z § 10 rozporządzenia Rady Ministrów z 29.5.2012 r w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczania informacji niejawnych (Dz.U. z 2012 r. poz. 683) w terminie 3 lat od dnia wejścia w życie rozporządzenia okreś­la się poziom zagrożeń, opracowuje dokumenty, o których mowa w § 9, i dostosowuje się kombinację środków bezpieczeństwa fizycznego oraz organizację stref ochronnych do wymagań określonych w rozporządzeniu.

Plan ochrony informacji niejawnych

Oznacza to, że do 4.7.2015 r. (data wejścia w życie wymienionego rozporządzenia) należało opracować Plan ochrony informacji niejawnych oraz dostosować system ochrony fizycznej do wymogów określonych w rozporządzeniu.

Po raz pierwszy w § 9 rozporządzenia literalnie określono strukturę i zawartość planu ochrony. Ogólnie można przyjąć, że Plan ochrony informacji niejawnych powinien zawierać w szczególności przedsięwzięcia organizacyjne systemu ochrony, jak również plany awaryjne, w tym procedury ewakuacji i niszczenia informacji niejawnych w razie wystąpienia sytuacji szczególnych, w tym wprowadzenia stanów nadzwyczajnych.

Od czego zależy struktura i zawartość planu ochrony informacji niejawnych

Struktura i zawartość planu zależeć będzie od wielu czynników, np. od: klauzuli przetwarzanych informacji, ilości materiałów niejawnych, sposobu ochrony jednostki organizacyjnej, możliwości użycia sił i środków niezbędnych do ewakuacji, lokalizacji jednostki organizacyjnej.

W jednostkach organizacyjnych, w których przetwarzane są informacje niejawne uzyskiwane w ramach porozumień i umów międzynarodowych, należy wdrożyć „Wytyczne w sprawie postępowania z informacjami niejawnymi międzynarodowymi” opublikowane na stronie: http://bip.abw.gov.pl Zalecenia zawarte w „Wytycznych…” powinny stanowić część planu ochrony.

Również, najpóźniej do 4.7.2015 r., należało przeprowadzić analizę poziomu zagrożeń związanych z nieuprawnionym dostępem do informacji niejawnych lub ich utratą.

Artykuł 43 ust. 4 OchrInfU wskazuje, że w przypadku jednostek organizacyjnych, w których przetwarzane są informacje o klauzuli „poufne” lub wyższej, określenia poziomu zagrożeń dokonuje się w dokumentacji wskazanej w tym przepisie.

Jednakże przepisy art. 45 ust. 1 i 2 OchrInfU obejmują cały katalog informacji niejawnych, bez wyłączania którejkolwiek z klauzul, w kontekście doboru środków bezpieczeństwa fizycznego na podstawie określonego poziomu zagrożeń.

Dlatego też w przypadku przetwarzania w jednostce organizacyjnych wyłącznie informacji o klauzuli „zastrzeżone” OchrInfU pozostawia uznaniu kierownika jednostki organizacyjnej procedurę określenia poziomu zagrożeń. Pełnomocnik ochrony może to zrobić w instrukcji dotyczącej sposobu i trybu przetwarzania informacji niejawnych o klauzuli „zastrzeżone” w podległych komórkach organizacyjnych oraz zakres i warunki stosowania środków bezpieczeństwa fizycznego w celu ich ochrony, opracowanej w trybie określonym w art. 43 ust. 5 ­Ochr­InfU albo w inny sposób.

Ważne
Analizę poziomu zagrożeń przeprowadza się we wszystkich jednostkach organizacyjnych, w których przetwarza się informacje niejawne, bez względu na ich klauzulę tajności.

Właściwie przeprowadzona analiza poziomu zagrożeń determinuje odpowiedni dobór środków ochrony fizycznej stosowanych do zabezpieczenia informacji niejawnych.

Ważność wydanych przed dniem wejścia w życie rozporządzenia certyfikatów i tabliczek znamionowych była ograniczona czasowo – maksymalnie do 4.7.2015 r. Zatem i tak należało je potwierdzić przez właściwą jednostką certyfikującą. Przedsięwzięcie to miało na celu potwierdzenie zgodności wyrobu z nowo obowiązującymi wymogami przedstawionymi w załączniku nr 2 do rozporządzenia.

Wdrożenie postanowień ­Ochr­InfU
– termin realizacji najpóźniej do 2.1.2016 r.

Akredytacje systemów teleinformatycznych udzielone przed dniem wejścia w życie ustawy zachowują ważność do czasu dokonania w systemie teleinformatycznym zmian, które mogą mieć istotny wpływ na bezpieczeństwo teleinformatyczne, nie dłużej jednak niż przez okres 5 lat od dnia wejścia w życie OchrInfU (art. 185 ust. 1 OchrInfU).

Biorąc powyższe pod uwagę, najpóźniej do 2.1.2016 r. należało uzyskać ponowną akredytację systemu teleinformatycznego, który był uruchomiony przed dniem wejścia w życie OchrInfU. Przy czym akredytacja systemów teleinformatycznych odbywa się w dwojaki sposób – inne zasady obowiązują dla systemów przeznaczonych do przetwarzania informacji niejawnych o klauzuli „zastrzeżone”, inne dla klauzuli „poufne” i wyżej.

Kto udziela akredytacji bezpieczeństwa teleinformatycznego dla systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli „zastrzeżone”

Akredytacji bezpieczeństwa teleinformatycznego dla systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli „zastrzeżone” udziela kierownik jednostki organizacyjnej. Akredytacja następuje poprzez zatwierdzenie (przez kierownika jednostki organizacyjnej) dokumentacji bezpieczeństwa teleinformatycznego.

Termin udzielenia akredytacji

W ciągu 30 dni od udzielenia akredytacji bezpieczeństwa teleinformatycznego kierownik jednostki organizacyjnej ma obowiązek przekazania odpowiednio ABW lub SKW dokumentacji bezpieczeństwa systemu teleinformatycznego (celem akceptacji).

Akredytacji bezpieczeństwa teleinformatycznego dla systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli „poufne” lub wyższej udziela ABW lub SKW. W sferze cywilnej akredytacji udzielają właściwe terytorialnie jednostki organizacyjne ABW (Delegatury).

Struktura i zawartość dokumentacji bezpieczeństwa systemu teleinformatycznego powinna uwzględniać wskazania zawarte w rozdziale IV rozporządzenia Prezesa Rady Ministrów z dnia 20.7.2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz.U. z 2011 r. Nr 159, poz. 948) oraz w Zaleceniach DBTI ABW dotyczących opracowania dokumentu Szczególnych Wymagań Bezpieczeństwa dla systemu teleinformatycznego opublikowanych na forum dyskusyjnym ABW – https://forum.abw.gov.pl/forum/Zalecenia_DBTI_ABW_2011-t39.html.

Podsumowanie

Proces wdrażania OchrInfU został rozłożony w czasie – maksymalnie do 5 lat po jej wejściu w życie. Taki przedział czasowy pozwolił na właściwe i rzetelne wprowadzenie nowych postanowień.

Główne obowiązki terminowe do przeprowadzenia

Należy przy tym pamiętać, że OchrInfU poza terminami wdrożeń poszczególnych postanowień określiła również przedsięwzięcia, które należy przeprowadzać cyklicznie. Do głównych „terminowych” obowiązków zaliczyć należy:

1) przeprowadzanie okresowych kontroli ewidencji, materiałów i obiegu dokumentów – co najmniej raz na 3 lata;

2) przegląd materiałów w celu ustalenia, czy spełniają ustawowe przesłanki ochrony – nie rzadziej niż raz na 5 lat;

3) szkolenie w zakresie ochrony informacji niejawnych – nie rzadziej niż raz na 5 lat;

4) ponowna akredytacja systemu teleinformatycznego – nie dłużej niż 5 lat;

5) ponowne postępowania sprawdzające zwykłe i poszerzone – 6 miesięcy przed upływem terminu ważności poświadczenia bezpieczeństwa;

6) ponowne postępowanie bezpieczeństwa przemysłowego – 6 miesięcy przed upływem terminu ważności Świadectwa Bezpieczeństwa Przemysłowego.