facebook

System ochrony informacji niejawnych w przedsiębiorstwie Drukuj

Jak powinien funkcjonować system ochrony informacji niejawnych w przedsiębiorstwie?

Wprowadzenie
Zwiń

W dobie ostrej rywalizacji rynkowej, nikogo nie trzeba przekonywać, że informacja (jawna/niejawna, biznesowa/państwowa) jest towarem strategicznym, który należy odpowiednio chronić przed nieuprawnionym jej ujawnieniem. Chęć pozyskania informacji przez dany podmioty, np. o zastosowaniu przez dane przedsiębiorstwo nowych technologii – powoduje coraz częściej, że przy ich kierunkowym pozyskiwaniu naruszane są, nie tylko obowiązujące normy prawne, ale przede wszystkim „wdrożone fizyczne, techniczne, czy też teleinformatyczne bariery bezpieczeństwa”.

Dlatego też, wszelkie przedsięwzięcia związane z wytwarzaniem, przechowywaniem, przetwarzaniem (zwłaszcza w systemach teleinformatycznych) oraz przekazywaniem dokumentów zawierających informacje niejawne, muszą być wykonywane przez profesjonalistów (np. pełnomocnika ochrony, czy też inspektora bezpieczeństwa teleinformatycznego), w sposób zapewniający im maksymalne bezpieczeństwo.

Zgodnie z treścią obowiązującej ustawy o ochronie informacji niejawnych z dnia 05.08.2010 r. (Dz. U. nr 182 poz. 1228) – kierownik jednostki organizacyjnej, w której są przetwarzane informacje niejawne, odpowiada za ich ochronę, a w szczególności za zorganizowanie i zapewnienie funkcjonowania tej ochrony.

(Źródło: http://isap.sejm.gov.pl/DetailsServlet?id=WDU20101821228)

Nie znaczy to jednak, że kierownik i powołany przez niego pełnomocnik ochrony ponoszą bezpośrednią odpowiedzialność karną za świadome naruszenie przepisów przez pracowników danego przedsiębiorstwa. Co prawda, osoby te ustawowo odpowiadają za cały system ochrony informacji niejawnych w firmie, lecz nie ponoszą bezpośredniej odpowiedzialności za świadome lub nieświadome naruszenia przepisów przez poszczególnych pracowników - pod warunkiem, że wykonają wszystkie ustawowe obowiązki (np. odpowiednie przeszkolenie pracowników, dopuszczenie ich do informacji niejawnych – poprzez wydanie poświadczenia bezpieczeństwa, czy też pisemnego upoważnienia kierownika przedsiębiorstwa, itp.).

Definicje
Rozwiń
Schemat postępowania
Zwiń

Krok 1. Zapotrzebowanie.

Przedsiębiorca/przedsiębiorstwo, które w ramach prowadzonej działalności gospodarczej zamierza realizować lub realizuje umowy związane z dostępem do informacji niejawnych lub wykonuje zadania wynikające z obowiązujących przepisów prawa.

Krok 2. Szacowanie zakresu tajności (określenie klauzuli tajności).

Właściwie przeprowadzony proces szacowania zakresu tajności informacji niejawnych ma istotny wpływ na koszty realizacji umowy przez przedsiębiorcę (zawyżenie klauzuli tajności wymusza tworzenie nadmiernie rozbudowanego systemu ochrony informacji niejawnych, a tym samym podnosi koszty przedsięwzięcia biznesowego). Efektem tych czynności, poza określeniem klauzuli tajności - powinno być ustalenie zakresu (ilości informacji/dokumentów niejawnych), a także czy informacje niejawne będę przetwarzane, czy tylko przechowywane/udostępniane do zapoznania przedsiębiorcy (ma to ścisły związek z wdrażaniem poszczególnych elementów systemu bezpieczeństwa w przedsiębiorstwie).
Z uwagi na to, że przedsiębiorcy podejmują przedsięwzięcia gospodarcze związane z ochroną informacji niejawnych, mając kontakt głównie z klauzulą „zastrzeżone” i „poufne” - przedmiotowa instrukcja nie będzie odnosiła się do klauzul wyższych („tajne”, „ściśle tajne”).

Krok 3. Powołanie pełnomocnika ochrony.

W trakcie określania klauzuli tajności i zakresu informacji niejawnych - przedsiębiorca zatrudnia osobę, którą wyznacza do realizacji zadań pełnomocnika do spraw ochrony informacji niejawnych (pełnomocnik bezpośrednio podlega kierownikowi jednostki organizacyjnej). Następnie w terminie 7 dni kierownik jednostki organizacyjnej powiadamia właściwą miejscowo ABW lub SKW o zatrudnieniu osoby, która będzie miała dostęp do informacji niejawnych w przedsiębiorstwie. Pełnomocnikiem ochrony może być osoba, która ma obywatelstwo polskie, wyższe wykształcenie, a także uzyskała poświadczenie bezpieczeństwa i zaświadczenie o odbytym przeszkoleniu dla pełnomocników (szkolenie przeprowadza ABW lub SKW). Zatrudnieniem pełnomocnika ochrony jest mianowanie, powołanie, a także wyznaczenie (umowa o pracę, umowa zlecenia, itp.).

Krok 4. Wdrażanie elementów bezpieczeństwa osobowego.

Powołanie pełnomocnika ochrony jest czynnością, która bezpośrednio poprzedza działania związane z wdrażaniem elementów bezpieczeństwa osobowego. W zakresie bezpieczeństwa osobowego, pełnomocnik ochrony realizuje zadania w zakresie ochrony informacji niejawnych, przy pomocy wyodrębnionej i podległej mu komórki organizacyjnej zwanej „pionem ochrony”. Po dokonanej analizie występuje z wnioskiem do kierownika jednostki organizacyjnej o powołanie pionu ochrony (wskazując ilość pracowników, zakres czynności jakie będą realizować, itp.). Pracownikami pionu ochrony mogą zostać osoby, które posiadają aktualne poświadczenie bezpieczeństwa (w przypadku klauzuli „poufne” – uzyskane w toku postępowania sprawdzającego przeprowadzonego przez pełnomocnika ochrony) lub pisemne upoważnienie kierownika jednostki organizacyjnej (w przypadku klauzuli „zastrzeżone”), a także posiadają zaświadczenie o odbytym szkoleniu w zakresie ochrony informacji niejawnych (szkolenie przeprowadza pełnomocnik ochrony). Proces wdrażania elementów bezpieczeństwa osobowego kończy się wydaniem formalnej decyzji, która określa skład osobowy i zakres obowiązków wszystkich pracowników pionu ochrony, włącznie z zakresem obowiązków pełnomocnika ochrony (w formie np. decyzji, zarządzenia, itp.).

Krok 5. Wdrażanie elementów bezpieczeństwa fizycznego.

Równolegle z wdrażaniem elementów bezpieczeństwa osobowego, pełnomocnik ochrony podejmuje przedsięwzięcia związane z bezpieczeństwem fizycznym, które polegają w szczególności na zorganizowaniu odpowiednio usytuowanego pomieszczenia oraz wdrożeniu środków bezpieczeństwa fizycznego (zakres środków bezpieczeństwa fizycznego stosowany do zabezpieczenia informacji niejawnych uzależniony jest przede wszystkim od klauzuli tajności informacji niejawnych). Przed wdrożeniem zabezpieczeń fizycznych - kierownik jednostki organizacyjnej, w której są przetwarzane informacje niejawne, zatwierdza opracowaną przez pełnomocnika ochrony dokumentację określającą poziom zagrożeń związany z nieuprawnionym dostępem do informacji niejawnych lub ich utratą (zakres wdrażanych środków bezpieczeństwa fizycznego uzależniony jest od zdiagnozowanych zagrożeń). Proces wdrażania elementów bezpieczeństwa fizycznego kończy się z chwilą, kiedy kierownik jednostki organizacyjnej zatwierdza opracowany przez pełnomocnika plan ochrony (w przypadku klauzuli „poufne” lub wyższej) lub instrukcję dotyczącą sposobu i trybu przetwarzania informacji niejawnych oraz zakres i warunki stosowania środków bezpieczeństwa fizycznego w celu ich ochrony (w przypadku klauzuli „zastrzeżone”).

Krok 6. Wdrażanie elementów bezpieczeństwa teleinformatycznego.

Równolegle z wdrażaniem elementów bezpieczeństwa fizycznego, kierownik jednostki organizacyjnej na wniosek pełnomocnika ochrony podejmuje przedsięwzięcia związane z bezpieczeństwem teleinformatycznym, które polegają w szczególności na wyznaczeniu pracowników pionu bezpieczeństwa teleinformatycznego (inspektora bezpieczeństwa teleinformatycznego oraz administratora systemu). Ponadto kierownik jednostki organizacyjnej akceptuje wyniki procesu szacowania ryzyka oraz udziela akredytacji bezpieczeństwa systemu teleinformatycznego do przetwarzania informacji niejawnych (w przypadku klauzuli „poufne” i wyższej akredytacji bezpieczeństwa systemu dokonuje ABW lub SKW). Podstawą do akredytacji bezpieczeństwa systemu są opracowane i zatwierdzone dokumenty: szacowania ryzyka, szczegółowych wymagań bezpieczeństwa oraz procedur bezpiecznej eksploatacji systemu. Dokumenty te są opracowane przez powołany zespół, w którego skład wchodzą m. innymi: pełnomocnik ochrony, inspektor BTI, administrator systemu.

Krok 7. Wdrażanie elementów bezpieczeństwa przemysłowego.

Warunkiem dostępu przedsiębiorcy do informacji niejawnych w związku z wykonywaniem umów albo zadań wynikających z przepisów prawa, jest zdolność do ochrony informacji niejawnych. Dokumentem potwierdzającym tą zdolność jest świadectwo bezpieczeństwa przemysłowego, które wydawane jest przez ABW lub SKW po przeprowadzonym postępowaniu bezpieczeństwa przemysłowego. Postępowanie bezpieczeństwa prowadzone jest na wniosek przedsiębiorcy (we wniosku musi być określony stopień świadectwa oraz klauzula tajności). Do wniosku przedsiębiorca dołącza kwestionariusz bezpieczeństwa przemysłowego oraz ankiety bezpieczeństwa (ewentualnie kopie poświadczeń bezpieczeństwa osób). Postępowanie bezpieczeństwa przemysłowego powinno być zakończone w terminie nie dłuższym, niż 6 miesięcy od dnia przedłożenia kompletnych dokumentów (ABW lub SKW przysługuje zwrot zryczałtowanych kosztów postępowania). Przedsiębiorstwo zawierające umowę związaną z dostępem do informacji niejawnych o klauzuli „poufne” i wyższej jest odpowiedzialne za wprowadzenie do umowy instrukcji bezpieczeństwa przemysłowego, oraz wyznaczenie osoby odpowiedzialnej za nadzorowanie, kontrolę i doradztwo w zakresie wytwarzania i obrotu dokumentów niejawnych.

Krok 8. Realizacja umowy/zadań związanych z dostępem do informacji niejawnych.

Po przeprowadzeniu poszczególnych etapów, przedsiębiorca może przystępować do realizacji umowy lub zadań wynikających z przepisów prawa. Kierownik jednostki organizacyjnej, w której są przetwarzane informacje niejawne, odpowiada za ich ochronę, w szczególności za zorganizowanie i zapewnienie tej ochrony. Ponadto w ramach nadzoru i kontroli - jest zobowiązany m. innymi do przeprowadzania, nie rzadziej niż raz na 5 lat przeglądu materiałów w celu ustalenia, czy spełniają ustawowe przesłanki ochrony (zniesienie lub obniżenie klauzuli tajności, bardzo często powoduje znaczące obniżenie kosztów ochrony informacji niejawnych w przedsiębiorstwie), a także do ponownej akredytacji bezpieczeństwa systemu teleinformatycznego (akredytacji udziela się na czas określony, nie dłużej niż 5 lat). W przypadku stwierdzenia naruszenia w jednostce organizacyjnej przepisów o ochronie informacji niejawnych pełnomocnik ochrony zawiadamia niezwłocznie kierownika jednostki organizacyjnej i podejmuje działania zmierzające do wyjaśnienia okoliczności tego naruszenia oraz ograniczenia jego negatywnych skutków (w przypadku stwierdzenia naruszenia przepisów o ochronie informacji niejawnych o klauzuli „poufne” lub wyższej pełnomocnik ochrony zawiadamia niezwłocznie ABW lub SKW).

Autor
Rozwiń
Załączniki
Rozwiń