Ochrona informacji niejawnych w sektorze obronnym
Działalność na rzecz sektora obronnego wiąże się z wyjątkową odpowiedzialnością – niektóre uzyskiwane przez przedsiębiorcę informacje są ściśle związane z bezpieczeństwem państwa. Niedopatrzenia w obszarze ochrony informacji niejawnych mogą prowadzić do poważnych konsekwencji prawnych, finansowych oraz utraty zaufania kontrahentów publicznych. Dlatego wyjaśniamy, jakie obowiązki spoczywają na przedsiębiorcach w zakresie ochrony informacji niejawnych i z czym się one wiążą.
Informacje niejawne – definicja
Informacje niejawne to (zgodnie z ustawową[1] definicją) informacje, których nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody dla Rzeczypospolitej Polskiej albo byłoby z punktu widzenia jej interesów niekorzystne. Mogą to być informacje dotyczące np. danych osobowych funkcjonariuszy pełniących czynności operacyjno-rozpoznawcze, infrastruktury krytycznej, systemów uzbrojenia czy treść negocjacji, umów lub uzgodnień o znaczeniu strategicznym.
Ograniczenie możliwości ujawniania informacji niejawnych polega na tym, że dostęp do nich mogą uzyskać wyłącznie osoby autoryzowane (dające tzw. rękojmię zachowania tajemnicy) i tylko w niezbędnym zakresie. Co więcej, muszą one przedsięwziąć odpowiednie środki ochrony wobec informacji niejawnych, aby zabezpieczyć je przed nieuprawionym udostępnieniem.
Aby ocenić wagę konkretnej informacji niejawnej i jaki jest w związku z tym wymagany poziom jej ochrony, nadaje się klauzule tajności.
Rodzaje klauzul tajności informacji niejawnych
Informacjom niejawnym nadaje się klauzule tajności według skali zagrożenia, jakie może spowodować ich nieuprawnione ujawnienie. Występują cztery klauzule tajności informacji niejawnych:
- ściśle tajne – najwyższa klauzula tajności, ujawnienie tej kategorii informacji może spowodować wyjątkowo poważną szkodę dla Rzeczypospolitej Polskiej (m.in. poprzez zagrożenie niepodległości czy integralności terytorialnej kraju, bezpieczeństwa wewnętrznego, sojuszy międzynarodowych Polski, osłabienie krajowej gotowości obronnej);
- tajne - nieuprawnione ujawnienie tych informacji może spowodować poważną szkodę dla Rzeczypospolitej Polskiej (m.in. poprzez pogorszenie stosunków Polski z innymi państwami, zakłócenie przygotowań obronnych państwa lub funkcjonowania Sił Zbrojnych, utrudnienie wykonywania czynności operacyjno-rozpoznawczych);
- poufne – nieuprawnione ujawnienie tych informacji może spowodować szkodę dla Rzeczypospolitej Polskiej (m.in. przez to, że negatywnie wpłynie na zdolność bojową Sił Zbrojnych, utrudni prowadzenie bieżącej polityki zagranicznej, zakłóci porządek publiczny czy zagrozi bezpieczeństwu obywateli);
- zastrzeżone – tę klauzulę nadaje się, jeśli nieuprawnione ujawnienie informacji może mieć szkodliwy wpływ m.in. na wykonywanie przez organy władzy publicznej zadań w zakresie obrony narodowej, polityki zagranicznej, bezpieczeństwa publicznego czy wymiaru sprawiedliwości.
W przypadku informacji niejawnych pochodzących od innych państw lub organizacji międzynarodowych (np. NATO), oznacza się je polskim odpowiednikiem klauzuli, którą już posiadają (np. NATO CONFIDENTIAL = POUFNE).
Kto może uzyskać dostęp do informacji niejawnych?
Dostęp do informacji niejawnych wymaga uzyskania odpowiedniego, odpłatnego potwierdzenia (poświadczenia), że osoba lub przedsiębiorca jest w stanie zapewnić należytą ochronę tych informacji.
Procedura dostępu do informacji niejawnych dla osób fizycznych
W przypadku osób fizycznych takim potwierdzeniem jest odbycie szkolenia w zakresie ochrony informacji niejawnych, a także – w przypadku informacji o klauzuli „poufne” lub wyższej – uzyskanie poświadczenia bezpieczeństwa.
W zależności od tego, jaką funkcję pełni osoba, która ma mieć dostęp do informacji niejawnych, szkolenie i poświadczenie bezpieczeństwa uzyskuje się u ABW lub SKW bądź u zatrudnionego u przedsiębiorcy tzw. pełnomocnika ochrony.
Po odbyciu szkolenia uzyskuje się zaświadczenie. Z kolei zdobycie poświadczenia bezpieczeństwa jest dłuższym procesem (nawet kilkumiesięcznym) i wiąże się z przeprowadzeniem postępowania sprawdzającego wobec weryfikowanej osoby (zwykłego lub rozszerzonego). Po pozytywnym zakończeniu postępowania sprawdzającego wydaje się poświadczenie bezpieczeństwa na okres 5-10 lat (w zależności od kategorii informacji niejawnych, których dotyczy).
Procedura dostępu do informacji niejawnych dla przedsiębiorców
W przypadku przedsiębiorców mających realizować umowy związane z dostępem do informacji niejawnych, potwierdzeniem zdolności ochrony tych informacji jest uzyskanie świadectwa bezpieczeństwa przemysłowego. Świadectwo jest wymagane w przypadku dostępu do informacji o klauzuli „poufne” i wyższej. Organem wydającym jest ABW bądź SKW, a świadectwo wydaje się w zależności od stopnia zdolności do ochrony informacji niejawnych, tj.:
- pierwszego stopnia;
- drugiego stopnia;
- trzeciego stopnia;
gdzie pierwszy stopień potwierdza najwyższą zdolność do ochrony informacji niejawnych, a trzeci najbardziej ograniczoną.
Wydanie świadectwa jest poprzedzone przeprowadzeniem postępowania sprawdzającego – zarówno wobec przedsiębiorcy, jak i osób, które miałyby uzyskać dostęp do informacji niejawnych. Postępowanie trwa nie dłużej niż 6 miesięcy. Wydane świadectwo potwierdza zdolność przedsiębiorcy do ochrony informacji na okres 5-10 lat (w zależności od klauzuli informacji, na jaką świadectwo jest wydawane).
Jak zapewnić bezpieczeństwo informacji niejawnych? Wymagane działania i środki ochronne
Ochrona informacji niejawnych to nie tylko uzyskanie poświadczeń bezpieczeństwa lub świadectw bezpieczeństwa przemysłowego. W praktyce, w zależności od kategorii informacji, do których przedsiębiorca ma uzyskać dostęp i zakresu ich przetwarzania, konieczne może być zorganizowanie całego systemu ochrony informacji niejawnych w organizacji (włącznie z wdrożeniem odpowiednich środków ochrony „fizycznej”).
Powołanie pełnomocnika ochrony
W pierwszej kolejności konieczne może być powołanie pełnomocnika ochrony.
Pełnomocnik ochrony to osoba, która w praktyce sprawuje nadzór nad ochroną informacji w organizacji (m.in. stosowanie środków ochrony, zarządzanie ryzykiem, kontrola przestrzegania przepisów, prowadzenie szkoleń). Pełnomocnik wykonuje swoje zadania przy pomocy wyodrębnionego pionu ochrony (czyli w praktyce odpowiednio upoważnionych pracowników realizujących powyższe czynności) .
Uzyskanie akredytacji bezpieczeństwa teleinformatycznego
W przypadku, jeśli informacje niejawne miałyby być przetwarzane w systemach teleinformatycznych, takie systemy wymagają akredytacji bezpieczeństwa teleinformatycznego. W zależności od stopnia tajności informacji akredytacji udziela ABW / SKW lub sam kierownik przedsiębiorcy (np. zarząd) po wcześniejszym poinformowaniu tych organów.
Utworzenie kancelarii tajnej
Im wyższa kategoria przetwarzanych informacji niejawnych, tym wyższe wymagane środki ochrony. Przykładowo, w przypadku informacji o klauzuli „tajne” i „ściśle tajne” wymagane jest utworzenie kancelarii tajnej. Kancelaria tajna jest wyodrębnioną komórką organizacyjną, odpowiedzialną za właściwe rejestrowanie, przechowywanie, obieg i wydawanie materiałów uprawnionym osobom. Organizacja pracy kancelarii musi być ułożona w taki sposób, aby zapewnić możliwość ustalenia w każdych okolicznościach, gdzie znajduje się materiał o klauzuli "tajne" lub "ściśle tajne" pozostający w dyspozycji przedsiębiorcy oraz kto z tym materiałem się zapoznał. Przepisy wykonawcze szczegółowo określają zasady organizacji i funkcjonowania kancelarii tajnej. Zawierają również dodatkowe wymogi związane z zapewnieniem środków fizycznego bezpieczeństwa informacji niejawnych (takie jak bariery fizyczne, zamki, dozór wizyjny, systemy alarmowe czy strefy dostępowe).
Podsumowanie
Ochrona informacji niejawnych w sektorze obronnym to zestaw konkretnych obowiązków, które należy zaplanować z wyprzedzeniem – od właściwej klasyfikacji informacji, przez uprawnienia personelu, po rozwiązania organizacyjne i techniczne w firmie. Dobrze wdrożony system ochrony zmniejsza ryzyko naruszeń, usprawnia współpracę z podmiotami publicznymi i realnie skraca czas potrzebny na spełnienie wymagań kontraktowych. W praktyce warto zacząć od ustalenia, z jakimi klauzulami tajności organizacja będzie pracować, a następnie dobrać adekwatne środki (pełnomocnik ochrony, świadectwo bezpieczeństwa przemysłowego, akredytacja teleinformatyczna, środki ochrony, kancelaria tajna). Takie podejście pozwala uniknąć kosztownych „nadmiarowych” wdrożeń i jednocześnie zapewnić zgodność z przepisami oraz oczekiwaniami kontrahentów.
Pomagamy przedsiębiorcom w poruszaniu się po regulacjach dotyczących informacji niejawnych, wdrażaniu niezbędnych środków ochrony oraz pozyskiwaniu wymaganych poświadczeń i świadectw. W razie pytań – zapraszamy do kontaktu!
FAQ
Najczęstsze pytania o ochronę informacji niejawnych
[1] Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych.