Nowe regulacje o ochronie informacji niejawnych

Autor: Stanisław Małecki / 20.12.2012
ADMINISTRACJA I PRAWO 5 2 2011 5

 

 

2 stycznia 2011 roku weszła w życie ustawa z 5 sierpnia 2010 r. o ochronie informacji niejawnych (DzU nr 182, poz. 1228). W dużej mierze bazuje ona na dotychczasowych i sprawdzonych rozwiązaniach, lecz zawiera także elementy rewolucyjne.

 

 

Powyższa ustawa, oparta na nowszym dokumencie NATO regulującym politykę bezpieczeństwa (o sygnaturze C-M(2002)49), uelastycznia i upraszcza system ochrony informacji niejawnych, a w konsekwencji ma przynieść również oszczędności.

 

{paid}

 

Nowe unormowania przekładają się również bezpośrednio na ochronę informacji niejawnych w jednostkach samorządu terytorialnego. Podstawowe zasady ochrony informacji niejawnych nie zmieniają się, ale wprowadzone zmiany niosą nową jakość.

 

 

 


Jakkolwiek zakres podmiotowy ustawy nie zmienia się, to doprecyzowano w niej, że w odniesieniu do samorządu terytorialnego jej przepisy mają także zastosowanie do jednostek organizacyjnych podległych organom samorządów wszystkich szczebli i przez nie nadzorowanych, co powinno ostatecznie rozwiać dylematy związane ze stosowaniem ustawy przez instytucje tworzone przez organy

 

 

 

 

Zapomnieć o starych tajemnicach

 

Swoistą rewolucję stanowi rezygnacja z wieloletniego podziału informacji niejawnych na tajemnicę państwową i służbową. Konsekwencją tego zamysłu jest z jednej strony nowelizacja kilkudziesięciu ustaw, w których ten podział istniał (począwszy od kodeksów karnego i postępowania karnego), z drugiej zaś rezygnacja z dotychczasowego załącznika do ustawy, zawierającego wykaz rodzajów informacji niejawnych, które mogły być kwalifikowane jako tajemnica państwowa.

 

W to miejsce wprowadzono cztery definicje tajemnic, począwszy od definicji informacji niejawnej oznaczanej klauzulą „zastrzeżone”, a na informacji niejawnej oznaczanej klauzulą „ściśle tajne” skończywszy. Brzmienie definicji wskazuje, że ochroną przewidzianą ustawą objęte są informacje niejawne, których naruszenie przyniosłoby szkody Rzeczypospolitej Polskiej, natomiast poza jej ochroną pozostają dotychczas prawnie chronione interesy obywateli albo jednostki organizacyjnej. Istotą tej zmiany jest to, by interesy obywateli i jednostek organizacyjnych były chronione przepisami przewidzianymi dla tych celów, a mianowicie o ochronie danych osobowych, o tajemnicy lekarskiej, tajemnicy radcowskiej czy adwokackiej lub tajemnicy przedsiębiorstwa.

 

W konsekwencji rezygnacji z załącznika do ustawy osoba uprawniona do nadania klauzuli dokumentowi (czyli do podpisania dokumentu lub oznaczenia klauzulą innego materiału niż dokument) będzie za każdym razem decydowała – kierując się ustawowymi definicjami –  jaką klauzulę zastosować.

Odstąpiono od dotychczasowego ustawowego określania okresów ochrony informacji niejawnych (50 lat dla tajemnicy państwowej, 5 lat dla informacji „poufnych” oraz 2 lata dla „zastrzeżonych”) sprawia, że osoba uprawniona do nadania dokumentowi niejawnemu określonej klauzuli tajności będzie musiała jednocześnie określić datę ochrony informacji niejawnej lub wskazać wydarzenie, po którym nastąpi zniesienie lub zmiana klauzuli – jeśli znikną lub zmienią się ustawowe przesłanki ochrony określonej tajemnicy, wynikające z definicji. Dla zapewnienia aktualności klauzul tajności nadanych dokumentom ustawa nakłada obowiązek przeprowadzania przez kierowników jednostek organizacyjnych przeglądu materiałów niejawnych, nie rzadziej niż raz na pięć lat.

 

 

 

Zarządzanie ryzykiem

 

Istotną zmianą jest wprowadzenie zasady zarządzania ryzykiem przy określaniu wymogów bezpieczeństwa fizycznego i teleinformatycznego, co powinno ograniczyć dotychczasowe  nadmierne, anachroniczne i sztywne wymogi formalne, np. przy projektowaniu kancelarii tajnych lub systemów teleinformatycznych dla przetwarzania informacji niejawnych, a w szczególności przynieść znaczące zmniejszenie wydatków. Ideą, która temu przyświeca, nie jest obniżenie standardów ochrony informacji, ale ich dopasowanie do liczby i wagi chronionych informacji oraz realnego poziomu zagrożeń. Zarządzanie ryzykiem będzie należało do kierowników jednostek organizacyjnych, w których informacje niejawne są przetwarzane i przechowywane.

 

Ustawa zdecydowanie łagodzi wymogi związane z obiegiem dokumentów o najniższych klauzulach – „zastrzeżonych” i „poufnych”.

Rozwiązanie to powinno przynieść oszczędności w budżetach jednostek administracji państwowej i samorządowej – w związku z rezygnacją ze zbędnych środków ochrony informacji o tych najniższych klauzulach. Ustawa nie określa zatem sposobu ochrony informacji oznaczonych klauzulą „zastrzeżone”  (kierownik  jednostki organizacyjnej powinien zatwierdzić, opracowany przez pełnomocnika ochrony, sposób i tryb przetwarzania informacji niejawnych w podległych komórkach organizacyjnych, a także instrukcję w tym zakresie, jak również ustalić zakres i warunki stosowania środków bezpieczeństwa fizycznego tych informacji), natomiast w stosunku do informacji klasyfikowanych jako „poufne” nakazuje kierownikowi jednostki organizacyjnej określić zasady ich obiegu i ochrony, na wniosek pełnomocnika do spraw ochrony informacji niejawnych.

 

W konsekwencji tego unormowania obowiązek organizacji kancelarii tajnej będzie miała jedynie jednostka organizacyjna przetwarzająca informacje o klauzulach „tajne” i „ściśle tajne”.

Nie oznacza to likwidacji kancelarii tajnych w jednostkach organizacyjnych, w których one dotychczas funkcjonowały, gdyż mogą nadal służyć celom ochrony informacji niejawnych o niższych klauzulach. 

Zgodnie z ustawą  w uzasadnionych przypadkach będzie można zorganizować kancelarię tajną obsługującą dwie lub więcej jednostek organizacyjnych. Warunkiem uruchomienia i funkcjonowania takiej kancelarii jest odpowiednie porozumienie kierowników jednostek organizacyjnych w zakresie jej podległości i finansowania oraz uzyskanie zgody Agencji Bezpieczeństwa Wewnętrznego.

 

 

 

Bezpieczeństwo osobowe

 

Ustawa wprowadza zasadnicze zmiany w zakresie bezpieczeństwa osobowego. Otóż znosi dotychczasowy obowiązek prowadzenia postępowania sprawdzającego dostępu osób do informacji niejawnych oznaczonych klauzulą „zastrzeżone”.

Oznacza to w konsekwencji, że obowiązek legitymowania się poświadczeniem bezpieczeństwa dotyczy dostępu do informacji niejawnych oznaczonych klauzulą „poufne” i wyższych. Dostęp do informacji niejawnych o klauzuli „zastrzeżone” następuje obecnie na podstawie pisemnego upoważnienia wydanego przez kierownika jednostki organizacyjnej, po odbyciu przez zainteresowaną osobę (pracownika) odpowiedniego przeszkolenia z zakresu ochrony informacji niejawnych.

 

Ustawa pozostawia dwa z dotychczasowych trzech rodzajów postępowań sprawdzających, a mianowicie: zwykłe postępowanie sprawdzające – wobec osób ubiegających się o dostęp do informacji niejawnych oznaczonych klauzulą „poufne” (będą je prowadzili, jak dotychczas, pełnomocnicy ochrony, a w niektórych przypadkach również Agencja Bezpieczeństwa Wewnętrznego lub Służba Kontrwywiadu Wojskowego, a także organy, służby i instytucje uprawnione do prowadzenia tzw. autonomicznych postępowań sprawdzających – Policja, Straż Graniczna, Agencja Wywiadu, Żandarmeria Wojskowa, Służba Wywiadu Wojskowego, Centralne Biuro Antykorupcyjne, Służba Więzienna, Biuro Ochrony Rządu) oraz poszerzone postępowanie sprawdzające – wobec osób ubiegających się o dostęp do informacji niejawnych oznaczonych klauzulą „tajne” i „ściśle tajne”. Postępowania te prowadzą Agencja Bezpieczeństwa Wewnętrznego oraz Służba Kontrwywiadu Wojskowego, a także wymienione wyżej organy, służby i instytucje.

Utrzymana jest dotychczasowa zasada, że nie prowadzi się postępowania sprawdzającego wobec osoby legitymującej się ważnym poświadczeniem bezpieczeństwa do danej klauzuli.

 

 

 


Nowym rozwiązaniem jest wprowadzenie reguły, że postępowania sprawdzające wobec kierowników jednostek organizacyjnych (w tym kierowników podmiotów gospodarczych) prowadzą wyłącznie Agencja Bezpieczeństwa Wewnętrznego lub Służba Kontrwywiadu Wojskowego. Celem tej regulacji jest uniknięcie sytuacji prowadzenia przez pełnomocników ochrony postępowań sprawdzających wobec swoich pracodawców, co naruszało zasadę ich niezbędnej bezstronności.

 

 


 

Postępowania sprawdzające po wejściu w życie ustawy prowadzi się na podstawie nowego formularza ankiety bezpieczeństwa osobowego, stanowiącego załącznik do ustawy oraz znacznie obszerniejszego niż dotychczasowe formularze.

Nowe uregulowania dotyczące kancelarii tajnych i środków bezpieczeństwa fizycznego nakładają obowiązek określenia poziomu zagrożeń nieuprawnionego dostępu do informacji niejawnych lub ich utraty oraz stosowania środków ochrony fizycznej odpowiednich do ich poziomu. Za określenie poziomu zagrożeń jest odpowiedzialny kierownik jednostki organizacyjnej, do którego należy zatwierdzenie – opracowanej przez pełnomocnika ochrony – dokumentacji w zakresie bezpieczeństwa fizycznego. Szczegóły co do sposobu przeprowadzania i podstawowych kryteriów określania poziomu zagrożeń oraz środków bezpieczeństwa fizycznego właściwych dla wskazanego poziomu zagrożeń, a także wymagania w zakresie organizacji i funkcjonowania kancelarii tajnych – unormuje w swoim rozporządzeniu Rada Ministrów.

 

 

 

Bezpieczeństwo fizyczne

 

W zakresie bezpieczeństwa fizycznego jednostki organizacyjnej ustawa odstąpiła od dotychczasowego podziału stref na „strefę administracyjną” i „strefę bezpieczeństwa” na rzecz „stref ochronnych”. Nowa regulacja eliminuje dotychczasową praktykę tworzenia „strefy w strefie” poprzez odejście od obowiązku tworzenia strefy administracyjnej wokół strefy bezpieczeństwa (granice tych stref nierzadko się pokrywały) oraz umożliwia tworzenie różnych stref ochronnych, różniących się zastosowaniem określonych środków ochrony fizycznej.

 

W odniesieniu do bezpieczeństwa teleinformatycznego ustawa przewiduje, że akredytacji bezpieczeństwa dla systemu informatycznego lub teleinformatycznego przetwarzającego informacje niejawne oznaczone klauzulą „zastrzeżone” udzieli kierownik jednostki organizacyjnej, w której system będzie tworzony, a w przypadku systemu obsługującego wiele podmiotów – kierownik jednostki organizującej ten system. Obowiązkiem kierownika jednostki jest przekazanie do ABW dokumentacji bezpieczeństwa teleinformatycznego akredytowanego systemu – w celu jej ewentualnej weryfikacji. Znosi to dotychczasowy „monopol” tej służby w zakresie akredytacji takich systemów – pozostaną one nadal właściwe dla procesu akredytacji systemów przeznaczonych do przetwarzania informacji niejawnych oznaczonych klauzulami „poufne”, „tajne” i „ściśle tajne”. W tym zakresie ustawa wprowadziła instytucję „świadectwa akredytacji bezpieczeństwa teleinformatycznego”, jako dokumentu potwierdzającego udzielenie przez ABW lub SKW akredytacji dla systemu przetwarzającego informacje niejawne o klauzuli „poufne” i wyższych.

 

Dotychczas stosowany „certyfikat akredytacji” ustawa pozostawia wyłącznie dla potrzeb związanych z akredytacją urządzeń i narzędzi kryptograficznych oraz środków ochrony elektromagnetycznej.

Na koniec rzecz istotna dla kierowników wszystkich jednostek organizacyjnych – ustawa nakłada na nich obowiązek przeprowadzenia przeglądu wytworzonych w podległych im jednostkach materiałów zawierających informacje niejawne w celu ustalenia, czy będą spełniać ustawowe przesłanki ochrony na podstawie nowych przepisów. Proces ten powinien zakończyć się w terminie 36 miesięcy od dnia wejścia ustawy w życie.

 

 

 

Ważne

W ciągu 36 miesięcy od wejścia w życie ustawy kierownicy muszą  przeprowadzić przegląd swoich materiałów i ustalić, czy spełniają ustawowe przesłanki ochrony.


Podziel się!

Aby dodać komentarz, zaloguj się.