Zgodnie z art. 14 ust. 1 ustawy z dnia z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz. 1228), zwanej dalej ustawą, na kierowniku jednostki organizacyjnej, w której przetwarzane są informacje niejawne, spoczywa obowiązek zorganizowania i zapewnienia funkcjonowania ochrony.
Zadania pełnomocnika ds. ochrony informacji niejawnych określa w tym zakresie art. 15 ust. 1 ustawy, który nakłada na pełnomocnika obowiązek opracowania planu ochrony informacji niejawnych w jednostce organizacyjnej, w którym musi on z należytą dbałością opisać zastosowane zabezpieczenia fizyczne wspomagające ochronę posiadanych/przetwarzanych zasobów niejawnych podlegających ochronie. Właściwa realizacja zadań związanych z zabezpieczeniem wiąże się między innymi z realizacją inwestycji związanej z instalacją technicznych zabezpieczeń ochranianych obiektów. Głównym celem tego procesu jest stworzenie systemu zabezpieczającego, który będzie niejawny i zabezpieczony przed sabotażem zarówno na etapie projektowania, jak i podczas jego budowy oraz eksploatacji.
Działania poprzedzające inwestycję obejmują nw. czynności:
- inwentaryzację posiadanych zasobów niejawnych (informacji, dokumentów, materiałów);
- analizę zagrożeń i ocenę ryzyka;
- opracowanie „Koncepcji organizacji zabezpieczenia posiadanych zasobów niejawnych”.
Na ich podstawie zostaną następnie przygotowane pozostałe wymagane prawem dokumenty inwestycyjne:
- minimalne wojskowe wymagania organizacyjno-użytkowe – MWWO-U (opracowuje je użytkownik, a weryfikuje i zatwierdza beneficjent);
- program organizacyjno-użytkowy/program inwestycji – POU lub PI (inwestor opracowuje go na podstawie zatwierdzonych MWWO-U lub zleca to zadanie uprawnionemu podmiotowi – w zależności od wielkości, zasięgu i rodzaju inwestycji);
- dokumentację kosztorysowo-projektową (która powstaje na podstawie POU lub PI oraz podlega ocenie i zatwierdzeniu przez komisję oceny projektu inwestycji – KOPI);
Na koniec wydawana jest prawomocna decyzja i zlecenie wykonania zadania.
Przygotowanie planu realizacji inwestycji musi obejmować organizację pracy i opracowanie harmonogramów wykonywania poszczególnych prac – z podziałem na branże (budowlana, instalacje elektryczne i elektrotechniczne niskoprądowe, sieci strukturalne przeznaczone do przetwarzania informacji niejawnych oraz elektroniczne systemy zabezpieczeń).
Ważnym elementem realizacji zadania inwestycyjnego jest ciągły nadzór pełnomocnika ds. ochrony lub wyznaczonej przez niego osoby z pionu ochrony nad pracami budowlanymi i instalowaniem elementów wchodzących w skład zabezpieczenia obiektu, a w późniejszym okresie także odbiór, eksploatacja i serwisowanie.
Stworzenie systemu zabezpieczeń musi być poprzedzone analizą zagrożeń i oszacowaniem prawdopodobieństwa ich wystąpienia. Analiza jest potrzebna ze względów technicznych i organizacyjnych. Należy wybrać urządzenia odpowiedniej klasy – adekwatnie do zagrożeń. Wysoki poziom ryzyka wystąpienia zagrożeń, na przykład w jednostce wojskowej, wymusza zastosowanie urządzeń, które muszą być zgodne z normami obronnymi. Odpowiedni projekt i dobór rozwiązań jest w tym przypadku podstawą kosztorysu inwestorskiego. Następnym etapem jest przygotowanie minimalnych wojskowych wymagań organizacyjno-użytkowych, w których należy określić zakres prac, ich obszar, branże, których dotyczą, oraz wymagania użytkownika dotyczące ochrony informacji niejawnych. W związku z ochroną informacji niejawnych powinno się wskazać odpowiednie rozwiązania techniczne oraz określić zasady organizacji i wymagania odnoszące się do wykonawców prac, dotyczące zwłaszcza przestrzegania zasad ochrony informacji niejawnych.
Wymagania MWWO-U są punktem wyjścia do przygotowania pozostałej dokumentacji dotyczącej zabezpieczenia realizowanej inwestycji (projektu inwestorskiego – POU/PI, specyfikacji indywidualnych warunków zamówienia – SIWZ, dokumentacji przetargowej, zlecenia wykonania, dokumentacji powykonawczej) oraz, w efekcie końcowym, decyzji PINB – zezwalającej na użytkowanie obiektu.
Przygotowany na zlecenie inwestora projekt musi być uzgodniony z pełnomocnikiem ds. ochrony w zakresie zastosowanych rozwiązań technicznych, planowanych urządzeń technicznych, budowlanych i elektronicznych systemów zabezpieczeń. Pełnomocnik wraz z osobami z branży budowlanej oraz osobami będącymi administratorami elektronicznych systemów zabezpieczeń ocenia, czy projekt spełnia kryteria wskazane w Minimalnych Wojskowych Wymaganiach Organizacyjno-Użytkowych, czy wybrane rozwiązania są adekwatne do zagrożeń, zgodne z normami obronnymi i czy informacje niejawne będą właściwie chronione. Niejednokrotnie projekt dotyczy tylko przebudowy, rozbudowy lub budowy samego systemu zabezpieczeń.
W efekcie końcowym powstaje projekt konfiguracji systemu odpowiedniego pod względem technicznym i ekonomicznym, a zatem możliwy do zrealizowania przez inwestora.
Istotnym elementem projektu jest kosztorys inwestorski, który powinien dokładnie określać wartość całej inwestycji z podziałem na poszczególne branże, w tym ceny zaproponowanych zabezpieczeń, co pozwala na przejście do następnego etapu, którym jest zaplanowanie wydatków związanych z jego realizacją.
Po zaplanowaniu wydatków przychodzi czas na wybranie wykonawcy systemu technicznych zabezpieczeń. Zajmuje się tym właściwa dla jednostki komórka ds. zamówień publicznych, ściśle współpracująca w tym zakresie z pełnomocnikiem ds. ochrony, który uczestniczy w przygotowaniu dokumentacji technicznej zwanej SIWZ (specyfikacją istotnych warunków zamówienia). W takiej specyfikacji precyzuje się wymagania systemowe, przyrządowe i eksploatacyjne dotyczące systemu technicznych zabezpieczeń bez wskazania systemu konkretnej firmy. Dokumentacja powinna zawierać między innymi:
- projekt technicznego systemu zabezpieczeń,
- wzór umowy,
- wzór instrukcji bezpieczeństwa przemysłowego (przygotowanej przez pełnomocnika ds. ochrony użytkownika),
- wymagania stawiane wykonawcy zamówienia, które dotyczą między innymi:
- koncesji na wykonywanie prac związanych z instalowaniem elektronicznych systemów zabezpieczeń,
- świadectw bezpieczeństwa przemysłowego,
- poświadczeń bezpieczeństwa osobowego lub upoważnień do dostępu do informacji niejawnych oznaczonych klauzulą zastrzeżone.
Właściwe zaprojektowanie technicznych zabezpieczeń oraz przygotowanie specyfikacji do dokumentacji przetargowej wymaga od pełnomocnika wiedzy z zakresu systemów zabezpieczeń. Niejednokrotnie pełnomocnik korzysta z wiedzy podległych mu w pionie ochrony administratorów elektronicznych systemów zabezpieczeń. Jeżeli w jednostce organizacyjnej nie ma osób posiadających fachową wiedzę z tego zakresu, trzeba skorzystać z wiedzy rzeczoznawcy czy eksperta w dziedzinie systemów technicznych zabezpieczeń. Zdarza się, że takiego eksperta należy zatrudnić już na etapie przygotowania inwestycji i wyłonienia wykonawcy projektu. Ekspert powinien występować jako doradca inwestora i wykonawca specjalistycznej części dokumentacji przetargowej. Może on (w imieniu inwestora) nadzorować przebieg prac instalacyjnych i montażowych. Ekspert lub projektant powinien być obecny także przy odbiorze elektronicznych systemów zabezpieczeń i sprawdzić, czy systemy są wykonane zgodnie z projektem.
Rola pełnomocnika nie kończy się w chwili wykonania technicznego zabezpieczenia obiektu. Uczestniczy on jako gestor systemów zabezpieczeń w ich właściwej eksploatacji, konserwacji oraz w usuwaniu ewentualnych usterek i awarii w celu zapewnienia ciągłości ich działania. Jest odpowiedzialny za umożliwienie modernizacji systemów w przyszłości.
Planowanie, projektowanie i instalowanie systemów technicznych zabezpieczeń jest dziedziną obszerną, wymagającą dużej wiedzy z zakresu inżynierii i znajomości specyfiki prac inwestycyjno-remontowych. Ponadto pełnomocnik musi czuwać nad niejawnością tego procesu, zarówno na etapie planowania, jak i na etapie realizacji. Wykonawcy (osoby fizyczne i prawne) powinni posiadać stosowne poświadczenia bezpieczeństwa (osoby fizyczne) i świadectwa bezpieczeństwa przemysłowego (osoby prawne) – adekwatne do wymaganego poziomu ochrony informacji niejawnych wynikającego z najwyższej przewidywanej klauzuli przetwarzanych danych. Niejawność całości postępowania inwestycyjnego gwarantuje szczelność systemu oraz jego właściwe późniejsze działanie.
Czesław Ćwiek
Bezpieczeństwo oraz Ochrona Informacji Niejawnych
i Danych Osobowych
Zabezpieczenia 6/2013
Bibliografia:
- Decyzja Nr 105/MON z 1 kwietnia 2011 r. w sprawie zatwierdzenia i wprowadzenia dokumentów normalizacyjnych dotyczących obronności i bezpieczeństwa państwa (Dz. Urz. MON z 2011 r., nr 7, poz. 90).
- Decyzja Ministra Obrony Narodowej nr 7/MON z 20 stycznia 2012 r. w sprawie ochrony systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych w resorcie obrony narodowej (Dz. Urz. MON z 2012 r. poz. 8).
- Przepisy prawne regulujące procesy inwestycyjne w obiektach i kompleksach resortu ON, mat. Szefostwa Infrastruktury Inspektoratu Wsparcia Sił Zbrojnych, Bydgoszcz 2011.
- Rozporządzenie Rady Ministrów z 29 maja 2012 r. w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczania informacji niejawnych (Dz. U. z 19 czerwca 2012 r., poz. 683).
- Ustawa o ochronie informacji niejawnych z 5 sierpnia 2010 r. (Dz. U. z 2010 r., nr 182, poz. 1228).
- Zarządzenie Ministra Obrony Narodowej nr 57/MON z dnia 16 grudnia 2011 r. w sprawie szczególnego sposobu organizacji i funkcjonowania kancelarii tajnych oraz innych niż kancelaria tajna komórek organizacyjnych odpowiedzialnych za przetwarzanie informacji niejawnych, sposobu i trybu przetwarzania informacji niejawnych oraz doboru i stosowania środków bezpieczeństwa fizycznego (Dz. Urz. MON z 2011 r., nr 25, poz. 402).