Kontynuując rozpoczęty cykl rozważań dotyczących ochrony informacji niejawnych, poruszę kwestię ochrony informacji w firmach w świetle uwarunkowań prawnych nowej ustawy o ochronie informacji niejawnych. Niniejsza część dotyczy głównie problemu funkcjonowania pionu ochrony informacji niejawnych w przedsiębiorstwach. Zagadnienia uzyskania i wykorzystywania świadectwa bezpieczeństwa przemysłowego będą opisane w kolejnej części.
Omawiając w poprzednim artykule (Zabezpieczenia nr 3/2012) rolę państwa w ochronie informacji niejawnej oraz kwestie identyfikacji, klauzulowania i nadzorowania informacji, skupiłem się głównie na wymogach prawnych oraz oddziaływaniu nadzorczym z zewnątrz instytucji/firmy/przedsiębiorstwa. Ustawodawca określił także działania wewnątrz firmy, czyli zobowiązania przedsiębiorcy1 – kierownika przedsiębiorcy2, traktowanego w myśl przepisów ustawy jako kierownika jednostki organizacyjnej3 (KJO), dając zarazem wykładnię tego pojęcia oraz specyfikując listę osób wykonujących obowiązki KJO (obejmującą likwidatora oraz syndyka lub zarządcę ustanowionego w postępowaniu upadłościowym).
1. Obowiązki kierownika jednostki organizacyjnej w zakresie ochrony informacji niejawnych
Pragnę podkreślić, że opisywane w dalszej części artykułu zagadnienia dotyczą wyłącznie ochrony informacji niejawnych zgodnych z wymaganiami przywołanej ustawy – tzn. wyodrębnionych i zidentyfikowanych (klauzula i oznakowanie), odpowiednio przechowywanych i udostępnianych (uprawnienia użytkowników), przetwarzanych w określony sposób (wg szczególnych wymagań bezpieczeństwa – SWB i procedur bezpiecznej eksploatacji – PBE)4.
Rys. 1. Odpowiedzialność w systemie ochrony informacji niejawnych firmy
Przypominam o tym ze względu na spotykane w mojej praktyce zawodowej częste pomyłki prawne. Na przykład tajemnica przedsiębiorcy/przedsiębiorstwa, zapisana w postaci notatki czy też protokołu z posiedzenia zarządu spółki, zostaje oznakowana klauzulą „poufne” lub nawet „tajne”, mimo iż nie spełnia przywołanych w ustawie wymagań formalnych, tymczasem w kwestii tajemnicy przedsiębiorstwa podstawowym aktem prawnym jest art. 39 ust. 2 umowy międzynarodowej – Porozumienia TRIPS (obowiązującego w Polsce od 1.01.2000)5. Zgodnie z tym przepisem „osoby fizyczne i prawne będą miały możliwość zapobiegania, aby informacje pozostające w sposób zgodny z prawem pod ich kontrolą nie zostały ujawnione, nabyte lub użyte bez ich zgody przez innych, w sposób sprzeczny z uczciwymi praktykami handlowymi, jak długo takie informacje są poufne (w sensie ograniczonej dostępności) i mając wartość handlową są poddane rozsądnym, w danych okolicznościach, działaniom dla utrzymania ich poufności”. Przepis ten ma charakter samowykonalny (self-executing), co oznacza, że przedsiębiorca może się powołać na niego bezpośrednio. Jego rozszerzeniem użytkowym są zapisy ustawy o zwalczaniu nieuczciwej konkurencji6 oraz rozwiązania dotyczące informacji chronionej, które wynikają z kodeksów (karnego, cywilnego i spółek handlowych) i dotyczą tajemnic służbowych, gospodarczych, organizacyjnych, technicznych i technologicznych.
Pragnę przypomnieć po raz kolejny, że tylko informacje niejawne wydzielone w odrębnym zasobie i odpowiednio oznakowane (klauzule – patrz: artykuł cz. 1, podpunkt 3.1), przetwarzane, przechowywane oraz chronione, są objęte wymaganiami przedmiotowej ustawy. Zakres ujętej w ustawie odpowiedzialności zarządczej przedstawia rysunek nr 1.
1.1. Szczególne wymagania ustawowe wobec KJO
Rys. 2. Kontrola ochrony informacji niejawnych w firmie
Ustawodawca nakłada na KJO obowiązek ochrony informacji niejawnych na terytorium przez niego zarządzanym (w instytucji/firmie/przedsiębiorstwie)7, we wszystkich aspektach nadzoru, z zachowaniem podstawowych atrybutów, tzn. poufności, integralności i dostępności. W praktyce jest to związane ze zorganizowaniem ochrony (pion ochrony) oraz zapewnieniem jej poprawnego funkcjonowania w firmie (ludzie, pieniądze, pomieszczenia i niezbędne urządzenia). Kierownik jednostki organizacyjnej może przekazać swoje obowiązki i związane z nimi uprawnienia wybranej osobie, ale nie dotyczy to jego ustawowego obowiązku odpowiedzialności za ochronę informacji niejawnych z racji formalnego nakazu jej organizowania i stałego nadzorowania, za którego realizację ponosi pełną odpowiedzialność (szczególnie dotyczy to czynności zarządczych z zakresu OIN wyszczególnionych w ustawie8).
Schematycznie oddziaływania kontrolno-nadzorcze na obszar ochrony informacji niejawnych w firmie przedstawione są na rysunku nr 2.
1.2. Realizacja ochrony informacji niejawnych w firmie
KJO ma do dyspozycji zatrudnionego przez siebie pełnomocnika do spraw ochrony informacji niejawnych oraz powoływany (jeśli jest taka potrzeba) pion ochrony informacji niejawnych (podobnie jak w przypadku innych, wyspecjalizowanych czynności zarządczych/rozliczeniowych).
W celu przetwarzania informacji o klauzulach „tajne” lub „ściśle tajne” KJO ma obowiązek utworzenia kancelarii tajnej9 jako odrębnej komórki organizacyjnej odpowiedzialnej za rejestrowanie i obieg dokumentacji niejawnej oraz zatrudnienie jej kierownika. W art. 8 omawianej ustawy ustawodawca jednoznacznie podał, że informacje niejawne, którym nadano określoną klauzulę tajności:
- mogą być udostępnione wyłącznie osobie uprawnionej, zgodnie z przepisami ustawy dotyczącymi dostępu do informacji o określonej klauzuli tajności;
- muszą być przetwarzane w warunkach uniemożliwiających ich nieuprawnione ujawnienie, zgodnie z przepisami określającymi wymagania dotyczące kancelarii tajnych, bezpieczeństwa systemów teleinformatycznych, obiegu materiałów i środków bezpieczeństwa fizycznego, odpowiednich do nadanej klauzuli tajności;
- muszą być chronione, odpowiednio do nadanej klauzuli tajności, z zastosowaniem środków bezpieczeństwa określonych w ustawie i przepisach wykonawczych wydanych na jej podstawie.
Ustawa i rozporządzenia wykonawcze10 nie pozostawiają żadnych wątpliwości – dozwolone jest wyłącznie postępowanie zgodne z zapisami w opublikowanych dokumentach, a wszelkie inne działania są zabronione pod rygorem odpowiedzialności karnej.
2. Pion ochrony informacji niejawnych w firmie
Rys. 3. Organizacja systemu ochrony informacji niejawnych
Ochrona informacji niejawnych wymaga szeregu procedur (zakres nadzoru jest przedstawiony na rysunku nr 1) realizowanych przez odpowiednio sprawdzone i przeszkolone osoby, które są zebrane w komórce organizacyjnej zwanej pionem ochrony informacji niejawnych (POIN). Skład osobowy POIN obejmuje:
- pełnomocnika do spraw ochrony informacji niejawnych (OIN) oraz jego zastępcę/zastępców (o ile zostali wyznaczeni);
- inspektora bezpieczeństwa teleinformatycznego (BTI) – w przypadku posiadania systemu/systemów teleinformatycznych (TI) do przetwarzania informacji niejawnych (wg wymogów SWB i PBE);
- kierownika kancelarii tajnej i jej personel (dotyczy to filii lub podkancelarii, o ile istnieją).
Ponadto powoływana jest osoba (lub zespół osób) nie będąca inspektorem BTI, zwana administratorem systemu (o odpowiednich uprawnieniach), odpowiedzialna za funkcjonowanie niejawnego systemu TI oraz przestrzeganie zasad i wymagań dotyczących bezpieczeństwa.
W większości przypadków ów pion ochrony, o którym tak szumnie pisze się w ustawie, to jedna osoba (pełnomocnik ds. ochrony). Kierownika kancelarii tajnej nie biorę tu pod uwagę, gdyż jego zadania są jasno określone i dotyczą funkcjonowania właśnie kancelarii tajnej. Wynika z tego jasno, że wymienione i wskazane w ustawie wszystkie obowiązki pełnomocnik ds. ochrony realizuje zupełnie sam. Biorąc pod uwagę dość złożoną sytuację pełnomocników ds. ochrony w Polsce i to, że bardzo często wypełniają oni swoje obowiązki w więcej niż dwóch jednostkach organizacyjnych w tym samym czasie, nietrudno sobie wyobrazić, jaka jest jakość ich pracy.
Może się również zdarzyć, że przedsiębiorstwo nie posiada pionu ochrony ani kancelarii tajnej, gdyż w przypadku przedsiębiorstwa prowadzonego przez jedną osobę zdolność do ochrony informacji niejawnych jest potwierdzana poświadczeniem dotyczącym ich bezpieczeństwa, upoważniającym do dostępu do informacji niejawnych o klauzuli tajności „poufne” lub wyższej, które jest wydawane przez ABW albo SKW11, i zaświadczeniem o odbytym przeszkoleniu w zakresie ochrony informacji niejawnych wydawanym przez ABW albo SKW. W takim przypadku istnieją jednak określone w rozporządzeniach wykonawczych ustawy ograniczenia, a przedsiębiorca ponosi wszelkie konsekwencje niewypełnienia swoich obowiązków.
2.1. Pełnomocnik ochrony informacji niejawnych
Pełnomocnikiem ochrony informacji niejawnych – IN (nazwa w brzmieniu ustawowym) może być osoba, która posiada:
- obywatelstwo polskie,
- wykształcenie wyższe,
- odpowiednie poświadczenie bezpieczeństwa wydane przez ABW albo SKW, a także przez były Urząd Ochrony Państwa lub byłe Wojskowe Służby Informacyjne,
- zaświadczenie o odbytym przeszkoleniu w zakresie ochrony informacji niejawnych przeprowadzonym przez ABW albo SKW, a także przez byłe Wojskowe Służby Informacyjne.
Zwracam uwagę na konieczność posiadania wykształcenia wyższego przez pełnomocnika ochrony IN (obowiązuje to od 1 stycznia 2011 roku).
Kierownik jednostki organizacyjnej może zatrudnić zastępcę lub zastępców pełnomocnika ochrony IN (z zastrzeżeniem spełnienia przez te osoby warunków, o których mowa wyżej). Szczegółowy zakres obowiązków zastępcy pełnomocnika ochrony IN określa kierownik jednostki organizacyjnej. Bardzo często funkcja zastępcy pełnomocnika jest traktowana przez potencjalnych pracodawców jako metoda zdobycia kolejnych środków na zatrudnienie w pionie ochrony kolejnej osoby. Kiedy jednak pojawia się problem nagłej i nieprzewidzianej nieobecności pełnomocnika ochrony, który pełni funkcję sam, a zorganizowany przez niego system ochrony informacji niejawnych jest systemem nie dającym się odtworzyć podczas jego nieobecności, pojawia się problem. Kiedy okazuje się, że jest możliwość wskazania zastępcy pełnomocnika, zastanawiają się, dlaczego z tego praktycznego wyjścia nie skorzystali.
Chciałbym przypomnieć kierownikom jednostek organizacyjnych, że pełnomocnik ochrony IN, wypełniając obowiązki wymienione w ustawie, jest w stanie właściwie zabezpieczyć informacje niejawne w jednostce organizacyjnej. Kierownik jednostki organizacyjnej powinien zapewnić pełnomocnikowi właściwy warsztat pracy i umożliwić mu wypełnianie ustawowych obowiązków.
2.1.1. Zadania pełnomocnika ochrony IN
Do ustawowych zadań pełnomocnika ochrony IN należy:
- zapewnienie ochrony informacji niejawnych, w tym stosowanie środków bezpieczeństwa fizycznego,
- zapewnienie ochrony systemów teleinformatycznych, w których przetwarzane są informacje niejawne,
- zarządzanie ryzykiem ujawnienia informacji niejawnych, w szczególności szacowanie ryzyka,
- kontrola ochrony informacji niejawnych oraz przestrzegania przepisów dotyczących ochrony tych informacji, w szczególności okresowa (co najmniej raz na trzy lata) kontrola ewidencji, materiałów i obiegu dokumentów,
- opracowywanie i aktualizowanie wymagającego akceptacji kierownika jednostki organizacyjnej planu ochrony informacji niejawnych w jednostce organizacyjnej, także w razie wprowadzenia stanu nadzwyczajnego, i nadzorowanie jego realizacji,
- prowadzenie szkoleń w zakresie ochrony informacji niejawnych,
- prowadzenie zwykłych postępowań sprawdzających oraz kontrolnych postępowań sprawdzających,
- prowadzenie aktualnego wykazu osób zatrudnionych, pełniących służbę w jednostce organizacyjnej albo wykonujących czynności zlecone, które posiadają uprawnienia do dostępu do informacji niejawnych, a także osób, którym odmówiono wydania poświadczenia bezpieczeństwa lub je cofnięto,
- przekazywanie (odpowiednio ABW lub SKW, o których mowa w art. 73 ust. 1 ustawy) do ewidencji danych (o których mowa w art. 73 ust. 2 tejże ustawy) osób uprawnionych do dostępu do informacji niejawnych, a także osób, którym odmówiono wydania poświadczenia bezpieczeństwa lub osób, których poświadczenie bezpieczeństwa cofnięto na podstawie prowadzonego wykazu.
Ponadto kierownik jednostki organizacyjnej może powierzyć pełnomocnikowi ochrony IN oraz pracownikom pionu ochrony wykonywanie innych zadań, jeżeli nie zakłóci to wypełniania obowiązków ustawowych, o których była mowa wyżej. W Polsce pełnomocnicy ochrony IN w jednostkach organizacyjnych są zazwyczaj obciążani wszystkimi dodatkowymi obowiązkami powiązanymi mniej lub bardziej z bezpieczeństwem. Odpowiadają za zabezpieczenia techniczne, fizyczne, informatyczne czy bezpieczeństwo osób. Jeżeli zakres ich obowiązków nie wyklucza obarczenia ich dodatkowymi zadaniami, to nie ma problemu. Niestety w praktyce odbywa się to kosztem jakości ich pracy.
2.1.2. Zadania pracownika ochrony
Pracownikiem pionu ochrony w jednostce organizacyjnej może być osoba, która posiada:
- obywatelstwo polskie (nie dotyczy to pracowników pionu ochrony zatrudnionych u przedsiębiorców),
- odpowiednie poświadczenie bezpieczeństwa lub upoważnienie, o którym mowa w art. 21 ust. 4 pkt 1 ustawy,
- zaświadczenie o odbytym przeszkoleniu w zakresie ochrony informacji niejawnych.
I znowu nasza praktyka dostosowywania się do przepisów ustawy o ochronie informacji niejawnych pokazuje, że bardzo rzadko w jednostkach organizacyjnych uzupełnia się pion ochrony dodatkowymi pracownikami, którzy mogą realizować wszelkie niezbędne z punktu widzenia ustawy zadania. Głównym ich działaniem byłoby wspomaganie pełnomocnika ochrony IN z naciskiem na wykonywanie zadań pionu ochrony wynikających z ustawy.
2.1.3. Praktyka funkcjonowania pionu ochrony informacji niejawnych
W dobie powszechnego oszczędzania trudno sobie wyobrazić piony ochrony, w których każdy pracownik ma tylko jeden obowiązek i nie wykonuje żadnych innych zadań. Niemniej równie trudno, a być może trudniej, wyobrazić sobie funkcjonowanie pionu ochrony informacji niejawnych w jednostce organizacyjnej, w której wszystkie obowiązki spoczywają na jednym pracowniku – pełnomocniku ochrony IN, a jednak jest to zjawisko nagminne i dlatego tak często piony te nie funkcjonują poprawnie. Według mnie (a moja ocena wynika z wieloletniej praktyki) w większości przypadków działanie jednoosobowych pionów ochrony jest po prostu nieskuteczne. Wszyscy właściciele firm, prezesi, dyrektorzy, a więc – innymi słowy – kierownicy jednostek organizacyjnych, w których pion jest jednoosobowy, powinni zadać sobie pytanie: czy w mojej jednostce organizacyjnej prawidłowo zabezpiecza się informacje niejawne?
2.1.4. Reakcje na naruszenia
W przypadku stwierdzenia naruszenia w jednostce organizacyjnej przepisów dotyczących ochrony informacji niejawnych pełnomocnik ds. ochrony zawiadamia kierownika jednostki organizacyjnej i niezwłocznie podejmuje działania zmierzające do wyjaśnienia okoliczności tego naruszenia oraz ograniczenia jego negatywnych skutków. W przypadku stwierdzenia naruszenia przepisów dotyczących ochrony informacji niejawnych o klauzuli „poufne” lub wyższej pełnomocnik ds. ochrony zawiadamia niezwłocznie również ABW albo SKW. Pełnomocnik ochrony IN ma obowiązek powiadomić ABW albo SKW także wówczas, gdy przepisy dotyczące ochrony informacji niejawnych zostaną naruszone przez kierownika jednostki organizacyjnej.
2.2. Ochrona informacji niejawnych – obowiązujące regulacje prawne
Ustawa o ochronie informacji niejawnych z dnia 5 sierpnia 2010 roku dokonała w swoim tekście zmian w 107 innych dokumentach ustanawiających przepisy prawa w RP (prawach wydanych z mocą ustawową, kodeksach prawa, ustawach) odwołując się w swej treści do kilkunastu obowiązujących aktów prawa oraz nakazując wydanie przepisów szczegółowych (rozporządzenia okołostawowe), dając w tym zakresie delegacje wykonawcze Prezesowi Rady Ministrów i poszczególnym ministrom.
Zgodnie z zasadą obowiązywania ogłoszonych norm konieczność zapoznania się z dokumentami prawa stanowionego (ustawami, rozporządzeniami) jest wymagana, a nieznajomość przepisów nie zwalnia od odpowiedzialności za skutki ich nieprzestrzegania, co powinni wziąć pod uwagę wszyscy KJO.
Na dzień 1 stycznia 2012 roku obowiązywały nw. rozporządzenia wykonawcze dotyczące ochrony informacji (wymieniam w kolejności ich ogłaszania):
- Dz. U. z 2010 r., nr 258, poz. 1751 – dot. szkolenia z zakresu ochrony informacji niejawnych;
- Dz. U. z 2010 r., nr 258, poz. 1752 – dot. poświadczeń bezpieczeństwa osobowego;
- Dz. U. z 2011 r., nr 67, poz. 356 – dot. opłat za sprawdzanie bezpieczeństwa przemysłowego;
- Dz. U. z 2011 r., nr 86, poz. 470 – dot. wzorów dokumentów mających związek z bezpieczeństwem przemysłowym;
- Dz. U. z 2011 r., nr 93, poz. 541 – dot. kontroli ochrony informacji niejawnych;
- Dz. U. z 2011 r., nr 156, poz. 26 – dot. zasad akredytacji systemów teleinformatycznych przeznaczonych do przetwarzania i ochrony informacji niejawnych (BTI OIN);
- Dz. U. z 2011 r., nr 159, poz. 948 – dot. wymagań odnoszących się do bezpieczeństwa teleinformatycznego informacji niejawnych;
- Dz. U. z 2011 r., nr 159, poz. 949 – dot. opłat za kontrolę bezpieczeństwa teleinformatycznego;
- Dz. U. z 2011 r., nr 220, poz. 1302 – dot. ustanowienia Krajowej Władzy Bezpieczeństwa w kontaktach międzynarodowych (współdziałanie ABW i SKW);
- Dz. U. z 2011 r., nr 271, poz. 1603 – dot. przewozu dokumentów mających związek z ochroną informacji niejawnych;
- Dz. U. z 2011 r., nr 276, poz. 1631 – dot. organizacji kancelarii tajnych; D
- z. U. z 2011 r., nr 288, poz. 1692 – dot. oznaczania dokumentów zawierających informacje niejawne oraz sposobu zmiany ich wcześniejszych klauzul;
Pominąłem tutaj rozporządzenia resortowe oraz dokumenty publikowane w dziennikach urzędowych poszczególnych ministrów, jednak zachęcam do zapoznania się z ich treścią.
Artur Bogusz
Zabezpieczenia 4/2012
Bibliografia
- Anzel M., Nowa ustawa i jej zmienione uwarunkowania, mat. szkoleniowe OSPOIN, Warszawa 2010.
- Hoc St., Ustawa o ochronie informacji niejawnych. Komentarz, wyd. LexisNexis, Warszawa 2010.
- Stankowska I., Ustawa o ochronie informacji niejawnych. Komentarz, wyd. LexisNexis, Warszawa 2011.
- Ustawa z dnia 5 sierpnia 2010 roku o ochronie informacji niejawnych, Dz. U. z 2010 r., nr 182, poz. 1228.
- Wytyczne w sprawie określenia zasad postępowania z materiałami zawierającymi informacje niejawne, zał. do Decyzji nr 362/MON z dnia 28 września 2011 r.
Przypisy:
- Art. 2 pkt 13 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2010 r., nr 182, poz. 1228), z odwołaniem do art. 4 ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (tekst jednolity: Dz. U. z 2007 r., nr 155, poz. 1095 z późn. zm.).
- Art. 2 pkt 14) ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2010 r., nr 182, poz. 1228).
- ibidem
- Art. 8 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2010 r., nr 182, poz. 1228).
- Porozumienie w sprawie handlowych aspektów praw własności intelektualnej ("Agrement on Trade – Related Aspects of Intellectual Property Rights"), zał. do Dz. U. z 1996 r., nr 32, poz. 143.
- Art. 11, ust. 4 ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (tekst jednolity: Dz. U. z 2003 r., nr 153, poz. 1503 z późn. zm.).
- Art. 14 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2010 r., nr 182, poz. 1228).
- Art. 13, ust. 1 – współdziałanie ze służbami; art. 14, ust. 2 – zatrudnienie pełnomocnika; art. 48, ust. 9 – akredytacja STI „Zastrzeżone”; art. 49, ust. 5 – opracowanie SWBS i PBE; art. 52, ust. 1, pkt 1 – wyznaczanie inspektora BTI; art. 52 ust. 1, pkt 2 – wyznaczanie administratora niejawnego STI; art. 56 ust. 1 – wnioskowanie o ŚBP; art. 71 ust. 3 – wyznaczenie osoby odpowiedzialnej za OIN wg zawartej umowy.
- Art. 42, ust. 4 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2010 r., nr 182, poz. 1228).
- Zestawienie obowiązujących rozporządzeń znajduje się w podpunkcie 6.2 niniejszego artykułu.
- Art. 54 ust. 3 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2010 r., nr 182, poz. 1228).