Przepisy o ochronie informacji niejawnych

  • Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. 2010 nr 182, poz. 1228 z późn. zm.);
  • Rozporządzenie Rady Ministrów z dnia 29 maja 2012 r. w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczania informacji niejawnych (Dz. U. 2012, poz. 683);
  • Rozporządzenie Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz. U. 2011 nr 159 poz. 948);
  • Rozporządzenie Rady Ministrów z dnia 7 grudnia 2011 r. w sprawie organizacji i funkcjonowania kancelarii tajnych oraz sposobu i trybu przetwarzania informacji niejawnych (Dz. U. 2011 nr 276 poz. 1631);
  • Rozporządzenie Prezesa Rady Ministrów z dnia 22 grudnia 2011 r. w sprawie sposobu oznaczania materiałów i umieszczania na nich klauzul tajności (Dz. U. 2011 nr 288 poz. 1692);
  • Rozporządzenie Prezesa Rady Ministrów z dnia 7 grudnia 2011 r. w sprawie nadawania, przyjmowania, przewożenia, wydawania i ochrony materiałów zawierających informacje niejawne (Dz. U. 2011 nr 271 poz. 1603);

oraz pozostałe akty prawne w postaci rozporządzeń, zaleceń i wytycznych Agencji Bezpieczeństwa Wewnętrznego i Służby Kontrwywiadu Wojskowego dotyczących ochrony informacji niejawnych.

Ochrona Informacji Niejawnych
Proponujemy Państwu:

  • realizowanie niżej wymienionych czynności i przedsięwzięć, które zapewnią wprowadzenie właściwych rozwiązań prawnych w zakresie ochrony informacji niejawnych wynikających między innymi z wyżej wymienionych aktów prawnych;
  • sprawowanie fachowej opieki nad właściwym przetwarzaniem informacji niejawnych;
  • wykonywanie obowiązków Pełnomocnika Ochrony Informacji Niejawnych.

Usługi w obszarze ochrony informacji niejawnych

Doradztwo Kierownikom Jednostek Organizacyjnych oraz Pełnomocnikom Ochrony Informacji Niejawnych w zakresie stosowania i interpretacji przepisów o ochronie informacji niejawnych, które obejmuje:

  • dostosowanie jednostki organizacyjnej do osiągnięcia właściwego poziomu ochrony informacji niejawnych wymaganego w ustawie o ochronie informacji niejawnych, określenie spójność oraz dostosowanie dokumentów normatywnych wydanych przez kierownika jednostki organizacyjnej z aktami prawnymi oraz normatywnymi szczebli nadrzędnych,
  • planowanie i organizacja pionu ochrony oraz opracowanie zakresów działania pionu ochrony i obowiązków kompetencyjnych osób wchodzących w jego skład, w tym:
    • sprecyzowanie zadań, dotyczących ochrony informacji niejawnych, w zakresach zadań oraz zakresach obowiązków osób funkcyjnych pionu ochrony,
    • przygotowanie instrukcji „Sposób i tryb przetwarzania informacji niejawnych o klauzuli „Zastrzeżone” oraz zakres i warunki stosowania środków bezpieczeństwa fizycznego w celu ich ochrony”,
    • przygotowanie instrukcji „Sposób i trybu przetwarzania informacji niejawnych o klauzuli „Poufne” w podległych komórkach organizacyjnych”,
    • zarządzanie ryzykiem bezpieczeństwa informacji niejawnych, w szczególności szacowanie ryzyka,
    • ujęcie w planie zasadniczych przedsięwzięć jednostki organizacyjnej zadań pionu ochrony,
  • opracowanie projektów i wytycznych do utworzenia i zabezpieczenia pomieszczeń podlegających szczególnej ochronie takich jak:
    • kancelaria tajna lub punkt ewidencji dokumentów niejawnych,
    • bezpieczne stanowisko komputerowe oraz serwerownie,
    • inne pomieszczenia wrażliwe dla bezpieczeństwa jednostki organizacyjnej (przedsiębiorstwa),
  • opracowywanie wytycznych dotyczących ochrony informacji niejawnych stanowiących podstawę do kompleksowego opracowania systemu ochrony informacji niejawnych,
  • określenie podatności na zagrożenia dla ochranianych materiałów niejawnych oraz wynikających z danej podatności zagrożeń,
  • określenie rodzajów zagrożeń oraz powodów i częstotliwości ich występowania,
  • wskazanie kierunków działania w zakresie ochrony informacji niejawnych jednostki organizacyjnej ze szczególnym uwzględnieniem jej potrzeb w zakresie przetwarzanych oraz chronionych informacji niejawnych i kierunków rozwoju jednostki,
  • projektowanie, wdrażanie i utrzymywanie systemów zapewniających bezpieczeństwo fizyczne i teleinformatyczne,
  • określenie szczegółowego zakresu przedmiotowego kontroli problemowej, okresowej lub doraźnej stanu zabezpieczenia informacji niejawnych oraz przeprowadzenie kontroli w jednostce organizacyjnej;

Bezpieczeństwo przemysłowe jednostki organizacyjnej oraz procedury uzyskania świadectwa bezpieczeństwa przemysłowego, które obejmuje:

  • analizę potrzeb jednostki organizacyjnej w zakresie potencjalnych klauzul przetwarzanych informacji niejawnych oraz przygotowanie projektu do przystosowania jednostki organizacyjnej do osiągnięcia zamierzonego Świadectwa Bezpieczeństwa Przemysłowego,
  • dobór odpowiednich stopni Świadectwa Bezpieczeństwa Przemysłowego po prze agregację poziomów dostępu do informacji niejawnych z określeniem zakresu ich przetwarzania,
  • strefowanie obiektów zajmowanych przez jednostkę organizacyjną dla potrzeb organizacji stref ochronnych oraz przygotowanie odpowiednich zabezpieczeń fizycznych tych stref w zależności od klauzuli i stopnia przetwarzanych informacji niejawnych,
  • przygotowanie ustawowo wymaganej dokumentacji ochronnej do zabezpieczenia jednostki organizacyjnej ubiegającej się o Świadectwo Bezpieczeństwa Przemysłowego,
  • organizację obiegu dokumentów niejawnych w oparciu o kancelarię tajną lub w oparciu o punkt ewidencji dokumentów w zależności od stopnia posiadanego Świadectwa Bezpieczeństwa Przemysłowego,
  • prowadzenie ewidencji przedsiębiorców realizujących na rzecz jednostki organizacyjnej umowy lub zadania związane z dostępem do informacji niejawnych,
  • opracowanie Instrukcji Bezpieczeństwa Przemysłowego — jako integralnej części umowy,
  • sprawowanie nadzoru nad realizacją umów, których realizacja wiąże się dostęp do informacji niejawnych;

Bezpieczeństwo teleinformatyczne oraz procedury akredytacji systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych, które obejmuje:

  • przygotowanie systemów i sieci teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych o klauzuli „Poufne” lub wyższej do certyfikacji przez Agencję Bezpieczeństwa Wewnętrznego lub Służbę Kontrwywiadu Wojskowego,
  • przygotowanie do zatwierdzenia przez kierownika jednostki organizacyjnej dokumentacji bezpieczeństwa teleinformatycznego dla systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli „Zastrzeżone”,
  • szacowanie ryzyka dla systemów teleinformatycznych przeznaczonych do przetwarzania informacji niejawnych,
  • opracowanie dokumentacji systemu teleinformatycznego w postaci Szczegółowych Wymagań Bezpieczeństwa Systemu (SWBS) oraz Procedur Bezpiecznej Eksploatacji (PBE) dla systemów i sieci teleinformatycznych przetwarzających informacje niejawne,
  • sprawowanie nadzoru inspektorskiego nad funkcjonującym systemem lub siecią teleinformatyczną,
  • szkolenie użytkowników systemów i sieci teleinformatycznych,
  • sprawdzenie oraz analiza zgodność elementów systemu teleinformatycznego i realizowanych w nim czynności z ustaleniami Szczególnych Wymagań Bezpieczeństwa Systemu, a w tym:
    • oprogramowania systemowego, użytkowego i narzędziowego,
    • konfiguracji sprzętu komputerowego oraz zabezpieczenia sprzętu przed nieuprawnionym dostępem,
    • monitorowania i dokumentowania dostępu do systemu,
    • zgodność ze Szczególnymi Wymaganiami Bezpieczeństwa zabezpieczeń oraz wyposażenia pomieszczenia systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych,
    • prowadzenie dokumentacji inspektora bezpieczeństwa teleinformatycznego, planowanie oraz dokumentowanie kontroli zgodności funkcjonowania systemów teleinformatycznych z ich Szczególnymi Wymaganiami Bezpieczeństwa Systemu oraz Procedurami Bezpiecznej Eksploatacji;

    Bezpieczeństwo osobowe oraz procedury uzyskania poświadczenia bezpieczeństwa osobowego, które obejmuje:

    • przygotowanie i prowadzenie w jednostce organizacyjnej aktualnego wykazu osób zatrudnionych lub pełniących służbę w jednostce organizacyjnej albo wykonujących czynności zlecone związane z dostępem do informacji niejawnych oraz osób którym odmówiono wydania poświadczenia bezpieczeństwa osobowego lub je cofnięto,
    • prowadzenie wykazu osób, które uzyskały pisemne upoważnienie wydane przez Kierownika Jednostki Organizacyjnej na udostępnienie informacji niejawnych o klauzuli „Zastrzeżone”,
    • prowadzenie, jako Pełnomocnik Ochrony Informacji Niejawnych postępowań sprawdzających wobec osób wskazanych przez kierownika jednostki organizacyjnej do ochrony informacji niejawnych,
    • szkolenie osób, które uzyskały poświadczenie bezpieczeństwa osobowego lub upoważnienie do dostępu do informacji niejawnych z zasad ochrony informacji niejawnych wynikających z przepisów ustawy,
    • przestrzeganie terminów informowania organu, który wydał poświadczenie bezpieczeństwa oraz Agencji Bezpieczeństwa Wewnętrznego i Służby Kontrwywiadu Wojskowego o zatrudnieniu na stanowisku osoby legitymującej się odpowiednim poświadczeniem bezpieczeństwa,
    • ewidencję, przechowywanie i archiwizowanie akt postępowań sprawdzających,
    • przepisów w zakresie upoważniania osób do dostępu do informacji niejawnych;

    Bezpieczeństwo fizyczne oraz kompleksowe przygotowanie dokumentacji ochronnej jednostki organizacyjnej – Plan Ochrony Informacji Niejawnych itp., które obejmuje:

    • organizację, przygotowanie oraz funkcjonowanie systemu ochrony fizycznej informacji niejawnych,
    • analizę poziomu zagrożeń dokonanej zgodnie zasadami określonymi w rozporządzeniu Prezesa Rady Ministrów z dnia 29 maja 2012 r. w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczania informacji niejawnych,
    • przygotowanie dokumentacji ochronnej wymaganej przepisami wyżej wymienionego rozporządzenia, to jest:
      • opracowanie „Analizy poziomu zagrożeń oraz dokumentacji określającej poziom zagrożeń związany z nieuprawnionym dostępem do informacji niejawnych lub ich utratą”,
      • opracowanie „Planu ochrony jednostki organizacyjny do zatwierdzenia przez kierownika jednostki organizacyjnej”, w tym „Planu postępowania z materiałami zawierającymi informacje niejawne oznaczone klauzulą „Tajne” lub „Ściśle Tajne” w razie wprowadzenia stanu nadzwyczajnego”,
      • opracowanie dokumentacji dla sił ochronnych i służb dyżurnych, w tym „Instrukcji ruchu osobowo – materiałowego”, „Instrukcji przechowywania kluczy do pomieszczeń służbowych”, „Instrukcji służb ochrony” itp.,
    • kompleksową organizację ochrony informacji niejawnych na podstawie Planu ochrony informacji niejawnych jednostki organizacyjnej,
    • organizację współdziałania w zakresie ochrony informacji niejawnych z Agencją Bezpieczeństwa Wewnętrznego, Służbą Kontrwywiadu Wojskowego, Żandarmerią Wojskową, Policją oraz innymi organami porządkowymi,
    • organizację ochrony konwojowanego mienia i materiałów niejawnych:
      • opracowanie „Instrukcji konwojowania materiałów niejawnych”,
      • opracowanie planu przeprowadzenia konwoju,
    • funkcjonowanie ochrony fizycznej informacji niejawnych oraz szkolenie sił ochronnych:
      • organizacja pełnienia służby wartowniczej (ochronnej), wewnętrznej lub garnizonowej, portierów i dozorców,
      • wytyczne w zakresie wyposażenia sił ochronnych i służb dyżurnych w należny sprzęt i uzbrojenie,
      • organizacja systemu ochrony fizycznej informacji niejawnych w godzinach służbowych i po godzinach służbowych oraz w dniach wolnych od zajęć służbowych,
      • wyznaczenie i zabezpieczenie stref ochronnych,
      • szkolenia sił ochronnych, służb dyżurnych, wart oraz osób funkcyjnych odpowiedzialnych za bezpieczeństwo fizyczne,
    • funkcjonowanie technicznych środków wspomagających ochronę informacji niejawnych w tym ich ilość i stan techniczny:
      • określenie i dostosowanie ilości i zgodność urządzeń i systemów alarmowych z parametrami określonymi w Polskiej Normie oraz Normie Obronnej w aspekcie potrzeb jednostki organizacyjnej,
      • badanie sprawność urządzeń alarmowych, kontroli dostępu, telewizji przemysłowej itp.,
      • konserwacja systemów i urządzeń alarmowych,
    • funkcjonowanie systemu przepustkowego i kontroli dostępu, przechowywanie, wydawanie i zdawanie kluczy i kodów oraz przestrzeganie zasad używania urządzeń do rejestracji, kopiowania lub transmisji obrazu i dźwięku w strefach ochronnych:
      • organizacja i funkcjonowanie systemu przepustkowego i kontroli dostępu,
      • określenie stref ochronnych, a także sposobu ich ochrony,
      • określenie sposobu przechowywania i zabezpieczenia kluczy użytku bieżącego i zapasowych, kodów do zamków szyfrowych oraz kodów systemów alarmowych do pomieszczeń usytuowanych w strefach ochronnych, a także znajdujących się w nich urządzeń do przechowywania dokumentów niejawnych,
      • przestrzeganie zasad używania urządzeń do rejestracji, kopiowania lub transmisji obrazu i dźwięku;

      Wprowadzenie sprawnie działających procedur bezpieczeństwa informacji niejawnych i tajemnic prawnie chronionych przedsiębiorcy, które obejmują:

      • zabezpieczenie pomieszczeń i systemów teleinformatycznych służących do przetwarzania informacji niejawnych,
      • wprowadzanie procedur w zakresie bezpieczeństwa fizycznego oraz procedur organizacyjnych zapewniających skuteczną ochronę informacji niejawnych,
      • reagowanie na fakty naruszania przepisów o ochronie informacji niejawnych, utraty dokumentów niejawnych oraz ujawnienia informacji niejawnych osobom nieupoważnionym,
      • kontrolę stanu ochrony informacji niejawnych w jednostce organizacyjnej;

      Audyt jednostki organizacyjnej oraz ocena ochrony informacji niejawnych i przygotowanie wytycznych do spełnienia wymogów ustawy o ochronie informacji niejawnych, który obejmuje:

      • audyt skuteczności wdrożonych systemów zapewniających bezpieczeństwo fizyczne i teleinformatyczne przetwarzanych informacji niejawnych,
      • analizę poziomu ryzyka i poziomu zagrożeń dla przetwarzanych materiałów niejawnych,
      • audyt bezpieczeństwa informacji,
      • testowanie i kontrola procedur bezpieczeństwa informacji;

      Szkolenie personelu jednostki organizacyjnej w zakresie ochrony informacji niejawnych, które obejmuje:

      • planowanie i realizacja szkolenia z zakresu ochrony informacji niejawnych,
      • szkolenie podstawowe i uzupełniające kadry i pracowników oraz szkolenie specjalistyczne w zakresie ochrony informacji niejawnych dla pionów ochrony,
      • przygotowywanie programów szkolenia oraz prowadzenie ewidencji szkoleniowej dla potrzeb jednostki organizacyjnej,
      • planowanie i prowadzenie szkoleń uzupełniających,
      • prowadzenie szkoleń z zakresu funkcjonowania i przestrzegania procedur bezpieczeństwa fizycznego, przygotowywanie i prowadzenie dokumentacji szkoleniowej oraz materiałów w postaci prezentacji i konspektów szkoleniowych;

      Działalność kancelarii tajnej oraz tajnej zagranicznej (międzynarodowej), które obejmuje:

      • stan zabezpieczenia oraz wyposażenie pomieszczeń kancelaryjnych,
      • fizyczne oddzielenie materiałów o różnych klauzulach tajności oraz przestrzeganie zasady przechowywania dokumentów uzyskanych w ramach realizacji porozumień międzynarodowych odrębnie dla każdego państwa i organizacji międzynarodowej,
      • przygotowanie specjalistyczne kierownika, jego zastępcy oraz pracowników kancelarii tajnej, organizację pracy kancelarii, zakresy działania osób funkcyjnych, przestrzeganie zasad ewidencjonowania dokumentów, wydawania, rozliczania i obiegu dokumentów niejawnych, a także adresowania, zabezpieczania i ekspedycji przesyłek,
      • prowadzenie wykazu osób upoważnionych do dostępu do informacji niejawnych oraz jego bieżąca aktualizacja,
      • przestrzeganie zasad kompletowania i brakowania akt oraz niszczenia dokumentów niejawnych,
      • dokonywanie zmian klauzul tajności na materiałach niejawnych oraz w urządzeniach ewidencyjnych,

      Postępowanie z materiałami niejawnymi w innych komórkach organizacyjnych jednostki przechowujących oraz prowadzących ewidencję materiałów niejawnych. Postępowanie wykonawców z informacjami niejawnymi klasyfikowanie materiałów niejawnych, w tym sposób ich wytwarzania, przetwarzania, ewidencji, oznaczania i niszczenia, które obejmuje:

      • zabezpieczenie i wyposażenie pomieszczeń, w których są przechowywane materiały niejawne,
      • przeszkolenie specjalistyczne personelu z zasad prowadzenie ewidencji materiałów niejawnych,
      • prowadzenie oraz bieżąca aktualizacja wykazu osób upoważnionych do dostępu do informacji niejawnych,
      • przestrzeganie zasad przechowywania, udostępniania i niszczenia materiałów niejawnych,
      • przestrzeganie przepisów w zakresie przechowywania i przekazywania informacji niejawnych,
      • terminowość rozliczania się wykonawców z wytworzonych materiałów niejawnych;
      • przestrzeganie zasad klasyfikowania informacji niejawnych oraz oznaczania dokumentów, w tym klauzulami tajności,
      • zasady wytwarzania, kopiowania, przesyłania i przechowywania materiałów niejawnych,
      • sposoby ewidencjonowania materiałów niejawnych i nadzoru nad ich obiegiem w jednostce organizacyjnej,
      • niszczenie materiałów niejawnych,
      • aktualizację klauzul tajności na materiałach niejawnych oraz w urządzeniach ewidencyjnych.