F-tec.pl

Ochrona informacji niejawnych – kluczowe zasady i procedury (poradnik)


Czym są informacje niejawne?

Informacje niejawne to dane, których nieuprawnione ujawnienie mogłoby wyrządzić szkodę Rzeczypospolitej Polskiej albo byłoby z punktu widzenia jej interesów niekorzystne – niezależnie od tego, czy są zapisane na papierze, w pliku, czy przekazane ustnie. Zasady ich ochrony wynikają z polskich przepisów, przede wszystkim z ustawy o ochronie informacji niejawnych.


Klauzule tajności

W Polsce wyróżnia się 4 klauzule tajności. Im wyższa klauzula, tym większe wymagania organizacyjne i techniczne.

  • ŚCIŚLE TAJNE – ujawnienie spowodowałoby wyjątkowo poważną szkodę dla państwa.
  • TAJNE – ujawnienie spowodowałoby poważną szkodę.
  • POUFNE – ujawnienie spowodowałoby szkodę.
  • ZASTRZEŻONE – ujawnienie może mieć szkodliwy wpływ na wykonywanie zadań przez organy/publiczne instytucje.

Kto ma dostęp do klauzuli ZASTRZEŻONE?

Podstawowa zasada brzmi: dostęp tylko dla osób uprawnionych i tylko w zakresie niezbędnym do pracy (często nazywane „need-to-know”).

Klauzula „Zastrzeżone” – co jest wymagane:

  • pisemne upoważnienie wydane przez kierownika jednostki organizacyjnej – gdy osoba nie ma poświadczenia bezpieczeństwa,
  • odbycie szkolenia w zakresie ochrony informacji niejawnych,
  • spełnienie zasady „need to know” (osoba wskazana w dekretacji).

Poświadczenie bezpieczeństwa nie jest „konieczne” do samego „zastrzeżone”.
Jeśli ktoś ma ważne poświadczenie (np. „poufne” lub wyżej), to w praktyce spełnia ono rolę podstawy dostępu również do niższych klauzul – ABW wskazuje, że dokumentem uprawniającym do „zastrzeżone” może być także ważne poświadczenie.

Szkolenie = warunek realnego dostępu.
Bez szkolenia nie powinno się dopuszczać do informacji niejawnych (ABW wprost podkreśla, że bez znajomości zasad i procedur dostęp nie jest możliwy). Szkolenie przeprowadza się nie rzadziej niż raz na 5 lat (chyba że osoba przedstawi aktualne zaświadczenie – wtedy można odstąpić od ponownego szkolenia).

Kto ma dostęp do klauzuli POUFNE, TAJNE, ŚCIŚLE TAJNE?

Klauzula „poufne”, „tajne”, „ściśle tajne” – co jest wymagane:

  • odpowiednie poświadczenie bezpieczeństwa,
  • odbycie szkolenia w zakresie ochrony informacji niejawnych,
  • spełnienie zasady „need to know” (osoba wskazana w dekretacji).

Postępowanie sprawdzające poprzedza poświadczenie.
Poświadczenie jest wydawane po pozytywnym wyniku postępowania sprawdzającego (zwykłego albo poszerzonego – w zależności od poziomu dostępu).

Ankieta bezpieczeństwa osobowego – standardowy element procedury
W praktyce postępowanie sprawdzające opiera się m.in. o ankietę bezpieczeństwa osobowego (formularz ustawowy).

Szkolenie. Poza poświadczeniem, osoba musi odbyć szkolenie w zakresie ochrony informacji niejawnych. Szkolenie przeprowadza się nie rzadziej niż raz na 5 lat (chyba że osoba przedstawi aktualne zaświadczenie – wtedy można odstąpić od ponownego szkolenia).

Ważność poświadczenia:

  • „POUFNE” – 10 lat
  • „TAJNE” – 7 lat
  • „ŚCIŚLE TAJNE” – 5 lat

„Need-to-know” w praktyce.
Poświadczenie nie oznacza „dostępu do wszystkiego”. Organizacyjnie dostęp powinien być nadawany tylko w zakresie niezbędnym do realizacji zadań (minimalizacja zakresu i osób).

Kto odpowiada za ochronę informacji niejawnych?

Kierownik jednostki
Kierownik jednostki organizacyjnej, w której są przetwarzane informacje niejawne, odpowiada za ich ochronę, w szczególności za zorganizowanie i zapewnienie funkcjonowania tej ochrony.

Pełnomocnik ds. ochrony informacji niejawnych (pełnomocnik ochrony)
Pełnomocnik ochrony odpowiada za zapewnienie przestrzegania przepisów o ochronie informacji niejawnych.

Do zadań pełnomocnika ochrony należą m.in.:

  • zapewnienie ochrony informacji (w tym środki bezpieczeństwa fizycznego),
  • zapewnienie ochrony systemów teleinformatycznych,
  • zarządzanie ryzykiem (w tym szacowanie ryzyka),
  • kontrola ochrony informacji i przestrzegania przepisów (w tym co najmniej raz na 3 lata kontrola ewidencji, materiałów i obiegu),
  • opracowanie i aktualizacja planu ochrony informacji niejawnych (wymaga akceptacji kierownika) i nadzór nad realizacją,
  • prowadzenie szkoleń,
  • prowadzenie zwykłych i kontrolnych postępowań sprawdzających,
  • prowadzenie wykazu osób uprawnionych/odmowy/cofnięcia oraz przekazywanie danych do ewidencji ABW/SKW.

Kto nadzoruje?

ABW i SKW – zasadniczy nadzór nad systemem (kontrole + bezpieczeństwo TI+ sprawdzenia)

Ustawa wprost wskazuje, że ABW i SKW nadzorują funkcjonowanie systemu ochrony informacji niejawnych w jednostkach pozostających w ich właściwości. W ramach tego nadzoru:

  • prowadzą kontrolę ochrony informacji niejawnych i przestrzegania przepisów,
  • realizują zadania w zakresie bezpieczeństwa systemów teleinformatycznych (czyli nadzór/oceny związane z przetwarzaniem niejawnych w TI),
  • prowadzą postępowania sprawdzające i kontrolne postępowania sprawdzające, a także postępowania bezpieczeństwa przemysłowego (dla przedsiębiorców),
  • oraz (osobno, jako element zadań systemowych) zapewniają ochronę informacji niejawnych wymienianych międzynarodowo.

Kiedy ABW, a kiedy SKW?
To zależy od “właściwości” wskazanej w ustawie (w uproszczeniu: SKW dla określonych jednostek obszaru wojskowego/obronnego, a ABW dla pozostałych podmiotów).

Nadzór w jednostce/firmie/urzędzie (kto pilnuje „na miejscu”)

Kierownik jednostki organizacyjnej – ponosi odpowiedzialność za zorganizowanie i zapewnienie funkcjonowania ochrony informacji niejawnych w jednostce (czyli „najwyższy nadzór” wewnętrzny).

Pełnomocnik do spraw ochrony informacji niejawnych – podlega bezpośrednio kierownikowi i nadzoruje realizację zadań ochronnych w jednostce (m.in. wdrożenie i kontrolę planu ochrony, obieg/ewidencję, szkolenia, kontrole)

Tagged on: , ,
By ftec.pl | 12 stycznia, 2026 | Wiedza |