Dokumentacja w zakresie ochrony informacji niejawnych w jednostce organizacyjnej – Plan ochrony informacji niejawnych

Informacja w administracji publicznej | 04/2015
Ryszard Marek

Jednostka organizacyjna, w której przetwarzane są informacje niejawne, zobligowana jest do przedsięwzięcia szeregu czynności faktycznych i prawnych, mających na celu zapewnić bezpieczeństwo tej kategorii informacji przed ich nieuprawnionym ujawnieniem. Ustawa o ochronie informacji niejawnych przewiduje w tym zakresie obowiązek tzw. ciągłego działania, począwszy od etapu planowania, przez etap realizacji, aż po etap monitorowania wszelkich czynności dotyczących przetwarzania informacji niejawnych. Celem niniejszego artykułu jest omówienie jednego z najważniejszych dokumentów niejawnych przedstawiających organizację ochrony informacji niejawnych przewidzianych przez powołaną na wstępie ustawę oraz przepisy wykonawcze. W zakresie obowiązków dotyczących etapu planowania ustawa o ochronie informacji niejawnych nakłada na kierownika jednostki organizacyjnej oraz pełnomocnika ds. ochrony informacji niejawnych w tej jednostce obowiązek sporządzenia i wprowadzenia w życie kilku dokumentów dotyczących zasad ochrony i przetwarzania informacji niejawnych. Ustawodawca wyszedł ze słusznego założenia, że wcześniejsze zaplanowanie pewnych kluczowych kwestii dotyczących zasad ochrony i przetwarzania danych wrażliwych, którymi są informacje niejawne w rozumieniu powołanej na wstępie ustawy, pozwoli na zminimalizowanie ryzyka związanego z nieuprawnionym ujawnieniem tych danych. W konsekwencji odpowiednie zaplanowanie zasad dotyczących ochrony informacji niejawnych uchroni jednostkę organizacyjną lub też inne interesy prawnie chronione zdefiniowane w ustawie przed wystąpieniem szkody. Jednym z zasadniczych obowiązków pełnomocnika ds. ochrony informacji niejawnych w jednostce organizacyjnej jest opracowanie planu ochrony informacji niejawnych (art. 15 ust. 1 pkt 5 ustawy z 5.8.2010 r. o ochronie informacji niejawnych (Dz.U. z 2010 r. Nr 182, poz. 1228 ze zm.; dalej: OchrInfU). Powołany przepis stanowi jednoznacznie, że plan ten wymaga akceptacji kierownika jednostki organizacyjnej, co w praktyce oznacza, że będzie on musiał być zatwierdzony przez niego w formie obowiązującej w danej jednostce organizacyjnej. W jednostkach administracji publicznej będzie to – co do zasady – forma zarządzenia kierownika jednostki organizacyjnej. Nie można wszakże wykluczyć innej formy „akceptacji” przez kierownika jednostki organizacyjnej, jeśli inną formę przewiduje statut jednostki lub jej regulamin wewnętrzny. Należy w tym aspekcie pamiętać, że każda czynność kierownika jednostki organizacyjnej podejmowana w zakresie OchrInfU musi posiadać formę prawną usankcjonowaną przez tę ustawę, jeśli zaś forma ta nie jest w tym akcie prawnym określona, należy sięgnąć do zasad ogólnych obowiązujących w tej materii, określonych w ustawach oraz aktach wewnętrznych (statut, regulamin organizacyjny). Ustawa wymaga, aby plan ochrony informacji niejawnych był aktualizowany, nie wskazuje jednak, w jakim zakresie oraz w jakim czasie. Analizując jednakowoż pozostałe przepisy ustawy, należy jednoznacznie przyjąć, że pełnomocnik ds. ochrony informacji niejawnych będzie zobligowany do bezzwłocznej aktualizacji planu, gdy wystąpi zmiana faktyczna lub prawna choćby jednego elementu zawartego w tym planie. Chodzi o to, by rozwiązania zawarte w tym dokumencie odzwierciedlały aktualny stan faktyczny i prawny funkcjonujący w danej jednostce organizacyjnej w zakresie ochrony informacji niejawnych.

Przykład Jeżeli w danej jednostce organizacyjnej od chwili wprowadzenia w życie planu, zmieni się wewnętrzna struktura jednostki, fakt ten powinien znaleźć niezwłocznie odzwierciedlenie w palnie ochrony informacji niejawnych.
Pełnomocnik ds. ochrony informacji niejawnych musi również nadzorować realizację planu w jednostce organizacyjnej. Oznacza to, że musi podejmować wszelkie niezbędne czynności wobec innych pracowników, którym w planie ochrony informacji niejawnych powierzono do wykonania czynności związane z przetwarzaniem informacji niejawnych, zmierzające do ustalenia, czy powierzone obowiązki i zadania wykonywane są przez nich prawidłowo i terminowo. Szczegółowa struktura oraz konstrukcja planu ochrony informacji niejawnych, określona jest w przepisach wykonawczych wydanych do Ochr­InfU, tj. w rozporządzeniu Rady Ministrów z 29.5.2012 r. w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczania informacji niejawnych (Dz.U. z 2012 r. poz. 683). Przywołany akt prawny w § 9 ust. 1 potwierdza zasadę wyrażoną w OchrInfU, że plan ochrony informacji niejawnych wymaga zatwierdzenia przez kierownika jednostki organizacyjnej. W tym miejscu należy podkreślić, że formalne „zatwierdzenie” planu przez kierownika jednostki organizacyjnej jest elementem niezbędnym do tego, by plan ten wszedł w życie; bez formalnego zatwierdzenia będziemy mieli do czynienia jedynie z „projektem” planu. Jeżeli zaś chodzi o samą strukturę i treść planu ochrony informacji niejawnych – przepisy przywołanego aktu wykonawczego do OchrInfU, szczegółowo określają te kwestie. Plan ochrony informacji niejawnych w jednostce organizacyjnej powinien zawierać następujące elementy:
1) opis stref ochronnych, pomieszczeń lub obszarów, stanowiących strefy ochronne I lub II stopnia, w tym określenie ich granic i wprowadzonego systemu kontroli dostępu; 2) procedury zarządzania uprawnieniami do wejścia, wyjścia i przebywania w strefach ochronnych; 3) opis zastosowanych środków bezpieczeństwa fizycznego uwzględniający certyfikaty oraz poświadczenia, o których stanowi OchrInfU; 4) procedury bezpieczeństwa dla strefy ochronnej I, strefy ochronnej II oraz specjalnej strefy ochronnej, określające w szczególności:
a) klauzule tajności informacji niejawnych przetwarzanych w danej strefie, b) sposób sprawowania nadzoru przez osoby uprawnione w przypadku przebywania w strefie osób nieposiadających stałego upoważnienia do wstępu oraz sposób zabezpieczania przetwarzanych informacji niejawnych przed możliwością nieuprawnionego dostępu tych osób, c) w przypadku specjalnej strefy ochronnej, sposób akceptacji umieszczania linii komunikacyjnych, telefonów, innych urządzeń komunikacyjnych, sprzętu elektrycznego lub elektronicznego, znajdujących się w strefie;
5) procedury zarządzania kluczami i kodami dostępu do szaf, pomieszczeń lub obszarów, w których są przetwarzane informacje niejawne; 6) procedury reagowania osób odpowiedzialnych za ochronę informacji niejawnych oraz personelu bezpieczeństwa w przypadku zagrożenia utratą lub ujawnieniem informacji niejawnych; 7) plany awaryjne uwzględniające potrzebę ochrony informacji niejawnych w razie wystąpienia sytuacji szczególnych, w tym wprowadzenia stanów nadzwyczajnych, w celu zapobieżenia utracie poufności, integralności lub dostępności informacji niejawnych; 8) elementy dodatkowe (w przypadkach uzasadnionych organizacją ochrony informacji niejawnych w jednostce organizacyjnej).
Należy jednoznacznie zaakcentować, że plan ochrony informacji niejawnych w jednostce organizacyjnej musi zawierać wszystkie wyżej wymienione elementy. Brak któregokolwiek z elementów będzie oznaczał, że plan jest niekompletny, co w konsekwencji może prowadzić do powstania poważnych luk, czyli obszarów pozostających poza kontrolą w zakresie ryzyka nieuprawnionego ujawnienia informacji niejawnych osobom trzecim. Oprócz elementów obligatoryjnych plan może zawierać elementy dodatkowe, jeśli pełnomocnik ds. ochrony informacji niejawnych dojdzie do przekonania, że jest to uzasadnione ważnymi względami wynikającymi np. ze specyficznej struktury organizacyjnej jednostki lub też z umiejscowienia siedziby i otoczenia budynku jednostki, w którym są przetwarzane informacje niejawne.