Minął już pierwszy szok związany z rewolucyjną zmianą systemu ochrony informacji niejawnych. Niestety wieloletnie przyzwyczajenia wywołują szczególnie liczne trudności we właściwym zabezpieczeniu pomieszczeń i stref służących do przetwarzania tego rodzaju tajemnic. Dziś nie ma już jednego „sztampowego” rozwiązania dla wszystkich instytucji i firm, a dobór rodzaju zabezpieczeń oparty na analizie ryzyka pozwala na ich „uszycie na miarę”. Niniejszy artykuł jest zapowiedzią przygotowywanej publikacji, której celem będzie pokazanie jak osiągnąć wymagany prawem poziom ochrony fizycznej informacji niejawnych, przy jak najmniejszych kosztach inwestycji w zabezpieczenia budowlane, mechaniczne i techniczne.
Co mamy chronić?
Przedmiotem ustawowej1 ochrony są informacje, których ujawnienie mogłoby spowodować szkodę dla bezpieczeństwa państwa polskiego [art. 1]. Z uwagi więc na swoją wrażliwość informacje niejawne podlegają szczególnej ochronie przed możliwością wystąpienia takiego nieuprawnionego ujawnienia [art. 8, pkt 2].
Jednak na pierwszy „rzut oka” mówienie o „zabezpieczeniu fizycznym” tajemnic może wywoływać zakłopotanie. Jak coś, co jest z zasady niematerialne mamy ochronić przy wykorzystaniu barier budowlanych, urządzeń mechanicznych czy systemów alarmowych? Tymczasem wśród wielu przewidzianych przez ustawodawcę środków bezpieczeństwa, jedną z najważniejszych ról odgrywa właśnie fizyczna ochrona pomieszczeń, stref i urządzeń2, w których ten rodzaj tajemnic jest, lub może być, przetwarzany [art. 8, art. 45 i inne]. Wszystko to jest efektem pozostania naszej nowej ustawy w okowach minionego słusznie systemu, gdzie informacja „tajna” musiała być zapisana na papierze lub innym trwałym nośniku. Dlatego też tak naprawdę nie chronimy informacji, a jej nośnik – kartki papieru, które są jak najbardziej materialne.
Zgodnie z tak przyjętym podejściem ustawodawcy mówimy tu więc o systemie zabezpieczeń, który musi objąć:
- szafy do przechowywania dokumentów niejawnych,
- szafy do przechowywania elektronicznych nośników informacji niejawnych,
- pomieszczenia kancelarii tajnych (kancelarii niejawnych, punktu obsługi dokumentów zastrzeżonych i innych), w których zlokalizowane są w/w szafy i prowadzone będą czynności kancelaryjne, związane z zarządzaniem obiegu materiałów niejawnych wewnątrz jednostki organizacyjnej,
- pomieszczenia systemu teleinformatycznego służącego do przetwarzania informacji niejawnych,
- obszar przetwarzania informacji niejawnych, tj. pomieszczenia, w których wykonywana będzie praca na dokumentach niejawnych, a wejście do nich może wiązać się z bezpośrednim dostępem do takich materiałów,
- budynek, w którym zlokalizowane są ww. strefy ochronne,
- najbliższe otoczenie budynku3.
Przed czym chronić?
Według ustawodawcy jednostki organizacyjne, w których przetwarzane są informacje niejawne muszą zabezpieczyć je przed możliwością nieuprawnionego dostępu, a w szczególności przed:
- działaniem obcych służb specjalnych,
- zamachem terrorystycznym lub sabotażem,
- kradzieżą lub zniszczeniem materiałów niejawnych,
- próbą wejścia osób nieuprawnionych do pomieszczeń, w których są przetwarzane informacje niejawne,
- nieuprawnionym dostępem do informacji o wyższej klauzuli tajności,
realizując to przy wykorzystaniu środków bezpieczeństwa fizycznego [art. 54 ust 1].
Generalnie mamy więc dwie kategorie zagrożeń. Pierwsza, mocno niezdefiniowane i abstrakcyjne dla większości organizacji terminy – obce służby specjalne, terroryzm czy sabotaż, z którymi nie radzą sobie nawet wyspecjalizowane instytucje państwowe, a co dopiero mały urząd czy przedsiębiorca. I druga, tradycyjne zagrożenia wynikające raczej z pospolitego przestępstwa kradzieży, zdarzenia losowego o charakterze niszczącym lub nieautoryzowanego dostępu.
Jak chronić?
Pozornie oczywisty zakres stosowania zabezpieczeń fizycznych, nie jest już tak prosty do zastosowania w praktyce. Oczywiście jeżeli chcemy optymalizować czas i koszty. Jak więc należy to zaplanować, by było to racjonalne zarządzanie ryzykiem [art. 2 pkt 15–17]?
Zaczynamy od oceny poziomu zagrożeń, który warunkuje minimalne wymagane rodzaje i klasy stosowanych systemów [art. 45]. Zawarta w Rozporządzeniu4 metodologia tej analizy, choć nie jest wzorem do naśladowania, to jednak racjonalnie i szczegółowo przeprowadzona pozwala uzyskać co najmniej średni, a w wielu przypadkach niski wynik. Pozwoli to na jeszcze większą elastyczność w doborze zabezpieczeń.
Następnie, w równie przemyślany sposób, należy wyznaczyć „Strefy Ochronne” [art. 46 pkt 1]. Tak by spełniały swoją rolę, a nie bezmyślnie tworzyły bariery utrudniające przede wszystkim normalne funkcjonowanie jednostki organizacyjnej. Naprawdę nie musimy organizować stref już od drzwi wejściowych do budynku, a już na pewno nie na bramie wejściowej.
(...)
1Ustawa z dnia 5 sierpnia 2010 roku o ochronie informacji niejawnych, (Dz.U. nr 133, poz. 883).
2Ustawodawca przez termin ochrona fizyczna niestety rozumie wszelkie środki, które mają za zadanie zapewnić bezpieczeństwo fizyczne, tj. zabezpieczenia budowlane i mechaniczne, systemy elektroniczne oraz system ochrony sprawowanej przez tzw. personel bezpieczeństwa.
3Patrz: Rozporządzenie Rady Ministrów z dnia 29 maja 2012 roku w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczenia informacji niejawnych, (Dz.U. poz. 683).
Dr Łukasz KISTER – niezależny ekspert bezpieczeństwa, biegły sądowy z zakresu ochrony informacji niejawnych, czynny pełnomocnik ds. ochrony informacji niejawnych i koordynator postępowań bezpieczeństwa przemysłowego w wielu jednostkach organizacyjnych, wykładowca Ośrodka Szkoleniowego Polskiej Izby Systemów Alarmowych.
www.bezpieczneinformacje.pl
