Ustawa o ochronie informacji niejawnych wyznacza warunki, w jakich przetwarzane mogą być informacje niejawne – reguluje kto może mieć do nich dostęp i przy zachowaniu jakich fizycznych oraz technicznych środków ochrony. W jakich zatem warunkach dysk twardy komputera, zawierający informacje, którym nadana została klauzula „ściśle tajne”, “tajne”, „poufne” lub „zastrzeżone” może zostać przekazany specjaliście z zakresu data recovery w celu odzyskania z niego utraconych danych?
Czym są informacje niejawne?
Są to informacje, których nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody dla Rzeczypospolitej Polskiej albo byłoby z punktu widzenia jej interesów niekorzystne, także w trakcie ich opracowywania oraz niezależnie od formy i sposobu ich wyrażania.
Komu można powierzyć informacje niejawne?
Informacje niejawne mogą być udostępnione wyłącznie osobie uprawnionej, zgodnie z posiadanym przez nią poświadczeniem bezpieczeństwa, dającej rękojmię zachowania tajemnicy i tylko w zakresie niezbędnym do wykonywania przez nią pracy lub pełnienia służby na zajmowanym stanowisku albo wykonywania czynności zleconych.
Poświadczenie bezpieczeństwa wydawane jest po przeprowadzeniu postępowania sprawdzającego oraz odbycia szkolenia w zakresie ochrony informacji niejawnych.
Jakie są środki ochrony fizycznej oraz teleinformatycznej w odniesieniu do informacji niejawnych?
Informacje niejawne muszą być przetwarzanie w warunkach uniemożliwiających ich nieuprawnione ujawnienie, odpowiednio do nadanej klauzuli tajności.
Informacje o klauzuli „ściśle tajne” oraz „tajne” mogą być przetwarzane wyłącznie w kancelarii tajnej, odpowiedzialnej za właściwe rejestrowanie, przechowywanie, obieg i wydawanie materiałów uprawnionym osobom (w odniesieniu do informacji oznaczonych jako „poufne” nie ma obowiązku tworzenia kancelarii tajnej, wystarczające jest wydzielenie stref ochronnych). Organizacja pracy kancelarii tajnej zapewnia możliwość ustalenia w każdych okolicznościach, gdzie znajduje się materiał o klauzuli „tajne” lub „ściśle tajne” pozostający w dyspozycji jednostki organizacyjnej oraz kto z tym materiałem się zapoznał.
Jednostki, w których są przetwarzane informacje niejawne, mają obowiązek stosowania także środków bezpieczeństwa fizycznego odpowiedniego do poziomu zagrożeń w celu uniemożliwienia osobom nieuprawnionym dostępu do takich informacji, w szczególności chroniące przed działaniem obcych służb specjalnych, zamachem terrorystycznym lub sabotażem, kradzieżą lub zniszczeniem materiału, próbą wejścia osób nieuprawnionych do pomieszczeń, w których są przetwarzane informacje niejawne, nieuprawnionym dostępem do informacji o wyższej klauzuli tajności niewynikającym z posiadanych uprawnień.
W związku z tym budowa i organizacja kancelarii tajnych musi spełniać szereg warunków technicznych, dających gwarancję bezpieczeństwa informacji niejawnych.
Jeśli chodzi o systemy teleinformatyczne, w których przetwarzane są informacje niejawne – w tym zakresie również musi być zachowany najwyższy poziom bezpieczeństwa – system musi uzyskać świadectwo akredytacji bezpieczeństwa systemu teleinformatycznego.
Informacje niejawne na nośnikach elektronicznych
Jak wynika z powyższego, informacje niejawne przetwarzane mogą być również w systemach teleinformatycznych, zatem zapisywane są także na elektronicznych nośnikach informacji. Należy przyjąć, iż są doskonale zabezpieczone nie tylko przed dostępem osób nieuprawnionych, ale również na wypadek awarii nośników. Trudno zatem wyobrazić sobie sytuację, w której instytucja przetwarzająca informacje najwyższej wagi państwowej traci dostęp do danych na skutek usterki dysków twardych. Można jednak przyjąć, iż przynajmniej teoretycznie sytuacja taka może mieć miejsce.
Czy zatem firmy z branży data recovery mają szansę na odzyskiwanie danych, stanowiących informacje niejawne?
Mają, jednak muszą spełniać określone przepisami warunki. Przede wszystkim warunkiem dostępu przedsiębiorcy do informacji niejawnych w związku z realizacją usługi odzyskiwania danych jest zdolność do ochrony informacji niejawnych. Dokumentem potwierdzającym tę zdolność do ochrony informacji niejawnych o klauzuli „poufne” lub wyższej jest świadectwo bezpieczeństwa przemysłowego, wydawane przez ABW albo SKW po przeprowadzeniu postępowania bezpieczeństwa przemysłowego.
Jednakże, w szczególnie uzasadnionych przypadkach nawet przedsiębiorca nie posiadający odpowiedniego świadectwa, ani w stosunku do którego nie toczy się aktualnie postępowanie sprawdzające może otrzymać pisemną zgodę na jednorazowe udostępnienie określonych informacji niejawnych. Zgody mogą udzielić Szefowie Kancelarii Prezydenta Rzeczypospolitej Polskiej, Sejmu, Senatu lub Prezesa Rady Ministrów albo minister właściwy dla określonego działu administracji rządowej, Prezes Narodowego Banku Polskiego lub kierownik urzędu centralnego, a w przypadku ich braku – Szef ABW albo Szef SKW. W przypadku informacji o randze „zastrzeżone” świadectwo nie jest wymagane.
Prócz spełnienia wielu wymogów formalnych, firma ubiegająca się o świadectwo musi zapewnić odpowiedni poziom ochrony informacji niejawnych – zatem posiadać kancelarię tajną, bądź wyznaczyć strefy ochronne.
W jaki sposób informacje niejawne mogą być przekazane przedsiębiorcy
Przede wszystkim transportem dokumentów na terytorium Polski, zawierających informacje niejawne mogą zajmować się wyłącznie dedykowane do tego jednostki spełniające wymogi w zakresie przetwarzania informacji niejawnych, tj.:
- Poczta specjalna podlegająca ministrowi właściwemu do spraw wewnętrznych, działająca w jednostkach organizacyjnych Policji
- Właściwe jednostki organizacyjne podległe Ministrowi Obrony Narodowej lub Szefowi Kontrwywiadu Wojskowego
- Operatorzy pocztowi, tj. przedsiębiorcy uprawnieni do wykonywania działalności pocztowej
- Przedsiębiorcy uprawnieni do wykonywania działalności w zakresie ochrony osób i mienia
- Przedsiębiorcy uprawnieni do wykonywania działalności w zakresie usług transportowych
Przy czym, z zasady dokumenty o klauzuli „ściśle tajne” lub „tajne” mogą być przewożone wyłącznie przez przewoźnika wskazanego w punktach 1,2 oraz 3 powyżej. W wyjątkowych sytuacjach transport może być realizowany przez pozostałe jednostki.
Informacje niejawne mogą być przekazywane także bez pośrednictwa przewoźnika, jeżeli są one zabezpieczone przed zniszczeniem oraz dostępem osób nieuprawnionych, a przewóz dokonywany jest przez nadawcę lub adresata. Transportowane informacje muszą być oczywiście odpowiednio zapakowane i oznaczone.
Szczegółowe kwestie związane z ochroną informacji niejawnych reguluje ustawa z dnia 5 sierpnia 2010r. o ochronie informacji niejawnych oraz wydanych na jej podstawie aktów wykonawczych.