Odp. na pytania SPECJALNOŚCIOWE, materiały szkolne


Pytania specjalnościowe

1. Co to są informacje niejawne, jak się dzielą i kto nadaje klauzule tajności?

termin ten oznacza informację, która wymaga ochrony przed nieuprawnionym ujawnieniem, niezależnie od formy i sposobu jej wyrażenia, także w trakcie jej opracowania.

Informacjom niejawnym nadaje się klauzulę:

Kto nadaje klauzule

 Zgodnie z art. 6 ust. 1 ustawy klauzulę tajności nadaje osoba, która jest uprawniona do podpisania dokumentu lub oznaczenia innego niż dokument materiału.

2. Proszę wymienić i omówić podstawowe akty prawne dotyczące ochrony informacji niejawnych.

Ustawa określa zasady ochrony informacji, których nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody dla Rzeczypospolitej Polskiej albo byłoby z punktu widzenia jej interesów niekorzystne, także w trakcie ich opracowywania oraz niezależnie od formy i sposobu ich wyrażania, zwanych dalej „informacjami niejawnymi”.

Ustawa regulująca kwestie prawne związane z ochroną danych osobowych. Ustawa określa: zasady przetwarzania danych osobowych osób fizycznych; prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych; organy ochrony danych osobowych; kompetencje GIODO; zasady zabezpieczania danych osobowych; zasady rejestracji zbiorów danych osobowych; zasady przekazywania danych osobowych do państwa trzeciego.

3. na czym polega audyt bezpieczeństwa informacji niejawnych i kto go przeprowadza?

Audytem nazywane są czynności mające na celu zweryfikowanie stanu faktycznego ze szczegółowo określonymi wymaganiami/założeniami. Audyt zawsze dotyczy uprzednio określonego obszaru. Można rozróżnić dwa rodzaje audytu:

- wewnętrzny,

- zewnętrzny.

W przypadku starania się o uzyskanie akredytacji bezpieczeństwa teleinformatycznego (zwanej dalej akredytacją), rozumianej jako dopuszczenie systemu teleinformatycznego do przetwarzania informacji niejawnych, mamy do czynienia z audytem zewnętrznym. Zgodnie z definicją ustawy o ochronie informacji niejawnych - audytem bezpieczeństwa systemu teleinformatycznego (zwanego dalej audytem) jest weryfikacja poprawności realizacji wymagań i procedur, określonych w dokumentacji bezpieczeństwa systemu teleinformatycznego. Ogólnie rzecz biorąc jest to weryfikacja stanu faktycznego z zapisami zatwierdzonej dokumentacji bezpieczeństwa, którą stanowią szczególne wymagania bezpieczeństwa - w skrócie SWB i procedury bezpiecznej eksploatacji - w skrócie PBE, opracowane dla systemu teleinformatycznego. Audyt jest ostatnim etapem akredytacji i może nastąpić po zatwierdzeniu przez odpowiednią służbę (w sferze cywilnej ABW, w sferze wojskowej SKW) dokumentacji bezpieczeństwa. Audyt jest zawsze przeprowadzany w przypadku akredytacji systemu teleinformatycznego organizowanego w celu przetwarzania informacji niejawnych oznaczonych klauzulą „tajne” i „ściśle tajne”, natomiast w przypadku klauzuli „poufne”  ustawa o ochronie informacji niejawnych (art. 48 ust. 8) stanowi że ABW  albo SKW może odstąpić od przeprowadzenia audytu. Natomiast w przypadku systemów teleinformatycznych organizowanych w celu przetwarzania informacji niejawnych oznaczonych klauzulą „Zastrzeżone” audytów nie przeprowadza się. Podstawą przeprowadzenia audytu jest wniosek o audyt (wniosek WA) dostępny do pobrania ze strony internetowej służby udzielającej akredytacji.

W wyniku przeprowadzonego audytu ABW albo SKW wydaje świadectwo akredytacji bezpieczeństwa systemu teleinformatycznego. Gdy w wyniku przeprowadzonego audytu zostaną stwierdzone niezgodności, ABW albo SKW może przedstawić wymagania lub zalecenia do wdrożenia lub może nawet odmówić udzielenia akredytacji. W przypadku przedstawienia wymagań lub zaleceń może być przeprowadzony ponowny audyt weryfikujący poprawność ich wdrożenia.

4. na czym polega kontrola okresowa stanu ochrony informacji niejawnych?

Ustawa z dnia 5.8.2010 r. o ochronie informacji niejawnych zobowiązuje wskazane w tej ustawie instytucje do kontroli zgodności wytwarzania i przetwarzania informacji niejawnych z przepisami tej ustawy. Zgodnie z tą ustawą funkcję krajowej władzy bezpieczeństwa pełni Szef Agencji Bezpieczeństwa Wewnętrznego (ABW).

Celem kontroli jest sprawdzenie i ocena stanu przestrzegania przepisów o ochronie informacji niejawnych, w tym:

- zapewnienie zgodnego z obowiązującymi przepisami postępowania z dokumentami niejawnymi przez wykonawców;

- eliminowanie stwierdzonych niedociągnięć i nieprawidłowości w zakresie wytwarzania, przechowywania i obiegu dokumentów niejawnych;

- ustalenie przyczyn ujawnionych naruszeń zasad ochrony informacji niejawnych;

- formułowanie wniosków i zaleceń w sprawie doskonalenia systemu ochrony

informacji niejawnych;

- wyrabianie u wykonawców właściwych nawyków w postępowaniu z dokumentami niejawnymi.

Rozróżniamy następujące rodzaje kontroli ochrony informacji niejawnych:

- kontrolę bieżącą;

- kontrolę wyrywkową;

- kontrolę półroczną;

- kontrolę roczną.

Kontrolę bieżącą

prowadzą przełożeni w stosunku do swoich podwładnych oraz piony ochrony w danej jednostce organizacyjnej. Ma ona na celu sprawowanie ciągłego nadzoru nad przestrzeganiem przez wykonawców i wykonawców technicznych zasad postępowania z materiałami zawierającymi informacje niejawne, w tym:

- wskazywanie ewentualnych niedociągnięć podwładnym (wykonawcom);

- egzekwowanie usuwania na bieżąco tych nieprawidłowości;

- bezpośrednie informowanie i udzielanie praktycznych wskazówek wykonawcom dotyczących eliminowania błędów i nieprawidłowości w wytwarzaniu, przechowywaniu i obiegu dokumentów niejawnych.

Fakt przeprowadzenia kontroli odnotowuje się w dzienniku kontrolowanego wykonawcy. Wpis powinien zawierać: datę przeprowadzonej kontroli, imię i nazwisko kontrolującego oraz wyniki kontroli. Ponadto problemy wymagające rozwiązania bezpośredni przełożeni oraz pracownicy pionu ochrony przedstawiają pełnomocnikowi do spraw ochrony informacji niejawnych.

Kontrolę wyrywkową

realizują piony ochrony w stosunku do komórek organizacyjnych, komórek wewnętrznych i samodzielnych stanowisk w danej jednostce organizacyjnej. Jest ona prowadzona na podstawie planu (harmonogramu) kontroli zatwierdzonego przez kierownika danej jednostki organizacyjnej i ma na celu:

- sprawdzenie zgodności ze stanem ewidencyjnym nośników Informacji stanowiących tajemnicę państwową oraz uzyskanych w drodze wymiany międzynarodowej przez wykonawców;

- sprawdzenie przestrzegania przez kontrolowanych przepisów o ochronie informacji niejawnych w zakresie ewidencji, wytwarzania, przechowywania i obiegu dokumentów.

Kontrolę półroczną

prowadzą przełożeni w stosunku do podległych wykonawców i wykonawców technicznych w celu:

- sprawdzenia zgodności ze stanem ewidencyjnym nośników informacji niejawnych posiadanych przez wykonawców;

- sprawdzenia przestrzegania przepisów o ochronie informacji niejawnych w zakresie wytwarzania, ewidencji, przechowywania i niszczenia nośników informacji niejawnych;

- wykonania zaleceń pokontrolnych z wcześniej przeprowadzonych kontroli stanu ochrony informacji niejawnych.

W razie nieobecności wykonawcy (wykonawcy technicznego) w czasie kontroli przeprowadza się ją bezpośrednio po jego powrocie do jednostki organizacyjnej.

Kontrola roczna

jest podstawową formą sprawdzenia realizacji zadań w dziedzinie ochrony informacji niejawnych w danej jednostce organizacyjnej.

Prowadzi ją komisja wyznaczona rozkazem wewnętrznym (decyzją) kierownika jednostki organizacyjnej w terminie do końca lutego następnego roku kalendarzowego.

W jednostce organizacyjnej, w której oprócz kancelarii tajnej funkcjonują jej filie, mogą być powoływane podkomisje przeprowadzające ich kontrole oraz wykonawców przez nie obsługiwanych.

Celem kontroli jest sprawdzenie przestrzegania przepisów o ochronie informacji niejawnych oraz zgodności stanu faktycznego materiałów niejawnych ze stanem ewidencyjnym na podstawie takich urządzeń (trwałych, pomocniczych), jak:

- rejestr teczek dokumentów niejawnych;

- dzienniki korespondencji;

- książki ewidencji wydawnictw, dokumentacji technicznej oraz materiałów filmowych;

- książki ewidencji pieczęci;

- rejestr wydanych dokumentów;

- metryka elektronicznego nośnika informacji;

- dziennik ewidencji wykonanych dokumentów.

Sprawdzenie prawidłowości wydzielenia materiałów niejawnych mających wartość archiwalną polega na zapoznaniu się z:

- "Rzeczowym wykazem akt";

- Instrukcją o zasadach archiwizacji (A - archiwalne; B - czasowego przechowywania, Bc - niearchiwalne);

- poprawnością (zgodnością z przepisami) niszczenia materiałów niejawnych niemających wartości archiwalnej.

5. Jakie najważniejsze przepisy prawne w ustawodawstwie krajowym regulują ochronę informacji?

  1. Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych - Dz. U. z 2010 r. Nr 182, poz.1228 z późn zm.;

  2. Obwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiej z dnia 9 lutego 2010 r. w sprawie ogłoszenia jednolitego tekstu ustawy o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu - Dz. U. z 2010 r. Nr 29, poz. 154 z późn. zm.;

  3. Rozporządzenie Prezesa Rady Ministrów z dnia 28 grudnia 2010 r. w sprawie przekazywania informacji, udostępniania dokumentów oraz udzielania pomocy służbom i instytucjom uprawnionym do prowadzenia poszerzonych postępowań sprawdzających, kontrolnych postępowań sprawdzających oraz postępowań bezpieczeństwa przemysłowego - Dz. U. 2010 r. Nr 258, poz. 1750;

  4. Rozporządzenie Rady Ministrów z dnia 7 grudnia 2011 r. w sprawie organizacji i funkcjonowania kancelarii tajnych oraz sposobu i trybu przetwarzania informacji niejawnych - Dz. U. z 2011 r. Nr 276, poz. 1631oraz z 2013 r. poz. 11.

  5. Rozporządzenie Prezesa Rady Ministrów z dnia 22 grudnia 2011 r. w sprawie sposobu oznaczania materiałów i umieszczania na nich klauzul tajności - Dz. U. z 2011 r. Nr 288, poz. 1692;

  6. Rozporządzenie Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie wzoru świadectwa akredytacji bezpieczeństwa systemu teleinformatycznego - Dz. U. z 2011 r. Nr 156, poz. 926;

  7. Rozporządzenie Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego - Dz. U. z 2011 r. Nr 159, poz. 948;

  8. Rozporządzenie Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie opłat za przeprowadzenie przez Agencję Bezpieczeństwa Wewnętrznego albo Służbę Kontrwywiadu Wojskowego czynności z zakresu bezpieczeństwa teleinformatycznego - Dz. U. z 2011 r. Nr 159, poz. 949;

  9. Rozporządzenie Prezesa Rady Ministrów z dnia 7 grudnia 2011 r. w sprawie nadawania, przyjmowania, przewożenia, wydawania i ochrony materiałów zawierających informacje niejawne - Dz. U. z 2011 r. Nr 271, poz. 1603;

  10. Rozporządzenie Prezesa Rady Ministrów z dnia 27 kwietnia 2011 r. w sprawie przygotowania i przeprowadzania kontroli stanu zabezpieczenia informacji niejawnych - Dz. U. z 2011 r. Nr 93, poz. 541;

  11. Rozporządzenie Rady Ministrów z dnia 29 maja 2012 r. w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczania informacji niejawnych - Dz. U. z 2012 r. poz. 683;

  12. Rozporządzenie Prezesa Rady Ministrów z dnia 28 grudnia 2010 r. w sprawie wzorów zaświadczeń stwierdzających odbycie szkolenia w zakresie ochrony informacji niejawnych oraz sposobu rozliczania kosztów przeprowadzenia szkolenia przez Agencję Bezpieczeństwa Wewnętrznego lub Służbę Kontrwywiadu Wojskowego - Dz. U. 2010 r. Nr 258, poz. 1751;

  13. Rozporządzenie Prezesa Rady Ministrów z dnia 28 grudnia 2010 r. w sprawie wzorów poświadczeń bezpieczeństwa - Dz. U. z 2010 r. Nr 258, poz. 1752;

  14. Rozporządzenie Prezesa Rady Ministrów z dnia 28 grudnia 2010 r. w sprawie wzoru decyzji o odmowie wydania poświadczenia bezpieczeństwa - Dz. U. z 2010 r. Nr 258, poz. 1753;

  15. Rozporządzenie Prezesa Rady Ministrów z dnia 28 grudnia 2010 r. w sprawie wzoru decyzji o cofnięciu poświadczenia bezpieczeństwa - Dz. U. z 2010 r. Nr 258, poz. 1754;

  16. Rozporządzenie Rady Ministrów z dnia 5 kwietnia 2011 r. w sprawie wzorów kwestionariusza bezpieczeństwa przemysłowego, świadectwa bezpieczeństwa przemysłowego, decyzji o odmowie wydania świadectwa bezpieczeństwa przemysłowego oraz decyzji o cofnięciu świadectwa bezpieczeństwa przemysłowego Dz.U. z 2011 r., Nr 86, poz. 470 - Dz. U. z 2011 r. Nr 86, poz. 470;

  17. Rozporządzenie Prezesa Rady Ministrów z dnia 22 marca 2011 r. w sprawie wysokości i trybu zwrotu zryczałtowanych kosztów ponoszonych przez Agencję Bezpieczeństwa Wewnętrznego albo Służbę Kontrwywiadu Wojskowego za przeprowadzenie sprawdzenia przedsiębiorcy oraz postępowań sprawdzających - Dz. U. z 2011 r. Nr 67, poz. 356;

  18. Rozporządzenie Prezesa Rady Ministrów z dnia 4 października 2011 r. w sprawie współdziałania Szefa Agencji Bezpieczeństwa Wewnętrznego i Szefa Służby Kontrwywiadu Wojskowego w zakresie wykonywania funkcji krajowej władzy bezpieczeństwa - Dz. U. 2011 r. Nr 220, poz. 1302;

  19. Rozporządzenie Ministra Sprawiedliwości z dnia 20 lutego 2012 r. w sprawie sposobu postępowania z protokołami przesłuchań i innymi dokumentami lub przedmiotami, na które rozciąga się obowiązek zachowania w tajemnicy informacji niejawnych albo zachowania tajemnicy związanej z wykonywaniem zawodu lub funkcji - Dz. U. z 2012 r. Nr 0, poz. 219

  20. Ustawa z dnia 6 czerwca 1997 r. Kodeks karny - Dz. U. z 1997 r. Nr 88, poz. 553 z późn. zm.;

  21. Obwieszczenie Marszałka Sejmu Rzeczypospolitej Polskiej z dnia 30 stycznia 2013 r. w sprawie ogłoszenia jednolitego tekstu ustawy − Kodeks postępowania administracyjnego - Dz. U. z 2013 r. poz. 267;

  22. Decyzja Nr 175/MON z dnia 5 czerwca 2012 r. w sprawie bezpośredniego podporządkowania jednostek organizacyjnych podległych Ministrowi Obrony Narodowej lub przez niego nadzorowanych - Dz. Urz. MON z 2012, Nr 175, poz. 214

6. omów najważniejsze przestępstwa przeciwko ochronie informacji niejawnych.

Według kodeksu karnego rozdziału 36 „przestępstwa przeciwko ochronie informacji niejawnych” najcięższe przestępstwa to:

7. jakie przepisy regulują kwestie związane z bezpieczeństwem informacji niejawnych w NATO i UE?

Przepisy bezpieczeństwa NATO uregulowane są w dokumencie C-M(2002)49 z dnia 17 czerwca 2002 r. -"Bezpieczeństwo w ramach organizacji Traktatu Północnoatlantyckiego" z późn. zm oraz dyrektywach wykonawczych:

Przepisy bezpieczeństwa Unii Europejskiej uregulowane są w Decyzji Rady Unii Europejskiej (2011/292/UE z dnia 31 marca 2011 r.) oraz w Decyzji Komisji Europejskiej (2001/844/EC z dnia 29 listopada 2001 r.).

8. Jakie są warunki dostępu do informacji niejawnych w NATO i UE?

Klauzule tajności NATO / EU:

Warunki dostępu do informacji NATO i UE oznaczonych klauzulą RESTRICTED:

Warunki dostępu do informacji NATO i UE oznaczonych klauzulą CONFIDENTIAL lub wyższą:

Poświadczenia bezpieczeństwa mają zastosowanie w obrocie krajowym. W obrocie zagranicznym dokumentem potwierdzającym spełnienie warunków bezpieczeństwa w zakresie ochrony informacji niejawnych międzynarodowych jest zaświadczenie w języku angielskim wydane przez Szefa ABW pełniącego funkcję Krajowej Władzy Bezpieczeństwa.

9. Jaka jest rola GIODO w systemie ochrony danych osobowych?

Organem do ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych. Czuwa nad przestrzeganiem prawa obywateli do ochrony ich danych osobowych. Generalny Inspektor kontroluje zgodność przetwarzania danych z przepisami o ochronie danych osobowych. Wydaje decyzje administracyjne i rozpatruje skargi w sprawach wykonywanych przepisów o ochronie danych osobowych. Jest odpowiedzialny za prowadzenie rejestru zbiorów danych oraz udziela informacji o zarejestrowanych zbiorach. Ponadto opiniuje projekty ustaw i rozporządzeń dotyczących ochrony danych osobowych oraz inicjuje i podejmuje wszelkie przedsięwzięcia w zakresie doskonalenia ochrony danych osobowych. Uczestniczy w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.

Od 4 sierpnia 2010 r. GI jest dr Wojciech Rafał Wiewiórkowski.

10. Jakie są zadania administratora danych osobowych i kto może nim być?

Administrator danych (AD) - termin prawniczy, który w prawie polskim został zdefiniowany w ustawie z dnia 29 sierpnia 1997 roku o ochronie danych osobowych. W praktyce często stosowane jest określenie administrator danych osobowych (ADO). Oznacza organ, jednostkę organizacyjną, podmiot lub osobę decydujące (samodzielnie) o celach i środkach przetwarzania danych osobowych. Jest to podmiot praw i obowiązków, który sprawuje pieczę nad przetwarzaniem danych osobowych przez zaciąganie zobowiązań i rozporządzanie prawami. Nie ma przy tym znaczenia fakt, czy podmiot ten jest w posiadaniu przetwarzanych danych lub sam je przetwarza.

W przypadku podmiotów publicznych (organów państwowych, samorządu terytorialnego) często występuje trudność z ustaleniem, kto jest administratorem zbioru danych osobowych. Podmioty te działają na podstawie przepisów ustawowych lub przepisów wykonawczych w których określone są środki i cele przetwarzania danych. Samodzielnie więc bardzo rzadko mogą podejmować w tym zakresie decyzje. Administratorem danych będzie zawsze organ administracji publicznej, a nie urząd go obsługujący, pracownik lub komórka organizacyjna urzędu, np. prezydent miasta, a nie urząd miasta.

Podmioty prywatne to: podmioty niepubliczne realizujące zadania publiczne, osoby fizyczne, osoby prawne oraz jednostki organizacyjne nieposiadające osobowości prawnej, jeżeli przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. W praktyce są to np. banki, hurtownie, sklepy, stowarzyszenia. Ważne jest, że w takim przypadku administratorem jest właśnie ten podmiot, a nie osoba lub osoby kierujące podmiotem (np. dyrektor, zarząd spółki) lub też pracownik wyznaczony do realizacji czynności związanych z ochroną danych osobowych. Ponadto należy wskazać, że w przypadkach, gdy dane są przetwarzane w jednym z oddziałów, np. spółki, to administratorem danych jest sama spółka.

W przypadku danych pracowników administratorem danych w stosunku do zbioru zawierającego ich dane osobowe będzie pracodawca.

Osoba fizyczna będzie administratorem danych tylko w sytuacji, gdy przetwarza dane osobowe na własny rachunek i to tylko w sytuacji przetwarzania związanego z działalnością zarobkową lub zawodową, np. w sytuacji realizowania umowy o dzieło. Osoba fizyczna nie będzie administratorem w sytuacji przetwarzania danych wyłącznie w celach osobistych lub domowych, ponieważ przepisy wyłączają stosowanie ustawy w takiej sytuacji.

Administratorem danych osobowych nie jest również podmiot, któremu zostało powierzone przetwarzania danych osobowych (np. nie jest nim agent ubezpieczeniowy, który gromadzi dane dla towarzystwa ubezpieczeniowego).

Obowiązki ADO:

11. Zdefiniuj pojęcie danych osobowych w świetle ustawy z dnia 29.08.1997 r. o ochronie danych osobowych z późn. zm.

W rozumieniu ustawy o ochronie danych osobowych z dnia 29.08.1997 roku za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Pytanie 12. kto i kiedy jest zobowiązany stosować się do ustawy i ochronie danych osobowych z dnia 29.08.1997 o ochronie danych osobowych z późn. zm.

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - polska ustawa, uchwalona przez Sejm RP, regulująca kwestie prawne związane z ochroną danych osobowych.

Ustawa określa:

13. Zdefiniuj pojęcie polityki bezpieczeństwa w świetle ustawy z dn. 29 sierpnia 1997 r. o ochronie danych osobowych z późn. zm.

Polityka bezpieczeństwa - jest zbiorem spójnych, precyzyjnych reguł i procedur, według których dana organizacja buduje, zarządza oraz udostępnia zasoby i systemy informacyjne i informatyczne. Określa ona, które zasoby i w jaki sposób mają być chronione.

Polityka powinna obejmować wskazanie możliwych rodzajów naruszenia bezpieczeństwa (jak np. utrata danych, nieautoryzowany dostęp), scenariusze postępowania w takich sytuacjach i działania, które pozwolą uniknąć powtórzenia się danego incydentu. Polityka bezpieczeństwa definiuje ponadto poprawne i niepoprawne korzystanie z zasobów (np. kont użytkowników, danych, oprogramowania).

Istotne jest, aby polityka bezpieczeństwa była dokumentem spisanym i znanym oraz zrozumianym przez pracowników organizacji korzystających z zasobów. Dotyczy to także klientów organizacji (użytkowników jej zasobów).

Przy projektowaniu polityki należy rozważyć, czy organizacja będzie w stanie ponieść koszty wprowadzania tej polityki w życie. Podwyższanie poziomu bezpieczeństwa organizacji/systemu odbywa się najczęściej kosztem wygody i efektywności działania. Dlatego, opierając się na zalecanych modelach czy standardach w tej dziedzinie, należy pamiętać o dostosowaniu rozwiązania do specyfiki organizacji, tak aby nadać jej cechy ułatwiające zastosowanie w praktyce. Podstawowym zadaniem jest przeprowadzenie analizy ryzyka i ustalenie akceptowalnego poziomu ryzyka.

Polityka powinna odnosić się do następujących zagadnień:

Projektując mechanizmy ochrony informacji należy określić następujące elementy:

Etapy realizacji polityki bezpieczeństwa

14. Przedstaw najważniejsze zasady przetwarzania danych osobowych.

Zasady przetwarzania danych

Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest zobowiązany zapewnić, aby dane te były:

- przetwarzane zgodnie z prawem,

- zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,

- merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,

- przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

również gdy :

- osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych.

Pyt.15

Wymień najważniejsze rodzaje informacji prawnie chronionych.

Klasyfikacja informacji chronionych według skutków naruszenia zasad ochrony

Jedna z najczęściej cytowanych ustaw - ustawa o ochronie informacji niejawnych próbuje zdefiniować rodzaje informacji w oparciu o skutek, jaki może przynieść ich odtajnienie (utrata ich poufności). W tym kontekście dokonuje podziału informacji niejawnych na informacje stanowiące tajemnicę służbową oraz tajemnicę państwową.

Tajemnica służbowa dotyczy informacji niejawnej nie będącej tajemnicą państwową, uzyskaną w związku z czynnościami służbowymi albo wykonywaniem prac zleconych, której nieuprawnione ujawnienie mogłoby narazić na szkodę interes państwa, interes publiczny lub prawnie chroniony interes obywateli albo jednostki organizacyjnej (art. 2 pkt 2).

Tajemnica państwowa dotyczy informacji niejawnej, której nieuprawnione ujawnienie może spowodować istotne zagrożenie dla podstawowych interesów Rzeczypospolitej Polskiej, a w szczególności dla niepodległości lub nienaruszalności terytorium, interesów obronności, bezpieczeństwa państwa i obywateli, albo narazić te interesy na co najmniej znaczną szkodę.

Ustawa idzie o krok dalej i definiuje informacje zastrzeżone oraz poufne, które objęte są tajemnicą służbową, zaś wśród informacji objętych tajemnicą państwową wyróżnia informacje tajne i ściśle tajne.

Klasyfikacja informacji chronionych według właściciela informacji

Przykładem mogą być tajemnice zawodowe. Tajemnice zawodowe często są skierowane do organizacji z określonego sektora gospodarczego. Wśród takich tajemnic wyróżniamy:

• tajemnica publicznego obrotu papierami wartościowymi inaczej zwana giełdową lub maklerską którą objęte są informacje związane z publicznym obrotem, jakich ujawnienie mogłoby naruszyć interes uczestników tego obrotu na podstawie ustawy prawo o publicznym obrocie papierami wartościowymi art. 159 i następne,

• tajemnicę ubezpieczeniową na podstawie ustawy o działalności ubezpieczeniowej art. 9 i 37n,

• tajemnicę przekazu informacji na podstawie ustawy o łączności art. 29,

• tajemnicę bankową, którą objęte są wszystkie wiadomości dotyczące czynności ban- kowych i osób będących stroną umowy, uzyskane w czasie negocjacji oraz związane z zawarciem umowy z bankiem i jej realizacją, z wyjątkiem wiadomości, bez których ujawnienia nie jest możliwe należyte wykonanie zawartej przez bank umowy oraz do- tyczące osób, które, nie będąc stroną umowy, dokonały czynności pozostających w związku z zawarciem takiej umowy na podstawie ustawy prawo bankowe art. 104 i następne oraz ustawy o Narodowym Banku Polskim art. 55,

• tajemnicę telekomunikacyjne na podstawie ustawy prawo telekomunikacyjne Roz. 5,

• tajemnicę lekarską, którą objęte są osoby wykonujące czynności lekarskie w zakresie zachowania w tajemnicy wszystkiego, o czym powezmą wiadomość w związku z wykonywaniem tych czynności, ponadto dane osobowe dotyczące dawcy i biorcy przeszczepu, na podstawie ustawy o zawodzie lekarza art. 40, ustawy o zwalczaniu chorób zakaźnych art. 6 ust. 1, ustawy o zawodach pielęgniarki i położnej art. 21, ustawy o ochronie zdrowia psychicznego Rozdz. VI i XVI, ustawy o służbie medycyny pracy art. 3 ust. 3 i art. 11 ust. 3, ustawy o pobieraniu i przeszczepianiu komórek, tkanek i narządów art. 12, ustawy o publicznej służbie krwi art. 13, ustawy o zakładach opieki zdrowotnej art. 18 oraz Kodeksu karnego art. 266 § 1,

• tajemnicę dziennikarską lub prasowa, którą objęte są dane umożliwiające identyfikację autora materiału prasowego, listu do redakcji lub innego materiału o tym charakterze, jak również innych osób udzielających informacji opublikowanych albo przekazanych do opublikowania, jeżeli osoby te zastrzegły nieujawnienie powyższych danych oraz wszelkie informacje, których ujawnienie mogłoby naruszać chronione prawem interesy osób trzecich, na podstawie ustawy prawo prasowe art. 10 i art. 16 ust. 1 oraz Kodeksu karny art. 240,

• tajemnicą notarialną,

• tajemnicę adwokacką , którą objęte są wszelkie fakty, o których adwokat dowiedział się w związku z udzielaniem pomocy prawnej, na podstawie ustawy prawo o adwokaturze art. 3 i 6.

Wśród tajemnic zawodowych obowiązujących szeroko pojęty krąg odbiorców wyróżnić możemy:

• tajemnicę pracodawcy na podstawie Kodeksu pracy art. 100,

• tajemnicę skarbową, którą objęte są indywidualne dane zawarte w deklaracji oraz in- nych dokumentach składanych przez podatników, płatników lub inkasentów na pod- stawie ustawy o kontroli skarbowej art. 34 oraz ordynacji podatkowej Dział VII,

• tajemnicę przedsiębiorstwa lub przedsiębiorcy którą objęte są nieujawnione do wiado- mości publicznej informacje techniczne, technologiczne, organizacyjne przedsiębior- stwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności na podstawie ustawy o zwalczaniu nieuczciwej konkurencji art. 11 ust.4 oraz ustawy o ochronie konkurencji i konsumentów art. 63,

• tajemnicę źródeł informacji na podstawie ustawy o prawie autorskim i prawach po- krewnych art. 84,

• tajemnicę statystyczną na podstawie ustawy o statystyce publicznej art. 12 oraz ustawy o narodowym spisie powszechnym ludności i mieszkań w 2002 r. art. 10,

• tajemnicę handlową na podstawie np. ustawy prawo energetyczne art. 28,

• pozostałe tajemnice zawodowe na podstawie ustawy prawo prasowe art. 15 ust. 2, ustawy o działalności ubezpieczeniowej art. 9 i 37n, ustawy prawo o notariacie art. 15 i 18, ustawy o izbach aptekarskich art. 21, ustawy z o biegłych rewidentach i ich samo- rządzie art. 4a, ustawy o doradztwie podatkowym art. 37, ustawy o funduszach inwestycyjnych art. 45, ustawy o organizacji i funkcjonowaniu funduszy emerytalnych art. 49, ustawy o komornikach sądowych i egzekucji art. 14 i 20, ustawy o giełdach towarowych Roz. 8, ustawy o rzecznikach patentowych art. 14, ustawy o służbie cywilnej art. 67, ustawy o sejmowej komisji śledczej art. 16, ustawy o wykonywaniu mandatu posłała i senatora art. 19 oraz ustawy o gospodarce nieruchomościami art. 175.

Ponadto w ramach klasyfikacji zawartej w niniejszym rozdziale należy wspomnieć ochronę dostępności danych przetwarzanych w instytucjach administracji publicznej na podstawie ustawy o dostępie do informacji publicznej. Ten rodzaj ochrony również dotyczy informacji określonych w oparciu o ich właściciela. Prawo do informacji w zakresie określonym ustawą obejmuje m.in. uprawnienia do niezwłocznego uzyskania informacji publicznej, wglądu do dokumentów urzędowych, dostępu do posiedzeń kolegialnych organów władzy publicznej pochodzących z powszechnych wyborów

Klasyfikacja informacji chronionych według przedmiotu chronionego

Wśród danych i informacji prawnie chronionych określonych w oparciu o przedmiot ochrony wskazać można dane osobowe. Ustawa o ochronie danych osobowych definiuje je, jako: „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”.

  1. Jakie są zadania pełnomocnika ochrony w świetle ustawy z dnia 05.08.2010 r. o ochronie informacji niejawnych

Do ustawowych zadań pełnomocnika ochrony IN należy:

Ponadto kierownik jednostki organizacyjnej może powierzyć pełnomocnikowi ochrony IN oraz pracownikom pionu ochrony wykonywanie innych zadań, jeżeli nie zakłóci to wypełniania obowiązków ustawowych, o których była mowa wyżej. W Polsce pełnomocnicy ochrony IN w jednostkach organizacyjnych są zazwyczaj obciążani wszystkimi dodatkowymi obowiązkami powiązanymi mniej lub bardziej z bezpieczeństwem. Odpowiadają za zabezpieczenia techniczne, fizyczne, informatyczne czy bezpieczeństwo osób.

17. Wyjaśnij na czym polega bezpieczeństwo fizyczne i osobowe.

Bezpieczeństwo osobowe

Bezpieczeństwo osobowe rozumiane jako system czynności zmierzających do realizacji procedur sprawdzeniowych w następujących obszarach:

Obszar 1 - Badania odpowiedzialności - czy dana osoba nie była karana, kwalifikacje zawodowe, stosunek do pracy, kontakty zawodowe oraz kondycję finansową.

Obszar 2 - Badania lojalności, gdzie weryfikowane są cechy charakteru i osobowości kandydata oraz sytuacje, które mogłyby spowodować nielojalne zachowanie i zagrożenie bezpieczeństwa (wyklucza się narkomanię, alkoholizm, dewiacje seksualne, negatywne, cechy charakteru, choroby psychiczne itp.)

Bezpieczeństwo fizyczne

Wymogi, którym winny odpowiadać obiekty i pomieszczenia oraz elementy ich wyposażenia (np. szafy, biurka), w których przechowywane są dokumenty klasyfikowane. Określają one także zasady podziału na strefy obiektów chronionych oraz rozwiązania odnośnie barier fizycznych i technicznych (np. ogrodzeń), systemów przepustkowych, a także procedur funkcjonowania służb ochronnych.

18. Kiedy tworzy się kancelarię tajną i jakie informacje ona przetwarza?

Kancelaria tajna to wyodrębniona komórka organizacyjna, w zakresie ochrony informacji niejawnych podległa pełnomocnikowi ochrony, obsługiwana przez pracowników pionu ochrony, odpowiedzialna za właściwe rejestrowanie, przechowywanie, obieg i wydawanie materiałów uprawnionym osobom.

Kancelarię tajną tworzy się przy jednostkach organizacyjnych, w których są lub będą przetwarzane informacje niejawne oznaczone klauzulami „tajne” lub „ściśle tajne”. Kierownik jednostki organizacyjnej może wyrazić zgodę na przetwarzanie w kancelarii tajnej informacji niejawnych o klauzuli `poufne” lub „zastrzeżone”.

19.Określ atrybuty bezpieczeństwa zgodnie z normą PN I 13335-1.

0x01 graphic

20. Określ zadania ABW w świetle ustawy z dnia 05. 08. 2010r. o ochronie informacji niejawnych.

termin prawniczy, który został zdefiniowany w ustawie o ochronie informacji niejawnych z 5 sierpnia 2010 roku)

Zniesienie lub zmiana klauzuli tajności są możliwe wyłącznie po wyrażeniu pisemnej zgody przez osobę, o której mowa w ust. 1, albo jej przełożonego w przypadku ustania lub zmiany ustawowych przesłanek ochrony, o których mowa w art. 5, z zastrzeżeniem ust. 5.



Wyszukiwarka