Przejdź do menu Przejdź do treści
Uniwersytet Komisji Edukacji Narodowej
w Krakowie

Bezpieczeństwo informacji niejawnych

całokształt przedsięwzięć technicznych i organizacyjnych ukierunkowanych na zabezpieczenie procesów przetwarzania informacji istotnych z punktu widzenia bezpieczeństwa i podstawowych interesów państwa.

Informacje niejawne ustawowo zdefiniowane zostały jako informacje, których nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody dla Rzeczypospolitej Polskiej albo byłoby z punktu widzenia jej interesów niekorzystne.

Natomiast ich przetwarzanie stanowią operacje wykonywane w odniesieniu do informacji niejawnych i na tych informacjach, w szczególności ich wytwarzanie, modyfikowanie, kopiowanie, klasyfikowanie, gromadzenie, przechowywanie, przekazywanie lub udostępnianie.

Informacje tego typu dotyczą przede wszystkim sfery obronności, przemysłu zbrojeniowego, funkcjonowania organów władzy oraz organów i służb systemu bezpieczeństwa państwa, administracji publicznej oraz pozostałych elementów tzw. infrastruktury krytycznej państwa. Mają one również duże znaczenie dla współpracy sojuszniczej w ramach międzynarodowych struktur bezpieczeństwa. Jako takie stanowią obiekt zainteresowań przede wszystkich służb wywiadowczych obcych państw, ale też organizacji terrorystycznych i grup przestępczych czy organizacji gospodarczych, a nawet organizacji pozarządowych. Informacje tego typu mogą być przetwarzane zarówno przez podmioty publiczne, jak i prywatne. W wypadku pomiotów publicznych mogą to być podmioty na poziomie centralnym, jak również regionalnym oraz lokalnym. Stanowi to o szerokim zakresie i powszechnym charakterze tworzonych systemów ochrony informacji niejawnych.

Początki funkcjonującego obecnie w Polsce systemu ochrony informacji niejawnych związane są ze staraniami Polski o wejście do struktur Organizacji Traktatu Północnoatlantyckiego (NATO), które pociągały za sobą konieczność spełnienia odpowiednich jej standardów. Odpowiedzią na te oczekiwania była ustawa z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych, która dostosowała system do wymogów sojuszniczych w przeddzień akcesji i jednocześnie zastępowała obowiązującą od 1982 r. ustawę o ochronie tajemnicy państwowej i służbowej. W obliczu nowych wyzwań i zagrożeń związanych z rozwojem naukowym i technologicznym oraz w związku z koniecznością usprawnienia niektórych elementów systemu 5 sierpnia 2010 r. uchwalona została kolejna ustawa o ochronie informacji niejawnych, która uelastyczniła system i obowiązuje do dnia dzisiejszego.

Informacje niejawne są klasyfikowane w ramach czterech kategorii w zależności od stopnia potencjalnej szkody, którą mogłoby spowodować ich ujawnienie podmiotom nieuprawnionym. W tym celu stosowane są następujące klauzule:

  • „ściśle tajne” – dla informacji, których nieuprawnione ujawnienie spowoduje wyjątkowo poważną szkodę dla Rzeczypospolitej Polskiej (RP) przez to, że:
    • zagrozi niepodległości, suwerenności lub integralności terytorialnej RP;
    • zagrozi bezpieczeństwu wewnętrznemu lub porządkowi konstytucyjnemu RP;
    • zagrozi sojuszom lub pozycji międzynarodowej RP;
    • osłabi gotowość obronną RP;
    • doprowadzi lub może doprowadzić do identyfikacji funkcjonariuszy, żołnierzy lub pracowników służb odpowiedzialnych za realizację zadań wywiadu lub kontrwywiadu, którzy wykonują czynności operacyjno-rozpoznawcze, jeżeli zagrozi to bezpieczeństwu wykonywanych czynności lub może doprowadzić do identyfikacji osób udzielających im pomocy w tym zakresie;
    • zagrozi lub może zagrozić życiu lub zdrowiu funkcjonariuszy, żołnierzy lub pracowników, którzy wykonują czynności operacyjno-rozpoznawcze, lub osób udzielających im pomocy w tym zakresie;
    • zagrozi lub może zagrozić życiu lub zdrowiu świadków koronnych lub osób dla nich najbliższych, osób, którym udzielono środków ochrony i pomocy na podstawie stosownych przepisów.
  • „tajne” – dla informacji, których nieuprawnione ujawnienie spowoduje poważną szkodę dla Rzeczypospolitej Polskiej przez to, że:
    • uniemożliwi realizację zadań związanych z ochroną suwerenności lub porządku konstytucyjnego RP;
    • pogorszy stosunki RP innymi państwami lub organizacjami międzynarodowymi;
    • zakłóci przygotowania obronne państwa lub funkcjonowanie Sił Zbrojnych RP;
    • utrudni wykonywanie czynności operacyjno-rozpoznawczych prowadzonych
      w celu zapewnienia bezpieczeństwa państwa lub ścigania sprawców zbrodni przez służby lub instytucje do tego uprawnione;
    • w istotny sposób zakłóci funkcjonowanie organów ścigania i wymiaru sprawiedliwości;
    • przyniesie stratę znacznych rozmiarów w interesach ekonomicznych RP.
  • „poufne” – dla informacji, których nieuprawnione ujawnienie spowoduje szkodę dla Rzeczypospolitej Polskiej przez to, że:
    • utrudni prowadzenie bieżącej polityki zagranicznej RP;
    • utrudni realizację przedsięwzięć obronnych lub negatywnie wpłynie na zdolność bojową Sił Zbrojnych RP;
    • zakłóci porządek publiczny lub zagrozi bezpieczeństwu obywateli;
    • utrudni wykonywanie zadań służbom lub instytucjom odpowiedzialnym za ochronę bezpieczeństwa lub podstawowych interesów RP;
    • utrudni wykonywanie zadań służbom lub instytucjom odpowiedzialnym za ochronę porządku publicznego, bezpieczeństwa obywateli lub ściganie sprawców przestępstw i przestępstw skarbowych oraz organom wymiaru sprawiedliwości;
    • zagrozi stabilności systemu finansowego RP;
    • wpłynie niekorzystnie na funkcjonowanie gospodarki narodowej.
  • „zastrzeżone” – obejmuje informacje, którym nie nadano wyższej klauzuli tajności, a ich nieuprawnione ujawnienie może mieć szkodliwy wpływ na wykonywanie przez organy władzy publicznej lub inne jednostki organizacyjne zadań w zakresie obrony narodowej, polityki zagranicznej, bezpieczeństwa publicznego, przestrzegania praw i wolności obywateli, wymiaru sprawiedliwości albo interesów ekonomicznych Rzeczypospolitej Polskiej.

Określona klauzula tajności nadawana jest przez osobę uprawnioną do podpisania dokumentu lub oznaczenia materiału. Informacje podlegają ochronie przez daną klauzulę do czasu, gdy zostanie ona zniesiona lub zmieniona. Zniesienie lub zmiana klauzuli jest możliwe jedynie w wypadku wyrażenia pisemnej zgody przez osobę, o której mowa powyżej, albo jej przełożonego po zaistnieniu określonych przesłanek. Osoba nadająca klauzulę może również określić datę lub wydarzenie, po którym nastąpi jej zniesienie lub zmiana. Natomiast ochronie bez względu na upływ czasu podlegają następujące informacje:

  • dane mogące doprowadzić do identyfikacji funkcjonariuszy, żołnierzy lub pracowników służb i instytucji, uprawnionych do wykonywania na podstawie ustawy czynności operacyjno-rozpoznawczych jako funkcjonariuszy, żołnierzy lub pracowników wykonujących te czynności;
  • dane mogące doprowadzić do identyfikacji osób, które udzieliły pomocy w zakresie czynności operacyjno-rozpoznawczych służbom i instytucjom uprawnionym do ich wykonywania na podstawie ustawy;
  • informacje niejawne uzyskane od organów innych państw lub organizacji międzynarodowych, jeżeli taki był warunek ich udostępnienia.

Informacje niejawne mogą być udostępniane wyłącznie osobom uprawnionym zgodnie z obowiązującymi przepisami. Muszą one być przetwarzane w określonych warunkach zapewniających ich poufność (zgodnie z odpowiednimi dla poszczególnych klauzul tajności wymaganiami dotyczącymi funkcjonowania kancelarii tajnych, bezpieczeństwa systemów i sieci teleinformatycznych, obiegu dokumentów i innych materiałów oraz środków bezpieczeństwa fizycznego), a ich ochrona musi być adekwatna do nadanej klauzuli tajności w przedmiocie stosowania określonych przepisami prawa środków bezpieczeństwa. Osobą uprawnioną do dostępu do informacji niejawnych może być wyłącznie osoba dająca rękojmię zachowania tajemnicy, czyli spełniająca ustawowe wymogi w zakresie zapewnienia ochrony informacji niejawnych, co zostało stwierdzone w toku postępowania sprawdzającego przez odpowiednie podmioty. Zgodnie z zasadą wiedzy niezbędnej (ang. need-to-know) informacje mogą być udostępniane osobie uprawnionej do określonego poziomu tajności, jedynie w zakresie niezbędnym do pełnienia obowiązków służbowych na zajmowanym stanowisku, albo do wykonywania określonych czynności zleconych. Dopuszczenie do pełnienia służby lub wykonywania pracy związanych z dostępem do informacji niejawnych może nastąpić dopiero po odbyciu stosownego szkolenia (nie rzadziej niż raz na 5 lat). Jednostki organizacyjne, w których przetwarzane są informacje niejawne, zobowiązane są do zapewnienia skutecznej ich ochrony przez stosowanie odpowiednich środków bezpieczeństwa, adekwatnych do stopnia ryzyka związanego z możliwością nieuprawnionego zniszczenia lub ujawnienia informacji niejawnych. W wypadku przetwarzania danych o klauzuli „tajne” lub „ściśle tajne” obligatoryjnie tworzone są kancelarie tajne.

W systemie ochrony informacji niejawnych wyróżnia się kategorie: bezpieczeństwa osobowego, bezpieczeństwa teleinformatycznego oraz bezpieczeństwa przemysłowego w odniesieniu do podmiotów oraz procesów dopuszczonych do przetwarzania informacji niejawnych, z którymi wiążą się określone wymogi formalne oraz procedury.

Bezpieczeństwo osobowe definiowane jest przez B. Jakubusa i M. Ryszkowskiego jako „szereg przedsięwzięć sprawdzeniowych, szkoleniowych i kontrolnych dotyczących osób, którym udziela się dostępu do informacji niejawnych”. W tym zakresie prowadzone są postępowania sprawdzające zwykłe, poszerzone i kontrolne (w zależności od pełnionych funkcji, zajmowanych stanowisk czy wykonywanych czynności zleconych oraz odpowiednich klauzul tajności), które mają na celu ustalenie, czy dana osoba daje rękojmię zachowania tajemnicy, i które mogą się zakończyć wydaniem poświadczenia bezpieczeństwa, odmową wydania poświadczenia bezpieczeństwa albo umorzeniem postępowania. Poświadczenie bezpieczeństwa uprawniające do dostępu do informacji o klauzuli „poufne” wydaje się na 10 lat, o klauzuli „tajne” – na 7 lat, a o klauzuli „ściśle tajne” – na 5 lat.

Bezpieczeństwo teleinformatyczne odnoszone jest przez tych samych autorów przede wszystkim do „wytwarzania, przetwarzania, przechowywania, i przesyłania informacji niejawnych za pomocą systemów i sieci teleinformatycznych”. Systemy takie podlegają akredytacji bezpieczeństwa teleinformatycznego, które dla systemów wykorzystywanych do przetwarzania informacji o klauzuli „poufne” i wyższej udzielane są na okres nie dłuższy niż 5 lat. Potwierdzeniem udzielenia takiej akredytacji jest świadectwo akredytacji bezpieczeństwa systemu teleinformatycznego.

  Bezpieczeństwo przemysłowe z kolei dotyczy dostępu przedsiębiorców do informacji niejawnych w związku z wykonywaniem umów lub zadań określonych przepisami prawa. W celu określenia zdolności danego podmiotu do ochrony informacji niejawnych prowadzone są postępowania bezpieczeństwa przemysłowego. Dokumentem potwierdzającym taką zdolność dla informacji o klauzuli „poufne” lub wyższej jest świadectwo bezpieczeństwa przemysłowego. W zależności od stopnia tej zdolności wydawane są świadectwa: pierwszego stopnia (pełna zdolność), drugiego stopnia (zdolność z wyłączeniem własnych systemów teleinformatycznych danego podmiotu) lub trzeciego stopnia (zdolność z wyłączeniem przetwarzania w użytkowanych przez podmiot obiektach). Świadectwo bezpieczeństwa przemysłowego o klauzuli „ściśle tajne” potwierdza zdolność do ochrony informacji niejawnych o klauzuli „ściśle tajne” przez 5 lat, „tajne” – przez 7 lat, i „poufne” – przez 10 lat od daty wystawienia. Natomiast świadectwo bezpieczeństwa przemysłowego o klauzuli „tajne” obejmuje zdolność do ochrony informacji o klauzuli „tajne” przez 7 lat i „poufne” – przez 10 lat od daty wystawienia. Świadectwo o klauzuli „poufne” pozwala przetwarzać informacje o tej klauzuli przez 10 lat od daty wystawienia.

Nadzór nad funkcjonowaniem systemu ochrony informacji niejawnych w Polsce prowadzą Agencja Bezpieczeństwa Wewnętrznego (ABW) i Służba Kontrwywiadu Wojskowego (SKW). Ustawodawca postawił przed nimi następujące zadania:

  • prowadzenie kontroli informacji niejawnych i przestrzegania przepisów obowiązujących w tym zakresie;
  • realizacja zadań w zakresie bezpieczeństwa systemów teleinformatycznych;
  • prowadzenie postępowań sprawdzających, kontrolnych postępowań sprawdzających oraz postępowań bezpieczeństwa przemysłowego;
  • zapewnianie ochrony informacji niejawnych wymienianych między Rzeczypospolitą Polską a innymi państwami lub organizacjami międzynarodowymi;
  • prowadzenie doradztwa i szkoleń w zakresie ochrony informacji niejawnych.

Właściwość zadań SKW ograniczona jest do Ministerstwa Obrony Narodowej (MON) oraz jednostek organizacyjnych podległych ministrowi obrony narodowej lub przez niego nadzorowanych, ataszatów obrony w placówkach zagranicznych oraz żołnierzy w służbie czynnej wyznaczonych na stanowiska służbowe w innych jednostkach organizacyjnych. ABW natomiast realizuje zadania w odniesieniu do pozostałych osób i jednostek organizacyjnych podlegających ustawie o ochronie informacji niejawnych. Ponadto zwierzchnik ABW pełni funkcję krajowej władzy bezpieczeństwa (w tym w odniesieniu do podmiotów nadzorowanych przez SKW za pośrednictwem szefa tej służby), która związana jest z nadzorowaniem systemu ochrony informacji niejawnych w stosunkach z innymi państwami lub organizacjami międzynarodowymi (informacje niejawne międzynarodowe).

Kierownicy jednostek organizacyjnych (m.in. organów władzy publicznej różnego szczebla, jednostek podległych tym organom, państwowych osób prawnych, przedsiębiorców ubiegających się lub wykonujących zadania lub umowy związane z dostępem do informacji niejawnych) są ustawowo zobowiązani do współpracy ze służbami i instytucjami uprawnionymi do prowadzenia poszerzonych postępowań sprawdzających, kontrolnych postepowań sprawdzających oraz postępowań bezpieczeństwa przemysłowego. Kierownicy jednostek organizacyjnych są również odpowiedzialni za ochronę informacji niejawnych w podległych jednostkach. W szczególności powinni zadbać o właściwą organizację i funkcjonowanie systemu tej ochrony. Podstawowym podmiotem odpowiedzialnym za zapewnienie przestrzegania przepisów o ochronie informacji niejawnych w jednostce organizacyjnej jest bezpośrednio podległy kierownikowi tej jednostki pełnomocnik ochrony informacji niejawnych (POIN). Może on mieć również swojego zastępcę lub zastępców, a jeżeli istnieje taka potrzeba (np. w większych jednostkach), może zostać utworzona podległa mu komórka organizacyjna (pion ochrony). Stanowiska pełnomocnika i jego zastępców, a także pracowników pionu ochrony mogą zajmować jedynie osoby, które spełniają odpowiednie, określone ustawowo wymagania.

Do zadań pełnomocnika ochrony informacji niejawnych należy:

  • zapewnienie ochrony informacji niejawnych, w tym stosowanie środków bezpieczeństwa fizycznego;
  • zapewnienie ochrony systemów teleinformatycznych, w których są przetwarzane informacje niejawne;
  • zarządzanie ryzykiem bezpieczeństwa informacji niejawnych, w szczególności szacowanie ryzyka;
  • kontrola ochrony informacji niejawnych oraz przestrzegania przepisów o ochronie tych informacji, w szczególności okresowa (co najmniej raz na 3 lata) kontrola ewidencji, materiałów i obiegu dokumentów;
  • opracowywanie i aktualizowanie wymagającego akceptacji kierownika jednostki organizacyjnej planu ochrony informacji niejawnych w jednostce organizacyjnej, w tym w razie wprowadzenia stanu nadzwyczajnego, i nadzorowanie jego realizacji;
  • prowadzenie szkoleń w zakresie ochrony informacji niejawnych;
  • prowadzenie zwykłych postępowań sprawdzających oraz kontrolnych postępowań sprawdzających;
  • prowadzenie aktualnego wykazu osób zatrudnionych lub pełniących służbę w jednostce organizacyjnej albo wykonujących czynności zlecone, które posiadają uprawnienia do dostępu do informacji niejawnych, oraz osób, którym odmówiono wydania poświadczenia bezpieczeństwa lub je cofnięto;
  • współpraca z ABW i SKW w określonym zakresie, w szczególności obejmującym przekazywanie danych oraz ewidencji osób związanych z dostępem do informacji niejawnych.

W jednostkach organizacyjnych, w których do przetwarzania informacji niejawnych używa się systemu teleinformatycznego, jej kierownik w ramach pionu ochrony wyznacza również pracownika lub pracowników pełniących funkcję inspektora bezpieczeństwa teleinformatycznego (odpowiedzialnego za weryfikację i kontrolę funkcjonowania tego systemu), a także osobę lub grupę osób (niebędących inspektorem bezpieczeństwa teleinformatycznego) odpowiedzialnych za prawidłowe funkcjonowanie tego systemu (administratora systemu).

Piotr Swoboda

G. Goryński, Prawne podstawy ochrony informacji niejawnych w Polsce, „Colloquium Wydziału Nauk Humanistycznych i Społecznych” 2013, nr 1; Ochrona danych osobowych i informacji niejawnych z uwzględnieniem ogólnego rozporządzenia unijnego, D. Wociór (red.), C.H. Beck, Warszawa 2016; Ochrona informacji niejawnych, biznesowych i danych osobowych. Materiały VII Kongresu, M. Gajos (red.), Krajowe Stowarzyszenie Ochrony Informacji Niejawnych, Uniwersytet Śląski w Katowicach, Katowice 2011; B. Jakubus, M. Ryszkowski, Ochrona informacji niejawnych, Wydawnictwo Projekt, Warszawa 2001; Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych, t.j. Dz.U. z 2019 r. poz. 742;  S. Zalewski, Dylematy ochrony informacji niejawnych, Krajowe Stowarzyszenie Ochrony Informacji Niejawnych, Katowice 2009.