Wiadomość
  • EU e-Privacy Directive

    This website uses cookies to manage authentication, navigation, and other functions. By using our website, you agree that we can place these types of cookies on your device.

    View e-Privacy Directive Documents

postheadericon Poziom zagrożeń i dobór środków bezpieczeństwa fizycznego

Potrzeba opracowania metodyki doboru środków bezpieczeństwa fizycznego w zależności od określonego poziomu zagrożeń jest konsekwencją wejścia w życie nowej ustawy o ochronie informacji niejawnych. Ustawa ta, uzależnia bowiem dobór i zakres stosowania środków bezpieczeństwa fizycznego od rzeczywistego poziomu zagrożenia określonego na podstawie przeprowadzonej analizy zagrożeń.

Brak regulacji dotyczących kryteriów i sposobu określania poziomu zagrożeń powoduje  niepotrzebne zamieszanie, wykorzystywane z powodze­niem przez niektóre firmy i instytucje szkoleniowe. Prowadzą one, absolutnie nieprzy­datne w tym przypadku, kilkudniowe szkolenia w zakresie systemu zarządzania bezpie­czeństwem informacji (ISO 27001, ISO 27005, PN-ISO/IEC 17799 czy PN-I-13335-1:1999). Nieprzydatne, ponieważ ustawa o ochronie informacji niejawnych ani też żaden z dotychczasowych projektów rozporządzenia, nie przywołuje żadnej normy w oparciu o którą należałoby przeprowadzić szacowanie ryzyka czy analizę zagrożeń.

Z dniem 1.01.2012 r., zgodnie z art. 189 ust.1. ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych, przestało obowiązywać rozporządzenie Rady Ministrów z dnia 1 czerwca 2010 r. w sprawie organizacji i funkcjonowania kancelarii tajnych (Dz. U. Nr 114 poz. 765), które oprócz zagadnień dotyczących funkcjonowania kancelarii zawierało także wskazania co do środków ochrony fizycznej. Zostało ono zastąpione rozporządzeniem Rady Ministrów z dnia 7 grudnia 2011 r. w sprawie organizacji i funkcjonowania kancelarii tajnych oraz sposobu i trybu przetwarzania informacji niejawnych (Dz. U. Nr 276 poz. 1631).

Zgodnie z przyjętą przez Kancelarię Prezesa Rady Ministrów koncepcją, nowe ...

rozporządzenie reguluje jedynie część zagadnień wynikających z delegacji ustawowej (art. 47 ust. 1 pkt 2, 7 – 11 ). Pozostałe zagadnienia (art. 47 ust. 1 pkt 1, 3 – 6) regulować ma oddzielne rozporządzenie.

Aktualnie (od 1.01.2012 r.) brak zatem regulacji dotyczących podstawowych, kluczowych, dla ochrony informacji niejawnych zagadnień dotyczących:

- rodzajów zagrożeń, które należy uwzględnić przy określaniu poziomu zagrożeń;

- kryteriów i sposobu określania poziomu zagrożeń oraz doboru środków bezpieczeństwa fizycznego odpowiednich do wskazanego poziomu zagrożeń;

- zakresu stosowania środków bezpieczeństwa fizycznego;

- kryteriów tworzenia stref ochronnych;

oraz

- elementów, które powinien zawierać plan ochrony informacji niejawnych;

Projekt rozporządzenia Rady Ministrów w sprawie środków bezpieczeństwa fizycznego sto­sowanych do zabezpieczania informacji niejawnych (wersja z 19.03.br.), określa:

- rodzaje zagrożeń, które należy uwzględnić przy określaniu poziomu zagrożeń;
- podstawowe kryteria i metodykę określania tego poziomu;

- metodykę doboru środków bezpieczeństwa fizycznego w zależności od poziomu zagrożenia i zakres ich stosowania;

- kryteria tworzenia stref ochronnych.

- podstawowe elementy planu ochrony informacji niejawnych;

Zawarta w załączniku nr 1, do projektu rozporządzenia, metodyka określania poziomu zagrożeń stanowi uwzględnienie postulatów zgłaszanych w toku uzgodnień i konsultacji.

Analiza zagrożeń polegać ma na przyznaniu każdemu czynnikowi odpowiedniej ilości punktów, w zależności od jego istotności ( 8 – bardzo istotny, 4 – istotny, 1 – mało istotny) dla bezpieczeństwa informacji niejawnych w konkretnej jednostce organizacyjnej. Przyznana punktacja wymagać będzie uzasadnienia.

Analiza obejmować ma takie czynniki jak: klauzula tajności, liczba materiałów niejawnych, postać informacji (papierowa, cyfrowa), liczba osób uprawnionych do dostępu, lokalizacja i dostęp do budynku. Obejmować będzie także „inne czynniki” – np. związane z działalnością człowieka czy też działaniem sił przyrody (tylko rzeczywiste).

Poziom zagrożeń określany ma być na podstawie sumy punktów otrzymanych w wyniku przeprowadzonej analizy (niski 7 -16, średni 17 – 32, wysoki > 32).

Załącznik nr 2 do rozporządzenia zawiera szczegółową metodykę doboru środków bezpieczeństwa fizycznego w zależności od poziomu zagrożeń oraz klauzul tajności przetwarzanych informacji niejawnych.

Zgodnie z tą metodyką, dobór środków bezpieczeństwa fizycznego, podzielonych na 6 kategorii i którym to środkom przypisano określoną ilość punktów, następuje według określonego systemu. System ten stanowi podstawę odpowiedniej kombinacji środków bezpieczeństwa fizycznego w zależności od poziomu zagrożeń w danej jednostce organizacyjnej.

Brak regulacji dotyczących środków bezpieczeństwa fizycznego powoduje, że istnieje stan pewnego zawieszenia, który niekorzystnie odbić się może na ochronie informacji niejawnych. Szereg jednostek organizacyjnych, które były w trakcie organizacji tej ochrony oraz jednostki zamierzające ten system tworzyć, wstrzymuje się z jego realizacją.

W wyjątkowo trudnej sytuacji znalazły się jednostki, które zamierzają lub wręcz muszą starać się o świadectwa bezpieczeństwa przemysłowego I lub II stopnia (pamiętajmy, że obowiązują one już od „poufnych”).

(Stosowanie Polskich Norm jest dobrowolne. Staje się ono obligatoryjne jeżeli wynika z obowiązującego prawa ogólnego lub obowiązującego powołania się na nie w przepisie. Polskie Normy mogą być przywoływane wyłącznie jeżeli opublikowane zostały w języku polskim - art. 5 ust. 3 i 4 ustawy o normalizacji)

Tymczasem projekt rozporządzenia od 9 miesięcy krąży po komisjach - 1.08 2011 r. skierowany został do uzgodnień międzyresortowych a 30.08. 2011 r. przyjęty został przez Komisję Wspólna Rządu i Samorządu Terytorialnego, 15.12.2011 r. odbyła się I cz. a 24.02.2012 r. II cz. konferencji uzgodnieniowej, 19.03.br. projekt skierowano do Kolegium ds. Służb Specjalnych i Komitetu RM ds. Cyfryzacji, 6.04.br. skierowano do stałego komitetu RM, 20.04.br. do Komisji Prawniczej …

 

Zmieniony (Czwartek, 03 Maj 2012 12:45)