1 OCHRONA INFORMACJI NIEJAWNYCH NATO I UNII EUROPEJSKIEJDepartament Ochrony Informacji Niejawnych Agencji Bezpieczeństwa Wewnętrznego OCHRONA INFORMACJI NIEJAWNYCH NATO I UNII EUROPEJSKIEJ Prelegent: Magdalena Kamińska
2 I. OCHRONA INFORMACJI NIEJAWNYCH NATO
3 Polska w NATO 12 marca 1999 – przystąpienie Polski do NATOOCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Polska w NATO 12 marca 1999 – przystąpienie Polski do NATO 23 kwietnia 1999 – oficjalne przyjęcie RP do NATO luty-marzec 1999 – ratyfikacja przez stronę polską Traktatu Północnoatlantyckiego oraz innych umów sojuszniczych (przyjęcie dorobku prawnego sojuszu)
4 Umowy ratyfikowane przez Polskę dotyczące bezpieczeństwa informacjiOCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Umowy ratyfikowane przez Polskę dotyczące bezpieczeństwa informacji Umowa między stronami Traktatu Północnoatlantyckiego o Ochronie Informacji (Bruksela, r.; ratyfikacja przez parlament RP – r.) Umowa między stronami Traktatu Północnoatlantyckiego o Współpracy w dziedzinie Informacji Atomowych (Paryż, r.; ratyfikacja przez RP – r.)
5 Relacje pomiędzy umowami międzynarodowymi a ustawamiOCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Relacje pomiędzy umowami międzynarodowymi a ustawami art. 91 Konstytucji RP: postanowienia umów międzynarodowych mają moc obowiązującą na równi z ustawą po ratyfikowaniu tych umów w postaci aktu prawnego o randze ustawowej, gdy zaś dochodzi do kolizji zapisów ratyfikowanych umów międzynarodowych z regulacjami krajowymi, prawo stanowione przez umowę ma pierwszeństwo przed ustawą
6 Polityka Bezpieczeństwa NATO – dokumentyOCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Polityka Bezpieczeństwa NATO – dokumenty „Bezpieczeństwo w ramach Organizacji Traktatu Północnoatlantyckiego” – minimalne standardy bezpieczeństwa
7 Bezpieczeństwo w ramach organizacji Traktatu PółnocnoatlantyckiegoOCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Bezpieczeństwo w ramach organizacji Traktatu Północnoatlantyckiego Umowa między Stronami Traktatu Północnoatlantyckiego o ochronie informacji C-M 2002 (49) C-M (2002) 50 – Środki ochrony instytucji cywilnych i wojskowych NATO oraz sił zbrojnych i obiektów NATO poza terytorium sojuszu przed zagrożeniami terrorystycznymi Dyrektywy dotyczące poszczególnych dziedzin bezpieczeństwa
8 OCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Umowa między Stronami Traktatu Północnoatlantyckiego o ochronie informacji - zobowiązania stron ochrona informacji niejawnych wytworzonych przez NATO zachowanie klauzuli nadanej przez wytwórcę nie wykorzystywanie informacji niejawnych do innych celów, niż określone traktatem nie udostępnianie ich krajom trzecim bez zgody kraju, który je dostarczył powołanie Krajowych Władz Bezpieczeństwa w celu nadzoru implementacji zobowiązań umowy oraz wdrożenia systemu ochrony informacji
9 Informacja NATO - definicjaOCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Informacja NATO - definicja wszystkie informacje, klasyfikowane i nieklasyfikowane, będące w obiegu w ramach NATO, niezależnie od źródła ich pochodzenia (instytucje cywilne i wojskowe NATO, państwa członkowskie, podmioty spoza NATO, np. państwa partnerskie) oraz formy (dokumenty, przekaz ustny, notatki, elementy wyposażenia lub uzbrojenia, informacje utrwalone na nośnikach elektromagnetycznych)
10 Bezpieczeństwo informacji - definicjaOCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Bezpieczeństwo informacji - definicja środki ochrony mają na celu zabezpieczenie przed utratą poufności informacji, ale także jej integralności i dostępności (muszą przeciwdziałać próbom jej zniszczenia, zniekształcenia oraz uniemożliwienia dostępu do niej osób upoważnionym)
11 Klauzule i oznaczenia dokumentów NATOOCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Klauzule i oznaczenia dokumentów NATO Klauzule tajności: TOP SECRET (ściśle tajne) SECRET (tajne) CONFIDENTIAL (poufne) RESTRICTED (zastrzeżone) Oznaczenia identyfikujące: NATO COSMIC Oznaczenia kategorii specjalnych: ATOMAL CRYPTO
12 OCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ NATO RESTRICTED NATO CONFIDENTIAL WEU RESTRICTED NATO RESTRICTED NATO CONFIDENTIAL NATO SECRET COSMIC TOP SECRET NATO SECRET COSMIC TOP SECRET
13 ROMANIA AND ALBANIA ONLY ROMANIA AND ALBANIA ONLYOCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ NATO UNCLASSIFIED NATO/PfP RESTRICTED ROMANIA AND ALBANIA ONLY NATO CONFIDENTIAL RELEASABLE TO MEXICO NATO UNCLASSIFIED NATO/PfP RESTRICTED ROMANIA AND ALBANIA ONLY NATO CONFIDENTIAL RELEASABLE TO MEXICO
14 Bezpieczeństwo osobowe (1/3)OCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Bezpieczeństwo osobowe (1/3) Warunki dostępu do informacji klasyfikowanych NATO postępowanie sprawdzające, uzyskanie Certyfikatu Bezpieczeństwa NATO (NATO CONFIDENTIAL i wyżej) przeszkolenie zasada „need to know”
15 Bezpieczeństwo osobowe (2/3)OCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Bezpieczeństwo osobowe (2/3) Osoby zatrudnione w instytucjach państwa członkowskiego, których praca wymaga dostępu do informacji niejawnych NATO nie muszą posiadać certyfikatu bezpieczeństwa NATO (wystarczające jest posiadanie odpowiedniego poświadczenia bezpieczeństwa). Osoby zatrudnione w instytucjach cywilnych lub wojskowych NATO muszą posiadać certyfikat bezpieczeństwa NATO.
16 Bezpieczeństwo osobowe (3/3)OCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Bezpieczeństwo osobowe (3/3) Termin ważności certyfikatów bezpieczeństwa NATO do 5 lat CTS NS i NC do 10 lat
17 Bezpieczeństwo obiegu informacji (1/7)OCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Bezpieczeństwo obiegu informacji (1/7) klauzule i oznaczenia informacji kontrola i zasady postępowania z informacjami powielanie, tłumaczenie i sporządzanie wyciągów z informacji przekazywanie informacji do odbiorców i przesyłanie przy zastosowaniu środków fizycznych pokwitowania i wykazy wycofywanie informacji z obiegu i niszczenie naruszenia zasad ochrony, nieprzestrzeganie przepisów bezpieczeństwa i narażenie na szwank bezpieczeństwa informacji
18 OCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Bezpieczeństwo obiegu informacji (2/7) klauzule i oznaczenia informacji Państwa członkowskie, instytucje cywilne i wojskowe NATO zobowiązane są do wprowadzenia odpowiednich środków mających na celu zapewnienie poprawności nadawania klauzul informacjom klasyfikowanym. Dokumenty powinny być chronione klauzulą tajności jedynie przez niezbędny okres czasu - zasada określania, w miarę możliwości, daty lub wydarzenia, po którym dana klauzula przestaje obowiązywać oraz wymóg dokonywania obligatoryjnych przeglądów dokumentów pod kątem weryfikacji nadanych klauzul. Istnieje możliwość ograniczenia przez wytwórcę zakresu dystrybucji dokumentów przez wprowadzenie specjalnych oznaczeń określających krąg odbiorców oraz prawa do zastrzegania, że dany dokument, lub jego część, nie może być kopiowany bez zgody wytwórcy.
19 Bezpieczeństwo obiegu informacji (3/7) OCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Bezpieczeństwo obiegu informacji (3/7) kontrola i zasady postępowania z informacjami Musi istnieć system kancelaryjny NATO, odpowiedzialny za przyjmowanie, ewidencję, wykonywanie czynności związanych z obiegiem, dystrybucję oraz niszczenie informacji niejawnych. Sposób przechowywania informacji klasyfikowanych NATO musi spełniać wymogi dyrektywy wykonawczej dotyczącej bezpieczeństwa fizycznego. Informacje klasyfikowane NATO mogą być przechowywane w postaci mikrofilmu lub na nośnikach komputerowych pod warunkiem, że mają one zapewnioną taką samą ochronę jak informacje oryginalne.
20 Bezpieczeństwo obiegu informacji (4/7) OCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Bezpieczeństwo obiegu informacji (4/7) powielanie, tłumaczenie i sporządzanie wyciągów z informacji Kopie dokumentów NATO o klauzuli COSMIC TOP SECRET wykonuje ich wytwórca - na zlecenie adresata kierownik GKT zwraca się do wytwórcy o nadesłanie dodatkowych kopii dokumentu. Decyzje w sprawie sporządzania kopii, tłumaczeń, odpisów lub wyciągów z dokumentów klasyfikowanych NATO o klauzulach SECRET i CONFIDENTIAL podejmują: adresat, osoba przez niego wskazana w dekretacji, prawny następca adresata lub osoby przez nich upoważnione. Tłumaczenia, wyciągi, odpisy lub kopie tych dokumentów wykonuje się w pomieszczeniach KT (mogą być one również wykonywane w strefach bezpieczeństwa zlokalizowanych w siedzibie jednostki organizacyjnej – według wskazówek pracownika kancelarii).
21 Bezpieczeństwo obiegu informacji (5/7) OCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Bezpieczeństwo obiegu informacji (5/7) przekazywanie i przesyłanie informacji do odbiorców Informacje klasyfikowane przenoszone w granicach kompleksu lub obiektu muszą być zakryte tak, aby uniemożliwić podejrzenie ich zawartości. Fizyczne przesyłanie informacji klasyfikowanych NATO w granicach państwa członkowskiego Sojuszu może odbywać się przy zastosowaniu kurierów rządowych lub wojskowych, krajowych służb pocztowych, upoważnionej komercyjnej służby kurierskiej, przewozu osobistego. Przewóz międzynarodowy: CTS – w worku dyplomatycznym lub przez kuriera wojskowego NS, NC - w worku dyplomatycznym, przez kuriera wojskowego, listem poleconym, przewóz osobisty NR – także inne służby pocztowe lub komercyjne
22 Bezpieczeństwo obiegu informacji (6/7) OCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Bezpieczeństwo obiegu informacji (6/7) wycofywanie informacji z obiegu i niszczenie Kancelarie, w których dyspozycji znajdują się informacje klasyfikowane NATO, są zobowiązane do dokonywania systematycznych przeglądów informacji pod kątem ich zniszczenia. Komisja – osoba niszcząca dokumenty, niezależny świadek (spoza kancelarii) Przechowywanie dokumentacji zniszczenia: CTS – 10 lat NS – 5 lat NC, NR – nie jest wymagane dokumentowanie zniszczenia, chyba że wymaga tego wytwórca dokumentu lub regulacje krajowe
23 Bezpieczeństwo obiegu informacji (7/7) OCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Bezpieczeństwo obiegu informacji (7/7) naruszenia zasad ochrony informacji Wszystkie przypadki nieprzestrzegania przepisów bezpieczeństwa muszą być natychmiast zgłaszane właściwej władzy bezpieczeństwa. Każdy zgłoszony przypadek podlega postępowaniu wyjaśniającemu przeprowadzonemu przez osoby niezależne od osób bezpośrednio uwikłanych w dany przypadek, dysponujące doświadczeniem w dziedzinie bezpieczeństwa, prowadzenia postępowań wyjaśniających oraz, gdy zachodzi taka potrzeba, kontrwywiadowczym.
24 Bezpieczeństwo fizyczne (1/5)OCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Bezpieczeństwo fizyczne (1/5) Konieczne jest określenie najefektywniejszych i najbardziej ekonomicznych metod przeciwdziałania zagrożeniom i kompensowania słabych punktów systemu ochrony przez stosowanie różnorodnych środków bezpieczeństwa (fizycznego, osobowego, obiegu dokumentów, teleinformatycznego). Cały system ochrony fizycznej i jego poszczególne elementy powinny być poddawane stałej analizie adekwatności do aktualnych warunków oraz sprawdzeniom efektywności.
25 Bezpieczeństwo fizyczne (2/5)OCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Bezpieczeństwo fizyczne (2/5) Ochrona „w głąb” określenie obiektu wymagającego ochrony określenie granic chronionej strefy i ograniczenie możliwości uzyskania nieuprawnionego dostępu wprowadzenie rozwiązań umożliwiających wykrywanie nieuprawnionego wejścia lub siłowego wtargnięcia i alarmowanie strażników zastosowanie bezpośrednich środków ochrony informacji (szafy, sejfy, zamki), których pokonanie wymaga więcej czasu niż potrzeba strażnikom na dotarcie na miejsce zdarzenia
26 Bezpieczeństwo fizyczne (3/5)OCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Bezpieczeństwo fizyczne (3/5) Minimalne standardy przechowywania informacji niejawnych COSMIC TOP SECRET strefa bezpieczeństwa klasy I lub II w: pomieszczeniu bez okien wyposażonym w system wykrywania wtargnięcia (IDS-equipped vault) lub w spełniającym warunki określone przez dane państwo członkowskie sejfie/szafie pancernej umieszczonej w strefie poddanej stałemu nadzorowi lub okresowym sprawdzeniom; lub pomieszczeniu spełniającym warunki do przechowywania informacji poza sejfami i szafami pancernymi, wyposażonym w system wykrywania wtargnięcia
27 Bezpieczeństwo fizyczne (4/5)OCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Bezpieczeństwo fizyczne (4/5) Minimalne standardy przechowywania informacji niejawnych NATO SECRET strefa bezpieczeństwa klasy I lub II: w taki sam sposób, jak informacje CTS; lub w sejfie/szafie pancernej lub pomieszczeniu bez okien, spełniających warunki określone przez dane państwo członkowskie; lub w pomieszczeniu spełniającym warunki do przechowywania informacji poza sejfami i szafami pancernymi, które jest wyposażone w system wykrywania wtargnięcia lub poddane stałemu nadzorowi lub okresowym sprawdzeniom
28 Bezpieczeństwo fizyczne (5/5)OCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Bezpieczeństwo fizyczne (5/5) Minimalne standardy przechowywania informacji niejawnych NATO CONFIDENTIAL w taki sam sposób, jak informacje CTS lub NS z tym, że nie są wymagane dodatkowe systemy kontroli NATO RESTRICTED muszą być przechowywane w meblach zamykanych na klucz
29 Bezpieczeństwo przemysłowe (1/2)OCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Bezpieczeństwo przemysłowe (1/2) Kontrakty niejawne Kontroli krajowych/wyznaczonych władz bezpieczeństwa (NSA/DSA) podlegają obowiązkowo kontrakty związane z dostępem do informacji klasyfikowanych o klauzuli NATO CONFIDENTIAL lub wyższej. Wykonawcom takich kontraktów wydaje się krajowe świadectwa bezpieczeństwa przemysłowego, natomiast pracownicy muszą uzyskać poświadczenia bezpieczeństwa osobowego na odpowiednim poziomie, z zachowaniem wymogów bezpieczeństwa NATO określonych w przepisach dotyczących bezpieczeństwa osobowego.
30 Bezpieczeństwo przemysłowe (2/2)OCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Bezpieczeństwo przemysłowe (2/2) Kryteria wydawania świadectw bezpieczeństwa przemysłowego system bezpieczeństwa musi spełniać standardy NATO w stosunku zarówno do kadry kierowniczej, jak i pracowników, którzy będą mieli dostęp do informacji klasyfikowanych, muszą zostać przeprowadzone odpowiednie sprawdzenia NSA/DSA muszą mieć możliwość egzekwowania regulacji w zakresie bezpieczeństwa, w tym możliwość przeprowadzania kontroli musi być powołany pełnomocnik ochrony, który podlega bezpośrednio wyznaczonemu członkowi zarządu firmy
31 Bezpieczeństwo teleinformatyczne (1/5)OCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Bezpieczeństwo teleinformatyczne (1/5) Właściwą ochronę poufności, integralności i dostępności informacji klasyfikowanych przechowywanych, przetwarzanych lub przesyłanych w systemach teleinformatycznych i elektronicznych, zapewnia zastosowanie zrównoważonego zestawu środków ochrony z zakresu bezpieczeństwa fizycznego, osobowego, obiegu dokumentów i INFOSEC.
32 Bezpieczeństwo teleinformatyczne (2/5)OCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Bezpieczeństwo teleinformatyczne (2/5) Wszystkie systemy, w których przetwarzane są informacje klasyfikowane NATO, muszą być chronione przy pomocy spójnego zestawu środków zapewniających: wiarygodne rozpoznanie i potwierdzenie tożsamości osób, które zostały upoważnione do dostępu do informacji kontrolę udostępniania informacji zgodnie z zasadą ograniczonego dostępu weryfikację integralności i pochodzenia informacji
33 Bezpieczeństwo teleinformatyczne (3/5)OCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Bezpieczeństwo teleinformatyczne (3/5) c.d. utrzymanie dostępności informacji kontrolę połączeń systemów, w których przetwarzane są informacje klasyfikowane NATO określenie stopnia zaufania, które można pokładać w zastosowanych mechanizmach ochrony INFOSEC możliwość badania operacji przeprowadzanych przez użytkowników i system
34 Bezpieczeństwo teleinformatyczne (4/5)OCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Bezpieczeństwo teleinformatyczne (4/5) Zadania krajowej władzy bezpieczeństwa teleinformatycznego (NCSA): kontrola technicznych informacji kryptograficznych związanych z ochroną informacji NATO w obrębie danego państwa zapewnienie skutecznego i ekonomicznego wyboru, wykorzystania i konserwacji systemów, produktów i mechanizmów kryptograficznych, służących do ochrony informacji NATO pozostawanie w kontakcie z właściwymi instytucjami NATO i krajowymi w odniesieniu do kwestii bezpieczeństwa teleinformatycznego
35 Bezpieczeństwo teleinformatyczne (5/5)OCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ Bezpieczeństwo teleinformatyczne (5/5) Zadania krajowej władzy dystrybucji (NDA): zarządzanie materiałami kryptograficznymi NATO w obrębie danego państwa zapewnienie, że zostały wdrożone odpowiednie procedury i ustanowione kanały mające na celu dokładną kontrolę obiegu oraz bezpieczne wykonywanie czynności związanych z obiegiem, przechowywaniem i dystrybucją wszelkich materiałów kryptograficznych
36 KOMITET BEZPIECZEŃSTWA NATOOCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ KOMITET BEZPIECZEŃSTWA NATO Jest organem doradczym Rady Północnoatlantyckiej w sprawach związanych z polityką bezpieczeństwa Sojuszu - podlega bezpośrednio Radzie, przed którą odpowiada za: badanie kwestii dotyczących polityki bezpieczeństwa rozpatrywanie problemów bezpieczeństwa zgłaszanych przez NAC, kraje członkowskie, Sekretarza Generalnego NATO, Komitet Wojskowy NATO oraz szefów agencji wojskowych i cywilnych NATO rekomendowanie wniosków i propozycji w sprawach bezpieczeństwa
37 BIURO BEZPIECZEŃSTWA NATO (1/2)OCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ BIURO BEZPIECZEŃSTWA NATO (1/2) Jest organem wykonawczym NATO, który koordynuje i realizuje politykę bezpieczeństwa sojuszu. Do głównych zadań Biura należy m.in.: badanie wszelkich kwestii, które mają wpływ na bezpieczeństwo NATO opracowywanie metod poprawy stanu bezpieczeństwa NATO koordynowanie procedur i środków ochrony stosowanych w krajach członkowskich, dowództwach i agencjach NATO zapewnienie wykonania decyzji NATO w sprawach bezpieczeństwa, m.in. poprzez doradztwo i niesienie pomocy krajom członkowskim, dowództwom i agencjom NATO
38 BIURO BEZPIECZEŃSTWA NATOOCHRONA OCHRONA INFORMACJI NIEJAWNYCH NATO _____________________________________________________________________________________________________________________ BIURO BEZPIECZEŃSTWA NATO (2/2) przeprowadzanie okresowych inspekcji systemów bezpieczeństwa NATO i kontroli przestrzegania procedur ochrony informacji niejawnych sojuszu w krajach członkowskich, dowództwach i agencjach NATO koordynowanie, wspólnie z krajowymi władzami bezpieczeństwa, dowództwami i agencjami NATO, postępowań wyjaśniających i śledztw w sprawach utraty, nieuprawnionego ujawnienia bądź zagrożenia bezpieczeństwa informacji niejawnych NATO