1 SZKOLENIE PEŁNOMOCNIKÓW OCHRONY ZADANIA KONTROLNE PEŁNOMOCNIKA OCHRONY W TRAKCIE WYJAŚNIANIA OKOLICZNOŚCI NARUSZENIA PRZEPISÓW O OCHRONIE INFORMACJI.

Slides:



Advertisements
Podobne prezentacje
1 TREŚĆ UMOWY O PRACĘ : Umowa o pracę określa strony umowy, rodzaj umowy, datę jej zawarcia oraz warunki pracy i płacy, w szczególności: 1) rodzaj pracy,
Advertisements

Postępowanie dowodowe. Wyrok SA w Białymstoku z r., I ACa 586/13, LEX nr  Fakty niewymagające dowodu  Zgodnie z art. 229 k.p.c. nie.
Znaczenie procedur celnych dla sądowej ochrony praw własności przemysłowej w szczególności przed naruszeniem patentów. Dr Ewa Skrzydło-Tefelska Katedra.
INFORMACJA o stanie bezpieczeństwa w powiecie olkuskim w 2011 roku 1 Olkusz, luty 2012 roku Komenda Powiatowa Policji w Olkuszu.
ORGANIZACJA KONTROLI OZNAKOWANIA CE W ŚRODOWISKU PRACY – OMÓWIENIE PODSTAWOWYCH PROBLEMÓW POJAWIAJĄCYCH SIĘ W TOKU KONTROLI Warszawa - czerwiec 2005.
Anonimizacja danych adresowych pokrzywdzonego i świadka w procedurze wykroczeniowej w świetle ustawy z dnia 28 listopada 2014 r. o ochronie i pomocy dla.
Obowiązki pracodawcy dotyczące zapewnienia pracownikom profilaktycznej ochrony zdrowia, właściwego postępowania w sprawach wypadków przy pracy oraz chorób.
„Pewnie i bez lęku do egzaminów potwierdzających kwalifikacje zawodowe w letniej sesji 2006 r."
Karaniu poddaje się tylko sprawców, którzy osiągnęli taki stopień dojrzałości psychicznej, że są w stanie rozpoznać znaczenie popełnionego przez siebie.
Zasady udzielania zamówień Wydział Kontroli Projektów.
TERYT 2 Współdziałanie w zakresie objęcia nadzorem wstępnej weryfikacji danych inicjalnej bazy danych PRG w zakresie granic jednostek i obrębów ewidencyjnych.
BEZPIECZEŃSTWO PRZEMYSŁOWE
Projekty unijne a Ustawa o finansach publicznych z 27 sierpnia 2009 Poznań, 26 lutego 2010r. Biuro Koordynacji Projektów.
Pomoc publiczna i pomoc de minimis w ramach konkursu RPLU IZ /15 - Programy typu outplacement Oddział Monitoringu i Ewaluacji Departament.
OBYWATELSTWO POLSKIE I UNIJNE 1.Obywatel a państwo – zasady obywatelstwa polskiego 2.Nabycie i utrata obywatelstwa 3.Obywatelstwo Unii Europejskiej. 4.Brak.
Urząd Transportu Kolejowego, Al. Jerozolimskie 134, Warszawa, Polityka regulacyjna państwa w zakresie dostępu do infrastruktury na.
Regulamin Komisji Rewizyjnej. Regulamin Komisji REGULAMIN GŁÓWNEJ KOMISJI REWIZYJNEJ ZWIĄZKU NAUCZYCIELSTWA POLSKIEGO § 1 Główna Komisja Rewizyjna, zwana.
Warszawa, Krótka sprzedaż – monitoring i nadzór GPW Iwona Edris Dyrektor Biura Audytu i Kontroli.
VII kampania społeczna N O PROMIL – N O PROBLEM PROJEKT WSPÓŁFINANSOWANY PRZEZ SZWAJCARIĘ W RAMACH SZWAJCARSKIEGO PROGRAMU WSPÓŁPRACY Z NOWYMI KRAJAMI.
Dozór elektroniczny Wykład. Wprowadzenie dozoru do polskiego systemu prawnego Dozór elektroniczny został wprowadzony do polskiego systemu prawnego na.
Grupa: urzędnicy JST (operatorzy przyjmujący wnioski w urzędach)
Poznań, dnia 17 maja 2007r. KOORDYNACJA AUDYTÓW ZEWNĘTRZNYCH i MONITOROWANIE PROJEKTÓW UNIJNYCH Agnieszka Purgat Daniel Majewski Dominika Piechocka Biuro.
Biuro Edukacji Urzędu m.st. Warszawy Warszawa, 24 luty 2016 r. Elektroniczny system rekrutacji do gimnazjów na rok szkolny 2016/2017.
Karą kryminalną jest przewidziana w ustawie, stosowana przez sądy, ujemna reakcja na popełnione przestępstwo, polegająca na zadaniu sprawcy osobistej.
ZASADY PRZYSTOSOWANIA NIERUCHOMOŚCI DLA POTRZEB ZABIEGÓW SPECJALNYCH Wydział Zarządzania Kryzysowego i Bezpieczeństwa Urzędu Miasta Poznania ul. Karola.
Finansowanie wybranych działań w parkach narodowych przy udziale środków funduszu leśnego - zakres finansowy Warszawa, 06 kwietnia 2016r.
DANUTA SZCZEPANIK Sekretarz Miasta Legionowo EWA MILNER-KOCHAŃSKA Pełnomocnik ds. Systemu Przeciwdziałania Zagrożeniom Korupcyjnym Przeciwdziałanie korupcji.
Wnioskowanie o płatność Sektorowy Program Operacyjny TRANSPORT Zintegrowany Program Operacyjny Rozwoju Regionalnego.
Projekt Regulaminu Działania Komitetu Monitorującego Regionalny Program Operacyjny Województwa Pomorskiego na lata
Strona postępowania jako źródło dowodowe Prof. dr hab. Henryk Dzwonkowski Kierownik Katedry Prawa Finansowego Uniwersytet Łódzki.
Bezpieczeństwo i zdrowie w pracy dotyczy każdego. Jest dobre dla ciebie. Dobre dla firmy. Partnerstwo dla prewencji Co badanie ESENER może nam powiedzieć.
 notariuszy  komorników  rzeczników patentowych  farmaceutów  biegłych rewidentów  kuratorów sądowych  lekarzy.
 Koszty uzyskania przychodów to instytucja podatków dochodowych występująca w art. 15 ust. 1. ustawy o podatku dochodowym od osób prawnych i art. 22 ustawy.
EWALUACJA JAKO ISTOTNY ELEMENT PROJEKTÓW SYSTEMOWYCH Sonia Rzeczkowska.
Uwarunkowania prawne telepracy – praktyczne rozwiązania dla pracodawców dr Jacek Męcina.
Umowy o dofinansowanie projektów, umowy partnerskie - na co warto zwrócić szczególną uwagę Grzegorz Gołda PWT PL-SK.
Weryfikacja rozstrzygnięć w toku instancji i poza tokiem instancji oprac. mgr Łukasz Kląskała Zakład Postępowania Administracyjnego i Sądownictwa Administracyjnego.
… przemy ś lenia pedagogiczne. „Najważniejszym okresem w życiu nie są lata studiowania na wyższej uczelni, ale te najwcześniejsze, czyli okres od narodzenia.
W YBRANE ZAGADNIENIA POSTĘPOWANIA CYWILNEGO W SPRAWACH O OCHRONĘ WŁASNOŚCI PRZEMYSŁOWEJ Prof. dr hab. Feliks Zedler Konferencja „Rynek leków a ochrona.
SSA (2) PRAWO PRACY 2 Dr Jacek Borowicz. PRAWO KOALICJI – ZAKRES PODMIOTOWY USTAWA z dnia 23 maja 1991 r. o związkach zawodowych.
Nauczyciel funkcjonariuszem publicznym Opracował Sierż. Jacek Palarz Komisariat Policji w Rydułtowach.
Organizacja, przepisy i procedury Na przykładzie Śląskiego OW NFZ Dr n. med. Z Klosa.
Działalność konsultantów wojewódzkich zmiany w ustawie o konsultantach w ochronie zdrowia oświadczenia składane przez konsultantów kontrola podmiotów leczniczych.
Model Przejść Międzyoperatorskich (na podstawie uwag i rekomendacji izb oraz operatorów) Warszawa, 16 czerwca 2008 r.
Prawo dowodowe Problematyka wykorzystania w procesie karnym informacji niejawnych Dr Dagmara Gruszecka.
Białystok, 10 sierpnia 2010 r. Wdrażanie elektronicznych usług dla ludności województwa podlaskiego – część II, administracja samorządowa 1.
Finansowanie wybranych działań w parkach narodowych przy udziale środków funduszu leśnego - zakres merytoryczny Warszawa, 06 kwietnia 2016 r.
Ocena oddziaływania na środowisko jako warunek uzyskania funduszy unijnych w ramach I i II osi priorytetowej Programu Operacyjnego Infrastruktura i Środowisko.
Dokumenty potrzebne do złożenia wniosku o dofinansowanie projektu w ramach Regionalnego Programu Operacyjnego Województwa Pomorskiego na lata
Procedura „NIEBIESKIE KARTY" w świetle obowiązujących przepisów prawa.
Zasady realizacji przedsięwzięć OC przez instytucje państwowe, przedsiębiorców i inne jednostki organizacyjne oraz organizacje społeczne działające na.
Podsumowanie wdrażania części Osi „Przedsiębiorczość” RPO Warmia i Mazury 2007–2013 w 2008 roku.
Usługa ePodatki (MF) Michał Dobrzyński, Departament Informatyki MRPiPS tel
Definiowanie i planowanie zadań typu P 1.  Planowanie zadań typu P  Zadania typu P to zadania unikalne służące zwykle dokonaniu jednorazowej, konkretnej.
BEZPIECZNA+ Jest to Rządowy program wspomagania w latach 2015–2018 organów prowadzących szkół w zapewnieniu bezpiecznych warunków nauki, wychowania i.
Sandra Król Zakład Prawa Handlowego i Gospodarczego Instytut Prawa Cywilnego Klauzule niedozwolone.
Zasady postępowania dowodowego
Zespół trenerów FAOW – Janina Jaszczur, Inga Kawałek, Ryszard Kamiński, Ryszard Zarudzki Zasady kontroli Wnioskodawców w PPLeader+
Ustalenia z misji audytowych przeprowadzonych przez Europejski Trybunał Obrachunkowy w ramach PROW w obszarze zamówień publicznych.
1 Definiowanie i planowanie zadań budżetowych typu B.
organizowanie ochrony informacji niejawnych
regulacje NATO i Unii Europejskiej
E- SKARGA Formalne wymogi wniesienia skargi do WSA w kontekście informatyzacji postępowania sądowoadministracyjnego- wybrane zagadnienia.
Części składowe treści pisma
Umowa darowizny Mgr Aleksandra Pasek Instytut Prawa Cywilnego Wydział Prawa, Administracji i Ekonomii Uniwersytetu Wrocławskiego.
Karnoprawna ochrona tajemnicy zawodowej dotyczącej działalności funduszy emerytalnych II Międzynarodowa Konferencja Naukowa pt. ZABEZPIECZENIE EMERYTALNE.
płk mgr inż. Rafał Wądołowski
CZYNNIK LUDZKI JAKO POTENCJALNE ŹRÓDŁO ZAGROŻEŃ W SYSTEMIE OCHRONY INFORMACJI NIEJAWNYCH OPRACOWAŁ: ppłk mgr inż. Janusz PARCZEWSKI, tel
Odsetki naliczane za czas postępowania 30 marca 2017
Konkursy nr RPKP IZ /19 Zmiany w zakresie procedur
Zapis prezentacji:

1 SZKOLENIE PEŁNOMOCNIKÓW OCHRONY ZADANIA KONTROLNE PEŁNOMOCNIKA OCHRONY W TRAKCIE WYJAŚNIANIA OKOLICZNOŚCI NARUSZENIA PRZEPISÓW O OCHRONIE INFORMACJI NIEJAWNYCH

2 WSTĘP Z naruszeniem przepisów bezpieczeństwa mamy do czynienia w przypadku wszelkich naruszeń przepisów bezpieczeństwa informacji niejawnych (zarówno ustawowych jak i wewnętrznych uregulowań) mogących zagrozić lub doprowadzić do ujawnienia informacji. Informacje niejawne zostają ujawnione, gdy stają się znane, w całości lub części, osobom nie posiadającym odpowiedniego zezwolenia lub prawa dostępu do tych informacji jak również w przypadku, gdy takie informacje zostają narażone na ryzyko ich ujawnienia.

3 Niejawne dokumenty lub materiały, które zostały zagubione lub pozostawione bez nadzoru należy uznać za ujawnione. Również dokumenty, które nie mogą być odnalezione w czasie okresowej kontroli muszą być uznane za ujawnione – do czasu, gdy przeprowadzone postępowanie wyjaśniające doprowadzi do innych wniosków. Z naruszeniem przepisów bezpieczeństwa informacji niejawnych mamy również do czynienia w innych sytuacjach np. nieuprawnionego zniszczenia dokumentu lub nieprawidłowości w trakcie transportu dokumentów niejawnych, naruszenia przepisów bezpieczeństwa teleinformatycznego itp.

4 Jednym z najczęściej występujących zagrożeń dla bezpieczeństwa informacji niejawnych jest naruszenie przepisów dotyczących ich ochrony przez osoby mające dostęp do tych informacji. Naruszenie przepisów może nastąpić w każdym momencie pracy z informacją niejawną. Naruszenie może zaistnieć jako niezamierzona czynność człowieka wynikająca z:  rutyny działania  niedostrzegania faktycznych zagrożeń  niefrasobliwości  niekompetencji  lekceważenia zasad

5 Oczywiście, możemy mieć również do czynienia z działaniem celowym mającym na celu doprowadzenie do ujawnienia informacji osobom nieuprawnionym, bądź też zniszczenia materiału lub dokumentu w jakimś określonym celu np. utrudnienia prowadzenia sprawy dla której dokument miał istotne znaczenie lub zniszczenia dowodu itp. Okoliczności naruszenia bezpieczeństwa informacji niejawnych muszą być wyjaśnione przez pełnomocnika ochrony w trakcie postępowania wyjaśniającego.

6 POSTĘPOWANIE WYJAŚNIAJĄCE Do przeprowadzenia postępowania wyjaśniającego, w przypadku naruszenia przepisów o ochronie informacji niejawnych, obliguje pełnomocnika ochrony art. 18 ust. 9 uoin, który stanowi: „Pełnomocnik ochrony podejmuje działania zmierzające do wyjaśnienia okoliczności naruszenia przepisów o ochronie informacji niejawnych, zawiadamiając o tym kierownika jednostki organizacyjnej, a w przypadku naruszenia przepisów o ochronie informacji niejawnych, oznaczonych klauzulą "poufne" lub wyższą, również właściwą służbę ochrony państwa. ”

7 Jest to jedyny przepis w uoin, który odnosi się do postępowania wyjaśniającego. Brak jest przepisów, które by formalizowały postępowanie wyjaśniające, określały jego zasady i tok, w związku z czym zasady prowadzenia tego postępowania powinny być uregulowane w wewnętrznych przepisach jednostki organizacyjnej, bądź też określone w decyzji lub zarządzeniu kierownika jednostki organizacyjnej dotyczącym każdego prowadzonego postępowania wyjaśniającego. Ustawa, obowiązek przeprowadzenia postępowania wyjaśniającego nakłada na pełnomocnika ochrony, jednakże nic nie stoi na przeszkodzie, aby postępowanie takie było prowadzone przez – powołaną decyzją kierownika jednostki – komisję pod przewodnictwem pełnomocnika ochrony.

8 W skład takiej komisji powinien wchodzić pracownik pionu ochrony, jak również osoba odpowiedzialna za dany pion w jednostce np. jeden z zastępców kierownika jednostki. Jeżeli postępowanie wyjaśniające dotyczy naruszenia bezpieczeństwa teleinformatycznego informacji niejawnych komisja powinna być poszerzona osobowo o inspektora bezpieczeństwa teleinformatycznego. Osoby przeprowadzające postępowanie nie mogą być bezpośrednio związane z wyjaśnianym przypadkiem oraz muszą posiadać poświadczenia bezpieczeństwa upoważniające do dostępu do informacji niejawnych o klauzuli tajności dokumentów, z którymi pośrednio lub bezpośrednio będzie możliwy kontakt w trakcie postępowania wyjaśniającego (w przypadku, gdy np. dokument poufny dotyczy sprawy opatrzonej klauzulą „ściśle tajne”).

9 W trakcie postępowania wyjaśniającego należy ustalić: – czy doszło do ujawnienia informacji niejawnych? – czy naruszenie przepisów było celowe, czy też nieumyślne? – jakie konsekwencje wywołał fakt naruszenia przepisów bezpieczeństwa informacji niejawnych? – czy zachowanie osoby, która nieumyślnie naruszyła zasady bezpieczeństwa – po stwierdzeniu tego faktu – było zgodne z przyjętymi procedurami i zasadami?

10 Postępowanie wyjaśniające można podzielić na sześć etapów: 1.uzyskanie informacji o naruszeniu przepisów bezpieczeństwa informacji niejawnych i weryfikacja tej informacji, 2.wszczęcie postępowania wyjaśniającego, 3.ustalenie stanu faktycznego i ewentualnych konsekwencji naruszenia bezpieczeństwa informacji niejawnych, 4.określenie przyczyn zaistniałej sytuacji, 5.wnioski i zalecenia, 6.powiadomienie odpowiednich organów o zaistniałej sytuacji.

11 1. Uzyskanie informacji o naruszenia przepisów bezpieczeństwa informacji niejawnych i weryfikacja tej informacji. O naruszeniu przepisów bezpieczeństwa informacji niejawnych możemy dowiedzieć się:  w wyniku przeprowadzonej kontroli okresowej lub doraźnej,  od osoby, która naruszyła bezpieczeństwo informacji niejawnych np. w wyniku działania nieumyślnego,  od osób trzecich, które posiadają wiedzę o naruszeniu reguł bezpieczeństwa,  w przypadku „wyjścia na światło dzienne” informacji objętych tajemnicą np. poprzez opublikowanie jej treści w prasie.

12 Żadnej informacji, która dociera do pełnomocnika ochrony o naruszeniu reguł bezpieczeństwa nie można lekceważyć, każdą informację pełnomocnik ochrony musi zweryfikować i podjąć na tym etapie pierwsze czynności wyjaśniające, mające na celu zweryfikowanie informacji o naruszeniu reguł bezpieczeństwa. W wyniku podjętych czynności pełnomocnik musi ocenić, czy faktycznie doszło do naruszenia bezpieczeństwa informacji niejawnych.

13 2. Wszczęcie postępowania sprawdzającego. Po uzyskaniu informacji o naruszeniu bezpieczeństwa IN i zweryfikowaniu jej, pełnomocnik ochrony powinien powiadomić o zaistniałej sytuacji kierownika jednostki organizacyjnej, realizując zapis art. 18 ust 9 uoin. Wstępny meldunek powinien zawierać:  krótki opis informacji, które zawierał dokument;  klauzulę tajności dokumentu;  krótki opis zaistniałej sytuacji.

14 Kierownik jednostki powinien wydać decyzję lub zarządzenie o wszczęciu postępowania wyjaśniającego (nie jest to konieczne). W zarządzeniu powinny zostać określone procedury i zasady pracy komisji oraz termin zakończenia postępowania i przedłożenia protokołu.

15 Zarządzenie Nr 2 Dyrektora …………………………………….. z dnia 18 marca 2005 r. w sprawie:zbadania okoliczności nieuprawnionego zniszczenia dokumentów niejawnych Realizując postanowienia art. 18. ust. 1 i ust. 9 ustawy o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95 ze zmianami) zarządzam co następuje: § 1 Powołuję komisję do zbadania okoliczności nieuprawnionego zniszczenia dokumentów niejawnych w składzie: Przewodniczący komisji:……………………. – Pełnomocnik ochrony Członkowie komisji:……………………. – Wicedyrektor WL ……………………. – Kierownik Kancelarii Tajnej § 2 Komisja podejmie wszelkie działania zmierzające do wyjaśnienia okoliczności oraz ewentualnych następstw naruszenia przepisów o ochronie informacji niejawnych kierując się następującymi zasadami: wszystkie czynności postępowania muszą zostać odpowiednio udokumentowane, pytania osobom mogącym przyczynić się do wyjaśnienia okoliczności naruszenia bezpieczeństwa informacji niejawnych Komisja zadaje w formie pisemnej, natomiast osoby te udzielają odpowiedzi w formie pisemnego oświadczenia na zadane pytania. § 3 Ustalenia wraz z wnioskami Komisja przedłoży Dyrektorowi w protokóle do dnia r. § 4 Zarządzenie wchodzi w życie z dniem podpisania.

16 Jeżeli nieprawidłowości dotyczą informacji niejawnych o klauzuli „poufne” i wyższej pełnomocnik ochrony powinien również telefonicznie powiadomić SOP, sporządzając na tę okoliczność notatkę służbową. Jeżeli zachodzi podejrzenie szpiegostwa, SOP należy powiadomić natychmiast. Jeżeli natomiast ujawnienie informacji niejawnych jest bezsporne (np. zostały opublikowane w prasie) na kierowniku jednostki organizacyjnej ciąży obowiązek, wynikający z artykułu 304 kodeksu postępowania karnego, bezzwłocznego zawiadomienia prokuratury o podejrzeniu popełnienia przestępstwa. W tym przypadku, pomimo powiadomienia organów ścigania, pełnomocnik ochrony ma obowiązek przeprowadzić postępowanie wyjaśniające.

17 3. Ustalenie stanu faktycznego Każde postępowanie wyjaśniające musi być przeprowadzone rzetelnie, muszą zostać ustalone wszelkie okoliczności naruszenia bezpieczeństwa informacji niejawnych. Pełnomocnik musi określić jakie środki dowodowe będą niezbędne i jakich użyć metod badawczych w celu wyczerpującego wyjaśnienia badanego przypadku. Będą one uzależnione od rodzaju zdarzenia i w trakcie postępowania wyjaśniającego – wraz z ustalaniem nowych faktów – środki i metody mogą ulegać modyfikacji. Pełnomocnik powinien również określić wstępnie krąg osób, które będą w jego zainteresowaniu.

18 Istotnym elementem, dla skuteczności prowadzonego postępowania wyjaśniającego jest czas jaki upłyną od incydentu naruszenia bezpieczeństwa informacji do momentu powiadomienia pełnomocnika ochrony i wszczęcia postępowania wyjaśniającego. Czym okres ten jest dłuższy, tym szansa ustalenia okoliczności i przyczyn nieprawidłowości jest coraz mniejsza.

19 Pierwszą z czynności jest zabezpieczenie dowodów np. ścinków dokumentu, który uległ nieuprawnionemu zniszczeniu; miejsca zdarzenia; systemu teleinformatycznego, w którym doszło do naruszenia bezpieczeństwa informacji niejawnych; bądź też śladów. Dowody i ślady należy utrwalać za pomocą zdjęć, filmów, opisów, itp. Kolejną z czynności jaką powinien uczynić pełnomocnik to dokonanie oględzin ewidencji i rejestrów, w których dokument został zarejestrowany, aby ustalić numer dokumentu, osoby które z nim miały styczność, czego dotyczył, skąd wpłynął. Są to pierwsze podstawowe informacje, niezbędne do dalszego prowadzenia postępowania. Z czynności tej powinna zostać sporządzona notatka służbowa.

20 Jedną z najważniejszych czynności w czasie postępowania wyjaśniającego jest przeprowadzenie rozmów z osobami, które mogą coś wnieść do sprawy i odpowiednie udokumentowanie tego. Zadawane pytania powinny być na piśmie, a osoby przepytywane powinny udzielać odpowiedzi również pisemnie w formie oświadczeń na zadawane pytania. Jeżeli odpowiedzi zawierają informacje niejawne dokumenty z ich treścią powinny zostać opatrzone odpowiednią klauzulą.

21 W trakcie przepytywania osoby udzielające informacji nie są traktowani jak świadkowie, w związku z czym pełnomocnik ochrony nie może posiłkować się art. 233 kk o odpowiedzialności za fałszywe zeznania (oświadczenia), jak to jest np. w postępowaniach z zakresu bhp przy ustalaniu okoliczności wypadku przy pracy. Ważnym warunkiem prawidłowego wyjaśnienia okoliczności naruszenia przepisów jest prawdomówność osób udzielających pomocy oraz winnych naruszenia bezpieczeństwa informacji. Jest to warunek konieczny prawidłowej oceny zaistniałej sytuacji w pierwszej fazie postępowania wyjaśniającego. Ocena ta ma istotne znaczenie dla podjęcia dalszych kroków (w sytuacjach skrajnych podjęte szybko działania mogą zapobiec nieodwracalnym i bardzo znacznym konsekwencjom).

22 Jeżeli odpowiedzi przepytywanych są formułowane „ostro” nie pozostawiając cienia wątpliwości w jaki sposób i kiedy doszło do naruszenia bezpieczeństwa informacji, ułatwi to w znacznym stopniu pomyślne zakończenie postępowania wyjaśniającego. Natomiast jeżeli w odpowiedziach znajdzie się wiele niepewności zawartych w stwierdzeniach: przypuszczalnie, prawdopodobnie, chyba, to na pełnomocniku spoczywa obowiązek uwiarygodnienia odpowiedzi poprzez dokonanie innych dowodów, na podstawie których niektóre fakty będzie można wykluczyć a inne potwierdzić, tak aby w ustaleniach było jak najmniej niejasności i nieścisłości.

23 W wyniku przeprowadzonych rozmów, pełnomocnik ochrony powinien ustalić:  kto z dokumentem się zapoznawał,  jakie on miał znaczenie dla prowadzonej sprawy,  czy można go odtworzyć,  czy dokument został opatrzony odpowiednią klauzulą tajności, w zgodzie z ustawowymi zasadami (np. czy nie doszło do zawyżenia klauzuli),  jakie konsekwencje wynikają z tytułu naruszenia bezpieczeństwa informacji niejawnych (ujawnienia, nieuprawnionego zniszczenia). W ustaleniu powyższego jest niezbędny udział autora dokumentu (w przypadku dokumentu własnego), wykonawcy merytorycznego oraz przełożonego lub przełożonych ww.

24 Postępowanie wyjaśniające powinno również dać odpowiedz na pytanie, które konkretnie przepisy i wdrożone procedury zostały naruszone, czy naruszenie przepisów nastąpiło umyślnie, czy też może celowo. W przypadku stwierdzenia, że do naruszenia bezpieczeństwa informacji doszło, ale nie wywołało to negatywnych konsekwencji bowiem dokument można odtworzyć, prowadzone sprawy nie ucierpiały, a zachowanie sprawcy naruszenia było zgodne z przyjętymi zasadami, możemy założyć, że do zdarzenia doszło poprzez działanie nieumyślne wynikające z niefrasobliwości, lekkomyślności itp.

25 A co w sytuacji jak nie jesteśmy w stanie uzyskać wiarygodnych wyjaśnień i ustalić kiedy i co faktycznie się stało z dokumentem? Pozostaje jedynie wskazać osobę, która według ewidencji powinna posiadać dokument, opisać najprawdopodobniejszą wersję utraty dokumentu i jeżeli nie ma przesłanek do uznania, że informacje wyciekły należy sprawę zamknąć do momentu pojawienia się nowych okoliczności. Jeżeli w sprawie pojawią się jakieś nowe fakty sprawę należy uzupełnić (np. po jakimś czasie znajdzie się dokument, albo okaże się, że kolega zza biurka, z jakiś niskich pobudek zrobił „kawał” osobie, która powinna dokument posiadać).

26 W przypadku utraty dokumentu lub ujawnienia informacji niejawnych z dokumentu otrzymanego, powinno się zawiadomić nadawcę. W ramach prowadzonego postępowania wyjaśniającego można również zarządzić doraźną kontrolę kancelarii tajnej.

27 W przypadku naruszenia bezpieczeństwa informacji niejawnych w systemach teleinformatycznych, zasady postępowania powinny być określone w dokumencie „Procedury bezpiecznej eksploatacji”. Każdy incydent powinien być jak najszybciej wyjaśniony przy wsparciu administratora systemu i inspektora bezpieczeństwa teleinformatycznego. W przypadku ujawnienia informacji niejawnej osobie nieuprawnionej lub świadomego uszkodzenia, zniszczenia, bezzasadnej modyfikacji zasobów postępowanie wyjaśniające należy przeprowadzić w pełnym zakresie, natomiast w przypadku wystąpienia niewielkich strat, wystarczą rutynowe działania służb informatycznych pozwalające na usunięcie awarii, odtworzenie uszkodzonych zasobów, pouczenie użytkownika i ponowna analiza systemu zabezpieczeń i ich poprawienie. Zdarzenie takie powinno być odnotowane w „Rejestrze zdarzeń nadzwyczajnych systemu TI”.

28 4. Określenie przyczyn zaistniałej sytuacji Na podstawie analizy zebranego materiału, pełnomocnik ochrony musi zdiagnozować całą sytuację, przede wszystkim musi wskazać przyczynę naruszenia bezpieczeństwa informacji niejawnych, określić która z „żelaznych” zasad ochrony informacji niejawnych i które procedury zostały naruszone.

29 Zebrany materiał powinien dać odpowiedz na pytanie, czy incydent powstał w wyniku niekompetencji, lekceważącego podejścia do zasad ochrony informacji niejawnych lub też innych przyczyn. Winę należy przypisać konkretnej osobie, należy wskazać czy osoba ta szybciej dopuszczała się naruszenia bezpieczeństwa informacji niejawnych. W przypadku powtarzania się pewnych podobnych zdarzeń naruszenia bezpieczeństwa informacji, należy poddać analizie przyjęte rozwiązania, być może one przyczyniają się do powstawania nieprawidłowości, być może wdrożone procedury są niewystarczające i należy je uzupełnić lub poddać modyfikacji.

30 5. Wnioski i zalecenia Po dokonanych ustaleniach, po określeniu przyczyn powstania badanej sytuacji, należy wyciągnąć wnioski i wskazać zalecenia do zrealizowania. Mogą to być:  szkolenia, jeżeli przyczyną zdarzenia był błąd osoby dysponującej dokumentem (informacją),  wnioski personalne, jeżeli przyczyną zdarzenia było zaniedbanie ze strony osoby, która była zobowiązana do ochrony dokumentu. W przypadku, gdy naruszenia przepisów ochrony informacji niejawnych dopuszcza się ta sama osoba i nie daje ona rękojmi zachowania tajemnicy, można zaproponować przeprowadzenie postępowania sprawdzającego przed upływem terminu ważności wydanego szybciej poświadczenia.

31  zalecenia zmian w systemie ochrony informacji niejawnych, jeżeli źródło naruszenia bezpieczeństwa informacji tkwiło w niewłaściwej organizacji ich ochrony.

32 6. Powiadomienie właściwych organów. W pierwszej kolejności z ustaleniami postępowania wyjaśniającego należy zapoznać kierownika jednostki organizacyjnej przedkładając mu protokół. Protokół powinien zawierać: opis wykonanych czynności, opis zebranych dowodów, opis poczynionych ustaleń, wskazanie winnych zaniedbań propozycje zmian, które należy poczynić w celu poprawy bezpieczeństwa informacji niejawnych. Jeżeli protokół zawiera informacje niejawne, pełnomocnik ochrony powinien nadać mu – odpowiednią do ujętych w nim informacji – klauzulę tajności.

33 Kierownik jednostki organizacyjnej powinien odnieść się do przedstawionych faktów i propozycji, oraz zlecić podjęcie dalszych kroków tj. np. wyciągnięcie konsekwencji służbowych wobec winnych zaniedbań, wdrożenie zmian w systemie ochrony informacji niejawnych, przeprowadzenia szkoleń, itd. Następnie, zgodnie z art. 18. ust 9 należy powiadomić właściwą SOP. Zawiadomienie powinno mieć formę pisemną i powinno zawierać: krótki opis zdarzenia, konsekwencje wywołane naruszeniem bezpieczeństwa informacji niejawnych, oraz podjęte przedsięwzięcia mające na celu zapobieżenie powstawaniu podobnych sytuacji. Protokół ustaleń z postępowania wyjaśniającego, może stanowić załącznik do przesyłanej informacji..

34 W przypadku, gdy badany czyn nosi znamiona przestępstwa określone w art. 265 kk lub § 2 art. 266 kk tj: ART. 265 KK § 1. Kto ujawnia lub wbrew przepisom ustawy wykorzystuje informacje stanowiące tajemnicę państwową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. § 2. Jeżeli informację określoną w § 1 ujawniono osobie działającej w imieniu lub na rzecz podmiotu zagranicznego, sprawca podlega karze pozbawienia wolności od 6 miesięcy do lat 8. § 3. Kto nieumyślnie ujawnia informację określoną w § 1, z którą zapoznał się w związku z pełnieniem funkcji publicznej lub otrzymanym upoważnieniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

35 ART. 266 KK § 2. Funkcjonariusz publiczny, który ujawnia osobie nieuprawnionej informację stanowiącą tajemnicę służbową lub informację, którą uzyskał w związku z wykonywaniem czynności służbowych, a której ujawnienie może narazić na szkodę prawnie chroniony interes, podlega karze pozbawienia wolności do lat 3. niezależnie od powiadomienia SOP, kierownik jednostki organizacyjnej ma obowiązek zawiadomić prokuraturę o podejrzeniu popełnienia przestępstwa ściganego z urzędu.

36 Zobowiązuje go do tego art. 304 kodeksu postępowania karnego, który stanowi: Art § 1. Każdy dowiedziawszy się o popełnieniu przestępstwa ściganego z urzędu ma społeczny obowiązek zawiadomić o tym prokuratora lub Policję. Przepis art. 191 § 3 stosuje się odpowiednio. § 2. Instytucje państwowe i samorządowe, które w związku ze swą działalnością dowiedziały się o popełnieniu przestępstwa ściganego z urzędu, są obowiązane niezwłocznie zawiadomić o tym prokuratora lub Policję oraz przedsięwziąć niezbędne czynności do czasu przybycia organu powołanego do ścigania przestępstw lub do czasu wydania przez ten organ stosownego zarządzenia, aby nie dopuścić do zatarcia śladów i dowodów przestępstwa.

37 Definicja funkcjonariusza publicznego została zawarta w art. 115 § 13 kodeksu karnego i brzmi: Funkcjonariuszem publicznym jest: 1) Prezydent Rzeczypospolitej Polskiej, 2) poseł, senator, radny, 2a) poseł do Parlamentu Europejskiego, 3) sędzia, ławnik, prokurator, notariusz, komornik, kurator sądowy, osoba orzekająca w sprawach o wykroczenia lub w organach dyscyplinarnych działających na podstawie ustawy, 4) osoba będąca pracownikiem administracji rządowej, innego organu państwowego lub samorządu terytorialnego, chyba że pełni wyłącznie czynności usługowe, a także inna osoba w zakresie, w którym uprawniona jest do wydawania decyzji administracyjnych,

38 cd. definicji funkcjonariusza publicznego 5) osoba będąca pracownikiem organu kontroli państwowej lub organu kontroli samorządu terytorialnego, chyba że pełni wyłącznie czynności usługowe, 6) osoba zajmująca kierownicze stanowisko w innej instytucji państwowej, 7) funkcjonariusz organu powołanego do ochrony bezpieczeństwa publicznego albo funkcjonariusz Służby Więziennej, 8) osoba pełniąca czynną służbę wojskową.

39 Obowiązek zawiadomienia prokuratury o podejrzeniu popełnienia przestępstwa ciąży na kierowniku jednostki również w przypadku czynu zabronionego opisanego w art. 269 kk: § 1. Kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego albo zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności od 6 miesięcy do lat 8. § 2. Tej samej karze podlega, kto dopuszcza się czynu określonego w § 1, niszcząc albo wymieniając nośnik informacji lub niszcząc albo uszkadzając urządzenie służące do automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych.

40 Jeżeli badany przypadek dotyczy ujawnienia tajemnicy służbowej i nie popełnił go funkcjonariusz publiczny, przestępstwo to może być ścigane na wniosek poszkodowanego na podstawie art. 266 § 1 tj: § 1. Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. § 3. Ściganie przestępstwa określonego w § 1 następuje na wniosek pokrzywdzonego. Jednak, jeżeli taki wniosek nie zostanie skierowany do prokuratury, winny ujawnienia nie poniesie odpowiedzialności karnej.

41 Taka sama sytuacja ma miejsce w przypadku stwierdzenia popełnienia przestępstwa przeciwko ochronie informacji z art. 267, 268, 268a kodeksu karnego: Art. 267 kk § 1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. § 2. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym. § 3. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1 lub 2 ujawnia innej osobie. § 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.

42 Art § 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. § 2. Jeżeli czyn określony w § 1 dotyczy zapisu na komputerowym nośniku informacji, sprawca podlega karze pozbawienia wolności do lat 3. § 3. Kto, dopuszczając się czynu określonego w § 1 lub 2, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. § 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.

43 Art. 268a. § 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3. § 2. Kto, dopuszczając się czynu określonego w § 1, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. § 3. Ściganie przestępstwa określonego w § 1 lub 2 następuje na wniosek pokrzywdzonego.

44 DZIĘKUJĘ ZA UWAGĘ