Zgodnie z ustawą z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2010 r., Nr 182, poz. 1228 z późn. zm.) informacjami niejawnymi są informacje, których nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody dla Rzeczypospolitej Polskiej albo byłoby z punktu widzenia jej interesów niekorzystne, także w trakcie ich opracowywania oraz niezależnie od formy i sposobu ich wyrażania.
Przetwarzanie informacji niejawnych to wszelkie operacje wykonywane w odniesieniu do informacji niejawnych i na tych informacjach, w szczególności ich wytwarzanie, modyfikowanie, kopiowanie, klasyfikowanie, gromadzenie, przechowywanie, przekazywanie lub udostępnianie (art. 2 pkt 5 UOchInfN).
Informacje niejawne mogą być udostępnione wyłącznie osobie dającej rękojmię zachowania tajemnicy i tylko w zakresie niezbędnym do wykonywania przez nią pracy lub pełnienia służby na zajmowanym stanowisku albo wykonywania czynności zleconych.
Informacje niejawne, którym nadano określoną klauzulę tajności:
- mogą być udostępnione wyłącznie osobie uprawnionej, zgodnie z przepisami ustawy dotyczącymi dostępu do określonej klauzuli tajności;
- muszą być przetwarzane w warunkach uniemożliwiających ich nieuprawnione ujawnienie, zgodnie z przepisami określającymi wymagania dotyczące kancelarii tajnych, bezpieczeństwa systemów teleinformatycznych, obiegu materiałów i środków bezpieczeństwa fizycznego, odpowiednich do nadanej klauzuli tajności;
- muszą być chronione, odpowiednio do nadanej klauzuli tajności, z zastosowaniem środków bezpieczeństwa określonych w ustawie o ochronie informacji niejawnych i przepisach wykonawczych wydanych na jej podstawie.
Kierownik jednostki organizacyjnej, w której są przetwarzane informacje niejawne o klauzuli „tajne” lub „ściśle tajne”, obowiązany jest utworzyć kancelarię, zwaną kancelarią tajną (art. 42 ust. 1 UOchInfN).
Kancelaria tajna stanowi wyodrębnioną komórkę organizacyjną, w zakresie ochrony informacji niejawnych podległą pełnomocnikowi ochrony, obsługiwaną przez pracowników pionu ochrony, odpowiedzialną za właściwe rejestrowanie, przechowywanie, obieg i wydawanie materiałów uprawnionym osobom.
Kierownik jednostki organizacyjnej może wyrazić zgodę na przetwarzanie w kancelarii tajnej informacji niejawnych o klauzuli „poufne” lub „zastrzeżone”.
Organizacja pracy kancelarii tajnej zapewnia możliwość ustalenia w każdych okolicznościach, gdzie znajduje się materiał o klauzuli „tajne” lub „ściśle tajne” pozostający w dyspozycji jednostki organizacyjnej oraz kto z tym materiałem się zapoznał.
W jednostkach organizacyjnych, o których mowa w art. 47 ust. 3 UOchInfN, dopuszcza się organizowanie innych niż kancelaria tajna komórek organizacyjnych odpowiedzialnych za przetwarzanie materiałów niejawnych.
Jednostki organizacyjne, w których są przetwarzane informacje niejawne, obowiązane są stosować środki bezpieczeństwa fizycznego odpowiednie do poziomu zagrożeń w celu uniemożliwienia osobom nieuprawnionym dostępu do takich informacji, w szczególności chroniące przed:
- działaniem obcych służb specjalnych;
- zamachem terrorystycznym lub sabotażem;
- kradzieżą lub zniszczeniem materiału;
- próbą wejścia osób nieuprawnionych do pomieszczeń, w których są przetwarzane informacje niejawne;
- nieuprawnionym dostępem do informacji o wyższej klauzuli tajności niewynikającym z posiadanych uprawnień.
Zakres stosowania środków bezpieczeństwa fizycznego należy uzależnić od poziomu zagrożeń związanych z nieuprawnionym dostępem do informacji niejawnych lub ich utratą. Przy określaniu poziomu zagrożeń uwzględnia się w szczególności występujące rodzaje zagrożeń, klauzule tajności i liczbę informacji niejawnych. W uzasadnionych przypadkach przy określaniu poziomu zagrożeń uwzględnia się wskazania odpowiednio ABW lub SKW.
W celu uniemożliwienia osobom nieuprawnionym dostępu do informacji niejawnych o klauzuli „poufne” lub wyższej należy w szczególności:
- zorganizować strefy ochronne;
- wprowadzić system kontroli wejść i wyjść ze stref ochronnych;
- określić uprawnienia do przebywania w strefach ochronnych;
- stosować wyposażenie i urządzenia służące ochronie informacji niejawnych, którym przyznano certyfikaty.
Systemy teleinformatyczne, w których mają być przetwarzane informacje niejawne, podlegają akredytacji bezpieczeństwa teleinformatycznego (art. 48 ust. 1 UOchInfN).
Akredytacji udziela się na czas określony, nie dłuższy niż 5 lat. ABW albo SKW udziela akredytacji bezpieczeństwa teleinformatycznego dla systemu teleinformatycznego przeznaczonego do przetwarzania informacji niejawnych o klauzuli „poufne” lub wyższej. ABW albo SKW udziela albo odmawia udzielenia akredytacji w terminie 6 miesięcy od otrzymania kompletnej dokumentacji bezpieczeństwa systemu teleinformatycznego. W uzasadnionych przypadkach, w szczególności wynikających z rozległości systemu i stopnia jego skomplikowania, termin ten może być przedłużony o kolejne 6 miesięcy. Od odmowy udzielenia akredytacji nie służy odwołanie. Potwierdzeniem udzielenia przez ABW albo SKW akredytacji jest świadectwo akredytacji bezpieczeństwa systemu teleinformatycznego.
Warunkiem dostępu przedsiębiorcy do informacji niejawnych w związku z wykonywaniem umów albo zadań wynikających z przepisów prawa jest zdolność do ochrony informacji niejawnych (art. 54 ust. 1 UOchInfN).
Dokumentem potwierdzającym zdolność do ochrony informacji niejawnych o klauzuli „poufne” lub wyższej jest świadectwo bezpieczeństwa przemysłowego wydawane przez ABW albo SKW po przeprowadzeniu postępowania bezpieczeństwa przemysłowego. W przypadku przedsiębiorcy wykonującego działalność jednoosobowo i osobiście zdolność do ochrony informacji niejawnych potwierdza poświadczenie bezpieczeństwa upoważniające do dostępu do informacji niejawnych o klauzuli tajności „poufne” lub wyższej, wydawane przez ABW albo SKW, i zaświadczenie o odbytym przeszkoleniu w zakresie ochrony informacji niejawnych wydawane przez ABW albo SKW. Powyższe nie ma zastosowania w przypadku, gdy obowiązek uzyskania świadectwa wynika z ratyfikowanej przez Rzeczpospolitą Polską umowy międzynarodowej lub prawa wewnętrznego strony zawierającej umowę.