Wrażliwe informacje dotyczące bezpieczeństwa

Arkusz tytułowy używany do poufnych informacji zabezpieczających.

Sensitive Security Information lub SSI to termin używany w Stanach Zjednoczonych do określenia poufnych, ale jawnych informacji uzyskanych lub opracowanych w ramach działań związanych z bezpieczeństwem, których publiczne ujawnienie stanowiłoby nieuzasadnione naruszenie prywatności, ujawnienie tajemnic handlowych lub uprzywilejowanych lub poufnych informacji lub zagrażać bezpieczeństwu transportu. Nie jest to forma klasyfikacji zgodnie z rozporządzeniem wykonawczym 12958 z późniejszymi zmianami. SSI nie jest klasyfikacją bezpieczeństwa informacji dotyczących bezpieczeństwa narodowego (np. ściśle tajne, tajne). Ochrona i udostępnianie SSI jest regulowane przez tytuł 49 Kodeksu Przepisów Federalnych (CFR), części 15 i 1520. To oznaczenie jest przypisane do informacji, aby ograniczyć dostęp do informacji tylko do tych osób, które „ muszą wiedzieć " w celu uczestniczenia w ochronie narodowego systemu transportowego lub nadzorowania jej. Osoby, które muszą wiedzieć, mogą obejmować osoby spoza TSA, takie jak operatorzy portów lotniczych, operatorzy samolotów, przewoźnicy kolejowi, nadawcy i odbiorcy kolejowych materiałów niebezpiecznych, statki i statki morskie właściciele i operatorzy portów, zagraniczni właściciele statków i inne osoby.

Informacje oznaczone jako SSI nie mogą być udostępniane ogółowi społeczeństwa i są zwolnione z ujawniania na mocy ustawy o wolności informacji (FOIA).

Tło: historia legislacyjna i regulacyjna

Po atakach terrorystycznych z 11 września 2001 r. w Stanach Zjednoczonych Kongres uchwalił ustawę o bezpieczeństwie lotnictwa i transportu (Pub. L. No. 107-71) znaną jako ATSA, która ustanowiła Administrację Bezpieczeństwa Transportu DOT ( TSA). Ustawa przeniosła również odpowiedzialność za ochronę lotnictwa cywilnego z FAA na TSA. W dniu 22 lutego 2002 r. FAA i TSA opublikowały wspólną ostateczną zasadę przenoszącą większość zasad bezpieczeństwa lotnictwa FAA, w tym rozporządzenie FAA SSI do TSA jako 49 CFR część 1520. Określono również bardziej szczegółowo, które informacje są SSI i chronione oceny podatności dla wszystkich środków transportu. The Ustawa o bezpieczeństwie wewnętrznym z 2002 r. (Pub. L. Nr 107-296) ustanowiła Departament Bezpieczeństwa Wewnętrznego (DHS) i przeniosła TSA z DOT do DHS. Ustawa zmieniła również tytuł 49 USC §40119, aby zachować uprawnienia SSI dla Sekretarza Transportu i dodała podsekcję (s) do 49 USC § 114, potwierdzający uprawnienia TSA w ramach DHS do wydawania przepisów SSI. TSA i DOT rozszerzyły rozporządzenie SSI, aby uwzględnić środki bezpieczeństwa morskiego wdrożone przez przepisy US Coast Guard i wyjaśnić istniejące wcześniej przepisy SSI w tymczasowej ostatecznej regule (IFR) wydanej 18 maja 2004 r. Rozporządzenie DOT SSI znajduje się w 49 CFR część 15 i rozporządzenie TSA SSI pozostaje na poziomie 49 CFR część 1520.

Ustawa REAL ID z 2005 r. (Pub. L. nr 109–13) wymagała od DHS ustanowienia standardów praw jazdy, które agencje federalne mogłyby akceptować do celów oficjalnej identyfikacji, w tym „wchodzenia na pokład komercyjnych samolotów podlegających przepisom federalnym”. Tytuł 6 CFR część 37 został opublikowany 29 stycznia 2008 r. i wymaga planu bezpieczeństwa i powiązanych ocen podatności, które są zdefiniowane jako SSI i podlegają przepisom 49 CFR 1520.

Ustawa o środkach na bezpieczeństwo wewnętrzne z 2006 r. (Pub. L. No. 109-90, skodyfikowana w 6 USC § 114) wymagała od DHS zapewnienia w całym departamencie zasad oznaczania, zabezpieczania i oznaczania dokumentów jako SSI, wraz z procedurami audytu i odpowiedzialności . Ustawa wymagała również, aby DHS zgłaszał Kongresowi liczbę koordynatorów SSI w DHS oraz dostarczał w całości listę dokumentów oznaczonych jako SSI. Wymagało to również, aby DHS dostarczyło wytyczne zawierające obszerne przykłady SSI w celu dalszego zdefiniowania poszczególnych kategorii określonych w sekcji 1520.5(b)(1) do (16) 49 CFR. Ustawa nakazała, aby takie wytyczne służyły jako podstawowa podstawa i upoważnienie do ochrony, udostępniania i oznaczania informacji jako SSI.

Ustawa o środkach na bezpieczeństwo wewnętrzne z 2007 r. (Pub. L. No. 109-295) wymagała od DHS zmiany dyrektyw SSI i terminowego rozpatrywania wniosków SSI. Zawierał on również wymogi sprawozdawcze, upoważniał rozszerzony dostęp do SSI w sporach sądowych i wymagał, aby wszystkie SSI starsze niż trzy lata, a nie należące do aktualnych kategorii SSI, były zwalniane na żądanie, chyba że sekretarz DHS [lub osoba wyznaczona] podejmie pisemną decyzję, że informacje musi pozostać SSI.

Ostateczna zasada bezpieczeństwa transportu kolejowego, opublikowana w Rejestrze Federalnym w dniu 26 listopada 2008 r., dodaje do części 1520 warunki związane z koleją i osoby objęte ochroną, w tym przewoźników kolejowych, obiekty kolejowe, nadawców i odbiorców kolejowych materiałów niebezpiecznych oraz kolejowe systemy tranzytowe, które są wyszczególniono w nowej części 1580. Chociaż oceny podatności kolei i informacje o zagrożeniach były już SSI w części 1520, ta ostatnia reguła dotycząca kolei określa, że ​​informacje dotyczące dochodzeń i inspekcji w zakresie bezpieczeństwa kolei, środków bezpieczeństwa, materiałów szkoleniowych w zakresie bezpieczeństwa, aktywów krytycznej infrastruktury kolejowej oraz badań i rozwój to także SSI.

Kategorie

Jak wyliczono w 49 CFR §1520.5(b), istnieje 16 kategorii SSI, w tym trzy rodzaje. Cztery kategorie są określane jako „kategoryczne” i są automatycznie oznaczane jako SSI. Jedenaście kategorii wymaga oceny lub analizy, aby otrzymać oznaczenie SSI, a jedna kategoria jest określana jako „inna” i jest określana na pisemny wniosek upoważnionego urzędu.

Określanie poufnych informacji o zabezpieczeniach

Informacje otrzymujące oznaczenie SSI obejmują między innymi:

• Programy bezpieczeństwa i plany awaryjne dotyczące dowolnego operatora statku powietrznego, operatora lotniska lub programu bezpieczeństwa operatora stacjonarnej bazy.
• Plany awaryjne dotyczące bezpieczeństwa dotyczące dowolnego statku, obiektu morskiego lub obszaru portowego.
• Krajowe lub obszarowe plany bezpieczeństwa.
• Plany reagowania na incydenty bezpieczeństwa.
• Dyrektywy bezpieczeństwa wydane przez TSA
• Projekty zabezpieczeń prawa jazdy, opisy zabezpieczeń oraz klucze prywatne do zawartych w nich zaszyfrowanych danych odczytywalnych maszynowo .
• Informacje dotyczące zaawansowanych metod uwierzytelniania wydanych przez państwo praw jazdy i dowodów osobistych.
• Stanowe plany bezpieczeństwa prawa jazdy i karty identyfikacyjnej.
• Metody oceny podatności w zabezpieczonych dokumentach wydanych przez rząd

Krytyka i pochwała polityki SSI

We wrześniu 2004 r. dwóch członków Komisji ds. Środków Domowych zwróciło się do audytorów o sprawdzenie, w jaki sposób Departament Bezpieczeństwa Wewnętrznego wykorzystuje swoje uprawnienia do ukrywania informacji dotyczących bezpieczeństwa transportu przed opinią publiczną. Problem polega na tym, że materiał musi być chroniony, ale społeczeństwo musi być również informowane o informacjach, które mają wpływ na ich bezpieczeństwo.

Niektóre omawiane przykłady to:

• TSA miała pisemne odpowiedzi na pytania, które zostały określone jako poufne informacje dotyczące bezpieczeństwa, ale miesiąc wcześniej nie potraktowała tych samych informacji jako poufnych.
• TSA stwierdziło, że pewne informacje związane z elektroniczną kontrolą bagażu rejestrowanego na lotniskach to SSI, w przypadku gdy informacje te zostały już ujawnione publicznie.

Ustalono, że stosowanie przez TSA przepisów SSI doprowadziło do pewnych sporów dotyczących procedur bezpieczeństwa na lotnisku, odpowiedzialności pracowników, kontroli pasażerów i umów o zachowaniu tajemnicy lotniskowej. Niektórzy uważają, że zbyt wiele informacji zostało utajnionych przed opinią publiczną w odniesieniu do niektórych z tych okoliczności.

Powstała opinia była taka, że ​​wrażliwe materiały muszą być chronione, ale opinia publiczna musi być również informowana o informacjach, które mają wpływ na bezpieczeństwo. „Chociaż ujawnienie pewnych poufnych informacji może narazić obywateli kraju i infrastrukturę na ryzyko, rząd federalny powinien pamiętać o uzasadnionym interesie publicznym i prawie do wiedzy o informacjach związanych z zagrożeniami dla systemu transportowego i związanymi z nimi słabymi punktami. W związku z tym, dostęp do tych informacji powinien być ograniczony tylko wtedy, gdy jest to konieczne do ochrony przed tymi, którzy stanowią zagrożenie, oraz ich zdolności do opracowywania technik obalających środki bezpieczeństwa”.

W raporcie dla Kongresu z 30 listopada 2007 r. zatytułowanym „ Procesy Administracji Bezpieczeństwa Transportu w zakresie wyznaczania i uwalniania poufnych informacji dotyczących bezpieczeństwa” , Government Accountability Office (GAO) stwierdził:

„DHS, głównie za pośrednictwem biura SSI TSA, zajął się wszystkimi mandatami legislacyjnymi zawartymi w ustawie o środkach DHS z 2007 r. i podjął działania w celu spełnienia wszystkich zaleceń zawartych w naszym raporcie z czerwca 2005 r. DHS zrewidował swój MD (tj. dyrektywę dotyczącą zarządzania), aby odpowiada na potrzebę aktualizacji wytycznych SSI, a TSA ustanowiła bardziej rozbudowane kryteria i przykłady SSI, które odpowiadają wymaganiom ustawy DHS Appropriations Act z 2007 r. oraz naszej rekomendacji z 2005 r., aby TSA ustanowiła wytyczne i procedury korzystania z przepisów TSA w celu określenia, co stanowi SSI. Ponadto TSA udokumentowała kryteria i przykłady w różnych publikacjach, aby służyć jako wskazówki do identyfikacji i wyznaczania SSI. TSA udostępniła również swoją dokumentację dotyczącą kryteriów i przykładów innym agencjom DHS.

W zeznaniu Kongresu w sprawie wymiany informacji dla bezpieczeństwa wewnętrznego i kontrolowanych informacji jawnych (CUI) przedstawionych 28 lipca 2008 r., GAO poszedł jeszcze dalej, stwierdzając:

„Program Administracji Bezpieczeństwa Transportu (TSA) dotyczący zarządzania informacjami, które określa jako poufne informacje dotyczące bezpieczeństwa, może służyć jako model do kierowania wdrażaniem CUI przez inne agencje”.