Na podlagi četrtega odstavka 17. člena, šestega in
desetega odstavka 39. člena ter osmega in štirinajstega odstavka 39.a
člena Zakona o tajnih podatkih (Uradni list RS, št. 50/06 – uradno
prečiščeno besedilo, 9/10, 60/11 in 8/20) Vlada Republike Slovenije izdaja
UREDBO
o varovanju tajnih podatkov
I. SPLOŠNE DOLOČBE
1. člen
(vsebina uredbe)
Ta uredba določa načine in oblike označevanja tajnih
podatkov, fizične, organizacijske in tehnične ukrepe ter obvezne sestavine
postopkov za varovanje tajnih podatkov, ki jih morajo pri vzpostavitvi sistema
ukrepov in postopkov varovanja tajnih podatkov upoštevati in zagotoviti vsi
organi in organizacije iz drugega in tretjega odstavka 1. člena Zakona o
tajnih podatkih (Uradni list RS, št. 50/06 – uradno prečiščeno besedilo,
9/10, 60/11 in 8/20; v nadaljnjem besedilu: zakon).
2. člen
(namen ukrepov varovanja)
(1) Namen ukrepov varovanja tajnih podatkov je, da se z
vzpostavitvijo ukrepov neposrednega fizičnega varovanja tajnih podatkov,
varovanih prostorov ali objektov (fizični ukrepi), ukrepov ravnanja organa in
organizacije pri obravnavanju tajnih podatkov (organizacijski ukrepi) ter
ukrepov varovanja tajnih podatkov, varovanih prostorov ali objektov s
tehničnimi sredstvi v skladu s to uredbo (tehnični ukrepi) vzpostavi sistem
postopkov in ukrepov varovanja tajnih podatkov, ki ustreza stopnji tajnosti
tajnih podatkov in stopnji tajnosti komunikacijsko informacijskih sistemov ter
onemogoča njihovo razkritje nepooblaščenim osebam.
(2) Določbe, ki v tej uredbi urejajo varovanje tajnih
podatkov, se uporabljajo tudi za varovanje tajnih podatkov tujih držav ali
mednarodnih organizacij, razen če ni izrecno določeno drugače.
3. člen
(pomen izrazov)
Izrazi, uporabljeni v tej uredbi, pomenijo:
1.
javni prostor je prostor, dostopen vsem, v katerem se dogaja javno
življenje;
2.
lastna prenosna mreža je organizirana znotraj posameznega organa ali
organizacije za fizični prenos tajnih podatkov;
3.
komunikacijsko informacijski sistem (v nadaljnjem besedilu: sistem) je
namenjen varovanju tajnih podatkov; sestavljajo ga programska, strojna,
komunikacijska ter druga oprema in deluje samostojno ali v omrežju ter je
namenjena zbiranju, procesiranju, distribuciji, uporabi in drugi obdelavi
podatkov v elektronski obliki;
4.
varovanje tajnih podatkov v sistemih zajema določanje in uporabo ukrepov
varovanja tajnih podatkov, ki se obravnavajo prek komunikacijskih,
informacijskih in drugih elektronskih sistemov, pred naključno ali namerno
izgubo tajnosti, celovitosti ali razpoložljivosti tajnih podatkov ter ukrepov za
preprečevanje izgube celovitosti in razpoložljivosti samih sistemov;
5.
nosilec podatka je vsak medij, na katerem so zapisani podatki v fizični
ali elektronski obliki;
6.
elektronski nosilec podatkov je vsako sredstvo, na katerem je možno
dolgoročno shranjevati podatke v elektronski obliki (trdi diski, diskete,
magnetni trakovi, elektronski pomnilni nosilci podatkov, optični pomnilni
nosilci podatkov, USB-ključ, CD/DVD-nosilec podatkov, zunanji disk in drugi);
7.
ključne sestavine sistema so strežniki, usmerjevalniki in delilniki
prometa, oprema za upravljanje in nadzor, aktivna oprema za prenos podatkov v
nešifrirani obliki, oprema za kriptirno zaščito podatkov, varnostne pregrade,
oprema za odkrivanje in zaščito pred vdori, oprema za izdelavo varnostnih kopij
in druge sestavine;
8.
iznos podatka iz sistema pomeni tiskanje, shranjevanje na elektronski
nosilec podatkov (USB-ključ, CD/DVD-nosilec podatkov, zunanji disk in drugi)
ali izmenjavo z drugim sistemom prek medsebojne povezave sistemov;
9.
neželeno elektromagnetno sevanje je sevanje, ki se nenadzorovano
razširja in omogoča nepooblaščeno seznanitev s tajnimi podatki;
10.
revizijska sled je elektronska evidenca dejavnosti sistema tako po
sistemskih ter aplikacijskih procesih kot po uporabniški rabi sistema in
aplikacij ter omogoča odkrivanje varnostnih kršitev, težav z zmogljivostjo,
rekonstrukcijo dogodkov in analizo;
11.
razvid je namensko in sistematično spremljanje, beleženje ali vodenje
podatkov;
12.
preostalo tveganje je tveganje, ki v sistemu ostane tudi po izvajanju
varnostnih ukrepov;
13.
kriptografija je znanstvena veda, ki se ukvarja s konstrukcijo in
analizo kriptografskih prvin in protokolov, ki pripomorejo k zagotavljanju
zaupnosti, celovitosti, pristnosti in nezatajljivosti podatkov;
14.
kriptografski algoritem je končno zaporedje pravil ali ukazov, ki
sosledje bitov, kar pomeni čistopis, pretvori v drugo sosledje, ki je
neberljivo sporočilo;
15.
kriptografske prvine so osnovni sestavni deli kriptografske rešitve;
16.
overjanje je preverjanje pristnosti entitete;
17.
incident je vsak dogodek, ki bi lahko imel škodljiv učinek na varovanje
tajnih podatkov v sistemih.
II. DOLOČANJE IN OZNAČEVANJE TAJNIH PODATKOV
4. člen
(določanje tajnih podatkov)
Pooblaščena oseba, določena v 10. členu zakona, s pisno
oceno, glede na možne škodljive posledice, podatkom določi ustrezno stopnjo
tajnosti. V pisni oceni se opredelijo razlogi za določitev stopnje tajnosti ter
določi način prenehanja tajnega podatka.
5. člen
(hramba pisne ocene)
Pisna ocena, na podlagi katere je bila določena stopnja
tajnosti podatka, se hrani v skladu z rokom hrambe tajnega podatka pri organu,
ki je določil stopnjo tajnosti.
6. člen
(označevanje tajnih podatkov)
(1) Vsak dokument, nosilec podatkov in ključna sestavina
sistema morajo biti ob določitvi stopnje tajnosti vidno označeni s predpisanimi
oznakami stopnje tajnosti. Vsi dokumenti morajo imeti na vseh straneh
dokumenta, v glavi in nogi označeno stopnjo tajnosti vključno z zunanjimi
stranmi prednjih platnic, če obstajajo. Vsaka stran dokumenta mora imeti v nogi
poleg stopnje tajnosti navedeno tudi zaporedno številko strani glede na skupno
število strani dokumenta (npr. 3/10). Naslovna stran je lahko brez oznake
zaporedne številke strani. Oznaka stopnje tajnosti na nosilcih (npr.
zemljevidi, fotografije, CD/DVD, USB), ki vsebujejo tajne podatke, mora biti na
nosilcu podatkov vidno natiskana, natipkana, napisana, naslikana, nalepljena
ali kako drugače pritrjena s primernimi sredstvi.
(2) Naslov dokumenta mora biti oblikovan na način, da ne
vsebuje tajnih podatkov. Če to ni mogoče, se naslov označi v skladu z
8. členom te uredbe.
(3) Če spremni dopis ne vsebuje tajnih podatkov, se
praviloma ne označi s stopnjo tajnosti. Pri navajanju prilog, ki vsebujejo
tajne podatke, se poleg navedbe priloge vpiše oznaka stopnje tajnosti (npr. (I)).
(4) Če se dokument ali nosilec podatkov hrani v
kakršnemkoli ovoju, mora biti ta označen z ustrezno stopnjo tajnosti.
(5) Označevanje dokumentov ali nosilcev podatkov tajnega
podatka ne sme uničiti, poškodovati ali povzročiti, da ta postane kako drugače
neuporaben.
(6) Sistem mora imeti vgrajen mehanizem, ki uporabnika
seznani s tajnostjo pri prikazu ali iznosu. Če sistem ne omogoča prikaza
stopnje tajnosti posameznega podatka, mora upravljavec sistema zagotoviti, da
se uporabnik sistema nedvoumno seznani ob vsakokratnem vstopu v sistem z
najvišjo stopnjo varovanja tajnih podatkov v sistemu.
(7) Če je tajnost podatka določil organ, ki ni skrbnik
sistema, mora imeti prikaz oznako tega organa.
(8) Vsi dokumenti, ki vsebujejo tajne podatke, morajo
poleg oznak, določenih v tem členu, vsebovati sklic na dokument in datum
dokumenta iz 4. člena te uredbe.
(9) Vsi dokumenti ali nosilci podatkov stopnje tajnosti
TAJNO in STROGO TAJNO morajo poleg oznak, določenih v tej uredbi, vsebovati še:
-
številko izvoda dokumenta;
-
število morebitnih prilog.
(10) Vsi dokumenti, označeni s stopnjo tajnosti STROGO
TAJNO, se poleg oznak, določenih v tej uredbi, dodatno označijo z rdečo črto
debeline najmanj štiri milimetre, ki poteka diagonalno pod kotom 45 stopinj
štiri centimetre od zgornjega desnega roba strani.
(11) Oznaka stopnje tajnosti se mora jasno razlikovati
od drugih zapisov, pri čemer se za zapis oznake uporabijo poudarjene velike
tiskane črke, ki morajo biti večje od črk preostalih zapisov.
(12) Oznake stopnje tajnosti iz tega člena so razvidne
iz vzorcev oznak INTERNO, ZAUPNO, TAJNO IN STROGO TAJNO, ki so v Prilogi 1, ki
je sestavni del te uredbe.
7. člen
(označevanje tujih tajnih podatkov)
Tuji tajni podatki ohranijo izvirno oznako. Poleg izvirne
oznake se lahko na dokument vpiše tudi primerljiva stopnja tajnosti tajnega
podatka v slovenskem jeziku.
8. člen
(izjemno označevanje)
(1) V dokumentu, ki vsebuje tajne podatke, se izjemoma
lahko označi vsak odstavek, del odstavka ali posamezna beseda z različno
stopnjo tajnosti, in sicer tako, da:
-
se na začetku in koncu vsakega odstavka, dela odstavka ali besede
vpišejo oznake (I), (Z), (T), (ST);
-
je dokument, ki vsebuje več delov besedila različnih stopenj tajnosti,
označen z najvišjo stopnjo tajnosti posameznega dela besedila;
-
se v prostor za dodatne oznake vpiše, da so odstavki ali deli odstavkov
ali posamezne besede označeni z različno stopnjo tajnosti.
(2) Pooblaščena oseba, ki je določila stopnjo tajnosti,
mora v pisni oceni zapisati tudi razloge za določitev različne stopnje tajnosti
posameznih delov besedila.
9. člen
(označevanje sprememb stopnje tajnosti ali preklica)
(1) Kadar se tajnemu podatku spremeni stopnja tajnosti
ali se tajni podatek prekliče, se na dokumentu ali nosilcu podatkov, ki vsebuje
tajni podatek, prečrtajo prvotne oznake tajnosti, pod staro oznako ali nad njo
pa se navede nova oznaka stopnje tajnosti ali preklic stopnje tajnosti. Poleg
navedenih oznak se na dokumentu navede še sklic na pisno obrazložitev spremembe
ali preklica stopnje tajnosti. Namenski program za evidentiranje in hranjenje
dokumentarnega gradiva v elektronski obliki mora omogočati razvid vseh sprememb
označevanja in podlag za te spremembe.
(2) Tajnim podatkom v dokumentih, označenih po
predpisih, ki so veljali pred uveljavitvijo Zakona o tajnih podatkih (Uradni
list RS, št. 87/01), se ob njihovi ponovni uporabi določi stopnja tajnosti
v skladu z zakonom in to uredbo. Stare oznake stopnje tajnosti se prečrtajo,
pod ali nad njimi pa se navedejo nove oznake stopnje tajnosti.
(3) Pooblaščena oseba organa, ki je tajnemu podatku
spremenila stopnjo tajnosti ali jo preklicala, mora o spremembi ali preklicu
obvestiti vse, ki so tajni podatek prejeli ali imajo dostop do njega.
10. člen
(označevanje kopij)
(1) Fizična kopija celotnega ali dela dokumenta, ki
vsebuje tajne podatke, mora imeti oznako stopnje tajnosti izvirnika in oznako,
da je kopija, in sicer tako, da se na prvi strani v višini zgornje oznake
stopnje tajnosti na desno stran napišejo beseda KOPIJA, njena zaporedna
številka in datum izdelave kopije. Tako mora biti označen tudi dodaten izpis
tajnega podatka v elektronski obliki, kadar je v obliki kopije.
(2) Iz kopije tajnega podatka mora biti razvidno, iz
katerega zapisa ali dela zapisa izhaja kopija (številka, datum, številka strani
dokumenta, ki vsebuje tajni podatek).
11. člen
(izločanje tajnih podatkov iz dokumentov)
(1) Če dokument ali njegov del le delno vsebuje tajne
podatke oziroma so le posamezni odstavki dokumenta označeni s stopnjo tajnosti
in jih je zaradi izvedbe določenih nalog organa mogoče izločiti iz dokumenta ne
da bi to ogrozilo njihovo tajnost, lahko pooblaščena oseba organa, ki je
določila stopnjo tajnosti, izloči te podatke iz dokumenta.
(2) Iz dokumenta, iz katerega so bili v skladu s
prejšnjim odstavkom izločeni tajni podatki, se odstranijo oznake stopenj
tajnosti.
(3) V dokumentu, iz katerega so bili izločeni tajni
podatki, je treba navesti, da so bili iz dokumenta izločeni tajni podatki.
(4) Izločanje oziroma odstranjevanje tajnih podatkov iz
dokumentov pomeni, da se besedilo prekrije in se ohrani originalna oblika
dokumenta.
III. OBRAVNAVA IN HRAMBA TAJNIH PODATKOV
12. člen
(obravnava tajnih podatkov)
(1) Tajni podatki stopnje tajnosti INTERNO se
obravnavajo v upravnem območju. Tajni podatki stopnje tajnosti ZAUPNO ali višje
stopnje tajnosti se obravnavajo v varnostnem območju, ki je glede na način
obravnavanja tajnih podatkov uvrščen v varnostno območje I. ali II. stopnje.
(2) Ne glede na prejšnji odstavek se lahko tajni podatki
stopnje tajnosti ZAUPNO in TAJNO obravnavajo v upravnem območju pod pogoji,
določenimi s to uredbo.
(3) Ne glede na prvi in drugi odstavek tega člena se
tajni podatki do vključno stopnje tajnosti TAJNO lahko obravnavajo tudi izven
varnostnega in upravnega območja pod pogoji, določenimi s to uredbo.
(4) Kadar je tajni podatek do vključno stopnje tajnosti
TAJNO zaradi izvedbe točno določene naloge treba izjemoma obravnavati izven
upravnega ali varnostnega območja, mora organ zagotoviti, da se na takšnem
območju vzpostavi začasno upravno ali varnostno območje, kjer se smiselno
izvajajo ukrepi in postopki, določeni s to uredbo.
(5) Kadar začasnega upravnega ali varnostnega območja iz
tehničnih, organizacijskih in drugih razlogov ni mogoče vzpostaviti, se tajni
podatki lahko obravnavajo pod pogoji, določenimi v 15. členu te uredbe.
13. člen
(vzpostavitev začasnega upravnega območja)
(1) Predstojnik organa ali oseba, ki jo ta pooblasti,
mora za vzpostavitev začasnega upravnega območja izdelati dokument, v katerem
se opredelijo:
-
obseg začasnega upravnega območja;
-
način varovanja;
-
režim vstopa in izstopa;
-
drugi potrebni ukrepi ob izrednih dogodkih (za primer požara, vloma,
potresa ipd.).
(2) Zagotoviti je treba 24-urno neposredno in
neprekinjeno fizično ali tehnično varovanje in kontrolo vstopa oziroma preverjanje
identitete vstopajočih.
14. člen
(vzpostavitev začasnega varnostnega območja)
(1) Predstojnik organa ali oseba, ki jo ta pooblasti,
mora za vzpostavitev začasnega varnostnega območja izdelati dokument, v katerem
se opredelijo:
-
obseg začasnega varnostnega območja;
-
način varovanja;
-
režim vstopa in izstopa;
-
ocena varnostnih tveganj obravnave tajnih podatkov;
-
drugi potrebni ukrepi ob izrednih dogodkih (za primer požara, vloma,
potresa ipd.).
(2) Zagotoviti je treba 24-urno neposredno in
neprekinjeno fizično varovanje začasnega varnostnega območja in okolice ter
kontrolo vstopa oziroma preverjanje identitete vstopajočih. Fizično varovanje
se lahko dopolni s prvinami tehničnega varovanja.
(3) Pred vzpostavitvijo začasnega varnostnega območja se
opravi protiprisluškovalni pregled prostorov.
(4) Tajni podatki stopnje tajnosti ZAUPNO ali višje se
hranijo v skladu s to uredbo.
(5) Voditi je treba seznam oseb, ki vstopajo v začasno
varnostno območje.
15. člen
(obravnavanje tajnih podatkov izven upravnega in varnostnega
območja)
(1) Kadar začasnega upravnega ali varnostnega območja iz
tehničnih, organizacijskih in drugih razlogov ni mogoče vzpostaviti, se tajni
podatki lahko obravnavajo le pod pogoji, določenimi v tem členu. Predstojnik
organa ali oseba, ki jo ta pooblasti, določi, da se za izvedbo določenih nalog
ali dogodkov tajni podatki stopnje tajnosti INTERNO, ZAUPNO in TAJNO
obravnavajo izven upravnega in varnostnega območja.
(2) Tajnih podatkov ni dovoljeno obravnavati na javnem
prostoru oziroma na poti. Izjemoma se lahko tajni podatek do vključno stopnje
tajnosti TAJNO obravnava izven upravnega in varnostnega območja, pri čemer je
treba zagotoviti, da se s tajnim podatkom ne seznanijo nepooblaščene osebe ter
da ima oseba tajni podatek ves čas pod nadzorom.
(3) Obravnavanje tajnih podatkov v sistemih izven
varnostnega in upravnega območja je dovoljeno v sistemih z izdanim varnostnim
dovoljenjem za delovanje in z uporabo kriptografskih rešitev z izdanim
potrdilom o varnostni ustreznosti. Sistemi, kriptografske rešitve in podatki
morajo biti zaščiteni pred nepooblaščenim dostopom.
(4) Vsak iznos ali vnos nosilca tajnega podatka zunaj
upravnega in varnostnega območja se evidentira. Oseba, ki prevzame nosilec
tajnega podatka, to potrdi s podpisom ter s tem prevzame odgovornost in skrb za
varnost tajnih podatkov.
16. člen
(hramba tajnih podatkov)
(1) Tajni podatki stopnje tajnosti INTERNO se hranijo v
upravnem območju v zaklenjenih pisarniških ali kovinskih omarah, ključi se
hranijo ločeno. Tajni podatki stopnje tajnosti ZAUPNO ali višje stopnje
tajnosti se hranijo v varnostnem območju II. stopnje v ustreznih blagajnah ali
v varnostnem območju I. stopnje.
(2) Organi tajne podatke, ki so del zadeve organa,
hranijo v skladu z roki, določenimi s predpisi, ki urejajo poslovanje z
dokumentarnim in arhivskim gradivom. Po preteku roka hrambe se izločijo in
uničijo v skladu s 50. členom te uredbe.
(3) Ne glede na prejšnji odstavek centralna registra EU
in Nata hranita tajne podatke največ dve leti od prejema. Po preteku omenjenega
časa tajne podatke uničita v skladu s 50. členom te uredbe.
(4) Organizacije tajne podatke hranijo, dokler jih
potrebujejo za opravljanje delovnih nalog. Po uporabi tajne podatke uničijo v
skladu s 50. členom te uredbe ali jih vrnejo pristojnemu organu.
IV. FIZIČNI UKREPI VAROVANJA
17. člen
(varnostno območje I. stopnje)
(1) Varnostno območje I. stopnje je označen prostor, v
katerem se varujejo tajni podatki stopnje tajnosti ZAUPNO ali višje stopnje
tajnosti tako, da lahko že sam vstop v varnostno območje omogoča dostop do teh
podatkov. V varnostnem območju I. stopnje se izvajajo najmanj naslednji
varnostni postopki in ukrepi:
-
jasno določen in varovan obseg območja, v katerem se zagotavlja nadzor
nad vstopom ali izstopom oseb in vozil v to območje, dovoljuje vstop samo
osebam, ki imajo dovoljenje za dostop do tajnih podatkov ustrezne stopnje
tajnosti in imajo dovoljenje za vstop v to območje;
-
vodenje razvida tajnih podatkov, ki se v varnostnem območju hranijo na
način, da se oseba z njimi seznani že ob samem vstopu v to območje;
-
prepoved vnosa mehanskih, elektronskih in magnetno optičnih sestavnih
delov, s katerimi je mogoče tajne podatke nepooblaščeno posneti, odnesti ali
prenesti, oziroma kakršnihkoli naprav, s katerimi je mogoča zloraba tajnih podatkov.
Izjemoma vnos in uporabo takih naprav odobri oseba, odgovorna za varnost
varnostnega območja;
-
neposredno in neprekinjeno fizično varovanje varnostnega območja ali
delovnih prostorov, v katerih je varnostno območje, z elektronskim sistemom za
protivlomno varovanje varnostnega območja. Po končanem delovnem času se
pregledajo prostori. Intervencijski čas po sproženem alarmnem signalu mora biti
krajši od sedem minut.
(2) Okoli varnostnega območja I. stopnje ali na poti, ki
vodi v tako varnostno območje, se vzpostavi upravno območje.
(3) Vstop oseb v varnostno območje in njihov izstop ter
dostop vozil morajo biti nadzorovani. Vsi vstopi in izstopi se morajo
evidentirati.
(4) Predstojnik organa določi osebe, ki lahko samostojno
vstopajo v varnostno območje I. stopnje.
(5) Vstop brez ustreznega dovoljenja za dostop do tajnih
podatkov se lahko omogoči drugim osebam, ki se zaradi opravljanja svoje delovne
naloge ne bodo seznanile s tajnimi podatki in imajo ves čas zadrževanja v
varnostnem območju zagotovljeno spremstvo oseb iz prejšnjega odstavka. Oseba iz
prejšnjega odstavka mora pred vstopom osebe brez ustreznega dovoljenja
poskrbeti, da bodo tajni podatki umaknjeni oziroma da bo preprečeno, da bi se
oseba brez ustreznega dovoljenja seznanila s tajnim podatkom.
18. člen
(varnostno območje II. stopnje)
(1) Varnostno območje II. stopnje je označen prostor, v
katerem se tajni podatki stopnje tajnosti ZAUPNO ali višje stopnje tajnosti
varujejo tako, da sam vstop in gibanje v tem območju še ne omogočata dostopa do
teh podatkov, saj so pred nepooblaščenim dostopom znotraj območja dodatno
zaščiteni. V varnostnem območju II. stopnje se izvajajo najmanj ti varnostni
postopki in ukrepi:
a)
jasno določen in varovan obseg območja, v katerem se zagotavlja nadzor
nad vstopom in izstopom oseb in vozil in dovoljuje vstop v to območje samo
osebam, ki imajo dovoljenje za dostop do tajnih podatkov ustrezne stopnje
tajnosti in imajo dovoljenje za vstop v to območje;
b)
vstop brez ustreznega dovoljenja za dostop do tajnih podatkov se lahko omogoči
drugim osebam, ki se zaradi opravljanja svoje delovne naloge ne bodo seznanile
s tajnimi podatki in imajo ves čas zadrževanja v varnostnem območju
zagotovljeno spremstvo oseb iz četrtega odstavka tega člena;
c)
organiziranost dela, ki zagotavlja, da bodo imeli zaposleni v organu ali
organizaciji dostop le do tistih tajnih podatkov, ki jih potrebujejo za
opravljanje delovnih nalog, in sicer do tiste stopnje tajnosti, za katero imajo
dovoljenje;
d)
druge osebe organa ali organizacije, ki niso na seznamu iz četrtega
odstavka tega člena, vstopajo v varnostno območje samo v spremstvu oseb iz
četrtega odstavka tega člena ali ob izvajanju druge enakovredne oblike nadzora,
ki zagotavlja, da bo oseba vstopila samo v dele območja, povezane z namenom
obiska, in če je to potrebno, se bo seznanila le s tistimi tajnimi podatki, ki
so povezani z namenom obiska, in sicer do tiste stopnje tajnosti, za katero ima
dovoljenje;
e)
protivlomno varovanje varnostnega območja z elektronskim sistemom,
katerega alarmni signal je vezan na enoto, odgovorno za ukrepanje ob alarmu
(varnostno nadzorni center). Intervencijski čas po sproženem alarmnem signalu
mora biti krajši od petnajstih minut. Izjemoma, kadar to zahteva izvajanje
nalog organa, lahko predstojnik organa v sklepu o določitvi varnostnega območja
določi, da se intervencijski čas po sproženem alarmnem signalu podaljša, vendar
ne več kot na 30 minut. Na podlagi ocene ogroženosti se lahko izvaja tudi
neposredno in neprekinjeno fizično varovanje varnostnega območja ali delovnih
prostorov, v katerih je varnostno območje;
f)
prepoved vnosa mehanskih, elektronskih in magnetno optičnih sestavnih
delov, s katerimi je mogoče tajne podatke nepooblaščeno posneti, odnesti ali
prenesti, oziroma kakršnihkoli naprav, s katerimi je mogoča zloraba tajnih
podatkov. Izjemoma vnos in uporabo takih naprav odobri oseba, odgovorna za
varnost varnostnega območja;
g)
po končanem delovnem času se varnostno območje varuje s sistemom
fizičnega ali protivlomnega varovanja oziroma z občasnimi fizičnimi pregledi
prostorov, določenimi v načrtu varovanja.
(2) Okoli varnostnega območja II. stopnje ali na poti,
ki vodi v takšno varnostno območje, se vzpostavi upravno območje.
(3) Vstop oseb v varnostno območje in njihov izstop ter
dostop vozil morajo biti pod nadzorom. Vsi vstopi in izstopi se morajo
evidentirati.
(4) Predstojnik organa določi osebe, ki lahko samostojno
vstopajo v varnostno območje II. stopnje.
19. člen
(upravno območje)
Upravno območje je vidno določen obseg prostora, v katerem
organ ali organizacija nadzira vstopanje in izstopanje oseb in vozil ter
njihovo gibanje. V upravnih območjih se lahko varujejo tajni podatki stopnje
tajnosti INTERNO. Z varnostnimi postopki in ukrepi se zagotavlja, da imajo
dostop do teh podatkov samo osebe, ki so s pisno izjavo potrdile, da so
seznanjene s predpisi, ki urejajo varovanje tajnih podatkov, in se morajo s
temi podatki seznaniti zaradi opravljanja delovnih nalog.
20. člen
(centralni register EU in Nata)
(1) Centralna registra EU in Nata sta pristojna za
varovanje tajnih podatkov EU in Nata stopnje tajnosti ZAUPNO in višje.
Centralna registra EU in Nata varujeta tudi tajne podatke EU in Nata stopnje
tajnosti INTERNO, če jih prejemniki teh podatkov ne prejmejo na drug način ali
zanje zaprosijo pristojni register.
(2) Zaposleni v centralnih registrih morajo imeti
veljavno dovoljenje za dostop do tajnih podatkov stopnje tajnosti STROGO TAJNO.
(3) Predstojnik organa določi vodjo in namestnika
centralnega registra, ki skrbi za izvajanje varnostnih ukrepov v zvezi z
varovanjem tajnih podatkov v centralnem registru.
(4) V Centralnem registru Nata predstojnik organa določi
pooblaščeno nadzorno osebo (Cosmic Control Officer /CCO/). Njene naloge so
določene v varnostni politiki Nata.
21. člen
(podregistri EU in Nata ter kontrolne točke Nata)
(1) Podregistri in kontrolne točke so pristojni za
varovanje tajnih podatkov EU in Nata stopnje tajnosti ZAUPNO in višjih stopenj
tajnosti znotraj posameznih organov. Podregistri in kontrolne točke lahko
varujejo tudi tajne podatke EU in Nata stopnje tajnosti INTERNO, če jih
prejemniki teh podatkov ne prejmejo na drug način ali zanje zaprosijo pristojni
podregister oziroma kontrolno točko.
(2) Podregister ali kontrolna točka se določi na podlagi
predhodnega ogleda, ki ga opravi nacionalni varnostni organ. Nacionalni
varnostni organ opravi ogled na podlagi vloge, v kateri je treba predložiti
tudi načrt varovanja. Z ogledom se preveri, ali postopki in ukrepi tehničnega
in fizičnega varovanja ter organiziranost varovanja zagotavljajo ustrezno raven
varovanja tajnih podatkov glede na vrsto, količino in oceno ogroženosti tajnih
podatkov. Pri ocenjevanju ustreznosti varovanja je treba upoštevati kombinacijo
postopkov in ukrepov tehničnega in fizičnega varovanja ter organiziranost
varovanja, ki mora biti določena v načrtu varovanja, načrt pa mora biti izdelan
pred ogledom.
(3) Zaposleni v podregistrih ali kontrolnih točkah
morajo imeti veljavno dovoljenje za dostop do tajnih podatkov najmanj stopnje
tajnosti, za katero je vzpostavljen podregister ali kontrolna točka.
(4) Predstojnik organa določi vodjo in namestnika
podregistra ali kontrolne točke, ki skrbi za izvajanje varnostnih ukrepov v
zvezi z varovanjem tajnih podatkov v podregistru ali kontrolni točki.
(5) V podregistru ali kontrolni točki Nata, ki je vzpostavljena
za varovanje tajnih podatkov do vključno stopnje tajnosti STROGO TAJNO,
predstojnik organa določi pooblaščeno nadzorno osebo (Cosmic Control Officer
CCO). Njene naloge so določene v varnostni politiki Nata.
22. člen
(oprema varnostnega in upravnega območja)
Oprema varnostnega in upravnega območja ter preostali pogoji,
ki jih morajo izpolnjevati upravna in varnostna območja, so določeni v Prilogi
2, ki je sestavni del te uredbe.
23. člen
(identifikacijska izkaznica)
(1) Vse osebe, ki se gibljejo v upravnem ali varnostnem
območju, morajo imeti na vidnem mestu pripeto identifikacijsko izkaznico za
vstop in gibanje v upravnem oziroma varnostnem območju (v nadaljnjem besedilu:
identifikacijska izkaznica). Z internim aktom se lahko izjemoma določi, kdaj
nekaterim osebam v upravnem oziroma varnostnem območju ni treba na vidnem mestu
nositi identifikacijskih izkaznic.
(2) Podobo identifikacijskih izkaznic in njihovo
tehnično izvedbo določi predstojnik organa.
24. člen
(določitev varnostnega in upravnega območja)
(1) Predstojnik organa ali organizacije ali oseba, ki jo
on pooblasti, določi varnostna in upravna območja s sklepom in o tem obvesti
nacionalni varnostni organ.
(2) Varnostno oziroma upravno območje v organizaciji se
določi na podlagi predhodno opravljenega ogleda, ki ga izvede organ, pristojen
za izdajo varnostnega dovoljenja organizaciji. Z ogledom se preveri, ali
postopki in ukrepi tehničnega in fizičnega varovanja ter organiziranost
varovanja zagotavljajo ustrezno raven varovanja tajnih podatkov glede na vrsto,
količino in oceno ogroženosti tajnih podatkov. Pri ocenjevanju ustreznosti
varovanja varnostnega območja je treba upoštevati kombinacijo postopkov in
ukrepov tehničnega in fizičnega varovanja ter organiziranost varovanja, ki mora
biti določena v načrtu varovanja, načrt pa mora biti izdelan pred ogledom. Pri
vzpostavitvi upravnega območja v organih ogled ni potreben.
(3) Organ ali organizacija mora pred določitvijo
varnostnega območja pridobiti soglasje nacionalnega varnostnega organa o ustreznosti
varnostnotehnične opreme, vgrajene v varnostno območje, ter postopkov in
ukrepov varovanja varnostnega območja. Nacionalni varnostni organ izda mnenje
na podlagi predhodnega ogleda, ki ga opravi v ta namen.
25. člen
(označevanje varnostnih in upravnih območij)
(1) Oseba, ki vstopi v varnostno območje, mora biti o
tem nedvoumno in jasno obveščena še pred vstopom.
(2) Obvestilo iz prejšnjega odstavka mora vsebovati
dobro vidne napise: »naziv organa – VARNOSTNO OBMOČJE – II. oziroma I.
stopnje«, ki so jim lahko dodana še druga obvestila, povezana z varnostnimi
postopki in ukrepi, ki se izvajajo v varnostnem območju.
(3) Za označitev upravnega območja ni potrebno posebno
obvestilo iz prvega odstavka tega člena, zadošča, da je območje oziroma stavba
ali okoliš, v katerem je območje, označena s tablami o imenu organa ali
organizacije ter obvestilom o nadzoru vstopa in gibanja, če se ta izvaja.
(4) Izjemoma, kadar to zahteva izvajanje nalog organa,
lahko predstojnik organa v sklepu o določitvi varnostnega območja določi, da se
varnostno območje ne označi z obvestilom iz drugega odstavka tega člena ali da
se označi na način, ki javnosti ne razkriva, da je to objekt organa.
(5) Vzorec napisov iz drugega odstavka tega člena je
določen v Prilogi 3, ki je sestavni del te uredbe.
26. člen
(nadzor vhoda in izhoda v varnostna in upravna območja)
(1) Samostojen vstop pooblaščenih oseb v varnostno
območje se nadzira z ugotavljanjem identitete vstopajoče osebe. Fizični ali
videonadzor vstopa v varnostna območja je lahko dopolnjen s sistemom samodejne
kontrole vstopa, ki temelji na identifikaciji z uporabo elektronskih
identifikacijskih kartic in prepoznave biometričnih značilnosti vstopajoče
osebe. Biometrična prepoznava je lahko dopolnjena ali nadomeščena z uporabo unikatne
osebne identifikacijske številke.
(2) Nadzor vstopa zaposlenega osebja v upravna območja
temelji na sistemu fizične ali samodejne kontrole vstopa.
(3) Pred vstopom drugih oseb v varnostno in upravno
območje mora oseba, ki nadzira vstop v varnostno in upravno območje, preveriti
njihovo identiteto in namen obiska ter izpolnjevanje drugih pogojev za vstop v
varnostno območje.
(4) V načrtu varovanja varnostnega območja morajo biti
predvideni ukrepi in postopki nadzora ter omejitev vstopa in gibanja v varnostnem
in upravnem območju, kadar to zahteva ocena ogroženosti ali to določajo
spremenjene varnostne razmere.
27. člen
(varovanje opreme)
(1) Varnostnotehnična oprema, nameščena v upravnih in
varnostnih območjih, mora biti zavarovana tako, da je ne morejo uporabljati
nepooblaščene osebe.
(2) Pri vzdrževanju in servisiranju opreme, ki se
uporablja za varovanje tajnih podatkov, je treba preprečiti iznos tajnih
podatkov (npr. tistih, ki bi lahko ostali zapisani v iznesenih gradnikih
vzdrževane opreme).
28. člen
(varovanje ključnih sestavin sistema)
(1) Vse ključne sestavine sistema, s katerimi se
obravnavajo tajni podatki v nešifrirani obliki (razen pri prenosu tajnih
podatkov po optičnih povezavah v upravnem območju), morajo biti, glede na
stopnjo tajnosti v tem sistemu varovanih tajnih podatkov, nameščene v upravno
ali varnostno območje.
(2) Ne glede na prejšnji odstavek se ključne sestavine
sistema lahko uporabljajo zunaj varnostnega ali upravnega območja pod pogoji,
določenimi v 15. členu te uredbe.
29. člen
(varovanje tajnih podatkov v sistemih)
(1) Sistem, namenjen varovanju tajnih podatkov, se ne
glede na izvedbo in njegove komponente obravnava kot en elektronski nosilec
podatkov. Dostop do tega nosilca je možen z različnih lokacij.
(2) Pri dostopu do tajnih podatkov mora biti uporabnik
nedvoumno opozorjen o najvišji stopnji tajnosti podatkov, ki se varujejo v
sistemu.
(3) Elektronski nosilec podatkov, na katerih se opravi
iznos tajnih podatkov, se obravnava kot vsi preostali nosilci s tajnimi
podatki. Elektronski nosilec podatkov, na katerih so tajni podatki šifrirani s
kriptografsko rešitvijo, ki ima potrdilo o varnostni ustreznosti, se
obravnavajo v skladu z minimalnimi varnostnimi zahtevami kriptografske rešitve.
30. člen
(protiprisluškovalni pregled)
(1) Varnostna območja, v katerih se ustno ali drugače
zvočno obravnavajo tajni podatki stopnje tajnosti TAJNO ali višje stopnje
tajnosti, se morajo zaščititi pred pasivnimi ali aktivnimi poskusi
prisluškovanja s protiprisluškovalnimi pregledi. Protiprisluškovalni pregled
takih območij se opravi:
-
ob določitvi varnostnega območja,
-
pri spremembi zaposlenih v območju, če to zahteva ocena ogroženosti,
-
po odločitvi predstojnika,
-
najmanj vsakih 24 mesecev ali
-
ob vzpostavitvi začasnega varnostnega območja.
(2) V organih in organizacijah iz 1. člena zakona
varnostna območja iz prejšnjega odstavka protiprisluškovalno pregleda notranja
organizacijska enota Policije.
(3) Ne glede na prejšnji odstavek protiprisluškovalni
pregled varnostnih območij v Ministrstvu za obrambo ter organizacijah, ki zanj
izvajajo naročila, izvede pristojna organizacijska enota Ministrstva za
obrambo, v Slovenski obveščevalno-varnostni agenciji ter organizacijah, ki
zanjo izvajajo naročilo, pa notranja organizacijska enota agencije.
31. člen
(omare in blagajne)
(1) V zgornji levi kot omar in blagajn na zunanji strani
se glede na stopnjo tajnosti podatkov, ki se hranijo v vsaki od njih, prilepi
nalepka primerne velikosti z velikimi tiskanimi črkami:
-
I za stopnjo tajnosti INTERNO;
-
Z za stopnjo tajnosti ZAUPNO;
-
T za stopnjo tajnosti TAJNO;
-
ST za stopnjo tajnosti STROGO TAJNO.
(2) Če se v blagajni hranijo podatki različnih stopenj
tajnosti, mora vrsta blagajne ustrezati najvišji stopnji tajnosti podatkov, ki
se hranijo v njej, in mora biti s tako stopnjo tajnosti tudi označena.
32. člen
(nastavitev kombinacij ključavnic za blagajne)
(1) Število oseb, seznanjenih s posameznimi
kombinacijami ključavnic, mora biti čim manjše. Predstojnik organa ali
organizacije oziroma oseba, ki jo ta pooblasti, to zagotovi z razporedom
delovne naloge.
(2) Nastavitve kombinacij elektronskih in mehanskih
ključavnic se zamenjajo:
-
ob začetku uporabe in po vsakem popravilu,
-
ko se zamenja oseba, ki pozna kombinacijo,
-
ko pride do dejanskega ali domnevno nepooblaščenega razkritja,
-
vsakih 12 mesecev ali
-
po odločitvi predstojnika.
V. KOPIRANJE IN PREVAJANJE TAJNIH PODATKOV
33. člen
(kopiranje)
(1) Tajni podatek stopnje tajnosti INTERNO se lahko
kopira, prepisuje ali skenira (v nadaljnjem besedilu: kopiranje) v upravnem
območju. Tajni podatek stopnje tajnosti ZAUPNO ali TAJNO se lahko kopira le v
varnostnem območju.
(2) Tajni podatki se lahko kopirajo le na podlagi
pisarniške odredbe predstojnika organa ali osebe, ki jo za to pooblasti
predstojnik organa.
(3) Naprave za izdelavo kopij, ki imajo lastnosti
elektronske naprave, morajo izpolnjevati pogoje, ki veljajo za naprave za
varovanje tajnih podatkov v sistemih.
(4) Iz pisarniške odredbe mora biti razvidno, kdo je
odobril kopiranje in kdo je prejel kopijo.
(5) Za vsako izdelano kopijo mora biti razvidno, kdo je
podatke kopiral.
(6) Tajni podatek EU in Nata stopnje tajnosti ZAUPNO ali
TAJNO se lahko kopira le v pristojnem registru ali podregistru ali kontrolni
točki, ki je tajne podatke prejel, na podlagi pisarniške odredbe predstojnika
organa ali osebe, ki jo za to pooblasti predstojnik organa.
(7) Organ, ki je določil podatek za tajnega stopnje
tajnosti INTERNO, ZAUPNO ali TAJNO, mora na dokumentu vidno označiti morebitno
prepoved kopiranja.
(8) Tajni podatek stopnje tajnosti STROGO TAJNO se ne
sme kopirati. Dodatne izvode zapisa tega tajnega podatka sme izdelati le
pooblaščena oseba organa, v katerem mu je bila določena stopnja tajnosti.
Izjema je tajni podatek Nata stopnje tajnosti STROGO TAJNO, katerega kopiranje
lahko odobri pooblaščena oseba v centralnem registru.
34. člen
(prevajanje)
(1) Tajni podatki se lahko prevajajo le na podlagi
pisarniške odredbe predstojnika organa ali osebe, ki jo za to pooblasti
predstojnik organa.
(2) Pred prevodom tajnega podatka stopnje tajnosti
STROGO TAJNO je treba pridobiti predhodno soglasje organa, ki je določil
podatek za tajnega.
(3) Organ ali organizacija, ki zaradi opravljanja nalog
dokument, ki vsebuje tajne podatke, prevede v drug jezik, mora na prevod
napisati vse oznake tajnega podatka in oznako, da gre za prevod. Poleg izvirne
oznake se na dokument vpiše tudi prevedena primerljiva stopnja tajnosti tajnega
podatka.
35. člen
(iznos tajnih podatkov iz sistema)
(1) Za vsak iznos tajnega podatka iz sistema je treba
voditi ustrezni razvid, ki zagotavlja beleženje iznosa.
(2) Ne glede na prejšnji odstavek se varnostna kopija
tajnih podatkov, ki je namenjena zagotavljanju neprekinjenega delovanja
sistema, ne obravnava kot kopija tajnih podatkov po tej uredbi. Vsi elektronski
nosilci varnostnih kopij podatkov sistema morajo biti ustrezno evidentirani in
označeni z najvišjo stopnjo tajnosti podatkov, ki se varujejo v sistemu.
(3) V varnostni dokumentaciji sistema, v katerem se
obravnavajo tajni podatki ZAUPNO in višje, se opredelijo vsa mesta, kjer je
možen iznos tajnega podatka iz sistema. Delovanje sistema mora zagotavljati, da
lahko tajne podatke iz sistema iznaša le pooblaščena oseba.
VI. EVIDENTIRANJE
36. člen
(evidentiranje tajnih podatkov v registrskem sistemu)
(1) V okviru registrskega sistema EU in Nata se
vzpostavi evidenca tajnih podatkov.
(2) V evidenco iz prejšnjega odstavka se vpisujejo
naslednji podatki, razen če jih tajni podatek ne vsebuje:
a)
evidenčna številka;
b)
datum dokumenta;
c)
številka dokumenta;
d)
naslov ali vrsta dokumenta (vabilo, zaprosilo, zapisnik, poročilo ipd.);
e)
stopnja tajnosti;
f)
številka kopije;
g)
datum prejema ali odpreme dokumenta;
h)
naslovnik (pri odpremi dokumenta);
i)
število strani;
j)
število prilog.
(3) Evidenca iz prvega odstavka tega člena se lahko
nadomesti z evidenco iz 37. člena te uredbe.
37. člen
(evidentiranje tajnih podatkov)
(1) V evidenco tajnih podatkov se vpisujejo naslednji
podatki, razen če jih tajni podatek ne vsebuje:
a)
evidenčna številka;
b)
datum dokumenta;
c)
številka dokumenta;
d)
naslov ali vrsta dokumenta (vabilo, zaprosilo, zapisnik, poročilo ipd.);
e)
stopnja tajnosti;
f)
številka kopije;
g)
subjekt dokumenta (pošiljatelj);
h)
prejemnik dokumenta (signirni znak) ali naslovnik (pri odpremi);
i)
datum prejema ali odpreme dokumenta;
j)
število strani;
k)
število prilog.
(2) Pri spremembi ali preklicu stopnje tajnosti mora
biti iz evidence razvidno, kdaj je bila tajnim podatkom preklicana ali
spremenjena stopnja tajnosti.
(3) Če niso izpolnjeni pogoji za varovanje tajnih
podatkov v sistemu za evidentiranje tajnih podatkov, se dokumenti, ki so
označeni s stopnjo tajnosti, ne skenirajo v sistem za evidentiranje tajnih
podatkov.
(4) Evidenca iz prvega odstavka tega člena lahko
nadomesti evidenco iz prejšnjega člena.
38. člen
(seznam vpogledov)
(1) Vsak organ in organizacija, ki hrani tajne podatke,
označene s stopnjo tajnosti TAJNO ali STROGO TAJNO, vodi seznam vpogledov, iz
katerega mora biti razvidno:
-
številka dokumenta, datum, stopnja tajnosti in številka izvoda ali
kopije dokumenta, ki vsebuje tajni podatek;
-
ime, priimek in podpis osebe, ki se je seznanila s tajnim podatkom, ter
datum in čas seznanitve.
(2) Seznam vpogledov se hrani pri vsakem nosilcu zapisa
tajnega podatka, označenega s stopnjo tajnosti TAJNO ali STROGO TAJNO.
(3) Vzorec seznama vpogledov v tajni podatek je v
Prilogi 4, ki je sestavni del te uredbe.
(4) Ne glede na drugi odstavek tega člena se seznam
vpogledov v tajne podatke stopnje tajnosti TAJNO in STROGO TAJNO v sistemih
vodi v obliki računalniškega zapisa dnevniških datotek (log datotek), iz
katerih morajo biti razvidni:
-
uporabniško ime;
-
datum in čas seznanitve.
(5) Seznam vpogledov v sistemih se vodi v elektronskih
dnevniških zapisih, katerih vsebine ni možno naknadno spreminjati.
VII. POGOJI ZA DISTRIBUCIJO TAJNIH PODATKOV
39. člen
(izpolnjevanje pogojev)
(1) Tajni podatek se lahko distribuira le osebam, ki
imajo dovoljenje za dostop do tajnih podatkov in se morajo s temi podatki
seznaniti zaradi opravljanja funkcije ali delovnih nalog.
(2) Če iz naslova ni možno razbrati posameznega
prejemnika tajnega podatka, distribucijo tajnega podatka znotraj organa ali
organizacije odredi predstojnik organa oziroma organizacije ali oseba, ki jo za
to pisno pooblasti predstojnik organa ali vodja organizacijske enote za delovno
področje, ki ga vodi.
(3) Nadaljnjo distribucijo tajnega podatka v organu
oziroma organizaciji lahko odredi tudi naslovnik tajnega podatka.
40. člen
(distribucijski seznam)
(1) Osebe iz drugega in tretjega odstavka prejšnjega
člena lahko določijo distribucijski seznam.
(2) Distribucijski seznam se lahko oblikuje za posamezne
dokumente ali za dokumente, ki sodijo v skupno vsebinsko področje.
Distribucijski seznam, oblikovan za posamezen dokument, se hrani v skladu z
rokom hrambe tajnega podatka. Distribucijski seznam, oblikovan za dokumente, ki
sodijo v skupno vsebinsko področje, se hrani trajno.
(3) Distribucijski seznam tajnih podatkov EU in Nata, s
katerim se določa distribucija centralnih registrov EU in Nata, se pripravi na
podlagi prejetih predlogov posameznih organov, ki imajo vzpostavljen
podregister ali kontrolno točko. Distribucijski seznam centralnih registrov EU
in Nata na predlog resornih ministrstev določi Vlada Republike Slovenije (v
nadaljnjem besedilu: vlada).
(4) Distribucijski seznam vsebuje vsaj naslednje
podatke:
-
oznako organa ali organizacijske enote ali centralnega registra ali
organizacije,
-
vsebinsko področje ali številko dokumenta in
-
prejemnika tajnih podatkov.
VIII. PRENOS TAJNIH PODATKOV
41. člen
(prenos in pošiljanje tajnih podatkov)
(1) Tajni podatki se prenašajo v dveh ovojnicah. Zunanja
ovojnica je iz trdnega in neprosojnega materiala. Iz oznak na zunanji ovojnici
ne sme biti razvidno, da vsebuje tajni podatek. Notranja ovojnica mora imeti
oznako stopnje tajnosti, številko dokumenta, podatke o naslovniku in
pošiljatelju ter druge podatke, pomembne za varnost.
(2) Pri prenosu tajnih podatkov do vključno stopnje
tajnosti TAJNO zunaj upravnega območja lahko zunanjo ovojnico nadomesti
zaklenjen ali zapečaten kovček, škatla ali torba.
(3) Pri prenosu tajnih podatkov stopnje tajnosti STROGO
TAJNO zunaj upravnega območja mora biti notranja ovojnica v zaprtem kovčku,
škatli ali torbi z zapiranjem na ključ ali šifrirno kombinacijo. Prenos
opravita najmanj dve osebi.
(4) Kadar se tajni podatki prenašajo znotraj varnostnega
ali upravnega območja, prenos v dveh ovojnicah ni potreben, morajo pa biti
zakriti tako, da se prepreči seznanitev z njihovo vsebino.
(5) Vsak organ oziroma organizacija mora določiti, kje
se sprejemajo nosilci tajnih podatkov in kdo jih sprejema. Naslovnik ali oseba,
pooblaščena za sprejem nosilcev tajnih podatkov, potrdi njihov prejem z vpisom
v dostavno ali kurirsko knjigo oziroma na drug način potrdi prejem tajnega
podatka.
(6) Osebe, ki prenašajo tajne podatke, morajo biti
varnostno preverjene glede na stopnjo tajnosti tajnih podatkov, ki jih prenašajo.
42. člen
(prenos tajnih podatkov na ozemlju Republike Slovenije)
(1) Tajni podatki stopnje tajnosti INTERNO se lahko
prenašajo s kurirsko službo, po lastni prenosni mreži ali priporočeni pošti s
povratnico. Tajni podatki stopnje tajnosti ZAUPNO ali višje stopnje tajnosti se
lahko prenašajo s kurirsko službo ali po lastni prenosni mreži (organa ali
naročnika). Izjemoma se lahko opravi osebni prenos tajnega podatka do vključno
stopnje tajnosti TAJNO, če ima oseba dovoljenje za dostop do tajnih podatkov ustrezne
stopnje tajnosti in ob upoštevanju pogojev iz 46. člena te uredbe. Tak
osebni prenos odobri predstojnik organa, če kurirska služba ni na voljo ali bi
uporaba te službe povzročila zamudo, ki bi imela škodljive posledice za
delovanje države.
(2) Za prenos tajnih podatkov Nata stopnje tajnosti
ZAUPNO ali višje stopnje tajnosti med organi in organizacijami je pristojna
vojaška kurirska služba. Izjemoma se lahko opravi osebni prenos tajnega podatka
do vključno stopnje tajnosti ZAUPNO pod pogoji iz prvega odstavka tega člena in
ob upoštevanju pogojev iz 46. člena te uredbe. Tajni podatki stopnje
tajnosti INTERNO se lahko prenašajo s kurirsko službo, po lastni prenosni mreži
ali priporočeni pošti s povratnico.
(3) Za prenos tajnih podatkov EU stopnje tajnosti ZAUPNO
in višjih stopenj tajnosti med organi in organizacijami je pristojna kurirska
služba ministrstva, pristojnega za zunanje zadeve, ali v skladu z dogovorom
kurirska služba drugega organa. Izjemoma se lahko opravi osebni prenos tajnega
podatka do vključno stopnje tajnosti ZAUPNO pod pogoji iz prvega odstavka tega
člena in ob upoštevanju pogojev iz 46. člena te uredbe. Tajni podatki
stopnje tajnosti INTERNO se lahko prenašajo s kurirsko službo, po lastni
prenosni mreži ali po priporočeni pošti s povratnico.
43. člen
(mednarodni prenos tajnih podatkov)
(1) Mednarodni prenos tajnih podatkov se opravlja z
vojaško ali diplomatsko kurirsko službo. Tajni podatki stopnje tajnosti INTERNO
se lahko prenašajo tudi s priporočeno pošto s povratnico ali z osebnim prenosom.
(2) Poleg obveznosti, določenih v 41. členu te
uredbe, mora biti pošiljka, ki vsebuje tajne podatke stopnje tajnosti TAJNO in
STROGO TAJNO, zapečatena s pečatom ali na drug način ustrezno označena, da gre
za uradno pošiljko.
(3) Pri mednarodnem prenosu tajnih podatkov stopnje
tajnosti TAJNO in STROGO TAJNO morajo kurirji imeti kurirski certifikat, s
katerim dokazujejo pooblastilo za prenos ter verodostojnost pošiljke. Kurirski
certifikat kurirjem posameznih organov izdajo predstojniki teh organov. Obrazec
kurirskega certifikata je objavljen na spletni strani nacionalnega varnostnega
organa.
(4) Izjemoma je mogoč osebni mednarodni prenos tajnega
podatka do vključno stopnje tajnosti TAJNO, in sicer s kurirskim certifikatom
in pod pogoji iz prvega odstavka 42. člena ter ob upoštevanju pogojev iz
46. člena te uredbe.
44. člen
(kurirski prenos)
(1) Kurirji ter osebe, ki v organu opravljajo naloge
lastne prenosne mreže (v nadaljnjem besedilu: kurirji) in prenašajo tajne
podatke stopnje tajnosti ZAUPNO ali višje stopnje tajnosti, morajo biti
ustrezno usposobljeni ter seznanjeni s postopki in ukrepi pri varovanju prenosa
tajnih podatkov.
(2) Organi morajo za prenos tajnih podatkov stopnje
tajnosti TAJNO ali višje stopnje tajnosti zunaj varnostnih območij izdelati
načrt poti in varovanja prenosa tajnih podatkov.
(3) Načrt poti in varovanja prenosov tajnih podatkov
stopnje tajnosti TAJNO ali višje stopnje tajnosti mora vsebovati tudi postopke
in ukrepe ob morebitnem poskusu zlorabe, prometnih in drugih nesrečah,
zastojih, postankih, prenočevanju in drugih podobnih dogodkih. V načrtu morajo
biti opredeljene glavne in pomožne poti.
45. člen
(usposabljanje kurirjev)
(1) Kurirji se usposobijo po programu, ki je določen v
Prilogi 5, ki je sestavni del te uredbe.
(2) Kurirji, ki prenašajo tajne podatke, najmanj enkrat
letno opravijo obnovitveno usposabljanje po programu, ki obsega skrajšano
obliko osnovnega usposabljanja.
(3) Usposabljanji iz prvega in drugega odstavka tega
člena izvajata Ministrstvo za obrambo in Policija, za kurirje Slovenske
obveščevalno-varnostne agencije pa agencija.
(4) Izvajalci usposabljanj lahko za izvedbo dela
programa, ki se nanaša na izvedbo usposabljanja osnov samoobrambe in varne
vožnje, sklenejo sporazum s podizvajalci, ki so pravne ali fizične osebe in so
registrirane za opravljanje dejavnosti izobraževanja, izpolnjujejo pogoje glede
prostorov in tehnične opremljenosti ter imajo v delovnem ali pogodbenem
razmerju za vsako izmed strokovnih področij, za katero se sklepa sporazum,
najmanj enega predavatelja, ki je seznanjen z vsebino in programom
usposabljanja.
46. člen
(osebni prenos)
(1) Zaradi izvedbe določene naloge ali kadar je hitrost
dostave tajnega podatka bistvenega pomena in bi prenos s kurirjem povzročil
zamudo, ki bi imela škodljive posledice za delovanje države, se lahko izven
upravnega ali varnostnega območja do vključno stopnje tajnosti TAJNO izjemoma
opravi osebni prenos tajnega podatka.
(2) Osebni prenos lahko izvede oseba pod pogoji iz
prvega odstavka 42. člena te uredbe.
(3) Pri osebnem prenosu skrb za varnost tajnega podatka
prevzame oseba, ki prenaša tajne podatke.
(4) Tajni podatek se prenaša na način, da ni razvidno,
da gre za prenos tajnega podatka. Pri prenosu mora biti tajni podatek pod
stalnim nadzorom.
(5) Ovojnice, v kateri se prenašajo tajni podatki, v
času prenosa ni dovoljeno odpirati, prav tako tajnih podatkov v času prenosa ni
dovoljeno obravnavati na javnih prostorih oziroma na poti.
47. člen
(pooblastilo za prenos)
(1) Osebe, ki prenašajo tajne podatke stopnje tajnosti
ZAUPNO ali višje stopnje tajnosti, morajo imeti pooblastilo predstojnika organa
za prenos tajnih podatkov.
(2) Vsebina pooblastila za kurirski prenos je določena z
obrazcem, ki je v Prilogi 6, ki je sestavni del te uredbe.
(3) Vsebina pooblastila za osebni prenos je določena z
obrazcem, ki je v Prilogi 7, ki je sestavni del te uredbe.
48. člen
(pomoč drugih organov)
(1) Pooblaščene uradne osebe morajo osebi, ki prenaša
tajne podatke in se izkaže z veljavnim pooblastilom, na njeno zaprosilo
zagotoviti pomoč v obliki in obsegu, ki omogoča varovanje tajnih podatkov pred
odtujitvijo, poškodovanjem ali uničenjem.
(2) Pooblaščene uradne osebe pri postopkih, ki jih
izvajajo v skladu s svojimi pooblastili, nimajo pravice do vpogleda v vsebino
tajnih podatkov.
49. člen
(prenos tajnih podatkov v sistemih)
(1) Prenos tajnih podatkov v sistemih zunaj upravnih in
varnostnih območij je dovoljen le z uporabo kriptografskih rešitev, ki imajo
potrdilo o varnostni ustreznosti.
(2) Prenos tajnih podatkov stopnje tajnosti ZAUPNO ali
višjih stopenj tajnosti je znotraj upravnega in varnostnega območja dovoljen po
optičnih povezavah. Morebitno odstopanje odobri nacionalni varnostni organ.
IX. UNIČENJE TAJNIH PODATKOV
50. člen
(uničenje tajnih podatkov)
(1) Tajni podatki se morajo uničiti na način, s katerim
se zagotovi, da postane tajni podatek nerazpoznaven in neobnovljiv.
(2) Če se za uničevanje tajnih podatkov stopnje tajnosti
INTERNO in ZAUPNO v papirni obliki uporablja rezalnik papirja, se uporabi rezalnik,
ki zagotavlja razrez papirja velikosti največ 10 mm2. Za uničevanje
tajnih podatkov stopnje tajnosti TAJNO in STROGO TAJNO v papirni obliki se
uporablja rezalnik papirja, ki zagotavlja razrez papirja velikosti največ 5 mm2.
(3) Če rezalnik papirja ne ustreza zahtevanim standardom
iz prejšnjega odstavka, je treba zagotoviti nadaljnje uničenje razrezanih
delcev, pri čemer se uporabijo metode, ki zagotovijo dokončno uničenje do
neprepoznavnosti (npr. sežig, sulfitni postopek ali izdelava celuloze). Če se
ta proces izvaja izven varnostnega oziroma upravnega območja, je treba
zagotoviti, da je pri prevozu in dokončnem uničenju tajnih podatkov ves čas
prisotna pooblaščena oseba.
(4) Organizacije tajne podatke, z izjemo tajnih podatkov
tuje države, uničijo v skladu z določbami te uredbe. Če ne morejo zagotoviti
ustreznih pogojev za uničevanje tajnih podatkov, tajne podatke vrnejo
pošiljatelju.
(5) Organizacija tajni podatek tuje države, namenjen
uničenju, vrne pošiljatelju, ki poskrbi za ustrezno uničenje tajnega podatka.
(6) Kopije in dodatni izvodi dokumentov, ki vsebujejo
tajne podatke in niso del zadeve organa, se izločijo in uničijo takoj po
opravljeni delovni nalogi, za katero so bili izdelani, oziroma najpozneje ob
predaji dokumentov v tekočo zbirko.
(7) Kopije dokumentov na nosilcih, ki vsebujejo tajne
podatke in so namenjene izključno prenosu tajnih podatkov, se uničijo takoj po
opravljeni delovni nalogi po postopku, določenem v Prilogi 9, ki je sestavni
del te uredbe.
(8) Tajni podatki se hranijo v skladu z roki, določenimi
s predpisi, ki urejajo poslovanje z dokumentarnim in arhivskim gradivom. Po
preteku roka hrambe se izločijo in uničijo, razen če so v skladu s predpisi, ki
urejajo poslovanje z dokumentarnim in arhivskim gradivom, določeni kot arhivsko
gradivo. Pri izročitvi arhivskega gradiva s tajnimi podatki pristojnemu arhivu
se upoštevajo predpisi, ki urejajo področje arhivske dejavnosti.
(9) Tajni podatki se izločajo in uničujejo komisijsko.
Komisijo imenuje predstojnik organa oziroma organizacije ali oseba, ki jo
predstojnik organa oziroma organizacije za to pooblasti. Komisijo sestavljajo
najmanj tri osebe, med katerimi mora biti oseba, odgovorna za varovanje tajnih
podatkov. O uničenju tajnih podatkov komisija pripravi zapisnik. Zapisnik se hrani
trajno.
(10) O uničenju tajnih podatkov stopnje tajnosti STROGO
TAJNO se pisno obvesti organ, ki je določil stopnjo tajnosti.
(11) Seznam vpogledov iz 38. člena te uredbe se
priloži zapisniku o uničenju tajnega podatka.
(12) Kadar je oprema sistema, v katerem so se
obravnavali tajni podatki stopnje tajnosti INTERNO, namenjena drugačni ali
ponovni uporabi, je treba vse elektronske nosilce podatkov obdelati s postopkom
varnega brisanja ali prepisovanja ali fizično uničiti. Za opremo sistema, v
katerem so se obravnavali tajni podatki stopnje tajnosti ZAUPNO ali višje,
ponovna uporaba v druge namene ni možna.
(13) Uničenje tajnih podatkov v sistemih se izvaja s
fizičnim uničenjem elektronskih nosilcev podatkov. Postopek fizičnega uničenja
elektronskih nosilcev podatkov je določen v Prilogi 9 te uredbe.
(14) Po brisanju tajnih podatkov z elektronskega nosilca
podatkov se ta do fizičnega uničenja obravnava v skladu s predpisi o varovanju
tajnih podatkov, ki veljajo za stopnjo tajnosti, s katero je označen.
X. VAROVANJE TAJNIH PODATKOV V SISTEMIH
51. člen
(določitev odgovornih oseb sistema)
(1) Predstojnik organa in organizacije imenuje naslednje
odgovorne osebe za varovanje tajnih podatkov v sistemih:
-
skrbnika sistema,
-
upravljavca sistema,
-
vodjo informacijske varnosti sistema in
-
skrbnika kriptografskega materiala.
(2) Če sistem deluje tudi na dislociranih lokacijah
organa ali v drugih organih, lahko predstojnik dislocirane enote ali drugega
organa določi osebo, odgovorno za informacijsko varnost sistema na dislocirani
lokaciji organa ali v drugem organu (v nadaljnjem besedilu: lokalni vodja
informacijske varnosti sistema). Lokalni vodja informacijske varnosti sistema
poroča vodji informacijske varnosti sistema.
(3) Predstojnik o imenovanju ali preklicu imenovanja
odgovornih oseb iz prvega odstavka tega člena obvesti nacionalni varnostni
organ.
(4) Če vodja informacijske varnosti sistema ni imenovan,
njegove naloge opravlja predstojnik organa ali organizacije. Na dislocirani
enoti sistema v tem primeru njegove naloge opravlja vodja dislocirane enote.
52. člen
(skrbnik sistema)
Skrbnik sistema:
a)
izvede postopek varnostne odobritve sistema,
b)
pripravi varnostno dokumentacijo,
c)
odloča o spremembah in dopolnitvah sistema,
d)
odloča, kdo in kako sme uporabljati sistem,
e)
odloča o uvedbi, upravljanju in vzdrževanju sistema,
f)
usmerja in izdaja navodila upravljavcu sistema za delovanje sistema,
g)
skrbi za obvladovanje varnostnih tveganj in obvladovanje preostalih
tveganj,
h)
določa ukrepe za zaščito proti neželenemu elektromagnetnemu sevanju,
i)
izvaja nadzor nad pravilnim delovanjem sistema in
j)
spremlja vse posege v sistem.
53. člen
(upravljavec sistema)
(1) Upravljavec sistema:
a)
namešča, vzdržuje, konfigurira, integrira ter zagotavlja delovanje in
razpoložljivost sistema,
b)
nudi pomoč uporabnikom sistema,
c)
spremlja varnostne dogodke in zaznava incidente v sistemu,
d)
poroča vodji informacijske varnosti sistema o zaznanih incidentih,
e)
skrbniku sistema poroča o vseh posegih v sistem in
f)
izvaja druge naloge operativnega upravljanja sistema.
(2) Upravljavec sistema izvaja svoje naloge v skladu z
navodili skrbnika sistema.
54. člen
(vodja informacijske varnosti sistema)
Vodja informacijske varnosti sistema je odgovoren za:
-
načrtovanje ukrepov in postopkov varovanja tajnih podatkov v sistemih in
njihov nadzor,
-
obravnavo zaznanih incidentov v sistemih ter poročanje vodji
informacijske varnosti organa, skrbniku sistema in nacionalnemu varnostnemu
organu in
-
sodelovanje pri usklajevanju poslovnih in varnostnih ciljev organa ali
organizacije.
55. člen
(skrbnik kriptografskega materiala)
Skrbnik kriptografskega materiala je odgovoren za upravljanje
kriptografskega materiala v skladu s sklepom o varovanju kriptografskega
materiala, ki ga na predlog nacionalnega varnostnega organa sprejme vlada.
56. člen
(organi za razdeljevanje kriptografskega materiala)
(1) Naloge krovnega organa za razdeljevanje
kriptografskega materiala za državne potrebe in povezavo z EU izvaja nacionalni
varnostni organ.
(2) Za naloge krovnega organa za razdeljevanje
kriptografskega materiala za zagotavljanje varovanja tajnih podatkov v
sistemih, ki se uporabljajo za obrambne potrebe in povezavo teh sistemov z
mednarodnimi obrambnimi in vojaškimi organizacijami v skladu z mednarodnimi
pogodbami, je pristojno Ministrstvo za obrambo.
(3) Za naloge krovnega organa za razdeljevanje
kriptografskega materiala za zagotavljanje varovanja tajnih podatkov v
sistemih, ki se uporabljajo za obveščevalne in varnostne potrebe in povezavo
teh sistemov z mednarodnimi obveščevalnimi in varnostnimi organizacijami v skladu
z mednarodnimi pogodbami je pristojna Slovenska obveščevalno-varnostna
agencija.
(4) Usklajevanje med krovnimi organi za razdeljevanje
kriptografskega materiala izvaja nacionalni varnostni organ.
(5) Naloge krovnih organov za razdeljevanje kriptografskega
materiala se določijo s sklepom o varovanju kriptografskega materiala, ki ga na
predlog nacionalnega varnostnega organa sprejme vlada.
57. člen
(določitev varnostnega načina delovanja sistema)
(1) Za vsak sistem je treba pisno opredeliti varnostni
način delovanja.
(2) Posamezen sistem lahko deluje:
-
neselektivno;
-
selektivno;
-
dvojno selektivno.
(3) V sistemu z neselektivnim varnostnim načinom
delovanja morajo imeti vse osebe, ki dostopajo v sistem, dovoljenje za dostop
do tajnih podatkov za najvišjo stopnjo tajnosti podatkov, obravnavanih v
sistemu, ter neselektivni dostop do vseh v sistemu obravnavanih podatkov na
podlagi enotne pravice po vedenju.
(4) V sistemu s selektivnim varnostnim načinom delovanja
morajo imeti vse osebe, ki dostopajo v sistem, dovoljenje za dostop do tajnih
podatkov za najvišjo stopnjo tajnosti podatkov, obravnavanih v sistemu, vendar
imajo te osebe selektivni dostop do podatkov, obravnavanih v sistemu, na
podlagi različnih pravic po vedenju.
(5) V sistem z dvojno selektivnim varnostnim načinom
delovanja lahko selektivno dostopajo osebe, ki imajo dovoljenje za dostop do
tajnih podatkov za različne stopnje tajnosti ter imajo hkrati selektivni dostop
do v sistemu obravnavanih podatkov na podlagi različnih pravic po vedenju.
(6) Kadar se v sistemu obravnavajo tudi podatki brez
stopnje tajnosti, do katerih lahko dostopajo osebe brez dovoljenja za dostop do
tajnih podatkov, se smiselno uporablja prejšnji odstavek.
(7) Selektivni dostop v sistem in selektivni dostop do
podatkov se določa s pomočjo strojne in programske opreme.
58. člen
(identifikacija in overitev dostopa uporabnikov v sistem)
V sistemu je treba vzpostaviti postopke identifikacije in
overitve dostopa za vse uporabnike sistema. Vsak uporabnik mora biti seznanjen
s postopki dodeljevanja in uporabe sistema za identifikacijo in overitev
dostopa uporabnikov v sistem. Za dostop uporabnikov v sistem se uporablja
overitev z uporabniškim imenom in geslom ali drugimi overitvenimi metodami
(PIN-koda, prstni odtis ipd.).
59. člen
(selekcija dostopa uporabnikov do podatkov)
Uporabniku sistema se dostop omeji le na tiste tajne podatke,
ki jih potrebuje za opravljanje svojih nalog ali funkcij. Skrbnik sistema
vzpostavi in vzdržuje seznam uporabnikov sistema, iz katerega so za vsakega
uporabnika sistema razvidni njegovi identifikacijski podatki in njegove pravice
dostopa (v nadaljnjem besedilu: varnostna shema). Ob spremembi pravic
posameznega uporabnika (npr.: prekinitev delovnega razmerja, premestitev in
podobno) mora biti varnostna shema ustrezno popravljena in sprememba ustrezno
dokumentirana.
60. člen
(spremljanje in nadzor vstopa v sistem in dostopa do tajnih
podatkov)
(1) Spremljanje in nadzor vstopa v sistem in tajnih
podatkov v njem mora omogočiti ugotavljanje, kdo, kdaj in od kod je dostopal,
čas dela v sistemu, kateri tajni podatki so bili obravnavani, in sicer tako, da
je mogoče ukrepati ob sumu nepooblaščenega vstopa v sistem, nepooblaščenega
dostopa do tajnih podatkov ali zlorabe tajnih podatkov v sistemu ter pozneje
rekonstruirati posamezne dostope do tajnih podatkov v sistemu.
(2) Za vsak sistem se pisno določijo način nadzora in
spremljanja vseh izvedbenih in kontrolnih posegov v sistem ter pooblaščeni
izvajalci teh posegov. Vsi posegi v sistem morajo biti dokumentirani. Dokumentiranje
zajema podatke o naročniku in vzroku posega, vrsto in rezultate posega, čas in
datum ter podatke o izvajalcu posega.
(3) Uporabnik mora biti pri dostopu do tajnih podatkov v
sistemu, kjer se varujejo tajni podatki, o tem nedvoumno opozorjen.
(4) Zapisi o posegih v sistem se morajo hraniti dokler
se sistem uporablja za varovanje tajnih podatkov.
(5) Vsak vstop v sistem, v katerem se obravnavajo tajni
podatki stopnje tajnosti ZAUPNO ali višje, mora biti zabeležen (revizijska
sled). Čas hrambe revizijske sledi se določi na podlagi predpisov, ki urejajo
področje ravnanja z dokumentarnim gradivom. Če ni drugače določeno, se ti
podatki hranijo dve leti.
61. člen
(povezovanje sistemov)
(1) Povezovanje sistemov je dovoljeno le po nadzorovanih
in varovanih vstopno-izstopnih točkah, skozi katere potekajo vsi servisi in
storitve.
(2) Pred povezovanjem sistemov je treba pridobiti
soglasje skrbnikov posameznega sistema.
(3) Povezovanje sistemov mora biti izvedeno v skladu s
postopki in merili za povezovanje sistemov, v katerih se varujejo tajni
podatki, ki so določeni v Prilogi 10, ki je sestavni del te uredbe.
XI. VARNOSTNO VREDNOTENJE SISTEMOV
62. člen
(varnostno vrednotenje sistema)
(1) Nacionalni varnostni organ varnostno vrednotenje
sistema opravi na podlagi pregleda in ocene varnostne dokumentacije ter
pregleda sistema na lokaciji organa ali organizacije, s katerim preveri
izpolnjevanje ukrepov in postopkov za zagotovitev varnega delovanja sistema v
skladu s to uredbo in drugimi predpisi s področja varovanja tajnih podatkov.
(2) Postopek varnostnega vrednotenja sistema se začne z
vlogo organa ali organizacije za izvedbo varnostnega vrednotenja ali ponovnega
varnostnega vrednotenja sistema. Vloga mora vsebovati podatke o sistemu in
najvišji stopnji tajnosti tajnih podatkov, ki se varujejo v sistemu. Priloga
vloge je varnostna dokumentacija, katere sestavni del so dokumenti, določeni v
Prilogah 11, 12 in 13, ki so sestavni deli te uredbe.
(3) Postopek varnostnega vrednotenja sistema obsega:
-
pregled in oceno varnostne dokumentacije,
-
pregled sistema na lokaciji organa ali organizacije in
-
izdajo varnostnega dovoljenja.
63. člen
(varnostno vrednotenje sistemov tujih držav ali mednarodnih
organizacij)
(1) Nacionalni varnostni organ postopke in varnostno
vrednotenje sistemov tujih držav ali mednarodnih organizacij, v katerih se
obravnavajo tajni podatki, opravi v skladu s prejšnjim členom.
(2) Po končanem postopku varnostnega vrednotenja sistema
nacionalni varnostni organ izda izjavo o skladnosti, ki jo predloži pristojnemu
organu tuje države ali mednarodne organizacije.
64. člen
(dokumenti, potrebni za izvedbo varnostnega vrednotenja
sistema)
(1) Pred postopkom varnostnega vrednotenja sistema in
izdaje varnostnega dovoljenja organ ali organizacija izdela varnostno dokumentacijo,
v kateri opiše sistem, opredeli varnostne zahteve, oceni varnostna tveganja
sistema, določi varnostne ukrepe za njegovo zaščito ter določi odgovorne osebe
za varno delovanje sistema.
(2) Varnostna dokumentacija obsega:
-
načrt varovanja sistema,
-
oceno varnostnih tveganj in
-
varnostna navodila za delo v sistemu.
(3) V postopku varnostnega vrednotenja sistema je treba
nacionalnemu varnostnemu organu poslati ali dati na vpogled tudi drugo
dokumentacijo, ki jo potrebuje (npr. poročilo o izvedenih meritvah zaščite
prostorov pred neželenim elektromagnetnim sevanjem, potrdilo o varnostni
ustreznosti kriptografske rešitve, potrdila o zaščiti sestavin sistema pred
neželenim elektromagnetnim sevanjem).
(4) Varnostna dokumentacija iz drugega odstavka tega
člena se za sisteme, v katerih se varujejo tajni podatki stopnje tajnosti
ZAUPNO ali višje, na podlagi ustrezne ocene možnih škodljivih posledic označi
vsaj s stopnjo tajnosti INTERNO. Varnostna navodila za delo so lahko brez
stopnje tajnosti.
(5) Ne glede na drugi odstavek tega člena se za sistem,
v katerem se varujejo tajni podatki stopnje tajnosti INTERNO, ki deluje v
lokalnem omrežju in ni povezan z internetom, izdela samo dokumentacija,
določena v Prilogi 14, ki je sestavni del te uredbe.
65. člen
(načrt varovanja sistema)
(1) Načrt varovanja sistema vsebuje opis sistema, načrt
sestavin in povezav sistema, varnostne zahteve sistema, varnostna okolja,
varnostne protiukrepe in varnostno upravljanje sistema.
(2) Načrt varovanja sistema se izdela v procesu
načrtovanja in izgradnje sistema in se vodi ter dopolnjuje dokler se sistem
uporablja za varovanje tajnih podatkov.
66. člen
(ocena varnostnih tveganj)
(1) Obvladovanje varnostnih tveganj zajema prepoznavanje
in oceno tveganj ter njihovih posledic, načrtovanje ukrepov in odgovornosti za
varnostna tveganja ter spremljanje in poročanje o obvladovanju varnostnih
tveganj.
(2) Za ocenjevanje in obvladovanje varnostnih tveganj se
glede na potrebe organa ali organizacije uporabi metodologija, določena v
Prilogah 11, 12 in 13 te uredbe.
(3) Preostala tveganja, ki jih ni mogoče odpraviti ali
zmanjšati po izvedbi vseh varnostnih ukrepov v sistemu, mora organ ali
organizacija spremljati in upravljati skozi celoten življenjski cikel sistema
(grožnje in ranljivost sistema, varnostne nastavitve sistema, vpliv sprememb
sistema na varnost, skladnost z varnostnimi zahtevami).
(4) Varnost oskrbovalnih verig na področju varnosti
sistemov, vključno z nabavo informacijskih sistemov in njihovih komponent, mora
biti skrbno načrtovana in vodena.
(5) Seznam groženj in ranljivosti sistema vodi
nacionalni varnostni organ v sodelovanju z organom, pristojnim za kibernetsko
varnost.
67. člen
(varnostna navodila za delo v sistemu)
(1) Z varnostnimi navodili za delo v sistemu se določijo
varnostno upravljanje in organiziranost varnosti sistema, načrtovanje ukrepov
ob nepredvidenih dogodkih, upravljanje in spreminjanje konfiguracije ter
nastavitev sistema.
(2) Varnostna navodila za delo se pripravijo za
uporabnike in upravljavce sistema.
68. člen
(varnostno vrednotenje sistema na lokaciji)
(1) Nacionalni varnostni organ opravi varnostno
vrednotenje sistema v organu ali organizaciji, s katerim preveri izpolnjevanje
vseh ukrepov in postopkov za zagotovitev varnega delovanja sistema v skladu s
predloženo varnostno dokumentacijo in predpisi s področja varovanja tajnih
podatkov in drugimi predpisi.
(2) V okviru varnostnega vrednotenja se opravi varnostni
pregled sistema, s katerim se preveri izvajanje konkretnih fizičnih,
organizacijskih in tehničnih ukrepov, navedenih v načrtu varovanja sistema.
(3) Varnostno vrednotenje se opravi ob navzočnosti vodje
informacijske varnosti sistema in vodje informacijske varnosti organa ali
organizacije ter drugih oseb, odgovornih za varnost sistema (skrbnik sistema,
upravljavec sistema, skrbnik kriptografskega materiala itn.).
69. člen
(ponovni postopek varnostnega vrednotenja sistema)
(1) Varnostna dokumentacija se vodi in dopolnjuje skozi
celotni življenjski cikel sistema in jo je treba stalno dopolnjevati. V
ponovnem postopku varnostnega vrednotenja sistema oziroma najmanj enkrat letno
je treba pregledati ustreznost vseh ukrepov in postopkov, ki so z njo določeni.
(2) Ponovni postopek varnostnega vrednotenja sistema se
izvede ob vsaki spremembi sistema, ki povzroča ali bi lahko povzročila
posledice glede varnosti v sistemu obravnavanih tajnih podatkov. Upravljavec
ali skrbnik sistema sporoči nacionalnemu varnostnemu organu spremembo in
predloži vlogo za ponovni postopek varnostnega vrednotenja sistema.
(3) Ob ugotovitvi upravljavca, skrbnika sistema ali
nacionalnega varnostnega organa, da sistem več ne izpolnjuje minimalnih
fizičnih, organizacijskih in tehničnih ukrepov ter postopkov za varovanje
tajnih podatkov do določene stopnje tajnosti, se izvede ponovni postopek varnostnega
vrednotenja sistema.
XII. NEŽELENO ELEKTROMAGNETNO SEVANJE
70. člen
(izvajanje zaščite proti neželenemu elektromagnetnemu
sevanju)
(1) Vse sestavine sistemov, v okviru katerih se
obravnavajo tajni podatki stopnje tajnosti ZAUPNO ali višje, morajo biti
zaščitene proti neželenemu elektromagnetnemu sevanju. Skrbnik sistema hrani
potrdila, s katerimi dokazuje ustreznost zaščite sestavin sistema proti
neželenemu elektromagnetnemu sevanju.
(2) Ukrepi za zaščito pred neželenim elektromagnetnim
sevanjem morajo zajemati izbor in način namestitve vseh sestavin sistema glede
na stopnjo tajnosti podatkov v sistemu in glede na rezultate opravljenih
meritev elektromagnetnega sevanja iz prostorov, kjer so ali bodo sestavine
nameščene. Postopki za zaščito pred neželenim elektromagnetnim sevanjem so v
Prilogi 8, ki je sestavni del te uredbe. Vlada podrobneje predpiše merila in
navodila za zaščito pred neželenim elektromagnetnim sevanjem v sistemih.
(3) Ukrepe za zaščito proti neželenemu elektromagnetnemu
sevanju zagotovijo skrbniki sistemov, v katerih se obravnavajo tajni podatki.
Poročilo o meritvah in ugotovitvah ter ukrepih je del načrta varovanja sistema.
(4) Meritve neželenega elektromagnetnega sevanja iz
prostorov izvajajo Ministrstvo za obrambo, Policija, Slovenska
obveščevalno-varnostna agencija ali drugi organ, ki ga za to pooblasti
nacionalni varnostni organ.
(5) Stopnjo ogroženosti prostorov z vidika izvajanja
zaščite proti neželenemu elektromagnetnemu sevanju določijo organi, določeni v
prejšnjem odstavku.
XIII. KRIPTOGRAFIJA
71. člen
(razvoj, uporaba in preverjanje ustreznosti kriptografskih
rešitev)
(1) Razvoj in nadgradnja kriptografskih rešitev se
izvaja na podlagi pobud državnih organov.
(2) Nacionalni varnostni organ sodeluje z drugimi
državnimi organi in zunanjimi izvajalci pri razvoju in nadgradnjah
kriptografskih rešitev, namenjenih varovanju tajnih podatkov.
(3) Za varovanje tajnih podatkov v sistemih je dovoljeno
uporabljati kriptografske rešitve, za katere je izdano potrdilo o varnostni
ustreznosti. Izjemoma se lahko kriptografske rešitve, za katere je izdano
potrdilo o varnostni ustreznosti, uporabljajo tudi v druge namene, vendar je
predhodno treba pridobiti soglasje nacionalnega varnostnega organa.
(4) Nacionalni varnostni organ obdobno preverja varnostno
ustreznost kriptografskih rešitev, in sicer kriptografske rešitve za varovanje
tajnih podatkov stopnje tajnosti STROGO TAJNO in TAJNO na eno leto,
kriptografske rešitve, namenjene varovanju tajnih podatkov stopnje tajnosti
ZAUPNO, na tri leta in kriptografske rešitve, namenjene varovanju tajnih
podatkov stopnje tajnosti INTERNO, na pet let.
(5) Varnostna ustreznost se lahko preveri tudi pred
iztekom obdobij iz prejšnjega odstavka.
72. člen
(klasifikacija kriptografskih algoritmov)
(1) Nacionalni varnostni organ klasificira kriptografske
algoritme glede na izvor in javno dostopnost v dve skupini.
(2) Kriptografski algoritmi I. ravni so razviti pod
nadzorom nacionalnega varnostnega organa, so v celoti ali deloma tajni podatki,
dostop do njih pa se izvaja izključno na podlagi potrebe po vedenju.
Kriptografski algoritmi I. ravni so tudi algoritmi, pridobljeni na podlagi
mednarodnih sporazumov. Kriptografski algoritmi I. ravni se uporabljajo za
varovanje tajnih podatkov stopnje tajnosti TAJNO ali STROGO TAJNO.
(3) Kriptografski algoritmi II. ravni so razviti pod
nadzorom nacionalnega varnostnega organa ali pa so privzeti iz javno dostopnih
podatkov.
73. člen
(potrdilo o varnostni ustreznosti kriptografske rešitve)
(1) Potrdilo o varnostni ustreznosti kriptografske
rešitve izda nacionalni varnostni organ ali drug z zakonom določen organ, če so
predlagane kriptografske rešitve ustrezne. Vzorec potrdila je v Prilogi 15, ki
je sestavni del te uredbe.
(2) Uporaba varnostno ustreznih kriptografskih rešitev
je dovoljena samo z upoštevanjem predpisanih minimalnih varnostnih zahtev za
označevanje, distribucijo in uporabo.
74. člen
(začetek postopka ugotavljanja ustreznosti kriptografske
rešitve)
(1) Organi, ki začnejo postopek ugotavljanja ustreznosti
kriptografske rešitve za varovanje tajnih podatkov v skladu z 39.a členom
zakona, podajo vlogo na predpisanem obrazcu, ki je v Prilogi 16, ki je sestavni
del te uredbe. Vlogo predlagatelj na podlagi ocene možnih škodljivih posledic
označi z ustrezno stopnjo tajnosti.
(2) Sestavna dela vloge iz prejšnjega odstavka sta:
-
ustrezno število kosov predlagane kriptografske rešitve za namen
ugotavljanja varnostne ustreznosti in
-
dokumentacija o predlagani kriptografski rešitvi, ki jo predlagatelj na
podlagi ocene možnih škodljivih posledic označi z ustrezno stopnjo tajnosti.
(3) Vsebina dokumentacije iz druge alineje prejšnjega
odstavka je določena v Prilogi 17, ki je sestavni del te uredbe.
(4) Pri ugotavljanju ustreznosti kriptografskih rešitev
v sistemih, ki obravnavajo tajne podatke stopnje tajnosti ZAUPNO ali višjih
stopenj tajnosti, so obvezni del dokumentacije iz prejšnjega odstavka:
-
izvorna koda kriptografske rešitve;
-
opis uporabljenih strojnih in programskih komponent;
-
opis razvojnega okolja in procesov;
-
opis dobavne verige.
75. člen
(priznavanje potrdil o varnostni ustreznosti kriptografskih
rešitev tujih držav in mednarodnih organizacij)
(1) Nacionalni varnostni organ lahko prizna potrdilo o
varnostni ustreznosti kriptografske rešitve drugega nacionalnega organa za
komunikacijsko varnost države članice EU, Nata ali mednarodnih organizacij,
katerih članica je Republika Slovenija, in izda enakovredno potrdilo o
varnostni ustreznosti za uporabo teh rešitev v sistemih Republike Slovenije.
(2) Za kriptografske rešitve iz prejšnjega odstavka se
lahko pridobi potrdilo o varnostni ustreznosti brez izvedbe postopka
ugotavljanja ustreznosti kriptografskih rešitev, če se bodo uporabile v
sistemih, ki obravnavajo tajne podatke stopnje tajnosti INTERNO.
(3) Kriptografske rešitve iz prvega odstavka tega člena,
namenjene uporabi v sistemih, ki obravnavajo tajne podatke stopnje tajnosti
ZAUPNO ali višje, pridobijo potrdilo o varnostni ustreznosti z izvedbo postopka
ugotavljanja ustreznosti kriptografskih rešitev.
(4) V sistemih, ki obravnavajo tajne podatke stopnje
tajnosti TAJNO, izključno kriptografskih rešitev iz prvega odstavka tega člena
ni dovoljeno uporabljati.
(5) Ne glede na prejšnji odstavek se kriptografska
rešitev iz prvega odstavka tega člena v sistemih, ki obravnavajo tajne podatke
stopnje tajnosti TAJNO, izjemoma lahko uporabi, če nacionalna kriptografska
rešitev ne obstaja in ima kriptografska rešitev potrdilo o varnostni
ustreznosti za varovanje tajnih podatkov EU ali Nato najmanj stopnje tajnosti,
enakovredne stopnji tajnosti TAJNO.
(6) V sistemih, ki obravnavajo tajne podatke stopnje
tajnosti STROGO TAJNO, se smejo uporabljati samo kriptografske rešitve, v
celoti razvite v Republiki Sloveniji.
76. člen
(postopek ugotavljanja ustreznosti kriptografskih rešitev)
(1) Nacionalni varnostni organ v sodelovanju s
predlagateljem in s proizvajalcem pripravi načrt izvedbe postopka ugotavljanja
ustreznosti predlagane kriptografske rešitve za varovanje tajnih podatkov.
(2) V postopku ugotavljanja varnostne ustreznosti
kriptografskih rešitev nacionalni varnostni organ preveri stopnjo varnosti
arhitekture, stopnjo varnosti posameznih kriptografskih prvin in njihovo
izvedbo v kriptografskih rešitvah.
(3) Pri ugotavljanju varnostne ustreznosti
kriptografskih rešitev v sistemih, ki obravnavajo tajne podatke stopnje
tajnosti INTERNO, nacionalni varnostni organ pregleda zahtevano dokumentacijo
in opravi funkcionalni preizkus delovanja kriptografske rešitve.
(4) Pri ugotavljanju varnostne ustreznosti
kriptografskih rešitev v sistemih, ki obravnavajo tajne podatke stopnje
tajnosti ZAUPNO, nacionalni varnostni organ poleg postopkov iz prejšnjega
odstavka izvede še funkcionalni preizkus pravilnosti izvedbe in uporabe
posameznih kriptografskih prvin v tej kriptografski rešitvi.
(5) Pri ugotavljanju varnostne ustreznosti
kriptografskih rešitev v sistemih, ki obravnavajo tajne podatke stopnje
tajnosti TAJNO ali STROGO TAJNO, nacionalni varnostni organ poleg postopkov iz
prejšnjega odstavka izvede še analizo možnosti kompromitiranja varnostno
pomembnih gradnikov, ki vključuje preizkuse vdorov.
(6) Postopek ugotavljanja varnostne ustreznosti se lahko
uporablja tudi za druge sestavine sistema, ki so ključne za varovanje tajnih
podatkov, in nacionalni varnostni organ oceni, da je ugotavljanje varnostne
ustreznosti potrebno. Organi podajo vlogo na predpisanem obrazcu, ki je v
Prilogi 16 te uredbe.
77. člen
(postopek ugotavljanja varnostne ustreznosti nadgradnje
varnostno ustrezne kriptografske rešitve)
Postopek ugotavljanja varnostne ustreznosti nadgradnje
varnostno ustrezne kriptografske rešitve se izvede na predlog organa, če pride
do spremembe kriptografske rešitve z veljavnim potrdilom o varnostni
ustreznosti. Organi, ki začnejo postopek ugotavljanja varnostne ustreznosti
nadgradnje varnostno ustrezne kriptografske rešitve za varovanje tajnih
podatkov v skladu z 39.a členom zakona, podajo vlogo na predpisanem obrazcu, ki
je v Prilogi 16 te uredbe.
78. člen
(programske kriptografske rešitve)
Programske kriptografske rešitve se kot samostojne rešitve
lahko uporabljajo za varovanje tajnih podatkov do vključno stopnje tajnosti
ZAUPNO.
79. člen
(splošne varnostne zahteve kriptografskih rešitev)
(1) Proizvajalec kriptografske rešitve mora skrbeti za
varnost dobavne verige tako, da se zmanjša verjetnost kompromitacije varnostno
pomembnih strojnih in programskih komponent.
(2) Proizvajalec kriptografske rešitve mora skrbeti za
varnost razvojnega okolja tako, da sprejme tehnološke in procesne ukrepe za
preprečevanje, odkrivanje in odzivanje na incidente. O zaznanih incidentih
proizvajalec nemudoma poroča nacionalnemu varnostnemu organu.
(3) Proizvajalec kriptografske rešitve mora spremljati
strokovna dognanja o morebitnih ranljivostih uporabljenih algoritmov in
njihovega izvajanja. To vključuje tako kriptografske kot preostale strojne in
programske komponente. O morebitnih ranljivostih nemudoma poroča nacionalnemu
varnostnemu organu.
80. člen
(osnovne varnostne zahteve za kriptografske rešitve
različnih stopenj tajnosti)
(1) Za varovanje tajnih podatkov stopnje tajnosti INTERNO
in ZAUPNO se dovoli uporaba kriptografskih algoritmov II. ravni.
(2) Za varovanje tajnih podatkov stopnje tajnosti TAJNO
se zahteva uporaba kriptografskih algoritmov I. ravni, razen v primeru iz
petega odstavka 75. člena te uredbe. Za varovanje tajnih podatkov stopnje
tajnosti STROGO TAJNO se zahteva uporaba kriptografskih algoritmov I. ravni.
(3) Vlada podrobneje določi tehnične varnostne zahteve
za kriptografske rešitve, ki so varnostno ustrezne za obravnavo tajnih podatkov
različnih stopenj tajnosti.
81. člen
(minimalne varnostne zahteve za označevanje, distribucijo in
uporabo)
(1) Za vsako kriptografsko rešitev, ki ima potrdilo o
varnostni ustreznosti, se izdelajo minimalne varnostne zahteve za označevanje,
distribucijo in uporabo, ki jih odobri nacionalni varnostni organ, in sicer za
vsako posamezno kriptografsko rešitev posebej.
(2) Pri pripravi minimalnih varnostnih zahtev nacionalni
varnostni organ sodeluje s predlagateljem postopka ugotavljanja ustreznosti
kriptografske rešitve za varovanje tajnih podatkov.
(3) Pri določanju minimalnih varnostnih zahtev za
označevanje, distribucijo in uporabo za posamezno kriptografsko rešitev se
upoštevajo tudi varnostne zahteve, ki izhajajo iz članstva Republike Slovenije
v mednarodnih organizacijah ali jih je Republika Slovenija sprejela s
sklenitvijo drugih mednarodnih pogodb in sporazumov.
82. člen
(drugo vrednotenje ugotavljanja varnostne ustreznosti
kriptografskih rešitev)
(1) Drugo vrednotenje ugotavljanja varnostne ustreznosti
kriptografske rešitve je postopek, v katerem se ugotovi varnostna ustreznost
kriptografske rešitve za varovanje tajnih podatkov EU ali Nata. Podlaga za
izvedbo drugega vrednotenja je potrdilo o varnostni ustreznosti kriptografskih
rešitev za varovanje tajnih podatkov in pisni predlog enega od pristojnih
organov (ministrstvo, pristojno za javno upravo, ministrstvo, pristojno za
notranje zadeve, ministrstvo, pristojno za obrambo, ministrstvo, pristojno za
zunanje zadeve, Slovenska obveščevalno-varnostna agencija). Nacionalni
varnostni organ začne postopek po uradni dolžnosti, če ugotovi ali izve, da je
treba glede na obstoječe dejansko stanje začeti postopek ugotavljanja
ustreznosti kriptografske rešitve za varovanje tajnih podatkov EU ali Nata.
(2) Drugo vrednotenje kriptografskih rešitev za
varovanje tajnih podatkov EU opravi pristojni organ EU na podlagi pisnega
predloga nacionalnega varnostnega organa. Drugo vrednotenje kriptografskih
rešitev, ki jih uporabljajo organi Republike Slovenije za varovanje tajnih
podatkov EU vključno do stopnje tajnosti ZAUPNO, lahko opravi tudi nacionalni
varnostni organ.
(3) Drugo vrednotenje kriptografskih rešitev za
varovanje tajnih podatkov Nata vključno do stopnje tajnosti ZAUPNO opravi
nacionalni varnostni organ. Drugo vrednotenje kriptografskih rešitev za
varovanje tajnih podatkov Nata stopnje tajnosti TAJNO ali STROGO TAJNO opravi
pristojni organ pri Natu na podlagi pisnega predloga nacionalnega varnostnega
organa.
(4) Pisni predlog za postopek drugega vrednotenja pri
pristojnih organih EU ali Nata poda nacionalni varnostni organ le za
kriptografske rešitve, ki se ne uporabljajo v sistemih za varovanje nacionalnih
tajnih podatkov in imajo pomembno spremenjene varnostno kritične parametre.
XIV. PREGLED TAJNIH PODATKOV
83. člen
(evidenčni pregled tajnih podatkov EU in Nata)
(1) Organ najmanj enkrat letno opravi evidenčni pregled
tajnih podatkov EU in Nata stopnje tajnosti TAJNO in STROGO TAJNO. Ob pregledu
preveri, ali so bili dokumenti vrnjeni v hrambo v varnostno območje in ali
podatki iz evidence odražajo dejansko stanje.
(2) Centralna registra EU in Nata vsako leto do
1. februarja pozoveta vse podregistre in kontrolne točke, da jima poročajo
o številu prejetih in uničenih tajnih podatkov stopnje tajnosti TAJNO in STROGO
TAJNO v preteklem letu.
84. člen
(izpis seznama tajnih podatkov)
(1) Pred prenehanjem delovnega razmerja zaposlenega
organizacijska enota, ki vodi evidenco tajnih podatkov, pripravi izpis vseh
dokumentov, označenih s stopnjo tajnosti, ki so mu dodeljeni.
(2) Zaposleni pred prenehanjem delovnega razmerja preda
dokumente organizacijski enoti, ki je pristojna za hrambo tajnih podatkov,
oziroma dokumente preda skupaj s primopredajnim zapisnikom.
XV. NAČRTI VAROVANJA
85. člen
(načrt varovanja tajnih podatkov v varnostnih območjih)
(1) Vsak organ in organizacija ob upoštevanju postopkov
in ukrepov, določenih s to uredbo, izdela načrt varovanja tajnih podatkov v
varnostnem območju ali skupini varnostnih območij, s katerim glede na vrsto in
stopnjo tajnosti podatkov ter oceno ogroženosti podrobneje predpiše fizične,
organizacijske in tehnične ukrepe ter postopke za varovanje tajnih podatkov v
varnostnem območju.
(2) V organih in organizacijah, v katerih se obdelujejo
in hranijo le tajni podatki stopnje tajnosti ZAUPNO, zadošča, da se z načrtom
varovanja opredelijo ukrepi iz tretjega odstavka 86. člena te uredbe.
86. člen
(vsebina načrta varovanja)
(1) Načrt varovanja se izdela na podlagi ocene
ogroženosti in je sestavljen iz splošnega in posebnega dela.
(2) Splošni del načrta varovanja vsebuje predvsem opis
glavnega in pomožnih objektov (lega, vhodi, izhodi, zasilni izhodi, skica ali
fotografije objekta, glavne in pomožne poti do objekta ter splošni podatki o
sistemih oziroma segmentih fizičnega in tehničnega varovanja).
(3) Posebni del načrta varovanja vsebuje:
a)
opis in značilnosti varnostnega območja;
b)
ukrepe fizičnega varovanja (zunanje in notranje fizično varovanje,
varnostne točke z opisi nalog izvajalcev);
c)
ukrepe tehničnega varovanja (zunanje in notranje tehnično varovanje,
nadzor nad vstopom in izstopom, alarmni sistem in postopki ob sprožitvah
posameznih stopenj alarmov, dokumentiranje);
d)
postopke ob nasilnem vstopu in nepredvidenem dogodku: požaru, potresu,
povodnji in drugih naravnih nesrečah;
e)
postopke in ukrepe ob izgubi, razkritju ali odtujitvi tajnega podatka;
f)
podatke o drugih ukrepih in postopkih varovanja tajnih podatkov
(opravljanje vzdrževalnih in drugih del v varnostnih območjih);
g)
podatke o nosilcu načrta varovanja – osebi, ki je odgovorna za izdelavo
načrta varovanja;
h)
podatke o preventivnih varnostnih ukrepih za osebe, ki dostopajo do
tajnih podatkov (evidence usposabljanj, postopki ob zaznavah groženj, notranji
nadzor);
i)
ukrepe in postopke poostrenega nadzora oziroma omejitev vstopa in
gibanja v varnostnem in upravnem območju, kadar to zahteva ocena ogroženosti
ali to določajo spremenjene varnostne razmere.
(4) Vsak organ ali organizacija določi odgovorno osebo
za izdelavo načrta varovanja – nosilca načrta varovanja in njegovega
namestnika.
(5) Organ ima lahko tudi skupni splošni del načrta
varovanja za organ in organe v sestavi, na katerega se navezujejo delni načrti
varovanja tajnih podatkov za konkretna varnostna območja, ki se vsebinsko
vežejo na posebni del načrta varovanja.
87. člen
(preverjanje ustreznosti načrta varovanja)
Načrt varovanja se stalno dopolnjuje, najmanj enkrat letno pa
pregleda in preveri ustreznost ukrepov in postopkov, ki so z njim določeni.
XVI. IZGUBA IN NEPOOBLAŠČENO RAZKRITJE TAJNEGA PODATKA
88. člen
(zloraba tajnega podatka)
(1) Z vsakim nepooblaščenim razkritjem tajnih podatkov,
njihovim uničenjem, izgubo, odtujitvijo, poškodovanjem ali kakršnimkoli drugim
dogodkom, ki kaže na zlorabo tajnih podatkov (v nadaljnjem besedilu: zloraba
tajnega podatka), je treba takoj seznaniti predstojnika organa oziroma
organizacije ali osebo, ki jo ta pooblasti, in zagotoviti vse ukrepe za
preprečitev nadaljnje zlorabe tajnega podatka in izsleditev odtujenih tajnih
podatkov.
(2) Tajni podatek, pri katerem se izgubi sledljivost,
tudi če gre samo za začasno izgubo, se šteje za zlorabljenega, dokler se ne
ugotovi nasprotno.
(3) Za vsako zlorabo tajnega podatka je treba uvesti
notranjo preiskavo, katere preiskovalce določi predstojnik organa in niso
neposredno povezani z zlorabo.
(4) V preiskavi se ugotovi zlasti, kateri tajni podatki
so ali bi lahko bili zlorabljeni, ali imajo osebe, ki bi se lahko seznanile s
tajnimi podatki, ustrezno dovoljenje za dostop do tajnih podatkov, ter oceni
morebitna škoda za interese Republike Slovenije oziroma za delovanje organa. V
preiskavi se določijo ukrepi, ki jih je treba izvesti za odpravo škodljivih
posledic in preprečitev vnovične zlorabe.
(5) Če zloraba tajnega podatka kaže na sum storitve
kaznivega dejanja, mora predstojnik organa ali oseba, ki jo za to predstojnik
organa pooblasti, s tem seznaniti Policijo ali drug pristojni organ.
(6) Predstojnik organa, v katerem je bil zlorabljen
tajni podatek, mora o zlorabi nemudoma obvestiti organ, ki je določil tajni
podatek, in nacionalni varnostni organ.
(7) Odgovorna oseba organizacije iz 35. člena zakona
mora o zlorabi tajnega podatka takoj obvestiti naročnika.
(8) Nacionalni varnostni organ po potrebi obvesti
pristojne organe EU in Nata ter pristojni inšpektorat v Republiki Sloveniji.
89. člen
(obvestilo o zlorabi tajnega podatka)
Obvestilo o zlorabi tajnega podatka iz prejšnjega člena
vsebuje:
-
podatke, potrebne za identifikacijo tajnega podatka (opis dokumenta ali
nosilca podatkov, ki vsebuje tajni podatek, vključno s stopnjo tajnosti
podatka, številko in datumom dokumenta, številko kopije, organ, ki je podatek
določil za tajnega, in kratko vsebino);
-
kratek opis okoliščin, v katerih so bili zlorabljeni tajni podatki, in
če je znano, število oseb, ki so ali bi lahko imele dostop do tajnega podatka;
-
podatek o tem, ali je bil organ, ki je podatek določil za tajnega,
obveščen;
-
postopke in ukrepe, ki so bili izvedeni za preprečitev nadaljnje zlorabe
tajnih podatkov.
XVII. PREHODNE IN KONČNE DOLOČBE
90. člen
(uskladitev obstoječih kriptografskih rešitev)
Obstoječe kriptografske rešitve, ki imajo veljavno dovoljenje
za obravnavanje tajnih podatkov stopnje tajnosti TAJNO in STROGO TAJNO, se v
petih letih od uveljavitve te uredbe uskladijo s 75. členom te uredbe.
91. člen
(uskladitev načrtov varovanja)
Organi in organizacije načrte varovanja, izdelane v skladu z
32. členom Uredbe o varovanju tajnih podatkov (Uradni list RS,
št. 74/05, 7/11, 24/11), uskladijo s to uredbo v enem letu od njene
uveljavitve.
92. člen
(uničenje tajnih podatkov v centralnih registrih EU in Nata)
Centralna registra EU in Nata tajne podatke, ki jih ob
uveljavitvi te uredbe hranita več kot dve leti, uničita v skladu s to uredbo v
enem letu od uveljavitve te uredbe.
93. člen
(uskladitev evidenc tajnih podatkov)
Evidence tajnih podatkov se uskladijo s 36. in
37. členom te uredbe v enem letu od uveljavitve te uredbe.
94. člen
(distribucijski seznam centralnih registrov EU in Nata)
Distribucijski seznam centralnih registrov EU in Nata iz
tretjega odstavka 40. člena te uredbe določi vlada v šestih mesecih od
uveljavitve te uredbe.
95. člen
(prilagoditev upravnih in varnostnih območij)
Pogoji, ki jim mora ustrezati varnostno-tehnična oprema
upravnih in varnostnih območij iz 22. člena te uredbe, morajo biti
vzpostavljeni v dveh letih od uveljavitve te uredbe.
96. člen
(izpolnjevanje pogojev za uporabo naprav za izdelavo kopij)
Naprave za izdelavo kopij, ki imajo lastnosti elektronske
naprave iz 33. člena te uredbe, morajo izpolnjevati pogoje za varovanje
tajnih podatkov v dveh letih od uveljavitve te uredbe.
97. člen
(določitev odgovornih oseb sistema)
Predstojnik določi odgovorne osebe iz 51. člena te
uredbe v šestih mesecih od uveljavitve te uredbe.
98. člen
(določitev meril in navodil za zaščito pred neželenim
elektromagnetnim sevanjem)
Do sprejetja meril in navodil za zaščito pred neželenim
elektromagnetnim sevanjem v sistemih iz drugega odstavka 70. člena te
uredbe se uporabljajo predpisi EU ali Nata.
99. člen
(določitev varnostnih zahtev za kriptografske rešitve
različnih stopenj tajnosti)
Vlada podrobneje določi tehnične varnostne zahteve za kriptografske
rešitve, ki so varnostno ustrezne za obravnavo tajnih podatkov različnih
stopenj tajnosti, iz 80. člena te uredbe v šestih mesecih od uveljavitve
te uredbe.
100. člen
(sprejetje sklepa o varovanju kriptografskega materiala)
Vlada sprejme sklep o varovanju kriptografskega materiala iz
55. in 56. člena te uredbe v enem letu od uveljavitve te uredbe.
101. člen
(prenehanje veljavnosti)
Z dnem uveljavitve te uredbe prenehajo veljati Uredba o
varovanju tajnih podatkov (Uradni list RS, št. 74/05, 7/11 in 24/11 –
popr.), Uredba o varovanju tajnih podatkov v komunikacijsko informacijskih
sistemih (Uradni list RS, št. 48/07 in 86/11) in Sklep o določitvi pogojev
za varnostnotehnično opremo, ki se sme vgrajevati v varnostna območja (Uradni
list RS, št. 94/06).
102. člen
(začetek veljavnosti)
Ta uredba začne veljati petnajsti dan po objavi v Uradnem
listu Republike Slovenije.
Št. 00701-31/2021
Ljubljana, dne 7. aprila 2022
EVA 2021-1535-0001
Vlada Republike Slovenije
Janez Janša
predsednik
Priloga
1: Vzorci oznak stopnje tajnosti INTERNO, ZAUPNO, TAJNO IN STROGO TAJNO
Priloga
2: Pogoji za upravna in varnostna območja v organih in organizacijah
Priloga
3: Vzorec napisov za varnostno območje
Priloga
4: Vzorec seznama vpogledov v tajni podatek
Priloga
5: Program usposabljanja kurirjev
Priloga
6: Pooblastilo za prenos (OBR-KU)
Priloga
7: Pooblastilo za prenos (OBR-OP)
Priloga
8: Postopki za zaščito pred neželenim elektromagnetnim sevanjem v sistemih
Priloga
9: Navodilo za uničenje in ponovno uporabo elektronskih nosilcev tajnih
podatkov
Priloga
10: Postopki in merila za povezovanje sistemov
Priloga
11: Načrt varovanja sistema
Priloga
12: Ocena varnostnih tveganj sistema
Priloga
13: Varnostno navodilo za delo v sistemu
Priloga
14: Varnostno navodilo za delo v sistemu INTERNO
Priloga
15: Potrdilo o varnostni ustreznosti kriptografske rešitve
Priloga
16: Vloga za začetek postopka ugotavljanja ustreznosti kriptografske rešitve
Priloga
17: Vsebina dokumentacije za začetek postopka ugotavljanja ustreznosti
kriptografske rešitve
Veljaven predpis
Veljaven predpis, vendar se še ne uporablja
Objavljen predpis, ki še ne velja
Neveljaven predpis
Neveljaven predpis, ki se še uporablja
Predpis v pripravi
Konec postopka, predpis ni nikoli veljal
Konzumiran ali obsoleten predpis