VYHLÁŠKA ze dne 16. prosince 2011 o zajištění kryptografické ochrany utajovaných informací
Celé znění předpisu ve formátu PDF ke stažení ZDE
VYHLÁŠKA
ze dne 16. prosince 2011
o zajištění kryptografické ochrany utajovaných informací
Národní bezpečnostní úřad stanoví podle § 44 a § 53 písm. j) zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění zákona č. 255/2011 Sb., (dále jen ˙zákon˙):
Tato vyhláška stanoví podrobnosti o odborné zkoušce, způsoby a prostředky manipulace s kryptografickým materiálem, podrobnosti způsobu vyznačování náležitostí na utajované informaci z oblasti kryptografické ochrany a administrativní pomůcky kryptografické ochrany a další podrobnosti k zajištění kryptografické ochrany utajovaných informací.
Pro účely této vyhlášky se rozumí
- a)
- kryptografickou zásilkou kryptografický materiál vybavený k přepravě, přepravovaný nebo doručený adresátovi na místo určení do ukončení její přepravy a jejího otevření,
- b)
- přepravou kryptografické zásilky její dopravení mimo objekt1) orgánu státu, právnické osoby nebo podnikající fyzické osoby za účelem jejího doručení adresátovi,
- c)
- přenášením kryptografického materiálu jeho přepravování mimo objekt orgánu státu, právnické osoby nebo podnikající fyzické osoby, jehož cílem není jeho doručení,
- d)
- kryptografickým dokumentem listina nebo jiný nosič informací obsahující utajované informace kryptografické ochrany,
- e)
- kryptografickým prostředkem hardwarový nebo softwarový produkt určený ke kryptografické ochraně,
- f)
- kryptografickým klíčem utajovaný proměnný parametr nezbytný k jednoznačnému zašifrování a odšifrování dat,
- g)
- klíčovým materiálem kryptografický klíč na nosiči,
- h)
- heslovým materiálem utajovaný znakový řetězec na nosiči, ze kterého je odvozován kryptografický klíč nebo který je použit k autentizaci,
- i)
- materiálem k zajištění funkce kryptografického prostředku klíčový materiál a heslový materiál pro kryptografickou operaci.
Přihláška k odborné zkoušce obsahuje
- a)
- identifikaci žadatele
1. obchodní firmou, popřípadě názvem, sídlem a identifikačním číslem, bylo-li přiděleno, je-li žadatelem právnická osoba,
2. obchodní firmou, popřípadě jménem, popřípadě jmény, příjmením, případně odlišujícím dodatkem, místem trvalého pobytu nebo u cizince místem obdobného pobytu a místem podnikání, liší-li se od místa trvalého nebo obdobného pobytu, datem narození a identifikačním číslem, bylo-li přiděleno, je-li žadatelem fyzická osoba, která je podnikatelem, nebo
3. názvem, sídlem, identifikačním číslem a jménem, popřípadě jmény a příjmením odpovědné osoby, jde-li o orgán státu,
- b)
- jméno, popřípadě jména, příjmení a datum narození pracovníka přihlášeného k odborné zkoušce,
- c)
- kopii platného osvědčení fyzické osoby,
- d)
- rozsah vykonávaných činností, pro které má být osvědčení o zvláštní odborné způsobilosti pracovníka kryptografické ochrany vydáno, a
- e)
- místo, datum, otisk razítka žadatele, jméno, popřípadě jména, příjmení a podpis odpovědné osoby orgánu státu, nebo jí pověřené osoby, nebo právnické osoby nebo podnikající fyzické osoby.
(1) Zkušební komise je tříčlenná a je složena ze zástupců Národního bezpečnostního úřadu (dále jen ˙Úřad˙) nebo pověřeného orgánu státu, který zvláštní odbornou způsobilost ověřuje.
(2) Členem zkušební komise může být jmenován jen pracovník kryptografické ochrany, který je držitelem platného osvědčení fyzické osoby, nejméně pro stupeň utajení, pro který je odborná zkouška vykonávána, s dobou praxe v oblasti kryptografické ochrany nejméně 3 roky. Alespoň jeden z členů zkušební komise musí být oprávněn provádět přípravu pracovníka kryptografické ochrany.
(3) Zkušební komise rozhoduje většinou hlasů. Výsledek odborné zkoušky se hodnotí stupněm ˙prospěl˙ nebo ˙neprospěl˙. V případě, že pracovník přihlášený k odborné zkoušce neprospěl, seznámí předseda zkušební komise žadatele s důvody tohoto hodnocení.
(4) O průběhu odborné přípravy a vykonání odborné zkoušky se vede protokol. Protokol o provedení odborné zkoušky podepisují všichni členové zkušební komise. Lhůta pro jeho skartaci začíná běžet uplynutím doby platnosti osvědčení o zvláštní odborné způsobilosti nebo dnem, kdy byl žadatel, který neprospěl, seznámen s důvody tohoto hodnocení.
(5) Pokud je část odborné zkoušky prováděna na základě smlouvy o zajištění činnosti podle § 39 odst. 3 písm. b) zákona, vydává tento subjekt písemný doklad o jejím výsledku.
Osvědčení o zvláštní odborné způsobilosti pracovníka kryptografické ochrany obsahuje
- a)
- evidenční číslo osvědčení,
- b)
- jméno, popřípadě jména, příjmení a datum narození držitele osvědčení,
- c)
- identifikaci subjektu vydávajícího osvědčení názvem orgánu státu, sídlem a identifikačním číslem,
- d)
- vymezení rozsahu odborné způsobilosti k výkonu kryptografické ochrany,
- e)
- datum vydání a dobu platnosti osvědčení a
- f)
- otisk razítka, jméno, popřípadě jména, příjmení a podpis oprávněného zástupce subjektu vydávajícího osvědčení.
Žádost o uzavření smlouvy k provádění odborné zkoušky a vydávání osvědčení o zvláštní odborné způsobilosti pracovníka kryptografické ochrany nebo smlouvy k provádění části odborné zkoušky obsahuje
- a)
- název žadatele, jméno, popřípadě jména a příjmení odpovědné osoby,
- b)
- adresu žadatele,
- c)
- identifikační číslo žadatele, bylo-li přiděleno,
- d)
- jméno, popřípadě jména a příjmení kontaktního zaměstnance žadatele a kontaktní spojení na něj,
- e)
- vymezení požadovaného rozsahu provádění odborné zkoušky,
- f)
- doklad o organizačním, personálním, technickém a materiálním zabezpečení provádění odborné zkoušky nebo části odborné zkoušky a
- g)
- jméno, popřípadě jména, příjmení a podpis odpovědné osoby žadatele.
(1) Za bezpečnostní správu kryptografické ochrany se pro účely této vyhlášky považuje plnění opatření v oblasti personální, administrativní a fyzické bezpečnosti, bezpečnosti informačních nebo komunikačních systémů při zajišťování kryptografické ochrany.
(2) Bezpečnostní správu kryptografické ochrany podle odstavce 1 určí odpovědná osoba nebo jí pověřená osoba v orgánu státu, u právnické osoby nebo podnikající fyzické osoby tam, kde se provádí výkon kryptografické ochrany.
(3) Bezpečnostní správu kryptografické ochrany vykonává
- a)
- bezpečnostní správce kryptografické ochrany, který odpovídá za komplexní zajištění, bezpečné provádění a kontrolu kryptografické ochrany a k tomu zpracovává příslušnou bezpečnostní dokumentaci kryptografické ochrany,
- b)
- správce kryptografického materiálu, který odpovídá za bezpečné ukládání a evidenci kryptografického materiálu, administrativních pomůcek, evidenci pracovníků, kryptografické ochrany, pracovníků provozní obsluhy kryptografických prostředků a kurýrů kryptografického materiálu, a
- c)
- vedoucí zaměstnanec, který je nadřízený pracovníku kryptografické ochrany a kterému to vyplývá z jeho pracovního zařazení.
(4) Úkoly správců podle odstavce 3 písm. a) a b) stanoví bezpečnostní standardy [§ 2 písm. j) zákona]. Jednotlivé činnosti vyplývající z role správce kryptografického materiálu lze rozdělit mezi více pověřených pracovníků kryptografické ochrany.
(1) Instalaci kryptografického prostředku a zajiš-ťování provozu a servisu kryptografického prostředku, činnosti bezprostředně související s nastavením materiálů k zajištění funkce kryptografického prostředku a plnění bezpečnostních opatření správy provozovaného kryptografického prostředku provádí pracovník speciální obsluhy kryptografického prostředku. Požadavky na zajištění speciální obsluhy kryptografického prostředku stanoví bezpečnostní standardy [§ 2 písm. j) zákona] a jsou uvedeny v certifikační zprávě kryptografického prostředku (§ 46 odst. 13 zákona).
(2) Rozsah oprávnění a činností pracovníka speciální obsluhy kryptografického prostředku a pracovníka provozní obsluhy kryptografického prostředku a jeho zaškolení se stanoví v provozní dokumentaci kryptografického prostředku.
(3) Kryptografický prostředek zastavěný do mobilního systému se zabezpečuje opatřeními fyzické bezpečnosti v souladu s certifikační zprávou kryptografického prostředku (§ 46 odst. 13 zákona).
(4) Pro účely provádění záznamů o používání kryptografického prostředku a materiálu k zajištění jeho funkce se používá provozní deník kryptografického prostředku, kterým je kniha nebo sešit.
(5) Pro vydání provozního deníku kryptografického prostředku a jeho úpravu před vzetím do užívání se použijí ustanovení § 17 odst. 2 a 3 obdobně.
(6) Provozní deník kryptografického prostředku musí být na vhodném místě označen stupněm utajení a evidenčním číslem. Doplňující označení provoz- ního deníku kryptografického prostředku slovem ˙KRYPTO˙ se provádí v souladu s certifikační zprávou kryptografického prostředku (§ 46 odst. 13 zákona).
(1) Způsob a podmínky výroby, označování, manipulace, nastavení, používání a ničení materiálu k zajištění funkce kryptografického prostředku stanoví provozní dokumentace kryptografického prostředku a bezpečnostní standardy [§ 2 písm. j) zákona].
(2) Výrobu materiálu k zajištění funkce kryptografického prostředku musí provádět pověřený pracovník speciální obsluhy kryptografického prostředku na kryptografickém pracovišti určeném k výrobě materiálu k zajištění funkce kryptografického prostředku. K této činnosti musí být pracovník kryptografické ochrany držitelem platného osvědčení o zvláštní odborné způsobilosti pracovníka kryptografické ochrany, ve kterém je uvedeno oprávnění k výrobě materiálů k zajištění funkce kryptografického prostředku.
(1) Pro kryptografický prostředek, u kterého je provozní obsluha vyžadována, zajistí zaškolení pracovníka provozní obsluhy kryptografického prostředku bezpečnostní správce kryptografické ochrany. Po provedení zaškolení vydá subjekt, který zaškolení provedl, zaškolené osobě potvrzení o zaškolení pracovníka provozní obsluhy kryptografického prostředku.
(2) Vzor potvrzení o zaškolení pracovníka provozní obsluhy kryptografického prostředku je stanoven v příloze č. 1 k této vyhlášce.
(3) Pro kryptografický prostředek, který je podle certifikační zprávy kryptografického prostředku současně koncovým zařízením komunikačního nebo informačního systému a u kterého je výkon jeho uživatelských funkcí součástí obsluhy koncového zařízení vykonávané uživatelem komunikačního nebo informačního systému, nemusí být provozní obsluha vyžadována. Pokud jsou požadavky na provoz takového kryptografického prostředku zapracovány do provozní dokumentace komunikačního nebo informačního sy-stému, musí být uživatel k obsluze kryptografického prostředku proškolen v rámci tohoto komunikačního nebo informačního systému.
(1) Zaškolení kurýra kryptografického materiálu zajišťuje bezpečnostní správce kryptografické ochrany. Po provedení zaškolení vydá subjekt, který zaškolení provedl, zaškolené osobě potvrzení o zaškolení kurýra kryptografického materiálu. Obsah školení kurýra kryptografického materiálu stanoví bezpečnostní standard [§ 2 písm. j) zákona].
(2) Vzor potvrzení o zaškolení kurýra kryptografického materiálu je stanoven v příloze č. 2 k této vyhlášce.
(1) Označování kryptografického prostředku upravuje jeho certifikační zpráva.
(2) Materiál k zajištění funkce kryptografického prostředku se označí stupněm utajení; klíčový materiál se dále označí slovem ˙KRYPTO˙. Evidenčním číslem materiálu k zajištění funkce kryptografického prostředku je evidenční označení materiálu stanovené výrobcem materiálu k zajištění funkce kryptografického prostředku.
(3) Materiál k zajištění funkce kryptografického prostředku, který je provozován v režimu schváleného testování nebo školení, se označí stupněm utajení podle certifikační zprávy kryptografického prostředku, pokud je vyžadován, a doplňujícím slovem ˙CVIČNÉ˙.
(4) Kryptografický dokument v listinné podobě se označí slovem ˙KRYPTO˙ v horní a dolní části na každé straně dokumentu za stupněm utajení a číslem jednacím; doplňkově jej lze označit evidenčním číslem. U kryptografického dokumentu v nelistinné podobě se označení slovem ˙KRYPTO˙, stupněm utajení a evidenčním číslem vyznačí na popisném štítku nebo přímo na kryptografickém dokumentu, pokud dále není stanoveno jinak (§ 13 a 15).
(1) Na kryptografický dokument v listinné podobě se uvede název orgánu státu nebo právnické osoby anebo jméno, popřípadě jména a příjmení podnikající fyzické osoby, kde kryptografický dokument vznikl, místo a datum vyhotovení, číslo jednací dokumentu, stupeň utajení, označení slovem ˙KRYPTO˙, číslo výtisku, počet listů, počet utajovaných a neutajovaných příloh v listinné podobě a počty jejich listů.
(2) Číslo výtisku, počet listů, počet utajovaných a neutajovaných příloh a počet jejich listů se uvede na přední stranu prvního listu v pravé horní části. Označení slovem ˙KRYPTO˙ se vyznačí v horní a dolní části na každé straně kryptografického dokumentu za stupněm utajení a v čísle jednacím zkratkou ˙K˙ uvedenou za rokem vzniku kryptografického dokumentu a oddělenou lomítkem. Počet příloh v listinné podobě a počet jejich listů se vyjádří zlomkem, jehož čitatelem je počet příloh a jmenovatelem celkový počet listů příloh. Listy nebo stránky kryptografického dokumentu v listinné podobě musí být průběžně číslovány. Listy nebo stránky utajovaných příloh se číslují samostatně. Listy kryptografického dokumentu a listy jednotlivých utajovaných příloh v listinné podobě musí být sešity nebo jinak pevně spojeny. Vzor úpravy přední strany prvního listu kryptografického dokumentu je stanoven v příloze č. 3 k této vyhlášce.
(3) Příloha se označuje číslem jednacím kryptografického dokumentu tak, že se na přední stranu prvního listu v pravé horní části uvede: ˙Příloha č. ˙ k č. j. ˙˙. Stupeň utajení každé utajované přílohy se vyznačuje stejným způsobem jako na kryptografickém dokumentu. Na utajované příloze stupně utajení Důvěrné a vyššího se uvede název orgánu státu nebo právnické osoby anebo jméno, popřípadě jména, příjmení podnikající fyzické osoby, u které utajovaná příloha vznikla. Utajovaná příloha musí mít vlastní vyznačení čísla výtisku a počtu listů. Manipulace s kryptografickým dokumentem, který obsahuje přílohy různých stupňů utajení, se řídí podle nejvyššího stupně utajení. S odpojenou přílohou se manipuluje podle jejího stupně utajení.
(4) Příloha, která má označení evidenčním číslem, se eviduje na evidenční kartě, v evidenční knize, případně v dalších administrativních pomůckách podle § 17. Tyto dokumenty se evidují a zasílají jako příloha pod evidenčními údaji původce dokumentu. Tato skutečnost se uvede v průvodním dopise.
Číslo jednací kryptografického dokumentu tvoří
- a)
- zkratka stupně utajení,
- b)
- pořadové číslo z jednacího protokolu; v případě použití sběrného archu se za pořadovým číslem z jednacího protokolu vyznačí spojovník a pořadové číslo ze sběrného archu,
- c)
- lomítko,
- d)
- rok, ve kterém bylo pořadové číslo přiděleno,
- e)
- lomítko a zkratka ˙K˙ a
- f)
- další údaje nebo znaky stanovené orgánem státu, právnickou osobou nebo podnikající fyzickou osobou oddělené spojovníkem.
Na kryptografický dokument v nelistinné podobě nebo na jeho popisný štítek nebo jiným vhodným způsobem se uvede označení orgánu státu, právnické osoby, nebo podnikající fyzické osoby, kde kryptografický dokument vznikl, číslo jednací kryptografického dokumentu, popřípadě příloha k číslu jednacímu kryptografického dokumentu v listinné podobě, nebo evidenční označení, pod kterým je kryptografický dokument v nelistinné podobě zaevidován, stupeň utajení a slovo ˙KRYPTO˙.
(1) Evidence kryptografického materiálu, pracovníků kryptografické ochrany, pracovníků provozní obsluhy kryptografických prostředků a kurýrů kryptografického materiálu se vede v administrativních pomůckách kryptografické ochrany.
(2) Evidenci podle odstavce 1 vede pracovník kryptografické ochrany pověřený k této činnosti odpovědnou osobou nebo jí pověřenou osobou (dále jen ˙pověřený pracovník˙).
(1) Pro účely evidence, předávání, přebírání a zaznamenávání pohybu kryptografického materiálu, administrativních pomůcek, pracovníků kryptografické ochrany, pracovníků provozní obsluhy kryptografického prostředku a kurýrů kryptografického materiálu se používají následující administrativní pomůcky kryptografické ochrany
- a)
- evidenční karta pro evidování kryptografických prostředků, materiálů k zajištění funkce kryptografického prostředku, pracovníků kryptografické ochrany, pracovníků provozní obsluhy kryptografického prostředku, kurýrů kryptografického materiálu a provozní dokumentace,
- b)
- rejstřík evidenčních karet pro evidování evidenčních karet,
- c)
- evidenční kniha pro evidování kryptografického materiálu, administrativních pomůcek a pomocné evidence,
- d)
- jednací protokol pro evidování kryptografického dokumentu; jednací protokol obsahuje evidenční položky podle vzoru stanoveného v příloze č. 1 vyhlášky upravující administrativní bezpečnost a registry utajovaných informací,
- e)
- pomocný jednací protokol pro zaznamenávání pohybu kryptografického dokumentu v rámci orgánu státu, právnické osoby nebo podnikající fyzické osoby; pomocný jednací protokol obsahuje položky podle vzoru stanoveného v příloze č. 2 vyhlášky upravující administrativní bezpečnost a registry utajovaných informací,
- f)
- manipulační kniha pro zaznamenávání kryptografického dokumentu při přebírání a předávání osobou, která takový dokument vytváří nebo které byl takový dokument předán k vyřízení; manipulační kniha obsahuje položky podle vzoru stanoveného v příloze č. 3 vyhlášky upravující administrativní bezpečnost a registry utajovaných informací,
- g)
- doručovací kniha pro zaznamenávání předání kryptografického dokumentu mimo orgán státu, právnickou osobu, nebo podnikající fyzickou oso-bu; doručovací kniha obsahuje položky podle vzoru stanoveného v příloze č. 4 vyhlášky upravující administrativní bezpečnost a registry utajovaných informací,
- h)
- zápůjční kniha pro zaznamenávání zápůjček uloženého kryptografického dokumentu; zápůjční kniha obsahuje položky podle vzoru stanoveného v příloze č. 5 vyhlášky upravující administrativní bezpečnost a registry utajovaných informací,
- i)
- sběrný arch pro rozšíření evidenčního záznamu v jednacím protokolu v případě evidování většího počtu kryptografických dokumentů k jedné věci; sběrný arch obsahuje položky podle vzoru stanoveného v příloze č. 7 vyhlášky upravující administrativní bezpečnost a registry utajovaných informací a
- j)
- kontrolní list kryptografického dokumentu od stupně utajení Důvěrné včetně pro vedení přehledu osob, které se s obsahem kryptografického dokumentu seznámily; kontrolní list obsahuje položky podle vzoru stanoveného v příloze č. 6 vyhlášky upravující administrativní bezpečnost a registry utajovaných informací.
(2) Administrativní pomůcky uvedené v odstavci 1 písm. a) až c) vydává Úřad. V odůvodněných případech je možno místo pomůcky uvedené v odstavci 1 písm. a) až c) použít další administrativní pomůcku, která však musí obsahovat všechny položky pomůcky, kterou nahrazuje. Způsob používání pomůcek uvedených v tomto odstavci stanoví bezpečnostní standardy [§ 2 písm. j) zákona].
(3) Administrativní pomůcky podle odstavce 1 písm. b) až h) musí být před vzetím do užívání upraveny tak, že se jejich listy průběžně očíslují a prošijí. Na vnitřní straně desek se přelepí konce prošití, otiskne razítko s názvem orgánu státu, právnické osoby nebo podnikající fyzické osoby, přesahující okraj přelepu, uvede doložka o počtu listů a podpis bezpečnostního ředitele nebo osoby pověřené k podpisu odpovědnou osobou a datum přidělení k užívání.
(4) Utajovaná administrativní pomůcka kryptografické ochrany musí být na vhodném místě označena stupněm utajení, slovem ˙KRYPTO˙ a evidenčním čís-lem.
(5) Neutajovaná administrativní pomůcka kryptografické ochrany musí být na vhodném místě označena slovem ˙KRYPTO˙ a evidenčním číslem. S obsahem této administrativní pomůcky se může seznámit pouze pracovník kryptografické ochrany; pracovník provozní obsluhy kryptografického prostředku nebo kurýr kryptografického materiálu se s jejím obsahem může seznámit pouze v případě, že to nezbytně nutně potřebuje k výkonu své činnosti.
Administrativní pomůcky lze vést v elektronické podobě; způsob používání a požadavky na vedení těchto administrativních pomůcek stanoví bezpečnostní standardy [§ 2 písm. j) zákona].
Kryptografický prostředek a materiál k zajištění jeho funkce se eviduje na evidenčních kartách nebo v evidenční knize. Způsob jejich evidování stanoví bezpečnostní standardy [§ 2 písm. j) zákona].
(1) Doručený nebo vznikající kryptografický dokument se eviduje v jednacím protokolu podle pokynů stanovených v příloze č. 1 vyhlášky upravující administrativní bezpečnost a registry utajovaných informací, pokud tato vyhláška nestanoví jinak.
(2) Doručený nebo vznikající kryptografický dokument označený evidenčním číslem se eviduje na evidenční kartě, v evidenční knize, případně v dalších administrativních pomůckách. Způsob provádění evidence stanoví bezpečnostní standardy [§ 2 písm. j) zákona].
(3) Doručeným kryptografickým dokumentem je rovněž kryptografický dokument, který byl převzat příjemcem mimo objekt orgánu státu, právnické osoby nebo podnikající fyzické osoby na úředním jednání nebo při provádění kontroly. Pro přenesení tohoto kryptografického dokumentu musí být splněny podmínky stanovené pro přenášení kryptografického materiálu (§ 29) a po jeho přenesení musí být neprodleně předán k zaevidování pověřenému pracovníkovi.
(4) Na doručeném kryptografickém dokumentu se vyznačí
- a)
- název příjemce,
- b)
- datum zaevidování,
- c)
- číslo jednací kryptografického dokumentu příjemce,
- d)
- počet listů a
- e)
- počet příloh nebo počet svazků příloh a počet jejich listů; u příloh v nelistinné podobě jejich počet a druh.
Tyto údaje mohou být vyznačeny otiskem razítka.
(5) Pro účely zaznamenávání pohybu kryptografického dokumentu u organizační součásti, která nevede jednací protokol, může orgán státu, právnická osoba, nebo podnikající fyzická osoba zavést pomocný jednací protokol. Do pomocného jednacího protokolu se kryptografický dokument zapisuje pod přiděleným pořadovým číslem z jednacího protokolu.
(6) Ten, kdo kryptografický dokument vytváří nebo mu byl přidělen k vyřízení, jej zaznamenává v přidělené manipulační knize. Záznam se provede neprodleně po přijetí kryptografického dokumentu nebo přidělení čísla jednacího pro vznikající kryptografický dokument. V manipulační knize se rovněž zaznamenává kryptografický dokument, který byl převzat mimo objekt orgánu státu, právnické osoby nebo podnikající fyzické osoby na úředním jednání nebo při provádění kontroly.
(7) Na konci kalendářního roku se jednací protokol uzavře tak, že se poslední zápis celý podtrhne, a tím se ukončí přidělování čísel jednacích v tomto roce. Pod podtržením se uvede záznam o počtu použitých čísel jednacích, který podepíše pověřený pracovník a jeho přímý nadřízený.
(8) Kryptografický dokument, kterému byl změněn stupeň utajení nebo zrušen stupeň utajení a označení slovem ˙KRYPTO˙, se nadále eviduje v administrativních pomůckách kryptografické ochrany podle odstavce 1 nebo 2.
(1) Čistopis kryptografického dokumentu se vyhotovuje v počtu výtisků uvedeném v rozdělovníku. Ten, kdo vyhotovuje čistopis, neprodleně zničí vadné výtisky, výtisky, které nejsou uvedeny v rozdělovníku, a návrhy neschválených čistopisů.
(2) Na výtisku kryptografického dokumentu, který je určen k uložení, se vyhotoví rozdělovník a záznam pro uložení. Vzor rozdělovníku a záznamu pro uložení je stanoven v příloze č. 4 k této vyhlášce.
Poznámky obsahující utajované informace kryptografické ochrany se zaznamenávají pouze na nosič utajovaných informací, který byl před vzetím do užívání upraven podle § 17 odst. 4 a 5 nebo § 15. Evidenci vydaných nosičů informací vede pověřený pracovník. Nosič utajovaných informací se přenáší a ukládá obdobně jako kryptografický dokument stejného stupně utajení.
(1) Opis, kopie, překlad nebo výpis z kryptografického dokumentu stupně utajení Přísně tajné nebo Tajné může být vyhotoven pouze na základě písemného souhlasu původce kryptografického dokumentu. Písemný souhlas obsahuje číslo jednací kryptografického dokumentu, počet výtisků, důvod vyhotovení, jméno, popřípadě jména, příjmení a podpis toho, kdo souhlas udělil, a datum, kdy byl souhlas udělen. Písemný souhlas se ukládá u originálu kryptografického dokumentu až do jeho vyřazení.
(2) Opis, kopie, překlad nebo výpis z kryptografického dokumentu stupně utajení Důvěrné nebo Vyhrazené může být vyhotoven pouze s písemným souhlasem vedoucího zaměstnance podle § 7 odst. 3 písm. c), uvedeným na tomto dokumentu.
(3) Na kryptografický dokument, ze kterého se vyhotovuje opis, kopie, překlad nebo výpis, se vyznačí datum vyhotovení, počet výtisků, důvod vyhotovení, jméno, popřípadě jména a příjmení osoby, která vydala souhlas, jméno, popřípadě jména, příjmení a podpis toho, kdo je vyhotovil.
(4) Na vyhotovený opis nebo kopii kryptografického dokumentu se v horní části přední strany prvního listu vyznačí slovo ˙OPIS˙ nebo slovo ˙KOPIE˙ a uvede pořadové číslo vyhotoveného opisu nebo kopie kryptografického dokumentu. Nesouhlasí-li počet listů opisu s počtem listů originálu, vyznačí se na opisu rovněž skutečný počet listů opisu.
(5) Výpis z kryptografického dokumentu obsahující utajované informace kryptografické ochrany se pořizuje pouze do poznámkového sešitu nebo knihy nebo jiného nosiče informací podle § 22.
(1) Kryptografický materiál se předává proti potvrzení podpisem.
(2) Předávání kryptografického prostředku nebo materiálu k zajištění jeho funkce v rámci orgánu státu, právnické osoby nebo u podnikající fyzické osoby se eviduje na evidenční kartě kryptografického materiálu, případně v dalších administrativních pomůckách.
(3) Předávání kryptografického dokumentu v rám-ci orgánu státu, právnické osoby nebo u podnikající fyzické osoby se uskutečňuje
- a)
- mezi organizačními součástmi prostřednictvím jednacích protokolů,
- b)
- v rámci organizační součásti prostřednictvím pomocného jednacího protokolu, není-li zaveden, prostřednictvím jednacího protokolu, nebo, po schválení odpovědnou osobou nebo bezpečnostním ředitelem, i prostřednictvím manipulační knihy nebo k tomu určené manipulační karty.
(4) Podpisy potvrzující převzetí kryptografického dokumentu se uvádějí v administrativních pomůckách nebo v rozdělovníku kryptografického dokumentu.
(1) Kryptografický prostředek se odesílá v obalu umožňujícím jeho uzamčení nebo jiné zajištění proti neoprávněné manipulaci s jeho obsahem (dále jen ˙přepravní obal˙). Na přepravním obalu se uvede odesílatel, označení slovem ˙KRYPTO˙, evidenční označení kryptografického prostředku, adresa adresáta a nápis: ˙V případě nálezu neotvírejte a předejte neprodleně útvaru Policie České republiky nebo Národnímu bezpečnostnímu úřadu!˙ Přepravní obal musí být takové kvality, aby neumožňoval získání informace o jeho obsahu.
(2) Materiál k zajištění funkce kryptografického prostředku se odesílá ve 2 obalech takto
- a)
- na vnitřním obalu se v levé horní části uvede odesílatel, evidenční číslo zásilky, v pravé horní části stupeň utajení a u klíčového materiálu také označení slovem ˙KRYPTO˙, v dolní části název a úplná adresa adresáta, je-li zásilka adresována fyzické osobě, uvede se rovněž její jméno, popřípadě jména, příjmení a funkce. Na obalu se uvede nápis ˙OTEVŘE POUZE POVĚŘENÝ PRACOVNÍK KRYPTOGRAFICKÉ OCHRANY˙. Obal se zajistí tak, že se všechny jeho spoje po celé délce přelepí lepicí páskou a opatří otisky razítka orgánu státu, právnické osoby, nebo podnikající fyzické osoby a podpisem pověřeného pracovníka. Otisky razítka a podpisy musí přesahovat mimo lepicí pásku. Při použití průhledné lepicí pásky se otisky razítka a podpisy touto páskou přelepí. Obal musí být takové kvality, aby neumožňoval získání informace o jeho obsahu,
- b)
- vnějším obalem je přenosná schránka (§ 31) opatřená adresou adresáta a evidenčním číslem zásilky.
(3) Kryptografický dokument v listinné podobě se odesílá ve 2 obálkách takto
- a)
- na vnitřní obálce se v levé horní části uvede odesílatel, celé číslo jednací kryptografického dokumentu, v pravé horní části stupeň utajení, označení slovem ˙KRYPTO˙ a v dolní části název a úplná adresa adresáta, je-li zásilka adresována fyzické osobě, uvede se rovněž její jméno, popřípadě jména, příjmení a funkce. Na obálce se uvede nápis ˙OTEVŘE POUZE POVĚŘENÝ PRACOVNÍK KRYPTOGRAFICKÉ OCHRANY˙. Obálka se zajistí tak, že se všechny spoje obálky po celé délce přelepí lepicí páskou a opatří otisky razítka orgánu státu, právnické osoby nebo podnikající fyzické osoby a podpisem pověřeného pracovníka. Otisky razítka a podpisy musí přesahovat mimo lepicí pásku. Při použití průhledné lepicí pásky se otisky razítka a podpisy touto páskou přelepí. Obálka musí být takové kvality, aby údaje uvnitř obálky nebyly čitelné,
- b)
- vnější obálkou je přenosná schránka (§ 31) opatřená adresou adresáta a evidenčním číslem zásilky nebo číslem tvořeným položkami uvedenými v § 14 písm. b) až d).
(4) Kryptografický dokument v nelistinné podobě se odesílá vždy jako příloha kryptografického dokumentu v listinné podobě, na který se uvede počet a druh příloh, případně i jejich evidenční označení.
Kryptografický dokument lze přenést elektronickou cestou při splnění těchto podmínek
- a)
- elektronický přenos kryptografického dokumentu se zaznamená na tomto dokumentu a v jednacím protokolu,
- b)
- manipulace s kryptografickým dokumentem během elektronického přenosu musí být prokazatelně zaznamenána v administrativních pomůckách kryptografické ochrany a v evidenci odeslaných a přijatých zpráv elektronického přenosu,
- c)
- na kryptografický dokument, jehož výtisk byl odeslán, se v záznamu pro uložení do řádku ˙Vypravil˙ uvede ˙odesláno elektronicky˙, datum a čas odeslání, jméno, popřípadě jména a příjmení odesílatele. Do jednacího protokolu se jako způsob vyřízení uvede ˙odesláno elektronicky˙, jméno, popřípadě jména a příjmení pracovníka, který kryptografický dokument odeslal. Záznamy se provedou neprodleně po předání dokumentu k elektronickému přenosu,
- d)
- na přijatý kryptografický dokument, jehož přijetí bylo zaznamenáno do evidence odeslaných a přijatých zpráv elektronického přenosu, se uvede datum a čas přijetí, jméno, popřípadě jména a příjmení příjemce. Přijatý kryptografický dokument musí být neprodleně předán k zaevidování proti podpisu pověřenému pracovníkovi.
(1) Kryptografickou zásilku přijímá pověřený pracovník. Převzetí kryptografické zásilky se kurýrovi kryptografického materiálu potvrdí podpisem s uvedením jména, popřípadě jmen, příjmení, data přijetí a otis-kem razítka orgánu státu, právnické osoby, nebo podnikající fyzické osoby.
(2) Vyskytne-li se u doručené kryptografické zásilky závada, zejména při zřetelném poškození obalu zásilky, pověřený pracovník o této skutečnosti neprodleně informuje odesílatele a sepíše záznam o poškození kryptografické zásilky. Kurýr kryptografického materiálu uvede na samostatném listu své vyjádření ke zjiš-těné závadě. Toto vyjádření se po podpisu kurýra kryptografického materiálu stává součástí záznamu o poškození kryptografické zásilky.
(3) Záznam o poškození kryptografické zásilky, jehož vzor je stanoven v příloze č. 5 k této vyhlášce, obsahuje
- a)
- číslo jednací záznamu,
- b)
- označení odesílatele a adresáta,
- c)
- označení a datum doručení kryptografické zásilky,
- d)
- zjištěné závady kryptografické zásilky,
- e)
- datum provedení záznamu, jméno, popřípadě jména, příjmení a podpis pověřené osoby a otisk razítka příjemce,
- f)
- jméno, popřípadě jména a příjmení kurýra kryptografického materiálu a
- g)
- vyjádření kurýra kryptografického materiálu ke zjištěné závadě.
(4) Záznam o poškození kryptografické zásilky se ukládá společně s průvodním listem kryptografické zásilky vyhotoveným podle § 28 odst. 4. Jedno vyhotovení záznamu se zašle odesílateli zásilky. Obsah doručené zásilky se zaeviduje podle skutečného stavu. O dalším postupu nakládání se zásilkou rozhodne bezpečnostní správce kryptografické ochrany.
(1) Kryptografický materiál se přepravuje jako kryptografická zásilka prostřednictvím kurýra kryptografického materiálu.
(2) Kryptografické zásilky jsou vyloučeny z přepravy veřejnými dopravními prostředky, s výjimkou přepravy letecké, námořní a vnitrozemské vodní.
(3) Kryptografická zásilka se k přepravě zajistí tak, aby nedošlo k neoprávněné manipulaci s jejím obsahem. Kryptografickou zásilku, kterou z důvodu jejího rozměru nelze přepravovat v přepravním obalu nebo v přenosné schránce, je nutné při její přepravě vhodným způsobem zakrýt tak, aby se zabránilo seznámení neoprávněné osoby s utajovanou informací.
(4) Ke každé kryptografické zásilce obsahující kryptografický prostředek nebo materiál k zajištění jeho funkce se vyhotovuje průvodní list kryptografické zásilky (dále jen ˙průvodní list˙), jehož vzor je stanoven v příloze č. 6 k této vyhlášce. Průvodní list obsahuje
- a)
- číslo jednací průvodního listu,
- b)
- označení odesílatele,
- c)
- označení adresáta,
- d)
- přesnou identifikaci obsahu kryptografické zásilky (druh, název a označení materiálu, stupeň utajení, evidenční číslo, popřípadě číslo jednací, počet kusů materiálu),
- e)
- datum a otisk razítka odesílatele, jméno, popřípadě jména, příjmení a podpis pověřené osoby a
- f)
- datum převzetí zásilky a otisk razítka příjemce, jméno, popřípadě jména, příjmení a podpis pověřené osoby.
(5) Průvodní list podle odstavce 4 se vyhotovuje jako kryptografický dokument minimálně ve dvou výtiscích. Potřebný počet vyhotovení průvodního listu se přepravuje společně s kryptografickou zásilkou. Jedno potvrzené vyhotovení průvodního listu zašle příjemce kryptografické zásilky neprodleně zpět odesílateli.
(6) Vybavení kryptografického materiálu k přepravě zajišťuje pověřený pracovník.
(7) Přepravu kryptografického materiálu stupně utajení Přísně tajné, Tajné a Důvěrné provádí kurýr kryptografického materiálu v doprovodu nejméně 1 osoby, která musí být k této činnosti pověřena odpovědnou osobou nebo jí pověřenou osobou a která musí být kurýrem kryptografického materiálu poučena o způsobu a prostředcích přepravy. Poučení osoby doprovázející kurýra kryptografického materiálu se provede v rozsahu nezbytném pro účely doprovodu.
(1) Kryptografický materiál lze přenášet v zalepené obálce nebo uzavřeném obalu, na kterých je uvedeno označení orgánu státu, právnické osoby nebo podnikající fyzické osoby, vyznačen stupeň utajení a vyznačeno označení slovem ˙KRYPTO˙. To neplatí pro obálku nebo uzavřený obal obsahující heslový materiál, na kterém se označení slovem ˙KRYPTO˙ nevyznačuje.
(2) Kryptografický materiál se přenáší při dodržení ustanovení § 28 odst. 2 a 3 za těchto podmínek
- a)
- kryptografický materiál stupně utajení Přísně tajné lze přenášet pouze s písemným souhlasem odpovědné osoby; písemný souhlas se nestává součástí kryptografického dokumentu, ale ukládá se společně s ním,
- b)
- kryptografický materiál stupně utajení Tajné lze přenášet pouze s písemným souhlasem vedoucího zaměstnance podle § 7 odst. 3 písm. c); písemný souhlas se nestává součástí kryptografického dokumentu, ale ukládá se společně s ním,
- c)
- kryptografický materiál stupně utajení Důvěrné a Vyhrazené lze přenášet pouze se souhlasem vedoucího zaměstnance podle § 7 odst. 3 písm. c).
(3) Přenášení kryptografického materiálu provádí pracovník kryptografické ochrany. Při přenášení kryptografického materiálu stupně utajení Přísně tajné, Tajné a Důvěrné je doprovázen nejméně 1 osobou. Doprovázející osoba musí být k této činnosti pověřena odpovědnou osobou nebo jí pověřenou osobou a náležitě poučena pracovníkem kryptografické ochrany.
(4) Za přenášení kryptografického materiálu je považována i doprava kryptografického materiálu na koncové pracoviště komunikačního nebo informačního systému a jeho poskytnutí k provozování.
(1) Kryptografický materiál se ukládá do úschovného objektu (§ 31) v zabezpečené oblasti. Jsou-li splněny požadavky vyhlášky upravující fyzickou bezpečnost a certifikaci technických prostředků, lze uložit kryptografický materiál v zabezpečené oblasti mimo úschovný objekt.
(2) Kryptografický dokument se po vyřízení vrací pověřené osobě k uložení. Na kryptografický dokument před jeho uložením uvede ten, kdo jej vyřizuje, skartační znak a rok, ve kterém bude provedeno skartační řízení. Vyřízené kryptografické dokumenty se ukládají odděleně od ostatních utajovaných dokumentů u pověřené osoby.
(1) Za přenosnou schránku se pro účely této vyhlášky považuje jakýkoliv druh aktovky, kufříku, kufru, přenosné bezpečnostní schránky nebo kurýrního vaku. Přenosná schránka musí být při jejím použití k přepravě nebo přenášení kryptografického materiálu zajištěna proti neoprávněné manipulaci s jejím obsahem, například uzamčením mechanickým nebo kódo-vým zámkem, pečetěním, plombováním. Každá pře-nosná schránka musí být opatřena na vhodném místě názvem a sídlem orgánu státu, obchodní firmou, popřípadě názvem a sídlem právnické osoby, nebo obchodní firmou, popřípadě jménem, popřípadě jmény, příjmením a místem trvalého pobytu nebo u cizince místem obdobného pobytu a místem podnikání, liší-li se od místa trvalého nebo obdobného pobytu, podnikající fyzické osoby a nápisem: ˙V případě nálezu neotvírejte a předejte neprodleně útvaru Policie České republiky nebo Národnímu bezpečnostnímu úřadu!˙
(2) Za úschovné objekty se pro účely této vyhlášky považují všechny druhy trezorů a uzamykatelných kovových skříní splňující požadavky pro ukládání kryptografického materiálu podle vyhlášky o fyzické bezpečnosti a certifikaci technických prostředků.
(1) Uložený kryptografický dokument lze, v rámci orgánu státu, právnické osoby, nebo podnikající fyzické osoby, nebo jejich organizační součásti, ve které je evidován, zapůjčit na dobu nezbytně nutnou pracovníkovi kryptografické ochrany.
(2) Kryptografický dokument lze zapůjčit pouze se souhlasem odpovědné osoby orgánu státu, právnické osoby, nebo podnikající fyzické osoby, nebo jí pověřeného pracovníka kryptografické ochrany.
(3) Zapůjčení kryptografického dokumentu zaznamenává pověřený pracovník v zápůjční knize.
(4) Vypůjčené kryptografické dokumenty se vždy po uplynutí každých 6 kalendářních měsíců od zá- půjčky předkládají pověřené osobě k provedení fyzické kontroly.
O vyřazení kryptografického prostředku a materiálu k zajištění jeho funkce rozhoduje odpovědná osoba nebo jí pověřený pracovník kryptografické ochrany. Podmínky, způsob a postupy jejich vyřa- zování a ničení stanoví bezpečnostní standardy [§ 2 písm. j) zákona]. Za jejich zničení se považuje uvedení do takového fyzického stavu, který znemožňuje jejich rekonstrukci a identifikaci utajované informace, kterou obsahovaly.
(1) Ochrana kryptografického prostředku a materiálu k zajištění jeho funkce bez nutnosti jejich ukládání (§ 41 odst. 3 zákona) musí být stanovena v certifikační zprávě kryptografického prostředku (§ 46 odst. 13 zákona).
(2) Podmínky, způsob a postupy ochrany kryptografického prostředku a materiálu k zajištění jeho funkce bez nutnosti jejich ukládání (§ 41 odst. 3 zákona) stanoví provozní dokumentace.
Žádost o udělení povolení k vývozu certifikovaného kryptografického prostředku z České republiky obsahuje
- a)
- název obchodní firmy, je-li žadatelem podnikatel, nebo název orgánu státu, je-li žadatelem orgán státu,
- b)
- sídlo či místo podnikání podnikatele nebo adresu orgánu státu žádajícího o schválení vývozu kryptografického prostředku, identifikační číslo, bylo- -li přiděleno, jméno, popřípadě jména a příjmení odpovědné osoby žadatele,
- c)
- číslo platného osvědčení podnikatele a formu přístupu, k níž osvědčení podnikatele opravňuje,
- d)
- jméno, popřípadě jména a příjmení kontaktního zaměstnance žadatele a kontaktní spojení na něj,
- e)
- identifikaci kryptografického prostředku, zejména jeho název a typové označení, číslo certifikátu a
- f)
- rozsah, účel a způsob zabezpečení vývozu kryptografického prostředku.
(1) Kategorií kryptografického pracoviště se rozumí označení úrovně způsobilosti kryptografického pracoviště zajistit ochranu utajované informace z oblasti kryptografické ochrany podle nejvyššího stupně utajení utajované informace, která se v něm ukládá nebo zpracovává, a podle toho, zda vstupem na kryptografické pracoviště dochází ˙ třída I, nebo nedochází ˙ třída II k seznámení se s utajovanou informací.
(2) Kryptografická pracoviště se zařazují do kategorií kryptografických pracovišť
- a)
- Přísně tajné třídy I, nebo Přísně tajné třídy II,
- b)
- Tajné třídy I, nebo Tajné třídy II,
- c)
- Důvěrné třídy I, nebo Důvěrné třídy II, a nebo
- d)
- Vyhrazené třídy I, nebo Vyhrazené třídy II.
(3) Pro označení kategorie kryptografického pracoviště lze použít zkratku, kterou tvoří zkratka nejvyššího stupně utajení utajované informace, která se v něm ukládá nebo zpracovává, lomítko a zkratka třídy zabez-pečené oblasti, ve které se kryptografické pracoviště nachází, a to pro třídu I zkratka ˙I˙ a pro třídu II zkratka ˙II˙.
Pokud tato vyhláška nestanoví jinak, platí pro zajišťování administrativní bezpečnosti při nakládání s kryptografickým materiálem obdobně ustanovení vyhlášky upravující administrativní bezpečnost a registry utajovaných informací.
(1) Osvědčení o zvláštní odborné způsobilosti vydané podle dosavadních právních předpisů se po dobu jeho platnosti považuje za osvědčení o zvláštní odborné způsobilosti vydané podle této vyhlášky.
(2) Odborná zkouška, ke které byla podána přihláška přede dnem nabytí účinnosti této vyhlášky a která nebyla do dne nabytí účinnosti této vyhlášky provedena, se provede podle této vyhlášky.
(3) Potvrzení o zaškolení pracovníka provozní obsluhy kryptografického prostředku vydané podle dosavadních právních předpisů se po dobu jeho platnosti považuje za potvrzení o zaškolení pracovníka provozní obsluhy kryptografického prostředku vydané podle této vyhlášky.
(4) Potvrzení o zaškolení kurýra kryptografického materiálu vydané podle dosavadních právních předpisů se po dobu jeho platnosti považuje za potvrzení o zaškolení kurýra kryptografického materiálu vydané podle této vyhlášky.
Vyhláška č. 524/2005 Sb., o zajištění kryptografické ochrany utajovaných informací, se zrušuje.
Tato vyhláška nabývá účinnosti dnem 1. ledna 2012.
r.
Sb.
Sb.
Sb.
Sb.
Sb.
––––––––––––––––––––
- 1)
- § 24 odst. 2 zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění zákona č. 255/2011 Sb.