VYHLÁŠKA ze dne 25. ledna 2008, kterou se mění vyhláška č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci technických prostředků
Celé znění předpisu ve formátu PDF ke stažení ZDE
Národní bezpečnostní úřad stanoví podle § 33 a § 53 písm. a), c), d), f) a j) zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti:
Vyhláška č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci technických prostředků, se mění takto:
1. V § 2 se na konci písmene l) tečka nahrazuje čárkou a doplňuje se písmeno m), které zní:
-
„m) útočníkem fyzická osoba, která vyvíjí činnost s cílem překonat technické prostředky a další překážky sloužící k zabezpečení ochrany utajovaných informací.“.
2. V § 3 se za odstavec 6 vkládá nový odstavec 7, který zní:
-
„(7) K zajištění ochrany zabezpečených oblastí kategorie Vyhrazené se používají certifikované nebo necertifikované technické prostředky.“.
Dosavadní odstavce 7 až 11 se označují jako odstavce 8 až 12.
3. V § 3 odst. 8 se za slova „zabezpečených oblastí“ vkládají slova „kategorie Důvěrné a vyšší“.
4. V § 3 odstavec 9 zní:
-
„(9) Utajovaná informace se ukládá v zabezpečené oblasti, popřípadě v úschovném objektu, je-li jeho bodová hodnota uplatněna v projektu fyzické bezpečnosti pro příslušnou zabezpečenou oblast.“.
5. § 5 včetně nadpisu zní:
-
(1) Technické zařízení obsahující utajovanou informaci stupně utajení Důvěrné a vyšší se ukládá v zabezpečené oblasti. Hranici této zabezpečené oblasti a její zařazení do příslušné kategorie a třídy stanoví provozovatel objektu. Hranici objektu stanoví provozovatel objektu.
(2) Zabezpečení zabezpečené oblasti a hranice objektu podle odstavce 1 je zajišťováno kombinací opatření fyzické bezpečnosti podle odstavců 3 až 10 anebo podle § 3 odst. 2.
(3) Rozsah a způsob použití technických prostředků a dalších překážek k zabezpečení ochrany utajovaných informací v technických zařízeních stanovuje provozovatel objektu tak, aby zajistil informování ostrahy o narušení bezpečnosti ze strany útočníka a zpomalil jej na cestě k utajované informaci v technickém zařízení.
(4) K zajištění ochrany zabezpečené oblasti a objektu podle odstavce 1 se mohou použít certifikované i necertifikované technické prostředky. Nejblíže k technickému zařízení se zpravidla umísťuje nejodolnější technický prostředek.
(5) Pro ostrahu technického zařízení obsahujícího utajovanou informaci stupně utajení Důvěrné je stanovena ostraha typu 4 nebo vyšší podle přílohy č. 1 této vyhlášky. Pro ostrahu technického zařízení obsahujícího utajovanou informaci stupně utajení Tajné je stanovena ostraha typu 4 s pravidelnými obchůzkami v intervalu ne větším než 4 hodiny nebo ostraha vyšší podle přílohy č. 1 této vyhlášky. Pro ostrahu technického zařízení obsahujícího utajovanou informaci stupně utajení Přísně tajné je stanovena ostraha typu 5 podle přílohy č. 1 této vyhlášky.
(6) Provozovatel objektu stanovuje časové limity pro ostrahu, které musí dodržet při zásahu proti útočníkovi na základě počtu a druhu jednotlivých technických prostředků a dalších překážek, které musí útočník překonat při cestě k utajované informaci v technickém zařízení.
(7) Zásah ostrahy proti útočníkovi je prováděn minimálně dvěma fyzickými osobami v jakémkoli místě objektu nebo zabezpečené oblasti, kde došlo k narušení ochrany utajované informace v technickém zařízení nebo k vyhlášení poplachového nebo nouzového signálu, aniž by byla oslabena ochrana utajovaných informací na jiném místě.
(8) Ostraha provádí zásah proti útočníkovi v časovém limitu, který stanovil provozovatel objektu podle odstavce 9, aby znemožnil získat útočníkovi utajovanou informaci, která se nachází v technickém zařízení. Stanovené časové limity musí být pravidelně prověřovány a upravovány na základě nových skutečností.
(9) Časové limity provozovatel objektu uvádí v projektu fyzické bezpečnosti. Tabulka bodového ohodnocení opatření fyzické bezpečnosti v zabezpečené oblasti stanovená v části 14.3.1 přílohy č. 1 k této vyhlášce se v tomto případě nezpracovává.
(10) Projekt fyzické bezpečnosti zabezpečené oblasti, ve které se ukládají technická zařízení, schvaluje odpovědná osoba nebo bezpečnostní ředitel.
(11) V případech, kdy je technické zařízení zabezpečováno podle § 3 odst. 2, jsou bodové hodnoty technického zařízení stanoveny v příloze č. 1 této vyhlášky.“.
6. V § 8 odst. 2 se slova „zabezpečené oblasti, jednací oblasti a úschovnému objektu“ nahrazují slovy „jednací oblasti, a dále k zabezpečené oblasti a úschovnému objektu, kde se ukládá utajovaná informace stupně utajení Vyhrazené, která vyžaduje zvláštní režim nakládání, a utajovaná informace stupně utajení Důvěrné nebo vyššího,“.
7. V § 8 se za odstavec 2 vkládá nový odstavec 3, který zní:
-
„(3) Režim manipulace s klíči a identifikačními daty k zabezpečené oblasti a k úschovnému objektu, kde se ukládá utajovaná informace stupně utajení Vyhrazené, stanoví provozovatel objektu.“.
Dosavadní odstavce 3 a 4 se označují jako odstavce 4 a 5.
8. V příloze č. 1 se za bod 1.1.9. vkládá nový bod 1.1.10., který zní:
1.1.10. Úschovný objekt typ 0: | S1= 0 bodů |
Úschovný objekt typu 0 je pevné konstrukce (např. schránka, kancelářský nábytek) a je opatřen zámkem, který je uzamykán. Nesmí vykazovat takové znaky poškození nebo opotřebení, které by znemožnily identifikovat pokusy o neoprávněný vstup. Úschovný objekt typu 0 není certifikovaný Úřadem.
Shodu vlastností těchto úschovných objektů s výše uvedenými požadavky potvrzuje provozovatel objektu v projektu fyzické bezpečnosti.“.
9. V příloze č. 1 se za bod 2.1.4. vkládá nový bod 2.1.5., který zní:
„2.1.5. Zabezpečená oblast typ 0: | SS3 = 0 bodů |
Stěny, průlezné otvory, podlahy a stropy jsou lehké stavební konstrukce z materiálů jako například:
- sádrokartónu,
- lehké zděné stavební konstrukce,
- dřeva, dřevotřískových desek,
- plastických tvrzených hmot,
- profilovaného nebo vlnitého plechu,
- skla.
Průlezné otvory nemusí být zabezpečeny mechanickými zábrannými prostředky, které poskytují stejný stupeň odolnosti jako zbývající části hranice zabezpečené oblasti typu 0, ale musí umožňovat kontrolu pohybu osob a vozidel.
Mechanické zábranné prostředky nesmí vykazovat takové znaky poškození nebo opotřebení, které by znemožnily identifikovat pokusy o neoprávněný vstup.
Shodu s výše uvedenými požadavky potvrzuje provozovatel objektu v projektu fyzické bezpečnosti.“.
10. V příloze č. 1 se za bod 2.2.4. vkládá nový bod 2.2.5., který zní:
„2.2.5. Uzamykací systém typ 0: | SS4 = 0 bodů |
Uzamykací systém typu 0 není certifikovaný Úřadem.”.
11. V příloze č. 1 se za bod 3.4. vkládá nový bod 3.5., který zní:
„3.5.Objekt typ 0: | S3 = 0 bodů |
Objekt má viditelně vymezenou hranici, v jejichž rámci existuje možnost kontroly jednotlivých osob a vozidel.”.
12. V příloze č. 1 v poznámce k bodu 5.1. se na konec třetího odstavce doplňuje věta „Pokud se v zabezpečené oblasti ukládá technické zařízení obsahující utajovanou informaci podle § 5 vyhlášky, provádí se zásah ostrahy v časovém limitu, který stanovil provozovatel objektu (§ 5 odst. 9), bez ohledu na umístění stanoviště stálé ostrahy.“.
13. V příloze č. 1 bod 11. včetně nadpisu zní:
-
„11. PODMÍNKY POUŽÍVÁNÍ TECHNICKÝCH PROSTŘEDKŮ PO UPLYNUTÍ DOBY PLATNOSTI JEJICH CERTIFIKÁTU
Po uplynutí doby platnosti certifikátu nesmí být technický prostředek pro ochranu utajovaných informací pořízen a nově nasazen.
Tento technický prostředek může být nadále nasazován jen v případě; pokud je doloženo, že byl pořízen a nasazen v době platnosti certifikátu u stejného orgánu státu, právnické osoby nebo podnikající fyzické osoby, u které je prováděno další nasazení. Jeho další nasazení je dále podmíněno provedením funkční zkoušky technického prostředku ke dni nasazení; zápis o výsledku funkční zkoušky se ukládá u provozovatele objektu.
Po uplynutí doby platnosti certifikátu mohou být technické prostředky používány za podmínky, že jsou plně funkční. Toto musí být ověřeno funkční zkouškou. U mechanických zábranných prostředků a zařízení fyzického ničení informací se funkční zkouška doloží zápisem podepsaným provozovatelem objektu nebo jím pověřenou osobou. U ostatních technických prostředků se funkční zkouška doloží protokolem o zkoušce nebo záznamem v provozní knize. Časové intervaly jsou stanoveny v § 10 vyhlášky.”.
14. V příloze č. 1 bodě 12.1. čtvrtá tabulka zní:
KATEGORIE Vyhrazené sloužící k ukládání utajované informace, která vyžaduje zvláštní režim nakládání (např.KRYPTO) | |
Povinné: (S1) + (S2) + (S3) | |
Nepovinné : (S4) + (S5) + (S6) | |
Celkový výsledek |
15. V příloze č. 1 bodě 12.1. se za čtvrtou tabulku doplňuje tabulka, která zní:
Vyhrazené | |
S1 = Úschovný objekt typu 0 | |
S2 = Zabezpečená oblast typu 0 a Uzamykací systém typu 0 | |
S3 = Objekt typu 0”. |
16. V příloze č. 1 se v poznámce k bodu 12.1. za text „Stanovený objekt, zabezpečenou oblast může využívat k činnosti související s ochranou utajovaných informací pouze jeden orgán státu, právnická nebo podnikající fyzická osoba.“ vkládá na samostatný řádek nový text „U zabezpečené oblasti kategorie Vyhrazené – pouze jedna ze stanovených podmínek (S1), (S2) nebo (S3) se nemusí realizovat. V případě, že je hranice zabezpečené oblasti a objektu shodná, realizuje se opatření stanovené pro zabezpečenou oblast; v tomto případě již není přípustné, aby nebyla realizována opatření na úschovném objektu.“.
17. V příloze č. 1 se v poznámce k bodu 12.1. věta „Pouze jedna z hodnot (S1), (S2) nebo (S3) může být rovna 0.“ nahrazuje větou „U zabezpečené oblasti kategorie Vyhrazené sloužící k ukládání utajované informace, která vyžaduje zvláštní režim nakládání, a u zabezpečené oblasti kategorie Důvěrné a vyšší – pouze jedna z hodnot (S1), (S2) nebo (S3) může být rovna 0.“.
18. V příloze č. 1 nadpis bodu 13.2.3. zní: „13.2.3. Skartace nosičů dat“.
19. V příloze č. 1 v bodě 13.2.3. se slova „Požadavky na ničení disket a kompaktních disků:
-
– požadavky na zařízení určených výhradně k fyzickému ničení disket a kompaktních disků, pro všechny stupně utajení:“ nahrazují slovy
„Požadavky na zařízení určená výhradně k fyzickému ničení disket a kompaktních disků, pro všechny stupně utajení:
13.2.4. Skartace nosičů dat typ PC: | bez bodového hodnocení”. |
20. V příloze č. 1 v bodě 13.2.3. se slova „– požadavky na ničení magnetických pásek, paměťových čipů a pevných disků:“ nahrazují slovy
-
„Požadavky na ničení magnetických pásek, paměťových čipů a pevných disků:
13.2.5. Skartace nosičů dat typ PC1: | bez bodového hodnoceni”. |
21. V příloze č. 1 se v nadpisu části 14. za slovo „BEZPEČNOSTI“ vkldádají slova „V PŘÍPADECH, KDY SE V OBJEKTU NACHÁZÍ ZABEZPEČENÉ OBLASTI KATEGORIE DŮVĚRNÉ A VYŠŠÍ“.
22. V příloze č. 1 části 14. se poznámka k bodu 14. zrušuje.
23. V příloze č. 1 se za část 14. doplňuje část 15., která včetně nadpisu zní:
- Stanovení hranic objektu (umístění v areálu budově, vstupy, výška oken, stálé stanoviště ostrahy).
- Hranici objektu zakreslit do výkresové části Technické dokumentace fyzické bezpečnosti (bod 15.2. přílohy).
- Stanovení zabezpečených oblastí, které se v objektu nacházejí a jejich třídu. Je nutné rozlišit, jestli se jedná o úložny utajovaných informací, pracoviště s informačním systémem, oblasti s trvalou přítomností zde pracujících osob nebo kombinace těchto typů.
- Stanovení hranic zabezpečených oblastí (umístění v objektu, síla zdí, vstupy, výška spodního okraje průlezných otvorů nad okolním terénem) a zakreslit do výkresové části Technické dokumentace fyzické bezpečnosti (bod 15.2. přílohy).
- Výkresová dokumentace, která obsahuje zejména vyznačení hranice objektu, hranic jednotlivých zabezpečených oblastí a rozmístění technických prostředků určených k ochraně utajovaných informací v objektu a zabezpečených oblastech.
- Dokumentace technických prostředků , která obsahuje zejména výčet (název, počet a v případě více typů jednoho druhu technického prostředku i umístění) a základní údaje:
- Ověřování funkčnosti technických prostředků za podmínek, které stanovil provozovatelem objektu.
-
„Část 15. STRUKTURA PROJEKTU FYZICKÉ BEZPEČNOSTI V PŘÍPADECH, KDY SE V OBJEKTU NACHÁZÍ ZABEZPEČENÉ OBLASTI KATEGORIE VYHRAZENÉ
15.1. URČENÍ OBJEKTŮ, ZABEZPEČENÝCH OBLASTÍ VČETNĚ JEJICH HRANIC A TŘÍD ZABEZPEČENÝCH OBLASTÍ
15.2. TECHNICKÁ DOKUMENTACE FYZICKÉ BEZPEČNOSTI
Tato dokumentace se člení do těchto částí:
-
a) Certifikované technické prostředky - kopie certifikátu a přílohy z doby instalace (pokud není příloha, vypsat typ a ohodnocení technického prostředku).
b) Necertifikované technické prostředky - zápis o posouzení shody z doby instalace (uvést specifikaci a způsob použití).
Poznámka k bodu 15.:
U zabezpečené oblasti, kde se ukládá utajovaná informace stupně utajení Vyhrazené, která vyžaduje zvláštní režim nakládání, se dále zpracovává podle bodu 14.3.1. tabulka bodového ohodnocení opatření fyzické bezpečnosti zabezpečené oblasti.“.
Účinnost
Tato vyhláška nabývá účinnosti dnem 15. února 2008.
Ing. Navrátil v. r.