TAJNI PODATKI Program dodatnega usposabljanja 2017 VSEBINA PROGRAMA
TAJNI PODATKI Program dodatnega usposabljanja 2017
VSEBINA PROGRAMA • • • Namen in vsebina Pravni viri Inšpekcijski nadzor – vloga, pooblastila in ugotovitve ter priporočila Notranji nadzor Vloga in naloge UVTP Kaj je tajni podatek, vrste in oblike Evidentiranje in označevanje tajnih podatkov (dodatno in izjemno označevanje) Informacije javnega značaja in tajni podatki Dovoljenje za dostop do tajnih podatkov Varnostno dovoljenje Informacijski sistemi in tajni podatki
NAMEN IN VSEBINA Ta predstavitev je namenjena kot pripomoček osebam, ki bodo izvajale dodatno usposabljanje v organih/organizacijah. Vsebina dodatnega usposabljanja naj se v čim večji meri prilagodi dejanskim potrebam in načinu obravnavanja tajnih podatkov v posameznih okoljih, s poudarkom na praktičnih primerih obravnavanja tajnih podatkov ter naj se ob tem v program vključijo ugotovitve inšpekcijskih nadzorov in ugotovitve izvedenih notranjih nadzorov.
PRAVNI VIRI • Zakon o tajnih podatkih (Ur. l. RS, št. 50/06 - uradno prečiščeno besedilo) • Zakon o spremembah zakona o tajnih podatkih (Ur. l. RS, št. 9/10) • Zakon o dopolnitvi zakona o tajnih podatkih (Ur. l. RS, št. 60/11) • Uredba o varovanju tajnih podatkov (Ur. l. RS, št. 74/05) • Uredba o spremembah Uredbe o varovanju tajnih podatkov (Ur. l. RS, št. 7/11) • Popravek Uredbe o spremembah Uredbe o varovanju tajnih podatkov (Ur. l. RS, št. 24/11) • Uredba o varnostnem preverjanju in izdaji dovoljenj za dostop do tajnih podatkov (Ur. l. RS, št. 71/06 in 138/06) • Uredba o varovanju tajnih podatkov v komunikacijsko informacijskih sistemih (Ur. l. RS, št. 48/07)
• Uredba o načinu in postopku ugotavljanja pogojev za izdajo varnostnega dovoljenja organizaciji (Ur. l. RS, št. 70/07) • Uredba o izvajanju inšpekcijskega nadzora na področju varovanja tajnih podatkov in vsebini posebnega dela strokovnega izpita za inšpektorja (Uradni list RS, št. 94/06) • Uredba o notranjem nadzoru nad izvajanjem Zakona o tajnih podatkih in predpisov izdanih na njegovi podlagi (Uradni list RS, št. 106/02) • Uredba o obrambnih in zaupnih naročilih (Ur. l. RS, št. 80/07) • Pravilnik o načinu in postopku določanja tajnih podatkov s področja obrambe v gospodarskih družbah, zavodih in organizacijah (Ur. l. RS, št. 108/02) • Sklep o ustanovitvi, nalogah in organizaciji Urada Vlade RS za varovanje tajnih podatkov (Ur. l. RS, št. 6/02) • Sklep o določitvi varnostnotehnične opreme, ki se sme vgrajevati v varnostna območja (Ur. l. RS, št. 94/06) • Uredba o dopolnitvi uredbe o varovanju tajnih podatkov v komunikacijsko informacijskih sistemih (Ur. l. RS, št. 86/11)
Mednarodni sporazumi Republika Slovenija ima poleg obveznosti, povezanih z varovanjem tajnih podatkov, opredeljenih v pravnih aktih Evropske skupnosti in zveze Nato, sklenjene bilateralne sporazume o načinu obravnavanja in varovanja tajnih podatkov z naslednjimi državami: ZDA NEMČIJA SLOVAŠKA NORVEŠKA FINSKA AVSTRIJA ČEŠKA UKRAJINA POLJSKA FRANCIJA ESTONIJA MAKEDONIJA ALBANIJA LATVIJA HRVAŠKA ROMUNIJA ŠVEDSKA BOLGARIJA RUSIJA SRBIJA BIH ŠPANIJA CIPER ČRNA GORA
INŠPEKCIJSKI NADZOR • Inšpekcijski nadzor nad izvrševanjem določb ZTP in predpisov, sprejetih na njegovi podlagi ter na podlagi mednarodnih pogodb, ki jih je s tujo državo ali mednarodno organizacijo sklenila RS, če ni v mednarodni pogodbi drugače določeno, opravlja Inšpektorat RS za notranje zadeve, razen na obrambnem področju, kjer ta nadzor izvaja Inšpektorat RS za obrambo. • Inšpektor opravlja inšpekcijski nadzor v organih in organizacijah tako, da preverja sistem določanja, označevanja, varovanja in dostopa do tajnih podatkov. Med izvajanjem nadzora inšpektor ne sme zahtevati vpogleda v vsebino tajnih podatkov.
INŠPEKTOR IMA POLEG SPLOŠNIH POOBLASTIL, DOLOČENIH V ZAKONU O INŠPEKCIJSKEM NADZORU, PRAVICO IN DOLŽNOST: • odrediti rok za odpravo pomanjkljivosti oziroma nepravilnosti pri izvajanju predpisov o tajnih podatkih, • zahtevati od odgovorne osebe pisna pojasnila s področja nadzora, ki se ne nanašajo na vsebino tajnih podatkov, • izvesti postopke skladno z zakonom, ki ureja prekrške, • podati ovadbo pristojnim organom za kazniva dejanja, ki se preganjajo po uradni dolžnosti, • predlagati uvedbo disciplinskega postopka zoper kršitelje predpisov o tajnih podatkih, • prepovedati dostop in posredovanje tajnih podatkov, če je varnost tajnih podatkov ogrožena, ker niso izpolnjeni vsi ukrepi za njihovo varovanje, • odrediti nujne ukrepe za zagotovitev varovanja tajnih podatkov in po potrebi tudi njihov prenos na območje ali v organ, ki ga določi nacionalni varnostni organ. Inšpektorat RS za notranje zadeve in Inšpektorat RS za obrambo sta v letu 2016 pri izvajanju inšpekcijskih postopkov beležila določene ugotovitve in nepravilnosti, povezane z obravnavanjem tajnih podatkov glede ZTP in podzakonskih aktov. V nadaljevanju predstavljamo povzetek ugotovitev:
UGOTOVITVE PRI INŠPEKCIJSKIH NADZORIH V L. 2016 – I. • kršitve posameznih določb ZTP s strani javnih uslužbencev, • pomanjkljivosti pri izpolnjevanju organizacijskih in fizičnih pogojev za obravnavanje tajnih podatkov, • določeni zavezanci so se po opravljenem inšpekcijskem nadzoru odločili, da pomanjkljivosti ne bodo odpravljali in da bodo vrnili izdano jim varnostno dovoljenje. Z ustreznimi odločbami jim je bilo preklicano varnostno dovoljenje, • varnostno dovoljenje je poteklo pred odpravo ugotovljenih pomanjkljivosti, zavezanec ni zaprosil za izdajo novega varnostnega dovoljenja, • zavezanci so ugotovljene pomanjkljivosti odpravili v skladu z odrejenimi ukrepi inšpektorja. Izdani so bili ustrezni sklepi o ustavitvi inšpekcijskih postopkov po odpravi pomanjkljivosti, • določeni postopki odprave pomanjkljivosti še niso zaključeni - zavezanec je pristopil k realizaciji odrejenih mu ukrepov, vendar zaradi reorganizacije in ne uskladitve akta po 38. členu ZTP z UVTP pomanjkljivosti še ni odpravil,
UGOTOVITVE PRI INŠPEKCIJSKIH NADZORIH V L. 2016 – II. • • • pomanjkljivosti so predvsem pri pravnih osebah, ki jim je bilo izdano varnostno dovoljenje po 35. a in 35. b členu ZTP. Ugotovljeno je bilo, da več zavezancev ni izpolnjevalo organizacijskih in fizičnih pogojev za obravnavanje tajnih podatkov že v času izdaje jim varnostnega dovoljenja, Vrhovno sodišče RS je v skladu z določili 70. člena Zakona o sodiščih pristojno za izvajanje enotne tehnološke podpore poslovanja ter za pravno informacijski sistem sodišč, skrbi pa tudi za izbiro informacijske opreme za sodišča, njeno vzdrževanje, izdelavo specializirane programske opreme in sodelovanje pri izobraževanju uporabnikov. Problematiko varstva tajnih podatkov je potrebno urediti celovito in centralizirano oz. enotno za vsa slovenska sodišča, kazensko ovadbo v kateri je inšpektor zahteval kazen zapora do 3 let je tožilstvo zavrglo, saj je ugotovilo, da so bili dokumenti označeni s stopnjo tajnosti, da bi se prekrila prekoračitev pooblastil oseb, ki so delovale na sporen način in da glede na navedeno ni bilo storjeno kaznivo dejanje razkritja tajnih podatkov. Tožilstvo je (na podlagi kriterijev iz 6. člena ZTP) ugotovilo, da je bila podatkom določena stopnja tajnosti zato, da bi se prikrilo storjeno kaznivo dejanje, prekoračitev ali zloraba pooblastil, ali prikrilo kakšno drugo nezakonito dejanje ali ravnanje,
UGOTOVITVE PRI INŠPEKCIJSKIH NADZORIH V L. 2016 – III. • • • uvedenih je bilo več postopkov o prekrških proti odgovornim osebam po: 9. točki 1. odstavka 45. člena ZTP (5 primerov) – ne izvaja postopkov in ukrepov za obravnavanje tajnih podatkov predpisanih z ZTP in predpisi sprejetimi na njegovi podlagi, 2. odstavku 44. člena ZTP (2 primera) – odgovorna oseba, ki stori prekršek iz 44. člena ZTP in 6. točki 1. odstavka 45. člena ZTP (1 primer) – posredovanje tajnih podatkov v nasprotju s 34. členom ZTP. V vseh postopkih, ki so pravnomočno zaključeni, je bila izrečena sankcija (OPOMIN), postopek o prekršku proti pravni osebi in odgovorni osebi pravne osebe zaradi prekrškov po: 1. odstavku 44. člena ZTP v povezavi z 25. točko 1. odstavka 44. člena ZTP – zavezanec ni zagotovil usposabljanja zaposlenih s področja obravnavanja tajnih podatkov, 1. odstavku 44. člena ZTP v povezavi z 26. točko 1. odstavka 44. člena ZTP – hranjenje tajnih podatkov, 2. odstavku 44. člena ZTP v povezavi z 25. točko 1. odstavka 44. člena ZTP - odgovorna oseba, ki stori prekršek iz 44. člena ZTP,
UGOTOVITVE PRI INŠPEKCIJSKIH NADZORIH V L. 2016 – IV. • 2. odstavku 44. člena ZTP v povezavi z 26. točko 1. odstavka 44. člena ZTP - odgovorna oseba, ki stori prekršek iz 44. člena ZTP, • 1. odstavku 45. člena ZTP v povezavi z 9. točko 1. odstavka 45. člena ZTP - ne izvaja postopkov in ukrepov za obravnavanje tajnih podatkov predpisanih z ZTP in predpisi sprejetimi na njegovi podlagi. Postopek še ni zaključen, saj je bila zadeva po pritožbi na odločbo IRSNZ, s katero so bile izrečene globe posredovana v odločitev sodišču, ki o zadevi še ni odločilo, • na obrambnem področju se je število aktualnih tajnih podatkov prenehalo zmanjševati, enako velja tudi za stopnje njihove tajnosti. Večina tajnih podatkov nastaja v okviru nekaj organizacijskih enot, ostali pa so dokaj enakomerno razpršeni po obrambnem sistemu, • na obrambnem področju se podatki shranjujejo skladno s predpisi. Enako velja za njihovo obdelavo. K temu je znatno prispevalo dejstvo, da vedno več dokumentov, ki vsebujejo tajne podatke, nastane v okviru informacijskega sistema za upravljanje dokumentarnega gradiva, tako da se število fizičnih izvodov zmanjšuje, s tem pa tudi možnost napak, ker so pravilni postopki večinoma že vgrajeni v informacijski sistem za upravljanje dokumentarnega gradiva,
UGOTOVITVE PRI INŠPEKCIJSKIH NADZORIH V L. 2016 – V. • na obrambnem področju zaposleni, ki tajne podatke obdelujejo, izpolnjujejo predpisane pogoje. Na tem področju je bil ugotovljen precejšen razkorak med številom tajnih podatkov in njihovimi stopnjami tajnosti ter številom oseb, ki imajo dovoljenja za dostop do tajnih podatkov in višino dostopa. Večina imetnikov dovoljenj skoraj nikoli ali zelo redko dostopa do tajnih podatkov. Slednje včasih povzroči, da se predpisani postopki ravnanja v upravnih oziroma varnostnih območjih ponekod opravljajo nekoliko bolj površno, na kar se ob inšpekcijah redno opozarja. Te anomalije pa največkrat nimajo vpliva na varnost tajnih podatkov, • na obrambnem področju poleg aktualnih tajnih podatkov obstajajo ogromne količine tajnih podatkov starejših datumov, ki so večinoma označeni z visokimi stopnjami tajnosti. Velika večina teh podatkov si ne zasluži več stopnje tajnosti, s katero so označeni. Njihova tajnost je predvsem posledica opustitve izvajanja rednih pregledov tajnih podatkov, ki se v preteklosti niso izvajali. Navedeni problematiki se je v lanskem letu začelo, predvsem po zaslugi inšpektorata, posvečati več pozornosti tako, da se je stanje začelo izboljševati,
UGOTOVITVE PRI INŠPEKCIJSKIH NADZORIH V L. 2016 – VI. • na obrambnem področju pri zavezancih je inšpektor ugotovil posamezna neskladja s predpisi, predvsem v zvezi s preverjanjem ustreznosti ukrepov in postopkov v načrtu varovanja tajnih podatkov, napačno izdajo pooblastila za določanje tajnih podatkov, uničevanjem tajnih podatkov in v zvezi z obravnavo tajnih podatkov INTERNO izven upravnega območja. Za odpravo navedenih neskladij s predpisi so bili izrečeni ustrezni inšpekcijski ukrepi.
UGOTOVITVE PRI INŠPEKCIJSKIH NADZORIH V L. 2016 – PRIPOROČILA I. • za posamezne gospodarske družbe bi bilo treba ugotoviti ali so nosilke javnih pooblastil in ali izvajajo zakonsko določene naloge ter katera so ta pooblastila, saj bi na podlagi navedenega lahko določili, kakšne obveznosti imajo navedene gospodarske družbe pri obravnavanju tajnih podatkov v skladu z določili 1. člena ZTP. S tem bi zmanjšali možnosti za neustrezno ravnanje posameznih javnih uslužbencev v ministrstvih, ko pridejo v položaj, da posamezen dokument označen s stopnjo tajnosti posredujejo posameznim gospodarskim družbam, • nadaljevati z rednimi osvežitvenimi usposabljanji za organe, ki izdajajo varnostna dovoljenja po 35. a in 35. b členu ZTP z namenom poenotenja kriterijev, da nebi prihajalo do nepravilnosti pri zavezancih (predvsem podjetjih) pri zagotavljanju pogojev predpisanih s Sklepom o določitvi pogojev za varnostnotehnično opremo, ki se sme vgrajevati v varnostna območja, • oceniti in izdelati nove usmeritve pravnim osebam, ki so v procesu izdajanja jim varnostnega dovoljenja po 35. a in 35. b členu ZTP,
UGOTOVITVE PRI INŠPEKCIJSKIH NADZORIH V L. 2016 – PRIPOROČILA II. • proučiti problematiko obravnavanja tajnih podatkov na sodiščih – s stališča in določb 4. in 5. odstavka 38. člena ZTP ter sprejeti ustrezne ukrepe (zlasti na področju informacijske varnosti tajnih podatkov), ki bodo veljali za vsa slovenska sodišča (sodišča s splošno pristojnostjo in specializirana sodišča), • na obrambnem področju se podatki shranjujejo skladno s predpisi. Enako velja za njihovo obdelavo. K temu je znatno prispevalo dejstvo, da vedno več dokumentov, ki vsebujejo tajne podatke, nastane v okviru informacijskega sistema za upravljanje dokumentarnega gradiva, tako da se število fizičnih izvodov zmanjšuje, s tem pa tudi možnost napak, ker so pravilni postopki večinoma že vgrajeni v informacijski sistem za upravljanje dokumentarnega gradiva, • izvajanje rednih pregledov tajnih podatkov.
NOTRANJI NADZOR • Notranji nadzor se lahko izvaja v obliki splošnega ali tematskega nadzora. • Za notranji nadzor so odgovorni predstojniki organov in organizacij. Nadzor lahko izvajajo pooblaščene osebe ali posamezne notranje organizacijske enote. • Notranji nadzor se opravlja na podlagi letnega načrta, oziroma odločitve predstojnika. • Z notranjim nadzorom se ugotavlja ustreznost obravnavanja in varovanja tajnih podatkov v organih in organizacijah.
VLOGA IN NALOGE URADA VLADE RS ZA VAROVANJE TAJNIH PODATKOV • URAD VLADE RS ZA VAROVANJE TAJNIH PODATKOV • (UVTP, NSA – NACIONALNI VARNOSTNI ORGAN) • Tel. : 1/ 478 13 90 • Fax. : 1/ 478 13 99 • gp. uvtp@gov. si • http: //www. uvtp. gov. si
http: //www. uvtp. gov. si/
Organizacija in področja dela Urada Vlade RS za varovanje tajnih podatkov Delovna področja nacionalnega varnostnega organa: osebna varnost fizična varnost dokumentacijska varnost UVTP informacijska varnost industrijska varnost usposabljanje
Naloge Urada Vlade RS za varovanje tajnih podatkov • Spremlja in usklajuje stanje na področju obravnavanja in varovanja tajnih podatkov, • Predlaga ukrepe za izboljšanje varovanja tajnih podatkov, • Skrbi za razvoj in izvajanje fizičnih, organizacijskih in tehničnih standardov varovanja tajnih podatkov, • Koordinira delovanje organov pristojnih za varnostno preverjanje, • Pripravlja predloge predpisov s področja obravnavanja tajnih podatkov, • Organom in organizacijam daje mnenja o skladnosti aktov, ki jih morajo sprejeti za ustrezno obravnavanje tajnih podatkov (38. člen ZTP).
Naloge Urada Vlade RS za varovanje tajnih podatkov • Skrbi za izvrševanje mednarodnih pogodb in obveznosti, ki jih je v zvezi z obravnavanjem tajnih podatkov sprejela ali sklenila RS, ter na tem področju sodeluje z ustreznimi organi mednarodnih subjektov • Skladno s sprejetimi mednarodnimi obveznostmi izdaja/preklicuje dovoljenja (potrjuje izpolnjevanje predpisanih pogojev) fizičnim osebam, organom in organizacijam za obravnavanje tujih tajnih podatkov • Izdaja mnenja o varnostni ustreznosti komunikacijsko informacijskih sistemov, v katerih se obravnavajo tajni podatki in mnenja o ustreznosti varnostnotehnične opreme vgrajene v varnostna območje, ter postopkov in ukrepov varovanja varnostnega območja
Urad Vlade RS za varovanje tajnih podatkov vodi naslednje evidence: n n n izdanih dovoljenj za dostop do TP fizičnim osebam , izdanih dovoljenj fizičnim osebam za dostop do tujih TP, izdanih varnostnih dovoljenj organizacijam za dostop do tujih TP, začasnih dostopov do tajnih podatkov, varnostnih dovoljenj za delovanje komunikacijsko informacijskih sistemov.
KAJ JE TAJNI PODATEK, VRSTE IN OBLIKE Kaj je tajni podatek po Zakonu o tajnih podatkih (ZTP) Tajni podatek je dejstvo ali sredstvo z delovnega področja organa, ki se nanaša na javno varnost, obrambo, zunanje zadeve ali obveščevalno in varnostno dejavnost države, ki ga je treba zaradi razlogov določenih v ZTP-ju zavarovati pred nepoklicanimi osebami, in ki je skladno z zakonom določeno in označeno za tajno.
OZNAKE TAJNOSTI OZNAKA KRITERIJ – možne škodljive posledice STROGO TAJNO razkritje bi ogrozilo vitalne interese RS TAJNO razkritje bi lahko hudo škodovalo varnosti ali interesom RS ZAUPNO razkritje bi lahko škodovalo varnosti ali interesom RS INTERNO razkritje bi lahko škodovalo delovanju organa
Primerljive oznake tajnih podatkov SLOVENSKE STROGO TAJNO NATO EU COSMIC TOP SECRET TRES SECRET UE/EU TOP SECRET TAJNO NATO SECRET UE/EU SECRET ZAUPNO NATO CONFIDENTIAL CONFIDENTIEL UE/EU CONFIDENTIAL INTERNO NATO RESTRICTED RESTREINT UE/EU RESTRICTED
RAZMERJE MED TAJNIMI PODATKI IN OSTALIMI VAROVANIMI PODATKI ZAKON O TAJNIH PODATKIH opredeljuje temeljne načine in pogoje obravnavanja tajnih podatkov, medtem ko so pogoji za obravnavanje ostalih varovanih podatkov (davčna tajnost, osebni podatki, statistična zaupnost, poslovna skrivnost, izpitna tajnost pri maturi, izpitna tajnost pri pravniškem državnem izpitu, . . ) opredeljeni v predpisih, ki urejajo posamezno področje. Osnovno načelo ustreznega obravnavanja vseh varovanih podatkov je v tem, da jih obravnavamo v ustreznem delovnem okolju in jih ne posredujemo nikomur, ki nima potrebe po seznanitvi z njihovo vsebino.
Tajni podatki označeni po “stari” zakonodaji Tajnim podatkom je potrebno spremeniti stopnjo tajnosti ob njihovi ponovni uporabi ali posredovanju drugemu uporabniku: • DRŽAVNA TAJNOST ali DRŽAVNA SKRIVNOST spremeniti v STROGO TAJNO • URADNA TAJNOST, URADNA SKRIVNOST ali VOJAŠKA SKRIVNOST – STROGO ZAUPNO spremeniti v TAJNO • URADNA TAJNOST, URADNA SKRIVNOST ali VOJAŠKA SKRIVNOST – ZAUPNO spremeniti v ZAUPNO • URADNA TAJNOST, URADNA SKRIVNOST ali VOJAŠKA SKRIVNOST – INTERNO spremeniti v INTERNO
Podatki EU LIMITE/NATO UNCLASSIFIED • Dokumenti niso za javno objavo. • Dokumenti so namenjeni vladam držav članic EU/NATO in njenim predstavnikom. • Na internetu se lahko objavijo samo naslovi dokumentov, označenih s stopnjo LIMITE/UNCLASSIFIED. • Kljub temu, da dokumenti označeni na opisan način niso tajni podatki, jih je potrebno ustrezno obravnavati in skrbeti, da ne prihaja do zlorab njihove vsebine.
Določanje tajnih podatkov Tajnost podatkom stopnje tajnosti INTERNO, ZAUPNO ali TAJNO lahko določajo: - predstojnik organa, - funkcionarji organa, ki so za določanje in posredovanje TP pooblaščeni z zakonom oziroma s predpisom, izdanim na podlagi zakona ali jih za to pisno pooblasti predstojnik in - osebe, ki jih pooblasti predstojnik. Pooblastila ni mogoče prenašati na tretje osebe. Tajne podatke z najvišjo stopnjo tajnosti – STROGO TAJNO lahko določijo: – – – – predsednik RS, predsednik DZ, predsednik vlade RS, ministri, predstojniki organov v sestavi, predstojniki vladnih služb, neposredno odgovornih predsedniku vlade, določeni vojaški poveljniki, določeni vodje diplomatsko-konzularnih predstavništev.
Pooblaščena oseba določi stopnjo tajnosti podatka: • ob nastanku podatka, • ob začetku izvajanja naloge, katere rezultat bo tajen podatek, • če ob združevanju podatkov, ki niso tajni, nastane podatek, ki ga je potrebno varovati.
Določitev podatka za tajnega • podatek je tajen takrat, ko ga je za takšnega določila pooblaščena oseba • na podlagi pisne ocene možnih škodljivih posledic; • v nujnih primerih dovoli ustno določitev tajnosti, pisno oceno je treba pripraviti najkasneje v treh dneh; • vsi zaposleni imajo dolžnost pooblaščeni osebi predlagati določitev tajnosti. V primerih, ko bi se z določitvijo tajnosti prikrilo kaznivo dejanje, prekoračitev pooblastil ali kakšno drugo nezakonito ravnanje, je tajnost izključena!
Ocena možnih škodljivih posledic Pri določanju stopnje tajnosti mora pooblaščena oseba oceniti možne škodljive posledice za varnost države ali za njene politične ali gospodarske koristi, če bi bil podatek razkrit nepooblaščenim osebam. Na podlagi te ocene se določi stopnja tajnosti in način prenehanja tajnosti. Nato se tajni podatek (dokument) ustrezno označi.
Prenehanje tajnosti Tajnost podatku preneha: • na določen datum, • z nastopom določenega dogodka, • s potekom določnega časa, • s preklicem tajnosti, • najkasneje s pretekom časa določenega v zakonu, ki ureja arhivsko gradivo in arhive (30 let). Pooblaščena oseba organa, kjer je bila tajnost podatku določena mora tajne podatke stopnje tajnosti STROGO TAJNO pregledati vsako leto, ostale pa vsake 3 leta in oceniti ali še obstaja potreba po njihovi tajnosti. V primeru spremembe ali preklica tajnosti mora originator pisno obvestiti vse prejemnike tajnega podatka.
Označevanje tajnih podatkov INTERNO, ZAUPNO • stopnja tajnosti v glavi in nogi dokumenta, na vseh straneh dokumenta, vključno z zunanjimi stranmi prednjih platnic, če obstajajo • podatki o organu, če to sicer ni razvidno • zaporedno število strani glede na skupno št. strani, ki jo mora imeti vsaka stran navedeno v nogi (npr. 1/3) Pri vseh oznakah tajnih podatkov je potrebno izdelati oceno možnih škodljivih posledic – ki se nahaja pri dokumentu organa, ki je podatku določil stopnjo tajnosti! TAJNO, STROGO TAJNO še dodatna označitev • številka izvoda dokumenta • število morebitnih prilog (v Spremembi Uredbe o varovanju TP) • STROGO TAJNO še z rdečo črto v zgornjem desnem robu dokumenta – KARAKTERISTIKE RDEČE ČRTE
Dodatno in izjemno označevanje tajnih podatkov • Podatki imajo lahko še druge oznake, s katerimi se zagotovi njihova večja varnost – dodatne oznake se zapišejo pod oznake tajnosti v dokumentu • Odstavki v dokumentu, ki vsebujejo tajne podatke različnih stopenj tajnosti, se s tako imenovanim izjemnim označevanjem označijo tako, da: - se na začetku in na koncu vsakega odstavka vpišejo oznake (I) pomeni interno, (Z) pomeni zaupno, (T) pomeni tajno in (ST) pomeni strogo tajno - je dokument, ki ima odstavke označene z različnimi stopnjami tajnosti, kot celota označen z najvišjo stopnjo tajnosti posameznega odstavka - se v prostoru za dodatne oznake vpiše “odstavki so označeni z različnimi stopnjami tajnosti“ • Razloge za izjemno označevanje je potrebno navesti v pisni oceni možnih škodljivih posledic
Evidentiranje tajnih podatkov • Predpisi, ki urejajo poslovanje z dokumentarnim gradivom (Uredba o upravnem poslovanju) • Iz posameznih vpisov se ne sme razbrati vsebine TP • Uporaba informacijske tehnologije – fizično ločena programska rešitev, tehnologija navideznega zasebnega omrežja, uporaba kriptozaščite postopkov in ukrepov – to velja le za primere, ko se informacijska tehnologija, razen za evidentiranje uporablja tudi za hrambo tajnih podatkov • Seznam vpogledov za TP stopnje tajnosti tajno in strogo tajno
Razmnoževanje tajnih podatkov • STROGO TAJNO – ni dovoljeno dodatne izvode sme izdelati le pooblaščena oseba organa, v katerem je bila določena stopnja tajnosti. • INTERNO, ZAUPNO, TAJNO: dovoljeno, če ni že na dokumentu vidno označena prepoved • pisarniška odredba, • v ustreznem varnostnem območju, • označitev kopije, • evidentiranje prejemnikov. • PREVAJANJE • dokument mora obdržati vse oznake tajnosti in evidenčne številke izvirnega dokumenta, • prevod je priloga izvirnika.
Uničenje tajnih podatkov Poleg predpisov, ki urejajo poslovanje z dokumentarnim gradivom je potrebno: • imenovati tričlansko komisijo, v kateri mora biti tudi oseba, ki je v organu odgovorna za varovanje tajnih podatkov; • po opravljenem letnem pregledu prejetih tajnih podatkov uničiti tiste, ki jih je organ prejel informativno; • sestaviti zapisnik o uničenju, ki vsebuje številko, datum in stopnjo tajnosti uničenega podatka; • o uničenju podatka stopnje STROGO TAJNO je potrebno pisno obvestiti organ, ki je določil stopnjo tajnosti. Zapisniku o uničenju se priloži seznam vpogledov. Prav tako je potrebno v organu/organizaciji poskrbeti za ustrezno uničenje delovnih gradiv.
Dolžnost varovanja tajnih podatkov • Vse tajne podatke je potrebno obravnavati, varovati in hraniti primerno njihovi stopnji tajnosti in ne vrsti zapisa. • Osebe so dolžne varovati tajnost podatkov tudi po prenehanju opravljanja dela v organu/organizaciji (disciplinska in kazenska odgovornost). • Nihče ne sme dobiti tajnih podatkov prej in v večjem obsegu, kot je to potrebno za opravljanje njegovih delovnih nalog.
Postopek ob zlorabi tajnega podatka • Vsak nepooblaščeni dostop do TP, njihovo uničenje, odtujitev ali kakršen koli drugi dogodek, ki kaže na zlorabo TP. • Obveščanje predstojnika organa ali organizacije. • Obveščanje Policije ali drug pristojen organ, če gre za sum KD. • Obveščanje organa, ki je določil TP kot tajen. • Odgovorna oseba iz organizacije mora obveščati naročnika. • Obveščanje UVTP.
Posredovanje tajnih podatkov • Tajni podatki se lahko pošljejo izven prostorov organa samo ob upoštevanju predpisanih varnostnih ukrepov in postopkov, ki morajo zagotoviti, da jih prejme oseba, ki ima dovoljenje za dostop do tajnih podatkov in je do teh podatkov upravičena. • Postopki in ukrepi varovanja pošiljanja tajnih podatkov izven prostorov organa se predpišejo glede na stopnjo tajnosti teh podatkov. • Organi tajnih podatkov ne smejo prenašati ali posredovati po nezaščitenih komunikacijskih sredstvih. • Vlada podrobneje predpiše fizične, organizacijske in tehnične ukrepe ter postopke za varovanje tajnih podatkov (39. člen ZTP). Organ lahko posreduje tajne podatke organizaciji le, če organizacija poseduje ustrezno varnostno dovoljenje.
Prenos tajnih podatkov TAJNI PODATKI se prenašajo v zaprti, neprosojni ovojnici INTERNO: – po lastni prenosni mreži ali s priporočeno pošto s povratnico • ZAUPNO in višje: – po lastni prenosni mreži ali s kurirsko službo Obvezno dvojna ovojnica, in sicer zunanja ovojnica iz trdnega, neprosojnega, neprepustnega materiala ter brez oznak glede stopnje tajnosti. Zunanjo ovojnico se lahko nadomesti z zaklenjenim ali zapečatenim kovčkom, škatlo ali torbo. Pri prenosu tajnega podatka stopnje tajnosti STROGO TAJNO je potrebno opraviti notranjo ovojnico prenašati v zaprtem kovčku, škatli ali torbi z zapiranjem na ključ ali šifrirno kombinacijo. Prenos opravita najmanj dve osebi.
Obravnavanje tajnih podatkov zunaj varnostnega območja • (1) Tajni podatki se lahko obravnavajo zunaj varnostnega območja, če je prostor ali območje, v katerem se tajni podatek obravnava, fizično ali tehnično varovan, dostop do prostora pa je nadzorovan. Oseba, ki obdeluje tajni podatek zunaj varnostnega območja, mora imeti tajni podatek ves čas pod nadzorom. Po končani obdelavi tajni podatek vrne v varnostno območje. • (2) Kadar se mora tajni podatek stopnje tajnosti ZAUPNO ali višje stopnje tajnosti zaradi izvedbe točno določene naloge obravnavati zunaj prostorov določenega organa, mora odgovorna oseba izdelati načrt ukrepov in postopkov za varovanje tajnega podatka glede na njegovo stopnjo tajnosti. Ukrepi in postopki morajo biti primerljivi z ukrepi in postopki, ki so predpisani za posamezno varnostno območje. • (3) Vsak iznos ali vnos nosilca tajnega podatka stopnje tajnosti ZAUPNO in višje stopnje zunaj varnostnega območja se evidentira. Oseba, ki prevzame tajni podatek, to potrdi z lastnoročnim podpisom in s tem prevzame skrb za varnost tajnega podatka (16. člen Uredbe o varovanju TP).
INFORMACIJE JAVNEGA ZNAČAJA IN TAJNI PODATKI • • Posameznik, ki meni, da so podatki določeni kot tajni v nasprotju z ZTP, lahko skladno z Zakonom o dostopu do informacij javnega značaja oz. z Zakonom o informacijskem pooblaščencu zahteva umik tajnosti podatka, in sicer za tajne podatke stopnje tajnosti INTERNO in ZAUPNO. Organ prosilcu zavrne dostop do zahtevane informacije, če se zahteva nanaša na: Podatek, ki je na podlagi zakona, ki ureja tajne podatke, opredeljen kot tajen; Ne glede na določbe prejšnjega odstavka se dostop do zahtevane informacije dovoli, če je javni interes glede razkritja močnejši od javnega interesa ali interesa drugih oseb za omejitev dostopa do zahtevane informacije, razen v naslednjih primerih (6. člen ZDIJZ). - za podatke, ki so v skladu z zakonom, ki ureja tajne podatke, označeni z najvišjima dvema stopnjama tajnosti; - za podatke, ki vsebujejo ali so pripravljeni na podlagi tajnih podatkov tuje države ali mednarodne organizacije, s katero ima Republika Slovenija sklenjeno mednarodno pogodbo v zvezi z izmenjavo ali posredovanjem tajnih podatkov; - Organ v primerih, da bi imela potrditev obstoja tajnega podatka škodljive posledice za interese ali varnost države, ni dolžan niti potrditi niti zanikati obstoj tajnega podatka. Predstojnik organa predlog za presojo upravičenosti prevladujočega javnega interesa posreduje Vladi RS, ki poda svojo odločitev na podlagi mnenja Komisije za presojanje upravičenosti prevladujočega javnega interesa.
INFORMACIJE JAVNEGA ZNAČAJA IN TAJNI PODATKI • Komisija, ki jo sestavljajo predstavniki UVTP, MORS, MNZ, MZZ in SOVA, pozovejo vse prejemnike tajnega podatka, da dajo mnenje o upravičenosti razkritja tajnega podatka oziroma navedejo razloge za ohranitev tajnosti, pregledajo oceno možnih škodljivih posledic in podajo mnenje o upravičenosti zahteve. • Vlada RS odloči o upravičenosti razkritja in v pozitivnem primeru naloži organu, ki je tajnost določil, da tajnost podatku prekliče in poseduje podatek prosilcu. • Zoper odločitev Vlade RS prosilec lahko vloži pritožbo, o kateri odloča informacijski pooblaščenec.
DOVOLJENJE ZA DOSTOP DO TAJNIH PODATKOV Pristojni organi za varnostno preverjanje oseb so: • Ministrstvo za obrambo (MO) za zaposlene v MO; • Slovenska obveščevalno – varnostna agencija (SOVA) za zaposlene v SOVI; • Ministrstvo za notranje zadeve (MNZ) za zaposlene v MNZ in uslužbence drugih organov. Varnostno preverjanje oseb, ki varnostno dovoljenje potrebujejo zaradi opravljanja nalog v organizacijah izvaja: • MO za uslužbence iz organizacij, ki opravljajo zaupna naročila za MO; • SOVA za uslužbence iz organizacij, ki opravljajo zaupna naročila za SOVO; • MNZ v ostali primerih.
Predlagatelji varnostnega preverjanja za osebe: • predstojnik organa (ali od njega pooblaščena oseba): – za osebe organa, ki bodo potrebovale dovoljenje zaradi izvajanja nalog v tem organu, – za osebe zaposlene v organizacijah, ki bodo delale za organ. • minister, pristojen za gospodarstvo: – za osebe, zaposlene v organizacijah, ki bodo dovoljenje potrebovale zaradi izvajanja javnih in drugih naročil, v okviru katerih bodo potrebovale dostop do TP zveze Nato / EU. • predstojnik nacionalnega varnostnega organa – v ostalih primerih Varnostno preverjanje se začne na podlagi podanega pisnega predloga pristojnega predlagatelja, ki mora vsebovati vse pisno soglasje preverjane osebe in korektno izpolnjen vprašalnik glede na stopnjo tajnosti za izvedbo varnostnega preverjanja.
Nivoji varnostnega preverjanja: • osnovno varnostno preverjanje – za pridobitev dovoljenja za obravnavanje tajnih podatkov ZAUPNO • razširjeno varnostno preverjanje – za pridobitev dovoljenja za obravnavanje tajnih podatkov TAJNO • razširjeno varnostno preverjanje z varnostnim poizvedovanjem – za pridobitev dovoljenja za obravnavanje tajnih podatkov STROGO TAJNO
OSNOVNO VARNOSTNO PREVERJANJE – za ZAUPNO RAZGOVOR Privolitev v varnostno preverjanje in potrdilo o usposabljanju Varnostno poizvedovanj e OSNOVNI VPRAŠALNIK SUM, VARNOSTNI ZADRŽEK Dodatni vprašalnik IZDAJA DOVOLJENJA ZAVRNITEV KONEC Prvi del IZDAJA DOVOLJENJA RAZGOVOR – s 3. OSEBAMI
RAZŠIRJENO VARNOSTNO PREVERJANJE za TAJNO Privolitev v varnostno Preverjanje in potrdilo o usposabljanju OSNOVNI VPRAŠALNIK POSEBNI VPRAŠALNIK IZDAJA DOVOLJENJA RAZGOVOR IZDAJA DOVOLJENJA Varnostno poizvedovanje SUM, VARNOSTNI ZADRŽEK ZAVRNITEV KONEC Dodatni vprašalnik Prvi del RAZGOVOR – s 3. OSEBAMI
RAZŠIRJENO VARNOSTNO PREVERJANJE Z VARNOSTNIM POIZVEDOVANJEM za STROGO TAJNO Privolitev v varnostno preverjanje in potrdilo o usposabljanju OSNOVNI VPRAŠALNIK POSEBNI VPRAŠALNIK Dodatni vprašalnik Prvi del RAZGOVOR SUM, VARNOSTNI ZADRŽEK RAZGOVOR Z osebami, ki lahko potrdijo podatke, navedene v vprašalnikih IZVZETE so osebe iz skupnega gospodinjstva IZDAJA DOVOLJENJA ZAVRNITEV
Izdaja dovoljenja za dostop do tajnih podatkov Po končanem varnostnem preverjanju, in sicer: • dovoljenje za obravnavanje tajnih podatkov stopenj tajnosti TAJNO ali STROGO TAJNO – 5 let; • dovoljenje za obravnavanje tajnih podatkov stopnje tajnosti ZAUPNO – 10 let; • v primeru, da se ugotovi varnostni zadržek, se dovoljenje ne izda. Dolžnost posameznika je, da obvešča predstojnika o spremembah podatkov iz varnostnih vprašalnikov. Pogoji za vmesno varnostno preverjanje v primeru varnostnega zadržka in ostalih primerih so predpisani v 25. b členu in 25. c členu ZTP.
Enkraten/začasen dostop do tajnih podatkov • izjemoma se osebi omogoči enkraten dostop do TP, katerih stopnja tajnosti je za eno stopnjo višja od stopnje tajnosti, za katero je tej osebi izdano dovoljenje (npr. zaradi nujne izvedbe določenega dela) • izjemoma se dovoli opravljanje del na delovnem mestu, za katerega je potrebno dovoljenje za dostop do TP višje stopnje od tistega, ki ga oseba poseduje - začasen dostop (do 6 mesecev), in sicer: Ø na podlagi pisne utemeljitve predstojnika, Ø postopek varnostnega preverjanja za ustrezno dovoljenje se je že začel, Ø organ, pristojen za varnostno preverjanje, s tem soglaša.
VARNOSTNO DOVOLJENJE Organizacija (dobavitelji, izvajalci gradenj ali storitev, ki v sodelovanju z organi javne uprave pridejo v stik s tajnimi podatki) mora pred pričetkom obravnavanja tajnih podatkov posedovati ustrezno varnostno dovoljenje za obravnavanje tajnih podatkov. Organizacije pridobijo varnostno dovoljenje po uspešno končanem varnostnem preverjanju, in sicer največ za dobo 5 let oz. za dobo določeno v pogodbi o naročilu.
Predlagatelji varnostnega preverjanja za organizacije: • predstojnik organa za organizacije, ki bodo izvajale naročilo tega organa • minister, pristojen za gospodarstvo za organizacije, ki potrebujejo varnostno dovoljenje zaradi sodelovanja na javnih razpisih ali izvedb naročila mednarodnega subjekta: Varnostno preverjanje se začne na podlagi podanega pisnega predloga pristojnega predlagatelja, ki mora vsebovati vse potrebne podatke potrebno za izvedbo varnostnega preverjanja.
Pristojni organizaciji izda varnostno dovoljenje, če: organizacija izpolnjuje fizične, organizacijske in tehnične pogoje za varovanje TP skladno z ZTP-jem in predpisi, sprejetimi na njegovi podlagi, 2. so osebe, ki bodo v organizaciji po službeni dolžnosti imele dostop do TP, varnostno preverjene in imajo dovoljenje za dostop do TP, 3. organizacija zagotovi, da bo dostop do TP dovoljen samo tistim osebam, ki morajo imeti vpogled v te podatke po svoji službeni dolžnosti zaradi uresničevanja naročila organa, 4. organizacija imenuje osebo, pristojno za nadzor in usmerjanje varnostnih ukrepov v zvezi z: • izvajanjem naročila, • usposabljanjem oseb, ki imajo dostop do tajnih podatkov, • poročanjem pristojnemu organu o okoliščinah, ki vplivajo na izdajo varnostnega dovoljenja in • izvajanjem drugih predpisanih ukrepov za varno obravnavanje tajnih podatkov. 1.
Vmesno varnostno preverjanje organizacije • se opravi, če po izdaji varnostnega dovoljenja organizaciji nastopijo okoliščine, ki kažejo na to, da organizacija ne izpolnjuje več ustreznih pogojev • Ø Ø Ø predlagatelji: predstojnik organa za organizacije, ki izvajajo naročila tega organa, minister za gospodarstvo, UVTP • če organizacija ne izpolnjuje več pogojev za izdajo varnostnega dovoljenja - preklic dovoljenja
UPRAVNO IN VARNOSTNO OBMOČJE Kaj pomeni obravnavanje tajnih podatkov? označevanje dostop določanje evidentiranje uporaba obravnavanje TP arhiviranje razmnoževanje posredovanje hramba prenos uničevanje
• Tajni podatki se lahko obravnavajo izključno v UPRAVNEM ali VARNOSTNEM OBMOČJU (I. ali II. stopnje) • V UPRAVNEM OBMOČJU se obravnavajo tajni podatki stopnje tajnosti INTERNO, v VARNOSTNEM OBMOČJU pa se obravnavajo tajni podatki stopnje tajnosti ZAUPNO ali višje stopnje. • Predstojnik določi upravno ali varnostno območje s sklepom (12. člen Uredbe o varovanju tajnih podatkov). Pred izdajo sklepa o določitvi varnostnega območja mora predstojnik pridobiti mnenje UVTP-ja o ustreznosti varnostnotehnične opreme, ki se sme vgrajevati v varnostna območja. • TP lahko obravnavajo samo osebe, ki so ustrezno varnostno preverjene najmanj do stopnje tajnosti podatka oz. dokumenta in jim je bilo izdano dovoljenje za dostop do TP. • TP lahko obravnavamo izven varnostnega območja, če je prostor fizično ali tehnično varovan, dostop do prostora pa nadzorovan.
Katere pogoje mora izpolnjevati UPRAVNO OBMOČJE • • vzpostavi se okoli oz. na poti do varnostnega območja lahko obsega vse poslovne prostore organa/organizacije obsega vidno določen obseg prostora, kjer se nadzira vstop/izstop oseb in vozil vstop zaposlenih se zagotavlja z ugotavljanjem identitete vstop obiskovalcev se zagotavlja z ugotavljanjem identitete, namena obiska in morebitnih drugih pogojev za vstopi in izstopi se evidentirajo (izjeme v 14. čl. Uredbe o varovanju tajnih podatkov) do tajnih podatkov lahko dostopajo osebe, ki imajo potrebo po vedenju
Pogoji za VARNOSTNO OBMOČJE II. STOPNJE • sam vstop v prostor še ne omogoča vpogleda v tajne podatke • sistem vhodnega nadzora, ki omogoča, da v prostor vstopajo samo zaposlene osebe, ki imajo ustrezno dovoljenje za dostop do tajnih podatkov in potrebo po vedenju • obiskovalci lahko vstopajo v območje samo pod ustreznim nadzorom • vnos mehanskih, elektronskih, magnetno optičnih naprav je dovoljen, vendar mora biti vsa oprema izključena • vodi se evidenca vstopov in izstopov oseb • vodi se evidenca vnosov/iznosov tajnih podatkov v/iz varnostnega območja • varnostno območje je potrebno ustrezno fizično ali tehnično varovati • osebe, ki se gibljejo v varnostnem območju, morajo imeti pripeto identifikacijsko kartico
Pogoji za VARNOSTNO OBMOČJE I. STOPNJE • sam vstop v prostor omogoča vpogled v tajne podatke – potrebno je voditi razvid vpogleda v tajne podatke • sistem vhodnega nadzora, ki omogoča, da v prostor vstopajo samo zaposlene osebe, ki imajo ustrezno dovoljenje za dostop do tajnih podatkov, posebno dovoljenje predstojnika in potrebo po vedenju • obiskovalci lahko vstopajo v območje samo pod ustreznim nadzorom • vnos mehanskih, elektronskih, magnetno optičnih naprav je prepovedan • vodi se evidenca vstopov in izstopov oseb • vodi se evidenca vnosov/iznosov tajnih podatkov v/iz varnostnega območja • varnostno območje je potrebno ustrezno fizično ali tehnično varovati • osebe, ki se gibljejo v varnostnem območju, morajo imeti pripeto identifikacijsko kartico
Stopnje tajnosti TP Obravnavanje TP Osebje Hranjenje TP Prenašanje TP STROGO TAJNO Varnostno območje I. ali II. stopnje Dovoljenje za dostop do TP stopnje STROGO TAJNO Blagajna najmanj protovlomne stopnje III. Lastna prenosna mreža TAJNO Varnostno območje I. ali II. stopnje Dovoljenje za dostop do TP TAJNO Blagajna najmanj protovlomne stopnje II. Lastna prenosna mreža ZAUPNO Varnostno območje I. ali II. stopnje Dovoljenje za dostop do TP stopnje ZAUPNO Blagajna najmanj protivlomne stopnje II Lastna prenosna mreža INTERNO Upravno območje Osnovno usposabljanje in podpisana izjava o seznanjenosti s predpisi Pisarniška ali kovinska omara Najmanj priporočeno s povratnico
INFORMACIJSKI SISTEMI IN TAJNI PODATKI – INFORMACIJSKA VARNOST predstavlja določanje in uporabo ukrepov varovanja tajnih podatkov, ki se obravnavajo s pomočjo komunikacijskih, informacijskih in drugih elektronskih sistemov pred naključno ali namerno izgubo tajnosti, celovitosti ali razpoložljivosti ter ukrepov za preprečevanje izgube celovitosti in razpoložljivosti samih sistemov.
Pogoji, ki jih je potrebno izpolniti za ustrezno obravnavanje tajnih podatkov s pomočjo informacijskih sistemov • Predstojnik organa ali organizacije mora pred začetkom obravnavanja tajnih podatkov v sistemu (ne glede na stopnjo tajnosti) s pisnim sklepom potrditi izvajanje vseh ukrepov in postopkov za zagotovitev varnega delovanja sistema (varnostno dovoljenje za delovanje sistema). • Pred izdajo varnostnega dovoljenja za delovanje sistema, v katerem se obravnavajo TP ZAUPNO ali višje, mora predstojnik organa ali organizacije (ali upravljavec sistema) od UVTP dobiti mnenje o varnostni ustreznosti sistema.
Varovanje TP v komunikacijsko-informacijskih sistemih • Organ ali organizacija mora o izdaji varnostnega dovoljenja za delovanje sistema obvestiti UVTP. • Ob vsaki spremembi sistema, ki ima oziroma bi lahko imela posledice za varnost v sistemu obravnavanih TP (širitev sistema, tehnološke spremembe, uvajanje novih tehnologij ali storitev itd. ), mora upravljavec sistema ponovno izvesti postopek varnostne odobritve sistema. • Upravljavec sistema mora vzpostaviti postopke identifikacije in overitve dostopa za vse uporabnike sistema. Vsak uporabnik mora biti seznanjen s postopki dodeljevanja in uporabe sistema za identifikacijo in overitev dostopa uporabnikov v sistem.
Varovanje TP v komunikacijsko-informacijskih sistemih • Prenos TP po komunikacijskih in informacijskih sistemih zunaj varnostnih območij oziroma upravnega območja je dovoljen le v šifrirani obliki. • Šifrirne rešitve za sisteme odobri UVTP (ovrednoti jih MDSKV) in ob tem izda POTRDILO O VARNOSTNI USTREZNOSTI. • Povezovanje sistemov je dovoljeno le po nadzorovanih in varovanih vstopno-izstopnih točkah, skozi katere potekajo vsi servisi in storitve. • S povezavo sistemov se morajo strinjati upravljavci sistemov. • Z internetom je dovoljeno povezati sisteme, v katerih se obravnavajo tajni podatki stopnje tajnosti INTERNO.
Dokumenti – podlaga za izdajo varnostnega dovoljenja za delovanje sistema: • načrt varovanja sistema: vsebuje opis sistema, načrt sestavin in povezav sistema, varnostne zahteve sistema, varnostna okolja, varnostne protiukrepe in varnostno upravljanje sistema; • oceno varnostnih tveganj: vsebuje oceno trenutnega stanja sistema z oceno stopnje tveganja; • varnostna navodila za delo v sistemu: vsebujejo varnostno upravljanje in organiziranost varnosti sistema, informacijska varnost, načrtovanje ukrepov ob nepredvidenih dogodkih, upravljanje in spreminjanje konfiguracije/nastavitev sistema, splošna varnostna navodila za uporabnike in odgovorno osebje. Vzorci omenjenih dokumentov so priloga Uredbe o varovanju tajnih podatkov v komunikacijsko informacijskih sistemih.
Zaščita proti neželenemu elektromagnetnemu sevanju (TEMPEST) • Neželeno elektromagnetno sevanje (TEMPEST) je sevanje, ki se nekontrolirano razširja in omogoča odtekanja TP. • Vse sestavine sistemov, v okviru katerih se obravnavajo TP stopnje tajnosti ZAUPNO ali višje, morajo biti TEMPEST zaščitene. • TEMPEST zaščito zagotavljajo upravljavci sistemov, v katerih se obravnavajo TP in so del načrta varovanja. O ugotovitvah meritev obveščajo UVTP. • TEMPEST meritve opravljajo Policija, MORS in SOVA. • Tehnične in normativne rešitve uporabe šifrirnih sistemov in varnostne zahteve za izvajanje TEMPEST zaščite so navedene v Navodilu o izvajanju zaščite pred elektromagnetnim sevanjem v komunikacijskih in informacijskih sistemih, v katerih se obravnavajo tajni podatki.
- Slides: 78