TAJNI PODATKI Program osnovnega usposabljanja 2011J1 VSEBINA Pravni
TAJNI PODATKI Program osnovnega usposabljanja 2011/J-1
VSEBINA • • Pravni viri Vloga in naloge UVTP Dokumentacijska varnost Pogoji za obravnavanje tajnih podatkov Osebna varnost Informacijska varnost Industrijska varnost Notranji nadzor in inšpekcija
PRAVNI VIRI: • Zakon o tajnih podatkih (Uradni list RS, št. 50/2006 -uradno prečiščeno besedilo, 9/2010 in 60/2011) • Uredba o varovanju tajnih podatkov (Uradni list RS, št. 74/2005, 7/2011, 24/2011) • Uredba o varnostnem preverjanju in izdaji dovoljenj za dostop do tajnih podatkov (Uradni list RS, št. 71/2006 in 138/2006)
PRAVNI VIRI : • Uredba o varovanju tajnih podatkov v komunikacijsko informacijskih sistemih (Uradni list RS, št. 48/2007) • Uredba o načinu in postopku ugotavljanja pogojev za izdajo varnostnega dovoljenja organizaciji (Uradni list RS, št. 70/2007) • Sklep o določitvi pogojev za varnostnotehnično opremo, ki se sme vgrajevati v varnostna območja (Uradni list RS, št. 94/2006)
PRAVNI VIRI : • Uredba o izvajanju inšpekcijskega nadzora na področju varovanja tajnih podatkov in vsebini posebnega dela strokovnega izpita za inšpektorja (Uradni list RS, št. 94/2006) • Uredba o notranjem nadzoru nad izvajanjem Zakona o tajnih podatkih in predpisov izdanih na njegovi podlagi (Uradni list RS, št. 106/2002) • Uredba o obrambnih in zaupnih naročilih (Ur. l. RS, št. 80/2007) • Sklep o ustanovitvi, nalogah in organizaciji UVTP (Uradni list, RS, št. 6/2002)
PRAVNI VIRI : • Uredba o upravnem poslovanju (Ur. l. RS, št. 20/2005 s spremembami in dopolnitvami) • Zakon o varstvu dokumentarnega in arhivskega gradiva ter arhivih (Ur. l. RS, št. 30/2006) • Uredba o varstvu dokumentarnega in arhivskega gradiva (Ur. l. RS, št. 86/2006)
PRAVNI VIRI : • Varnostna politika Zveze NATO - dokument C-M(2002)49 in spremljajoče direktive AC/35 -D/2000 -2005 • Sklep Sveta EU, z dne 31. marca 2011, o varnostnih predpisih za varovanje tajnih podatkov EU (2011/292/EU) (Official Journal, L 141/17) ali Council Decision (2011/292/EU) • Sklep komisije o uveljavitvi Pravilnika Komisije o varnosti (2001/844/ES, ESPJ, Euratom), (Official Journal, L 317/01), (v uporabi od 1. 12. 2001) ali Commission Decision (2001/844/EC, ECSC, Euratom)
Mednarodni sporazumi Republika Slovenija ima sklenjene bilateralne sporazume o načinu obravnavanja in varovanja tajnih podatkov z naslednjimi državami: • ZDA • NEMČIJA • SLOVAŠKA • NORVEŠKA • FINSKA • AVSTRIJA • ČEŠKA • UKRAJINA • POLJSKA • FRANCIJA • ESTONIJA • MAKEDONIJA • ALBANIJA • LATVIJA
• URAD VLADE RS ZA VAROVANJE TAJNIH PODATKOV • • • (UVTP, NSA – nacionalni varnostni organ) Tel. : 1/ 478 13 90 Fax. : 1/ 478 13 99 gp. [email protected]. si http: //www. uvtp. gov. si
http: //www. uvtp. gov. si/
Delovna področja nacionalnega varnostnega organa: osebna varnost fizična varnost dokumentacijska varnost UVTP informacijska varnost industrijska varnost usposabljanje
Temeljne naloge UVTP • Spremlja in usklajuje stanje na področju obravnavanja in varovanja TP. • Predlaga ukrepe za izboljšanje varovanja TP. • Skrbi za razvoj in izvajanje fizičnih, organizacijskih in tehničnih standardov varovanja TP v organih in organizacijah. • Koordinira delovanje organov, pristojnih za varnostno preverjanje.
Temeljne naloge UVTP • Pripravlja predloge predpisov s področja TP za Vlado RS. • Daje mnenja o skladnosti splošnih aktov organov in organizacij z ZTP na področju obravnavanja in varovanja TP. • Skrbi za izvrševanje mednarodnih pogodb in sprejetih mednarodnih obveznosti, ki jih je v zvezi z obravnavanjem in varovanjem TP sklenila ali sprejela RS, ter na tem področju sodeluje z ustreznimi organi tujih držav in mednarodnih organizacij, razen če mednarodna pogodba ne določa drugače.
Temeljne naloge UVTP • • 1. 2. 3. Usklajuje dejavnosti za zagotavljanje varnosti nacionalnih TP v tujini in tujih TP na območju RS. V zvezi z izvrševanjem mednarodnih pogodb in sprejetih mednarodnih obveznosti UVTP (NSA) opravlja zlasti naslednje naloge: izdaja in preklicuje dovoljenja fizičnim osebam za dostop do tujih tajnih podatkov; izdaja in preklicuje varnostna dovoljenja organizacijam za dostop do tujih TP; izdaja in preklicuje varnostna dovoljenja za sisteme in naprave za prenos, hranjenje in obdelavo tujih TP skladno s sprejetimi mednarodnimi pogodbami;
4. 5. 6. potrjuje izpolnjevanje predpisanih pogojev za obravnavanje TP s strani posameznega organa ali organizacije tujim državam in mednarodnim organizacijam; izdaja navodila za ravnanje s tajnimi podatki tuje države ali mednarodne organizacije; nadzoruje izvajanje fizičnih, organizacijskih in tehničnih ukrepov za varovanje TP tuje države ali mednarodne organizacije in skladno z ugotovitvami nadzora izdaja obvezna navodila za odpravo ugotovljenih pomanjkljivosti, ki so jih organi dolžni nemudoma izvršiti;
7. 8. 9. od pristojnega inšpektorata zahteva izvedbo inšpekcijskega nadzora pri določenem organu ali organizaciji; izmenjuje podatke z nacionalnimi varnostnimi organi tujih držav in z mednarodnimi organizacijami; UVTP (NSA) lahko, kadar prejme obvestilo tujega NSA o varnostnem zadržku, od organa, pristojnega za varnostno preverjanje, zahteva vmesno varnostno preverjanje osebe ali organizacije;
UVTP (NSA) vodi naslednje evidence: 1. 2. 3. 4. 5. 6. 7. izdanih dovoljenj za dostop do TP fizičnim osebam , izdanih dovoljenj fizičnim osebam za dostop do tujih TP, izdanih varnostnih dovoljenj organizacijam za dostop do tujih TP, začasnih dostopov do tajnih podatkov, varnostnih dovoljenj za delovanje komunikacijsko informacijskih sistemov, šifrirnih rešitev za katere je bilo izdano potrdilo o varnostni ustreznosti.
Kaj pomeni obravnavanje tajnih podatkov? označevanje dostop določanje evidentiranje uporaba obravnavanje TP arhiviranje razmnoževanje posredovanje hramba prenos uničevanje
Sistem obravnavanja in varovanja TP Kadri SISTEM VAR. TP Okolje Delovno okolje – pravni okviri
Akt s katerim se zagotovi izvajanje postopkov in ukrepov varovanja TP (38. člen ZTP) • je pomemben korak k vzpostavitvi ustrezne organizacijske kulture na področju obravnavanja in varovanja TP Ø splošni varnostni ukrepi Ø varovanje oseb, ki imajo dostop do TP Ø varovanje prostorov Ø varovanje dokumentov in medijev s TP Ø varovanje komunikacij in opreme Ø način označevanja stopenj tajnosti Ø kontrola in evidentiranje dostopov, pošiljanja in distribucije TP Ø način seznanitve uporabnikov z ukrepi in postopki varovanja TP Urad Vlade RS za varovanje tajnih podatkov daje mnenja o skladnosti splošnih aktov organov in organizacij s področja obravnavanja in varovanja tajnih podatkov z Zakonom o tajnih podatkih.
Ukrepi varovanja • Fizični ukrepi: – neposredno fizično varovanje TP, varovanih prostorov ali objektov • Organizacijski ukrepi: – ukrepi ravnanja pripravi, pošiljanju, hrambi, uničenju in označevanju • Tehnični ukrepi: – ukrepi varovanja TP, varovanih prostorov ali objektov s tehničnimi sredstvi
DOKUMENTACIJSKA VARNOST DOLOČANJE TAJNIH PODATKOV
DOLOČANJE TAJNIH PODATKOV Kaj je TAJNI PODATEK? – dejstvo ali sredstvo, ki se nanaša na • javno varnost, • obrambo, • zunanje zadeve, • obveščevalno in varnostno dejavnost države in bi z njegovim razkritjem nepoklicani osebi lahko nastale škodljive posledice za varnost države ali njene politične ali gospodarske koristi. Kaj je dokument? • Vsak napisan, narisan, natisnjen, razmnožen, posnet, fotografiran, magneten, optičen ali drugačen zapis TP
DOLOČANJE TAJNIH PODATKOV Kdo določi tajni podatek? - Pooblaščena oseba Kdo je pooblaščena oseba: za stopnjo INTERNO, ZAUPNO, TAJNO: – – – predstojnik organa, funkcionar organa, oseba v organu, ki jo pooblasti predstojnik.
DOLOČANJE TAJNIH PODATKOV Kdo je pooblaščena oseba za stopnjo STROGO TAJNO: – predsednik RS, – predsednik DZ, – predsednik vlade RS, – ministri, – predstojniki organov v sestavi, – predstojniki vladnih služb, neposredno odgovornih predsedniku vlade, – določeni vojaški poveljniki, – določeni vodje diplomatsko-konzularnih predstavništev.
DOLOČANJE TAJNIH PODATKOV Kdaj pooblaščena oseba določi stopnjo tajnosti podatka? – ob nastanku podatka, – ob začetku izvajanja naloge, katere rezultat bo tajen podatek, – če ob združevanju podatkov, ki niso tajni, nastane podatek, ki ga je potrebno varovati.
DOLOČITEV PODATKA ZA TAJNEGA • podatek je tajen takrat, ko ga je za takšnega določila pooblaščena oseba • na podlagi pisne ocene možnih škodljivih posledic; • v nujnih primerih dovoli ustno določitev tajnosti, pisno oceno je potrebno pripraviti najkasneje v treh dneh; • vsi zaposleni imajo dolžnost pooblaščeni osebi predlagati določitev tajnosti. V primerih, ko bi se z določitvijo tajnosti prikrilo kaznivo dejanje, prekoračitev pooblastil ali kakšno drugo nezakonito ravnanje, je tajnost izključena!
OCENA MOŽNIH ŠKODLJIVIH POSLEDIC Ocena mora vsebovati: • Opredelitev objekta varstva • Oceno teže škodljivih posledic • Stopnjo tajnosti, ki bo določena dokumentu • Način prenehanja tajnosti
OBJEKT VARSTVA Potrebno opredeliti, izvedba katere naloge organa, ali katera varnostna, politična oziroma gospodarska korist (interes, dejavnost) države oz. njenih organov bo ogrožena (preprečena, onemogočena, onesposobljena, nedopustno zmanjšana, prehitena s strani konkurence, podražena ipd. ). Iz ocene ne sme biti razviden konkreten podatek, ki ga varujemo!
OCENA TEŽE ŠKODLJIVIH POSLEDIC Potrebno je oceniti, kakšno težo bi imelo razkritje podatka nepoklicani osebi (za organ, za državo). Na podlagi teže škodljivih posledic se tajnemu podatku določi stopnja tajnosti, ki je izhodišče za vse postopke in ukrepe varovanja tajnih podatkov.
STOPNJA TAJNOSTI Določiti je potrebno najnižjo stopnjo tajnosti, ki še zagotavlja varovanje podatka, potrebno za varstvo Interesov ali varnosti države (paziti na to, da se ne določi previsoka ali prenizka stopnja)
OZNAKE TAJNOSTI OZNAKA KRITERIJ – možne škodljive posledice STROGO TAJNO razkritje bi ogrozilo vitalne interese RS TAJNO razkritje bi lahko hudo škodovalo varnosti ali interesom RS ZAUPNO razkritje bi lahko škodovalo varnosti ali interesom RS INTERNO razkritje bi lahko škodovalo delovanju organa
Primerljive oznake tajnih podatkov SLOVENSKE NATO EU STROGO TAJNO COSMIC TOP SECRET TAJNO NATO SECRET TRES SECRET UE/EU TOP SECRET UE/EU SECRET ZAUPNO NATO CONFIDENTIAL INTERNO NATO RESTRICTED CONFIDENTIEL UE/EU CONFIDENTIAL RESTREINTUE/EU RESTRICTED
OZNAČEVANJE TAJNIH PODATKOV Vsak tajni podatek oz. dokument, ki vsebuje TP, mora biti označen s stopnjo tajnosti in s podatki o organu • Vse pisne dokumente – vidno označiti! - stopnja tajnosti – v glavi in nogi dokumenta - zaporedna stran dokumenta glede na skupno število strani • Tajno in Strogo tajno: – številka izvoda dokumenta, – Število morebitnih prilog. • STROGO TAJNO – – rdeča črta v zgornjem desnem kotu debeline vsaj 4 mm
DOLOČANJE TAJNIH PODATKOV • sprememba ali preklic stopnje tajnosti – – KDO: pooblaščena oseba, KDAJ: ko ni več pogojev, v primeru prevladujočega javnega interesa ? – KAKO: pisno obvestiti vse prejemnike, prečrtati prvotno oznako, pod njo ali nad njo napisati novo.
Prenehanje tajnosti podatka • • • na določen datum, z nastopom določenega dogodka, s potekom določenega časa, s preklicem tajnosti, s potekom časa, ki je določen z zakonom, ki ureja arhivsko gradivo Zakon o varstvu dokumentarnega in arhivskega gradiva ter arhivih /ZVDAGA/ Način prenehanja lahko poleg osebe, ki je podatku določila tajnost, spremeni tudi predstojnik organa, v katerem je bila določena tajnost. • • obrazložitev spremembe priložiti oceni škodljivih posledic dolžnost obveščanja prejemnikov
INFORMACIJE JAVNEGA ZNAČAJA (21. člen ZTP) • Posameznik, ki meni, da so podatki določeni kot tajni v nasprotju z ZTP, lahko skladno z Zakonom o dostopu do informacij javnega značaja oziroma z Zakonom o informacijskem pooblaščencu zahteva umik tajnosti podatka, in sicer za tajne podatke stopnje tajnosti INTERNO ali ZAUPNO. • Predstojnik organa predlog za presojo upravičenosti prevladujočega javnega interesa posreduje Vladi RS, ki poda svojo odločitev na podlagi mnenja Komisije za presojanje upravičenosti prevladujočega javnega interesa (MORS, MNZ, MZZ, SOVA, UVTP). • KOMISIJA mora v 30 dneh pripraviti mnenje o upravičenosti zahteve – prouči oceno škodljivih posledic na podlagi katere je bila podatku določena tajnost in pozove vse prejemnike TP, da dajo mnenje o upravičenosti razkritja podatka oz. da dajo mnenje o razlogih za ohranitev tajnosti. • V primeru, da Vlada RS odloči, da se tajnost prekliče, mora organ, ki je tajnost določil tajnost preklicati.
PREGLED TAJNIH PODATKOV STROGO TAJNO – vsako leto INTERNO, ZAUPNO, TAJNO – vsaka 3 leta Pooblaščena oseba mora oceniti ali še obstaja potreba po tajnosti.
Dolžnost varovanja TP • Vse tajne podatke je potrebno obravnavati, varovati in hraniti primerno njihovi stopnji tajnosti in ne vrsti zapisa. • Nihče ne sme dobiti tajnih podatkov prej in v večjem obsegu, kot je to potrebno za opravljanje delovnih nalog. • Osebe so dolžne varovati tajnost podatkov tudi po prenehanju opravljanja dela v organu/organizaciji (disciplinska in kazenska odgovornost). • Izdaja tajnih podatkov – 260. člen Kazenskega zakonika (Ur. l. RS, št. 55/2008)
OBRAVNAVANJE TAJNIH PODATKOV
OBRAVNAVANJE TAJNIH PODATKOV • TP se obravnavajo izključno v upravnem ali varnostnem območju • Predstojnik določi upravno in/ali varnostno območje s sklepom • TP lahko obravnavajo samo osebe, ki so ustrezno varnostno preverjene najmanj do stopnje tajnosti podatka oz. dokumenta in jim je bilo izdano dovoljenje za dostop do TP • TP lahko obravnavamo izven varnostnega območja, če je prostor fizično ali tehnično varovan, dostop do prostora pa nadzorovan
• predstojnik organa ali organizacije sprejme odločitev o postavitvi varnostnega območja, • določi stopnjo predvidenega varnostnega območja, • določi prostore namenjene za pripravo varnostnega območja, • določi oziroma pooblasti odgovorno osebo za pripravo varnostnega območja, • pripravi potrebno dokumentacijo iz naslednjih področij: – osebne varnosti: seznam oseb, ki imajo veljavno dovoljenje za dostop do tajnih podatkov, seznam oseb, ki bodo zaposlene v varnostnem območju, evidenco vstopov in izstopov v varnostno območje, itd. , – dokumentacijske varnosti: evidenco o prejetih in oddanih tajnih podatkih, kurirsko knjigo, listo vpogledov v tajni podatek, itd. , – fizične varnosti: postavitev varnostnega območja v skladu z določili 10. člena uredbe in v skladu z določili Sklepa o določitvi pogojev za varnostnotehnično opremo, ki se sme vgrajevati v varnostna območja, priprava načrta varovanja varnostnega območja v skladu z določili 32. , 33. in 34. člena uredbe in • informacijske varnosti: opis sistemov in naprav, način njihove zaščite, povezave, itd.
OBRAVNAVANJE TAJNIH PODATKOV UPRAVNO OBMOČJE • • se vzpostavi okoli oz. na poti do varnostnega območja lahko obsega vse poslovne prostore organa/organizacije obsega vidno določen obseg prostora, kjer se nadzira vstop/izstop oseb in vozil vstop zaposlenih se zagotavlja z ugotavljanjem identitete vstop obiskovalcev se zagotavlja z ugotavljanjem identitete, namena obiska in morebitnih drugih pogojev za vstopi in izstopi se evidentirajo (izjeme v 14. čl. Uredbe o varovanju tajnih podatkov) do tajnih podatkov lahko dostopajo osebe, ki imajo potrebo po vedenju
OBRAVNAVANJE TAJNIH PODATKOV • VARNOSTNO OBMOČJE II. STOPNJE vidno označen prostor – VARNOSTNO OBMOČJE II. STOPNJE (izjema), – – – – – vstop v območje ne omogoča dostopa do TP, sistem vhodnega nadzora, sistem nadzora gibanja oseb in vozil, vsi vstopi in izstopi se evidentirajo, druge osebe vstopajo v spremstvu, identifikacijska kartica na vidnem mestu, vnos mehanskih, elektronskih in magnetno optičnih, sestavnih delov je dovoljen, če je oprema izključena, sistem fizičnega ali protivlomnega varovanja je aktiven po končanem delovnem času, prostore se občasno pregleduje, načrt varovanja varnostnega območja.
OBRAVNAVANJE TAJNIH PODATKOV • VARNOSTNO OBMOČJE I. STOPNJE – – – – vidno označeno prostor (izjema) sam vstop v območje pomeni dostop do TP, vodi se razvid teh podatkov vsi vstopi in izstopi se evidentirajo identifikacijska kartica na vidnem mestu sistem fizičnega ali protivlomnega varovanja vnos mehanskih, elektronskih in magnetno optičnih sestavnih delov ni dovoljen,
OBRAVNAVANJE TAJNIH PODATKOV • VARNOSTNO OBMOČJE I. STOPNJE – neposredno in neprekinjeno fizično varovanje, – lahko nadomestimo z elektronskim sistemom tehničnega varovanja, – protivlomni sistem varovanja oz. alarmni sistem povezan z nadzornim centrom, – intervencijski čas do 7 minut, – prostore se pregleduje po končanem delovnem času, – predstojnik izda osebi posebno dovoljenje za vstop.
Načrt varovanja TP • podrobneje predpisani fizični, organizacijski in tehnični ukrepi ter postopki za varovanje TP v varnostnem območju V splošnem delu načrta je potrebno navesti: • Oceno ogroženosti • Opis glavnega in pomožnih objektov • Podatke o nosilcu varnostnega načrta • Zaščitne ukrepe za osebe, ki imajo dostop do TP načrt varovanja je potrebno stalno dopolnjevati, najmanj 1 x letno pa pregledati in preveriti ustreznost določenih ukrepov in postopkov
Načrt varovanja TP V posebnem delu načrta je potrebno navesti: • Ukrepe fizičnega varovanja • Ukrepe tehničnega varovanja • Postopke ob nasilnem vstopu ali nepredvidenem dogodku • Postopke ob izgubi, odtujitvi ali razkritju TP • Postopke pri opravljanju vzdrževalnih del v VO Načrt varovanja je potrebno stalno dopolnjevati, najmanj 1 x letno pa pregledati in preveriti ustreznost določenih ukrepov in postopkov.
MNENJE UVTP • Organ ali organizacija si mora pred izdajo sklepa o določitvi VARNOSTNEGA OBMOČJA pridobiti mnenje o ustreznosti varnostnotehnične opreme, vgrajene v varnostno območje, ter postopkov in ukrepov varovanja varnostnega območja.
Obravnavanje tajnih podatkov Stopnje tajnosti TP Obravnavanje TP Osebje Hranjenje TP Prenašanje TP STROGO TAJNO Varnostno območje I. Dovoljenje za dostop ali do TP stopnje STROGO TAJNO II. stopnje Blagajna najmanj protovlomne stopnje III. Lastna prenosna mreža TAJNO Varnostno območje I. Dovoljenje za dostop ali do TP TAJNO II. stopnje Blagajna najmanj protovlomne stopnje II. Lastna prenosna mreža ZAUPNO Varnostno območje I. Dovoljenje za dostop ali do TP stopnje ZAUPNO II. stopnje Blagajna najmanj protivlomne stopnje II Lastna prenosna mreža Pisarniška ali kovinska omara Najmanj priporočeno s povratnico INTERNO Upravno območje Osnovno usposabljanje in podpisana izjava o seznanjenosti s predpisi
VARNOSTNO OBMOČJE
OBRAVNAVANJE TAJNIH PODATKOV • PROTIPRISLUŠKOVALNI PREGLED obvezen – za varnostno območje I. stopnje, – za prostore, v katerih se pogosto ustno razpravlja o TP stopnje TAJNO ali višje. Izvede se – ob določitvi VO, – ob vsakem posegu v območju, – ob spremembi zaposlenih v območju, – najmanj vsakih dvanajst mesecev.
OBRAVNAVANJE TAJNIH PODATKOV • INTERNO v upravnem območju – samo osebe, ki: • so opravile osnovno usposabljanje za obravnavo in varovanje tajnih podatkov, • so s pisno izjavo potrdile, da so seznanjene s predpisi, • imajo potrebo po vedenju. – hramba TP v pisarniški ali kovinski omari;
OBRAVNAVANJE TAJNIH PODATKOV • ZAUPNO in višje: – Varnostno območje I. ali II. stopnje, – Kovinske omare/blagajne označene - Z, T, ST • Z in T – protivlomna stopnja II (50/80 RU) • ST – protivlomna stopnja III (80/120 RU) • Če zunaj prostorov določenega organa obravnavamo TP ZAUPNO ali višje, odgovorna oseba izdela načrt ukrepov in postopkov za varovanje TP • Vsak iznos ali vnos nosilca TP stopnje tajnosti ZAUPNO ali višje zunaj varnostnega območja se evidentira.
POSREDOVANJE TAJNIH PODATKOV Tajni podatki se lahko drugim organom, ki morajo ravnati po tem zakonu, oziroma osebam v teh organih, posredujejo samo na podlagi pisnega dovoljenja predstojnika organa, ki je tajni podatek določil. Organ lahko posreduje tajne podatke organizaciji le, če organizacija poseduje ustrezno varnostno dovoljenje.
PRENOS TAJNIH PODATKOV TAJNI PODATKI se prenašajo v zaprti, neprosojni ovojnici INTERNO: – po lastni prenosni mreži, – po priporočeni pošti s povratnico • ZAUPNO in višje: – po lastni prenosni mreži – s kurirsko službo – dvojna ovojnica • zunanja ovojnica iz trdnega, neprosojnega, neprepustnega materiala, • zunanja ovojnica brez oznak glede stopnje tajnosti • zunanjo ovojnico se lahko nadomesti z zaklenjenim ali zapečatenim kovčkom, škatlo ali torbo
PRENOS TAJNIH PODATKOV • STROGO TAJNO – Kovček, škatla ali torba z zapiranjem na ključ ali šifrirno kombinacijo – Prenos opravita najmanj dve osebi
PRENOS TAJNIH PODATKOV Načrt poti (TP TAJNO ali višje) mora vsebovati: • glavne in pomožne poti, • postopke in ukrepe ob morebitnem poskusu odtujitve, poškodbe ali uničenja tajnih podatkov, • postopke in ukrepe pri eventualnih: prometnih nesrečah, zastojih, postankih, prenočevanju ali drugih podobnih dogodkih, • kurirji morajo biti seznanjeni z ukrepi in postopki in primerno usposobljeni, • usposabljanje enkrat letno, • usposabljanje kurirjev izvajata MO in Policija, • koordinacijo usposabljanja vodi nacionalni varnostni organ, • kurirji morajo imeti prenosu pooblastilo.
POMOČ DRUGIH ORGANOV - Policisti morajo kurirju, ki se izkaže z veljavnim pooblastilom, na njegovo zaprosilo zagotoviti pomoč v obliki in obsegu, ki omogoča varovanje tajnih podatkov pred odtujitvijo, poškodovanjem ali uničenjem. - Pri postopku nimajo pravice vpogleda v vsebino tajnega podatka. - Cariniki pri postopkih, ki jih izvajajo nimajo pravice vpogleda v vsebino tajnega podatka, če se kurir izkaže z veljavnim pooblastilom.
Vzorec – primer izpisane zunanje ovojnice
Vzorec – primer izpisane notranje ovojnice Notranja kuverta ima lahko v skladu z Uredbo o varovanju tajnih podatkov tudi druge podatke, pomembno za varnost (npr. : ODPIRA SAMO NASLOVNIK)
Vzorec – primer izpisane zunanje strani notranje in zunanje ovojnice
PRENOS TAJNIH PODATKOV • Vsak organ določi: – kje se sprejemajo nosilci TP – kdo sprejema nosilce TP • dostavna ali kurirska knjiga • kurirji: • varnostno preverjeni • usposobljeni (1 x letno) • pooblastilo za prenos • Načrt poti in varovanja prenosa TP za stopnjo TAJNO ali višje
ELEKTRONSKO POSREDOVANJE TP • Tajnih podatkov ne smemo posredovati ali pošiljati po nezaščitenih komunikacijah. • Prenos TP po informacijskih komunikacijskih sistemih izven varnostnega ali upravnega območja je dovoljen samo v šifrirani obliki. • Z internetom je dovoljeno povezati samo sisteme, v katerih se obravnavajo TP stopnje tajnosti INTERNO.
RAZMNOŽEVANJE TAJNIH PODATKOV • STROGO TAJNO – ni dovoljeno dodatne izvode sme izdelati le pooblaščena oseba organa, v katerem je bila določena stopnja tajnosti • INTERNO, ZAUPNO, TAJNO: dovoljeno, če ni že na dokumentu vidno označena prepoved • pisarniška odredba, • v ustreznem območju, • označitev kopije. • PREVAJANJE • dokument mora obdržati vse oznake tajnosti in evidenčne številke izvirnega dokumenta, • prevod je priloga izvirnika.
EVIDENTIRANJE TAJNIH PODATKOV • Predpisi, ki urejajo poslovanje z dokumentarnim gradivom (kratka vsebina, številka, subjekt, stanje, datum začetka, signirni znak, klasifikacijki znak, priloge, , • Iz posameznih vpisov se ne sme razbrati vsebine TP • IT – fizično ločena programska rešitev, tehnologija navideznega zasebnega omrežja, uporaba kriptozaščitne postopkov in ukrepov • Seznam vpogledov za TP stopnje tajno in strogo tajno
SEZNAM VPOGLEDOV Za vsak dokument stopnje tajnosti TAJNO in STROGO TAJNO je potrebno voditi seznam vpogledov, ki vsebuje: • šifro (številko), datum, stopnjo tajnosti, številko izvoda dokumenta, • ime in priimek, • datum in čas seznanitve, • način seznanitve, • podpis osebe, ki se je s tajnim podatkom seznanila.
UNIČEVANJE TAJNIH PODATKOV • tričlansko komisijo imenuje predstojnik • letni pregled prejetih TP – po potrebi uničiti vse TP, ki se jih prejme informativno • o uničenju TP STROGO TAJNO obvestiti organ, ki je določil stopnjo tajnosti • zapisnik o uničenju • seznam vpogledov se priloži zapisniku • uničevanje delovnega oz. pomožnega gradiva!
ARHIVIRANJE TAJNIH PODATKOV SKLADNO S PREDPISI, KI UREJAJO ARHIVSKO DEJAVNOST
POSTOPEK OB ZLORABI TAJNEGA PODATKA • Vsak nepooblaščeni dostop do TP, njihovo uničenje, odtujitev ali kakršen koli drugi dogodek, ki kaže na zlorabo TP. • Obveščanje predstojnika organa ali organizacije. • Obveščanje Policije ali drug pristojen organ, če gre za sum KD. • Obveščanje organa, ki je določil TP kot tajen. • Odgovorna oseba iz organizacije mora obveščati naročnika. • Obveščanje UVTP.
OBVESTILO O ZLORABI TP Podatke za identifikacijo TP • opis medija • stopnja tajnosti • številka in datum dokumenta • številka kopije • lastništvo • kratka vsebina • opis okoliščin v katerih so bili zlorabljeni TP • kdo je bil obveščan • opis postopkov in ukrepov, ki so bili že izvedeni
OSEBNA VARNOSTNO PREVERJANJE IN IZDAJA DOVOLJENJ ZA DOSTOP DO NACIONALNIH TAJNIH PODATKOV
OSEBNA VARNOST ZAJEMA 1. izdajanje dovoljenj za dostop do nacionalnih tajnih podatkov ter tajnih podatkov zveze Nato in EU stopnje tajnosti » ZAUPNO » TAJNO » STROGO TAJNO 2. dostop do nacionalnih tajnih podatkov ter tajnih podatkov zveze Nato in EU in njihovo varovanje
stopnja tajnosti delovno mesto/potreba po vedenju dovoljenje za dostop do TP INTERNO DA NE ZAUPNO DA DA TAJNO DA DA STROGO TAJNO DA DA
Pristojni organi za varnostno preverjanje: izdajo dovoljenje za dostop do tajnih podatkov – Ministrstvo za obrambo (MO) za zaposlene v MO – Slovenska obveščevalno – varnostna agencija (SOVA) za zaposlene v SOVI – Ministrstvo za notranje zadeve (MNZ): – za zaposlene v MNZ (policiji) – za zaposlene v drugih organih (razen v SOVI in MO) kadar ne gre za opravljanje obrambnih dolžnosti ali vojaške službe
Pristojni organ za varnostno preverjanje • izda dovoljenje za dostop do TP • o zahtevi za izdajo dovoljenja odloči v treh mesecih od dneva, ko mu je bila podana popolna vloga oseba živela v tujini – rok se lahko podaljša • o izdanem dovoljenju obvesti Urad Vlade RS za varovanje TP (UVTP)
Osebam, ki potrebujejo dovoljenje zaradi obravnavanja TP v organizaciji (dobavitelji, izvajalci gradenj, . . . ), izda dovoljenje: • MO za naročila povezana z MO • SOVA za naročila povezana s SOVO • MNZ v vseh ostalih primerih
DOSTOP DO NACIONALNIH TAJNIH PODATKOV TER TAJNIH PODATKOV ZVEZE NATO IN EU TER NJIHOVO VAROVANJE
Dostop do nacionalnih TP stopnje tajnosti INTERNO NI DOVOLJENJA • vse osebe, ki opravljajo funkcijo ali delajo v organu • podpisana izjava o seznanitvi z ZTP in predpisi sprejetimi na njegovi podlagi in zaveza, da bo s TP ravnal skladno s predpisanimi postopki Izjava se podpiše po usposabljanju s področja obravnavanja in varovanja TP • potreba po seznanitvi (need-to-know)
Dostop do nacionalnih TP stopnje tajnosti ZAUPNO, TAJNO, STROGO TAJNO • delovno mesto za katerega je določeno, da se na njem dostopa do TP določene stopnje tajnosti • podpisana izjava o seznanitvi z ZTP in predpisi sprejetimi na njegovi podlagi in zaveza, da bo posameznik s TP ravnal v skladu s predpisanimi postopki • veljavno dovoljenje za dostop do nacionalnih TP ustrezne stopnje tajnosti • potreba po seznanitvi
Izjeme ZTP v 3. členu določa izjeme, katerim za dostop do TP ni potrebno dovoljenje: – predsednik republike, predsednik vlade – varuh človekovih pravic in njegov namestnik – informacijski pooblaščenec – poslanec – državni svetnik – župan in občinski svetnik – sodnik, državni tožilec, generalni državni pravobranilec – član računskega sodišča – guverner, namestnik in vice guverner centralne banke – minister in predstojnik vladne službe, ki je neposredno odgovoren predsedniku vlade – predsednik in člani Državne revizijske komisije
Izjeme opredeljene v nacionalni zakonodaji veljajo tudi za dostop do tajnih podatkov zveze NATO in EU.
Dostop do TP zveze Nato / EU stopnje tajnosti INTERNO NI DOVOLJENJA • delovno mesto za katerega je določeno, da se na njem dostopa do TP stopnje tajnosti INTERNO • podpisana izjava o seznanitvi z ZTP in predpisi sprejetimi na njegovi podlagi in zaveza, da bo s TP ravnal skladno z navedenimi postopki • podpis izjave o seznanitvi s predpisi zveze Nato / EU o varovanju TP in zaveza, da bo s TP ravnal skladno z navedenimi postopki • potreba po vedenju
Dostop do TP zveze Nato / EU stopnje tajnosti ZAUPNO, TAJNO IN STROGO TAJNO • delovno mesto za katerega je določeno, da se dostopa do TP določene stopnje tajnosti • podpisana izjava o seznanitvi z ZTP in predpisi sprejetimi na njegovi podlagi in zaveza, da bo s TP ravnal skladno z navedenimi postopki • podpisana izjava o seznanitvi s predpisi zveze Nato / EU o varovanju TP in zaveza, da bo s TP ravnal skladno z navedenimi postopki
• • potreba po vedenju veljavno nacionalno dovoljenje za dostop do TP ustrezne stopnje tajnosti Na podlagi izpolnjenih pogojev UVTP izda dovoljenje za dostop do TP zveze Nato/ EU ustrezne stopnje tajnosti.
Preklic dovoljenja za dostop do TP zveze Nato / EU • oseba ne izvaja več nalog, zaradi katerih je potrebovala dostop do TP zveze Nato / EU • osebi preneha delovno razmerje v organu • osebi se je preklicalo nacionalno dovoljenje obvesti se UVTP! obvestilo vsebuje: – osebno ime – datum in kraj rojstva – mednarodno organizacijo ali tujo državo, za dostop do TP katere stopnjo tajnosti je bilo dovoljenje izdano – številko dovoljenja – razlog za preklic dovoljenja
Nivoji varnostnega preverjanja: • osnovno varnostno preverjanje – ZAUPNO • razširjeno varnostno preverjanje – TAJNO • razširjeno varnostno preverjanje z varnostnim poizvedovanjem – STROGO TAJNO
Predlagatelji varnostnega preverjanja: • predstojnik organa (ali od njega pooblaščena oseba): – za osebe organa, ki bodo potrebovale dovoljenje zaradi izvajanja nalog v tem organu, – za osebe zaposlene v organizacijah, ki bodo delale za organ • minister, pristojen za gospodarstvo: – za osebe, zaposlene v organizacijah, ki bodo dovoljenje potrebovale zaradi sodelovanja na javnih razpisih ali izvedbe naročila tuje države ali mednarodne organizacije (TP zveze Nato / EU) • predstojnik nacionalnega varnostnega organa – ostali predlogi
Na podlagi česa se začne varnostno preverjanje? • pisni predlog predlagatelja za osebo, ki jo je potrebno varnostno preveriti • pisni predlog mora vsebovati: – – – ime in priimek preverjane osebe rojstne podatke preverjane osebe stopnjo tajnosti do katere je dan predlog
Kaj se priloži pisnemu predlogu predlagatelja? • pisno soglasje preverjane osebe za varnostno preverjanje • dokazilo o opravljenem usposabljanju s področja obravnavanja in varovanja TP • pisna izjava o seznanitvi z Zakonom o tajnih podatkih (ZTP) in predpisi, izdanimi na njegovi podlagi • zaprta ovojnica z izpolnjenim ustreznim varnostnim vprašalnikom sprednja stran kuverte ime in priimek, organ zaposlitve, ˝vprašalnik za varnostno preverjanje˝
Tipi varnostnih vprašalnikov: • osnovni vprašalnik – za stopnjo tajnosti ZAUPNO, TAJNO, STROGO TAJNO • posebni vprašalnik – za stopnjo tajnosti TAJNO in STROGO TAJNO • dodatni vprašalnik – za stopnjo tajnosti STROGO TAJNO v prvi del – za dostop do TP STROGO TAJNO in pri sumu varnostnega zadržka (ZAUPNO, TAJNO) v drugi del – sum varnostnega zadržka povezan z zakoncem, zunajzakonskim partnerjem, . . . (TAJNO, STROGO TAJNO)
preverjajo se podatki, ki so vsebina osnovnega in posebnega varnostnega vprašalnika (razgovor z osebo, uradne evidence): ZAUPNO in TAJNO – določeni podatki se preverjajo za obdobje zadnjih PETIH LET (prebivališče, tekoči kazenski postopki, izrečeni disciplinski ukrepi, finančno stanje, . . . ) STROGO TAJNO - določeni podatki se preverjajo za obdobje zadnjih DESETIH LET (od dopolnjenega 18. leta) PO OPRAVLJENEM VARNOSTNEM PREVERJANJU PRISTOJNI ORGAN DOVOLJENJE IZDA/NE IZDA: • stopnja tajnosti ZAUPNO – 10 let • stopnja tajnosti TAJNO, STROGO TAJNO – 5 let • ugotovljeni so varnostni zadržki – dovoljenje se ne izda
OSNOVNO VARNOSTNO PREVERJANJE – za ZAUPNO RAZGOVOR Privolitev v varnostno preverjanje in potrdilo o usposabljanju IZDAJA DOVOLJENJA Privolitev za Dodatno var. ZAVRNITEV preverjanje OSNOVNI VPRAŠALNIK SUM, VARNOSTNI ZADRŽEK Dodatni vprašalnik KONEC Prvi del IZDAJA DOVOLJENJA RAZGOVOR – s 3. OSEBAMI
RAZŠIRJENO VARNOSTNO PREVERJANJE ZA TAJNO Privolitev v varnostno Preverjanje in potrdilo o usposabljanju OSNOVNI VPRAŠALNIK POSEBNI VPRAŠALNIK IZDAJA DOVOLJENJA RAZGOVOR SUM, VARNOSTNI ZADRŽEK IZDAJA DOVOLJENJA Privolitev za Dodatno var. preverjanje Dodatni vprašalnik Prvi del RAZGOVOR – s 3. OSEBAMI ZAVRNITEV KONEC
RAZŠIRJENO VARNOSTNO PREVERJANJE Z VARNOSTNIM POIZVEDOVANJEM ZA STROGO TAJNO Privolitev v varnostno preverjanje in potrdilo o usposabljanju OSNOVNI VPRAŠALNIK POSEBNI VPRAŠALNIK Dodatni vprašalnik Prvi del RAZGOVOR SUM, VARNOSTNI ZADRŽEK RAZGOVOR Z osebami, ki lahko potrdijo podatke, navedene v vprašalnikih Z osebami iz gospodinjstva IZDAJA DOVOLJENJA ZAVRNITEV
Varnostni zadržki So ugotovitve varnostnega preverjanja, iz katerih izhaja, da obstajajo dvomi o zanesljivosti in lojalnosti osebe, ki naj bi dobila dovoljenje za dostop do TP, in sicer: Obligatorni (dovoljenje se obvezno prekliče) • lažne navedbe podatkov v varnostnem vprašalniku ali razgovoru • neizbrisane pravnomočne obsodbe za najmanj tri mesece nepogojne zaporne kazni za KD, ki se preganja po uradni dolžnosti • dokončne disc. ukrep zaradi težje disc. kršitve s področja obravnavanja in varovanja TP • odvisnost od alkohola, drog oziroma druge oblike zasvojenosti
Fakultativni (dovoljenje se lahko prekliče) • pravnomočne obtožnice za KD, ki se preganjajo po uradni dolžnosti, razen za KD, kjer je kot glavna kazen predpisana denarna kazen ali zapor do treh let • nepravnomočne obsodilne sodbe za KD in za katere je predpisana denarna kazen ali zapor do treh let • neizbrisane pravnomočne obsodbe ali več izrečenih glob za prekrške, določene s tem zakonom • drugih ugotovitev varnostnega preverjanja, ki vzbujajo utemeljene dvome v verodostojnost, zanesljivost in lojalnost za varno obravnavanje TP • drugih varnostnih zadržkov, določenih z zakoni ali mednarodnimi pogodbami
Osnovni vprašalnik 1. 2. 3. 4. 5. 6. 7. osebno ime, vključno s prejšnjimi, enotno matično številko občana (EMŠO), datum in kraj rojstva, državljanstvo oziroma državljanstva, vključno s prejšnjimi, naslov prebivališča (stalnega, začasnega in naslov dosegljivosti), bivanja v tujini, če so trajala tri mesece ali več (kraj, obdobje in razlog bivanja), zakonski stan in število otrok,
Osnovni vprašalnik 8. 9. 10. poklic in delo, ki ga opravlja, služenje vojaškega roka, šolanje in obiskovanje seminarjev ali drugih oblik usposabljanja v tujini, če so trajala več kot en mesec (kraj in obdobje), 11. delodajalce in njihove naslove, 12. neizbrisane pravnomočne obsodbe zaradi kaznivih dejanj, ki se preganjajo po uradni dolžnosti, ter podatke o prekrških, ki so jih obravnavali prekrškovni organi ali sodišča,
Osnovni vprašalnik 13. tekoče kazenske postopke, 14. odvisnost od alkohola, drog oziroma druge zasvojenosti, 15. bolezen ali duševne motnje, ki bi lahko ogrozile varno obravnavanje TP, 16. stike s tujimi varnostnimi ali obveščevalnimi službami, 17. članstvo ali sodelovanje v organizacijah ali skupinah, ki ogrožajo vitalne interese RS ali držav članic političnih, obrambnih in varnostnih zvez, katerih članica je RS, 18. izrečene disciplinske ukrepe, 19. prejšnja varnostna preverjanja po ZTP.
Posebni vprašalnik 1. 2. 3. 4. sodelovanje v tujih oboroženih silah ali drugih oboroženih formacijah, finančne obveznosti oziroma prevzeta jamstva z navedbo vrste (npr krediti, hipoteke, preživnine) in višine finančnih obveznosti, razlogov za dolg in upnikov ter z navedbo vseh dohodkov v preteklem letu, vključno s podatki o lastništvu nepremičnin, davčno številko, lastnosti in okoliščine iz življenja preverjane osebe, ki imajo lahko za posledico izpostavljenost izsiljevanju ali drugim oblikam izvajanja pritiska.
Dodatni vprašalnik • • Prvi del: navedbo osebnih imen ter naslovov stalnih ali začasnih prebivališč oziroma naslove dosegljivosti treh oseb, ki lahko potrdijo podatke, navedene v vprašalnikih. Drugi del: podatke o zakoncu ali zunajzakonskem partnerju oz. o osebah v gospodinjstvu preverjane osebe (osebno ime, datum in kraj rojstva ter naslov stalnega ali začasnega prebivališča oziroma naslov dosegljivosti).
Vmesno varnostno preverjanje se opravi 1. če je pri osebi, ki že ima dovoljenje za dostop do TP, podan sum obstoja varnostnega zadržka 2. pred izvajanjem nalog na delovnih mestih, na katerih se zahteva dostop do TP, če je od izdaje dovoljenja do nastopa izvajanja nalog poteklo več kot 12 mesecev 3. pred ponovnim izvajanjem nalog na delovnih mestih, na katerih se zahteva dostop do TP, če v času veljavnosti dovoljenja več kot 12 mesecev oseba ni izvajala nalog na delovnih mestih v organu 4. pri osebah iz organizacije, če je od zaključka naročila in ponovnega dostopa do TP preteklo več kot 12 mesecev 2. , 3. in 4. - potrditev veljavnosti dovoljenja
Vmesno varnostno preverjanje – sum varnostnega zadržka • • • preverijo se podatki, ki se nanašajo na varnostni zadržek pisna seznanitev osebe z uvedbo postopka vmesnega varnostnega preverjanja (predlagatelj) vmesno varnostno preverjanje se začne na: – pisni predlog predlagatelja – navede in pojasni okoliščine, ki kažejo na sum varnostnega zadržka – pisno soglasje osebe za vmesno varnostno preverjanje (8 dni) začasna prepoved dostopa do nacionalnih TP ter TP zveze Nato in EU – obvesti se UVTP če se sum varnostnega zadržka potrdi, se preverjani osebi dovoljenje za dostop do TP prekliče obvesti se UVTP
Vmesno varnostno preverjanje – potrditev veljavnosti dovoljenja • enak postopek kot pri izdaji dovoljenja za dostop do TP • začasna prepoved dostopa do nacionalnih TP ter TP zveze Nato in EU – obvesti se UVTP • pisni predlog predlagatelja obsega: – osebno ime – rojstni datum – stopnja tajnosti – veljavnost že izdanega dovoljenja – organ, ki je dovoljenje izdal • pisnemu predlogu se priloži: – pisno soglasje za potrditev veljavnosti dovoljenja in – vse ostalo kot pri izdaji dovoljenja za dostop do TP
Obveščanje o spremembah (25. d člen ZTP) • Posameznik MORA obveščati predstojnika o spremembah iz osnovnega in posebnega vprašalnika; • predstojnik ali od predstojnika pooblaščena oseba MORA s to osebo opraviti razgovor glede spremenjenih podatkov; • ob sumu varnostnega zadržka dolžnost predlagati vmesno varnostno preverjanje; • sporočati spremembe imena (izdaja ugotovitvene odločbe).
Enkraten/začasen dostop do tajnih podatkov • izjemoma se osebi omogoči enkraten dostop do tajnih podatkov (eno stopnjo višje kot oseba poseduje dovoljenje) zaradi nujne izvedbe določenega dela. • izjemoma se dovoli opravljanje del na delovnem mestu brez ustreznega dovoljenja za obravnavanje tajnih podatkov začasen dostop (do 6 mesecev) do tajnih podatkov ene stopnje višje, kot oseba poseduje dovoljenje: Ø na podlagi pisne utemeljitve predstojnika Ø postopek varnostnega preverjanja za ustrezno dovoljenje se je že začel Ø organ, pristojen za varnostno preverjanje, s tem soglaša
IZDAJANJE DOVOLJENJ ZA DOSTOP DO TAJNIH PODATKOV ZVEZE NATO / EU Dovoljenje izda/prekliče nacionalni varnostni organ – Urad Vlade RS za varovanje tajnih podatkov
Kdaj se izda? • na pisni predlog predlagatelja • oseba ima veljavno dovoljenje za dostop do nacionalnih TP • oseba je na delovnem mestu, na katerem se izvajajo naloge, zaradi katerih potrebuje dovoljenje za dostop do TP zveze Nato / EU • dovoljenje se izda z veljavnostjo za čas, ko oseba potrebuje dostop do TP zveze Nato/EU, vendar ne dlje kot velja dovoljenje za dostop do nacionalnih TP
Predlog za izdajo dovoljenja TP zveze Nato / EU • pisni predlog predlagatelja mora vsebovati: – ime in priimek osebe – datum in kraj rojstva osebe, za katero se predlaga izdaja dovoljenja – navedbo tuje države ali mednarodne organizacije, do TP katere naj bi imela oseba dostop – navedbo delovnega mesta – stopnjo tajnosti podatkov • predlogu mora biti priložena: – izjava o seznanitvi s predpisi, ki urejajo obravnavanje in varovanje TP zveze Nato / EU – zaprosilo za dostop do TP zveze Nato / EU
Vloga UVTP-ja pri varnostnem preverjanju: • koordiniranje aktivnosti med organi, ki izvajajo varnostno preverjanje • vodenje evidenc: – izdana dovoljenja za dostop do nacionalnih TP fizičnim osebam, – izdana dovoljenja za dostop do TP zveze Nato / EU fizičnim osebam – začasni dostopi do TP EVIDENCE SE HRANIJO TRAJNO
INFORMACIJSKA VARNOST • Zajema določanje in uporabo ukrepov varovanja tajnih podatkov, ki se obravnavajo s pomočjo komunikacijskih, informacijskih in drugih elektronskih sistemov pred naključno ali namerno izgubo tajnosti, celovitosti ali razpoložljivosti ter ukrepov za preprečevanje izgube celovitosti in razpoložljivosti samih sistemov.
Varovanje TP v komunikacijsko-informacijskih sistemih • Predstojnik organa ali organizacije mora pred začetkom obravnavanja tajnih podatkov v sistemu s pisnim sklepom potrditi izvajanje vseh ukrepov in postopkov za zagotovitev varnega delovanja sistema (varnostno dovoljenje za delovanje sistema). • Pred izdajo varnostnega dovoljenja za delovanje sistema, v katerem se obravnavajo TP ZAUPNO ali višje, mora predstojnik organa ali organizacije (ali upravljavec sistema) od UVTP dobiti mnenje o varnostni ustreznosti sistema. Mnenje o varnostni ustreznosti sistema je potrebno pridobiti v 4. letih po uveljavitvi uredbe (16. 6. 2011).
Varovanje TP v komunikacijsko-informacijskih sistemih • Organ ali organizacija mora o izdaji varnostnega dovoljenja za delovanje sistema obvestiti UVTP. • Ob vsaki spremembi sistema, ki ima oziroma bi lahko imela posledice za varnost v sistemu obravnavanih TP (širitev sistema, tehnološke spremembe, uvajanje novih tehnologij ali storitev itd. ), mora upravljavec sistema ponovno izvesti postopek varnostne odobritve sistema. • Upravljavec sistema mora vzpostaviti postopke identifikacije in overitve dostopa za vse uporabnike sistema. Vsak uporabnik mora biti seznanjen s postopki dodeljevanja in uporabe sistema za identifikacijo in overitev dostopa uporabnikov v sistem.
Varovanje TP v komunikacijsko-informacijskih sistemih • Prenos TP po komunikacijskih in informacijskih sistemih izven varnostnega oziroma upravnega območja je dovoljen le v šifrirani obliki. • Šifrirne rešitve za sisteme odobri-ovrednoti UVTP in ob tem izda POTRDILO O VARNOSTNI USTREZNOSTI. • Povezovanje sistemov je dovoljeno le po nadzorovanih in varovanih vstopno-izstopnih točkah, skozi katere potekajo vsi servisi in storitve. • S povezavo sistemov se morajo strinjati upravljavci sistemov. • Z internetom je dovoljeno povezati sisteme, v katerih se obravnavajo tajni podatki stopnje tajnosti INTERNO.
Dokumenti – podlaga za izdajo varnostnega dovoljenja za delovanje sistema: • načrt varovanja sistema: vsebuje opis sistema, načrt sestavin in povezav sistema, varnostne zahteve sistema, varnostna okolja, varnostne protiukrepe in varnostno upravljanje sistema; • oceno varnostnih tveganj: vsebuje oceno trenutnega stanja sistema z oceno stopnje tveganja; • varnostna navodila za delo v sistemu: vsebujejo varnostno upravljanje in organiziranost varnosti sistema, informacijska varnost, načrtovanje ukrepov ob nepredvidenih dogodkih, upravljanje in spreminjanje konfiguracije/nastavitev sistema, splošna varnostna navodila za uporabnike in odgovorno osebje.
Zaščita proti neželenemu elektromagnetnemu sevanju (TEMPEST) • Neželeno elektromagnetno sevanje (TEMPEST) je sevanje, ki se nekontrolirano razširja in omogoča odtekanja TP. • Vse sestavine sistemov, v okviru katerih se obravnavajo TP stopnje tajnosti ZAUPNO ali višje, morajo biti TEMPEST zaščitene. • TEMPEST zaščito zagotavljajo upravljavci sistemov, v katerih se obravnavajo TP in so del načrta varovanja. O ugotovitvah meritev obveščajo UVTP. • TEMPEST meritve opravljajo Policija, MORS, SOVA in drugi organi, ki jih pooblasti komisija. • Tehnične in normativne rešitve uporabe šifrirnih sistemov in varnostne zahteve za izvajanje TEMPEST zaščite so navedene v Navodilu o izvajanju zaščite pred elektromagnetnim sevanjem v komunikacijskih in informacijskih sistemih, v katerih se obravnavajo tajni podatki.
INDUSTRIJSKA VARNOST Industrijska varnost pomeni uporabo varnostnih ukrepov in postopkov za preprečevanje, odkrivanje in povrnitev izgube ali prenehanje ogrožanja tajnih dokumentov, s katerimi razpolaga izvajalec ali podizvajalec (organizacija) med pogajanji pred dodelitvijo in med izvajanjem tajnega naročila oziroma tajnega podnaročila organa.
INDUSTRIJSKA VARNOST • TP se lahko posredujejo le organizaciji, ki ima dovoljenje, da izpolnjuje pogoje za varno obravnavanje tajnih podatkov (varnostno dovoljenje). • TAJNO/ZAUPNO NAROČILO je vsako naročilo blaga, storitve ali izvedbe gradenj, katerega izpolnitev zahteva ali vključuje dostop do TP. • Organizacije so dobavitelji, izvajalci gradenj ali izvajalci storitev, vključno s podizvajalci, ki bodo izvajali zaupno naročilo organa.
ORGANI, KI IZDAJAJO NACIONALNA VARNOSTNA DOVOLJENJA ORGANIZACIJAM MO • Izdaja varnostno dovoljenje za naročila na obrambnem področju. SOVA • Izdaja varnostno dovoljenje za naročila, povezana z delom SOVE. MNZ • Za vse ostale primere.
• Pristojni organi o izdaji varnostnega dovoljenja obvestijo UVTP. • Varnostno dovoljenje se izda z veljavnostjo petih let ali za dobo, določeno v pogodbi o naročilu, vendar ne več kot za pet let.
Postopek izdaje varnostnega dovoljenja POBUDA: • Organizacija pristojnemu predlagatelju da pobudo za začetek postopka za izdajo varnostnega dovoljenja. • Vsebina pobude: Ø Navedba naročila oz. vzrok (izdelek, ki ga ponuja) za katerega organizacija potrebuje varnostno dovoljenje. Ø Podatki o osebah organizacije, ki imajo dovoljenje za dostop do TP ali bo za njih sprožen ustrezen postopek za pridobitev dovoljenja za dostop do TP.
Postopek izdaje varnostnega dovoljenja PREDLOG: Pristojni predlagatelj: Ø predstojnik državnega organa za organizacije, ki izvajajo naročila tega organa, Ø ministrstvo, pristojno za gospodarstvo, za organizacije, ki potrebujejo varnostno dovoljenje zaradi sodelovanja na javnih razpisih ali zaradi izvedbe naročila tuje države ali mednarodne organizacije. Preden začne pristojni organ preverjati izpolnjevanje pogojev organizacije za pridobitev varnostnega dovoljenja v UVTP preveri ali je bilo organizaciji že izdano katero od varnostnih dovoljenj oz. ali je že v postopku pridobitve varnostnega dovoljenja.
Predlagatelj mora predlogu za začetek postopka varnostnega preverjanja priložiti naslednje listine: 1. da je organizacija registrirana pristojnem sodišču ali drugem organu – izpisek iz sodne ali druge ustrezne evidence, 2. da ni v kazenskem postopku zaradi suma storitve kaznivega dejanja v zvezi s podkupovanjem ali da zaradi takega kaznivega dejanja ni bila pravnomočno obsojena – potrdilo ministrstva, pristojnega za pravosodje, da organizacija ni vpisana v kazensko evidenco,
3. da ni zoper organizacijo uveden ali začet postopek prisilne poravnave, stečajni ali likvidacijski postopek, drug postopek, katerega posledica ali namen je prenehanje poslovanja organizacije – izpisek iz sodne ali druge enakovredne evidence, 4. da je poravnala davke in prispevke skladno s predpisi države, kjer ima svoj sedež, ali da je organizacija, ki ima sedež v tujini, poravnala v RS tiste dajatve, ki bi jih morala poravnati – potrdilo, ki ga izda davčni ali drug pristojni organ države, kjer ima organizacija svoj sedež,
5. da ni bila kaznovana za dejanje v zvezi s poslovanjem oziroma so posledice sodbe že izbrisane – potrdilo ministrstva, pristojnega za pravosodje, da organizacija ni vpisana v kazensko evidenco, 6. dokazilo o lastniški strukturi organizacije – izpisek iz sodne ali druge ustrezne evidence, 7. dokazilo, da osebe iz organizacije niso bile pravnomočno obsojene zaradi naklepnega kaznivega dejanja, ki se preganja po uradni dolžnosti, in da niso bile obsojene na nepogojno kazen zapora v trajanju več kot 6 mesecev.
Pristojni organ izda organizaciji varnostno dovoljenje, če: 1. organizacija izpolnjuje fizične, organizacijske in tehnične pogoje za varovanje TP v skladu z ZTP in predpisi, sprejetimi na njegovi podlagi, 2. so osebe, ki bodo v organizaciji po službeni dolžnosti imele dostop do TP, varnostno preverjene in imajo dovoljenje za dostop do TP, 3. organizacija zagotovi, da bo dostop do TP dovoljen samo tistim osebam, ki morajo imeti vpogled v te podatke po svoji službeni dolžnosti zaradi uresničevanja naročila organa,
Pristojni organ izda organizaciji varnostno dovoljenje, če: 4. Organizacija imenuje osebo, pristojno za nadzor in usmerjanje varnostnih ukrepov v zvezi z: • izvajanjem naročila, • usposabljanjem oseb, ki imajo dostop do tajnih podatkov, • poročanjem pristojnemu organu o okoliščinah, ki vplivajo na izdajo varnostnega dovoljenja in • izvajanjem drugih predpisanih ukrepov za varno obravnavanje tajnih podatkov.
Vmesno varnostno preverjanje • se opravi, če po izdaji varnostnega dovoljenja organizaciji nastopijo okoliščine, ki kažejo na to, da organizacija ne izpolnjuje več prej naštetih pogojev • Ø predlagatelji: predstojnik organa za organizacije, ki izvajajo naročila tega organa, minister za gospodarstvo, UVTP Ø Ø • če organizacija ne izpolnjuje več pogojev za izdajo varnostnega dovoljenja - preklic dovoljenja
Vloga UVTP pri izdajanju varnostnih dovoljenj organizacijam • Koordiniranje aktivnosti med organi, ki izvajajo varnostno preverjanje. • Vodenje evidenc. • Izdajanje NATO/EU dovoljenj (FSC –Facility Security Clearence). • Potrjuje, da organ/organizacija izpolnjuje predpisane pogoje za ravnanje s TP v skladu s predpisi tuje države ali mednarodne organizacije.
Javni razpisi – internetne strani • http: //www. mg. gov. si/si/javna_narocila_razpisi _povabila_pozivi/ • http: //www. enarocanje. si/? podrocje=portal • http: //www. izvoznookno. si/ • http: //www. namsa. nato. int/ • http: //boa. nc 3 a. nato. int/ • http: //www. eda. europa. eu/
RAZMERJE MED TP PO ZTP IN DRUGIMI TAJNIMI IN VAROVANIMI PODATKI • Poslovna skrivnost – Podatki, ki jih za poslovno skrivnost določi družba v skladu s 39. členom Zakona o gospodarskih družbah • Davčna tajnost – Podatki v skladu z 15. členom Zakona o davčnem postopku in Pravilnikom o izvajanju ZDav. P-2 • Izpitna tajnost pri maturi - Vrsta tajnosti “IZPITNA TAJNOST” stopnja tajnosti “TAJNO” se določa skladno z Zakonom o maturi in skladno s 3. členom Pravilnika o varovanju izpitnih tajnosti pri maturi • Izpitna tajnost pri pravniškem državnem izpitu se določa skladno z Zakonom o pravniškem državnem izpitu in skladno z 2. členom Pravil o varovanju izpitne tajnosti pri pisnem delu pravniškega državnega izpita - oznaka: “izpitna tajnost”
RAZMERJE MED TP PO ZTP IN DRUGIMI TAJNIMI IN VAROVANIMI PODATKI • Statistična zaupnost – 2. člen Zakona o državni statistiki • Osebni podatki – podatki o posamezniku, ki jih opredeljuje Zakon o varstvu osebnih podatkov • Občutljivi osebni podatki in drugi varovani podatki skladno z Zakonom o varstvu dokumentarnega in arhivskega gradiva ter arhivih • Zaupni podatki po Zakonu o bančništvu • Zaupnost po Zakonu o računskem sodišču
RAZMERJE MED TP PO ZTP IN DRUGIMI TAJNIMI IN VAROVANIMI PODATKI • Spremembe označevanja tajnih podatkov po 31. 12. 2004: • DRŽAVNA TAJNOST ali DRŽAVNA SKRIVNOST spremenjena v STROGO TAJNO • URADNA TAJNOST, URADNA SKRIVNOST ali VOJAŠKA SKRIVNOST – STROGO ZAUPNO spremenjena v TAJNO • URADNA TAJNOST, URADNA SKRIVNOST ali VOJAŠKA SKRIVNOST – ZAUPNO spremenjena v ZAUPNO • URADNA TAJNOST, URADNA SKRIVNOST ali VOJAŠKA SKRIVNOST – INTERNO spremenjena v INTERNO
PODATKI EU LIMITE/NATO UNCLASSIFIED • Dokumenti niso za javno objavo. • Dokumenti so namenjeni vladam držav članic EU/NATO in njenim predstavnikom. • Na internetu se lahko objavijo samo naslovi dokumentov, označenih s stopnjo LIMITE/UNCLASSIFIED.
NOTRANJI NADZOR • Uredba o notranjem nadzoru nad izvajanjem ZTP in predpisov izdanih na njegovi podlagi: • Za notranji nadzor so odgovorni predstojniki organov in organizacij. Nadzor lahko izvajajo pooblaščene osebe ali posamezne notranje organizacijske enote. • Z notranjim nadzorom se ugotavlja ustreznost obravnavanja in varovanja tajnih podatkov v organih in organizacijah. • Ugotovitve notranjega nadzora so pomembne za izvajanje dodatnega usposabljanja, saj se udeležence ob tem opozori na odpravo morebitnih pomanjkljivosti pri obravnavanju TP. • Nadzor nad izvajanjem naročila (organ-organizacija).
INŠPEKCIJA • Inšpekcijski nadzor nad izvrševanjem določb ZTP in predpisov, sprejetih na njegovi podlagi ter na podlagi mednarodnih pogodb, ki jih je s tujo državo ali mednarodno organizacijo sklenila RS, če ni v mednarodni pogodbi drugače določeno, opravlja Inšpektorat RS za notranje zadeve, razen na obrambnem področju, kjer ta nadzor izvaja Inšpektorat RS za obrambo. • Inšpektor opravlja inšpekcijski nadzor v organih in organizacijah tako da preverja sistem določanja, označevanja, varovanja in dostopa do tajnih podatkov. Med izvajanjem nadzora inšpektor ne sme zahtevati vpogleda v vsebino tajnih podatkov.
Inšpektor ima poleg splošnih pooblastil, določenih v zakonu o inšpekcijskem nadzoru, pravico in dolžnost: • odrediti rok za odpravo pomanjkljivosti oziroma nepravilnosti pri izvajanju predpisov o tajnih podatkih, • zahtevati od odgovorne osebe pisna pojasnila s področja nadzora, ki se ne nanašajo na vsebino tajnih podatkov, • izvesti postopke skladno z zakonom, ki ureja prekrške, • podati ovadbo pristojnim organom za kazniva dejanja, ki se preganjajo po uradni dolžnosti, • predlagati uvedbo disciplinskega postopka zoper kršitelje predpisov o tajnih podatkih, • prepovedati dostop in posredovanje tajnih podatkov, če je varnost tajnih podatkov ogrožena, ker niso izpolnjeni vsi ukrepi za njihovo varovanje, • odrediti nujne ukrepe za zagotovitev varovanja tajnih podatkov in po potrebi tudi njihov prenos na območje ali v organ, ki ga določi nacionalni varnostni organ.
HVALA ZA POZORNOST IN NASVIDENJE
- Slides: 149
