Na podlagi četrtega odstavka 17. člena, šestega in desetega odstavka 39. člena ter osmega in štirinajstega odstavka 39.a člena Zakona o tajnih podatkih (Uradni list RS, št. 50/06 – uradno prečiščeno besedilo, 9/10, 60/11 in 8/20) Vlada Republike Slovenije izdaja
o varovanju tajnih podatkov
Ta uredba določa načine in oblike označevanja tajnih podatkov, fizične, organizacijske in tehnične ukrepe ter obvezne sestavine postopkov za varovanje tajnih podatkov, ki jih morajo pri vzpostavitvi sistema ukrepov in postopkov varovanja tajnih podatkov upoštevati in zagotoviti vsi organi in organizacije iz drugega in tretjega odstavka 1. člena Zakona o tajnih podatkih (Uradni list RS, št. 50/06 – uradno prečiščeno besedilo, 9/10, 60/11 in 8/20; v nadaljnjem besedilu: zakon).
(namen ukrepov varovanja)
(1) Namen ukrepov varovanja tajnih podatkov je, da se z vzpostavitvijo ukrepov neposrednega fizičnega varovanja tajnih podatkov, varovanih prostorov ali objektov (fizični ukrepi), ukrepov ravnanja organa in organizacije pri obravnavanju tajnih podatkov (organizacijski ukrepi) ter ukrepov varovanja tajnih podatkov, varovanih prostorov ali objektov s tehničnimi sredstvi v skladu s to uredbo (tehnični ukrepi) vzpostavi sistem postopkov in ukrepov varovanja tajnih podatkov, ki ustreza stopnji tajnosti tajnih podatkov in stopnji tajnosti komunikacijsko informacijskih sistemov ter onemogoča njihovo razkritje nepooblaščenim osebam.
(2) Določbe, ki v tej uredbi urejajo varovanje tajnih podatkov, se uporabljajo tudi za varovanje tajnih podatkov tujih držav ali mednarodnih organizacij, razen če ni izrecno določeno drugače.
Izrazi, uporabljeni v tej uredbi, pomenijo:
1. javni prostor je prostor, dostopen vsem, v katerem se dogaja javno življenje;
2. lastna prenosna mreža je organizirana znotraj posameznega organa ali organizacije za fizični prenos tajnih podatkov;
3. komunikacijsko informacijski sistem (v nadaljnjem besedilu: sistem) je namenjen varovanju tajnih podatkov; sestavljajo ga programska, strojna, komunikacijska ter druga oprema in deluje samostojno ali v omrežju ter je namenjena zbiranju, procesiranju, distribuciji, uporabi in drugi obdelavi podatkov v elektronski obliki;
4. varovanje tajnih podatkov v sistemih zajema določanje in uporabo ukrepov varovanja tajnih podatkov, ki se obravnavajo prek komunikacijskih, informacijskih in drugih elektronskih sistemov, pred naključno ali namerno izgubo tajnosti, celovitosti ali razpoložljivosti tajnih podatkov ter ukrepov za preprečevanje izgube celovitosti in razpoložljivosti samih sistemov;
5. nosilec podatka je vsak medij, na katerem so zapisani podatki v fizični ali elektronski obliki;
6. elektronski nosilec podatkov je vsako sredstvo, na katerem je možno dolgoročno shranjevati podatke v elektronski obliki (trdi diski, diskete, magnetni trakovi, elektronski pomnilni nosilci podatkov, optični pomnilni nosilci podatkov, USB-ključ, CD/DVD-nosilec podatkov, zunanji disk in drugi);
7. ključne sestavine sistema so strežniki, usmerjevalniki in delilniki prometa, oprema za upravljanje in nadzor, aktivna oprema za prenos podatkov v nešifrirani obliki, oprema za kriptirno zaščito podatkov, varnostne pregrade, oprema za odkrivanje in zaščito pred vdori, oprema za izdelavo varnostnih kopij in druge sestavine;
8. iznos podatka iz sistema pomeni tiskanje, shranjevanje na elektronski nosilec podatkov (USB-ključ, CD/DVD-nosilec podatkov, zunanji disk in drugi) ali izmenjavo z drugim sistemom prek medsebojne povezave sistemov;
9. neželeno elektromagnetno sevanje je sevanje, ki se nenadzorovano razširja in omogoča nepooblaščeno seznanitev s tajnimi podatki;
10. revizijska sled je elektronska evidenca dejavnosti sistema tako po sistemskih ter aplikacijskih procesih kot po uporabniški rabi sistema in aplikacij ter omogoča odkrivanje varnostnih kršitev, težav z zmogljivostjo, rekonstrukcijo dogodkov in analizo;
11. razvid je namensko in sistematično spremljanje, beleženje ali vodenje podatkov;
12. preostalo tveganje je tveganje, ki v sistemu ostane tudi po izvajanju varnostnih ukrepov;
13. kriptografija je znanstvena veda, ki se ukvarja s konstrukcijo in analizo kriptografskih prvin in protokolov, ki pripomorejo k zagotavljanju zaupnosti, celovitosti, pristnosti in nezatajljivosti podatkov;
14. kriptografski algoritem je končno zaporedje pravil ali ukazov, ki sosledje bitov, kar pomeni čistopis, pretvori v drugo sosledje, ki je neberljivo sporočilo;
15. kriptografske prvine so osnovni sestavni deli kriptografske rešitve;
16. overjanje je preverjanje pristnosti entitete;
17. incident je vsak dogodek, ki bi lahko imel škodljiv učinek na varovanje tajnih podatkov v sistemih.
II. DOLOČANJE IN OZNAČEVANJE TAJNIH PODATKOV
(določanje tajnih podatkov)
Pooblaščena oseba, določena v 10. členu zakona, s pisno oceno, glede na možne škodljive posledice, podatkom določi ustrezno stopnjo tajnosti. V pisni oceni se opredelijo razlogi za določitev stopnje tajnosti ter določi način prenehanja tajnega podatka.
Pisna ocena, na podlagi katere je bila določena stopnja tajnosti podatka, se hrani v skladu z rokom hrambe tajnega podatka pri organu, ki je določil stopnjo tajnosti.
(označevanje tajnih podatkov)
(1) Vsak dokument, nosilec podatkov in ključna sestavina sistema morajo biti ob določitvi stopnje tajnosti vidno označeni s predpisanimi oznakami stopnje tajnosti. Vsi dokumenti morajo imeti na vseh straneh dokumenta, v glavi in nogi označeno stopnjo tajnosti vključno z zunanjimi stranmi prednjih platnic, če obstajajo. Vsaka stran dokumenta mora imeti v nogi poleg stopnje tajnosti navedeno tudi zaporedno številko strani glede na skupno število strani dokumenta (npr. 3/10). Naslovna stran je lahko brez oznake zaporedne številke strani. Oznaka stopnje tajnosti na nosilcih (npr. zemljevidi, fotografije, CD/DVD, USB), ki vsebujejo tajne podatke, mora biti na nosilcu podatkov vidno natiskana, natipkana, napisana, naslikana, nalepljena ali kako drugače pritrjena s primernimi sredstvi.
(2) Naslov dokumenta mora biti oblikovan na način, da ne vsebuje tajnih podatkov. Če to ni mogoče, se naslov označi v skladu z 8. členom te uredbe.
(3) Če spremni dopis ne vsebuje tajnih podatkov, se praviloma ne označi s stopnjo tajnosti. Pri navajanju prilog, ki vsebujejo tajne podatke, se poleg navedbe priloge vpiše oznaka stopnje tajnosti (npr. (I)).
(4) Če se dokument ali nosilec podatkov hrani v kakršnemkoli ovoju, mora biti ta označen z ustrezno stopnjo tajnosti.
(5) Označevanje dokumentov ali nosilcev podatkov tajnega podatka ne sme uničiti, poškodovati ali povzročiti, da ta postane kako drugače neuporaben.
(6) Sistem mora imeti vgrajen mehanizem, ki uporabnika seznani s tajnostjo pri prikazu ali iznosu. Če sistem ne omogoča prikaza stopnje tajnosti posameznega podatka, mora upravljavec sistema zagotoviti, da se uporabnik sistema nedvoumno seznani ob vsakokratnem vstopu v sistem z najvišjo stopnjo varovanja tajnih podatkov v sistemu.
(7) Če je tajnost podatka določil organ, ki ni skrbnik sistema, mora imeti prikaz oznako tega organa.
(8) Vsi dokumenti, ki vsebujejo tajne podatke, morajo poleg oznak, določenih v tem členu, vsebovati sklic na dokument in datum dokumenta iz 4. člena te uredbe.
(9) Vsi dokumenti ali nosilci podatkov stopnje tajnosti TAJNO in STROGO TAJNO morajo poleg oznak, določenih v tej uredbi, vsebovati še:
– številko izvoda dokumenta;
– število morebitnih prilog.
(10) Vsi dokumenti, označeni s stopnjo tajnosti STROGO TAJNO, se poleg oznak, določenih v tej uredbi, dodatno označijo z rdečo črto debeline najmanj štiri milimetre, ki poteka diagonalno pod kotom 45 stopinj štiri centimetre od zgornjega desnega roba strani.
(11) Oznaka stopnje tajnosti se mora jasno razlikovati od drugih zapisov, pri čemer se za zapis oznake uporabijo poudarjene velike tiskane črke, ki morajo biti večje od črk preostalih zapisov.
(12) Oznake stopnje tajnosti iz tega člena so razvidne iz vzorcev oznak INTERNO, ZAUPNO, TAJNO IN STROGO TAJNO, ki so v Prilogi 1, ki je sestavni del te uredbe.
(označevanje tujih tajnih podatkov)
Tuji tajni podatki ohranijo izvirno oznako. Poleg izvirne oznake se lahko na dokument vpiše tudi primerljiva stopnja tajnosti tajnega podatka v slovenskem jeziku.
(1) V dokumentu, ki vsebuje tajne podatke, se izjemoma lahko označi vsak odstavek, del odstavka ali posamezna beseda z različno stopnjo tajnosti, in sicer tako, da:
– se na začetku in koncu vsakega odstavka, dela odstavka ali besede vpišejo oznake (I), (Z), (T), (ST);
– je dokument, ki vsebuje več delov besedila različnih stopenj tajnosti, označen z najvišjo stopnjo tajnosti posameznega dela besedila;
– se v prostor za dodatne oznake vpiše, da so odstavki ali deli odstavkov ali posamezne besede označeni z različno stopnjo tajnosti.
(2) Pooblaščena oseba, ki je določila stopnjo tajnosti, mora v pisni oceni zapisati tudi razloge za določitev različne stopnje tajnosti posameznih delov besedila.
(označevanje sprememb stopnje tajnosti ali preklica)
(1) Kadar se tajnemu podatku spremeni stopnja tajnosti ali se tajni podatek prekliče, se na dokumentu ali nosilcu podatkov, ki vsebuje tajni podatek, prečrtajo prvotne oznake tajnosti, pod staro oznako ali nad njo pa se navede nova oznaka stopnje tajnosti ali preklic stopnje tajnosti. Poleg navedenih oznak se na dokumentu navede še sklic na pisno obrazložitev spremembe ali preklica stopnje tajnosti. Namenski program za evidentiranje in hranjenje dokumentarnega gradiva v elektronski obliki mora omogočati razvid vseh sprememb označevanja in podlag za te spremembe.
(2) Tajnim podatkom v dokumentih, označenih po predpisih, ki so veljali pred uveljavitvijo Zakona o tajnih podatkih (Uradni list RS, št. 87/01), se ob njihovi ponovni uporabi določi stopnja tajnosti v skladu z zakonom in to uredbo. Stare oznake stopnje tajnosti se prečrtajo, pod ali nad njimi pa se navedejo nove oznake stopnje tajnosti.
(3) Pooblaščena oseba organa, ki je tajnemu podatku spremenila stopnjo tajnosti ali jo preklicala, mora o spremembi ali preklicu obvestiti vse, ki so tajni podatek prejeli ali imajo dostop do njega.
(1) Fizična kopija celotnega ali dela dokumenta, ki vsebuje tajne podatke, mora imeti oznako stopnje tajnosti izvirnika in oznako, da je kopija, in sicer tako, da se na prvi strani v višini zgornje oznake stopnje tajnosti na desno stran napišejo beseda KOPIJA, njena zaporedna številka in datum izdelave kopije. Tako mora biti označen tudi dodaten izpis tajnega podatka v elektronski obliki, kadar je v obliki kopije.
(2) Iz kopije tajnega podatka mora biti razvidno, iz katerega zapisa ali dela zapisa izhaja kopija (številka, datum, številka strani dokumenta, ki vsebuje tajni podatek).
(izločanje tajnih podatkov iz dokumentov)
(1) Če dokument ali njegov del le delno vsebuje tajne podatke oziroma so le posamezni odstavki dokumenta označeni s stopnjo tajnosti in jih je zaradi izvedbe določenih nalog organa mogoče izločiti iz dokumenta ne da bi to ogrozilo njihovo tajnost, lahko pooblaščena oseba organa, ki je določila stopnjo tajnosti, izloči te podatke iz dokumenta.
(2) Iz dokumenta, iz katerega so bili v skladu s prejšnjim odstavkom izločeni tajni podatki, se odstranijo oznake stopenj tajnosti.
(3) V dokumentu, iz katerega so bili izločeni tajni podatki, je treba navesti, da so bili iz dokumenta izločeni tajni podatki.
(4) Izločanje oziroma odstranjevanje tajnih podatkov iz dokumentov pomeni, da se besedilo prekrije in se ohrani originalna oblika dokumenta.
III. OBRAVNAVA IN HRAMBA TAJNIH PODATKOV
(obravnava tajnih podatkov)
(1) Tajni podatki stopnje tajnosti INTERNO se obravnavajo v upravnem območju. Tajni podatki stopnje tajnosti ZAUPNO ali višje stopnje tajnosti se obravnavajo v varnostnem območju, ki je glede na način obravnavanja tajnih podatkov uvrščen v varnostno območje I. ali II. stopnje.
(2) Ne glede na prejšnji odstavek se lahko tajni podatki stopnje tajnosti ZAUPNO in TAJNO obravnavajo v upravnem območju pod pogoji, določenimi s to uredbo.
(3) Ne glede na prvi in drugi odstavek tega člena se tajni podatki do vključno stopnje tajnosti TAJNO lahko obravnavajo tudi izven varnostnega in upravnega območja pod pogoji, določenimi s to uredbo.
(4) Kadar je tajni podatek do vključno stopnje tajnosti TAJNO zaradi izvedbe točno določene naloge treba izjemoma obravnavati izven upravnega ali varnostnega območja, mora organ zagotoviti, da se na takšnem območju vzpostavi začasno upravno ali varnostno območje, kjer se smiselno izvajajo ukrepi in postopki, določeni s to uredbo.
(5) Kadar začasnega upravnega ali varnostnega območja iz tehničnih, organizacijskih in drugih razlogov ni mogoče vzpostaviti, se tajni podatki lahko obravnavajo pod pogoji, določenimi v 15. členu te uredbe.
(vzpostavitev začasnega upravnega območja)
(1) Predstojnik organa ali oseba, ki jo ta pooblasti, mora za vzpostavitev začasnega upravnega območja izdelati dokument, v katerem se opredelijo:
– obseg začasnega upravnega območja;
– način varovanja;
– režim vstopa in izstopa;
– drugi potrebni ukrepi ob izrednih dogodkih (za primer požara, vloma, potresa ipd.).
(2) Zagotoviti je treba 24-urno neposredno in neprekinjeno fizično ali tehnično varovanje in kontrolo vstopa oziroma preverjanje identitete vstopajočih.
(vzpostavitev začasnega varnostnega območja)
(1) Predstojnik organa ali oseba, ki jo ta pooblasti, mora za vzpostavitev začasnega varnostnega območja izdelati dokument, v katerem se opredelijo:
– obseg začasnega varnostnega območja;
– način varovanja;
– režim vstopa in izstopa;
– ocena varnostnih tveganj obravnave tajnih podatkov;
– drugi potrebni ukrepi ob izrednih dogodkih (za primer požara, vloma, potresa ipd.).
(2) Zagotoviti je treba 24-urno neposredno in neprekinjeno fizično varovanje začasnega varnostnega območja in okolice ter kontrolo vstopa oziroma preverjanje identitete vstopajočih. Fizično varovanje se lahko dopolni s prvinami tehničnega varovanja.
(3) Pred vzpostavitvijo začasnega varnostnega območja se opravi protiprisluškovalni pregled prostorov.
(4) Tajni podatki stopnje tajnosti ZAUPNO ali višje se hranijo v skladu s to uredbo.
(5) Voditi je treba seznam oseb, ki vstopajo v začasno varnostno območje.
(obravnavanje tajnih podatkov izven upravnega in varnostnega območja)
(1) Kadar začasnega upravnega ali varnostnega območja iz tehničnih, organizacijskih in drugih razlogov ni mogoče vzpostaviti, se tajni podatki lahko obravnavajo le pod pogoji, določenimi v tem členu. Predstojnik organa ali oseba, ki jo ta pooblasti, določi, da se za izvedbo določenih nalog ali dogodkov tajni podatki stopnje tajnosti INTERNO, ZAUPNO in TAJNO obravnavajo izven upravnega in varnostnega območja.
(2) Tajnih podatkov ni dovoljeno obravnavati na javnem prostoru oziroma na poti. Izjemoma se lahko tajni podatek do vključno stopnje tajnosti TAJNO obravnava izven upravnega in varnostnega območja, pri čemer je treba zagotoviti, da se s tajnim podatkom ne seznanijo nepooblaščene osebe ter da ima oseba tajni podatek ves čas pod nadzorom.
(3) Obravnavanje tajnih podatkov v sistemih izven varnostnega in upravnega območja je dovoljeno v sistemih z izdanim varnostnim dovoljenjem za delovanje in z uporabo kriptografskih rešitev z izdanim potrdilom o varnostni ustreznosti. Sistemi, kriptografske rešitve in podatki morajo biti zaščiteni pred nepooblaščenim dostopom.
(4) Vsak iznos ali vnos nosilca tajnega podatka zunaj upravnega in varnostnega območja se evidentira. Oseba, ki prevzame nosilec tajnega podatka, to potrdi s podpisom ter s tem prevzame odgovornost in skrb za varnost tajnih podatkov.
(1) Tajni podatki stopnje tajnosti INTERNO se hranijo v upravnem območju v zaklenjenih pisarniških ali kovinskih omarah, ključi se hranijo ločeno. Tajni podatki stopnje tajnosti ZAUPNO ali višje stopnje tajnosti se hranijo v varnostnem območju II. stopnje v ustreznih blagajnah ali v varnostnem območju I. stopnje.
(2) Organi tajne podatke, ki so del zadeve organa, hranijo v skladu z roki, določenimi s predpisi, ki urejajo poslovanje z dokumentarnim in arhivskim gradivom. Po preteku roka hrambe se izločijo in uničijo v skladu s 50. členom te uredbe.
(3) Ne glede na prejšnji odstavek centralna registra EU in Nata hranita tajne podatke največ dve leti od prejema. Po preteku omenjenega časa tajne podatke uničita v skladu s 50. členom te uredbe.
(4) Organizacije tajne podatke hranijo, dokler jih potrebujejo za opravljanje delovnih nalog. Po uporabi tajne podatke uničijo v skladu s 50. členom te uredbe ali jih vrnejo pristojnemu organu.
IV. FIZIČNI UKREPI VAROVANJA
(varnostno območje I. stopnje)
(1) Varnostno območje I. stopnje je označen prostor, v katerem se varujejo tajni podatki stopnje tajnosti ZAUPNO ali višje stopnje tajnosti tako, da lahko že sam vstop v varnostno območje omogoča dostop do teh podatkov. V varnostnem območju I. stopnje se izvajajo najmanj naslednji varnostni postopki in ukrepi:
– jasno določen in varovan obseg območja, v katerem se zagotavlja nadzor nad vstopom ali izstopom oseb in vozil v to območje, dovoljuje vstop samo osebam, ki imajo dovoljenje za dostop do tajnih podatkov ustrezne stopnje tajnosti in imajo dovoljenje za vstop v to območje;
– vodenje razvida tajnih podatkov, ki se v varnostnem območju hranijo na način, da se oseba z njimi seznani že ob samem vstopu v to območje;
– prepoved vnosa mehanskih, elektronskih in magnetno optičnih sestavnih delov, s katerimi je mogoče tajne podatke nepooblaščeno posneti, odnesti ali prenesti, oziroma kakršnihkoli naprav, s katerimi je mogoča zloraba tajnih podatkov. Izjemoma vnos in uporabo takih naprav odobri oseba, odgovorna za varnost varnostnega območja;
– neposredno in neprekinjeno fizično varovanje varnostnega območja ali delovnih prostorov, v katerih je varnostno območje, z elektronskim sistemom za protivlomno varovanje varnostnega območja. Po končanem delovnem času se pregledajo prostori. Intervencijski čas po sproženem alarmnem signalu mora biti krajši od sedem minut.
(2) Okoli varnostnega območja I. stopnje ali na poti, ki vodi v tako varnostno območje, se vzpostavi upravno območje.
(3) Vstop oseb v varnostno območje in njihov izstop ter dostop vozil morajo biti nadzorovani. Vsi vstopi in izstopi se morajo evidentirati.
(4) Predstojnik organa določi osebe, ki lahko samostojno vstopajo v varnostno območje I. stopnje.
(5) Vstop brez ustreznega dovoljenja za dostop do tajnih podatkov se lahko omogoči drugim osebam, ki se zaradi opravljanja svoje delovne naloge ne bodo seznanile s tajnimi podatki in imajo ves čas zadrževanja v varnostnem območju zagotovljeno spremstvo oseb iz prejšnjega odstavka. Oseba iz prejšnjega odstavka mora pred vstopom osebe brez ustreznega dovoljenja poskrbeti, da bodo tajni podatki umaknjeni oziroma da bo preprečeno, da bi se oseba brez ustreznega dovoljenja seznanila s tajnim podatkom.
(varnostno območje II. stopnje)
(1) Varnostno območje II. stopnje je označen prostor, v katerem se tajni podatki stopnje tajnosti ZAUPNO ali višje stopnje tajnosti varujejo tako, da sam vstop in gibanje v tem območju še ne omogočata dostopa do teh podatkov, saj so pred nepooblaščenim dostopom znotraj območja dodatno zaščiteni. V varnostnem območju II. stopnje se izvajajo najmanj ti varnostni postopki in ukrepi:
a) jasno določen in varovan obseg območja, v katerem se zagotavlja nadzor nad vstopom in izstopom oseb in vozil in dovoljuje vstop v to območje samo osebam, ki imajo dovoljenje za dostop do tajnih podatkov ustrezne stopnje tajnosti in imajo dovoljenje za vstop v to območje;
b) vstop brez ustreznega dovoljenja za dostop do tajnih podatkov se lahko omogoči drugim osebam, ki se zaradi opravljanja svoje delovne naloge ne bodo seznanile s tajnimi podatki in imajo ves čas zadrževanja v varnostnem območju zagotovljeno spremstvo oseb iz četrtega odstavka tega člena;
c) organiziranost dela, ki zagotavlja, da bodo imeli zaposleni v organu ali organizaciji dostop le do tistih tajnih podatkov, ki jih potrebujejo za opravljanje delovnih nalog, in sicer do tiste stopnje tajnosti, za katero imajo dovoljenje;
d) druge osebe organa ali organizacije, ki niso na seznamu iz četrtega odstavka tega člena, vstopajo v varnostno območje samo v spremstvu oseb iz četrtega odstavka tega člena ali ob izvajanju druge enakovredne oblike nadzora, ki zagotavlja, da bo oseba vstopila samo v dele območja, povezane z namenom obiska, in če je to potrebno, se bo seznanila le s tistimi tajnimi podatki, ki so povezani z namenom obiska, in sicer do tiste stopnje tajnosti, za katero ima dovoljenje;
e) protivlomno varovanje varnostnega območja z elektronskim sistemom, katerega alarmni signal je vezan na enoto, odgovorno za ukrepanje ob alarmu (varnostno nadzorni center). Intervencijski čas po sproženem alarmnem signalu mora biti krajši od petnajstih minut. Izjemoma, kadar to zahteva izvajanje nalog organa, lahko predstojnik organa v sklepu o določitvi varnostnega območja določi, da se intervencijski čas po sproženem alarmnem signalu podaljša, vendar ne več kot na 30 minut. Na podlagi ocene ogroženosti se lahko izvaja tudi neposredno in neprekinjeno fizično varovanje varnostnega območja ali delovnih prostorov, v katerih je varnostno območje;
f) prepoved vnosa mehanskih, elektronskih in magnetno optičnih sestavnih delov, s katerimi je mogoče tajne podatke nepooblaščeno posneti, odnesti ali prenesti, oziroma kakršnihkoli naprav, s katerimi je mogoča zloraba tajnih podatkov. Izjemoma vnos in uporabo takih naprav odobri oseba, odgovorna za varnost varnostnega območja;
g) po končanem delovnem času se varnostno območje varuje s sistemom fizičnega ali protivlomnega varovanja oziroma z občasnimi fizičnimi pregledi prostorov, določenimi v načrtu varovanja.
(2) Okoli varnostnega območja II. stopnje ali na poti, ki vodi v takšno varnostno območje, se vzpostavi upravno območje.
(3) Vstop oseb v varnostno območje in njihov izstop ter dostop vozil morajo biti pod nadzorom. Vsi vstopi in izstopi se morajo evidentirati.
(4) Predstojnik organa določi osebe, ki lahko samostojno vstopajo v varnostno območje II. stopnje.
Upravno območje je vidno določen obseg prostora, v katerem organ ali organizacija nadzira vstopanje in izstopanje oseb in vozil ter njihovo gibanje. V upravnih območjih se lahko varujejo tajni podatki stopnje tajnosti INTERNO. Z varnostnimi postopki in ukrepi se zagotavlja, da imajo dostop do teh podatkov samo osebe, ki so s pisno izjavo potrdile, da so seznanjene s predpisi, ki urejajo varovanje tajnih podatkov, in se morajo s temi podatki seznaniti zaradi opravljanja delovnih nalog.
(centralni register EU in Nata)
(1) Centralna registra EU in Nata sta pristojna za varovanje tajnih podatkov EU in Nata stopnje tajnosti ZAUPNO in višje. Centralna registra EU in Nata varujeta tudi tajne podatke EU in Nata stopnje tajnosti INTERNO, če jih prejemniki teh podatkov ne prejmejo na drug način ali zanje zaprosijo pristojni register.
(2) Zaposleni v centralnih registrih morajo imeti veljavno dovoljenje za dostop do tajnih podatkov stopnje tajnosti STROGO TAJNO.
(3) Predstojnik organa določi vodjo in namestnika centralnega registra, ki skrbi za izvajanje varnostnih ukrepov v zvezi z varovanjem tajnih podatkov v centralnem registru.
(4) V Centralnem registru Nata predstojnik organa določi pooblaščeno nadzorno osebo (Cosmic Control Officer /CCO/). Njene naloge so določene v varnostni politiki Nata.
(podregistri EU in Nata ter kontrolne točke Nata)
(1) Podregistri in kontrolne točke so pristojni za varovanje tajnih podatkov EU in Nata stopnje tajnosti ZAUPNO in višjih stopenj tajnosti znotraj posameznih organov. Podregistri in kontrolne točke lahko varujejo tudi tajne podatke EU in Nata stopnje tajnosti INTERNO, če jih prejemniki teh podatkov ne prejmejo na drug način ali zanje zaprosijo pristojni podregister oziroma kontrolno točko.
(2) Podregister ali kontrolna točka se določi na podlagi predhodnega ogleda, ki ga opravi nacionalni varnostni organ. Nacionalni varnostni organ opravi ogled na podlagi vloge, v kateri je treba predložiti tudi načrt varovanja. Z ogledom se preveri, ali postopki in ukrepi tehničnega in fizičnega varovanja ter organiziranost varovanja zagotavljajo ustrezno raven varovanja tajnih podatkov glede na vrsto, količino in oceno ogroženosti tajnih podatkov. Pri ocenjevanju ustreznosti varovanja je treba upoštevati kombinacijo postopkov in ukrepov tehničnega in fizičnega varovanja ter organiziranost varovanja, ki mora biti določena v načrtu varovanja, načrt pa mora biti izdelan pred ogledom.
(3) Zaposleni v podregistrih ali kontrolnih točkah morajo imeti veljavno dovoljenje za dostop do tajnih podatkov najmanj stopnje tajnosti, za katero je vzpostavljen podregister ali kontrolna točka.
(4) Predstojnik organa določi vodjo in namestnika podregistra ali kontrolne točke, ki skrbi za izvajanje varnostnih ukrepov v zvezi z varovanjem tajnih podatkov v podregistru ali kontrolni točki.
(5) V podregistru ali kontrolni točki Nata, ki je vzpostavljena za varovanje tajnih podatkov do vključno stopnje tajnosti STROGO TAJNO, predstojnik organa določi pooblaščeno nadzorno osebo (Cosmic Control Officer CCO). Njene naloge so določene v varnostni politiki Nata.
(oprema varnostnega in upravnega območja)
Oprema varnostnega in upravnega območja ter preostali pogoji, ki jih morajo izpolnjevati upravna in varnostna območja, so določeni v Prilogi 2, ki je sestavni del te uredbe.
(identifikacijska izkaznica)
(1) Vse osebe, ki se gibljejo v upravnem ali varnostnem območju, morajo imeti na vidnem mestu pripeto identifikacijsko izkaznico za vstop in gibanje v upravnem oziroma varnostnem območju (v nadaljnjem besedilu: identifikacijska izkaznica). Z internim aktom se lahko izjemoma določi, kdaj nekaterim osebam v upravnem oziroma varnostnem območju ni treba na vidnem mestu nositi identifikacijskih izkaznic.
(2) Podobo identifikacijskih izkaznic in njihovo tehnično izvedbo določi predstojnik organa.
(določitev varnostnega in upravnega območja)
(1) Predstojnik organa ali organizacije ali oseba, ki jo on pooblasti, določi varnostna in upravna območja s sklepom in o tem obvesti nacionalni varnostni organ.
(2) Varnostno oziroma upravno območje v organizaciji se določi na podlagi predhodno opravljenega ogleda, ki ga izvede organ, pristojen za izdajo varnostnega dovoljenja organizaciji. Z ogledom se preveri, ali postopki in ukrepi tehničnega in fizičnega varovanja ter organiziranost varovanja zagotavljajo ustrezno raven varovanja tajnih podatkov glede na vrsto, količino in oceno ogroženosti tajnih podatkov. Pri ocenjevanju ustreznosti varovanja varnostnega območja je treba upoštevati kombinacijo postopkov in ukrepov tehničnega in fizičnega varovanja ter organiziranost varovanja, ki mora biti določena v načrtu varovanja, načrt pa mora biti izdelan pred ogledom. Pri vzpostavitvi upravnega območja v organih ogled ni potreben.
(3) Organ ali organizacija mora pred določitvijo varnostnega območja pridobiti soglasje nacionalnega varnostnega organa o ustreznosti varnostnotehnične opreme, vgrajene v varnostno območje, ter postopkov in ukrepov varovanja varnostnega območja. Nacionalni varnostni organ izda mnenje na podlagi predhodnega ogleda, ki ga opravi v ta namen.
(označevanje varnostnih in upravnih območij)
(1) Oseba, ki vstopi v varnostno območje, mora biti o tem nedvoumno in jasno obveščena še pred vstopom.
(2) Obvestilo iz prejšnjega odstavka mora vsebovati dobro vidne napise: »naziv organa – VARNOSTNO OBMOČJE – II. oziroma I. stopnje«, ki so jim lahko dodana še druga obvestila, povezana z varnostnimi postopki in ukrepi, ki se izvajajo v varnostnem območju.
(3) Za označitev upravnega območja ni potrebno posebno obvestilo iz prvega odstavka tega člena, zadošča, da je območje oziroma stavba ali okoliš, v katerem je območje, označena s tablami o imenu organa ali organizacije ter obvestilom o nadzoru vstopa in gibanja, če se ta izvaja.
(4) Izjemoma, kadar to zahteva izvajanje nalog organa, lahko predstojnik organa v sklepu o določitvi varnostnega območja določi, da se varnostno območje ne označi z obvestilom iz drugega odstavka tega člena ali da se označi na način, ki javnosti ne razkriva, da je to objekt organa.
(5) Vzorec napisov iz drugega odstavka tega člena je določen v Prilogi 3, ki je sestavni del te uredbe.
(nadzor vhoda in izhoda v varnostna in upravna območja)
(1) Samostojen vstop pooblaščenih oseb v varnostno območje se nadzira z ugotavljanjem identitete vstopajoče osebe. Fizični ali videonadzor vstopa v varnostna območja je lahko dopolnjen s sistemom samodejne kontrole vstopa, ki temelji na identifikaciji z uporabo elektronskih identifikacijskih kartic in prepoznave biometričnih značilnosti vstopajoče osebe. Biometrična prepoznava je lahko dopolnjena ali nadomeščena z uporabo unikatne osebne identifikacijske številke.
(2) Nadzor vstopa zaposlenega osebja v upravna območja temelji na sistemu fizične ali samodejne kontrole vstopa.
(3) Pred vstopom drugih oseb v varnostno in upravno območje mora oseba, ki nadzira vstop v varnostno in upravno območje, preveriti njihovo identiteto in namen obiska ter izpolnjevanje drugih pogojev za vstop v varnostno območje.
(4) V načrtu varovanja varnostnega območja morajo biti predvideni ukrepi in postopki nadzora ter omejitev vstopa in gibanja v varnostnem in upravnem območju, kadar to zahteva ocena ogroženosti ali to določajo spremenjene varnostne razmere.
(1) Varnostnotehnična oprema, nameščena v upravnih in varnostnih območjih, mora biti zavarovana tako, da je ne morejo uporabljati nepooblaščene osebe.
(2) Pri vzdrževanju in servisiranju opreme, ki se uporablja za varovanje tajnih podatkov, je treba preprečiti iznos tajnih podatkov (npr. tistih, ki bi lahko ostali zapisani v iznesenih gradnikih vzdrževane opreme).
(varovanje ključnih sestavin sistema)
(1) Vse ključne sestavine sistema, s katerimi se obravnavajo tajni podatki v nešifrirani obliki (razen pri prenosu tajnih podatkov po optičnih povezavah v upravnem območju), morajo biti, glede na stopnjo tajnosti v tem sistemu varovanih tajnih podatkov, nameščene v upravno ali varnostno območje.
(2) Ne glede na prejšnji odstavek se ključne sestavine sistema lahko uporabljajo zunaj varnostnega ali upravnega območja pod pogoji, določenimi v 15. členu te uredbe.
(varovanje tajnih podatkov v sistemih)
(1) Sistem, namenjen varovanju tajnih podatkov, se ne glede na izvedbo in njegove komponente obravnava kot en elektronski nosilec podatkov. Dostop do tega nosilca je možen z različnih lokacij.
(2) Pri dostopu do tajnih podatkov mora biti uporabnik nedvoumno opozorjen o najvišji stopnji tajnosti podatkov, ki se varujejo v sistemu.
(3) Elektronski nosilec podatkov, na katerih se opravi iznos tajnih podatkov, se obravnava kot vsi preostali nosilci s tajnimi podatki. Elektronski nosilec podatkov, na katerih so tajni podatki šifrirani s kriptografsko rešitvijo, ki ima potrdilo o varnostni ustreznosti, se obravnavajo v skladu z minimalnimi varnostnimi zahtevami kriptografske rešitve.
(protiprisluškovalni pregled)
(1) Varnostna območja, v katerih se ustno ali drugače zvočno obravnavajo tajni podatki stopnje tajnosti TAJNO ali višje stopnje tajnosti, se morajo zaščititi pred pasivnimi ali aktivnimi poskusi prisluškovanja s protiprisluškovalnimi pregledi. Protiprisluškovalni pregled takih območij se opravi:
– ob določitvi varnostnega območja,
– pri spremembi zaposlenih v območju, če to zahteva ocena ogroženosti,
– po odločitvi predstojnika,
– najmanj vsakih 24 mesecev ali
– ob vzpostavitvi začasnega varnostnega območja.
(2) V organih in organizacijah iz 1. člena zakona varnostna območja iz prejšnjega odstavka protiprisluškovalno pregleda notranja organizacijska enota Policije.
(3) Ne glede na prejšnji odstavek protiprisluškovalni pregled varnostnih območij v Ministrstvu za obrambo ter organizacijah, ki zanj izvajajo naročila, izvede pristojna organizacijska enota Ministrstva za obrambo, v Slovenski obveščevalno-varnostni agenciji ter organizacijah, ki zanjo izvajajo naročilo, pa notranja organizacijska enota agencije.
(1) V zgornji levi kot omar in blagajn na zunanji strani se glede na stopnjo tajnosti podatkov, ki se hranijo v vsaki od njih, prilepi nalepka primerne velikosti z velikimi tiskanimi črkami:
– I za stopnjo tajnosti INTERNO;
– Z za stopnjo tajnosti ZAUPNO;
– T za stopnjo tajnosti TAJNO;
– ST za stopnjo tajnosti STROGO TAJNO.
(2) Če se v blagajni hranijo podatki različnih stopenj tajnosti, mora vrsta blagajne ustrezati najvišji stopnji tajnosti podatkov, ki se hranijo v njej, in mora biti s tako stopnjo tajnosti tudi označena.
(nastavitev kombinacij ključavnic za blagajne)
(1) Število oseb, seznanjenih s posameznimi kombinacijami ključavnic, mora biti čim manjše. Predstojnik organa ali organizacije oziroma oseba, ki jo ta pooblasti, to zagotovi z razporedom delovne naloge.
(2) Nastavitve kombinacij elektronskih in mehanskih ključavnic se zamenjajo:
– ob začetku uporabe in po vsakem popravilu,
– ko se zamenja oseba, ki pozna kombinacijo,
– ko pride do dejanskega ali domnevno nepooblaščenega razkritja,
– vsakih 12 mesecev ali
– po odločitvi predstojnika.
V. KOPIRANJE IN PREVAJANJE TAJNIH PODATKOV
(1) Tajni podatek stopnje tajnosti INTERNO se lahko kopira, prepisuje ali skenira (v nadaljnjem besedilu: kopiranje) v upravnem območju. Tajni podatek stopnje tajnosti ZAUPNO ali TAJNO se lahko kopira le v varnostnem območju.
(2) Tajni podatki se lahko kopirajo le na podlagi pisarniške odredbe predstojnika organa ali osebe, ki jo za to pooblasti predstojnik organa.
(3) Naprave za izdelavo kopij, ki imajo lastnosti elektronske naprave, morajo izpolnjevati pogoje, ki veljajo za naprave za varovanje tajnih podatkov v sistemih.
(4) Iz pisarniške odredbe mora biti razvidno, kdo je odobril kopiranje in kdo je prejel kopijo.
(5) Za vsako izdelano kopijo mora biti razvidno, kdo je podatke kopiral.
(6) Tajni podatek EU in Nata stopnje tajnosti ZAUPNO ali TAJNO se lahko kopira le v pristojnem registru ali podregistru ali kontrolni točki, ki je tajne podatke prejel, na podlagi pisarniške odredbe predstojnika organa ali osebe, ki jo za to pooblasti predstojnik organa.
(7) Organ, ki je določil podatek za tajnega stopnje tajnosti INTERNO, ZAUPNO ali TAJNO, mora na dokumentu vidno označiti morebitno prepoved kopiranja.
(8) Tajni podatek stopnje tajnosti STROGO TAJNO se ne sme kopirati. Dodatne izvode zapisa tega tajnega podatka sme izdelati le pooblaščena oseba organa, v katerem mu je bila določena stopnja tajnosti. Izjema je tajni podatek Nata stopnje tajnosti STROGO TAJNO, katerega kopiranje lahko odobri pooblaščena oseba v centralnem registru.
(1) Tajni podatki se lahko prevajajo le na podlagi pisarniške odredbe predstojnika organa ali osebe, ki jo za to pooblasti predstojnik organa.
(2) Pred prevodom tajnega podatka stopnje tajnosti STROGO TAJNO je treba pridobiti predhodno soglasje organa, ki je določil podatek za tajnega.
(3) Organ ali organizacija, ki zaradi opravljanja nalog dokument, ki vsebuje tajne podatke, prevede v drug jezik, mora na prevod napisati vse oznake tajnega podatka in oznako, da gre za prevod. Poleg izvirne oznake se na dokument vpiše tudi prevedena primerljiva stopnja tajnosti tajnega podatka.
(iznos tajnih podatkov iz sistema)
(1) Za vsak iznos tajnega podatka iz sistema je treba voditi ustrezni razvid, ki zagotavlja beleženje iznosa.
(2) Ne glede na prejšnji odstavek se varnostna kopija tajnih podatkov, ki je namenjena zagotavljanju neprekinjenega delovanja sistema, ne obravnava kot kopija tajnih podatkov po tej uredbi. Vsi elektronski nosilci varnostnih kopij podatkov sistema morajo biti ustrezno evidentirani in označeni z najvišjo stopnjo tajnosti podatkov, ki se varujejo v sistemu.
(3) V varnostni dokumentaciji sistema, v katerem se obravnavajo tajni podatki ZAUPNO in višje, se opredelijo vsa mesta, kjer je možen iznos tajnega podatka iz sistema. Delovanje sistema mora zagotavljati, da lahko tajne podatke iz sistema iznaša le pooblaščena oseba.
(evidentiranje tajnih podatkov v registrskem sistemu)
(1) V okviru registrskega sistema EU in Nata se vzpostavi evidenca tajnih podatkov.
(2) V evidenco iz prejšnjega odstavka se vpisujejo naslednji podatki, razen če jih tajni podatek ne vsebuje:
a) evidenčna številka;
b) datum dokumenta;
c) številka dokumenta;
d) naslov ali vrsta dokumenta (vabilo, zaprosilo, zapisnik, poročilo ipd.);
e) stopnja tajnosti;
f) številka kopije;
g) datum prejema ali odpreme dokumenta;
h) naslovnik (pri odpremi dokumenta);
i) število strani;
j) število prilog.
(3) Evidenca iz prvega odstavka tega člena se lahko nadomesti z evidenco iz 37. člena te uredbe.
(evidentiranje tajnih podatkov)
(1) V evidenco tajnih podatkov se vpisujejo naslednji podatki, razen če jih tajni podatek ne vsebuje:
a) evidenčna številka;
b) datum dokumenta;
c) številka dokumenta;
d) naslov ali vrsta dokumenta (vabilo, zaprosilo, zapisnik, poročilo ipd.);
e) stopnja tajnosti;
f) številka kopije;
g) subjekt dokumenta (pošiljatelj);
h) prejemnik dokumenta (signirni znak) ali naslovnik (pri odpremi);
i) datum prejema ali odpreme dokumenta;
j) število strani;
k) število prilog.
(2) Pri spremembi ali preklicu stopnje tajnosti mora biti iz evidence razvidno, kdaj je bila tajnim podatkom preklicana ali spremenjena stopnja tajnosti.
(3) Če niso izpolnjeni pogoji za varovanje tajnih podatkov v sistemu za evidentiranje tajnih podatkov, se dokumenti, ki so označeni s stopnjo tajnosti, ne skenirajo v sistem za evidentiranje tajnih podatkov.
(4) Evidenca iz prvega odstavka tega člena lahko nadomesti evidenco iz prejšnjega člena.
(1) Vsak organ in organizacija, ki hrani tajne podatke, označene s stopnjo tajnosti TAJNO ali STROGO TAJNO, vodi seznam vpogledov, iz katerega mora biti razvidno:
– številka dokumenta, datum, stopnja tajnosti in številka izvoda ali kopije dokumenta, ki vsebuje tajni podatek;
– ime, priimek in podpis osebe, ki se je seznanila s tajnim podatkom, ter datum in čas seznanitve.
(2) Seznam vpogledov se hrani pri vsakem nosilcu zapisa tajnega podatka, označenega s stopnjo tajnosti TAJNO ali STROGO TAJNO.
(3) Vzorec seznama vpogledov v tajni podatek je v Prilogi 4, ki je sestavni del te uredbe.
(4) Ne glede na drugi odstavek tega člena se seznam vpogledov v tajne podatke stopnje tajnosti TAJNO in STROGO TAJNO v sistemih vodi v obliki računalniškega zapisa dnevniških datotek (log datotek), iz katerih morajo biti razvidni:
– uporabniško ime;
– datum in čas seznanitve.
(5) Seznam vpogledov v sistemih se vodi v elektronskih dnevniških zapisih, katerih vsebine ni možno naknadno spreminjati.
VII. POGOJI ZA DISTRIBUCIJO TAJNIH PODATKOV
(1) Tajni podatek se lahko distribuira le osebam, ki imajo dovoljenje za dostop do tajnih podatkov in se morajo s temi podatki seznaniti zaradi opravljanja funkcije ali delovnih nalog.
(2) Če iz naslova ni možno razbrati posameznega prejemnika tajnega podatka, distribucijo tajnega podatka znotraj organa ali organizacije odredi predstojnik organa oziroma organizacije ali oseba, ki jo za to pisno pooblasti predstojnik organa ali vodja organizacijske enote za delovno področje, ki ga vodi.
(3) Nadaljnjo distribucijo tajnega podatka v organu oziroma organizaciji lahko odredi tudi naslovnik tajnega podatka.
(1) Osebe iz drugega in tretjega odstavka prejšnjega člena lahko določijo distribucijski seznam.
(2) Distribucijski seznam se lahko oblikuje za posamezne dokumente ali za dokumente, ki sodijo v skupno vsebinsko področje. Distribucijski seznam, oblikovan za posamezen dokument, se hrani v skladu z rokom hrambe tajnega podatka. Distribucijski seznam, oblikovan za dokumente, ki sodijo v skupno vsebinsko področje, se hrani trajno.
(3) Distribucijski seznam tajnih podatkov EU in Nata, s katerim se določa distribucija centralnih registrov EU in Nata, se pripravi na podlagi prejetih predlogov posameznih organov, ki imajo vzpostavljen podregister ali kontrolno točko. Distribucijski seznam centralnih registrov EU in Nata na predlog resornih ministrstev določi Vlada Republike Slovenije (v nadaljnjem besedilu: vlada).
(4) Distribucijski seznam vsebuje vsaj naslednje podatke:
– oznako organa ali organizacijske enote ali centralnega registra ali organizacije,
– vsebinsko področje ali številko dokumenta in
– prejemnika tajnih podatkov.
VIII. PRENOS TAJNIH PODATKOV
(prenos in pošiljanje tajnih podatkov)
(1) Tajni podatki se prenašajo v dveh ovojnicah. Zunanja ovojnica je iz trdnega in neprosojnega materiala. Iz oznak na zunanji ovojnici ne sme biti razvidno, da vsebuje tajni podatek. Notranja ovojnica mora imeti oznako stopnje tajnosti, številko dokumenta, podatke o naslovniku in pošiljatelju ter druge podatke, pomembne za varnost.
(2) Pri prenosu tajnih podatkov do vključno stopnje tajnosti TAJNO zunaj upravnega območja lahko zunanjo ovojnico nadomesti zaklenjen ali zapečaten kovček, škatla ali torba.
(3) Pri prenosu tajnih podatkov stopnje tajnosti STROGO TAJNO zunaj upravnega območja mora biti notranja ovojnica v zaprtem kovčku, škatli ali torbi z zapiranjem na ključ ali šifrirno kombinacijo. Prenos opravita najmanj dve osebi.
(4) Kadar se tajni podatki prenašajo znotraj varnostnega ali upravnega območja, prenos v dveh ovojnicah ni potreben, morajo pa biti zakriti tako, da se prepreči seznanitev z njihovo vsebino.
(5) Vsak organ oziroma organizacija mora določiti, kje se sprejemajo nosilci tajnih podatkov in kdo jih sprejema. Naslovnik ali oseba, pooblaščena za sprejem nosilcev tajnih podatkov, potrdi njihov prejem z vpisom v dostavno ali kurirsko knjigo oziroma na drug način potrdi prejem tajnega podatka.
(6) Osebe, ki prenašajo tajne podatke, morajo biti varnostno preverjene glede na stopnjo tajnosti tajnih podatkov, ki jih prenašajo.
(prenos tajnih podatkov na ozemlju Republike Slovenije)
(1) Tajni podatki stopnje tajnosti INTERNO se lahko prenašajo s kurirsko službo, po lastni prenosni mreži ali priporočeni pošti s povratnico. Tajni podatki stopnje tajnosti ZAUPNO ali višje stopnje tajnosti se lahko prenašajo s kurirsko službo ali po lastni prenosni mreži (organa ali naročnika). Izjemoma se lahko opravi osebni prenos tajnega podatka do vključno stopnje tajnosti TAJNO, če ima oseba dovoljenje za dostop do tajnih podatkov ustrezne stopnje tajnosti in ob upoštevanju pogojev iz 46. člena te uredbe. Tak osebni prenos odobri predstojnik organa, če kurirska služba ni na voljo ali bi uporaba te službe povzročila zamudo, ki bi imela škodljive posledice za delovanje države.
(2) Za prenos tajnih podatkov Nata stopnje tajnosti ZAUPNO ali višje stopnje tajnosti med organi in organizacijami je pristojna vojaška kurirska služba. Izjemoma se lahko opravi osebni prenos tajnega podatka do vključno stopnje tajnosti ZAUPNO pod pogoji iz prvega odstavka tega člena in ob upoštevanju pogojev iz 46. člena te uredbe. Tajni podatki stopnje tajnosti INTERNO se lahko prenašajo s kurirsko službo, po lastni prenosni mreži ali priporočeni pošti s povratnico.
(3) Za prenos tajnih podatkov EU stopnje tajnosti ZAUPNO in višjih stopenj tajnosti med organi in organizacijami je pristojna kurirska služba ministrstva, pristojnega za zunanje zadeve, ali v skladu z dogovorom kurirska služba drugega organa. Izjemoma se lahko opravi osebni prenos tajnega podatka do vključno stopnje tajnosti ZAUPNO pod pogoji iz prvega odstavka tega člena in ob upoštevanju pogojev iz 46. člena te uredbe. Tajni podatki stopnje tajnosti INTERNO se lahko prenašajo s kurirsko službo, po lastni prenosni mreži ali po priporočeni pošti s povratnico.
(mednarodni prenos tajnih podatkov)
(1) Mednarodni prenos tajnih podatkov se opravlja z vojaško ali diplomatsko kurirsko službo. Tajni podatki stopnje tajnosti INTERNO se lahko prenašajo tudi s priporočeno pošto s povratnico ali z osebnim prenosom.
(2) Poleg obveznosti, določenih v 41. členu te uredbe, mora biti pošiljka, ki vsebuje tajne podatke stopnje tajnosti TAJNO in STROGO TAJNO, zapečatena s pečatom ali na drug način ustrezno označena, da gre za uradno pošiljko.
(3) Pri mednarodnem prenosu tajnih podatkov stopnje tajnosti TAJNO in STROGO TAJNO morajo kurirji imeti kurirski certifikat, s katerim dokazujejo pooblastilo za prenos ter verodostojnost pošiljke. Kurirski certifikat kurirjem posameznih organov izdajo predstojniki teh organov. Obrazec kurirskega certifikata je objavljen na spletni strani nacionalnega varnostnega organa.
(4) Izjemoma je mogoč osebni mednarodni prenos tajnega podatka do vključno stopnje tajnosti TAJNO, in sicer s kurirskim certifikatom in pod pogoji iz prvega odstavka 42. člena ter ob upoštevanju pogojev iz 46. člena te uredbe.
(1) Kurirji ter osebe, ki v organu opravljajo naloge lastne prenosne mreže (v nadaljnjem besedilu: kurirji) in prenašajo tajne podatke stopnje tajnosti ZAUPNO ali višje stopnje tajnosti, morajo biti ustrezno usposobljeni ter seznanjeni s postopki in ukrepi pri varovanju prenosa tajnih podatkov.
(2) Organi morajo za prenos tajnih podatkov stopnje tajnosti TAJNO ali višje stopnje tajnosti zunaj varnostnih območij izdelati načrt poti in varovanja prenosa tajnih podatkov.
(3) Načrt poti in varovanja prenosov tajnih podatkov stopnje tajnosti TAJNO ali višje stopnje tajnosti mora vsebovati tudi postopke in ukrepe ob morebitnem poskusu zlorabe, prometnih in drugih nesrečah, zastojih, postankih, prenočevanju in drugih podobnih dogodkih. V načrtu morajo biti opredeljene glavne in pomožne poti.
(1) Kurirji se usposobijo po programu, ki je določen v Prilogi 5, ki je sestavni del te uredbe.
(2) Kurirji, ki prenašajo tajne podatke, najmanj enkrat letno opravijo obnovitveno usposabljanje po programu, ki obsega skrajšano obliko osnovnega usposabljanja.
(3) Usposabljanji iz prvega in drugega odstavka tega člena izvajata Ministrstvo za obrambo in Policija, za kurirje Slovenske obveščevalno-varnostne agencije pa agencija.
(4) Izvajalci usposabljanj lahko za izvedbo dela programa, ki se nanaša na izvedbo usposabljanja osnov samoobrambe in varne vožnje, sklenejo sporazum s podizvajalci, ki so pravne ali fizične osebe in so registrirane za opravljanje dejavnosti izobraževanja, izpolnjujejo pogoje glede prostorov in tehnične opremljenosti ter imajo v delovnem ali pogodbenem razmerju za vsako izmed strokovnih področij, za katero se sklepa sporazum, najmanj enega predavatelja, ki je seznanjen z vsebino in programom usposabljanja.
(1) Zaradi izvedbe določene naloge ali kadar je hitrost dostave tajnega podatka bistvenega pomena in bi prenos s kurirjem povzročil zamudo, ki bi imela škodljive posledice za delovanje države, se lahko izven upravnega ali varnostnega območja do vključno stopnje tajnosti TAJNO izjemoma opravi osebni prenos tajnega podatka.
(2) Osebni prenos lahko izvede oseba pod pogoji iz prvega odstavka 42. člena te uredbe.
(3) Pri osebnem prenosu skrb za varnost tajnega podatka prevzame oseba, ki prenaša tajne podatke.
(4) Tajni podatek se prenaša na način, da ni razvidno, da gre za prenos tajnega podatka. Pri prenosu mora biti tajni podatek pod stalnim nadzorom.
(5) Ovojnice, v kateri se prenašajo tajni podatki, v času prenosa ni dovoljeno odpirati, prav tako tajnih podatkov v času prenosa ni dovoljeno obravnavati na javnih prostorih oziroma na poti.
(1) Osebe, ki prenašajo tajne podatke stopnje tajnosti ZAUPNO ali višje stopnje tajnosti, morajo imeti pooblastilo predstojnika organa za prenos tajnih podatkov.
(2) Vsebina pooblastila za kurirski prenos je določena z obrazcem, ki je v Prilogi 6, ki je sestavni del te uredbe.
(3) Vsebina pooblastila za osebni prenos je določena z obrazcem, ki je v Prilogi 7, ki je sestavni del te uredbe.
(1) Pooblaščene uradne osebe morajo osebi, ki prenaša tajne podatke in se izkaže z veljavnim pooblastilom, na njeno zaprosilo zagotoviti pomoč v obliki in obsegu, ki omogoča varovanje tajnih podatkov pred odtujitvijo, poškodovanjem ali uničenjem.
(2) Pooblaščene uradne osebe pri postopkih, ki jih izvajajo v skladu s svojimi pooblastili, nimajo pravice do vpogleda v vsebino tajnih podatkov.
(prenos tajnih podatkov v sistemih)
(1) Prenos tajnih podatkov v sistemih zunaj upravnih in varnostnih območij je dovoljen le z uporabo kriptografskih rešitev, ki imajo potrdilo o varnostni ustreznosti.
(2) Prenos tajnih podatkov stopnje tajnosti ZAUPNO ali višjih stopenj tajnosti je znotraj upravnega in varnostnega območja dovoljen po optičnih povezavah. Morebitno odstopanje odobri nacionalni varnostni organ.
IX. UNIČENJE TAJNIH PODATKOV
(uničenje tajnih podatkov)
(1) Tajni podatki se morajo uničiti na način, s katerim se zagotovi, da postane tajni podatek nerazpoznaven in neobnovljiv.
(2) Če se za uničevanje tajnih podatkov stopnje tajnosti INTERNO in ZAUPNO v papirni obliki uporablja rezalnik papirja, se uporabi rezalnik, ki zagotavlja razrez papirja velikosti največ 10 mm2. Za uničevanje tajnih podatkov stopnje tajnosti TAJNO in STROGO TAJNO v papirni obliki se uporablja rezalnik papirja, ki zagotavlja razrez papirja velikosti največ 5 mm2.
(3) Če rezalnik papirja ne ustreza zahtevanim standardom iz prejšnjega odstavka, je treba zagotoviti nadaljnje uničenje razrezanih delcev, pri čemer se uporabijo metode, ki zagotovijo dokončno uničenje do neprepoznavnosti (npr. sežig, sulfitni postopek ali izdelava celuloze). Če se ta proces izvaja izven varnostnega oziroma upravnega območja, je treba zagotoviti, da je pri prevozu in dokončnem uničenju tajnih podatkov ves čas prisotna pooblaščena oseba.
(4) Organizacije tajne podatke, z izjemo tajnih podatkov tuje države, uničijo v skladu z določbami te uredbe. Če ne morejo zagotoviti ustreznih pogojev za uničevanje tajnih podatkov, tajne podatke vrnejo pošiljatelju.
(5) Organizacija tajni podatek tuje države, namenjen uničenju, vrne pošiljatelju, ki poskrbi za ustrezno uničenje tajnega podatka.
(6) Kopije in dodatni izvodi dokumentov, ki vsebujejo tajne podatke in niso del zadeve organa, se izločijo in uničijo takoj po opravljeni delovni nalogi, za katero so bili izdelani, oziroma najpozneje ob predaji dokumentov v tekočo zbirko.
(7) Kopije dokumentov na nosilcih, ki vsebujejo tajne podatke in so namenjene izključno prenosu tajnih podatkov, se uničijo takoj po opravljeni delovni nalogi po postopku, določenem v Prilogi 9, ki je sestavni del te uredbe.
(8) Tajni podatki se hranijo v skladu z roki, določenimi s predpisi, ki urejajo poslovanje z dokumentarnim in arhivskim gradivom. Po preteku roka hrambe se izločijo in uničijo, razen če so v skladu s predpisi, ki urejajo poslovanje z dokumentarnim in arhivskim gradivom, določeni kot arhivsko gradivo. Pri izročitvi arhivskega gradiva s tajnimi podatki pristojnemu arhivu se upoštevajo predpisi, ki urejajo področje arhivske dejavnosti.
(9) Tajni podatki se izločajo in uničujejo komisijsko. Komisijo imenuje predstojnik organa oziroma organizacije ali oseba, ki jo predstojnik organa oziroma organizacije za to pooblasti. Komisijo sestavljajo najmanj tri osebe, med katerimi mora biti oseba, odgovorna za varovanje tajnih podatkov. O uničenju tajnih podatkov komisija pripravi zapisnik. Zapisnik se hrani trajno.
(10) O uničenju tajnih podatkov stopnje tajnosti STROGO TAJNO se pisno obvesti organ, ki je določil stopnjo tajnosti.
(11) Seznam vpogledov iz 38. člena te uredbe se priloži zapisniku o uničenju tajnega podatka.
(12) Kadar je oprema sistema, v katerem so se obravnavali tajni podatki stopnje tajnosti INTERNO, namenjena drugačni ali ponovni uporabi, je treba vse elektronske nosilce podatkov obdelati s postopkom varnega brisanja ali prepisovanja ali fizično uničiti. Za opremo sistema, v katerem so se obravnavali tajni podatki stopnje tajnosti ZAUPNO ali višje, ponovna uporaba v druge namene ni možna.
(13) Uničenje tajnih podatkov v sistemih se izvaja s fizičnim uničenjem elektronskih nosilcev podatkov. Postopek fizičnega uničenja elektronskih nosilcev podatkov je določen v Prilogi 9 te uredbe.
(14) Po brisanju tajnih podatkov z elektronskega nosilca podatkov se ta do fizičnega uničenja obravnava v skladu s predpisi o varovanju tajnih podatkov, ki veljajo za stopnjo tajnosti, s katero je označen.
X. VAROVANJE TAJNIH PODATKOV V SISTEMIH
(določitev odgovornih oseb sistema)
(1) Predstojnik organa in organizacije imenuje naslednje odgovorne osebe za varovanje tajnih podatkov v sistemih:
– skrbnika sistema,
– upravljavca sistema,
– vodjo informacijske varnosti sistema in
– skrbnika kriptografskega materiala.
(2) Če sistem deluje tudi na dislociranih lokacijah organa ali v drugih organih, lahko predstojnik dislocirane enote ali drugega organa določi osebo, odgovorno za informacijsko varnost sistema na dislocirani lokaciji organa ali v drugem organu (v nadaljnjem besedilu: lokalni vodja informacijske varnosti sistema). Lokalni vodja informacijske varnosti sistema poroča vodji informacijske varnosti sistema.
(3) Predstojnik o imenovanju ali preklicu imenovanja odgovornih oseb iz prvega odstavka tega člena obvesti nacionalni varnostni organ.
(4) Če vodja informacijske varnosti sistema ni imenovan, njegove naloge opravlja predstojnik organa ali organizacije. Na dislocirani enoti sistema v tem primeru njegove naloge opravlja vodja dislocirane enote.
Skrbnik sistema:
a) izvede postopek varnostne odobritve sistema,
b) pripravi varnostno dokumentacijo,
c) odloča o spremembah in dopolnitvah sistema,
d) odloča, kdo in kako sme uporabljati sistem,
e) odloča o uvedbi, upravljanju in vzdrževanju sistema,
f) usmerja in izdaja navodila upravljavcu sistema za delovanje sistema,
g) skrbi za obvladovanje varnostnih tveganj in obvladovanje preostalih tveganj,
h) določa ukrepe za zaščito proti neželenemu elektromagnetnemu sevanju,
i) izvaja nadzor nad pravilnim delovanjem sistema in
j) spremlja vse posege v sistem.
(1) Upravljavec sistema:
a) namešča, vzdržuje, konfigurira, integrira ter zagotavlja delovanje in razpoložljivost sistema,
b) nudi pomoč uporabnikom sistema,
c) spremlja varnostne dogodke in zaznava incidente v sistemu,
d) poroča vodji informacijske varnosti sistema o zaznanih incidentih,
e) skrbniku sistema poroča o vseh posegih v sistem in
f) izvaja druge naloge operativnega upravljanja sistema.
(2) Upravljavec sistema izvaja svoje naloge v skladu z navodili skrbnika sistema.
(vodja informacijske varnosti sistema)
Vodja informacijske varnosti sistema je odgovoren za:
– načrtovanje ukrepov in postopkov varovanja tajnih podatkov v sistemih in njihov nadzor,
– obravnavo zaznanih incidentov v sistemih ter poročanje vodji informacijske varnosti organa, skrbniku sistema in nacionalnemu varnostnemu organu in
– sodelovanje pri usklajevanju poslovnih in varnostnih ciljev organa ali organizacije.
(skrbnik kriptografskega materiala)
Skrbnik kriptografskega materiala je odgovoren za upravljanje kriptografskega materiala v skladu s sklepom o varovanju kriptografskega materiala, ki ga na predlog nacionalnega varnostnega organa sprejme vlada.
(organi za razdeljevanje kriptografskega materiala)
(1) Naloge krovnega organa za razdeljevanje kriptografskega materiala za državne potrebe in povezavo z EU izvaja nacionalni varnostni organ.
(2) Za naloge krovnega organa za razdeljevanje kriptografskega materiala za zagotavljanje varovanja tajnih podatkov v sistemih, ki se uporabljajo za obrambne potrebe in povezavo teh sistemov z mednarodnimi obrambnimi in vojaškimi organizacijami v skladu z mednarodnimi pogodbami, je pristojno Ministrstvo za obrambo.
(3) Za naloge krovnega organa za razdeljevanje kriptografskega materiala za zagotavljanje varovanja tajnih podatkov v sistemih, ki se uporabljajo za obveščevalne in varnostne potrebe in povezavo teh sistemov z mednarodnimi obveščevalnimi in varnostnimi organizacijami v skladu z mednarodnimi pogodbami je pristojna Slovenska obveščevalno-varnostna agencija.
(4) Usklajevanje med krovnimi organi za razdeljevanje kriptografskega materiala izvaja nacionalni varnostni organ.
(5) Naloge krovnih organov za razdeljevanje kriptografskega materiala se določijo s sklepom o varovanju kriptografskega materiala, ki ga na predlog nacionalnega varnostnega organa sprejme vlada.
(določitev varnostnega načina delovanja sistema)
(1) Za vsak sistem je treba pisno opredeliti varnostni način delovanja.
(2) Posamezen sistem lahko deluje:
– neselektivno;
– selektivno;
– dvojno selektivno.
(3) V sistemu z neselektivnim varnostnim načinom delovanja morajo imeti vse osebe, ki dostopajo v sistem, dovoljenje za dostop do tajnih podatkov za najvišjo stopnjo tajnosti podatkov, obravnavanih v sistemu, ter neselektivni dostop do vseh v sistemu obravnavanih podatkov na podlagi enotne pravice po vedenju.
(4) V sistemu s selektivnim varnostnim načinom delovanja morajo imeti vse osebe, ki dostopajo v sistem, dovoljenje za dostop do tajnih podatkov za najvišjo stopnjo tajnosti podatkov, obravnavanih v sistemu, vendar imajo te osebe selektivni dostop do podatkov, obravnavanih v sistemu, na podlagi različnih pravic po vedenju.
(5) V sistem z dvojno selektivnim varnostnim načinom delovanja lahko selektivno dostopajo osebe, ki imajo dovoljenje za dostop do tajnih podatkov za različne stopnje tajnosti ter imajo hkrati selektivni dostop do v sistemu obravnavanih podatkov na podlagi različnih pravic po vedenju.
(6) Kadar se v sistemu obravnavajo tudi podatki brez stopnje tajnosti, do katerih lahko dostopajo osebe brez dovoljenja za dostop do tajnih podatkov, se smiselno uporablja prejšnji odstavek.
(7) Selektivni dostop v sistem in selektivni dostop do podatkov se določa s pomočjo strojne in programske opreme.
(identifikacija in overitev dostopa uporabnikov v sistem)
V sistemu je treba vzpostaviti postopke identifikacije in overitve dostopa za vse uporabnike sistema. Vsak uporabnik mora biti seznanjen s postopki dodeljevanja in uporabe sistema za identifikacijo in overitev dostopa uporabnikov v sistem. Za dostop uporabnikov v sistem se uporablja overitev z uporabniškim imenom in geslom ali drugimi overitvenimi metodami (PIN-koda, prstni odtis ipd.).
(selekcija dostopa uporabnikov do podatkov)
Uporabniku sistema se dostop omeji le na tiste tajne podatke, ki jih potrebuje za opravljanje svojih nalog ali funkcij. Skrbnik sistema vzpostavi in vzdržuje seznam uporabnikov sistema, iz katerega so za vsakega uporabnika sistema razvidni njegovi identifikacijski podatki in njegove pravice dostopa (v nadaljnjem besedilu: varnostna shema). Ob spremembi pravic posameznega uporabnika (npr.: prekinitev delovnega razmerja, premestitev in podobno) mora biti varnostna shema ustrezno popravljena in sprememba ustrezno dokumentirana.
(spremljanje in nadzor vstopa v sistem in dostopa do tajnih podatkov)
(1) Spremljanje in nadzor vstopa v sistem in tajnih podatkov v njem mora omogočiti ugotavljanje, kdo, kdaj in od kod je dostopal, čas dela v sistemu, kateri tajni podatki so bili obravnavani, in sicer tako, da je mogoče ukrepati ob sumu nepooblaščenega vstopa v sistem, nepooblaščenega dostopa do tajnih podatkov ali zlorabe tajnih podatkov v sistemu ter pozneje rekonstruirati posamezne dostope do tajnih podatkov v sistemu.
(2) Za vsak sistem se pisno določijo način nadzora in spremljanja vseh izvedbenih in kontrolnih posegov v sistem ter pooblaščeni izvajalci teh posegov. Vsi posegi v sistem morajo biti dokumentirani. Dokumentiranje zajema podatke o naročniku in vzroku posega, vrsto in rezultate posega, čas in datum ter podatke o izvajalcu posega.
(3) Uporabnik mora biti pri dostopu do tajnih podatkov v sistemu, kjer se varujejo tajni podatki, o tem nedvoumno opozorjen.
(4) Zapisi o posegih v sistem se morajo hraniti dokler se sistem uporablja za varovanje tajnih podatkov.
(5) Vsak vstop v sistem, v katerem se obravnavajo tajni podatki stopnje tajnosti ZAUPNO ali višje, mora biti zabeležen (revizijska sled). Čas hrambe revizijske sledi se določi na podlagi predpisov, ki urejajo področje ravnanja z dokumentarnim gradivom. Če ni drugače določeno, se ti podatki hranijo dve leti.
(1) Povezovanje sistemov je dovoljeno le po nadzorovanih in varovanih vstopno-izstopnih točkah, skozi katere potekajo vsi servisi in storitve.
(2) Pred povezovanjem sistemov je treba pridobiti soglasje skrbnikov posameznega sistema.
(3) Povezovanje sistemov mora biti izvedeno v skladu s postopki in merili za povezovanje sistemov, v katerih se varujejo tajni podatki, ki so določeni v Prilogi 10, ki je sestavni del te uredbe.
XI. VARNOSTNO VREDNOTENJE SISTEMOV
(varnostno vrednotenje sistema)
(1) Nacionalni varnostni organ varnostno vrednotenje sistema opravi na podlagi pregleda in ocene varnostne dokumentacije ter pregleda sistema na lokaciji organa ali organizacije, s katerim preveri izpolnjevanje ukrepov in postopkov za zagotovitev varnega delovanja sistema v skladu s to uredbo in drugimi predpisi s področja varovanja tajnih podatkov.
(2) Postopek varnostnega vrednotenja sistema se začne z vlogo organa ali organizacije za izvedbo varnostnega vrednotenja ali ponovnega varnostnega vrednotenja sistema. Vloga mora vsebovati podatke o sistemu in najvišji stopnji tajnosti tajnih podatkov, ki se varujejo v sistemu. Priloga vloge je varnostna dokumentacija, katere sestavni del so dokumenti, določeni v Prilogah 11, 12 in 13, ki so sestavni deli te uredbe.
(3) Postopek varnostnega vrednotenja sistema obsega:
– pregled in oceno varnostne dokumentacije,
– pregled sistema na lokaciji organa ali organizacije in
– izdajo varnostnega dovoljenja.
(varnostno vrednotenje sistemov tujih držav ali mednarodnih organizacij)
(1) Nacionalni varnostni organ postopke in varnostno vrednotenje sistemov tujih držav ali mednarodnih organizacij, v katerih se obravnavajo tajni podatki, opravi v skladu s prejšnjim členom.
(2) Po končanem postopku varnostnega vrednotenja sistema nacionalni varnostni organ izda izjavo o skladnosti, ki jo predloži pristojnemu organu tuje države ali mednarodne organizacije.
(dokumenti, potrebni za izvedbo varnostnega vrednotenja sistema)
(1) Pred postopkom varnostnega vrednotenja sistema in izdaje varnostnega dovoljenja organ ali organizacija izdela varnostno dokumentacijo, v kateri opiše sistem, opredeli varnostne zahteve, oceni varnostna tveganja sistema, določi varnostne ukrepe za njegovo zaščito ter določi odgovorne osebe za varno delovanje sistema.
(2) Varnostna dokumentacija obsega:
– načrt varovanja sistema,
– oceno varnostnih tveganj in
– varnostna navodila za delo v sistemu.
(3) V postopku varnostnega vrednotenja sistema je treba nacionalnemu varnostnemu organu poslati ali dati na vpogled tudi drugo dokumentacijo, ki jo potrebuje (npr. poročilo o izvedenih meritvah zaščite prostorov pred neželenim elektromagnetnim sevanjem, potrdilo o varnostni ustreznosti kriptografske rešitve, potrdila o zaščiti sestavin sistema pred neželenim elektromagnetnim sevanjem).
(4) Varnostna dokumentacija iz drugega odstavka tega člena se za sisteme, v katerih se varujejo tajni podatki stopnje tajnosti ZAUPNO ali višje, na podlagi ustrezne ocene možnih škodljivih posledic označi vsaj s stopnjo tajnosti INTERNO. Varnostna navodila za delo so lahko brez stopnje tajnosti.
(5) Ne glede na drugi odstavek tega člena se za sistem, v katerem se varujejo tajni podatki stopnje tajnosti INTERNO, ki deluje v lokalnem omrežju in ni povezan z internetom, izdela samo dokumentacija, določena v Prilogi 14, ki je sestavni del te uredbe.
(načrt varovanja sistema)
(1) Načrt varovanja sistema vsebuje opis sistema, načrt sestavin in povezav sistema, varnostne zahteve sistema, varnostna okolja, varnostne protiukrepe in varnostno upravljanje sistema.
(2) Načrt varovanja sistema se izdela v procesu načrtovanja in izgradnje sistema in se vodi ter dopolnjuje dokler se sistem uporablja za varovanje tajnih podatkov.
(ocena varnostnih tveganj)
(1) Obvladovanje varnostnih tveganj zajema prepoznavanje in oceno tveganj ter njihovih posledic, načrtovanje ukrepov in odgovornosti za varnostna tveganja ter spremljanje in poročanje o obvladovanju varnostnih tveganj.
(2) Za ocenjevanje in obvladovanje varnostnih tveganj se glede na potrebe organa ali organizacije uporabi metodologija, določena v Prilogah 11, 12 in 13 te uredbe.
(3) Preostala tveganja, ki jih ni mogoče odpraviti ali zmanjšati po izvedbi vseh varnostnih ukrepov v sistemu, mora organ ali organizacija spremljati in upravljati skozi celoten življenjski cikel sistema (grožnje in ranljivost sistema, varnostne nastavitve sistema, vpliv sprememb sistema na varnost, skladnost z varnostnimi zahtevami).
(4) Varnost oskrbovalnih verig na področju varnosti sistemov, vključno z nabavo informacijskih sistemov in njihovih komponent, mora biti skrbno načrtovana in vodena.
(5) Seznam groženj in ranljivosti sistema vodi nacionalni varnostni organ v sodelovanju z organom, pristojnim za kibernetsko varnost.
(varnostna navodila za delo v sistemu)
(1) Z varnostnimi navodili za delo v sistemu se določijo varnostno upravljanje in organiziranost varnosti sistema, načrtovanje ukrepov ob nepredvidenih dogodkih, upravljanje in spreminjanje konfiguracije ter nastavitev sistema.
(2) Varnostna navodila za delo se pripravijo za uporabnike in upravljavce sistema.
(varnostno vrednotenje sistema na lokaciji)
(1) Nacionalni varnostni organ opravi varnostno vrednotenje sistema v organu ali organizaciji, s katerim preveri izpolnjevanje vseh ukrepov in postopkov za zagotovitev varnega delovanja sistema v skladu s predloženo varnostno dokumentacijo in predpisi s področja varovanja tajnih podatkov in drugimi predpisi.
(2) V okviru varnostnega vrednotenja se opravi varnostni pregled sistema, s katerim se preveri izvajanje konkretnih fizičnih, organizacijskih in tehničnih ukrepov, navedenih v načrtu varovanja sistema.
(3) Varnostno vrednotenje se opravi ob navzočnosti vodje informacijske varnosti sistema in vodje informacijske varnosti organa ali organizacije ter drugih oseb, odgovornih za varnost sistema (skrbnik sistema, upravljavec sistema, skrbnik kriptografskega materiala itn.).
(ponovni postopek varnostnega vrednotenja sistema)
(1) Varnostna dokumentacija se vodi in dopolnjuje skozi celotni življenjski cikel sistema in jo je treba stalno dopolnjevati. V ponovnem postopku varnostnega vrednotenja sistema oziroma najmanj enkrat letno je treba pregledati ustreznost vseh ukrepov in postopkov, ki so z njo določeni.
(2) Ponovni postopek varnostnega vrednotenja sistema se izvede ob vsaki spremembi sistema, ki povzroča ali bi lahko povzročila posledice glede varnosti v sistemu obravnavanih tajnih podatkov. Upravljavec ali skrbnik sistema sporoči nacionalnemu varnostnemu organu spremembo in predloži vlogo za ponovni postopek varnostnega vrednotenja sistema.
(3) Ob ugotovitvi upravljavca, skrbnika sistema ali nacionalnega varnostnega organa, da sistem več ne izpolnjuje minimalnih fizičnih, organizacijskih in tehničnih ukrepov ter postopkov za varovanje tajnih podatkov do določene stopnje tajnosti, se izvede ponovni postopek varnostnega vrednotenja sistema.
XII. NEŽELENO ELEKTROMAGNETNO SEVANJE
(izvajanje zaščite proti neželenemu elektromagnetnemu sevanju)
(1) Vse sestavine sistemov, v okviru katerih se obravnavajo tajni podatki stopnje tajnosti ZAUPNO ali višje, morajo biti zaščitene proti neželenemu elektromagnetnemu sevanju. Skrbnik sistema hrani potrdila, s katerimi dokazuje ustreznost zaščite sestavin sistema proti neželenemu elektromagnetnemu sevanju.
(2) Ukrepi za zaščito pred neželenim elektromagnetnim sevanjem morajo zajemati izbor in način namestitve vseh sestavin sistema glede na stopnjo tajnosti podatkov v sistemu in glede na rezultate opravljenih meritev elektromagnetnega sevanja iz prostorov, kjer so ali bodo sestavine nameščene. Postopki za zaščito pred neželenim elektromagnetnim sevanjem so v Prilogi 8, ki je sestavni del te uredbe. Vlada podrobneje predpiše merila in navodila za zaščito pred neželenim elektromagnetnim sevanjem v sistemih.
(3) Ukrepe za zaščito proti neželenemu elektromagnetnemu sevanju zagotovijo skrbniki sistemov, v katerih se obravnavajo tajni podatki. Poročilo o meritvah in ugotovitvah ter ukrepih je del načrta varovanja sistema.
(4) Meritve neželenega elektromagnetnega sevanja iz prostorov izvajajo Ministrstvo za obrambo, Policija, Slovenska obveščevalno-varnostna agencija ali drugi organ, ki ga za to pooblasti nacionalni varnostni organ.
(5) Stopnjo ogroženosti prostorov z vidika izvajanja zaščite proti neželenemu elektromagnetnemu sevanju določijo organi, določeni v prejšnjem odstavku.
(razvoj, uporaba in preverjanje ustreznosti kriptografskih rešitev)
(1) Razvoj in nadgradnja kriptografskih rešitev se izvaja na podlagi pobud državnih organov.
(2) Nacionalni varnostni organ sodeluje z drugimi državnimi organi in zunanjimi izvajalci pri razvoju in nadgradnjah kriptografskih rešitev, namenjenih varovanju tajnih podatkov.
(3) Za varovanje tajnih podatkov v sistemih je dovoljeno uporabljati kriptografske rešitve, za katere je izdano potrdilo o varnostni ustreznosti. Izjemoma se lahko kriptografske rešitve, za katere je izdano potrdilo o varnostni ustreznosti, uporabljajo tudi v druge namene, vendar je predhodno treba pridobiti soglasje nacionalnega varnostnega organa.
(4) Nacionalni varnostni organ obdobno preverja varnostno ustreznost kriptografskih rešitev, in sicer kriptografske rešitve za varovanje tajnih podatkov stopnje tajnosti STROGO TAJNO in TAJNO na eno leto, kriptografske rešitve, namenjene varovanju tajnih podatkov stopnje tajnosti ZAUPNO, na tri leta in kriptografske rešitve, namenjene varovanju tajnih podatkov stopnje tajnosti INTERNO, na pet let.
(5) Varnostna ustreznost se lahko preveri tudi pred iztekom obdobij iz prejšnjega odstavka.
(klasifikacija kriptografskih algoritmov)
(1) Nacionalni varnostni organ klasificira kriptografske algoritme glede na izvor in javno dostopnost v dve skupini.
(2) Kriptografski algoritmi I. ravni so razviti pod nadzorom nacionalnega varnostnega organa, so v celoti ali deloma tajni podatki, dostop do njih pa se izvaja izključno na podlagi potrebe po vedenju. Kriptografski algoritmi I. ravni so tudi algoritmi, pridobljeni na podlagi mednarodnih sporazumov. Kriptografski algoritmi I. ravni se uporabljajo za varovanje tajnih podatkov stopnje tajnosti TAJNO ali STROGO TAJNO.
(3) Kriptografski algoritmi II. ravni so razviti pod nadzorom nacionalnega varnostnega organa ali pa so privzeti iz javno dostopnih podatkov.
(potrdilo o varnostni ustreznosti kriptografske rešitve)
(1) Potrdilo o varnostni ustreznosti kriptografske rešitve izda nacionalni varnostni organ ali drug z zakonom določen organ, če so predlagane kriptografske rešitve ustrezne. Vzorec potrdila je v Prilogi 15, ki je sestavni del te uredbe.
(2) Uporaba varnostno ustreznih kriptografskih rešitev je dovoljena samo z upoštevanjem predpisanih minimalnih varnostnih zahtev za označevanje, distribucijo in uporabo.
(začetek postopka ugotavljanja ustreznosti kriptografske rešitve)
(1) Organi, ki začnejo postopek ugotavljanja ustreznosti kriptografske rešitve za varovanje tajnih podatkov v skladu z 39.a členom zakona, podajo vlogo na predpisanem obrazcu, ki je v Prilogi 16, ki je sestavni del te uredbe. Vlogo predlagatelj na podlagi ocene možnih škodljivih posledic označi z ustrezno stopnjo tajnosti.
(2) Sestavna dela vloge iz prejšnjega odstavka sta:
– ustrezno število kosov predlagane kriptografske rešitve za namen ugotavljanja varnostne ustreznosti in
– dokumentacija o predlagani kriptografski rešitvi, ki jo predlagatelj na podlagi ocene možnih škodljivih posledic označi z ustrezno stopnjo tajnosti.
(3) Vsebina dokumentacije iz druge alineje prejšnjega odstavka je določena v Prilogi 17, ki je sestavni del te uredbe.
(4) Pri ugotavljanju ustreznosti kriptografskih rešitev v sistemih, ki obravnavajo tajne podatke stopnje tajnosti ZAUPNO ali višjih stopenj tajnosti, so obvezni del dokumentacije iz prejšnjega odstavka:
– izvorna koda kriptografske rešitve;
– opis uporabljenih strojnih in programskih komponent;
– opis razvojnega okolja in procesov;
– opis dobavne verige.
(priznavanje potrdil o varnostni ustreznosti kriptografskih rešitev tujih držav in mednarodnih organizacij)
(1) Nacionalni varnostni organ lahko prizna potrdilo o varnostni ustreznosti kriptografske rešitve drugega nacionalnega organa za komunikacijsko varnost države članice EU, Nata ali mednarodnih organizacij, katerih članica je Republika Slovenija, in izda enakovredno potrdilo o varnostni ustreznosti za uporabo teh rešitev v sistemih Republike Slovenije.
(2) Za kriptografske rešitve iz prejšnjega odstavka se lahko pridobi potrdilo o varnostni ustreznosti brez izvedbe postopka ugotavljanja ustreznosti kriptografskih rešitev, če se bodo uporabile v sistemih, ki obravnavajo tajne podatke stopnje tajnosti INTERNO.
(3) Kriptografske rešitve iz prvega odstavka tega člena, namenjene uporabi v sistemih, ki obravnavajo tajne podatke stopnje tajnosti ZAUPNO ali višje, pridobijo potrdilo o varnostni ustreznosti z izvedbo postopka ugotavljanja ustreznosti kriptografskih rešitev.
(4) V sistemih, ki obravnavajo tajne podatke stopnje tajnosti TAJNO, izključno kriptografskih rešitev iz prvega odstavka tega člena ni dovoljeno uporabljati.
(5) Ne glede na prejšnji odstavek se kriptografska rešitev iz prvega odstavka tega člena v sistemih, ki obravnavajo tajne podatke stopnje tajnosti TAJNO, izjemoma lahko uporabi, če nacionalna kriptografska rešitev ne obstaja in ima kriptografska rešitev potrdilo o varnostni ustreznosti za varovanje tajnih podatkov EU ali Nato najmanj stopnje tajnosti, enakovredne stopnji tajnosti TAJNO.
(6) V sistemih, ki obravnavajo tajne podatke stopnje tajnosti STROGO TAJNO, se smejo uporabljati samo kriptografske rešitve, v celoti razvite v Republiki Sloveniji.
(postopek ugotavljanja ustreznosti kriptografskih rešitev)
(1) Nacionalni varnostni organ v sodelovanju s predlagateljem in s proizvajalcem pripravi načrt izvedbe postopka ugotavljanja ustreznosti predlagane kriptografske rešitve za varovanje tajnih podatkov.
(2) V postopku ugotavljanja varnostne ustreznosti kriptografskih rešitev nacionalni varnostni organ preveri stopnjo varnosti arhitekture, stopnjo varnosti posameznih kriptografskih prvin in njihovo izvedbo v kriptografskih rešitvah.
(3) Pri ugotavljanju varnostne ustreznosti kriptografskih rešitev v sistemih, ki obravnavajo tajne podatke stopnje tajnosti INTERNO, nacionalni varnostni organ pregleda zahtevano dokumentacijo in opravi funkcionalni preizkus delovanja kriptografske rešitve.
(4) Pri ugotavljanju varnostne ustreznosti kriptografskih rešitev v sistemih, ki obravnavajo tajne podatke stopnje tajnosti ZAUPNO, nacionalni varnostni organ poleg postopkov iz prejšnjega odstavka izvede še funkcionalni preizkus pravilnosti izvedbe in uporabe posameznih kriptografskih prvin v tej kriptografski rešitvi.
(5) Pri ugotavljanju varnostne ustreznosti kriptografskih rešitev v sistemih, ki obravnavajo tajne podatke stopnje tajnosti TAJNO ali STROGO TAJNO, nacionalni varnostni organ poleg postopkov iz prejšnjega odstavka izvede še analizo možnosti kompromitiranja varnostno pomembnih gradnikov, ki vključuje preizkuse vdorov.
(6) Postopek ugotavljanja varnostne ustreznosti se lahko uporablja tudi za druge sestavine sistema, ki so ključne za varovanje tajnih podatkov, in nacionalni varnostni organ oceni, da je ugotavljanje varnostne ustreznosti potrebno. Organi podajo vlogo na predpisanem obrazcu, ki je v Prilogi 16 te uredbe.
(postopek ugotavljanja varnostne ustreznosti nadgradnje varnostno ustrezne kriptografske rešitve)
Postopek ugotavljanja varnostne ustreznosti nadgradnje varnostno ustrezne kriptografske rešitve se izvede na predlog organa, če pride do spremembe kriptografske rešitve z veljavnim potrdilom o varnostni ustreznosti. Organi, ki začnejo postopek ugotavljanja varnostne ustreznosti nadgradnje varnostno ustrezne kriptografske rešitve za varovanje tajnih podatkov v skladu z 39.a členom zakona, podajo vlogo na predpisanem obrazcu, ki je v Prilogi 16 te uredbe.
(programske kriptografske rešitve)
Programske kriptografske rešitve se kot samostojne rešitve lahko uporabljajo za varovanje tajnih podatkov do vključno stopnje tajnosti ZAUPNO.
(splošne varnostne zahteve kriptografskih rešitev)
(1) Proizvajalec kriptografske rešitve mora skrbeti za varnost dobavne verige tako, da se zmanjša verjetnost kompromitacije varnostno pomembnih strojnih in programskih komponent.
(2) Proizvajalec kriptografske rešitve mora skrbeti za varnost razvojnega okolja tako, da sprejme tehnološke in procesne ukrepe za preprečevanje, odkrivanje in odzivanje na incidente. O zaznanih incidentih proizvajalec nemudoma poroča nacionalnemu varnostnemu organu.
(3) Proizvajalec kriptografske rešitve mora spremljati strokovna dognanja o morebitnih ranljivostih uporabljenih algoritmov in njihovega izvajanja. To vključuje tako kriptografske kot preostale strojne in programske komponente. O morebitnih ranljivostih nemudoma poroča nacionalnemu varnostnemu organu.
(osnovne varnostne zahteve za kriptografske rešitve različnih stopenj tajnosti)
(1) Za varovanje tajnih podatkov stopnje tajnosti INTERNO in ZAUPNO se dovoli uporaba kriptografskih algoritmov II. ravni.
(2) Za varovanje tajnih podatkov stopnje tajnosti TAJNO se zahteva uporaba kriptografskih algoritmov I. ravni, razen v primeru iz petega odstavka 75. člena te uredbe. Za varovanje tajnih podatkov stopnje tajnosti STROGO TAJNO se zahteva uporaba kriptografskih algoritmov I. ravni.
(3) Vlada podrobneje določi tehnične varnostne zahteve za kriptografske rešitve, ki so varnostno ustrezne za obravnavo tajnih podatkov različnih stopenj tajnosti.
(minimalne varnostne zahteve za označevanje, distribucijo in uporabo)
(1) Za vsako kriptografsko rešitev, ki ima potrdilo o varnostni ustreznosti, se izdelajo minimalne varnostne zahteve za označevanje, distribucijo in uporabo, ki jih odobri nacionalni varnostni organ, in sicer za vsako posamezno kriptografsko rešitev posebej.
(2) Pri pripravi minimalnih varnostnih zahtev nacionalni varnostni organ sodeluje s predlagateljem postopka ugotavljanja ustreznosti kriptografske rešitve za varovanje tajnih podatkov.
(3) Pri določanju minimalnih varnostnih zahtev za označevanje, distribucijo in uporabo za posamezno kriptografsko rešitev se upoštevajo tudi varnostne zahteve, ki izhajajo iz članstva Republike Slovenije v mednarodnih organizacijah ali jih je Republika Slovenija sprejela s sklenitvijo drugih mednarodnih pogodb in sporazumov.
(drugo vrednotenje ugotavljanja varnostne ustreznosti kriptografskih rešitev)
(1) Drugo vrednotenje ugotavljanja varnostne ustreznosti kriptografske rešitve je postopek, v katerem se ugotovi varnostna ustreznost kriptografske rešitve za varovanje tajnih podatkov EU ali Nata. Podlaga za izvedbo drugega vrednotenja je potrdilo o varnostni ustreznosti kriptografskih rešitev za varovanje tajnih podatkov in pisni predlog enega od pristojnih organov (ministrstvo, pristojno za javno upravo, ministrstvo, pristojno za notranje zadeve, ministrstvo, pristojno za obrambo, ministrstvo, pristojno za zunanje zadeve, Slovenska obveščevalno-varnostna agencija). Nacionalni varnostni organ začne postopek po uradni dolžnosti, če ugotovi ali izve, da je treba glede na obstoječe dejansko stanje začeti postopek ugotavljanja ustreznosti kriptografske rešitve za varovanje tajnih podatkov EU ali Nata.
(2) Drugo vrednotenje kriptografskih rešitev za varovanje tajnih podatkov EU opravi pristojni organ EU na podlagi pisnega predloga nacionalnega varnostnega organa. Drugo vrednotenje kriptografskih rešitev, ki jih uporabljajo organi Republike Slovenije za varovanje tajnih podatkov EU vključno do stopnje tajnosti ZAUPNO, lahko opravi tudi nacionalni varnostni organ.
(3) Drugo vrednotenje kriptografskih rešitev za varovanje tajnih podatkov Nata vključno do stopnje tajnosti ZAUPNO opravi nacionalni varnostni organ. Drugo vrednotenje kriptografskih rešitev za varovanje tajnih podatkov Nata stopnje tajnosti TAJNO ali STROGO TAJNO opravi pristojni organ pri Natu na podlagi pisnega predloga nacionalnega varnostnega organa.
(4) Pisni predlog za postopek drugega vrednotenja pri pristojnih organih EU ali Nata poda nacionalni varnostni organ le za kriptografske rešitve, ki se ne uporabljajo v sistemih za varovanje nacionalnih tajnih podatkov in imajo pomembno spremenjene varnostno kritične parametre.
XIV. PREGLED TAJNIH PODATKOV
(evidenčni pregled tajnih podatkov EU in Nata)
(1) Organ najmanj enkrat letno opravi evidenčni pregled tajnih podatkov EU in Nata stopnje tajnosti TAJNO in STROGO TAJNO. Ob pregledu preveri, ali so bili dokumenti vrnjeni v hrambo v varnostno območje in ali podatki iz evidence odražajo dejansko stanje.
(2) Centralna registra EU in Nata vsako leto do 1. februarja pozoveta vse podregistre in kontrolne točke, da jima poročajo o številu prejetih in uničenih tajnih podatkov stopnje tajnosti TAJNO in STROGO TAJNO v preteklem letu.
(izpis seznama tajnih podatkov)
(1) Pred prenehanjem delovnega razmerja zaposlenega organizacijska enota, ki vodi evidenco tajnih podatkov, pripravi izpis vseh dokumentov, označenih s stopnjo tajnosti, ki so mu dodeljeni.
(2) Zaposleni pred prenehanjem delovnega razmerja preda dokumente organizacijski enoti, ki je pristojna za hrambo tajnih podatkov, oziroma dokumente preda skupaj s primopredajnim zapisnikom.
(načrt varovanja tajnih podatkov v varnostnih območjih)
(1) Vsak organ in organizacija ob upoštevanju postopkov in ukrepov, določenih s to uredbo, izdela načrt varovanja tajnih podatkov v varnostnem območju ali skupini varnostnih območij, s katerim glede na vrsto in stopnjo tajnosti podatkov ter oceno ogroženosti podrobneje predpiše fizične, organizacijske in tehnične ukrepe ter postopke za varovanje tajnih podatkov v varnostnem območju.
(2) V organih in organizacijah, v katerih se obdelujejo in hranijo le tajni podatki stopnje tajnosti ZAUPNO, zadošča, da se z načrtom varovanja opredelijo ukrepi iz tretjega odstavka 86. člena te uredbe.
(vsebina načrta varovanja)
(1) Načrt varovanja se izdela na podlagi ocene ogroženosti in je sestavljen iz splošnega in posebnega dela.
(2) Splošni del načrta varovanja vsebuje predvsem opis glavnega in pomožnih objektov (lega, vhodi, izhodi, zasilni izhodi, skica ali fotografije objekta, glavne in pomožne poti do objekta ter splošni podatki o sistemih oziroma segmentih fizičnega in tehničnega varovanja).
(3) Posebni del načrta varovanja vsebuje:
a) opis in značilnosti varnostnega območja;
b) ukrepe fizičnega varovanja (zunanje in notranje fizično varovanje, varnostne točke z opisi nalog izvajalcev);
c) ukrepe tehničnega varovanja (zunanje in notranje tehnično varovanje, nadzor nad vstopom in izstopom, alarmni sistem in postopki ob sprožitvah posameznih stopenj alarmov, dokumentiranje);
d) postopke ob nasilnem vstopu in nepredvidenem dogodku: požaru, potresu, povodnji in drugih naravnih nesrečah;
e) postopke in ukrepe ob izgubi, razkritju ali odtujitvi tajnega podatka;
f) podatke o drugih ukrepih in postopkih varovanja tajnih podatkov (opravljanje vzdrževalnih in drugih del v varnostnih območjih);
g) podatke o nosilcu načrta varovanja – osebi, ki je odgovorna za izdelavo načrta varovanja;
h) podatke o preventivnih varnostnih ukrepih za osebe, ki dostopajo do tajnih podatkov (evidence usposabljanj, postopki ob zaznavah groženj, notranji nadzor);
i) ukrepe in postopke poostrenega nadzora oziroma omejitev vstopa in gibanja v varnostnem in upravnem območju, kadar to zahteva ocena ogroženosti ali to določajo spremenjene varnostne razmere.
(4) Vsak organ ali organizacija določi odgovorno osebo za izdelavo načrta varovanja – nosilca načrta varovanja in njegovega namestnika.
(5) Organ ima lahko tudi skupni splošni del načrta varovanja za organ in organe v sestavi, na katerega se navezujejo delni načrti varovanja tajnih podatkov za konkretna varnostna območja, ki se vsebinsko vežejo na posebni del načrta varovanja.
(preverjanje ustreznosti načrta varovanja)
Načrt varovanja se stalno dopolnjuje, najmanj enkrat letno pa pregleda in preveri ustreznost ukrepov in postopkov, ki so z njim določeni.
XVI. IZGUBA IN NEPOOBLAŠČENO RAZKRITJE TAJNEGA PODATKA
(zloraba tajnega podatka)
(1) Z vsakim nepooblaščenim razkritjem tajnih podatkov, njihovim uničenjem, izgubo, odtujitvijo, poškodovanjem ali kakršnimkoli drugim dogodkom, ki kaže na zlorabo tajnih podatkov (v nadaljnjem besedilu: zloraba tajnega podatka), je treba takoj seznaniti predstojnika organa oziroma organizacije ali osebo, ki jo ta pooblasti, in zagotoviti vse ukrepe za preprečitev nadaljnje zlorabe tajnega podatka in izsleditev odtujenih tajnih podatkov.
(2) Tajni podatek, pri katerem se izgubi sledljivost, tudi če gre samo za začasno izgubo, se šteje za zlorabljenega, dokler se ne ugotovi nasprotno.
(3) Za vsako zlorabo tajnega podatka je treba uvesti notranjo preiskavo, katere preiskovalce določi predstojnik organa in niso neposredno povezani z zlorabo.
(4) V preiskavi se ugotovi zlasti, kateri tajni podatki so ali bi lahko bili zlorabljeni, ali imajo osebe, ki bi se lahko seznanile s tajnimi podatki, ustrezno dovoljenje za dostop do tajnih podatkov, ter oceni morebitna škoda za interese Republike Slovenije oziroma za delovanje organa. V preiskavi se določijo ukrepi, ki jih je treba izvesti za odpravo škodljivih posledic in preprečitev vnovične zlorabe.
(5) Če zloraba tajnega podatka kaže na sum storitve kaznivega dejanja, mora predstojnik organa ali oseba, ki jo za to predstojnik organa pooblasti, s tem seznaniti Policijo ali drug pristojni organ.
(6) Predstojnik organa, v katerem je bil zlorabljen tajni podatek, mora o zlorabi nemudoma obvestiti organ, ki je določil tajni podatek, in nacionalni varnostni organ.
(7) Odgovorna oseba organizacije iz 35. člena zakona mora o zlorabi tajnega podatka takoj obvestiti naročnika.
(8) Nacionalni varnostni organ po potrebi obvesti pristojne organe EU in Nata ter pristojni inšpektorat v Republiki Sloveniji.
(obvestilo o zlorabi tajnega podatka)
Obvestilo o zlorabi tajnega podatka iz prejšnjega člena vsebuje:
– podatke, potrebne za identifikacijo tajnega podatka (opis dokumenta ali nosilca podatkov, ki vsebuje tajni podatek, vključno s stopnjo tajnosti podatka, številko in datumom dokumenta, številko kopije, organ, ki je podatek določil za tajnega, in kratko vsebino);
– kratek opis okoliščin, v katerih so bili zlorabljeni tajni podatki, in če je znano, število oseb, ki so ali bi lahko imele dostop do tajnega podatka;
– podatek o tem, ali je bil organ, ki je podatek določil za tajnega, obveščen;
– postopke in ukrepe, ki so bili izvedeni za preprečitev nadaljnje zlorabe tajnih podatkov.
XVII. PREHODNE IN KONČNE DOLOČBE
(uskladitev obstoječih kriptografskih rešitev)
Obstoječe kriptografske rešitve, ki imajo veljavno dovoljenje za obravnavanje tajnih podatkov stopnje tajnosti TAJNO in STROGO TAJNO, se v petih letih od uveljavitve te uredbe uskladijo s 75. členom te uredbe.
(uskladitev načrtov varovanja)
Organi in organizacije načrte varovanja, izdelane v skladu z 32. členom Uredbe o varovanju tajnih podatkov (Uradni list RS, št. 74/05, 7/11, 24/11), uskladijo s to uredbo v enem letu od njene uveljavitve.
(uničenje tajnih podatkov v centralnih registrih EU in Nata)
Centralna registra EU in Nata tajne podatke, ki jih ob uveljavitvi te uredbe hranita več kot dve leti, uničita v skladu s to uredbo v enem letu od uveljavitve te uredbe.
(uskladitev evidenc tajnih podatkov)
Evidence tajnih podatkov se uskladijo s 36. in 37. členom te uredbe v enem letu od uveljavitve te uredbe.
(distribucijski seznam centralnih registrov EU in Nata)
Distribucijski seznam centralnih registrov EU in Nata iz tretjega odstavka 40. člena te uredbe določi vlada v šestih mesecih od uveljavitve te uredbe.
(prilagoditev upravnih in varnostnih območij)
Pogoji, ki jim mora ustrezati varnostno-tehnična oprema upravnih in varnostnih območij iz 22. člena te uredbe, morajo biti vzpostavljeni v dveh letih od uveljavitve te uredbe.
(izpolnjevanje pogojev za uporabo naprav za izdelavo kopij)
Naprave za izdelavo kopij, ki imajo lastnosti elektronske naprave iz 33. člena te uredbe, morajo izpolnjevati pogoje za varovanje tajnih podatkov v dveh letih od uveljavitve te uredbe.
(določitev odgovornih oseb sistema)
Predstojnik določi odgovorne osebe iz 51. člena te uredbe v šestih mesecih od uveljavitve te uredbe.
(določitev meril in navodil za zaščito pred neželenim elektromagnetnim sevanjem)
Do sprejetja meril in navodil za zaščito pred neželenim elektromagnetnim sevanjem v sistemih iz drugega odstavka 70. člena te uredbe se uporabljajo predpisi EU ali Nata.
(določitev varnostnih zahtev za kriptografske rešitve različnih stopenj tajnosti)
Vlada podrobneje določi tehnične varnostne zahteve za kriptografske rešitve, ki so varnostno ustrezne za obravnavo tajnih podatkov različnih stopenj tajnosti, iz 80. člena te uredbe v šestih mesecih od uveljavitve te uredbe.
(sprejetje sklepa o varovanju kriptografskega materiala)
Vlada sprejme sklep o varovanju kriptografskega materiala iz 55. in 56. člena te uredbe v enem letu od uveljavitve te uredbe.
Z dnem uveljavitve te uredbe prenehajo veljati Uredba o varovanju tajnih podatkov (Uradni list RS, št. 74/05, 7/11 in 24/11 – popr.), Uredba o varovanju tajnih podatkov v komunikacijsko informacijskih sistemih (Uradni list RS, št. 48/07 in 86/11) in Sklep o določitvi pogojev za varnostnotehnično opremo, ki se sme vgrajevati v varnostna območja (Uradni list RS, št. 94/06).
Ta uredba začne veljati petnajsti dan po objavi v Uradnem listu Republike Slovenije.
Št. 00701-31/2021
Ljubljana, dne 7. aprila 2022
EVA 2021-1535-0001
Vlada Republike Slovenije
