Uradni list

Številka 74
Uradni list RS, št. 74/2005 z dne 5. 8. 2005
Uradni list

Uradni list RS, št. 74/2005 z dne 5. 8. 2005

Kazalo

3282. Uredba o varovanju tajnih podatkov, stran 7873.

Na podlagi četrtega odstavka 17. člena in petega odstavka 39. člena Zakona o tajnih podatkih (Uradni list RS, št. 135/03 – prečiščeno besedilo) izdaja Vlada Republike Slovenije
U R E D B O
o varovanju tajnih podatkov
I. SPLOŠNE DOLOČBE
1. člen
(namen uredbe)
Ta uredba določa načine in oblike označevanja tajnih podatkov, fizične, organizacijske in tehnične ukrepe ter obvezne sestavine postopkov za varovanje tajnih podatkov, ki jih morajo pri vzpostavitvi sistema ukrepov in postopkov varovanja tajnih podatkov upoštevati in zagotoviti vsi organi in organizacije iz drugega in tretjega odstavka 1. člena Zakona o tajnih podatkih (Uradni list RS, št. 135/03 – prečiščeno besedilo; v nadaljnjem besedilu: zakon).
2. člen
(namen ukrepov varovanja)
(1) Namen ukrepov varovanja je, da se z vzpostavitvijo ukrepov neposrednega fizičnega varovanja tajnih podatkov, varovanih prostorov ali objektov (fizični ukrepi), ukrepov ravnanja organa pri pripravi, pošiljanju, hrambi, uničenju in označevanju tajnih podatkov (organizacijski ukrepi) ter ukrepov varovanja tajnih podatkov, varovanih prostorov ali objektov s tehničnimi sredstvi skladno s to uredbo (tehnični ukrepi), vzpostavi sistem postopkov in ukrepov varovanja tajnih podatkov, ki ustreza stopnji tajnosti in količini tajnih podatkov ter onemogoča njihovo razkritje nepooblaščenim osebam.
(2) Pri varovanju tajnih podatkov drugih držav ali mednarodnih organizacij se poleg ali namesto ukrepov, predpisanih s to uredbo, izvajajo tudi drugi varnostni ukrepi, določeni z mednarodno pogodbo ali sprejetimi mednarodnimi obveznostmi.
II. OZNAČEVANJE TAJNIH PODATKOV
3. člen
(označevanje tajnih podatkov)
(1) Vsi pisni dokumenti, vključno s knjigami in brošurami ter njihovimi reprodukcijami, morajo imeti stopnjo tajnosti označeno v glavi in nogi vseh strani dokumenta, vključno z zunanjimi stranmi prednjih platnic, če obstajajo. Vsaka stran dokumenta mora imeti v nogi poleg stopnje tajnosti navedeno tudi zaporedno številko strani glede na skupno število strani dokumenta (npr. 3/10). Naslovna stran ali platnice knjig in brošur so lahko brez oznake zaporedne številke strani. Pri številčenju se kot prva stran šteje naslovna stran ali platnica. Če je bila vsebina knjige ali brošure kot tajni podatek določena pozneje, obstoječega številčenja ni treba spreminjati.
(2) Oznaka stopnje tajnosti (v nadaljnjem besedilu: oznaka) na vseh drugih dokumentih oziroma medijih (npr. zemljevidi, fotografije, slikovni in zvočni zapisi), ki vsebujejo tajne podatke, mora biti na dokumentu ali mediju vidno natiskana, natipkana, napisana, naslikana, nalepljena ali kako drugače pritrjena s primernimi sredstvi.
(3) Če se dokument ali medij hrani v kakršnemkoli ovoju, mora ta biti označen tako, da sta razvidni tajna narava in stopnja tajnosti tajnega podatka.
(4) Z označevanjem dokumentov ali medijev se tajnega podatka ne sme uničiti, poškodovati ali povzročiti, da postane kako drugače neuporaben.
4. člen
(oznaka)
(1) Vsak dokument in medij mora biti ob določitvi stopnje tajnosti vidno označen z oznakami, predpisanimi z zakonom.
(2) Vsi dokumenti ali mediji stopnje tajnosti TAJNO in STROGO TAJNO morajo imeti poleg oznak, določenih v prejšnjem odstavku, še podatke o:
– številki izvoda dokumenta;
– skupnem številu strani dokumenta;
– številu, šifri in datumu morebitnih prilog.
(3) Vsi dokumenti, ki so označeni s stopnjo tajnosti STROGO TAJNO, se poleg oznake, predpisane v prejšnjem členu, dodatno označijo z rdečo črto debeline najmanj štiri milimetre, ki poteka diagonalno pod kotom 45 stopinj štiri centimetre od zgornjega desnega roba strani.
(4) Oznaka stopnje tajnosti se mora jasno razlikovati od drugih zapisov, pri čemer se za zapis oznake uporabi druga vrsta pisave in njene črke morajo biti večje od črk preostalih zapisov.
(5) Oznake tajnosti iz tega člena so razvidne iz vzorcev oznak VZ-I, VZ-Z, VZ-T in VZ-ST, ki so v prilogi I te uredbe in njen sestavni del.
5. člen
(hramba pisne ocene)
Pisna ocena, na podlagi katere je bila določena stopnja tajnosti podatka, se hrani kot priloga dokumenta pri organu, ki je določil stopnjo tajnosti.
6. člen
(dodatno označevanje)
(1) Tajni podatki imajo lahko poleg oznak iz 4. člena te uredbe še druge oznake, v skladu z zakonom ali drugim predpisom, s katerimi se zagotovi njihova večja varnost.
(2) Oznake iz prejšnjega odstavka se zapišejo pod oznake iz 4. člena te uredbe.
7. člen
(izjemno označevanje)
(1) V dokumentu, ki vsebuje tajne podatke, se izjemoma lahko označi vsak odstavek z različno stopnjo tajnosti, in sicer tako, da:
– se na začetku in koncu vsakega odstavka vpišejo oznake (I), (Z), (T), (ST);
– je dokument, ki vsebuje več odstavkov različnih stopenj tajnosti, označen z najvišjo stopnjo tajnosti posameznega odstavka;
– se v prostor za dodatne oznake vpiše: »Odstavki so označeni z različno stopnjo tajnosti.«
(2) Pooblaščena oseba, ki je določila stopnjo tajnosti, mora v pisni oceni zapisati tudi razloge za določitev različne stopnje tajnosti posameznih odstavkov.
8. člen
(označevanje kopij)
(1) Fizična kopija celotnega ali samo dela dokumenta, ki vsebuje tajne podatke, mora imeti oznako stopnje tajnosti izvirnika in oznako, da je kopija, in sicer tako, da se na prvi strani v višini zgornje oznake stopnje tajnosti na desno stran napišeta beseda KOPIJA in njena zaporedna številka. Tako mora biti označen tudi dodaten izpis tajnega podatka v elektronski obliki, kadar je v obliki kopije.
(2) Pri dokumentu, ki se kopira, se evidentira tudi kdo je prejel kopijo in v koliko izvodih.
(3) Fizična kopija dela dokumenta, ki vsebuje tajne podatke, mora imeti poleg oznake iz prejšnjega odstavka še oznako šifre izvirnika. Če v kopiranem delu tajnega dokumenta ni razvidna stopnja tajnosti izvirnika, se mu mora dodati.
9. člen
(označevanje sprememb stopnje tajnosti ali preklica)
(1) Kadar se tajnemu podatku spremeni stopnja tajnosti ali se tajni podatek prekliče, se na dokumentu ali mediju, ki vsebuje tajni podatek, prečrtajo prvotne oznake tajnosti, pod staro oznako ali nad njo pa se označi z novo oznako stopnje tajnosti oziroma preklic. Dokumentu ali mediju, ki vsebuje tajni podatek, se priloži dokument, ki je podlaga za spremembo stopnje tajnosti.
(2) Tajnim podatkom v dokumentih, ki so označeni še po predpisih, ki so veljali pred uveljavitvijo Zakona o tajnih podatkih, se ob njihovi ponovni uporabi določi stopnja tajnosti v skladu z zakonom in to uredbo. Dokumentu se pripne dokument, s katerim je določena nova oznaka.
(3) Pooblaščena oseba pristojnega organa, ki je tajnemu podatku spremenila stopnjo tajnosti, mora zagotoviti, da so o spremembi obveščeni vsi njegovi prejemniki.
III. OBDELAVA IN HRAMBA TAJNIH PODATKOV
10. člen
(varnostno območje)
(1) Tajni podatki stopnje INTERNO se lahko obravnavajo v upravnem območju. Tajni podatki stopnje tajnosti ZAUPNO ali višje stopnje se lahko obravnavajo in hranijo samo v določenem, vidno označenem prostoru (v nadaljnjem besedilu: varnostno območje), ki je glede na način obravnavanja tajnih podatkov uvrščen v varnostno območje I. ali II. stopnje.
(2) Varnostno območje I. stopnje je označen prostor, v katerem se lahko obravnavajo tajni podatki stopnje ZAUPNO ali višje stopnje tajnosti tako, da že sam vstop v varnostno območje pomeni dostop do teh podatkov. V varnostnem območju I. stopnje se izvajajo najmanj ti varnostni postopki in ukrepi:
– sistem vhodnega nadzora, ki zagotavlja popoln nadzor nad vstopom oziroma izstopom oseb in vozil v to območje, dovoljuje vstop samo osebam, ki imajo ustrezno dovoljenje za dostop do tajnih podatkov in so v tem območju zaposlene oziroma imajo posebno dovoljenje za vstop v to območje;
– vodenje razvida tajnih podatkov, s katerimi se oseba seznani že ob samem vstopu v varnostno območje;
– prepoved vnosa kakršnihkoli mehanskih, elektronskih in magnetno optičnih sestavnih delov, s katerimi bi bilo mogoče nepooblaščeno posneti, odnesti ali prenesti tajne podatke;
– neposredno in neprekinjeno fizično varovanje varnostnega območja, ki se lahko na podlagi ocene ogroženosti dopolni ali nadomesti z elektronskim sistemom za protivlomno varovanje varnostnega območja, katerega alarmni signal je vezan na enoto, odgovorno za ukrepanje ob alarmu (nadzorni center); intervencijski čas mora biti krajši od sedmih minut;
– ob nadomestitvi fizičnega varovanja s sistemom tehničnega varovanja mora ta sistem zagotavljati celovit nadzor varnostnega območja, ki mora biti nadzorovano iz nadzornega centra, sistem pa mora imeti zagotovljeno rezervno napajanje;
– po končanem delovnem času se pregledajo prostori.
(3) Varnostno območje II. stopnje je označen prostor, v katerem se tajni podatki stopnje ZAUPNO ali višje stopnje obravnavajo tako, da sam vstop in gibanje v tem območju še ne omogoča dostopa do teh podatkov. V varnostnem območju II. stopnje se izvajajo najmanj ti varnostni postopki in ukrepi:
– sistem vhodnega nadzora, ki vstop v to območje dovoljuje samo osebam, ki imajo dovoljenje za dostop do tajnih podatkov ustrezne stopnje tajnosti in morajo v območje vstopiti zaradi opravljanja delovnih nalog;
– taka organizacija dela, ki zagotavlja, da bodo imele osebe, ki delajo v varnostnem območju, dostop le do tistih tajnih podatkov, ki jih potrebujejo za opravljanje delovnih nalog, in sicer do tiste stopnje tajnosti, za katero imajo dovoljenje;
– sistem nadzora gibanja, ki zagotavlja, da druge osebe vstopajo v varnostno območje samo v spremstvu v varnostnem območju zaposlene osebe ali ob izvajanju druge enakovredne oblike nadzora, ki zagotavlja, da bo oseba vstopila samo v dele območja, povezane z namenom obiska, in če je to potrebno, se bo seznanila le s tistimi tajnimi podatki, ki so povezani z namenom obiska, in sicer do tiste stopnje tajnosti, za katero ima dovoljenje;
– vnos kakršnihkoli mehanskih, elektronskih in magnetno optičnih sestavnih delov, s katerimi bi bilo mogoče tajne podatke nepooblaščeno posneti, odnesti ali prenesti, je dovoljen, vendar mora biti vsa oprema izključena. Vsakokratno njeno uporabo odobri oseba, odgovorna za varnost varnostnega območja;
– po končanem delovnem času se varnostno območje varuje s sistemom fizičnega ali protivlomnega varovanja oziroma z občasnimi fizičnimi pregledi prostorov, določenimi v načrtu varovanja.
(4) Okoli varnostnega območja I. ali II. stopnje ali na poti, ki vodi v tako varnostno območje, se vzpostavi upravno območje, ki lahko obsega vse poslovne prostore organa. Za tako območje je potreben vidno določen obseg prostora, v katerem lahko organ nadzira vstopanje oziroma gibanje oseb in vozil. V upravnih območjih se lahko shranjujejo in obdelujejo samo tajni podatki stopnje INTERNO, z varnostnimi postopki in ukrepi pa morajo zagotavljati, da imajo dostop do teh podatkov samo osebe, ki so s pisno izjavo potrdile, da so seznanjene s predpisi, ki urejajo obravnavanje tajnih podatkov, in se morajo s temi podatki seznaniti zaradi opravljanja delovnih nalog.
(5) Za vstop v varnostno območje I. stopnje izda osebi posebno dovoljenje predstojnik organa ali organizacije, v kateri je varnostno območje, oziroma oseba, ki jo predstojnik organa ali organizacije za to pisno pooblasti.
(6) Vstop oseb v varnostna območja in njihov izstop ter dostop vozil morajo biti pod nadzorom. Vsi vstopi in izstopi se morajo evidentirati.
11. člen
(identifikacijska izkaznica)
(1) Vse osebe, ki se gibljejo v varnostnem območju I. ali II. stopnje, morajo imeti na vidnem mestu pripeto identifikacijsko izkaznico za vstop in gibanje v varnostnem območju I. ali II. stopnje (v nadaljnjem besedilu: identifikacijska izkaznica). Razlikovati se mora glede na status osebe (izkaznica za zaposlene, obiskovalce, tehnično osebje in podobno).
(2) S predpisom se lahko določi, kdaj nekaterim osebam v varnostnem območju I. ali II. stopnje ni treba na vidnem mestu nositi identifikacijskih izkaznic.
(3) Podobo identifikacijskih izkaznic in njihovo tehnično izvedbo določi predstojnik organa.
12. člen
(določitev varnostnega in upravnega območja)
(1) Predstojnik organa ali organizacije določi varnostna in upravna območja s sklepom.
(2) Organ ali organizacija iz drugega in tretjega odstavka 1. člena zakona si mora pred izdajo sklepa o določitvi varnostnega območja pridobiti mnenje nacionalnega varnostnega organa o ustreznosti varnostnotehnične opreme, vgrajene v varnostno območje, ter postopkov in ukrepov varovanja varnostnega območja.
13. člen
(označevanje varnostnih in upravnih območij)
(1) Oseba, ki bo vstopila v varnostno območje, mora biti o tem nedvoumno in jasno obveščena, še preden vstopi v to območje.
(2) Obvestilo iz prejšnjega odstavka mora vsebovati dobro vidne napise: »naziv organa – VARNOSTNO OBMOČJE – II. oziroma I. stopnje«, ki so jim lahko dodana še druga obvestila, povezana z varnostnimi postopki in ukrepi, ki se izvajajo v varnostnem območju.
(3) Za označitev upravnega območja ni potrebno posebno obvestilo iz prvega odstavka tega člena, ampak zadošča, da je območje oziroma stavba ali okoliš, v katerem je območje, označena s tablami o imenu organa ter obvestilo o nadzoru vstopa in gibanja, če se ta izvaja.
(4) Izjemoma, kadar to zahteva izvajanje nalog organa, lahko predstojnik organa v sklepu o določitvi varnostnega območja določi, da se varnostno območje ne označi z obvestilom iz drugega odstavka tega člena oziroma da se označi na način, ki javnosti ne razkriva, da je to objekt organa.
(5) Vzorec napisov iz drugega odstavka tega člena je razviden iz priloge II te uredbe.
14. člen
(nadzor vhoda in izhoda)
(1) Vstop stalno zaposlenega osebja v varnostna in upravna območja se nadzira z ugotavljanjem identitete vstopajoče osebe. Fizični nadzor vstopa lahko dopolnjuje sistem samodejnega prepoznavanja identifikacijskih kartic oziroma biometričnih značilnosti vstopajočih oseb.
(2) Pred vstopom drugih oseb v varnostno in upravno območje mora oseba, ki nadzira vstop v varnostno območje, preveriti njihovo identiteto in namen obiska, ter izpolnjevanje drugih pogojev za vstop v varnostno območje.
(3) Drugi osebi, ki se ji dovoli vstop v varnostno območje, se izda začasna identifikacijska kartica in zagotovi, da je njeno gibanje v varnostnem območju ustrezno nadzirano in evidentirano.
(4) Podatki iz drugega in tretjega odstavka tega člena se vpišejo v evidenco vstopov in gibanja v varnostnih območjih organa.
(5) V načrtu varovanja varnostnega območja morajo biti predvideni ukrepi in postopki poostrenega nadzora oziroma omejitev vstopa in gibanja v varnostnem in upravnem območju, kadar to narekuje ocena ogroženosti ali spremenjene varnostne razmere.
(6) V prostore, ki so posebej namenjeni za poslovanje s strankami, lahko obiskovalci in druge osebe (stranke) vstopajo in izstopajo ob navzočnosti v organu zaposlenih oseb brez preverjanja identitete in vodenja evidence vstopov.
15. člen
(varovanje opreme)
Fotokopirni stroji, telefaksi in druge naprave za obdelavo tajnih podatkov, ki so nameščeni v varnostnih območjih, morajo biti zavarovani tako, da jih lahko uporabljajo samo osebe, ki so posebej pooblaščene za ravnanje s temi napravami.
16. člen
(obravnavanje tajnih podatkov zunaj varnostnega območja)
(1) Tajni podatki se lahko obravnavajo zunaj varnostnega območja, če je prostor ali območje, v katerem se tajni podatek obravnava, fizično ali tehnično varovan, dostop do prostora pa je nadzorovan. Oseba, ki obdeluje tajni podatek zunaj varnostnega območja, mora imeti tajni podatek ves čas pod nadzorom. Po končani obdelavi tajni podatek vrne v varnostno območje.
(2) Kadar se mora tajni podatek stopnje tajnosti ZAUPNO ali višje stopnje tajnosti zaradi izvedbe točno določene naloge obravnavati zunaj prostorov določenega organa, mora odgovorna oseba izdelati načrt ukrepov in postopkov za varovanje tajnega podatka glede na njegovo stopnjo tajnosti. Ukrepi in postopki morajo biti primerljivi z ukrepi in postopki, ki so predpisani za posamezno varnostno območje.
(3) Vsak iznos ali vnos nosilca tajnega podatka stopnje tajnosti ZAUPNO in višje stopnje zunaj varnostnega območja se evidentira. Oseba, ki prevzame tajni podatek, to potrdi z lastnoročnim podpisom in s tem prevzame skrb za varnost tajnega podatka.
17. člen
(varnostnotehnična oprema)
Varnostnotehnična oprema varnostnih območij mora ustrezati pogojem, ki jih na predlog nacionalnega varnostnega organa določi Vlada Republike Slovenije.
18. člen
(protiprisluškovalni pregled)
(1) Varnostna območja I. stopnje in varnostna območja, v katerih se pogosto ustno razpravlja o tajnih podatkih stopnje TAJNO ali višje stopnje, se morajo zaščititi pred pasivnimi ali aktivnimi poskusi prisluškovanja. Protiprisluškovalni pregled teh varnostnih območij se opravi:
– ob določitvi varnostnega območja,
– vsakem posegu v območju,
– spremembi zaposlenih v območju in
– najmanj vsakih dvanajst mesecev.
(2) Protiprisluškovalna zaščita drugih varnostnih območij ali informacijskih in telekomunikacijskih sistemov in povezav, po katerih se prenašajo tajni podatki, je potrebna, če to zahteva ocena ogroženosti.
(3) Protiprisluškovalni pregled varnostnih območij iz prvega odstavka tega člena v Ministrstvu za obrambo in drugih organih in organizacijah na obrambnem področju izvedejo strokovne službe Ministrstva za obrambo, v Slovenski obveščevalno-varnostni agenciji ter organizacijah, ki zanjo izvajajo naročilo, pa strokovna služba agencije.
(4) V drugih organih in organizacijah iz 1. člena zakona varnostna območja iz prvega odstavka tega člena protiprisluškovalno pregleda strokovna služba Policije.
19. člen
(omare in blagajne)
(1) Tajni podatki stopnje tajnosti INTERNO se hranijo v pisarniških ali kovinskih omarah.
(2) Tajni podatki stopnje tajnosti ZAUPNO in TAJNO se hranijo v blagajnah, ki morajo ustrezati najmanj protivlomni stopnji II, določeni s standardi, ki v Republiki Sloveniji urejajo to področje.
(3) Tajni podatki stopnje tajnosti STROGO TAJNO se hranijo v blagajnah, ki morajo ustrezati najmanj protivlomni stopnji III, določeni s standardi, ki v Republiki Sloveniji urejajo to področje.
(4) V zgornji levi kot vrat blagajne na zunanji strani se glede na stopnjo tajnosti podatkov, ki se hranijo v njej, prilepi nalepka primerne velikosti z veliko tiskano črko oziroma črkama:
– Z za stopnjo tajnosti ZAUPNO;
– T za stopnjo tajnosti TAJNO;
– ST za stopnjo tajnosti STROGO TAJNO.
(5) Če se v varnostni omari hranijo podatki različnih stopenj tajnosti, mora vrsta blagajne ustrezati najvišji stopnji tajnosti podatkov, ki se hranijo v njej, in se s tako stopnjo tajnosti tudi označiti.
20. člen
(kombinacije in ključi)
(1) Posamezno nastavitev kombinacije elektronskih ali mehanskih ključavnic na varnostnih omarah oziroma blagajnah lahko poznajo samo osebe, ki jih določi predstojnik organa. Predstojnik organa mora delovne naloge v organu razporediti tako, da je število oseb, ki so seznanjene s posameznimi kombinacijami, čim manjše.
(2) Nastavitve kombinacij elektronskih in mehanskih ključavnic se zamenjajo:
– po namestitvi,
– vsakih šest mesecev,
– potem, ko oseba iz prejšnjega odstavka preneha opravljati naloge v organu, zaradi katerih je bila z nastavitvijo kombinacije seznanjena, in
– kadar tako odloči predstojnik organa.
(3) Ključi varnostnega območja oziroma ključi prostorov iz varnostnega območja se hranijo v posebnem prostoru zunaj tega območja, tako da je nepooblaščenim osebam onemogočen dostop.
IV. PRENOS TAJNIH PODATKOV
21. člen
(prenos in pošiljanje tajnih podatkov)
(1) Tajni podatki se prenašajo v zaprti, neprosojni ovojnici.
(2) Tajni podatki stopnje tajnosti INTERNO se lahko prenašajo po lastni prenosni mreži ali priporočeni pošti s povratnico, tajni podatki stopnje tajnosti ZAUPNO ali višje stopnje tajnosti pa po lastni prenosni mreži ali s kurirsko službo (v nadaljnjem besedilu: kurirska služba).
(3) Tajni podatki stopnje tajnosti ZAUPNO in višje stopnje se prenašajo v dveh ovojnicah. Zunanja ovojnica je iz trdnega, neprosojnega in neprepustnega materiala. Na njej morajo biti podatki o naslovniku, pošiljatelju in šifra dokumenta. Iz oznak na zunanji ovojnici ne sme biti razvidno, da vsebuje tajni podatek. Notranja ovojnica mora imeti oznako stopnje tajnosti, šifro dokumenta, podatke o naslovniku in pošiljatelju ter druge podatke, pomembne za varnost.
(4) Pri prenosu tajnih podatkov stopnje tajnosti ZAUPNO in TAJNO zunaj varnostnega območja lahko zunanjo ovojnico nadomesti zaklenjen ali zapečaten kovček, škatla ali torba.
(5) Pri prenosu tajnih podatkov stopnje tajnosti STROGO TAJNO zunaj varnostnega območja mora biti notranja ovojnica v zaprtem kovčku, škatli ali torbi z zapiranjem na ključ ali šifrirno kombinacijo. Prenos opravita najmanj dve osebi.
(6) Kadar se tajni podatki iz četrtega in petega odstavka tega člena prenašajo znotraj varnostnega ali upravnega območja, morajo biti zakriti tako, da se prepreči opazovanje njihove vsebine.
(7) Vsak organ mora določiti, kje se sprejemajo nosilci tajnih podatkov in kdo jih sprejema. Naslovnik ali oseba, ki je pooblaščena za sprejem nosilcev tajnih podatkov, potrdi njihov prejem z vpisom v dostavno oziroma kurirsko knjigo.
(8) Kurirji in druge osebe, ki prenašajo tajne podatke (v nadaljnjem besedilu: kurirji), morajo biti varnostno preverjeni glede na stopnjo tajnosti tajnih podatkov, ki jih prenašajo.
22. člen
(kurirska služba)
(1) Organi morajo za prenose tajnih podatkov stopnje tajnosti TAJNO ali višje stopnje zunaj varnostnih območij izdelati načrt poti in varovanja prenosa tajnih podatkov.
(2) Načrti varovanja prenosov tajnih podatkov stopnje tajnosti TAJNO ali višje stopnje mora vsebovati tudi postopke in ukrepe ob morebitnem poskusu odtujitve, poškodbe ali uničenja, prometnih in drugih nesrečah, zastojih, postankih, prenočevanju in drugih podobnih dogodkih. V načrtu morajo biti opredeljene glavne in pomožne poti.
(3) Kurirji, ki prenašajo tajne podatke stopnje tajnosti TAJNO ali višje stopnje, morajo biti ustrezno usposobljeni ter seznanjeni s postopki in ukrepi pri varovanju prenosa tajnih podatkov.
(4) Kurirji, ki prenašajo tajne podatke, se usposabljajo najmanj enkrat letno. Njihovo usposabljanje usklajuje nacionalni varnostni organ, izvajata pa ga Ministrstvo za obrambo in Policija, razen usposabljanja uradnih oseb Slovenske obveščevalno-varnostne agencije, ki prenašajo pošto, povezano z delom agencije, za katerih usposabljanje skrbi ta agencija.
23. člen
(pooblastilo za prenos)
Kurirji, ki prenašajo tajne podatke stopnje ZAUPNO ali višje stopnje, morajo imeti pisno pooblastilo predstojnika organa za prenos tajnih podatkov in ga morajo pokazati na zahtevo osebe, ki pošto predaja ali prevzema. Vsebina in oblika pooblastila sta določeni z obrazcem OBR-KU, ki je v prilogi III te uredbe in je njen sestavni del.
24. člen
(pomoč drugih organov)
(1) Policisti morajo kurirju, ki prenaša tajne podatke in se izkaže z veljavnim pooblastilom, na njegovo zaprosilo zagotoviti pomoč v obliki in obsegu, ki omogoča varovanje tajnih podatkov pred odtujitvijo, poškodovanjem ali uničenjem.
(2) Pooblaščene osebe iz prejšnjega odstavka nimajo pravice do vpogleda v vsebino tajnih podatkov.
(3) Cariniki pri postopkih, ki jih izvajajo v skladu s svojimi pooblastili, nimajo pravice vpogleda v vsebino tajnih podatkov, ko se oseba (kurir) izkaže z veljavnim pooblastilom.
V. RAZMNOŽEVANJE TAJNIH PODATKOV
25. člen
(prepoved razmnoževanja, kopiranja ali prepisovanja tajnih podatkov)
Tajni podatek stopnje tajnosti STROGO TAJNO se ne sme razmnoževati, kopirati ali prepisovati (v nadaljnjem besedilu: kopiranje). Dodatne izvode zapisa tega tajnega podatka sme izdelati le pooblaščena oseba organa, v katerem mu je bila določena stopnja tajnosti.
26. člen
(kopiranje)
(1) Tajni podatek stopnje tajnosti INTERNO, ZAUPNO ali TAJNO se lahko kopira le na podlagi pisarniške odredbe predstojnika organa ali osebe, ki jo za to pooblasti predstojnik organa.
(2) Kopija se izdela v ustreznem varnostnem območju na podlagi pisarniške odredbe.
(3) Iz kopije tajnega podatka mora biti razvidno, iz katerega zapisa ali dela zapisa izhaja kopija (šifra in datum dokumenta ter številka strani).
(4) Organ, ki je določil podatek za tajnega stopnje INTERNO, ZAUPNO ali TAJNO, mora na dokumentu vidno označiti morebitno prepoved kopiranja.
27. člen
(prevajanje)
(1) Organ ali organizacija, ki zaradi opravljanja nalog dokument, ki vsebuje tajne podatke, prevede v drug jezik, mora na prevod napisati vse oznake tajnosti in evidenčne številke izvirnega dokumenta.
(2) Prevod dokumenta iz prejšnjega odstavka je priloga izvirnika.
VI. EVIDENTIRANJE
28. člen
(uporaba predpisov o poslovanju z dokumentarnim gradivom)
(1) Za evidentiranje dokumentov, ki vsebujejo tajne podatke, se uporabljajo določbe te uredbe in predpisov, ki urejajo poslovanje organov javne uprave z dokumentarnim gradivom, ter drugih predpisov, ki urejajo poslovanje z dokumentarnim gradivom.
(2) Pri evidentiranju dokumentov, ki vsebujejo tajne podatke, je treba zagotoviti, da se iz posameznih vpisov, ki jih vsebuje evidenca, ne da razbrati vsebine tajnega podatka.
(3) Kadar se za evidentiranje ali hrambo dokumentov, ki vsebujejo tajne podatke, uporablja informacijska tehnologija, je pogoj ločene hrambe tovrstnega dokumentarnega gradiva izpolnjen, če se uporablja rešitev, ki je fizično ločena od drugih informacijskih rešitev, ali rešitev, ki temelji na tehnologiji navideznega zasebnega omrežja in uporablja kriptozaščitne postopke in ukrepe, ustrezne stopnji tajnosti obdelovanih tajnih podatkov, ter izpolnjuje druge pogoje, določene v predpisu iz 39. člena te uredbe. Pri uporabi tehnologije navideznega zasebnega omrežja mora biti dostop do tega dela informacijskega sistema dovoljen samo osebam, ki:
– imajo dovoljenje ustrezne stopnje tajnosti;
– dokumente potrebujejo zaradi opravljanja delovnih nalog in
– so se uspešno identificirale z digitalnim potrdilom ter dokazale njegovo izvirnost.
29. člen
(seznam vpogledov)
(1) Vsak organ, ki hrani tajne podatke, označene s stopnjo tajnosti TAJNO ali STROGO TAJNO, vodi tudi seznam vpogledov, ki vsebuje:
– šifro, datum, stopnjo tajnosti in številko izvoda dokumenta s tajnim podatkom;
– ime in priimek osebe, ki se je seznanila s tajnim podatkom;
– datum in čas seznanitve;
– način seznanitve;
– podpis osebe, ki se je seznanila s tajnim podatkom.
(2) Seznam vpogledov v tajni podatek se hrani pri vsakem nosilcu zapisa tajnega podatka, označenega s stopnjo TAJNO ali STROGO TAJNO.
VII. UNIČENJE TAJNIH PODATKOV
30. člen
(uničenje tajnih podatkov)
(1) Poleg ukrepov, določenih v predpisih, ki urejajo poslovanje organov javne uprave z dokumentarnim gradivom, je treba pri uničenju tajnih podatkov zagotoviti, da:
– predstojnik organa ali oseba, ki jo predstojnik organa za to pooblasti, imenuje najmanj tričlansko komisijo za uničenje tajnih podatkov, v katero mora biti vključena oseba, ki je v organu odgovorna za varovanje tajnih podatkov;
– vsak organ po opravljenem letnem pregledu prejetih tajnih podatkov izloči in po potrebi uniči vse tajne podatke, ki jih je dobil informativno;
– se v zapisnik o uničenju tajnih podatkov vpišejo šifra, datum in stopnja tajnosti uničenega podatka, ki je bil na nosilcu;
– se o uničenju tajnih podatkov stopnje tajnosti STROGO TAJNO pisno obvesti organ, ki je določil stopnjo tajnosti;
– se za druge tajne podatke, ki so del tekoče ali stalne zbirke dokumentarnega gradiva, uporabljajo predpisi, ki urejajo poslovanje organov javne uprave z dokumentarnim gradivom.
(2) Seznam vpogledov iz prejšnjega člena se priloži zapisniku o uničenju tajnega podatka.
(3) Tajni podatki se morajo uničiti na način, s katerim se zagotovi, da postane tajni podatek nerazpoznaven in neobnovljiv.
VIII. ARHIVIRANJE
31. člen
(uporaba predpisov o arhiviranju)
Dokumenti, ki vsebujejo tajne podatke, se arhivirajo skladno s predpisi, ki urejajo arhivsko dejavnost.
IX. NAČRTI VAROVANJA
32. člen
(načrt varovanja)
(1) Vsak organ ob upoštevanju postopkov in ukrepov, določenih s to uredbo, izdela načrt varovanja tajnih podatkov, s katerim glede na stopnjo tajnosti podatkov in oceno ogroženosti podrobneje predpiše fizične, organizacijske in tehnične ukrepe ter postopke za varovanje tajnih podatkov v I. ali II. varnostnem območju.
(2) V organih, v katerih se obdelujejo in hranijo le tajni podatki stopnje tajnosti ZAUPNO, zadošča, da se z načrtom varovanja opredelijo ukrepi iz tretjega odstavka 33. člena te uredbe.
33. člen
(vsebina načrta varovanja)
(1) Načrt varovanja je sestavljen iz splošnega in posebnega dela.
(2) Splošni del načrta varovanja vsebuje zlasti:
– oceno ogroženosti;
– opis glavnega in pomožnih objektov (lega, vhodi, izhodi, zasilni izhodi, skica oziroma fotografije objekta, glavne in pomožne poti do objekta ter podatki o varnostnotehnični opremi);
– podatke o nosilcu varnostnega načrta;
– zaščitne ukrepe za osebe, ki imajo dostop do tajnih podatkov.
(3) Posebni del načrta varovanja vsebuje zlasti:
– ukrepe fizičnega varovanja (zunanje in notranje fizično varovanje, varnostne točke z opisi nalog izvajalcev);
– ukrepe tehničnega varovanja (zunanje in notranje tehnično varovanje, nadzor nad vstopom in izstopom, alarmni sistem in postopki ob sprožitvah posameznih stopenj alarmov, dokumentiranje);
– postopke ob nasilnem vstopu in nepredvidenem dogodku: požaru, potresu, povodnji in drugih naravnih nesrečah;
– postopke in ukrepe ob izgubi, razkritju ali odtujitvi tajnega podatka;
– ukrepe in postopke pri opravljanju vzdrževalnih in drugih del v varnostnih območjih.
(4) Vsak organ mora določiti odgovorno osebo za izdelavo načrta varovanja.
(5) Organ ima lahko tudi skupni načrt varovanja za organ in organe v sestavi.
34. člen
(preverjanje ustreznosti načrta varovanja)
Načrt varovanja je treba stalno dopolnjevati, najmanj enkrat letno pa pregledati in preveriti ustreznost ukrepov in postopkov, ki so z njim določeni.
X. POSTOPEK OB ZLORABI TAJNEGA PODATKA
35. člen
(zloraba tajnega podatka)
(1) Z vsakim nepooblaščenim dostopom do tajnih podatkov, njihovim uničenjem, odtujitvijo ali kakršnimkoli drugim dogodkom, ki kaže na zlorabo tajnih podatkov (v nadaljnjem besedilu: zloraba tajnega podatka), je treba takoj seznaniti predstojnika organa oziroma osebo, ki jo pooblasti, in zagotoviti vse ukrepe za preprečitev nadaljnje zlorabe tajnega podatka in izsleditev odtujenih tajnih podatkov.
(2) Če zloraba tajnega podatka kaže na sum storitve kaznivega dejanja, mora predstojnik organa s tem seznaniti policijo ali drug pristojni organ.
(3) Predstojnik organa, v katerem je bil zlorabljen tajni podatek, mora o tem obvestiti organ, ki je določil tajni podatek.
(4) Odgovorna oseba organizacije iz 35. člena zakona mora o zlorabi tajnega podatka takoj obvestiti naročnika.
(5) Če je tajnost podatka določil drug organ ali organizacija iz drugega ali tretjega odstavka 1. člena zakona, ga je o zlorabi tajnega podatka in sprejetih ukrepih treba nemudoma obvestiti.
(6) O vsaki zlorabi tajnega podatka je treba obvestiti nacionalni varnostni organ.
(7) Vsak organ mora ob zlorabi tajnega podatka predpisati podrobne postopke in ukrepe.
36. člen
(obvestilo o zlorabi tajnega podatka)
Obvestilo o zlorabi tajnega podatka mora vsebovati:
– podatke, potrebne za identifikacijo tajnega podatka (opis medija, ki vsebuje tajni podatek, vključno s stopnjo tajnosti podatka, šifro in datumom dokumenta, številko kopije, lastnikom in kratko vsebino),
– kratek opis okoliščin, v katerih so bili zlorabljeni tajni podatki, in če je znano, število oseb, ki so ali bi lahko imele dostop do tajnega podatka,
– ali je bil lastnik podatkov obveščen,
– postopke in ukrepe, ki so bili izvedeni, da se prepreči nadaljnja zloraba tajnih podatkov.
XI. PREHODNE IN KONČNE DOLOČBE
37. člen
(določitev varnostnotehnične opreme)
(1) Nacionalni varnostni organ mora v treh mesecih od uveljavitve te uredbe predložiti vladi v sprejetje seznam varnostnotehnične opreme iz 17. člena te uredbe.
(2) Organi in organizacije morajo varnostnotehnično opremo uskladiti s standardi in pogoji iz prejšnjega odstavka v treh letih po njihovem sprejetju.
38. člen
(uskladitev načrtov varovanja)
Organi morajo načrte varovanja, ki so bili izdelani v skladu z Uredbo o načinih in oblikah označevanja tajnih podatkov ter fizičnih, organizacijskih in tehničnih ukrepih ter postopkih za varovanje tajnih podatkov (Uradni list RS, št. 70/02), uskladiti s to uredbo najpozneje v šestih mesecih po njeni uveljavitvi.
39. člen
(varovanje tajnih podatkov v komunikacijsko-informacijskih sistemih)
(1) Fizične, organizacijske in tehnične ukrepe ter postopke varovanja tajnih podatkov, ki se obdelujejo, prenašajo ali hranijo v komunikacijskih, informacijskih in drugih elektronskih sistemih, ureja poseben predpis.
(2) Do uveljavitve predpisa iz prejšnjega odstavka se za označevanje, obdelavo, prenos in hrambo tajnih podatkov v komunikacijskih, informacijskih in drugih elektronskih sistemih uporabljajo uveljavljeni načini posameznih organov in organizacij ob upoštevanju določb 17. člena te uredbe in četrtega odstavka 39. člena zakona.
40. člen
(razveljavitvena določba)
Z dnem uveljavitve te uredbe preneha veljati Uredba o načinih in oblikah označevanja tajnih podatkov ter fizičnih, organizacijskih in tehničnih ukrepih ter postopkih za varovanje tajnih podatkov (Uradni list RS, št. 70/02).
41. člen
(uveljavitev uredbe)
Ta uredba začne veljati petnajsti dan po objavi v Uradnem listu Republike Slovenije.
Št. 00701-0014/2005/21
Ljubljana, dne 21. julija 2005.
EVA 2004-1535-0001
Vlada Republike Slovenije
Janez Janša l. r.
Predsednik