Vyhláška Národního bezpečnostního úřadu o zajištění kryptografické ochrany utajovaných skutečností, provádění certifikace kryptografických prostředků a náležitostech certifikátu

§ 1

Předmět úpravy

Tato vyhláška stanoví způsoby použití, nasazování a evidence kryptografických materiálů pro ochranu utajovaných skutečností, zjišťování odborné způsobilosti pracovníků kryptografické ochrany utajovaných skutečností, postupy a způsoby provádění certifikace kryptografických prostředků a náležitosti certifikátů.

§ 2

Pro účely této vyhlášky se rozumí

• a) kryptografickým materiálem kryptografické prostředky, klíčové materiály a provozní, servisní, výuková a technická dokumentace kryptografických prostředků,

• b) kryptografickým prostředkem technický prostředek, softwarový produkt nebo výrobní zařízení používané ke kryptografické ochraně utajovaných skutečností a k výrobě a testování klíčového materiálu,

• c) klíčovým materiálem kryptografické klíče a klíčová dokumentace kryptografického prostředku,

• d) kryptografickým klíčem specifické utajované kryptografické údaje uložené zejména na vhodném nosiči a vkládané do kryptografického prostředku k zajištění stanovené kryptografické funkce,

• e) klíčovou dokumentací kryptografického prostředku dokumentace stanovující podmínky, pravidla a způsob používání kryptografických klíčů,

• f) provozní dokumentací dokumentace určující podmínky, pravidla a způsob provozování kryptografického prostředku,

• g) bezpečnostním standardem postupy, pokyny, technická řešení a kritéria hodnocení při provádění ochrany utajovaných skutečností nebo certifikaci kryptografických prostředků,

• h) certifikovaným kryptografickým prostředkem kryptografický prostředek, ke kterému Úřad vydal certifikát,

• i) kompromitací případ neoprávněného nebo nedovoleného nakládání s kryptografickými materiály, které svými následky způsobilo nebo by mohlo způsobit porušení ochrany utajovaných skutečností.

§ 3

Použití a nasazování kryptografických prostředků

(1) Nasazování a provozování kryptografického prostředku se provádí podle pokynů uvedených v provozní a klíčové dokumentaci schválené Úřadem.

(2) Instalaci kryptografického prostředku, nastavení kryptografických klíčů, zajišťování servisu kryptografického prostředku a evidenci kryptografického materiálu provádí pracovník kryptografické ochrany.

(3) Pracovník kryptografické ochrany utajovaných skutečností je osobou určenou minimálně pro ten stupeň utajení, který odpovídá stupni utajení skutečností, s nimiž se má seznamovat, je k této činnosti pověřen statutárním orgánem zaměstnavatele nebo Úřadem a je odborně způsobilý k manipulaci, distribuci a evidenci kryptografického materiálu. Za pracovníka kryptografické ochrany se rovněž považuje osoba vykonávající řídící a kontrolní činnost při zabezpečování kryptografické ochrany utajovaných skutečností.

(4) Provozní obsluhu kryptografického prostředku vykonává osoba, která byla seznámena pracovníkem kryptografické ochrany s používáním kryptografického prostředku a je pro tuto činnost osobou určenou.

(5) Rozsah oprávnění a povinností pracovníka kryptografické ochrany utajovaných skutečností a provozní obsluhy při zajišťování provozu kryptografického prostředku je stanoven v provozní dokumentaci kryptografického prostředku.

(6) Při výskytu kompromitace nebo podezření na kompromitaci statutární orgán organizace,^1) kde k výskytu kompromitace nebo k podezření na kompromitaci došlo, toto oznámí neprodleně písemně Úřadu a zajistí, aby

• a) nemohlo dojít k dalšímu používání kompromitovaných kryptografických materiálů,

• b) u každého jednotlivého případu kompromitace se postupovalo v souladu s pokyny uvedenými v provozní dokumentaci nebo vydanými Úřadem,

• c) bylo umožněno pracovníkům Úřadu účastnit se šetření,

• d) bylo provedeno šetření za účelem zjištění příčiny a způsobu kompromitace a přijata nezbytná nápravná opatření,

• e) o výsledku šetření a přijatých opatřeních byl neprodleně písemně informován Úřad.

§ 4

Odborná způsobilost pracovníků kryptografické ochrany

(1) Odbornou způsobilost pracovníků kryptografické ochrany utajovaných skutečností zjišťuje a potvrzuje vydáním osvědčení odborné způsobilosti Úřad.

(2) Zjišťováním a potvrzováním odborné způsobilosti pracovníků kryptografické ochrany podle odstavce 1 může Úřad, na základě smlouvy uzavřené na dobu určitou, pověřit organizaci. Úřad může pověřit pouze organizaci, která prokáže příslušnou technickou vybavenost, organizační připravenost a odbornou způsobilost k vykonávání této činnosti (dále jen „školicí pracoviště“). Seznam školicích pracovišť je zveřejňován ve věstníku Úřadu. Toto pověření je nepřevoditelné. Úřad provádí průběžnou kontrolu dodržování podmínek smlouvy o pověření.

(3) Podmínkou uzavření smlouvy o pověření k zjišťování a potvrzování odborné způsobilosti pracovníků kryptografické ochrany je splnění zejména těchto kritérií:

• a) zajištění objektové, technické a administrativní bezpečnosti školicího pracoviště v souladu s požadavky na ochranu utajovaných skutečností,

• b) technické vybavení školicího pracoviště v rozsahu potřebném pro zabezpečované činnosti,

• c) provádění výuky osobami, které jsou osobami určenými a byly schváleny Úřadem,

• d) zpracování výukové dokumentace na všechny typy a druhy zabezpečovaných školení a její schválení Úřadem.

(4) Osvědčení o odborné způsobilosti pracovníků kryptografické ochrany, jehož vzor je uveden v příloze č. 1, vydává ten, kdo školení provádí, tedy Úřad nebo školicí pracoviště. Osvědčení obsahuje

• a) jméno, příjmení a rodné číslo držitele osvědčení,

• b) evidenční číslo osvědčení přidělené vydávajícím subjektem,

• c) identifikaci subjektu, který osvědčení o odborné způsobilosti pracovníků kryptografické ochrany vydal,

• d) rozsah vykonávaných kryptografických činností, pro které se osvědčení vydává, (rozsah oprávnění),

• e) dobu platnosti vydaného osvědčení, a

• f) místo a datum vydání, razítko, jméno a podpis oprávněného zástupce Úřadu nebo školicího pracoviště.

(5) Doba platnosti osvědčení o odborné způsobilosti pracovníka kryptografické ochrany je pro stupeň utajení „Vyhrazené“ 6 let a pro stupně utajení „Důvěrné“, „Tajné“ nebo „Přísně tajné“ 5 let.

(6) Platnost osvědčení o odborné způsobilosti pracovníka kryptografické ochrany vydaného podle odstavce 5 zaniká

• a) uplynutím doby, na kterou bylo vydáno, nebo

• b) skončila-li platnost osvědčení.^2)

(7) Statutární orgán organizace, ve které je zřízeno pracoviště zabývající se kryptografickou ochranou, vede evidenci pracovníků kryptografické ochrany.

Postup a způsob certifikace kryptografických prostředků

§ 5

(1) Ověřování a schvalování způsobilosti kryptografických prostředků k ochraně utajovaných skutečností (dále jen „certifikace“) a vydávání certifikátu kryptografického prostředku provádí Úřad.

(2) Ověřováním způsobilosti kryptografických prostředků může Úřad, na základě smlouvy uzavřené na dobu určitou, pověřit organizaci (dále jen „pověřená organizace“). Seznam pověřených organizací zveřejňuje Úřad ve věstníku. Toto pověření je nepřevoditelné.

(3) Podmínkou pověření organizace je uzavření smlouvy o pověření k ověřování způsobilosti kryptografických prostředků k ochraně utajovaných skutečností. Smlouvu může Úřad uzavřít pouze s organizací, která splňuje zejména tyto požadavky:

• a) organizaci bylo vydáno potvrzení podle § 62 odst. 1 zákona,

• b) technické vybavení, organizační a personální obsazení bude v rozsahu potřebném pro zabezpečované činnosti,

• c) činnost organizace souvisí s posuzováním kryptografických prostředků,

• d) ověřování způsobilosti kryptografických prostředků bude prováděno osobami, které jsou osobami určenými a byly schváleny Úřadem, a

• e) Úřad schválil postupy pro provádění všech druhů zabezpečované činnosti předložené organizací.

(4) Úřad provádí průběžnou kontrolu dodržování podmínek pro uzavření smlouvy o pověření k ověřování způsobilosti kryptografických prostředků k ochraně utajovaných skutečností.

§ 6

(1) O provedení certifikace je oprávněn požádat výrobce kryptografického prostředku nebo orgán státu^3) nebo organizace, který je k tomu výrobcem písemně zmocněn, (dále jen „žadatel“).

(2) Žádost o provedení certifikace (dále jen „žádost“) obsahuje

• a) obchodní firmu, název, nebo jméno a příjmení žadatele,

• b) sídlo a identifikační číslo žadatele, pokud bylo přiděleno,

• c) obchodní název a úplné typové označení kryptografického prostředku,

• d) účel užití kryptografického prostředku a stupeň utajení, pro který má být kryptografický prostředek používán,

• e) obchodní firmu nebo jméno a příjmení a sídlo výrobce,

• f) způsob zajištění a distribuce kryptografických materiálů, a

• g) způsob zajištění záručního a pozáručního servisu kryptografického prostředku.

(3) K žádosti se přikládá

• a) písemné zmocnění výrobce k podání žádosti o provedení certifikace, není-li žadatel výrobcem kryptografického prostředku,

• b) kopie potvrzení vydaného Úřadem žadateli podle § 62 odst. 1 zákona,

• c) kopie osvědčení a certifikátů nebo obdobných dokumentů vydaných zahraničními akreditovanými certifikačními pracovišti pro kryptografický prostředek, který má být certifikován,

• d) doklad o splnění požadavků na bezpečnost, technickou způsobilost a elektromagnetickou kompatibilitu kryptografického prostředku a na ochranu životního prostředí, stanovených technickými předpisy a zvláštními právními předpisy,^4)

• e) písemné prohlášení výrobce, že je schopen trvale zajistit ve výrobě a při zabezpečování servisu dodržení shodných technických parametrů a provozních vlastností odpovídajících schválenému typu certifikovaného kryptografického prostředku, a

• f) dva funkční vzorky kryptografického prostředku, včetně klíčových a jiných materiálů nezbytných k provozování prostředku.

(4) Při certifikaci Úřad přihlíží k přiloženým osvědčením a certifikátům nebo obdobným dokumentům vydaným zahraničními akreditovanými certifikačními pracovišti.

(5) Podle požadavků Úřadu a v závislosti na určení kryptografického prostředku se k žádosti o certifikaci přikládá soubor průvodní dokumentace kryptografického prostředku v rozsahu stanoveném bezpečnostními standardy. Příslušné bezpečnostní standardy Úřad poskytne žadateli na základě písemné žádosti.

(6) Úřad zkontroluje úplnost předané žádosti a průvodní dokumentace a přezkoumá funkčnost předaných vzorků kryptografického prostředku určeného k certifikaci. V případě zjištění nedostatků vyzve žadatele, aby ve stanoveném termínu nedostatky odstranil. Neodstraní-li žadatel nedostatky, Úřad certifikaci neprovede a vrátí podklady poskytnuté žadatelem, dokumentaci přiloženou k žádosti a další vyžádané doplňující podklady potřebné k provedení certifikace.

(7) Úřad si v případě potřeby může v průběhu certifikace vyžádat další doplňující podklady nebo údaje potřebné k jejímu provedení.

(8) K certifikaci kryptografických prostředků Severoatlantické aliance nebo její členské země určených k ochraně utajovaných skutečností žadatel předkládá žádost podle odstavce 2 a kopii certifikátu nebo jemu na roveň postaveného dokumentu vydaného certifikačním orgánem Severoatlantické aliance nebo příslušným národním certifikačním orgánem její členské země.

(9) Informace o zahájení certifikace, ukončení certifikace a výsledku certifikace poskytuje Úřad pouze žadateli. Po dobu certifikace Úřad neposkytuje informace o průběhu a dílčích výsledcích prováděné certifikace.

§ 7

(1) V případě shody kryptografického prostředku s bezpečnostními standardy Úřad vydá žadateli certifikát potvrzující způsobilost kryptografického prostředku k ochraně utajovaných skutečností příslušného stupně utajení při dodržení schválených provozních podmínek a pravidel pro jeho bezpečné provozování.

(2) Úřad po skončení certifikace vrátí žadateli vzorky kryptografického prostředku předložené k certifikaci. Žádost, podklady poskytnuté žadatelem, dokumentace přiložená k žádosti a další vyžádané doplňující podklady potřebné k provedení certifikace se žadateli nevracejí.

(3) Nejpozději 6 měsíců před uplynutím doby platnosti certifikátu předkládá žadatel Úřadu žádost o její prodloužení.

(4) Platnost certifikátu vydaného podle odstavce 1 zaniká

• a) uplynutím doby, na kterou byl vydán,

• b) pokud kryptografický prostředek pozbyl způsobilost k ochraně utajovaných skutečností, nebo

• c) pokud kryptografický prostředek pozbyl shody s0 bezpečnostními standardy.

§ 8

Náležitosti certifikátu kryptografického prostředku

(1) Certifikát kryptografického prostředku, jehož vzor je uveden v příloze č. 2, obsahuje

• a) identifikaci kryptografického prostředku včetně označení typu a verze, pro který je vydáván,

• b) identifikaci certifikátu přidělenou Úřadem,

• c) identifikaci držitele certifikátu,

• d) identifikaci výrobce kryptografického prostředku,

• e) stupeň utajení utajovaných skutečností, pro který byla schválena jeho způsobilost,

• f) dobu platnosti certifikátu, a

• g) datum vydání, razítko se státním znakem a podpis ředitele Úřadu.

(2) Součástí certifikátu je certifikační zpráva, která obsahuje

• a) podmínky provozování kryptografického prostředku, a

• b) případná omezení podmiňující platnost certifikátu.

§ 9

Vedení evidence certifikovaných kryptografických prostředků

(1) Úřad vede evidenci certifikovaných kryptografických prostředků. K certifikovanému kryptografickému prostředku se vede certifikační spis, do kterého se zakládá žádost, podklady poskytnuté žadatelem, dokumentace přiložená k žádosti, další vyžádané doplňující podklady potřebné k provedení certifikace, certifikační zpráva a kopie vydaného certifikátu.

(2) Skartační lhůta certifikačního spisu začíná běžet uplynutím doby platnosti certifikátu a činí nejméně 15 let.

Ustanovení přechodná a závěrečná

§ 10

Přechodná ustanovení

(1) Kryptografický prostředek, který byl ke dni 31. října 1998 používán k ochraně státního, hospodářského nebo služebního tajemství a kterému bylo nejpozději k tomuto dni statutárním orgánem^5) schváleno jeho používání k ochraně státního, hospodářského a služebního tajemství, se může používat k ochraně utajovaných skutečností schváleného stupně utajení nejpozději do 31. prosince 2002.

(2) Statutární orgán^5) vyhotoví seznam kryptografických prostředků, které budou podle odstavce 1 i nadále používány pro ochranu utajovaných skutečností, a předloží jej Úřadu nejpozději do 60 dnů ode dne účinnosti této vyhlášky.

(3) Certifikát kryptografického prostředku vydaný Národním bezpečnostním úřadem podle vyhlášky č. 76/1999 Sb., o zajištění kryptografické ochrany utajovaných skutečností, provádění certifikace kryptografických prostředků a náležitostech certifikátu, ve znění vyhlášky č. 109/1999 Sb., se považuje za certifikát vydaný podle § 7 této vyhlášky.

(4) Osvědčení pracovníka šifrové služby vydané oprávněným školicím pracovištěm orgánu státu do 31. října 1998 a osvědčení pracovníka kryptografické ochrany vydané oprávněným školicím pracovištěm orgánu státu do 26. dubna 1999 se považují za osvědčení o odborné způsobilosti pracovníka kryptografické ochrany podle § 4 této vyhlášky. Platnost těchto osvědčení končí uplynutím doby, na kterou byly vydány, nejpozději dnem 31. prosince 2002, pokud je pracovník osobou určenou podle § 3 odst. 3 této vyhlášky.

(5) Potvrzení o odborné způsobilosti pracovníka kryptografické ochrany vydané podle vyhlášky č. 76/1999 Sb., o zajištění kryptografické ochrany utajovaných skutečností, provádění certifikace kryptografických prostředků a náležitostech certifikátu, ve znění vyhlášky č. 109/1999 Sb., se považuje za osvědčení o odborné způsobilosti pracovníka kryptografické ochrany podle § 4 této vyhlášky.

§ 11

Zrušují se:

• 1. vyhláška Národního bezpečnostního úřadu č. 76/1999 Sb., o zajištění kryptografické ochrany utajovaných skutečností, provádění certifikace kryptografických prostředků a náležitostech certifikátu.

• 1. vyhláška Národního bezpečnostního úřadu č. 109/1999 Sb., kterou se mění vyhláška Národního bezpečnostního úřadu č. 76/1999 Sb., o zajištění kryptografické ochrany utajovaných skutečností, provádění certifikace kryptografických prostředků a náležitostech certifikátu.

§ 12

Účinnost

Tato vyhláška nabývá účinnosti dnem vyhlášení.

Ředitel:

Ing. Kadlec v. r.

Příloha č. 1 k vyhlášce č. 136/2001 Sb.

[image omitted]

Příloha č. 2 k vyhlášce č. 136/2001 Sb.

[image omitted]

^1) § 2 odst. 8 zákona č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, ve znění pozdějších předpisů.

^2) Zákon č. 148/1998 Sb., ve znění pozdějších předpisů.

^3) § 2 odst. 7 zákona č. 148/1998 Sb., ve znění pozdějších předpisů.

^4) Zákon č. 22/1997 Sb., o technických požadavcích na výrobky a o změně a doplnění některých zákonů, ve znění zákona č. 71/2000 Sb. Zákon č. 151/2000 Sb., o telekomunikacích a o změně dalších zákonů.

^5) § 2 odst. 9 zákona č. 148/1998 Sb., ve znění pozdějších předpisů.