Vyhláška o zajištění kryptografické ochrany utajovaných informací

§ 1

Předmět úpravy

Tato vyhláška stanoví podrobnosti o zkoušce zvláštní odborné způsobilosti pracovníka kryptografické ochrany, způsoby a prostředky manipulace s kryptografickým materiálem, podrobnosti způsobu vyznačování náležitostí na utajované informaci z oblasti kryptografické ochrany a administrativní pomůcky kryptografické ochrany a další podrobnosti k zajištění kryptografické ochrany utajovaných informací.

§ 2

Vymezení pojmů

Pro účely této vyhlášky se rozumí

• a) kryptografickou zásilkou kryptografický materiál vybavený k přepravě, přepravovaný nebo doručený adresátovi na místo určení do ukončení její přepravy a jejího otevření,

• b) přepravou kryptografické zásilky její dopravení mimo objekt^1) orgánu státu, právnické osoby nebo podnikající fyzické osoby za účelem jejího doručení adresátovi,

• c) přenášením kryptografického materiálu jeho přepravování mimo objekt orgánu státu, právnické osoby nebo podnikající fyzické osoby, jehož cílem není jeho doručení,

• d) originálem kryptografické písemnosti výtisk kryptografické písemnosti doručené nebo výtisk kryptografické písemnosti vzniklé, uvedený v rozdělovníku,

• e) opisem nebo kopií vyhotovení určitého počtu výtisků z originálu kryptografické písemnosti nebo jeho převedení do elektronické podoby,

• f) výpisem vyhotovení písemného nebo digitálního záznamu z originálu kryptografické písemnosti,

• g) zničením kryptografického materiálu uvedení kryptografického materiálu do takového fyzického stavu, kdy je znemožněna jeho rekonstrukce a identifikace utajované informace, kterou obsahoval.

§ 3

Náležitosti přihlášky k odborné zkoušce

(K § 39 odst. 5 zákona)

Přihláška ke zkoušce zvláštní odborné způsobilosti pracovníka kryptografické ochrany (dále jen „odborná zkouška“) obsahuje

• a) identifikaci žadatele

• 1. obchodní firmou, popřípadě názvem, sídlem a identifikačním číslem, je-li žadatelem právnická osoba,

• 1. obchodní firmou, popřípadě jménem a příjmením, případně odlišujícím dodatkem, trvalým pobytem a místem podnikání, liší-li se od trvalého pobytu, datem narození a identifikačním číslem, je-li žadatelem fyzická osoba, která je podnikatelem, nebo

• 1. názvem, sídlem, identifikačním číslem a jménem a příjmením odpovědné osoby, jde-li o orgán státu,

• b) jméno, příjmení a datum narození pracovníka přihlášeného k odborné zkoušce,

• c) kopii platného osvědčení fyzické osoby,

• d) rozsah vykonávaných kryptografických činností, pro které má být osvědčení o zvláštní odborné způsobilosti pracovníka kryptografické ochrany vydáno, a

• e) místo, datum, otisk razítka, jméno, příjmení a podpis odpovědné osoby orgánu státu, právnické osoby nebo podnikající fyzické osoby.

§ 4

Podrobnosti složení a jednání zkušební komise

(K § 39 odst. 4 zákona)

(1) Zkušební komise je složena ze zástupců Národního bezpečnostního úřadu (dále jen „Úřad“) nebo pověřeného orgánu státu, který zvláštní odbornou způsobilost ověřuje.

(2) Člen zkušební komise je pracovníkem kryptografické ochrany, který je

• a) držitelem platného osvědčení fyzické osoby, nejméně pro stupeň utajení, pro který je odborná zkouška vykonávána,

• b) oprávněn provádět přípravu pracovníka kryptografické ochrany (§ 5),

• c) pracovníkem s dobou praxe v oblasti kryptografické ochrany nejméně 3 roky.

(3) Zkušební komise rozhoduje většinou hlasů.

§ 5

Způsob provádění, organizování a hodnocení odborné zkoušky

(K § 39 odst. 5 zákona)

(1) Obsah přípravy pracovníka přihlášeného k odborné zkoušce a způsob provádění a organizování odborné zkoušky schvaluje Úřad.

(2) Výsledek odborné zkoušky se hodnotí stupněm „prospěl“ nebo „neprospěl“. V případě, že pracovník přihlášený k odborné zkoušce neprospěl, seznámí předseda zkušební komise žadatele s důvody tohoto hodnocení.

(3) O průběhu odborné přípravy a vykonání odborné zkoušky se vede protokol. Protokol o provedení odborné zkoušky podepisují všichni členové zkušební komise.

(4) Skartační lhůta protokolů o provedení odborné zkoušky začíná běžet uplynutím doby platnosti osvědčení o zvláštní odborné způsobilosti.

§ 6

Vzor osvědčení o zvláštní odborné způsobilosti

(K § 39 odst. 6 zákona)

Vzor osvědčení o zvláštní odborné způsobilosti pracovníka kryptografické ochrany je uveden v příloze č. 1 k této vyhlášce.

§ 7

Minimální požadavky na zajištění bezpečnostní správy kryptografické ochrany

[K § 38 odst. 1 písm. a) zákona]

(1) Bezpečnostní správou kryptografické ochrany jsou organizační opatření z oblasti personální, administrativní a fyzické bezpečnosti, bezpečnosti informačních nebo komunikačních systémů a kryptografické ochrany, při provádění kryptografické ochrany v orgánu státu, u právnické osoby nebo podnikající fyzické osoby.

(2) Prováděním bezpečnostní správy kryptografické ochrany se zajišťuje splnění minimálních bezpečnostních požadavků stanovujících nejnižší možnou úroveň bezpečného provozování kryptografických prostředků.

(3) Bezpečnostní správu kryptografické ochrany vykonávají

• a) bezpečnostní správce kryptografické ochrany, který odpovídá za komplexní zajištění a bezpečné provádění kryptografické ochrany a k tomu zpracovává příslušnou bezpečnostní dokumentaci kryptografické ochrany,

• b) správce kryptografického materiálu, který odpovídá za bezpečné ukládání a evidenci kryptografického materiálu, a

• c) pracovník kryptografické ochrany, který manipuluje s písemnostmi kryptografické ochrany.

(4) Minimální bezpečnostní požadavky podle odstavce 2 a úkoly správců podle odstavce 3 písm. a) a b) jsou uvedeny v bezpečnostních standardech [§ 2 písm. j) zákona].

Podrobnosti zajišťování provozu kryptografického prostředku

(K § 40 zákona)

§ 8

Instalace a obsluha kryptografického prostředku

(1) Instalaci kryptografického prostředku, nastavení a používání kryptografických klíčů a zajišťování provozu a servisu kryptografického prostředku provádí pracovník kryptografické ochrany.

(2) Rozsah oprávnění a činností pracovníka kryptografické ochrany a osoby zajišťující provozní obsluhu při zajišťování provozu kryptografického prostředku a způsob jejího zaškolení se stanoví v provozní dokumentaci kryptografického prostředku; obsah provozní dokumentace je upraven v bezpečnostním standardu.

§ 9

Výroba a používání klíčových materiálů

(1) Způsob a podmínky výroby, distribuce, manipulace, používání a ničení klíčových materiálů se stanoví v bezpečnostních standardech a provozní dokumentaci kryptografického prostředku.

(2) Výrobu klíčových materiálů musí provádět pracovník kryptografické ochrany na kryptografickém pracovišti určeném k výrobě klíčového materiálu. K této činnosti musí být pracovník kryptografické ochrany držitelem platného osvědčení o zvláštní odborné způsobilosti pracovníka kryptografické ochrany, ve kterém je uvedeno oprávnění k výrobě klíčových materiálů.

Způsob zaškolování provozní obsluhy kryptografického prostředku a kurýra kryptografického materiálu a vzor potvrzení o zaškolení provozní obsluhy kryptografického prostředku a kurýra kryptografického materiálu

(K § 40 a 42 zákona)

§ 10

Provozní obsluha kryptografického prostředku

(1) Zaškolení k provozní obsluze kryptografického prostředku zajišťuje bezpečnostní správce kryptografické ochrany. Po provedení zaškolení vydá subjekt, který zaškolení provedl, zaškolené osobě písemný doklad o provedeném zaškolení.

(2) Vzor potvrzení o odborném zaškolení provozní obsluhy kryptografického prostředku je uveden v příloze č. 2 k této vyhlášce.

§ 11

Kurýr kryptografického materiálu

(1) Zaškolení kurýra kryptografického materiálu zajišťuje bezpečnostní správce kryptografické ochrany. Po provedení zaškolení vydá subjekt, který zaškolení provedl, zaškolené osobě písemný doklad o provedeném zaškolení.

(2) Vzor potvrzení o odborném zaškolení kurýra kryptografického materiálu je uveden v příloze č. 3 k této vyhlášce.

Podrobnosti způsobu vyznačování náležitostí na utajované informaci z oblasti kryptografické ochrany, zejména podle druhu kryptografického materiálu

(K § 41 zákona)

§ 12

Označování kryptografického materiálu

(1) Kryptografický materiál se označuje slovem „KRYPTO“, evidenčním číslem, popřípadě číslem jednacím a stupněm utajení, pokud dále není stanoveno jinak (§ 13 a 15).

(2) U kryptografického prostředku se označení „KRYPTO“ a evidenční číslo vyznačí na popisném štítku kryptografického prostředku nebo přímo na kryptografický prostředek. Jiné údaje se na popisném štítku neuvádí.

(3) Klíčový materiál se označí slovem „KRYPTO“ a stupněm utajení. Evidenčním číslem klíčového materiálu je evidenční označení materiálu stanovené výrobcem klíčového materiálu.

(4) Kryptografická písemnost v listinné podobě se označí slovem „KRYPTO“ v horní a dolní části na každé straně písemnosti vedle stupně utajení a evidenčním číslem, popřípadě číslem jednacím. U kryptografické písemnosti v nelistinné podobě se označení „KRYPTO“, stupeň utajení a evidenční číslo vyznačí na popisném štítku nebo přímo na kryptografickou písemnost.

§ 13

Náležitosti kryptografické písemnosti v listinné podobě

(1) Na kryptografickou písemnost v listinné podobě se uvede název orgánu státu nebo právnické osoby anebo jméno a příjmení podnikající fyzické osoby, kde kryptografická písemnost vznikla, místo a datum vyhotovení, číslo jednací písemnosti, stupeň utajení, označení „KRYPTO“, číslo výtisku, počet listů, počet utajovaných a neutajovaných příloh v listinné podobě a počty jejich listů.

(2) Číslo výtisku, počet listů, počet utajovaných a neutajovaných příloh a počet jejich listů se uvede na přední stranu prvního listu v pravé horní části. Označení „KRYPTO“ se vyznačí v horní a dolní části na každé straně kryptografické písemnosti vedle stupně utajení a v čísle jednacím zkratkou „K“ uvedenou na konci čísla jednacího a oddělenou lomítkem. Počet příloh v listinné podobě a počet jejich listů se vyjádří zlomkem, jehož čitatelem je počet příloh a jmenovatelem celkový počet listů příloh. Listy nebo stránky kryptografické písemnosti v listinné podobě musí být průběžně číslovány. Listy nebo stránky utajovaných příloh v listinné podobě se číslují samostatně. Listy kryptografické písemnosti a listy jednotlivých utajovaných příloh v listinné podobě musí být sešity nebo jinak pevně spojeny. Vzor úpravy přední strany prvního listu kryptografické písemnosti je stanoven v příloze č. 4 k této vyhlášce.

(3) Příloha se označuje číslem jednacím kryptografické písemnosti tak, že se na přední stranu prvního listu v pravé horní části uvede: „Příloha č. ... k č. j. ...“. Stupeň utajení každé utajované přílohy se vyznačuje stejným způsobem jako na kryptografické písemnosti. Utajovaná příloha musí mít vlastní vyznačení čísla výtisku a počtu listů. Manipulace s kryptografickou písemností, která obsahuje přílohy různých stupňů utajení, se řídí podle nejvyššího stupně utajení. S odpojenou přílohou se manipuluje podle jejího stupně utajení.

(4) Příloha, která má označení evidenčním číslem, se eviduje na evidenční kartě, v evidenční knize, případně v dalších administrativních pomůckách podle § 16. Tyto písemnosti se evidují a zasílají jako příloha pod evidenčními údaji původce písemnosti. Tato skutečnost se vyznačí na průvodním dopise.

§ 14

Číslo jednací kryptografické písemnosti

Číslo jednací kryptografické písemnosti tvoří

• a) zkratka stupně utajení,

• b) pořadové číslo z jednacího protokolu; v případě použití sběrného archu se za pořadovým číslem z jednacího protokolu vyznačí spojovník a pořadové číslo ze sběrného archu,

• c) lomítko,

• d) rok, ve kterém bylo pořadové číslo přiděleno, a

• e) lomítko a zkratka „K“.

§ 15

Náležitosti kryptografické písemnosti v nelistinné podobě

(1) Kryptografická písemnost v nelistinné podobě se opatří popisným štítkem, na který se uvede označení orgánu státu, právnické osoby, nebo podnikající fyzické osoby, kde kryptografická písemnost vznikla, číslo jednací kryptografické písemnosti, resp. příloha k číslu jednacímu kryptografické písemnosti, nebo evidenční označení, pod kterým je kryptografická písemnost v nelistinné podobě zaevidována, stupeň utajení a slovo „KRYPTO“. Tyto údaje lze uvádět přímo na kryptografickou písemnost.

(2) Kryptografická písemnost v nelistinné podobě se odesílá vždy jako příloha kryptografické písemnosti v listinné podobě.

Druhy a náležitosti administrativních pomůcek kryptografické ochrany a požadavky na vedení těchto pomůcek

(K § 41 zákona)

§ 16

(1) Za administrativní pomůcky kryptografické ochrany se pro účely této vyhlášky považují

• a) evidenční karta, kterou je karta pro evidování kryptografických prostředků, klíčových materiálů, pracovníků kryptografické ochrany, provozní obsluhy kryptografického prostředku, kurýrů kryptografického materiálu a administrativních pomůcek,

• b) rejstřík evidenčních karet, kterým je kniha nebo sešit pro evidování evidenčních karet,

• c) provozní deník kryptografického prostředku, kterým je kniha nebo sešit pro provádění záznamů o používání kryptografického prostředku a klíčových materiálů,

• d) evidenční kniha, kterou je kniha nebo sešit pro vedení evidence kryptografického materiálu, administrativních pomůcek a pomocné evidence,

• e) jednací protokol, kterým je kniha nebo sešit pro evidování kryptografické písemnosti; jednací protokol obsahuje evidenční položky podle vzoru uvedeného v příloze č. 1 zvláštního právního předpisu^2),

• f) pomocný jednací protokol, kterým je kniha nebo sešit pro zaznamenávání pohybu kryptografické písemnosti v rámci orgánu státu, právnické osoby nebo podnikající fyzické osoby; pomocný jednací protokol obsahuje položky podle vzoru uvedeného v příloze č. 2 zvláštního právního předpisu^2),

• g) manipulační kniha, kterou je kniha nebo sešit pro přebírání a předávání kryptografické písemnosti osobou, která takovou písemnost vytváří nebo které byla taková písemnost předána k vyřízení; manipulační kniha obsahuje položky podle vzoru uvedeného v příloze č. 3 zvláštního právního předpisu^2),

• h) doručovací kniha, kterou je kniha nebo sešit pro zaznamenávání předání kryptografické písemnosti mimo orgán státu, právnickou osobu, nebo podnikající fyzickou osobu; doručovací kniha obsahuje položky podle vzoru uvedeného v příloze č. 4 zvláštního právního předpisu^2),

• i) zápůjční kniha, kterou je kniha nebo sešit pro zaznamenávání zápůjček uložené kryptografické písemnosti; zápůjční kniha obsahuje položky podle vzoru upraveného v příloze č. 5 zvláštního právního předpisu^2).

(2) Administrativní pomůcky uvedené v odstavci 1 písm. a) až d) vydává Úřad; způsob jejich používání stanoví bezpečnostní standardy [§ 2 písm. j) zákona]. V odůvodněných případech a na základě souhlasu Úřadu mohou být tyto pomůcky vydávány i jiným orgánem státu.

(3) Administrativní pomůcky podle odstavce 1 písm. b) až i) musí být před vzetím do užívání upraveny (autentizovány) tak, že se jejich listy průběžně očíslují a prošijí. Na vnitřní straně desek se přelepí konce prošití, otiskne razítko s názvem orgánu státu, právnické osoby nebo podnikající fyzické osoby, přesahující okraj přelepu, uvede doložka o počtu listů a podpis bezpečnostního ředitele nebo osoby pověřené k podpisu odpovědnou osobou a datum přidělení k užívání.

(4) Mimo administrativních pomůcek uvedených v odstavci 1 je možné, ve zvláštních a odůvodněných případech a na základě písemného souhlasu Úřadu, použít další administrativní pomůcky.

(5) Utajované administrativní pomůcky kryptografické ochrany musí být na vhodném místě označeny stupněm utajení, slovem „KRYPTO“ a evidenčním číslem.

(6) Neutajované administrativní pomůcky kryptografické ochrany musí být na vhodném místě označeny slovem „KRYPTO“ a evidenčním číslem.

Bližší požadavky na způsob a prostředky manipulace s kryptografickým materiálem

(K § 41 zákona)

§ 17

Evidence kryptografického materiálu

(1) Evidenci kryptografického materiálu, pracovníků kryptografické ochrany a provozní obsluhy a kurýrů v administrativních pomůckách provádí pracovník kryptografické ochrany pověřený k této činnosti odpovědnou osobou (dále jen „pověřená osoba“).

(2) Pracovníci kryptografické ochrany, pracovníci provádějící provozní obsluhu a kurýři se evidují na evidenčních kartách podle § 16 odst. 1 písm. a).

(3) Kryptografické prostředky a klíčové materiály se evidují na evidenčních kartách, v evidenční knize, případně v dalších administrativních pomůckách podle § 16. Způsob provádění evidence stanovují bezpečnostní standardy [§ 2 písm. j) zákona].

(4) Kryptografické písemnosti doručené nebo vznikající v orgánu státu, právnické osobě nebo u podnikající fyzické osoby se evidují v jednacím protokolu podle pokynů uvedených v příloze č. 1 zvláštního právního předpisu^2), pokud tato vyhláška nestanoví jinak.

(5) Kryptografická písemnost doručená nebo vznikající v orgánu státu, právnické osobě nebo u podnikající fyzické osoby, označená evidenčním číslem, se eviduje na evidenční kartě, v evidenční knize, případně v dalších administrativních pomůckách podle § 16. Způsob provádění evidence stanovují bezpečnostní standardy [§ 2 písm. j) zákona].

(6) Na doručené kryptografické písemnosti se vyznačí

• a) název příjemce,

• b) datum zaevidování,

• c) číslo jednací kryptografické písemnosti příjemce,

• d) počet listů a

• e) počet příloh a počet jejich listů; u příloh v nelistinné podobě jejich počet a druh.

Tyto údaje mohou být vyznačeny otiskem razítka.

(7) Pro účely zaznamenávání pohybu kryptografické písemnosti na organizační útvary, které jednací protokoly nevedou, může orgán státu, právnická osoba, nebo podnikající fyzická osoba zavést na těchto organizačních útvarech pomocné jednací protokoly. Do pomocných jednacích protokolů se kryptografické písemnosti zapisují pod přidělenými pořadovými čísly z jednacího protokolu.

(8) Je-li kryptografická písemnost převzata, např. při úředních jednáních nebo kontrolách, musí být neprodleně předána proti podpisu v manipulační knize pověřené osobě k zaevidování v jednacím protokolu. Při přepravě takovéto písemnosti je nutné dodržet podmínky podle § 25.

(9) Ten, kdo kryptografickou písemnost vytváří nebo mu byla přidělena k vyřízení, ji zaznamenává v přidělené manipulační knize. Záznam se provede neprodleně po přijetí kryptografické písemnosti nebo přidělení čísla jednacího pro vznikající kryptografickou písemnost.

(10) Na konci kalendářního roku se jednací protokol uzavře tak, že se poslední zápis celý podtrhne, a tím se ukončí přidělování čísel jednacích v tomto roce. Pod podtržením se uvede záznam o počtu použitých čísel jednacích, který podepíše pověřená osoba a její přímý nadřízený.

§ 18

Vyhotovení kryptografické písemnosti v listinné podobě