Vyhláška o fyzické bezpečnosti a certifikaci technických prostředků

Národní bezpečnostní úřad stanoví podle § 33 a 53 zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů (dále jen „zákon“):

§ 1

Předmět úpravy

Tato vyhláška stanoví bodové ohodnocení jednotlivých opatření fyzické bezpečnosti^1), nejnižší míru zabezpečení zabezpečené oblasti^2) a jednací oblasti^3), základní metodu hodnocení rizik, další požadavky na opatření fyzické bezpečnosti a náležitosti certifikace technického prostředku.

§ 2

Vymezení pojmů

Pro účely této vyhlášky se rozumí

• a) objektem budova nebo jiný ohraničený prostor, ve kterém se zpravidla nacházejí zabezpečené nebo jednací oblasti,

• b) hranicí objektu plášť budovy, fyzická bariéra (oplocení) nebo jinak viditelně vymezená hranice,

• c) hranicí zabezpečené oblasti nebo jednací oblasti stavebně nebo jinak viditelně ohraničený prostor,

• d) vstupem do objektu, zabezpečené oblasti nebo jednací oblasti místo určené pro vstup a výstup osob a místo určené pro vjezd a výjezd dopravních prostředků,

• e) dopravními prostředky pozemní, podzemní, vzdušné a vodní prostředky určené k přepravě osob, předmětů a materiálu,

• f) hrozbou možnost vyzrazení nebo zneužití utajované informace při narušení fyzické bezpečnosti,

• g) rizikem pravděpodobnost, že se určitá hrozba uskuteční,

• h) mimořádnou situací stav, kdy bezprostředně hrozí, že dojde k vyzrazení nebo zneužití utajované informace,

• i) technickým prostředkem bezpečnostní prvek, jehož použitím se zabraňuje, ztěžuje, oznamuje nebo zaznamenává narušení zabezpečení ochrany objektu, zabezpečené oblasti nebo jednací oblasti, a dále ničí utajované informace,

• j) úschovným objektem trezor nebo jiná uzamykatelná schránka stanovená v příloze č. 1 této vyhlášky,

• k) technickým zařízením vojenský materiál^5) a vojenská výzbroj, obsahující utajovanou informaci, zejména elektronická, fototechnická, chemická, fyzikálně-chemická, radiotechnická, optická a mechanická vojenská technika, včetně aktiv certifikovaných informačních systémů a kryptografických prostředků.

§ 3

Zabezpečení objektu a zabezpečené oblasti

(1) Hranici objektu nebo zabezpečené oblasti, zařazení objektu nebo zabezpečené oblasti do příslušné kategorie^6) a zařazení zabezpečené oblasti do příslušné třídy stanoví a schvaluje odpovědná osoba nebo jí pověřená osoba v projektu fyzické bezpečnosti.

(2) Zabezpečení objektu nebo zabezpečené oblasti je zajišťováno kombinací opatření fyzické bezpečnosti podle odstavců 3 až 10 a § 6 až 9.

(3) Objekt je zabezpečován v závislosti na kategorii objektu, s ohledem na charakter hranice objektu a v závislosti na vyhodnocení rizik těmito technickými prostředky

• a) pro kategorii Vyhrazené – mechanické zábranné prostředky,

• b) pro kategorii Důvěrné a Tajné – mechanické zábranné prostředky a poplachové zabezpečovací systémy,

• c) pro kategorii Přísně tajné – mechanické zábranné prostředky, poplachové zabezpečovací systémy a dohledové videosystémy. Dohledové videosystémy nesmí narušit ochranu utajovaných informací.

(4) Zabezpečená oblast je zabezpečována v závislosti na její kategorii, třídě a vyhodnocení rizik těmito technickými prostředky

• a) pro kategorii Vyhrazené – mechanické zábranné prostředky,

• b) pro kategorii Důvěrné – mechanické zábranné prostředky a poplachové zabezpečovací systémy,

• c) pro kategorii Tajné a Přísně tajné – mechanické zábranné prostředky, systémy pro kontrolu vstupů, poplachové zabezpečovací systémy, dohledové videosystémy a zařízení elektrické požární signalizace. Dohledové videosystémy lze nahradit tísňovými systémy. Při použití dohledových videosystémů nesmí být narušena ochrana utajovaných informací.

(5) Bodové hodnoty nejnižší míry zabezpečení zabezpečené oblasti jsou stanoveny v příloze č. 1 této vyhlášky.

(6) U objektů a zabezpečených oblastí kategorie Důvěrné a vyšší, v nichž je zajištěna trvalá přítomnost zde pracujících osob, lze poplachový zabezpečovací systém nahradit ostrahou prováděnou těmito osobami.

(7) K zabezpečení zabezpečených oblastí se používají certifikované nebo necertifikované technické prostředky. Necertifikované technické prostředky lze použít pouze za podmínek stanovených v příloze č. 1 této vyhlášky.

(8) Utajovaná informace se ukládá v zabezpečené oblasti příslušné kategorie nebo vyšší, popřípadě v úschovném objektu, je-li jeho bodová hodnota uplatněna v projektu fyzické bezpečnosti pro příslušnou zabezpečenou oblast.

(9) V objektu se umísťuje zařízení fyzického ničení nosičů informací podle přílohy č. 1 této vyhlášky.

(10) V případě, že hranice objektu je totožná s hranicí zabezpečené oblasti, je rozsah použití opatření fyzické bezpečnosti určen požadavky na kategorii zabezpečené oblasti.

§ 4

Zabezpečení jednacích oblastí

(1) Hranici jednací oblasti stanoví odpovědná osoba nebo jí pověřená osoba.

(2) Zabezpečení jednací oblasti je zajišťováno kombinací opatření fyzické bezpečnosti podle odstavců 3 až 8 a § 6 až 9.

(3) Rozsah použití opatření fyzické bezpečnosti k zabezpečení jednací oblasti se stanoví v závislosti na stupni utajovaných informací, které jsou v jednací oblasti pravidelně projednávány, a na vyhodnocení rizik.

(4) Jednací oblasti pro pravidelné projednávání utajovaných informací stupňů utajení Tajné a Přísně tajné se zabezpečují mechanickými zábrannými prostředky, systémy pro kontrolu vstupů, poplachovými zabezpečovacími systémy, dohledovými videosystémy, zařízeními elektrické požární signalizace, zařízeními proti pasivnímu a aktivnímu odposlechu utajované informace.

(5) Dohledové videosystémy v odstavci 4 lze nahradit tísňovými systémy. Dohledové videosystémy nesmí narušit ochranu utajovaných informací.

(6) Bodové hodnoty nejnižší míry zabezpečení jednací oblasti jsou stanoveny v příloze č. 1 této vyhlášky.

(7) Ustanovení přílohy č. 1 této vyhlášky týkající se zabezpečení zabezpečené oblasti se obdobně vztahují na zabezpečení jednací oblasti, není-li v příloze č. 1 této vyhlášky stanoveno jinak.

(8) K zabezpečení jednacích oblastí se používají certifikované nebo necertifikované technické prostředky. Necertifikované technické prostředky lze použít pouze za podmínek stanovených v příloze č. 1 této vyhlášky.

(9) V případě, že hranice objektu je totožná s hranicí jednací oblasti, je rozsah použití opatření fyzické bezpečnosti určen požadavky na zabezpečení jednací oblasti.

§ 5

Zabezpečení technického zařízení

(1) Technické zařízení je zabezpečováno opatřeními fyzické bezpečnosti podle § 3, 6 až 10 nebo podle odstavců 2 až 4.

(2) Rozsah použití režimových opatření a technických prostředků k zabezpečení technického zařízení stanoví odpovědná osoba nebo jí pověřená osoba v závislosti na vyhodnocení rizik.

(3) Ostraha uloženého technického zařízení obsahujícího utajovanou informaci stupně utajení

• a) Přísně tajné se zajišťuje typem 5 podle přílohy č. 1 této vyhlášky,

• b) Tajné se zajišťuje minimálně typem 4 podle přílohy č. 1 této vyhlášky,

• c) Důvěrné se zajišťuje minimálně typem 3 podle přílohy č. 1 této vyhlášky,

• d) Vyhrazené se zajišťuje v rozsahu stanoveném odpovědnou osobou nebo jí pověřenou osobou.

(4) Rozsah použití opatření fyzické bezpečnosti k zabezpečení technického zařízení se stanoví v projektu fyzické bezpečnosti. Obsah a forma projektu fyzické bezpečnosti se použije přiměřeně.

§ 6

Režimová opatření

(1) Režimovými opatřeními jsou

• a) stanovení oprávnění osob a dopravních prostředků pro vstup do objektu, stanovení oprávnění osob pro vstup do zabezpečené oblasti a jednací oblasti a způsob kontroly těchto oprávnění,

• b) kontrolní opatření při vstupu do objektu, zabezpečených a jednacích oblastí a způsob kontroly těchto opatření,

• c) podmínky a způsob kontroly pohybu osob v objektu, zabezpečené oblasti a jednací oblasti a způsob kontroly a vynášení utajovaných informací z objektu, zabezpečené oblasti a jednací oblasti,

• d) režim manipulace s klíči a identifikačními prostředky, zejména způsob jejich označování, přidělování, úschovy a evidence,

• e) režim manipulace s technickými prostředky a jejich používání,

• f) režim pohybu utajovaných informací v objektu, zabezpečené oblasti a jednací oblasti.

(2) Bodové hodnoty režimových opatření jsou stanoveny v příloze č. 1 této vyhlášky.

§ 7

Režim pohybu osob a dopravních prostředků

(1) Oprávnění ke vstupu do objektu, zabezpečené oblasti nebo jednací oblasti vydává odpovědná osoba nebo jí pověřená osoba. Oprávnění ke vstupu do zabezpečené oblasti kategorie Vyhrazené lze vydat osobě, která je poučena a je držitelem oznámení o splnění podmínek pro přístup k utajované informaci stupně utajení Vyhrazené, osvědčení fyzické osoby nebo se jedná o osobu, která má přístup k utajované informaci stupně utajení Vyhrazené podle § 58a odst. 1 zákona. Oprávnění ke vstupu do zabezpečené oblasti kategorie Důvěrné nebo vyšší nebo jednací oblasti lze vydat osobě, která je poučena a je držitelem osvědčení fyzické osoby pro odpovídající nebo vyšší stupeň utajení. Oprávnění ke vstupu do zabezpečené oblasti kategorie Vyhrazené nebo vyšší nebo do jednací oblasti lze vydat osobě, která má přístup k utajované informaci podle § 58 odst. 1 zákona. Seznam osob s oprávněním ke vstupu do objektu kategorie Důvěrné, Tajné nebo Přísně tajné, do zabezpečené oblasti a do jednací oblasti a seznam dopravních prostředků oprávněných vjíždět do objektu kategorie Důvěrné, Tajné nebo Přísně tajné se ukládá u odpovědné osoby nebo jí pověřené osoby, popřípadě se ukládá jiným prokazatelným způsobem. Pokud je cílem vstupu podle tohoto odstavce též přístup k utajované informaci cizí moci nebo k utajované informaci cizí moci vyžadující zvláštní režim nakládání, lze jej umožnit pouze v souladu s požadavky této cizí moci.

(2) Osoby bez oprávnění k samostatnému vstupu mohou do objektu kategorie Důvěrné, Tajné nebo Přísně tajné, zabezpečené oblasti nebo jednací oblasti vstupovat pouze za doprovodu osoby oprávněné k samostatnému vstupu do příslušného objektu, zabezpečené oblasti nebo jednací oblasti za předpokladu, že vstup je nezbytný a nebude narušena ochrana utajovaných informací.

(3) Na vstupu do objektu kategorie Důvěrné, Tajné nebo Přísně tajné se provádí kontrola vstupu a u osob bez oprávnění ke vstupu do objektu je vedena evidence údajů a povinně se stanoví režim návštěv s doprovodem. Na vstupu do zabezpečené oblasti kategorie Vyhrazené, která je umístěna v objektu kategorie Vyhrazené, se provádí kontrola vstupu.

(4) Při vstupu osob bez oprávnění ke vstupu do objektu kategorie Přísně tajné se u nich provádí kontrola zařízením sloužícím k vyhledávání nebezpečných látek nebo předmětů.

§ 8

Režim manipulace s klíči a identifikačními prostředky

(1) Režim manipulace s klíči a identifikačními prostředky určuje systém a způsob označování, přidělování a odevzdávání, jejich úschovy a evidence, uložení duplikátů a způsob jejich použití.

(2) Klíče a identifikační prostředky k jednací oblasti, a dále k zabezpečené oblasti a úschovnému objektu, kde se ukládá utajovaná informace stupně utajení Důvěrné nebo vyššího, musí být označeny, ukládají se způsobem, který umožňuje kontrolu jejich použití, a jejich výdej podléhá evidenci. S klíči disponuje odpovědná osoba nebo jí pověřená osoba.

(3) Režim manipulace s klíči a identifikačními prostředky k zabezpečené oblasti a k úschovnému objektu, kde se ukládá utajovaná informace stupně utajení Vyhrazené, stanoví odpovědná osoba nebo jí pověřená osoba.

(4) Zabezpečená oblast a jednací oblast musí být v době nepřítomnosti osob, které mají povolen samostatný vstup do této zabezpečené oblasti nebo jednací oblasti, uzamčeny. Úschovný objekt musí být v době nepřítomnosti osob, které mají přístup k utajovaným informacím^7) v něm uloženým, uzamčen. Osoby disponující klíči a identifikačními prostředky od zabezpečených oblastí, jednacích oblastí a úschovných objektů je ukládají v objektu, pokud jiné místo jejich uložení neurčí odpovědná osoba nebo jí pověřená osoba.

(5) Ztráta klíčů a identifikačních prostředků musí být neprodleně oznámena odpovědné osobě nebo jí pověřené osobě, která zajistí nápravu.

§ 9

Ostraha

Bodové hodnoty jednotlivých typů ostrahy u objektu jsou stanoveny v příloze č. 1 této vyhlášky.

§ 10

Ověřování opatření fyzické bezpečnosti a vyhodnocení rizik

(1) Ověření, zda jednotlivá použitá opatření fyzické bezpečnosti a vyhodnocení rizik odpovídají projektu fyzické bezpečnosti a právním předpisům v oblasti ochrany utajovaných informací, provádí odpovědná osoba nebo jí pověřená osoba průběžně, nejméně však každých 12 měsíců.

(2) Podmínkou pro ověření podle odstavce 1 v případě technických prostředků uvedených v § 30 odst. 1 zákona je provedení funkční zkoušky podle přílohy č. 1 této vyhlášky.

(3) Vyhodnocení rizik se provádí

• a) identifikací stupňů utajovaných informací a zjištěním množství utajovaných informací, které se v objektu vyskytují nebo budou vyskytovat, zejména z hlediska následku jejich vyzrazení nebo zneužití,

• b) popisem a vyhodnocením hrozeb, kterým jsou tyto utajované informace vystaveny,

• c) popisem a vyhodnocením zranitelnosti utajovaných informací vůči těmto hrozbám,

• d) stanovením míry rizika, jako „malé“, „střední“ nebo „velké“, na základě vyhodnocení hrozeb a zranitelnosti utajovaných informací.

(4) V případě změny opatření fyzické bezpečnosti odpovědná osoba nebo jí pověřená osoba neprodleně zajistí shodu s projektem fyzické bezpečnosti.

(5) Struktura projektu fyzické bezpečnosti je stanovena v příloze č. 1 této vyhlášky.

§ 11

Náležitosti žádosti o certifikaci technického prostředku

(1) Žádost o certifikaci technického prostředku obsahuje

• a) identifikaci žadatele

• 1. obchodní firmou, popřípadě názvem, sídlem a identifikačním číslem, je-li žadatelem právnická osoba,

• 1. obchodní firmou, popřípadě jménem a příjmením, případně odlišujícím dodatkem, trvalým pobytem a místem podnikání, liší-li se od trvalého pobytu, datem narození a identifikačním číslem, je-li žadatelem fyzická osoba, která je podnikatelem, nebo

• 1. názvem, sídlem, identifikačním číslem a jménem a příjmením odpovědné osoby, jde-li o orgán státu,

• b) výčet a označení technických prostředků a seznam předkládané dokumentace.

(2) K žádosti podle odstavce 1 se přiloží tato dokumentace

• a) specifikace a popis technického prostředku,

• b) certifikát shody vystavený na žadatele podle odstavce 1 písm. a) - pro jednotlivý technický prostředek není požadován,

• c) posudek podle § 46 odst. 14 zákona.

§ 12

Dobu platnosti certifikátu stanoví Úřad, a to nejvýše na dobu platnosti posudku podle § 46 odst. 14 zákona.

§ 13

Vzor certifikátu technického prostředku je uveden v příloze č. 2 této vyhlášky.

§ 14

Technické prostředky podle § 30 odst. 1 zákona se mohou po uplynutí doby platnosti jejich certifikátů používat způsobem a za podmínek, které jsou uvedeny v příloze č. 1 této vyhlášky.

§ 15

Náležitosti žádosti o uzavření smlouvy o zajištění činnosti

Žádost o uzavření smlouvy o zajištění činnosti^9) obsahuje

• a) identifikaci žadatele podle § 11 odst. 1 písm. a),

• b) jméno a příjmení kontaktního pracovníka žadatele a kontaktní spojení,

• c) identifikaci příslušného odborného pracoviště žadatele (předmět činnosti a podrobná specifikace umístění pověřovaného pracoviště, jméno a příjmení kontaktního pracovníka a kontaktní spojení),

• d) specifikace činností, které mají být prováděny podle smlouvy o zajištění činnosti,

• e) výpis z obchodního rejstříku nebo živnostenského rejstříku a ověřenou kopii platného rozhodnutí nebo osvědčení:

• 1. Rozhodnutí o udělení autorizace, v němž rozsah činností při posuzování shody zahrnuje technický prostředek (technické prostředky) uvedený v § 30 odst. 1 zákona, které vydává Úřad pro technickou normalizaci, metrologii a státní zkušebnictví^10),

• 1. Osvědčení o akreditaci včetně přílohy, v němž předmět akreditace zahrnuje certifikaci technického prostředku (technických prostředků) uvedeného v § 30 odst. 1 zákona, které vydává Český institut pro akreditaci^11), nebo

• 1. Osvědčení o akreditaci včetně přílohy, v němž předmět akreditace zahrnuje provádění zkoušek technického prostředku (technických prostředků) uvedeného v § 30 odst. 1 zákona, které vydává Český institut pro akreditaci^11).

§ 16

Účinnost

Tato vyhláška nabývá účinnosti dnem 1. ledna 2006.

Ředitel:

Mgr. Mareš v. r.

Příloha č. 1

• 1. ÚSCHOVNÉ OBJEKTY A JEJICH ZÁMKY

• 1.1. ÚSCHOVNÉ OBJEKTY

1.1.1. Úschovný objekt typ 4:
	SS1 = 4 body

Úschovný objekt typu 4 je certifikovaný Národním bezpečnostním úřadem (dále jen „Úřad“) a splňuje požadavky bezpečnostní třídy II nebo vyšší podle ČSN EN 11431 z ledna 2020 Bezpečnostní úschovné objekty – Požadavky, klasifikace a metody zkoušení odolnosti proti vloupání – Část 1: Skříňové trezory, trezorové dveře a komorové trezory.

V souladu s ČSN EN 1143-1 musí být úschovný objekt typu 4 osazen zámkem minimálně třídy A podle ČSN EN 1300 z května 2024 Bezpečnostní úschovné objekty – Klasifikace zámků s vysokou bezpečností vzhledem k jejich odolnosti proti nepovolenému otevření (zámek typu 2, bod 1.2.3. přílohy).

1.1.2. Úschovný objekt typ 3:
	SS1 = 3 body

Úschovný objekt typu 3 je certifikovaný Úřadem a splňuje požadavky bezpečnostní třídy I podle ČSN EN 1143-1.

V souladu s ČSN EN 1143-1 musí být úschovný objekt typu 3 osazen zámkem minimálně třídy A podle ČSN EN 1300 (zámek typu 2, bod 1.2.3. přílohy).

1.1.3. Úschovný objekt typ 2:
	SS1 = 2 body

Úschovný objekt typu 2 je certifikovaný Úřadem a splňuje požadavky bezpečnostní třídy 0 podle ČSN EN 1143-1.

V souladu s ČSN EN 1143-1 musí být úschovný objekt typu 2 osazen zámkem minimálně třídy A podle ČSN EN 1300 (zámek typu 2, bod 1.2.3. přílohy).

1.1.4. Úschovný objekt typ 1:
	S1 = 1 bod

Úschovným objektem typu 1 je nerozebíratelná ocelová skříň pevné konstrukce, její dveřní uzávěr je opatřen třístranným rozvorovým mechanismem a uzamykán. Dveřní uzávěr je samosvorný v uzavřeném stavu.