Vyhláška o zajištění kryptografické ochrany utajovaných informací

§ 1

Předmět úpravy

Tato vyhláška stanoví podrobnosti o odborné zkoušce, způsoby a prostředky manipulace s kryptografickým materiálem, podrobnosti způsobu vyznačování náležitostí na utajované informaci z oblasti kryptografické ochrany a administrativní pomůcky kryptografické ochrany a další podrobnosti k zajištění kryptografické ochrany utajovaných informací.

§ 2

Vymezení pojmů

Pro účely této vyhlášky se rozumí

• a) kryptografickou zásilkou kryptografický materiál vybavený k přepravě, přepravovaný nebo doručený adresátovi na místo určení do ukončení její přepravy a jejího otevření,

• b) přepravou kryptografické zásilky její dopravení mimo objekt^1) orgánu státu, právnické osoby nebo podnikající fyzické osoby za účelem jejího doručení adresátovi,

• c) přenášením kryptografického materiálu jeho přepravování mimo objekt orgánu státu, právnické osoby nebo podnikající fyzické osoby, jehož cílem není jeho doručení,

• d) kryptografickým dokumentem listina nebo jiný nosič informací obsahující utajované informace kryptografické ochrany,

• e) kryptografickým prostředkem hardwarový nebo softwarový produkt určený ke kryptografické ochraně,

• f) kryptografickým klíčem utajovaný proměnný parametr nezbytný k jednoznačnému zašifrování a odšifrování dat,

• g) klíčovým materiálem kryptografický klíč na nosiči,

• h) heslovým materiálem utajovaný znakový řetězec na nosiči, ze kterého je odvozován kryptografický klíč nebo který je použit k autentizaci,

• i) materiálem k zajištění funkce kryptografického prostředku klíčový materiál a heslový materiál pro kryptografickou operaci.

Podrobnosti zajišťování odborné zkoušky

§ 3

Náležitosti přihlášky k odborné zkoušce

(K § 39 odst. 2 zákona)

Přihláška k odborné zkoušce obsahuje

• a) identifikaci žadatele

• 1. obchodní firmou, popřípadě názvem, sídlem a identifikačním číslem, bylo-li přiděleno, je-li žadatelem právnická osoba,

• 1. obchodní firmou, popřípadě jménem, popřípadě jmény, příjmením, případně odlišujícím dodatkem, místem trvalého pobytu nebo u cizince místem obdobného pobytu a místem podnikání, liší-li se od místa trvalého nebo obdobného pobytu, datem narození a identifikačním číslem, bylo-li přiděleno, je-li žadatelem fyzická osoba, která je podnikatelem, nebo

• 1. názvem, sídlem, identifikačním číslem a jménem, popřípadě jmény a příjmením odpovědné osoby, jde-li o orgán státu,

• b) jméno, popřípadě jména, příjmení a datum narození pracovníka přihlášeného k odborné zkoušce,

• c) kopii platného osvědčení fyzické osoby,

• d) rozsah vykonávaných činností, pro které má být osvědčení o zvláštní odborné způsobilosti pracovníka kryptografické ochrany vydáno, a

• e) místo, datum, otisk razítka žadatele, jméno, popřípadě jména, příjmení a podpis odpovědné osoby orgánu státu, nebo jí pověřené osoby, nebo právnické osoby nebo podnikající fyzické osoby.

§ 4

Organizace, obsah a způsob provádění odborné zkoušky

(K § 39 odst. 1 a 2 zákona)

(1) Zkušební komise je tříčlenná a je složena ze zástupců Národního bezpečnostního úřadu (dále jen „Úřad“) nebo pověřeného orgánu státu, který zvláštní odbornou způsobilost ověřuje.

(2) Členem zkušební komise může být jmenován jen pracovník kryptografické ochrany, který je držitelem platného osvědčení fyzické osoby, nejméně pro stupeň utajení, pro který je odborná zkouška vykonávána, s dobou praxe v oblasti kryptografické ochrany nejméně 3 roky. Alespoň jeden z členů zkušební komise musí být oprávněn provádět přípravu pracovníka kryptografické ochrany.

(3) Zkušební komise rozhoduje většinou hlasů. Výsledek odborné zkoušky se hodnotí stupněm „prospěl“ nebo „neprospěl“. V případě, že pracovník přihlášený k odborné zkoušce neprospěl, seznámí předseda zkušební komise žadatele s důvody tohoto hodnocení.

(4) O průběhu odborné přípravy a vykonání odborné zkoušky se vede protokol. Protokol o provedení odborné zkoušky podepisují všichni členové zkušební komise. Lhůta pro jeho skartaci začíná běžet uplynutím doby platnosti osvědčení o zvláštní odborné způsobilosti nebo dnem, kdy byl žadatel, který neprospěl, seznámen s důvody tohoto hodnocení.

(5) Pokud je část odborné zkoušky prováděna na základě smlouvy o zajištění činnosti podle § 39 odst. 3 písm. b) zákona, vydává tento subjekt písemný doklad o jejím výsledku.

§ 5

Náležitosti osvědčení o zvláštní odborné způsobilosti

(K § 39 odst. 1 zákona)

Osvědčení o zvláštní odborné způsobilosti pracovníka kryptografické ochrany obsahuje

• a) evidenční číslo osvědčení,

• b) jméno, popřípadě jména, příjmení a datum narození držitele osvědčení,

• c) identifikaci subjektu vydávajícího osvědčení názvem orgánu státu, sídlem a identifikačním číslem,

• d) vymezení rozsahu odborné způsobilosti k výkonu kryptografické ochrany,

• e) datum vydání a dobu platnosti osvědčení a

• f) otisk razítka, jméno, popřípadě jména, příjmení a podpis oprávněného zástupce subjektu vydávajícího osvědčení.

§ 6

Žádost o uzavření smlouvy k provádění odborné zkoušky nebo její části

(K § 39 odst. 3 a § 52 zákona)

Žádost o uzavření smlouvy k provádění odborné zkoušky a vydávání osvědčení o zvláštní odborné způsobilosti pracovníka kryptografické ochrany nebo smlouvy k provádění části odborné zkoušky obsahuje

• a) název žadatele, jméno, popřípadě jména a příjmení odpovědné osoby,

• b) adresu žadatele,

• c) identifikační číslo žadatele, bylo-li přiděleno,

• d) jméno, popřípadě jména a příjmení kontaktního zaměstnance žadatele a kontaktní spojení na něj,

• e) vymezení požadovaného rozsahu provádění odborné zkoušky,

• f) doklad o organizačním, personálním, technickém a materiálním zabezpečení provádění odborné zkoušky nebo části odborné zkoušky a

• g) jméno, popřípadě jména, příjmení a podpis odpovědné osoby žadatele.

Minimální požadavky na zajištění bezpečnostní správy kryptografické ochrany

§ 7

(1) Za bezpečnostní správu kryptografické ochrany se pro účely této vyhlášky považuje plnění opatření v oblasti personální, administrativní a fyzické bezpečnosti, bezpečnosti informačních nebo komunikačních systémů při zajišťování kryptografické ochrany.

(2) Bezpečnostní správu kryptografické ochrany podle odstavce 1 určí odpovědná osoba nebo jí pověřená osoba v orgánu státu, u právnické osoby nebo podnikající fyzické osoby tam, kde se provádí výkon kryptografické ochrany.

(3) Bezpečnostní správu kryptografické ochrany vykonává

• a) bezpečnostní správce kryptografické ochrany, který odpovídá za komplexní zajištění, bezpečné provádění a kontrolu kryptografické ochrany a k tomu zpracovává příslušnou bezpečnostní dokumentaci kryptografické ochrany,

• b) správce kryptografického materiálu, který odpovídá za bezpečné ukládání a evidenci kryptografického materiálu, administrativních pomůcek, evidenci pracovníků, kryptografické ochrany, pracovníků provozní obsluhy kryptografických prostředků a kurýrů kryptografického materiálu, a

• c) vedoucí zaměstnanec, který je nadřízený pracovníku kryptografické ochrany a kterému to vyplývá z jeho pracovního zařazení.

(4) Úkoly správců podle odstavce 3 písm. a) a b) stanoví bezpečnostní standardy [§ 2 písm. j) zákona]. Jednotlivé činnosti vyplývající z role správce kryptografického materiálu lze rozdělit mezi více pověřených pracovníků kryptografické ochrany.

Podrobnosti zajišťování provozu kryptografického prostředku

§ 8

Instalace a obsluha kryptografického prostředku

(1) Instalaci kryptografického prostředku a zajišťování provozu a servisu kryptografického prostředku, činnosti bezprostředně související s nastavením materiálů k zajištění funkce kryptografického prostředku a plnění bezpečnostních opatření správy provozovaného kryptografického prostředku provádí pracovník speciální obsluhy kryptografického prostředku. Požadavky na zajištění speciální obsluhy kryptografického prostředku stanoví bezpečnostní standardy [§ 2 písm. j) zákona] a jsou uvedeny v certifikační zprávě kryptografického prostředku (§ 46 odst. 13 zákona).

(2) Rozsah oprávnění a činností pracovníka speciální obsluhy kryptografického prostředku a pracovníka provozní obsluhy kryptografického prostředku a jeho zaškolení se stanoví v provozní dokumentaci kryptografického prostředku.

(3) Kryptografický prostředek zastavěný do mobilního systému se zabezpečuje opatřeními fyzické bezpečnosti v souladu s certifikační zprávou kryptografického prostředku (§ 46 odst. 13 zákona).

(4) Pro účely provádění záznamů o používání kryptografického prostředku a materiálu k zajištění jeho funkce se používá provozní deník kryptografického prostředku, kterým je kniha nebo sešit.

(5) Pro vydání provozního deníku kryptografického prostředku a jeho úpravu před vzetím do užívání se použijí ustanovení § 17 odst. 2 a 3 obdobně.

(6) Provozní deník kryptografického prostředku musí být na vhodném místě označen stupněm utajení a evidenčním číslem. Doplňující označení provozního deníku kryptografického prostředku slovem „KRYPTO“ se provádí v souladu s certifikační zprávou kryptografického prostředku (§ 46 odst. 13 zákona).

§ 9

Výroba a používání materiálu k zajištění funkce kryptografického prostředku

(1) Způsob a podmínky výroby, označování, manipulace, nastavení, používání a ničení materiálu k zajištění funkce kryptografického prostředku stanoví provozní dokumentace kryptografického prostředku a bezpečnostní standardy [§ 2 písm. j) zákona].

(2) Výrobu materiálu k zajištění funkce kryptografického prostředku musí provádět pověřený pracovník speciální obsluhy kryptografického prostředku na kryptografickém pracovišti určeném k výrobě materiálu k zajištění funkce kryptografického prostředku. K této činnosti musí být pracovník kryptografické ochrany držitelem platného osvědčení o zvláštní odborné způsobilosti pracovníka kryptografické ochrany, ve kterém je uvedeno oprávnění k výrobě materiálů k zajištění funkce kryptografického prostředku.

Způsob zaškolování a vzor potvrzení pracovníka provozní obsluhy kryptografického prostředku a kurýra kryptografického materiálu

§ 10

Provozní obsluha kryptografického prostředku

(1) Pro kryptografický prostředek, u kterého je provozní obsluha vyžadována, zajistí zaškolení pracovníka provozní obsluhy kryptografického prostředku bezpečnostní správce kryptografické ochrany. Po provedení zaškolení vydá subjekt, který zaškolení provedl, zaškolené osobě potvrzení o zaškolení pracovníka provozní obsluhy kryptografického prostředku.

(2) Vzor potvrzení o zaškolení pracovníka provozní obsluhy kryptografického prostředku je stanoven v příloze č. 1 k této vyhlášce.

(3) Pro kryptografický prostředek, který je podle certifikační zprávy kryptografického prostředku současně koncovým zařízením komunikačního nebo informačního systému a u kterého je výkon jeho uživatelských funkcí součástí obsluhy koncového zařízení vykonávané uživatelem komunikačního nebo informačního systému, nemusí být provozní obsluha vyžadována. Pokud jsou požadavky na provoz takového kryptografického prostředku zapracovány do provozní dokumentace komunikačního nebo informačního systému, musí být uživatel k obsluze kryptografického prostředku proškolen v rámci tohoto komunikačního nebo informačního systému.

§ 11

Kurýr kryptografického materiálu

(1) Zaškolení kurýra kryptografického materiálu zajišťuje bezpečnostní správce kryptografické ochrany. Po provedení zaškolení vydá subjekt, který zaškolení provedl, zaškolené osobě potvrzení o zaškolení kurýra kryptografického materiálu. Obsah školení kurýra kryptografického materiálu stanoví bezpečnostní standard [§ 2 písm. j) zákona].

(2) Vzor potvrzení o zaškolení kurýra kryptografického materiálu je stanoven v příloze č. 2 k této vyhlášce.

Podrobnosti způsobu vyznačování náležitostí na utajované informaci z oblasti kryptografické ochrany

§ 12

Označování kryptografického materiálu

(1) Označování kryptografického prostředku upravuje jeho certifikační zpráva.

(2) Materiál k zajištění funkce kryptografického prostředku se označí stupněm utajení; klíčový materiál se dále označí slovem „KRYPTO“. Evidenčním číslem materiálu k zajištění funkce kryptografického prostředku je evidenční označení materiálu stanovené výrobcem materiálu k zajištění funkce kryptografického prostředku.

(3) Materiál k zajištění funkce kryptografického prostředku, který je provozován v režimu schváleného testování nebo školení, se označí stupněm utajení podle certifikační zprávy kryptografického prostředku, pokud je vyžadován, a doplňujícím slovem „CVIČNÉ“.

(4) Kryptografický dokument v listinné podobě se označí slovem „KRYPTO“ v horní a dolní části na každé straně dokumentu za stupněm utajení a číslem jednacím; doplňkově jej lze označit evidenčním číslem. U kryptografického dokumentu v nelistinné podobě se označení slovem „KRYPTO“, stupněm utajení a evidenčním číslem vyznačí na popisném štítku nebo přímo na kryptografickém dokumentu, pokud dále není stanoveno jinak (§ 13 a 15).

§ 13

Náležitosti kryptografického dokumentu v listinné podobě

(1) Na kryptografický dokument v listinné podobě se uvede název orgánu státu nebo právnické osoby anebo jméno, popřípadě jména a příjmení podnikající fyzické osoby, kde kryptografický dokument vznikl, místo a datum vyhotovení, číslo jednací dokumentu, stupeň utajení, označení slovem „KRYPTO“, číslo výtisku, počet listů, počet utajovaných a neutajovaných příloh v listinné podobě a počty jejich listů.

(2) Číslo výtisku, počet listů, počet utajovaných a neutajovaných příloh a počet jejich listů se uvede na přední stranu prvního listu v pravé horní části. Označení slovem „KRYPTO“ se vyznačí v horní a dolní části na každé straně kryptografického dokumentu za stupněm utajení a v čísle jednacím zkratkou „K“ uvedenou za rokem vzniku kryptografického dokumentu a oddělenou lomítkem. Počet příloh v listinné podobě a počet jejich listů se vyjádří zlomkem, jehož čitatelem je počet příloh a jmenovatelem celkový počet listů příloh. Listy nebo stránky kryptografického dokumentu v listinné podobě musí být průběžně číslovány. Listy nebo stránky utajovaných příloh se číslují samostatně. Listy kryptografického dokumentu a listy jednotlivých utajovaných příloh v listinné podobě musí být sešity nebo jinak pevně spojeny. Vzor úpravy přední strany prvního listu kryptografického dokumentu je stanoven v příloze č. 3 k této vyhlášce.

(3) Příloha se označuje číslem jednacím kryptografického dokumentu tak, že se na přední stranu prvního listu v pravé horní části uvede: „Příloha č. ... k č. j. ...“. Stupeň utajení každé utajované přílohy se vyznačuje stejným způsobem jako na kryptografickém dokumentu. Na utajované příloze stupně utajení Důvěrné a vyššího se uvede název orgánu státu nebo právnické osoby anebo jméno, popřípadě jména, příjmení podnikající fyzické osoby, u které utajovaná příloha vznikla. Utajovaná příloha musí mít vlastní vyznačení čísla výtisku a počtu listů. Manipulace s kryptografickým dokumentem, který obsahuje přílohy různých stupňů utajení, se řídí podle nejvyššího stupně utajení. S odpojenou přílohou se manipuluje podle jejího stupně utajení.

(4) Příloha, která má označení evidenčním číslem, se eviduje na evidenční kartě, v evidenční knize, případně v dalších administrativních pomůckách podle § 17. Tyto dokumenty se evidují a zasílají jako příloha pod evidenčními údaji původce dokumentu. Tato skutečnost se uvede v průvodním dopise.

§ 14

Číslo jednací kryptografického dokumentu

Číslo jednací kryptografického dokumentu tvoří

• a) zkratka stupně utajení,

• b) pořadové číslo z jednacího protokolu; v případě použití sběrného archu se za pořadovým číslem z jednacího protokolu vyznačí spojovník a pořadové číslo ze sběrného archu,

• c) lomítko,

• d) rok, ve kterém bylo pořadové číslo přiděleno,

• e) lomítko a zkratka „K“ a

• f) další údaje nebo znaky stanovené orgánem státu, právnickou osobou nebo podnikající fyzickou osobou oddělené spojovníkem.

§ 15

Náležitosti kryptografického dokumentu v nelistinné podobě

Na kryptografický dokument v nelistinné podobě nebo na jeho popisný štítek nebo jiným vhodným způsobem se uvede označení orgánu státu, právnické osoby, nebo podnikající fyzické osoby, kde kryptografický dokument vznikl, číslo jednací kryptografického dokumentu, popřípadě příloha k číslu jednacímu kryptografického dokumentu v listinné podobě, nebo evidenční označení, pod kterým je kryptografický dokument v nelistinné podobě zaevidován, stupeň utajení a slovo „KRYPTO“.

Způsob vedení evidence

§ 16

(1) Evidence kryptografického materiálu, pracovníků kryptografické ochrany, pracovníků provozní obsluhy kryptografických prostředků a kurýrů kryptografického materiálu se vede v administrativních pomůckách kryptografické ochrany.

(2) Evidenci podle odstavce 1 vede pracovník kryptografické ochrany pověřený k této činnosti odpovědnou osobou nebo jí pověřenou osobou (dále jen „pověřený pracovník“).

Druhy a náležitosti administrativních pomůcek kryptografické ochrany a požadavky na jejich vedení

§ 17

Administrativní pomůcky kryptografické ochrany

(1) Pro účely evidence, předávání, přebírání a zaznamenávání pohybu kryptografického materiálu, administrativních pomůcek, pracovníků kryptografické ochrany, pracovníků provozní obsluhy kryptografického prostředku a kurýrů kryptografického materiálu se používají následující administrativní pomůcky kryptografické ochrany

• a) evidenční karta pro evidování kryptografických prostředků, materiálů k zajištění funkce kryptografického prostředku, pracovníků kryptografické ochrany, pracovníků provozní obsluhy kryptografického prostředku, kurýrů kryptografického materiálu a provozní dokumentace,

• b) rejstřík evidenčních karet pro evidování evidenčních karet,

• c) evidenční kniha pro evidování kryptografického materiálu, administrativních pomůcek a pomocné evidence,

• d) jednací protokol pro evidování kryptografického dokumentu; jednací protokol obsahuje evidenční položky podle vzoru stanoveného v příloze č. 1 vyhlášky upravující administrativní bezpečnost a registry utajovaných informací,

• e) pomocný jednací protokol pro zaznamenávání pohybu kryptografického dokumentu v rámci orgánu státu, právnické osoby nebo podnikající fyzické osoby; pomocný jednací protokol obsahuje položky podle vzoru stanoveného v příloze č. 2 vyhlášky upravující administrativní bezpečnost a registry utajovaných informací,

• f) manipulační kniha pro zaznamenávání kryptografického dokumentu při přebírání a předávání osobou, která takový dokument vytváří nebo které byl takový dokument předán k vyřízení; manipulační kniha obsahuje položky podle vzoru stanoveného v příloze č. 3 vyhlášky upravující administrativní bezpečnost a registry utajovaných informací,