Vyhláška o zajištění kryptografické ochrany utajovaných informací a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti

ČÁST PRVNÍ

ÚVODNÍ USTANOVENÍ

§ 1

Předmět úpravy

(1) Tato vyhláška upravuje v návaznosti na předpis Evropské unie^1) způsoby a prostředky manipulace s kryptografickým materiálem.

(2) Tato vyhláška dále upravuje

• a) náležitosti přihlášky k odborné zkoušce,

• b) organizaci, obsah a způsob provádění odborné zkoušky,

• c) náležitosti osvědčení o zvláštní odborné způsobilosti,

• d) minimální požadavky na zajištění bezpečnostní správy kryptografické ochrany,

• e) způsob zaškolování provozní obsluhy kryptografického prostředku a kurýra kryptografického materiálu a vzor potvrzení o zaškolení provozní obsluhy kryptografického prostředku a kurýra kryptografického materiálu,

• f) podrobnosti o způsobu vyznačování náležitostí na utajované informaci z oblasti kryptografické ochrany, zejména podle druhu kryptografického materiálu,

• g) druhy a náležitosti administrativních pomůcek kryptografické ochrany a požadavky na vedení těchto pomůcek,

• h) obsah žádosti pro udělení povolení pro vývoz certifikovaného kryptografického prostředku z území České republiky a náležitosti povolení,

• i) způsob vedení evidencí uvedených v § 37 odst. 5 zákona,

• j) kategorie kryptografických pracovišť, typy činností na kryptografickém pracovišti a minimální požadavky na jejich zabezpečení,

• k) podmínky ochrany kryptografického prostředku a materiálu k zajištění jeho funkce podle § 41 odst. 4 zákona a

• l) náležitosti žádosti o uzavření smlouvy o zajištění činnosti podle § 52 zákona, jejímž předmětem je provedení odborné zkoušky a vydání osvědčení o zvláštní odborné způsobilosti, nebo části odborné zkoušky podle § 39 zákona.

§ 2

Vymezení pojmů

Pro účely této vyhlášky se rozumí

• a) kryptografickou zásilkou kryptografický materiál vybavený k přepravě, přepravovaný nebo doručený adresátovi na místo určení do ukončení její přepravy a jejího otevření a

• b) kryptografickým klíčem proměnný parametr nezbytný k zajištění kryptografické ochrany za použití kryptografických metod.

ČÁST DRUHÁ

PODROBNOSTI ZAJIŠŤOVÁNÍ ODBORNÉ ZKOUŠKY

§ 3

Náležitosti přihlášky k odborné zkoušce

Přihláška k odborné zkoušce obsahuje

• a) jméno, příjmení a datum narození pracovníka žadatele přihlášeného k odborné zkoušce,

• b) kopii platného osvědčení fyzické osoby,

• c) rozsah vykonávaných činností, pro které má být osvědčení o zvláštní odborné způsobilosti vydáno, a

• d) jméno, příjmení a podpis odpovědné osoby podle § 2 písm. e) zákona.

§ 4

Obsah, organizace a způsob provádění odborné zkoušky

(1) Odborná zkouška je vykonávána písemně na místě nebo distančním způsobem nebo ústně. Při odborné zkoušce jsou ověřovány znalosti technických a bezpečnostních vlastností kryptografického prostředku a právních předpisů z oblasti kryptografické ochrany.

(2) Zkušební komise je tříčlenná a je složena ze zástupců Národního úřadu pro kybernetickou a informační bezpečnost nebo pověřeného orgánu státu, který zvláštní odbornou způsobilost ověřuje.

(3) Členem zkušební komise může být jmenován jen pracovník kryptografické ochrany, který je držitelem platného osvědčení fyzické osoby nejméně pro takový stupeň utajení, pro který je odborná zkouška vykonávána, s dobou praxe v oblasti kryptografické ochrany nejméně 2 roky. Alespoň jeden z členů zkušební komise musí být oprávněn provádět přípravu pracovníka kryptografické ochrany.

(4) Zkušební komise rozhoduje většinou hlasů. Výsledek odborné zkoušky se hodnotí stupněm „prospěl“ nebo „neprospěl“. V případě, že pracovník přihlášený k odborné zkoušce neprospěl, seznámí předseda zkušební komise žadatele s důvody tohoto hodnocení.

(5) O průběhu odborné přípravy a vykonání odborné zkoušky se vyhotoví protokol. Protokol o provedení odborné zkoušky podepisují všichni členové zkušební komise. Lhůta pro jeho skartaci začíná běžet uplynutím doby platnosti osvědčení o zvláštní odborné způsobilosti nebo dnem, kdy byl žadatel, který neprospěl, seznámen s důvody tohoto hodnocení.

(6) Pokud je část odborné zkoušky prováděna na základě smlouvy o zajištění činnosti podle § 39 odst. 3 písm. b) zákona, vydává tento subjekt písemný doklad o jejím výsledku.

§ 5

Náležitosti osvědčení o zvláštní odborné způsobilosti

Osvědčení o zvláštní odborné způsobilosti obsahuje

• a) evidenční číslo osvědčení,

• b) jméno, příjmení a datum narození držitele osvědčení,

• c) název a sídlo orgánu státu, právnické osoby podle § 60b zákona, obchodní firmu nebo název a sídlo podnikatele nebo jméno, příjmení a sídlo podnikající fyzické osoby, identifikační číslo osoby a otisk razítka,

• d) vymezení rozsahu zvláštní odborné způsobilosti k výkonu kryptografické ochrany,

• e) datum vydání a dobu platnosti osvědčení a

• f) jméno, příjmení a podpis oprávněného zástupce subjektu vydávajícího osvědčení.

§ 6

Náležitosti žádosti orgánu státu, právnické osoby podle § 60b zákona nebo podnikatele o uzavření smlouvy o zajištění činnosti

(1) Žádost o uzavření smlouvy s Národním úřadem pro kybernetickou a informační bezpečnost o zajištění činnosti, jejímž předmětem je provedení odborné zkoušky a vydání osvědčení o zvláštní odborné způsobilosti, nebo části odborné zkoušky podle § 39 zákona, obsahuje

• a) číslo osvědčení podnikatele s uvedením příslušného stupně utajení, je-li žadatelem podnikatel,

• b) jméno a příjmení kontaktní osoby žadatele a kontaktní spojení, kterým se rozumí alespoň její telefonní číslo a adresa elektronické pošty, a

• c) specifikace činností, které mají být prováděny podle smlouvy o zajištění činnosti.

(2) Žádost podle odstavce 1 obsahuje dále

• a) vymezení požadovaného rozsahu provádění odborné zkoušky,

• b) doklad o organizačním, personálním, technickém a materiálním zabezpečení provádění odborné zkoušky nebo části odborné zkoušky a

• c) jméno, příjmení a podpis odpovědné osoby nebo jí pověřené osoby nebo bezpečnostního ředitele žadatele.

ČÁST TŘETÍ

MINIMÁLNÍ POŽADAVKY NA ZAJIŠTĚNÍ BEZPEČNOSTNÍ SPRÁVY KRYPTOGRAFICKÉ OCHRANY

§ 7

(1) Za minimální požadavky bezpečnostní správy kryptografické ochrany se pro účely této vyhlášky považuje plnění opatření v oblasti personální, administrativní a fyzické bezpečnosti a bezpečnosti informačních nebo komunikačních systémů při zajišťování kryptografické ochrany.

(2) Pokud je u orgánu státu, právnické osoby podle § 60b nebo podnikatele prováděn výkon kryptografické ochrany, bezpečnostní správu kryptografické ochrany podle odstavce 1 určí odpovědná osoba nebo jí pověřená osoba nebo bezpečnostní ředitel.

(3) Bezpečnostní správu kryptografické ochrany vykonává

• a) správce kryptografického materiálu, který odpovídá za bezpečné ukládání kryptografického materiálu na kryptografickém pracovišti a evidenci kryptografického materiálu, administrativních pomůcek, evidenci pracovníků kryptografické ochrany, pracovníků provozní obsluhy kryptografických prostředků a kurýrů kryptografického materiálu,

• b) bezpečnostní správce kryptografické ochrany, který odpovídá za zajištění, bezpečné provádění a kontrolu kryptografické ochrany a k tomu zpracovává příslušnou bezpečnostní dokumentaci kryptografické ochrany, a

• c) vedoucí zaměstnanec, který je nadřízený pracovníka kryptografické ochrany a kterému to vyplývá z jeho pracovního zařazení.

(4) U správců podle odstavce 3 písm. a) a b) musí být zajištěna zastupitelnost v dané roli.

ČÁST ČTVRTÁ

PODROBNOSTI ZAJIŠŤOVÁNÍ PROVOZU KRYPTOGRAFICKÉHO PROSTŘEDKU

§ 8

Instalace a obsluha kryptografického prostředku

(1) Pokud instalace nebo servis kryptografického prostředku vyžadují přítomnost pracovníka výrobce kryptografického prostředku nebo jeho autorizovaného zástupce, provádí se tyto činnosti pouze v součinnosti s pracovníkem vykonávajícím speciální obsluhu kryptografického prostředku.

(2) Pro účely provádění záznamů o používání kryptografického prostředku se používá provozní deník kryptografického prostředku, který je veden v listinné podobě. Pokud je zajištěna autenticita a integrita, lze provozní deník kryptografického prostředku vést v elektronické podobě.

(3) Pro vydání provozního deníku kryptografického prostředku a jeho úpravu před vzetím do užívání se použijí ustanovení § 17 odst. 3 obdobně.

(4) Provozní deník kryptografického prostředku musí být na vhodném místě označen stupněm utajení a evidenčním číslem. Doplňující označení provozního deníku kryptografického prostředku „KRYPTO“ se provádí v souladu s certifikační zprávou kryptografického prostředku.

§ 9

Výroba a používání materiálu k zajištění funkce kryptografického prostředku

(1) Výrobu klíčového materiálu a heslového materiálu musí provádět pověřený pracovník vykonávající speciální obsluhu na kryptografickém pracovišti určeném k výrobě klíčového materiálu a heslového materiálu. K této činnosti musí být pracovník kryptografické ochrany držitelem platného osvědčení o zvláštní odborné způsobilosti, ve kterém je uvedeno oprávnění k výrobě klíčového materiálu a heslového materiálu.

(2) Materiál k zajištění funkce kryptografického prostředku a požadavky na jeho používání stanoví certifikační zpráva kryptografického prostředku.

(3) Je-li vyžadován provozní deník materiálu k zajištění funkce kryptografického prostředku, použije se § 8 odst. 2 až 4 obdobně.

ČÁST PÁTÁ

ZPŮSOB ZAŠKOLOVÁNÍ PRACOVNÍKA PROVOZNÍ OBSLUHY KRYPTOGRAFICKÉHO PROSTŘEDKU A KURÝRA KRYPTOGRAFICKÉHO MATERIÁLU

§ 10

Provozní obsluha kryptografického prostředku

(1) Pro kryptografický prostředek, u kterého je provozní obsluha vyžadována, zajišťuje zaškolení pracovníka provozní obsluhy kryptografického prostředku bezpečnostní správce kryptografické ochrany nebo osoba pověřená bezpečnostním ředitelem. Po provedení zaškolení vydá subjekt, který zaškolení provedl, zaškolené osobě potvrzení o zaškolení pracovníka provozní obsluhy kryptografického prostředku. Další zaškolení se provádí při podstatných změnách v provozování kryptografického prostředku.

(2) Vzor potvrzení o zaškolení pracovníka provozní obsluhy kryptografického prostředku je stanoven v příloze č. 1 k této vyhlášce. Pokud je zajištěna autenticita a integrita dokumentu, lze potvrzení o zaškolení vést také v elektronické podobě.

(3) Pro kryptografický prostředek, který je podle certifikační zprávy kryptografického prostředku současně koncovým zařízením komunikačního nebo informačního systému a u kterého je výkon jeho uživatelských funkcí součástí obsluhy koncového zařízení vykonávané uživatelem komunikačního nebo informačního systému, nemusí být provozní obsluha vyžadována. Pokud jsou požadavky na provoz takového kryptografického prostředku zapracovány do dokumentace komunikačního nebo informačního systému upravující jeho provozování, musí být uživatel k obsluze kryptografického prostředku proškolen v rámci tohoto komunikačního nebo informačního systému.

§ 11

Kurýr kryptografického materiálu

(1) Zaškolení kurýra kryptografického materiálu zajišťuje bezpečnostní správce kryptografické ochrany. Po provedení zaškolení vydá subjekt, který zaškolení provedl, zaškolené osobě potvrzení o zaškolení kurýra kryptografického materiálu a pokyny pro kurýra kryptografického materiálu. Další zaškolení se provádí při podstatných změnách v zajištění bezpečné přepravy kryptografického materiálu.

(2) Vzor potvrzení o zaškolení kurýra kryptografického materiálu je stanoven v příloze č. 2 k této vyhlášce. Pokud je zajištěna autenticita a integrita dokumentu, lze potvrzení o zaškolení vést také v elektronické podobě.

ČÁST ŠESTÁ

PODROBNOSTI ZPŮSOBU VYZNAČOVÁNÍ NÁLEŽITOSTÍ NA UTAJOVANÉ INFORMACE Z OBLASTI KRYPTOGRAFICKÉ OCHRANY A ZPŮSOB VEDENÍ EVIDENCE

§ 12

Označování kryptografického prostředku a materiálu k zajištění funkce kryptografického prostředku

(1) Kryptografický prostředek a materiál k zajištění jeho funkce distribuovaný do České republiky z Organizace Severoatlantické smlouvy nebo Evropské unie nebo jejich členských států označený textem „CCI“ nebo označením „Controlled Cryptographic Item“ se považuje za kontrolovanou kryptografickou položku a kryptografický prostředek distribuovaný do České republiky z členských států Organizace Severoatlantické smlouvy nebo Evropské unie označený textem „CI“ nebo označením „Controlled Item“ se považuje za kontrolovanou položku.

(2) Označování kryptografického prostředku, včetně označení textem „CCI“ nebo označením „Controlled Cryptographic Item“ nebo textem „CI“ nebo označením „Controlled Item“, upravuje jeho certifikační zpráva.

(3) Označení utajovaného klíčového materiálu a metadata spojená s klíčovým materiálem musí obsahovat zejména stupeň utajení, identifikační údaje pro potřeby evidence, informace o platnosti a určení klíčového materiálu. Označení klíčového materiálu musí současně obsahovat slovo „KRYPTO“.

(4) Označení utajovaného heslového materiálu a metadata spojená s heslovým materiálem musí obsahovat stupeň utajení a evidenční údaje stanovené výrobcem heslového materiálu.

(5) Materiál k zajištění funkce kryptografického prostředku, který nezahrnuje materiál uvedený v odstavcích 3 a 4, musí obsahovat identifikační údaje pro potřeby evidence.

(6) Heslový materiál pro odvození klíče a klíčový materiál, který je provozován v režimu schváleného testování nebo školení, se označí stupněm utajení nebo označením „NEUTAJOVANÉ“ podle certifikační zprávy kryptografického prostředku a doplňujícím označením „CVIČNÉ“.

§ 13

Náležitosti kryptografického dokumentu v listinné podobě

(1) Na kryptografickém dokumentu v listinné podobě musí být uveden název orgánu státu, právnické osoby podle § 60b zákona, obchodní firma nebo název podnikatele nebo jméno, příjmení a sídlo podnikatele, u kterého utajovaný dokument vznikl, číslo jednací, stupeň utajení, označení „KRYPTO“, datum vzniku, číslo výtisku, počet listů, počet utajovaných a neutajovaných příloh v listinné podobě a počet jejich listů, případně místo vzniku a počet a druh utajovaných a neutajovaných příloh v nelistinné podobě. Na utajovaný dokument se mohou vyznačit i další nezbytné údaje.

(2) Číslo výtisku, počet listů, počet utajovaných a neutajovaných příloh a počet jejich listů se uvede na přední stranu prvního listu podle vzoru v příloze č. 3 k této vyhlášce. Označení „KRYPTO“ se vyznačí v horní a dolní části na každé straně kryptografického dokumentu za stupněm utajení a v čísle jednacím zkratkou „K“ uvedenou za rokem přidělení čísla jednacího kryptografickému dokumentu a oddělenou lomítkem. Počet příloh v listinné podobě a počet jejich listů se vyjádří zlomkem, jehož čitatelem je počet příloh a jmenovatelem celkový počet listů příloh. Listy nebo stránky kryptografického dokumentu v listinné podobě musí být průběžně číslovány. Listy nebo stránky utajovaných příloh se číslují samostatně. Listy kryptografického dokumentu a listy jednotlivých utajovaných příloh v listinné podobě musí být sešity nebo jinak pevně spojeny.

(3) Příloha se označuje vlastním pořadovým číslem a číslem jednacím kryptografického dokumentu. Stupeň utajení každé utajované přílohy se vyznačuje stejným způsobem jako na kryptografickém dokumentu. Na utajované příloze se uvede název orgánu státu nebo právnické osoby podle § 60b zákona, obchodní firma nebo název podnikatele nebo jméno, příjmení a sídlo podnikatele, u kterého utajovaná příloha vznikla, stupeň utajení a datum vzniku. Utajovaná příloha musí mít vlastní vyznačení čísla výtisku a počtu listů. Manipulace s kryptografickým dokumentem, který obsahuje přílohy různých stupňů utajení, se řídí podle nejvyššího stupně utajení. S odpojenou přílohou se manipuluje podle jejího stupně utajení.

(4) Příloha, která je označena evidenčním číslem, se eviduje na evidenční kartě, v evidenční knize, případně v dalších administrativních pomůckách podle § 17 odst. 2. Příloha se eviduje a zasílá pod evidenčními údaji původce kryptografického dokumentu v listinné podobě. Tato skutečnost se uvede v průvodním dopise.

§ 14

Číslo jednací a evidenční číslo kryptografického dokumentu

(1) Číslo jednací kryptografického dokumentu tvoří

• a) zkratka stupně utajení, a to pro stupeň utajení

• 1. Přísně tajné zkratka „PT“,

• 1. Tajné zkratka „T“,

• 1. Důvěrné zkratka „D“,

• 1. Vyhrazené zkratka „V“,

• b) pořadové číslo z jednacího protokolu; v případě použití sběrného archu se za pořadovým číslem z jednacího protokolu vyznačí spojovník a pořadové číslo ze sběrného archu,

• c) lomítko a rok, ve kterém bylo pořadové číslo přiděleno,

• d) lomítko a zkratka „K“ a

• e) další údaje nebo znaky stanovené orgánem státu, právnickou osobou podle § 60b zákona nebo podnikatelem, oddělené spojovníkem.

(2) Evidenční číslo kryptografického dokumentu tvoří

• a) číslo rejstříku evidenčních karet,

• b) spojovník a číslo evidenční karty, kterým je číslo řádku z rejstříku evidenčních karet,

• c) lomítko a pořadové číslo karty z rejstříku evidenčních karet a

• d) další údaje nebo znaky stanovené orgánem státu, právnickou osobou podle § 60b zákona nebo podnikatelem, oddělené spojovníkem; údaje nebo znaky musí být vyznačeny tak, aby nemohlo dojít k záměně čísla jednacího s evidenčním číslem.

§ 15

Náležitosti kryptografického dokumentu v nelistinné podobě

Na kryptografický dokument v nelistinné podobě nebo na jeho popisný štítek nebo jiným vhodným způsobem se uvede název orgánu státu, právnické osoby podle § 60b zákona, obchodní firma nebo název podnikatele nebo jméno, příjmení a sídlo podnikatele, datum vzniku, číslo jednací kryptografického dokumentu, popřípadě příloha k číslu jednacímu kryptografického dokumentu v listinné podobě, nebo evidenční číslo, pod kterým je kryptografický dokument v nelistinné podobě zaevidován v administrativních pomůckách podle § 17 odst. 1 písm. a), stupeň utajení a označení „KRYPTO“.

§ 16

Způsob vedení evidence

Evidence kryptografického materiálu, pracovníků kryptografické ochrany, pracovníků provozní obsluhy kryptografických prostředků a kurýrů kryptografického materiálu se vede v administrativních pomůckách kryptografické ochrany.

ČÁST SEDMÁ

DRUHY A NÁLEŽITOSTI ADMINISTRATIVNÍCH POMŮCEK KRYPTOGRAFICKÉ OCHRANY A POŽADAVKY NA JEJICH VEDENÍ

§ 17

Administrativní pomůcky kryptografické ochrany

(1) Pro účely evidence, předávání, přebírání a zaznamenávání pohybu kryptografického materiálu, administrativních pomůcek, pracovníků kryptografické ochrany, pracovníků provozní obsluhy kryptografického prostředku a kurýrů kryptografického materiálu se používají administrativní pomůcky kryptografické ochrany, kterými jsou

• a) evidenční karta pro evidování kryptografických prostředků, materiálů k zajištění funkce kryptografického prostředku, pracovníků kryptografické ochrany, pracovníků provozní obsluhy kryptografického prostředku, kurýrů kryptografického materiálu a provozní dokumentace,