Uredba o varovanju tajnih podatkov
Vlada Republike Slovenije je na 121. redni seji dne 7. 4. 2022 obravnavala in izdala novo Uredbo o varovanju tajnih podatkov, ki je temeljni izvedbeni akt Zakona o tajnih podatkih (Uradni list RS, št. 50/06 – uradno prečiščeno besedilo, 9/10, 60/11 in 8/20). Nova uredba združuje prejšnjo Uredbo o varovanju tajnih podatkov (Uradni list RS, št. 74/05, 7/11 in 24/11 – popr.), Uredbo o varovanju tajnih podatkov v komunikacijsko informacijskih sistemih (Uradni list RS, št. 48/07 in 86/11) in Sklep o določitvi pogojev za varnostnotehnično opremo, ki se sme vgrajevati v varnostna območja (Uradni list RS, št. 94/06). Navedeni akti s sprejetjem nove uredbe prenehajo veljati.
Zaradi poenotenja varovanja tajnih podatkov je v uredbi na novo opredeljena uporaba določb, ki urejajo varovanje tajnih podatkov Republike Slovenije, tudi za varovanje tajnih podatkov tujih držav in mednarodnih organizacij, razen če ni izrecno navedeno drugače. Republika Slovenija se je namreč z mednarodnimi pogodbami zavezala, da bo na primerljiv način varovala tajne podatke tujih držav in mednarodnih organizacij.
Z vidika rokovanja s tajnimi podatki nova uredba podrobneje določa vsebino pisne ocene, označevanje, kopiranje, distribucijo, prenos, ravnanje ob izgubi oziroma nepooblaščenem razkritju tajnega podatka in njihovo uničenje.
Na novo ureja način in obliko izvedbe izločanja tajnih podatkov iz dokumenta v primerih, ko bi se z dokumentom morale seznaniti osebe, ki nimajo veljavnega dovoljenja za dostop do tajnih podatkov.
Na dalje ureja področje distribucije tajnih podatkov znotraj organov in organizacij ter podrobneje prenos tajnih podatkov. Posebej ureja način prenosa tajnih podatkov znotraj države in mednarodni prenos ter predvideva izjemne primere, v katerih se lahko opravi osebni prenos tajnega podatka. Oseba, ki bo opravila osebni prenos, mora biti pred tem seznanjena s postopki in ukrepi varovanja prenosa tajnega podatka, predstojnik organa pa ji mora izdati ustrezno pooblastilo za vsakokraten prenos.
Uredba, ob izpolnjevanju določenih pogojev, in kadar je to neizogibno potrebno pri izvajanju nalog organa, uvaja možnost obravnavanja tajnih podatkov v začasnih upravnih in varnostnih območjih oz. izven upravnih in varnostnih območij.
Novost pri vgradnji varnostnotehnične opreme v upravna in varnostna območja je, da pogoji za varnostnotehnično opremo, ki se sme vgrajevati v varnostna območja, niso več taksativno našteti in jih ni potrebno kumulativno izpolnjevati, ampak je določene varnostne elemente mogoče med seboj kombinirati.
Ključne novosti na področju varovanja tajnih podatkov v komunikacijsko informacijskih sistemih so v določitvi odgovornih oseb za varovanje tajnih podatkov v sistemih in njihovih nalog, varnostnem vrednotenju sistemov, upravljanju tveganj in preostalih tveganj, medsebojnem povezovanju sistemov ter izvajanju zaščite proti neželenemu elektromagnetnemu sevanju.
Na področju kriptografije uredba opredeljuje celoten življenjski cikel kriptografske rešitve, namenjene varovanju tajnih podatkov, začenši s pobudami za zasnovo, prek razvoja in postopka ugotavljanja varnostne ustreznosti, pa vse do uporabe kriptografske rešitve v sistemu. Natančno opredeli tako začetek postopka ugotavljanja ustreznosti kriptografske rešitve, vsebino vloge in potrebno dokumentacijo, kot tudi splošne varnostne zahteve, ki jih v postopku preverjanja odobri nacionalni varnosti organ glede na stopnjo tajnosti tajnih podatkov v komunikacijsko informacijskem sistemu. Poleg tega na novo opredeljuje postopek ugotavljanja ustreznosti nadgradnje kriptografske rešitve ter postopek ugotavljanja varnostne ustreznosti drugih rešitev, ki niso nujno kriptografske, vendar ključne za zagotavljanje varnosti.
Nova Uredba o varovanju tajnih podatkov je bila objavljena v uradnem listu Republike Slovenije št. 50/2022.