Tajni podatki
Tajni podatek je lahko označen s stopnjo tajnosti:
- INTERNO,
- ZAUPNO,
- TAJNO,
- STROGO TAJNO.
Varnost osebja
Varnost osebja pri varovanju tajnih podatkov pomeni, da so vse osebe, ki dostopajo do tajnih podatkov zaradi opravljanja nalog ali funkcije na svojem delovnem mestu, ustrezno varnostno preverjene. To pomeni, da se v postopku varnostnega preverjanja osebe preveri njena lojalnost, zanesljivost in verodostojnost, in sicer z namenom, da se osebi izda ali da oseba zadrži dovoljenje za dostop do tajnih podatkov. V postopku varnostnega preverjanja se obravnavajo vidiki, ki zadevajo osebnostni značaj, in okoliščine, ki bi lahko povzročile nastanek morebitnih varnostnih problemov.
Naziv storitve | Institucija |
---|---|
Urad Vlade Republike Slovenije za varovanje tajnih podatkov | |
Urad Vlade Republike Slovenije za varovanje tajnih podatkov | |
Urad Vlade Republike Slovenije za varovanje tajnih podatkov | |
Urad Vlade Republike Slovenije za varovanje tajnih podatkov | |
Urad Vlade Republike Slovenije za varovanje tajnih podatkov |
Dokumentacijska varnost
Dokumentacijska varnost opredeljuje enoten sistem določanja in označevanja tajnih podatkov, prenosa, razmnoževanja, evidentiranja, uničevanja in arhiviranja ter postopka ob zlorabi tajnega podatka. Pravno podlago, ki se pri tem upošteva, tvorijo predpisi s področja tajnih podatkov ter predpisi, ki obravnavajo ravnanje z dokumentarnim in arhivskim gradivom nasploh.
Dokumentacijska varnost se z organizacijskimi ukrepi obravnavanja tajnih podatkov prepleta s fizičnimi in tehničnimi ukrepi varovanja tajnih podatkov, skupaj pa tvorijo celovit sistem varovanja tajnih podatkov, katerega cilj je preprečiti dostop nepooblaščenim osebam ter imeti sledljivost podatkov skozi njihovo življenjsko dobo.
Dokumentacijska varnost EU
Svet EU, Evropska komisija in vse države članice morajo zagotoviti, da celotna javna uprava, pogodbeni partnerji ter institucije in agencije EU spoštujejo minimalne standarde varovanja tajnosti, tako da je mogoče vsak tajni podatek EU posredovati naprej v prepričanju, da bo vsaka od navedenih strani z njim ravnala na enak način. Tovrstni minimalni standardi morajo obsegati postopke za zaščito tajnih podatkov EU.
Skladno z odločbo Sveta EU o varovanju tajnosti je Generalni sekretar (Visoki predstavnik) odgovoren za dajanje zahtev državam članicam za ustanovitev registrskega sistema EU za sprejem tajnih podatkov stopnje tajnosti STROGO TAJNO. Nacionalni varnostni organi (angleško National Security Authority - NSA) držav članic izdajajo dovoljenja za ustanovitev in delovanje registrov EU.
Stopnje tajnosti, kot jih določa Zakon o tajnih podatkih, so usklajene s stopnjami tajnosti, ki jih določata Odločbi Sveta in Komisije.
V nadaljevanju so prikazane slovenske in evropske stopnje tajnosti:
Stopnja tajnosti v Sloveniji | Stopnja tajnosti v EU |
---|---|
INTERNO | RESTREINT UE/EU RESTRICTED |
ZAUPNO | CONFIDENTIEL UE/EU CONFIDENTIAL |
TAJNO | SECRET UE/EU SECRET |
STROGO TAJNO | TRES SECRET UE/EU TOP SECRET |
S sprejetjem predpisov na področju tajnih podatkov se je slovenska zakonodaja tudi na področju dodatnih oznak tajnih podatkov popolnoma uskladila z evropsko zakonodajo, kot jo predvideva Odločba Sveta EU. Slovenska zakonodaja na področju dokumentacijske varnosti je pri vprašanjih razvrščanja tajnih podatkov po stopnjah tajnosti, uporabi stopenj tajnosti ter spremembi in preklicu stopnje tajnost prav tako usklajena z evropskimi predpisi.
Priprava in razpošiljanje tajnih podatkov EU
Vsaka stran dokumenta, ki vsebuje tajni podatek, je zgoraj in spodaj na sredini strani označena s stopnjo tajnosti. Na vsaki strani mora biti oznaka trenutne strani in celotno število strani dokumenta (na primer 5/12). Dokumenti, ki vsebujejo tajne podatke stopnje tajnosti STROGO TAJNO in TAJNO, morajo imeti šifro dokumenta napisano na vsaki strani. Kopije dokumenta morajo biti označene, številka kopije mora biti navedena na prvi strani dokumenta. Za dokumente, ki vsebujejo tajne podatke stopnje tajnosti ZAUPNO ali višje, se zahteva, da so vse priloge in dodatki navedeni na prvi strani dokumenta. Dokumenti, ki vsebujejo tajne podatke stopnje tajnosti STROGO TAJNO, se lahko izmenjujejo samo prek registrskega sistema EU. Registri EU morajo vse dokumente, ki vsebujejo tajne podatke stopnje tajnosti ZAUPNO in višje, ob prihodu ali izhodu iz ustanove vpisati v evidenco. Podatki, ki jih je treba vpisati, morajo omogočati prepoznavo dokumentov in biti vpisani v delovodnik ali vneseni v posebno varovan računalniški nosilec.
Prenos tajnih podatkov EU
Dokumente, ki vsebujejo tajne podatke stopnje tajnosti STROGO TAJNO, lahko znotraj države prenašajo le pripadniki kurirske službe, izjemoma javni uslužbenci, če so izpolnjeni pogoji iz odločbe Sveta EU. Dokumente, ki vsebujejo tajne podatke stopnje tajnosti ZAUPNO ali TAJNO, lahko znotraj države prenašajo pooblaščena kurirska služba in pooblaščeni posamezniki, ki so preverjeni in imajo ustrezno dovoljenje za dostop do tajnih podatkov EU.
Prenos dokumentov, ki vsebujejo tajne podatke EU stopnje tajnosti ZAUPNO in višje, med državami članicami je dovoljen le prek diplomatske pošte ali vojaške kurirske službe. Dokumenti, ki vsebujejo tajne podatke stopnje tajnosti INTERNO, se lahko prenašajo na način, da ne morejo pasti v nepooblaščene roke.
Dokumenti, ki vsebujejo tajne podatke stopnje tajnosti ZAUPNO, se prenašajo v odpornih, neprosojnih dvojnih ovojnicah. Notranja ovojnica se označi s primerno stopnjo tajnosti EU in, kolikor je le mogoče, s polnimi podatki o uradnem delovnem nazivu in naslovu naslovnika.
V notranjo ovojnico se vloži potrdilo o prejemu, ki ga lahko potrdi samo nadzorni javni uslužbenec registra EU ali njegov namestnik, razen če je ovojnica naslovljena na posamezno osebo. V tem primeru register EU vpiše sprejem ovojnice, notranjo ovojnico pa sme odpreti in potrditi sprejem vsebovanih dokumentov znotraj nje samo oseba, na katero je naslovljena.
Potrdilo ni tajni podatek, mora pa vsebovati šifro zadev(e), datum dokumenta, številko kopije, vendar nikoli vsebine dokumenta.
Pri oddaji dokumentov, ki vsebujejo tajne podatke stopnje tajnosti ZAUPNO, kurirji prejmejo potrdilo, na katerem se morajo podatki ujemati z odpremnimi podatki.
Prenos tajnih podatkov stopnje tajnosti ZAUPNO in TAJNO se lahko izvaja samo prek akreditiranih komunikacijskih centrov in omrežij oziroma terminalov ter sistemov.
Kopije, prevodi in izvlečki tajnih podatkov EU
Kopije ali prevode dokumentov, ki vsebujejo tajne podatke stopnje tajnosti STROGO TAJNO, lahko odobri samo originator (tvorec) dokumenta. Dokumente, ki vsebujejo tajne podatke stopnje tajnosti TAJNO in nižje, lahko razmnožuje, prevaja ali pripravlja njihove izvlečke naslovnik, skladno s slovenskimi predpisi o rokovanju s tajnimi podatki.
Vsi registri EU opravijo inventurne popise vseh dokumentov, ki vsebujejo tajne podatke stopnje tajnosti STROGO TAJNO. Izvajajo se tudi naključna interna preverjanja o dokumentih. Dovoljeno je arhiviranje tajnih podatkov EU na mikrofilm ali so dovoljena magnetna ter optična sredstva pod pogojem, da so nosilci podatkov zaščiteni na enak način kot izvirni dokument. Na nosilcih so lahko shranjeni samo podatki ene stopnje tajnosti.
Uničevanje tajnih podatkov EU
Dokumenti, ki vsebujejo tajne podatke stopnje tajnosti STROGO TAJNO, se lahko uničujejo samo v centralnem registru EU. Ti dokumenti se lahko uničujejo samo zapisniško, skladno s pravilom "treh oseb". Potrdila o uničenju ter dokumentacija o razpošiljanju se hranijo v registru EU vsaj deset let od dneva uničenja.
Dokumente, ki vsebujejo tajne podatke stopnje tajnosti TAJNO, uničijo pristojni registri EU. Potrdila o uničenju ter dokumentacija o razpošiljanju se hranijo v registru EU vsaj tri leta od dneva uničenja. Dokumente, ki vsebujejo tajne podatke stopnje tajnosti ZAUPNO, uničijo pristojni registri EU. Potrdila o uničenju ter dokumentacija o razpošiljanju se hranijo v registru EU skladno s slovenskimi predpisi s področja tajnih podatkov. Dokumente, ki vsebujejo tajne podatke stopnje tajnosti INTERNO, uničijo pristojni registri EU ali uporabnik, če to omogočajo slovenski predpisi s področja tajnih podatkov.
Registri EU
Namen registrskega sistema EU za tajne podatke stopnje tajnosti STROGO TAJNO je zagotoviti njihovo pravilno evidentiranje, arhiviranje, rokovanje, razpošiljanje in uničenje. Centralni register EU v državi članici ima vlogo glavnega sprejemnega in odpravnega organa. Če je potrebno, lahko države ustanovijo podregistre EU STROGO TAJNO. Ti podregistri so zadolženi za upravljanje z dokumenti, ki vsebujejo tajne podatke stopnje tajnosti STROGO TAJNO, če centralni register ne more pokrivati vseh potreb države. Podregistri ne smejo pošiljati tajnih podatkov stopnje tajnosti STROGO TAJNO neposredno drugim podregistrom EU brez odobritve centralnega registra EU. Vsakih dvanajst mesecev vsi podregistri EU in centralni register EU opravijo popis vseh dokumentov, ki vsebujejo tajne podatke stopnje tajnosti STROGO TAJNO, za katere so odgovorni. Podregistri EU pošljejo ugotovitve popisa centralnemu registru EU, ta pa nato o stanju na področju tajnih podatkov stopnje tajnosti STROGO TAJNO poroča Nacionalnemu varnostnemu organu (NVO).
Ukrepi varovanja tajnosti v času sestankov, ki potekajo zunaj prostorov Sveta EU
Za prinašanje, odnašanje in varovanje dokumentov, ki vsebujejo tajne podatke, na sestankih so odgovorne delegacije same. Za dostavo na kraj sestanka in odnašanje teh dokumentov s kraja sestanka lahko delegacije zaprosijo za pomoč državo članico gostiteljico.
Zaščita tajnih podatkov EU v sistemih informacijske tehnologije in komunikacijskih sistemih
Pod tehnične ukrepe varovanja tajnosti spadata tudi nadzor in sledljivost podatkov. Za tajne podatke stopnje tajnosti TAJNO in višje se vodi evidenca dostopa, ki je lahko avtomatska ali ročna. Pri pošiljanju izpisov, nastalih v sistemu, ki obdeluje tajne podatke EU, iz varnostnega območja na območje oddaljenega terminala (delovne postaje) se za nadzor nad pošiljanjem na daljavo določijo postopki, ki jih odobri organ za varnostno akreditacijo (angleško Security Accreditation Authorities - SAA). Vsi izmenljivi računalniški nosilci stopnje tajnosti ZAUPNO in višje morajo biti primerno označeni. Tajni podatki EU morajo biti shranjeni na nosilcih skupaj z ustrezno označeno stopnjo tajnosti in zaščite. Stopnje tajnosti pri računalniških nosilcih, ki se uporabljajo za vnos tajnih podatkov EU, se lahko znižajo, razen za računalniške nosilce tajnih podatkov stopnje tajnosti STROGO TAJNO. Računalniških nosilcev tajnih podatkov stopnje tajnosti STROGO TAJNO tudi ni možno vnovič uporabiti. Kadar stopnje tajnosti za računalniški nosilec ni mogoče preklicati ali se ta ne sme vnovič uporabiti, se računalniški nosilec uniči po odobrenem postopku, ki ga določajo slovenski predpisi s področja tajnih podatkov.
Dokumentacijska varnost NATO
Za usklajevanje, spremljanje in uresničevanje varnostne politike zveze Nato skrbi Urad zveze Nato za varnost (angleško Nato Office of Security - NOS). Direktor NOS je glavni svetovalec generalnega sekretarja za varnostna vprašanja in predsednik Natovega Odbora za varnost (angleško Nato Security Committee - NSC).
Pogodbenice imajo obveznosti, kot izhajajo iz Zakona o ratifikaciji Sporazuma med pogodbenicami Severnoatlantske pogodbe o varnosti podatkov, in določa, da:
- ščitijo in varujejo:
- tajne podatke zveze Nato, označene kot take, ali tiste, ki jih zvezi Nato predloži država članica;
- tajne podatke, označene kot take, ki jih države članice predložijo drugi državi članici v podporo programu, projektu, ali
- pogodbe zveze Nato;
- ohranjajo stopnjo tajnosti podatkov, kot je opredeljeno v predpisih zveze Nato s področja tajnih podatkov, in storijo vse potrebno, da jih varujejo primerno stopnji tajnosti;
- ne uporabljajo tajnih podatkov, kot so opredeljeni v predpisih zveze Nato s področja tajnih podatkov, v druge namene kot tiste, ki so določeni v Severnoatlantski pogodbi, sklepih in resolucijah, ki se nanašajo na to pogodbo;
- ne razkrivajo podatkov, ki so v predpisih zveze Nato s področja tajnih podatkov opredeljeni kot tajni podatki NATO, stranem, ki niso članice zveze Nato, brez soglasja lastnika podatkov.
Zakon določa, da pogodbenice vzpostavijo in izvajajo varnostne standarde, ki zagotavljajo skupno raven varovanja tajnih podatkov.
Opredelitve tajnih podatkov zveze Nato, kot določa ta zakon:
- podatki pomenijo vedenje, ki se lahko sporoča v kakršni koli obliki,
- tajni podatki pomenijo podatke ali sredstva, za katere je določeno, da morajo biti zavarovani pred nepooblaščenim razkritjem in so bili določeni s stopnjo tajnosti,
- izraz sredstvo pomeni dokumente in vsak del strojev, opreme ali orožja, ki je že bil izdelan ali je v postopku izdelave,
- izraz dokument pomeni vsak zapisan podatek ne glede na njegovo obliko ali značilnost, vključno s pisnim ali natisnjenim gradivom, karticami ali trakovi za obdelavo podatkov, zemljevidi, kartami, fotografijami, slikami, risbami, grafikami, skicami, delovnimi zapisi, kopijami in pisalnimi trakovi ali reprodukcijami s sredstvi ali postopki ter zvočnimi, glasovnimi, magnetnimi, elektronskimi, optičnimi ali videoposnetki v kakršni koli obliki ter prenosno opremo za avtomatsko obdelavo podatkov z vgrajenimi računalniškimi sredstvi za shranjevanje podatkov in odstranljivimi računalniškimi sredstvi za shranjevanje podatkov.
V nadaljevanju je prikaz slovenskih in Natovih stopenj tajnosti:
Stopnja tajnosti v Sloveniji | Stopnja tajnosti v NATO |
---|---|
INTERNO | NATO RESTRICTED |
ZAUPNO | NATO CONFIDENTIAL |
TAJNO | NATO SECRET |
STROGO TAJNO | COSMIC TOP SECRET |
Fizična varnost
Fizična varnost je pomembna prvina celotnega sistema varovanja tajnih podatkov. Njen glavni cilj je odvrniti, preprečiti in/ali odkriti nepooblaščene dostope do tajnih podatkov. Fizična varnost je sestavljena iz različnih postopkov in ukrepov varovanja; organizacijskih, varnostno-tehničnih in mehanskih ter postopkov in ukrepov fizičnega varovanja. Vsi našteti dejavniki so med seboj tesno povezani, zato je učinkovitost celotnega sistema fizične varnosti tajnih podatkov odvisna od učinkovitosti njegovih posameznih prvin.
Pri odločanju o tem, katera stopnja fizične varnosti je potrebna, se upoštevajo različni dejavniki: stopnja tajnosti in vrsta podatkov, ki se varujejo, njihova količina, oblika in način hranjenja, ocena ogroženosti ter stopnja varnostne kulture pri zaposlenih.
Določitev upravnega območja
V skladu z uveljavljeno prakso na področju varovanja tajnih podatkov zakonski predpisi običajno določajo minimalne standarde, ki morajo biti izpolnjeni, da je zadoščeno osnovnim pogojem standardov varovanja. Pri vrednotenju ustreznosti fizičnih, tehničnih in drugih varnostnih ukrepov na področju varovanja tajnih podatkov zavzemamo stališče, da je stopnja varovanja skupek različnih varnostnih ukrepov in je odvisna od kakovosti posameznih dejavnikov celotnega koncepta varovanja območja, kjer se obravnavajo (varujejo) tajni podatki.
Varnostne ukrepe je treba prilagoditi vrsti, obliki, količini in stopnji tajnosti podatkov, ki se bodo obravnavali (varovali) na nekem območju, ter drugim značilnostim okoliščin na terenu (morebitno 24-urno fizično varovanje objekta in podobno), kar se upošteva pri oceni stopnje varovanja. Z upoštevanjem standardov, ki jih določa navedeni sklep, se je mogoče izogniti zapletom z ocenjevanjem, ali je določena stopnja varovanja ustrezna ali ne.
Glede na navedeno predstojnik organa ali organizacije določi upravno območje s sklepom.
Odločitev za varnostno območje
Organ (organizacija) se odloči za postopek vzpostavitve varnostnega območja zaradi potrebe po varovanju dokumentov, ki vsebujejo tajne podatke. Odločitev se lahko sprejme tudi na podlagi predvidenih potreb po pridobitvi oziroma hranjenju tajnih podatkov. Lahko je vzpostavitev varnostnega območja potrebna tudi zaradi omogočanja vpogleda zunanjim uporabnikom v tajne podatke organa.
Odločitev o stopnji varnostnega območja
Odločitev o stopnji varnostnega območja organ sprejme na podlagi stopenj tajnosti tajnih podatkov, ki jih že ima ali jih bo posedoval ter na podlagi načina delovanja varnostnega območja. Če bo varnostno območje delovalo na način, da tajni podatki niso vidni že ob vstopu v območje, potem bo vzpostavljeno varnostno območje II. stopnje, če pa bo vpogled v tajne podatke možen že z vstopom v varnostno območje, bo vzpostavljeno varnostno območje I. stopnje.
Odločitev o velikosti varnostnega območja
Pri odločitvi o velikosti varnostnega območja je treba vedeti, ali bodo v varnostnem območju prostori tudi za delo zaposlenih (večji prostori z ustreznimi dodatnimi prostori, kjer se bodo tajni podatki tudi obdelovali), ali bo območje namenjeno le za hranjenje in evidentiranje tajnih podatkov. Pomembno pri odločitvi o velikosti je dejstvo, ali bodo varnostno območje uporabljali tudi zunanji uporabniki - to pomeni več prostorov in tudi spremembo režima v samem varnostnem območju.
Pri načrtovanju velikosti varnostnega območja je treba upoštevati podatek o vrsti medija, na katerem se nahajajo tajni podatki. Vedeti moramo, ali se bodo obravnavali samo tajni podatki v papirni obliki ali bodo v varnostnem območju tudi tajni podatki na elektronskih medijih.
Izdelava osnutka načrta varnostnega območja
Po zbranih osnovnih podatkih je treba pripraviti osnutek načrta varnostnega območja, v katerem se določi velikost, predvidijo se okvirne glavne poti znotraj območja in dostopi. Predhodno je treba pridobiti veljavne predpise (slovenske, EU, NATO), jih natančno preučiti in začeti postopke preverjanja zaposlenih za delovanje v varnostnem območju.
Uvedba postopka za varnostno preverjanje
V času priprav na vzpostavitev varnostnega območja je treba - tako za zaposlene znotraj varnostnega območja kot tudi za tiste, ki so predvideni za branje in obdelovanje tajnih podatkov, začeti postopek varnostnega preverjanja.
Zaposleni v varnostnem območju morajo uporabljati te obrazce (oblika ni predpisana):
- evidenčni list vstopov v varnostno območje,
- evidenčni list sprejema in vpogleda v dokument, ki vsebuje tajne podatke,
- evidenčni list kopiranih dokumentov, ki vsebujejo tajne podatke,
- evidenčni list ali zapisnik o uničenju dokumentov, ki vsebujejo tajne podatke,
- evidenčni list popravil blagajn,
- evidenčni list kombinacij elektronskih ključavnic blagajn,
- evidenčni list varnostnih dogodkov v varnostnem območju,
- seznam vseh zaposlenih v varnostnem območju,
- distribucijska lista zaposlenih v organu, ki imajo dostop do posameznih stopenj tajnosti tajnih podatkov.
Načrt varovanja varnostnega območja
Pred začetkom delovanja varnostnega območja mora vodja območja izdelati načrt varovanja, ki opredeljuje vse postopke, ukrepe in naloge tako zaposlenih v varnostnem območju kot tudi tistih oseb in služb, ki so udeležene pri varovanju tajnih podatkov.
Industrijska varnost
Z industrijsko varnostjo se zagotavlja sprejem ukrepov za varovanje tajnih podatkov med gospodarskimi družbami in organizacijami v primerih, ko naročila in dodeljevanje naročil vsebujejo tajne podatke. Tajni podatki se lahko predložijo le organizaciji, ki ima varnostno dovoljenje, da izpolnjuje pogoje za varno obravnavanje (varovanje) tajnih podatkov.
Industrijska varnost pomeni uporabo varnostnih ukrepov in postopkov za preprečevanje, odkrivanje in povrnitev izgube ali prenehanje ogrožanja dokumentov, ki vsebujejo tajne podatke, s katerimi razpolaga izvajalec ali podizvajalec med pogajanji pred dodelitvijo in med izvajanjem tajnega naročila oziroma tajnega podnaročila.
Tajno naročilo je vsako naročilo za dobavo izdelkov, izvedbo del ali opravljanje storitev, katerih izvedba zahteva ali vključuje dostop do tajnih podatkov ali njihov nastanek.
Tajno podnaročilo je naročilo, ki ga sklene izvajalec z drugim izvajalcem (podizvajalcem) za dobavo blaga, izvedbo del ali opravljanje storitev, katerih izvedba zahteva ali vključuje dostop do tajnih podatkov ali njihov nastanek.
Na tem mestu na Uradu vlade za varovanje tajnih podatkov predlagamo oziroma pozivamo vsa slovenska podjetja, naj razmislijo, kako bi v okviru svoje organizacije (v okviru svojega delovanja) vzpostavila pogoje, ki bi jih lahko izpolnjevala ob morebitnem sodelovanju na razpisih, ki zahtevajo dostop do tajnih podatkov v mednarodnem okolju.
S pridobljenim mednarodnim varnostnim dovoljenjem lahko podjetja sodelujejo na razpisih NATO in EU, ki v razpisnih pogojih opredeljujejo, da bo za izvedbo posla treba dostopati do tajnih podatkov. Informacije o omenjenih razpisih so na voljo tudi na spletnih straneh Ministrstva za gospodarski razvoj in tehnologijo. Prednost imetnikov varnostnih dovoljenj je tudi možnost podpisa komercialnih pogodb, katerih izvedba pogojuje dostop do tajnih podatkov z organizacijami iz držav, s katerimi ima Republika Slovenija podpisan tako imenovani varnostni sporazum.
Naziv storitve | Institucija |
---|---|
Urad Vlade Republike Slovenije za varovanje tajnih podatkov | |
Urad Vlade Republike Slovenije za varovanje tajnih podatkov |
Komunikacijsko informacijski sistemi
Informacijska varnost oziroma varovanje tajnih podatkov v komunikacijsko informacijskih sistemih zajema določanje ter uporabo ukrepov varovanja tajnih podatkov, ki se obravnavajo (varujejo) s pomočjo komunikacijskih, informacijskih in drugih elektronskih sistemov, pred naključno ali namerno izgubo tajnosti, celovitosti ali razpoložljivosti ter ukrepov za preprečevanje izgube celovitosti in razpoložljivosti samih sistemov.
Z ukrepi in postopki varovanja tajnih podatkov v komunikacijsko informacijskih sistemih se preprečujejo dostop do tajnih podatkov nepooblaščenim osebam, razkritje tajnih podatkov nepoklicanim osebam, možnost za zavrnitev dostopa do tajnih podatkov pooblaščenim uporabnikom ter zloraba, nepooblaščena sprememba ali izbris tajnih podatkov.
Komunikacijsko informacijski sistem sestavljajo programska, strojna, komunikacijska in druga oprema, ki deluje samostojno ali v omrežju ter je namenjena zbiranju, procesiranju, distribuciji, uporabi in drugi obdelavi podatkov v elektronski obliki.
Komunikacijsko informacijski sistemi, v katerih se varujejo tajni podatki, morajo imeti varnostno dovoljenje za delovanje, s katerim se dovoljuje obravnavanje (varovanje) tajnih podatkov v sistemu in potrjuje izvajanje vseh ukrepov in postopkov za zagotavljanje varnega delovanja sistema. Varnostno dovoljenje za delovanje sistema se pridobi na podlagi postopka varnostne odobritve, v okviru katerega se preveri izpolnjevanje minimalnih fizičnih, organizacijskih ter tehničnih ukrepov in postopkov varovanja tajnih podatkov v sistemih. V postopku izdaje varnostnega dovoljenja za delovanje sistema se morajo izdelati naslednji dokumenti:
- načrt varovanja sistema;
- ocena varnostnih tveganj;
- varnostna navodila za delo v sistemu.
Za komunikacijsko informacijske sisteme, v katerih se varujejo tajni podatki stopnje tajnosti INTERNO, ki delujejo v lokalnem omrežju in niso povezani z internetom, se izdela samo dokumentacija, in sicer Varnostno navodilo za delo v sistemu INTERNO.
Kriptografska rešitev je strojna oziroma programska oprema ter s tem povezani sestavni deli, ki so namenjeni kriptografski zaščiti podatkov, to je zagotavljanju zaupnosti, celovitosti, pristnosti in nezatajljivosti.
Prenos tajnih podatkov med komunikacijsko informacijskimi sistemi zunaj upravnih in varnostnih območij je dovoljen le z uporabo kriptografskih rešitev, ki jih je na podlagi postopka ugotavljanja ustreznosti kriptografskih rešitev odobril nacionalni varnostni organ. Za kriptografske rešitve, ki se uporabljajo za obrambne namene, je pristojno resorno ministrstvo (ministrstvo, pristojno za obrambo), v vseh ostalih primerih postopek ugotavljanja ustreznosti kriptografskih rešitev vodi Urad Vlade RS za varovanje tajnih podatkov.
Postopek ugotavljanja ustreznosti kriptografskih rešitev za varovanje tajnih podatkov je postopek, v katerem se ugotovi varnostna ustreznost kriptografske rešitve za varovanje tajnih podatkov, in se izvaja na podlagi pisnih predlogov, ki jih podajo ministrstvo, pristojno za javno upravo, ministrstvo, pristojno za notranje zadeve, ministrstvo, pristojno za obrambo, ministrstvo, pristojno za zunanje zadeve, Slovenska obveščevalno-varnostna agencija. Nacionalni varnostni organ začne postopek po uradni dolžnosti, če ugotovi ali izve, da je treba glede na obstoječe ali dejansko stanje začeti postopek ugotavljanja ustreznosti kriptografske rešitve za varovanje tajnih podatkov. Potek postopka in vsebina dokumentacije, ki jo mora vsebovati predlog, sta določena v Uredbi o varovanju tajnih podatkov.
Razvoj in nadgradnja kriptografskih rešitev se izvaja na podlagi pobud državnih organov. Nacionalni varnostni organ sodeluje z drugimi državnimi organi in zunanjimi izvajalci pri razvoju ali nadgradnjah kriptografskih rešitev. Predpisano je periodično preverjanje varnostne ustreznosti kriptografskih rešitev (INTERNO na 5 let, ZAUPNO na 3 leta, TAJNO oziroma STROGO TAJNO na 1 leto).
Urad Vlade RS za varovanje tajnih podatkov vodi evidenco potrdil o varnostni ustreznosti kriptografskih rešitev za varovanje tajnih podatkov, ki vsebuje naslednje podatke: ime kriptografske rešitve, ime proizvajalca, najvišja stopnja tajnosti podatkov, ki se varujejo v sistemu, obdobje veljavnosti dovoljenja in številko potrdila.
Vse sestavine sistemov, v okviru katerih se obravnavajo (varujejo) tajni podatki stopnje tajnosti ZAUPNO ali višje, morajo biti zaščitene proti neželenemu elektromagnetnemu sevanju. Elektromagnetno sevanje je sevanje, ki se nenadzorovano razširja in tako omogoča odtekanje tajnih podatkov (sinonim v vseh jezikih je beseda TEMPEST). Zaščita TEMPEST tako pomeni nabor ukrepov in aktivnosti, s katerimi se bistveno zmanjša ali v celoti prepreči odtekanje tajnih podatkov. Med osnovne ukrepe in aktivnosti tako prištevamo varnostna območja, ki jim z meritvami določimo TEMPEST cono, kar je osnova za določitev ustrezne opreme, ki se lahko namesti v takšna varnostna območja.
Naziv storitve | Institucija |
---|---|
Urad Vlade Republike Slovenije za varovanje tajnih podatkov | |
Urad Vlade Republike Slovenije za varovanje tajnih podatkov | |
Urad Vlade Republike Slovenije za varovanje tajnih podatkov |
Navodila s področja varovanja tajnih podatkov v komunikacijsko informacijskem sistemu
-
Navodila
Navodila- Postopki za zaščito pred neželenim elektromagnetnim sevanjem (pdf, 118 KB)
- Postopki za zaščito pred neželenim elektromagnetnim sevanjem (docx, 21 KB)
- Navodilo za uničenje in ponovno uporabo elektronskih nosilcev (pdf, 117 KB)
- Navodilo za uničenje in ponovno uporabo elektronskih nosilcev (docx, 21 KB)
- Postopki in merila za povezovanje sistemov (pdf, 140 KB)
- Postopki in merila za povezovanje sistemov (docx, 35 KB)
Usposabljanje
V skladu s predpisi, ki urejajo področje tajnih podatkov, organiziramo in izvajamo osnovno in dodatno usposabljanje s področja tajnih podatkov za osebe, ki takšno usposabljanje potrebujejo.
Naziv storitve | Institucija |
---|---|
Urad Vlade Republike Slovenije za varovanje tajnih podatkov |