Ochrana utajovaných informací

Bankovní institut vysoká škola Praha Institut pro evropskou integraci

Ochrana utajovaných informací Bakalářská práce

Autor:

Anastázia Plzáková Veřejná správa a Evropská unie

Vedoucí práce:

Praha

JUDr. Jan Panaš

Leden 2010

Prohlášení: Prohlašuji, že jsem bakalářskou práci zpracovala samostatně a s použitím uvedené literatury.

V Praze dne 15. ledna 2010

Anastázia Plzáková

Poděkování: Děkuji touto cestou vedoucímu bakalářské práce JUDr. Janu Panašovi za odborné vedení, informace a věcné připomínky, které mi pomohly ke zdárnému dokončení této bakalářské práce.

Anotace: Práce popisuje působnost zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti. Je doplněná přehledem navazujících normativních aktů. V jednotlivých částech rozpracovává problematiku v oblastech personální, průmyslové, administrativní a fyzické bezpečnosti, bezpečnosti informačních nebo komunikačních systému a kryptografické ochrany. Předmětem práce je rovněž seznámení s aplikací platné legislativy v oblasti utajovaných informací v EU. Současně je zaměřená na vymezení normativních aktů, úpravy styku a mezinárodních úmluv souvisejících s danou problematikou a jejich aplikace v mezinárodních seskupeních.

Annotation: This work describes force of the Act No. 412/2005 Coll., on protection of classified information and on security competence. It is supplemented with summary of connected regulatory acts. Individual parts work up issues dealing with spheres of personnel, industrial, administrative, and personal security, security of information or communications systems, and crypto protection. The topic of the work is also familiarization with implementation of effective legislation in the sphere of classified information in the EU. At the same time, it focuses on specification of regulatory acts, amendments of relations and international conventions connected with the given issue and their implementation in the international coalitions.

OBSAH 1

Cíl a metodika práce ....................................................................................................... 9 1.1 Cíl práce ........................................................................................................................... 9 1.2 Metodika práce ................................................................................................................ 9 2 Vymezení problematiky zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti (dále jen “zákon“) .................................................................... 9 2.1 Základní ustanovení (§1 – 2 zákona) ............................................................................. 10 2.2 Ochrana utajovaných informací (dále jen OUI) (§3 – 79 zákona) ................................ 10 2.2.1 Zájem České republiky..................................................................................... 11 2.2.2 Újma ................................................................................................................. 11 2.2.3 Zachování mlčenlivosti .................................................................................... 11 2.2.4 Dodržování OUI ............................................................................................... 11 2.2.5 Neoprávněné nakládání s UI ............................................................................ 12 2.2.6 Utajovaná informace ........................................................................................ 12 2.3 Bezpečnostní způsobilost4) (§80 – 88 zákona) ............................................................. 12 2.4 Bezpečnostní řízení (§ 89 – 135 zákona ) ...................................................................... 12 2.5 Výkon státní správy (§136 – 142 zákona) ..................................................................... 12 2.6 Státní dozor a kontrolní činnost úřadu (§143 – 147 zákona) ......................................... 13 2.7 Správní delikty (§148 – 156 zákona) ............................................................................. 13 2.8 Přechodná a závěrečná ustanovení (§157 – 161 zákona)............................................... 13 3 Navazující normativní akty .......................................................................................... 14 3.1 Vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor .................................................................................................................... 14 3.2 Vyhláška č. 524/2005 Sb., o zajištění kryptografické ochrany utajovaných informací 14 3.3 Vyhláška č. 525/2005 Sb., o provádění certifikace při zabezpečování kryptografické ochrany utajovaných informací ........................................................................................... 14 3.4 Vyhláška č. 526/2005 Sb., o stanovení vzorů používaných v oblasti průmyslové bezpečnosti a o seznamech písemností a jejich náležitostech nutných k ověření splnění podmínek pro vydání osvědčení podnikatele a způsobu podání žádosti podnikatele ........ 14 3.5 Vyhláška č. 527/2005 Sb., o stanovení vzorů v oblasti personální bezpečnosti a bezpečnostní způsobilosti a o seznamech písemností přikládaných k žádosti o vydání osvědčení fyzické osoby a k žádosti o doklad o bezpečnostní způsobilosti fyzické osoby a o způsobu podání těchto žádostí............................................................................................. 14 3.6 Vyhláška č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci technických prostředků 14 3.7 Vyhláška č. 529/2005 Sb., o administrativní bezpečnosti a o registrech utajovaných informací ............................................................................................................................. 14 3.8 Nařízení vlády č. 522 ze dne 7. prosince 2005, kterým se stanoví seznam utajovaných informací ............................................................................................................................. 14 4 Druhy zajištění OUI ...................................................................................................... 15 4.1 Dílčí oblasti OUI ............................................................................................................ 15 4.1.1 Personální bezpečnost ...................................................................................... 15 4.1.2 Administrativní bezpečnost .............................................................................. 17 4.1.3 Fyzická bezpečnost .......................................................................................... 19 4.1.4 Průmyslová bezpečnost .................................................................................... 23 4.1.5 Bezpečnost informačních a komunikačních systémů....................................... 23 4.1.6 Kryptografická ochrana .................................................................................... 25 4.2 Význam a formy prevence ............................................................................................. 26 4.3 Kontrola jako specifický prostředek ochrany ................................................................ 29

5 Novely zákona č. 412/2005 Sb., o ochraně utajovaných skutečností a bezpečnostní způsobilosti ............................................................................................................................. 30 5.1 Personální bezpečnost .................................................................................................... 31 5.1.1 Snížení počtu podávaných žádostí a optimalizace počtu míst, kde je vyžadováno držení „osvědčení“ ....................................................................................... 31 5.1.2 Zkrácení doby bezpečnostního řízení ............................................................... 32 5.1.3 Zjednodušení doby bezpečnostního řízení ....................................................... 32 5.1.4 Osvědčení fyzické osoby .................................................................................. 33 5.2 Průmyslová bezpečnost .................................................................................................. 33 5.2.1 Bezpečnostní řízení o vydání osvědčení podnikatele na stupeň utajení Vyhrazené......................................................................................................................... 33 5.2.2 Zkrácení doby bezpečnostního řízení ............................................................... 34 5.2.3 Zpoplatnění bezpečnostního řízení u podnikatelů ............................................ 34 5.2.4 Výběrové řízení ve vztahu k utajovaným informacím ..................................... 34 5.2.5 Bezpečnostní dokumentace podnikatele a dotazník podnikatele ..................... 34 5.3 Administrativní bezpečnost ........................................................................................... 35 5.4 Fyzická bezpečnost ........................................................................................................ 35 5.5 Kryptografická ochrana ................................................................................................. 36 5.6 Uznávání cizího bezpečnostního oprávnění................................................................... 37 5.7 Rozklad .......................................................................................................................... 38 5.8 Ostatní ............................................................................................................................ 38 6 Citlivé oblasti ................................................................................................................. 38 7 Mezinárodní výměna utajovaných informací ............................................................. 39 8 Problematika OUI v EU ............................................................................................... 44 9 Mezinárodní úmluvy a předpisy související s problematikou UI ............................. 46 9.1 Mezinárodní smlouvy o výměně a vzájemné oui .......................................................... 47

Úvod Neměnná vzdálenost,

která existovala po staletí mezi společenstvím lidí, a také jejich

kulturami umožňovala, aby vedle sebe existovaly různé civilizace, aniž by se výrazným způsobem vzájemně ovlivňovaly a předávaly si hlubší informace. Informace o tom, co se děje na vzdálených místech, putovala měsíce, roky a často i celou generaci. Přenos informace na velké vzdálenosti byl zcela závislý na fyzických schopnostech jedince, zvířat určených k dopravě a stavu cest, po kterých byly informace dopravovány. I když i na této úrovni přenosu informací se podařilo dosáhnou pozoruhodných výsledků a vylepšení1), byla cesta drtivé většiny informací příliš zdlouhavá. Od osmnáctého století se s rozvojem modernějších dopravních a komunikačních prostředků proces zkracování vzdáleností začal urychlovat. Stále však šlo o velmi pozvolné změny, které časově zahrnovaly jednu nebo několik lidských generací a lidé byli schopni se těmto změnám postupně přizpůsobit a adaptovat se na nové prostředí. V moderní komunikaci se stal zlomovým okamžikem vynález telegrafu a telefonu, který umožnily přenos informací rychlostí, jaká do té doby byla naprosto nemyslitelná.

Na šíření informací se vždy muselo pohlížet ze dvou stránek. Prvou stránkou byla rychlost přenosu informace z jednoho místa do druhého. Druhou stránkou byla otázka možnosti přístupu k informacím, tedy jejich dostupnost pro jednotlivce. Komunikační revoluce je důsledkem změny v chápání významu informací. Je také zcela zásadní změnou v náhledu na dostupnost informací. Především změna přístupu k informacím a relativní svoboda a snadnost získání informací je rozhodujícím faktorem této revoluce. Význam těchto změn je obrovský a již dávno překročil rámec oboru komunikace a mění zaběhlé stereotypy i v jiných oborech lidské činnosti. Jeho dopad do sféry pracovního procesu, vzdělávacího procesu, politiky, vědy obchodu a dalších sfér každodenní lidské činnost má nezaměnitelný význam.

Zvláštním význam některých informací si lidstvo uvědomovalo již od okamžiku, kdy mezi lidmi k výměně informací začalo docházet. Určité vědomosti a určité informace mohou být

1)

např. staří Římané dokázali přenášet důležité informace (v písemné nebo ústní podobě) na vzdálenost stovek

kilometrů za neuvěřitelně krátkou dobu. Dosahovali toho např. systémem (řetězcem) pevností, ve kterých se poslové mohli předávat doručovanou informaci nebo alespoň mohli měnit unavené koně a tak se zvýšila rychlost přenášení informací.

významným prostředkem k získání zvláštního – výsadního postavení nebo materiálních či jiných výhod oproti ostatním jedincům. Taková výhoda však může být plně realizována jedině za předpokladu, že současně výlučným nositelem těchto informací je on sám nebo pouze omezený okruh dalších osob, tzn. že se jedná o informace, k nimž existuje jen omezený přístup. Současně s procesem výměny informací tak mezi lidmi vzniká i potřeba některé informace a skutečnosti z této výměny vyloučit a omezit ostatním osobám přístup k nim.

Lze předpokládat, že již v tomto období začala historie procesu utajování. Utajování souvisí s procesem, který se týká přístupu k informacím a jejich dostupnosti. Zatímco obecnou otázkou dostupnosti a přístupu k informacím řeší výběr vhodných a dostupných prostředků předurčených k tomuto účelu, pak v případě utajovaných informací je míra dostupnosti těchto prostředků závislá převážně na vůli držitele informace. Vůle držitele utajené informace se projevuje v tom, že učiní opatření, která stíží přístup k utajované informaci. K tomu může použít určitých technických nebo režimových opatření.

Jedinci, skupiny lidí, stát apod. vždy měly zájem na tom, aby určité informace byly přístupné jen vybranému okruhu osob2). Znalost a utajovaných informací bylo pro oprávněnou osobu výhodou, umožňovala získávat a udržovat náskok nebo zachovávat status quo vůči jiným osobám, skupinám a institucím. Naopak znalost utajované informace mimo osobu nebo osoby oprávněné byla a vždy je chápána jako nebezpečí – jako přímá hrozba fyzické nebo právnické osobě či institucí nebo státu. Ztráta chráněných informací znamená ve většině případů hrozbu vzniku újmy či újmu samu, protože nepovolaná osoba při získávání těchto informací ji může použít proti tomu, v jehož zájmu bylo informaci utajit.

Téma ochrany utajovaných informací jsem si vybrala proto, že je mi tato problematika pracovně blízká a v daném oboru pracuji již 8 let.

2)

např. přísně střeženo státní tajemství staré Číny, kterým byla výroba hedvábí, nebo balzamování mrtvých ve

starém Egyptě

1

Cíl a metodika práce

1.1 Cíl práce Obsah a cíl práce je zaměřen na působnost zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti. Je doplněná přehledem navazujících normativních aktů. V jednotlivých částech rozpracovává problematiku v oblastech personální, průmyslové, administrativní a fyzické bezpečnosti, bezpečnosti informačních nebo komunikačních systému a kryptografické ochrany. Dalším cílem je seznámení s aplikací platné legislativy v oblasti utajovaných informací v Evropské unii. Současně je zaměřená na vymezení normativních aktů, úpravy styku a mezinárodních úmluv souvisejících s danou problematikou a jejich aplikace v mezinárodních seskupeních. Ochrana utajovaných informací je obsáhlá a z důvodu její značné složitosti není snadné objasnit ji na několika stranách. Mojí snahou bylo vymezit a definovat nejdůležitější části ochrany utajovaných informací.

1.2 Metodika práce Metody a postupy práce, které jsem použila k naplnění cílů tvořily rozbory jednotlivých zákonů, navazujících vyhlášek a normativních aktů. V tak rozsáhle problematice jsem vycházela ze svých praktických zkušeností získaných v oboru ochrany utajovaných informací v součinnosti s odborníky pracujícími v jednotlivých oblastech bezpečnosti. V neposlední míře součást metodiky tvořila konzultace s vedoucím práce a následné vyvození osobního závěru.

2 Vymezení problematiky zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti (dále jen “zákon“) Tento zákon upravuje zásady pro stanovení informací jako informací utajovaných, podmínky pro přístup k nim a další požadavky na jejich ochranu, zásady pro stanovení citlivých činností a podmínky pro jejich výkon a s tím spojený výkon státní správy.3)

3)

§1 zákona

9

Tento zákon je strukturován do devíti částí: 1.

Základní ustanovení

2.

Ochrana utajovaných informací

3.

Bezpečnostní způsobilost

4.

Bezpečnostní řízení

5.

Výkon státní zprávy

6.

Státní dozor

7.

Kontrola činnosti úřadu

8.

Správní delikty

9.

Přechodná a závěrečná ustanovení

Jednotlivé

problematiky

jsou

následně

rozpracovány

v

navazujících

vyhláškách

a standardech Národního bezpečnostního úřadu (dale jen NBÚ).

2.1 Základní ustanovení (§1 – 2 zákona) V základním ustanovení je stanoven předmět úpravy zákona spolu s vymezením jednotlivých pojmů používaných v problematice ochrany utajovaných informací.

2.2 Ochrana utajovaných informací (dále jen OUI) (§3 – 79 zákona) OUI můžeme chápat jako souhrn forem, metod a způsobů určených k ochraně zájmů České republiky pro zachování její ústavnosti, svrchovanosti a územní celistvosti, zajištění vnitřního pořádků a bezpečnosti, mezinárodních závazků obrany státu, zabezpečení výzkumu, vývoje, ochrana života nebo zdraví fyzických osob.

Jako ústřední správní úřad pro oblast OUI byl zřízen NBÚ zákonem č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, a to k 1. srpnu 1998, který je bezpečnostní autoritou České republiky. NBÚ se ve své činnosti řídí zákonem č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů.

10

Jednoznačným úkolem OUI je chránit zájem ČR tak, aby nedošlo k újmě ČR. Nemělo by se s utajovanými informacemi (dále jen UI) neoprávněně zacházet, měla by se zachovávat mlčenlivost. Současná platná legislativa vymezuje UI, které je nutno v zájmu České republiky utajovat, způsob jejich ochrany, působnost a pravomoc orgánů státu při výkonu státní správy v oblasti OUI, povinnosti orgánů státu, práva a povinnosti fyzických, právnických osob a odpovědnost za porušení povinností stanovených zákonem a upravuje postavení NBÚ. Pokud by došlo k jakémukoliv porušení zákonných norem, měl by být přestupek (trestný čin) řešen v souladu se zákonem.

2.2.1 Zájem České republiky Zájmem České republiky je zachování ústavnosti, svrchovanosti, územní celistvosti, zajištění obrany státu, veřejné bezpečnosti, ochrana důležitých ekonomických a politických zájmů, práv a svobod fyzických a právnických osob a ochrana života nebo zdraví fyzických osob.

2.2.2 Újma Újmou je takové poškození nebo ohrožení zájmu České republiky nebo zájmu, k jehož ochraně se Česká republika zavázala, jehož následky nelze odstranit nebo je lze zmírnit pouze následnými opatřeními. Podle významu zájmu a závažnosti způsobené újmy se újma člení na mimořádně vážnou újmu, vážnou újmu a prostou újmu.

2.2.3 Zachování mlčenlivosti Zachováváním mlčenlivosti je povinnost nesdělovat UI osobě, která není oprávněná se s takovou informací seznamovat.

2.2.4 Dodržování OUI Dodržováním OUI se rozumí povinnost zachovávat mlčenlivost a dodržovat ostatní povinnosti stanovené tímto zákonem a v jeho mezích.

11

2.2.5 Neoprávněné nakládání s UI Neoprávněným nakládáním s UI je její vyzrazení, zneužití, poškození, znehodnocení, zničení, porušení její ochrany nebo ztráta. Za neoprávněné nakládání se rovněž považuje neoznačení UI stupněm utajení nebo nesprávné stanovení stupně utajení UI.

2.2.6 Utajovaná informace UI je taková informace, se kterou by neoprávněné nakládání mohlo způsobit újmu zájmům České republiky nebo zájmům, k jejichž ochraně se Česká republika zavázala, nebo by mohlo být pro tyto zájmy nevýhodné, a která je uvedena v seznamu UI.

2.3 Bezpečnostní způsobilost4) (§80 – 88 zákona) Je nutné tuto problematiku rozlišovat z hlediska OUI vzhledem ke skutečnosti, že se nejedná přímo o OUI ale o činnosti, jejímž zneužitím by mohlo dojít k ohrožení zájmu České republiky – tzv. „citlivou činnost“.

2.4 Bezpečnostní řízení (§ 89 – 135 zákona) Je proces vedený NBÚ nebo jiným ze zákona oprávněným subjektem. V oblasti personální bezpečnosti slouží k ověření, zda fyzická osoba splňuje podmínky pro vydání osvědčení fyzické osoby5) nebo doklad k vykonávání citlivých činností. Řízení je neveřejné a v jeho průběhu musí být šetřena čest a důstojnost osob dotčených řízením. Kromě osobních úkonů se může účastník řízení nechat zastupovat advokátem nebo zvoleným zástupcem, kterému udělil písemnou plnou moc6).

2.5 Výkon státní správy (§136 – 142 zákona) V této části je řešeno vedení správy v OUI a bezpečnostní způsobilosti, kterou vykonává NBÚ. V čele NBÚ je ředitel, kterého jmenuje a odvolává vláda. Dále je zde obecně řešená působnost práva a povinnosti Úřadu. Výjimky zpravodajských služeb, Ministerstva vnitra a policie jsou taktéž v této části řešeny. 4)

příloha č. 5 – doklad o bezpečnostní způsobilosti příloha č. 6 – osvědčení fyzické osoby 6) §89 zákona 5)

12

Zákon v případě personální bezpečnosti staví zpravodajské služby, Ministerstvo vnitra a policii na úroveň NBÚ spolu se stejnými právy a povinnostmi.

2.6 Státní dozor a kontrolní činnost úřadu (§143 – 147 zákona) V jednotlivých paragrafech je obecně řešeno dodržování zásad OUI spolu se splnomocněním zaměstnanců Úřadu při výkonu státního dozoru.

Dále je důležité zmínit problematiku mezinárodních smluv, kterými je ČR vázaná vzhledem k členství v Severoatlantické alianci (dále jen NATO) a EU, kdy je v této části řešená působnost úřadu cizí moci a možnost účasti kontrolních orgánů cizí moci u státního dozoru v oblasti OUI.

Jednou z nejdůležitějších částí jsou opatření k nápravě, kde jsou řešeny pořádkové pokuty za nesplnění povinnosti v oblasti OUI.

2.7 Správní delikty (§148 – 156 zákona) V části osmé je řešená problematika správních deliktů spolu se sankcemi při přestupcích týkajících se jednotlivých úkonů taxativně vymezených v této části. Problematika těchto sankcí za nedodržování stanovených povinností je široká, protože sankce neupravuje jenom zákon, ale i další právní předpisy, zejména trestní zákon. Je také důležité, kdo se dopustí porušení při OUI a v jakém rozsahu. Nutné je i odlišovat sankce od důsledků, které mohou nastat porušováním povinností při OUI. Často mohou sankce i negativní důsledky postihnou právnickou nebo fyzickou osobu současně.

Jsou zde řešeny menší přestupky, u kterých nemusí být pokuta udělená ale taktéž závažné přestupky, za které lze udělit pokutu fyzické osobě až do výše 1 000 000 Kč a u právnických osob až do výše 5 000 000 Kč.

2.8 Přechodná a závěrečná ustanovení (§157 – 161 zákona) Tato část upravuje přechod mezi právy a povinnostmi zákona č. 148/1998 Sb. k právům a povinnostem vyplývajících ze zákona č. 412/2005 Sb.

13

Dále upravuje platnosti dokladů osvědčení, záznamu o určení, kterých platnost se nemění, omezuje nebo ruší.

3

Navazující normativní akty

3.1 Vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor 3.2 Vyhláška č. 524/2005 Sb., o zajištění kryptografické ochrany utajovaných informací 3.3 Vyhláška č. 525/2005 Sb., o provádění certifikace při zabezpečování kryptografické ochrany utajovaných informací 3.4 Vyhláška č. 526/2005 Sb., o stanovení vzorů používaných v oblasti průmyslové bezpečnosti a o seznamech písemností a jejich náležitostech nutných k ověření splnění podmínek pro vydání osvědčení podnikatele a způsobu podání žádosti podnikatele 3.5 Vyhláška č. 527/2005 Sb., o stanovení vzorů v oblasti personální bezpečnosti a bezpečnostní způsobilosti a o seznamech písemností přikládaných k žádosti o vydání osvědčení fyzické osoby a k žádosti o doklad o bezpečnostní způsobilosti fyzické osoby a o způsobu podání těchto žádostí 3.6 Vyhláška č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci technických prostředků 3.7 Vyhláška č. 529/2005 Sb., o administrativní bezpečnosti a o registrech utajovaných informací 3.8 Nařízení vlády č. 522 ze dne 7. prosince 2005, kterým se stanoví seznam utajovaných informací

14

4

Druhy zajištění OUI

Aby mohlo být dosaženo odpovídající OUI a mohly být splněny požadované cíle, je zaveden soubor bezpečnostních opatření, orientující se na jednotlivé (dílčí) oblasti OUI.

4.1 Dílčí oblasti OUI 4.1.1 Personální bezpečnost Personální bezpečnost tvoří systém opatření, jehož cílem je, aby měli přístup a seznamovali se s UI pouze vybrané fyzické osoby, které je nezbytně potřebují znát („need-to-know“) k výkonu své činnosti.

Zásady personální bezpečnosti musí být navrženy tak, aby na jejich základě bylo možno zjistit, zda určité osobě může být vzhledem k okolnostem ovlivňujícími její důvěryhodnost vydáno osvědčení k seznamování se s utajovanými informacemi. Všechny osoby, které vyžadují z titulu svých funkcí či pracovních povinností přístup k utajovaným informacím, musí být předem podle taxativně vymezených zásad náležitě bezpečnostně prověřeny a následně poučeny.

Vzhledem k tomu, že NBÚ pracuje s citlivými informacemi a daty týkajícími se určených osob, musí být s těmito informacemi zacházeno v souladu s platnou legislativou7).

NBÚ svým právním předpisem stanovuje způsob prověřování určených osob, vzory tiskopisů a postupy při jednotlivých úkonech s tím spojených. Zákon používá u těchto osob termín fyzická osoba8). Kromě ověřování podmínek, které musí fyzická osoba splnit, aby jí byl umožněn přístup k utajované informaci, zahrnuje personální bezpečnost povinnost vzdělávání fyzických osob v oblasti OUI.

Vzhledem k tomu, že stát by sám o sobě nebyl schopen kontrolovat dodržování zásad OUI, delegoval proto některá práva a povinnosti na jiné osoby. U určitých organizačních celků např. ministerstev, správních úřadů, Bezpečnostní informační služby, Vojenského 7)

zákon č. 101/2000 Sb., o ochraně osobních údajů fyzická osoba je člověk, který má způsobilost k právům a povinnostem (právní subjektivitu) od početí až do smrti 8)

15

zpravodajství, krajů, hlavního města Prahy, statutárních měst a obcí, územních samosprávních celků a jiné, jsou vždy ze zákona určené osoby, které mají stanovené práva a povinnosti vyplývající ze zákona. Zákon používá pojem odpovědná osoba9). Jednou s povinností odpovědné osoby je proškolení prověřených osob. Povinnosti prověřené osoby jsou stanovené v § 67.

Z hlediska personální bezpečnosti jsou povinnosti odpovědné osoby následující: a) zajistit poučení fyzické osoby; b) zajistit jednou ročně provedení proškolení fyzických osob např. u kraje má tuto povinnost ředitel úřadu; c) zajistit ověřování splnění podmínek pro přístup fyzické osoby k utajované informaci stupně utajení Vyhrazené10); d) kontrolovat dodržování jiných povinností stanovených zákonem.

Způsob a rozsah ověřování podmínek, které musí fyzická osoba splnit, aby jí byl umožněn přístup k UI, se liší podle stupňů utajení, k nimž má mít fyzická osoba mít přístup. Pro UI stupně utajení Vyhrazené ověřuje podmínky odpovědná osoba. Není – li jí, ověření provede NBÚ. Pro stupně utajení Důvěrné, Tajné a Přísně tajné se splnění podmínek ověřuje v bezpečnostním řízení11), které je oprávněn provádět NBÚ, zpravodajské služby u všech svých příslušníků, zaměstnanců a uchazečů o přijetí12) a Ministerstvo vnitra u příslušníků policie vybraných v zájmu plnění závažných úkolů13). Jak jsem již uvedla, musí být fyzická osoba poučena.

Poučena musí být fyzická osoba pouze před prvním přístupem k UI určitého stupně, t.z., že se nepoučuje pokaždé14). Platnost poučení je ukončena zánikem platnosti oznámení o splnění podmínek pro přístup k UI nebo osvědčení fyzické osoby. •

Platnost oznámení o splnění podmínek pro přístup k UI je povinen ten, kdo jej vydal ověřovat každé tři roky ode dne jeho vydání.

•

Platnost dokladu o bezpečnostní způsobilosti je 5 let.

9)

§2 písm. e) zákona příloha č. 9 – vzor oznámení o splnění podmínek k UI stupně utajení Vyhrazeno 11) část čtvrtá zákona 12) §140 zákona 13) §141 zákona 14) příloha č. 7 - poučení 10)

16

•

Platnost osvědčení fyzické osoby se odvíjí od stupně pro které bylo vydáno a činí:

o

pro DŮVĚRNÉ 9 let od dne vydání;

o

pro TAJNÉ 7 let od dne vydání;

o

pro PŘÍSNĚ TAJNÉ 5 let od dne vydání.

Pokud se budeme zabývat lhůtami, mezi nejdůležitější patří: •

lhůty po podání žádosti;

•

lhůty platnosti osvědčení.

Ministerstva a další ústřední správní úřady jsou povinny každoročně do 31. října zpracovat a zaslat NBÚ personální projekt. Jeho obsahem je zhodnocení stavu v personální bezpečnosti za uplynulý rok a předpokládaný počet osob, u kterých bude nutné v následujícím roce provést bezpečnostní řízení s rozlišením podle stupňů utajení. O nesmírném významu personální práce pro dosažení stanovených cílů organizace dnes již nikdo nepochybuje. Lidé jsou rozhodující veličinou organizace; jejich schopnost realizovat pracovní úkoly a schopnost řešit problémy, které při jejich realizaci vzniknou, stejně jako schopnost učit se novým pracovním postupům a řídicím metodám nelze nahradit sebelepší technikou. Lidský faktor se tak stal rozhodujícím činitelem úspěchu organizace v hospodářské soutěži. Proto také personální řízené má své nezastupitelné místo v moderním podniku.

Jestliže míra úspěchu je přímo úměrná kvalitě personálního managmentu, význam práce s lidmi výrazně vzrůstá. Vše, co souvisí s bezpečnostním chováním organizace je bezprostředně spjato s lidmi a je na nich závislé. Proto také práce s lidmi je významným faktorem, který rozhodujícím způsobem ovlivňuje úroveň bezpečnosti organizace. Pro OUI to platí dvojnásob, protože na OUI je nejvyšší zájem, a to zájem státní.

4.1.2 Administrativní bezpečnost Administrativní bezpečnost tvoří systém opatření, jehož cílem je OUI při jejich tvorbě, příjmu, evidenci, zpracování, přepravě, ukládání, vyřazování, skartaci a archivaci, případně i jiné manipulaci.

Všechny nosiče UI a utajované předměty musí být evidovány tak, aby byl neustále přehled o jejich stavu, pohybu a místě uložení. Současně musí existovat i přehled o osobách, které s nimi přišly do styku.

17

Zákonný rámec minimálních požadavků na postupy při tvorbě, stanovení stupňů utajení, evidenci, přenášení, přepravě, zapůjčování, ukládání, jiné manipulaci a skartaci utajovaných písemností stanovuje NBÚ právním předpisem. Pravidla administrativní bezpečnosti jsou uvedena v § 21 až 23 zákona a podrobně rozpracována ve vyhlášce č. 529/2005 Sb., o administrativní bezpečnosti a o registrech utajovaných informací (dále jen "vyhláška"). Vyhláška je plně v souladu s ústavním pořádkem České republiky a právním řádem České republiky, neodporuje mezinárodním smlouvám, jimiž je Česká republika vázána. Je plně slučitelný s právními akty Evropské unie, konkrétně s rozhodnutím Rady Evropské unie 2001/264/EC, jímž se přijímají bezpečnostní směrnice Rady a rozhodnutím Komise Evropských společenství 2001/844/EC, jímž se přijímají bezpečnostní směrnice Komise. Vyhláška je významná z hlediska komplexní právní úpravy OUI nejen v administrativní bezpečnosti a činnosti registrů, ale v úzké vazbě na další druhy zajištění OUI dotváří celkový systém OUI. Vyhláška obecně vychází z předchozí právní úpravy – vyhlášky č. 137/2003 Sb., o podrobnostech stanovení a označení stupně utajení a o zajištění administrativní bezpečnosti. Vyhláška je rozdělena na části, kdy první část obsahuje úvodní ustanovení, vymezení pojmů, administrativní pomůcky, číslo jednací, vyznačování stupně utajení a změnu nebo zrušení stupně utajení. Část druhá vyhlášky řeší manipulaci s utajovanými dokumenty stupně utajení Vyhrazené. V této části došlo k částečným změnám v podmínkách evidence. Část třetí vyhlášky řeší manipulaci s utajovanými dokumenty stupně utajení Přísně tajné, Tajné a Důvěrné. K určitým změnám došlo v evidenci, ve sběrném archu, v náležitostech utajovaných dokumentů, v přípravě zásilky k přepravě a přenášení utajovaných dokumentů. Část čtvrtá vyhlášky řeší činnost registrů utajovaných informací. V této části dochází k upřesnění evidence a ukládání. Část pátá vyhlášky řeší personální změny, zánik orgánu státu, právnické osoby nebo podnikající fyzické osoby. Část šestá vyhlášky obsahuje manipulaci s technickými zařízeními. Jedná se o zcela novou problematiku v rámci řešení OUI, které jsou obsaženy v technickém zařízení, což má přímý vztah k vojenské technice a vojenské výzbroji. Politika administrativní bezpečnosti UI se zaměřuje na problematiku OUI z hlediska organizačních a administrativních procesů v organizaci. Je zaměřená nejen na vytvoření 18

firemního systému administrativního zpracování a evidence UI, ale i na problematiku médií, na kterých je UI v organizaci zachycena a přenášena. Řeší i otázku ukládání, přenosu, manipulace s UI a jejich fyzické likvidace.

Cílem politiky administrativní bezpečnosti UI je realizace takových administrativně organizačních opatření, která zajistí maximální míru OUI zachycených na různých médiích (papír, film, fotografie, PC, disketa, CD apod.). Ochrana musí být zaměřena nejen na fyzickou ochranu médií obsahujících UI, tedy ochranu proti možné hrozbě fyzického poškození nebo zničení UI, ale i na ochranu před neoprávněným seznámením nepovolaných osob s obsahem UI. Z hlediska formulace opatření administrativní bezpečnosti má zásadní význam specifikace UI, která je zde chápána jako způsob označování UI v souladu s požadavky zákona.

Představíme-li si cestu, kterou UI projde příslušnou organizací, od jejího prvého výskytu až po okamžik, kdy organizaci opouští, pak smyslem a cílem politiky administrativní bezpečnosti je zajistit existenci a realizaci takových opatření a pravidel, která znemožní, aby došlo k neoprávněnému nakládání s UI na této cestě. Okamžik prvotného výskytu UI v organizaci, je charakterizován povinností řádného označení a evidence UI. Povinnost označit UI stupněm utajení a správné stanovení tohoto stupně je natolik důležitá, že v případě jejího nesplnění nebo nesprávného splnění se jedná o jeden z případů neoprávněného nakládání s UI. Je to zcela pochopitelné, protože při nesprávném vyznačení stupně utajení (popř. při neoznačení, že se jedná o UI), může dojít snadno k situaci, kdy se UI dostane do rukou nepovolaných osob a může k dalším formám neoprávněného nakládání s ní až po vznik újmy. Je zde zřejmé, že toto počáteční pochybení může vyvolat „řetězovou reakci“, která je zakončená újmou ve smyslu ust. § 3 zákona.

Manipulace s UI má řadu forem, z nichž každá se vyznačuje určitými specifiky a také specifickými riziky. Znalost hrozeb a rizik při manipulaci s UI vycházejících ze znalosti konkrétních podmínek organizace umožní kvalifikovaně formulovat zásady administrativní bezpečnosti.

4.1.3 Fyzická bezpečnost Fyzickou bezpečnost tvoří systém opatření, jehož cílem je zabránit nebo ztížit neoprávněné osobě přístup do objektů nebo prostorů, kde se vyskytují UI, nebo zabránit poškození,

19

znehodnocení, zničení či jinému ohrožení UI, popřípadě takový přístup nebo pokus o něj zaznamenat.

Způsoby zabezpečení ochrany objektů, použití technických prostředků, podmínky nasazení fyzické ochrany a stanovení režimových opatření stanovuje právním předpisem NBÚ. Používané technické prostředky musí být certifikované NBÚ nebo jím pověřenou organizaci. Ostatní technické prostředky lze použít pouze doplňkově a za podmínek, že jejich užitím nedojde ke snížení úrovně ochrany požadované pro daný stupeň utajení.

Fyzická bezpečnost je komplex opatření (ostraha, režimová opatření a nasazení technických prostředků). Rozsah opatření se stanovuje na základě nejvyššího stupně utajení UI, která má být chráněna proti přístupu neoprávněné osoby a dále vyhodnocení rizik.

Certifikací technických prostředků se rozumí schválení technických prostředků pro použití při OUI15). V příloze certifikátu technického prostředku se uvádí složení systému, dále omezující podmínky při nasazení technického prostředku a případně další informace.

Certifikát jednotlivého technického prostředku je vydáván pouze pro jednotlivý technický prostředek, jehož identifikace je na certifikátu uvedena. Je vydáván na žádost uživatele technického prostředku. Po uplynutí doby platnosti certifikátu smí být technický prostředek používán v rámci prodloužené doby platnosti, která je stanovena na dobu 6 let. Po uplynutí prodloužené doby platnosti uživatel nesmí technický prostředek nadále používat k OUI. Pokud má uživatel technického prostředku zájem o další používání technického prostředku k OUI podá žádost na Úřad o vydání certifikátu jednotlivého technického prostředku, který je vystaven na základě posudku16). Náležitosti žádosti o certifikaci technického prostředku: • o


Žádost o certifikaci technického prostředku obsahuje identifikaci žadatele obchodní firmou, popřípadě názvem, sídlem a identifikačním číslem,

je-li žadatelem právnická osoba;

15) 16)

příloha č. 10 – certifikát technického prostředku § 46 odst. 14 zákona

20

obchodní firmou, popřípadě jménem a příjmením, případně odlišujícím




dodatkem, trvalým pobytem a místem podnikání, liší-li se od trvalého pobytu, datem narození a identifikačním číslem, je-li žadatelem fyzická osoba, která je podnikatelem, nebo názvem, sídlem, identifikačním číslem a jménem a příjmením




odpovědné osoby, jde-li o orgán státu. výčet a označení technických prostředků a seznam předkládané dokumentace.

o •

K žádosti podle se přiloží tato dokumentace

o

specifikace a popis technického prostředku;

o

prohlášení o nezávadnosti či shodě technického prostředku; •

certifikát shody nebo prohlášení o stejném složení a provedení technického prostředku, které obsahuje prohlášení výrobce, že technický prostředek bude vyráběn ve stejném složení a provedení, jak byl specifikován v posudku.

Certifikované technické prostředky: o mechanické zábranné prostředky; o

speciální televizní systémy;

o

zařízení elektrické požární signalizace;

o

zařízení elektrické zabezpečovací signalizace a tísňové systémy;

o

zařízení fyzického ničení nosičů informací;

o

zařízení proti pasivnímu a aktivnímu odposlechu utajované informace;

o

zařízení sloužící k vyhledávání nebezpečných látek nebo předmětů.

Politika fyzické bezpečnosti řeší otázky spojené s ochranou objektů, ve kterých UI nebo jsou uchovávány a také otázky prostředků použitých k ochraně, jejich rozsah, způsob a za jakých podmínek budou použity. Organizace se musí rozhodnout, zda budou UI v jednom nebo více objektech, zda objekty budou zabezpečeny výhradně mechanickými prostředky nebo elektronickým zabezpečovacím systémem, zda k ochraně objektu bude využito např. soukromé bezpečnostní agentury nebo fyzická ostraha bude prováděna z vlastních zdrojů. Podrobnosti pak organizace rozpracuje v dokumentu bezpečnostní projekt.

Způsob a výběr použití ochranných prostředků není ponechán zcela na libovůli organizace, ale v jednotlivých vyhláškách NBÚ jsou stanovená určitá minimální opatření k ochraně, a to v závislosti na stupni utajení, resp. na příslušné kategorii, do níž jsou jednotlivé objekty a zabezpečené oblasti zařazeny. Je nezbytně nutné stanovit taková opatření a pravidla, aby

21

nedošlo k neoprávněnému nakládání s UI a tím i k újmě, jak jí definuje zákon. Na rozdíl od politiky administrativní bezpečnosti však politika fyzické bezpečnosti formuluje zásady, pravidla a opatření režimového a technického charakteru spjaté bezprostředně s fyzickým objektem, ve kterém se UI v organizaci vyskytují. Tyto zásady a pravidla tvoří v písemné podobě dokumentaci objektové bezpečnosti. Vyhláška vymezuje několik pojmů17): -

objekt jako budovu nebo jiný ohraničený prostor, ve kterém se nacházejí zabezpečené nebo jednací oblasti;

-

hranici objektu jako plášť budovy;

-

hranici zabezpečené oblasti jako viditelně ohraničený prostor;

-

vstup do objektu určen pro vstup, výstup osob a vjezd a výjezd dopravních prostředků;

-

provozovatele objektu – odpovědnou osobu;

-

technický prostředek jako bezpečnostní prvek, jehož použitím se zabraňuje, ztěžuje nebo oznamuje narušení ochrany objektu;

-

úschovným objektem trezor nebo jinou uzamykatelnou schránku.

Určení objektu a jeho bodové ohodnocení – kategorizace stejně jako určení zabezpečené oblasti provádí statutární orgán provozovatele objektu18) a to písemně.

Rozsah, způsob podmínky použití bezpečnostních opatření je závislé na výsledku vyhodnocení rizik způsobem bodového ohodnocení jednotlivých bezpečnosti.

Na

základě

vyhodnocení

rizik

je

provedeno

opatření fyzické

vyhodnocení

stavu

bezpečnostních opatření jako základ pro formulaci pravidel a opatření, která v oblasti fyzické bezpečnosti musí organizace realizovat, aby vyhověla požadavkům zákona, bezpečnostním standardům NBÚ a v neposlední míře i specifickým podmínkám organizace. Výsledky tohoto hodnocení mají zásadní význam pro určení rozsahu, způsobu a podmínek použití příslušných bezpečnostních opatření.

17) 18)

§2 vyhlášky č. 528/2005 Sb. ustanovení § 2 písm. f)

22

Protože oblast fyzického zabezpečení UI je jednou z ekonomicky nejnáročnějších, je třeba věnovat použití prostředků z této oblasti maximální pozornost již od počátku. V zásadě platí, že nasazené prostředky musí být adekvátní požadované míře OUI. Požadavek přiměřenosti nelze chápat jen z pohledu finanční přiměřenosti na zajištění příslušných opatření, ale i z pohledu funkční přiměřenosti. 4.1.4 Průmyslová bezpečnost Průmyslovou bezpečnost tvoří systém opatření, která směřují k zajišťování a ověřování podmínek pro přístup podnikatele k UI a také k zajištění správné manipulace s UI.

Průmyslovou bezpečnost jsou povinny dodržovat podnikatelé, kterým jsou UI poskytnuty nebo u kterých UI vznikají.

UI mohou být poskytovány pouze podnikateli, který je nezbytně potřebuje k výkonu své činnosti a kterému bylo NBÚ vydáno osvědčení podnikatele, o něž je podnikatel povinen žádat v případě, že lze důvodně předpokládat, že se s UI bude seznamovat.

Způsob a postup ověřování bezpečnosti spolehlivosti podnikatele, vzor bezpečnostního dotazníku podnikatele a způsob jeho vyplňování, vzory dalších tiskopisů a potvrzení jsou stanoveny právním předpisem NBÚ.

4.1.5 Bezpečnost informačních a komunikačních systémů Bezpečnost informačních a komunikačních systémů tvoří systém opatření, jehož cílem je zajištění důvěrnosti, integrity a dostupnosti UI, s nimiž tyto systémy nakládají a také zajištění odpovědnosti správy a uživatelů ze jejích činnost v informačních a komunikačních systémech. Za informační systém lze označit jakýkoli systém, který je schopen poskytovat informaci19). Neopomenutelným znakem informačního systému je informace. Pojem informace je ústředním pojmem informačních systémů, protože systémy jsou určeny právě ke zpracování a jiným formám nakládání s informacemi.

19)

Viz Palmer S – Weaver M: Úloha informací v manažerském rozhodování. Grada Publishing, spol. s r.o., Praha 2000.

23

Informační systémy používané k nakládání s UI jsou povinně certifikovány NBÚ nebo jím pověřenou organizací.

Požadavky na bezpečnost informačních nebo komunikačních systémů nakládajících s UI a minimální požadavky v oblasti počítačové bezpečnosti jsou stanoveny v právním předpise NBÚ.

Zákon ukládá v § 34 povinnost používat pro nakládání s UI informační systémy certifikované Úřadem a písemně schválené do provozu odpovědnou osobou. Schválení informačního systému do provozu musí odpovědná osoba písemně oznámit Úřadu do 30 dnů od tohoto schválení.

Požadavky na informační systém a podmínky jeho bezpečného provozování v závislosti na stupni utajení UI, s nimiž nakládá, a na bezpečnostním provozním módu a obsah bezpečnostní dokumentace informačního systému jsou uvedeny ve vyhlášce č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s UI a o certifikaci stínicích komor.

Zákon ukládá v § 45 povinnost aplikovat pro UI stupně utajení Přísně tajné, Tajné a Důvěrné OUI před únikem kompromitujícím elektromagnetickým vyzařováním z elektrických a elektronických zařízení. Pokud je pro tento účel použita stínicí komora, musí být certifikována Úřadem. Ověřování způsobilosti elektrických a elektronických zařízení, zabezpečené oblasti nebo objektu k ochraně před únikem UI kompromitujícím elektromagnetickým vyzařováním zajišťuje Úřad při certifikaci informačního systému nebo kryptografického prostředku nebo na základě písemné žádosti orgánu státu nebo podnikatele. Certifikaci stínicích komor a veškerá měření v oblasti kompromitujícího vyzařování provádí Odbor informačních technologií. Další informace jsou uvedeny ve vyhlášce č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor. Orgán státu, právnická osoba nebo podnikající fyzická osoba, která provozuje komunikační systém nakládající s utajovaným informacemi je povinna zpracovat projekt bezpečnosti komunikačního systému.

24

4.1.6 Kryptografická ochrana Kryptografickou OUI tvoří systém opatření na ochranu těchto informací pomocí kryptografických metod a materiálů při zpracování, přenosu, ukládání UI v přenosových, výpočetních a informačních systémech.

Kryptografická OUI je zajišťována odborně způsobilými pracovníky a kryptografickými prostředky.

Kryptologie je věda, která se zabývá tvorbou a luštěním šifer. Kryptologie se skládá z kryptografie, což je věda o tvorbě šifer - vědní disciplína, která rozvíjí a aplikuje matematické a fyzikální principy pro tvorbu metod a prostředků k ochraně informací za účelem jejich skrytí před nepovolanou osobou, zajištění jejich autentičnosti, zabránění jejich modifikací, odmítnutí nebo neoprávněnému použití, a z kryptoanalýzy, která je vědou o jejich luštění.

Nejstaršími a základními systémy šifer jsou substituční systém, transpoziční systém a heslové-aditivní systémy. Pro substituční systém je charakteristické, že znakům otevřeného textu, jedná se o nezašifrovaný text, přiřazuje pomocí substituční tabulky znaky šifrového textu. Pro heslové-aditivní systémy je charakteristické, že jako heslo používají často periodicky se opakující klíčové slovo. Pro transpoziční systém je charakteristické, že jednotlivé znaky otevřeného textu nemění, ale přeskupuje.

Jednotlivé systémy lze kombinovat a tak vytvářet systémy složitější. Systémy jsou začleňovány mezi tzv. symetrické šifry. Symetrické šifry jsou ty, které pro zašifrování i dešifrování používají stejný klíč.

Vedle této skupiny existuje i skupina šifer asymetrických. U asymetrických šifer se používá dvou rozdílných klíčů: prvý pro zašifrování otevřeného textu a druhý k dešifrování zašifrovaného textu.

25

Bezpečnostní politika kryptografické ochrany určuje základní směry, pravidla a postupy organizace při OUI prostřednictvím kryptografie. Úzce souvisí s problematikou OUI v informačních nebo komunikačních systémech, protože je využívána především při práci s informačními systémy a při komunikaci prostřednictvím počítačových sítí.

Každý informační systém nakládající s UI, který využívá k přenosu těchto informací komunikační kanály, musí využít mj. prostředky kryptografické ochrany.

Rozhodující zásadou pro použití kryptografických prostředků při OUI je zásada použití výhradně kryptografických prostředků, které byly certifikovány Úřadem pro příslušný stupeň utajení, přičemž nasazení a použití těchto prostředků se provádí v souladu s bezpečnostními standardy stanovenými Úřadem20).

Odbornou způsobilost pracovníků kryptografické OUI ověřuje NBÚ nebo jím pověřená organizace21) .

4.2 Význam a formy prevence Při OUI má, tak jako při ochraně majetku nebo ochraně vůbec, nezastupitelný význam prevence. Význam prevenci samozřejmě nelze zveličovat a spoléhat se na to, že vyřeší všechny problémy, ale kvalitně prováděná prevence výrazně sníží pravděpodobnost, že dojde k bezpečnostnímu incidentu, a to i na poli OUI. Prevence je i po stránce ekonomické výhodnější než vynakládání vysokých částek na likvidaci vzniklých vyčíslitelných škod. Prevenci v oblasti UI můžeme rozlišovat podle různých hledisek22) , ale pro oblast vztahů organizace k UI je významné rozlišení podle toho, jakou formou je prevence prováděná, podle subjektu, na který je zaměřena a podle hrozeb, proti kterým má působit.

Podle subjektu, který prevenci provádí, jde o prevenci -

prováděnou organizací, tj. určenými pracovníky organizace;

-

prováděnou pracovníky jiných organizací;

20)

§46 zákona příloha č. 11 – osvědčení o zvláštní odborné způsobilosti pracovníka kryptografické ochrany 22) Prevenci můžeme rozlišovat např. i podle toho, kým je prováděna (např. organizací z vlastních zdrojů nebo dodavatelskou firmou - externě), zda jde o prevenci generální či individuální atd. 21)

26

-

prováděnou pracovníky pověřeného orgánu státu (např. pracovníky NBÚ).

Podle subjektů, na které se zaměřuje, se jedná např. o prevenci -

prováděnou obecně mezi zaměstnanci organizace;

-

prováděnou v rámci vybrané skupiny zaměstnanců (např. osoby určené k manipulaci s UI);

-

prováděnou mezi externími spolupracujícími osobami stojícími mimo vlastní organizaci (zaměstnanci dodavatelů, zaměstnanci obchodních partnerů);

-

zaměřenou na potencionální pachatele, kteří by mohli na zájmy organizace zaútočit.

Podle hrozeb, na které je prevence zaměřena, může se rozlišit např. -

prevence před jednotlivými formami neoprávněného nakládání s UI;

-

prevence požární;

-

prevence před následky živelných událostí;

-

prevence před ohrožením osob určených k manipulaci s UI;

-

prevence škod vzniklých neoprávněným nakládáním s UI.

Podle formy prevence rozeznáváme např. -

vzdělávací, školící nebo osvětovou činnost;

-

kontrolní a revizní činnost;

-

účelově zaměřenou analytickou činnost;

-

praktický nácvik řešení modelových situací;

-

stanovení kritérií a následný výběr podle nich (např. při výběru zaměstnanců určených k manipulaci s UI atd.);

-

tvorbu plánů a scénářů řešení možných situací (např. krizové plány a scénáře řešení jednotlivých krizí).

Krizový plán objektu

Krizový plán ochrany objektu představuje zásadní dokument, prostřednictvím kterého se organizace připravuje na aktivní zvládnutí možné krizové situace v oblasti OUI. Ačkoli požadavek na přípravu a vyhotovení krizového plánu vychází z oblasti fyzické bezpečnosti a především jí je určen, není od věci, aby organizace pojala toto téma z širšího pohledu

27

a zpracovala navíc i řešení krizových situací, které se nemusí bezprostředně dotknou jen oblasti fyzické bezpečnosti, ale může jít i o personální nebo administrativní bezpečnost.

Krizové plánování není žádnou novinkou a u mnoha organizací je běžné. Týká se to především organizací, jejichž provoz je považován za rizikový a případná provozní havárie může mít mimořádně závažné důsledky nejen pro organizaci samotnou, ale i pro jiné subjekty. Krizové plánování je např. povinností ministerstev a jiných ústředních správních úřadů23).

Obecně lze krizový plán charakterizovat jako písemný dokument, který obsahuje souhrn základních postupů pro prevenci vzniku krizových situací, pro řešení vzniklých krizových situací a pro řešení škod vzniklých v důsledku krizových situací.

Krizové plány obsahují: -

cíl a působnost krizového plánu;

-

vysvětlení základních pojmů užívaných v dokumentu;

-

orgány krizového řízení, jejich kompetence a odpovědnost;

-

vyrozumívání a svolávání členů jednotlivých orgánů krizového řízení;

-

definici jednotlivých typů krizi;

-

činnost orgánů krizového řízení;

-

základní postupy řešení krizí;

-

příprava členů orgánů krizového řízení na zvládání krizí;

-

otázky účasti dalších subjektů na řešení krizí a spolupráce těchto subjektů s orgány krizového řízení;

-

přípravu, provádění a aktualizaci krizového plánu;

-

materiální a informační zdroje pro řízení krizí.

Protože jednotlivé krizové plány se zabývají specifickými problémy a odlišují se i jednotlivými možnými typy krizí, bude se i krizový plán ochrany objektu lišit částečně od obecného modelu krizového plánu. Jeho struktura bude velmi podobná obecnému modelu, avšak obsah bude odlišný.

23)

Viz např. zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon).

28

Kontingenční plán je plán, resp. dokument obsahující modelové scénáře řešení pravděpodobných krizí, zejména krizí vznikajících z provozu organizace a současně stanovují postupy, které umožní, aby ohrožená činnost fungovala v náhradním režimu do doby, než bude krize překonána. Vedle krizového a kontingenčního plánu bývá v organizacích zpracován i plán havarijní, který je dokumentem obsahujícím souhrn opatření k provádění záchranářských a likvidačních prací a činností.

4.3 Kontrola jako specifický prostředek ochrany Přestože kontrola není zákonem uváděna přímo mezi prostředky OUI, můžeme říci, že patří mezi nejvýznamnější nástroje, které napomáhají k OUI. Sama o sobě kontrola nezajišťuje ochranu, avšak bez příslušné a pravidelné kontroly prostředky OUI nemohou trvale a optimálně fungovat.

Kontrolou se ověřuje, zda reálný stav odpovídá stavu požadovanému. V případě zjištěných rozdílů musí být posouzeno, zda tyto rozdíly mohou ohrozit UI nebo ne. V případě, že nedostatky zjištěné kontrolou mohou být nebezpečné, je třeba zjistit příčinu nedostatků a přijmou opatření k jejich nápravě. Výsledkem takové kontroly může být změna v systému OUI, které předchází vzniku možného bezpečnostního incidentu. Kontrola se tak stává i jedním z velmi působivých preventivních nástrojů, které napomáhají předcházet nežádoucím nebo přímo mimořádným situacím v oblasti OUI.

Kontrola jako obecný princip prověřování funkčnosti a účinnosti bezpečnostního systému umožňuje zaměřovat se na jednotlivé prvky systému, tzn. jak na kontrolu lidského faktoru, tak i na další prvky: režimová opatření, technická a objektová opatření ad. Není oblast, která by nemohla a neměla být podrobená kontrole.

Podle toho, jakým způsobem je prováděna a co je předmětem kontroly, může mít kontrola různou formu. Může se jednat o pravidelné nebo namátkové kontroly technických prostředků (např. předepsané revize technických zařízení) nebo o kontrolu připravenosti určitých osob zajišťovat OUI apod.

Cílem kontrolní činnosti, která je nedílnou součásti prosazování bezpečnostní politiky organizace, je trvalé prověřování funkčnosti a správnosti všech opatření realizovaných

29

organizací k OUI. Vyhodnocování poznatků z kontrolní činnosti pak umožňuje pověřeným orgánům přijímat další opatření, která účinnost dosavadních opatření zvýši, popř. rušit opatření, která jsou nefunkční a neslouží zamýšlenému účelu v oblasti OUI.

Kontrolní činnost je průběžná činnost a může být prováděna pravidelně na základě předem zpracovaných plánů nebo namátkově na základě konkrétních signálů o existenci nedostatků.

O každé kontrole je nutné provést písemný záznam, který povinně obsahuje důvod a cíl kontroly, místo kontroly, oblast a rozsah kontroly, průběh kontroly, čas, jméno kontrolujícího, zjištěný stav, vyjádření pracovníka odpovědného za zjištěný stav a jeho podpis, popř. další skutečnosti vyplývající z charakteru konkrétního případu. Pověřený pracovník by měl na základě provedené kontroly zpracovat písemný závěr kontroly, který musí mj. obsahovat vyjádření míry nebo výše škody způsobené zjištěnými nedostatky, určení osoby, která je za zjištěný nedostatek přímo odpovědná, a dále návrh na způsob řešení zjištěných nedostatků.

Kontrolní činnost organizace v oblasti UI by se měla zaměřovat zejména na: -

správnost a úplnost vedení agendy UI (evidence, příjem, manipulace, zapůjčování, uchovávání likvidace UI);

-

přesné dodržování režimových opatření (ostraha, pohyb osob v objektu, přistup osob do objektu, klíčový režim apod.);

-

dodržování přípravy a proškolování určených zaměstnanců o OUI;

-

dodržování a uplatňování pokynů a metodiky NBÚ;

-

stav technických a materiálových prostředků OUI;

-

včasné a přesné provádění aktualizace vnitřních norem organizace v souladu s obecně závaznými právními předpisy z oblasti OUI.

5 Novely zákona č. 412/2005 Sb., o ochraně utajovaných skutečností a bezpečnostní způsobilosti V současné době je oblast OUI upravena zákonem č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti (dále jen „zákon“). Prováděcími právními předpisy je jedno nařízení vlády (seznam utajovaných informací) a 7 vyhlášek (podrobnosti ochrany v jednotlivých druzích bezpečnosti). Zákon byl 2x novelizován, a to poměrně jednoduchými a krátkými novelami, jejichž potřeba byla vyvolána jednak požadavky NATO (oblast přístupu

30

k UI bez osvědčení) a jednak požadavky souvisejícími s předsednictvím ČR v Radě EU (manipulace s UI stupně utajení Vyhrazené).

Zamýšlená „větší“ novela zákona by měla zohlednit nejen zkušenosti NBÚ při uplatňování zákona, ale i poznatky subjektů, které zákon aplikují v praxi. Novela si klade za hlavní cíle: •

zkrátit dobu bezpečnostního řízení o vydání osvědčení a dokladu;

•

snížit počty žádostí o vydání osvědčení;

•

snížit zátěž účastníků bezpečnostního řízení;

•

zjednodušit a zestručnit současný zákon.

Zamýšlené změny v jednotlivých oblastech bezpečnosti nejsou v navrhovaných variantách konečné, ale figurují pouze jako doporučení příslušných sfér státní správy. Tyto návrhy jsou vyhodnocovány orgány k tomu určenými, které je připraví k následnému projednávání a schválení našimi zákonodárci. Tyto návrhy a jednotlivé novely směřují ke zlepšení transparentnosti v jednotlivých oblastech a to zejména:

5.1 Personální bezpečnost Hlavními cíli novely v této oblasti bude zpřehlednění a zjednodušení bezpečnostního řízení k vydání osvědčení fyzické osoby a stanovení takových podmínek, které zamezí podávání žádostí o vydání osvědčení a dokladů subjekty, které ve skutečnosti nikdy nebudou mít přístup k UI nebo vykonávat citlivou činnost. Novela bude tedy zaměřena zejména na:

5.1.1 Snížení počtu podávaných žádostí a optimalizace počtu míst, kde je vyžadováno držení „osvědčení“ K dosažení tohoto cíle bude novela obsahovat: •

stanovení povinnosti zdůvodnění žádosti fyzické osoby, podnikatele nebo žádosti

o doklad odpovědnou osobou a požadavek toto zdůvodnění precizovat – např. zařazení fyzické osoby na konkrétní pracovní místo, kde je nutný přístup k UI daného stupně; •

umožnění NBÚ provádět kontrolu oprávněnosti stanovení podmínky držení osvědčení na

konkrétním pracovním místě – prostřednictvím propojení personálních projektů a schválených přehledů tabulkových míst s nutným přístupem k utajované informaci v rozlišení dle stupně utajení u ústředních orgánů státu;

31

•

umožnění NBÚ nezahajovat bezpečnostní řízení v případech řádně neodůvodněné žádosti

a zastavit bezpečnostní řízení v případě, že pominou důvody žádosti a řízení dosud není dokončeno a současně stanovit odpovědné osobě povinnost oznamovat NBÚ, ukončení pracovního, služebního poměru nebo negativní ukončení výběrového řízení a v návaznosti na tuto informaci umožnit NBÚ ukončení probíhajícího bezpečnostního řízení; •

posílit pravomoc bezpečnostních ředitelů zejména v oblasti regulace počtu žádostí

o vydání osvědčení; •

zavedení institutu, který zajistí informovanost NBÚ o fyzických osobách, které mají

skutečný přístup k utajované informaci.

5.1.2 Zkrácení doby bezpečnostního řízení Z dosavadních zkušeností NBÚ a ze statistických údajů o délce jednotlivých druhů bezpečnostního řízení vyplývá, že je možné zkrácení bezpečnostního řízení o vydání osvědčení fyzické osoby; u stupně utajení Důvěrné na 2 měsíce (zkrácení o 1 měsíc), Tajné na 6 měsíců (zkrácení o 3 měsíce) a u stupně utajení Přísně tajné na 9 měsíců (zkrácení o 3 měsíce). Toto zkrácení lhůt je ovšem možné zpravidla pouze u tzv. bezproblémových řízení a za předpokladu optimalizace výměny informací s lustračními místy. Proto zkrácení lhůt bude doplněno možnost lhůtu u složitějších řízení snadněji, a to i opakovaně, prodloužit.

5.1.3 Zjednodušení doby bezpečnostního řízení Současná právní úprava nepřiměřeně zatěžuje účastníka řízení uváděním a dokládáním velkého množství informací, přičemž některé z těchto informací jsou zjistitelné vlastní činností NBÚ. Proto se novela zaměří na: •

redukci množství informací uváděných účastníkem řízení v jednotlivých dotaznících

a v dalších dokumentech předkládaných NBÚ (princip jedna osoba jeden bezpečnostní svazek pro všechna opakující se řízení); •

zúžení a specifikaci rozsahu hlášení změn v dokumentech předkládaných NBÚ;

•

upřesnění, resp. doplnění dalších důvodů k zastavení bezpečnostního řízení (např. osoba

již nebude potřebovat přístup k utajovaným informacím a sama žádost zpět nevezme); •

upřesnění vlastní žádosti o vydání osvědčení – ne vždy je možné vyjádření odpovědné

osoby.

32

5.1.4 Osvědčení fyzické osoby Novela stanoví jako nový důvod zániku platnosti osvědčení jeho odevzdání tomu, kdo jej vydal. Jde o případy, kdy fyzická osoba v době platnosti osvědčení nebude (nechce) mít přístup k UI; tímto se odstraní zatěžování těchto osob povinností hlásit všechny změny.

Novela stanoví princip, že fyzická osoba bude aktuálně držitelem pouze jednoho platného osvědčení – u osvědčení pro nižší stupeň automaticky zaniká platnost po vydání osvědčení pro stupeň vyšší.

5.2 Průmyslová bezpečnost 5.2.1 Bezpečnostní řízení o vydání osvědčení podnikatele na stupeň utajení Vyhrazené Novela zruší ověřování podmínek pro přístup podnikatelů k UI stupně utajení „Vyhrazené“ v bezpečnostním řízení prováděném NBÚ. Současný stav, to je provádění řízení o vydání osvědčení podnikatele pro přístup k UI stupně utajení Vyhrazené, je nepřiměřeně náročný vzhledem k významu tohoto stupně utajení. Navrhovaná změna odpovídá i snaze o snížení administrativního zatížení podnikatelů a přibližuje se způsobu ověřování podmínek pro přístup k utajované informaci stupně utajení Vyhrazené u fyzických osob.

Výše uvedeným opatřením se podnikatelé dostanou do pozice státního orgánu, resp. jiných právnických osob, tj. nebude jim vydáván žádný zvláštní dokument (osvědčení). Dojde k podstatnému zúžení podmínek přístupu podnikatele k UI; zůstanou pouze – nutnost přístupu, schopnost podnikatele zabezpečit OUI ve všech druzích zajištění a splnění podmínek přístupu k UI u odpovědné osoby podnikatele.

Splnění podmínek přístupu budou podnikatelé deklarovat jednoduchým prohlášením. Pouze v případě vydání tohoto prohlášení podepsaného odpovědnou osobou bude možné podnikateli UI stupně utajení Vyhrazené poskytovat nebo bude moci u něho vznikat. Bude stanovena doba platnosti prohlášení a podmínky zániku jeho platnosti. V oblasti vedení dokumentace podnikatele přinese novela rovněž zjednodušení i v tom, že podnikatel bude muset vést pouze

33

tu dokumentaci, kterou v jednotlivých druzích zajištění OUI jsou povinny vést i jiné subjekty (státní orgány a ostatní právnické osoby) – jde např. o projekt fyzické bezpečnosti a dokumentaci v oblasti informačních a komunikačních systémů. 5.2.2 Zkrácení doby bezpečnostního řízení Lhůta pro bezpečnostní řízení pro stupeň utajení Tajné bude stanovena na 8 měsíců (zkrácení o 1 měsíc) a pro stupeň utajení Přísně tajné 10 měsíců (zkrácení o 2 měsíce).

Zkrácení je možno provést za předpokladu optimalizace výměny informací s lustračními místy a bude doplněno u složitějších řízení o možnost snadněji prodloužit lhůtu, a to i opakovaně.

5.2.3 Zpoplatnění bezpečnostního řízení u podnikatelů Novela bude obsahovat zpoplatnění žádostí podnikatelů o vydání osvědčení, a to formou správního poplatku za podanou žádost (nezbytná novela zákona o správních poplatcích). Výše správního poplatku bude stanovena v návaznosti na formu přístupu podnikatele a lze uvažovat o jeho výši v rozsahu 10.000 Kč – 50.000,- Kč. V případě, kdy bude podána opakovaná žádost z důvodu zachování přístupu k utajované informaci nebude již tato zpoplatňována.

5.2.4 Výběrové řízení ve vztahu k utajovaným informacím Praxe ukazuje, že někteří zadavatelé veřejných zakázek zcela neodůvodněně zařazují do podmínek (pro uchazeče) požadavek na osvědčení podnikatele, přesto že utajované informace nejsou předmětem zakázky nebo jsou, ale pouze formálně nikoliv fakticky. Tím se automaticky zvyšují počty žádostí o vydání osvědčení podnikatele. Novela by měla přispět k zamezení tohoto nešvaru a často i protiprávního jednání tím, že stanoví podíl NBÚ na hodnocení, zda se skutečně jedná o UI.

5.2.5 Bezpečnostní dokumentace podnikatele a dotazník podnikatele Hlavním cílem je na maximálně možnou míru snížit administrativní zátěž podnikatele při podávání žádosti o vydání osvědčení: a)

Bezpečnostní dokumentace podnikatele – bude provedena redukce jednotlivých

položek bezpečnostní dokumentace s cílem, aby tato obsahovala pouze takové informace, které jsou nezbytné pro realizaci celého systému OUI; 34

b)

Dotazník podnikatele – bude provedena redukce jednotlivých položek dotazníku

podnikatele (např. vypuštění písm. j); tato redukce položek úzce souvisí s možnostmi získání dálkových přístupů do některých evidencí;

c)

Přikládané dokumenty k žádosti – bude provedena redukce jednotlivých dokumentů

(písemností) tak, aby podnikatel přikládal jen ty, které nejsou obsahem jeho žádosti nebo si je NBÚ nemůže opatřit sám. Toto velmi úzce souvisí s možností dálkového přístupu do evidencí.

5.3 Administrativní bezpečnost Novela upřesní opatření při skartačním řízení a upraví nakládání s UI během její archivace v bezpečnostním archivu.

Tato úprava doplní podmínky ustanovení skartační komise při skartačním řízení UI a definuje administrativní postupy při manipulaci s archiválií obsahující UI. Stanoví podmínky nahlížení, předkládání, poskytování kopií, opisů a výpisů z nich a změny či zrušení stupně utajení.

5.4 Fyzická bezpečnost Novela bude jednotlivé objekty pro zabezpečení OUI členit do kategorií a současně s tím umožní zpracovávat UI v příslušné kategorii objektu bez toho, že by v něm musela být umístěna zabezpečená oblast příslušné kategorie. Rovněž upřesní podmínky a důvody zřizování jednacích oblastí a požadavky na jejich zabezpečení.

Tato úprava bude znamenat odstranění dosavadních nedostatků. Již v současné legislativě se řeší zabezpečení objektů dle toho, jakou nejvyšší kategorii zabezpečené oblasti obsahuje, proto návrat k již dříve používanému pojmu „kategorie objektu“ nebude znamenat žádné náklady pro NBÚ, ani subjekty vně NBÚ vzhledem k nasazení technických prostředků používaných na hranici objektů. Současně tato úprava umožní snížení nákladů a zvýší variabilitu při stanovování prostor určených pro zpracovávání UI.

35

5.5 Kryptografická ochrana Přesunutí některých současných ustanovení zákona do vyhlášek, resp. bezpečnostních standardů (např. ustanovení týkající se zkoušek pracovníků kryptografické ochrany a kryptografických pracovišť nebo obsahující definice některých pojmů).

Cílem je zjednodušení textu zákona resp. vyhlášek a odstranění technických podrobností. Novela zavede nový pojem „chráněná kryptografická položka“. Tato není UI ve smyslu zákona, ale je používána k OUI a je požadována její ochrana.

Důvodem je, že mimo utajovaných kryptografických prostředků jsou v členských státech EU a NATO vyráběna a provozována zařízení, která využívají kryptografických metod nebo slouží k zabezpečení jejich činnosti a jsou zařazena v kategorii „chráněná kryptografická položka“ (CCI – Controlled COMSEC Item nebo i Controlled Cryptographic Item). Teprve vložením kryptografických klíčů, popřípadě jejich aktivací, se tato „chráněná kryptografická položka“ stává kryptografickým prostředkem a tedy UI. Toto bude znamenat zjednodušení ukládání, manipulace, výroby, oprav a přepravy kryptografických zařízení, která nejsou v aktivním stavu a dále zajistí požadovanou ochranu zařízení, která jsou COMSEC autoritou označena CCI resp. chráněná kryptografická položka. Případná kompromitace této položky nebude řešena jako porušení OUI. Způsob ochrany chráněné kryptografické položky a výčet jejích druhů bude uveden ve vyhlášce nebo bezpečnostním standardu.

Status „Národního střediska pro distribuci kryptografického materiálu“ (NDA) bude stanoven tak, aby umožnil distribuci a evidenci kryptografického materiálu NATO a dalšího kryptografického materiálu souvisejícího s činností Ministerstva obrany distribučním střediskem na Ministerstvu obrany. Kryptografický materiál EU a další kryptografický materiál nesouvisející s působností Ministerstva obrany (jak národní tak i cizí moci) eviduje a distribuuje NBÚ. Bude také umožněno zajišťování kurýrní služby pro kryptografický materiál na základě smluvního vztahu mezi NDA a možným poskytovatelem kurýrní služby.

36

Současně se doplní zmocnění NBÚ stanovit právním předpisem podmínky evidence, manipulace a kontroly pohybu kryptografického materiálu v ČR (zřízení účtů u velkých subjektů, vedení evidencí, kontrolní funkce a povinnosti držitelů kryptografického materiálu vůči NDA) a provádění kurýrní služby. Tyto podmínky budou stanoveny v souladu s požadavky NATO (SDIP 293) a EU (správa kryptografického materiálu a materiálu COMSEC čj. V5/2007-NBÚ/ÚREU).

Takové uspořádání umožní mimo jiné distribuovat kryptografický materiál NATO přímo do Armády České republiky (dále jen AČR). Ministerstvo obrany má v současnosti pro činnost NDA akreditaci NATO (NDA CZ). Delegování této části NDA na Ministerstvo obrany zjednoduší práci s kryptografickým materiálem NATO pro AČR (prakticky je tento způsob již realizován dnes, ale není právně ošetřen).

Novela upřesní používání kryptografických prostředků pro OUI (s výjimkou stupně utajení PT) s krátkodobou platností nebo jinými specifickými vlastnostmi („specifická UI“).

Jedná se o OUI, které svým charakterem vyžadují odlišnou manipulaci, evidenci, kontrolu, ukládání nebo likvidaci (například se jedná o rozkazy, mapy, instrukce, pokyny ve hmotné i nehmotné formě) – „specifická UI“. Úřad stanoví standardem podmínky pro odlišné nakládání s tímto typem UI.

Následně Úřad standardem stanoví podmínky certifikace kryptografických prostředků a IS nebo schválení komunikačních systémů pro zpracování nebo přenos výše uvedeného typu UI. Tyto kryptografické prostředky mohou mít odlišné požadavky na kryptologicko – technické parametry, obdobně informační a komunikační systémy mohou mít jiné provozní a bezpečnostní požadavky. Přijetí standardů umožní vytvoření stejných podmínek pro provozování kryptografických prostředků a informačních a komunikačních systémů (například „taktická rádia“, „GPS“) jako jsou vyžadovány v jiných státech NATO.

5.6 Uznávání cizího bezpečnostního oprávnění Novela upřesní způsob podávání žádosti o uznání bezpečnostního oprávnění vydaného cizí mocí, včetně jejích náležitostí, tak, aby byl do tohoto systému začleněn i orgán cizí moci, který bezpečnostní oprávnění vydal.

37

Tento systém umožní jednotný postup při různých variantách přístupu osob, které nejsou držiteli osvědčení vydaného NBÚ.

5.7 Rozklad Dojde ke zkrácení doby stanovené pro rozhodnutí ředitele NBÚ o rozkladu ze tří měsíců na měsíce dva s možností tuto lhůtu ve složitých případech prodloužit. Bude zrušena podmínka pro členy rozkladové komise ředitele NBÚ, být držiteli platného osvědčení fyzické osoby pro stupeň utajení Přísně tajné.

5.8 Ostatní Kromě výše uvedených zásadních změn budou novelou provedeny i některé další úpravy. Ty budou vycházet jednak ze změn výše uvedených a jednak z potřeb praktické aplikace zákona. Půjde např. o dílčí úpravy pojmového aparátu, povinností subjektů dotčených zákonem, ustanovení týkajících se správních deliktů apod.

6

Citlivé oblasti

Citlivou činnost lze charakterizovat jako činnost, jejíž zneužitím by mohly být ohroženy zájmy ČR. Vykonávat jí může pouze osoba bezpečnostně způsobilá, která je držitelem platného dokladu o bezpečnostní způsobilosti nebo která je držitelem platného osvědčení fyzické osoby.

Za citlivou činnost se považuje např.: -

výkon funkce člena statutárního orgánu, prokuristy a člena dozorčí rady právnické osoby, která provádí obchod s vojenským materiálem;

-

nakládání s věcmi určenými k obranným a bezpečnostním účelům; jedná se o nákup, prodej, vývoj, úprava, skladování, přeprava bezpečnostního materiálu např. vojenské zbraně, vojenské výbušniny, pyrotechnické prostředky a speciální paliva, vojenské letouny bez zbraňových systémů, speciální počítačové a programové vybavení pro speciální zařízení pro vojenský výcvik, vojenské technologie, materiály apod.;

38

-

organizace a řízení provozu jaderného zařízení, organizace a řízení činnosti radioaktivních odpadů, evidence a kontrola přepravy jaderných materiálů, obsluha řídícího centra technického systému fyzické ochrany;

-

organizace a řízení hornické činnosti, podmínky pro nakládání s výbušninami, výroba výbušnin, jejich skladování, přeprava, distribuce, nákup, výzkum, dovoz a také likvidace, podmínky pro bezpečnost a ochranu zdraví osob, ochrana pracovního prostředí.

Citlivé činnosti jsou stanoveny předpisy: •

zákon č. 38/1994 Sb., o zahraničním obchodu s vojenským materiálem a o doplnění

zákona č. 455/1991 Sb., o živnostenském podnikání (živnostenský zákon) ve znění pozdějších předpisů a zákona č. 140/ 1961 Sb., trestní zákon, ve znění pozdějších předpisů; •

zákon č. 18/1997 Sb., o mírovém využívání jaderné energie a ionizujícího záření

(atomový zákon) a o změně a doplnění některých zákonů, ve znění pozdějších předpisů; •

zákon č. 310/1997 Sb., o nakládání s některými věcmi využitelnými k obranným

a bezpečnostním účelům na území České republiky a o změně některých dalších zákonů (zákon o nakládání s bezpečnostním materiálem); •

zákon č. 376/2007 Sb., kterým se mění zákon č. 61/1988 Sb., o hornické činnosti,

výbušninách a o státní báňské správě, ve znění pozdějších předpisů, a zákon č. 200/1990 Sb., o přestupcích, ve znění pozdějších předpisů.

7

Mezinárodní výměna utajovaných informací

UI mohou být předmětem výměny mezi státy, přesněji řečeno jednotlivé státy si mohou navzájem UI poskytovat. Jedním ze znaků UI je možnost způsobení újmy zájmům České republiky nebo zájmům, k jejichž ochraně se Česká republika zavázala. Toto zavázání se ochraňovat cizí zájmy jako své vlastní se děje na základě mezinárodních smluv a dohod, často spojených s účastí České republiky v různých mezinárodních institucích nebo společenstvích. Obdobný postup zajišťují cizí státy ve vztahu k České republice, resp. k některým jejím zájmům, protože na základě reciprocity i ony poskytují UI svou ochranu, mezi státy tedy existuje styk v oblasti UI a dochází k pohybu těchto informací.

Každé poskytování informací do zahraničí jejich příjem ze zahraničí je velmi citlivou otázkou související často s nejvyššími zájmy státu, jako je např. zachování ústavnosti, svrchovanosti, 39

územní celistvosti a obranyschopnosti. Proto musí existovat přesný postup, jakým se poskytování UI do a ze zahraničí provádí a musí být přesně určeno, kdo toto poskytnutí provádí.

Z uvedených důvodů zákon v hlavě dvanácté v ust. § 73 a 74 upravuje základní podmínky poskytování UI v rámci mezinárodních styků České republiky nebo orgánem státu a cizí moci. Další právní úprava je v ust. § 77 a 78, kde je upraven způsob poskytování UI: -

v mezinárodním styku;

-

mezi zpravodajskou službou a obdobnou službou cizí moci;

-

mezi Ministerstvem obrany, Ministerstvem spravedlnosti, soudy, policií a obdobnými orgány cizí moci;

-

mezi Českou republikou a státy Evropské unie.

Úprava styku se zahraničím

Zákon rozlišuje v rámci zahraničních vztahů dvě roviny těchto vztahů: -

vztahy České republiky s cizí moci;

-

vztahy mezi tuzemskou organizaci a zahraničním partnerem.

Pro vztah Česká republika – cizí moc platí, že poskytování UI se uskutečňuje v souladu s mezinárodními smlouvami, kterými je Česká republika vázáná nebo podle zvláštního zákona. Mezinárodních smlouvách, které umožňují vzájemnou výměnu UI může být popsána a vzájemně schválená procedura, jak se UI postupují, jak se evidují a jak kontrolují. Pokud však mezinárodní smlouva takový postup nestanoví, použije se postup stanovený zákonem.

Pro účely poskytování utajovaných informací jsou Úřadem zřízeny a vedeny ústřední registry utajovaných informací25), ve kterých jsou evidovány všechny utajované informace poskytnuté v rámci mezinárodního styku.

Orgán státu, právnická osoba a podnikající fyzická osoba zřizují a vedou registr utajovaných informací26), ve kterém se evidují, ukládají nebo odesílají UI poskytnuté v rámci mezinárodního styku. 25) 26)

ust. § 79 písm. 2 ust. § 79 písm. 3

40

Ústřední registry UI zahrnují: -

centrální spisovnu pro UI Organizace Severoatlantické smlouvy (NATO);

-

centrální spisovnu Evropské unie (EU);

-

centrální spisovnu pro ostatní UI v mezinárodním styku.

Uvedené centrální spisovny jsou hlavním přijímacím a odbavovacím místem pro přijímané nebo poskytované UI v mezinárodním styku.

Ústřední registry slouží především k vedení: -

aktuálního seznamu všech registrů na území České republiky;

-

aktuální seznam osob oprávněných seznamovat se s UI NATO, EU nebo s ostatními

UI v mezinárodním styku.

Registry UI zřizované jednotlivými orgány státu: -

evidují, ukládají UI poskytnuté do zahraničí a ze zahraničí.

Existence registru u orgánu státu je podmíněna předchozím souhlasem Úřadu. Manipulace s UI je prováděna obdobně jako v ústředních registrech

Pro vztah tuzemská organizace – zahraniční partner platí základní zásada, že výhradní právo povolovat poskytování UI mezi organizaci a zahraničním partnerem přísluší NBÚ. Před udělením souhlasu organizaci k poskytnutí UI zahraniční organizaci nebo osobě si NBÚ vyžádá stanovisko Ministerstva zahraničních věcí, zpravodajských služeb a toho ústředního úřadu, do jehož působnosti UI přísluší.

Záporné stanovisko kteréhokoli z dotázaných subjektů nemusí nutně znamenat nesouhlas NBÚ s poskytnutím UI. Co však je nezbytnou podmínkou, aby souhlas k poskytnutí UI mohl být tuzemské organizaci vydán, je existence bezpečnostního oprávnění zahraničního subjektu, které mu bylo vydáno příslušným úřadem cizí moci.

NBÚ také v souladu s mezinárodní smlouvou, kterou je Česká republika vázaná, vydává certifikát, ve kterém uvede stupeň utajení, na který bylo osobě vydáno osvědčení nebo organizaci potvrzení.

41

Na poskytování UI mezi Ministerstvem obrany, Ministerstvem spravedlnosti, soudy, státními zastupitelstvími, policií České republiky nebo celními orgány a obdobnými orgány cizí moci se výše uvedené zásady také vztahují, ale zvláštní zákon nebo mezinárodní smlouva, kterou jen Česká republika vázána, může provést odchylnou právní úpravu. UI takto poskytnuté jsou vedeny v evidencích těchto orgánů.

OUI v NATO

Při přijetí zákona o OUI bylo vyvoláno povinnostmi, které na sebe Česká republika v rámci svých mezinárodních aktivit přijala a hodlala přijmout. Především začlenění České republiky do Severoatlantické aliance (NATO) znamenalo přizpůsobit dosavadní praxi při OUI standardům této organizace. Výsledkem tohoto procesu byl zákon č. 148/1998 Sb., který byl nahrazen zákonem č. 412/2005 Sb. Předobrazem těchto zákonů a prováděcích předpisů byl bezesporu bezpečnostní předpis C-M(55). Uvedený předpis byl přijat již v roce 1955 a postupně byl doplňován a novelizován. V současné době upravuje a přibližuje bezpečnost v rámci NATO předpis pod označením C-M(2002)49, který je výsledkem Základní revize (Fundamental Review) provedené Bezpečnostním výborem NATO (NSC) a schválen Radou.

Součástí dokumentu C-M(2002)49 jsou následující směrnice: AC/35-D/2000 AC/35-D/2001 AC/35-D/2002 AC/35-D/2003 AC/35-D/2004 AC/35-D/2005

Směrnice k otázkám personální bezpečnosti; Směrnice k otázkám fyzické (objektové) bezpečnosti; Směrnice k otázkám bezpečnosti informací; Směrnice k otázkám průmyslové bezpečnosti; Základní směrnice k otázkám INFOSEC22); Řídící směrnice INFOSEC pro CIS23).

Jednotlivé přílohy dokumentu jsou označené velkými písmeny A až G.

Zvláště zajímavá je příloha C, která obsahuje hlavní zásady a minimální standardy bezpečnosti, bezpečnostní požadavky a procedury pro OUI a jednání v rámci NATO a je zde možné nalézt údaje o:

22)

23)

Primary Directive on INFOSEC INFOSEC Management Directive for CIS

42

-

agenturách odpovědných za kontrolu a koordinaci bezpečnosti v rámci NATO (např. Bezpečnostní výbor NATO, Bezpečnostní úřad NATO, Vojenský výbor NATO, generální tajemník NATO, mezinárodní štáb NATO, civilní orgány NATO atd.);

-

řešení bezpečnostních rizikových faktorů;

-

bezpečnostních opatření včetně personálních, fyzických;

-

definici jednotlivých stupňů utajení;

-

postupu a pravidlech při zacházení s UI.

Pro ilustraci řešení těchto otázek v rámci NATO lze uvést, že stupně utajení se rozeznávají čtyři a v pořadí od nejnižšího stupně po nejvyšší jsou následující:

-

RESTRICTED (NR) – NATO VYHRAZENÉ – aplikuje se v případě, kdy neoprávněné vyzrazení by bylo nevýhodné pro zájmy NATO,

-

CONFIDENTIAL (NC) – NATO DŮVĚRNÉ – aplikuje se v případě, kdy vyzrazení poškodí nebo by mohlo poškodit zájmy NATO,

-

SECRET (NS) – NATO TAJNÉ – jen v případě, že vyzrazení by mělo za následek závažnou újmu pro NATO,

-

TOP SECRET (NTS) – NATO PŘÍSNĚ TAJNÉ – nejvyšší stupeň utajení aplikovaný v případě, kdy neoprávněné vyzrazení by mělo pro NATO za následek výjimečně závažnou újmu.

Vedle tohoto způsobu označování stupňů utajování používá NATO ještě klasifikační označení COSMIC, která znamená, že takto označený dokument je vlastnictvím NATO a UI v něm obsažené zůstávají vlastnictvím původce a nesmějí být předávány mimo rámec NATO bez jeho souhlasu. Obdobný význam má označení NATO, které, je-li umístěno před označením stupně utajení, znamená, že informace v písemnosti obsažené zůstávají vlastnictvím NATO a pokud nesou nějaký stupeň utajení, nesmějí být předány mimo rámec NATO. Jestliže je nějaká informace neutajovaná, je v rámci NATO označená jako NATO UNCLASSIFIED.

Dokument C-M(2002)49 je velmi podrobným a propracovaným dokumentem, který do detailu rozebírá a upravuje problematiku OUI. V této práci není dostatečný prostor k jeho prezentaci. Nicméně, uvedený dokument obsahuje řadu pojmů, které jsou totožné s pojmy používanými v tuzemských právních předpisech a může zjednodušit pochopení významu některých institutů. Dokument je nesrovnatelně detailnější než tuzemská právní úprava, a to 43

ve všech oblastech. Samozřejmě, že tento předpis nelze slepě přenášet do tuzemských podmínek, vždy je třeba se v prvé řadě řídit platnou českou legislativou.

UI, které byly svěřeny NATO, nebo které NATO vypracovalo v rámci plnění svých úkolů, jsou šířeny a chráněny v souladu s bezpečnostní politikou, bezpečnostními směrnicemi a s bezpečnostními postupy NATO.

8

Problematika OUI v EU

Komplexní úprava OUI právem Evropských společenství či Evropské unie neexistuje a proto nemá zákon č. 412/2005 Sb. v žádném případě harmonizační účel. Z práva EU zásadně neplynou žádné požadavky na podobu úpravy české. Jediné rozhodnutí Komise EU je interní předpis tohoto orgánu, stejně tak rozhodnutí Rady EU o bezpečnostních směrnicích Rady. Jde o rozhodnutí („decision“), které bývá zpravidla bez účinků navenek. Toto konkrétní rozhodnutí dílčím způsobem působí i vůči členským státům EU, ale pouze pro nakládání s UI Evropské unie.

Právo Evropských společenství řešící problematikou UI:

-

Rozhodnutím Rady Evropské unie 2001/264/EC, jímž se přijali bezpečnostní směrnice Rady;

-

Rozhodnutí Komise Evropských společenství 2001/844/EC, jímž se přijali bezpečnostní směrnice Komise;

-

Nařízení Rady č. 1958/3, kterým se provádí článek 24 Smlouvy o založení Evropského společenství pro atomovou energii;

-

Návrh Inspekčního manuálu EU ze dne 19. 12. 2002.

Bezpečnost informací EU (Rozhodnutí Rady):

Ustanovení v Rozhodnutí Rady, jímž se přijímají bezpečnostní směrnice Rady, určují základní principy a minimální standardy bezpečnosti, pro zajištění společného standardu zajišťujícího OUI EU, kterými se musí odpovídajícím způsobem řídit Rada, Generální sekretariát Rady („General Secretariat of the Council“), členské země a decentralizované orgány Evropské unie („EU decentralised agencies“). Členské státy EU mají přijmou pro případy, kdy jejich 44

příslušné orgány a úředníci nakládají s UI EU, vlastní vnitrostátní bezpečnostní opatření, komptabilní s Rozhodnutím Rady.

Definice UI EU:

-

utajovaná informace EU („EU classified information“) – znamená jakoukoliv

informaci nebo materiál, jejichž neoprávněné prozrazení by mělo za následek různý stupeň poškození zájmů EU nebo zájmů jednoho nebo několika jejích členských zemí, a to bez ohledu na to, zda tyto informace mají svůj původ v EU nebo byly získány od členských zemí, třetích zemí nebo od mezinárodních organizací; -

dokument („document“) – znamená jakýkoliv fyzické médium, na němž jsou

zaznamenány informace; -

materiál („material“) – znamená „dokument“ ve smyslu výše uvedené definice a také

jakákoliv součást zařízení nebo zbraně, která již byla vyrobená nebo prochází fází výroby.

Stupně utajení UI EU:

-

RESTREINT UE – EU VYHRAZENÉ – aplikuje se v případě, kdy neoprávněné

vyzrazení by mohlo být pro zájmy EU nebo pro zájmy jedné nebo několika jejích členských zemí nevýhodné; -

CONFIDENTIEL EU – EU DŮVĚRNÉ – aplikuje se v případě, kdy neoprávněné

prozrazení by mohlo poškodit základní zájmy EU nebo základní zájmy jedné nebo několika jejích členských zemí; -

SECRET EU – EU TAJNÉ - jen v případě, kdy neoprávněné prozrazení by mohlo

vážně poškodit zájmy EU nebo základní zájmy jedné nebo několika jejích členských zemí; -

TRÉS SECRET EU – EU PŘÍSNĚ TAJNÉ – nejvyšší stupeň utajení aplikovaný

v případě, kdy neoprávněné vyzrazení by mohlo velmi vážně poškodit zájmy EU nebo základní zájmy jedné nebo několika jejích členských zemí.

Výměna utajovaných informací mezi NATO a EU

Pravidla pro výměnu UI mezi NATO a EU a jejich vzájemnou ochranu zastřešuje „Dohoda mezi Organizací severoatlantické smlouvy a Evropskou unii o bezpečnosti informací“ ze dne 4. 3. 2003, která především upravuje způsob výměny UI mezi uvedenými stranami a mimo 45

tyto strany, vzájemné uznávání stupňů utajení, základní princip OUI a deklaruje zájem na stálém a průběžném přibližování požadavků na OUI.

Bezpečnost informací:

Dle této dohody musí být zajištěno, aby si předané nebo vyměněné UI nebo materiál, na které se vztahuje dohoda, zachovaly stupeň utajení, přidělený poskytující stranou. Přijímací strana musí zabezpečit a chránit tyto UI nebo materiál podle ustanovení uvedených v jejích vlastních bezpečnostních směrnicích (právních předpisech) určených pro informace nebo materiál se shodným stupněm utajení.

Definice UI:

Jako UI dle této dohody jsou definovány všechny informace (určitá znalost, která může být sdělená v jakékoliv podobě) nebo materiál, u nichž je požadována ochrana proti neoprávněnému prozrazení a které v tomto směru byly označeny stupněm utajení.

9 Mezinárodní úmluvy a předpisy související s problematikou UI

NBÚ jako ústřední správní úřad má ve své kompetenci přípravu návrhů na sjednání mezinárodních smluv o výměně a vzájemné OUI. Úřad vychází při stanovení priorit v této oblasti s potřeby zajištění odpovídající OUI a výměny UI s konkrétními státy.

Smlouvy upravují postup při poskytování UI, způsob ochrany předaných UI mezi Českou republikou a druhou smluvní stranou, spolupráci správních orgánů odpovědných za OUI. Tyto smlouvy dále upravují věci, jejichž úprava je vyhrazená zákonu a také práva a povinnosti osob, jsou to smlouvy, k jejichž ratifikaci je v souladu s článkem 49 Ústavy potřebný souhlas obou komor Parlamentu. Mezinárodní smlouvy jsou nadřazeny zákonům – pokud jsou některá ustanovení zákona v rozporu s těmito smlouvami, je použito místo něj příslušné ustanovení smlouvy.

46

Všechny mezinárodní smlouvy musí být v souladu se zahraničně politickými zájmy ČR, závazky, které pro ČR vyplývají z členství v NATO a EU a také s plněním povinností souvisejících s ochranou lidských práv.

9.1 Mezinárodní smlouvy o výměně a vzájemné OUI -

Bezpečnostní smlouva mezi Českou republikou a Švédským královstvím o vzájemné OUI.

-

Smlouva mezi Českou republikou a Portugalskou republikou o výměně a vzájemné OUI.

-

Dohoda mezi vládou České republiky a vládou Lotyšské republiky o vzájemné ochraně utajovaných skutečností (dále jen OUS) (1/2001 Sb.m.s.).

-

Dohoda mezi vládou České republiky a vládou Litevské republiky o vzájemné OUS (69/2001 Sb.m.s.).

-

Dohoda mezi vládou České republiky a vládou Spolkové republiky Německo o vzájemné OUS (95/2001 Sb.m.s.).

-

Dohoda mezi vládou České republiky a vládou Ruské federace o vzájemné OUS (118/2003 Sb.m.s.).

-

Bezpečnostní dohoda o OUS mezi vládou České republiky a vládou Estonské republiky (4/2004 Sb.m.s.).

-

Bezpečnostní dohoda mezi vládou České republiky a vládou Spojeného království Velké Británie a Severního Irska o OUS z oblasti obrany předávaných mezi oběma státy (18/2004 Sb.m.s.).

-

Dohoda mezi vládou České republiky a kabinetem Ukrajinské republiky o OUS (137/2004 Sb.m.s.).

-

Bezpečnostní dohoda mezi vládou České republiky a vládou Italské republiky o vzájemné OUS (6/2005 Sb.m.s.).

-

Dohoda mezi vládou České republiky a vládou Francouzské republiky o vzájemném předávání a OUS (43/2005 Sb.m.s.).

-

Dohoda mezi vládou České republiky a vládou Polské republiky o vzájemné OUS (98/2005 Sb.m.s.).

-

Dohoda mezi vládou České republiky a vládou Slovenské republiky o vzájemné OUS (127/2005 Sb.m.s.).

47

-

Dohoda mezi vládou České republiky a vládou Státu Izrael o vzájemné OUS.

-

Smlouva mezi Českou republikou a Bulharskou republikou o vzájemné OUI.

-

Dohoda mezi vládou České republiky a vládou Spojených států amerických o opatřeních k ochraně utajovaných vojenských informací.

-

Dohoda mezi vládou České republiky a vládou Spojených států amerických o změně Dohody mezi vládou České republiky a vládou Spojených států amerických o opatřeních k ochraně utajovaných vojenských informací.

-

Smlouva mezi Českou republikou a Finskou republikou o výměně a vzájemné OUI.

-

Smlouva mezi Českou republikou a vládou Norského království o výměně OUI.

-

Dohoda mezi vládou České republiky a vládou Slovenské republiky o změně Dohody mezi vládou České republiky a vládou Slovenské republiky o vzájemné OUS.

-

Smlouva mezi Českou republikou a Republikou Makedonie o výměně a vzájemné OUI.

-

Smlouva mezi Českou republikou a Rakouskou spolkovou vládou o výměně a vzájemné OUI.

-

Smlouvy v působnosti Ministerstva obrany s Jihoafrickou republikou, Norským královstvím, Rumunskem, Spolkovou republikou Německo a Švédským královstvím o vzájemné ochraně vojenských utajovaných skutečností.

Významným dokumentem pro oblast UI v mezinárodním styku je Bezpečnostní dohoda mezi Českou republikou a Západoevropskou unií27), která byla mezi oběma stranami podepsána 13. listopadu 1998 a pro ČR je účinná od 13. prosince 1998. Jedná se o dohodu, na základě které se strany zavazují navzájem chránit a zabezpečovat UI a materiály, že vynaloží veškeré úsilí, aby u všech informací vytvořených jednou stranou zachovaly stupně utajení, které u nich tato strana stanovila; že tyto informace odpovídajícím způsobem zabezpečí; že nevyužijí tyto informace pro výrobu nevojenské povahy; a že je bez souhlasu původce neprozradí jiné zemi.

Tato dohoda se vztahuje na informace předané kteroukoliv ze stran druhé straně.

27)

Západoevropská unie není totožná s EU; v Západoevropské unií zasedají společně kolem kulatého stolu země, které jsou členy EU a NATO a země centrální Evropy úzce spolupracující.

48

Pokud jde o UI, které jedna strana předala druhé, bylo dohodnuto, že přijímající strana vynaloží veškeré úsilí v rámci svých právních norem a předpisů, aby zabránila ztrátě jakýchkoliv patentových práv obsažených v informacích.

49

Závěr Jaká je skutečná hodnota UI, kterou se snažíme ochránit? Skutečnou cenu důvěrné informace zjistíme až ve chvíli, kdy ji získá nepovolaná osoba. V takovém okamžiku je pak vždy cena příliš vysoká. Tuto cenu ale zaplatíte my a nikoli ten, komu se podaří ji získat.

Ptáte-li se, co vám ochrana a zabezpečení utajovaných informací přinesou, ptejte se nejdříve na to, co ztratíte, jestliže je nebudete mít nebo je zanedbáte.

Obsah a cíl práce je zaměřen na působnost zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti. Je doplněná přehledem navazujících normativních aktů. V jednotlivých částech rozpracovává problematiku v oblastech personální, průmyslové, administrativní a fyzické bezpečnosti, bezpečnosti informačních nebo komunikačních systému a kryptografické ochrany. Dalším cílem je seznámení s aplikací platné legislativy v oblasti utajovaných informací v EU. Současně je zaměřená na vymezení normativních aktů, úpravy styku a mezinárodních úmluv souvisejících s danou problematikou a jejich aplikace v mezinárodních seskupeních.

Ve své práci jsem se snažila co nejjednodušeji a nepřehledněji vymezit danou problematiku a definovat nejdůležitější části ochrany utajovaných informací. Při zpracování jsem zjistila, že tato problematika je natolik složitá a rozličná, že ji doopravdy v kratší formě nelze popsat.

Základním a hlavním smyslem a cílem prostředků OUI je ochránit je před neoprávněným nakládáním. Podle jednotlivých oblastí, které jsem již výše uvedla, jsou zaměřeny na specifické systémy opatření a specifické cíle. Je pochopitelné, že systém opatření u jednotlivých oblastí bezpečnosti nemůže být shodný. Jednotlivé oblasti mají k dispozici často velmi odlišné prostředky k ochraně. Řada těchto prostředků ale může být používána v několika oblastech současně.

Kritika zemí EU na značnou složitost problematiky OUI nebyla většinou vyslyšená a výkonná moc schválila zákon, který nepokrývá komplexně danou problematiku.

50

Pracovní zkušenosti v této problematice mě ubezpečily v tom, že je nezbytné tento zákon zásadně novelizovat. Naši zákonodárci by si měli uvědomit, že při čím dál vyšší možnosti hrozících teroristických útoků je nezbytné UI chránit před jejich zneužitím efektivními nástroji aby se možnosti zneužití zabránilo.

Závěrem bych chtěla dodat, že uvedená kritika vychází z praktických zkušeností, které jsem získala při výkonu svého povolání a které jsem konzultovala s kolegy řešící uvedenou problematiky v resortu MO i mimo něj.

51

Seznam použité literatury Bibliografie 1

Palmer S – Weaver M, Úloha informací v manažerském rozhodování. Grada Publishing, spol. s.r.o., Praha 2000

Zákony 2

Bezpečnostní předpis C-M(55), zabývající se problematikou OUI v NATO

3

Dohoda mezi Organizací Severoatlantické smlouvy a Evropskou unii o bezpečnosti informací

4

Dokument C-M(2002)49, který řeší problematiku OUI v NATO

5

Nařízení Rady č. 1958/3

6

Nařízení vlády č. 522/2005 Sb., kterým se stanoví seznam UI

7

Návrh inspekčního manuálu EU

8

Rozhodnutí Komise Evropských společenství 2001/844/EC

9

Rozhodnutí Rady Evropské unie 2001/264/EC

10

Řídící směrnice INFOSEC pro CIS AC/35-D/2005

11

Směrnice k otázkám bezpečnosti informací AC/35-D/2002

12

Směrnice k otázkám fyzické (objektové) bezpečnosti AC/35-D/2001

13

Směrnice k otázkám personální bezpečnosti AC/35-D/2000

14

Směrnice k otázkám průmyslové bezpečnosti AC/35-D/2003 15 Vyhláška č. 529/2005 Sb., o administrativní bezpečnosti a o registrech UI

16

Vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s UI a o certifikaci stínových komor

17

Vyhláška č. 528/2005 Sb., o fyzické bezpečnosti

18

Vyhláška č. 527/2005 Sb., o personální bezpečnosti

19

Vyhláška č. 137/2003 Sb., o podrobnostech stanovení a označení stupně utajení a zajištění administrativní bezpečnosti

20

Vyhláška č. 525/2005 Sb., o provádění certifikace při zabezpečení kryptografické OUI

21

Vyhláška č. 526/2005 Sb., o průmyslové bezpečnosti

22

Vyhláška č. 524/2005 Sb., o zajištění kryptografické OUI

23

Základní směrnice k otázkám INFOSEC AC/35-D/2004

24

Zákon č. 49/1997 Sb., o civilním letectví

52

25

Zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon)

26

Zákon č. 117/2007 Sb., kterým se mění zákon č. 412/2005 Sb.

27

Zákon č. 119/2007 Sb., kterým se mění zákon č. 412/2005 Sb.

28

Zákon č. 18/1997 Sb., o mírovém využití jaderné energie a ionizujících záření

29

Zákon č. 310/2006 Sb., o nakládání s některými věcmi využitelnými k obranným a bezpečnostním účelům na území ČR

30

Zákon č. 101/2000 Sb., o ochraně osobních údajů

31

Zákon č. 148/1998 Sb., o ochraně utajovaných skutečnosti

32

Zákon č. 412/2005 Sb., o ochraně utajovaných informací a bezpečnostní způsobilosti

33

Zákon č. 140/1961 Sb., (trestní zákon) ve znění pozdějších předpisů

34

Zákon č. 38/1994 Sb., o zahraničním obchodu s vojenským materiálem

35

Zákon č. 413/2005 Sb., o změně zákonů v souvislosti s přijetím zákona o OUI

Internetové zdroje 36

Internetové stránky NBÚ, www.nbu.cz

37

Internetové stránky firmy ROSTEX Vyškov, www.ROSTEX.cz

53

Seznam použitých zkratek CCI

kontrolní kryptografická položka

Controlled cryptographic Item

CIS

komunikační a informační systémy Communication and information systems

COMSEC

komunikační bezpečnost

CZ

Česká republika

ČR

Česká republika

EU

Evropská unie

GPS

globální poziční systém

INA

interní normativní akty

IS

informační systémy

KS

kryptografické systémy

MO

Ministerstvo obrany

NATO

Organizace Severoatlantické smlouvy

NBÚ

Národní bezpečnostní úřad

NDA

Národní středisko pro distribuci kryptografického materiálu

NSC

Bezpečnostní výbor NATO

OUI

ochrana utajovaných informací

PT

přísně tajné

REV

příloha

UI

utajovaná informace

ÚREU

Ústřední registr Evropské unie

Communication Security

54

Seznam příloh příloha č. 1 – certifikát personálního bezpečnostního osvědčení NATO příloha č. 2 – certifikát bezpečnostního osvědčení příloha č. 3 – certifikát personálního bezpečnostního osvědčení příloha č. 4 – certifikát bezpečnostního osvědčení příloha č. 5 – doklad o bezpečnostní způsobilosti fyzické soby příloha č. 6 – osvědčení fyzické osoby příloha č. 7 – poučení o OUI a bezpečnostní způsobilosti příloha č. 8 – prohlášení fyzické osoby o způsobilosti k právním úkonům příloha č. 9 – oznámení o splnění podmínek k UI stupně utajení Vyhrazené příloha č. 10 – certifikát technického prostředku příloha č. 11 – osvědčení o zvláštní odborné způsobilosti pracovníka kryptografické ochrany

55

Příloha č. 1 Certifikát personálního bezpečnostního osvědčení NATO

CERTIFIKÁT PERSONÁLNÍHO BEZPEČNOSTNÍHO OSVĚDČENÍ NATO 1. Tímto se potvrzuje, že panu/paní: Úplné jméno: ……………………………………………………………………………………. Datum a místo narození: ……………………………………………………. bylo vydáno personální bezpečnostní osvědčení, které vystavila vláda země: ……………………………………………………………………………………. v souladu s platnými předpisy NATO včetně Bezpečnostního Dodatku k C-M(64)39 v případě informací ATOMAL a že tím se jeho držitel prohlašuje za způsobilého pro styk s informacemi do stupně utajení1 včetně: ……………………………………………………………………………………. ……………………………………………………………………………………. ……………………………………………………………………………………. 2. Tento certifikát má platnost do2: ……………………………………………………………………………………. Podpis: Název: 1

Oficiální vládní razítko (není nezbytné)

Uveďte podle situace jeden nebo několik z následujících stupňů utajení: (a) (b) (c) (d) (e) (f)

COSMIC PŘÍSNĚ TAJNÉ (COSMIC TOP SECRET) NATO TAJNÉ (NATO SECRET) NATO DŮVĚRNÉ (NATO CONFIDENTIAL) COSMIC PŘÍSNĚ TAJNÉ ATOMAL (COSMIC TOP SECRET ATOMAL) NATO TAJNÉ ATOMAL (NATO SECRET ATOMAL) NATO DŮVĚRNÉ ATOMAL (NATO CONFIDENTIAL ATOMAL)

2

Datum ukončení platnosti musí být v souladu s ustanovením odstavce 17 Směrnice k otázkám personální bezpečnosti

Pramen: Směrnice k otázkám personální bezpečnosti, Doplněk 1 k dodatku k AC/35-D/2000

56

Příloha č. 2 Certifikát bezpečnostního osvědčení

CERTIFIKÁT BEZPEČNOSTNÍHO OSVĚDČENÍ Vydáno kým ……………………………………………………………………… (uvede se členská země nebo civilní nebo vojenský orgán NATO)

Datum a místo vydání …………………………………………………………………………………….. …………………….. Platnost do ……………………………………………………..

Tímto se potvrzuje, že níže uvedenému žadateli:

Úplné jméno ………………………………………………………………………. Datum narození …………………………………………………………………… Místo narození ……………………………………………………………………. Státní příslušnost …….……………………………………………………………. Zaměstnání (zaměstnavatel) ..……………………………………………………...

Účel a doba trvání návštěvy ………………………………………………………. …………………………………………………………………………………….. ……………………………………………………………………………………..

Držitel pasu/průkazu totožnosti č.: ………………………………………………… Vydaného kým ……………………………... dne …………………………………

Vojenská hodnost a číslo (u vojáků) ……………………………………………… ……………………………………………………………………………………...

je umožněn přístup k informacím NATO do stupně utajení (včetně) ………………………………………………….…………………………………. v souladu s platnými bezpečnostními předpisy NATO, jejichž součástí je Bezpečnostní dodatek k C-M(64)39 v případě informací ATOMAL, s tím, že žadatel byl odpovídajícím způsobem poučen (uvede se kým): …………………………………………………………………………………….. Podpis:

Název (Title):

Oficiální vládní razítko (není nezbytné)

Datum: POZNÁMKA: S tímto certifikátem je nutné nakládat v souladu s ustanoveními Bezpečnostní politiky NATO a v souladu s jejími doplňujícími směrnicemi.

Pramen: Směrnice k otázkám personální bezpečnosti, Doplněk 1 k dodatku k AC/35-D/2000

57

Příloha č. 3 Certifikát personálního bezpečnostního osvědčení

CERTIFIKÁT PERSONÁLNÍHO BEZPEČNOSTNÍHO OSVĚDČENÍ (pro příjemce, kteří nejsou členy NATO) 1.

Tímto se potvrzuje, že uchazeči:

Celé jméno: ………………………………………………………………………………… Datum a místo narození: ………………………………………………………………………………… bylo vydáno personální bezpečnostní osvědčení, které vydal (vláda země/název organizace): ………………………………………………………………………………… v souladu s ustanoveními Bezpečnostní dohody, která byla uzavřena mezi NATO a (uvede se název země/organizace), a prohlašuje se tímto za způsobilého pro převzetí utajovaných skutečností do úrovně . včetně:3 ………………………………………………………………………………… ………………………………………………………………………………… ………………………………………………………………………………… 2.

Platnost tohoto certifikátu je vymezena datem4: …………………………………………………………………………………

Podepsán: Titul:

Oficiální vládní razítko (není nezbytné)

Datum: 3

Podle konkrétní situace uveďte následující: (a) NATO/(název programu/činnosti v rámci spolupráce) TAJNÉ (b) NATO/(název programu/činnosti v rámci spolupráce) DŮVĚRNÉ 4 P.p. – v originálním textu je uveden číselný odkaz na poznámku pod čarou, ale poznámka pod čarou není uvedena žádná

Pramen: Směrnice k otázkám bezpečnosti informací, Doplněk 9 dodatek 1 AC/35-D/2002 - REV 1

58

Příloha č. 4 Certifikát bezpečnostního osvědčení CERTIFIKÁT BEZPEČNOSTNÍHO OSVĚDČENÍ

Vydáno kým: …………………………………………………………………….

(země/organizace NATO, které nejsou členy NATO) Datum a místo vydání: ………………………………………………………….. …………………………… Platnost do ………………………………………… Tímto se potvrzuje, že žadateli: Celé jméno ………………………………………………………………………. Datum narození ………………………………………………………………….. Místo narození …………………………………………………………………… Státní příslušnost: ………………………………………………………………... Zaměstnání (adresa) ……………………………………………………………... Účel a doba trvání návštěvy …………………………………………………….. …………………………………………………….. Držitel pasu/průkazu totožnosti č.: ……………………………………………… Vydaného v ……………………………. Dne …………………………………. byl umožněn přístup k informacím NATO/(název programu/činnosti v rámci spolupráce) se stupněm utajení do úrovně ……………………………. včetně v souladu s platnými bezpečnostními předpisy NATO a že byl náležitě poučen (kým) …………………………………………………………………………………… Podpis: Titul:

Oficiální vládní razítko: (není nezbytné)

Datum:

Pramen: Směrnice k otázkám bezpečnosti informací, Doplněk 10 dodatek 1 AC/35-D/2002 - REV 1

59

Příloha č. 5 Doklad o bezpečnostní způsobilosti fyzické soby

DOKLAD o bezpečnostní způsobilosti fyzické osoby ČÍSLO: Jméno a příjmení:

Rodné příjmení:

Rodné číslo:

Datum narození:

Místo a stát narození:

Státní občanství:

Datum vydání:

Platnost od:

Platnost do:

Podpis oprávněného zástupce

Otisk úředního razítka

Národního bezpečnostního úřadu

Národního bezpečnostního úřadu

Pramen: http://www.nbu.cz/_downloads/pravni-predpisy/prilohy/vyhlaska-c-5272005sb/container-nodeid-908/527200513.pdf

60

Příloha č. 6 Osvědčení fyzické osoby

Pramen: http://www.nbu.cz/_downloads/pravni-predpisy/prilohy/vyhlaska-c-5272005sb/container-nodeid-648/527200507.pdf 61

Příloha č. 7 Poučení o OUI a bezpečnostní způsobilosti

Pramen: http://www.nbu.cz/_downloads/doklad-o-bezpecnostni-zpusobilostifo/container-nodeid-841/527200504.pdf

62

Příloha č. 8 Prohlášení fyzické osoby o způsobilosti k právním úkonům

Pramen: http://www.nbu.cz/cs/dotazniky-ke-stazeni/dotaznik-pro-doklad-o-bezpecnostni-zpusobilosti/

63

Příloha č. 9 Oznámení o splnění podmínek k UI stupně utajení Vyhrazené

Pramen: http://www.nbu.cz/_downloads/pravni-predpisy/prilohy/vyhlaska-c-5272005sb/container-nodeid-664/527200503.pdf

64

Příloha č. 10 Certifikát technického prostředku

Pramen: http://www.rostex.cz/cs/certifikaty/bezp-trida-cesko-trezor-test/bezpecnostnikovani-r1-o-dekor-r4-o-dekor/_files/bezpecnostni-kovani.jpg 65

Příloha č. 11 Osvědčení o zvláštní odborné způsobilosti pracovníka kryptografické ochrany

Pramen: http://www.nbu.cz/cs/ochrana-utajovanych-informaci/kryptografickachrana/zvlastni-odborna-zpusobilost/

66