Otázka:
Prosím Vás o vyjadrenie k nasledovnej otázke: Jedná sa o typ počítača HP7600dc s vymeniteľným diskom. Môžem na tomto jednom disku spracovávať utajované aj neutajované písomnosti?
Odpoveď:
Na pevnom disku (HDD) technického prostriedku certifikovaného na prácu s utajovanými skutočnosťami je možné spracúvať aj neutajované skutočnosti, avšak iba za splnenia podmienok uvedených v bezpečnostnom projekte na technický prostriedok a v certifikáte technického prostriedku, napr. technický prostriedok musí byť umiestnený v chránenom priestore, prístup k technickému prostriedku majú iba oprávnené osoby preverené na najvyšší stupeň utajovaných skutočností, ktoré je možné spracúvať na technickom prostriedku.
Otázka:
Dovoľujem si Vás požiadať o zaujatie stanoviska k týmto otázkam:
- Musia bezpečnostný správca a správca informačného systému (keďže vykonávajú vymedzené úlohy na úseku bezpečnosti technických prostriedkov) spĺňať predpoklady na vykonávanie funkcie bezpečnostného zamestnanca, resp. zamestnanca osobitného pracoviska v zmysle § 9 ods. 1 zákona č. 215/2004 Z. z.?
- Môže podnikateľ vykonávať úlohy bezpečnostného zamestnanca v štátnom orgáne?
- Môže podnikateľ vykonávať úlohy bezpečnostného správcu v štátnom orgáne?
- Môže podnikateľ vykonávať úlohy správcu informačného systému v štátnom orgáne?
Odpoveď:
Podľa § 9 ods. 1 zákona č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len „zákon o OUS“) môže vedúci na plnenie úloh vyplývajúcich z tohto zákona a z predpisov vydaných na jeho vykonanie zriadiť osobitné pracovisko alebo písomne poveriť zamestnanca (bezpečnostný zamestnanec) vykonávaním týchto úloh v rozsahu, ktorý vymedzí. Ak si to množstvo plnených úloh alebo zložitosť organizačnej štruktúry vyžadujú, vedúci zriadi niekoľko osobitných pracovísk alebo písomne poverí viacerých bezpečnostných zamestnancov. Predpokladom na vykonávanie funkcie bezpečnostného zamestnanca a zamestnanca osobitného pracoviska je platné osvedčenie úradu na oboznamovanie sa s utajovanými skutočnosťami a potvrdenie úradu o absolvovaní skúšky bezpečnostného zamestnanca.
Jednou z úloh vyplývajúcich z predpisov vydaných na vykonanie zákona o OUS je aj úloha resp. zodpovednosť vedúceho za bezpečnosť technických prostriedkov, ktoré pracujú s utajovanými skutočnosťami (§ 2 ods. 2 vyhlášky NBÚ č. 339/2004 Z. z. o bezpečnosti technických prostriedkov ďalej len „vyhláška NBÚ č. 339/2004 Z. z.“).
Podľa § 2 ods. 4 písm. c) vyhlášky NBÚ č. 339/2004 Z. z. záznam technických prostriedkov o svojej činnosti s možnosťou sledovania, spätného preskúmavania technického prostriedku, ako aj stanovenia zodpovednosti konkrétneho používateľa za ním vykonané činnosti pravidelne kontroluje osoba poverená vykonávaním správy bezpečnosti informačných systémov (bezpečnostný správca) v intervaloch uvedených v smernici o používaní technického prostriedku. Podľa § 3 ods. 2 písm. b) vyhlášky NBÚ č. 339/2004 Z. z. vedúci pred uvedením technického prostriedku do prevádzky zabezpečí spracovanie smernice o používaní technického prostriedku.
Smernica o používaní technického prostriedku musí (okrem iného) obsahovať aj určenie bezpečnostného správcu, ktorý zodpovedá za správu bezpečnostných funkcií a určenie správcu informačného systému, ktorý zodpovedá za výkon kontroly dodržiavania bezpečnostných zásad z hľadiska funkčnosti systému (§ 4 ods. 2 písm. c) a d) vyhlášky NBÚ č. 339/2004 Z. z.).
Podľa § 10 ods. 1 vyhlášky NBÚ č. 339/2004 Z. z. prevádzkovateľ informačného systému zabezpečuje jeho prevádzku prostredníctvom správcu informačného systému a bezpečnostného správcu a zodpovedá za bezpečnosť jeho prevádzky v súlade s bezpečnostným projektom a so smernicami.
Vzhľadom na všetky vyššie uvedené skutočnosti, ktoré vyplývajú zo zákona o OUS a vyhlášky NBÚ č. 339/2004 Z. z. možno konštatovať, že jednou z úloh na úseku ochrany utajovaných skutočností je aj zabezpečenie bezpečnosti technických prostriedkov, ktoré pracujú s utajovanými skutočnosťami. Toto zabezpečenie vedúci realizuje prostredníctvom bezpečnostného správcu a správcu informačného systému.
S prihliadnutím na dikciu ustanovenia § 9 ods. 1 zákona o OUS bezpečnostný správca a správca informačného systému sú bezpečnostnými zamestnancami poverenými vykonávaním úloh na úseku bezpečnosti technických prostriedkov pričom rozsah ich úloh je vymedzený jednak vyhláškou NBÚ č. 339/2004 Z. z. (napr. § 10 ods. 2 a 3) ako aj smernicou o používaní technického prostriedku, ktorej vypracovanie je povinný vedúci zabezpečiť (§ 3 ods. 2 písm. b) vyhlášky NBÚ č. 339/2004 Z. z.).
Bezpečnostným zamestnancom, teda aj bezpečnostným správcom a správcom informačného systému podľa vyhlášky NBÚ č. 339/2004 Z. z. môže byť iba vlastný zamestnanec dotknutého štátneho orgánu (viď. dikcia § 9 ods. 1 prvá veta zákona o OUS: „Vedúci môže na plnenie úloh vyplývajúcich z tohto zákona a z predpisov vydaných na jeho vykonanie zriadiť osobitné pracovisko alebo písomne poveriť zamestnanca (ďalej len „bezpečnostný zamestnanec") vykonávaním týchto úloh v rozsahu, ktorý vymedzí.“).