Ak je utajovanou skutočnosťou obsah ústneho vyjadrenia, aké opatrenia je v objekte alebo chránenom priestore potrebné prijať?
Musí byť zrejmé, či sa jedná o pravidelné alebo jednorázové prerokúvanie utajovaných skutočností. Je potrebné aby vedúci prijal adekvátne opatrenia na ochranu utajovaných skutočností podľa § 6 vyhlášky NBÚ č. 336/2004 Z. z. o fyzickej bezpečnosti a objektovej bezpečnosti v znení vyhlášky č. 315/2006 Z. z., ktorou sa mení a dopĺňa vyhláška č. 336/2004 Z. z. o fyzickej bezpečnosti a objektovej bezpečnosti (ďalej len „vyhláška“) a ďalšie opatrenia uvedené v bode 9 bezpečnostného štandardu fyzickej a objektovej bezpečnosti (ďalej len „bezpečnostný štandard“).
Je možné vykonávať manipuláciu s utajovanou skutočnosťou v objekte mimo chráneného priestoru?
Odpoveď:
Otázka:
Ako vykonať bodové ohodnotenie objektu?
Odpoveď:
Opatrenia na ochranu objektu určuje bod 3 bezpečnostného štandardu. Na určenie odolnosti hranice objektu je rozhodujúca tá časť hranice objektu, ktorá má najnižšiu odolnosť. Ak je hranica chráneného priestoru totožná s hranicou objektu, na zabezpečenie objektu platia ustanovenia uvedené v bode 2 bezpečnostného štandardu a do bodového ohodnotenia možno započítať len bodové ohodnotenie za chránený priestor. Ak nie je zabezpečená kontrola vstupu do objektu S3 = 0 bodov.
Otázka:
Otázka:
Aké zámky je potrebné použiť na bezpečnostné úschovné objekty v ktorých budú ukladané utajované skutočnosti postúpené cudzou mocou?
Ak je bezpečnostný úschovný objekt určený na ukladanie utajovaných skutočností stupňa utajenia Tajné a vyššieho postúpených Slovenskej republike cudzou mocou, vybavuje sa podľa bodu 1 bezpečnostného štandardu fyzickej a objektovej bezpečnosti dvomi zámkami, z ktorých je najmenej jeden mechanický kombinačný trojpolohový alebo elektrický kombinačný. Do bodového ohodnotenia sa zaráta len jeden zo zámkov. Napríklad pre bezpečnostný úschovný objekt určený na ukladanie utajovaných skutočností stupňa utajenia Prísne tajné postúpených Slovenskej republike cudzou mocou typu 4 podľa bodu 1.1 bezpečnostného štandardu vybavený elektrickým zámkom úschovného objektu typu 4 (zámok bezpečnostnej triedy C) a mechanickým zámkom úschovného objektu typu 2 (zámok bezpečnostnej triedy A) podľa bodu 1.2. bezpečnostného štandardu bude výpočet nasledovný: S1 = SS1 x SS2 = 4 x 4 = 16. Bezpečnostné úschovné objekty určené na ukladanie utajovaných skutočností stupňa utajenia Vyhradené a Dôverné postúpených Slovenskej republike cudzou mocou môžu byť vybavené len jedným zámkom úschovného objektu.
Je potrebné na vykonávanie fyzickej ochrany typov 5, 4 alebo 3 u chráneného priestoru určeného na ukladanie a manipuláciu s utajovanými skutočnosťami postúpenými Slovenskej republike cudzou mocou tri osoby, ak majú zasahovať osoby vykonávajúce fyzickú ochranu alebo osoby vykonávajúce zásah na signál v počte najmenej dvoch osôb na ktoromkoľvek mieste, kde došlo k narušeniu ochrany utajovaných skutočností, pričom nesmie byť oslabená ochrana na inom mieste objektu a v priebehu obchôdzky alebo vykonania zásahu musí byť na stanovišti stáleho výkonu služby fyzickej ochrany trvalo prítomný najmenej jeden zamestnanec fyzickej ochrany?
Odpoveď:
Na vykonávanie fyzickej ochrany typov 5, 4 alebo 3 u chráneného priestoru určeného na ukladanie a manipuláciu s utajovanými skutočnosťami postúpenými Slovenskej republike cudzou mocou nie je potrebná neustála prítomnosť troch osôb, ale postačuje jeden zamestnanec fyzickej ochrany, nakoľko osoby, ktoré vykonávajú zásah nemusia byť trvale prítomné (môže to byť napríklad zásahová skupina privolaná na signál o narušení za podmienky splnenia stanoveného reakčného času fyzickej ochrany na poplachový signál podľa § 9 ods. 5 vyhlášky). V priebehu vykonania zásahu musí byť na stanovišti stáleho výkonu služby fyzickej ochrany trvalo prítomný najmenej jeden zamestnanec fyzickej ochrany. Obdobná situácia je pri vykonávaní obchôdzok, nakoľko v priebehu obchôdzky musí byť na stanovišti stáleho výkonu služby fyzickej ochrany trvalo prítomný najmenej jeden zamestnanec fyzickej ochrany. O spôsobe výkonu a intervaloch obchôdzok zamestnancami fyzickej ochrany rozhodne vedúci podľa § 8 zákona č. 215/2004 Z. z. a vyhlášky (najmä § 9 vyhlášky a bod 5.1 bezpečnostného štandardu).
Odpoveď:
V prípade, ak bude podnikateľ spracovávať utajované skutočnosti v elektrickej alebo elektronickej forme na technickom prostriedku, je potrebné, aby si zvolil vhodné umiestnenie chráneného priestoru vzhľadom k tzv. kontrolovateľnému priestoru z hľadiska ochrany pred nežiadúcim elektromagnetickým vyžarovaním (ďalej len „NEV“) ešte pred realizáciou opatrení fyzickej bezpečnosti a objektovej bezpečnosti chráneného priestoru. Kontrolovateľným priestorom z hľadiska ochrany pre NEV je trojrozmerný priestor obklopujúci technický prostriedok, v ktorom je zabezpečené, že v ňom nebude nepovolaná osoba vykonávať činnosť za účelom získania utajovaných informácií prostredníctvom NEV. Vhodná voľba chráneného priestoru znižuje požiadavky na úroveň NEV technického prostriedku a môže výrazne znížiť celkové náklady na realizáciu ochrany pred NEV. Najvhodnejšie je také dispozičné riešenie, keď bude chránený priestor čo najviac vzdialený od voľne prístupných miest (napr. verejných parkovísk“ a od miest, ktoré nemá možnosť užívateľ kontrolovať, bude pod úrovňou okolitého terénu „utopený“ v objekte, bude bez okien. Dôvodom tejto požiadavky je skutočnosť, že všetky elektronické a elektromechanické zariadenia určené na spracovanie informácií môžu vytvárať kompromitujúce vyžarovanie, ktoré ak je zachytené a analyzované, prezradí vysielanú, prijímanú alebo iných spôsobom spracovávanú informáciu.
Nasledujúce otázky a odpovede boli aktualizované 21.01.2010
Otázka:
V prípade, ak je podnikateľ držiteľom potvrdenia o priemyselnej bezpečnosti a má chránený priestor, avšak nemá uzatvorenú zmluvu o postupovaní utajovaných skutočností, môžu zamestnanci takého podnikateľa s previerkou príslušného stupňa vstupovať do vlastného chráneného priestoru?
Odpoveď:
Vyhláška Národného bezpečnostného úradu č. 336/2004 Z. z. o fyzickej bezpečnosti a objektovej bezpečnosti v znení vyhlášky NBÚ č. 315/2006 Z. z. (ďalej len „vyhláška“) ustanovuje v § 3 podmienky na zabezpečenie a ochranu chránených priestorov s odvolaním sa na definíciu chráneného priestoru uvedenú v § 2 písm. s) zákona č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov (ďalej len „zákon“). V § 3 ods. 4 a 5 vyhlášky sú uvedené podmienky vstupu osôb do chránených priestorov s previazaním na „oprávnenú osobu“ tak, ako je zadefinovaná v § 2 písm. f) zákona. Z uvedeného vyplýva, že do chránených priestorov môže vstupovať iba oprávnená osoba (resp. iná osoba v sprievode oprávnenej osoby), t. j. osoba, ktorá je určená na oboznamovanie sa s utajovanými skutočnosťami podľa § 31 zákona. V podmienkach podnikateľa je určenie osoby vedúceho viazané na existenciu zmluvy o postúpení utajovaných skutočností.
Z uvedených skutočností by tak vyplývalo, že podnikateľ, ktorý síce je držiteľom potvrdenia o priemyselnej bezpečnosti, ale nemá podpísanú zmluvu o postúpení utajovaných skutočností a tým ani oprávnené osoby, by nemohol vstúpiť do vlastných priestorov, ktoré sú určené ako chránené priestory. Vzhľadom na skutočnosť, že u daného podnikateľa sa v chránenom priestore nemôžu nachádzať žiadne utajovanú skutočnosti, a vychádzajúc z účelu zákona a ďalších predpisov upravujúcich ochranu utajovaných skutočností, ktorým je zabezpečenie ochrany utajovaných skutočností, máme za to, že vstupom do chráneného priestoru, v ktorom sa žiadne utajované skutočnosti nenachádzajú, nemôže dôjsť k ohrozeniu utajovaných skutočností. Naopak, vzhľadom na existenciu viacerých povinností vyplývajúcich z vyhlášky (napr. pravidelné revízie, aktualizácie, zmeny kódových nastavení a hesiel a pod., z ktorých viaceré sa nedajú vykonať inak než priamym vstupom do chráneného priestoru), resp. pri vzniku mimoriadnych situácií (napr. havarijných stavov, požiaru, možného poškodenia a ohrozenia majetku podnikateľa), v prípade, že by podnikateľovi nebol umožnený prístup do týchto priestorov, tento by bol nútený porušovať svoje povinnosti, resp. znášať prípadné škody.
Otázka:
Kedy začínajú plynúť lehoty súvisiace s bezpečnostnou dokumentáciou fyzickej bezpečnosti a objektovej bezpečnosti, ktoré sú uvedené v § 11 vyhlášky NBÚ č. 336/2004 Z. z. o fyzickej bezpečnosti a objektovej bezpečnosti v znení vyhlášky NBÚ č. 315/2006 Z. z.?
Odpoveď:
Uvedené lehoty začínajú plynúť dňom schválenia bezpečnostnej dokumentácie fyzickej bezpečnosti a objektovej bezpečnosti vedúcim. Uvedené sa vzťahuje aj na schválenie prípadnej aktualizácie, resp. zmien v bezpečnostnej dokumentácii fyzickej bezpečnosti a objektovej bezpečnosti.
Otázka:
Ktoré zariadenia môžu spadať do kategórii riadiacich prvkov komunikačných a informačných systémov technických prostriedkov (servery, riadiace prvky počítačovej siete, riadiace komunikačné prvky) a kategórie distribučných prvkov systémov šifrovej ochrany informácií (centrum evidencie, manipulácie a distribúcie šifrových materiálov) v súvislosti s bodom 10. bezpečnostného štandardu fyzickej bezpečnosti a objektovej bezpečnosti, ktorý tvorí prílohu k vyhláške NBÚ č. 336/2004 Z. z. v znení vyhlášky NBÚ č. 315/2006 Z. z. ?
Odpoveď:
Používanie a nasadzovanie prostriedkov ŠOI na ochranu utajovaných skutočností je podmienené platným certifikátom prostriedku ŠOI a schválením prostriedku ŠOI do prevádzky. Certifikát prostriedku ŠOI súčasne obsahuje aj podmienky pre umiestnenie konkrétneho prostriedku ŠOI v reálnych podmienkach použitia.
V zmysle Bezpečnostného štandardu prostriedkov a systémov ŠOI majú všetky systémy a prostriedky ŠOI, ktoré sú v súčastnosti v prevádzke v podmienkach rezortov implementovanú funkcionalitu identifikácie a autentizácie používateľa. Utajované informácie ukladané v elektronickom tvare (ak sa ukladajú), ako sú dáta a šifrový materiál (kľúče, inicializačné vektory, heslá, piny apod.) sú povinne šifrované. Z pohľadu fyzickej a objektovej bezpečnosti je zásadným bezpečnostným momentom papierový výstup zo sieťových tlačiarní a faxov, ktoré sa nachádzajú na červenej strane informačného systému.
Na základe uvedeného možno konštatovať, že v oblasti ŠOI v podmienkach SR doposiaľ nie sú v používaní také zariadenia, ktoré napĺňajú znaky kategórie distribučných systémov ŠOI v zmysle znenia bodu č. 10 štandardu FBOB a vyžadujú súčasné splnenie všetkých podmienok v ňom uvedených. Toto ale nevylučuje, že tieto kritériá nemôžu byť splnené pri systémoch ŠOI, implementovaných v budúcnosti.
Otázka:
Čo má obsahovať kniha kontrol podľa § 11 ods. 1 písm. g) vyhlášky NBÚ č. 336/2004 Z. z. o fyzickej bezpečnosti a objektovej bezpečnosti v znení vyhlášky NBÚ č. 315/2006 Z. z. (ďalej len „vyhláška“)?
Odpoveď:
Bezpečnostná dokumentácia fyzickej bezpečnosti a objektovej bezpečnosti objektov a chránených priestorov kategórie Tajné a Prísne tajné obsahuje podľa § 11 ods. 1 písm. g) vyhlášky knihu kontrol. Odporúča sa, aby knihu kontrol obsahovala aj bezpečnostná dokumentácia fyzickej bezpečnosti a objektovej bezpečnosti objektov a chránených priestorov kategórie Vyhradené a Dôverné, aj keď to vyhláška priamo nestanovuje.
Vytvorenie a používanie knihy kontrol je dôležité z dôvodu efektívneho prehľadu plnenia úloh vyplývajúcich z bezpečnostnej dokumentácie fyzickej bezpečnosti a objektovej bezpečnosti a kontroly plnenia všetkých úloh stanovených zákonom č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a vyhláškou.
Kniha kontrol má obsahovať najmä:
- dátum kontroly, kto kontrolu vykonal, aké boli kontrolné zistenia a návrh opatrení na odstránenie nedostatkov.
Podľa § 11 ods. 11 vyhlášky sa v knihe kontrol vykoná záznam o každej zmene v bezpečnostnej dokumentácii.
Zároveň sa odporúča, aby sa v knihe kontrol uviedlo:
- záznamy z vykonaných kontrol podľa § 11 ods. 8 písm. e) vyhlášky,
- záznam z preverenia plnenia opatrení určujúcich postup pri narušení objektu a chráneného priestoru a v prípade vzniku mimoriadnej situácie podľa § 10 ods. 1 písm. j) a k) vyhlášky,
- záznam z vykonanej kontroly, údržby a overovania funkčnosti mechanických zábranných prostriedkov a technických zabezpečovacích prostriedkov (ďalej len „MZP a TZP“) podľa § 11 ods. 3 písm. b) vyhlášky,
- záznam o zmene hesla alebo kódového nastavenia podľa § 10 ods. 3 vyhlášky,
- záznam z kontroly výkonu fyzickej ochrany podľa § 11 ods. 5 písm. h) vyhlášky,
- záznam z preverenia reakcie fyzickej ochrany na poplachové signály podľa § 9 ods. 5 vyhlášky,
- záznam z vykonania pravidelných revízií EZS a funkčných skúšok komponentov EZS,
- pri používaní MZP a TZP po uplynutí doby platnosti certifikátu typu záznam z vykonania kontroly vlastností MZP a TZP podľa § 5a ods. 1 vyhlášky NBÚ č. 337/2004 Z. z. v znení vyhlášky č. 314/2006 Z. z.
Otázka:
Je možné manipulovať s utajovanými skutočnosťami listinného charakteru v chránenom priestore spĺňajúcom podmienky na ukladanie utajovaných skutočností?
Odpoveď:
Podmienky zabezpečenia chráneného priestoru určeného na ukladanie utajovaných skutočností sú uvedené v § 5 ods. 4 alebo ods. 5 vyhlášky Národného bezpečnostného úradu č. 336/2004 Z.z. o fyzickej bezpečnosti a objektovej bezpečnosti v znení vyhlášky Národného bezpečnostného úradu č. 315/2006 Z. z. Takýto chránený priestor musí spĺňať minimálne požadované hodnoty ohodnotenia opatrení fyzickej bezpečnosti a objektovej bezpečnosti podľa bodu 12.1. alebo 12.2. bezpečnostného štandardu fyzickej bezpečnosti a objektovej bezpečnosti. Pri ukladaní utajovaných skutočností listinného charakteru do úschovného objektu dochádza k manipulácii s nimi. Na základe uvedeného máme za to, že v chránenom priestore spĺňajúcom podmienky na ukladanie utajovaných skutočností je možné manipulovať s utajovanými skutočnosťami listinného charakteru príslušného stupňa utajenia.
Otázka:
Zaznamenali sme, že NBÚ vydal s účinnosťou od 1.11.2011 skúšobný postup č. 1/2011 pre certifikáciu technických zabezpečovacích prostriedkov. Porovnaním tohto skúšobného postupu so zrušeným skúšobným postupom č. 1/2007 sme mimo iného zistili, že prišlo k vypusteniu kontrolného listu týkajúceho sa metodiky posudzovania pultov centralizovanej ochrany (PCO).
V tejto súvislosti si Vás dovoľujeme požiadať o stanovisko, či táto skutočnosť znamená, že PCO nebude od 1.11.2011 NBÚ ďalej certifikovať a za akých podmienok bude možné PCO používať k ochrane utajovaných skutočností podľa zákona č. 215/2004 Z. z.
Odpoveď:
Dňa 1. novembra 2011 nadobudol účinnosť skúšobný postup Národného bezpečnostného úradu č. 1/2011 upravujúci minimálny rozsah požiadaviek na systémy a komponenty technických zabezpečovacích prostriedkov určených na ochranu utajovaných skutočností a súčasne sa k uvedenému dátumu zrušila platnosť skúšobného postupu Národného bezpečnostného úradu č. 1/2007.
Zo schváleného skúšobného postupu Národného bezpečnostného úradu č. 1/2011 vyplýva, že od 1. novembra 2011 pulty centralizovanej ochrany (ďalej len „PCO“) nepodliehajú overovaniu zhody pre potreby ochrany utajovaných skutočností a Národný bezpečnostný úrad ich od 1. novembra 2011 necertifikuje.
Vo vzťahu využitia PCO k zabezpečeniu ochrany utajovaných skutočností sa podmienky používania PCO nezmenili a platia príslušné ustanovenia vyhlášky Národného bezpečnostného úradu č. 336/2004 Z. z. o fyzickej bezpečnosti a objektovej bezpečnosti v znení vyhlášky č. 315/2006 Z. z.