Skoči do osrednje vsebine

Tajni podatek je dejstvo ali sredstvo z delovnega področja organa, ki se nanaša na javno varnost, obrambo, zunanje zadeve ali obveščevalno in varnostno dejavnost države, ki ga je treba zavarovati pred nepoklicanimi osebami in je označen kot tajen.

Tajni podatek je lahko označen s stopnjo tajnosti:

  • INTERNO,
  • ZAUPNO,
  • TAJNO,
  • STROGO TAJNO.

Osebna varnost

Osebna varnost pri varovanju tajnih podatkov pomeni, da so vse osebe, ki dostopajo do tajnih podatkov zaradi opravljanja nalog ali funkcije na svojem delovnem mestu, ustrezno varnostno preverjene. To pomeni, da se v postopku varnostnega preverjanja osebe preveri njena lojalnost, zanesljivost in verodostojnost, in sicer z namenom, da se osebi izda ali da oseba zadrži dovoljenje za dostop do tajnih podatkov. V postopku varnostnega preverjanja se obravnavajo vidiki, ki zadevajo osebnostni značaj, in okoliščine, ki bi lahko povzročile nastanek potencialnih varnostnih problemov.

Naziv Institucija
Urad Vlade Republike Slovenije za varovanje tajnih podatkov
Urad Vlade Republike Slovenije za varovanje tajnih podatkov
Urad Vlade Republike Slovenije za varovanje tajnih podatkov
Urad Vlade Republike Slovenije za varovanje tajnih podatkov
Urad Vlade Republike Slovenije za varovanje tajnih podatkov

Dokumentacijska varnost

Dokumentacijska varnost opredeljuje enoten sistem določanja in označevanja tajnih podatkov, prenosa, razmnoževanja, evidentiranja, uničevanja in arhiviranja ter postopka ob zlorabi tajnega podatka. Pravno podlago, ki se pri tem upošteva, tvorijo predpisi s področja tajnih podatkov ter predpisi, ki obravnavajo ravnanje z dokumentarnim in arhivskim gradivom nasploh.

Dokumentacijska varnost se z organizacijskimi ukrepi obravnavanja tajnih podatkov prepleta s fizičnimi in tehničnimi ukrepi varovanja tajnih podatkov, skupaj pa tvorijo celovit sistem varovanja tajnih podatkov, katerega cilj je preprečiti dostop nepooblaščenim osebam ter imeti sledljivost podatkov skozi njihovo življenjsko dobo.

Dokumentacijska varnost EU

Svet EU, Evropska komisija in vse države članice morajo zagotoviti, da celotna javna uprava, pogodbeni partnerji ter institucije in agencije EU spoštujejo minimalne standarde varovanja tajnosti, tako da je mogoče vsak tajni podatek EU posredovati naprej v prepričanju, da bo vsaka od navedenih strani z njim ravnala na enak način. Tovrstni minimalni standardi morajo obsegati postopke za zaščito tajnih podatkov EU.

Skladno z odločbo Sveta EU o varovanju tajnosti je Generalni sekretar (Visoki predstavnik) odgovoren za dajanje zahtev državam članicam za ustanovitev registrskega sistema EU za sprejem tajnih podatkov stopnje tajnosti STROGO TAJNO. Nacionalni varnostni organi (NSA - National Security Authority) držav članic izdajajo dovoljenja za ustanovitev in delovanje registrov EU.

Stopnje tajnosti kot jih določa Zakon o tajnih podatkih (Uradni list RS, št. 50/06 - uradno prečiščeno besedilo, 9/10 in 60/11) so usklajene s stopnjami tajnosti, ki jih določata Odločbi Sveta in Komisije. V nadaljevanju so prikazane slovenske in evropske stopnje tajnosti:

Stopnja tajnosti Slovenija  Stopnja tajnosti EU 
INTERNO RESTREINT UE/EU RESTRICTED
ZAUPNO CONFIDENTIEL UE/EU CONFIDENTIAL
TAJNO SECRET UE/EU SECRET
STROGO TAJNO TRES SECRET UE/EU TOP SECRET

Odločba Sveta EU predvideva tudi možnost dodatnih oznak na tajnih podatkih. S sprejetjem Uredbe o varovanju tajnih podatkov (Uradni list RS, št. 74/05, 7/11 in 24/11-popr.) se je slovenska zakonodaja na področju dodatnih oznak tajnih podatkov popolnoma uskladila z evropsko. Slovenska zakonodaja na področju dokumentacijske varnosti je pri vprašanjih razvrščanja tajnih podatkov po stopnjah tajnosti, uporabi stopenj tajnosti ter spremembi in preklicu stopnje tajnost prav tako usklajena z evropskimi predpisi.

Priprava in razpošiljanje tajnih podatkov EU

Vsaka stran dokumenta, ki vsebuje tajni podatek, je zgoraj in spodaj na sredini strani označena s stopnjo tajnosti. Na vsaki strani mora biti oznaka trenutne strani in celotno število strani dokumenta (npr. 5/12). Dokumenti, ki vsebujejo tajne podatke stopnje tajnosti STROGO TAJNO in TAJNO, morajo imeti šifro dokumenta napisano na vsaki strani. Kopije dokumenta morajo biti označene, številka kopije mora biti navedena na prvi strani dokumenta. Za dokumente, ki vsebujejo tajne podatke stopnje tajnosti ZAUPNO ali višje, se zahteva, da so vse priloge in dodatki navedeni na prvi strani dokumenta. Dokumenti, ki vsebujejo tajne podatke stopnje tajnosti STROGO TAJNO, se lahko izmenjujejo samo preko registrskega sistema EU. Registri EU morajo vse dokumente, ki vsebujejo tajne podatke stopnje tajnosti ZAUPNO in višje, ob prihodu ali izhodu iz ustanove vpisati v evidenco. Podatki, ki jih je potrebno vpisati, morajo omogočati prepoznavo dokumentov in biti vpisani v delovodnik ali vneseni v posebno varovan računalniški nosilec.

Prenos tajnih podatkov EU

Dokumente, ki vsebujejo tajne podatke stopnje tajnosti STROGO TAJNO, lahko znotraj države prenašajo le pripadniki kurirske službe, izjemoma javni uslužbenci, če so izpolnjeni pogoji iz odločbe Sveta EU (2013/488/EU). Dokumente, ki vsebujejo tajne podatke stopnje tajnosti ZAUPNO ali TAJNO, lahko znotraj države prenaša pooblaščena kurirska služba in pooblaščeni posamezniki, ki so preverjeni in imajo ustrezno dovoljenje za dostop do tajnih podatkov EU.

Prenos dokumentov, ki vsebujejo tajne podatke EU stopnje tajnosti ZAUPNO in višje, med državami članicami  je dovoljeno le preko diplomatske pošte ali vojaške kurirske službe. Dokumenti, ki vsebujejo tajne podatke stopnje tajnosti INTERNO, se lahko prenašajo na način, da ne morejo "pasti" v nepooblaščene roke.

Dokumenti, ki vsebujejo tajne podatke stopnje tajnosti ZAUPNO, se prenašajo v odpornih, neprosojnih dvojnih ovojnicah. Notranja ovojnica se označi s primerno stopnjo tajnosti EU, in v kolikor je mogoče s polnimi podatki o uradnem delovnem nazivu in naslovu naslovnika.

V notranjo ovojnico se vloži potrdilo o prejemu, ki ga lahko potrdi samo nadzorni javni uslužbenec registra EU ali njegov namestnik, razen  če je ovojnica naslovljena na posamezno osebo. V tem primeru register EU vpiše sprejem ovojnice, notranjo ovojnico pa sme odpreti in potrditi sprejem vsebovanih dokumentov znotraj nje samo oseba, na katero je naslovljena.

Potrdilo ni tajni podatek, mora pa vsebovati šifro zadev(e), datum dokumenta, številko kopije, vendar nikoli vsebine dokumenta.

Pri oddaji dokumentov, ki vsebujejo tajne podatke stopnje tajnosti ZAUPNO, kurirji prejmejo potrdilo, na katerem se morajo podatki ujemati z odpremnimi podatki.

Prenos tajnih podatkov stopnje tajnosti ZAUPNO in TAJNO se lahko izvaja samo preko akreditiranih komunikacijskih centrov in omrežij in/ali terminalov ter sistemov.

Kopije, prevodi in izvlečki tajnih podatkov EU

Kopije ali prevode dokumentov, ki vsebujejo tajne podatke stopnje tajnosti STROGO TAJNO, lahko odobri samo originator (tvorec) dokumenta. Dokumente, ki vsebujejo tajne podatke stopnje tajnosti TAJNO in nižje, lahko razmnožuje, prevaja ali pripravlja izvlečke naslovnik, skladno z nacionalnimi predpisi o rokovanju s tajnimi podatki.

Vsi registri EU opravijo inventurne popise vseh dokumentov, ki vsebujejo tajne podatke stopnje tajnosti STROGO TAJNO. Izvajajo se tudi naključna interna preverjanja o dokumentih. Dovoljeno je tudi arhiviranje tajnih podatkov EU na mikrofilm ali magnetna ter optična sredstva, pod pogojem da so nosilci podatkov zaščiteni na enak način kot izvirni dokument. Na nosilcih so lahko shranjeni samo podatki ene stopnje tajnosti.

Uničevanje tajnih podatkov EU

Dokumenti, ki vsebujejo tajne podatke stopnje tajnosti STROGO TAJNO, se lahko uničujejo samo v centralnem registru EU. Ti dokumenti se lahko uničujejo samo zapisniško, skladno s pravilom "treh oseb". Potrdila o uničenju ter dokumentacija o razpošiljanju se hranijo v registru EU vsaj deset let od dneva uničenja.

Dokumente, ki vsebujejo tajne podatke stopnje tajnosti TAJNO, uničijo pristojni registri EU. Potrdila o uničenju ter dokumentacija o razpošiljanju se hranijo v registru EU vsaj tri leta od dneva uničenja. Dokumente, ki vsebujejo tajne podatke stopnje tajnosti ZAUPNO, uničijo pristojni registri EU. Potrdila o uničenju ter dokumentacija o razpošiljanju se hranijo v registru EU skladno z nacionalnimi predpisi. Dokumente, ki vsebujejo tajne podatke stopnje tajnosti INTERNO, uničijo pristojni registri EU ali uporabnik, če to omogočajo nacionalni predpisi s področja tajnih podatkov.

Registri EU

Namen registrskega sistema EU za tajne podatke stopnje tajnosti STROGO TAJNO je zagotoviti njihovo pravilno evidentiranje, arhiviranje, rokovanje, razpošiljanje in uničenje. Centralni register EU v državi članici ima vlogo glavnega sprejemnega in odpravnega organa. Če je potrebno, lahko države ustanovijo podregistre EU STROGO TAJNO. Ti podregistri so zadolženi za upravljanje z dokumenti, ki vsebujejo tajne podatke stopnje tajnosti STROGO TAJNO, če centralni register ne more pokrivati vseh potreb države. Podregistri ne smejo pošiljati tajnih podatkov stopnje tajnosti STROGO TAJNO neposredno drugim podregistrom EU brez odobritve centralnega registra EU. Vsakih dvanajst mesecev vsi podregistri EU in centralni register EU opravijo popis vseh dokumentov, ki vsebujejo tajne podatke stopnje tajnosti STROGO TAJNO, za katere so odgovorni. Podregistri EU pošljejo ugotovitve popisa centralnemu registru EU, slednji pa nato o stanju na področju tajnih podatkov stopnje tajnosti STROGO TAJNO poroča Nacionalnemu varnostnemu organu (NVO).

Ukrepi varovanja tajnosti v času sestankov, ki potekajo zunaj prostorov Sveta EU

Za prinašanje, odnašanje in varovanje  dokumentov, ki vsebujejo tajne podatke, na sestankih so odgovorne delegacije same. Za dostavo na kraj sestanka in odnašanje tovrstnih dokumentov s kraja sestanka lahko delegacije zaprosijo za pomoč državo članico gostiteljico.

Zaščita tajnih podatkov EU v sistemih informacijske tehnologije (IT) in komunikacijskih sistemih

Pod tehnične ukrepe varovanja tajnosti spada tudi nadzor in sledljivost podatkov. Za tajne podatke stopnje tajnosti TAJNO in višje se vodi evidenca dostopa, ki je lahko avtomatska ali ročna. Pri pošiljanju izpisov, nastalih v sistemu, ki obdeluje tajne podatke EU, iz območja IT na območje oddaljenega terminala (delovne postaje), se za nadzor nad pošiljanjem na daljavo določijo postopki, ki jih odobri organ za varnostno akreditacijo (SAA - Security Accreditation Authorities). Vsi izmenljivi računalniški nosilci stopnje tajnosti ZAUPNO in višje morajo biti primerno označeni. Tajni podatki EU morajo biti shranjeni na nosilcih skupaj z ustrezno označeno stopnjo tajnosti in zaščite. Stopnje tajnosti pri računalniških nosilcih, ki se uporabljajo za vnos tajnih podatkov EU, se lahko zniža, razen za računalniške nosilce tajnih podatkov stopnje tajnosti STROGO TAJNO. Računalniških nosilcev tajnih podatkov stopnje tajnosti STROGO TAJNO tudi ni možno ponovno uporabiti. Kadar stopnje tajnosti za računalniški nosilec ni mogoče preklicati ali se ta ne sme ponovno uporabiti, se računalniški nosilec uniči po odobrenem nacionalnem postopku.

Dokumentacijska varnost NATO

Za usklajevanje, spremljanje in uresničevanje varnostne politike zveze Nato skrbi Urad zveze Nato za varnost (NOS - Nato Office of Security). Direktor NOS je glavni svetovalec generalnega sekretarja  za varnostna vprašanja in predsednik Natovega Odbora za varnost (NSC- Nato Security Committee).

Zakon o Sporazumu med Pogodbenicami Severnoatlantske pogodbe o varnosti podatkov (Uradni list RS, št. 22/04 –MP) določa, da pogodbenice:

1. ščitijo in varujejo:

  • tajne podatke zveze Nato označene kot take, ali tiste, ki jih zvezi Nato predloži država članica,
  • tajne podatke, označene kot take, ki jih države članice predložijo drugi državi članici v podporo programu, projektu ali
  • pogodbi zveze Nato,

2. ohranjajo stopnjo tajnosti podatkov, kot so opredeljeni pod točko 1 in storijo vse potrebno, da jih varujejo primerno stopnji tajnosti,

3. ne uporabljajo tajnih podatkov, kot so opredeljeni pod točko 1 v druge namene kot tiste, ki so določeni v Severnoatlantski pogodbi, sklepih in resolucijah, ki se nanašajo na to pogodbo,

4. ne razkrivajo v točki 1 opredeljenih podatkov stranem, ki niso članice zveze Nato brez soglasja lastnika podatkov. 

Zakon določa, da pogodbenice vzpostavijo in izvajajo varnostne standarde, ki zagotavljajo skupno raven varovanja tajnih podatkov.

Tajni podatki zveze Nato se v tem zakonu opredelijo kot:

  • podatki pomenijo vedenje, ki se lahko sporoča v kakršnikoli obliki,
  • tajni podatki pomenijo podatke ali sredstva, za katere je določeno, da morajo biti zavarovani pred nepooblaščenim razkritjem in so bili določeni s stopnjo tajnosti,
  • izraz sredstvo pomeni dokumente in vsak del strojev, opreme ali orožja, ki je že bil izdelan ali je v postopku izdelave,
  • izraz dokument pomeni vsak zapisan podatek ne glede na njegovo obliko ali značilnost, vključno s pisnim ali natisnjenim gradivom, karticami ali trakovi za obdelavo podatkov, zemljevidi, kartami, fotografijami, slikami, risbami, grafikami, skicami,delovnimi zapisi, kopijami in pisalnimi trakovi ali reprodukcijami s sredstvi ali postopki ter zvočnimi, glasovnimi, magnetnimi, elektronskimi, optičnimi ali videoposnetki v kakršni koli obliki ter prenosno opremo za avtomatsko obdelavo podatkov z vgrajenimi računalniškimi sredstvi za shranjevanje podatkov in odstranljivimi računalniškimi sredstvi za shranjevanje podatkov.

V nadaljevanju je prikaz slovenskih in Nato stopenj tajnosti:

Stopnja tajnosti Slovenija Stopnja tajnosti NATO
INTERNO  NATO RESTRICTED
ZAUPNO NATO CONFIDENTIAL
TAJNO NATO SECRET
STROGO TAJNO COSMIC TOP SECRET

Fizična varnost

Fizična varnost je pomemben element celotnega sistema varovanja tajnih podatkov. Njen glavni cilj je odvrniti, preprečiti in/ali odkriti nepooblaščene dostope do tajnih podatkov. Fizična varnost je sestavljena iz različnih postopkov in ukrepov varovanja; organizacijskih, varnostno-tehničnih in mehanskih ter postopkov in ukrepov fizičnega varovanja. Vsi našteti dejavniki so med seboj tesno povezani, zato je učinkovitost celotnega sistema fizične varnosti tajnih podatkov odvisna od učinkovitosti njegovih posameznih elementov.    

Pri odločanju o tem, katera stopnja fizične varnosti je potrebna, se upoštevajo različni dejavniki: stopnja tajnosti in vrsta podatkov, ki se varujejo, njihova količina, oblika in način hranjenja, ocena ogroženosti ter stopnja varnostne kulture pri zaposlenih.

Določitev upravnega območja

V skladu z uveljavljeno prakso na področju varovanja tajnih podatkov zakonski predpisi običajno določajo minimalne standarde, ki morajo biti izpolnjeni, da je zadoščeno osnovnim pogojem standardov varovanja. Pri vrednotenju ustreznosti fizičnih, tehničnih in drugih varnostnih ukrepov na področju varovanja tajnih podatkov zavzemamo stališče, da je stopnja varovanja skupek različnih varnostnih ukrepov in je odvisna od kvalitete posameznih dejavnikov celotnega koncepta varovanja območja, kjer se obravnavajo tajni podatki.

Varnostne ukrepe je potrebno prilagoditi vrsti, obliki, količini in stopnji tajnosti podatkov, ki se bodo obravnavali na nekem območju, ter drugim značilnostim situacije na terenu (morebitno 24-urno fizično varovanje objekta in podobno), kar se upošteva pri oceni stopnje varovanja. Z upoštevanjem standardov, ki jih določa navedeni sklep, se je mogoče izogniti zapletom z ocenjevanjem, ali je določena stopnja varovanja ustrezna ali ne.

Glede na navedeno predstojnik organa ali organizacije določi upravno območje s sklepom.

Odločitev za varnostno območje

Organ (organizacija) se odloči za postopek vzpostavitve varnostnega območja zaradi potrebe po hranjenju in obdelovanju dokumentov, ki vsebujejo tajne podatke. Odločitev se lahko sprejme tudi na podlagi predvidenih potreb po pridobitvi oziroma hranjenju tajnih podatkov. Lahko je vzpostavitev varnostnega območja potrebna tudi zaradi omogočanja vpogleda zunanjim uporabnikom v tajne podatke organa.

  • odločitev o stopnji varnostnega območja

Odločitev o stopnji varnostnega območja organ sprejme na podlagi stopenj tajnosti tajnih podatkov, ki jih že poseduje ali jih bo posedoval ter na podlagi načina delovanja varnostnega območja. Če bo varnostno območje delovalo na način, da tajni podatki niso vidni že ob vstopu v območje, potem bo vzpostavljeno varnostno območje II. stopnje, če pa bo vpogled v tajne podatke možen že z vstopom v varnostno območje, bo vzpostavljeno varnostno območje I. stopnje.

  • odločitev o velikosti varnostnega območja

Pri odločitvi o velikosti varnostnega območja je potrebno vedeti, ali bodo v varnostnem območju prostori tudi za delo zaposlenih (večji prostori z ustreznimi dodatnimi prostori, kjer se bodo tajni podatki tudi obdelovali), ali bo območje namenjeno le za hranjenje in evidentiranje tajnih podatkov. Pomembno pri odločitvi o velikosti pa je dejstvo, ali bodo varnostno območje uporabljali tudi zunanji uporabniki, to pomeni več prostorov in tudi spremembo režima v samem varnostnem območju.

Pri načrtovanju velikosti varnostnega območja je potrebno upoštevati tudi podatek o vrsti medija, na katerem se nahajajo tajni podatki. Vedeti je potrebno, ali se bodo obravnavali samo tajni podatki v papirni obliki ali bodo v varnostnem območju tudi tajni podatki na elektronskih medijih.

  • izdelava osnutka načrta varnostnega območja

Po zbranih osnovnih podatkih je potrebno pripraviti osnutek načrta varnostnega območja, v katerem se določi velikost, predvidijo se okvirne glavne poti znotraj območja in dostopi. Predhodno je potrebno pridobiti veljavne predpise (nacionalne, EU, Nato), jih natančno preučiti in začeti s postopki preverjanja zaposlenih za delovanje v varnostnem območju.

  • uvedba postopka za varnostno preverjanje

V času priprav na vzpostavitev varnostnega območja je potrebno, tako za zaposlene znotraj varnostnega območja kot tudi za tiste, ki so predvideni za branje in obdelovanje tajnih podatkov, začeti postopek varnostnega preverjanja.

  • zaposleni v varnostnem območju morajo uporabljati sledeče obrazce (oblika ni predpisana):

- evidenčni list vstopov v varnostno območje,

- evidenčni list sprejema in vpogleda v dokument, ki vsebuje tajne podatke

- evidenčni list kopiranih dokumentov, ki vsebujejo tajne podatke,

- evidenčni list ali zapisnik o uničenju dokumentov, ki vsebujejo tajne podatke

- evidenčni list popravil blagajn,

- evidenčni list kombinacij elektronskih ključavnic blagajn,

- evidenčni list varnostnih dogodkov v varnostnem območju,

- seznam vseh zaposlenih v varnostnem območju,

- distribucijska lista zaposlenih v organu, ki imajo dostop do posameznih stopenj tajnosti tajnih podatkov.

  • načrt varovanja varnostnega območja

Pred začetkom delovanja varnostnega območja mora vodja le tega izdelati načrt varovanja (vsebina je opredeljena v 33. členu Uredbe o varovanju tajnih podatkov). Načrt opredeljuje vse postopke, ukrepe in naloge tako zaposlenih v varnostnem območju kot tudi tistih oseb in služb, ki so udeležene pri varovanju tajnih podatkov.

Industrijska varnost

Z industrijsko varnostjo se zagotavlja sprejem ukrepov za varovanje tajnih podatkov med gospodarskimi družbami in organizacijami v primerih, ko naročila in dodeljevanje naročil vsebujejo tajne podatke. Tajni podatki se lahko posredujejo le organizaciji, ki ima varnostno dovoljenje, da izpolnjuje pogoje za varno obravnavanje tajnih podatkov.

Industrijska varnost pomeni uporabo varnostnih ukrepov in postopkov za preprečevanje, odkrivanje in povrnitev izgube ali prenehanje ogrožanja dokumentov, ki vsebujejo tajne podatke, s katerimi razpolaga izvajalec ali podizvajalec med pogajanji pred dodelitvijo in med izvajanjem tajnega naročila oziroma tajnega podnaročila.

Tajno naročilo je vsako naročilo za dobavo izdelkov, izvedbo del ali opravljanje storitev, katerih izvršitev zahteva ali vključuje dostop do tajnih podatkov ali njihov nastanek.

Tajno podnaročilo je naročilo, ki ga sklene izvajalec z drugim izvajalcem (podizvajalcem) za dobavo blaga, izvedbo del ali opravljanje storitev, katerih izvršitev zahteva ali vključuje dostop do tajnih podatkov ali njihov nastanek.

Na tem mestu na Uradu vlade za varovanje tajnih podatkov predlagamo oziroma pozivamo vsa slovenska podjetja, naj razmislijo, kako bi v okviru svoje organizacije (v okviru svojega delovanja) vzpostavila pogoje, ki bi jih lahko izpolnjevala ob morebitnem nastopu na razpisih, ki zahtevajo dostop do tajnih podatkov v mednarodnem okolju.

S pridobljenim mednarodnim varnostnim dovoljenjem lahko podjetja nastopajo na razpisih zveze Nato in EU, ki v razpisnih pogojih opredeljujejo, da bo za izvedbo posla potrebno dostopati do tajnih podatkov. Informacije o omenjenih razpisih so na voljo tudi na spletnih straneh Ministrstva za gospodarski razvoj in tehnologijo. Prednost imetnikov varnostnih dovoljenj je tudi možnost podpisa komercialnih pogodb, katerih izvedba pogojuje dostop do tajnih podatkov z organizacijami iz držav, s katerimi ima Republika Slovenija podpisan tako imenovani varnostni sporazum.

Naziv Institucija
Urad Vlade Republike Slovenije za varovanje tajnih podatkov
Urad Vlade Republike Slovenije za varovanje tajnih podatkov
Urad Vlade Republike Slovenije za varovanje tajnih podatkov

Komunikacijsko informacijski sistemi

Informacijska varnost oziroma varovanje tajnih podatkov v komunikacijsko informacijskih sistemih zajema določanje ter uporabo ukrepov varovanja tajnih podatkov, ki se obravnavajo s pomočjo komunikacijskih, informacijskih in drugih elektronskih sistemov, pred naključno ali namerno izgubo tajnosti, celovitosti ali razpoložljivosti ter ukrepov za preprečevanje izgube celovitosti in razpoložljivosti samih sistemov.

Z ukrepi in postopki varovanja in obravnavanja tajnih podatkov v komunikacijsko informacijskih sistemih se preprečuje dostop do tajnih podatkov nepooblaščenim osebam, razkritje tajnih podatkov nepoklicanim osebam, možnost za zavrnitev dostopa do tajnih podatkov pooblaščenim uporabnikom ter zloraba, nepooblaščena sprememba ali izbris tajnih podatkov.

Komunikacijsko informacijski sistem sestavljajo programska, strojna, komunikacijska in druga oprema, ki deluje samostojno ali v omrežju, in je namenjena zbiranju, procesiranju, distribuciji, uporabi in drugi obdelavi podatkov v elektronski obliki.

Komunikacijsko informacijski sistemi, v katerih se varujejo in obravnavajo tajni podatki, morajo imeti varnostno dovoljenje za delovanje, s katerim se dovoljuje varovanje in obravnavanje tajnih podatkov v sistemu in potrjuje izvajanje vseh ukrepov in postopkov za zagotavljanje varnega delovanja sistema. Varnostno dovoljenje za delovanje sistema se pridobi na podlagi postopka varnostne odobritve, v okviru katerega se preveri izpolnjevanje minimalnih fizičnih, organizacijskih in tehničnih ukrepov in postopkov varovanja tajnih podatkov v sistemih. V postopku izdaje varnostnega dovoljenja za delovanje sistema se morajo izdelati naslednji dokumenti:

- ocena varnostnih tveganj;

- načrt varovanja sistema;

- varnostna navodila za delo v sistemu.

Prenos tajnih podatkov po (varnostno odobrenih) komunikacijskih in informacijskih sistemih zunaj upravnih in varnostnih območij je dovoljen le v šifrirani obliki z odobrenimi šifrirnimi rešitvami. V teh sistemih je dovoljeno uporabljati le tiste šifrirne rešitve, ki jih odobri Komisija za informacijsko varnost ali drug z zakonom določen organ, ter zanje Urad vlade za varovanje tajnih podatkov ali drug z zakonom določen organ izda potrdilo o varnostni ustreznosti. Priloga potrdila o varnostni ustreznosti so odobrene minimalne varnostne zahteve za označevanje, distribucijo in uporabo posamezne šifrirne rešitve.

Šifrirne rešitve so šifrirna oprema (strojna in programska) in sistemi, ki se uporabljajo za šifrirno varovanje podatkov v komunikacijsko informacijskih sistemih, v katerih se obravnavajo tajni podatki. Med šifrirne rešitve spadajo tudi vsi moduli (sklopi), ki so vgrajeni v posamezne dele sistemov in so namenjeni šifrirnemu varovanju podatkov.

Šifrirno vrednotenje oziroma potrjevanje šifrirne rešitve je postopek, v katerem se ugotovi primernost predlagane šifrirne rešitve za varovanje tajnih podatkov določene stopnje tajnosti.

Vse sestavine sistemov, v okviru katerih se obravnavajo tajni podatki stopnje tajnosti ZAUPNO ali višje, morajo biti zaščitene proti neželenemu elektromagnetnemu sevanju. Elektromagnetno sevanje je sevanje, ki se nenadzorovano razširja in tako omogoča odtekanje tajnih podatkov. TEMPEST zaščita v tem smislu pomeni nabor ukrepov in aktivnosti, s katerimi se bistveno zmanjša ali v celoti prepreči odtekanje tajnih podatkov. Med osnovne ukrepe in aktivnosti tako prištevamo varnostna območja, katerim z meritvami določimo TEMPEST cono, kar je osnova za določitev ustrezne opreme, ki se lahko namesti v takšna varnostna območja.

 

Navodila s področja obravnavanja tajnih podatkov v Komunikacijsko-informacijskem sistemu

Usposabljanje

Skladno s predpisi, ki urejajo področje tajnih podatkov, organiziramo in izvajamo osnovno usposabljanje s področja obravnavanja in varovanja tajnih podatkov za osebe, ki tovrstno usposabljanje potrebujejo.

Naziv Institucija
Urad Vlade Republike Slovenije za varovanje tajnih podatkov