Vyhláška Národného bezpečnostného úradu, ktorou sa ustanovujú podrobnosti o šifrovej ochrane informácií 340/2004 účinný od 01.04.2016

§ 2
Certifikácia prostriedkov

(1)
Certifikáciou prostriedkov sa overuje a osvedčuje spôsobilosť prostriedku chrániť utajované skutočnosti v súlade s bezpečnostným štandardom pre systémy a prostriedky šifrovej ochrany informácií a s bezpečnostným štandardom na ochranu pred nežiaducim elektromagnetickým vyžarovaním.
(2)
Úrad certifikuje prostriedky, o ktorých certifikáciu bol požiadaný rezortným šifrovým orgánom alebo právnickou osobou, ktorá spĺňa podmienky priemyselnej bezpečnosti podľa osobitného predpisu.1)
(3)
Rezortný šifrový orgán certifikuje prostriedky na ochranu utajovaných skutočností stupňa utajenia Dôverné a Vyhradené vo svojej pôsobnosti. Certifikuje aj prostriedky na ochranu utajovaných skutočností stupňa utajenia Dôverné a Vyhradené, o ktorých certifikáciu bol požiadaný právnickou osobou, ktorá spĺňa podmienky priemyselnej bezpečnosti podľa osobitného predpisu,1) ak predpokladá možnosť ich používania.
(4)
Pred inštaláciou prostriedku v podmienkach certifikačného pracoviska dodá žiadateľ protokol o vykonaných prevádzkových skúškach prostriedku, vydané certifikáty iných autorizovaných osôb, zoznam noriem, ktorým prostriedok vyhovel, a potrebný počet kusov prostriedku podľa určenia certifikačného pracoviska úradu alebo rezortného šifrového orgánu.
(5)
Dokumentácia prostriedku musí byť vyhotovená tak, aby bolo možné posúdiť jeho bezpečnosť, a podľa stupňa utajenia chránených utajovaných informácií obsahuje tieto údaje:
a)
pre stupeň utajenia Vyhradené
1.
určenie spôsobu používania prostriedku,
2.
typ užívateľského prostredia a systémové začlenenie prostriedku,
3.
návod na obsluhu prostriedku,
4.
pravidlá na používanie prostriedku,
5.
základné kryptografické parametre, typ kryptografického algoritmu, matematický model všetkých použitých kryptografických metód v hodnotenom prostriedku,
6.
verifikačné dáta a programy na overenie matematického modelu algoritmu prostriedku,
7.
verifikačné dáta a programy na overenie a testovanie funkcie prostriedku,
8.
opis spôsobu kľúčového hospodárstva, veľkosť a štruktúru kľúčov prostriedku,
9.
spôsob generovania šifrových materiálov prostriedku,
10.
blokovú schému a opis častí prostriedku s vyznačením súčinnostných väzieb jednotlivých častí,
11.
kryptografický rozbor prostriedku,
12.
bezpečnostný rozbor prostriedku,
13.
dokumentáciu a výsledky vykonávaných bezpečnostných analýz prostriedku,
14.
posúdenie možnosti zmeny kryptografického algoritmu z hľadiska modifikácie prostriedku a licenčnej politiky,
15.
postup inštalácie prostriedku,
16.
postup deinštalácie prostriedku,
b)
pre stupeň utajenia Dôverné údaje uvedené v písmene a) a
1.
spôsob fyzickej realizácie prostriedku,
2.
technickú dokumentáciu prostriedku a opis funkčných a technických parametrov,
3.
spôsob spravovania kľúčového hospodárstva prostriedku,
4.
spôsob generovania počiatočných nastavení prostriedku,
5.
základný diagnostický systém prostriedku,
6.
opis použitých metód autentizácie a identifikácie prostriedku,
7.
spôsob ochrany prostriedku proti kompromitácii utajovaných skutočností nežiaducim elektromagnetickým vyžarovaním,
8.
opis spôsobu deštrukcie prostriedku,
c)
pre stupeň utajenia Tajné údaje uvedené v písmenách a) a b) a
1.
spôsob fyzickej realizácie algoritmu, všetkých jeho používaných režimov činnosti vrátane kontrolných príkladov,
2.
vývojový diagram hlavných funkčných stavov a čiastkových blokov a opis základných funkčných režimov prostriedku,
3.
schému zapojenia prostriedku vrátane technického opisu definičného obsahu programovateľných obvodov, mikroprogramov, pamätí a pod.,
4.
komentované zdrojové texty celého programového vybavenia,
5.
zdrojový text programového vybavenia prostriedku umožňujúci preklad do tvaru zhodného s certifikovaným prostriedkom a jeho kontrolu,
6.
bezpečnostné vlastnosti a technické parametre nosiča kľúčov,
7.
spôsob distribúcie kľúčov,
8.
spôsob ochrany kľúčov a kryptografického algoritmu pred kompromitáciou,
9.
spôsob likvidácie kryptografických stôp po deinštalácii,
10.
opis použitých metód, vlastností a bezpečnostných úrovní auditných funkcií,
11.
pravidlá na návrh topológie sietí prostriedkov,
12.
odolnosť prostriedku proti modifikácii kryptografických častí,
13.
odolnosť a spôsob ochrany programových častí prostriedku proti napadnutiu vírusom a inými škodlivými programami alebo proti ich čiastočnej modifikácii,
14.
diagnostiku, priebeh a spôsoby testovania a inicializácie kryptografických častí pri certifikácii prostriedku,
15.
diagnostiku, priebeh a spôsoby testovania a inicializácie kryptografických častí pri sériovej výrobe prostriedku,
16.
bezpečnostné opatrenia pri sériovej výrobe prostriedku,
17.
spôsob vykonávania servisnej činnosti prostriedku u používateľa,
18.
detekciu kryptografických chýb,
19.
opis spôsobu samodeštrukcie prostriedku,
d)
pre stupeň utajenia Prísne tajné údaje uvedené v písmenách a) až c) a
1.
reakciu prostriedku na vonkajšie podnety rušenia,
2.
reakcie prostriedku na náhodné, prípadne úmyselné zmeny pracovného prostredia,
3.
reakcie prostriedku na výskyt vlastnej chyby,
4.
odolnosť prostriedku proti chybe obsluhy,
5.
bezpečnostné opatrenia pri výrobe šifrových materiálov,
6.
spôsob likvidácie chybných dielcov a komponentov pri sériovej výrobe a servise prostriedku,
7.
spôsob likvidácie použitých, prípadne chybných nosičov kryptografických prvkov.
(6)
Certifikáciu prostriedku možno začať až po overení úplnosti dokumentácie pre certifikáciu prostriedku podľa odseku 5.
(7)
O overení úplnosti dokumentácie pre certifikáciu prostriedku vypracuje certifikačné pracovisko písomný záznam.
(8)
Ak je dokumentácia neúplná, certifikačné pracovisko o tejto skutočnosti písomne informuje žiadateľa a súčasne ho požiada o jej doplnenie. Ak žiadateľ o certifikáciu prostriedku v určenom termíne dokumentáciu nedoplní, certifikačné pracovisko mu oznámi, že certifikáciu prostriedku nebude vykonávať.
(9)
Ak je dokumentácia úplná, certifikačné pracovisko písomne informuje žiadateľa o prijatí žiadosti a oznámi mu predpokladaný termín ukončenia certifikácie.
(10)
Súčasťou certifikácie prostriedku sú laboratórne skúšky prostriedku, skúšobná prevádzka prostriedku na overenie udávaných prevádzkových parametrov prostriedku a posúdenie návodu na obsluhu a pravidiel na používanie prostriedku.
(11)
O certifikácii prostriedku vypracuje certifikačné pracovisko protokol, v ktorom uvedie
a)
názov certifikačného pracoviska,
b)
názov prostriedku (typové označenie, verzia), označenie výrobcu prostriedku a jeho identifikačné údaje,
c)
názov žiadateľa o certifikáciu a jeho identifikačné údaje,
d)
stručnú charakteristiku prostriedku a opis jednoznačnej identifikácie prostriedku a jeho jednotlivých komponentov vrátane stupňa ich utajenia,
e)
stupeň utajenia chránených informácií, na ktorý je prostriedok certifikovaný,
f)
výsledky svojich zistení k jednotlivým požiadavkám bezpečnostných štandardov,
g)
kategóriu prostriedku podľa bezpečnostného štandardu na ochranu pred nežiaducim elektromagnetickým vyžarovaním,
h)
kategóriu priestoru na umiestnenie prostriedku podľa bezpečnostného štandardu na ochranu pred nežiaducim elektromagnetickým vyžarovaním,
i)
výsledky laboratórnych skúšok prostriedku, opis a výsledky skúšobnej prevádzky prostriedku,
j)
zistené prevádzkové parametre prostriedku,
k)
stanovisko k návodu na obsluhu a pravidlám na používanie prostriedku s prípadným návrhom na ich úpravu,
l)
záver o splnení alebo nesplnení všetkých požiadaviek bezpečnostných štandardov a o spôsobilosti alebo nespôsobilosti prostriedku chrániť utajované skutočnosti konkrétneho stupňa utajenia.
(12)
Ak ide o prostriedky určené na prevádzku mimo chránených priestorov v tuzemsku alebo v zahraničí, musí protokol o certifikácii prostriedku obsahovať samostatnú časť s konštatovaním splnenia požiadaviek v súlade s bezpečnostným štandardom pre systémy a prostriedky a spôsobilosti prostriedku chrániť utajované informácie v navrhovaných podmienkach.
(13)
Protokol o certifikácii prostriedku schvaľuje vedúci ústredného orgánu štátnej správy (ďalej len „vedúci“).
(14)
Certifikát prostriedku možno vydať iba na základe záveru protokolu o certifikácii konštatujúceho splnenie všetkých požiadaviek bezpečnostných štandardov a spôsobilosť prostriedku chrániť utajované skutočnosti konkrétneho stupňa utajenia.
(15)
Ak záver protokolu konštatuje nesplnenie niektorej z požiadaviek podľa bezpečnostných štandardov a nespôsobilosť prostriedku chrániť utajované skutočnosti konkrétneho stupňa utajenia, certifikačné pracovisko o tejto skutočnosti písomne informuje žiadateľa.
(16)
Ak ide o prostriedky určené aj na prevádzku mimo chránených priestorov alebo v zahraničí, musia byť tieto skutočnosti uvedené v certifikáte.
(17)
Certifikát prostriedku obsahuje
a)
názov ústredného orgánu štátnej správy, ktorý vydáva certifikát,
b)
evidenčné číslo certifikátu,
c)
názov prostriedku (typové označenie, verzia), označenie výrobcu prostriedku a jeho identifikačné údaje,
d)
názov žiadateľa o certifikáciu a jeho identifikačné údaje,
e)
stupeň utajenia chránených informácií, na ktorý je prostriedok certifikovaný,
f)
kategóriu prostriedku podľa bezpečnostného štandardu na ochranu pred nežiaducim elektromagnetickým vyžarovaním,
g)
kategóriu priestoru na umiestnenie prostriedku podľa bezpečnostného štandardu na ochranu pred nežiaducim elektromagnetickým vyžarovaním,
h)
konštatovanie o spôsobilosti prostriedku na ochranu utajovaných informácií mimo chránených priestorov a v zahraničí,
i)
identifikačné údaje návodov na obsluhu a pravidiel na používanie prostriedku,
j)
dobu platnosti certifikátu,
k)
dátum vydania certifikátu,
l)
identifikačné údaje a podpis vedúceho schvaľujúceho vydanie certifikátu.
(18)
Úrad alebo vedúci vydáva certifikát prostriedku spolu s návodom na obsluhu a pravidlami na používanie. Vzor certifikátu prostriedku zverejní úrad na svojom webovom sídle.
(19)
Ústredný šifrový orgán môže v odôvodnených prípadoch vydať certifikát prostriedku na základe certifikátu vydaného cudzou mocou, s ktorou má Slovenská republika uzatvorenú zmluvu o ochrane utajovaných skutočností a dohodnutých garancií bezpečnostnej úrovne prostriedku. Prevádzková dokumentácia prostriedku podľa certifikátu cudzej moci nie je záväzná pre používanie prostriedku na ochranu utajovaných informácií Slovenskej republiky.
(20)
Certifikované prostriedky možno poskytnúť cudzej moci v súlade so zákonom2) iba na základe medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Uvedené sa nevzťahuje na prostriedky, ktoré sú určené na spoluprácu Slovenskej informačnej služby so spravodajskými službami iných štátov uskutočňovanú podľa osobitného predpisu.3)
(21)
Ak ide o prostriedky získané Slovenskou informačnou službou od spravodajských služieb iných štátov v rámci spolupráce uskutočňovanej podľa osobitného predpisu,3) môže príslušný vedúci vydať certifikát prostriedku na základe certifikátu vydaného cudzou mocou.
(22)
Rezortný šifrový orgán môže požiadať ústredný šifrový orgán o uznanie certifikátu vydaného členským štátom NATO alebo Európskej únie na základe dvojstrannej zmluvy o vzájomnej ochrane utajovaných skutočností.
(23)
Rezortný šifrový orgán vedie evidenciu certifikátov prostriedkov vydaných vo svojej pôsobnosti. O vydaných certifikátoch informuje úrad do 15 dní odo dňa ich vydania; súčasťou informácie sú fotokópie vydaných certifikátov.
(24)
Úrad vedie evidenciu certifikátov prostriedkov vydaných vo svojej pôsobnosti a v pôsobnosti rezortných šifrových orgánov.
(25)
Na požiadanie rezortného šifrového orgánu úrad ho informuje o vydaných certifikátoch do 15 dní od doručenia požiadavky.

§ 3
Schvaľovanie prostriedkov do prevádzky

(1)
Prostriedky možno schvaľovať do prevádzky len na základe certifikátu vydaného úradom alebo vedúcim; schvaľovať prostriedky do prevádzky vedúci môže aj na základe certifikátov prevzatých z iných ústredných orgánov štátnej správy. O prevzatých certifikátoch rezortné šifrové orgány informujú úrad.
(2)
Prostriedok môže byť schválený do prevádzky len v chránenom priestore,4) ak nie je ďalej ustanovené inak, a v priestore zodpovedajúcom bezpečnostnému štandardu na ochranu pred nežiaducim elektromagnetickým vyžarovaním.
(3)
Prostriedok do prevádzky schvaľuje vedúci na základe písomného návrhu rezortného šifrového orgánu. Vzor rozhodnutia o schválení prostriedku šifrovej ochrany informácií do prevádzky zverejní úrad na svojom webovom sídle.
(4)
Návrh na schválenie prostriedku do prevádzky podľa odseku 3 obsahuje
a)
názov prostriedku,
b)
navrhovaný dátum schválenia prostriedku do prevádzky,
c)
najvyšší stupeň utajenia chránených informácií,
d)
navrhovanú dobu prevádzky prostriedku,
e)
stručnú charakteristiku účelu použitia prostriedku; v prípade schvaľovania prostriedku do prevádzky mimo chráneného priestoru v tuzemsku alebo v zahraničí aj osobitné odôvodnenie účelu použitia podložené príslušnými dokumentmi odôvodňujúcimi zvýšené riziko ohrozenia utajovaných skutočností a potrebu použitia prostriedkov na tento účel,
f)
identifikačné údaje certifikátu prostriedku a prípadne i certifikátov jeho komponentov,
g)
výsledky prevádzkových skúšok prostriedku,
h)
doplnky k návodom na obsluhu a pravidlám na používanie prostriedku, ktoré vydáva rezortný šifrový orgán v prípade, ak nepostačujú návody na obsluhu a pravidlá na používanie prostriedku vydané spolu s certifikátom prostriedku,
i)
identifikačné údaje certifikátu technického prostriedku a dokumentu schvaľujúceho prevádzku technického prostriedku, ak schvaľovaný prostriedok nie je samostatný, ale tvorí súčasť technického prostriedku,
j)
určenie umiestnenia prostriedku s uvedením kategórie prostriedku a kategórie priestoru podľa bezpečnostného štandardu na ochranu pred nežiaducim elektromagnetickým vyžarovaním,
k)
určenie kategórie chráneného priestoru umiestnenia prostriedku a identifikačné údaje spracovanej dokumentácie fyzickej bezpečnosti a objektovej bezpečnosti chránených priestorov,4) v ktorých je umiestnený prostriedok; v prípade schvaľovania prostriedku do prevádzky mimo chráneného priestoru na území Slovenskej republiky alebo v zahraničí mimo zastupiteľského úradu aj doplnok k pravidlám na používanie prostriedku v konkrétnych podmienkach s určením spôsobu zničenia prostriedku a ostatných utajovaných skutočností v prípade ich ohrozenia,
l)
špecifikáciu používateľov prostriedku,
m)
špecifikáciu zamestnancov na úseku šifrovej ochrany informácií potrebných na zabezpečenie prevádzky, údržby a opráv prostriedku,
n)
určenie spôsobu, rozsahu a podmienok správy prostriedku a výroby šifrových materiálov pre prostriedok v súlade so zákonom,5)
o)
opis spôsobu zabezpečenia údržby a opráv prostriedku,
p)
identifikačné údaje a podpis vedúceho schvaľujúceho prostriedok do prevádzky.
(5)
Rozhodnutie o schválení prostriedku do prevádzky spolu s návrhom rezortného šifrového orgánu sa na rezortnom šifrovom orgáne uschováva najmenej počas schválenej doby prevádzky prostriedku.
(6)
Na území Slovenskej republiky mimo chránených priestorov a v zahraničí mimo zastupiteľského úradu Slovenskej republiky možno schvaľovať do prevádzky iba na tento účel určené typy prostriedkov v súlade s bezpečnostným štandardom pre systémy a prostriedky šifrovej ochrany informácií.
(7)
Ak ide o prostriedky získané na ochranu zahraničných informácií na základe medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, schvaľuje prostriedky do prevádzky vedúci na základe certifikátu vydaného cudzou mocou len s písomným súhlasom ústredného šifrového orgánu. Uvedené sa nevzťahuje na prostriedky, ktoré sú určené na spoluprácu Slovenskej informačnej služby so spravodajskými službami iných štátov uskutočňovanú podľa osobitného predpisu.3)

§ 7
Overovanie odbornej spôsobilosti

(1)
Odborná spôsobilosť podľa § 68 ods. 1 zákona sa preukazuje potvrdením o absolvovaní skúšky bezpečnostného zamestnanca pre oblasť šifrovej ochrany informácií podľa osobitného predpisu.8a)
(2)
Osvedčenie na prácu na určenom úseku šifrovej ochrany informácií podľa § 68 ods. 2 zákona sa vydá po splnení podmienok, ktoré určí vedúci. Vzor osvedčenia na prácu na určenom úseku šifrovej ochrany informácií zverejní úrad na svojom webovom sídle.

§ 9
Zriaďovanie rezortného šifrového orgánu

(1)
Žiadosť vedúceho o súhlas ústredného šifrového orgánu na zriadenie rezortného šifrového orgánu obsahuje
a)
názov ústredného orgánu štátnej správy,
b)
odôvodnenie zriadenia,
c)
navrhovaný termín zriadenia,
d)
začlenenie rezortného šifrového orgánu v organizačnej štruktúre ústredného orgánu štátnej správy.
(2)
Na základe súhlasu ústredného šifrového orgánu vydá vedúci rozhodnutie o zriadení rezortného šifrového orgánu ako osobitného pracoviska podľa § 9 ods. 1 a § 66 ods. 1 zákona. Vzor rozhodnutia o zriadení rezortného šifrového orgánu zverejní úrad na svojom webovom sídle.
(3)
Zamestnancom na úseku šifrovej ochrany informácií rezortného šifrového orgánu môže byť iba osoba oprávnená oboznamovať sa s utajovanými skutočnosťami. Ak rezortný šifrový orgán plní úlohy podľa § 6 ods. 2, musí byť najmenej jeden zamestnanec osobou oprávnenou oboznamovať sa s utajovanými skutočnosťami stupňa utajenia Prísne tajné.
(4)
Odbornú spôsobilosť zamestnanca na úseku šifrovej ochrany informácií určeného na riadenie činnosti rezortného šifrového orgánu overuje a osvedčuje ústredný šifrový orgán.
(5)
Utajované písomnosti a dokumentácia na úseku šifrovej ochrany informácií sa evidujú v samostatných protokoloch utajovaných písomností a evidenčných pomôckach. Protokol utajovaných písomností a evidenciu dokumentácie na úseku šifrovej ochrany informácií vedie určená osoba, ktorá je evidovaná ako zamestnanec na úseku šifrovej ochrany informácií. Na evidenciu a manipuláciu s utajovanými písomnosťami a dokumentáciou na úseku šifrovej ochrany informácií sa vzťahuje osobitný predpis.7)