KOMPROMITUJÍCÍ VYZAŘOVÁNÍ

Informační a komunikační systém

Samostatné elektronické zařízení

Zabezpečená oblast a objekt

Instalace komponent informačního systému, komunikačního systému nebo samostatného elektronického zařízení

Certifikace stínicí komory

§ 3

Bezpečnostní požadavky na ochranu před kompromitujícím vyzařováním

§ 4

Žádost o ověření způsobilosti komponent informačního nebo komunikačního systému

§ 5

Způsob hodnocení způsobilosti komponent informačního nebo komunikačního systému

§ 7

Žádost o ověření způsobilosti zabezpečené oblasti nebo objektu

§ 8

Hodnocení způsobilosti zabezpečené oblasti nebo objektu

§ 9

Technická kontrola

§ 10

Bezpečnostní požadavky na instalaci

§ 11

Stínicí komora

K ochraně utajovaných informací stupně utajení Důvěrné nebo vyššího před jejich únikem kompromitujícím elektromagnetickým vyzařováním lze použít stínicí komoru, která je uzavřeným elektromagneticky stíněným prostorem zabraňujícím šíření elektromagnetického vyzařování mimo tento prostor, certifikovanou Národním úřadem pro kybernetickou a informační bezpečnost.

§ 12

Žádost o certifikaci stínicí komory

§ 13

Způsob a podmínky provádění certifikace stínicí komory

§ 14

Certifikační zpráva stínicí komory

Certifikační zpráva stínicí komory obsahuje

§ 15

Opakovaná žádost o certifikaci stínicí komory a způsob jejího provedení

(1) Komponenty informačního nebo komunikačního systému musí být způsobilé k ochraně před kompromitujícím vyzařováním a musí být umístěny tak, aby bylo zamezeno nepovolané osobě odezírat, odposlouchávat nebo jinak získávat utajované informace.

(2) Komponenty informačního nebo komunikačního systému nesmí obsahovat funkční bezdrátové technologie, není-li v rámci ověřování způsobilosti stanoveno jinak.

(1) Žádost o ověření způsobilosti komponent informačního nebo komunikačního systému obsahuje

a) jméno a příjmení kontaktní osoby žadatele a kontaktní spojení, kterým se rozumí alespoň její telefonní číslo a adresa elektronické pošty,

b) identifikaci komponent informačního nebo komunikačního systému, jejichž způsobilost má být ověřena,

c) údaj o stupni utajení utajovaných informací, které budou prostřednictvím komponent informačního nebo komunikačního systému zpracovávány, a

d) odůvodnění žádosti, které obsahuje účel využití komponent.

(2) Zpravodajská služba uvádí v žádosti podle odstavce 1 údaje podle písmen b) až d) pouze v rozsahu, který neohrozí plnění jejích úkolů podle jiného právního předpisu.

(1) Hodnocení způsobilosti komponent informačního nebo komunikačního systému provádí Národní úřad pro kybernetickou a informační bezpečnost zpravidla měřením úrovní jejich kompromitujícího vyzařování a porovnáním naměřených hodnot s nejvýše přípustnými hodnotami.

(2) V rámci hodnocení způsobilosti posuzuje Národní úřad pro kybernetickou a informační bezpečnost zprávu o výsledku měření úrovní kompromitujícího vyzařování komponent informačního nebo komunikačního systému provedeného orgánem státu, právnickou osobou podle § 60b zákona nebo podnikatelem na základě smlouvy o zajištění činnosti uzavřené s Národním úřadem pro kybernetickou a informační bezpečnost podle § 16, bylo-li měření provedeno.

(3) Jsou-li v průběhu hodnocení způsobilosti komponent informačního nebo komunikačního systému zjištěny nedostatky v ochraně utajovaných informací před únikem kompromitujícím vyzařováním podle odstavce 1, vyzve Národní úřad pro kybernetickou a informační bezpečnost žadatele k jejich odstranění.

(4) Výsledek hodnocení způsobilosti je uveden v rozhodnutí o ověření způsobilosti komponent informačního nebo komunikačního systému.

(1) Podmínkou provozování samostatného elektronického zařízení je jeho způsobilost.

(2) Samostatné elektronické zařízení nesmí obsahovat funkční bezdrátové technologie, není-li v rámci ověřování způsobilosti stanoveno jinak.

(3) Samostatné elektronické zařízení musí být umístěno tak, aby bylo zamezeno nepovolané osobě odezírat, odposlouchávat nebo jinak získávat utajované informace.

(4) Při podání žádosti o ověření způsobilosti, při hodnocení způsobilosti a měření úrovní kompromitujícího vyzařování samostatného elektronického zařízení se použijí § 4 a 5 obdobně.

(1) Žádost o ověření způsobilosti zabezpečené oblasti nebo objektu obsahuje

c) identifikaci zabezpečené oblasti nebo objektu, jejichž způsobilost má být ověřena,

a) jméno a příjmení kontaktní osoby žadatele a kontaktní spojení na ni,

b) číslo osvědčení podnikatele s uvedením příslušného stupně utajení nebo kopii platného prohlášení podnikatele, je-li žadatelem podnikatel,

d) údaj o stupni utajení utajovaných informací, které budou zpracovávány v zabezpečené oblasti nebo objektu, a

e) odůvodnění žádosti, které obsahuje účel využití zabezpečené oblasti nebo objektu.

(2) K žádosti žadatel přiloží zprávu o výsledku zónového měření zabezpečené oblasti nebo objektu provedeného orgánem státu, právnickou osobou podle § 60b zákona nebo podnikatelem na základě smlouvy o zajištění činnosti uzavřené s Národním úřadem pro kybernetickou a informační bezpečnost podle § 16, bylo-li měření provedeno.

(3) Zpravodajská služba uvádí v žádosti podle odstavce 1 údaje podle písmen c) až e) pouze v rozsahu, který neohrozí plnění jejích úkolů podle jiného právního předpisu. Zpravodajská služba předkládá podklady podle odstavce 2 pouze v rozsahu, který neohrozí plnění jejích úkolů podle jiného právního předpisu.

(1) Hodnocení způsobilosti zabezpečené oblasti nebo objektu provádí Národní úřad pro kybernetickou a informační bezpečnost zónovým měřením. V zabezpečené oblasti nebo objektu, kde jsou instalovány komponenty informačního nebo komunikačního systému nebo samostatné elektronické zařízení, které zpracovávají utajované informace stupně utajení Tajné nebo Přísně tajné, nebo v případě potřeby, se v rámci zónového měření provádí technická kontrola podle § 9.

(2) Jsou-li v průběhu hodnocení způsobilosti zabezpečené oblasti nebo objektu zjištěny nedostatky, vyzve Národní úřad pro kybernetickou a informační bezpečnost žadatele k jejich odstranění a stanoví k tomu přiměřenou lhůtu.

(3) Výsledek hodnocení způsobilosti je uveden v rozhodnutí o ověření způsobilosti zabezpečené oblasti nebo objektu.

(4) V případě, že zónové měření provádí orgán státu, právnická osoba podle § 60b zákona nebo podnikatel na základě smlouvy o zajištění činnosti podle § 52 zákona, vypracuje o zónovém měření zprávu a oznámí výsledek na vyžádání Národnímu úřadu pro kybernetickou a informační bezpečnost a žadateli.

(1) Technickou kontrolu provádí Národní úřad pro kybernetickou a informační bezpečnost po dokončení instalace komponent informačního nebo komunikačního systému nebo samostatného elektronického zařízení.

(2) Opakovaná technická kontrola se provádí

a) při podezření na kompromitaci prostorů, kde již byla provedena technická kontrola, nebo

b) při změně, která by mohla mít vliv na ochranu utajovaných informací, zejména v důsledku stavebních úprav zabezpečené oblasti nebo objektu.

(1) Komponenty informačního nebo komunikačního systému nebo samostatné elektronické zařízení musí být provozovatelem informačního nebo komunikačního systému instalovány tak, aby nedocházelo k úniku utajovaných informací kompromitujícím vyzařováním, a o této instalaci musí být Národním úřadem pro kybernetickou a informační bezpečnost vypracován instalační záznam.

(2) Správnost instalace komponent informačního nebo komunikačního systému je ověřována v rámci certifikace informačního systému nebo schvalování projektu bezpečnosti komunikačního systému. Správná instalace a instalační záznam jsou podmínkou bezpečného provozování samostatného elektronického zařízení.

(3) Jakákoliv změna v instalaci vyžaduje změnu instalačního záznamu.

(4) V případě informačního nebo komunikačního systému nebo samostatného elektronického zařízení provozovaného zpravodajskou službou vypracuje instalační záznam zpravodajská služba.

(1) Žádost o certifikaci stínicí komory obsahuje

a) jméno a příjmení kontaktní osoby žadatele a kontaktní spojení na ni,

b) číslo osvědčení podnikatele s uvedením příslušného stupně utajení nebo kopii platného prohlášení podnikatele, je-li žadatelem podnikatel,

c) označení a údaje o umístění stínicí komory a

d) identifikační údaje výrobce stínicí komory.

(2) K žádosti žadatel přiloží zprávu o výsledku provedení dílčích úloh v rámci hodnocení způsobilosti stínicí komory provedených orgánem státu, právnickou osobou podle § 60b zákona nebo podnikatelem na základě smlouvy o zajištění činnosti uzavřené s Národním úřadem pro kybernetickou a informační bezpečnost podle § 16, byly-li tyto dílčí úlohy provedeny.

(3) Zpravodajská služba uvádí v žádosti podle odstavce 1 údaje podle písmen c) a d) pouze v rozsahu, který neohrozí plnění jejích úkolů podle jiného právního předpisu. Zpravodajská služba předkládá podklady podle odstavce 2 pouze v rozsahu, který neohrozí plnění jejích úkolů podle jiného právního předpisu.

(1) Certifikaci stínicí komory provádí Národní úřad pro kybernetickou a informační bezpečnost měřením útlumových vlastností stínicí komory a jejich porovnáním s nejvýše přípustnými hodnotami.

(2) Měření útlumových vlastností stínicí komory lze provádět za spoluúčasti žadatele a v případě potřeby i dodavatele stínicí komory.

(3) O průběhu a dílčích výsledcích certifikace stínicí komory vypracuje Národní úřad pro kybernetickou a informační bezpečnost zprávu, která je podkladem pro vydání certifikátu.

(4) Provádí-li dílčí úlohy v rámci hodnocení způsobilosti stínicí komory orgán státu, právnická osoba podle § 60b zákona nebo podnikatel, vypracuje o jejich výsledcích zprávu, která je součástí zprávy podle odstavce 3.

(5) Je-li postupem podle odstavce 1 ověřeno, že stínicí komora má způsobilost, Národní úřad pro kybernetickou a informační bezpečnost vydá certifikát.

(6) Vzor certifikátu stínicí komory je uveden v příloze k této vyhlášce.

b) údaj o stupni utajení zpracovávaných utajovaných informací a

c) zásady a podmínky používání stínicí komory.

a) orientační popis stínicí komory, jejího umístění a účel jejího používání,

(1) Opakovaná žádost o certifikaci stínicí komory obsahuje

b) identifikaci vydaného certifikátu stínicí komory obsahující jeho držitele, evidenční číslo, datum vydání a dobu platnosti a

c) identifikaci certifikované stínicí komory obsahující její název, typové označení, variantní provedení a její umístění.

a) jméno a příjmení kontaktní osoby žadatele a kontaktní spojení na ni,

(2) K opakované žádosti o certifikaci žadatel přiloží zprávu o výsledku měření útlumových vlastností stínicí komory provedeného orgánem státu, právnickou osobou podle § 60b zákona nebo podnikatelem na základě smlouvy o zajištění činnosti uzavřené s Národním úřadem pro kybernetickou a informační bezpečnost podle § 16, bylo-li měření provedeno.

(3) Národní úřad pro kybernetickou a informační bezpečnost provede na základě opakované žádosti o certifikaci doplňující ověření způsobilosti stínicí komory v nezbytně nutném rozsahu, a ověří-li, že stínicí komora má způsobilost, vydá certifikát.

(4) Národní úřad pro kybernetickou a informační bezpečnost vydá certifikát, doloží-li žadatel, že v době od provedeného měření podle § 13 odst. 1 ke dni uplynutí doby platnosti dosavadního certifikátu stínicí komory nedošlo u stínicí komory ke změnám.

(5) Zpravodajská služba uvádí v žádosti podle odstavce 1 údaje podle písmen b) a c) pouze v rozsahu, který neohrozí plnění jejích úkolů podle jiného právního předpisu. Zpravodajská služba předkládá podklady podle odstavce 2 pouze v rozsahu, který neohrozí plnění jejích úkolů podle jiného právního předpisu.