informací znalost, kterou je možné jakoukoliv formou sdělovat,

utajovanou informací informace, která je klasifikována stupněm utajení,

kryptografií vědní disciplína, která rozvíjí a aplikuje matematické a fyzikální principy pro tvorbu metod a prostředků k ochraně informací za účelem jejich skrytí před nepovolanou osobou, zajištění jejich autentičnosti, zabránění jejich modifikaci, odmítnutí nebo neoprávněnému použití, (dále jen „ochrana informací“),

klíčovými materiály souhrn kryptografických klíčů určených pro kryptografický prostředek,

kryptografickými prostředky zařízení, předměty, programy nebo kryptografické postupy, včetně kryptografických klíčů, které zajišťují ochranu informací,

kryptografickým klíčem specifická informace použitá spolu s kryptografickým prostředkem k ochraně informací,

autentizací proces potvrzení, a tím i ustavení identity uživatele, procesu nebo jiného prvku s požadovanou mírou záruky,

identifikačními prostředky prostředky nebo systémy sloužící k prokazování identity fyzické osoby, zejména průkazy totožnosti, optické snímače, biometrické snímače a systémy, digitální podpis a magnetické, čipové nebo bezkontaktní karty,

auditem bezpečnostní proces zajišťující spolu s identifikací a autentizací uživatele, že uživatel je individuálně odpovědný za svou činnost při nakládání s utajovanými skutečnostmi,

nosičem informací prvek schopný uchovávat informaci,

kompromitací případ neoprávněného nakládání s utajovanými skutečnostmi, který svými následky může způsobit porušení ochrany utajované skutečnosti při použití kryptografického prostředku,

kryptograficky významným prvkem prostředek, vlastnost nebo metoda podílející se na kvalitě ochrany utajovaných skutečností, zejména kryptografický algoritmus a kryptografický klíč, generátor počátečních nastavení nebo nosič kryptografických klíčů,

subsystémem kryptografického prostředku zařízení používané bezprostředně s kryptografickým prostředkem a umožňující jeho požadovanou činnost v rámci systému sloužícího k ochraně utajovaných skutečností a jehož hodnocení je součástí certifikace kryptografického prostředku,

kompromitujícím vyzařováním takové vyzařování, zejména elektrické, elektromagnetické, optické a akustické, které svým výskytem může způsobit únik utajovaných skutečností,

bezpečnostním standardem zvláštní právní předpis, jehož obsah je shodný s mezinárodní technickou normou, směrnicí nebo standardem a českou státní normou nebo specifikací vydanou mezinárodní organizací a který stanoví postupy, pokyny, technická řešení, bezpečnostní parametry a organizační opatření na ochranu utajovaných skutečností․

Pro kryptografickou ochranu utajované skutečnosti lze použít jen takový kryptografický prostředek, který byl certifikován Úřadem pro stupeň utajení shodný se stupněm utajení utajované skutečnosti nebo pro stupeň utajení vyšší.

Nasazení kryptografického prostředku a jeho použití se provádí v souladu s bezpečnostními standardy vydanými podle § 8 odst. 1 písm. o) zákona.

V informačním systému, který zpracovává, přenáší, ukládá nebo archivuje (dále jen „nakládá“) utajované skutečnosti klasifikované do různých stupňů utajení, musí být použit kryptografický prostředek, který je certifikován Úřadem pro stupeň utajení shodný s nejvyšším stupněm utajení utajované skutečnosti, se kterým informační systém nakládá, nebo pro stupeň utajení vyšší.

Za bezchybný stav a správné použití kryptografického prostředku odpovídá pracovník kryptografické ochrany utajovaných skutečností.

Úřad zajišťuje používání kryptografické ochrany utajovaných informací Severoatlantické aliance v informačních systémech.

Údaje o provozu nasazeného kryptografického prostředku, který je certifikován pro stupeň utajení „Přísně tajné“ nebo „Tajné“, se vedou v „Knize provozu kryptografického prostředku“.

Klíčové materiály tvoří součást kryptografického prostředku. Způsob manipulace s klíčovými materiály stanoví bezpečnostní standardy.

Nezabezpečené klíčové materiály, materiály bez technické nebo kryptografické ochrany se klasifikují stupněm utajení, který je shodný se stupněm utajení utajované skutečnosti, k jejíž ochraně jsou klíčové materiály určeny, nebo stupněm utajení vyšším.

Zabezpečené klíčové materiály, materiály s technickou nebo kryptografickou ochranou se klasifikují stupněm utajení, který je shodný se stupněm utajení utajované skutečnosti, k jejíž ochraně jsou klíčové materiály určeny, nebo stupněm utajení nižším.

Výroba klíčových materiálů, jejich distribuce a ničení nepoužitých klíčových materiálů se řídí bezpečnostními standardy.

Nepoužité klíčové materiály přidělené Úřadem orgánu státu nebo organizaci musí být vráceny zpět Úřadu, pokud z bezpečnostních standardů nevyplývá jiný postup.

Úřad zajišťuje používání a distribuci klíčových materiálů Severoatlantické aliance.

Zjistí-li statutární orgán, že došlo ke kompromitaci, oznámí tuto skutečnost neprodleně písemně Úřadu.

V případě kompromitace je statutární orgán povinen k zajištění ochrany utajovaných skutečností chráněných kryptografickými prostředky neprodleně přijmout zejména tato opatření:

Pracovník kryptografické ochrany utajovaných skutečností musí být určenou osobou minimálně pro ten stupeň utajení, pro který je certifikován kryptografický prostředek, se kterým tento pracovník jako obsluha pracuje.

Pracovníkem kryptografické ochrany utajovaných skutečností je operátor, speciální obsluha a auditor, jejichž činnost stanoví bezpečnostní standardy.

Úřad nebo jím pověřená organizace zajišťuje přípravu odborné způsobilosti pracovníků kryptografické ochrany.

Odbornou způsobilost pracovníků kryptografické ochrany pro stupně utajení „Vyhrazené“, „Důvěrné“ a „Tajné“ ověřuje Úřad nebo jím pověřená organizace. Odbornou způsobilost pracovníků kryptografické ochrany pro stupeň utajení „Přísně tajné“ ověřuje Úřad.

Pracovníku, který prokáže odbornou způsobilost, vydá Úřad potvrzení o odborné způsobilosti pracovníka kryptografické ochrany utajovaných skutečností, jehož vzor je uveden v příloze č. 1.

Doba platnosti potvrzení o odborné způsobilosti pracovníka kryptografické ochrany utajovaných skutečností je pro stupeň utajení „Vyhrazené“ 6 let a pro stupeň utajení „Důvěrné“, „Tajné“ nebo „Přísně tajné“ 5 let.

Platnost potvrzení o odborné způsobilosti pracovníka kryptografické ochrany utajovaných skutečností zaniká

Úřad stanovuje bezpečnostními standardy kritéria certifikace, požadavky na systémy opatření tvořící kryptografickou ochranu utajovaných skutečností a na kryptografické prostředky, které mohou být použity k zajištění kryptografické ochrany pro jednotlivé stupně utajení utajovaných skutečností.

Kryptografické prostředky musí používat kryptografické algoritmy stanovené bezpečnostními standardy a mezinárodními standardy schválenými Úřadem nebo algoritmy vyvinuté Úřadem.

Systém opatření tvořící kryptografickou ochranu utajovaných skutečností musí zabezpečit utajované skutečnosti před únikem a neoprávněným nakládáním. Systém opatření je nutné aplikovat i na jejich subsystémy.

Kryptografické prostředky používané pro ochranu utajovaných skutečností a jejich subsystémy zpracovávající utajované skutečnosti v otevřeném, tj. nezašifrovaném tvaru nebo nakládající s kryptograficky významnými prvky, musí být odolné proti kompromitaci vlivem kompromitujícího vyzařování.

Odolnost ochrany je ověřována podle bezpečnostních standardů a je odstupňována podle stupně utajení chráněných utajovaných skutečností.

O provedení certifikace kryptografického prostředku pro požadovaný stupeň utajení utajovaných skutečností jsou oprávněni požádat

Certifikace kryptografického prostředku se provádí na základě žádosti. Vzor žádosti o certifikaci kryptografického prostředku je uveden v příloze č. 3.

K žádosti o certifikaci kryptografického prostředku se přikládají

V závislosti na určení použití kryptografického prostředku se k žádosti o jeho certifikaci dále přikládá

Úřad si v případě potřeby může dále vyžádat

Úřad převezme žádost o certifikaci kryptografického prostředku, zkontroluje úplnost dokumentace přiložené podle odstavců 3 a 4 a potvrdí převzetí potřebného počtu kusů kryptografického prostředku. V případě zjištění nedostatků v úplnosti dokumentace přiložené podle odstavců 3 a 4 vyzve Úřad žadatele, aby ve stanoveném termínu nedostatky odstranil. Neodstraní-li žadatel vytčené nedostatky, Úřad certifikaci neprovede a žádost, včetně všech podkladů a kryptografických prostředků, vrátí žadateli. Na tento důsledek musí být žadatel upozorněn.

Bude-li k provedení certifikace potřebné předložit další podklady nebo zabezpečit činnosti uvedené v odstavci 5, vyzve Úřad žadatele o předložení podkladů nebo zabezpečení činností ve stanoveném termínu. Nepředloží-li žadatel požadované podklady nebo nezabezpečí-li požadované činnosti, Úřad v certifikaci nepokračuje a žádost, včetně všech podkladů a kryptografických prostředků, vrátí žadateli. Na tento důsledek musí být žadatel ve výzvě upozorněn.

Hodnocení kryptografického prostředku se provádí posouzením podkladů předložených žadatelem a ověřením shody zjištěných parametrů kryptografického prostředku s bezpečnostními standardy.

Na základě výsledků hodnocení Úřad posoudí způsobilost kryptografického prostředku k ochraně utajovaných skutečností. Zjistí-li Úřad shodu hodnoceného kryptografického prostředku s bezpečnostními standardy, schválí jeho způsobilost a vydá žadateli certifikát. Vzor certifikátu kryptografického prostředku je uveden v příloze č. 4.

Nesplňuje-li hodnocený kryptografický prostředek způsobilost pro požadovaný stupeň utajení a zjistí-li Úřad jeho shodu s bezpečnostními standardy pro nižší než požadovaný stupeň utajení, vydá Úřad certifikát pro tento nižší stupeň utajení.

Uznat certifikát kryptografického prostředku potvrzující ověření a schválení způsobilosti pro ochranu utajovaných skutečností vydaný cizí mocí lze, pouze pokud tak stanoví mezinárodní smlouva, kterou je Česká republika vázána, nebo na základě vzájemnosti a shody hodnotících kritérií. Ve Věstníku Úřadu se uveřejní seznam certifikačních pracovišť cizí moci, jejichž certifikát kryptografického prostředku lze uznat, a seznam kryptografických prostředků certifikovaných cizí mocí, jejichž certifikát byl uznán Úřadem.

Ve Věstníku Úřadu se uveřejní seznam certifikovaných technických prostředků pro jednotlivé stupně utajení s uvedením doby platnosti certifikátu.

Úřad po skončení certifikace vrátí žadateli o certifikaci pouze jím předložené kryptografické prostředky. Žádost o certifikaci kryptografického prostředku, dokumentaci přiloženou k žádosti podle odstavce 3 a další doplňující podklady a údaje potřebné k provedení certifikace vyžádané podle odstavce 5 se žadateli o certifikaci nevracejí a zůstávají součástí certifikačního spisu.

Doba platnosti certifikátu kryptografického prostředku vydaného Úřadem je

Platnost certifikátu kryptografického prostředku zaniká uplynutím doby jeho platnosti nebo rozhodnutím Úřadu v případě, že kryptografický prostředek pozbyl shody s bezpečnostními standardy.

identifikaci kryptografického prostředku včetně označení verze, pro který je vydáván,

identifikaci certifikátu přidělenou Úřadem,

identifikaci držitele,

identifikaci dodavatele,

stupeň utajení utajovaných informací, pro který byla schválena jeho způsobilost,

dobu platnosti certifikátu.

Úřad vede přehled certifikovaných kryptografických prostředků. K certifikovanému kryptografickému prostředku se vede certifikační spis, do kterého se zakládá žádost o certifikaci kryptografického prostředku, dokumentace přiložená k žádosti o certifikaci podle § 9 odst. 3, další doplňující podklady nebo údaje potřebné k provedení certifikace vyžádané podle § 9 odst. 5, výsledky certifikačního řízení a kopie vydaného certifikátu.

Certifikační spis lze skartovat nejdříve po 15 letech ode dne ukončení platnosti certifikace kryptografického prostředku.

Kryptografický prostředek, který byl ke dni účinnosti zákona používán k ochraně státního, hospodářského nebo služebního tajemství podle dosavadní právní úpravy,² kterému bylo nejpozději ke dni předcházejícímu den účinnosti zákona vydáno Ministerstvem vnitra osvědčení nebo u kterého bylo ke dni předcházejícímu den účinnosti zákona schváleno Ministerstvem vnitra jeho používání k ochraně státního, hospodářského a služebního tajemství, se považuje za certifikovaný kryptografický prostředek podle této vyhlášky nejpozději do 31. prosince 2001.

Statutární orgán stanoví, které kryptografické prostředky uvedené v odstavci 1 považuje za certifikované kryptografické prostředky podle této vyhlášky.

Algoritmy, které byly schváleny Ministerstvem vnitra pro použití ve státní správě přede dnem účinnosti této vyhlášky, se považují za algoritmy schválené Úřadem.

Osvědčení pracovníka šifrové služby vydané Ministerstvem vnitra nebo Ministerstvem obrany před nabytím účinnosti této vyhlášky se považuje za potvrzení o odborné způsobilosti pracovníka kryptografické ochrany utajovaných skutečností podle § 7 této vyhlášky. Platnost osvědčení končí, pominou-li podmínky pro jeho vydání, nebo uplynutím doby, na kterou bylo vydáno, nejpozději do 31. prosince 2001.