Zákon o ochraně utajovaných skutečností a o změně některých zákonů - HLAVA ŠESTÁ - PROSTŘEDKY OCHRANY UTAJOVANÝCH SKUTEČNOSTÍ

HLAVA ŠESTÁ

PROSTŘEDKY OCHRANY UTAJOVANÝCH SKUTEČNOSTÍ

§ 47

Personální bezpečnost

(1) Personální bezpečnost tvoří systém opatření, jehož cílem je, aby se s utajovanými skutečnostmi seznamovala pouze fyzická osoba uvedená v § 17 odst. 1. Součástí personální bezpečnosti jsou rovněž opatření zajišťující ochranu této osoby.

(2) Úřad stanoví právním předpisem výběr navrhovaných osob, výchovu určených osob, vzory tiskopisů v oblasti personální bezpečnosti a způsob jejich vyplňování.

§ 48

Administrativní bezpečnost

(1) Administrativní bezpečnost tvoří systém opatření, jehož cílem je ochrana utajovaných skutečností při jejich tvorbě, příjmu, evidenci, zpracovávání, přepravě, ukládání, vyřazování, skartaci a archivaci, případně i jiné manipulaci.

(2) Úřad stanoví právním předpisem postupy při tvorbě, evidenci, přenášení, přepravě, zapůjčování, ukládání, jiné manipulaci a skartaci utajovaných písemností.

§ 49

Objektová bezpečnost

(1) Objektovou bezpečnost tvoří systém opatření, jehož cílem je zabránit nepovolané osobě v přístupu do objektů nebo prostor, kde se vyskytují utajované skutečnosti, nebo zabránit poškození, znehodnocení, zničení či jinému ohrožení utajované skutečnosti.

(2) Úřad stanoví právním předpisem způsoby zabezpečení ochrany objektů, použití technických prostředků, podmínky nasazení fyzické ochrany a stanovení režimových opatření.

§ 50

Technická bezpečnost

(1) Technickou bezpečnost tvoří systém opatření k zabezpečení ochrany utajovaných skutečností technickými prostředky.

(2) K ochraně utajovaných skutečností musí být používány technické prostředky certifikované Úřadem nebo jím pověřenou organizací. Ostatní technické prostředky lze použít pouze doplňkově a za podmínky, že jejich užitím nedojde ke snížení úrovně ochrany požadované pro daný stupeň utajení.

(3) Seznam certifikovaných technických prostředků je uveden ve věstníku Úřadu.

(4) Úřad stanoví právním předpisem systém opatření, technické prostředky a způsob jejich použití při ochraně utajovaných skutečností.

§ 51

Bezpečnost informačních systémů

(1) Bezpečnost informačních systémů tvoří systém opatření k zabezpečení ochrany utajovaných skutečností v informačních systémech.

(2) Informační systémy používané k nakládání s utajovanými skutečnostmi jsou povinně certifikovány Úřadem nebo jím pověřenou organizací.

(3) Úřad stanoví právním předpisem požadavky na bezpečnost informačních systémů nakládajících s utajovanými skutečnostmi a minimální požadavky v oblasti počítačové bezpečnosti.

§ 52

Kryptografická ochrana

(1) Kryptografickou ochranu utajovaných skutečností tvoří systém opatření na ochranu těchto skutečností pomocí kryptografických metod při zpracování, přenosu, ukládání a archivaci utajovaných skutečností v přenosových, výpočetních a informačních systémech.

(2) Kryptografická ochrana utajovaných skutečností je zajišťována odborně způsobilými pracovníky a kryptografickými prostředky.

(3) Odbornou způsobilost pracovníků kryptografické ochrany utajovaných skutečností ověřuje Úřad nebo jím pověřená organizace.

(4) K ochraně utajovaných skutečností musí být používány kryptografické prostředky certifikované Úřadem.

(5) Úřad stanoví právním předpisem způsoby použití, nasazování a evidence kryptografických prostředků a rovněž používání klíčových materiálů a zjišťování odborné způsobilosti pracovníků kryptografické ochrany utajovaných skutečností.

§ 53

Certifikace

(1) Certifikací se rozumí proces ověřování a schvalování způsobilosti technických prostředků, informačních systémů a kryptografických prostředků používaných při ochraně utajovaných skutečností. Certifikací se zjišťuje shoda technických prostředků, informačních systémů a kryptografických prostředků s bezpečnostními standardy.

(2) Certifikaci provádí Úřad nebo jím pověřená organizace.

(3) Úřad stanoví právním předpisem postupy a způsoby certifikačního procesu a náležitosti certifikátů.

§ 54

Průmyslová bezpečnost

(1) Průmyslovou bezpečnost tvoří systém opatření na ochranu utajovaných skutečností uplatňovaný u organizací.

(2) Průmyslovou bezpečnost jsou povinny dodržovat organizace, kterým jsou utajované skutečnosti poskytnuty nebo u kterých utajované skutečnosti vznikají.

(3) Utajované skutečnosti mohou být poskytovány pouze organizaci, které bylo Úřadem vydáno potvrzení.

(4) Lze-li důvodně předpokládat, že v organizaci budou utajované skutečnosti vznikat nebo se s nimi organizace bude seznamovat, je tato organizace povinna požádat Úřad o vydání potvrzení.

(5) Úřad stanoví právním předpisem způsob a postup ověřování bezpečnostní spolehlivosti organizace, vzor bezpečnostního dotazníku organizace a způsob jeho vyplňování, vzory dalších tiskopisů a potvrzení.

Podmínky pro vydání potvrzení

§ 55

Potvrzení lze vydat organizaci, která

a) je způsobilá zabezpečit ochranu utajovaných skutečností,

b) je ekonomicky stabilní,

c) je bezpečnostně spolehlivá.

§ 56

Za organizaci nezpůsobilou zabezpečit ochranu utajovaných skutečností je považována organizace, která není schopna dodržovat ochranu utajovaných skutečností v souladu s tímto zákonem.

§ 57

Ekonomicky stabilní není organizace

a) v likvidaci,

b) na jejíž majetek byl prohlášen konkurs,

c) na jejíž majetek bylo povoleno vyrovnání,

d) která neplní finanční povinnosti vůči státu, nebo

e) která závažným způsobem nebo opakovaně neplní finanční závazky vůči fyzickým osobám nebo organizacím.

§ 58

(1) Za bezpečnostně spolehlivou není považována organizace, u které bylo zjištěno bezpečnostní riziko.

(2) Za bezpečnostní riziko lze označit

a) činnost proti zájmům České republiky nebo zájmům, k jejichž ochraně se Česká republika zavázala,

b) zahraniční vazby, které by mohly způsobit újmu zahraničně politickým nebo bezpečnostním zájmům České republiky, nebo

c) personální nestabilitu ve vedoucích funkcích nebo orgánech organizací.

§ 59

(1) Bezpečnostní prověrkou organizace se ověřuje, zda organizace splňuje podmínky podle § 55.

(2) Bezpečnostní prověrku organizace zajišťuje Úřad na základě žádosti statutárního orgánu o vydání potvrzení.

(3) Žádost o vydání potvrzení obsahuje

a) písemné zdůvodnění žádosti,

b) bezpečnostní projekt organizace,

c) vyplněný bezpečnostní dotazník organizace,

d) doklady nebo jejich ověřené kopie¹³) dosvědčující správnost údajů uvedených v bezpečnostním dotazníku.

(4) Bezpečnostní prověrku organizace tvoří tato opatření

a) posouzení bezpečnostního projektu Úřadem,

b) posouzení bezpečnostní politiky Úřadem,

c) prověření hodnověrnosti údajů uvedených v bezpečnostním dotazníku organizace a bezpečnostním projektu organizace provedené Policií České republiky, Bezpečnostní informační službou nebo Vojenským zpravodajstvím a dalšími orgány státu na žádost Úřadu,

d) ověření schopnosti organizace dodržovat ochranu utajovaných skutečností Úřadem; na žádost Úřadu může toto ověření provést Bezpečnostní informační služba nebo Vojenské zpravodajství,

e) vyhodnocení předložených materiálů, získaných podkladů a stanovisek Úřadem.

(5) Organizace je povinna k zajištění opatření podle odstavce 4 písm. b), c) a d) umožnit příslušným orgánům vstup do objektů, zařízení, provozů nebo jiných prostor a na pozemky, předložit potřebné doklady a poskytnout pravdivé a úplné informace o zjišťovaných skutečnostech.

§ 60

(1) Bezpečnostní projekt organizace je projekt systému ochrany utajovaných skutečností u organizace.

(2) Bezpečnostní projekt organizace obsahuje zejména způsob realizace její bezpečnostní politiky, aplikaci opatření personální, administrativní, objektové, organizační a technické bezpečnosti, bezpečnostních standardů a rovněž seznam osob, které se budou s utajovanými skutečnostmi seznamovat.

§ 61

(1) Bezpečnostní dotazník organizace obsahuje

a) identifikační údaje organizace uvedené v Obchodním rejstříku, včetně změn za posledních pět let,

b) přehled peněžních ústavů, u kterých organizace založila účet v posledních třech letech, a čísla těchto účtů,

c) přehled vlastních i pronajatých budov a pozemků organizace v České republice i zahraničí,

d) přehled zahraničních společníků organizace v posledních pěti letech,

e) údaje o čistém obchodním jmění organizace,

f) přehled ročních účetních uzávěrek za posledních pět let,

g) údaje o výši hospodářského výsledku před zdaněním nebo ztrátě v posledních třech letech,

h) přehled poskytnutých i splacených půjček a úvěrů v posledních pěti letech,

i) přehled zastavení movitého i nemovitého majetku,

j) údaje o podání návrhu na konkurs nebo vyrovnání a rozhodnutí o konkursu nebo vyrovnání nebo údaje o vstupu do likvidace,

k) písemné zprávy auditora o ověření účetní závěrky za poslední tři roky, pokud byly zpracovány,

l) přehled veřejných zakázek, obchodních smluv, jejichž předmět plnění obsahuje utajované skutečnosti u obchodních smluv, které svým finančním objemem přesahují jedno procento obratu organizace, za poslední tři roky,

m) název a sídlo daňového poradce,

n) přehled uskutečněných obchodů nad 500000 Kč se zahraničními partnery v posledních třech letech,

o) seznam zaměstnanců, kteří nejsou státními občany České republiky,

p) seznam vedoucích pracovníků, se kterými byl v posledních třech letech rozvázán pracovní poměr.

(2) Organizace je povinna hlásit Úřadu vždy k 1. dubnu a 1. říjnu kalendářního roku všechny změny údajů v bezpečnostním dotazníku organizace. Tato povinnost trvá po dobu platnosti potvrzení.

Potvrzení

§ 62

(1) V případě, kdy bezpečnostní prověrka organizace prokáže, že organizace podmínky uvedené v § 55 splňuje pro požadovaný stupeň utajení, Úřad vydá a zašle organizaci potvrzení.

(2) V případě, že bezpečnostní prověrka organizace prokáže, že organizace podmínky uvedené v § 55 nesplňuje, Úřad potvrzení nevydá a toto organizaci oznámí. Důvody nevydání potvrzení Úřad v oznámení neuvádí.

(3) Doba platnosti potvrzení je pět let a lze ji na základě písemné žádosti organizace opakovaně prodloužit. Žádost o prodloužení předkládá organizace Úřadu nejméně šest měsíců před uplynutím platnosti potvrzení. Úřad je oprávněn vyžádat si předložení potřebných dokladů podle § 59 odst. 3 a ověřit si provedení potřebných opatření, zda organizace splňuje podmínky podle § 55.

(4) Organizace je oprávněna se seznamovat s utajovanými skutečnostmi toho stupně utajení, na který bylo vydáno potvrzení, nebo stupně utajení nižšího.

(5) Vyskytnou-li se po vydání potvrzení skutečnosti nasvědčující tomu, že organizace přestala splňovat některou z podmínek uvedených v § 55, je Úřad oprávněn zajistit a provést opatření potřebná k ověření těchto skutečností.

(6) Zjistí-li Úřad, že organizace, které bylo vydáno potvrzení, přestala splňovat některou z podmínek uvedenou v § 55 nebo hrubým způsobem nebo opakovaně porušila povinnost v oblasti ochrany utajovaných skutečností, Úřad oznámí tuto skutečnost organizaci.

§ 63

(1) Platnost potvrzení zaniká

a) uplynutím doby platnosti,

b) zánikem organizace, nebo

c) oznámením podle § 62 odst. 6.

(2) Zánikem platnosti potvrzení zaniká oprávnění užívat certifikát.

(3) O zániku platnosti potvrzení z důvodů uvedených v odstavci 1 písm. a) nebo b) je organizace povinna vyrozumět Úřad.

(4) Zanikla-li platnost potvrzení podle odstavce 1 písm. b) nebo c), je organizace povinna jej odevzdat do pěti pracovních dnů ode dne oznámení o tomto zániku Úřadu. Současně je povinna odevzdat i certifikát, byl-li organizaci vydán.

(5) V případě zániku platnosti potvrzení vydaného organizaci, které jsou utajované skutečnosti poskytovány, je její statutární orgán povinen odevzdat všechny utajované skutečnosti tomu, kdo utajované skutečnosti poskytl, nelze-li tak učinit, zajistit ochranu utajovaných skutečností před neoprávněným nakládáním podle pokynů Úřadu.

(6) V případě zániku platnosti potrvrzení vydaného organizaci, ve které utajované skutečnosti vznikají, je její statutární orgán povinen zajistit ochranu utajovaných skutečností před neoprávněným nakládáním podle pokynů Úřadu.

§ 64

Úřad vede seznam organizací, kterým bylo vydáno potvrzení, a organizací, kterým platnost potvrzení zanikla. Uvedený seznam je zveřejňován ve věstníku Úřadu.

§ 65

(1) Spis o bezpečnostní prověrce organizace obsahuje žádost o vydání potvrzení a údaje získané při bezpečnostní prověrce organizace.

(2) Spis o bezpečnostní prověrce organizace zakládá, vede, doplňuje, eviduje a vyřazuje Úřad.

(3) Spis o bezpečnostní prověrce organizace je nutno chránit před neoprávněným nakládáním. Údaje uvedené v tomto spisu je možné využívat pouze pro potřeby bezpečnostní prověrky.

(4) Spis o bezpečnostní prověrce organizace se vyřazuje po uplynutí 20 let od zániku organizace.

§ 66

(1) Bezpečnostní spis organizace obsahuje

a) žádost o vydání potvrzení,

b) potvrzení,

c) případné změny.

(2) Bezpečnostní spis organizace zakládá, vede, doplňuje, eviduje a vyřazuje její statutární orgán.

(3) Bezpečnostní spis organizace je nutno chránit před neoprávněným nakládáním.