14. Ochrana utajovaných informací

Druhá část zákona specifikuje opatření, která mají zabránit, aby se s utajovanou informací seznámila neoprávněná osoba. Zákon vymezuje celkem šest druhů zajištění ochrany utajovaných informací.

Personální bezpečnost stanoví podmínky, které musí splňovat fyzická osoba, aby mohla mít přístup k utajované informaci. Fyzické osobě lze umožnit přístup k utajované informaci, jestliže jej nezbytně potřebuje k výkonu své funkce, pracovní nebo jiné činnosti, a je držitelem dokumentu stvrzujícího splnění podmínek pro přístup k utajovaným informacím a to buď oznámení o splnění podmínek pro přístup k utajované informaci stupně utajení Vyhrazené (dále jen „oznámení“), které vydává příslušná odpovědná osoba, nebo v případě utajované informace stupně utajení Důvěrné a vyšší osvědčení fyzické osoby pro příslušný stupeň utajení, které vydává NBÚ. Před prvním přístupem k utajované informaci musí být fyzická osoba poučena o právech a povinnostech v oblasti ochrany utajovaných informací a o následcích jejich porušení. Vydané oznámení pro přístup k utajované informaci stupně utajení Vyhrazené není časově omezeno a ten, kdo oznámení vydal, je povinen ověřovat každých 5 let, zda fyzická osoba splňuje stanovené podmínky. Pokud taková osoba přejde k jinému zaměstnavateli, a i nadále má mít přístup k utajované informaci stupně utajení Vyhrazené, přechází ověřování podmínek na něj. Naproti tomu platnost osvědčení fyzické osoby pro přístup ke všem stupňům utajení je časově omezena: pro stupeň utajení Přísně tajné na 5 let, pro stupeň utajení Tajné 7 na let a pro stupeň utajení Důvěrné na 9 let. Po zániku platnosti osvědčení fyzické osoby je tato fyzická osoba v konkrétních případech stanovených zákonem povinna do 15 dnů své osvědčení fyzické osoby odevzdat tomu, kdo osvědčení vydal.

Průmyslová bezpečnost stanoví podmínky pro přístup podnikatele k utajované informaci a určuje pravidla pro zajištění nakládání s utajovanou informací u podnikatele v souladu se zákonem včetně stanovení formy přístupu podnikatele k utajované informaci, zda bude utajovanou informaci vytvářet nebo k ní bude mít jen přístup. V návaznosti na formě přístupu k utajované informaci jsou u podnikatele i odlišně nastavena opatření k ochraně utajovaných informací.

Administrativní bezpečnost upravuje celý průběh „života“ utajované informace, a to od jejího vzniku až po její zničení nebo případnou archivaci; jedná se zejména o způsob označování, evidence, přepravy, přenášení, přebírání nebo zapůjčování utajované informace včetně stanovení administrativních pomůcek pro tyto účely i způsoby její likvidace. Archivace utajované informace je podřízena režimu, který stanoví zákon o archivnictví a spisové službě, přičemž výběr archiválií, u nichž nebyl zrušen stupeň utajení nebo nelze stupeň utajení zrušit, provádějí příslušné bezpečnostní archivy zřízené podle tohoto zákona. Z utajované informace je rovněž možné vyhotovit opis, kopii nebo překlad nebo výpis z ní, a to na základě písemného souhlasu původce v případě utajované informace stupně utajení Přísně tajné nebo na základě písemného souhlasu přímo nadřízené osoby v případě utajované informace stupně utajení Tajné nebo Důvěrné; pro stupeň utajení Vyhrazené tento souhlas není nutný, je však vždy potřebné mít opis, kopii, překlad či výpis správně evidovaný včetně evidence osob, které k ní měly přístup.

Fyzická bezpečnost zahrnuje systém opatření, která ztěžují nebo brání – pomocí např. mechanických zábranných prostředků – neoprávněným osobám v přístupu k utajované informaci, nebo které pokus o neoprávněný přístup anebo neoprávněný přístup k utajované informací zaznamenávají opatřeními fyzické bezpečnosti, kterými je ostraha, režimová opatření a technické prostředky a jejich kombinace. Fyzická bezpečnost se zabývá rovněž certifikací technických prostředků.

Převážná část posledních dvou opatření je v kompetenci Národního úřadu pro kybernetickou a informační bezpečnost.

Bezpečnost informačních a komunikačních systémů vymezuje pravidla pro práci s utajovanou informací v informačních a komunikačních systémech, jejichž cílem je zajištění důvěrnosti, integrity a dostupnosti utajované informace.

Kryptografická bezpečnost stanoví podmínky šifrování utajované informace, pro certifikaci kryptografických prostředků, kterými se utajovaná informace šifruje včetně schvalování osob, které s kryptografickými prostředky mohou nakládat.