Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti - HLAVA VIII - KRYPTOGRAFICKÁ OCHRANA
Předpis č. 412/2005 Sb.
Vyhlášené znění
- aktuální znění od 1. 7. 2025 do 1. 7. 2026
- znění od 1. 1. 2025 do 1. 7. 2025
- znění od 1. 1. 2024 do 1. 1. 2025
- znění od 1. 2. 2022 do 1. 1. 2024
- znění od 12. 12. 2020 do 1. 1. 2022
- znění od 11. 12. 2020 do 1. 2. 2022
- znění od 12. 3. 2020 do 1. 1. 2022
- znění od 7. 3. 2018 do 1. 1. 2022
- aktuální znění od 1. 1. 2018
- znění od 1. 8. 2017 do 1. 1. 2018
- aktuální znění od 1. 7. 2017
- aktuální znění od 1. 10. 2016
- znění od 1. 1. 2016 do 1. 10. 2016
- znění od 1. 1. 2015 do 1. 10. 2016
- znění od 1. 1. 2014 do 1. 1. 2015
- znění od 1. 7. 2012 do 1. 1. 2014
- znění od 1. 1. 2012 do 1. 7. 2012
- Zobrazeno vyhlášené znění od 18. 10. 2005 do 1. 1. 2006 další verze
412/2005 Sb. Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti
Hlava VIII
Kryptografická ochrana
§ 37
(1) Kryptografickým materiálem je kryptografický prostředek, klíčový materiál nebo kryptografická písemnost.
(2) Kryptografickým prostředkem je utajovaný technický prostředek nebo softwarový produkt používaný ke kryptografické ochraně nebo prostředek nebo zařízení používané k výrobě nebo testování klíčového materiálu. Kryptografický prostředek musí být certifikován Úřadem [§ 46 odst. 1 písm. c)].
(3) Klíčovým materiálem je kryptografický klíč na odpovídajícím nosiči. Kryptografickým klíčem je utajovaný proměnný parametr nezbytný k jednoznačnému zašifrování, dešifrování nebo autentizaci dat.
(4) Kryptografickou písemností je listina nebo nosné médium obsahující utajované informace kryptografické ochrany.
(5) Kryptografickým pracovištěm je pracoviště určené k výrobě nebo testování klíčových materiálů, ukládání kryptografického materiálu nebo k distribuci a evidenci kryptografického materiálu. Kryptografické pracoviště musí splňovat bezpečnostní standardy a musí být do provozu schváleno odpovědnou osobou.
(6) Kryptografické pracoviště určené k výrobě nebo testování klíčového materiálu nebo které je centrálním distribučním a evidenčním místem kryptografického materiálu orgánu státu, právnické osoby nebo podnikající fyzické osoby, musí být před schválením do provozu odpovědnou osobou certifikováno Úřadem [§ 46 odst. 1 písm. d)].
(7) Orgán státu, právnická osoba a podnikající fyzická osoba, které vykonávají kryptografickou ochranu, musí vést evidence kryptografického materiálu, pracovníků kryptografické ochrany, provozní obsluhy kryptografických prostředků a kurýrů kryptografického materiálu.
(8) Evidence podle odstavce 7 musí být vedeny v administrativních pomůckách kryptografické ochrany.
(9) Administrativními pomůckami kryptografické ochrany se rozumí pomůcky pro evidování, předávání, přebírání a jiné zaznamenávání pohybu kryptografického materiálu a pomůcky pro evidování pracovníků kryptografické ochrany, provozní obsluhy kryptografického prostředku a kurýrů kryptografického materiálu.
§ 38
Výkon kryptografické ochrany
(1) Výkonem kryptografické ochrany se rozumí
a) její bezpečnostní správa,
b) speciální obsluha kryptografického prostředku, nebo
c) výroba klíčového materiálu.
(2) Výkon kryptografické ochrany provádí pracovník kryptografické ochrany, který je
a) k výkonu kryptografické ochrany pověřen odpovědnou osobou,
b) držitelem platného osvědčení fyzické osoby a
c) držitelem osvědčení o zvláštní odborné způsobilosti pracovníka kryptografické ochrany (dále jen "osvědčení o zvláštní odborné způsobilosti").
§ 39
Zvláštní odborná způsobilost pracovníka kryptografické ochrany a zkouška zvláštní odborné způsobilosti
(1) Zvláštní odborná způsobilost pracovníka kryptografické ochrany (dále jen "zvláštní odborná způsobilost") se ověřuje zkouškou zvláštní odborné způsobilosti (dále jen "odborná zkouška") a prokazuje se osvědčením o zvláštní odborné způsobilosti.
(2) Zvláštní odborná způsobilost zahrnuje souhrn znalostí právních a provozních předpisů a bezpečnostních standardů z oblasti kryptografické ochrany utajovaných informací a schopnost jejich aplikace.
(3) Odbornou zkouškou se ověřuje úroveň teoretických a praktických znalostí podle odstavce 2.
(4) Odborná zkouška se skládá u Úřadu nebo u jím pověřeného orgánu státu [§ 137 písm. q)], a to před zkušební komisí. Zkušební komisi jmenuje ředitel Úřadu nebo odpovědná osoba pověřeného orgánu státu a má 3 členy, včetně jejího předsedy.
(5) Přihlášku k odborné zkoušce podává písemně odpovědná osoba orgánu státu nebo podnikatele u Úřadu nebo u jím pověřeného orgánu státu, který podané přihlášky eviduje podle data doručení. Odborná zkouška se musí konat do 6 měsíců od podání přihlášky. Úřad nebo jím pověřený orgán státu písemně oznámí tomu, kdo o odbornou zkoušku požádal, termín a místo konání odborné zkoušky; oznámení musí být odesláno nejpozději 20 dnů přede dnem konání odborné zkoušky. Ten, kdo při odborné zkoušce nevyhověl, ji může vykonat opakovaně. Opakovaná zkouška může být vykonána nejdříve po uplynutí 5 pracovních dnů ode dne neúspěšně vykonané zkoušky.
(6) Osvědčení o zvláštní odborné způsobilosti vydává Úřad nebo jím pověřený orgán státu na dobu 5 let. Úřad nebo jím pověřený orgán státu vede evidenci těchto osvědčení.
(7) K provádění odborné zkoušky a vydávání osvědčení o zvláštní odborné způsobilosti může Úřad uzavřít s orgánem státu smlouvu podle § 52 o zajištění těchto činností.
§ 40
Provozní obsluha kryptografického prostředku
(1) Provozní obsluhou kryptografického prostředku se rozumí výkon uživatelských funkcí kryptografického prostředku.
(2) Osoba, která provádí provozní obsluhu kryptografického prostředku podle odstavce 1, musí
a) být k této obsluze pověřena odpovědnou osobou nebo jí pověřenou osobou,
b) splňovat podmínky přístupu k utajované informaci podle § 6 odst. 1 nebo § 11 odst. 1 a
c) být k této obsluze zaškolena.
§ 41
Manipulace s kryptografickým materiálem
(1) Manipulací s kryptografickým materiálem se rozumí způsob přenášení, přepravy, zapůjčování, ukládání nebo jiného nakládání s ním, včetně jeho vyřazování.
(2) Kryptografický materiál lze evidovat a manipulovat s ním jen způsobem a prostředky, které zajistí ochranu kryptografického materiálu a splňují požadavky, které stanoví prováděcí právní předpis.
§ 42
Přeprava kryptografického materiálu a vývoz kryptografického prostředku
(1) Přepravu kryptografického materiálu provádí kurýr kryptografického materiálu. Kurýrem kryptografického materiálu je osoba, která
a) byla k přepravě pověřena odpovědnou osobou,
b) je držitelem platného osvědčení fyzické osoby, nejméně pro stupeň utajení přepravovaného kryptografického materiálu,
c) byla k přepravě zaškolena.
(2) Přepravu kryptografického materiálu stupně utajení Přísně tajné, Tajné a Důvěrné provádí kurýr kryptografického materiálu v doprovodu nejméně 1 osoby, která musí být k této činnosti pověřena odpovědnou osobou nebo jí k pověřování zmocněnou osobou a která musí být kurýrem poučena o způsobu a prostředcích přepravy.
(3) Z území České republiky lze vyvážet certifikovaný kryptografický prostředek [§ 46 odst. 1 písm. c)] pouze na základě povolení Úřadu. Za vývoz se nepovažuje používání certifikovaného kryptografického prostředku mimo území České republiky orgánem státu.
(4) Povolení podle odstavce 3 lze udělit na základě písemné žádosti. Povolení se vydává na vývoz konkrétního kryptografického prostředku a obsahuje též účel vývozu. Úřad povolení nevydá, jestliže by vývozem byla ohrožena utajovaná informace České republiky nebo utajovaná informace, k jejíž ochraně se Česká republika zavázala; tuto skutečnost písemně oznámí žadateli o povolení. Na udělení povolení není právní nárok.
(5) Úřad vede evidenci povolení udělených podle odstavce 3.
§ 43
Kompromitace kryptografického materiálu
(1) Kompromitací kryptografického materiálu se rozumí nakládání s kryptografickým materiálem, které způsobilo nebo by mohlo způsobit porušení ochrany utajované informace.
(2) Kompromitaci kryptografického materiálu je orgán státu, právnická osoba nebo podnikající fyzická osoba povinna neprodleně oznámit Úřadu.
§ 44
Zmocňovací ustanovení
Prováděcí právní předpis stanoví
a) náležitosti přihlášky k odborné zkoušce,
b) podrobnosti složení a jednání zkušební komise,
c) způsob provádění, organizování a hodnocení odborné zkoušky,
d) vzor osvědčení o zvláštní odborné způsobilosti,
e) minimální požadavky na zajištění bezpečnostní správy kryptografické ochrany,
f) podrobnosti zajišťování provozu kryptografického prostředku,
g) způsob zaškolování provozní obsluhy kryptografického prostředku a kurýra kryptografického materiálu a vzor potvrzení o zaškolení provozní obsluhy kryptografického prostředku a kurýra kryptografického materiálu,
h) podrobnosti způsobu vyznačování náležitostí na utajované informaci z oblasti kryptografické ochrany, zejména podle druhu kryptografického materiálu,
i) druhy a náležitosti administrativních pomůcek kryptografické ochrany a požadavky na vedení těchto pomůcek,
j) bližší požadavky na způsob a prostředky manipulace s kryptografickým materiálem,
k) obsah žádosti pro udělení povolení pro vývoz certifikovaného kryptografického prostředku z území České republiky a náležitosti povolení.
Kompromitující elektromagnetické vyzařování
§ 45
(1) Kompromitující elektromagnetické vyzařování je elektromagnetické vyzařování elektrických a elektronických zařízení, které by mohlo způsobit únik utajované informace stupně utajení Přísně tajné, Tajné nebo Důvěrné.
(2) Ochranou utajovaných informací před jejich únikem kompromitujícím elektromagnetickým vyzařováním je zabezpečení elektrických a elektronických zařízení, zabezpečené oblasti nebo objektu.
(3) Je-li ochrana utajované informace před únikem kompromitujícím elektromagnetickým vyzařováním zabezpečena stínicí komorou, musí být tato komora certifikována Úřadem [§ 46 odst. 1 písm. e)].
(4) Stínicí komorou je uzavřený elektromagneticky stíněný prostor zabraňující šíření elektromagnetického vyzařování mimo tento prostor.
(5) Ověřování způsobilosti elektrických a elektronických zařízení, zabezpečené oblasti nebo objektu k ochraně před únikem utajované informace kompromitujícím elektromagnetickým vyzařováním zajišťuje Úřad při certifikaci informačního systému nebo kryptografického prostředku nebo na základě písemné žádosti orgánu státu nebo podnikatele.
(6) K provádění měření možného úniku utajovaných informací podle odstavce 5 může Úřad uzavřít s orgánem státu nebo podnikatelem smlouvu podle § 52 o zajištění této činnosti.
(7) K provádění měření zařízení, zabezpečené oblasti nebo objektu podle odstavce 5, které jsou provozovány nebo užívány zpravodajskými službami, jsou oprávněny zpravodajské služby. V těchto případech není vyžadováno uzavření smlouvy podle § 52. Pro potřeby certifikace informačního systému nebo kryptografického prostředku předají zpravodajské služby Úřadu protokoly o provedeném měření včetně jeho výsledku.
(8) Při provádění měření podle odstavce 7 jsou zpravodajské služby povinny dodržovat ustanovení tohoto zákona, prováděcích právních předpisů a bezpečnostních standardů Úřadu.
ČLÁNKY DO MAILU