Informačná bezpečnosť

generálny sekretariát

Bezpečnostný výbor

Otázkami informačnej bezpečnosti sa zaoberá podskupina Bezpečnostného výboru Rady

V rozhodnutí Rady o bezpečnostných predpisoch na ochranu utajovaných skutočností EÚ (EUCI) sa stanovuje, že v rámci komunikačných a informačných systémov sa musí s EUCI manipulovať v súlade s koncepciou informačnej bezpečnosti.

Informačná bezpečnosť v oblasti komunikačných a informačných systémov sa vymedzuje ako presvedčenie, že takéto systémy ochránia informácie, s ktorými sa v nich manipuluje, a budú fungovať tak, ako majú, a vtedy, keď fungovať majú, a to pod dohľadom oprávnených používateľov. Efektívna informačná bezpečnosť musí zaistiť primeranú úroveň dôvernosti, integrity, dostupnosti, nespochybniteľnosti a hodnovernosti.

Utajované skutočnosti EÚ sú zaradené do štyroch úrovní podľa toho, aký závažný je dosah ich zverejnenia:

  • TRÈS SECRET UE/EU TOP SECRET: neoprávnené zverejnenie by mohlo zapríčiniť mimoriadne závažné poškodenie základných záujmov EÚ alebo členských štátov
  • SECRET UE/EU SECRET: neoprávnené zverejnenie by mohlo vážne poškodiť základné záujmy EÚ alebo členských štátov
  • CONFIDENTIEL UE/EU CONFIDENTIAL: neoprávnené zverejnenie by mohlo poškodiť základné záujmy EÚ alebo členských štátov
  • RESTREINT UE/EU RESTRICTED: neoprávnené zverejnenie by mohlo byť nevýhodné z hľadiska záujmov EÚ alebo členských štátov

Kryptografické produkty

Ak ochranu EUCI v rámci komunikačných a informačných systémov zabezpečujú kryptografické produkty, tieto produkty sa musia schvaľovať takto:

a) kryptografické produkty, ktoré chránia dôvernosť utajovaných skutočností so stupňom utajenia SECRET UE/EU SECRET a vyšším schvaľuje Rada na základe odporúčania Bezpečnostného výboru

b) kryptografické produkty, ktoré chránia dôvernosť utajovaných skutočností so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL alebo RESTREINT UE/EU RESTRICTED musí schváliť generálny tajomník Rady na základe odporúčania Bezpečnostného výboru 

Bezpečnostné opatrenia Tempest

V prípade utajovaných skutočností so stupňom utajenia CONFIDENTIEL UE/EU CONFIDENTIAL a vyšším sa musia uplatňovať aj bezpečnostné opatrenia zabraňujúce vyzradeniu takejto skutočnosti prostredníctvom neúmyselného elektromagnetického vyžarovania. Tieto bezpečnostné opatrenia sú známe ako bezpečnostné opatrenia TEMPEST.

Rada Európskej únie sa prostredníctvom svojho generálneho sekretariátu rozhodla zostaviť zoznam akreditovaných spoločností EÚ , ktoré sa zaoberajú uplatňovaním bezpečnostných opatrení TEMPEST (spoločnosti EÚ pre TEMPEST). Cieľom tohto zoznamu je reagovať na rýchlo sa meniace technológie a premeniť tradičný prístup orientovaný na produkty na prístup orientovaný viac na spoločnosti. Bezpečnostný výbor Rady sa s cieľom podporiť vykonávanie tohto bodu dohodol na súbore usmernení na akreditáciu spoločností EÚ pre TEMPEST. 

Potom čo spoločnosť zameraná na opatrenia TEMPEST získa od národného úradu pre TEMPEST status „akreditovanej spoločnosti pre TEMPEST“, môže dostať oprávnenie vykonávať určitý stupeň samocertifikácie. Toto oprávnenie spoločnosti umožňuje udeľovať zariadeniam schválenie, že sú v súlade s uplatniteľnými požiadavkami TEMPEST. Stupeň samocertifikácie závisí od toho, aké hodnotenie spoločnosť dostala od národného úradu pre TEMPEST, a môže byť rôzny.

Ak má spoločnosť, ktorá uplatňuje bezpečnostné opatrenia TEMPEST, záujem byť zahrnutá do zoznamu akreditovaných spoločností EÚ pre TEMPEST, národný úrad pre TEMPEST musí zaslať príslušné informácie úradu GSR pre TEMPEST. Úrad GSR pre TEMPEST si vyhradzuje právo odložiť uverejnenie akreditovanej spoločnosti pre TEMPEST, ak sa vyžadujú doplňujúce informácie.