Този документ е средство за документиране и не обвързва институциите

за изменение на нейния процедурен правилник

Разпоредбите на Комисията относно сигурността, чийто текст е приложен към настоящото решение, се добавят към процедурния правилник на Комисията като приложение.

Настоящото решение влиза в сила в деня на публикуването му в Официален вестник на Европейските общности.

РАЗПОРЕДБИ НА КОМИСИЯТА ОТНОСНО СИГУРНОСТТА

Правилата на Комисията относно сигурността са посочени в приложението.

1. Членът на Комисията, който отговаря за въпросите на сигурността, предприема подходящи мерки, с които да се гарантира, че при работа с класифицирана информация на ЕС в рамките на Комисията, както и във всички сгради на Комисията, включително нейните представителства и служби в съюза и делегациите ѝ в трети страни, посочените в член 1 правила се спазват от длъжностните лица и останалите служители на Комисията, от командированите в Комисията служители и от външните за Комисията изпълнители.

Когато даден договор или грантово споразумение между Комисията и външен изпълнител или бенефициер предполага обработка на класифицирана информация на ЕС в помещенията на изпълнителя или на бенефициера, трябва да бъдат взети подходящи мерки от съответния външен изпълнител или бенефициер, за да се гарантира, че при обработката на класифицирана информация на ЕС се спазват правилата, посочени в член 1. Те представляват неразделна част от договора или грантовото споразумение.

2. Държавите-членки, другите институции, органи, служби и агенции, които са създадени по силата или въз основа на учредителните договори, имат право да получават класифицирана информация на ЕС, при условие че гарантират, че при работа с класифицирана информация на ЕС в техните служби и помещения се спазват строго еквивалентни правила на посочените в член 1, и по-специално от:

Трети страни, международни организации и други органи имат право да получават класифицирана информация на ЕС, при условие че гарантират, че при работа с такава информация се спазват строго еквивалентни правила с тези, посочени в член 1.

При съблюдаване на основните принципи и минималните стандарти за сигурност, които се съдържат в част I от приложението, членът на Комисията, който отговаря за въпросите на сигурността, може да предприема мерки в съответствие с част II от приложението.

Считано от датата на тяхното прилагане, настоящите разпоредби заменят:

Считано от датата на прилагане на настоящите разпоредби, цялата класифицирана информация, която до тази дата се държи от Комисията, с изключение на класифицирана информация на Евратом:

ЧАСТ I: ОСНОВНИ ПРИНЦИПИ И МИНИМАЛНИ СТАНДАРТИ ЗА СИГУРНОСТ

Настоящите разпоредби определят основните принципи и минималните стандарти за сигурност, които трябва да се спазват по подходящ начин от Комисията на всички нейни работни места, както и от всички получатели на класифицирана информация на ЕС (EUCI) така, че да се защитава сигурността и всички да могат да бъдат сигурни, че е установен общ стандарт за сигурност.

Политиката за сигурност на Комисията представлява неразделна част от общата ѝ политика за вътрешно управление, поради което се основава на принципите, които уреждат общата ѝ политика.

Настоящите принципи включват законосъобразност, прозрачност, отговорност и субсидиарност (пропорционалност).

Принципът на законосъобразност показва необходимостта от стриктно придържане към правната рамка при изпълнението на функции във връзка със сигурността и необходимостта от спазване на законовите изисквания. Той означава също, че отговорностите в сферата на сигурността трябва да се основават на съответни нормативни разпоредби. С пълна сила се прилагат разпоредбите в Правилника за длъжностните лица на ЕО, най-вече разпоредбите на член 17 относно задължението на служителите да проявяват дискретност по отношение на информацията на Комисията и разпоредбите в дял VI от Правилника относно дисциплинарните мерки. Накрая, този принцип означава, че нарушенията на разпоредбите за сигурност в рамките на отговорността на Комисията трябва да се третират по начин, който съответства на политиката на Комисията относно дисциплинарните мерки и на политиката ѝ на сътрудничество с държавите-членки в областта на наказателното правораздаване.

Принципът на прозрачност показва необходимостта от яснота на всички правила и разпоредби за сигурност, за баланс между различните служби и области (физическа сигурност спрямо защита на информацията и т.н.) и необходимостта от последователна и структурирана политика за сигурност. Той също определя необходимостта от ясни писмени насоки за прилагането на мерки за сигурност.

Принципът на отговорност означава, че ще бъдат ясно определени отговорностите в сферата на сигурността. Освен това той показва необходимостта от редовна проверка на правилното изпълнение на тези отговорности.

Принципът на субсидиарност или пропорционалност означава, че сигурността се организира на най-ниското възможно равнище и във възможно най-тясна връзка с генералните дирекции и службите на Комисията. Той показва също, че дейностите във връзка със сигурността се ограничават само до онези елементи, които действително се нуждаят от това. И накрая, той означава, че мерките за сигурност са пропорционални на интересите, които трябва да се защитят и на действителната или потенциалната заплаха за тези интереси, и позволяват защита, която причинява възможно най-малко сътресения.

Сигурността на информацията има следните главни цели:

Комисията гарантира, че се спазват общи минимални стандарти за сигурност от всички получатели на класифицирана информация на ЕС (EUCI), вътре в институцията и в службите и лицата от нейната компетенция, например от всички отдели и изпълнители, така че класифицираната информация на ЕС да може да се предава с увереността, че при работата с нея ще се полага аналогична грижа. Тези минимални стандарти включват критерии за проверка на персонала преди предоставяне на достъп до секретни материали и процедури за защита на класифицираната информация на ЕС.

Комисията разрешава достъп до класифицирана информация на ЕС на външни органи само при условие че те гарантират, че при работата с тази информация се спазват разпоредби, които са най-малко строго аналогични на настоящите минимални стандарти.

Тези минимални стандарти също се прилагат, когато Комисията повери чрез договор или грантово споразумение на промишлени или други обекти задачи, които включват, изискват и/или съдържат класифицирана информация на ЕС: тези общи минимални стандарти са изложени в част II, раздел 27.

Сигурността в Комисията е организирана на две нива:

6.1. Проверка на персонала преди предоставяне на достъп до секретни материали

На всички лица, които изискват достъп до информация, която е класифицирана като ►M1 RESTREINT UE ◄ ИНФОРМАЦИЯ НА ЕС или с по-висока степен на класифициране, се извършва подходяща проверка, преди да им бъде разрешен достъп. Подобна проверка се изисква в случай на лица, чиито задължения включват техническа експлоатация или поддръжка на комуникационни и информационни системи, в които се съдържа класифицирана информация. Целта на настоящата проверка е да се определи дали въпросните лица:

По време на процедурите за проверка преди предоставяне на достъп до секретни материали особено внимателно се проверяват лицата:

При подчертаните в букви г), д) и е) обстоятелства в максимална практически възможна степен се използва техниката на проучване на миналото.

Когато трябва да се наемат на работа лица, които нямат установен статут на лице, което „е необходимо да знае“, при обстоятелства, при които те могат да имат достъп до класифицирана информация на ЕС (например куриери, служители, които отговарят за сигурността, персонал, който отговаря за поддръжката и почистването и др.), първо им се извършва подходяща проверка за сигурност.

6.2. Регистър на предоставените на персонала разрешения за достъп до секретни материали

Всички отдели на Комисията, в които се работи с класифицирана информация на ЕС или в които се помещават защитени комуникационни или информационни системи, поддържат регистър на предоставените разрешения за достъп на работещия в тях персонал. Всяко разрешение за достъп се проверява, в зависимост от случая, за да се гарантира, че е подходящо за текущата задача на лицето; то приоритетно се преразглежда всеки път, когато се получи информация, която сочи, че продължаването на работата с класифицирана информация вече не съответства на интересите на сигурността. Служителят, отговорен за сигурността на местно ниво в отдела на Комисията води регистър на разрешенията за достъп в областта, за която отговаря.

Всички служители, които заемат длъжности, при които биха могли да имат достъп до класифицирана информация подробно се инструктират при назначаването им на работа, а след това периодично, за необходимостта от сигурност и за процедурите за нейното осъществяване. От тези служители се изисква писмено да сертифицират, че са прочели и напълно са разбрали настоящите разпоредби за сигурност.

Ръководителите са длъжни да знаят кои техни служители боравят в работата си с класифицирана информация или имат достъп до защитени комуникационни или информационни системи, както и да записват и да докладват за всички инциденти или явни слабости в системата, които могат да имат последствия за сигурността.

Установяват се процедури, с които да се гарантира, че при получаване на неблагоприятна информация за дадено лице може да се определи дали в процеса на работата си лицето борави с класифицирана информация или има достъп до защитени комуникационни или информационни системи, и че ►M2 дирекция по сигурността на Комисията ◄ е информирана за това. Ако се установи, че въпросното лице представлява риск за сигурността, му се налага възбрана или се отстранява от работа, когато би могло да застрашава сигурността.

Степента на мерките за физическа сигурност, които ще се прилагат, за да се гарантира защита на класифицирана информация на ЕС, са пропорционални на степента на класифициране, обема на и заплахата за държаните информация и материали. Всички държатели на класифицирана информация на ЕС следват еднакви практики за класифицирането на тази информация и спазват общи стандарти за защита във връзка със съхранението, предаването и унищожаването на информация и материали, които изискват защита.

Преди да оставят без надзор зони, в които се съдържа класифицирана информация на ЕС, лицата, които се грижат за тази информация, гарантират, че тя се съхранява сигурно и че са задействани всички устройства за сигурност (ключалки, алармени системи и др.). След работно време се извършват допълнителни независими проверки.

Сградите, в които се съхранява класифицирана информация на ЕС или защитени комуникационни и информационни системи, са защитени срещу неразрешен достъп. Естеството на осигурената защита за класифицирана информация на ЕС, например поставяне на решетки за прозорците, ключалки за врати, охрана на входовете, системи за автоматично управление на достъпа, проверки и патрули за сигурност, алармени системи, системи за откриване на неразрешен достъп и кучета пазачи, зависи от:

Естеството на осигурената защита за комуникационни и информационни системи по същия начин зависи от оценката на стойността на изложените на риск активи и от потенциалните вреди в случай на застрашаване на сигурността, от физическото естество и местоположението на сградата, в която се помещава системата и от местоположението на системата вътре в сградата.

7.4. Планове за действие при непредвидени ситуации

Предварително се изготвят подробни планове за защита на класифицирана информация по време на аварийно положение от местен или национален мащаб.

Сигурността на информацията (INFOSEC) се отнася за определянето и прилагането на мерки за сигурност за защита на класифицирана информация на ЕС, която се обработва, съхранява или предава по комуникационни, информационни и други електронни системи, срещу случайна или преднамерена загуба на нейния поверителен характер, цялост или наличност. Предприемат се необходими мерки за противодействие, за да се предотврати достъпът до класифицирана информация на ЕС на лица, които нямат разрешение за това, за да се предотврати отказването на достъп до класифицирана информация на ЕС на потребители, които имат разрешение за това, и за да се предотврати повреждане или неразрешена промяна или заличаване на класифицирана информация на ЕС.

9. МЕРКИ СРЕЩУ САБОТАЖИ И КОНТРОЛ НА ДРУГИ ФОРМИ НА УМИШЛЕНО ЗЛОНАМЕРЕНО ПРИЧИНЯВАНЕ НА ВРЕДИ

Физическите предпазни мерки за защита на важни съоръжения, в които се съхранява класифицирана информация, са най-добрите защитни мерки за сигурност срещу саботажи и умишлено злонамерено причиняване на вреди, и само извършването на проверка на персонала преди предоставянето на достъп до секретни материали не е ефективен техен заместител. От компетентния национален орган се изисква да предоставя разузнавателни сведения във връзка с шпионаж, саботажи, тероризъм и други подривни дейности.

10. ПРЕДОСТАВЯНЕ НА ДОСТЪП ДО КЛАСИФИЦИРАНА ИНФОРМАЦИЯ НА ТРЕТИ ДЪРЖАВИ ИЛИ НА МЕЖДУНАРОДНИ ОРГАНИЗАЦИИ

Решението за предоставяне на достъп до класифицирана информация на ЕС с произход от Комисията на трети държави или на международни организации се взема от Комисията като колегиален орган. Ако авторът на информацията, за която се иска разрешение за предоставяне на достъп, не е Комисията, Комисията първо иска съгласието на автора за даване на разрешение за предоставяне на достъп. Ако не може да се установи авторът, Комисията ще поеме отговорността на създателя.

Ако Комисията получава класифицирана информация от трети държави, от международни организации или от трети страни, на тази информация се осигурява подходяща за степента ѝ на класифициране защита, която е аналогична на установените в настоящите разпоредби стандарти за класифицирана информация на ЕС или евентуално изисквани по-високи стандарти от третата страна, която предоставя достъп до информацията. Организира се извършването на взаимни проверки.

Горепосочените принципи се прилагат в съответствие с подробните разпоредби, посочени в част II, раздел 26 и в допълнения 3, 4 и 5.

ЧАСТ II: ОРГАНИЗАЦИЯ ЗА СИГУРНОСТ В КОМИСИЯТА

11. ЧЛЕНЪТ НА КОМИСИЯТА, КОЙТО ОТГОВАРЯ ПО ВЪПРОСИТЕ НА СИГУРНОСТТА

Членът на Комисията, който отговаря по въпросите на сигурността:

По-специално членът на Комисията, който отговаря по въпросите на сигурността, отговаря за:

12. КОНСУЛТАТИВНА ГРУПА ПО ПОЛИТИКАТА ЗА СИГУРНОСТ НА КОМИСИЯТА

Създава се Консултативна група по политика за сигурност на Комисията. Тя се състои от члена на Комисията, който отговаря по въпросите на сигурността или негов/неин представител, който председателства групата и от представители на националните органи за сигурност на всяка държава-членка. Могат да бъдат поканени и представители на други европейски институции. Когато се обсъждат въпроси, които ги касаят, на заседанията на консултативната група за сигурност могат да бъдат поканени да присъстват и представители на съответните децентрализирани агенции на ЕО и ЕС.

Консултативната група по политиката за сигурност на Комисията се свиква на заседания по искане на председателя или на всеки от нейните членове. Групата има за задача да разглежда и преценява всички съответни въпроси на сигурността и когато е уместно — да представя препоръки на Комисията.

Създава се Съвет по сигурността на Комисията. Той се състои от генералния директор за администрацията и персонала, който ще го председателства, член на кабинета на комисаря, отговарящ за въпросите по сигурността, член на кабинета на председателя, заместник-генералния секретар, който оглавява групата на Комисията за управление на кризи, генералните директори на Правната служба, генерални дирекции „Външни отношения“, „Правосъдие, свобода и сигурност“, Съвместния изследователски център, генералната дирекция по информатика и Службата за вътрешен одит, както и директора на дирекцията по сигурността на Комисията или техните представители. Други длъжностни лица на Комисията могат да бъдат поканени. Неговият мандат е да оценява мерките за сигурност в рамките на Комисията и да прави препоръки в тази област на члена на Комисията, отговарящ за въпросите на сигурността.

14. ►M2 ДИРЕКЦИЯ ПО СИГУРНОСТТА НА КОМИСИЯТА ◄

За да може да изпълнява отговорностите, посочени в раздел 11, членът на Комисията, който отговаря по въпросите на сигурността, разполага със ►M2 дирекция по сигурността на Комисията ◄ за координиране, надзор и прилагане на мерките за сигурност.

Началникът на ►M2 директор на дирекцията по сигурността на Комисията ◄ е главният съветник на члена на Комисията, който отговаря по въпросите на сигурността, и изпълнява функциите на секретар на консултативната група по политиката за сигурност. В тази връзка той/тя ръководи актуализирането на регламентите за сигурност и координира мерките за сигурност с компетентните органи на държавите-членки, и по целесъобразност, с международните организации, които са свързани с Комисията по силата на споразумения за сигурност. За целта той/тя изпълнява функциите на лице за връзка.

►M2 Директор на дирекцията по сигурността на Комисията ◄ отговаря за акредитацията на информационно-технологичните системи и мрежи в Комисията. ►M2 Директор на дирекцията по сигурността на Комисията ◄ , съгласувано със съответния национален орган за сигурност, взема решения относно акредитацията на информационно-технологични системи и мрежи, в които от една страна участва Комисията, а от друга страна, всеки друг получател на класифицирана информация на ЕС.

►M2 Дирекция по сигурността на Комисията ◄ извършва периодични проверки на мерките за сигурност за защита на класифицираната информация на ЕС.

При изпълнението на тази задача ►M2 дирекция по сигурността на Комисията ◄ може да се подпомага от службите по сигурността на другите институции на ЕС, които държат класифицирана информация на ЕС (EUCI), или от националните органи за сигурност на държавите-членки ( 5 ).

По искане на държава-членка в Комисията може да се извършва проверка на класифицирана информация на ЕС (EUCI) от нейния национален орган за сигурност, по взаимно съгласие и съвместно със ►M2 дирекция по сигурността на Комисията ◄ .

16. КЛАСИФИКАЦИИ, ОБОЗНАЧЕНИЯ И МАРКИРОВКИ ЗА СИГУРНОСТ

Информацията се класифицира на следните степени (виж също допълнение 2):

Не се разрешават други степени на класифициране.

За определяне на срока на валидност на дадена класификация (за класифицирана информация, обозначаваща автоматично понижаване на степента на класифициране или декласифициране), може да се използва уговорено обозначение за сигурност. Това обозначение е „ДО … (време/дата)“ или „ДО … (събитие)“.

При необходимост от ограничено разпространение и специално боравене, в допълнение към обозначението за класификация за сигурност, могат да се прилагат допълнителни обозначения за сигурност като CRYPTO или всяко друго признато в ЕС обозначение за сигурност.

Обозначенията за сигурност се използват само в съчетание със степен на класифициране.

За определяне на областта, за която се отнася документът, или за указване на особено разпространение въз основа на принципа за „необходимост да се знае“, или за обозначаване на края на ембарго (за некласифицирана информация), може да се използва маркировка.

Маркировката не е класификация и не трябва да се използва вместо нея.

Маркировката за Европейска политика за сигурност и отбрана (ESDP) се прилага за документи и копия от тях, които касаят сигурността и отбраната на съюза или на една или повече от неговите държави-членки, или които се отнасят за управлението по време на военни или невоенни кризи.

Обозначенията за сигурност се поставят непосредствено под класификацията със същите средства, които се използват за поставянето на класификациите.

Информация се класифицира само при необходимост. Класификацията се посочва ясно и точно и се поддържа само докато информацията се нуждае от защита.

Отговорността за класифициране на информацията и за всяко евентуално последващо понижаване на степента на класифициране или декласифициране е изцяло на автора.

Длъжностните лица и останалите служители на Комисията класифицират, понижават степента на класифициране или декласифицират информация по нареждане или със съгласието на своя началник на отдел.

Подробните процедури за обработване на класифицирани документи са изработени така, че да се гарантира, че те са обект на защита, която е подходяща за съдържащата се в тях информация.

Броят на лицата, оторизирани да създават документи, класифицирани като ►M1 RESTREINT UE ◄ ИНФОРМАЦИЯ НА ЕС, се свежда до минимум, а имената им се пазят в списък, изготвен от ►M2 дирекция по сигурността на Комисията ◄ .

Класификацията на документ се определя от степента на чувствителност на неговото съдържание в съответствие с определението в раздел 16. Важно е класификацията да се използва правилно и умерено. Това особено важи за класификацията ►M1 RESTREINT UE ◄ ИНФОРМАЦИЯ НА ЕС.

Авторът на подлежащ на класифициране документ следва да има предвид изложените по-горе правила и да се въздържа от всякаква склонност към определяне на прекомерно висока или недостатъчно висока степен на класифициране.

В допълнение 2 се съдържа практическо ръководство за класифициране.

Отделни страници, параграфи, раздели, приложения, допълнения и прикрепени части към даден документ могат да изискват различна степен на класифициране и това се извършва по съответен начин. В такъв случай документът като цяло получава класификацията на онази негова част, която е с най-висока степен на класифициране.

Класификацията на писмо или записка, включващи прикрепени части, съответства на най-високата степен на класифициране на тези части към тях. Авторът трябва ясно да посочи степента на класифициране, която писмото или записката трябва да получат след отделянето им от приложенията.

Публичният достъп продължава да се регулира от Регламент (ЕО) № 1049/2001.

17.3. Понижаване на степента на класифициране и декласифициране

Класифицирани документи на ЕС могат да се декласифицират или да се понижава степента им на класифициране само с разрешение на автора, а при необходимост след обсъждане с други заинтересовани страни. Понижаването на степента на класифициране или декласифицирането се потвърждават писмено. Авторът носи отговорност за информиране на адресатите на информацията за промяната, а те на свой ред са отговорни да информират за промяната всички евентуални следващи адресати, до които са изпратили, или за които са направили копия от документа.

По възможност авторите посочват върху класифицираните документи дата, срок или събитие, когато съдържанието може да се декласифицира или да се понижи степента му на класифициране. В противен случай те преразглеждат документите най-много на всеки пет години, за да се гарантира необходимостта от първоначалното класифициране.

Главните цели на мерките за физическа сигурност са да се предотвратява достъпът до класифицирана информация и/или материали на ЕС на лице, което няма разрешение за това, да се предотвратяват кражби или унищожаване на оборудване и друго имущество и да се предотвратява причиняването на безпокойство или всякакъв друг вид агресия срещу работници и служители и посетители.

Всички помещения, зони, сгради, стаи, комуникационни и информационни системи и т.н., в които се съхранява и/или се работи с класифицирана информация и материали на ЕС, са защитени с подходящи мерки за физическа сигурност.

При вземане на решение каква степен на защита е необходима за осигуряването на физическа сигурност, се вземат под внимание всички съществени фактори като:

Мерките за физическа сигурност са предназначени да:

Зоните, в които се работи с или се съхранява информация, която е класифицирана като ►M1 RESTREINT UE ◄ ИНФОРМАЦИЯ НА ЕС или като информация с по-висока степен на класифициране, се организират и структурират така, че да съответстват на една от следните категории:

В зоната около или водеща до зони за сигурност от клас I или клас II може да се създаде административна зона с по-ниска степен на сигурност. Тази зона изисква наличието на видимо определен периметър, в който могат да се извършват проверки на персонал и превозни средства. В такива зони се съхранява и се работи единствено с информация, класифицирана като информация на ЕС ►M1 RESTREINT UE ◄ или некласифицирана информация.

Влизането в и излизането от зони за сигурност от клас I и клас II се контролира чрез пропуск или система за лично разпознаване, която се прилага за всички обичайно работещи в тези зони служители. Създава се и система за проверка на посетителите, която е предназначена да не се допуска неразрешен достъп до класифицирана информация на ЕС. Пропускателните системи могат да се допълват от система за автоматизирано идентифициране на самоличността, която се счита за допълнение, но не и за пълно заместване на служителите от охраната. Промяна в оценката на заплахата може да доведе до засилване на мерките за контрол при влизане и излизане, например при посещение на видни личности.

В зоните за сигурност от клас I и клас II следва да се извършва патрулиране извън обичайното работно време с оглед защита на имуществото на ЕС срещу излагане на риск, повреда или загуба. Честота на патрулиране ще се определя от обстоятелствата на място, но поначало следва да се извършва веднъж на всеки 2 часа.

18.3.5. Контейнери за сигурност и блиндирани помещения

За съхранението на класифицирана информация на ЕС се използват три категории контейнери:

За блиндирани помещения, които са изградени в зона за сигурност от клас I или клас II и за всички зони за сигурност от клас I, в които се съхранява на открити рафтове или е показана на диаграми, карти и друга информация, която е класифицирана като ►M1 RESTREINT UE ◄ ИНФОРМАЦИЯ НА ЕС или информация с по-висока степен на класифициране, стените, подовете, таваните и вратата/ите с ключалка/и трябва да са сертифицирани от акредитиращия орган по сигурността (SAA), че предлагат аналогична защита, както контейнера за сигурност от категорията, която е одобрена за съхранение на информация със същата степен на класифициране.

Ключалките, които се използват за контейнери за сигурност и блиндирани помещения, в които се съхранява класифицирана информация на ЕС, отговарят на следните стандарти:

Ключовете за контейнери за сигурност не се изнасят извън сградите на Комисията. Комбинациите за контейнерите за сигурност се научават наизуст от лицата, които трябва да ги знаят. С цел използване в аварийна ситуация служителят, отговарящ за сигурността на съответния отдел в Комисията, е длъжен да държи резервни ключове и писмен архив на всяка комбинация; последните се държат в отделно запечатани непрозрачни пликове. Работните ключове, резервните ключове и комбинациите се съхраняват в отделни контейнери за сигурност. За тези ключове и комбинации се осигурява същата степен на защита, която се осигурява за материалите, до които те предоставят достъп.

Комбинациите за контейнерите за сигурност се знаят от възможно най-ограничен брой лица. Комбинациите се сменят:

18.3.8. Устройства за откриване на неправомерен достъп

Когато за защитата на класифицирана информация на ЕС се използват алармени системи, телевизионни камери и други електрически устройства, се осигурява аварийно електрическо захранване, което да гарантира непрекъснатото функциониране на системата при прекъсване на главното електрическо захранване. Друго основно изискване е всяка неизправност или вмешателство в такива системи да води до алармено или друго надеждно предупреждение на надзорния персонал.

►M2 Дирекция по сигурността на Комисията ◄ поддържа актуални списъци по видове и модели на оборудването за сигурност, което е одобрила за защитата на класифицирана информация при различни конкретно посочени обстоятелства и условия. ►M2 Дирекция по сигурността на Комисията ◄ изготвя тези списъци inter alia и въз основа на информация от националните органи за сигурност.

18.3.10. Физическа защита на копирни и телефаксни машини

За копирни и телефаксни машини се осигурява необходимата степен на физическа защита, за да се гарантира, че само упълномощени лица могат да ги използват за обработка на класифицирана информация и че всички класифицирани материали се подлагат на подходящи проверки.

18.4. Защита срещу визуален достъп и подслушване

Денонощно се предприемат всички необходими мерки, за да се гарантира липсата на дори случаен визуален достъп до класифицирана информация на ЕС от лица, които не са оторизирани за това.

Службите или зоните, в които редовно се обсъжда информация, класифицирана като ►M1 RESTREINT UE ◄ ИНФОРМАЦИЯ НА ЕС или с по-висока степен на класифициране, се защитават срещу пасивно и активно подслушване, когато рискът изисква това. Оценката на риска от такива атаки се извършва от ►M2 дирекция по сигурността на Комисията ◄ , при необходимост след консултации с националните органи за сигурност.

18.4.3. Внасяне на електронно и записващо оборудване

Не се разрешава внасянето на мобилни телефони, лични компютри, записващи устройства, фотоапарати и други електронни или записващи устройства в зони за сигурност или в технически обезопасени зони без предварително разрешение от ►M2 директор на дирекцията по сигурността на Комисията ◄ .

За определяне на предпазните мерки, които следва да се вземат в помещения, които са чувствителни по отношение на пасивно подслушване (например изолация на стени, врати, подове и тавани, измерване на рискови излъчвания) и активно подслушване (например претърсване за микрофони), ►M2 дирекция по сигурността на Комисията ◄ може да поиска съдействието на специалисти от националните органи за сигурност.

По същия начин, когато обстоятелствата го изискват, далекосъобщителното оборудване и всякакъв вид електрическо или електронно канцеларско оборудване, които се използват по време на заседания на ►M1 RESTREINT UE ◄ или по-високо ниво, може по искане на ►M2 директор на дирекцията по сигурността на Комисията ◄ да се проверяват от технически специалисти по сигурността от националните органи за сигурност.

Някои зони могат да бъдат определени като технически обезопасени зони. Извършват се специални проверки при влизане. Когато в тях няма никой, такива зони се държат заключени по одобрен метод и всички ключове се третират като ключове за сигурност. Тези зони са обект на редовни физически инспекции, които ще се извършват и след проникване в тях без разрешение или при подозрение за такова проникване.

Води се подробен инвентарен списък на оборудването и мебелите, за да се следи тяхното движение. В такава зона не се внасят никакви мебели или оборудване, преди да са преминали внимателна проверка от специално обучен персонал по сигурността, чиято цел е да бъдат открити евентуални подслушвателни устройства. По правило в технически обезопасени зони не се разрешава инсталиране на комуникационни линии без предварително разрешение от съответния орган.

19. ОБЩИ ПРАВИЛА ОТНОСНО ПРИНЦИПА ЗА „НЕОБХОДИМОСТ ДА ЗНАЕ“ И ОТНОСНО ЛИЧНИТЕ РАЗРЕШЕНИЯ ЗА ДОСТЪП ДО СЕКРЕТНИ МАТЕРИАЛИ НА ЕС

Достъп до класифицирана информация на ЕС се разрешава само на лица, които е „необходимо да знаят“, за да изпълняват своите задължения или мисии. Достъп до ►M1 RESTREINT UE ◄ , ►M1 RESTREINT UE ◄ и ►M1 RESTREINT UE ◄ ИНФОРМАЦИЯ НА ЕС се разрешава само на лица, които притежават съответното разрешение за достъп до секретни материали.

Отговорността за определяне на „необходимостта да знае“ е на отдела, в който ще се назначава съответното лице.

Всеки отдел отговаря за това да поиска да бъде извършена проверка за сигурност на персонала.

Това ще води до издаването на „личен сертификат за сигурност на ЕС“, в което ще бъде посочена степента на класифицирана информация, до която провереното лице може да има достъп и датата на изтичане на срока на сертификата.

Личният сертификат за сигурност на ЕС за дадена степен на класифициране може да дава на притежателя право на достъп до информация с по-ниска степен на класифициране.

Други лица, освен длъжностни лица или други служители като външни изпълнители, експерти или консултанти, с които може да е необходимо да се обсъжда или на които може да е необходимо да се показва класифицирана информация на ЕС, трябва да имат лично разрешение на ЕС за сигурност по отношение на класифицирана информация на ЕС и да бъдат инструктирани за отговорността, която носят по отношение на сигурността.

Публичният достъп продължава да се регулира с Регламент (ЕО) № 1049/2001.

19.2. Специфични правила за достъпа до ►M1 RESTREINT UE ◄ ИНФОРМАЦИЯ НА ЕС

Всички лица, които трябва да имат достъп до ►M1 RESTREINT UE ◄ ИНФОРМАЦИЯ НА ЕС, първо се проучват, преди да получат достъп до такава информация.

Всички лица, които трябва да имат достъп до ►M1 RESTREINT UE ◄ ИНФОРМАЦИЯ НА ЕС, се определят от члена на Комисията, който отговаря за въпросите на сигурността, а имената им се записват в съответния ►M1 RESTREINT UE ◄ регистър на ЕС. Този регистър се създава и поддържа от ►M2 дирекция по сигурността на Комисията ◄ .

Преди да получат достъп до ►M1 RESTREINT UE ◄ ИНФОРМАЦИЯ НА ЕС, всички лица подписват сертификат, че са инструктирани за процедурите за сигурност на Комисията, и че напълно разбират особената отговорност, която носят за опазването на ►M1 RESTREINT UE ◄ ИНФОРМАЦИЯ НА ЕС, и последиците, които са предвидени от правилата на ЕС и националното законодателство, или от административни правила, когато умишлено или поради небрежност класифицирана информация премине в ръцете на лица, които нямат разрешение за това.

В случай на лица, които имат достъп до ►M1 RESTREINT UE ◄ ИНФОРМАЦИЯ НА ЕС по време на заседания и други, компетентният служител, който отговаря за контрола на службата или органа, в който работи съответното лице, нотифицира органа, който организира заседанието, че съответните лица имат такова разрешение.

Имената на всички лица, които спират да изпълняват служебни задължения, изискващи достъп до ►M1 RESTREINT UE ◄ ИНФОРМАЦИЯ НА ЕС, се заличават от ►M1 RESTREINT UE ◄ СПИСЪК НА ЕС. Освен това на тези лица отново се обръща внимание на особената отговорност, която носят за опазването на ►M1 RESTREINT UE ◄ ИНФОРМАЦИЯ НА ЕС. Те подписват и декларация, в която заявяват, че няма да използват или да предават притежаваната от тях ►M1 RESTREINT UE ◄ ИНФОРМАЦИЯ НА ЕС.

19.3. Особени правила за достъп до ►M1 RESTREINT UE ◄ и ►M1 RESTREINT UE ◄ ИНФОРМАЦИЯ НА ЕС

Всички лица, които ще имат достъп до ►M1 RESTREINT UE ◄ или ►M1 RESTREINT UE ◄ ИНФОРМАЦИЯ НА ЕС, първо се проучват до съответната степен.

Всички лица, които ще имат достъп до ►M1 RESTREINT UE ◄ или ►M1 RESTREINT UE ◄ ИНФОРМАЦИЯ НА ЕС, се запознават със съответните разпоредби за сигурност и се информират за последиците от проявена небрежност.

В случай на лица, които имат достъп до ►M1 RESTREINT UE ◄ или ►M1 RESTREINT UE ◄ ИНФОРМАЦИЯ НА ЕС по време на заседания и други, компетентният служител, който отговаря за контрола на службата или органа, в който работи съответното лице, нотифицира органа, който организира заседанието, че съответните лица имат такова разрешение.

19.4. Специфични правила за достъп до информация на ЕС ►M1 RESTREINT UE ◄

Лицата, които имат достъп до информация на ЕС ►M1 RESTREINT UE ◄ , се информират за правилата и последиците от проявена небрежност.

При преместване на служител от длъжност, която предполага работа с класифицирани материали на ЕС, службата за регистрация следи за правилното предаване на тези материали от напускащото на новодошлото длъжностно лице.

При преместване на служител на друга длъжност, която предполага работа с класифицирани материали на ЕС, завеждащият сигурността на местно равнище му провежда съответен инструктаж.

Лицата, които трябва да боравят с класифицирана информация на ЕС, при постъпване на работа, а след това периодично, се информират за:

Всички лица, които обичайно са изложени на контакт с представители на страни, дейността на чиито разузнавателни служби е насочена към ЕС и държавите-членки по отношение на класифицираната информация и дейност на ЕС, се инструктират за техниките, които е известно, че се използват от различните разузнавателни служби.

Няма разпоредби за сигурност на Комисията относно частните пътувания на служители, които притежават разрешение за достъп до класифицирана информация на ЕС. Въпреки това ►M2 дирекция по сигурността на Комисията ◄ запознава длъжностните лица и останалите служители, за които отговаря с евентуалните правила, които те следва да съблюдават при пътуване.

20. ПРОЦЕДУРА ЗА ИЗДАВАНЕ НА РАЗРЕШЕНИЯ НА ДЛЪЖНОСТНИ ЛИЦА И ДРУГИ СЛУЖИТЕЛИ НА КОМИСИЯТА ЗА ДОСТЪП ДО ►M1 RESTREINT UE ◄ МАТЕРИАЛИ

21. ИЗГОТВЯНЕ, РАЗПРОСТРАНЕНИЕ, ПРЕДАВАНЕ, СИГУРНОСТ НА КУРИЕРСКИЯ ПЕРСОНАЛ И ДОПЪЛНИТЕЛНИ ЕКЗЕМПЛЯРИ ИЛИ ПРЕВОДИ И ИЗВАДКИ ОТ КЛАСИФИЦИРАНИ ДОКУМЕНТИ НА ЕС

21.3. Предаване на класифицирани документи на ЕС

21.3.2. Предаване в рамките на сграда или група от сгради

В рамките на дадена сграда или група от сгради класифицираните документи могат да се пренасят в запечатан плик, върху който е обозначено само името на адресата, при условие че пратката се пренася от лице, което има разрешение за достъп до степента на класифициране на документите.

21.3.4. Предаване от една държава в друга държава

21.3.5. Предаване на документи на ЕС ►M1 RESTREINT UE ◄

Не се предвиждат особени разпоредби за пренасянето на документи на ЕС ►M1 RESTREINT UE ◄ , освен че пренасянето им трябва да се осъществява така, че те да не могат да попаднат у лице, което няма разрешение за това.

Всички куриери и пратеници, които се наемат да пренасят ►M1 RESTREINT UE ◄ и ►M1 RESTREINT UE ◄ документи на ЕС , имат подходящо разрешение за достъп до секретни материали.

21.5. Електронни и други средства за техническо предаване

21.6. Допълнителни екземпляри, преводи или извлечения от класифицирани документи на ЕС

22. СЛУЖБИ ЗА РЕГИСТРАЦИЯ НА КЛАСИФИЦИРАНА ИНФОРМАЦИЯ НА ЕС, ИНВЕНТАРНИ СПИСЪЦИ, ПРОВЕРКИ И УНИЩОЖАВАНЕ НА КЛАСИФИЦИРАНА ИНФОРМАЦИЯ НА ЕС

22.1. Местни служби за регистрация на класифицирана информация на ЕС

22.2. Служба за регистрация на ►M1 RESTREINT UE ◄ ИНФОРМАЦИЯ НА ЕС

22.2.2. Централна служба за регистрация на ►M1 RESTREINT UE ◄ информация на ЕС

В качеството си на служител, отговорен за контрола, началникът на централната служба за регистрация на ►M1 RESTREINT UE ◄ ИНФОРМАЦИЯ НА ЕС отговаря за:

22.2.3. Подразделения на службите за регистрация на ►M1 RESTREINT UE ◄ ИНФОРМАЦИЯ НА ЕС

В качеството си на служител, който осъществява контрола, началникът на подразделение на служба за регистрация на ►M1 RESTREINT UE ◄ информация на ЕС отговаря за:

22.3. Инвентарни описи, прегледи и проверки на класифицирани документи на ЕС

22.4. Архивно съхранение на класифицирана информация на ЕС

22.5. Унищожаване на класифицирани документи на ЕС

23. МЕРКИ ЗА СИГУРНОСТ ПРИ СПЕЦИФИЧНИ СРЕЩИ, КОИТО СЕ ПРОВЕЖДАТ ИЗВЪН ПОМЕЩЕНИЯТА НА КОМИСИЯТА И ПО ВРЕМЕ НА КОИТО СЕ ИЗПОЛЗВА КЛАСИФИЦИРАНА ИНФОРМАЦИЯ НА ЕС

Когато се провеждат заседания на Комисията или други важни срещи извън помещенията на Комисията, и когато това е обосновано от особени изисквания за сигурност във връзка с високата степен на деликатност на разглежданите въпроси или информация, се предприемат описаните по-долу мерки за сигурност. Тези мерки се отнасят само за защитата на класифицирана информация на ЕС; могат да се планират и други мерки за сигурност.

23.2.1. ►M2 Дирекция по сигурността на Комисията ◄

►M2 Дирекция по сигурността на Комисията ◄ сътрудничи с компетентните органи на държавата-членка, на чиято територия се провежда срещата (приемащата държава-членка), за да се гарантира сигурността на заседанието на Комисията или на други важни срещи, както и сигурността на делегатите и техните служители. По отношение на защитата на сигурността, ►M2 дирекция по сигурността на Комисията ◄ по-конкретно гарантира, че:

►M2 Дирекция по сигурността на Комисията ◄ изпълнява функциите на съветник по сигурността при подготовката на срещата; на срещата трябва да присъства неин представител, който при необходимост да подпомага и да съветва завеждащия сигурността на срещата и делегациите.

От всяка делегация се изисква да определи свой завеждащ сигурността, който ще отговаря за въпросите на сигурността в рамките на своите пълномощия и за поддържането на връзка със завеждащия сигурността на срещата, както и при необходимост със ►M2 дирекция по сигурността на Комисията ◄ .

Определя се служител, отговарящ за сигурността на срещата, който отговаря за общата подготовка и контрол на общите вътрешни мерки за сигурност, и за сътрудничеството с останалите заинтересовани органи за сигурност. Мерките, които се предприемат от завеждащия сигурността на срещата, поначало се отнасят за:

Завеждащият сигурността на срещата издава съответни обозначителни знаци съгласно изискванията на делегациите и в зависимост от техните потребности. Когато е необходимо, може да се прави разграничение по отношение на достъпа до различни зони за сигурност.

Инструкциите за сигурност във връзка със срещата изискват всички съответни лица непрекъснато да носят обозначителните си знаци, поставени на видно място, в рамките на мястото на срещата, така че при необходимост те да могат да бъдат проверявани от служителите, които отговарят за сигурността.

Освен участниците, които носят обозначителни знаци, до мястото на срещата се допускат възможно най-малък брой хора. Завеждащият сигурността на срещата разрешава на националните делегации да приемат посетители по време на срещата само по тяхно искане. На посетителите следва да се дава обозначителен знак за посетители. Попълва се формуляр за издаване на пропуск за посетители, в който се посочва името на посетителя и името на лицето, при което той/тя отива. Посетителите през цялото време се придружават от служител от охраната или от посетеното лице. Формулярът за издаване на пропуск на посетител се носи от придружаващото лице и при напускане на посетителя на мястото на срещата, заедно с обозначителния знак за посетители се връща на служителите, които отговарят за сигурността.

23.3.3. Проверка на фотографска и аудиотехника

В зона за сигурност от клас I не могат да се внасят фотоапарати или записваща техника, с изключение на техниката, която се внася от надлежно упълномощените от завеждащия сигурността на срещата фотографи и озвучители.

23.3.4. Проверка на чанти за документи, преносими компютри и пакети

Притежателите на пропуски, които имат право на достъп до зона за сигурност, обикновено могат да внасят своите чанти за документи и преносими компютри (само такива, които са със собствено захранване), без да се извършва проверка. В случай на пакети за делегации, делегациите могат да получават пакетите, които се проверяват от завеждащия сигурността на делегацията, проверяват се с помощта на специална техника или се отварят за проверка от служителите, които отговарят за сигурността. По преценка на завеждащия сигурността на срещата могат да се предвидят по-строги мерки за проверка на чанти за документи и пакети.

Залата, в която се провежда срещата, може технически да се обезопаси от технически екип за сигурност, който може да провежда и електронно наблюдение по време на срещата.

Делегациите отговарят за донасянето и отнасянето от срещите на класифицирани документи на ЕС. Те отговарят и за проверката и сигурността на тези документи по време на използването им в определените за делегациите помещения. За транспортирането на класифицирани документи до и от мястото на срещата може да се иска съдействие от приемащата държава-членка.

Ако Комисията или делегациите не могат да съхраняват класифицираните си документи в съответствие с одобрените стандарти, те могат да депозират тези документи в запечатан плик при завеждащия сигурността на срещата срещу разписка, така че той да съхранява документите в съответствие с одобрените стандарти.

Завеждащият сигурността на срещата разпорежда служебните помещения на Комисията и на делегациите да се проверяват в края на всеки работен ден, за да се гарантира, че всички класифицирани документи на ЕС се съхраняват на сигурно място. В противен случай той/тя предприема необходимите мерки.

23.3.9. Изхвърляне на класифицирани отпадъци на ЕС

Всички отпадъци се третират като класифицирани отпадъци на ЕС, а кошчетата или торбите за хартиени отпадъци следва да се предават на Комисията и делегациите за изхвърляне. Преди да напуснат определените им помещения, Комисията и делегациите отнасят отпадъците си на завеждащия сигурността на срещата, който разпорежда унищожаването им съгласно правилата.

В края на срещата всички документи, които се притежават, но вече не са нужни на Комисията или делегациите, се третират като отпадъци. Преди да бъдат вдигнати предприетите за срещата мерки за сигурност, се извършва щателна проверка на помещенията на Комисията и на делегациите. Документите, за които е подписана разписка, доколкото е практически приложимо, се унищожават в съответствие с предписанията в раздел 22.5.

24. НАРУШЕНИЯ НА РАЗПОРЕДБИТЕ ЗА СИГУРНОСТ И ИЗЛАГАНЕ НА РИСК НА КЛАСИФИЦИРАНА ИНФОРМАЦИЯ НА ЕС

Нарушение на сигурността настъпва в резултат на действие или бездействие, противоречащо на разпоредба за сигурност на Комисията, което би могло да застраши или да изложи на риск класифицирана информация на ЕС.

Излагане на риск на класифицирана информация на ЕС настъпва, когато тя изцяло или отчасти е попаднала у лица, които нямат разрешение за това, т.е. лица, които нито имат съответното разрешение за достъп до секретни материали, нито е „необходимо да знаят“, или когато съществува вероятност от настъпване на такова събитие.

Класифицирана информация на ЕС може да бъде изложена на риск вследствие на небрежност, непредпазливост или недискретност, както и от служби, чиято дейност е насочена срещу ЕС или неговите държави-членки по отношение на класифицирана информация и дейности на ЕС, или от организации, занимаващи се с подривна дейност.

24.2. Докладване за нарушения на разпоредбите за сигурност

Всички лица, които трябва да работят с класифицирана информация на ЕС, подробно се инструктират за отговорностите им в това отношение. Те веднага докладват за всяко нарушение на сигурността, което евентуално е достигнало да знанието им.

Когато служител, отговорен за сигурността на местно равнище или завеждащ сигурността на среща установи или е информиран за нарушение на сигурността, свързано с класифицирана информация на ЕС, или за загубата или изчезването на класифициран материал на ЕС, той/тя предприема своевременни действия за:

Всеки орган за сигурност е длъжен веднага, след като бъде нотифициран за евентуалното извършване на такова нарушение на сигурността, да докладва за това на ►M2 дирекция по сигурността на Комисията ◄ .

Случаите, които касаят информация на ЕС ►M1 RESTREINT UE ◄ , трябва да се докладват само, когато се характеризират с необичайни особености.

След като бъде информиран за извършването на нарушение на сигурността, членът на Комисията, който отговаря за въпросите на сигурността:

Органът автор информира адресатите и дава подходящи указания.

Всяко физическо лице, което носи отговорност за излагането на риск на класифицирана информация на ЕС, подлежи на дисциплинарно производство съгласно съответните правила и нормативни разпоредби, особено разпоредбите на дял VI от Правилника за длъжностните лица на ЕО. Това производство не е пречка за предприемането на други допълнителни правни действия.

В съответните случаи, въз основа на доклада, посочен в раздел 24.2, членът на Комисията, който отговаря за въпросите на сигурността, предприема необходимите стъпки за предоставяне на възможност на компетентните национални органи да образуват наказателно производство.

25. ЗАЩИТА НА КЛАСИФИЦИРАНА ИНФОРМАЦИЯ НА ЕС, КОЯТО СЕ ОБРАБОТВА В ИНФОРМАЦИОННИ И КОМУНИКАЦИОННИ СИСТЕМИ

Политиката и изискванията за сигурност се прилагат за всички комуникационни и информационни системи и мрежи (наричани по-долу системи), в които се обработва информация с ►M1 RESTREINT UE ◄ и по-висока степен на класифициране на ЕС. Те се прилагат в допълнение към изискванията, предвидени в окончателния вариант на Решение С (95) 1510 на Комисията от 23 ноември 1995 г. относно защитата на информационните системи.

Системите, в които се обработва информация на ЕС ►M1 RESTREINT UE ◄ , също се нуждаят от мерки за сигурност с оглед запазване на поверителния характер на тази информация. Всички системи се нуждаят от мерки за сигурност, за да се защитава целостта и съществуването на тези системи и на съдържащата се в тях информация.

Прилаганата от Комисията политика за информационно-технологична сигурност се характеризира със следните елементи:

Заплахата може да се определи като потенциална възможност за случайно или умишлено излагане на риск на сигурността. При системи такова излагане на риск предполага загуба на едно или повече от свойствата поверителност, цялост и наличност. Уязвимостта може да се определи като слабост или липса на контрол, които биха улеснили или позволили поставянето под заплаха на конкретно имущество или цел.

Класифицираната и некласифицираната информация на ЕС, която се обработва в системи в концентрирана форма, предназначена да осигурява бързо извличане, съобщаване и използване, е уязвима за много заплахи. Те включват достъп до информацията на неоторизирани потребители, или обратно — отказ на достъп на оторизирани потребители. Това са също така рисковете от неразрешено оповестяване, повреждане, промяна или заличаване на информацията. Освен това сложното и понякога чупливо оборудване често е трудно и скъпо да се ремонтира или бързо да се подмени.

Главната цел на посочените в настоящия раздел мерки за сигурност е да се осигурява защита срещу неоторизирано оповестяване на класифицирана информация на ЕС (загуба на поверителния характер) и срещу загуба на целостта и наличието на информацията. За да се постигне достатъчна защита на сигурността на система, в която се обработва класифицирана информация на ЕС, ►M2 дирекция по сигурността на Комисията ◄ определя подходящите стандарти за конвенционална сигурност, заедно с подходящи специални процедури и техники за сигурност, които са конкретно предназначени за всяка система.

25.1.4. Декларация за специфичните изисквания за сигурност на системата (SSRS)

За всички системи, в които се обработва информация с ►M1 RESTREINT UE ◄ и по-висока степен на класифициране на ЕС, се изисква да се изготви декларация за специфичните изисквания за сигурност на системата от собственика на техническата система (TSO, виж раздел 25.3.4) и собственика на информацията (виж раздел 25.3.5), когато е необходимо в сътрудничество и с помощта на персонала, който отговаря за проекта и на ►M2 дирекция по сигурността на Комисията ◄ (в качеството на орган по сигурността на информацията — ОСИ, виж раздел 25.3.3), която декларация се одобрява от акредитиращия орган по сигурността (SAA, виж раздел 25.3.2).

Декларация за специфичните изисквания за сигурност на системата се изисква, и когато акредитиращият орган по сигурността (SAA) счита, че наличието и целостта на информация на ЕС ►M1 RESTREINT UE ◄ или на некласифицирана информация са от съществено значение.

Декларацията за специфичните изисквания за сигурност на системата се формулира на най-ранния етап от разработването на проект, след което се доразвива и усъвършенства с напредването на проекта, като изпълнява различна роля на различните етапи от проекта и от жизнения цикъл на системата.

25.1.5. Режими на работа при условия на сигурност

Всички системи, в които се обработва информация с ►M1 RESTREINT UE ◄ и по-висока степен на класифициране на ЕС, се акредитират за работа в един или когато това е обосновано от изискванията през различни периоди от време, повече от един от следните режими на работа при условия на сигурност или техен национален аналог:

„Акредитация“ означава даденото за определена система разрешение и одобрение да обработва класифицирана информация на ЕС в нейната операционна среда.

Такава акредитация следва да се дава, след като са изпълнени всички необходими процедури за сигурност и е постигната достатъчна степен на защита на системните ресурси. Обикновено акредитацията се извършва въз основа на декларацията за специфичните изисквания за сигурност на системата и включва следното:

„Служител, отговарящ за сигурността на информацията на централно равнище“ (CISO) означава длъжностното лице в централна информационно-технологична служба, което координира и контролира мерките за сигурност за централно организираните системи.

„Сертифициране“ означава издаването на официална декларация, подкрепена от независим преглед на начина на извършване на оценка и резултатите от нея, който показва до каква степен дадена система отговаря на изискванията за сигурност или даден продукт за компютърна сигурност осигурява предварително зададените характеристики за сигурност.

„Сигурност на комуникациите“ (COMSEC) означава прилагането на мерки за сигурност спрямо далекосъобщенията с цел отказване на достъп на неупълномощени лица до ценна информация, която би могла да се придобие чрез притежаването и проучването на такива далекосъобщения, или за да се гарантира достоверността на тези далекосъобщения.

Тези мерки включват сигурност при криптография, предаване и излъчване, както и сигурност на процедурите, физическа сигурност, сигурност на персонала, документна и компютърна сигурност.

„Компютърна сигурност“ (COMPUSEC) означава прилагането към компютърна система на хардуерни, фърмуерни и софтуерни характеристики за сигурност с цел защита от или предотвратяване на неразрешено оповестяване, манипулиране, изменение/заличаване на информация или за предотвратяване на прекъсване в обслужването.

„Продукт за компютърна сигурност“ означава родово определен компютърен елемент за сигурност, който е предназначен за включване в информационно-технологична система за усъвършенстване или осигуряване на поверителност, цялост или наличие на обработваната информация.

„Специален режим на работа при условия на сигурност“ означава режим на работа, при който ВСИЧКИ физически лица, които имат достъп до системата, имат разрешение за достъп до най-високата степен на класифициране на обработваната в системата информация, и имат обща „необходимост да знаят“ ЦЯЛАТА обработвана в системата информация.

„Оценка“ означава подробна техническа проверка от подходящ орган на аспектите за сигурност на система или на продукт за криптографска или компютърна сигурност.

„Собственик на информацията“ (IO) означава органът (началник на отдел), който отговаря за създаването, обработката и използването на информацията, включително за вземането на решение кой има достъп до тази информация.

„Сигурност на информацията“ (INFOSEC) означава прилагането на мерки за сигурност за защита на информацията, която се обработва, съхранява или предава чрез комуникационни системи, на информационни и други електронни системи срещу случайна или умишлена загуба на поверителност, цялост или наличност, и за предотвратяване на загубата на целостта и наличието на самите системи.

„Мерките за сигурност на информацията“ включват компютърната сигурност, криптографската сигурност и сигурността на предаване и излъчване, и откриването, документирането и противодействието на заплахи за информацията и системите.

„Информационно-технологична зона“ означава зона, която съдържа един или повече компютри, техните локални периферни и запаметяващи устройства, блокове за управление и специално мрежово и комуникационно оборудване.

Определението не включва отделна зона, в която са разположени отдалечени периферни устройства или терминали/работни станции, дори и тези устройства да са свързани с оборудване в информационно-технологичната зона.

„Информационно-технологична мрежа“ означава географски разпръсната организация от взаимосвързани информационно-технологични системи за обмен на данни, която включва компонентите на взаимно свързаните информационно-технологични системи и техния интерфейс с поддържащите мрежи за данни или комуникационни мрежи.

„Характеристиките за сигурност на информационно-технологична мрежа“ включват характеристиките за сигурност на отделните информационно-технологични системи, които съставляват мрежата, заедно с онези допълнителни компоненти и характеристики, които са свързани с мрежата като такава (например мрежови комуникации, механизми и процедури за идентификацията и етикетирането за сигурност, средства за управление на достъпа, програми и методи за проверка), които са необходими за осигуряването на приемлива степен на защита на класифицирана информация.

„Информационно-технологична система“ означава съвкупност от оборудване, методи и процедури, и когато е необходимо персонал, които са организирани да изпълняват функции по обработка на информация.

„Характеристиките за сигурност на информационно-технологична система“ включват всички хардуерни/фърмуерни/софтуерни функции и характеристики, операционните процедури, процедурите за отчитане и средствата за управление на достъпа, информационно-технологичната зона, зоната на отдалечен терминал/работна станция и ограниченията за управление, физическата структура и устройствата, персонала и комуникационните средства за управление, които са необходими за осигуряването на приемлива степен на защита на класифицираната информация, която ще се обработва в дадена информационно-технологична система.

„Завеждащ сигурността на информацията на местно ниво“ означава длъжностното лице в отдел на Комисията, което отговаря за координирането и контрола на мерките за сигурност в неговата сфера на компетентност.

„Многостепенен режим на работа при условия на сигурност“ означава режим на работа, при който НЕ ВСИЧКИ физически лица, които имат достъп до системата имат разрешение за достъп до обработваната в системата информация с най-висока степен на класифициране, и НЕ ВСИЧКИ физически лица, които имат достъп до системата имат обща „необходимост да знаят“ обработваната в системата информация.

„Зона на отдалечен терминал/работна станция“ означава зона, в която се съдържа известно компютърно оборудване, неговите локални периферни устройства или терминали/работни станции и евентуално свързано комуникационно оборудване, отделно от дадена информационно-технологична зона.

Високосистемен режим на работа при условия на сигурност означава режим на работа, при който ВСИЧКИ физически лица, които имат достъп до системата имат разрешение за достъп до обработваната в системата информация с най-висока степен на класифициране, но НЕ ВСИЧКИ физически лица, които имат достъп до системата имат обща „необходимост да знаят“ обработваната в системата информация.

„Декларация за специфичните изисквания за сигурност на системата“ (SSRS) означава пълна и ясна декларация във връзка с принципите за сигурност, които следва да се съблюдават, и подробно описание на изискванията за сигурност, които трябва да бъдат изпълнени. Тя се основава на политиката за сигурност на Комисията и оценката на риска или се налага от параметри, касаещи операционната среда, най-ниската степен на проверка за сигурност на персонала, най-високата степен на класифициране на обработваната информация, режима на работа при условия на сигурност или изискванията на потребителите. SSRS е неразделна част от проектодокументацията, която се представя на съответните органи за техническо и бюджетно одобрение, и одобрение от гледна точка на сигурността. В окончателния си вид SSRS представлява цялостна декларация за това какво значи системата да е сигурна.

„Собственик на технически системи“ (TSO) означава органът, който отговаря за създаването, поддръжката, експлоатацията и закриването на система.

Мерки за противодействие на „ефекта на бурята“ означава мерки за сигурност, които са предназначени да защитават оборудването и комуникационните инфраструктури срещу излагането на риск на класифицирана информация чрез неволни електромагнитни излъчвания и проводимост.

Консултативните отговорности на Консултативната група по политиката за сигурност на Комисията, определена в раздел 12, включват въпроси, свързани със сигурността на информацията. Тази група организира дейността си така, че да може да дава експертни съвети по горепосочените въпроси.

►M2 Дирекция по сигурността на Комисията ◄ отговаря за издаването на подробни разпоредби за сигурност на информацията въз основа на разпоредбите, които се съдържат в настоящата глава.

►M2 Дирекция по сигурността на Комисията ◄ предприема незабавни действия в случай на проблеми, свързани със сигурността (инциденти, нарушения и т.н.).

В ►M2 дирекция по сигурността на Комисията ◄ има звено, което отговаря за сигурността на информацията.

►M2 Директор на дирекцията по сигурността на Комисията ◄ е акредитиращият орган по сигурността в Комисията. SAA отговаря за сигурността изобщо и за специфичните области като сигурност на информацията, сигурност на комуникациите, сигурност на криптографията и сигурност срещу „ефекта на бурята“.

SAA отговаря за гарантиране на съответствието на системите с политиката за сигурност на Комисията. Една от задачите му е да одобрява система за обработка в операционната ѝ среда на класифицирана информация на ЕС до определена степен на класифициране.

Юрисдикцията на SAA на Комисията обхваща всички системи, които функционират в помещенията на Комисията. Когато различни компоненти на дадена система попадат под юрисдикцията на SAA на Комисията и други акредитиращи органи по сигурността, всички заинтересовани страни могат да назначат смесен акредитационен съвет под ръководството на SAA на Комисията.

25.3.3. Орган по сигурността на информацията (IA)

Началникът на звеното за сигурност на информацията в ►M2 дирекция по сигурността на Комисията ◄ е органът по сигурността на информацията в Комисията. Органът по сигурността на информацията отговаря за:

Отговорността за осъществяването на проверки и за функционирането на специфичните характеристики за сигурност на дадена система се носи от собственика на тази система, собственика на техническите системи (TSO). За централно притежавани системи се назначава завеждащ сигурността на информацията на централно равнище (CISO). По целесъобразност, всеки отдел назначава завеждащ сигурността на информацията на местно равнище (LISO). Отговорността на TSO включва създаването на процедури за сигурност при работа (SecOPS) и се носи през целия жизнен цикъл на дадена система, от етапа на създаване на системата до окончателното ѝ унищожаване.

TSO определя стандартите и практиките за сигурност, които трябва да се спазват от доставчика на системата.

По целесъобразност TSO може да делегира част от отговорностите си на завеждащ сигурността на информацията на местно равнище. Различните функции във връзка със сигурността на информацията могат да се изпълняват от едно лице.

Собственикът на информацията (IO) отговаря за класифицираната информация на ЕС (и друга информация), която ще се въвежда, обработва и създава в техническите системи. Той определя изискванията за достъп до тази информация в системите. Той може да делегира тази отговорност на завеждащ информацията или на завеждащ бази данни в сектора, за който отговаря.

Всички потребители са длъжни да гарантират, че действията им не се отразяват неблагоприятно на сигурността на системата, която използват.

За всички служители, които имат нужда от това, се осигурява обучение по сигурност на информацията.

Потребителите на системата трябва да имат разрешение за достъп и „необходимост да знаят“ съобразно класификацията и съдържанието на информацията, която се обработва в тяхната конкретна система. Достъпът до определено оборудване или до информация, която е от специфично значение за сигурността, ще изисква специално разрешение за достъп, което се издава съгласно процедури на Комисията.

SAA определя всички деликатни длъжности и определя необходимата степен на разрешение за достъп и контрол за всички служители, които заемат тези длъжности.

Системите се специфицират и проектират по начин, който да улеснява разпределението на служебните задължения и отговорностите между персонала така, че да се предотвратява възможността едно лице да разполага с пълни сведения или контрол върху ключовите места за сигурността на системата.

В информационно-технологични зони и зони на отдалечени терминали/работни станции, в които може да се променя сигурността на системата, не трябва да работи само едно упълномощено длъжностно лице или друг работник или служител.

Настройките за сигурност на дадена система се променят само от най-малко двама съвместно работещи упълномощени служители.

Информационно-технологичните зони и зоните на отдалечени терминали/работни станции (съгласно определението в раздел 25.2), в които с информационно-технологични средства се обработва информация с ►M1 RESTREINT UE ◄ или по-висока степен на класифициране на ЕС, или в които е възможен потенциален достъп до тази информация, се изграждат като зони за сигурност на ЕС от клас I или клас II, в зависимост от случая.

Всички материали и информация, които позволяват контрол на достъпа до система, се защитават чрез мерки, съответстващи на най-високата степен на класифициране и на обозначението за категория на информацията, до която те могат да осигурят достъп.

Когато престанат да се използват за тази цел, информацията и материалите, които служат за контрол на достъпа се унищожават съобразно разпоредбите на раздел 25.5.4.

Авторът на информацията е длъжен да определя и класифицира всички документи, които са носители на информация, независимо дали те са във вид на хартиен или електронен носител. Класификацията се обозначава в горното и долното поле на всяка страница на хартиен носител. Създадените документи, независимо дали са във вид на хартиен или електронен носител, се обозначават с най-високата степен на класифициране на информацията, която е използвана за тяхното създаване. Начинът, по който функционира дадена система, също може да оказва въздействие върху класифицирането на създадените от тази система документи.

Отделите на Комисията и работещите в тях лица, които притежават информация, са длъжни да вземат предвид проблемите във връзка с натрупването на отделни информационни елементи и конфликтите, които могат да се породят от свързаните с тях елементи, и да определят дали е или не е целесъобразно да се определи по-висока степен на класифициране на съвкупността от информация.

Фактът, че информацията може да се формулира като съкратен код, код за предаване или каквато и да е форма на двойно представяне, не предоставя никаква защита за сигурността, поради което не трябва да оказва влияние върху класифицирането на информацията.

При прехвърляне на информация от една система в друга информацията се защитава по време на прехвърлянето и в получаващата система по начин, който съответства на първоначалната класификация и категория на информацията.

С всички електронни информационни носители се борави по начин, който съответства на най-високата степен на класифициране на съхраняваната информация или на етикета на носителя, и по всяко време се ползва с подходяща защита.

Повторно използваемите електронни информационни носители, които са използвани за записване на класифицирана информация на ЕС, запазват най-високата степен на класифициране, за която някога са били използвани до понижаване по съответния начин на степента на класифициране на съхраняваната в тях информация или до нейното декласифициране, и съответното прекласифициране, декласифициране или унищожаване на носителя съгласно одобрена от SAA процедура (виж раздел 25.5.4).

За проследяване на достъпа до информация със ►M1 RESTREINT UE ◄ или по-висока степен на класифициране на ЕС се водят автоматични (архив за проверка) или ръчни дневници. Тази информация се съхранява в съответствие с настоящите правила за сигурност.

Класифицирани материали на ЕС, които се съхраняват в информационно-технологичната зона като един класифициран материал, не е необходимо да се регистрират, при условие че материалът е идентифициран, обозначен със собствена класификация и се контролира по подходящ начин.

Когато система, в която се обработва класифицирана информация на ЕС, създава данни, които се предават от информационно-технологична зона до зона на отдалечен терминал/работна станция, съгласувано с SAA се установяват процедури за контрол и регистриране на тези данни. За данни със ►M1 RESTREINT UE ◄ или по-висока степен на класифициране на ЕС тези процедури включват специфични инструкции за отчетност на информацията.

25.5.3. Работа с и контрол на отделящи се електронни информационни носители

Всички отделящи се електронни информационни носители с ►M1 RESTREINT UE ◄ и по-висока степен на класифициране на ЕС се третират като материали и за тях се прилагат общите правила. В зависимост от специфичния физически външен вид на носителите е необходимо да се приспособят подходящи идентификационни и класификационни маркировки, които да позволяват ясното им разпознаване.

Потребителите поемат отговорността да гарантират, че класифицираната информация на ЕС се съхранява на носители с подходяща класификационна маркировка и защита. Установяват се процедури, с които да се гарантира, че за всички степени на класифициране на ЕС съхранението на информацията на електронни носители се извършва в съответствие с настоящите правила за сигурност.

25.5.4. Декласифициране и унищожаване на електронни информационни носители

Електронните информационни носители, които са използвани за записване на класифицирана информация на ЕС, могат да претърпяват понижаване на степента на класифициране или да бъдат декласифицирани в съответствие с одобрена от SAA процедура.

Електронни носители, на които е била съхранявана ►M1 RESTREINT UE ◄ информация на ЕС или специална категория информация, не се декласифицират и не се използват повторно.

Ако електронен информационен носител не може да бъде декласифициран или повторно използван, той се унищожава в съответствие с горепосочената процедура.

►M2 Директор на дирекцията по сигурността на Комисията ◄ е криптографският орган.

При предаване на класифицирана информация на ЕС по електромагнитен път се прилагат специални мерки за защита на поверителния характер, целостта и наличието на такива предавания. SAA определя изискванията за защита на предаванията срещу откриване и прихващане. Информацията, която се предава по комуникационна система, се защитава въз основа на изискванията за поверителност, цялост и наличност.

Когато са необходими криптографски методи за осигуряването на поверителност, цялост и наличност, тези методи и свързаните с тях продукти изрично се одобряват за целта от SAA и криптографския орган.

По време на предаване поверителният характер на информация, класифицирана като ►M1 RESTREINT UE ◄ информация на ЕС или с по-висока степен на класифициране, се защитава чрез криптографски методи или продукти, одобрени от члена на Комисията, който отговаря за въпросите на сигурността, след консултации с Консултативната група по политиката за сигурност на Комисията. По време на предаване поверителният характер на информация, класифицирана като ►M1 RESTREINT UE ◄ информация на ЕС или като информация на ЕС ►M1 RESTREINT UE ◄ , се защитава чрез криптографски методи или продукти, одобрени от криптографския орган на Комисията след консултации с Консултативната група по политиката за сигурност на Комисията.

В специфични инструкции за сигурност, които се одобряват от ►M2 дирекция по сигурността на Комисията ◄ , след консултации с Консултативната група по политиката за сигурност на Комисията се определят подробни правила за предаването на класифицирана информация на ЕС.

При изключителни оперативни обстоятелства, информация, която е класифицирана като информация на ЕС ►M1 RESTREINT UE ◄ , ►M1 RESTREINT UE ◄ информация на ЕС и ►M1 RESTREINT UE ◄ информация на ЕС, може да се предава под формата на ясен текст, като за всеки отделен случай се изисква изрично разрешение и всеки такъв случай се регистрира от собственика на информацията. Тези изключителни обстоятелства са следните:

Дадена система трябва да бъде способна успешно да отказва достъп до класифицирана информация на ЕС на всеки или всички нейни отдалечени работни станции или терминали, когато това се налага от физическо прекъсване на връзката или от особени софтуерни характеристики, одобрени от SAA.

Спецификациите за първоначалното инсталиране на системите и за всички големи промени по тях предвиждат инсталирането да се извършва от технически специалисти, които имат разрешение за достъп до секретни материали, под постоянния надзор на технически квалифициран персонал, който има разрешение за достъп до класифицирана информация на ЕС, чиято степен съответства на най-високата степен на класифициране на информацията, която системата се очаква да съхранява или обработва.

Системите, в които се обработва информация, класифицирана като ►M1 RESTREINT UE ◄ информация на ЕС или с по-висока степен на класифициране, се защитават така, че сигурността им да не може да се застрашава от излагащи на риск излъчвания или проводимост, чието изследване и контрол се обозначава с термина „TEMPEST“.

Мерките за противодействие на „ефекта на бурята“ се проверяват и одобряват от органа „TEMPEST“ (виж раздел 25.3.2).

Процедурите за сигурност при работа (SecOPS) определят принципите, които трябва да бъдат възприети относно въпросите на сигурността, оперативните процедури, които трябва да се следват и отговорностите на персонала. Процедурите за сигурност при работа се изготвят под контрола на собственика на техническите системи (TSO).

25.6.2. Софтуерна защита/управление на конфигурации

Защитата за сигурност на приложните програми се определя въз основа на оценка на класификацията за сигурност на самата система, а не на класификацията на информацията, която тази система ще обработва. Използваните софтуерни версии редовно се проверяват, за да се гарантира тяхната цялост и правилно функциониране.

Нови или изменени софтуерни версии не се използват за обработка на класифицирана информация на ЕС, докато не бъдат проверени от TSO.

25.6.3. Проверка за наличие на опасни софтуерни/компютърни вируси

Периодично се извършват проверки за наличие на зловредни софтуерни/компютърни вируси в съответствие с изискванията на SAA.

Всички електронни информационни носители, които се получават в Комисията, се проверяват за наличие на евентуални софтуерни или компютърни вируси, преди да бъдат въведени в която и да е система.

В договорите и процедурите за планирана поддръжка и поддръжка при поддържане на системи, за които и изготвена SSRS, се посочват изискванията и разпоредбите относно персонала за поддръжка и съответното оборудване, което се внася в информационно-технологична зона.

Тези изисквания и процедури ясно се посочват съответно в SSRS и в процедурите за сигурност при работа (SecOPS). Поддръжка от страна на изпълнител, която изисква диагностични процедури с отдалечен достъп, се разрешава само при изключителни обстоятелства, при условия на строг контрол за сигурност и само с одобрението на SAA.

Всеки продукт за сигурност, който трябва да се използва с подлежащата на доставка система, трябва или да е оценен и сертифициран, или да се намира в процес на оценка и сертифициране от подходящ орган за оценка или сертифициране на една от държавите-членки на ЕС по международно признати критерии (като Общите критерии за оценка на сигурността на информационните технологии, виж ISO 15408). За получаването на одобрение от ACPC са необходими специфични процедури.

При вземането на решение, дали дадено оборудване, особено електронни информационни носители, да се наеме, а не да се закупува, следва да се има предвид, че това оборудване, след като веднъж е използвано за обработка на класифицирана информация на ЕС, не може да се предоставя за ползване извън подходящо защитена среда, без преди това да е декласифицирано с одобрението на SAA, и че не винаги е възможно да се даде такова одобрение.

Всички системи, за които трябва да се изготви SSRS, преди в тях да се обработва класифицирана информация на ЕС, се акредитират от SAA въз основа на информацията, която е предоставена в SSRS, SecOPS и евентуално друга съответна документация. Подсистемите и отдалечените терминали/работни станции се акредитират като част от системите, към които са свързани. Когато дадена система обслужва едновременно Комисията и други организации, Комисията и съответните органи за сигурност взаимно се договарят относно акредитацията.

Процесът на акредитация може да се извършва в съответствие с подходяща за конкретната система стратегия за акредитация, която се определя от SAA.

В определени случаи, преди да се акредитират, хардуерните, фърмуерните и софтуерните характеристики за сигурност на дадена система се оценяват и сертифицират, че могат да осигуряват защита на информацията до планираната степен на класифициране.

Изискванията за оценка и сертифициране се включват в планирането на системата и ясно се посочват в SSRS.

Процесите на оценка и сертифициране се извършват в съответствие с одобрени насоки от технически квалифициран персонал, който притежава подходящо разрешение за достъп до секретни материали и действа от името на TSO.

Екипите могат да се осигуряват от определен от държава-членка орган за оценка или сертифициране или от определени от него представители, например компетентен изпълнител с разрешение за достъп до секретни материали.

Степента на процесите на оценка и сертифициране може да бъде занижена (например, да включва само аспекти на интегриране), когато системите се основават на съществуващи продукти за компютърна сигурност, които са оценени и сертифицирани на национално равнище.

25.7.4. Рутинни проверки на характеристиките за сигурност за продължаване на акредитацията

TSO установява процедури за рутинен контрол, които да гарантират, че всички характеристики за сигурност на системата продължават да бъдат валидни.

В SSRS ясно се определят и посочват видовете промени, които биха могли да доведат до повторно акредитиране, или които изискват предварително одобрение от SAA. След всяка промяна, ремонт или неизправност, която би могла да даде отражение върху характеристиките за сигурност на системата, TSO гарантира извършването на проверка, която да гарантира правилното функциониране на характеристиките за сигурност. Продължаването на акредитацията на системата обикновено зависи от удовлетворителния резултат от проверките.

SAA редовно проверява и преразглежда всички системи, при които се прилагат характеристики за сигурност. По отношение на системите, в които се обработва ►M1 RESTREINT UE ◄ информация на ЕС, проверките се извършват най-малко веднъж годишно.

25.8.1. Сигурност на микрокомпютри/персонални компютри

Микрокомпютрите/персоналните компютри с постоянни дискове (или други постоянни информационни носители), които функционират в самостоятелен режим или като мрежови конфигурации, както и преносимите електронно-изчислителни устройства (например, преносими персонални компютри и електронни „бележници“) с постоянни твърди дискове, се считат за информационни носители в същия смисъл, както флопи дисковете или други отделящи се електронни информационни носители.

Това оборудване се ползва със степента на защита, от гледна точка на достъп, обработка, съхранение и транспортиране, която съответства на най-високо класифицираната информация, която някога е съхранявана или обработвана (докато понижаване на степента на класифициране или декласифициране в съответствие с одобрени процедури).

25.8.2. Използване на лично информационно-технологично оборудване за официална работа на Комисията

Забранява се използването на лични преносими електронни информационни носители, софтуер и информационно-технологичен хардуер (например персонални компютри и преносими електронно-изчислителни устройства) за обработка на класифицирана информация на ЕС.

В нито една зона от клас I или клас II, където се обработва класифицирана информация на ЕС, не се внася личен хардуер, софтуер и носители без писмено разрешение на ►M2 директор на дирекцията по сигурността на Комисията ◄ . Това разрешение може да се дава в извънредни случаи по технически съображения.

25.8.3. Използване на информационно-технологично оборудване, което е собственост на изпълнител, или което се доставя от държавите-членки за официална работа на Комисията

►M2 Директор на дирекцията по сигурността на Комисията ◄ може да разрешава използването на информационно-технологично оборудване и софтуер, които са собственост на изпълнител в организации, които подпомагат официалната работа на Комисията. Може да се разрешава и използването на информационно-технологично оборудване и софтуер, които се доставят от държавите-членки; в такъв случай въпросното информационно-технологично оборудване се вписва и поставя под контрола на съответния инвентарен списък на Комисията. И в двата случая, ако информационно-технологичното оборудване ще се използва за обработка на класифицирана информация на ЕС, се извършва консултация с SAA с оглед на извършването на правилна преценка и прилагане на елементите за сигурност на информацията, които са приложими за използването на това оборудване.

26. ПРЕДОСТАВЯНЕ НА ДОСТЪП ДО КЛАСИФИЦИРАНА ИНФОРМАЦИЯ НА ТРЕТИ ДЪРЖАВИ ИЛИ МЕЖДУНАРОДНИ ОРГАНИЗАЦИИ

26.1.1. Принципи, които регулират предоставянето на достъп до класифицирана информация

Решението за предоставяне на достъп до класифицирана информация на ЕС на трети държави или международни организации се взема от Комисията като колегиален орган въз основа на:

Иска се съгласието на автора на класифицираната информация на ЕС, до която ще се предостави достъп.

Тези решения се вземат за всеки случай поотделно, в зависимост от:

Приемането на класифицирана информация на ЕС от трети държави или международни организации ще предполага даването на уверение, че информацията няма да се използва за никакви други цели, освен тези, които са мотивирали предоставянето или обмяната на информация, и че те осигуряват изискваната от Комисията защита.

След като Комисията вземе решение, че класифицирана информация може да се предостави или обмени с дадена държава или международна организация, тя взема решение за възможната степен на сътрудничество. По-специално това зависи от прилаганите от тази държава или организация политика и нормативни разпоредби за сигурност.

След като Комисията вземе решение, че е налице постоянна или дългосрочна необходимост от обмен на класифицирана информация между Комисията и трети държави или международни организации, тя изготвя „споразумения за процедурите за сигурност при обмяна на класифицирана информация“ с тях, в които се определя целта на сътрудничеството и взаимните правила за защита на обменяната информация.

В случай на нередовно сътрудничество от степен 3, което по дефиниция е ограничено откъм време и цел, вместо „споразумението за процедурите за сигурност при обмяна на класифицирана информация“ може да се подпише обикновен меморандум за разбирателство, в който да се определи естеството на класифицираната информация, която ще се обменя и взаимните задължения във връзка с тази информация при условие, че се касае за информация със степен на класифициране, която не е по-висока от информация на ЕС ►M1 RESTREINT UE ◄ .

Преди да бъдат представени на Комисията за вземане на решение, проектоспоразуменията за процедурите за сигурност или меморандумите за разбирателство се обсъждат от Консултативната група по политиката за сигурност на Комисията.

Членът на Комисията, който отговаря за въпросите на сигурността, изисква цялото необходимо съдействие от националните органи за сигурност на държавите-членки, за да се гарантира, че информацията, която ще се предостави, се използва и защитава в съответствие с разпоредбите на споразуменията за процедурите за сигурност или на меморандумите за разбирателство.

27. ОБЩИ МИНИМАЛНИ НОРМИ В ОБЛАСТТА НА ПРОМИШЛЕНАТА СИГУРНОСТ

Настоящият раздел се отнася до аспектите на сигурността на промишлените дейности, които са предмет на преговори и сключване на договори или грантови споразумения, които договори или грантови споразумения се изпълняват от промишлени или други обекти, и в рамките на които са възложени задачи, които включват, изискват и/или съдържат класифицирана информация на ЕС, включително предоставянето на такава информация или достъпа до нея по време на процедурите по обществена поръчка или покана за участие в търг или конкурс (период на наддаване и преговори за предварителен договор).

27.4. Класифицирани договори и решения за грант

Когато служители на Комисията посещават в рамките на класифицирани договори промишлени или други обекти на държавите-членки, извършващи класифицирани договори на ЕС, тези посещения се организират съвместно с компетентния NSA/DSA. Посещенията на работещите в промишлени или други обекти в рамките на класифициран договор на ЕС следва да бъдат организирани от заинтересованите NSA/DSA. Все пак NSA/DSA, свързани с класифициран договор на ЕС, могат да договорят процедура за преки посещения на работещите в промишлени или други обекти.

27.6. Предаване и транспортиране на класифицирана информация на ЕС

СРАВНЕНИЕ НА НАЦИОНАЛНИТЕ НИВА НА КЛАСИФИКАЦИЯ ЗА СИГУРНОСТ

Класификация на ЕС	TRÈS SECRET UEEU TOP SECRET	SECRET UE	CONFIDENTIEL UE	RESTREINT UE
Класификация на WEU	FOCAL TOP SECRET	WEU SECRET	WEU CONFIDENTIAL	WEU RESTRICTED
Класификация на Евратом	Eura – TOP SECRET	Eura – SECRET	Eura - CONFIDENTIAL	Eura – RESTRICTED
Класификация на НАТО	COSMIC TOP SECRET	NATO SECRET	NATO CONFIDENTIAL	NATO RESTRICTED
Белгия	Très Secret Zeer Geheim	Secret Geheim	Confidentiel Vertrouwelijk	Diffusion restreinte Beperkte Verspreiding
Чешка република	Přísn tajné	Tajné	Důvěrné	Vyhrazené
Дания	Yderst hemmeligt	Hemmeligt	Fortroligt	Til tjenestebrug
Германия	Streng geheim	Geheim	VS () - Vertraulich	VS — Nur für den Dienstgebrauch
Естония	Täiesti salajane	Salajane	Konfidentsiaalne	Piiratud
Гърция	Άκρως Απόρρητο Abr: ΑΑΠ	Απόρρητο Abr: (ΑΠ)	Εμπιστευτικό Αbr: (ΕΜ)	Περιορισμένης Χρήσης Abr: (ΠΧ)
Испания	Secreto	Reservado	Confidencial	Difusión Limitada
Франция	Très Secret Défense ()	Secret Défense	Confidentiel Défense
Ирландия	Top secret	Secret	Confidential	Restricted
Италия	Segretissimo	Segreto	Riservatissimo	Riservato
Кипър	Άκρως Απόρρητο	Απόρρητο	Εμπιστευτικό	Περιορισμένης Χρήσης
Латвия	Sevišķi slepeni	Slepeni	Konfidenciāli	Dienesta vajadzībām
Литва	Visiškai slaptai	Slaptai	Konfidencialiai	Riboto naudojimo
Люксембург	Très Secret	Secret	Confidentiel	Diffusion restreinte
Унгария	Szigorúan titkos!	Titkos!	Bizalmas!	Korlátozott terjesztésű!
Малта	L-Ghola Segretezza	Sigriet	Kunfidenzjali	Ristrett
Нидерландия	Stg. () Zeer geheim	Stg. Geheim	Stg. Confidentieel	Departementaalver-trouwelijk
Австрия	Streng Geheim	Geheim	Vertraulich	Eingeschränkt
Полша	Ściśle Tajne	Tajne	Poufne	Zastrzeżone
Португалия	Muito Secreto	Secreto	Confidencial	Reservado
Словения	Strogo tajno	Tajno	Zaupno	SVN Interno
Словакия	Prísne tajné	Tajné	Dôverné	Vyhradené
Финландия	Erittäin salainen	Erittäin salainen	Salainen	Luottamuksellinen
Швеция	Kvalificerat hemlig	Hemlig	Hemlig	Hemlig
Обединеното кралство	Top Secret	Secret	Confidential	Restricted
(1) VS = Verschlussache. (2) Класификацията Très secret défense, което покрива въпросите от приоритета на правителството, може да бъде сменена само с разрешението на министър-председателя. (3) Stg = staatsgeheim.

Настоящото ръководство е примерно и не може да се тълкува, че изменя съществените разпоредби, предвидени в раздели 16, 17, 20 и 21.

Класификация

Кога

Кой

Поставяне

Понижаване на степента на класифициране/декласифициране/унищожаване

Кой

Кога

►M1 RESTREINT UE ◄ материал на ЕС:

Тази степен на класифициране се прилага само за информация и материали, чието неразрешено оповестяване би могло да причини изключително тежки вреди на съществените интереси на Европейския съюз или на една или повече от неговите държави-членки [16.1].

Излагането на риск на материали, класифицирани като ►M1 RESTREINT UE ◄ материали на ЕС, има вероятност:

— да представлява пряка заплаха за вътрешната стабилност на ЕС или на някоя от неговите държави-членки, или на приятелски настроени държави

— да причини изключително тежки вреди на взаимоотношенията с приятелски настроени правителства

— пряко да доведе до масови човешки жертви

— да причини изключително тежки вреди на оперативната ефективност или сигурност на държавите-членки или на други сътруднически сили, или на продължаващата ефективност на изключително ценна сигурност или на разузнавателни операции

— да причини тежки и дълготрайни вреди на икономиката на ЕС или на държавите-членки.

Надлежно оторизираните лица (авторите), генерални директори, началници на служби [17.1]

Авторите посочват дата, период или събитие, когато може да се понижи степента на класифициране или да се декласифицира съдържанието [16.2]

В противен случай те преразглеждат документите най-малко веднъж на пет години, за да се гарантира необходимостта от първоначалната класификация [17.3].

Класификацията ►M1 RESTREINT UE ◄ ИНФОРМАЦИЯ НА ЕС се поставя върху ►M1 RESTREINT UE ◄ ДОКУМЕНТИ НА ЕС и когато е уместно — обозначение за сигурност и/или защитната маркировка ESDP с механични средства и на ръка [16.4, 16.5, 16.3].

Класификациите на ЕС и означенията за сигурност се поставят в средата на горното и долното поле на всяка страница, като всяка страница се номерира. Всеки документ се обозначава с референтен номер и дата; този референтен номер фигурира на всяка страница.

Ако документите трябва да се разпространят в няколко екземпляра, на първата страница на всеки от тях се обозначава номерът на екземпляра и общият брой страници. На първата страница се изброяват всички приложения [21.1].

Декласифицирането или понижаването на степента на класифициране се извършва само от автора, който информира за промяната всички последващи адресати, на които е изпратил или копирал документа [17.3].

►M1 RESTREINT UE ◄ документи на ЕС се унищожават от централната служба за регистрация или от подразделението на службата за регистрация, което отговаря за тях. Всеки унищожен документ се изброява в сертификат за унищожаване, който се подписва от контрольора на службата за регистрация на ►M1 RESTREINT UE ◄ информация на ЕС и от длъжностното лице, което присъства на унищожаването и което трябва да има разрешение за достъп до ►M1 RESTREINT UE ◄ информация на ЕС. Унищожаването се отбелязва в дневника. Службата за регистрация съхранява сертификатите за унищожаване, заедно с формулярите за разпространение, в продължение на десет години [22.5].

Излишните екземпляри и документите, които вече не са необходими, трябва да се унищожават [22.5].

►M1 RESTREINT UE ◄ документи на ЕС, включително всички класифицирани отпадъци от изготвянето на ►M1 RESTREINT UE ◄ документи на ЕС като повредени екземпляри, работни проекти, печатни записки, флопи дискове, се унищожават под надзора на контрольор на служба за регистрация на ►M1 RESTREINT UE ◄ информация на ЕС чрез изгаряне, претопяване, нарязване на тънки ивици или чрез намаляване по друг начин до неузнаваема и неподлежаща на възстановяване форма [22.5].

►M1 RESTREINT UE ◄

материал на ЕС: Тази степен на класифициране се прилага само за информация и материали, чието неразрешено оповестяване би могло сериозно да навреди на съществените интереси на Европейския съюз или на една или повече от неговите държави-членки [16.1].

Излагането на риск на материали, класифицирани като ►M1 RESTREINT UE ◄ материали на ЕС, има вероятност:

— да предизвика международно напрежение

— сериозно да увреди взаимоотношенията с приятелски настроени правителства

— да представлява пряка заплаха за живота или сериозно да накърни обществения ред или сигурността или свободата на личността

— да причини тежки вреди на оперативната ефективност или сигурност на държавите-членки или на други сътруднически сили, или на продължаващата ефективност на много ценна сигурност или на разузнавателни операции

— да причини съществени материални вреди на финансовите, валутните, икономическите и търговските интереси на ЕС или на неговите държави-членки.

Упълномощените лица (авторите), генерални директори, началници на служби [17.1].

Авторите посочват дата или период, когато може да се понижи степента на класифициране или да се декласифицира съдържанието (16.2].

Класификацията ►M1 RESTREINT UE ◄ информация на ЕС се поставя върху ►M1 RESTREINT UE ◄ документи на ЕС и когато е уместно — обозначение за сигурност и/или защитната маркировка ESDP с механични средства и на ръка [16.4, 16.5, 16.3].

Класификациите на ЕС и обозначенията за сигурност се поставят в средата на горното и долното поле на всяка страница, като всяка страница се номерира. Всеки документ се обозначава с референтен номер и дата; този референтен номер фигурира на всяка страница.

►M1 RESTREINT UE ◄ документи на ЕС се унищожават от службата за регистрация, която отговаря за тях. Унищожените ►M1 RESTREINT UE ◄ документи на ЕС се изброяват в подписани сертификати за унищожаване, които се съхраняват от службата за регистрация, заедно с формулярите за разпространение, в продължение на най-малко три години [22.5].

Излишните екземпляри и документите, които вече не са необходими, трябва да се унищожават [22.5].

►M1 RESTREINT UE ◄ документи на ЕС, включително всички класифицирани отпадъци от изготвянето на ►M1 RESTREINT UE ◄ документи на ЕС, като повредени екземпляри, работни проекти, печатни записки, флопи дискове, се унищожават чрез изгаряне, претопяване, нарязване на тънки ивици или чрез намаляване по друг начин до неузнаваема и неподлежаща на възстановяване форма [22.5].

►M1 RESTREINT UE ◄ МАТЕРИАЛ НА ЕС:

Тази степен на класифициране се прилага за информация и материали, чието неразрешено оповестяване би могло да навреди на съществените интереси на Европейския съюз или на една или повече от неговите държави-членки. [16.1].

Излагането на риск на материали, класифицирани като ►M1 RESTREINT UE ◄ МАТЕРИАЛИ НА ЕС има вероятност:

— съществено да навреди на дипломатически взаимоотношения, тоест да предизвика официален протест или други санкции;

— да накърни сигурността или свободата на личността;

— да причини вреди на оперативната ефективност или сигурност на държавите-членки или на други сътруднически сили, или на ефективността на ценна сигурност или на разузнавателни операции;

— съществено да подкопае финансовата жизнеспособност на големи организации;

— да възпрепятства разследването или да улесни извършването на тежки престъпления;

— да изиграе съществена роля против финансовите, валутните, икономическите и търговските интереси на ЕС или на неговите държави-членки;

— сериозно да възпрепятства развитието или функционирането на важни политики на ЕС;

— да доведе до преустановяване или до друг вид съществено прекъсване на важни дейности на ЕС.

Оторизираните лица (авторите), генерални директори, началници на служби [17.1].

Авторите посочват дата или период, когато може да се понижи степента на класифициране или да се декласифицира съдържанието. В противен случай те преразглеждат документите най-малко веднъж на пет години, за да се гарантира необходимостта от първоначалната класификация [17.3].

Класификацията ►M1 RESTREINT UE ◄ ИНФОРМАЦИЯ НА ЕС се поставя върху ►M1 RESTREINT UE ◄ ДОКУМЕНТИ НА ЕС и когато е необходимо — обозначение за сигурност и/или защитната маркировка ESDP с механични средства и на ръка или чрез отпечатване върху хартиени бланки с предварително отпечатан щемпел [16.4, 16.5, 16.3].

На първата страница се изброяват всички приложения [21.1].

►M1 RESTREINT UE ◄ ДОКУМЕНТИ НА ЕС се унищожават от службата за регистрация, която отговаря за тях, под надзора на лице, което има разрешение за достъп до такива материали. Тяхното унищожаване се регистрира в съответствие с националните нормативни разпоредби, а в случай на децентрализирани агенции на Комисията или ЕС — съгласно указанията на ►M2 члена на Комисията, отговарящ за въпросите по сигурността ◄ [22.5].

Излишните екземпляри и документите, които вече не са необходими, трябва да се унищожават [22.5].

Материал на ЕС ►M1 RESTREINT UE ◄ :

Тази степен на класифициране се прилага за информация и материали, чието неразрешено оповестяване би могло да причини неблагоприятни последици за интересите на Европейския съюз или на една или повече от неговите държави-членки. [16.1].

Излагането на риск на материали, класифицирани като материали на ЕС ►M1 RESTREINT UE ◄ има вероятност:

— да окаже неблагоприятно въздействие върху дипломатически отношения

— да предизвика значително човешко бедствие

— да затрудни поддържането на оперативната ефективност или сигурност на държавите-членки или на други сътруднически сили

— да причини финансови загуби или да улесни неправомерната печалба или предимство за физически лица или фирми

— да наруши съответни ангажименти за запазване на поверителния характер на информация, която се предоставя от трети страни

— да наруши нормативно установени ограничения за оповестяване на информация

— да възпрепятства разследването или да улесни извършването на престъпления

— да постави ЕС или държавите-членки в неизгодно положение по време на търговски или политически преговори с други страни

— да възпрепятства ефективното развитие или функциониране на политики на ЕС

— да подкопае правилното ръководство на ЕС и неговите операции.

Оторизираните лица (авторите), генерални директори, началници на служби [17.1]

Авторите посочват дата, период или събитие, когато може да се понижи степента на класифициране или да се декласифицира съдържанието [16.2].

Класификацията информация на ЕС ►M1 RESTREINT UE ◄ се поставя върху документи на ЕС ►M1 RESTREINT UE ◄ , и когато е уместно, обозначение за сигурност и/или защитната маркировка ESDP с механични или електронни средства [16.4, 16.5, 16.3].

Класификацията на ЕС и обозначенията за сигурност се поставят в горното поле на първата страница, като всяка страница се номерира. Всеки документ се обозначава с референтен номер и дата [21.1].

Декласифицирането се извършва само от автора, който информира за промяната всички последващи адресати, на които е изпратил или копирал документа [17.3].

Документи на ЕС ►M1 RESTREINT UE ◄ се унищожават от службата за регистрация, която отговаря за документа или от потребителя съгласно инструкциите на ►M2 члена на Комисията, отговарящ за въпросите по сигурността ◄ [22.5].

Излишните екземпляри и документите, които вече не са необходими, трябва да се унищожават (22.5).

Насоки за предоставяне на достъп до класифицирана информация на ЕС на трети държави или международни организации: Сътрудничество от степен 1

РАЗПОРЕДБИ ЗА СИГУРНОСТ, КОИТО ТРЯБВА ДА СЕ ПРИЛАГАТ ОТ БЕНЕФИЦИЕНРИТЕ

Насоки за предоставяне на достъп до класифицирана информация на ЕС на трети държави или международни организации: Сътрудничество от степен 2

ПРАВИЛА ЗА СИГУРНОСТ, КОИТО ТРЯБВА ДА СЕ ПРИЛАГАТ ОТ БЕНЕФИЦИЕРИТЕ

Насоки за предоставяне на достъп до класифицирана информация на ЕС на трети държави или международни организации: Сътрудничество от степен 3

РАЗПОРЕДБИ ЗА СИГУРНОСТ, КОИТО ТРЯБВА ДА СЕ ПРИЛАГАТ ОТ БЕНЕФИЦИЕРИТЕ

СПИСЪК НА СЪКРАЩЕНИЯТА

ACPC	Консултативен комитет за доставки и договори
CrA	Криптографски орган
CISO	Завеждащ сигурността на информацията на централно равнище
COMPUSEC	Компютърна сигурност
COMSEC	Сигурност на комуникациите
CSO	►M2 Дирекция по сигурността на Комисията ◄
ESDP	Европейска политика за сигурност и отбрана
EUCI	Класифицирана информация на ЕС
IA	Орган по сигурността на информацията
INFOSEC	Сигурност на информацията
IO	Собственик на информацията
ISO	Международна организация за стандартизация
IT	Информационна технология
LISO	Отговорник по сигурността на информацията на местно равнище
LSO	Отговорник по сигурността на местно равнище
MSO	Отговорник по сигурността на среща
NSA	Национален орган за сигурност
PC	Персонален компютър
RCO	Служител, отговорен за контрола на службата за регистрация
SAA	Акредитиращ орган по сигурността
SecOPS	Процедури за сигурност при работа
SSRS	Декларация за специфичните изисквания за сигурност на системата
TA	Орган „TEMPEST“
TSO	Собственик на технически системи
▼M3
DSA	Обозначен орган по сигурността
FSC	Разрешително за сигурност на оборудване
FSO	Отговорник по сигурността на оборудване
PSC	Разрешително за сигурност на персонала
SAL	Приложение за сигурност
SCG	Ръководство за класификация за сигурност.

( 5 ) Без да се засягат разпоредбите на Виенската конвенция от 1961 г. за дипломатическите взаимоотношения и на Протокола за привилегиите и имунитета на Европейските общности от 8 април 1965 г.

( 6 ) Виж сравнителната таблица за класификациите за сигурност на ЕС, НАТО, ЗЕС и държавите-членки в допълнение 1.

		Официален вестник
		No	page	date
►M1	РЕШЕНИЕ НА КОМИСИЯТА от 3 февруари 2005 година	L 31	66	4.2.2005
►M2	РЕШЕНИЕ НА КОМИСИЯТА от 31 януари 2006 година	L 34	32	7.2.2006
►M3	РЕШЕНИЕ НА КОМИСИЯТА от 2 август 2006 година	L 215	38	5.8.2006

Съдържание
ЧАСТ I:	ОСНОВНИ ПРИНЦИПИ И МИНИМАЛНИ СТАНДАРТИ ЗА СИГУРНОСТ
1.	ВЪВЕДЕНИЕ
2.	ОБЩИ ПРИНЦИПИ
3.	ОСНОВИ НА СИГУРНОСТТА
4.	ПРИНЦИПИ ЗА СИГУРНОСТ НА ИНФОРМАЦИЯТА
4.1.	Цели
4.2.	Определения
4.3.	Класифициране
4.4.	Цели на мерките за сигурност
5.	ОРГАНИЗАЦИЯ НА СИГУРНОСТТА
5.1.	Общи минимални стандарти
5.2.	Организация
6.	СИГУРНОСТ НА ПЕРСОНАЛА
6.1.	Проверка на персонала преди предоставяне на достъп до секретни материали
6.2.	Регистър на предоставените на персонала разрешения за достъп до секретни материали
6.3.	Инструктаж за сигурност на персонала
6.4.	Управленски отговорности
6.5.	Статут за сигурност на персонала
7.	ФИЗИЧЕСКА СИГУРНОСТ
7.1.	Необходимост от защита
7.2.	Проверки
7.3.	Сигурност на сгради
7.4.	Планове за аварийни ситуации
8.	СИГУРНОСТ НА ИНФОРМАЦИЯТА
9.	МЕРКИ СРЕЩУ САБОТАЖИ И КОНТРОЛ НА ДРУГИ ФОРМИ НА УМИШЛЕНО ЗЛОНАМЕРЕНО ПРИЧИНЯВАНЕ НА ВРЕДИ
10.	ПРЕДОСТАВЯНЕ НА ДОСТЪП ДО КЛАСИФИЦИРАНА ИНФОРМАЦИЯ НА ТРЕТИ ДЪРЖАВИ ИЛИ НА МЕЖДУНАРОДНИ ОРГАНИЗАЦИИ
ЧАСТ II:	ОРГАНИЗАЦИЯ ЗА СИГУРНОСТ В КОМИСИЯТА
11.	ЧЛЕН НА КОМИСИЯТА, КОЙТО ОТГОВАРЯ ПО ВЪПРОСИТЕ НА СИГУРНОСТТА
12.	КОНСУЛТАТИВНА ГРУПА ПО ПОЛИТИКАТА ЗА СИГУРНОСТ НА КОМИСИЯТА
13.	СЪВЕТ ЗА СИГУРНОСТ НА КОМИСИЯТА
14.	►M2 ДИРЕКЦИЯ ПО СИГУРНОСТТА НА КОМИСИЯТА ◄
15.	ИНСПЕКЦИИ НА СИГУРНОСТТА
16.	КЛАСИФИКАЦИИ, ОБОЗНАЧЕНИЯ И МАРКИРОВКИ ЗА СИГУРНОСТ
16.1.	Степени на класифициране
16.2.	Обозначения за сигурност
16.3.	Маркировки
16.4.	Поставяне на класификация
16.5.	Поставяне на обозначения за сигурност
17.	УПРАВЛЕНИЕ НА КЛАСИФИЦИРАНЕТО
17.1.	Общи положения
17.2.	Прилагане на класификации
17.3.	Понижаване на степента на класификация и декласифициране
18.	ФИЗИЧЕСКА СИГУРНОСТ
18.1.	Общи положения
18.2.	Изисквания за сигурност
18.3.	Мерки за физическа сигурност
18.3.1.	Зони на сигурност
18.3.2.	Административна зона
18.3.3.	Проверки при влизане и излизане
18.3.4.	Охранителни патрули
18.3.5.	Контейнери за сигурност и блиндирани помещения
18.3.6.	Ключалки
18.3.7.	Контрол на ключове и комбинации
18.3.8.	Устройства за откриване на неправомерен достъп
18.3.9.	Одобрено оборудване
18.3.10.	Физическа защита на копирни и телефаксни апарати
18.4.	Защита срещу визуален достъп и подслушване
18.4.1.	Визуален достъп
18.4.2.	Подслушване
18.4.3.	Внасяне на електронно и записващо оборудване
18.5.	Технически обезопасени зони
19.	ОБЩИ ПРАВИЛА ОТНОСНО ПРИНЦИПА НА НЕОБХОДИМОСТ ОТ ЗНАНИЯ И ОТНОСНО ЛИЧНИТЕ РАЗРЕШЕНИЯ ЗА ДОСТЪП ДО СЕКРЕТНИ МАТЕРИАЛИ НА ЕС
19.1.	Общи положения
19.2.	Специфични правила за достъпа до ►M1 RESTREINT UE ◄ информация на ЕС
19.3.	Специфични правила за достъпа до ►M1 RESTREINT UE ◄ и ►M1 RESTREINT UE ◄ информация на ЕС
19.4.	Специфични правила за достъпа до информация на ЕС ►M1 RESTREINT UE ◄
19.5.	Предаване на материали
19.6.	Специални инструкции
20.	ПРОЦЕДУРА ЗА ИЗДАВАНЕ НА РАЗРЕШЕНИЯ НА ДЛЪЖНОСТНИТЕ ЛИЦА И ОСТАНАЛИТЕ СЛУЖИТЕЛИ НА КОМИСИЯТА
21.	ИЗГОТВЯНЕ, РАЗПРОСТРАНЕНИЕ, ПРЕДАВАНЕ, СИГУРНОСТ НА КУРИЕРСКИЯ ПЕРСОНАЛ И ДОПЪЛНИТЕЛНИ ЕКЗЕМПЛЯРИ ИЛИ ПРЕВОДИ И ИЗВЛЕЧЕНИЯ ОТ КЛАСИФИЦИРАНИ ДОКУМЕНТИ НА ЕС
21.1.	Изготвяне
21.2.	Разпространение
21.3.	Предаване на класифицирани документи на ЕС
21.3.1.	Опаковане, разписки
21.3.2.	Предаване в рамките на сграда или група от сгради
21.3.3.	Предаване в рамките на държава
21.3.4.	Предаване от една държава в друга държава
21.3.5.	Предаване на документи на ЕС ►M1 RESTREINT UE ◄
21.4.	Сигурност на куриерския персонал
21.5.	Електронни и други средства за техническо предаване
21.6.	Допълнителни екземпляри, преводи или извадки от класифицирани документи на ЕС
22.	СЛУЖБИ ЗА РЕГИСТРАЦИЯ НА КЛАСИФИЦИРАНА ИНФОРМАЦИЯ НА ЕС, ИНВЕНТАРНИ СПИСЪЦИ, ПРОВЕРКИ И УНИЩОЖАВАНЕ НА КЛАСИФИЦИРАНА ИНФОРМАЦИЯ НА ЕС
22.1.	Местни служби за регистрация на класифицирана информация на ЕС
22.2.	Служба за регистрация на ►M1 RESTREINT UE ◄ информация на ЕС
22.2.1.	Общи положения
22.2.2.	Централна служба за регистрация на ►M1 RESTREINT UE ◄ информация на ЕС
22.2.3.	Подразделения на службите за регистрация на ►M1 RESTREINT UE ◄ информация на ЕС
22.3.	Стоково-материални запаси, прегледи и проверки на класифицирани документи на ЕС
22.4.	Архивно съхранение на класифицирани документи на ЕС
22.5.	Унищожаване на класифицирани документи на ЕС
22.6.	Унищожаване при аварийни ситуации
23.	МЕРКИ ЗА СИГУРНОСТ ПРИ СПЕЦИФИЧНИ СРЕЩИ, КОИТО СЕ ПРОВЕЖДАТ ИЗВЪН ПОМЕЩЕНИЯТА НА КОМИСИЯТА И ПО ВРЕМЕ НА КОИТО СЕ ИЗПОЛЗВА КЛАСИФИЦИРАНА ИНФОРМАЦИЯ НА ЕС
23.1.	Общи положения
23.2.	Отговорности
23.2.1.	►M2 Дирекция по сигурността на Комисията ◄
23.2.2.	Служител по сигурността на срещите (MSO)
23.3.	Мерки за сигурност
23.3.1.	Зони за сигурност
23.3.2.	Пропуски
23.3.3.	Проверка на фотографско и аудиооборудване
23.3.4.	Проверка на куфарчета, преносими компютри и пакети
23.3.5.	Техническа сигурност
23.3.6.	Документи на делегациите
23.3.7.	Безопасно съхранение на документи
23.3.8.	Проверки на служебни помещения
23.3.9.	Изхвърляне на класифицирани отпадъци на ЕС
24.	НАРУШЕНИЯ НА РАЗПОРЕДБИТЕ ЗА СИГУРНОСТ И ИЗЛАГАНЕ НА РИСК НА КЛАСИФИЦИРАНА ИНФОРМАЦИЯ НА ЕС
24.1.	Определения
24.2.	Докладване за нарушения на разпоредбите за сигурност
24.3.	Правни действия
25.	ЗАЩИТА НА КЛАСИФИЦИРАНА ИНФОРМАЦИЯ НА ЕС, КОЯТО СЕ ОБРАБОТВА В ИНФОРМАЦИОННИ И КОМУНИКАЦИОННИ СИСТЕМИ
25.1.	Въведение
25.1.1.	Общи положения
25.1.2.	Заплахи за и уязвимост на системите
25.1.3.	Главна цел на мерките за сигурност
25.1.4.	Декларация за специфичните изисквания за сигурност на системата (SSRS)
25.1.5.	Режими на работа при условия на сигурност
25.2.	Определения
25.3.	Отговорност за сигурността
25.3.1.	Общи положения
25.3.2.	Акредитиращ орган по сигурността (SAA)
25.3.3.	Орган по сигурността на информацията (IA)
25.3.4.	Собственик на техническите системи (TSO)
25.3.5.	Собственик на информацията (IO)
25.3.6.	Потребители
25.3.7.	Обучение по сигурност на информацията
25.4.	Нетехнически мерки за сигурност
25.4.1.	Сигурност на персонала
25.4.2.	Физическа сигурност
25.4.3.	Контрол на достъпа до система
25.5.	Технически мерки за сигурност
25.5.1.	Сигурност на информацията
25.5.2.	Контрол и отчетност на информацията
25.5.3.	Работа с и контрол на отделящи се електронни информационни носители
25.5.4.	Декласифициране и унищожаване на електронни информационни носители
25.5.5.	Сигурност на комуникациите
25.5.6.	Инсталационна и радиационна сигурност
25.6.	Сигурност по време на работа
25.6.1.	Процедури за сигурност при работа (SecOPS)
25.6.2.	Софтуерна защита/управление на конфигурации
25.6.3.	Проверка за наличие на опасни софтуерни/компютърни вируси
25.6.4.	Поддръжка
25.7.	Доставки
25.7.1.	Общи положения
25.7.2.	Акредитация
25.7.3.	Оценка и сертифициране
25.7.4.	Рутинни проверки на характеристиките за сигурност за продължаване на акредитацията
25.8.	Временно или случайно използване
25.8.1.	Сигурност на микрокомпютри/персонални компютри
25.8.2.	Използване на лично информационно-технологично оборудване за официалната работа на Комисията
25.8.3.	Използване на информационно-технологично оборудване, което е собственост на изпълнител, или което се доставя от държавите-членки за официална работа на Комисията
26.	ПРЕДОСТАВЯНЕ НА ДОСТЪП ДО КЛАСИФИЦИРАНА ИНФОРМАЦИЯ НА ТРЕТИ СТРАНИ ИЛИ НА МЕЖДУНАРОДНИ ОРГАНИЗАЦИИ
26.1.1.	Принципи, които регулират предоставянето на достъп до класифицирана информация на ЕС
26.1.2.	Степени
26.1.3.	Споразумения за сигурност
ДОПЪЛНЕНИЕ 1:	Съпоставка с националните класификации за сигурност
ДОПЪЛНЕНИЕ 2:	Практическо ръководство за класифициране
ДОПЪЛНЕНИЕ 3:	Насоки за предоставяне на достъп до класифицирана информация на ЕС на трети държави или международни организации: Сътрудничество от степен 1
ДОПЪЛНЕНИЕ 4:	Насоки за предоставяне на достъп до класифицирана информация на ЕС на трети държави или международни организации: Сътрудничество от степен 2
ДОПЪЛНЕНИЕ 5:	Насоки за предоставяне на достъп до класифицирана информация на ЕС на трети държави или международни организации: Сътрудничество от степен 3
ДОПЪЛНЕНИЕ 6:	Списък на съкращенията