32001D0264

A Tanács határozata

(2001. március 19.)

a Tanács biztonsági szabályzatának elfogadásáról

(2001/264/EK)

AZ EURÓPAI UNIÓ TANÁCSA,

tekintettel az Európai Közösséget létrehozó szerződésre és különösen annak 207. cikke (3) bekezdésére,

tekintettel a Tanács eljárási szabályzatának elfogadásáról szóló, 2000. június 5-i 2000/396/EK, ESZAK, Euratom tanácsi határozatra [1] és különösen annak 24. cikkére,

mivel:

(1) A Tanács tevékenységének a bizonyos fokú titoktartást igénylő területeken történő továbbfejlesztése érdekében helyénvaló egy olyan átfogó biztonsági rendszert létrehozni, amely kiterjed a Tanácsra, annak Főtitkárságára és a tagállamokra.

(2) Az ilyen rendszernek egy szövegben kell összefognia az e területre vonatkozó minden korábbi határozat és rendelkezés témáját.

(3) A gyakorlatban a CONFIDENTIEL UE és magasabb minősítésű uniós információk nagyobb része a közös biztonság- és védelmi politikára vonatkozik.

(4) Az így létrehozott biztonsági rendszer eredményességének biztosítása céljából a tagállamoknak részt kell venniük a működésében azáltal, hogy nemzeti intézkedéseket hoznak annak érdekében, hogy e határozat rendelkezéseit betartassák, amikor illetékes hatóságaik és alkalmazottaik EU minősített információkat kezelnek.

(5) A Tanács üdvözli a Bizottság abbéli szándékát, hogy e határozat alkalmazásának időpontjáig a hozzá tartozó mellékleteknek megfelelő átfogó rendszert vezessen be az uniós döntéshozatali folyamat zökkenőmentes működésének biztosítása végett.

(6) A Tanács rámutat annak fontosságára, hogy adott esetben az Európai Parlamentet és a Bizottságot is bevonják az unió és annak tagállamai érdekeinek védelméhez szükséges titoktartási szabályok és előírások alkalmazásába.

(7) Ez a határozat nem érinti a Szerződés 255. cikkét és az azt végrehajtó jogi aktusokat.

(8) Ez a határozat nem érinti a tagállamok fennálló gyakorlatát a nemzeti parlamenteknek az unió tevékenységével kapcsolatos tájékoztatása tekintetében,

A KÖVETKEZŐKÉPPEN HATÁROZOTT:

1. cikk

A Tanács a mellékletben foglalt biztonsági szabályzatot jóváhagyja.

2. cikk

(1) A főtitkár/főképviselő meghozza a megfelelő intézkedéseket annak érdekében, hogy az EU minősített információk kezelése során az 1. cikkben említett szabályzatot a Tanács Főtitkárságán (a továbbiakban: Főtitkárság) belül a Főtitkárság tisztviselői és egyéb alkalmazottai, külső szerződéses megbízottai, illetve a Főtitkársághoz kirendelt személyzet, továbbá a Tanács helyiségeiben és az EU decentralizált szerveinél [2] betartsák.

(2) A tagállamok megfelelő, a nemzeti rendelkezéseikkel összhangban lévő intézkedésekkel biztosítják, hogy az EU minősített információk kezelésekor intézményeikben és helyiségeikben az 1. cikkben említett szabályzatot a következők betartsák:

a) a tagállamok Európai Unió melletti állandó képviseleteinek tagjai, valamint a Tanács vagy annak szervei ülésein, illetve a Tanács egyéb tevékenységeiben részt vevő nemzeti küldöttségek tagjai;

b) a tagállamok nemzeti közigazgatásának más tagjai, akik EU minősített információkat kezelnek, akár a tagállamok területén, akár külföldön szolgálnak; és

c) a tagállamok külső szerződéses megbízottai és az általuk kirendelt személyzet, akik EU minősített információkat kezelnek.

A tagállamok kötelesek haladéktalanul értesíteni a Főtitkárságot a meghozott intézkedésekről.

(3) Az (1) és a (2) bekezdésben említett intézkedéseket 2001. november 30. előtt meg kell hozni.

3. cikk

A melléklet I. részében foglalt alapelvek és biztonsági minimumszabályok betartásával a főtitkár/főképviselő intézkedéseket hozhat a melléklet II. része I. szakasza 1. és 2. pontjának megfelelően.

4. cikk

Alkalmazásának napjától kezdve ez a határozat a következők helyébe lép:

a) a Tanács 1998. április 27-i 98/319/EK határozata a Tanács birtokában lévő minősített információkhoz való hozzáférést a Tanács Főtitkárságának tisztviselői és alkalmazottai részére lehetővé tevő eljárásokról [3];

b) a főtitkár/főképviselő 2000. július 27-i határozata a Tanács Főtitkársága tekintetében a minősített információk védelmét szolgáló intézkedésekről [4];

c) a Tanács főtitkárának 1997. május 22-i 433/97 határozata a Cortesy-rendszer működéséért felelős személyek biztonsági ellenőrzésének eljárásáról.

5. cikk

(1) Ez a határozat kihirdetésének napján lép hatályba.

(2) Ezt a határozatot 2001. december 1-jétől kell alkalmazni.

Kelt Brüsszelben, 2001. március 19-én.

a Tanács részéről

az elnök

A. Lindh

[1] HL L 149., 2000.6.23., 21. o.

[2] Lásd a Tanács 2000. november 10-i következtetéseit.

[3] HL L 140., 1998.5.12., 12. o.

[4] HL C 239., 2000.8.23., 1. o.

--------------------------------------------------

MELLÉKLET

AZ EURÓPAI UNIÓ TANÁCSÁNAK BIZTONSÁGI SZABÁLYZATA

TARTALOMJEGYZÉK

Alapelvek és biztonsági minimumszabályok

II. RÉSZ

A biztonsági szervezet az Európai Unió Tanácsában

Minősítések és jelölések

A minősítés szabályai

Fizikai biztonság

A "szükséges ismeret" elvére és a biztonsági ellenőrzésre vonatkozó általános szabályok

A Főtitkárság tisztviselőire és egyéb alkalmazottaira vonatkozó biztonsági ellenőrzési eljárás

Az EU minősített anyagok előállítása, elosztása, továbbítása, tárolása és megsemmisítése

TRÈS SECRET UE/EU TOP SECRET anyagok nyilvántartó hivatalai

A Tanács helyiségein kívül és rendkívül kényes ügyekben tartott különleges ülések esetén alkalmazandó biztonsági intézkedések

A biztonság megsértése és EU minősített információk illetéktelenek tudomására jutása

Az IT-rendszerekben és kommunikációs rendszerekben kezelt információk védelme

EU minősített információk átadása harmadik államok vagy nemzetközi szervezetek részére

A nemzeti biztonsági hatóságok jegyzéke

A nemzeti biztonsági minősítések összehasonlító táblázata

Gyakorlati minősítési útmutató

Iránymutatások az EU minősített információk harmadik államok vagy nemzetközi szervezetek számára való átadásához– 1. szintű együttműködés

Iránymutatások az EU minősített információk harmadik államok vagy nemzetközi szervezetek számára való átadásához– 2. szintű együttműködés

Iránymutatások az EU minősített információk harmadik államok vagy nemzetközi szervezetek számára való átadásához– 3. szintű együttműködés

I. RÉSZ

ALAPELVEK ÉS BIZTONSÁGI MINIMUMSZABÁLYOK

BEVEZETÉS

1. Ezek a rendelkezések az alapelveket és a biztonság minimumszabályait határozzák meg, melyeket a Tanácsnak, a Tanács Főtitkárságának (a továbbiakban: a Főtitkárság), a tagállamoknak és az Európai Unió decentralizált szerveinek (a továbbiakban: az EU decentralizált szervei) megfelelő módon be kell tartaniuk, hogy a biztonságot megőrizzék, és hogy mindegyik bizonyos lehessen abban, hogy a védelem közös szintje megvalósul.

2. Az "EU minősített információ" olyan információt és anyagot jelent, amelynek engedély nélküli kiszolgáltatása különböző mértékben sértheti az EU-nak, illetve egy vagy több tagállamának az érdekeit, függetlenül attól, hogy az ilyen információ az EU-n belül keletkezett, illetve a tagállamoktól, harmadik államoktól vagy nemzetközi szervezetektől származik.

3. E szabályzat alkalmazásában:

a) A "dokumentum" kifejezés olyan levelet, feljegyzést, jegyzőkönyvet, jelentést, memorandumot, jelet/üzenetet, vázlatot, fényképet, diát, filmet, térképet, ábrát, tervet, jegyzetfüzetet, stencilt, indigót, írógép- vagy nyomtatószalagot, magnószalagot, kazettát, számítógépes mágneslemezt, CD-ROM-ot vagy más adathordozó eszközt jelent, amelyen információt tárolnak.

b) Az "anyag" kifejezés az a) pont szerinti "dokumentumot" jelent, továbbá bármely legyártott vagy gyártás alatt álló felszerelési tárgyat.

4. A biztonság terén az elsődleges célok a következők:

a) az EU minősített információk védelme a kémkedés, az illetéktelenek tudomására jutása vagy az engedély nélküli kiszolgáltatás ellen;

b) a kommunikációs és információs rendszerekben és hálózatokban kezelt EU információk védelme az integritásukat és rendelkezésre állásukat fenyegető veszélyekkel szemben;

c) az EU-információknak helyet adó berendezések védelme a szabotázzsal és a szándékos rongálással szemben;

d) a biztonsági intézkedések kudarca esetén az okozott kár felmérése, a következmények korlátozása és a szükséges korrekciós intézkedések elfogadása.

5. A stabil biztonság alapjai a következők:

a) Minden egyes tagállamban egy nemzeti biztonsági szervezet, amelynek hatáskörébe az alábbiak tartoznak:

i. kémkedésre, szabotázsra, terrorizmusra és egyéb felforgató tevékenységekre vonatkozó bűnüldözési operatív információk gyűjtése és nyilvántartása; valamint

ii. tájékoztatás és tanácsadás a kormány és – ez utóbbi útján – a Tanács számára a biztonságot fenyegető veszélyek természetéről és a védelem velük szemben alkalmazandó eszközeiről.

b) Minden egyes tagállamban és a Főtitkárságon belül egy technikai INFOSEC-hatóság, amelynek hatáskörébe tartozik, hogy az érintett biztonsági hatósággal együttműködésben tájékoztasson a biztonságot fenyegető technikai veszélyekről és tanácsokat adjon a velük szemben alkalmazandó védelmi intézkedésekről;

c) a hatóságok, hivatalok és a Főtitkárság megfelelő szolgálatai közötti rendszeres együttműködés, hogy meghatározzák:

i. a védelemre szoruló információkat, erőforrásokat és berendezéseket; és

ii. a közös védelmi szabályokat,

és adott esetben megfelelő ajánlásokat tegyenek.

6. A titoktartás terén körültekintés és tapasztalat szükséges a védendő információk és anyagok kiválasztása és a szükséges védelem fokának megválasztása során. Alapvető, hogy a védelem foka megfeleljen annak, hogy az egyes védendő információk és anyagok biztonsági szempontból mennyire fontosak. A zavartalan információáramlás biztosítása végett biztosítani kell a túlzottan szigorú minősítések elkerülését. A minősítési rendszer ezen elvek gyakorlatba való átültetésének eszköze. Hasonló minősítési rendszer alkalmazandó a kémkedés, a szabotázs, a terrorizmus és az egyéb veszély leküzdésére szolgáló intézkedések megtervezése és megszervezése során, hogy a minősített információknak helyet adó legfontosabb helyiségek és azokon belül a legérzékenyebb pontok részesüljenek a legmagasabb szintű védelemben.

ALAPELVEK

7. A biztonsági intézkedéseknek:

a) ki kell terjedniük a minősített információkhoz hozzáférni képes személyekre, a minősített információkat hordozó eszközökre, az ilyen információknak helyet adó valamennyi helyiségre és a fontos berendezésekre;

b) ki kell szűrniük azokat a személyeket, akiknek az alkalmazása veszélyeztetheti a minősített információk és az azokat tartalmazó fontos berendezések biztonságát, és rendelkezniük kell ezen személyek kizárásáról vagy eltávolításáról;

c) meg kell akadályozniuk, hogy illetéktelen személyek minősített információkhoz vagy az azokat tartalmazó berendezésekhez hozzáférhessenek;

d) biztosítaniuk kell, hogy a minősített információk elosztása kizárólag a "szükséges ismeret" elve alapján történjék, ami valamennyi biztonsági szempontból alapvető;

e) biztosítaniuk kell az összes – akár minősített, akár nem minősített, és különösen az elektromágneses formában tárolt, kezelt vagy továbbított – információ integritását (vagyis meg kell akadályozniuk azok megrongálódását, illetéktelen módosítását vagy illetéktelen törlését) és rendelkezésre állását (vagyis a hozzáférést nem tagadhatják meg azoktól, akiknek szükségük van arra és a hozzáféréshez felhatalmazással rendelkeznek).

A BIZTONSÁGI SZERVEZET

Közös minimumszabályok

8. A Tanács és minden tagállam biztosítja, hogy a biztonság közös minimumszabályait minden közigazgatási és/vagy kormányzati szerv, az EU egyéb intézményei, szervei és szerződéses megbízottai betartsák, hogy a minősített információk azzal a bizalommal kerüljenek átadásra, hogy azokat egyforma elővigyázatossággal kezelik. Ezek a minimumszabályok tartalmazzák a személyzet biztonsági ellenőrzésének kritériumait és az EU minősített információk védelmére irányuló eljárásokat.

A SZEMÉLYZET BIZTONSÁGA

Biztonsági ellenőrzés

9. Minden olyan személyt, akinek CONFIDENTIEL UE vagy ennél magasabb minősítésű információkhoz kell hozzáférnie, megfelelő biztonsági ellenőrzésnek vetnek alá, mielőtt a hozzáféréshez a felhatalmazást megadnák. Hasonló biztonsági ellenőrzésre van szükség az olyan személyek esetében is, akiknek feladatkörébe a minősített információkat tartalmazó kommunikációs és információs rendszerek technikai üzemeltetése vagy karbantartása tartozik. A biztonsági ellenőrzés célja annak megállapítása, hogy az illető személyek:

a) hűsége megkérdőjelezhetetlen-e;

b) jelleme és titoktartási képessége folytán nem férhet-e kétség ahhoz, hogy a minősített információk kezelése során feddhetetlenül járnak el; vagy

c) külföldi vagy más helyről kiinduló nyomásgyakorlás révén esetleg sebezhetők-e, például korábbi lakóhelyük vagy kapcsolataik miatt, amelyek biztonsági kockázatot jelenthetnek.

A biztonsági ellenőrzési eljárás során különösen alapos ellenőrzésnek kell alávetni azokat a személyeket, akik:

d) TRÈS SECRET UE/EU TOP SECRET minősítésű információkhoz való hozzáférésre kapnak felhatalmazást;

e) olyan beosztásban dolgoznak, ahol rendszeresen jelentős mennyiségű SECRET UE információhoz férnek hozzá;

f) feladatuk ellátása során különleges hozzáféréssel rendelkeznek valamely feladat szempontjából döntő fontosságú kommunikációs vagy információs rendszerhez, és így lehetőségük van arra, hogy illetéktelenül kerüljenek nagy mennyiségű EU minősített információ birtokába, illetve technikai szabotázscselekmények útján súlyosan ártsanak a feladat ellátásának.

A d), e) és f) pontokban említett esetekben a lehető legteljesebb mértékben alkalmazni kell az előélet lenyomozásának technikáját.

10. Ha valamely személyeket, akiknek nincsen megalapozott szükségük az ismeretre, olyan körülmények között alkalmaznak, ahol EU minősített információkhoz férhetnek hozzá (például futárok, biztonsági alkalmazottak, karbantartó vagy takarítószemélyzet stb.), az ilyen személyeket előzetesen megfelelő biztonsági ellenőrzésnek kell alávetni.

A személyzeti biztonsági felhatalmazások nyilvántartása

11. Minden olyan szolgálat, szerv vagy intézmény, amely EU minősített információkat kezel, vagy ahol valamely feladat szempontjából döntő fontosságú kommunikációs vagy információs rendszer van, köteles nyilvántartást vezetni az ott dolgozó személyzet biztonsági felhatalmazásáról. Minden biztonsági felhatalmazást szükség esetén ellenőriznek annak érdekében, hogy megfeleljen az adott személy aktuális feladatával járó kívánalmaknak; a biztonsági felhatalmazás felülvizsgálatának elsődlegességet kell biztosítani minden esetben, ha új információt kapnak arra vonatkozólag, hogy a minősített információkhoz való hozzáféréssel járó munka folytatása nem egyeztethető össze a biztonsági érdekekkel. Az ellenőrzési eredmények nyilvántartását az érintett szolgálat, szerv vagy intézmény biztonsági felelőse kezeli.

A személyzet biztonsági képzése

12. Azok a személyek, akiket olyan beosztásban alkalmaznak, amelyben minősített információkhoz férhetnek hozzá, hivatalba lépésükkor, majd rendszeres időközönként valamennyien alapos oktatásban részesülnek a biztonsági intézkedések szükségessége és az ezek megvalósítására irányuló eljárások tekintetében. Hasznos eljárás előírni, hogy az ilyen beosztású személyek írásbeli nyilatkozatot tegyenek, hogy a munkájuk szempontjából fontos biztonsági szabályokat teljes mértékben megértették.

A vezetők felelőssége

13. A vezetők kötelezettsége, hogy ismerjék a minősített információkkal dolgozó vagy valamely feladat ellátása szempontjából döntő fontosságú biztonságos kommunikációs vagy információs rendszerekhez hozzáféréssel rendelkező beosztottjaikat, továbbá hogy feljegyezzék és jelentsék azokat az eseményeket vagy nyilvánvalóan gyenge pontokat, amelyek kihatással lehetnek a biztonságra.

A személyzet biztonsági státusa

14. Ki kell alakítani azokat az eljárásokat, amelyek alapján – ha valamely személlyel kapcsolatban kedvezőtlen információ válik ismertté – meg lehet állapítani, hogy az illető személy dolgozik-e minősített információkkal vagy hozzáfér-e valamely feladat ellátása szempontjából döntő fontosságú kommunikációs vagy információs rendszerekhez, és erről az érintett hatóságot tájékoztatni kell. Ha azt állapítják meg, hogy a kérdéses személy biztonsági kockázatot jelent, az illetőt azon feladatokból, amelyek ellátása során a biztonságot veszélyeztetheti, ki kell zárni vagy beosztásából el kell távolítani.

FIZIKAI BIZTONSÁG

A védelem szükségessége

15. Az EU minősített információk védelmének biztosítása érdekében alkalmazandó fizikai biztonsági intézkedések mértékének arányosnak kell lennie a birtokolt információk és anyagok minősítésével, mennyiségével és veszélyeztetettségével. Ezért külön gondot kell fordítani arra, hogy a minősítés ne legyen túlzottan enyhe vagy szigorú, és ezért a minősítést rendszeresen felül kell vizsgálni. Az EU minősített információk valamennyi birtokosa egységes gyakorlatot köteles követni az információk minősítése tekintetében és közös védelmi szabályoknak köteles eleget tenni a védelmet igénylő információk és anyagok megőrzése, továbbítása és megsemmisítése tekintetében.

Ellenőrzés

16. Az EU minősített információk elhelyezésére szolgáló területek elhagyása előtt a minősített információk biztonságos megőrzéséért felelős személyeknek meg kell győződniük arról, hogy az információk tárolása kellően biztonságos-e és hogy az összes biztonsági berendezést (zárakat, riasztókat stb.) működésbe hozták-e. Munkaidő után további, független ellenőrzéseket kell végezni.

Az épületek biztonsága

17. Az EU minősített információk vagy a valamely feladat ellátása szempontjából döntő fontosságú kommunikációs és információs rendszerek elhelyezésére szolgáló épületeket az illetéktelen behatolás ellen védeni kell. Az EU minősített információk számára nyújtott védelem természete – például ablakrácsok, ajtózárak, őrök a bejáratnál, automatikus hozzáférés-ellenőrző rendszerek, biztonsági ellenőrzések és őrjáratok, riasztórendszerek, behatolásjelző rendszerek és őrkutyák – a következőktől függ:

a) a védendő információ és anyag minősítése, mennyisége és elhelyezkedése az épületen belül;

b) az ilyen információkat és anyagokat tartalmazó biztonsági tárolóeszközök minősége,

c) az épület fizikai jellemzői és elhelyezkedése.

18. A kommunikációs és információs rendszerek számára nyújtott védelem jellege hasonlóképpen attól függ, hogy a felmérések szerint milyen eszközérték forog kockán és mekkora a lehetséges kár illetéktelenek tudomásszerzése esetén, továbbá hogy milyenek a rendszer elhelyezésére szolgáló épület fizikai jellemzői és milyen az elhelyezkedése, valamint attól, hogy a rendszer miként van elhelyezve az épületen belül.

Vészhelyzeti tervek

19. Előzetesen részletes terveket kell kidolgozni a minősített információk védelmére helyi vagy országos vészhelyzetben.

INFORMÁCIÓBIZTONSÁG (INFOSEC)

20. Az információbiztonság a kommunikációs, információs és egyéb elektronikus rendszerekben kezelt, tárolt vagy továbbított információk titkosságának, integritásának és rendelkezésre állásának – véletlenszerű vagy szándékos cselekedet által okozott – sérülése elleni védelmét szolgáló biztonsági intézkedések meghatározására és alkalmazására vonatkozik. Megfelelő óvintézkedéseket kell tenni annak érdekében, hogy megelőzzék illetéktelen felhasználók hozzáférését az EU-információkhoz, illetve hogy az arra jogosult felhasználók esetében megelőzzék az EU-információkhoz való hozzáférés megtagadását, továbbá hogy megelőzzék az EU információk megrongálódását, illetéktelen módosítását vagy törlését.

A SZABOTÁZS ÉS A SZÁNDÉKOS RONGÁLÁS MÁS FORMÁI ELLENI VÉDELEM

21. A szabotázzsal és a szándékos rongálással szembeni leghatásosabb biztosítékot a minősített információk elhelyezésére szolgáló fontos berendezések védelmére irányuló fizikai óvintézkedések jelentik, és ezeket a személyzet biztonsági ellenőrzése önmagában nem helyettesítheti. Az illetékes nemzeti szerv feladata, hogy bűnüldözési operatív információkat gyűjtsön a kémkedésről, a szabotázsról, a terrorizmusról és az egyéb felforgató tevékenységekről.

MINŐSÍTETT INFORMÁCIÓK ÁTADÁSA HARMADIK ÁLLAMOK VAGY NEMZETKÖZI SZERVEZETEK RÉSZÉRE

22. A Tanácstól származó EU minősített információk harmadik állam vagy nemzetközi szervezet részére történő átadásáról szóló határozatot csak a Tanács hozhatja meg. Ha az átadni kért információ kibocsátója nem a Tanács, akkor a Tanács először a kibocsátó beleegyezését kéri ki az információ átadásához. Ha a kibocsátó kiléte nem állapítható meg, helyette a Tanács határoz.

23. Ha a Tanács valamely harmadik államtól, nemzetközi szervezettől vagy más harmadik felektől kap minősített információt, akkor ez az információ a minősítésének megfelelő és az e szabályzatban az EU minősített információkra nézve megállapított szinttel egyenértékű, vagy az információt átadó harmadik fél által esetleg előírt ennél magasabb szintű védelemben részesül. Kölcsönös ellenőrzésekről meg lehet állapodni.

24. A fenti elvek alkalmazása a II. részben meghatározott részletes rendelkezéseknek megfelelően történik.

II. RÉSZ

I. SZAKASZ

A BIZTONSÁGI SZERVEZET AZ EURÓPAI UNIÓ TANÁCSÁBAN

A főtitkár/főképviselő

1. A főtitkár/főképviselő:

a) végrehajtja a Tanács biztonsági politikáját;

b) foglalkozik a Tanács vagy annak illetékes szervei által elé terjesztett biztonsági problémákkal;

c) a tagállamok nemzeti biztonsági (vagy egyéb illetékes) hatóságaival szoros kapcsolatot tartva megvizsgálja a Tanács biztonsági politikájának megváltoztatását szükségessé tevő kérdéseket. Az 1. függelék tartalmazza e hatóságok jegyzékét.

2. A főtitkár/főképviselő különösen a következőkért felel:

a) a Tanács tevékenységével összefüggő valamennyi, biztonsággal kapcsolatos ügy összehangolása;

b) felkérés megtétele, hogy minden tagállam hozzon létre egy központi TRÈS SECRET UE/EU TOP SECRET nyilvántartó hivatalt, és adott esetben annak megkövetelése, hogy ilyen nyilvántartó hivatalt az EU decentralizált szerveinél is hozzanak létre;

c) megkeresés intézése a tagállamok kijelölt hatóságaihoz, hogy a nemzeti biztonsági hatóság a VI. szakaszban foglaltaknak megfelelően végezze el a Tanácsnál alkalmazott személyzet biztonsági ellenőrzését;

d) olyan esetek kivizsgálása vagy kivizsgáltatása, amikor minősített EU-információk szivárogtak ki, ha a jelek arra utalnak, hogy ennek oka a Főtitkárságon vagy az EU egyik decentralizált szervénél keresendő;

e) az illetékes biztonsági hatóságok felkérése vizsgálatok indítására, amikor EU minősített információk szivárogtak ki, de úgy tűnik, nem a Főtitkárságról vagy az EU decentralizált szerveitől; továbbá a vizsgálatok összehangolása, ha azokban több biztonsági hatóság vesz részt;

f) az EU minősített információk védelmére a tagállamokban alkalmazott biztonsági intézkedések rendszeres időközönként történő vizsgálata az érintett nemzeti biztonsági hatóságokkal közösen és egyetértésben;

g) szoros kapcsolat fenntartása az összes érintett biztonsági hatósággal a biztonsági intézkedések átfogó összehangolásának megvalósítása érdekében;

h) a Tanács biztonsági politikájának és eljárásainak folyamatos felülvizsgálata, és adott esetben megfelelő ajánlások kidolgozása. E tekintetben beterjeszti a Tanács elé a Főtitkárság Biztonsági Hivatala által elkészített éves ellenőrzési tervet.

A Tanács Biztonsági Bizottsága

3. Létrejön a Biztonsági Bizottság. Ez a szerv az egyes tagállamok nemzeti biztonsági hatóságainak a képviselőiből áll. Elnöki tisztét a főtitkár/főképviselő vagy annak megbízottja látja el. A megfelelő EU decentralizált szervek képviselői is meghívást kaphatnak, ha őket érintő kérdéseket vitatnak meg.

4. A Biztonsági Bizottság üléseit a Tanács utasítására, a főtitkár/főképviselő vagy valamely nemzeti biztonsági hatóság kérésére tartja. A bizottság jogosult megvizsgálni és értékelni a Tanács munkájával kapcsolatban felmerült bármely biztonsági kérdést, és szükség esetén ajánlásokat terjeszteni a Tanács elé. A Tanács Főtitkárságának tevékenysége tekintetében a bizottság jogosult a biztonsági kérdésekkel kapcsolatos ajánlásokat tenni a főtitkárnak/főképviselőnek.

A Tanács Főtitkárságának Biztonsági Hivatala

5. Az 1. és 2. pontban említett feladatok teljesítése érdekében a Főtitkárság Biztonsági Hivatala a főtitkár/főképviselő rendelkezésére áll a biztonsági intézkedések összehangolása, felügyelete és végrehajtása végett.

6. A Főtitkárság Biztonsági Hivatalának vezetője biztonsági ügyekben a főtitkár/főképviselő legfontosabb tanácsadója és egyben a Biztonsági Bizottság titkára. E minőségében irányítja a biztonsági előírások naprakésszé tételét, valamint összehangolja a biztonsági intézkedéseket a tagállamok illetékes hatóságaival és adott esetben azokkal a nemzetközi szervezetekkel, amelyek a Tanáccsal biztonsági megállapodásokat kötöttek. Ennek érdekében összekötő tisztviselőként jár el.

7. A Tanács Biztonsági Hivatalának vezetője felelős a Főtitkárságon belüli IT-rendszerek és -hálózatok akkreditációjáért. Adott esetben a Főtitkárság Biztonsági Hivatalának vezetője és az érintett nemzeti biztonsági hatóságok együtt határoznak a Főtitkárságot, a tagállamokat, az EU decentralizált szerveit és/vagy harmadik feleket (államokat vagy nemzetközi szervezeteket) összekapcsoló IT-rendszerek és -hálózatok akkreditációjáról.

Az EU decentralizált szervei

8. Az EU decentralizált szerveinek minden vezetője felelős a biztonsági szabályok intézményén belüli végrehajtásáért. Rendszerint kijelöli személyzete valamely tagját, aki e területért neki felelősséggel tartozik. Ezt a személyt nevezik ki biztonsági tisztviselőnek.

Tagállamok

9. Minden tagállam kijelöli azt a nemzeti biztonsági hatóságot, amely az EU minősített információkért felel [1].

10. Az egyes tagállamok közigazgatásának keretén belül a megfelelő nemzeti biztonsági hatóság a következőkért felel:

a) bármely nemzeti hatóság, szerv, illetve köz- vagy magánintézmény által belföldön vagy külföldön kezelt minősített EU-információk biztonságának a megőrzéséért;

b) a TRÈS SECRET UE/EU TOP SECRET nyilvántartó hivatalok létesítésének engedélyezéséért (ez a jogkör átruházható valamely központi nyilvántartó hivatal TRÈS SECRET UE/EU TOP SECRET ellenőrző tisztviselőjére);

c) az EU minősített információk védelmét szolgáló biztonsági intézkedések rendszeres időközönkénti ellenőrzéséért;

d) annak biztosításáért, hogy a nemzeti hatóságoknál, szerveknél vagy intézményeknél alkalmazott állampolgárok és külföldiek, akik TRÈS SECRET UE/EU TOP SECRET, SECRET UE és CONFIDENTIEL UE szintű minősített EU-információt kezelnek, előzőleg biztonsági ellenőrzésen essenek át;

e) olyan biztonsági tervek kidolgozásáért, amelyeket szükségesnek ítélnek annak megakadályozására, hogy az EU minősített információk illetéktelen személyek kezébe kerülhessenek.

Kölcsönös biztonsági ellenőrzések

11. A Főtitkárság Biztonsági Hivatala és az érintett nemzeti biztonsági hatóság együttesen és kölcsönös egyetértésben, rendszeres időközönként ellenőrzi az EU minősített információk védelmét szolgáló biztonsági intézkedéseket a Főtitkárságon és a tagállamoknak az Európai Unió mellett működő állandó képviseletein, illetve a tagállamoknak a Tanács épületeiben található helyiségeiben [2].

12. Az EU decentralizált szerveinél az EU minősített információk védelmét szolgáló biztonsági intézkedéseket a Főtitkárság Biztonsági Hivatala vagy – a Főtitkár kérésére – a fogadó tagállam nemzeti biztonsági hatósága ellenőrzi.

II. SZAKASZ

MINŐSÍTÉSEK ÉS JELÖLÉSEK

MINŐSÍTÉSI SZINTEK [3]

Az információk minősítése a következő szintek szerint történik:

1. TRÈS SECRET UE/EU TOP SECRET: ez a minősítés csak azokra az információkra és anyagokra alkalmazható, amelyek engedély nélküli kiszolgáltatása rendkívül súlyosan sérthetné az Európai Unió, illetve egy vagy több tagállama alapvető érdekeit.

2. SECRET UE: ez a minősítés csak azokra az információkra és anyagokra alkalmazható, amelyek engedély nélküli kiszolgáltatása súlyosan sérthetné az Európai Unió, illetve egy vagy több tagállama alapvető érdekeit.

3. CONFIDENTIEL UE: ez a minősítés csak azokra az információkra és anyagokra alkalmazható, amelyek engedély nélküli kiszolgáltatása sérthetné az Európai Unió, illetve egy vagy több tagállama alapvető érdekeit.

4. RESTREINT UE: ez a minősítés csak azokra az információkra és anyagokra alkalmazható, amelyek engedély nélküli kiszolgáltatása hátrányosan érinthetné az Európai Unió, illetve egy vagy több tagállama érdekeit.

JELÖLÉSEK

5. Figyelmeztető jelölést lehet használni a dokumentum által érintett terület vagy valamilyen, a szükséges ismeret elve alapján történő különleges elosztás meghatározására.

6. ESDP/PESD (= EBVP) jelöléssel látják el azokat a dokumentumokat és azok másolatait, amelyek az unió, illetve egy vagy több tagállama biztonságával és védelmével kapcsolatosak, továbbá amelyek a katonai vagy nem katonai válságkezelésre vonatkoznak.

7. Bizonyos dokumentumokat, nevezetesen információtechnológiai (IT) rendszerekre vonatkozó dokumentumokat, további olyan jelelölésekkel is el lehet látni, amelyek a megfelelő szabályzatokban meghatározott kiegészítő biztonsági intézkedéseket vonnak maguk után.

A MINŐSÍTÉSEK ÉS A JELÖLÉSEK FELTÜNTETÉSE

8. A minősítéseket és a jelöléseket a következőképpen kell feltüntetni a dokumentumokon:

a) a RESTREINT UE minősítésű dokumentumokon mechanikus vagy elektronikus eszközökkel;

b) a CONFIDENTIEL UE minősítésű dokumentumokon mechanikus eszközökkel és kézzel, illetve előre lebélyegzett, regisztrált papírra történő nyomtatással;

c) a SECRET UE és a TRÈS SECRET UE/EU TOP SECRET minősítésű dokumentumokon mechanikus eszközökkel és kézzel.

III. SZAKASZ

A MINŐSÍTÉS SZABÁLYAI

1. Az információk csak akkor kapnak minősítést, ha ez szükséges. A minősítést világosan és szabályosan kell jelölni és a minősítés csak addig tartható fenn, amíg az információk védelemre szorulnak.

2. Az információ minősítése és későbbi visszaminősítése vagy a minősítés megszüntetése [4] kizárólag a kibocsátó feladata.

A Főtitkárság tisztviselői és egyéb alkalmazottai csak főigazgatójuk utasítására vagy vele egyetértésben végzik el az információk minősítését, illetve minősítik azokat vissza vagy szüntetik meg minősítésüket.

3. A minősített dokumentumok kezelésére vonatkozó részletes eljárásokat úgy alakították ki, hogy a bennük foglalt információknak megfelelő védelmük biztosítva legyen.

4. A TRÈS SECRET UE/EU TOP SECRET dokumentumok kibocsátására felhatalmazott személyek számát a lehető legkisebbre kell korlátozni, és nevükről listát kell összeállítani, amelyet a Főtitkárság, az egyes tagállamok és adott esetben az EU decentralizált szerve vezet.

MINŐSÍTÉSEK ALKALMAZÁSA

5. Valamely dokumentum minősítését aszerint kell meghatározni, hogy tartalma a II. szakasz 1-4. pontjában foglalt meghatározásnak megfelelően milyen mértékű védelmet igényel. Fontos, hogy a minősítést szabályosan és mértéktartással használják. Ez különösen a TRÈS SECRET UE/EU TOP SECRET minősítés esetére vonatkozik.

6. A minősítendő dokumentum kibocsátójának szem előtt kell tartania a fenti szabályokat, és el kell kerülnie mind a felülminősítés, mind az alulminősítés irányába történő elmozdulást.

Noha első látásra úgy tűnhet, hogy egy magasabb szintű minősítés a dokumentumnak nagyobb védelmet nyújt, a rutinszerűvé váló túlzottan szigorú minősítés megrendítheti a minősítési rendszer érvényességébe vetett bizalmat.

Másrészt viszont a védelemmel kapcsolatos korlátozások elkerülése érdekében tilos valamely dokumentumot túl alacsony minősítéssel ellátni.

A minősítésre vonatkozó gyakorlati útmutatót a 3. függelék tartalmazza.

7. Egy adott dokumentum egyes oldalai, bekezdései, szakaszai, mellékletei, függelékei, toldalékai és csatolmányai eltérő minősítést igényelhetnek, és ennek megfelelő jelölést kell kapniuk. A dokumentum egésze a legszigorúbban minősített rész minősítését kapja.

8. A csatolmányokat kísérő levél vagy feljegyzés ugyanolyan szigorú minősítést kap, mint a legszigorúbb minősítésű csatolmánya. A kibocsátónak világosan jeleznie kell, hogy a kísérő levél vagy feljegyzés milyen szintű minősítést kapjon, ha a csatolmányaitól elválasztják.

VISSZAMINŐSÍTÉS ÉS A MINŐSÍTÉS MEGSZÜNTETÉSE

9. EU minősített dokumentumokat csak a kibocsátó engedélyével lehet visszaminősíteni, vagy azok minősítését megszüntetni, szükség esetén az érdekelt felekkel történt egyeztetés után. A visszaminősítést, illetve a minősítés megszüntetését írásban kell megerősíteni. A dokumentumot kibocsátó intézmény, tagállam, hivatal, jogutód szervezet vagy felsőbb hatóság feladata a címzetteket tájékoztatni a minősítés megváltozásról, akiknek viszont azokat a további címzetteket kell tájékoztatniuk erről, akiknek ők a dokumentumot megküldték vagy lemásolták.

10. Ha lehetséges, a kibocsátók a minősített dokumentumokon meghatározzák azt az időpontot vagy határidőt, amikortól vagy amelynek lejártát követően a tartalom visszaminősíthető vagy minősítése megszüntethető. Egyébként a dokumentumokat legkésőbb ötévente felül kell vizsgálni annak megállapítása érdekében, hogy az eredeti minősítés továbbra is szükséges-e.

IV. SZAKASZ

FIZIKAI BIZTONSÁG

ÁLTALÁNOS ISMERTETÉS

1. A fizikai biztonsági intézkedések fő célja megakadályozni, hogy illetéktelen személyek az EU minősített dokumentumokhoz és/vagy anyagokhoz hozzáférjenek.

BIZTONSÁGI KÖVETELMÉNYEK

2. Megfelelő fizikai biztonsági intézkedésekkel kell védeni mindazokat a helyiségeket, területeket, épületeket, irodákat, kommunikációs és információs rendszereket stb., ahol EU minősített információkat és anyagokat tárolnak és/vagy kezelnek.

3. A fizikai biztonságot jelentő védelem szükséges mértékének meghatározásánál minden vonatkozó tényezőt figyelembe kell venni. Ilyenek például:

a) az információk és/vagy anyagok minősítése;

b) a tárolt információk mennyisége és formája (például papíralapú vagy számítógépes adathordozó);

c) az EU, a tagállamok és/vagy EU minősített információkat birtokukban tartó más intézmények vagy harmadik felek ellen irányuló titkosszolgálati fenyegetés, valamint különösen a szabotázs, a terrorizmus és az egyéb felforgató tevékenységek és/vagy bűncselekmények helyi értékelése.

4. Az alkalmazott fizikai biztonsági intézkedések a következőkre irányulnak:

a) illetéktelen személyek titokban történő vagy erőszakos behatolásának megakadályozása;

b) a hűtlen személyzet (belső kém) cselekményeinek elrettentése, megakadályozása és felderítése;

c) annak megakadályozása, hogy a Főtitkárság, a tagállamok kormányszervei és/vagy egyéb intézmények vagy harmadik felek tisztviselői és egyéb alkalmazottai, akiknek nincs szükségük az ismeretre, az EU minősített információkhoz hozzáférjenek.

FIZIKAI BIZTONSÁGI INTÉZKEDÉSEK

Biztonsági területek

5. Azokat a területeket, ahol CONFIDENTIEL UE vagy ennél szigorúbb minősítésű információkat kezelnek és tárolnak, úgy kell kialakítani és strukturálni, hogy az alábbi osztályok valamelyikének megfeleljenek:

a) I. osztályba tartozó biztonsági terület: ahol CONFIDENTIEL UE vagy ennél szigorúbb minősítésű információkat kezelnek és tárolnak olyan módon, hogy a területre való belépés gyakorlatilag a minősített információkhoz való hozzáférést jelent. Ilyen terület esetében a következők szükségesek:

i. világosan meghatározott és védett körzet, amelynek valamennyi ki- és bejáratát ellenőrzik;

ii. belépés-ellenőrző rendszer, amely csak a kellőképpen ellenőrzött és különleges felhatalmazással rendelkező személyeknek engedi meg a területre történő belépést;

iii. a területen rendszerint őrzött információk minősítésének pontos meghatározása, vagyis azoké az információké, amelyekhez a belépés hozzáférést biztosít.

b) II. osztályba tartozó biztonsági terület: ahol CONFIDENTIEL UE vagy ennél szigorúbb minősítésű információkat kezelnek és tárolnak olyan módon, hogy belső ellenőrzésekkel meg lehessen védeni azokat illetéktelen személyek hozzáférésével szemben, például az olyan irodahelyiségeknek helyt adó épületek, ahol CONFIDENTIEL UE vagy ennél szigorúbb minősítésű információkat kezelnek és tárolnak rendszeresen. Ilyen terület esetében a következők szükségesek:

i. világosan meghatározott és védett körzet, amelynek valamennyi ki- és bejáratát ellenőrzik;

ii. belépés-ellenőrző rendszer, amely csak a kellőképpen ellenőrzött és különleges felhatalmazással rendelkező személyeknek engedi meg, hogy kíséret nélkül a területre lépjenek. Minden más személy esetében kíséretről vagy azzal egyenértékű egyéb ellenőrzésről gondoskodnak, hogy megakadályozzák a jogosulatlan hozzáférést az EU minősített információkhoz és a technikai biztonsági ellenőrzés alá tartozó területekre való ellenőrizetlen belépést.

Azokat a területeket, ahol nem tartózkodik napi 24 órán át munkavégző személyzet, a rendes munkaidő után azonnal ellenőrizni kell annak megállapítása céljából, hogy az EU minősített információkat megfelelően biztonságba helyezték-e.

Igazgatási terület

6. Az I. vagy II. osztályba tartozó biztonsági területek körül vagy a hozzájuk vezető területen alacsonyabb biztonsági fokozatú igazgatási terület alakítható ki. Az ilyen területek láthatóan elhatárolt körzetet igényelnek, amely lehetővé teszi a személyzet és a járművek ellenőrzését. Ilyen igazgatási területeken csak RESTREINT UE információkat szabad kezelni és tárolni.

A be- és kilépés ellenőrzése

7. Az I. és II. osztályba tartozó biztonsági területekre való belépést az állandó személyzet vonatkozásában alkalmazandó beléptető vagy személyfelismerő rendszerrel kell ellenőrizni. A látogatók ellenőrzésére olyan rendszert kell kialakítani, amely megakadályozza az EU minősített információkhoz való jogosulatlan hozzáférést. A belépő felmutatásán alapuló beléptető rendszereket automatizált személyazonosító eszközök támogathatják, ám ezek csak segíthetik, de nem helyettesíthetik teljes mértékben az őröket. A fenyegetettség értékelésében bekövetkező változás a belépés és kilépés során alkalmazott ellenőrzési intézkedések szigorítását vonhatja maga után, például magas rangú személyiségek látogatása esetén.

Őrjáratok

8. Az I. és II. osztályba tartozó biztonsági területeken a rendes munkaidőn kívül őrjárati szolgálatot kell teljesíteni, hogy az EU információit és eszközeit illetéktelen személyek tudomására jutásától, a megrongálódástól vagy az elveszéstől megvédjék. Az őrjáratok gyakoriságát a helyi körülmények határozzák meg, de általános szabályként kétóránként kell ismétlődniük.

Biztonsági tárolóeszközök és páncélszobák

9. Az EU minősített információk tárolására háromféle tárolóeszköz-osztály használatos:

- A osztály : az I. vagy II. osztályba tartozó biztonsági területen TRÈS SECRET UE/EU TOP SECRET minősítésű információk tárolására nemzeti szinten jóváhagyott tárolóeszközök,

- B osztály : az I. vagy II. osztályba tartozó biztonsági területen SECRET UE és CONFIDENTIEL UE információk tárolására nemzeti szinten jóváhagyott tárolóeszközök,

- C osztály : csak RESTREINT UE információk tárolására alkalmas irodai bútorok.

10. Az I. vagy II. osztályba tartozó biztonsági területen kiépített páncélszobák, továbbá minden olyan, I. osztályba tartozó biztonsági terület esetében, ahol CONFIDENTIEL UE és ennél szigorúbb minősítésű információkat szabad polcon tárolnak vagy ábrákon, térképeken stb. mutatnak be, egy nemzeti biztonsági hatóságnak igazolnia kell, hogy a falak, a padlózat és a mennyezet, a zárral (zárakkal) felszerelt ajtó (ajtók) az ugyanilyen minősítésű információk tárolására jóváhagyott biztonsági tárolóeszköz-osztállyal egyenértékű védelmet biztosítanak.

Zárak

11. Az EU minősített információk tárolására szolgáló biztonsági tárolóeszközökre és páncélszobákra felszerelt záraknak a következő követelményeknek kell megfelelniük:

- A csoport : nemzeti szinten A osztályú tárolóeszközökre jóváhagyott,

- B csoport : nemzeti szinten B osztályú tárolóeszközökre jóváhagyott,

- C csoport : csak C. osztályú irodai bútoroknál alkalmazható zárak.

A kulcsok és kombinációk ellenőrzése

12. A biztonsági tárolóeszközök kulcsait nem szabad kivinni az irodaépületből. A biztonsági tárolóeszközök kombinációit kívülről meg kell tanulniuk azoknak a személyeknek, akiknek azokat ismerniük kell. Vészhelyzet esetén való felhasználás érdekében az érintett szervezeti egység helyi biztonsági tisztviselője felelős a tartalékkulcsok és valamennyi kombináció írásos jegyzékének őrzéséért. Ez utóbbiakat külön lepecsételt, nem átlátszó borítékokban kell elhelyezni. A munka során használt kulcsokat, a tartalékkulcsokat és a kombinációkat külön biztonsági tárolóeszközökben kell őrizni. Ezeknek a kulcsoknak és kombinációknak legalább olyan szigorú biztonsági védelmet kell biztosítani, mint annak az anyagnak, amely használatukkal hozzáférhetővé válik.

13. Azon személyek körét, akik a biztonsági tárolóeszközök felnyitásához szükséges kombinációkat ismerik, a lehető legszűkebbre kell korlátozni. Új kombinációkat az alábbi esetekben kell beállítani:

a) új tárolóeszköz átvételekor;

b) a felhasználók minden változásakor;

c) ha azok ténylegesen illetéktelen személyek tudomására jutottak vagy ennek gyanúja merült fel;

d) lehetőleg hathavonta, de legalább tizenkét havonta.

Behatolásjelző berendezések

14. Ha az EU minősített információk védelmére riasztórendszereket, zártláncú televíziót és egyéb elektromos készüléket alkalmaznak, tartalék áramforrásnak kell rendelkezésre állnia a rendszer folyamatos működésének biztosításához arra az esetre, ha a hálózati áramellátás megszakad. További alapkövetelmény, hogy e rendszerek működési zavara vagy hatástalanítási kísérlet esetén a rendszer riassza, vagy egyéb megbízható módon figyelmeztesse a felügyeletet ellátó személyzetet.

Jóváhagyott berendezések

15. A nemzeti biztonsági hatóságok egyedül vagy egy másik ország szolgálatával közösen típus és modell szerint naprakész listákat vezetnek azokról a biztonsági berendezésekről, amelyeket különböző meghatározott körülmények között és feltételek mellett minősített információk közvetlen vagy közvetett védelméhez jóváhagytak. A Főtitkárság Biztonsági Hivatala ugyancsak vezet egy hasonló listát, amely többek között a nemzeti biztonsági hatóságok által szolgáltatott információkon alapul. Ilyen berendezések beszerzése előtt az EU decentralizált szervei konzultálnak a Főtitkárság Biztonsági Hivatalával, illetve adott esetben a fogadó tagállamuk nemzeti biztonsági hatóságával.

A másológépek és telefaxok fizikai védelme

16. A másológépeket és telefaxokat olyan mértékű fizikai védelemben kell részesíteni, hogy csak az arra felhatalmazott személyek használhassák őket, továbbá hogy valamennyi előállított minősített anyag megfelelő ellenőrzés alá kerüljön.

RÁLÁTÁS ÉS LEHALLGATÁS ELLENI VÉDELEM

Rálátás

17. Nappal és éjjel minden szükséges intézkedést meg kell tenni annak biztosítása érdekében, hogy illetéktelen személyek EU minősített információkat még véletlenül se láthassanak meg.

Lehallgatás

18. Azokat az irodákat, illetve területeket, ahol SECRET UE és ennél szigorúbb minősítésű információkat rendszeresen megtárgyalnak, védelemben kell részesíteni a passzív és aktív lehallgatással szemben, ha ennek kockázata felmerül. Az ilyen lehallgatási kísérletek kockázatának értékelése az illetékes biztonsági hatóság feladata, szükség esetén a nemzeti biztonsági hatóságokkal folytatott konzultációt követően.

19. A passzív lehallgatásnak kitett helyiségekben alkalmazandó védelmi intézkedések (például a falak, ajtók, padlózat és mennyezet hangszigetelése, a kiszűrődő hangok erősségének mérése), illetve az aktív lehallgatásnak kitett helyiségekben alkalmazandó védelmi intézkedések (pl. mikrofonok felkutatása) meghatározásához a Főtitkárság a nemzeti biztonsági hatóságok szakértőinek segítségét kérheti. Az EU decentralizált szerveinek biztonsági tisztviselői kérhetik, hogy a Főtitkárság Biztonsági Hivatala technikai ellenőrzéseket végezzen és/vagy a nemzeti biztonsági hatóságok szakértői segítséget nyújtsanak számukra.

20. Hasonlóképpen, ha a körülmények indokolják, az illetékes biztonsági tisztviselő kérésére a nemzeti biztonsági hatóságok technikai biztonsági szakemberei ellenőrizhetik a távközlési berendezéseket és a SECRET UE és annál magasabb szintű ülések során használt bármilyen elektromos vagy elektronikus irodai berendezéseket.

TECHNIKAILAG BIZTONSÁGOS TERÜLETEK

21. Bizonyos területek technikailag biztonságos területként jelölhetők ki. Itt a belépéskor különleges ellenőrzést végeznek. Ha senki sem tartózkodik ott, ezeket a területeket valamilyen jóváhagyott módszerrel lezárva tartják és az összes kulcsot biztonsági kulcsként kezelik. Ezeken a területeken rendszeres fizikai ellenőrzést végeznek, amelyet akkor is lefolytatnak, ha illetéktelen belépés történt vagy annak gyanúja merült fel.

22. A technikai berendezésekről és a bútorokról részletes leltárt kell készíteni, hogy azok mozgatását nyomon lehessen követni. Bútor vagy technikai berendezés ilyen területre csak akkor vihető be, ha a különlegesen képzett biztonsági személyzet a lehallgatókészülékek felderítése érdekében gondosan átvizsgálta. Általános szabály, hogy a technikailag biztonságos területeken távközlési vezetékek telepítését kerülni kell.

V. SZAKASZ

A "SZÜKSÉGES ISMERET" ELVÉRE ÉS A BIZTONSÁGI ELLENŐRZÉSRE VONATKOZÓ ÁLTALÁNOS SZABÁLYOK

1. Az EU minősített információkhoz való hozzáférést csak azoknak engedélyezik, akiknek feladataik vagy megbízatásuk ellátásához az információkat ismerniük szükséges. A TRÈS SECRET UE/EU TOP SECRET, SECRET UE és CONFIDENTIEL UE információkhoz való hozzáférést csak azon személyek számára engedélyezik, akiknek a megfelelő biztonsági ellenőrzése megtörtént.

2. Annak megállapítása, hogy kinek mit szükséges ismernie, a Főtitkárságnak, az EU decentralizált szervének, illetve a tagállamok azon szolgálatának vagy hatóságának a feladata, ahol az érintett személyt alkalmazni kívánják.

3. A személyzet ellenőrzése a tisztviselő munkáltatójának a kötelezettsége, és a vonatkozó alkalmazandó eljárások szerint történik. A Főtitkárság tisztviselői és egyéb alkalmazottai tekintetében a biztonsági ellenőrzési eljárásról a VI. szakasz rendelkezik.

Az eljárás eredményeképpen kiállításra kerül a "biztonsági tanúsítvány", amelyen feltüntetik a minősített információknak azt a szintjét, amelyhez az ellenőrzött személy hozzáférhet, továbbá azt az időpontot, amikor a tanúsítvány érvényességi ideje lejár.

Egy adott minősítési szintre szóló biztonsági tanúsítvány birtokosa számára a kevésbé szigorú minősítésű információhoz is hozzáférést biztosíthat.

4. A Főtitkárság vagy a tagállamok tisztviselőin vagy egyéb alkalmazottain kívül az olyan személyeknek, akikkel esetleg szükséges lehet EU minősített információkat megtárgyalni, vagy akik részére szükséges lehet ilyen információkba betekintést biztosítani – például az EU-intézmények tagjainak, tisztviselőinek vagy alkalmazottainak – az EU minősített információk tekintetében biztonsági ellenőrzésen kell átesniük, és tájékoztatni kell őket a biztonsággal kapcsolatos kötelezettségeikről. Ugyanez a szabályt kell alkalmazni – hasonló körülmények között – a külső szerződéses megbízottakra, a szakértőkre és a tanácsadókra is.

A TRÈS SECRET UE/EU TOP SECRET MINŐSÍTÉSŰ INFORMÁCIÓKHOZ VALÓ HOZZÁFÉRÉS KÜLÖNÖS SZABÁLYAI

5. Mindazokat a személyeket, akiknek TRÈS SECRET UE/EU TOP SECRET minősítésű információkhoz kell hozzáférniük, előbb biztonsági ellenőrzésnek kell alávetni az ilyen információkhoz való hozzáférés tekintetében.

6. Mindazokat a személyeket, akiknek TRÈS SECRET UE/EU TOP SECRET minősítésű információkhoz kell hozzáférniük, hivatali vezetőjük jelöli ki, és nevüket a megfelelő TRÈS SECRET UE/EU TOP SECRET nyilvántartó hivatalban nyilván kell tartani.

7. A TRÈS SECRET UE/EU TOP SECRET minősítésű információkhoz való hozzáférés előtt mindenkinek alá kell írnia egy nyilatkozatot arról, hogy kioktatták a Tanács biztonsági eljárásairól és hogy teljes mértékben megértette a TRÈS SECRET UE/EU TOP SECRET minősítésű információk megőrzésével kapcsolatos különleges felelősségét, valamint azokat a következményeket, amelyeket az EU szabályai és a nemzeti jog vagy a közigazgatási szabályok írnak elő, ha minősített információk szándékosan vagy gondatlanságból illetéktelen személyek kezébe kerülnek.

8. Olyan személy esetében, aki üléseken stb. jut TRÈS SECRET UE/EU TOP SECRET minősítésű információkhoz, az illető személyt alkalmazó szolgálat vagy szerv illetékes ellenőrző tisztviselője értesíti az ülést szervező szolgálatot arról, hogy az érintett személy rendelkezik megfelelő felhatalmazással.

9. A TRÈS SECRET UE/EU TOP SECRET listáról törölni kell azoknak a személyeknek a nevét, akiket a továbbiakban nem alkalmaznak TRÈS SECRET UE/EU TOP SECRET minősítésű információkhoz való hozzáférést igénylő feladatokra. Ezen túlmenően az ilyen személyeknek újból fel kell hívni a figyelmét a TRÈS SECRET UE/EU TOP SECRET minősítésű információk megőrzésére vonatkozó felelősségükre. Továbbá alá kell írniuk egy arra vonatkozó nyilatkozatot, hogy a birtokukban lévő TRÈS SECRET UE/EU TOP SECRET minősítésű információkat nem használják föl, és nem adják tovább.

A SECRET UE ÉS A CONFIDENTIEL UE INFORMÁCIÓKHOZ VALÓ HOZZÁFÉRÉS KÜLÖNÖS SZABÁLYAI

10. Mindazokat a személyeket, akiknek SECRET UE vagy CONFIDENTIEL UE információkhoz kell hozzáférniük, először megfelelő szintű biztonsági ellenőrzésnek kell alávetni.

11. Mindazokkal a személyekkel, akiknek SECRET UE vagy CONFIDENTIEL UE információkhoz kell hozzáférniük, meg kell ismertetni a megfelelő biztonsági szabályokat, és tudatában kell lenniük a gondatlanság következményeinek.

12. Olyan személy esetében, aki üléseken stb. jut SECRET UE vagy CONFIDENTIEL UE információkhoz, az illető személyt alkalmazó szerv illetékes ellenőrző tisztviselője értesíti az ülést szervező szolgálatot arról, hogy az érintett személy rendelkezik megfelelő felhatalmazással.

A RESTREINT UE INFORMÁCIÓKHOZ VALÓ HOZZÁFÉRÉS KÜLÖNÖS SZABÁLYAI

13. A RESTREINT UE információkhoz hozzáféréssel rendelkező személyek figyelmét fel kell hívni ezekre a biztonsági szabályokra és a gondatlanság következményeire.

ÁTHELYEZÉSEK

14. Ha a személyi állomány valamely tagját olyan beosztásból helyezik át, amely EU minősített információk kezelésével jár, a nyilvántartó hivatal nyomon követi a vonatkozó anyagok szabályos átadását a távozó és a hivatalba lépő tisztviselő között.

KÜLÖNLEGES UTASÍTÁSOK

15. Azoknak a személyeknek a figyelmét, akiknek EU minősített információkat kell kezelniük, feladataik megkezdésekor és azt követően rendszeres időközönként a következőkre kell felhívni:

a) az indiszkrét társalgásból származó biztonsági veszélyek;

b) a sajtóval fenntartott kapcsolataikban megteendő elővigyázatossági intézkedések;

c) az EU és a tagállamok ellen tevékenykedő hírszerző szolgálatok tevékenységéből fakadó, EU minősített információkat és tevékenységeket fenyegető veszélyek;

d) haladéktalan jelentéstételi kötelezettség az illetékes biztonsági hatóságoknál bármely, kémtevékenység gyanújára alapot adó megkörnyékezési kísérletről vagy cselekményről, illetve minden, a biztonság szempontjából szokatlan körülményről.

16. Mindazokat a személyeket, akik rendes körülmények között gyakran kapcsolatba kerülnek olyan országok képviselőivel, amelyek hírszerző szolgálatai az EU és a tagállamok ellen tevékenykednek EU minősített információk és tevékenységek megismerése céljából, ki kell oktatni a különböző hírszerző szolgálatok által közismerten alkalmazott technikákról.

17. A Tanácsnak nincsenek biztonsági szabályai arra az esetre, ha EU minősített információkhoz való hozzáférésre felhatalmazott személy bárhová magánjellegű utazást tesz. Az illetékes biztonsági hatóság azonban a hatáskörébe tartozó tisztviselőket és egyéb alkalmazottakat tájékoztatja a rájuk vonatkozó utazási szabályokról. A biztonsági tisztviselők felelnek azért, hogy a személyzet tagjainak előadásokat szervezzenek az ilyen különleges utasítások felfrissítése érdekében.

VI. SZAKASZ

A FŐTITKÁRSÁG TISZTVISELŐIRE ÉS EGYÉB ALKALMAZOTTAIRA VONATKOZÓ BIZTONSÁGI ELLENŐRZÉSI ELJÁRÁS

1. A Tanács birtokában lévő minősített információkhoz a Főtitkárságnak csak azon tisztviselői és egyéb alkalmazottai, illetve a Főtitkárságnál dolgozók közül csak azon személyek férhetnek hozzá, akiknek feladataik alapján és a szolgálat követelményei miatt ismerniük vagy használniuk szükséges azokat.

2. Ahhoz, hogy a fenti 1. pontban említett személyek hozzáférhessenek a "TRÈS SECRET UE/EU TOP SECRET", "SECRET UE" és "CONFIDENTIEL UE" minősítésű információkhoz, a 4. és 5. pontban említett eljárásnak megfelelően felhatalmazással kell rendelkezniük.

3. Felhatalmazást csak olyan személy kaphat, aki átesett a tagállamok illetékes nemzeti biztonsági hatósága által a 6-10. pontban említett eljárásnak megfelelően végzett biztonsági ellenőrzésen.

4. Az 1., 2. és 3. pontban említett felhatalmazások megadásáért a személyzeti szabályzat 2. cikkének első albekezdése szerinti kinevezéssel megbízott hatóság felel.

A kinevezéssel megbízott hatóság azt követően adja meg a felhatalmazást, hogy megkapta a tagállamok illetékes nemzeti hatóságainak a 6-12. pontban említett biztonsági ellenőrzésen alapuló véleményét.

5. Az ötéves időtartamra érvényes felhatalmazás érvényét veszti, ha az érintett személy már nem látja el azokat a feladatokat, amelyek a felhatalmazás megadását indokolták. A kinevezéssel megbízott hatóság megújíthatja a felhatalmazást a 4. pontban említett eljárásnak megfelelően.

A kinevezéssel megbízott hatóság visszavonja a felhatalmazást, ha úgy ítéli meg, hogy arra megfelelő oka van. A felhatalmazás visszavonásáról szóló határozatról értesíteni kell az illetékes nemzeti hatóságot és az érintett személyt, aki kérheti, hogy a kinevezéssel megbízott hatóság hallgassa meg.

6. A biztonsági ellenőrzés célja annak megállapítása, hogy nincs kifogás az ellen, hogy az érintett személy a Tanács birtokában lévő minősített információkhoz hozzáférjen.

7. A biztonsági ellenőrzést az érintett személy segítségével és a kinevezéssel megbízott hatóság kérelmére annak a tagállamnak az illetékes hatósága végzi el, amelynek a felhatalmazandó személy az állampolgára. Ha az érintett személy egy másik tagállam területén lakik, az érintett nemzeti hatóságok kérhetik a lakóhelye szerinti állam hatóságainak együttműködését.

8. A biztonsági ellenőrzési eljárás részeként az érintett személynek kérdőívet kell kitöltenie.

9. A kinevezéssel megbízott hatóság megkeresésében meghatározza az érintett személy rendelkezésére bocsátandó minősített információk típusát és szintjét, hogy az illetékes nemzeti hatóságok a biztonsági ellenőrzési eljárást lefolytathassák, és véleményt adhassanak arról, milyen szintű felhatalmazást lenne helyénvaló megadni az adott személynek.

10. Az egész biztonsági ellenőrzési eljárásra és a kapott eredményekre az érintett tagállamban hatályos megfelelő szabályok és rendelkezések vonatkoznak, beleértve a jogorvoslattal kapcsolatos rendelkezéseket is.

11. Ha a tagállam illetékes nemzeti hatósága pozitív véleményt adott, a kinevezéssel megbízott hatóság megadhatja a felhatalmazást az érintett személynek.

12. Az illetékes nemzeti hatóságok elutasító véleményéről értesítik az érintett személyt, aki kérheti, hogy a kinevezéssel megbízott hatóság hallgassa meg. Ha a kinevezéssel megbízott hatóság szükségesnek tartja, kérhet további tisztázó tájékoztatást az illetékes nemzeti hatóságtól. Ha az elutasító véleményt a hatóságok megerősítik, akkor a felhatalmazást nem lehet megadni.

13. Mindazok a személyek, akik a 4. és 5. pont értelmében felhatalmazást kaptak, a felhatalmazás megadásának időpontjában, majd azt követően rendszeres időközönként minden szükséges utasítást megkapnak a minősített információk védelmével és a védelem biztosításának módjával kapcsolatosan. Ezeknek a személyeknek nyilatkozatot kell aláírniuk, amelyben igazolják, hogy ezeket az utasításokat megkapták és vállalják azok betartását.

14. A kinevezéssel megbízott hatóság minden szükséges intézkedést megtesz az e szakaszban foglaltak végrehajtása érdekében, különösen a felhatalmazással rendelkező személyek listájához való hozzáférés vonatkozásában irányadó szabályok tekintetében.

15. Kivételes esetben – ha a szolgálat érdekei úgy kívánják – a kinevezéssel megbízott hatóság, miután az illetékes nemzeti hatóságokat értesítette és azok erre egy hónapon belül nem reagáltak, legfeljebb hat hónapos időtartamra ideiglenes felhatalmazást adhat, amíg a 7. pontban említett biztonsági ellenőrzés eredményét meg nem kapja.

16. Az így megadott feltételes és ideiglenes felhatalmazások nem biztosítanak hozzáférést a TRÈS SECRET UE/EU TOP SECRET minősítésű információkhoz; a hozzáférés ezekhez az információhoz kizárólag azokra tisztviselőkre korlátozódik, akik ténylegesen és kedvező eredménnyel mentek át a 7. pontnak megfelelően elvégzett ellenőrzésen. Az ellenőrzés eredményére várva azok a tisztviselők, akik vonatkozásában TRÈS SECRET UE/EU TOP SECRET szintű ellenőrzést kértek, ideiglenesen és feltételesen felhatalmazást kaphatnak a SECRET UE vagy annál alacsonyabb minősítésű információkhoz való hozzáférésre.

VII. SZAKASZ

AZ EU MINŐSÍTETT ANYAGOK ELŐÁLLÍTÁSA, ELOSZTÁSA, TOVÁBBÍTÁSA, TÁROLÁSA ÉS MEGSEMMISÍTÉSE

Tartalomjegyzék

| | Oldalszám |

Általános rendelkezések

I. fejezet | Az EU minősített dokumentumok előállítása és elosztása | 285 |

II. fejezet | Az EU minősített dokumentumok továbbítása | 285 |

III. fejezet | A technikai továbbítás elektronikus és egyéb eszközei | 288 |

IV. fejezet | Az EU minősített dokumentumok külön példányai és fordításai, valamint a belőlük készített kivonatok | 288 |

V. fejezet | Az EU minősített dokumentumok számbavétele, ellenőrzése, tárolása és megsemmisítése | 288 |

VI. fejezet | A Tanácsnak szánt dokumentumokra vonatkozó különös szabályok | 290 |

Általános rendelkezések

Ez a szakasz részletezi az EU minősített dokumentumok – ezen mellékletnek az alapelveket és biztonság minimális szintjét szabályozó I. része 3. a) pontja szerinti – előkészítéséhez, elosztásához, továbbításához, tárolásához és megsemmisítéséhez szükséges intézkedéseket. Ezt a szakaszt kell alapul venni a fenti intézkedések egyéb EU minősített anyagok vonatkozásában, azok típusának figyelembevételével és eseti alapon történő kiigazításakor.

I. fejezet

Az EU minősített dokumentumok előállítása és elosztása

ELŐÁLLÍTÁS

1. Az EU-minősítéseket és -jelöléseket a II. szakaszban megállapított módon kell alkalmazni, azok minden lap tetején és alján középen szerepelnek, és minden lapot meg kell számozni. Minden EU minősített dokumentumot hivatkozási számmal és keltezéssel kell ellátni. A TRÈS SECRET UE/EU TOP SECRET és SECRET UE minősítésű dokumentumok esetében ezt a hivatkozási számot minden oldalon fel kell tüntetni. Több példányban elosztott dokumentumok esetén az egyes példányokon az első oldalon fel kell tüntetni a példány sorszámát, az oldalak teljes számával együtt. A CONFIDENTIEL UE és annál magasabb minősítésű dokumentumok első oldalán minden mellékletet és csatolmányt fel kell sorolni.

2. A CONFIDENTIEL UE és annál magasabb minősítésű dokumentumokat – az e szakasz 27. pontjában meghatározott különleges esetet kivéve – csak olyan személyek gépelhetik, fordíthatják, tárolhatják, fénymásolhatják, másolhatják mágneses úton vagy mikrofilmezhetik, akiket az EU minősített információkhoz való hozzáférés szempontjából legalább a kérdéses dokumentum megfelelő biztonsági minősítési szintjéig ellenőriztek.

A minősített dokumentumok számítógépes elkészítését szabályozó rendelkezéseket a XI. szakasz tartalmazza.

ELOSZTÁS

3. EU minősített információkat csak olyan személyek kaphatnak meg, akiknek ismerniük szükséges azokat, és akik a megfelelő biztonsági ellenőrzésen estek át. Az első elosztás címzettjeit a kibocsátó határozza meg.

4. A TRÈS SECRET UE/EU TOP SECRET dokumentumokat a TRÈS SECRET UE/EU TOP SECRET nyilvántartó hivatalokon (lásd a VIII. szakaszt) keresztül osztják el. TRÈS SECRET UE/EU TOP SECRET üzenetek esetében az illetékes nyilvántartó hivatal engedélyezheti a kommunikációs központ vezetője számára, hogy elkészítse a címzettek listájában meghatározott számú másolatot.

5. A SECRET UE és ennél alacsonyabb minősítésű dokumentumokat az eredeti címzett is továbbíthatja más címzettek számára a "szükséges ismeret" elve alapján. A kibocsátó hatóságok azonban világosan feltüntetnek minden olyan korlátozást, amelyet be kívánnak tartatni. Ilyen korlátozások esetén a címzettek a dokumentumokat csak a kibocsátó hatóságok engedélyével adhatják tovább.

6. A szervhez való érkezésekor, illetve az onnan való távozáskor minden CONFIDENTIEL UE és annál magasabb minősítésű dokumentumot regisztrálnia kell a szerv nyilvántartó hivatalának. A rögzítendő adatoknak (hivatkozási számok, időpont és adott esetben a példány sorszáma) alkalmasnak kell lenniük a dokumentumok azonosítására, és be kell vezetni őket a szolgálati naplóba vagy egy különlegesen védett számítógépes adathordozóra.

II. fejezet

Az EU minősített dokumentumok továbbítása

CSOMAGOLÁS

7. A CONFIDENTIEL UE és annál magasabb minősítésű dokumentumokat erős, nem átlátszó dupla borítékban kell továbbítani. A belső borítékon fel kell tüntetni a megfelelő EU minősítési szintet, valamint – ha lehetséges – az átvevő teljes munkaköri beosztását és címét.

8. Csak a nyilvántartó hivatalt ellenőrző tisztviselő vagy a helyettese nyithatja fel a belső borítékot és nyugtázhatja a mellékelt dokumentumok átvételét, hacsak a borítékot nem kifejezetten egy meghatározott személynek címezték. Ebben az esetben a megfelelő nyilvántartó hivatal feljegyzi a boríték beérkezését, és csak a címzett személy nyithatja fel a belső borítékot és adhat elismervényt a benne foglalt dokumentum átvételéről.

9. A belső borítékban átvételi elismervényt kell elhelyezni. Az elismervényen, amely nem minősített irat, fel kell tüntetni a hivatkozási számot, az időpontot és a dokumentum példányának a sorszámát, de a tárgyát sohasem.

10. A belső borítékot egy külső borítékba kell helyezni, amelyen az átvétel igazolása céljából fel kell tüntetni a küldemény számát. A külső borítékon semmilyen körülmények között nem tüntethető fel a biztonsági minősítés jelölése.

11. A CONFIDENTIEL UE és annál magasabb minősítésű dokumentumok esetében a futárok és a küldöncök a küldeményszám alapján kapják meg az átvételi elismervényt.

TOVÁBBÍTÁS ÉPÜLETEN VAGY ÉPÜLETEGYÜTTESEN BELÜL

12. Adott épületen vagy épületegyüttesen belül a minősített dokumentumok lepecsételt borítékban továbbíthatók, amelyen csak a címzett neve van feltüntetve, feltéve hogy a kézbesítést végző személy a dokumentum minősítési szintjének megfelelő biztonsági ellenőrzésen esett át.

EU-DOKUMENTUMOK EGY ORSZÁGON BELÜLI TOVÁBBÍTÁSA

13. Egy országon belül TRÈS SECRET UE/EU TOP SECRET dokumentumok továbbítását csak hivatalos futárszolgálat vagy a TRÈS SECRET UE/EU TOP SECRET minősítésű információhoz való hozzáférésre felhatalmazott személyek végezhetik.

14. Ha TRÈS SECRET UE/EU TOP SECRET dokumentumok épületen vagy épületegyüttesen kívülre történő továbbítására futárszolgálat vesznek igénybe, akkor az e fejezetben foglalt, a csomagolással és átvétellel kapcsolatos rendelkezéseket be kell tartani. A kézbesítő szolgálatoknak elegendő személyzettel kell rendelkezniük, amely biztosítja, hogy a TRÈS SECRET UE/EU TOP SECRET dokumentumokat tartalmazó csomagok mindenkor egy felelős tisztviselő közvetlen felügyelete alatt maradjanak.

15. TRÈS SECRET UE/EU TOP SECRET dokumentumokat üléseken és megbeszéléseken való helyi felhasználás céljából a futárokon kívül kivételesen tisztviselők is kivihetik az épületből vagy épületegyüttesből, feltéve hogy:

a) az érintett tisztviselőnek felhatalmazása van arra, hogy hozzáférhessen ezekhez a TRÈS SECRET UE/EU TOP SECRET dokumentumokhoz;

b) a szállítás módja megfelel a TOP SECRET dokumentumok továbbítására irányadó nemzeti szabályoknak;

c) a tisztviselő semmilyen körülmények között sem hagyja őrizetlenül a TRÈS SECRET UE/EU TOP SECRET dokumentumokat;

d) gondoskodnak arról, hogy az így szállított dokumentumok jegyzékét a dokumentumokat birtokló TRÈS SECRET UE/EU TOP SECRET nyilvántartó hivatal megőrizze és nyilvántartásba vegye, és e nyilvántartás alapján ellenőrizze azokat visszahozataluk alkalmával.

16. Egyazon országon belül a SECRET UE és CONFIDENTIEL UE dokumentumok postai úton is továbbíthatók, amennyiben az ilyen továbbítás a nemzeti szabályozás alapján megengedett és összhangban áll a nemzeti szabályozás rendelkezéseivel, illetve továbbíthatók futárszolgálat vagy EU minősített információkhoz való hozzáférésre felhatalmazott személy útján.

17. E szabályzat alapján minden tagállam és az EU minden decentralizált szerve kidolgozza az EU minősített dokumentumok személyes szállítására vonatkozó rendelkezéseket. A dokumentumot továbbító személynek el kell olvasnia és alá kell írnia ezeket az utasításokat. Az utasításokban különösen egyértelművé kell tenni, hogy a dokumentumok semmilyen körülmények között:

a) nem kerülhetnek ki az adott személy birtokából, hacsak nincsenek a IV. szakaszban foglalt rendelkezéseknek megfelelő biztonságos őrizet alatt;

b) nem maradhatnak őrizetlenül sem tömegközlekedési eszközön, sem magántulajdonú járműben, sem étteremben, szállodában vagy más hasonló helyen. Nem tárolhatók szállodai széfben és nem hagyhatók őrizetlenül szállodai szobában;

c) nem olvashatók nyilvános helyen, például repülőn vagy vonaton.

TOVÁBBÍTÁS EGYIK TAGÁLLAMBÓL A MÁSIKBA

18. A CONFIDENTIEL UE és annál magasabb minősítésű anyagokat egyik tagállamból a másikba diplomáciai vagy katonai futárszolgálat útján kell továbbítani.

19. Azonban a SECRET UE és CONFIDENTIEL UE minősítésű anyag személyes szállítása is engedélyezhető, amennyiben a szállításra vonatkozó rendelkezések biztosítják, hogy az anyag ne kerülhessen illetéktelen személy kezébe.

20. A nemzeti biztonsági hatóságok engedélyezhetik a személyes szállítást, ha diplomáciai vagy katonai futár nem áll rendelkezésre, illetve ha ezeknek a futároknak az igénybevétele olyan késedelemmel járna, amely hátrányos kihatással lehetne az EU műveleteire, és ha az anyagra a címzettnek sürgősen szüksége van. A SECRET UE vagy annál alacsonyabb minősítésű anyagok diplomáciai és katonai futárokon kívüli más személyek által történő nemzetközi személyes szállítására vonatkozó utasításokat az egyes tagállamok dolgozzák ki. Ezeknek az utasításoknak a következőket kell tartalmazniuk:

a) az anyagot továbbító személynek megfelelő biztonsági felhatalmazással kell rendelkeznie az érintett tagállamtól;

b) a megfelelő irodának vagy nyilvántartó hivatalnak minden így szállított anyagot nyilvántartásba kell vennie;

c) az EU anyagot tartalmazó csomagokat vagy zsákokat a vámvizsgálat elkerülése vagy megelőzése végett hivatalos pecséttel kell ellátni, valamint egy azonosító címkével a megtalálónak szóló utasításokkal;

d) az anyagot szállító személynek rendelkeznie kell egy valamennyi tagállam által elismert futárigazolvánnyal és/vagy kiküldetési megbízással, amely felhatalmazza őt az abban meghatározott csomag szállítására;

e) szárazföldi útvonalon egyetlen EU-n kívüli állam területén sem szabad átutazni vagy annak határát átlépni, kivéve ha a feladó állam kifejezett biztosítékot kapott az adott államtól;

f) az anyagot szállító személy útját úgy kell megszervezni, hogy a célállomás, az útvonal és az igénybe venni kívánt szállítóeszközök kiválasztása tekintetében feleljen meg az EU-rendelkezéseknek, illetve ha e tekintetben a nemzeti rendelkezések szigorúbbak, ez utóbbiaknak;

g) az anyag nem kerülhet ki az azt szállító személy birtokából, kivéve ha azt a IV. szakaszban foglalt biztonságos őrizetre vonatkozó rendelkezéseknek megfelelően helyezik el;

h) az anyag nem maradhat őrizetlenül tömegközlekedési eszközön vagy magántulajdonú járműben, sem étteremben, szállodában vagy más hasonló helyen. Nem tárolható szállodai széfben és nem hagyható őrizetlenül szállodai szobában;

i) ha a szállított anyag dokumentumokat tartalmaz, akkor azokat nem lehet nyilvános helyen olvasni (például vonaton, repülőn stb.).

A minősített anyag szállítására kijelölt személynek olyan biztonsági tájékoztatót kell elolvasnia és aláírnia, amely minimálisan a fentiekben felsorolt utasításokat és azokat az eljárásokat tartalmazza, amelyek vészhelyzetben vagy olyan esetben követendők, amikor a minősített anyagot tartalmazó csomagot vámtisztviselők vagy repülőtéri biztonsági tisztviselők akarják átvizsgálni.

A RESTREINT UE DOKUMENTUMOK TOVÁBBÍTÁSA

21. Attól eltekintve, hogy a szállítás során biztosítani kell, hogy a dokumentumok ne kerülhessenek illetéktelen személyek kezébe, a RESTREINT UE dokumentumok szállítására nézve különleges rendelkezések nincsenek megállapítva.

A FUTÁROK BIZTONSÁGA

22. A SECRET UE és CONFIDENTIEL UE dokumentumok szállítására alkalmazott valamennyi futárnak és küldöncnek megfelelő biztonsági felhatalmazással kell rendelkeznie.

III. fejezet

A technikai továbbítás elektronikus és egyéb eszközei

23. Az EU minősített információk biztonságos továbbítását a kommunikációs biztonságot szolgáló intézkedések hivatottak biztosítani. Az EU minősített információk továbbítására vonatkozó részletes szabályokat a XI. szakasz tartalmazza.

24. Csak akkreditált kommunikációs központok és hálózatok és/vagy terminálok és rendszerek továbbíthatnak CONFIDENTIEL UE és SECRET UE minősítésű információkat.

IV. fejezet

Az EU minősített dokumentumok külön példányai és fordításai, valamint a belőlük készített kivonatok

25. TRÈS SECRET UE/EU TOP SECRET dokumentumok másolását vagy fordítását csak a kibocsátójuk engedélyezheti.

26. Ha TRÈS SECRET UE/EU TOP SECRET szintű biztonsági felhatalmazással nem rendelkező személyek kérnek olyan információkat, amelyek – bár azokat TRÈS SECRET UE/EU TOP SECRET dokumentumok tartalmazzák – nem rendelkeznek ilyen minősítéssel, akkor a TRÈS SECRET UE/EU TOP SECRET nyilvántartó hivatal vezetője kaphat engedélyt a szóban forgó dokumentum szükséges számú kivonatának az elkészítésére. Egyidejűleg meg kell tennie a szükséges intézkedéseket annak biztosítására, hogy ezek a kivonatok megkapják a megfelelő biztonsági minősítést.

27. A SECRET UE és alacsonyabb minősítésű dokumentumokat a címzett sokszorosíthatja és lefordíthatja az adott nemzeti biztonsági rendelkezések keretein belül és a szükséges ismeret elvének szigorú betartása mellett. Az eredeti dokumentumra vonatkozó biztonsági intézkedések a másolatokra és/vagy a fordításokra is vonatkoznak. Az EU decentralizált szerveinek is be kell tartaniuk e biztonsági szabályzatot.

V. fejezet

Az EU minősített dokumentumok számbavétele, ellenőrzése, tárolása és megsemmisítése

SZÁMBAVÉTEL ÉS ELLENŐRZÉS

28. A VIII. szakasz szerinti minden egyes TRÈS SECRET UE/EU TOP SECRET nyilvántartó hivatal évente köteles a VIII. szakasz 9-11. pontjában meghatározott rendelkezéseknek megfelelően tételesen számba venni a TRÈS SECRET UE/EU TOP SECRET dokumentumokat. A TRÈS SECRET UE/EU TOP SECRET szintűnél alacsonyabb minősítésű dokumentumokat belső ellenőrzésnek kell alávetni a nemzeti iránymutatásoknak megfelelően, illetve a Főtitkárság vagy az EU decentralizált szervei esetében a főtitkár/főképviselő utasításainak megfelelően.

Ezek a műveletek lehetőséget kínálnak arra, hogy kikérjék a dokumentumok birtokosainak véleményét:

a) egyes dokumentumok visszaminősítésének vagy minősítésük megszüntetésének lehetőségéről;

b) a megsemmisítendő dokumentumokról.

AZ EU MINŐSÍTETT DOKUMENTUMOK IRATTÁRI TÁROLÁSA

29. Annak érdekében, hogy a tárolás minél kevesebb problémával járjon, az összes nyilvántartó hivatal ellenőrző tisztviselői felhatalmazást kapnak arra, hogy a TRÈS SECRET UE/EU TOP SECRET, SECRET UE és CONFIDENTIEL UE dokumentumokat mikrofilmre vegyék vagy egyéb módon, mágneses vagy optikai adathordozón tárolják irattári megőrzés céljából, feltéve hogy:

a) a mikrofilmes/tárolási eljárást olyan személyek végzik, akik a megfelelő minősítési szintnek megfelelő érvényes biztonsági felhatalmazással rendelkeznek;

b) a mikrofilm/adathordozó ugyanolyan biztonságban részesül, mint az eredeti dokumentumok;

c) a TRÈS SECRET UE/EU TOP SECRET dokumentum mikrofilmre vételéről/tárolásáról kibocsátója értesítést kap;

d) a filmtekercsek vagy más típusú adathordozók csak azonos TRÈS SECRET UE/EU TOP SECRET, SECRET UE, illetve CONFIDENTIEL UE minősítésű dokumentumokat tartalmaznak;

e) a TRÈS SECRET UE/EU TOP SECRET, SECRET UE vagy CONFIDENTIEL UE dokumentum mikrofilmre vitelét/tárolását világosan feltüntetik az éves leltárnál használt nyilvántartásban;

f) a mikrofilmre vitt vagy egyéb módon tárolt dokumentumok eredetijét a 31-36. pontban rögzített szabályoknak megfelelően megsemmisítik.

30. Ezek a szabályok vonatkoznak a tárolás egyéb, a nemzeti biztonsági hatóságok által engedélyezett formáira, például az elektromágneses adathordozókra és az optikai lemezekre is.

EU MINŐSÍTETT DOKUMENTUMOK RUTINSZERŰ MEGSEMMISÍTÉSE

31. Annak érdekében, hogy szükségtelenül ne halmozódjanak fel olyan EU minősített dokumentumok, amelyeket a birtokában tartó szerv vezetője elavultnak vagy felesleges számúnak ítél, azokat a lehető legrövidebb időn belül meg kell semmisíteni a következő módon:

a) a TRÈS SECRET UE/EU TOP SECRET dokumentumokat csak az azokért felelős központi nyilvántartó hivatal semmisítheti meg. Az egyes megsemmisített dokumentumokról megsemmisítési jegyzőkönyvet kell felvenni, amelyet a TRÈS SECRET UE/EU TOP SECRET ellenőrző tisztviselő és a megsemmisítés során tanúként jelen lévő, TRÈS SECRET UE/EU TOP SECRET biztonsági felhatalmazással rendelkező tisztviselőnek kell aláírnia. Ezt a szolgálati naplóba be kell jegyezni;

b) a nyilvántartó hivatal a megsemmisítési jegyzőkönyveket az elosztóívvel együtt tíz évig őrzi meg. Másolatot csak akkor küldenek a kibocsátónak vagy a megfelelő központi nyilvántartó hivatalnak, ha azok ezt kifejezetten kérik;

c) a TRÈS SECRET UE/EU TOP SECRET dokumentumokat – a TRÈS SECRET UE/EU TOP SECRET dokumentumok készítése során keletkezett valamennyi minősített hulladékot is beleértve, mint például a rontott példányok, piszkozatok, gépelt jegyzetek és indigópapírok – a TRÈS SECRET UE/EU TOP SECRET ellenőrző tisztviselő felügyelete alatt elégetéssel, zúzással, felaprítással vagy egyéb, azok tartalmát felismerhetetlenné és rekonstruálhatatlanná tevő módszerrel kell megsemmisíteni.

32. A SECRET UE dokumentumokat a 31. c) pontban említett eljárások egyikét alkalmazva, egy biztonsági felhatalmazással rendelkező személy felügyelete alatt az a nyilvántartó hivatal semmisíti meg, amelyik felel értük. A megsemmisített SECRET UE dokumentumokról aláírt megsemmisítési jegyzőkönyvet kell felvenni, amelyet a nyilvántartó hivatal az elosztóívekkel együtt legalább három évig megőriz.

33. A CONFIDENTIEL UE dokumentumokat az 31. c) pontban említett eljárások egyikét alkalmazva, egy biztonsági felhatalmazással rendelkező személy felügyelete alatt az a nyilvántartó hivatal semmisíti meg, amelyik felel értük. Megsemmisítésüket a nemzeti rendelkezéseknek, illetve a Főtitkárság és az EU decentralizált szervei esetében a főtitkár/főképviselő utasításainak megfelelően kell nyilvántartani.

34. RESTREINT UE dokumentumokat az ilyen dokumentumokért felelős nyilvántartó hivataloknak vagy a felhasználóknak kell megsemmisíteniük a nemzeti rendelkezéseknek, illetve a Főtitkárság és az EU decentralizált szervei esetében a főtitkár/főképviselő utasításainak megfelelően.

MEGSEMMISÍTÉS VÉSZHELYZETBEN

35. A Főtitkárság, a tagállamok és az EU decentralizált szervei a helyi feltételek alapján terveket dolgoznak ki az EU minősített anyagok válsághelyzetben történő védelmére, beleértve adott esetben a vészhelyzeti megsemmisítési és kiürítési terveket is; szervezeteik vonatkozásában kiadják az annak megakadályozására szükségesnek ítélt utasításokat, hogy az EU minősített információk illetéktelen személyek kezébe kerülhessenek.

36. A SECRET UE és CONFIDENTIEL UE anyagok válsághelyzetben történő védelmére és/vagy megsemmisítésére irányuló intézkedések semmilyen körülmények között sem akadályozhatják az olyan TRÈS SECRET UE/EU TOP SECRET anyagok – a kriptográfiai berendezéseket is beleértve – védelmét vagy megsemmisítését, amelyek ellátása minden más feladattal szemben elsőbbséget élvez. A kriptográfiai berendezések vészhelyzetben történő védelmére és megsemmisítésére vonatkozó intézkedéseket ad hoc utasítások útján szabályozzák.

VI. fejezet

A Tanácsnak szánt dokumentumokra vonatkozó különös szabályok

37. A Főtitkárságon belül a "Minősített Információk Hivatala" követi nyomon a Tanácsnak szánt dokumentumokban szereplő SECRET UE vagy CONFIDENTIEL UE minősítésű információkat.

A személyzeti és igazgatási főigazgató felügyelete mellett a Minősített Információk Hivatala:

a) ellátja az ilyen információk nyilvántartásba vételével, sokszorosításával, fordításával, továbbításával, elküldésével és megsemmisítésével kapcsolatos igazgatási feladatokat;

b) naprakészen tartja a minősített információkra vonatkozó adatok listáját;

c) rendszeres időközönként rákérdez, hogy szükséges-e az információ minősítésének további fenntartása;

d) a Biztonsági Hivatallal együttműködve meghatározza az információk minősítésének és a minősítés megszüntetésének gyakorlati szabályait.

38. A Minősített Információk Hivatala a következő adatokról vezet nyilvántartást:

a) a minősített információ előállításának időpontja;

b) a minősítési szint;

c) a minősítés lejártának időpontja;

d) a kibocsátó neve és szervezeti egysége;

e) a címzett vagy címzettek és sorszámuk;

f) tárgy;

g) szám;

h) a szétosztott példányok száma;

i) a Tanács elé beterjesztett minősített információk leltárának elkészítése;

j) a minősített információk visszaminősítésének és minősítésük megszüntetésének nyilvántartása.

39. Az e szakasz I–V. fejezetében meghatározott általános szabályokat a Főtitkárság Minősített Információk Irodájára is alkalmazni kell, kivéve ha azokat az e fejezetben foglalt különös szabályok módosítják.

VIII. SZAKASZ

TRÈS SECRET UE/EU TOP SECRET ANYAGOK NYILVÁNTARTÓ HIVATALAI

1. A TRÈS SECRET UE/EU TOP SECRET nyilvántartó hivatalok célja biztosítani az TRÈS SECRET UE/EU TOP SECRET dokumentumoknak a biztonsági előírásoknak megfelelő nyilvántartását, kezelését és elosztását. Az egyes tagállamokban, a Főtitkárságon és adott esetben az EU decentralizált szerveinél működő TRÈS SECRET UE/EU TOP SECRET nyilvántartó hivatal vezetője a TRÈS SECRET UE/EU TOP SECRET ellenőrző tisztviselő.

2. A központi nyilvántartó hivatalok fő átvevő és elosztó hatóságként működnek a tagállamokban, a Főtitkárságon és az EU decentralizált szerveinél, ahol ilyen nyilvántartó hivatalok létesültek, továbbá adott esetben egyéb EU-intézményekben, nemzetközi szervezetekben és olyan harmadik államokban, amelyekkel a Tanács a minősített információk cseréjére vonatkozó biztonsági eljárásokról szóló megállapodást kötött.

3. Ha szükséges, alárendelt nyilvántartó hivatalokat hoznak létre, amelyek a TRÈS SECRET UE/EU TOP SECRET dokumentumok belső igazgatásáért felelnek. Ezek naprakész nyilvántartást vezetnek a felelősségi körükbe tartozó minden dokumentum elosztásáról.

4. A hosszú távú igényekre reagálva, az I. szakaszban foglaltaknak megfelelően, alárendelt TRÈS SECRET UE/EU TOP SECRET nyilvántartó hivatalokat kell létrehozni, és ezeket a központi TRÈS SECRET UE/EU TOP SECRET nyilvántartó hivatalhoz csatolják. Ha a TRÈS SECRET UE/EU TOP SECRET dokumentumokba csak ideiglenesen és alkalmilag szükséges betekinteni, ezeket a dokumentumokat az alárendelt TRÈS SECRET UE/EU TOP SECRET nyilvántartó hivatal létrehozása nélkül is ki lehet adni, feltéve hogy szabályokat állapítanak meg annak biztosítása érdekében, hogy a dokumentumok a megfelelő TRÈS SECRET UE/EU TOP SECRET nyilvántartó hivatal ellenőrzése alatt maradjanak és az összes fizikai és személyzeti biztonsági intézkedést betartsák.

5. Az alárendelt TRÈS SECRET UE/EU TOP SECRET nyilvántartó hivatalok a központi nyilvántartó hivatal kifejezett engedélye nélkül nem továbbíthatnak közvetlenül ugyanazon központi nyilvántartó hivatal alá tartozó alárendelt nyilvántartó hivatalnak TRÈS SECRET UE/EU TOP SECRET dokumentumokat.

6. A nem ugyanazon központi nyilvántartó hivatalokhoz tartozó alárendelt nyilvántartó hivatalok között a TRÈS SECRET UE/EU TOP SECRET dokumentumok minden cseréjét a központi TRÈS SECRET UE/EU TOP SECRET nyilvántartó hivatalokon keresztül kell lebonyolítani.

A KÖZPONTI TRÈS SECRET UE/EU TOP SECRET NYILVÁNTARTÓ HIVATALOK

7. A központi TRÈS SECRET UE/EU TOP SECRET nyilvántartó hivatal vezetője mint ellenőrző tisztviselő az alábbiakért felel:

a) a TRÈS SECRET UE/EU TOP SECRET dokumentumoknak a VII. szakaszban meghatározott szabályoknak megfelelő továbbítása;

b) az alá tartozó valamennyi alárendelt TRÈS SECRET UE/EU TOP SECRET nyilvántartó hivatalt, illetve a kinevezett ellenőrző tisztviselők és felhatalmazott helyetteseik nevét és aláírását tartalmazó lista vezetése;

c) a központi nyilvántartó hivatal által elosztott TRÈS SECRET UE/EU TOP SECRET dokumentumokról a nyilvántartó hivatalok által kiadott átvételi elismervények megőrzése;

d) a birtokában lévő és az elosztott TRÈS SECRET UE/EU TOP SECRET dokumentumokról szóló nyilvántartás vezetése;

e) naprakész lista vezetése valamennyi központi TRÈS SECRET UE/EU TOP SECRET nyilvántartó hivatalról, amellyel rendszeresen levelezik, a kinevezett ellenőrző tisztviselők és felhatalmazott helyetteseik nevével és aláírásával együtt;

f) a nyilvántartó hivatal birtokában lévő valamennyi TRÈS SECRET UE/EU TOP SECRET dokumentum fizikai megőrzése a IV. szakaszban meghatározott rendelkezéseknek megfelelően.

TRÈS SECRET UE/EU TOP SECRET ALÁRENDELT NYILVÁNTARTÓ HIVATALOK

8. A TRÈS SECRET UE/EU TOP SECRET alárendelt nyilvántartó hivatal vezetője mint ellenőrző tisztviselő felel:

a) a TRÈS SECRET UE/EU TOP SECRET dokumentumoknak a VII. szakaszban és a VIII. szakasz 5. és 6. pontjában meghatározott rendelkezéseknek megfelelő továbbításáért;

b) az általa ellenőrzött TRÈS SECRET UE/EU TOP SECRET dokumentumokhoz való hozzáférésre felhatalmazott személyek naprakész listájának vezetéséért;

c) azért, hogy a TRÈS SECRET UE/EU TOP SECRET dokumentumok elosztása a kibocsátójuk utasításai szerint, illetve a szükséges ismeret elve alapján történjék, miután először ellenőrizte, hogy a címzett rendelkezik-e a megfelelő szintű biztonsági felhatalmazással;

d) az ellenőrzése alá tartozó valamennyi birtokolt vagy elosztott, illetve más TRÈS SECRET UE/EU TOP SECRET nyilvántartó hivataloknak átadott TRÈS SECRET UE/EU TOP SECRET dokumentumok naprakész nyilvántartásának vezetéséért, továbbá a megfelelő átvételi elismervények megőrzéséért;

e) naprakész lista vezetéséért azokról a TRÈS SECRET UE/EU TOP SECRET nyilvántartó hivatalokról, amelyekkel jogosult TRÈS SECRET UE/EU TOP SECRET dokumentumokat kicserélni, az ellenőrző tisztviselők és felhatalmazott helyetteseik nevével és aláírásával együtt;

f) az alárendelt nyilvántartó hivatal birtokában lévő valamennyi TRÈS SECRET UE/EU TOP SECRET dokumentum fizikai megőrzéséért a IV. szakaszban meghatározott rendelkezéseknek megfelelően.

LELTÁR

9. Tizenkét havonta minden TRÈS SECRET UE/EU TOP SECRET nyilvántartó hivatal köteles tételes leltárt készíteni az összes TRÈS SECRET UE/EU TOP SECRET dokumentumról, amellyel elszámolni köteles. Akkor tekinthető úgy, hogy egy dokumentummal elszámoltak, ha a nyilvántartó hivatalban fizikailag megtalálható vagy a hivatal rendelkezik annak a TRÈS SECRET UE/EU TOP SECRET nyilvántartó hivatalnak az átvételi elismervényével, amelynek a dokumentumot továbbította, illetve ha birtokában van a dokumentum megsemmisítési jegyzőkönyve, vagy a dokumentum visszaminősítését vagy minősítésének megszüntetését elrendelő utasítás.

10. Az alárendelt nyilvántartó hivatalok az éves leltár megállapításait a felettes központi nyilvántartó hivatalnak azon a napon küldik meg, amelyet ez utóbbi meghatározott.

11. A nemzeti biztonsági hatóságok, továbbá azon EU-intézmények, nemzetközi szervezetek és EU decentralizált szervek, ahol központi TRÈS SECRET UE/EU TOP SECRET nyilvántartó hivatal működik, a TRÈS SECRET UE/EU TOP SECRET központi nyilvántartó hivatalokban évente végzett leltározás megállapításait minden évben legkésőbb április 1-jéig megküldik a főtitkárnak/főképviselőnek.

IX. SZAKASZ

A TANÁCS HELYISÉGEIN KÍVÜL ÉS RENDKÍVÜL KÉNYES ÜGYEKBEN TARTOTT KÜLÖNLEGES ÜLÉSEK ESETÉN ALKALMAZANDÓ BIZTONSÁGI INTÉZKEDÉSEK

ÁLTALÁNOS ISMERTETÉS

1. Amikor az Európai Tanács, a Tanács, a miniszterek üléseit vagy egyéb fontos üléseket a Tanács brüsszeli és luxembourgi helyiségein kívül tartják meg, és ha az ezeken megvitatott kérdések vagy információk fokozottan kényes jellegével kapcsolatos különleges biztonsági követelmények indokolják, az alábbiakban meghatározott biztonsági intézkedéseket kell megtenni. Ezek az intézkedések csak az EU minősített információk védelmére vonatkoznak, így esetleg egyéb biztonsági intézkedéseket is szükséges lehet tervbe venni.

HATÁSKÖRÖK

Fogadó tagállam

2. Az a tagállam, amelynek területén az ülést tartják (fogadó tagállam) a Főtitkárság Biztonsági Hivatalával együttműködve felel az Európai Tanács, a Tanács, a miniszterek üléseinek vagy egyéb fontos üléseknek a biztonságáért és a küldöttek, illetve munkatársaik fizikai biztonságáért.

A biztonság védelmét illetően különösen a következőkről kell gondoskodnia:

a) tervek kidolgozása a biztonságot fenyegető veszélyek és a biztonsággal összefüggő váratlan események kezelésére; a tervezett intézkedések különösen az EU minősített dokumentumoknak az irodahelyiségekben történő biztonságos megőrzésére irányulnak;

b) intézkedések megtétele annak érdekében, hogy EU minősített üzenetek fogadása és küldése céljából lehetővé váljék az esetleges hozzáférés a Tanács kommunikációs rendszeréhez. A fogadó tagállam szükség szerint biztonságos telefonrendszerekhez való hozzáférést is biztosít.

Tagállamok

3. A tagállamok hatóságainak biztosítaniuk kell az alábbiakat:

a) nemzeti küldötteik számára a megfelelő szintű biztonsági ellenőrzéséről szóló tanúsítványok megküldése – szükség szerint jeladás vagy fax útján – közvetlenül vagy a Főtitkárság Biztonsági Hivatalán keresztül az ülés biztonsági tisztviselőjének;

b) a fogadó tagállam hatóságainak és adott esetben a Főtitkárság Biztonsági Hivatalának értesítése bármely egyedi fenyegetésről annak érdekében, hogy megfelelő intézkedéseket lehessen tenni.

Az ülés biztonsági tisztviselője

4. Biztonsági tisztviselőt kell kinevezni, akinek feladata az általános belső biztonsági intézkedések előkészítése és ellenőrzése, valamint az egyéb érintett biztonsági hatóságokkal való egyeztetés. Az általa tett intézkedések általában az alábbiakra terjednek ki:

a) i. védelmi intézkedések az ülés helyszínén annak biztosítására, hogy az ülés minden olyan váratlan eseménytől mentesen folyjék le, ami veszélyeztethetné az ott felhasznált EU minősített információk biztonságát;

ii. az ülés helyszínére, a küldöttségek számára biztosított területekre és a konferenciatermekbe belépési engedéllyel rendelkező személyzet, valamint a berendezések ellenőrzése;

iii. állandó egyeztetés a fogadó tagállam illetékes hatóságaival és a Főtitkárság Biztonsági Hivatalával;

b) a biztonsági utasítások beillesztése az ülés dossziéjába, kellőképpen figyelembe véve az e biztonsági szabályzatban rögzített követelményeket és minden egyéb, szükségesnek ítélt biztonsági utasítást.

A Főtitkárság Biztonsági Hivatala

5. A Főtitkárság Biztonsági Hivatala tanácsadóként vesz részt az ülés előkészítésében; képviselteti magát a helyszínen, hogy szükség esetén tanácsot adjon és segítse az ülés biztonsági tisztviselőjét és a küldöttségeket.

6. Az ülés minden küldöttsége kijelöl egy biztonsági tisztviselőt, aki a küldöttségen belül felel a biztonsági ügyekért, valamint az ülés biztonsági tisztviselőjével és – adott esetben – a Főtitkárság Biztonsági Hivatalának képviselőjével való kapcsolattartásért.

BIZTONSÁGI INTÉZKEDÉSEK

Biztonsági területek

7. A következő biztonsági területeket kell kialakítani:

a) egy II. osztályba tartozó biztonsági terület, amely a szerkesztői szobát, a Főtitkárság irodáit és a reprográfiai berendezéseket, valamint adott esetben a küldöttségek irodahelyiségeit foglalja magában;

b) egy I. osztályba tartozó biztonsági terület, amely a konferenciatermet, valamint a tolmácsok és a hangmérnökök fülkéit foglalja magában;

c) szolgálati területek, amelyek a sajtó számára fenntartott területből és az ülés helyszínének igazgatási célokra, étkezés és szállás céljára szolgáló részeiből, valamint a sajtóközponttal és az ülés helyszínével közvetlenül határos területekből állnak.

Belépők

8. A küldöttségek kérésére, azok igényeinek megfelelően az ülés biztonsági tisztviselője adja ki a megfelelő kitűzőket. Ha szükséges, különbséget lehet tenni a különböző biztonsági területekhez való hozzáférést illetően.

9. Az ülésre vonatkozó biztonsági utasítások előírják, hogy az ülés helyszínének területén minden érintett személy mindenkor látható módon viselje és helyezze ki kitűzőjét, hogy őket a biztonsági személyzet szükség szerint ellenőrizhesse.

10. A kitűzőt viselő résztvevők mellett az ülés helyszínére a lehető legkevesebb számú embert engedik be. Ha a nemzeti küldöttségek látogatókat akarnak fogadni az ülés ideje alatt, erről értesítik az ülés biztonsági tisztviselőjét. A látogatóknak látogatói kitűzőt kell adni. Látogatói belépőnyomtatványt töltenek ki, amelyen feltüntetik a látogató és a felkeresni kívánt személy nevét. A látogatókat mindenkor biztonsági őr vagy a felkeresett személy kíséri. A látogatói belépőnyomtatványt a kísérő tartja magánál, aki azt a látogatói kitűzővel együtt leadja a biztonsági személyzetnél, amikor a látogató az ülés helyszínét elhagyja.

Fényképezőgépek és hangrögzítő berendezések ellenőrzése

11. Kamerát vagy hangrögzítő berendezést az I. osztályba tartozó biztonsági területre – az ülés biztonsági tisztviselője által kellően felhatalmazott fotósok és hangmérnökök által hozott berendezések kivételével – bevinni nem lehet.

Aktatáskák, hordozható számítógépek és csomagok ellenőrzése

12. A biztonsági területre engedély birtokában belépők rendszerint ellenőrzés nélkül bevihetik aktatáskáikat és (csak saját áramforrással rendelkező) hordozható számítógépeiket. A küldöttségeknek címzett csomagokat a küldöttségek átvehetik, ezeket vagy a küldöttség biztonsági tisztviselője vizsgálja meg, vagy speciális berendezéssel világítják át, vagy a biztonsági személyzet nyitja fel átvizsgálás céljából. Ha az ülés biztonsági tisztviselője szükségesnek tartja, a kézitáskák és csomagok átvizsgálására szigorúbb intézkedéseket is meg lehet határozni.

Technikai biztonság

13. Az ülésterem technikai biztonságát technikai biztonsági csoport biztosíthatja, amely az ülés alatt elektronikus felügyeletet is végezhet.

A küldöttségek dokumentumai

14. A küldöttségek felelnek az EU minősített dokumentumoknak az ülésekre és az onnan való szállításáért. A küldöttségek e dokumentumoknak a számukra kijelölt helyiségekben való felhasználása során azok ellenőrzéséért és biztonságáért is felelnek. A minősített dokumentumoknak az ülés helyére, illetve az onnan történő szállításában kérhetik a fogadó tagállam segítségét.

A dokumentumok biztonságos megőrzése

15. Ha a Főtitkárság, a Bizottság vagy a küldöttségek nem tudják minősített dokumentumaikat a jóváhagyott szabályoknak megfelelően tárolni, ezeket a dokumentumokat lepecsételt borítékban, átvételi elismervény ellenében leadhatják az ülés biztonsági tisztviselőjénél, hogy az a jóváhagyott szabályoknak megfelelő tárolásukról gondoskodjon.

Az irodahelyiségek ellenőrzése

16. Az ülés biztonsági tisztviselője gondoskodik arról, hogy a Főtitkárság és a küldöttségek irodahelyiségeit minden munkanap végén ellenőrizzék annak biztosítása érdekében, hogy minden EU minősített dokumentumot biztonságos helyen őrizzenek; ha nem így történik, meg kell tennie a szükséges intézkedéseket.

Az EU minősített hulladék ártalmatlanítása

17. Minden hulladék EU minősített anyagként kezelendő, és tárolásához szemetes kosarakat vagy zsákokat kell biztosítani a Főtitkárság és a küldöttségek részére. A Főtitkárságnak és a küldöttségeknek kijelölt helyiségeik elhagyása előtt át kell adniuk hulladékukat az ülés biztonsági tisztviselőjének, aki intézkedik azok előírásszerű megsemmisítéséről.

18. Az ülés végén a Főtitkárság és a küldöttségek birtokában lévő, de már szükségtelen minden dokumentumot hulladékként kell kezelni. Az üléssel kapcsolatban hozott biztonsági intézkedések megszüntetése előtt a Főtitkárság és a küldöttségek helyiségeit alaposan át kell vizsgálni. Az átvéli elismervény ellenében átvett dokumentumokat, amilyen mértékben csak lehetséges, a VII. szakaszban meghatározottak szerint kell megsemmisíteni.

X. SZAKASZ

A BIZTONSÁG MEGSÉRTÉSE ÉS EU MINŐSÍTETT INFORMÁCIÓK ILLETÉKTELENEK TUDOMÁSÁRA JUTÁSA

1. A biztonság megsértése akkor következik be, ha a Tanács biztonsági szabályzatával ellentétes cselekedet vagy mulasztás következményeként EU minősített információk veszélybe kerülhetnek, vagy illetéktelenek tudomására juthatnak.

2. EU minősített információk illetéktelenek tudomására jutása akkor következik be, ha az információk részben vagy teljes egészükben illetéktelen személyek kezébe, vagyis olyan személyek kezébe jutnak, akik nem rendelkeznek megfelelő biztonsági felhatalmazással vagy nincs szükségük az ismeretre, illetve ha valószínűsíthető, hogy ilyen esemény bekövetkezett.

3. EU minősített információk illetéktelenek tudomására jutása bekövetkezhet óvatlanság, gondatlanság vagy indiszkréció következtében, valamint azon szolgálatok tevékenysége következtében is, amelyek EU minősített információkkal és tevékenységekkel kapcsolatos ismereteket akarnak megszerezni az EU-ban és tagállamaiban, továbbá felforgató szervezetek tevékenysége következtében.

4. Fontos, hogy mindazok, akiknek EU minősített információkat kell kezelniük, alapos tájékoztatást kapjanak a biztonsági eljárásokról, az indiszkrét társalgás veszélyeiről és a sajtóval való kapcsolattartásról. Tisztában kell lenniük annak fontosságával, hogy a biztonság minden általuk észlelt megsértéséről azonnal tájékoztassák annak a tagállamnak, intézménynek vagy szervnek a biztonsági hatóságát, amely őket alkalmazza.

5. Ha valamely biztonsági hatóság felfedezi, hogy az EU minősített információkra vonatkozó biztonságot megsértették vagy azt, hogy EU minősített anyagok vesztek vagy tűntek el, illetve erről tájékoztatást kap, akkor idejében intézkedéseket tesz:

a) a tényállás megállapítására;

b) az okozott kár felmérésére és minimalizálására;

c) az ismételt előfordulás megelőzésére;

d) az illetékes hatóságok értesítésére arról, hogy a biztonság megsértése milyen következményekkel jár.

Ezzel összefüggésben a következő információkat kell szolgáltatni:

i. az érintett információk leírása, beleértve azok minősítését, hivatkozási számát, példányának sorszámát, keltezését, kibocsátóját, tárgyát és terjedelmét;

ii. a biztonság megsértése körülményeinek rövid leírása, beleértve azt az időpontot és időtartamot is, amikor az információ ki volt téve annak, hogy illetéktelenek tudomására jusson;

iii. nyilatkozat arról, hogy a kibocsátót tájékoztatták-e.

6. Minden biztonsági hatóság– miután értesült arról, hogy a biztonság megsértésére sor kerülhetett – köteles ezt a tényt haladéktalanul jelenteni az alábbi eljárást alkalmazva: az alárendelt TRÈS SECRET UE/EU TOP SECRET nyilvántartó hivatal jelenti az esetet a Főtitkárság Biztonsági Hivatalának annak központi TRÈS SECRET UE/EU TOP SECRET nyilvántartó hivatalán keresztül; ha az EU minősített információ illetéktelenek tudomására jutása valamely tagállam joghatósága alá esik, arról a Főtitkárság Biztonsági Hivatalát az illetékes nemzeti biztonsági hatóság útján az 5. pont szerint kell értesíteni.

7. A RESTREINT UE információkkal kapcsolatos eseteket csak akkor kell jelenteni, ha szokatlan jellemzőket mutatnak.

8. Miután a biztonság megsértéséről értesült, a főtitkár/főképviselő:

a) értesíti a kérdéses minősített információt kibocsátó hatóságot;

b) felkéri az illetékes biztonsági hatóságokat a nyomozás megindítására;

c) összehangolja a nyomozást, ha az ügyben több biztonsági hatóság is érintett;

d) jelentést kér arról, hogy a biztonságot milyen körülmények között sértették meg, az időpontról vagy arról az időtartamról, amelynek során ez megtörténhetett, arról, hogy ezt mikor fedezték fel, továbbá részletes leírást kér az érintett anyag tartalmáról és minősítéséről. Ugyancsak jelentést kér az EU, illetve egy vagy több tagállama érdekeit ért károkról és azokról az intézkedésekről, amelyeket az ismételt előfordulás megelőzése érdekében tettek.

9. Az információt kibocsátó hatóság tájékoztatja a címzetteket és megfelelő utasításokat ad.

10. Az EU minősített információk illetéktelenek tudomására jutásáért felelős személy a vonatkozó szabályok és rendelkezések szerint fegyelmi eljárás alá vonható. Ez az eljárás nem érinti az esetleges bírósági eljárást.

XI. SZAKASZ

AZ IT-RENDSZEREKBEN ÉS KOMMUNIKÁCIÓS RENDSZEREKBEN KEZELT INFORMÁCIÓK VÉDELME

Tartalomjegyzék

| | Oldalszám |

I. fejezet | Bevezetés | 299 |

II. fejezet | Fogalommeghatározások | 300 |

III. fejezet | Hatáskörök a biztonság terén | 303 |

IV. fejezet | Nem technikai jellegű biztonsági intézkedések | 304 |

V. fejezet | Technikai jellegű biztonsági intézkedések | 305 |

VI. fejezet | Biztonság a kezelés során | 307 |

VII. fejezet | Beszerzés | 307 |

VIII. fejezet | Ideiglenes vagy alkalomszerű felhasználás | 308 |

I. fejezet

Bevezetés

ÁLTALÁNOS SZEMPONTOK

1. A biztonsági politika és a biztonsági követelmények minden olyan kommunikációs és információs rendszerre és hálózatra (a továbbiakban: RENDSZEREK) vonatkoznak, amelyek CONFIDENTIEL UE és annál magasabb minősítésű információkat kezelnek.

2. A RESTREINT UE információt kezelő RENDSZEREK esetében ugyancsak szükség van biztonsági intézkedésekre ezen információk titkosságának védelme érdekében. Minden RENDSZERNÉL szükségesek biztonsági intézkedések maguknak a rendszereknek és a bennük található információk integritásának és rendelkezésre állásának a védelmében. Az ezeknek a rendszereknek az esetében alkalmazandó biztonsági intézkedéseket a kijelölt biztonsági akkreditációs hatóság (Security Accreditation Authority, a továbbiakban: SAA) határozza meg, és azok arányosak a becsült kockázattal, illetve megfelelnek az e biztonsági szabályzatban meghatározott politikának.

3. A beépített IT-RENDSZEREKET tartalmazó érzékelő rendszerek védelmét azoknak a rendszereknek az általános összefüggésében kell az e szakaszban foglalt rendelkezések lehető legteljesebb alkalmazása mellett meghatározni és részletezni, amelyekhez azok tartoznak.

A RENDSZEREKKEL SZEMBENI FENYEGETÉSEK ÉS A RENDSZEREK SEBEZHETŐSÉGE

4. Általánosságban a fenyegetés a biztonság véletlenszerű sérülésének, illetve szándékos megsértésének a lehetőségeként határozható meg. RENDSZEREK esetében ez a titkosság, az integritás és a rendelkezésre állás egy vagy több tulajdonságának az elvesztését jelenti. A sebezhetőség az ellenőrzés elégtelenségeként vagy hiányaként definiálható, amely megkönnyíti vagy lehetővé teszi a konkrét fenyegetés létrejöttét egy meghatározott tárggyal vagy céllal szemben. A sebezhetőség keletkezhet mulasztásból vagy összefügghet az ellenőrzés hanyagságával, hiányosságával vagy következetlenségével; természetét tekintve lehet technikai, eljárási vagy üzemeltetési jellegű.

5. A RENDSZEREKBEN kezelt, gyors visszakeresésre, továbbításra és felhasználásra szánt, koncentrált formában meglévő EU minősített és nem minősített információk számos fenyegetésnek vannak kitéve. Ezek között található az információkhoz való illetéktelen hozzáférés vagy ellenkezőleg, a jogosultsággal rendelkező felhasználók hozzáférésének megtagadása. Ugyancsak kockázatot jelent az információk engedély nélküli kiszolgáltatása, megrongálódása, módosítása vagy törlése. Ezen túlmenően a bonyolult és esetenként érzékeny berendezések költségesek, és gyakran nehéz őket gyorsan megjavítani vagy pótolni. Következésképpen ezek a RENDSZEREK vonzó célpontjai a hírszerző műveleteknek és a szabotázscselekménynek, különösen ha a biztonsági intézkedéseket hatástalannak vélik.

BIZTONSÁGI INTÉZKEDÉSEK

6. Az e szakaszban megállapított biztonsági intézkedések főként arra irányulnak, hogy védelmet nyújtsanak az információk engedély nélküli kiszolgáltatásával (a titkosság elvesztésével), valamint az információk integritásának és rendelkezésre állásának elvesztésével szemben. Az EU minősített információkat kezelő RENDSZEREK megfelelő biztonsága védelmének eléréséhez – a hagyományos biztonság megfelelő normáin túlmenően – a minden RENDSZER számára külön kidolgozott megfelelő biztonsági eljárásokat és technikákat kell meghatározni.

7. A biztonsági intézkedések kiegyensúlyozott kombinációját kell meghatározni és végrehajtani, hogy a RENDSZER biztonságos környezetben működhessen. Ezeknek az intézkedéseknek az alkalmazási területei magukban foglalják a fizikális elemeket, a személyzetet, a nem technikai eljárásokat, valamint a számítógépes és kommunikációs üzemeltetési eljárásokat.

8. Számítógépes biztonsági intézkedésekkel (hardver és szoftver biztonsági tulajdonságokkal) kell megvalósítani a szükséges ismeret elvét, illetve megakadályozni vagy felfedni az információk engedély nélküli kiszolgáltatását. Annak mértékét, hogy mennyiben kell a számítógépes biztonsági intézkedésekre hagyatkozni, a biztonsági követelmények megállapításának folyamata során kell meghatározni. Az akkreditációs eljárás keretében kell meghatározni, hogy fennáll-e a biztonság megfelelő szintje ahhoz, hogy a számítógépes biztonsági intézkedésekre lehessen hagyatkozni.

A RENDSZERSPECIFIKUS BIZTONSÁGI KÖVETELMÉNYEK MEGÁLLAPÍTÁSA (SSRS)

9. Minden CONFIDENTIEL UE és magasabb minősítésű információt kezelő RENDSZER esetében az IT-rendszer-üzemeltetési hatóság (IT SYSTEM OPERATIONAL AUTHORITY, ITSOA) – adott esetben a projekt személyzetének és az INFOSEC-hatóságnak a hozzájárulásával és támogatásával – elkészíti a RENDSZERspecifikus biztonsági követelmények megállapítását (SYSTEM-Specific Security Requirement Statement, a továbbiakban: SSRS), amelyet az SAA hagy jóvá. SSRS-re akkor is szükség van, ha a RESTREINT UE vagy nem minősített információk integritását és rendelkezésre állását az SAA elengedhetetlennek ítéli.

10. Az SSRS-t a projekt kezdetének lehető legkorábbi szakaszában kell kidolgozni és a projekt előrehaladtával tovább kell fejleszteni és javítani; az SSRS a projekt és a RENDSZER életciklusának különböző szakaszaiban különböző szerepeket tölt be.

11. Az SSRS az IT-rendszer-üzemeltetési hatóság és az SAA között létrejött kötelező érvényű megállapodást képez, és ennek alapján akkreditálható a RENDSZER.

12. Az SSRS a betartandó biztonsági elvek és a betartandó részletes biztonsági követelmények teljes és részletes meghatározása. A Tanács biztonsági politikáján és kockázatértékelésén alapul, illetve olyan paraméterek határozzák meg, amelyek átfogják az üzemeltetési környezetet, a személyi biztonsági felhatalmazás legalacsonyabb szintjét, a kezelt információk legmagasabb minősítését, a biztonsági üzemmódot, illetve a felhasználók követelményeit. Az SSRS annak a projektdokumentációnak szerves része, amelyet a megfelelő hatóságokhoz nyújtanak be technikai, költségvetési és biztonsági jóváhagyás céljából. Végleges formájában az SSRS azoknak a feltételeknek a teljes körű leírása, amelyeknek meg kell valósulniuk ahhoz, hogy a RENDSZER biztonságos legyen.

BIZTONSÁGI ÜZEMMÓDOK

13. A CONFIDENTIEL UE és az annál magasabb minősítésű információkat kezelő valamennyi rendszer arra kap akkreditációt, hogy az alábbi biztonsági üzemmódok egyikében vagy – ha a követelmények különböző időszakok során indokolják – több biztonsági üzemmódban, illetve azok nemzeti megfelelőiben működjék:

a) kizárólagos ("dedicated") üzemmód;

b) domináns ("system high") üzemmód; és

c) többszintű ("multi-level") üzemmód.

II. fejezet

Fogalommeghatározások

KIEGÉSZÍTŐ JELÖLÉSEK

14. Kiegészítő jelöléseket, úgymint a CRYPTO-t vagy bármely más, az EU által elismert, különös kezelést előíró jelölést kell alkalmazni, ha a biztonsági minősítés által meghatározottakon túlmenően korlátozott terjesztésre és különös kezelésre van szükség.

15. A KIZÁRÓLAGOS BIZTONSÁGI ÜZEMMÓD olyan üzemmódot jelent, amelyben a RENDSZERHEZ hozzáféréssel rendelkező MINDEN személy a RENDSZERBEN kezelt információk legmagasabb minősítési szintjének megfelelő biztonsági felhatalmazással rendelkezik, és minden személynek közösen szükséges ismernie a RENDSZERBEN kezelt MINDEN információt.

Megjegyzések:

1. Mivel mindenkinek szükséges az ismeret, nem feltétlenül szükséges, hogy a számítógépes biztonsági tulajdonságok a RENDSZEREN belül biztosítsák az információk elkülönítését.

2. A többi biztonsági tulajdonságnak (például fizikai, személyzeti és eljárási) meg kell felelnie a RENDSZERBEN kezelt információk legmagasabb minősítési szintje és minden kategóriamegjelölése követelményeinek.

16. A DOMINÁNS BIZTONSÁGI ÜZEMMÓD olyan üzemmódot jelent, amelyben a RENDSZERHEZ hozzáféréssel rendelkező MINDEN személy a RENDSZERBEN kezelt információk legmagasabb minősítési szintjének megfelelő biztonsági felhatalmazással rendelkezik, de a RENDSZERHEZ hozzáféréssel rendelkező NEM MINDEN személynek szükséges ismernie a RENDSZERBEN kezelt MINDEN információt.

Megjegyzések:

1. Mivel nincs minden felhasználónak általánosan szüksége minden ismeretre, a számítógépes biztonsági tulajdonságok szempontjából követelmény, hogy szelektív hozzáférést biztosítsanak a RENDSZERBEN található információkhoz, és elkülönítve kezeljék azokat.

2. A többi biztonsági tulajdonságnak (például fizikai, személyzeti és eljárásbeli) meg kell felelnie a RENDSZERBEN kezelt információk legmagasabb minősítési szintje és minden kategóriamegjelölése követelményeinek.

3. Az ebben az üzemmódban kezelt, illetve az ebben az üzemmódban a RENDSZER rendelkezésére álló valamennyi információt és a létrehozott outputot – amíg erről másként nem határoznak – olyan védelemben kell részesíteni, mintha az éppen kezelt információval azonos kategóriamegjelöléssel és a legmagasabb minősítési szinttel rendelkezne, hacsak valamelyik meglévő jelölő funkció nem biztosít kellő szintű megbízhatóságot.

17. A TÖBBSZINTŰ BIZTONSÁGI ÜZEMMÓD olyan üzemmódot jelent, amelyben a RENDSZERHEZ hozzáféréssel rendelkező személyek közül NEM MINDEN személy rendelkezik biztonsági felhatalmazással a RENDSZERBEN kezelt információk legmagasabb minősítési szintjéig, és amelyben a RENDSZERHEZ hozzáféréssel rendelkező személyek közül NEM MINDEN személynek szükséges ismernie a RENDSZERBEN kezelt minden információt.

Megjegyzések:

1. Ez az üzemmód egyidejűleg lehetővé teszi a különböző minősítésű és különböző kategóriamegjelölésű információk kezelését.

2. Mivel nem minden személy rendelkezik a legmagasabb szinteknek megfelelő biztonsági felhatalmazással, és nem minden személynek szükséges ismernie minden információt, ezért a számítógépes biztonsági tulajdonságok szempontjából követelmény, hogy szelektív hozzáférést biztosítsanak a RENDSZERBEN található információkhoz, és elkülönítve kezeljék azokat.

18. Az INFORMÁCIÓBIZTONSÁG (INFOSEC) olyan biztonsági intézkedések alkalmazását jelenti, amelyek célja a kommunikációs, információs és egyéb elektronikus rendszerekben kezelt, tárolt vagy továbbított információk védelme titkosságuk, integritásuk vagy rendelkezésre állásuk véletlenszerű vagy szándékos elvesztésével szemben, továbbá annak megelőzése, hogy e rendszerek maguk elveszítsék integritásukat vagy megszűnjék rendelkezésre állásuk. Az INFOSEC intézkedések magukban foglalják a számítógépes biztonsággal, a továbbítás biztonságával, a kisugárzási biztonsággal és a kriptográfiai biztonsággal kapcsolatos intézkedéseket, valamint az információkat és a RENDSZEREKET fenyegető veszélyek felderítését, dokumentálását és leküzdését.

19. A SZÁMÍTÓGÉPES BIZTONSÁG (COMPUSEC) a számítógépes rendszerek esetében a hardver, förmver és szoftver biztonsági tulajdonságok alkalmazását jelenti abból a célból, hogy védelmet nyújtson az információk engedély nélküli kiszolgáltatásával, kezelésével, módosításával/törlésével vagy a hozzáférés megtagadásával (denial of service) szemben, illetve hogy mindezeket megelőzze.

20. A SZÁMÍTÓGÉPES BIZTONSÁGI TERMÉK olyan általános számítógépes biztonsági terméket jelent, amelyet egy IT-rendszerbe kívánnak beépíteni azért, hogy ott fokozza, illetve biztosítsa a kezelt információk titkosságát, integritását vagy rendelkezésre állását.

21. A KOMMUNIKÁCIÓS BIZTONSÁG (COMSEC) biztonsági intézkedések alkalmazását jelenti a távközlésben annak megakadályozása érdekében, hogy illetéktelen személyek a távközlési közlemények megszerzésével vagy tanulmányozásával értékes információkhoz jussanak, illetve annak érdekében, hogy biztosítsák a távközlési közlemények hitelességét.

Megjegyzés:

1. Ezek az intézkedések magukban foglalják a kriptográfiai biztonságot, a továbbítás biztonságát és a kisugárzási biztonságot, továbbá az eljárások biztonságát és a fizikai, a személyzeti, a dokumentációs és a számítógépes biztonságot.

22. Az ÉRTÉKELÉS a RENDSZER biztonsági vonatkozásainak, illetve valamely kriptográfiai vagy számítógépes biztonsági terméknek a megfelelő hatóság által végzett részletes technikai vizsgálatát jelenti.

Megjegyzések:

1. Az értékelés az igényelt biztonsági működés meglétét és az ilyen működés nem kívánatos mellékhatásainak hiányát vizsgálja, továbbá e működés szilárd ellenálló képességét méri fel.

2. Az értékelés meghatározza annak mértékét, hogy a RENDSZER biztonsági követelményeinek, illetve a számítógépes biztonsági termék biztonsági igényeinek mennyiben tesznek eleget, továbbá megállapítja a RENDSZER, illetve a kriptográfiai vagy a számítógépes biztonsági termék működésének megbízhatósági szintjét.

23. A TANÚSÍTÁS hivatalos igazolás arról, hogy – egy értékelés lefolytatásának és eredményeinek független felülvizsgálata alapján – a RENDSZER milyen mértékben tesz eleget a biztonsági követelményeknek, illetve arról, hogy a számítógépes biztonsági termék mennyiben felel meg az előre meghatározott biztonsági jellemzőknek.

24. Az AKKREDITÁCIÓ azt az engedélyt és jóváhagyást jelenti, amelyet egy RENDSZER számára kiadnak, hogy működési környezetében EU minősített információkat kezelhessen.

Megjegyzés:

Ilyen akkreditációra azt követően kerülhet sor, hogy az összes megfelelő biztonsági eljárást végrehajtották és elérték a rendszererőforrások védelmének elégséges szintjét. Az akkreditációt általában az SSRS alapján kell lefolytatni, és a következőkre kell kiterjednie:

a) a rendszer akkreditációja céljának meghatározása, különösen az, hogy az információk milyen minősítési szintjeit kell kezelni és melyek a javasolt rendszer- vagy hálózatbiztonsági üzemmódok;

b) kockázatkezelési értékelés készítése, amelyben azonosítják a fenyegetéseket és a sebezhető pontokat, valamint ismertetik a szükséges ellenintézkedéseket;

c) a biztonsági üzemeltetési eljárások (SecOPs), a javasolt műveletek (pl. a biztosítandó üzemmódok, szolgáltatások) részletes leírása, az akkreditáció alapjául szolgáló RENDSZERbiztonsági tulajdonságok leírását is beleértve;

d) a biztonsági tulajdonságok megvalósítására és fenntartására vonatkozó terv;

e) a kezdeti és a későbbi rendszerbiztonsági vagy hálózatbiztonsági teszt, értékelés és tanúsítás terve; továbbá

f) szükség esetén a tanúsítás az akkreditáció más elemeivel együtt.

25. Az IT-RENDSZER a berendezések, módszerek és eljárások – és adott esetben a személyi állomány – együttesét jelenti, amelyet oly módon szerveztek meg, hogy az információk kezelésének feladatait ellássa.

Megjegyzések:

1. Ez alatt a rendszeren belül az információk kezelésére konfigurált eszközök együttesét kell érteni.

2. Ezek a rendszerek konzultációs, irányítási, ellenőrző, kommunikációs, tudományos vagy igazgatási alkalmazásokat támogathatnak, a szövegszerkesztést is beleértve.

3. Egy rendszer határai általában az egyetlen IT-rendszer-üzemeltetési hatóság (ITSOA) ellenőrzése alá tartozó elemek együtteseként határozhatók meg.

4. Egy IT-rendszer olyan alrendszereket tartalmazhat, amelyek némelyike maga is IT-rendszer.

26. Az IT-RENDSZER-BIZTONSÁGI TULAJDONSÁGOK magukban foglalják valamennyi hardver/förmver/szoftver működést, jellemzőt és tulajdonságot; ezekhez tartoznak az üzemeltetési eljárások, az elszámoltathatósági eljárások és a hozzáférés-ellenőrzés, az IT-terület, a távoli terminál/munkaállomás területe, a vezetési követelmények, a fizikai struktúrák és készülékek, a személyzeti és kommunikációs ellenőrzések, amelyekre mind azért van szükség, hogy a védelem elfogadható szintjét biztosítsák az IT-rendszerben kezelt minősített információk számára.

27. Az IT-HÁLÓZAT az adatcsere céljából összekapcsolt IT-rendszerek földrajzilag elszórtan elhelyezkedő együttesét jelenti, amely az összekapcsolt IT-rendszerek összetevőit és a támogató adat- vagy kommunikációs hálózatokkal létrehozott interfészeiket foglalja magában.

Megjegyzések:

1. Egy IT-hálózat az adatcsere érdekében igénybe veheti egy vagy több egymással összekapcsolt kommunikációs hálózat szolgáltatásait. Több IT-hálózat igénybe veheti egy közös kommunikációs hálózat szolgáltatásait.

2. Az IT-hálózatot "helyi" hálózatnak nevezzük, ha több számítógépet kapcsol össze ugyanazon a helyszínen.

28. Az IT-HÁLÓZATBIZTONSÁGI TULAJDONSÁGOK a hálózatot alkotó egyes IT-rendszerek IT-rendszer-biztonsági tulajdonságait tartalmazzák azokkal a további összetevőkkel és tulajdonságokkal együtt, amelyek magához a hálózathoz kapcsolódnak (például hálózati kommunikáció, biztonsági azonosító és jelölő mechanizmusok és eljárások, hozzáférés-ellenőrzések, programok és ellenőrzési eseménynaplók), és amelyek szükségesek ahhoz, hogy a minősített információk számára a védelem elfogadható szintjét biztosítsák.

29. Az IT-TERÜLET azt a területet jelenti, ahol egy vagy több számítógép, azok helyi perifériái és tárolóegységei, vezérlőegységei, valamint a velük összekapcsolt hálózati és kommunikációs berendezések találhatók.

Megjegyzés:

Ez a kifejezés nem foglalja magában azt a külön területet, ahol a távoli perifériás eszközök vagy terminálok/munkaállomások találhatók, még akkor sem, ha ezek a készülékek az IT-területen lévő berendezésekkel össze vannak kapcsolva.

30. A TÁVOLI TERMINÁL/MUNKAÁLLOMÁS TERÜLETE azt a területet jelenti, ahol az IT-területtől elkülönülten számítógépek, ezek helyi perifériás eszközei vagy termináljai/munkaállomásai és a hozzájuk kapcsolódó kommunikációs berendezések találhatók.

31. A TEMPEST-ellenintézkedések olyan biztonsági intézkedések, amelyek célja a berendezések és a kommunikációs infrastruktúra védelme az ellen, hogy nem szándékos elektromágneses kisugárzás és konduktivitás útján a minősített információk illetéktelenek tudomására juthassanak.

III. fejezet

Hatáskörök a biztonság terén

ÁLTALÁNOSSÁGOK

32. A Biztonsági Bizottságnak az I. szakasz 4. pontjában meghatározott hatásköre az INFOSEC-kérdésekre is kiterjed. A Biztonsági Bizottságnak úgy kell megszerveznie tevékenységeit, hogy szakmai tanácsokat tudjon adni a fenti kérdésekben.

33. A biztonsággal kapcsolatos problémák (váratlan események, a szabályok megsértése stb.) esetében a Bizottság Biztonsági Hivatala haladéktalanul intézkedik. Minden problémát a Főtitkárság Biztonsági Hivatala elé kell terjeszteni.

34. A főtitkár/főképviselő vagy adott esetben az EU valamely decentralizált szervének a vezetője INFOSEC-hivatalt hoz létre, hogy iránymutatást adjon a biztonsági hatóságnak a RENDSZEREK részeként tervezett különleges biztonsági tulajdonságok végrehajtására és ellenőrzésére.

A BIZTONSÁGI AKKREDITÁCIÓS HATÓSÁG (SAA)

35. Attól függően, hogy mely RENDSZERT kell akkreditálni, az SAA a következők egyike lehet:

- a) egy nemzeti biztonsági hatóság (NSA);

- b) egy, a főtitkár/főképviselő által kijelölt hatóság;

- c) az EU valamely decentralizált szervének a biztonsági hatósága; vagy

- d) ezek delegált/kijelölt képviselői.

36. Az SAA felel annak biztosításáért, hogy a RENDSZEREK megfeleljenek a Tanács biztonsági politikájának. Egyik feladata az, hogy a RENDSZEREK számára megadja a jóváhagyást EU minősített információk kezelésére a működési környezetükben meghatározott minősítési szintig. A Főtitkárság, illetve adott esetben az EU decentralizált szervei tekintetében az SAA a főtitkár/főképviselő, illetve a decentralizált szervek vezetői nevében viseli a biztonsággal kapcsolatos felelősséget.

A főtitkársági SAA hatásköre kiterjed minden, a Főtitkárság helyiségeiben működő RENDSZERRE. Az egyes tagállamokban üzemeltetett RENDSZEREK és azok alkotórészei az illető tagállam hatáskörében maradnak. Ha valamely RENDSZER eltérő alkotórészei a főtitkársági SAA és egyéb SAA-k hatáskörébe kerülnek, a felek közös akkreditációs bizottságot állítanak föl, amelynek tevékenységét a főtitkársági SAA hangolja össze.

AZ INFOSEC-HATÓSÁG (IA)

37. Az INFOSEC-hatóság felel az INFOSEC-hivatal tevékenységeiért. A Főtitkárságot, illetve adott esetben az EU decentralizált szerveit illetően az INFOSEC-hatóság felel az alábbiakért:

- technikai tanácsadás és támogatás nyújtása az SAA számára,

- részvétel az SSRS kidolgozásában;

- az SSRS felülvizsgálata annak érdekében, hogy összhangban legyen ezzel a biztonsági szabályzattal, valamint az INFOSEC-politika és -architektúra dokumentumaival,

- adott esetben részvétel az akkreditációs testületekben/bizottságokban, és az akkreditációval kapcsolatos INFOSEC-ajánlások elkészítése az SAA számára,

- támogatás nyújtása az INFOSEC-képzéssel és -oktatással kapcsolatos tevékenységekhez,

- technikai tanácsadás nyújtása az INFOSEC vonatkozású váratlan események kivizsgálása során,

- technikai irányadó elvek kidolgozása annak biztosítása érdekében, hogy csak engedélyezett szoftvereket lehessen felhasználni.

AZ IT-RENDSZER-ÜZEMELTETÉSI HATÓSÁG (ITSOA)

38. A RENDSZER vezérlésének és biztonsági tulajdonságainak a végrehajtásáért és működtetéséért viselt felelősséget az INFOSEC-hatóságnak a lehető legkorábbi szakaszban át kell ruháznia az IT-rendszer-üzemeltetési hatóságra (IT-System Operational Authority, ITSOA). Ez a felelősség a RENDSZER teljes életciklusa alatt, a projekt eltervezésétől egészen a végső megszüntetéséig fennáll.

39. Az ITSOA felel az egész RENDSZER részeként tervezett minden biztonsági intézkedésért. Ez a felelősség magában foglalja a biztonsági üzemeltetési eljárások (Security Operating Procedures, SecOPs) kialakítását. Az ITSOA határozza meg azokat a biztonsági normákat és eljárásokat, amelyeket a RENDSZER szállítóinak be kell tartaniuk.

40. Amennyiben szükséges, az ITSOA átruházhatja hatáskörének egyes részeit például az INFOSEC-tisztviselőre vagy a munkaterület szerint illetékes INFOSEC-tisztviselőre. Egy személy különböző INFOSEC-feladatokat is elláthat.

FELHASZNÁLÓK

41. Valamennyi felhasználó felel azért, hogy tevékenységével ne veszélyeztesse az általa használt RENDSZER biztonságát.

INFOSEC-KÉPZÉS

42. A Főtitkárságon, az EU decentralizált szervein vagy a tagállamok kormányzati szervein belül különböző szintű és adott esetben különböző személyzetet megcélzó INFOSEC-képzést és oktatást kell biztosítani.

IV. fejezet

Nem technikai jellegű biztonsági intézkedések

SZEMÉLYZETI BIZTONSÁG

43. A RENDSZER felhasználóinak az adott RENDSZERBEN kezelt információk minősítésének és tartalmának megfelelő biztonsági felhatalmazással és jogos információigénnyel kell rendelkezniük. A RENDSZEREK biztonsága szempontjából meghatározó egyes berendezésekhez vagy információkhoz való hozzáféréshez különleges, a tanácsi eljárásoknak megfelelően megadott felhatalmazás szükséges.

44. Az SAA jelöli ki az összes biztonsági szempontból kritikus beosztást és határozza meg, hogy az azokat betöltő személyzetet milyen biztonsági ellenőrzésnek és felügyeletnek kell alávetni.

45. A RENDSZEREK meghatározása és tervezése úgy történik, hogy megkönnyítse a hatáskörök és a feladatok elosztását a személyi állomány körében oly módon, hogy egy személyben teljeskörűen senki ne ismerhesse meg vagy ellenőrizhesse a kulcsfontosságú rendszerbiztonsági pontokat. Azt a célt kell kitűzni, hogy a rendszer vagy a hálózat módosítása vagy szándékos rongálása két vagy több személy összejátszása nélkül ne legyen lehetséges.

FIZIKAI BIZTONSÁG

46. A (a 29. és 30. pont szerinti) IT-területek, illetve távoli terminál/munkaállomás területek, ahol IT eszközökkel CONFIDENTIEL UE vagy annál magasabb minősítésű információkat kezelnek, vagy ahol ilyen információkhoz potenciálisan hozzá lehet férni, EU I. vagy II. osztályba tartozó, illetve adott esetben az ezeknek megfelelő nemzeti biztonsági területként kerülnek meghatározásra.

47. Azokon az IT-területen és távoli terminál/munkaállomás területeken, ahol a RENDSZER biztonsága módosítható, az arra felhatalmazott tisztviselő vagy más alkalmazott egyedül soha nem tartózkodhat.

A RENDSZERHEZ VALÓ HOZZÁFÉRÉS ELLENŐRZÉSE

48. Mindazok az információk és anyagok, amelyek lehetővé teszik egy RENDSZERHEZ való hozzáférés ellenőrzését, az általuk hozzáférhető információk legmagasabb minősítésének és kategóriamegjelölésének megfelelő védelemben részesülnek.

49. Ha a hozzáférés ellenőrzésére szolgáló információkat és anyagokat e célra a továbbiakban nem használják fel, akkor azokat a 61-63. pontnak megfelelően meg kell semmisíteni.

V. fejezet

Technikai jellegű biztonsági intézkedések

AZ INFORMÁCIÓBIZTONSÁG

50. Az információ kibocsátójának a feladata, hogy beazonosítson és minősítsen minden információt hordozó dokumentumot, legyen az akár nyomtatott formában, akár számítógépes adathordozón. A kinyomtatott anyag minden oldalán alul és felül fel kell tüntetni az anyag minősítését. Az előállított anyagnak – akár nyomtatott formában, akár számítógépes adathordozón áll rendelkezésre – ugyanazt a minősítést kell kapnia, mint amivel a készítéséhez felhasznált legmagasabb minősítésű információ rendelkezik. A RENDSZER üzemmódja is befolyásolhatja az adott rendszerben előállított anyagok minősítését.

51. Egy szervezetnek és az információbirtokosoknak a feladata, hogy megvizsgálják az egyes információs elemek halmozódásának és az összefüggő elemekből levonható következtetéseknek a problematikáját és eldöntsék, hogy az információk összességére nézve szükség van-e magasabb szintű minősítésre vagy sem.

52. Az a tény, hogy az információ rövidített kód vagy átviteli kód, illetve bináris ábrázolás formájában áll rendelkezésre, semmilyen biztonsági védelmet nem ad és ezért nem befolyásolhatja az információ minősítését.

53. Ha információt egyik RENDSZERBŐL egy másikba továbbítanak, az információnak a továbbítás közben és a fogadó RENDSZERBEN az információ eredeti minősítésének és kategóriájának megfelelő védelemben kell részesülnie.

54. Valamennyi számítógépes adathordozó a tárolt információ, illetve az adathordozó megjelölése szerinti legmagasabb minősítésnek megfelelően kezelendő, és mindenkor ennek megfelelő védelemben részesítendő.

55. Az EU minősített információk rögzítésére szolgáló, újból felhasználható számítógépes adathordozók mindaddig megtartják a korábbi használatuk során alkalmazott legmagasabb minősítésüket, amíg az adott információt megfelelő módon vissza nem minősítik vagy a minősítést meg nem szüntetik, és az adathordozót ennek megfelelően át nem minősítik, illetve amíg a Főtitkárság vagy valamely tagállam által jóváhagyott eljárásnak megfelelően (lásd a 61. és 63. pontot) minősítését meg nem szüntetik vagy meg nem semmisítik.

AZ INFORMÁCIÓK ELLENŐRZÉSE ÉS AZ AZOKKAL VALÓ ELSZÁMOLÁS KÖTELEZETTSÉGE

56. A SECRET UE és az annál magasabb minősítésű információkhoz történő hozzáférésről automatikus eseménynapló (audit trails) készül vagy azt kézzel vezetett naplóban kell nyilvántartani. Ezeknek a nyilvántartásoknak a megőrzése e biztonsági szabályzatnak megfelelően történik.

57. Az IT-területen outputként rendelkezésre álló EU minősített anyagokat egyetlen minősített anyagként lehet kezelni, és nem szükséges nyilvántartásba venni, feltéve hogy az anyag beazonosítása megtörtént, minősítése fel van tüntetve rajta és azt megfelelő módon ellenőrzik.

58. Ha egy anyagot EU minősített információkat kezelő RENDSZER segítségével állítanak elő és azt egy IT-területről egy távoli terminál/munkaállomás területére továbbítják, akkor az ilyen anyag ellenőrzésére az SAA jóváhagyásával kialakított eljárások szolgálnak. A SECRET UE és az annál magasabb minősítésű anyagok esetében ezek az eljárások meghatározott utasításokat tartalmaznak az információkkal való elszámolás kötelezettségére vonatkozóan.

AZ ELTÁVOLÍTHATÓ SZÁMÍTÓGÉPES ADATHORDOZÓK KEZELÉSE ÉS ELLENŐRZÉSE

59. Minden CONFIDENTIEL UE és annál magasabb minősítésű számítógépes adathordozó anyagként kezelendő és az általános szabályok vonatkoznak rá. A megfelelő azonosító és minősítési jelöléseket az adathordozók sajátos fizikai megjelenését tekintetbe véve kell alkalmazni, azok egyértelmű felismerhetőségének biztosítása érdekében.

60. A felhasználók felelnek annak biztosításáért, hogy az EU minősített információkat megfelelő minősítési jelöléssel ellátott adathordozókon tárolják és megfelelő védelemben részesítsék. Meg kell határozni azokat az eljárásokat, amelyek biztosítják, hogy a számítógépes adathordozókon található információk tárolása az EU információk valamennyi szintje tekintetében e biztonsági szabályzatnak megfelelően történjék.

A SZÁMÍTÓGÉPES ADATHORDOZÓK MINŐSÍTÉSÉNEK MEGSZÜNTETÉSE ÉS AZ ILYEN ADATHORDOZÓK MEGSEMMISÍTÉSE

61. Az EU minősített információk rögzítésére szolgáló számítógépes adathordozókat a Főtitkárság vagy valamely tagállam által jóváhagyott eljárásnak megfelelően lehet visszaminősíteni vagy minősítésüket megszüntetni.

62. Nem lehet minősítésüket megszüntetni vagy újból felhasználni azokat a számítógépes adathordozókat, amelyeken korábban TRÈS SECRET UE/EU TOP SECRET minősítésű vagy különleges kategóriájú információkat tároltak.

63. Ha egy számítógépes adathordozó minősítését nem lehet megszüntetni, illetve az nem használható fel újra, akkor azt a Főtitkárság vagy valamely tagállam által jóváhagyott eljárásnak megfelelően meg kell semmisíteni.

KOMMUNIKÁCIÓS BIZTONSÁG

64. Elektromágneses úton továbbított EU minősített információk esetében különleges intézkedéseket kell tenni az ilyen továbbítások titkosságának, integritásának és rendelkezésre állásának védelme érdekében. Az SAA határozza meg a továbbítások felderítéssel és lehallgatással szemben biztosítandó védelmének követelményeit. A kommunikációs rendszerben továbbításra kerülő információkat a titkossággal, az integritással és a rendelkezésre állással szemben támasztott követelmények alapján kell védeni.

65. Ha a titkosság, az integritás és a rendelkezésre állás védelméhez kriptográfiai módszerek szükségesek, akkor ezeket a módszereket és a kapcsolódó termékeket az SAA-nak kifejezetten erre a célra jóvá kell hagynia.

66. Továbbítás során a SECRET UE és magasabb minősítésű információk titkosságát a Tanács Biztonsági Bizottságának ajánlása alapján a Tanács által jóváhagyott kriptográfiai módszerekkel vagy termékekkel kell védeni. Továbbítás során a RESTREINT UE vagy CONFIDENTIEL UE információk titkosságát a Tanács Biztonsági Bizottságának ajánlása alapján a főtitkár/főképviselő által vagy valamely tagállam által jóváhagyott kriptográfiai módszerekkel vagy termékekkel kell védeni.

67. Az EU minősített információk továbbítására alkalmazandó részletes szabályokat külön biztonsági utasításokban kell meghatározni, melyeket a Tanács Biztonsági Bizottságának ajánlása alapján a Tanács hagy jóvá.

68. Kivételes működési körülmények között a RESTREINT UE, a CONFIDENTIEL UE és a SECRET UE minősítésű információk rejtjelezés nélkül is továbbíthatók, feltéve hogy erre minden egyes esetben kifejezetten engedélyt adnak. Ezek a kivételes körülmények a következők:

a) fenyegető vagy tényleges válság-, konfliktus- vagy háborús helyzet; valamint

b) ha a gyors kézbesítés mindennél fontosabb és nem állnak rendelkezésre rejtjelező eszközök, továbbá úgy értékelik, hogy a továbbított információ nem használható fel időben ahhoz, hogy a folyamatokat hátrányosan befolyásolja.

69. A RENDSZEREKNEK képesnek kell lenniük arra, hogy szükség esetén, fizikai kapcsolatmegszakítás útján vagy az SAA által jóváhagyott speciális szoftvertulajdonságok segítségével, egyik vagy mindegyik távoli munkaállomásukon vagy termináljukon kategorikusan megtagadják a hozzáférést az EU minősített információkhoz.

TELEPÍTÉSI ÉS KISUGÁRZÁSI BIZTONSÁG

70. A RENDSZEREK első telepítését és azok későbbi nagyobb változtatásait oly módon kell szabályozni, hogy a telepítést biztonsági szempontból ellenőrzött telepítők végezzék olyan technikailag képzett személyzet állandó felügyelete mellett, amely az EU minősített információkhoz való hozzáférés tekintetében a rendszerben várhatóan tárolni vagy kezelni kívánt információk legmagasabb minősítési szintjének megfelelő biztonsági felhatalmazással rendelkezik.

71. Minden berendezést a Tanács érvényes biztonsági politikájának megfelelően kell telepíteni.

72. A CONFIDENTIEL UE és az annál magasabb minősítésű információkat kezelő RENDSZEREK olyan védelemben részesülnek, hogy biztonságukat ne fenyegethesse kompromittáló kisugárzás, amelynek tanulmányozása és ellenőrzése a "TEMPEST" elnevezést kapta.

73. A TEMPEST-nek a Főtitkárságon és az EU decentralizált szerveinél működő berendezések számára kialakított ellenintézkedéseit a Főtitkárság Biztonsági Hatósága által kijelölt TEMPEST-hatóság vizsgálja felül és hagyja jóvá. Az EU minősített információkat kezelő nemzeti berendezések esetében a jóváhagyó hatóság az elismert nemzeti TEMPEST-jóváhagyó hatóság.

VI. fejezet

Biztonság a kezelés során

BIZTONSÁGI ÜZEMELTETÉSI ELJÁRÁSOK

74. A biztonsági üzemeltetési eljárások (SecOPs) határozzák meg a biztonsági ügyekben elfogadásra kerülő elveket, a követendő üzemeltetési eljárásokat és a személyzet hatáskörét. A biztonsági üzemeltetési eljárások kidolgozásáért az IT-rendszer-üzemeltetési hatóság (ITSOA) felel.

SZOFTVERVÉDELEM ÉS KONFIGURÁCIÓKEZELÉS

75. Az alkalmazási programok biztonsági védelmét magának a programnak, nem pedig az általa kezelendő információknak a biztonsági minősítése alapján kell meghatározni. A használt szoftverek változatait integritásuk és megfelelő működésük biztosítása érdekében rendszeres időközönként ellenőrizni kell.

76. A szoftverek új vagy módosított változatait csak azután lehet EU minősített információk kezelésére használatba venni, ha az ITSOA bevizsgálta azokat.

KÁRTÉKONY SZOFTVEREK ÉS SZÁMÍTÓGÉPES VÍRUSOK KISZŰRÉSE

77. A kártékony szoftverek és számítógépes vírusok kiszűrését az SAA által előírt követelményeknek megfelelően rendszeres időközönként kell végezni.

78. A Főtitkárságra, az EU decentralizált szerveihez vagy a tagállamokhoz érkező minden számítógépes adathordozót csak azután lehet bármely RENDSZERBE bevinni, hogy a kártékony szoftverek és számítógépes vírusok kiszűrését szolgáló ellenőrzés megtörtént.

KARBANTARTÁS

79. A kész SSRS-sel rendelkező RENDSZEREK terv szerinti és kérésre történő karbantartására vonatkozó szerződések és eljárások meghatározzák, hogy az IT-területre belépő karbantartó személyzetnek és felszerelésüknek mely követelményeknek és rendelkezéseknek kell eleget tenniük.

80. A követelményeket az SSRS-ben és az eljárásokat a SecOPs-ben pontosan meg kell határozni. Csak kivételes körülmények esetén engedélyezhető, hogy a karbantartást végző szerződéses megbízott távoli hozzáférést igénylő diagnosztikai eljárást alkalmazzon, és akkor is csak szigorú biztonsági ellenőrzés mellett és csak az SAA jóváhagyásával.

VII. fejezet

Beszerzés

81. Bármely biztonsági termék csak akkor használható a beszerzendő RENDSZERREL együtt, ha a megfelelő értékelő vagy tanúsító szerv által nemzetközileg elismert kritériumok (mint például az Információtechnológia Biztonsági Értékelésének Közös Kritériumai, lásd ISO 15408) szerint végzett értékelésére és tanúsítására már sor került vagy az folyamatban van.

82. Annak eldöntésénél, hogy egy berendezést, különösen egy számítógépes adathordozót inkább bérbe vegyenek vagy megvásároljanak, azt kell szem előtt tartani, hogy az ilyen berendezés – ha egyszer már EU minősített információk kezelésére használták – csak akkor vihető ki a megfelelően biztonságos környezetből, ha az SAA jóváhagyásával minősítését megszüntették, azonban ez a jóváhagyás nem mindig lehetséges.

AKKREDITÁCIÓ

83. Az EU minősített információk kezelése előtt minden olyan RENDSZERT, amelyre vonatkozólag SSRS-t kell készíteni, az SAA-nak akkreditálnia kell az SSRS-ben, a SecOPs-ban és az egyéb vonatkozó dokumentációban előírt információk alapján. Az alrendszereket és a távoli terminálokat/munkaállomásokat minden olyan RENDSZER részeként akkreditálni kell, amellyel össze vannak kapcsolva. Ha a RENDSZER egyszerre szolgálja ki a Tanácsot és valamely más szervezetet, akkor a Tanács és az érintett biztonsági hatóságok közös egyetértéssel állapodnak meg az akkreditációról.

84. Az akkreditációs eljárás egy, az adott RENDSZERHEZ igazított és az SAA által meghatározott akkreditációs stratégiának megfelelően folytatható le.

ÉRTÉKELÉS ÉS TANÚSÍTÁS

85. Bizonyos esetekben az akkreditáció előtt a RENDSZER hardver, förmver és szoftver biztonsági tulajdonságait értékelni kell és tanúsítani, hogy azok alkalmasak az információk megvédésére a minősítés tervezett szintjén.

86. A rendszer tervezésének ki kell térnie értékelési és tanúsítási követelményekre, és az SSRS-ben világosan meg kell határozni azokat.

87. Az értékelési és tanúsítási eljárást a jóváhagyott iránymutatásoknak megfelelően az ITSOA megbízásából eljáró, technikailag képzett és megfelelő biztonsági felhatalmazással rendelkező személyzet folytatja le.

88. A munkacsoportok állhatnak valamely kijelölt tagállam értékelési vagy tanúsítási hatóságából vagy annak kijelölt képviselőiből, például egy hozzáértő és biztonsági felhatalmazással rendelkező szerződéses megbízottból.

89. Az értékelési és tanúsítási eljárások leegyszerűsíthetők (például csak az integrációs szempontokra korlátozódhatnak), ha a RENDSZEREK meglévő, nemzeti szinten már értékelt és tanúsított számítógépes biztonsági termékeken alapulnak.

A BIZTONSÁGI TULAJDONSÁGOK RENDSZERES ELLENŐRZÉSE AZ AKKREDITÁCIÓ FENNTARTÁSA ÉRDEKÉBEN

90. Az ITSOA állapítja meg azokat a rendszeres ellenőrzési eljárásokat, amelyek biztosítják, hogy a RENDSZER valamennyi biztonsági tulajdonsága mindig fennálljon.

91. Az újbóli akkreditációt szükségessé tevő, illetve az SAA előzetes jóváhagyásához kötött változások fajtáit világosan meg kell határozni és körül kell írni az SSRS-ben. Olyan jellegű módosítás, javítás vagy üzemzavar után, amely kihatással lehetett a RENDSZER biztonsági tulajdonságaira, az ITSOA gondoskodik annak az ellenőrzésnek a végrehajtásáról, amellyel megállapítható a biztonsági tulajdonságok megfelelő működése. A RENDSZER akkreditációjának fennmaradása rendszerint az ellenőrzések kielégítő eredményétől függ.

92. Az SAA rendszeresen ellenőrzi vagy felülvizsgálja mindazokat a RENDSZEREKET, amelyekben biztonsági tulajdonságokat hoztak létre. A TRÈS SECRET UE/EU TOP SECRET vagy további jelölésekkel ellátott információkat kezelő RENDSZEREKET évente legalább egyszer meg kell vizsgálni.

VII. fejezet

Ideiglenes vagy alkalomszerű felhasználás

A MIKROSZÁMÍTÓGÉPEK ÉS SZEMÉLYI SZÁMÍTÓGÉPEK BIZTONSÁGA

93. Az önálló üzemmódban vagy hálózatba szervezett konfigurációban működő, beépített merevlemezzel (vagy egyéb nem felejtő adathordozóval) rendelkező mikroszámítógépek és személyi számítógépek, valamint a beépített merevlemezzel rendelkező hordozható számítástechnikai készülékek (például hordozható PC-k és elektronikus "notebook" – ok) ugyanúgy információk tárolására szolgáló adathordozónak minősülnek, mint a flopilemezek vagy az egyéb eltávolítható számítógépes adathordozók.

94. Ezeknek a berendezéseknek a hozzáférés, a kezelés, a tárolás és a szállítás tekintetében a védelem olyan szintjében kell részesülniük, ami a korábban általuk tárolt vagy kezelt információk legmagasabb minősítési szintjének felel meg (a jóváhagyott eljárásoknak megfelelően végrehajtott visszaminősítésig vagy a minősítés ezeknek megfelelő megszüntetéséig).

MAGÁNTULAJDONBAN LÉVŐ IT-BERENDEZÉSEK FELHASZNÁLÁSA HIVATALOS TANÁCSI MUNKÁRA

95. Tilos magántulajdonban lévő, eltávolítható számítógépes adathordozó, szoftver és tárolókapacitással rendelkező IT-hardver (például PC-k és hordozható számítástechnikai készülékek) felhasználása EU minősített információk kezelésére.

96. A Főtitkárság Biztonsági Hivatala, egy tagállam hatósága vagy az EU decentralizált szerve vezetőjének engedélye nélkül magántulajdonban lévő hardvert, szoftvert és adathordozót tilos olyan I. vagy II. osztályba tartozó területre bevinni, ahol EU minősített információkat kezelnek.

SZERZŐDÉSES MEGBÍZOTT TULAJDONÁBAN LÉVŐ VAGY EGY TAGÁLLAM ÁLTAL BIZTOSÍTOTT IT-BERENDEZÉSEK FELHASZNÁLÁSA HIVATALOS TANÁCSI MUNKÁRA

97. A szerződéses megbízott tulajdonában álló IT-berendezéseket és szoftvereket csak a Főtitkárság Biztonsági Hivatala, egy tagállam hatósága vagy az EU decentralizált szerve vezetőjének az engedélyével lehet hivatalos tanácsi munkára használni. Egy tagállam által biztosított IT-berendezések és szoftverek használata engedélyezhető a Főtitkárságon vagy az EU érintett decentralizált szervénél dolgozó alkalmazottaknak, de ebben az esetben a berendezéseket a Főtitkárság megfelelő leltárának ellenőrzése alá kell vonni. Amennyiben az IT-berendezést EU minősített információ kezelésére kívánják felhasználni, úgy ez ügyben előbb az SAA-val kell konzultálni annak érdekében, hogy az adott berendezés használatára vonatkozó INFOSEC-elemeket megfelelően figyelembe vegyék és végrehajtsák.

XII. SZAKASZ

EU MINŐSÍTETT INFORMÁCIÓK ÁTADÁSA HARMADIK ÁLLAMOK VAGY NEMZETKÖZI SZERVEZETEK RÉSZÉRE

AZ EU MINŐSÍTETT INFORMÁCIÓK ÁTADÁSÁT SZABÁLYOZÓ ELVEK

1. Az EU minősített információk harmadik államoknak való átadásáról a Tanács határoz a következők alapján:

- az ilyen információk természete és tartalma,

- a szükséges ismeret elve az átvevők tekintetében,

- ennek előnyei az EU szempontjából.

A szóban forgó EU minősített információk átadásához a kibocsátó beleegyezése szükséges.

2. Ezeket a határozatokat eseti alapon hozzák az alábbiaktól függően:

- az együttműködés kívánatos mértéke az érintett harmadik állammal vagy nemzetközi szervezettel,

- az irántuk tanúsítható bizalom, amely annak a biztonsági szintnek a függvénye, amelyet a kérdéses államra vagy szervezetre bízott EU minősített információk tekintetében ott alkalmaznának, illetve annak, hogy az ott és az EU-ban alkalmazott biztonsági szabályok mennyiben egyeztethetők össze; e kérdésről a Tanács Biztonsági Bizottsága szakvéleményt ad a Tanács számára.

3. Az EU minősített információk harmadik állam vagy nemzetközi szervezet részéről történő elfogadása kötelezettségvállalást jelent arra nézve, hogy az információkat kizárólag azokra a célokra használják majd fel, amelyek érdekében átadásukat vagy kicserélésüket kérték, továbbá hogy biztosítani fogják a Tanács által előírt védelmet.

SZINTEK

4. Ha a Tanács úgy határozott, hogy valamely minősített információt át lehet adni egy adott államnak vagy nemzetközi szervezetnek, illetve azokkal ezt az információt ki lehet cserélni, meghatározza az együttműködés lehetséges szintjét. Ez különösen az illető állam vagy szervezet által alkalmazott biztonsági politikától és biztonsági rendelkezésektől függ.

5. Az együttműködésnek három szintje létezik:

1. szint Együttműködés olyan harmadik államokkal vagy nemzetközi szervezetekkel, amelyek biztonsági politikája és rendelkezései nagyon közel állnak az EU biztonsági politikájához és rendelkezéseihez.

2. szint Együttműködés olyan harmadik államokkal vagy nemzetközi szervezetekkel, amelyek biztonsági politikája és rendelkezései jelentősen eltérnek az EU biztonsági politikájától és rendelkezéseitől.

3. szint Alkalmi együttműködés olyan harmadik államokkal vagy nemzetközi szervezetekkel, amelyek biztonsági politikája és rendelkezései nem értékelhetők.

6. Az egyes együttműködési szintek határozzák meg, hogy milyen – a Tanács Biztonsági Bizottsága szakvéleményének tükrében az egyes eseteknek megfelelően újrafogalmazott – biztonsági szabályok alkalmazását kérik a kedvezményezettektől a nekik átadott minősített információ védelme érdekében. Ezeket az eljárásokat és biztonsági szabályokat a 4., 5. és 6. függelék részletezi.

MEGÁLLAPODÁSOK

7. Ha a Tanács úgy határozott, hogy tartós vagy hosszú távú igény van minősített információk cseréjére az EU és harmadik államok vagy más nemzetközi szervezetek között, akkor "minősített információk cseréjére vonatkozó biztonsági eljárásokról szóló megállapodást" dolgoz ki velük, meghatározva az együttműködés célját és a kicserélt információk védelmére vonatkozó kölcsönös szabályokat.

8. A 3. szintű alkalmi együttműködés esetében, amely időben és tárgyát tekintve értelemszerűen korlátozott, a kicserélendő információk természetét és az adott információkkal kapcsolatos kölcsönös kötelezettségeket meghatározó egyszerű egyetértési megállapodás léphet a "minősített információk cseréjére vonatkozó biztonsági eljárásokról szóló megállapodás" helyébe azzal a feltétellel, hogy ezen információk minősítése legfeljebb RESTREINT UE lehet.

9. A biztonsági eljárásokról szóló megállapodások vagy egyetértési megállapodások tervezetét a Biztonsági Bizottság megvitatja, mielőtt azokat a Tanácshoz határozathozatalra benyújtják.

10. A nemzeti biztonsági hatóságok megadják a főtitkár/főképviselő számára mindazt a szükséges segítséget, amivel biztosítható, hogy az átadandó információkat a biztonsági eljárásokról szóló megállapodásokban vagy a vonatkozó egyetértési megállapodásokban foglalt rendelkezéseknek megfelelően használják fel és részesítsék védelemben.

[1] Az EU minősített információkért felelős nemzeti biztonsági hatóságok jegyzékét az 1. függelék tartalmazza.

[2] A diplomáciai kapcsolatokról szóló 1961. évi bécsi egyezmény sérelme nélkül.

[3] Az EU, a NATO, a NYEU és a tagállamok biztonsági minősítéseinek összehasonlító táblázatát a 2. függelék tartalmazza.

[4] Visszaminősítés (downgrading, déclassement) a minősítési szint leszállítását jelenti; a minősítés megszüntetése (declassification, déclassification) mindenféle minősítés megszüntetését jelenti.

--------------------------------------------------