EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32013D0488
2013/488/EU: Council Decision of 23 September 2013 on the security rules for protecting EU classified information
2013/488/ES: 2013 m. rugsėjo 23 d. Tarybos sprendimas dėl ES įslaptintos informacijos apsaugai užtikrinti skirtų saugumo taisyklių
2013/488/ES: 2013 m. rugsėjo 23 d. Tarybos sprendimas dėl ES įslaptintos informacijos apsaugai užtikrinti skirtų saugumo taisyklių
OL L 274, 2013 10 15, p. 1–50
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force: This act has been changed. Current consolidated version: 01/07/2021
15.10.2013 |
LT |
Europos Sąjungos oficialusis leidinys |
L 274/1 |
TARYBOS SPRENDIMAS
2013 m. rugsėjo 23 d.
dėl ES įslaptintos informacijos apsaugai užtikrinti skirtų saugumo taisyklių
(2013/488/ES)
EUROPOS SĄJUNGOS TARYBA,
atsižvelgdami į Sutartį dėl Europos Sąjungos veikimo, ypač į jos 240 straipsnio 3 dalį,
atsižvelgdama į 2009 m. gruodžio 1 d. Tarybos sprendimą 2009/937/ES, patvirtinantį Tarybos darbo tvarkos taisykles (1), ypač į jo 24 straipsnį,
kadangi:
(1) |
siekiant plėtoti Tarybos veiklą visose srityse, kuriose reikia tvarkyti įslaptintą informaciją, tikslinga sukurti Tarybą, jos Generalinį sekretoriatą ir valstybes nares apimančią įslaptintos informacijos apsaugą užtikrinančią visapusišką saugumo sistemą; |
(2) |
šis sprendimas turėtų būti taikomas tais atvejais, kai Taryba, jos parengiamieji organai ir Tarybos Generalinis sekretoriatas (TGS) tvarko ES įslaptintą informaciją (ESĮI); |
(3) |
vadovaudamosi savo nacionaliniais įstatymais ir kitais teisės aktais ir tiek, kiek reikia Tarybos veiklai užtikrinti, valstybės narės turėtų laikytis šio sprendimo, kai jų kompetentingos institucijos, personalas ir rangovai tvarko ESĮI, kad visi būtų tikri, jog yra užtikrinta lygiavertė ESĮI apsauga; |
(4) |
Taryba, Komisija ir Europos išorės veiksmų tarnyba (EIVT) yra įsipareigojusios taikyti lygiaverčius ESĮI apsaugą užtikrinančius saugumo standartus; |
(5) |
Taryba pabrėžia, jog svarbu, kad Europos Parlamentas ir kitos Sąjungos institucijos, įstaigos, tarnybos ar agentūros atitinkamais atvejais prisidėtų prie įslaptintos informacijos apsaugos principų, standartų ir taisyklių, būtinų siekiant apsaugoti Sąjungos ir jos valstybių narių interesus, įgyvendinimo; |
(6) |
Taryba, laikydamasi šio sprendimo ir galiojančių tarpinstitucinių susitarimų, turėtų nustatyti tinkamą Tarybos turimos ESĮI dalijimosi atitinkamai su kitomis Sąjungos institucijomis, įstaigomis, tarnybomis ar agentūromis sistemą; |
(7) |
pagal Europos Sąjungos sutarties (ES sutartis) V antraštinės dalies 2 skyrių įsteigtos Sąjungos įstaigos ir agentūros, Europolas ir Eurojustas, vykdydami savo vidaus darbo organizavimą, turėtų taikyti šiame sprendime nustatytus ESĮI apsaugai užtikrinti skirtus pagrindinius principus ir būtiniausius standartus, jei jie numatyti akte dėl jų įsteigimo; |
(8) |
pagal ES sutarties V antraštinės dalies 2 skyrių nustatytų krizių valdymo operacijų metu turėtų būti taikomos Tarybos patvirtintos ESĮI apsaugai užtikrinti skirtos saugumo taisyklės, jei jos numatytos Tarybos akte dėl tų operacijų nustatymo; jas turėtų taikyti ir jose dalyvaujantis personalas; |
(9) |
ES specialieji įgaliotiniai ir jų darbuotojų grupių nariai turėtų taikyti Tarybos patvirtintas ESĮI apsaugai užtikrinti skirtas saugumo taisykles, jei taip numatyta atitinkame Tarybos akte; |
(10) |
šis sprendimas priimamas nedarant poveikio Sutarties dėl Europos Sąjungos veikimo (SESV) 15 ir 16 straipsniams ir jų įgyvendinamiesiems aktams; |
(11) |
šis sprendimas priimamas nedarant poveikio dabartinei valstybių narių praktikai, susijusiai su nacionalinių parlamentų informavimu apie Sąjungos veiklą; |
(12) |
siekiant užtikrinti, kad, Kroatijos Respublikai prisijungiant prie Europos Sąjungos, ESĮI apsaugai skirtos saugumo taisyklės būtų pradėtos taikyti laiku, šis sprendimas turėtų įsigalioti jo paskelbimo dieną, |
PRIĖMĖ ŠĮ SPRENDIMĄ:
1 straipsnis
Tikslas, taikymo sritis ir sąvokų apibrėžtys
1. Šis sprendimas nustato pagrindinius ESĮI apsaugai užtikrinti skirtus saugumo principus ir būtiniausius standartus.
2. Šie pagrindiniai saugumo principai ir būtiniausi standartai taikomi Tarybai bei TGS ir jų privalo laikytis valstybės narės, vadovaudamosi savo atitinkamais nacionaliniais įstatymais ir kitais teisės aktais, kad visi būtų tikri, jog yra užtikrinta lygiavertė ESĮI apsauga.
3. Šio sprendimo taikymo tikslais, taikomos A priedėlyje pateiktos sąvokų apibrėžtys.
2 straipsnis
ESĮI sąvokos apibrėžtis, slaptumo žymos ir kitos žymos
1. ES įslaptinta informacija (ESĮI) – bet kuri informacija arba medžiaga, kuriai suteikta ES slaptumo žyma ir kurią neteisėtai atskleidus galėtų būti padaryta tam tikro dydžio žala Europos Sąjungos arba vienos ar kelių valstybių narių interesams.
2. ESĮI žymima viena iš šių slaptumo žymų:
a) |
TRÈS SECRET UE/ES TOP SECRET: informacija ir medžiaga, kurią neteisėtai atskleidus galėtų būti padaryta ypatingai didelė žala Europos Sąjungos arba vienos ar kelių valstybių narių esminiams interesams; |
b) |
SECRET UE/ES SECRET: informacija ir medžiaga, kurią neteisėtai atskleidus galėtų būti rimtai pakenkta Europos Sąjungos arba vienos ar kelių valstybių narių esminiams interesams; |
c) |
CONFIDENTIEL UE/ES CONFIDENTIAL: informacija ir medžiaga, kurią neteisėtai atskleidus galėtų būti pakenkta Europos Sąjungos arba vienos ar kelių valstybių narių esminiams interesams; |
d) |
RESTREINT UE/ES RESTRICTED: informacija ir medžiaga, kurios neteisėtas atskleidimas galėtų būti nepalankus Europos Sąjungos arba vienos ar kelių valstybių narių interesams. |
3. ESĮI žymima slaptumo žyma pagal 2 dalį. Ji gali būti pažymėta papildoma žyma, skirta nurodyti veiklos sritį, su kuria ji yra susijusi, nurodyti įslaptintos informacijos rengėją, apriboti jos platinimą, naudojimą ar suteikimą.
3 straipsnis
Įslaptinimo administravimas
1. Kompetentingos institucijos užtikrina, kad ESĮI būtų žymima tinkama slaptumo žyma, būtų aiškiai nurodoma, kad tai yra įslaptinta informacija, ir jai būtų suteikta slaptumo žyma tik tokiam laikotarpiui, kuris yra būtinas.
2. ESĮI slaptumo žymos laipsnis nesumažinamas arba ji neišslaptinama ir nekeičiamos arba nepanaikinamos 2 straipsnio 3 dalyje nurodytos žymos be išankstinio įslaptintos informacijos rengėjo rašytinio sutikimo.
3. Taryba patvirtina ESĮI rengimo saugumo politiką, kuri apima praktinį žymų vadovą.
4 straipsnis
Įslaptintos informacijos apsauga
1. ESĮI apsaugoma laikantis šio sprendimo.
2. Bet kokios ESĮI turėtojas yra atsakingas už jos apsaugą pagal šį sprendimą.
3. Valstybėms narėms nacionaline slaptumo žyma pažymėtą įslaptintą informaciją įtraukus į Sąjungos struktūras ar tinklus Taryba ir TGS tą informaciją apsaugo laikydamiesi reikalavimų, taikomų lygiaverčio slaptumo žymos laipsnio ESĮI, kaip nustatyta B priedėlyje pateiktoje slaptumo žymų atitikmenų lentelėje.
4. ESĮI visumos atveju gali būti reikalaujama užtikrinti apsaugos lygį, atitinkantį aukštesnio laipsnio slaptumo žymą, nei jos atskirų komponentų slaptumo žymos.
5 straipsnis
Saugumo rizikos valdymas
1. ESĮI kylančios rizikos valdymas yra procesas. Šio proceso tikslas – nustatyti žinomą saugumo riziką, apibrėžti saugumo priemones tokiai rizikai sumažinti iki priimtino lygio pagal šiame sprendime išdėstytus pagrindinius principus ir būtiniausius standartus ir taikyti tas priemones laikantis nuodugnios apsaugos sąvokos, kaip apibrėžta A priedėlyje. Reguliariai atliekamas tokių priemonių efektyvumo vertinimas.
2. ESĮI apsaugai užtikrinti skirtos saugumo priemonės visą savo gyvavimo ciklą turi atitikti jos slaptumo žymos laipsnį, informacijos ar medžiagos formą ir kiekį, patalpų, kuriose laikoma ESĮI, vietos ir konstrukcijos reikalavimus ir turi būti parenkamos atsižvelgiant į vietos lygiu įvertintą piktavališkos ir (arba) nusikalstamos veiklos, įskaitant šnipinėjimą, sabotažą ar terorizmą, keliamą grėsmę.
3. Nenumatytų atvejų planuose turi būti atsižvelgiama į poreikį apsaugoti ESĮI nepaprastosios padėties atvejais siekiant užkirsti kelią galimybei neteisėtai susipažinti su šia informacija, ją atskleisti ar prarasti jos vientisumą arba galimybę ja naudotis.
4. Veiklos tęstinumo planuose numatomos prevencinės ir atstatymo priemonės siekiant sumažinti didelių klaidų ar incidentų poveikį ESĮI administravimui ir saugojimui.
6 straipsnis
Šio sprendimo įgyvendinimas
1. Remdamasi Saugumo komiteto rekomendacija, Taryba prireikus patvirtina saugumo politiką, kuria nustatomos šio sprendimo įgyvendinimo priemonės.
2. Saugumo komitetas savo lygiu gali susitarti dėl saugumo gairių, kurios skirtos papildyti ar sustiprinti šį sprendimą, ir pritarti Tarybos patvirtintai saugumo politikai.
7 straipsnis
Personalo patikimumas
1. Personalo patikimumas – priemonių taikymas, siekiant užtikrinti, kad galimybė susipažinti su ESĮI būtų suteikta tik asmenims, kurie:
— |
atitinka principą „būtina žinoti“, |
— |
atitinkamais atvejais turi atitinkamo slaptumo žymos laipsnio asmens patikimumo pažymėjimus ir |
— |
yra informuoti apie jų pareigas. |
2. Personalo patikimumo tikrinimo procedūrų tikslas – nustatyti, ar asmeniui, atsižvelgiant į jo lojalumą ir patikimumą, gali būti leidžiama susipažinti su ESĮI.
3. Prieš TGS dirbantiems asmenims, kuriems dėl jų pareigų reikia susipažinti su CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio laipsnio slaptumo žyma pažymėta ESĮI ar ją tvarkyti, leidžiant susipažinti su tokia ESĮI, jų visų patikimumas turi būti patikrintas atitinkamu lygiu. Tokiems asmenims TGS paskyrimų tarnyba turi suteikti leidimą iki nustatytos datos susipažinti su iki tam tikro laipsnio slaptumo žyma pažymėta ESĮI.
4. Prieš 15 straipsnio 3 dalyje nurodytiems valstybių narių darbuotojams, kuriems dėl jų pareigų gali reikėti susipažinti su CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio laipsnio slaptumo žyma pažymėta ESĮI, leidžiant susipažinti su tokia ESĮI, jų patikimumas turi būti patikrintas atitinkamu lygiu arba jie turi turėti kitus tinkamus leidimus atsižvelgiant į jų atliekamas funkcijas pagal nacionalinius įstatymus ir kitus teisės aktus.
5. Visi asmenys, prieš jiems suteikiant leidimą susipažinti su ESĮI, o vėliau – reguliariai, informuojami apie pareigą saugoti ESĮI pagal šį sprendimą ir jie ją patvirtina.
6. Šio straipsnio įgyvendinimo nuostatos išdėstytos I priede.
8 straipsnis
Fizinis saugumas
1. Fizinis saugumas yra fizinių ir techninių apsaugos priemonių taikymas siekiant užkirsti kelią leidimo neturintiems asmenims susipažinti su ESĮI.
2. Fizinės saugumo priemonės skirtos sutrukdyti įsibrauti slaptai arba įsiveržti jėga, atgrasyti nuo neteisėtų veiksmų, sutrukdyti jiems bei juos nustatyti, ir sudaryti sąlygas suskirstyti personalą pagal tai, kas gali susipažinti su ESĮI, vadovaujantis principu „būtina žinoti“. Tokios priemonės grindžiamos rizikos valdymo procesu.
3. Fizinio saugumo priemonės taikomos visose patalpose, pastatuose, kabinetuose, salėse ir kitose zonose, kuriose tvarkoma arba saugoma ESĮI, įskaitant zonas, kuriose įrengtos ryšių ir informacinės sistemos, kaip apibrėžta 10 straipsnio 2 dalyje.
4. Zonos, kuriose saugoma CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio laipsnio slaptumo žyma pažymėta ESĮI, įrengiamos kaip saugumo zonos pagal II priedo nuostatas ir patvirtinamos kompetentingos saugumo institucijos.
5. CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio laipsnio slaptumo žyma pažymėtos ESĮI apsaugai naudojama tik patvirtinta įranga ar prietaisai.
6. Šio straipsnio įgyvendinimo nuostatos išdėstytos II priede.
9 straipsnis
Įslaptintos informacijos administravimas
1. Įslaptintos informacijos administravimas – administracinių ESĮI kontrolės visą jos gyvavimo ciklą priemonių taikymas siekiant papildyti 7, 8 ir 10 straipsniuose numatytas priemones ir tokiu būdu atgrasyti nuo tokios informacijos sąmoningo ar tikslingo atskleidimo arba praradimo ir nustatyti tokius atvejus. Tokios priemonės visų pirma yra susijusios su ESĮI rengimu, registravimu, kopijavimu, vertimu, slaptumo žymos laipsnio sumažinimu, išslaptinimu, gabenimu ir naikinimu.
2. CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio laipsnio slaptumo žyma pažymėta informacija saugumo tikslais registruojama prieš ją platinant ir ją gavus. TGS kompetentingos tarnybos ir valstybių narių kompetentingos institucijos šiuo tikslu sukuria registratūrų sistemą. Slaptumo žyma TRÈS SECRET UE/ES TOP SECRET pažymėta informacija registruojama tam skirtuose registruose.
3. Tarnybas ir patalpas, kuriose ESĮI tvarkoma arba saugoma, reguliariai tikrina kompetentinga saugumo institucija.
4. Už fiziškai apsaugotų zonų ribų ESĮI iš vienos tarnybos į kitą ir iš vienų patalpų į kitas perduodama šiais būdais:
a) |
paprastai ESĮI perduodama elektroninėmis priemonėmis apsaugant informaciją pagal 10 straipsnio 6 dalį patvirtintomis šifravimo priemonėmis; |
b) |
kai nenaudojamos a punkte nurodytos priemonės, ESĮI gabenama:
|
5. Šio straipsnio įgyvendinimo nuostatos išdėstytos III ir IV prieduose.
10 straipsnis
ESĮI, tvarkomos naudojantis ryšių ir informacinėmis sistemomis, apsauga
1. Informacijos saugumo užtikrinimas (ISU) ryšių ir informacinių sistemų srityje – užtikrinimas, kad tokiose sistemose tvarkoma informacija bus apsaugota ir kad, valdant teisėtiems naudotojams, jos veiks taip, kaip turi veikti, ir tada, kada turi veikti. Veiksmingas ISU užtikrina tinkamą konfidencialumo, vientisumo, prieinamumo, atsakomybės už veiksmus prisiėmimo ir autentiškumo lygį. ISU grindžiamas rizikos valdymo procesu.
2. Ryšių ir informacinė sistema (RIS) – sistema, sudaranti sąlygas tvarkyti informaciją elektroniniu būdu. RIS apima visas sistemos dalis, kurių reikia jos veikimui, įskaitant infrastruktūrą, organizavimą, personalą ir informacijos šaltinius. Šis sprendimas taikomas RIS, kuriose tvarkoma ESĮI.
3. ESĮI RIS tvarkoma laikantis ISU principo.
4. Visa RIS turi būti akredituojama. Akreditavimo tikslas – įsitikinti, kad įgyvendintos visos atitinkamos saugumo priemonės ir kad pasiektas pakankamas ESĮI ir RIS apsaugos lygis, vadovaujantis šiuo sprendimu. Pareiškime dėl akreditavimo nurodomas aukščiausias informacijos, kuri gali būti tvarkoma RIS, slaptumo žymos laipsnis ir atitinkami reikalavimai bei sąlygos.
5. Įgyvendinamos apsaugos priemonės, siekiant apsaugoti RIS, kuriose tvarkoma CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio laipsnio slaptumo žyma pažymėta informacija, kad tokia informacija negalėtų būti neteisėtai atskleista dėl netyčinio elektromagnetinio spinduliavimo (TEMPEST apsaugos priemonės). Tokios apsaugos priemonės turi būti proporcingos neteisėto pasinaudojimo informacija rizikai ir informacijos slaptumo žymos lygiui.
6. Kai ESĮI apsauga užtikrinama šifravimo priemonėmis, tokios priemonės patvirtinamos taip:
a) |
SECRET UE/ES SECRET ir aukštesnio laipsnio slaptumo žyma pažymėtos informacijos konfidencialumas užtikrinamas taikant šifravimo priemones, kurias remdamasi Saugumo komiteto rekomendacija patvirtina Taryba, vykdydama Kriptografijos patvirtinimo institucijos (KPI) funkcijas; |
b) |
CONFIDENTIEL UE/ES CONFIDENTIAL arba RESTREINT UE/ES RESTRICTED slaptumo žyma pažymėtos informacijos konfidencialumas užtikrinamas taikant šifravimo priemones, kurias remdamasis Saugumo komiteto rekomendacija patvirtina Tarybos Generalinis sekretorius (toliau – Generalinis sekretorius), vykdydamas KPI funkcijas. |
Nepažeidžiant b punkto, valstybių narių nacionalinėse sistemose CONFIDENTIEL UE/ES CONFIDENTIAL arba RESTREINT UE/ES RESTRICTED slaptumo žyma pažymėtos ESĮI konfidencialumas gali būti apsaugomas taikant šifravimo priemones, kurias patvirtina valstybės narės KPI.
7. Perduodant ESĮI elektroninėmis priemonėmis naudojamos patvirtintos šifravimo priemonės. Nepaisant šio reikalavimo, esant nepaprastosios padėties sąlygoms arba specifinių techninių konfigūracijų atvejais, kaip nurodyta IV priede, gali būti taikomos specialios procedūros.
8. TGS kompetentingos tarnybos ir valstybių narių kompetentingos institucijos atitinkamai nustato šias ISU funkcijas vykdančias struktūras:
a) |
ISU instituciją (ISUI); |
b) |
TEMPEST instituciją (TEI); |
c) |
Kriptografijos patvirtinimo instituciją (KPI); |
d) |
Kriptografijos platinimo instituciją (KPLI). |
9. TGS kompetentingos tarnybos ir valstybių narių kompetentingos institucijos kiekvienai sistemai atitinkamai nustato:
a) |
Saugumo akreditavimo instituciją (SAI); |
b) |
ISU operacinę instituciją. |
10. Šio straipsnio įgyvendinimo nuostatos išdėstytos IV priede.
11 straipsnis
Pramoninis saugumas
1. Pramoninis saugumas – priemonių, kurias rangovai arba subrangovai taiko derybų dėl sutarčių sudarymo metu ir visą įslaptintų sutarčių gyvavimo ciklą siekdami užtikrinti ESĮI apsaugą, taikymas. Tokiose sutartyse nenumatoma galimybė susipažinti su slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėta informacija.
2. TGS sutartimi gali patikėti pramonės arba kitiems subjektams, registruotiems valstybėje narėje arba trečiojoje valstybėje, kuri yra sudariusi susitarimą arba administracinį susitarimą pagal 13 straipsnio 2 dalies a arba b punktą, užduotis, kurioms atlikti reikia arba reikės susipažinti su ESĮI arba ją tvarkyti ar laikyti.
3. TGS, kaip perkančioji institucija, užtikrina, kad sudarant įslaptintas sutartis su pramonės ar kitais subjektais būtų laikomasi šiame sprendime išdėstytų ir sutartyje nurodytų būtiniausių pramoninio saugumo standartų.
4. Kiekvienos valstybės narės nacionalinė saugumo institucija (NSI), paskirtoji saugumo institucija (PSI) ar bet kuri kita kompetentinga institucija, kiek tai įmanoma pagal nacionalinius įstatymus ir kitus teisės aktus, užtikrina, kad jų teritorijoje įregistruoti rangovai ir subrangovai derybų dėl sutarčių sudarymo metu arba vykdydami įslaptintą sutartį imtųsi visų tinkamų ESĮI apsaugos priemonių.
5. Kiekvienos valstybės narės NSI, PSI ar kita kompetentinga saugumo institucija, laikydamosi nacionalinių įstatymų ir kitų teisės aktų, užtikrina, kad atitinkamoje valstybėje narėje įregistruoti rangovai ar subrangovai, dalyvaujantys įslaptintose sutartyse arba subrangos sutartyse, pagal kurias jas vykdant arba prieš jas sudarant turi būti suteikta galimybė savo patalpose susipažinti su įslaptinta informacija, pažymėta slaptumo žyma CONFIDENTIEL UE/ES CONFIDENTIAL arba SECRET UE/ES SECRET, turėtų reikiamą slaptumo žymos laipsnį atitinkantį Įmonės patikimumą patvirtinantį pažymėjimą (ĮPPP).
6. Rangovo ar subrangovo darbuotojams, kuriems vykdant įslaptintą sutartį reikia susipažinti su slaptumo žyma CONFIDENTIEL UE/ES CONFIDENTIAL arba SECRET UE/ES SECRET pažymėta informacija, atitinkama NSI, PSI ar kita kompetentinga saugumo institucija laikydamasi nacionalinių įstatymų ir kitų teisės aktų bei I priede nustatytų būtiniausių saugumo standartų suteikia asmens patikimumo pažymėjimą (APP).
7. Šio straipsnio įgyvendinimo nuostatos išdėstytos V priede.
12 straipsnis
Dalijimasis ESĮI
1. Taryba nustato sąlygas, kuriomis ji gali dalytis savo turima ESĮI su kitomis Sąjungos institucijomis, įstaigomis, tarnybomis ar agentūromis. Tam gali būti sukurta atitinkama sistema, be kita ko, prireikus tuo tikslu sudarant tarpinstitucinius susitarimus ar kitokius susitarimus.
2. Pagal tokią sistemą užtikrinama, kad ESĮI būtų taikoma jos slaptumo žymos lygį atitinkanti apsauga, laikantis pagrindinių principų bei būtiniausių standartų, lygiaverčių nustatytiesiems šiame sprendime.
13 straipsnis
Keitimasis įslaptinta informacija su trečiosiomis valstybėmis ir tarptautinėmis organizacijomis
1. Tarybai nusprendus, kad reikia keistis ESĮI su trečiąja valstybe arba tarptautine organizacija, šiuo tikslu nustatoma tinkama tvarka.
2. Siekdama nustatyti tokią tvarką ir apibrėžti abipusiškumo taisykles dėl įslaptintos informacijos, kuria keičiamasi, apsaugos:
a) |
Sąjunga sudaro susitarimus su trečiosiomis valstybėmis arba tarptautinėmis organizacijomis dėl keitimuisi ESĮI ir jos apsaugai užtikrinti skirtų saugumo procedūrų (toliau – susitarimai dėl informacijos saugumo) arba |
b) |
Generalinis sekretorius gali pagal VI priedo 17 punktą TGS vardu sudaryti administracinius susitarimus tuomet, kai ESĮI, kuri turi būti suteikta, slaptumo žymos laipsnis paprastai nėra aukštesnis nei RESTREINT UE/ES RESTRICTED. |
3. 2 dalyje nurodytuose susitarimuose dėl informacijos saugumo arba administraciniuose susitarimuose numatomos nuostatos, kuriomis užtikrinama, jog trečiosioms valstybėms arba tarptautinėms organizacijoms gavus ESĮI tai informacijai užtikrinama jos slaptumo žymos laipsnį atitinkanti apsauga, remiantis būtiniausiais standartais, kurie yra ne mažiau griežti nei šiame sprendime nustatyti standartai.
4. Sprendimą suteikti Tarybos parengtą ESĮI trečiajai valstybei arba tarptautinei organizacijai priima Taryba atskirai kiekvienu konkrečiu atveju atsižvelgdama į tokios informacijos pobūdį ir turinį bei gavėjo atitiktį principui „būtina žinoti“ ir įvertinusi naudą Sąjungai. Jeigu Taryba nėra įslaptintos informacijos, kurią prašoma suteikti, rengėja, TGS pirmiausia bando gauti jos įslaptintos informacijos rengėjo raštišką sutikimą suteikti tą informaciją. Jei įslaptintos informacijos rengėjo neįmanoma nustatyti, jo pareigą prisiima Taryba.
5. Įvertinimo vizitai rengiami siekiant įsitikinti, kad trečiojoje valstybėje arba tarptautinėje organizacijoje taikomos ESĮI arba įslaptintos informacijos, kuri suteikta ar kuria keičiamasi, apsaugos priemonės yra veiksmingos.
6. Šio straipsnio įgyvendinimo nuostatos išdėstytos VI priede.
14 straipsnis
ESĮI saugumo pažeidimai ir neteisėtas atskleidimas
1. Saugumo pažeidimu laikomas šiame sprendime nustatytoms saugumo taisyklėms priešingas asmens veiksmas arba neveikimas.
2. Laikoma, kad ESĮI neteisėtai atskleista, jeigu pažeidus saugumo taisykles ji visa arba jos dalis yra atskleista leidimo neturintiems asmenims.
3. Apie visus saugumo pažeidimus arba įtariamus saugumo pažeidimus nedelsiant pranešama kompetentingai saugumo institucijai.
4. Tai atvejais, kai žinoma arba yra pagrįstų priežasčių manyti, kad ESĮI buvo neteisėtai atskleista arba prarasta, NSI ar kita kompetentinga institucija, vadovaudamasi atitinkamais įstatymais ir kitais teisės aktais, imasi visų atitinkamų priemonių:
a) |
informuoti įslaptintos informacijos rengėją; |
b) |
užtikrinti, kad siekiant nustatyti faktus tokį atvejį nagrinėtų su pažeidimu tiesiogiai nesusijęs personalas; |
c) |
įvertinti galimą Sąjungai ar valstybių narių interesams padarytą žalą; |
d) |
imtis atitinkamų priemonių, kad būtų užkirstas kelias pažeidimui pasikartoti, ir |
e) |
kad atitinkamos institucijos būtų informuotos apie atliktus veiksmus. |
5. Bet kuriam asmeniui, kuris pažeidė šiame sprendime nustatytas saugumo taisykles, gali būti taikomos drausminės priemonės vadovaujantis taikomomis taisyklėmis. Asmeniui, kuris neteisėtai atskleidė ar pametė ESĮI, taikomos drausminės ir (arba) teisinės priemonės vadovaujantis taikomais įstatymais, taisyklėmis ir kitais teisės aktais.
15 straipsnis
Atsakomybė už įgyvendinimą
1. Taryba imasi visų priemonių, būtinų siekiant užtikrinti bendrą šio sprendimo taikymo nuoseklumą.
2. Generalinis sekretorius imasi visų priemonių, būtinų užtikrinti, kad TGS pareigūnai ir kiti tarnautojai, į TGS komandiruoti darbuotojai ir TGS samdyti rangovai, tvarkydami arba saugodami ESĮI arba kitą įslaptintą informaciją Tarybos naudojamose patalpose ir TGS, laikytųsi šio sprendimo.
3. Vadovaudamosi savo atitinkamais nacionaliniais įstatymais ir kitais teisės aktais, valstybės narės imasi visų atitinkamų priemonių siekdamos užtikrinti, kad tvarkydami ar saugodami ESĮI šio sprendimo laikytųsi:
a) |
valstybių narių nuolatinių atstovybių Europos Sąjungoje darbuotojai ir Tarybos arba jos parengiamųjų organų posėdžiuose ar kitoje Tarybos veikloje dalyvaujantys nacionalinių delegacijų nariai; |
b) |
kiti valstybių narių nacionalinių administracinių įstaigų darbuotojai, įskaitant į tas administracines įstaigas komandiruotus darbuotojus, dirbantys tiek valstybėse narėse, tiek užsienyje; |
c) |
kiti asmenys, kuriems valstybėse narėse dėl jų funkcijų yra suteiktas tinkamas leidimas susipažinti su ESĮI, ir |
d) |
valstybių narių rangovai, dirbantys tiek valstybėse narėse, tiek užsienyje. |
16 straipsnis
Saugumo organizavimas Taryboje
1. Atlikdama savo vaidmenį užtikrinti bendrą šio sprendimo taikymo nuoseklumą, Taryba tvirtina:
a) |
13 straipsnio 2 dalies a punkte nurodytus susitarimus; |
b) |
sprendimus, kuriais įgaliojama arba sutinkama Tarybos parengtą arba turimą ESĮI suteikti trečiosioms valstybėms ir tarptautinėms organizacijoms, laikantis informacijos rengėjo sutikimo principo; |
c) |
metinę įvertinimo vizitų programą, kurią rekomenduoja Saugumo komitetas ir kuri yra skirta įvertinimo vizitams į valstybių narių tarnybas bei patalpas, Sąjungos įstaigas, agentūras bei subjektus, taikančius šį sprendimą ar jo principus, taip pat įvertinimo vizitams į trečiąsias valstybes bei tarptautines organizacijas siekiant įsitikinti priemonių, įgyvendintų siekiant apsaugoti ESĮI, veiksmingumu, ir |
d) |
saugumo politiką, kaip numatyta 6 straipsnio 1 dalyje. |
2. Generalinis sekretorius vykdo TGS saugumo tarnybos funkcijas. Vykdydamas tas funkcijas Generalinis sekretorius:
a) |
įgyvendina Tarybos saugumo politiką ir ją nuolat peržiūri; |
b) |
bendradarbiauja su valstybių narių NSI visais su Tarybos veikla susijusiais saugumo klausimais dėl įslaptintos informacijos apsaugos; |
c) |
pagal 7 straipsnio 3 dalį suteikia TGS pareigūnams, kitiems tarnautojams ir komandiruotiems nacionaliniams ekspertams įgaliojimus susipažinti su CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio laipsnio slaptumo žyma pažymėta informacija; |
d) |
atitinkamais atvejais nurodo ištirti Tarybos turimos ar parengtos įslaptintos informacijos faktinio ar įtariamo neteisėto atskleidimo arba praradimo atvejus ir prašo atitinkamų saugumo institucijų padėti atlikti šiuos tyrimus; |
e) |
reguliariai tikrina įslaptintos informacijos apsaugai užtikrinti skirtas saugumo priemones TGS patalpose; |
f) |
reguliariai rengia vizitus siekdamas įvertinti ESĮI apsaugai užtikrinti skirtas saugumo priemones Sąjungos įstaigose, agentūrose ir subjektuose, taikančiuose šį sprendimą ar jo principus; |
g) |
kartu su atitinkama NSI ir suderinęs su ja reguliariai vertina ESĮI apsaugai užtikrinti skirtas saugumo priemones valstybių narių tarnybose ir patalpose; |
h) |
užtikrina, kad apsaugos priemonės prireikus būtų derinamos su valstybių narių kompetentingomis institucijomis, kurios yra atsakingos už įslaptintos informacijos apsaugą, ir atitinkamai su trečiosiomis valstybėmis ar tarptautinėmis organizacijomis, įskaitant dėl grėsmių ESĮI saugumui pobūdžio ir apsaugos nuo jų priemonių, ir |
i) |
sudaro administracinius susitarimus, nurodytus 13 straipsnio 2 dalies b punkte. |
TGS saugumo tarnyba padeda Generaliniam sekretoriui vykdyti šias užduotis.
3. Įgyvendindamos 15 straipsnio 3 dalį valstybės narės turėtų:
a) |
paskirti už ESĮI apsaugai užtikrinti skirtas saugumo priemones atsakingą NSI, nurodytą C priedėlyje pateiktame sąraše, tam, kad:
|
b) |
užtikrinti, kad jų kompetentingos institucijos vyriausybėms, o per jas Tarybai, teiktų informaciją apie ESĮI saugumui kylančių grėsmių pobūdį ir apsaugos nuo jų priemones bei patartų šiais klausimais. |
17 straipsnis
Saugumo komitetas
1. Įsteigiamas Saugumo komitetas. Jis nagrinėja ir vertina saugumo klausimus, kuriems taikomas šis sprendimas, ir atitinkamai teikia rekomendacijas Tarybai.
2. Saugumo komitetą sudaro valstybių narių NSI atstovai, o jo posėdžiuose dalyvauja Komisijos ir EIVT atstovas. Jam pirmininkauja Generalinis sekretorius arba jo paskirtas atstovas. Jo posėdžiai rengiami pagal Tarybos nurodymus arba Generalinio sekretoriaus ar NSI prašymu.
Sąjungos įstaigų, agentūrų ir subjektų, taikančių šį sprendimą ar jo principus, atstovai gali būti kviečiami dalyvauti posėdžiuose svarstant jiems svarbius klausimus.
3. Saugumo komitetas savo veiklą organizuoja taip, kad galėtų teikti rekomendacijas konkrečių saugumo sričių klausimais. Jis įsteigia ekspertų pogrupį ISU klausimais ir prireikus kitus ekspertų pogrupius. Šis komitetas parengia tokių ekspertų pogrupių įgaliojimus, o šie pogrupiai teikia jam savo veiklos ataskaitas, įskaitant prireikus bet kurias rekomendacijas Tarybai.
18 straipsnis
Ankstesnio sprendimo pakeitimas
1. Šis sprendimas panaikina ir pakeičia Tarybos sprendimą 2011/292/ES (2).
2. Visa ESĮI, įslaptinta pagal Tarybos sprendimą 2001/264/EB (3) ir Sprendimą 2011/292/ES, toliau saugoma pagal atitinkamas šio sprendimo nuostatas.
19 straipsnis
Įsigaliojimas
Šis sprendimas įsigalioja jo paskelbimo Europos Sąjungos oficialiajame leidinyje dieną.
Priimta Briuselyje 2013 m. rugsėjo 23 d.
Tarybos vardu
Pirmininkas
V. JUKNA
(1) OL L 325, 2009 12 11, p. 35.
(2) 2011 m. kovo 31 d. Tarybos sprendimas 2011/292/ES dėl ES įslaptintos informacijos apsaugai užtikrinti skirtų saugumo taisyklių (OL L 141, 2011 5 27, p. 17).
(3) 2001 m. kovo 19 d. Tarybos sprendimas 2001/264/EB dėl Tarybos saugumo nuostatų patvirtinimo (OL L 101, 2001 4 11, p. 1).
PRIEDAI
I PRIEDAS
Personalo patikimumas
II PRIEDAS
Fizinis saugumas
III PRIEDAS
Įslaptintos informacijos administravimas
IV PRIEDAS
RIS tvarkomos ESĮI apsauga
V PRIEDAS
Pramoninis saugumas
VI PRIEDAS
Keitimasis įslaptinta informacija su trečiosiomis valstybėmis ir tarptautinėmis organizacijomis
I PRIEDAS
PERSONALO PATIKIMUMAS
I. ĮVADAS
1. |
Šiame priede nustatytos 7 straipsnio įgyvendinimo nuostatos. Jame nustatomi kriterijai, kuriais remiantis nustatoma, ar asmeniui, atsižvelgiant į jo lojalumą ir patikimumą, gali būti leidžiama susipažinti su ESĮI, ir šiuo tikslu taikytinos tikrinimo bei administracinės procedūros. |
II. LEIDIMO SUSIPAŽINTI SU ESĮI SUTEIKIMAS
2. |
Leidimas susipažinti su įslaptinta informacija asmeniui suteikiamas tik po to, kai:
|
3. |
Kiekviena valstybė narė ir TGS savo struktūrose nustato tas pareigybes, kurias užimantiems asmenims reikia susipažinti su CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio laipsnio slaptumo žyma pažymėta informacija ir todėl jų patikimumas turi būti patvirtintas, suteikiant teisę susipažinti su atitinkamo laipsnio slaptumo žyma pažymėta informacija. |
III. ASMENS PATIKIMUMO PAŽYMĖJIMUI TAIKOMI REIKALAVIMAI
4. |
NSI ir kitos kompetentingos nacionalinės institucijos, gavusios pagal tinkamus įgaliojimus pateiktą prašymą, privalo užtikrinti, kad būtų vykdomas jų piliečių, kuriems turi būti sudaryta galimybė susipažinti su CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio laipsnio slaptumo žyma pažymėta informacija, patikimumo tikrinimas. Tikrinimo standartai, siekiant atitinkamai išduoti asmens patikimumo pažymėjimą arba įsitikinti, kad asmeniui galima leisti susipažinti su ESĮI, turi atitikti nacionalinius įstatymus ir kitus teisės aktus. |
5. |
Jeigu atitinkamas asmuo nuolat gyvena kitos valstybės narės ar trečiosios valstybės teritorijoje, kompetentingos nacionalinės institucijos prašo gyvenamosios vietos valstybės kompetentingos institucijos pagalbos laikydamosi nacionalinių įstatymų ir kitų teisės aktų. Valstybės narės padeda viena kitai vykdyti patikimumo tikrinimą pagal nacionalinius įstatymus ir kitus teisės aktus. |
6. |
Jei leidžiama pagal nacionalinius įstatymus ir kitus teisės aktus, NSI arba kitos kompetentingos nacionalinės institucijos gali vykdyti ne jų valstybės piliečių, kuriems reikia susipažinti su CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio laipsnio slaptumo žyma pažymėta informacija, patikimumo tikrinimą. Tikrinimo standartai turi atitikti nacionalinius įstatymus ir kitus teisės aktus. |
Patikimumo tikrinimo kriterijai
7. |
Asmens lojalumas ir patikimumas, kad jo patikimumas galėtų būti patvirtintas suteikiant teisę susipažinti su CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio laipsnio slaptumo žyma pažymėta informacija, nustatomas vykdant patikimumo tikrinimą. Kompetentinga nacionalinė institucija atlieka bendrą vertinimą, remdamasi tokio patikimumo tikrinimo išvadomis. Šiuo tikslu taikomi pagrindiniai kriterijai apima, atsižvelgiant į nacionalinius įstatymus ir kitus teisės aktus, nagrinėjimą, ar asmuo:
|
8. |
Vykdant patikimumo tikrinimą, atitinkamais atvejais, vadovaujantis nacionaliniais įstatymais ir kitais teisės aktais, taip pat gali būti svarbi informacija apie asmens finansinę padėtį ir sveikatą. |
9. |
Vykdant patikimumo tikrinimą, atitinkamais atvejais, vadovaujantis nacionaliniais įstatymais ir kitais teisės aktais, taip pat gali būti svarbūs sutuoktinio, sugyventinio ar artimo šeimos nario elgesys ir gyvenimo aplinkybės. |
Susipažinimui su ESĮI taikomi tikrinimo reikalavimai
Patikimumo pažymėjimo išdavimas pirmą kartą
10. |
Pradinis patikimumo pažymėjimas, leidžiantis susipažinti su slaptumo žymomis CONFIDENTIEL UE/ES CONFIDENTIAL ir SECRET UE/ES SECRET pažymėta informacija, grindžiamas patikimumo patikrinimu, apimančiu bent 5 paskutinių metų laikotarpį arba laikotarpį nuo 18 metų amžiaus iki patikrinimo datos, pasirenkant trumpesnį laikotarpį; patikrinimas apima šiuos aspektus:
|
11. |
Pradinis patikimumo pažymėjimas, leidžiantis susipažinti su slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėta informacija, grindžiamas patikimumo patikrinimu, apimančiu bent dešimt paskutinių metų laikotarpį arba laikotarpį nuo 18 metų amžiaus iki patikrinimo datos, pasirenkant trumpesnį laikotarpį. Jei organizuojami pokalbiai, kaip toliau nurodyta e punkte, patikrinimas apima bent septynerių paskutinių metų laikotarpį arba laikotarpį nuo 18 metų amžiaus iki patikrinimo datos, pasirenkant trumpesnį laikotarpį. Patikimumo pažymėjimų, leidžiančių susipažinti su slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėta informacija, išdavimui, atsižvelgiant į nacionalinius įstatymus ir kitus teisės aktus, taikomi ne tik 7 punkte nurodyti kriterijai, bet ir tikrinami toliau išvardyti aspektai; jie taip pat gali būti tikrinami prieš išduodant asmens patikimumo pažymėjimus, leidžiančius susipažinti su slaptumo žyma CONFIDENTIEL UE/ES CONFIDENTIAL arba SECRET UE/ES SECRET pažymėta informacija, jei tai privaloma pagal nacionalinius įstatymus ir kitus teisės aktus:
|
12. |
Prireikus vadovaujantis nacionaliniais įstatymais ir kitais teisės aktais gali būti atliekami papildomi patikrinimai, kad būtų surinkta visa svarbi informacija apie asmenį ir kad būtų pagrįsta arba paneigta nepalanki informacija. |
Patikimumo pažymėjimo atnaujinimas
13. |
Po to, kai patikimumo pažymėjimas suteiktas pirmą kartą, ir jeigu asmuo nuolat dirbo nacionalinėje administracinėje įstaigoje ar TGS bei jam nuolat reikia dirbti su ESĮI, patikimumo pažymėjimas peržiūrimas siekiant jį atnaujinti ne rečiau kaip kas penkerius metus pažymėjimų, leidžiančių susipažinti su slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėta informacija, atveju ir ne rečiau kaip kas dešimt metų pažymėjimų, leidžiančių susipažinti su slaptumo žymomis SECRET UE/ES SECRET ir CONFIDENTIEL UE/ES CONFIDENTIAL pažymėta informacija, atveju, skaičiuojant nuo paskutinio patikimumo patikrinimo, kuriuo remiantis buvo išduotas pažymėjimas, rezultatų pranešimo datos. Visuose dėl patikimumo pažymėjimo atnaujinimo atliekamuose patikimumo patikrinimuose tikrinamas laikotarpis nuo ankstesnio tikrinimo datos. |
14. |
Siekiant atnaujinti patikimumo pažymėjimą, tikrinami 10 ir 11 punktuose apibūdinti aspektai. |
15. |
Prašymai dėl atnaujinimo teikiami laiku, atsižvelgiant į tokiam patikimumo tikrinimui atlikti reikiamą laiką. Tačiau atitinkamai NSI ar kitai kompetentingai nacionalinei institucijai gavus atitinkamą prašymą dėl atnaujinimo ir atitinkamą asmens patikimumo tikrinimo klausimyną nepasibaigus patikimumo pažymėjimo galiojimo laikotarpiui ir dar neužbaigus būtino patikimumo patikrinimo, kompetentinga nacionalinė institucija gali pratęsti turimo patikimumo pažymėjimo galiojimo laikotarpį ne ilgiau kaip 12 mėnesių, jeigu leidžia nacionaliniai įstatymai ir kiti teisės aktai. Jeigu pasibaigus šiam 12 mėnesių laikotarpiui patikimumo patikrinimas dar nebaigtas, asmeniui skiriamos tokios užduotys, kurioms atlikti nereikia turėti patikimumo pažymėjimo. |
TGS taikomos leidimo suteikimo procedūros
16. |
TGS pareigūnų ir kitų tarnautojų atveju TGS saugumo tarnyba nusiunčia užpildytą asmens patikimumo tikrinimo klausimyną valstybės narės, kurios pilietis asmuo yra, NSI, prašydama atlikti patikimumo patikrinimą, skirtą gauti leidimą naudotis tam tikro slaptumo žymos laipsnio ESĮI, su kuria asmeniui reikės susipažinti. |
17. |
Jei TGS sužino patikimumo patikrinimui svarbios informacijos apie asmenį, kuris pateikė prašymą dėl patikimumo pažymėjimo, leidžiančio susipažinti su ESĮI, TGS, laikydamasis atitinkamų taisyklių ir teisės aktų, apie tai praneša atitinkamai NSI. |
18. |
Užbaigusi patikimumo patikrinimą atitinkama NSI praneša TGS saugumo tarnybai tokio patikrinimo rezultatus, naudodama Saugumo komiteto nustatytą korespondencijai skirtą standartinę formą.
|
19. |
Patikimumo tikrinimui bei gautiems rezultatams taikomi atitinkamoje valstybėje narėje galiojantys įstatymai ir kiti teisės aktai, įskaitant su apskundimu susijusius įstatymus ir kitus teisės aktus. TGS paskyrimų tarnybos sprendimai gali būtų apskųsti pagal Europos Sąjungos pareigūnų tarnybos nuostatus ir kitų Europos Sąjungos tarnautojų įdarbinimo sąlygas, nustatytus Tarybos reglamente (EEB, Euratomas, EAPB) Nr. 259/68 (1) (toliau – Tarnybos nuostatai ir įdarbinimo sąlygos). |
20. |
Į TGS komandiruoti nacionaliniai ekspertai, siekiantys eiti pareigas, kurioms reikia galimybės susipažinti su CONFIDENTIEL UE/ES CONFIDENTIAL ar aukštesnio laipsnio slaptumo žyma pažymėta ES informacija, prieš pradėdami tarnybą TGS saugumo tarnybai pateikia galiojančią asmens patikimumo pažymėjimą patvirtinančią pažymą (APPP), suteikiančią teisę susipažinti su ESĮI, o paskyrimų tarnyba tuo remdamasi suteikia leidimą susipažinti su ESĮI. |
21. |
TGS pripažįsta kitos Sąjungos institucijos, įstaigos ar agentūros suteiktą leidimą susipažinti su ESĮI, su sąlyga, kad jis tebegalioja. Leidimas galioja visoms užduotims, kurias tas asmuo vykdo TGS. Sąjungos institucija, įstaiga ar agentūra, kurioje asmuo pradeda dirbti, praneša atitinkamai NSI apie darbdavio pasikeitimą. |
22. |
Jeigu asmens tarnyba neprasideda per 12 mėnesių nuo patikimumo patikrinimo rezultatų pranešimo TGS paskyrimų tarnybai arba jeigu asmens tarnyboje daroma 12 mėnesių pertrauka ir tuo laikotarpiu jis nėra priimtas į pareigybę TGS ar valstybės narės nacionalinėje administracinėje įstaigoje, atitinkamos NSI prašoma patvirtinti, kad rezultatai tebegalioja bei yra tinkami. |
23. |
Jei TGS sužino informacijos apie tai, kad asmuo, turintis leidimą susipažinti su ESĮI, kelia pavojų saugumui, TGS, laikydamasis atitinkamų taisyklių ir teisės aktų, apie tai praneša atitinkamai NSI ir gali asmeniui laikinai nesuteikti galimybės susipažinti su ESĮI arba panaikinti leidimą susipažinti su ESĮI. |
24. |
Kai NSI informuoja TGS apie tai, kad pagal 18 punkto a papunktį suteiktas užtikrinimas dėl asmens, turinčio leidimą susipažinti su ESĮI, panaikinamas, TGS paskyrimų tarnyba gali paprašyti pateikti paaiškinimą, kurį NSI gali pateikti pagal nacionalinius įstatymus ir kitus teisės aktus. Jei nepalanki informacija patvirtinama, leidimas panaikinamas, o asmeniui neleidžiama susipažinti su ESĮI ir eiti pareigų, kurias einant jis galėtų susipažinti su ta informacija arba sukelti pavojų saugumui. |
25. |
Apie sprendimą panaikinti arba sustabdyti TGS pareigūno ar kito tarnautojo leidimą susipažinti su ESĮI ir, atitinkamais atvejais, tokio panaikinimo arba sustabdymo priežastis pranešama atitinkamam pareigūnui, o jis gali prašyti, kad TGS paskyrimų tarnyba jį išklausytų. NSI teikiamą informaciją reglamentuoja atitinkamoje valstybėje narėje galiojantys įstatymai ir kiti teisės aktai, įskaitant su apeliacijomis susijusius įstatymus ir kitus teisės aktus. TGS paskyrimų tarnybos sprendimai gali būtų apskųsti pagal Tarnybos nuostatus ir įdarbinimo sąlygas. |
Patikimumo pažymėjimų ir leidimų registravimas
26. |
APP ir leidimų, leidžiančių susipažinti su CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio laipsnio slaptumo žyma pažymėta informacija, registrus tvarko atitinkamai kiekviena valstybė narė ir TGS. Šiuose registruose bent jau nurodoma ESĮI, su kuria tam asmeniui gali būti leista susipažinti, slaptumo žymos laipsnis, patikimumo pažymėjimo išdavimo data ir jo galiojimo laikas. |
27. |
Kompetentinga saugumo institucija gali išduoti APPP, kurioje nurodomas ESĮI, su kuria tam asmeniui gali būti leista susipažinti, slaptumo žymos laipsnis (CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio laipsnio slaptumo žyma), atitinkamo APP, leidžiančio susipažinti su ESĮI, ar leidimo susipažinti su ESĮI galiojimo laikas ir pačios pažymos galiojimo laikas. |
Reikalavimo turėti APP taikymo išimtys
28. |
Teisė susipažinti su ESĮI asmenims, kuriems dėl jų atliekamų funkcijų suteiktas tinkamas leidimas, valstybėse narėse nustatoma pagal nacionalinius įstatymus ir kitus teisės aktus; tokie asmenys informuojami apie jų saugumo įsipareigojimus ESĮI apsaugos srityje. |
IV. ŠVIETIMAS SAUGUMO KLAUSIMAIS IR SAUGUMO SUPRATIMAS
29. |
Visi asmenys, kuriems išduotas patikimumo pažymėjimas, raštu patvirtina, kad jie supranta savo įsipareigojimus saugoti ESĮI ir padarinius, jei ESĮI būtų neteisėtai atskleista. Atitinkamai valstybė narė ir TGS registruoja tokius rašytinius patvirtinimus. |
30. |
Visi asmenys, kuriems leidžiama susipažinti su ESĮI arba kurie turi dirbti su ESĮI, yra iš pat pradžių informuojami ir paskui reguliariai informuojami apie grėsmes saugumui ir jie turi nedelsdami pranešti atitinkamoms saugumo tarnyboms apie bet kokius bandymus užmegzti kontaktą ar veiklą, kurie, jų nuomone, yra įtartini ar neįprasti. |
31. |
Visi asmenys, kurie nebeeina pareigų, kurias einant jiems reikia susipažinti su ESĮI, yra informuojami apie jų įsipareigojimus toliau saugoti ESĮI slaptumą ir atitinkamais atvejais jie tai patvirtina raštu. |
V. IŠSKIRTINĖS APLINKYBĖS
32. |
Kai leidžia nacionaliniai įstatymai ir kiti teisės aktai, valstybės narės kompetentingos nacionalinės institucijos išduotas patikimumo pažymėjimas, kuriuo leidžiama susipažinti su nacionaliniu lygiu įslaptinta informacija, gali laikinai, kol bus išduotas APP susipažinti su ESĮI, suteikti teisę nacionaliniams pareigūnams susipažinti su ne aukštesne nei lygiaverčio slaptumo žymos laipsnio ESĮI, kaip nustatyta B priedėlyje pateiktoje atitikmenų lentelėje, kai Sąjungos interesais būtina suteikti tokią laikiną teisę susipažinti su informacija. NSI informuoja Saugumo komitetą, kai pagal nacionalinius įstatymus ir kitus teisės aktus tokia laikina teisės susipažinti su ESĮI negali būti suteikta. |
33. |
Dėl skubos priežasčių, kurios pagrįstos tarnybos interesais, laukiant išsamaus patikimumo patikrinimo pabaigos, TGS paskyrimų tarnyba, pasikonsultavusi su valstybės narės, kurios pilietis yra atitinkamas asmuo, NSI ir atsižvelgusi į preliminaraus patikrinimo, skirto patikrinti, ar nėra žinomos nepalankios informacijos apie asmenį, rezultatus, gali TGS pareigūnams ir kitiems tarnautojams išduoti laikiną leidimą susipažinti su ESĮI konkrečiai funkcijai atlikti. Tokie laikini leidimai galioja ne ilgiau kaip šešis mėnesius ir nesuteikia teisės susipažinti su slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėta informacija. Visi asmenys, kuriems išduotas laikinas leidimas, raštu patvirtina, kad jie supranta savo įsipareigojimus saugoti ESĮI ir ESĮI neteisėto atskleidimo pasekmes. TGS registruoja tokius rašytinius patvirtinimus. |
34. |
Kai asmuo turi būti paskirtas į pareigybę, kuriai užimti reikalingas vienu laipsniu aukštesnis nei turimas patikimumo pažymėjimas, jis gali būti paskirtas į tą pareigybę laikinai, jeigu:
|
35. |
Pirmiau nurodytos procedūros laikomasi, kai reikia suteikti leidimą vieną kartą susipažinti su vienu laipsniu aukštesne slaptumo žyma pažymėta ESĮI nei ta, su kuria susipažinti jiems buvo leista atlikus patikimumo patikrinimą. Tokia procedūra neturi būti naudojama pakartotinai. |
36. |
Itin išskirtinėmis aplinkybėmis, tokiomis kaip vykdant užduotis priešiškoje aplinkoje arba kylant tarptautinei įtampai, kai to reikia imantis neatidėliotinų priemonių, visų pirma siekiant išsaugoti žmonių gyvybes, valstybės narės ir Generalinis sekretorius arba Generalinio sekretoriaus pavaduotojas gali, kai įmanoma – raštu, suteikti galimybę susipažinti su slaptumo žyma CONFIDENTIEL UE/ES CONFIDENTIAL arba SECRET UE/ES SECRET pažymėta informacija asmenims, neturintiems reikiamo patikimumo pažymėjimo, jeigu tokio leidimo tikrai reikia ir jeigu nėra pagrįstų abejonių dėl atitinkamo asmens lojalumo ir patikimumo. Toks leidimas registruojamas, kartu aprašant informaciją, su kuria leista susipažinti. |
37. |
Slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėtos informacijos atveju toks leidimo suteikimas skubos tvarka taikomas tik tiems Sąjungos piliečiams, kuriems buvo leista susipažinti su nacionaline informacija, atitinkančia TRES SECRET UE/ES TOP SECRET slaptumo laipsnį, arba su slaptumo žyma SECRET UE/ES SECRET pažymėta informacija. |
38. |
Saugumo komitetas informuojamas apie atvejus, kai naudojamasi 36 ir 37 punktuose išdėstyta procedūra. |
39. |
Kai valstybės narės nacionaliniai įstatymai ir kiti teisės aktai nustato griežtesnes taisykles dėl laikinų leidimų, laikinų paskyrimų, asmenims susipažinti su įslaptinta informacija vieną kartą ar skubos tvarka leidžiama ir šiame skirsnyje numatytos procedūros taikomos tik nepažeidžiant atitinkamuose įstatymuose ir kituose teisės aktuose nustatytų apribojimų. |
40. |
Saugumo komitetui pateikiama šiame skirsnyje numatytų procedūrų taikymo metinė ataskaita. |
VI. DALYVAVIMAS TARYBOJE VYKSTANČIUOSE POSĖDŽIUOSE
41. |
Vadovaujantis 28 punktu, asmenys, paskirti dalyvauti Tarybos arba Tarybos parengiamųjų organų posėdžiuose, kuriuose aptariama CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio laipsnio slaptumo žyma pažymėta informacija, gali tai daryti tik patvirtinus, kad jie turi patikimumo pažymėjimą. Deleguotų asmenų APPP ar kitus patikimumo pažymėjimo įrodymus atitinkamos institucijos siunčia TGS saugumo tarnybai arba išimtiniais atvejais ją pateikia atitinkamas deleguotas asmuo. Jei taikoma, gali būti naudojamas suvestinis pavardžių sąrašas, kuriame pateikiami atitinkami įrodymai apie patikimumo pažymėjimą. |
42. |
Kai asmens, kuris eidamas savo pareigas turi dalyvauti Tarybos ir Tarybos parengiamųjų organų posėdžiuose, APP susipažinti su ESĮI panaikinamas saugumo sumetimais, kompetentinga institucija apie tai informuoja TGS. |
VII. GALIMA PRIEIGA PRIE ESĮI
43. |
Kurjerių, apsaugos darbuotojų ir lydinčių asmenų patikimumas turi būti patikrintas atitinkamu lygiu, arba jie turi būti kitaip deramai patikrinti vadovaujantis nacionaliniais įstatymais ir kitais teisės aktais, jie yra supažindinami su ESĮI apsaugai užtikrinti skirtomis saugumo procedūromis ir jiems išdėstomos jų pareigos jiems patikėtos tokios informacijos apsaugos srityje. |
(1) 1968 m. vasario 29 d. Tarybos reglamentas (EEB, Euratomas, EAPB) Nr. 259/68, nustatantis Europos Bendrijų pareigūnų tarnybos nuostatus ir kitų Europos Bendrijų tarnautojų įdarbinimo sąlygas bei Komisijos pareigūnams laikinai taikomas specialias priemones (OL L 56, 1968 3 4, p. 1).
II PRIEDAS
FIZINIS SAUGUMAS
I. ĮVADAS
1. |
Šiame priede nustatytos 8 straipsnio įgyvendinimo nuostatos. Jame išdėstyti būtiniausi reikalavimai, taikomi patalpų, pastatų, kabinetų, salių ir kitų zonų, kuriose tvarkoma ir saugoma ESĮI, įskaitant zonas, kuriose yra RIS, fizinei apsaugai. |
2. |
Fizinio saugumo priemonės yra skirtos užkirsti kelią leidimo neturintiems asmenims susipažinti su ESĮI:
|
II. FIZINIO SAUGUMO REIKALAVIMAI IR PRIEMONĖS
3. |
Fizinio saugumo priemonės parenkamos remiantis grėsmių įvertinimu, kurį atlieka kompetentingos institucijos. ESĮI apsaugai užtikrinti savo patalpose TGS ir valstybės narės taiko rizikos valdymo procesą, kad užtikrintų, jog, atsižvelgiant į įvertintą riziką, būtų taikoma atitinkamo lygio fizinė apsauga. Rizikos valdymo procese atsižvelgiama į visus svarbius veiksnius, visų pirma:
|
4. |
Kompetentinga saugumo tarnyba, taikydama nuodugnios apsaugos sąvoką, nustato tinkamas įgyvendintinas fizinio saugumo priemones. Tai gali būti viena (ar daugiau) iš šių priemonių:
|
5. |
Kompetentinga institucija gali būti įgaliojama apieškoti įeinančius ir išeinančius asmenis siekiant atgrasyti nuo neleistino medžiagos įnešimo arba neleistino ESĮI išnešimo iš patalpų ar pastatų. |
6. |
Iškilus pavojui, kad ESĮI bus pamatyta, netgi atsitiktinai, imamasi tinkamų priemonių siekiant išvengti šio pavojaus. |
7. |
Naujos infrastruktūros atveju infrastruktūros planavimo ir projektavimo metu apibrėžiami fizinio saugumo reikalavimai ir jos funkcinės specifikacijos. Esamos infrastruktūros atveju kiek įmanoma įgyvendinami fizinio saugumo reikalavimai. |
III. ESĮI FIZINEI APSAUGAI SKIRTA ĮRANGA
8. |
Įsigydama ESĮI fizinei apsaugai užtikrinti skirtą įrangą (pavyzdžiui, apsaugines talpyklas, naikiklius, durų užraktus, elektronines patekimo kontrolės sistemas, įsibrovimo aptikimo sistemas, signalizacijos sistemas), kompetentinga saugumo institucija užtikrina, kad įranga atitiktų patvirtintus techninius standartus ir būtiniausius reikalavimus. |
9. |
ESĮI fizinei apsaugai užtikrinti naudotinos įrangos techninės specifikacijos išdėstomos saugumo gairėse, kurias turi patvirtinti Saugumo komitetas. |
10. |
Saugumo sistemos reguliariai tikrinamos ir reguliariai atliekama įrangos priežiūra. Atliekant priežiūrą atsižvelgiama į patikrinimų rezultatus, kad būtų užtikrinta, jog įrenginiai toliau veiktų optimaliai. |
11. |
Kiekvieno patikrinimo metu iš naujo vertinamas individualių saugumo priemonių ir visos saugumo sistemos veiksmingumas. |
IV. FIZIŠKAI APSAUGOTOS ZONOS
12. |
ESĮI fizinės apsaugos tikslais nustatomos dviejų tipų fiziškai apsaugotos zonos arba nacionalinės lygiavertės zonos:
Šiame sprendime visos nuorodos į administracines zonas ir saugumo zonas, įskaitant techniniu požiūriu saugias saugumo zonas, laikomos ir nuorodomis į nacionalines lygiavertes zonas. |
13. |
Kompetentinga saugumo institucija nustato, kad zona atitinka reikalavimus, jog būtų klasifikuojama kaip administracinė zona, saugumo zona ar techniniu požiūriu saugi saugumo zona. |
14. |
Administracinių zonų atveju:
|
15. |
Saugumo zonų atveju:
|
16. |
Tais atvejais, kai įėjus į saugumo zoną galima visais praktiniais tikslais tiesiogiai susipažinti su joje laikoma įslaptinta informacija, taikomi tokie papildomi reikalavimai:
|
17. |
Saugumo zonos, kurios turi būti apsaugotos nuo pasiklausymo, klasifikuojamos kaip techniniu požiūriu saugios saugumo zonos. Taikomi šie papildomi reikalavimai:
|
18. |
Nepaisant 17 punkto d papunkčio, prieš naudojantis ryšių prietaisais ir elektros ar elektronine įranga zonose, kuriose rengiami susitikimai ar atliekamas darbas, susijęs su SECRET UE/ES SECRET arba aukštesnio laipsnio slaptumo žyma pažymėta informacija, taip pat, kai grėsmė ESĮI vertinama kaip didelė, tokius prietaisus ir įrangą visų pirma ištiria kompetentinga saugumo institucija, siekdama užtikrinti, kad naudojantis šia įranga nebūtų galima perduoti jokios suprantamos informacijos per neapdairumą ar neteisėtai už saugumo zonos perimetro. |
19. |
Saugumo zonos, kuriose nėra visą parą budinčio personalo, atitinkamais atvejais tikrinamos pasibaigus įprastai darbo dienai ir atsitiktiniais intervalais ne įprastomis darbo valandomis, išskyrus atvejus, kai įdiegta ĮAS. |
20. |
Siekiant surengti susitikimą, kuriame naudojama įslaptinta informacija, arba bet kokiu kitu panašiu tikslu administracinėje zonoje gali būti laikinai įrengtos saugumo zonos ir techniniu požiūriu saugios saugumo zonos. |
21. |
Saugios eksploatacijos taisyklės rengiamos kiekvienai saugumo zonai ir jose nustatoma:
|
22. |
Saugumo zonose įrengiamos saugyklos. Sienos, grindys, lubos, langai ir durys su užraktais turi būti kompetentingos saugumo institucijos patvirtintos ir užtikrinti apsaugą, kurią užtikrina apsauginės talpyklos, patvirtintos to paties laipsnio slaptumo žymos ESĮI saugoti. |
V. FIZINĖS APSAUGOS PRIEMONĖS TVARKANT IR SAUGANT ESĮI
23. |
Slaptumo žyma RESTREINT UE/ES RESTRICTED pažymėta ESĮI gali būti tvarkoma:
|
24. |
Slaptumo žyma RESTREINT UE/ES RESTRICTED pažymėta ESĮI saugoma tinkamuose rakinamuose biuro balduose administracinėse zonose arba saugumo zonose. Laikinai ji gali būti saugoma ne saugumo zonose ar administracinėse zonose, jeigu turėtojas yra įsipareigojęs taikyti kompensacines priemones, nustatytas kompetentingos saugumo institucijos parengtose saugumo instrukcijose. |
25. |
Slaptumo žyma CONFIDENTIEL UE/ES CONFIDENTIAL arba SECRET UE/ES SECRET pažymėta ESĮI gali būti tvarkoma:
|
26. |
Slaptumo žyma CONFIDENTIEL UE/ES CONFIDENTIAL ir SECRET UE/ES SECRET pažymėta ESĮI saugoma saugumo zonose esančiose apsauginėse talpyklose arba saugyklose. |
27. |
Slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėta ESĮI tvarkoma saugumo zonose. |
28. |
Slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėta ESĮI saugoma saugumo zonose laikantis kurios nors iš toliau nurodytų sąlygų:
|
29. |
ESĮI gabenimą už fiziškai apsaugotų zonų ribų reglamentuojančios taisyklės išdėstytos III priede. |
VI. ESĮI APSAUGAI UŽTIKRINTI NAUDOJAMŲ RAKTŲ IR KODŲ KONTROLĖ
30. |
Kompetentinga saugumo institucija nustato kabinetų, patalpų, saugyklų ir apsauginių talpyklų raktų bei kodų valdymo procedūras. Tokios procedūros apsaugo nuo neleistino susipažinimo su informacija. |
31. |
Kodai patikimi kuo mažesniam asmenų skaičiui ir tik tiems asmenims, kuriems reikia juos naudoti; šie asmenys kodus įsimena. Apsauginių talpyklų ir saugyklų, kuriose saugoma ESĮI, kodai keičiami:
|
III PRIEDAS
ĮSLAPTINTOS INFORMACIJOS ADMINISTRAVIMAS
I. ĮVADAS
1. |
Šiame priede nustatytos 9 straipsnio įgyvendinimo nuostatos. Jame išdėstytos administracinės ESĮI kontrolės visą jos gyvavimo ciklą priemonės siekiant atgrasyti nuo tokios informacijos sąmoningo ar atsitiktinio neteisėto atskleidimo arba praradimo ir nustatyti tokius atvejus. |
II. ĮSLAPTINIMO ADMINISTRAVIMAS
Slaptumo žymos ir kitos žymos
2. |
Informacija įslaptinama tuo atveju, jei dėl jos konfidencialumo reikia ją apsaugoti. |
3. |
ESĮI rengėjas atsako už slaptumo žymos laipsnio nustatymą pagal atitinkamas įslaptinimo gaires ir už pirminį informacijos platinimą. |
4. |
ESĮI slaptumo žymos laipsnis nustatomas vadovaujantis 2 straipsnio 2 dalimi ir remiantis saugumo politika, kuri turi būti tvirtinama pagal 3 straipsnio 3 dalį. |
5. |
Slaptumo žyma nurodoma aiškiai ir teisingai, neatsižvelgiant į tai, ar ESĮI yra pateikiama popieriuje, žodžiu, elektronine ar bet kuria kita forma. |
6. |
Atskiroms dokumento dalims (t. y. puslapiams, dalims, skirsniams, priedams ir priedėliams) gali būti suteikiamos skirtingos slaptumo žymos ir jos atitinkamai pažymimos, taip pat tais atvejais, kai jos saugomos elektronine forma. |
7. |
Dokumento ar dokumentų bylos bendras slaptumo žymos laipsnis nustatomas pagal aukščiausią slaptumo žymos laipsnį turinčią jo dalį. Kai renkama informacija iš įvairių šaltinių, galutinis dokumentas peržiūrimas siekiant nustatyti jo bendrą slaptumo žymos laipsnį, nes gali paaiškėti, kad jam turi būti suteiktas aukštesnis slaptumo žymos laipsnis nei jo dalims. |
8. |
Kiek įmanoma, dokumentams, kurių dalys pažymėtos skirtingo laipsnio slaptumo žymomis, suteikiama tokia struktūra, kad skirtingo laipsnio slaptumo žymomis pažymėtas dalis būtų galima lengvai nustatyti ir prireikus atskirti. |
9. |
Pridedamų dokumentų lydinčiųjų dokumentų slaptumo žymos laipsnis atitinka priedų aukščiausio laipsnio slaptumo žymas. Jei tokie dokumentai pateikiami atskirai nuo priedų, įslaptintos informacijos rengėjas turi aiškiai nurodyti, koks slaptumo žymos laipsnis jiems suteikiamas, naudodamas atitinkamą žymą, pavyzdžiui: CONFIDENTIEL UE/ES CONFIDENTIAL Be priedo (-ų) RESTREINT UE/ES RESTRICTED |
Žymos
10. |
Be vienos iš slaptumo žymų, nurodytų 2 straipsnio 2 dalyje, ESĮI gali būti pažymėta papildomomis žymomis, pavyzdžiui:
|
Žymų santrumpos
11. |
Siekiant nurodyti atskirų teksto pastraipų slaptumo žymos laipsnį, gali būti naudojamos standartinės slaptumo žymų santrumpos. Santrumpos nepakeičia pilnų slaptumo žymų. |
12. |
ES įslaptintuose dokumentuose gali būti naudojamos šios standartinės santrumpos, kuriomis nurodomas skirsnių arba teksto dalių, užimančių mažiau nei vieną puslapį, slaptumo žymos laipsnis:
|
ESĮI rengimas
13. |
Rengiant ES įslaptintą dokumentą:
|
14. |
Kai rengiant ESĮI neįmanoma taikyti 13 punkte išdėstytų reikalavimų, taikomos kitos atitinkamos priemonės vadovaujantis saugumo gairėmis, parengtomis remiantis 6 straipsnio 2 dalimi. |
ESĮI slaptumo žymos laipsnio sumažinimas ir ESĮI išslaptinimas
15. |
Įslaptintos informacijos rengėjas, kai įmanoma, rengdamas ESĮI, ypač RESTREINT UE/ES RESTRICTED slaptumo žyma pažymėtą informaciją, nurodo, ar tam tikrą dieną arba po tam tikro įvykio galima sumažinti ESĮI slaptumo žymos laipsnį arba ją išslaptinti. |
16. |
TGS reguliariai peržiūri jo turimą ESĮI, siekdamas įsitikinti, ar slaptumo žymos lygis vis dar taikomas. TGS sukuria sistemą, skirtą peržiūrėti ESĮI, kurią jis parengė, slaptumo žymos laipsnį ne rečiau kaip kas penkeri metai. Tokia peržiūra nėra reikalinga, jeigu įslaptintos informacijos rengėjas iš pat pradžių nurodo, kad informacijos slaptumo žymos laipsnis bus sumažintas arba informacija išslaptinta automatiškai, o informacija buvo atitinkamai pažymėta. |
III. ESĮI REGISTRAVIMAS SAUGUMO TIKSLAIS
17. |
Kiekviename TGS ir valstybių narių nacionalinių administracinių įstaigų organizaciniame vienete, kuriame tvarkoma ESĮI, steigiamos atsakingos registratūros, siekiant užtikrinti, kad ESĮI būtų administruojama pagal šį sprendimą. Registratūros steigiamos kaip II priede apibrėžtos saugumo zonos. |
18. |
Šiame sprendime registravimas saugumo tikslais (toliau – registravimas) – procedūrų, kuriomis užregistruojamas dokumento gyvavimo ciklas, įskaitant jo platinimą ir sunaikinimą, taikymas. |
19. |
Kai organizacinis vienetas gauna CONFIDENTIEL UE/ES CONFIDENTIAL ir aukštesnio laipsnio slaptumo žyma pažymėtą medžiagą ir kai ją išsiunčia, visa ši medžiaga registruojama tam skirtose registratūrose. |
20. |
Centrinė TGS registratūra registruoja visą įslaptintą informaciją, kurią Taryba ir TGS suteikė trečiosioms valstybėms ir tarptautinėms organizacijoms, bei visą įslaptintą informaciją, gautą iš trečiųjų valstybių ir tarptautinių organizacijų. |
21. |
RIS atveju registravimo procedūros gali būti atliekamos vykdant procesus pačioje RIS. |
22. |
Taryba patvirtina ESĮI registravimo saugumo tikslais saugumo politiką. |
TRES SECRET UE/ES TOP SECRET registratūros
23. |
Valstybėse narėse ir TGS paskiriama registratūra, kuri veikia kaip centrinė slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėtą informaciją gaunanti ir siunčianti tarnyba. Prireikus gali būti paskirtos antrinės registratūros, kurios tvarko tokią informaciją jos registravimo tikslais. |
24. |
Tokios antrinės registratūros negali perduoti slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėtų dokumentų tiesiogiai kitoms tos pačios centrinės TRES SECRET UE/ES TOP SECRET registratūros antrinėms registratūroms arba į išorę be aiškaus rašytinio tos registratūros leidimo. |
IV. ES ĮSLAPTINTŲ DOKUMENTŲ KOPIJAVIMAS IR VERTIMAS
25. |
Slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėti dokumentai kopijuojami arba verčiami tik gavus išankstinį rašytinį įslaptintos informacijos rengėjo sutikimą. |
26. |
Jeigu SECRET UE/ES SECRET arba žemesnio laipsnio slaptumo žyma pažymėtų dokumentų įslaptintos informacijos rengėjas nenustatė apribojimų dėl jų kopijavimo ar vertimo, dokumento turėtojo nurodymu tokius dokumentus galima kopijuoti arba versti. |
27. |
Dokumento kopijoms ir vertimams taikomos tos pačios saugumo priemonės, kaip ir dokumento originalui. |
V. ESĮI GABENIMAS
28. |
Gabenant ESĮI taikomos 30–41 punktuose išdėstytos apsaugos priemonės. Kai ESĮI gabenama elektroninėje laikmenoje ir nepaisant 9 straipsnio 4 dalies, toliau išvardytas apsaugos priemones gali papildyti kompetentingos saugumo institucijos nurodytos atitinkamos techninės kontrpriemonės, kad būtų sumažinta rizika, jog informacija bus prarasta ar atskleista. |
29. |
TGS ir valstybių narių kompetentingos saugumo institucijos parengia ESĮI gabenimo instrukcijas remdamosi šiuo sprendimu. |
Pastate arba uždaroje pastatų grupėje
30. |
Pastate arba uždaroje pastatų grupėje gabenama informacija turi būti uždengta, kad nebūtų galima stebėti jos turinio. |
31. |
Slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėta informacija pastate arba uždaroje pastatų grupėje turi būti gabenama apsaugotame voke, ant kurio nurodytas tik gavėjo vardas ir pavardė. |
Sąjungoje
32. |
ESĮI, gabenama iš vieno pastato ar patalpos į kitą Sąjungoje, turi būti supakuota taip, kad ji būtų apsaugota nuo neteisėto atskleidimo. |
33. |
CONFIDENTIEL UE/ES CONFIDENTIAL arba SECRET UE/ES SECRET slaptumo žyma pažymėtą informaciją Sąjungoje gabena:
Gabenimo iš vienos valstybės narės į kitą atveju c punkto nuostatos taikomos tik gabenant informaciją, pažymėtą slaptumo žyma iki CONFIDENTIEL UE/ES CONFIDENTIAL. |
34. |
Slaptumo žyma RESTREINT UE/ES RESTRICTED pažymėtą informaciją taip pat gali gabenti pašto tarnybos arba komercinės kurjerių pašto tarnybos. Tokios informacijos gabenimui kurjerio pažymėjimas nereikalingas. |
35. |
CONFIDENTIEL UE/ES CONFIDENTIAL ir SECRET UE/ES SECRET slaptumo žyma pažymėtą medžiagą (pavyzdžiui, įrangą ar įrenginius), kurios negalima gabenti 33 punkte nurodytomis priemonėmis, kaip krovinį pagal V priedą gabena komercinės vežėjų bendrovės. |
36. |
TRES SECRET UE/ES TOP SECRET slaptumo žyma pažymėtą informaciją iš vieno pastato ar patalpos į kitą Sąjungoje gabena atitinkamai karinis, vyriausybinis ar diplomatinis kurjeris. |
Iš Sąjungos į trečiosios valstybės teritoriją
37. |
ESĮI, gabenama iš Sąjungos į trečiosios valstybės teritoriją, turi būti supakuota taip, kad ji būtų apsaugota nuo neteisėto atskleidimo. |
38. |
CONFIDENTIEL UE/ES CONFIDENTIAL ir SECRET UE/ES SECRET slaptumo žyma pažymėtą informaciją iš Sąjungos į trečiosios valstybės teritoriją gabena:
|
39. |
Gabenant Sąjungos parengtą trečiajai valstybei ar tarptautinei organizacijai skirtą slaptumo žyma CONFIDENTIEL UE/ES CONFIDENTIAL ir SECRET UE/ES SECRET pažymėtą informaciją laikomasi atitinkamų nuostatų, numatytų susitarime dėl informacijos saugumo arba administraciniame susitarime pagal 13 straipsnio 2 dalies a arba b punktą. |
40. |
Slaptumo žyma RESTREINT UE/ES RESTRICTED pažymėtą informaciją taip pat gali gabenti pašto tarnybos ar komercinės kurjerių pašto tarnybos. |
41. |
Slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėtą informaciją iš Sąjungos į trečiosios valstybės teritoriją gabena karinis ar diplomatinis kurjeris. |
VI. ESĮI NAIKINIMAS
42. |
Nebereikalingi ES įslaptinti dokumentai gali būti sunaikinti nepažeidžiant atitinkamų taisyklių ir nuostatų dėl archyvavimo. |
43. |
Dokumentus, kurie turi būti registruojami pagal 9 straipsnio 2 dalį, turėtojo arba kompetentingos institucijos nurodymu sunaikina atsakinga registratūra. Registracijos knygos ir kita registravimo informacija atitinkamai atnaujinama. |
44. |
Dokumentai, pažymėti SECRET UE/ES SECRET arba TRES SECRET UE/ES TOP SECRET slaptumo žyma, naikinami dalyvaujant liudytojui, kuris turi leidimą susipažinti su ne žemesnio už naikinamo dokumento slaptumo žymos laipsnio įslaptinta informacija. |
45. |
Atsakingas registratūros darbuotojas ir liudytojas, kai pastarojo dalyvavimas privalomas, pasirašo sunaikinimo aktą, kuris registruojamas atitinkamame registre. Slaptumo žyma TRES SECRET UE/ES TOP SECRET pažymėtų dokumentų sunaikinimo aktai registre saugomi bent dešimt metų, o CONFIDENTIEL UE/ES CONFIDENTIAL ir SECRET UE/ES SECRET slaptumo žyma pažymėtų dokumentų – bent penkerius metus. |
46. |
Įslaptinti dokumentai, įskaitant pažymėtus slaptumo žyma RESTREINT UE/ES RESTRICTED, sunaikinami tokiais būdais, kurie atitinka atitinkamus Sąjungos arba lygiaverčius standartus arba kuriuos valstybės narės patvirtino laikydamosi nacionalinių techninių standartų, kad jų nebūtų galima visiškai ar iš dalies atkurti. |
47. |
Kompiuterinių duomenų saugojimo laikmenos, naudotos ESĮI, sunaikinamos vadovaujantis IV priedo 37 punkto nuostatomis. |
48. |
Ekstremalios situacijos atveju, jei gresia tiesioginis neteisėto atskleidimo pavojus, ESĮI turėtojas sunaikina ją taip, kad ji negalėtų būti atkurta visa arba iš dalies. Rengėjas ir pradinis registras informuojami apie registruotos ESĮI sunaikinimą dėl ekstremalios situacijos. |
VII. ĮVERTINIMO VIZITAI
49. |
Sąvoka „įvertinimo vizitas“ toliau vartojama nurodant:
kurių metu vertinamas priemonių, įgyvendintų siekiant apsaugoti ESĮI, veiksmingumas. |
50. |
Įvertinimo vizitai atliekami, inter alia, siekiant:
|
51. |
Iki kiekvienų kalendorinių metų pabaigos Taryba patvirtina kitų metų įvertinimo vizitų programą, kaip numatyta 16 straipsnio 1 dalies c punkte. Faktinės kiekvieno įvertinimo vizito datos nustatomos suderinus su atitinkama Sąjungos įstaiga ar agentūra, valstybe nare, trečiąja valstybe ar tarptautine organizacija. |
Įvertinimo vizitų vykdymas
52. |
Įvertinimo vizitai atliekami siekiant patikrinti lankomo subjekto atitinkamas taisykles, reglamentus ir procedūras, taip pat patikrinti, ar subjekto praktika atitinka šiame sprendime nustatytus pagrindinius principus ir būtiniausius standartus ir keitimąsi įslaptinta informacija su tuo subjektu reglamentuojančias nuostatas. |
53. |
Įvertinimo vizitai atliekami dviem etapais. Prieš vizitą prireikus organizuojamas parengiamasis susitikimas su atitinkamu subjektu. Po šio parengiamojo susitikimo įvertinimo grupė, suderinusi su atitinkamu subjektu, sudaro išsamią įvertinimo vizito programą, apimančią visas saugumo sritis. Įvertinimo vizito grupei turėtų būti leidžiama patekti į visas vietas, kuriose tvarkoma ESĮI, visų pirma registrus ir RIS įrengimo vietas. |
54. |
Įvertinimo vizitai į valstybių narių nacionalines administracines įstaigas, trečiąsias valstybes ir tarptautines organizacijas atliekami visapusiškai bendradarbiaujant su subjekto, trečiosios valstybės ar tarptautinės organizacijos, į kuriuos atliekamas vizitas, pareigūnais. |
55. |
Įvertinimo vizitai į Sąjungos įstaigas, agentūras ir subjektus, taikančius šį sprendimą arba jo principus, atliekami padedant NSI, kurios teritorijoje yra įsikūrusi įstaiga ar agentūra, ekspertams. |
56. |
Įvertinimo vizitų į Sąjungos įstaigas, agentūras ir subjektus, taikančius šį sprendimą ar jo principus, taip pat į trečiąsias valstybes bei tarptautines organizacijas atveju gali būti prašoma NSI ekspertų pagalbos ir nuomonių, laikantis išsamios tvarkos, dėl kurios turi susitarti Saugumo komitetas. |
Ataskaitos
57. |
Pabaigus įvertinimo vizitą subjektui, į kurį atliktas vizitas, pateikiamos pagrindinės išvados ir rekomendacijos. Po to parengiama įvertinimo vizito ataskaita. Jei buvo pasiūlyti taisomieji veiksmai ir pateiktos rekomendacijos, ataskaitoje padarytos išvados turėtų būti pakankamai išsamiai pagrįstos. Ataskaita pateikiama atitinkamai subjekto, į kurį atliktas vizitas, tarnybai. |
58. |
Jei įvertinimo vizitai atliekami valstybių narių nacionalinėse administracinėse įstaigose:
TGS saugumo tarnyba atsako už tai, kad būtų rengiama reguliari ataskaita, kurioje būtų akcentuojama nurodytu laikotarpiu valstybėse narėse atliktų įvertinimo vizitų metu įgyta patirtis ir kurią išnagrinėtų Saugumo komitetas. |
59. |
Trečiųjų valstybių ir tarptautinių organizacijų įvertinimo vizitų atveju ataskaita išplatinama Saugumo komitetui. Ataskaita pažymima ne žemesnio laipsnio nei RESTREINT UE/ES RESTRICTED slaptumo žyma. Taisomieji veiksmai patikrinami kito vizito metu ir apie juos pranešama Saugumo komitetui. |
60. |
Įvertinimo vizitų į Sąjungos įstaigas, agentūras ir subjektus, taikančius šį sprendimą ar jo principus, atveju įvertinimo vizitų ataskaitos išplatinamos Saugumo komitetui. Įvertinimo vizito ataskaitos projektas nusiunčiamas atitinkamai agentūrai ar įstaigai, kad ši patikrintų jame pateikiamų faktų teisingumą, taip pat ar jame nėra jokios informacijos, pažymėtos aukštesnio laipsnio nei RESTREINT UE/ES RESTRICTED slaptumo žyma. Taisomieji veiksmai patikrinami kito vizito metu ir apie juos pranešama Saugumo komitetui. |
61. |
TGS saugumo tarnyba vykdo reguliarius TGS organizacinių vienetų patikrinimus 50 punkte nustatytais tikslais. |
Kontrolinis sąrašas
62. |
TGS saugumo tarnyba parengia ir atnaujina dalykų, tikrintinų vykdant įvertinimo vizitą, kontrolinį sąrašą. Šis kontrolinis sąrašas pateikiamas Saugumo komitetui. |
63. |
Kontroliniam sąrašui užpildyti būtina informacija gaunama visų pirma vizito metu iš tikrinamo subjekto saugumo valdymo tarnybų. Išsamiai užpildžius kontrolinį sąrašą, susitarus su tikrinamu subjektu, sąrašas įslaptinamas. Jis negali būti patikrinimo ataskaitos sudedamoji dalis. |
IV PRIEDAS
RIS TVARKOMOS ESĮI APSAUGA
I. ĮVADAS
1. |
Šiame priede nustatytos 10 straipsnio įgyvendinimo nuostatos. |
2. |
Toliau išdėstytos ISU savybės ir sąvokos yra būtinos saugumui ir tinkamam RIS operacijų vykdymui užtikrinti:
|
II. INFORMACIJOS SAUGUMO UŽTIKRINIMO PRINCIPAI
3. |
Toliau išdėstytos nuostatos yra RIS, kurioje tvarkoma ESĮI, saugumo užtikrinimo pagrindas. Išsamūs šių nuostatų įgyvendinimo reikalavimai nustatyti ISU saugumo politikoje ir saugumo gairėse. |
Saugumo rizikos valdymas
4. |
Saugumo rizikos valdymas yra neatsiejama RIS apibrėžties, kūrimo, veikimo ir priežiūros dalis. Rizikos valdymą (įvertinimą, traktavimą, pripažinimą ir informavimą) kaip kartotinį procesą kartu vykdo sistemos savininkų, projekto institucijų, vykdančiųjų institucijų ir saugumo patvirtinimo institucijų atstovai, taikydami pavirtintą, skaidrų ir visiškai suprantamą rizikos įvertinimo procesą. RIS ir jos turinio taikymo sritis aiškiai apibrėžiama rizikos valdymo proceso pradžioje. |
5. |
Kompetentingos institucijos peržiūri pavojus, kurie gali kilti RIS, ir nuolat vykdo naujausiais duomenimis grindžiamus ir tikslius pavojų įvertinimus, kurie atspindi esamą sistemos operacinę aplinką. Jos nuolat atnaujina savo žinias pažeidžiamumo klausimais ir reguliariai peržiūri pažeidžiamumo įvertinimą, neatsilikdamos nuo informacinių technologijų (IT) aplinkos pokyčių. |
6. |
Tvarkant saugumo riziką siekiama taikyti apsaugos priemonių rinkinį, kuris užtikrina tinkamą vartotojų reikalavimų, sąnaudų ir likutinės rizikos, susijusios su saugumu, pusiausvyrą. |
7. |
RIS akreditavimui taikomi konkretūs reikalavimai, reikalavimai dėl informacijos apimties ir išsamumo, kuriuos nustato atitinkama SAI, turi atitikti įvertintą riziką, atsižvelgiant į visus svarbius veiksnius, įskaitant ESĮI, kuri tvarkoma RIS, slaptumo žymos laipsnį. Akreditavimas apima atsakingos institucijos oficialų pareiškimą dėl likutinės rizikos ir likutinės rizikos pripažinimą. |
Saugumas viso RIS gyvavimo ciklo metu
8. |
Saugumas turi būti užtikrintas viso RIS gyvavimo ciklo metu – nuo pradžios iki naudojimosi pabaigos. |
9. |
Kiekvienu gyvavimo ciklo etapu nustatomas kiekvieno RIS dalyvio ir jo sąveikos su kitais dalyviais vaidmuo saugumo požiūriu. |
10. |
RIS, įskaitant technines ir netechnines saugumo priemones, bandomos saugumo požiūriu akreditavimo proceso metu siekiant užtikrinti tinkamą saugumo užtikrinimo lygį ir patikrinti, ar jos teisingai įdiegtos, integruotos ir sukonfigūruotos. |
11. |
Saugumo įvertinimai, patikrinimai ir peržiūros atliekami reguliariai RIS veikimo ir techninės priežiūros metu bei susidarius išskirtinėms aplinkybėms. |
12. |
RIS saugumo dokumentų atnaujinimas viso jos gyvavimo ciklo metu vykdomas kaip neatsiejama pakeitimų atlikimo ir konfigūracijos tvarkymo proceso dalis. |
Geriausia patirtis
13. |
TGS ir valstybės narės bendradarbiauja rengdami geriausios praktikos pavyzdžius RIS tvarkomai ESĮI apsaugoti. Geriausios praktikos gairėse išdėstomos RIS skirtos techninės, fizinės, organizacinės ir procedūrinės saugumo priemonės, kurių veiksmingumas apsisaugant nuo konkrečių grėsmių ir pažeidžiamumo buvo įrodytas. |
14. |
RIS tvarkomos ESĮI apsauga grindžiama ir Sąjungoje, ir už jos ribų ISU srityje dirbančių subjektų įgyta patirtimi. |
15. |
Geriausios praktikos pavyzdžių platinimu ir jų įgyvendinimu prisidedama prie siekio užtikrinti lygiavertį įvairių TGS ir valstybių narių naudojamų RIS, kuriose tvarkoma ESĮI, saugumo užtikrinimo lygį. |
Nuodugni apsauga
16. |
Siekiant sušvelninti pavojų RIS, įgyvendinama daug techninių ir netechninių saugumo priemonių, kurios grupuojamos kaip kelios gynybinės linijos. Jos apima: a) atgrasymą: saugumo priemones, skirtas įtikinti nerengti priešiškų planų pulti RIS; b) prevenciją: saugumo priemones, skirtas apsunkinti RIS puolimą arba jam sutrukdyti; c) aptikimą: saugumo priemones, skirtas aptikti RIS puolimo atvejį; d) atsparumą: saugumo priemones, skirtas apriboti puolimo poveikį iki mažiausio informacijos rinkinio ar RIS dalių grupės bei užkirsti kelią tolesnei žalai, ir e) atstatymą: saugumo priemones, skirtas RIS saugiai padėčiai atkurti. Tokių saugumo priemonių griežtumo lygis nustatomas atsižvelgiant į rizikos įvertinimą. |
17. |
NSI ar kita kompetentinga institucija užtikrina, kad:
|
Minimalumo ir mažiausių privilegijų principas
18. |
Įdiegiamos tik atsižvelgiant į operacinius reikalavimus būtinos funkcijos, prietaisai ir paslaugos siekiant išvengti bereikalingos rizikos. |
19. |
RIS naudotojams ir automatizuotiems procesams suteikiama tik tokia prieiga, privilegijos ar leidimai, kokios jiems reikia savo užduotims atlikti siekiant apriboti žalą, kuri padaroma dėl avarijų, klaidų ar RIS išteklių naudojimo be leidimo. |
20. |
RIS atliekamos registravimo procedūros prireikus patikrinamos akreditavimo proceso metu. |
Informuotumas informacijos saugumo užtikrinimo srityje
21. |
Informuotumas apie riziką ir turimas saugumo priemones yra pirmoji RIS saugumo gynybos linija. Visų pirma visi personalo nariai, susiję su RIS gyvavimo ciklu, įskaitant naudotojus, suvokia:
|
22. |
Siekiant užtikrinti, kad būtų suvokiama atsakomybė už saugumą visam dalyvaujančiam personalui, įskaitant aukštesniąją vadovybę ir RIS naudotojus, yra privalomi ISU švietimo ir informuotumo mokymai. |
IT saugumo priemonių vertinimas ir patvirtinimas
23. |
Reikiamas saugumo priemonių patikimumo lygis, apibrėžiamas kaip saugumo užtikrinimo lygis, nustatomas remiantis rizikos valdymo proceso rezultatais ir laikantis atitinkamos saugumo politikos bei saugumo gairių. |
24. |
Saugumo užtikrinimo lygis patikrinamas naudojant tarptautiniu arba nacionaliniu lygiu patvirtintus procesus ir metodus. Tai apima pirminį įvertinimą, kontrolę ir auditą. |
25. |
ESĮI apsaugai skirtas šifravimo priemones įvertina ir patvirtina valstybės narės nacionalinė KPI. |
26. |
Prieš rekomenduojant, kad pagal 10 straipsnio 6 dalį jas pavirtintų Taryba arba Generalinis sekretorius, tokias šifravimo priemones turi būti įvertinusi antra šalis, t. y. valstybės narės Tinkamos kvalifikacijos institucija (TKI), kuri nesusijusi su įrangos projektavimu arba gamyba. Reikalaujamas antros šalies įvertinimo išsamumo lygis priklauso nuo numatomo didžiausio ESĮI, kuri bus apsaugoma šiomis priemonėmis, slaptumo žymos laipsnio. Taryba patvirtina šifravimo priemonių vertinimo ir patvirtinimo saugumo politiką. |
27. |
Atitinkamai Taryba arba Generalinis sekretorius, remdamiesi Saugumo komiteto rekomendacija, gali netaikyti šio priedo 25 arba 26 punkte nustatytų reikalavimų ir tam tikram laikotarpiui suteikti laikiną patvirtinimą laikydamiesi 10 straipsnio 6 dalyje nustatytos tvarkos, kai tai pateisinama dėl konkrečių su veikla susijusių priežasčių. |
28. |
Taryba, remdamasi Saugumo komiteto rekomendacija, gali pritarti trečiosios valstybės arba tarptautinės organizacijos šifravimo priemonių vertinimo, atrankos ir patvirtinimo procesui ir atitinkamai tokias šifravimo priemones laikyti patvirtintomis, siekiant apsaugoti ESĮI, suteikiamą tai trečiajai valstybei arba tarptautinei organizacijai. |
29. |
TKI yra valstybės narės KPI, kuri buvo akredituota remiantis Tarybos nustatytais kriterijais antram ESĮI apsaugai skirtų šifravimo priemonių įvertinimui atlikti. |
30. |
Taryba patvirtina ne šifravimo IT saugumo priemonių reikalavimų atitikimo ir patvirtinimo saugumo politiką. |
Perdavimas saugumo ir administracinėse zonose
31. |
Nepaisant šio sprendimo nuostatų, kai ESĮI perdavimas vykdomas saugumo zonose arba administracinėse zonose, remiantis rizikos valdymo proceso rezultatais ir SAI pritarus gali būti naudojamas nešifruotas perdavimas arba šifravimas žemesniu lygiu. |
Saugus RIS tarpusavio sujungimas
32. |
Šiame sprendime sistemų tarpusavio sujungimas reiškia tiesioginį dviejų ar daugiau IT sistemų sujungimą siekiant dalytis duomenimis ir kitais informacijos šaltiniais (pavyzdžiui, ryšiais) vienakrypčiu arba daugiakrypčiu būdu. |
33. |
RIS kiekviena tarpusavyje sujungta IT sistema pirmiausia yra traktuojama kaip nepatikima ir sistemoje įdiegiamos apsaugos priemonės keitimuisi įslaptinta informacija kontroliuoti. |
34. |
Bet kokio RIS ir kitos IT sistemos tarpusavio sujungimo atveju laikomasi toliau išdėstytų pagrindinių reikalavimų:
|
35. |
Akredituota RIS ir neapsaugotas arba viešas tinklas negali būti tarpusavyje sujungiami, išskyrus atvejus, kai tarp RIS ir neapsaugoto arba viešo tinklo yra šiuo tikslu įdiegtos patvirtintos ribų apsaugos priemonės. Tokiems tarpusavio sujungimams taikytinas saugumo priemones peržiūri kompetentinga ISUI ir patvirtina kompetentinga SAI. Kai duomenys, perduodami neapsaugotu arba viešu tinklu, yra užšifruojami pagal 10 straipsnį patvirtinta šifravimo priemone, toks sujungimas nelaikomas tarpusavio sujungimu. |
36. |
Draudžiamas tiesioginis arba pakopinis RIS, akredituotos tvarkyti slaptumo žyma TRES SECFRET UE/ES TOP SECRET pažymėtą informaciją, ir neapsaugoto arba viešo tinklo tarpusavio sujungimas. |
Kompiuterinių duomenų saugojimo laikmenos
37. |
Kompiuterinių duomenų saugojimo laikmenos sunaikinamos laikantis kompetentingos saugumo institucijos patvirtintų procedūrų. |
38. |
Kompiuterinių duomenų saugojimo laikmenos gali būti naudojamos pakartotinai, gali būti sumažintas jų slaptumo žymos laipsnis arba jos gali būti išslaptinamos laikantis saugumo gairių, kurios turi būti nustatytos pagal 6 straipsnio 2 dalį. |
Nepaprastosios padėties sąlygos
39. |
Nepaisant šio sprendimo nuostatų, toliau apibūdintos specialios procedūros gali būti taikomos esant nepaprastajai padėčiai, pavyzdžiui, gresiant ar esant krizei, konfliktui ar karinei padėčiai arba susidarius išskirtinėms su eksploatavimu susijusioms sąlygoms. |
40. |
ESĮI gali būti perduodama naudojant šifravimo priemones, kurios buvo patvirtintos žemesnio įslaptinimo laipsnio informacijai, arba nešifruota kompetentingai institucijai pritarus, jei vėlavimas padarytų aiškiai didesnę žalą, negu įslaptintos medžiagos atskleidimas, ir jei:
|
41. |
39 punkte išdėstytomis aplinkybėmis perduodama įslaptinta informacija nėra pažymėta jokiomis žymomis arba nuorodomis, kurios sudarytų sąlygas ją atskirti nuo neįslaptintos informacijos arba kurią galima apsaugoti naudojant turimas šifravimo priemones. Gavėjams kitomis priemonėmis nedelsiant pranešama apie informacijos slaptumo laipsnį. |
42. |
Jeigu taikomas 39 punktas, kompetentingai institucijai ir Saugumo komitetui vėliau pateikiama ataskaita. |
III. SU INFORMACIJOS SAUGUMO UŽTIKRINIMU SUSIJUSIOS FUNKCIJOS IR INSTITUCIJOS
43. |
Valstybėse narėse ir TGS nustatomos toliau išdėstytos su informacijos saugumo užtikrinimu susijusios funkcijos. Šioms funkcijoms nereikalingas vienas bendras organizacinis subjektas. Joms suteikiami atskiri įgaliojimai. Tačiau šios funkcijos ir su jomis susijusi atsakomybė gali būti sujungtos arba integruotos viename organizaciniame vienete arba padalytos skirtingiems organizaciniams vienetams, jei išvengiama vidaus interesų arba užduočių konfliktų. |
Informacijos saugumo užtikrinimo institucija
44. |
ISUI atsako už šias sritis:
|
TEI
45. |
TEI užtikrina, kad RIS atitiktų TEMPEST politiką ir gaires. Ji patvirtina TEMPEST kontrpriemones, skirtas įrenginiams ir priemonėms, siekiant apsaugoti ESĮI iki nustatyto slaptumo žymos laipsnio operacinėje aplinkoje. |
Kriptografijos patvirtinimo institucija
46. |
Kriptografijos patvirtinimo institucijos (KPI) pareiga – užtikrinti, kad šifravimo priemonės atitiktų nacionalinę šifravimo politiką arba Tarybos šifravimo politiką. Ji suteikia leidimą naudoti šifravimo priemonę siekiant apsaugoti ESĮI iki nustatyto slaptumo žymos laipsnio operacinėje aplinkoje. Valstybėse narėse KPI papildomai atsako už šifravimo priemonių įvertinimą. |
Kriptografijos platinimo institucija
47. |
Kriptografijos platinimo institucija atsako už šias sritis:
|
Saugumo akreditavimo institucija
48. |
Kiekvienai sistemai skirta SAI atsako už šias sritis:
|
49. |
TGS SAI atsako už visų TGS kompetencijai priklausančių RIS akreditavimą. |
50. |
Atitinkama valstybės narės SAI atsako už tos valstybės narės kompetencijai priklausančių RIS ir jų sisteminių komponentų akreditavimą. |
51. |
Jungtinė saugumo akreditacijos valdyba (SAV) yra atsakinga tiek už TGS SAI žinioje, tiek už valstybių narių SAI žinioje esančių RIS akreditavimą. Ją sudaro po vieną kiekvienos valstybės narės SAI atstovą, o jos posėdžiuose dalyvauja Europos Komisijos atstovas SAI klausimais. Kiti subjektai, turintys prijungimo prie RIS mazgus, kviečiami dalyvauti posėdžiuose, kai svarstomi su ta sistema susiję klausimai. SAV pirmininkauja TGS SAI atstovas. Ji sprendimus priima institucijų, valstybių narių ir kitų subjektų, turinčių prijungimo prie RIS mazgus, SAI atstovų sutarimu. SAV reguliariai teikia savo veiklos ataskaitas Saugumo komitetui ir jam praneša apie visus pareiškimus dėl akreditavimo. |
Informacijos saugumo užtikrinimo operacinė institucija
52. |
Kiekvienai sistemai skirta ISU operacinė institucija atsako už šias sritis:
|
V PRIEDAS
PRAMONINIS SAUGUMAS
I. ĮVADAS
1. |
Šiame priede nustatytos 11 straipsnio įgyvendinimo nuostatos. Jame išdėstytos bendros saugumo nuostatos, taikomos pramonės ar kitiems subjektams derybų dėl sutarčių sudarymo metu arba visą TGS sudarytų įslaptintų sutarčių gyvavimo ciklą. |
2. |
Taryba patvirtina pramoninio saugumo gaires, kuriose visų pirma apibrėžiami išsamūs reikalavimai susiję su ĮPPP, saugumo aspektų paaiškinimais (SAP), vizitais, ESĮI perdavimu ir gabenimu. |
II. SAUGUMO ASPEKTAI ĮSLAPTINTOSE SUTARTYSE
Slaptumo žymų vadovas (SŽV)
3. |
Prieš paskelbdamas kvietimą teikti pasiūlymus įslaptintai sutarčiai sudaryti arba prieš sudarydamas įslaptintą sutartį, TGS, kaip perkančioji institucija, nustato visos informacijos, kuri turi būti suteikta konkurso dalyviams ir rangovams, slaptumo žymą, taip pat visos informacijos, kurią turi parengti rangovas, slaptumo žymą. Šiuo tikslu TGS parengia SŽV, kuris turi būti naudojamas vykdant sutartį. |
4. |
Siekiant nustatyti skirtingų įslaptintos sutarties dalių slaptumo žymą, taikomi toliau nurodyti principai:
|
Saugumo aspektų paaiškinimas (SAP)
5. |
Konkrečioms sutartims skirti saugumo reikalavimai aprašomi SAP. Prireikus į SAP įtraukiamas SŽV; SAP yra neatsiejama įslaptintos sutarties ar subrangos sutarties dalis. |
6. |
SAP nustatomos nuostatos, pagal kurias reikalaujama, kad rangovas ir (arba) subrangovas laikytųsi būtiniausių šiame sprendime nustatytų standartų. Šių būtiniausių standartų nesilaikymas gali būti pakankamas pagrindas sutarčiai nutraukti. |
Programos / projekto saugumo instrukcijos (PRSI)
7. |
Atsižvelgiant į programų ar projektų, kuriuos vykdant reikia susipažinti su ESĮI arba ją tvarkyti ar saugoti, apimtį, programą ar projektą valdyti paskirta perkančioji institucija gali parengti konkrečios PRSI. PRSI turi patvirtinti valstybių narių NSI/PSI ar kita PRSI dalyvaujanti kompetentinga saugumo institucija; jose gali būti nustatyti papildomi saugumo reikalavimai. |
III. ĮMONĖS PATIKIMUMĄ PATVIRTINANTIS PAŽYMĖJIMAS (ĮPPP)
8. |
ĮPPP išduoda valstybės narės NSI arba PSI ar kita kompetentinga saugumo institucija ir jame pagal nacionalinius įstatymus ir kitus teisės aktus nurodoma, kad pramonės arba kitas subjektas savo patalpose gali apsaugoti atitinkamo slaptumo žymos (CONFIDENTIEL UE/ES CONFIDENTIAL arba SECRET UE/ES SECRET) laipsnio ESĮI. Prieš rangovui ar subrangovui arba potencialiam rangovui ar subrangovui suteikiant ESĮI arba galimybę susipažinti su ESĮI, TGS, kaip perkančiajai institucijai, turi būti pateikiamas ĮPPP. |
9. |
Išduodama ĮPPP atitinkama NSI ar PSI, mažų mažiausiai:
|
10. |
Atitinkamais atvejais TGS, kaip perkančioji institucija, praneša atitinkamai NSI/PSI ar kitai kompetentingai saugumo institucijai, kad prieš sudarant sutartį arba sutarties vykdymui reikalingas ĮPPP. ĮPPP arba APP reikalaujama prieš sudarant sutartį, tais atvejais, kai ESĮI, pažymėta CONFIDENTIEL UE/ES CONFIDENTIAL arba SECRET UE/ES SECRET slaptumo žyma, turi būti suteikta paraiškų teikimo proceso metu. |
11. |
Perkančioji institucija nesudaro įslaptintos sutarties su pasirinktu dalyviu prieš tai negavusi valstybės narės, kurioje yra registruotas atitinkamas rangovas ar subrangovas, NSI/PSI ar kitos kompetentingos saugumo institucijos patvirtinimo, kad reikiamais atvejais yra išduotas tinkamas ĮPPP. |
12. |
ĮPPP išdavusi NSI/PSI ar kita kompetentinga saugumo institucija praneša TGS, kaip perkančiajai institucijai, apie pasikeitimus, turinčius įtakos ĮPPP. Subrangos sutarties atveju atitinkamai informuojama NSI/PSI ar kita kompetentinga saugumo institucija. |
13. |
Jeigu atitinkama NSI/PSI ar kita kompetentinga saugumo institucija panaikina ĮPPP, tai yra pakankamas pagrindas TGS, kaip perkančiajai institucijai, nutraukti įslaptintą sutartį arba pašalinti dalyvį iš konkurso. |
IV. ĮSLAPTINTOS SUTARTYS IR SUBRANGOS SUTARTYS
14. |
Tais atvejais, kai ESĮI suteikiama dalyviui prieš sudarant sutartį, kvietime teikti paraiškas numatoma nuostata, kuria paraiškos nepateikęs dalyvis arba dalyvis, kuris nebuvo atrinktas, įpareigojamas per nurodytą laiką grąžinti visus įslaptintus dokumentus. |
15. |
Sudarius įslaptintą sutartį ar subrangos sutartį, TGS, kaip perkančioji institucija, praneša rangovo ar subrangovo NSI/PSI ar kitai kompetentingai saugumo institucijai tos įslaptintos sutarties saugumo nuostatas. |
16. |
Nutraukus tokią sutartį, TGS, kaip perkančioji institucija (ir (arba) atitinkamai NSI/PSI ar kita kompetentinga saugumo institucija subrangos sutarties atveju) skubiai apie tai praneša valstybės narės, kurioje registruotas rangovas arba subrangovas, NSI/PSI ar kitai kompetentingai saugumo institucijai. |
17. |
Paprastai reikalaujama, kad nutraukus įslaptintą sutartį ar subrangos sutartį rangovas arba subrangovas perkančiajai institucijai grąžintų visą turimą ESĮI. |
18. |
Konkrečios nuostatos dėl ESĮI sunaikinimo vykdant sutartį arba ją nutraukus nustatomos SAP. |
19. |
Tais atvejais, kai rangovui arba subrangovui duotas leidimas nutraukus sutartį pasilikti ESĮI, rangovas ir subrangovas toliau laikosi šiame sprendime nustatytų būtiniausių standartų bei užtikrina ESĮI konfidencialumą. |
20. |
Sąlygos, kuriomis rangovas gali sudaryti subrangos sutartis, nurodomos kvietime teikti paraiškas ir sutartyje. |
21. |
Prieš sudarydamas subrangos sutartis dėl įslaptintos sutarties dalių, rangovas turi gauti TGS, kaip perkančiosios institucijos, leidimą. Su pramonės arba kitais subjektais, registruotais valstybėje, kuri nėra ES valstybė narė ir nėra sudariusi susitarimo dėl informacijos saugumo su Sąjunga, subrangos sutartys negali būti sudaromos. |
22. |
Rangovas atsako už tai, kad visa subrangos veikla būtų vykdoma laikantis šiame sprendime nustatytų būtiniausių standartų, ir negali suteikti subrangovui ESĮI be išankstinio rašytinio perkančiosios institucijos sutikimo. |
23. |
ESĮI, kurią parengė ar tvarko rangovas arba subrangovas, atžvilgiu įslaptintos informacijos rengėjo teisėmis naudojasi perkančioji institucija. |
V. SU ĮSLAPTINTOMIS SUTARTIMIS SUSIJĘ VIZITAI
24. |
Jei, vykdant įslaptintą sutartį, TGS, rangovų ar subrangovų personalui vienas kito patalpose reikia susipažinti su CONFIDENTIEL UE/ES CONFIDENTIAL arba SECRET UE/ES SECRET slaptumo žyma pažymėta informacija, dėl vizitų susitariama palaikant ryšius su NSI/PSI arba kita susijusia kompetentinga saugumo institucija. Tačiau atsižvelgiant į tam tikrus projektus NSI/PSI gali taip pat susitarti dėl tvarkos, pagal kurią dėl tokių vizitų gali būti susitariama tiesiogiai. |
25. |
Tam, kad būtų leista susipažinti su ESĮI, susijusia su TGS sutartimi, visi lankytojai turi turėti atitinkamą APP ir turi būti vadovaujamasi principu „būtina žinoti“. |
26. |
Lankytojams leidžiama susipažinti tik su ta ESĮI, kuri yra susijusi su vizito tikslu. |
VI. ESĮI PERDAVIMAS IR GABENIMAS
27. |
Perduodant ESĮI elektroninėmis priemonėmis taikomos atitinkamos 10 straipsnio ir IV priedo nuostatos. |
28. |
Gabenant ESĮI taikomos atitinkamos III priedo nuostatos, laikantis nacionalinių įstatymų ir kitų teisės aktų. |
29. |
Nustatant įslaptintos medžiagos kaip krovinio gabenimui taikomą saugumo tvarką taikomi toliau nurodyti principai:
|
VII. ESĮI PERDAVIMAS TREČIOSIOSE VALSTYBĖSE ĮSIKŪRUSIEMS RANGOVAMS
30. |
ESĮI trečiosiose valstybėse įsikūrusiems rangovams ir subrangovams perduodama laikantis saugumo priemonių, dėl kurių susitarė TGS, kaip perkančioji institucija, ir atitinkamos trečiosios valstybės, kurioje registruotas rangovas, NSI/PSI. |
VIII. RESTREINT UE/ES RESTRICTED SLAPTUMO ŽYMA PAŽYMĖTA INFORMACIJA
31. |
Palaikydamas ryšius su valstybės narės NSI/PSI TGS, kaip perkančioji institucija, prireikus turi teisę remiantis sutarties nuostatomis rengti rangovo/subrangovo patalpų patikrinimus, kad įsitikintų, ar įgyvendintos pagal sutartį reikalaujamos tinkamos saugumo priemonės, skirtos apsaugoti RESTREINT UE/ES RESTRICTED laipsnio slaptumo žyma pažymėtą ESĮI. |
32. |
Kiek būtina pagal nacionalinius įstatymus ir kitus teisės aktus, NSI/PSI ar kitoms kompetentingoms saugumo institucijoms TGS, kaip perkančioji institucija, praneša apie sutartis arba subrangos sutartis, kuriose yra RESTREINT UE/ES RESTRICTED slaptumo žyma pažymėtos informacijos. |
33. |
TGS sudarytų sutarčių, kuriose yra RESTREINT UE/ES RESTRICTED slaptumo žyma pažymėtos informacijos, atveju rangovai ar subrangovai ir jų personalas neprivalo turėti ĮPPP ar APP. |
34. |
TGS, kaip perkančioji institucija, išnagrinėja atsakymus į kvietimus dalyvauti konkurse dėl sutarčių, pagal kurias turi būti suteikta galimybė susipažinti su RESTREINT UE/ES RESTRICTED slaptumo žyma pažymėta informacija, neatsižvelgdama į reikalavimus, susijusius su ĮPPP ar APP, kurie gali būti numatyti nacionaliniuose įstatymuose ir kituose teisės aktuose. |
35. |
Sąlygos, kuriomis rangovas gali sudaryti subrangos sutartis, turi atitikti 21 punkto reikalavimus. |
36. |
Kai pagal sutartį numatytas informacijos, pažymėtos RESTREINT UE/ES RESTRICTED slaptumo žyma, tvarkymas rangovo naudojamoje RIS, TGS, kaip perkančioji institucija, užtikrina, kad sutartyje arba subrangos sutartyje būtų nustatyti su RIS akreditavimu susiję būtini techniniai ir administraciniai reikalavimai, kurie atitiktų įvertintą riziką, atsižvelgiant į visus svarbius veiksnius. Perkančioji institucija ir atitinkama NSI/PSI susitaria dėl tokio RIS akreditavimo masto. |
VI PRIEDAS
KEITIMASIS ĮSLAPTINTA INFORMACIJA SU TREČIOSIOMIS VALSTYBĖMIS IR TARPTAUTINĖMIS ORGANIZACIJOMIS
I. ĮVADAS
1. |
Šiame priede nustatytos 13 straipsnio įgyvendinimo nuostatos. |
II. TVARKA, REGLAMENTUOJANTI KEITIMĄSI ĮSLAPTINTA INFORMACIJA
2. |
Tarybai nustačius, kad yra ilgalaikis poreikis keistis įslaptinta informacija, sudaromas
vadovaujantis 13 straipsnio 2 dalimi ir III bei IV skirsniais bei remiantis Saugumo komiteto rekomendacija. |
3. |
Tais atvejais, kai BSGP operacijos vykdymui surinkta ESĮI gali būti suteikiama tokioje operacijoje dalyvaujančioms trečiosioms valstybėms ar tarptautinėms organizacijoms, ir jeigu nėra nustatyta 2 punkte nurodyta tvarka, keitimasis ESĮI su dalyvaujančiąja trečiąja valstybe arba tarptautine organizacija vadovaujantis V skirsniu reglamentuojamas:
|
4. |
Jeigu nėra nustatyta 2 ir 3 dalyse nurodyta tvarka ir jeigu priimamas sprendimas vadovaujantis VI skirsniu suteikti ESĮI trečiajai valstybei ar tarptautinei organizacijai išimtine ad hoc tvarka, iš atitinkamos trečiosios valstybės ar tarptautinės organizacijos turi būti gautas raštiškas patvirtinimas, kad ji saugos bet kokią jai suteiktą ESĮI laikydamasi šiame sprendime nustatytų pagrindinių principų ir būtiniausių standartų. |
III. SUSITARIMAI DĖL INFORMACIJOS SAUGUMO
5. |
Susitarimais dėl informacijos saugumo nustatomi pagrindiniai principai ir būtiniausi standartai, reglamentuojantys Sąjungos ir trečiosios valstybės ar tarptautinės organizacijos keitimąsi įslaptinta informacija. |
6. |
Susitarimuose dėl informacijos saugumo numatomi techniniai įgyvendinimo susitarimai, dėl kurių turi susitarti atitinkamų Sąjungos institucijų bei įstaigų kompetentingos saugumo tarnybos ir kompetentinga atitinkamos trečiosios valstybės ar tarptautinės organizacijos saugumo institucija. Tokiuose susitarimuose atsižvelgiama į atitinkamoje trečiojoje valstybėje ar tarptautinėje organizacijoje galiojančiais saugumo nuostatais ir esamomis struktūromis bei procedūromis užtikrinamą apsaugos lygį. Šiuos susitarimus patvirtina Saugumo komitetas. |
7. |
Keistis ESĮI elektroninėmis priemonėmis pagal susitarimą dėl informacijos saugumo neleidžiama, jei tai nėra aiškiai numatyta susitarime arba atitinkamuose techniniuose įgyvendinimo susitarimuose. |
8. |
Kai Taryba sudaro susitarimą dėl informacijos saugumo, kiekvienoje šalyje paskiriama po vieną registratūrą, kuri yra pagrindinis įslaptintos informacijos gavimo ir išsiuntimo punktas. |
9. |
Siekiant įvertinti atitinkamos trečiosios valstybės ar tarptautinės organizacijos saugumo nuostatus, struktūras ir procedūras, abipusiu susitarimu su atitinkama trečiąja valstybe ar tarptautine organizacija rengiami įvertinimo vizitai. Tokie įvertinimo vizitai rengiami laikantis atitinkamų III priedo nuostatų ir jų metu įvertinama:
|
10. |
Sąjungos vardu įvertinimo vizitą atliekanti grupė įvertina, ar atitinkamoje trečiojoje valstybėje arba tarptautinėje organizacijoje saugumo nuostatai ir procedūros yra tinkami, kad būtų apsaugota atitinkamo slaptumo žymos laipsnio ESĮI. |
11. |
Šių vizitų rezultatai pateikiami ataskaitoje, kuria remdamasis Saugumo komitetas nustato, koks gali būti aukščiausias ESĮI, kuria gali būti keičiamasi su atitinkama trečiąja šalimi popieriuje ir prireikus elektroninėmis priemonėmis, slaptumo žymos laipsnis, bei konkrečias sąlygas, reglamentuojančias keitimąsi šia informacija su ta šalimi. |
12. |
Būtina dėti visas pastangas, kad būtų surengtas vizitas į atitinkamą trečiąją valstybę arba tarptautinę organizaciją saugumui visapusiškai įvertinti prieš tai, kai Saugumo komitetas patvirtina įgyvendinamuosius susitarimus, siekiant nustatyti taikomos saugumo sistemos pobūdį ir veiksmingumą. Tačiau jei tai nėra įmanoma, TGS saugumo tarnyba Saugumo komitetui pateikia kuo išsamesnę ataskaitą, pagrįstą turima informacija, informuodama Saugumo komitetą apie taikomus saugumo nuostatus ir saugumo organizavimo tvarką atitinkamoje trečiojoje valstybėje arba tarptautinėje organizacijoje. |
13. |
Atitinkamai trečiajai valstybei ar tarptautinei organizacijai ESĮI faktiškai suteikiama tik po to, kai Saugumui komitetui pateikiama įvertinimo vizito ataskaita arba, jeigu tokios ataskaitos nėra, 12 punkte nurodyta ataskaita ir jis šią ataskaitą teigiamai įvertina. |
14. |
Sąjungos institucijų ir įstaigų kompetentingos saugumo tarnybos trečiajai valstybei ar tarptautinei organizacijai praneša datą, nuo kurios Sąjunga pagal susitarimą gali suteikti ESĮI, taip pat nurodyti, kokio didžiausio slaptumo žymos laipsnio ESĮI gali būti keičiamasi popieriniu pavidalu arba elektroninėmis priemonėmis. |
15. |
Prireikus rengiami tolesni įvertinimo vizitai, visų pirma tuo atveju, jei:
|
16. |
Kai susitarimas dėl informacijos saugumo įsigalioja ir keičiamasi įslaptinta informacija su atitinkama trečiąja valstybe ar tarptautine organizacija, Saugumo komitetas gali nuspręsti pakeisti ESĮI, kuria gali būti keičiamasi popieriniu pavidalu ar elektroninėmis priemonėmis, aukščiausią slaptumo žymos laipsnį, visų pirma atsižvelgdamas į tolesnių įvertinimo vizitų rezultatus. |
IV. ADMINISTRACINIAI SUSITARIMAI
17. |
Esant ilgalaikiam poreikiui su trečiąja valstybe ar tarptautine organizacija keistis įslaptinta informacija, kurios slaptumo žymos laipsnis paprastai nėra aukštesnis nei RESTREINT UE/ES RESTRICTED, ir Saugumo komitetui nustačius, kad atitinkama šalis neturi pakankamai išplėtotos tokiai informacijai skirtos saugumo sistemos, kad ta šalis galėtų sudaryti susitarimą dėl informacijos saugumo, Generalinis sekretorius gali, pritarus Tarybai, TGS vardu sudaryti administracinį susitarimą su atitinkamos trečiosios valstybės ar tarptautinės organizacijos atitinkamomis institucijomis. |
18. |
Tais atvejais, kai dėl skubių operatyvinių priežasčių reikia greitai nustatyti keitimosi įslaptinta informacija tvarką, tik Taryba gali nuspręsti, kad būtų sudarytas administracinis susitarimas siekiant keistis aukštesnio slaptumo žymos laipsnio informacija. |
19. |
Administraciniai susitarimai paprastai sudaromi pasikeičiant laiškais. |
20. |
Atitinkamai trečiajai valstybei ar tarptautinei organizacijai ESĮI suteikiama tik po to, kai atliekamas 9 punkte nurodytas įvertinimo vizitas, Saugumo komitetui pateikiama jo ataskaita arba, jeigu tokios ataskaitos nėra, 12 punkte nurodyta ataskaita, ir jis šią ataskaitą teigiamai įvertina. |
21. |
Keistis ESĮI elektroninėmis priemonėmis pagal administracinį susitarimą neleidžiama, jei tai nėra aiškiai numatyta susitarime. |
V. KEITIMASIS ĮSLAPTINTA INFORMACIJA VYKDANT BSGP OPERACIJAS
22. |
Trečiųjų valstybių ar tarptautinių organizacijų dalyvavimą BSGP operacijose reglamentuoja susitarimai dėl dalyvavimo bendrųjų sąlygų. Tokiuose susitarimuose nustatomos nuostatos dėl BSGP operacijų vykdymui surinktos ESĮI suteikimo jose dalyvaujančiosioms trečiosioms valstybėms ar tarptautinėms organizacijoms. Aukščiausias ESĮI, kuria gali būti keičiamasi, slaptumo žymos laipsnis yra RESTREINT UE/ES RESTRICTED BSGP civilinėms operacijoms ir CONFIDENTIEL UE/ES CONFIDENTIAL BSGP karinėms operacijoms, išskyrus atvejus, kai nustatyta kitaip sprendime, kuriuo įsteigiama kiekviena BSGP operacija. |
23. |
Ad hoc susitarimuose dėl dalyvavimo, sudarytuose dėl konkrečios BSGP operacijos, nustatomos nuostatos dėl tos operacijos vykdymui surinktos ESĮI suteikimo joje dalyvaujančiajai trečiajai valstybei ar tarptautinei organizacijai. Aukščiausias ESĮI, kuria gali būti keičiamasi, slaptumo žymos laipsnis yra RESTREINT UE/ES RESTRICTED BSGP civilinėms operacijoms ir CONFIDENTIEL UE/ES CONFIDENTIAL BSGP karinėms operacijoms, išskyrus atvejus, kai nustatyta kitaip sprendime, kuriuo įsteigiama kiekviena BSGP operacija. |
24. |
Jeigu nėra susitarimo dėl informacijos saugumo, kol nesudarytas susitarimas dėl dalyvavimo, operacijos tikslais parengtos ESĮI suteikimas operacijoje dalyvaujančiai trečiajai valstybei arba tarptautinei organizacijai reglamentuojamas vyriausiojo įgaliotinio sudarytu administraciniu susitarimu arba jam taikomas sprendimas dėl informacijos suteikimo ad hoc tvarka pagal VI skirsnį. Pagal tokį susitarimą ESĮI keičiamasi tik tol, kol vis dar planuojamas trečiosios valstybės arba tarptautinės organizacijos dalyvavimas. Aukščiausias ESĮI, kuria gali būti keičiamasi, slaptumo žymos laipsnis yra RESTREINT UE/ES RESTRICTED BSGP civilinėms operacijoms ir CONFIDENTIEL UE/ES CONFIDENTIAL BSGP karinėms operacijoms, išskyrus atvejus, kai nustatyta kitaip sprendime, kuriuo įsteigiama kiekviena BSGP operacija. |
25. |
Nuostatose dėl įslaptintos informacijos, kurios turi būti įtrauktos į susitarimus dėl dalyvavimo bendrųjų sąlygų ir į 22–24 punktuose nurodytus ad hoc administracinius susitarimus, nustatoma, kad atitinkama trečioji valstybė ar tarptautinė organizacija užtikrina, kad jos personalas, komandiruotas į bet kokią operaciją, saugos ESĮI pagal Tarybos saugumo taisykles ir vadovaudamasis tolesniais kompetentingų institucijų, įskaitant operacijos vadovavimo grandinės pareigūnus, pateiktais nurodymais. |
26. |
Jeigu vėliau sudaromas Sąjungos ir dalyvaujančiosios trečiosios valstybės ar tarptautinės organizacijos susitarimas dėl informacijos saugumo, šio susitarimo dėl informacijos saugumo nuostatos yra viršesnės už bet kokiuose susitarimuose dėl dalyvavimo bendrųjų sąlygų, ad hoc susitarimuose dėl dalyvavimo arba ad hoc administraciniuose susitarimuose išdėstytas nuostatas dėl keitimosi įslaptinta informacija, kiek tai susiję su keitimusi ESĮI ir jos apdorojimu. |
27. |
Keistis ESĮI elektroninėmis priemonėmis pagal susitarimą dėl dalyvavimo bendrųjų sąlygų, ad hoc susitarimą dėl dalyvavimo ar ad hoc administracinį susitarimą su trečiąja valstybe ar tarptautine organizacija neleidžiama, jei tai nėra aiškiai numatyta atitinkamame susitarime arba administraciniame susitarime. |
28. |
BSGP operacijos vykdymui surinkta ESĮI gali būti suteikiama trečiųjų valstybių ar tarptautinių organizacijų į tą operaciją komandiruotam personalui, vadovaujantis 22–27 punktų nuostatomis. Kai tokiam personalui leidžiama susipažinti su ESĮI BSGP operacijos patalpose ar RIS, turi būti imamasi priemonių (įskaitant suteiktos ESĮI registravimą), kad būtų sumažinta rizika, jog informacija bus prarasta ar atskleista. Tokios priemonės nurodomos atitinkamuose planavimo ar misijos dokumentuose. |
29. |
Jeigu nėra susitarimo dėl informacijos saugumo, ESĮI suteikimas priimančiajai valstybei, kurios teritorijoje vykdoma BSGP operacija, konkretaus ir neatidėliotino operatyvinio poreikio atveju gali būti reglamentuojamas vyriausiojo įgaliotinio sudarytu administraciniu susitarimu. Ši galimybė numatoma sprendime, kuriuo įsteigiama BSGP operacija. Tokiomis aplinkybėmis suteikiama tik ta ESĮI, kuri buvo surinkta BSGP operacijai vykdyti ir kurios slaptumo žymos laipsnis nėra aukštesnis nei RESTREINT UE/ES RESTRICTED, nebent Sprendime dėl BSGP operacijos įsteigimo yra nurodytas aukštesnis slaptumo žymos laipsnis. Pagal tokį administracinį susitarimą priimančioji valstybė privalo įsipareigoti saugoti ESĮI laikydamasi būtiniausių standartų, kurie turi būti ne mažiau griežti nei nustatytieji šiame sprendime. |
30. |
Jeigu nėra susitarimo dėl informacijos saugumo, ESĮI suteikimas atitinkamoms trečiosioms valstybėms ir tarptautinėms organizacijoms, išskyrus dalyvaujančias BSGP operacijoje, gali būti reglamentuojamas vyriausiojo įgaliotinio sudarytu administraciniu susitarimu. Atitinkamais atvejais ši galimybė ir jai taikomos sąlygos numatomos sprendime, kuriuo įsteigiama BSGP operacija. Tokiomis aplinkybėmis suteikiama tik ta ESĮI, kuri buvo surinkta BSGP operacijai vykdyti ir kurios slaptumo žymos laipsnis nėra aukštesnis nei RESTREINT UE/ES RESTRICTED, nebent Sprendime dėl BSGP operacijos įsteigimo yra nurodytas aukštesnis slaptumo žymos laipsnis. Pagal tokį administracinį susitarimą atitinkama trečioji valstybė arba tarptautinė organizacija privalo įsipareigoti saugoti ESĮI laikydamasi būtiniausių standartų, kurie turi būti ne mažiau griežti nei nustatytieji šiame sprendime. |
31. |
Prieš įgyvendinant nuostatas dėl ESĮI suteikimo pagal 22, 23 ir 24 punktus, nėra būtina sudaryti įgyvendinimo susitarimus ar rengti įvertinimo vizitus. |
VI. ESĮI AD HOC SUTEIKIMAS IŠIMTINE TVARKA
32. |
Jei nėra nustatyta galiojančios tvarkos pagal III–V skirsnius ir Tarybai ar vienam iš jos parengiamųjų organų nusprendus, kad išimtiniu atveju reikia suteikti ESĮI trečiajai valstybei ar tarptautinei organizacijai, TGS:
|
33. |
Jeigu Saugumo komitetas pateikia rekomendaciją, kuria pritaria ESĮI suteikimui, klausimas perduodamas Nuolatinių atstovų komitetui (COREPER), kuris priima sprendimą dėl šios ESĮI suteikimo. |
34. |
Jeigu Saugumo komiteto rekomendacijoje nepritariama ESĮI suteikimui:
|
35. |
Jei manoma, kad tikslinga, ir iš anksto gavus rašytinį įslaptintos informacijos rengėjo sutikimą, Nuolatinių atstovų komitetas gali nuspręsti, kad įslaptinta informacija gali būti suteikta tik iš dalies ir tik tuo atveju, jei prieš tai jos slaptumo žymos laipsnis sumažinamas arba ji išslaptinama, arba kad informacija, kurią suteikti numatyta, turi būti parengta nenurodant šaltinio ar pirminio ES slaptumo žymos laipsnio. |
36. |
Priėmus sprendimą suteikti ESĮI, TGS perduoda atitinkamą dokumentą, pažymėtą leidimo suteikti informaciją žyma, nurodant trečiąją valstybę ar tarptautinę organizaciją, kuriai ji buvo suteikta. Prieš suteikiant tokią informaciją arba faktinio jos suteikimo metu atitinkama trečioji šalis raštu įsipareigoja apsaugoti ESĮI, kurią ji gauna, pagal šiame sprendime nustatytus pagrindinius principus ir būtiniausius standartus. |
VII. LEIDIMAS SUTEIKTI ESĮI TREČIOSIOMS VALSTYBĖMS ARBA TARPTAUTINĖMS ORGANIZACIJOMS
37. |
Kai yra nustatyta 2 punkte nurodyta tvarka, reglamentuojanti keitimąsi įslaptinta informacija su trečiąja valstybe ar tarptautine organizacija, Taryba priima sprendimą suteikti leidimą Generaliniam sekretoriui suteikti ESĮI atitinkamai trečiajai valstybei ar tarptautinei organizacijai, laikantis principo, kad su tuo turi sutikti įslaptintos informacijos rengėjas. Generalinis sekretorius gali perduoti šią teisę vyresniesiems TGS pareigūnams. |
38. |
Jei yra sudarytas 2 punkto pirmoje įtraukoje nurodytas susitarimas dėl informacijos saugumo, Taryba gali priimti sprendimą suteikti leidimą vyriausiajam įgaliotiniui Taryboje parengtą bendros saugumo ir gynybos politikos srities ESĮI, gavus joje esančios pradinės medžiagos rengėjo sutikimą, suteikti atitinkamai trečiajai valstybei arba tarptautinei organizacijai. Vyriausiasis įgaliotinis gali perduoti šį leidimą vyresniesiems EIVT pareigūnams arba ES specialiesiems įgaliotiniams. |
39. |
Kai yra nustatyta 2 arba 3 punkte nurodyta tvarka, reglamentuojanti keitimąsi įslaptinta informacija su trečiąja valstybe ar tarptautine organizacija, vyriausiajam įgaliotiniui suteikiamas leidimas suteikti ESĮI, vadovaujantis tuo sprendimu, kuriuo įsteigiama BSGP operacija, ir laikantis principo, kad su tuo turi sutikti įslaptintos informacijos rengėjas. Vyriausiasis įgaliotinis gali perduoti šį leidimą vyresniesiems EIVT pareigūnams, ES operacijų, pajėgų ar misijų vadams arba ES misijų vadovams. |
Priedėliai
A Priedėlis
Apibrėžtys
B Priedėlis
Slaptumo žymų atitikmenys
C Priedėlis
Nacionalinių saugumo institucijų (NSI) sąrašas
D Priedėlis
Santrumpų sąrašas
A priedėlis
APIBRĖŽTYS
Šiame sprendime vartojamos tokios sąvokų apibrėžtys:
akreditavimas– procesas, po kurio Saugumo akreditavimo institucija (SAI) pateikia oficialų pareiškimą, patvirtinantį kad sistemai yra leista veikti taikant nustatytą slaptumo žymos laipsnį, konkrečiu slaptumo režimu jos operacinėje aplinkoje ir priimtinu rizikos lygiu, laikantis prielaidos, kad įgyvendintas patvirtintas techninių, fizinių, organizacinių ir procedūrinių saugumo priemonių rinkinys;
turtas– viskas, kas turi tam tikrą vertę organizacijai, jos veiklos operacijoms bei jų tęstinumui, įskaitant informacijos išteklius, padedančius vykdyti organizacijos misiją;
leidimas susipažinti su ESĮI– remiantis valstybės narės kompetentingos institucijos patvirtinimu priimtas TGS paskyrimų tarnybos sprendimas, kad TGS pareigūnui, kitam tarnautojui arba komandiruotam nacionaliniam ekspertui gali būti leidžiama susipažinti su iki tam tikro laipsnio slaptumo žyma (CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio laipsnio slaptumo žyma) pažymėta ESĮI iki nustatytos datos, jei nustatyta, kad asmuo atitinka principą „būtina žinoti“ ir jis buvo tinkamai informuotas apie savo atsakomybę;
RIS gyvavimo ciklas– visa RIS egzistavimo trukmė, įskaitant inicijavimą, koncepciją, planavimą, reikalavimų analizę, projektavimą, sukūrimą, bandymą, įdiegimą, veikimą ir priežiūrą bei naudojimo nutraukimą;
įslaptinta sutartis– TGS ir rangovo sudaryta prekių tiekimo, darbų vykdymo arba paslaugų teikimo sutartis, kurią vykdant reikia susipažinti su ESĮI ar ją rengti arba suteikiama galimybė su ja susipažinti ar ją rengti;
įslaptinta subrangos sutartis– TGS rangovo ir kito rangovo (t. y. subrangovo) sudaryta prekių tiekimo, darbų vykdymo arba paslaugų teikimo sutartis, kurią vykdant reikia susipažinti su ESĮI ar ją rengti arba suteikiama galimybė su ja susipažinti ar ją rengti;
ryšių ir informacinė sistema (RIS)– žr. 10 straipsnio 2 dalį;
rangovas– fizinis arba juridinis asmuo, turintis teisnumą ir veiksnumą sudaryti sutartis;
šifravimo priemonės– šifravimo algoritmai, šifravimo techninės ir programinės įrangos moduliai, priemonės, apimančios vykdymo informaciją bei susijusius dokumentus ir raktų duomenis;
šifravimo priemonė– priemonė, kurios pradinė ir pagrindinė paskirtis yra susijusių saugumo funkcijų (konfidencialumo, vientisumo, prieinamumo, autentiškumo, atsakomybės už veiksmus prisiėmimo) užtikrinimas taikant vieną ar kelis šifravimo metodus;
BSGP operacija– karinio ar civilinio krizių valdymo operacija vadovaujantis ES sutarties V antraštinės dalies 2 skyriumi;
išslaptinimas– bet kokios slaptumo žymos panaikinimas;
nuodugni apsauga– saugumo priemonių, kurios grupuojamos į kelis apsaugos lygius, taikymas;
paskirtoji saugumo institucija (PSI)– valstybės narės nacionalinei saugumo institucijai (NSI) atsakinga institucija, kuri atsako už pramonės ir kitų subjektų informavimą apie nacionalinę politiką visais pramoninio saugumo klausimais ir duoda nurodymus bei padeda ją įgyvendinti. PSI funkciją gali vykdyti NSI arba kita kompetentinga institucija;
dokumentas– fiksuota informacija, neatsižvelgiant į jos fizinę formą ar charakteristikas;
slaptumo žymos laipsnio sumažinimas– slaptumo žymos lygio sumažinimas;
ES įslaptinta informacija (ESĮI)– žr. 2 straipsnio 1 dalį;
įmonės patikimumą patvirtinantis pažymėjimas (ĮPPP)– NSI ar PSI administracinis patvirtinimas, kad saugumo požiūriu patalpose gali būti užtikrinta nurodyto slaptumo žymos laipsnio ESĮI tinkamo lygio apsauga;
ESĮI administravimas– visi galimi veiksmai, kurie gali būti atliekami su ESĮI per visą jos gyvavimo ciklą. Tai apima ESĮI parengimą, apdorojimą, gabenimą, slaptumo žymos laipsnio sumažinimą, išslaptinimą ir sunaikinimą. RIS atžvilgiu tai taip pat apima ESĮI rinkimą, skelbimą, perdavimą ir saugojimą;
turėtojas– tinkamą leidimą turintis asmuo, kuris atitinka principą „būtina žinoti“ ir turi ESĮI dalį bei yra atitinkamai atsakingas už jos apsaugą;
pramonės arba kitas subjektas– subjektas, tiekiantis prekes, vykdantis darbus arba teikiantis paslaugas; tai gali būti pramonės, prekybos, paslaugų, mokslo, mokslinių tyrimų, švietimo ar vystymo subjektas arba savarankiškai dirbantis asmuo;
pramoninis saugumas– žr. 11 straipsnio 1 dalį;
informacijos saugumo užtikrinimas– žr. 10 straipsnio 1 dalį;
tarpusavio sujungimas– žr. IV priedo 32 punktą;
įslaptintos informacijos administravimas– žr. 9 straipsnio 1 dalį;
medžiaga– dokumentas, duomenų laikmena arba bet kokie pagaminti ar gaminami įrenginiai ar įranga;
rengėjas– Sąjungos institucija, įstaiga ar agentūra, valstybė narė, trečioji valstybė ar tarptautinė organizacija, kurios atsakomybe įslaptinta informacija buvo parengta ir (arba) pateikta naudoti Sąjungos struktūrose;
personalo patikimumas– žr. 7 straipsnio 1 dalį;
asmens patikimumo pažymėjimas (APP)– valstybės narės kompetentingos institucijos pažyma, išduota valstybės narės kompetentingoms institucijoms užbaigus patikimumo tikrinimo procedūras ir patvirtinanti, kad asmeniui gali būti leidžiama susipažinti su iki tam tikro laipsnio slaptumo žyma (CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio laipsnio slaptumo žyma) pažymėta ESĮI iki nustatytos datos;
asmens patikimumo pažymėjimą patvirtinanti pažyma (APPPP)– kompetentingos institucijos išduota pažyma, kurioje nurodoma, kad asmens patikimumas yra patikrintas ir kad jis turi galiojantį patikimumo pažymėjimą arba paskyrimų tarnybos leidimą susipažinti su ESĮI, ir nurodomas ESĮI, su kuria tam asmeniui gali būti leista susipažinti, slaptumo žymos laipsnis (CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio laipsnio slaptumo žyma), atitinkamo APP galiojimo laikas ir pačios pažymos galiojimo laikas;
fizinis saugumas– žr. 8 straipsnio 1 dalį;
programos / projekto saugumo instrukcijos (PRSI)– saugumo procedūrų, kurios yra taikomos konkrečiai programai / projektui siekiant standartizuoti saugumo procedūras, sąrašas. Jos gali būti tikslinamos įgyvendinant programą / projektą;
registravimas– žr. III priedo 18 punktą;
likutinė rizika– rizika, kuri lieka po to, kai buvo įgyvendintos saugumo priemonės, atsižvelgiant į tai, kad ne nuo visų grėsmių apsisaugoma ir ne visi pažeidžiamumo aspektai gali būti pašalinti;
rizika– galimybė, kad tam tikros grėsmės atveju bus pasinaudota organizacijos ar sistemų vidiniu ir išoriniu pažeidžiamumu ir taip bus padaryta žala organizacijai ir jos materialiajam ar nematerialiajam turtui. Ji įvertinama atsižvelgiant į kylančios grėsmės tikimybę ir į jos poveikį:
— rizikos pripažinimas– sprendimas atlikus rizikos tvarkymą pripažinti, kad vis dar yra likutinė rizika,
— rizikos įvertinimas– grėsmių ir pažeidžiamų sričių nustatymas bei susijusios rizikos analizės, t. y. galimumo ir poveikio analizės, atlikimas,
— informavimas apie riziką– RIS vartotojų bendruomenės informuotumo apie riziką didinimas, patvirtinimo institucijų informavimas apie tokią riziką ir pranešimų vykdančiosioms institucijoms teikimas,
— rizikos tvarkymas– rizikos silpninimas, šalinimas, mažinimas (taikant tinkamas technines, fizines, valdymo ar procedūrines priemones), perkėlimas arba stebėsena;
saugumo aspektų paaiškinimas (SAP)– specialių sutartinių sąlygų rinkinys, kurį parengia perkančioji institucija ir kuris yra įslaptintos sutarties, pagal kurią gali būti susipažįstama su ESĮI arba tokia informacija gali būti rengiama, sudėtinė dalis – jame nurodomi saugumo reikalavimai arba sutarties dalys, kurių saugumą būtina užtikrinti;
slaptumo žymų vadovas (SŽV)– dokumentas, kuriame aprašomi programos arba sutarties įslaptintos dalys, nurodant taikomus slaptumo žymų laipsnius. SŽV gali būti papildomas programos arba sutarties vykdymo laikotarpiu, o informacijos dalims gali būti suteiktos naujos slaptumo žymos arba jų slaptumo žymos laipsnis gali būti sumažintas; tais atvejais, kai yra parengtas SŽV, jis yra SAP dalis;
patikimumo tikrinimas– tikrinimo procedūros, kurias, vadovaudamasi valstybėje narėje galiojančiais įstatymais ir kitais teisės aktais, atlieka kompetentinga institucija siekdama gauti užtikrinimą, kad nėra jokios nepalankios informacijos, kuri neleistų asmeniui išduoti asmens patikimumo pažymėjimo arba leidimo, suteikiančio galimybę susipažinti su tam tikro lygio ESĮI (CONFIDENTIEL UE/ES CONFIDENTIAL arba aukštesnio laipsnio slaptumo žyma pažymėta informacija);
darbo saugumo režimas– sąlygų, kuriomis veikia RIS, apibrėžtis, pagrįsta apdorojamos informacijos slaptumo žyma ir patikimumo laipsniais, oficialiais prieigos patvirtinimais ir naudotojams taikomu principu „būtina žinoti“. Įslaptintos informacijos apdorojimui arba perdavimui gali būti taikomi keturi darbo režimai: skirtinis režimas, aukšto lygio sistemos režimas, patalpų atskyrimo pertvaromis režimas ir daugialaipsnis režimas:
— skirtinis režimas– toks darbo režimas, kai visi galintys naudotis RIS asmenys turi leidimą naudotis RIS tvarkoma aukščiausio slaptumo žymos laipsnio informacija ir pagal bendrą principą „būtina žinoti“ turi susipažinti su visa RIS tvarkoma informacija,
— aukšto lygio sistemos režimas– toks darbo režimas, kai visi galintys naudotis RIS asmenys turi leidimą naudotis RIS tvarkoma aukščiausio slaptumo žymos laipsnio informacija, tačiau ne visi galintys naudotis RIS asmenys turi pagal bendrą principą „būtina žinoti“ susipažinti su RIS tvarkoma informacija; patvirtinimas apie teisės susipažinti su informacija suteikimą gali būti išduodamas asmens,
— patalpų atskyrimo pertvaromis režimas– toks darbo režimas, kai visi galintys naudotis RIS asmenys turi leidimą naudotis RIS tvarkoma aukščiausio slaptumo žymos laipsnio informacija, tačiau ne visi galintys naudotis RIS asmenys turi oficialų leidimą susipažinti su visa RIS tvarkoma informacija; oficialus leidimas reiškia oficialų patekimo į objektą centrinį valdymą, kuris yra atskirtas nuo leidimo asmeniui savo nuožiūra suteikti prieigą,
— daugialaipsnis režimas– toks darbo režimas, kai ne visi galintys naudotis RIS asmenys turi leidimą naudotis RIS tvarkoma aukščiausio slaptumo žymos laipsnio informacija ir ne visi galintys naudotis RIS asmenys turi pagal bendrą principą „būtina žinoti“ susipažinti su RIS tvarkoma informacija;
saugumo rizikos valdymo procesas– visas nebūtinai galinčių įvykti atvejų, kurie gali paveikti organizacijos arba jos naudojamų sistemų saugumą, nustatymo, kontrolės ir mažinimo procesas. Jis apima visą su rizika susijusią veiklą, įskaitant jos įvertinimą, tvarkymą, pripažinimą ir informavimą apie ją;
TEMPEST– elektromagnetinio spinduliavimo, dėl kurio neteisėtai atskleidžiama informacija, tikrinimas, tyrimas bei kontrolė ir jo šalinimo priemonės;
grėsmė– galimas nepageidaujamas atvejis, dėl kurio gali būti padaryta žala organizacijai ar jos naudojamoms sistemoms; tokios grėsmės gali būti atsitiktinės arba tyčinės (piktybinės); jas apibūdina pavojingi elementai, galimi taikiniai ir puolimo būdai;
pažeidžiamumas– bet kokio pobūdžio silpnumas, kuriuo gali būti naudojamasi vienos ar daugiau grėsmių atveju. Pažeidžiamumas gali atsirasti dėl neveikimo arba gali būti susijęs su kontrolės stiprumo, išsamumo ar nuoseklumo trūkumu ir gali būti techninio, procedūrinio, fizinio, organizacinio ar veiklos pobūdžio.
B priedėlis
SLAPTUMO ŽYMŲ ATITIKMENYS
ES |
TRÈS SECRET UE/ES TOP SECRET |
SECRET UE/ES SECRET |
CONFIDENTIEL UE/ES CONFIDENTIAL |
RESTREINT UE/ES RESTRICTED |
Belgija |
Très Secret (Loi 11.12.1998) Zeer Geheim (Wet 11.12.1998) |
Secret (Loi 11.12.1998) Geheim (Wet 11.12.1998) |
Confidentiel (Loi 11.12.1998) Vertrouwelijk (Wet 11.12.1998) |
(1) pastaba |
Bulgarija |
Cтpoгo ceкретно |
Ceкретно |
Поверително |
За служебно ползване |
Čekija |
Přísně tajné |
Tajné |
Důvěrné |
Vyhrazené |
Danija |
YDERST HEMMELIGT |
HEMMELIGT |
FORTROLIGT |
TIL TJENESTEBRUG |
Vokietija |
STRENG GEHEIM |
GEHEIM |
VS (2)— VERTRAULICH |
VS — NUR FÜR DEN DIENSTGEBRAUCH |
Estija |
Täiesti salajane |
Salajane |
Konfidentsiaalne |
Piiratud |
Airija |
Top Secret |
Secret |
Confidential |
Restricted |
Graikija |
Άκρως Απόρρητο Abr: ΑΑΠ |
Απόρρητο Abr: (ΑΠ) |
Εμπιστευτικό Αbr: (ΕΜ) |
Περιορισμένης Χρήσης Abr: (ΠΧ) |
Ispanija |
SECRETO |
RESERVADO |
CONFIDENCIAL |
DIFUSIÓN LIMITADA |
Prancūzija |
Très Secret Défense |
Secret Défense |
Confidentiel Défense |
(3) pastaba |
Kroatija |
VRLO TAJNO |
TAJNO |
POVJERLJIVO |
OGRANIČENO |
Italija |
Segretissimo |
Segreto |
Riservatissimo |
Riservato |
Kipras |
Άκρως Απόρρητο Αbr: (ΑΑΠ) |
Απόρρητο Αbr: (ΑΠ) |
Εμπιστευτικό Αbr: (ΕΜ) |
Περιορισμένης Χρήσης Αbr: (ΠΧ) |
Latvija |
Sevišķi slepeni |
Slepeni |
Konfidenciāli |
Dienesta vajadzībām |
Lietuva |
Visiškai slaptai |
Slaptai |
Konfidencialiai |
Riboto naudojimo |
Liuksemburgas |
Très Secret Lux |
Secret Lux |
Confidentiel Lux |
Restreint Lux |
Vengrija |
Szigorúan titkos! |
Titkos! |
Bizalmas! |
Korlátozott terjesztésű! |
Malta |
L-Ogħla Segretezza Top Secret |
Sigriet Secret |
Kunfidenzjali Confidential |
Ristrett Restricted (4) |
Nyderlandai |
Stg. ZEER GEHEIM |
Stg. GEHEIM |
Stg. CONFIDENTIEEL |
Dep. VERTROUWELIJK |
Austrija |
Streng Geheim |
Geheim |
Vertraulich |
Eingeschränkt |
Lenkija |
Ściśle Tajne |
Tajne |
Poufne |
Zastrzeżone |
Portugalija |
Muito Secreto |
Secreto |
Confidencial |
Reservado |
Rumunija |
Strict secret de importanță deosebită |
Strict secret |
Secret |
Secret de serviciu |
Slovėnija |
STROGO TAJNO |
TAJNO |
ZAUPNO |
INTERNO |
Slovakija |
Prísne tajné |
Tajné |
Dôverné |
Vyhradené |
Suomija |
ERITTÄIN SALAINEN YTTERST HEMLIG |
SALAINEN HEMLIG |
LUOTTAMUKSELLINEN KONFIDENTIELL |
KÄYTTÖ RAJOITETTU BEGRÄNSAD TILLGÅNG |
Švedija (5) |
HEMLIG/TOP SECRET HEMLIG AV SYNNERLIG BETYDELSE FÖR RIKETS SÄKERHET |
HEMLIG/SECRET HEMLIG |
HEMLIG/CONFIDENTIAL HEMLIG |
HEMLIG/RESTRICTED HEMLIG |
Jungtinė Karalystė |
UK TOP SECRET |
UK SECRET |
UK CONFIDENTIAL |
UK RESTRICTED |
(1) Diffusion Restreinte/Beperkte Verspreiding nėra slaptumo žyma Belgijoje. Žyma RESTREINT UE/ES RESTRICTED pažymėtą informaciją Belgija tvarko ir saugo taip pat griežtai, kaip taikant nustatytus Europos Sąjungos Tarybos saugumo taisyklėse aprašytus standartus ir procedūras.
(2) Vokietija: VS = Verschlusssache.
(3) Prancūzijos nacionalinėje sistemoje slaptumo žyma RESTREINT nenaudojama. Žyma RESTREINT UE/ES RESTRICTED pažymėtą informaciją Prancūzija tvarko ir saugo taip pat griežtai, kaip taikant nustatytus Europos Sąjungos Tarybos saugumo taisyklėse aprašytus standartus ir procedūras.
(4) Maltoje gali būti naudojamos žymos tiek maltiečių, tiek anglų kalba.
(5) Švedija: viršutinėje eilutėje nurodytas slaptumo žymas naudoja gynybos institucijos, o nurodytas apatinėje eilutėje – kitos institucijos.
C priedėlis
NACIONALINIŲ SAUGUMO INSTITUCIJŲ (NSI) SĄRAŠAS
BELGIJA
|
ESTIJA
|
||||||||||||||||||||||||
BULGARIJA
|
AIRIJA
|
||||||||||||||||||||||||
ČEKIJA
|
GRAIKIJA
|
||||||||||||||||||||||||
DANIJA
|
ISPANIJA
|
||||||||||||||||||||||||
VOKIETIJA
|
PRANCŪZIJA
|
||||||||||||||||||||||||
KROATIJA
|
LIUKSEMBURGAS
|
||||||||||||||||||||||||
ITALIJA
|
VENGRIJA
|
||||||||||||||||||||||||
KIPRAS
|
MALTA
|
||||||||||||||||||||||||
LATVIJA
|
NYDERLANDAI
|
||||||||||||||||||||||||
LIETUVA
|
AUSTRIJA
|
||||||||||||||||||||||||
LENKIJA
|
SLOVAKIJA
|
||||||||||||||||||||||||
PORTUGALIJA
|
SUOMIJA
|
||||||||||||||||||||||||
RUMUNIJA
|
ŠVEDIJA
|
||||||||||||||||||||||||
SLOVĖNIJA
|
JUNGTINĖ KARALYSTĖ
|
D priedėlis
SANTRUMPŲ SĄRAŠAS
Santrumpa |
Reikšmė |
APP |
Asmens patikimumo pažymėjimas |
APPP |
Asmens patikimumo pažymėjimą patvirtinanti pažyma |
AVSS |
Apsauginės vaizdo stebėjimo sistemos |
BSGP |
Bendra saugumo ir gynybos politika |
BUSP |
Bendra užsienio ir saugumo politika |
COREPER |
Nuolatinių atstovų komitetas |
EKSD |
Europos Komisijos saugumo direktoratas |
ESĮI |
ES įslaptinta informacija |
ESSĮ |
ES specialusis įgaliotinis |
ĮAS |
Įsibrovimo aptikimo sistema |
ĮPPP |
Įmonės patikimumą patvirtinantis pažymėjimas |
ISU |
Informacijos saugumo užtikrinimas |
ISUI |
Informacijos saugumo užtikrinimo institucija |
IT |
Informacinė technologija |
KPI |
Kriptografijos patvirtinimo institucija |
KPLI |
Kriptografijos platinimo institucija |
NSI |
Nacionalinė saugumo institucija |
PRSI |
Programos / projekto saugumo instrukcijos |
PSI |
Paskirtoji saugumo institucija |
RAP |
Ribų apsaugos priemonė |
RIS |
Ryšių ir informacinės sistemos, kuriose tvarkoma ESĮI |
SAI |
Saugumo akreditavimo institucija |
SAP |
Saugumo aspektų paaiškinimai |
SAV |
Saugumo akreditavimo valdyba |
SecOPs |
Saugumo įgyvendinimo patikrinimo dokumentai ir saugios eksploatacijos taisyklės |
SSRA |
Sistemos saugumo reikmių aktai |
SŽV |
Slaptumo žymų vadovas |
TEI |
TEMPEST institucija |
TGS |
Tarybos Generalinis sekretoriatas |
TKI |
Tinkamos kvalifikacijos institucija |