Šis dokumentas yra skirtas tik informacijai, ir institucijos nėra teisiškai atsakingos už jo turinį

Komisijos nuostatos dėl saugumo, kurių tekstas pridedamas prie šio sprendimo, pridedamos prie Komisijos darbo tvarkos taisyklių kaip jų priedas.

Šis sprendimas įsigalioja jo paskelbimo Europos Bendrijų oficialiajame leidinyje dieną.

1. Už saugumą atsakingas Komisijos narys imasi tinkamų priemonių, kad užtikrintų, jog, tvarkydami ES įslaptintą informaciją, Komisijos pareigūnai, kiti tarnautojai ir Komisijai padedantis personalas tiek pačioje Komisijoje, tiek visose Komisijos patalpose, tarp jų – Sąjungoje veikiančiose Komisijos atstovybėse, biuruose ir jos delegacijose trečiosiose šalyse, laikytųsi 1 straipsnyje minimų taisyklių, taip pat kad tų taisyklių laikytųsi kiti išoriniai Komisijos sutarčių partneriai.

Kai sutartyje arba susitarime dėl dotacijos tarp Komisijos ir išorės rangovo arba gavėjo numatytas ES įslaptintos informacijos tvarkymas rangovo arba gavėjo patalpose, tinkamos priemonės, kurių turi imtis minėtas išorės rangovas arba gavėjas siekdamas užtikrinti, kad bus laikomasi 1 straipsnyje minėtų taisyklių tvarkant ES įslaptintą informaciją, turi būti sutarties arba susitarimo dėl dotacijos neatskiriama dalis.

2. Valstybėms narėms, kitoms Sutartimis arba remiantis Sutartimis įsteigtoms institucijoms, įstaigoms, biurams ir agentūroms suteikiama teisė gauti ES įslaptintą informaciją, jeigu jos užtikrins, kad, tvarkydamos ES įslaptintą informaciją, savo tarnybose ir patalpose laikysis taisyklių, tiksliai atitinkančių 1 straipsnyje minimas taisykles, ypač tai taikoma:

Trečiosios šalys, tarptautinės organizacijos ir kitos įstaigos gali gauti ES įslaptintą informaciją, jeigu užtikrina, kad, tvarkydamos tą informaciją, laikysis 1 straipsnyje minėtas taisykles tiksliai atitinkančių taisyklių.

Laikydamasis pagrindinių principų ir minimalių saugumo standartų, išdėstytų priedo I dalyje, už saugumą atsakingas Komisijos narys gali imtis priedo II dalyje numatytų priemonių.

Nuo tos dienos, kai bus imta taikyti šias nuostatas, visai iki tol Komisijos turėtai įslaptintai informacijai, išskyrus Euratomo įslaptintą informaciją:

Šiose nuostatose pateikiami pagrindiniai saugumo principai ir minimalūs standartai, kurių deramai laikytis turi visi Komisijos darbuotojai ir visi ES įslaptintos informacijos gavėjai, kad būtų garantuotas saugumas ir kad kiekvienas būtų užtikrintas, jog pasiektas bendras saugumo lygis.

Komisijos saugumo politika yra neatskiriama bendros vidaus valdymo politikos dalis, grindžiama jos bendrą politiką reguliuojančiais principais.

Prie šių principų priskiriami teisėtumas, skaidrumas, atskaitingumas ir subsidiarumas (proporcingumas).

Teisėtumas – tai būtinybė vykdant saugumo funkcijas griežtai išlikti teisinio reguliavimo ribose bei atitikti teisinius reikalavimus. Tai taip pat reiškia, kad atsakomybė saugumo srityje turi būti pagrįsta tinkamomis teisinėmis nuostatomis. Visa apimtimi taikomi Personalo nuostatai, ypač jų 17 straipsnis dėl personalo įpareigojimo neatskleisti Komisijos informacijos ir jų VI dalis dėl drausminių priemonių. Galiausiai teisėtumo principas reiškia, kad saugumo pažeidimus Komisijos atsakomybės ribose reikia nagrinėti vadovaujantis Komisijos politika drausminių priemonių atžvilgiu ir jos bendradarbiavimo su valstybėmis narėmis baudžiamosios teisenos srityje politika.

Skaidrumas – tai visų saugumo taisyklių ir nuostatų aiškumo, siekiant įvairių tarnybų ir sričių pusiausvyros (fizinis saugumas bei informacijos apsauga ir pan.), taip pat nuoseklios bei konstruktyvios sąmoningumo saugumo srityje politikos reikmė. Dėl skaidrumo taip pat reikalingas aiškus rašytinis saugumo priemonių įgyvendinimo vadovas.

Atskaitingumas reiškia, kad pareigos saugumo srityje bus aiškiai apibrėžtos. Be to, atskaitingumas žymi poreikį reguliariai tikrinti, ar pareigos tinkamai vykdomos.

Subsidiarumas, arba proporcingumas, reiškia, kad saugumu pasirūpinama pačiu žemiausiu lygmeniu ir kiek įmanoma arčiau Komisijos generalinių direktoratų bei tarnybų. Tai taip pat reiškia, kad saugumo veikla apsiriboja tomis sritims, kurioms saugumas tikrai reikalingas. Galiausiai subsidiarumas reiškia, kad saugumo priemonės turi leisti taikyti mažiausiai žalos darančią apsaugą ir būti proporcingos ginamiems interesams bei tikrai arba galimai grėsmei tiems interesams.

Komisija užtikrina, kad visi ESĮI gavėjai pačioje institucijoje ir jos kompetencijai priklausančiose institucijose, tame tarpe visi departamentai ir sutarčių partneriai, laikysis bendrų minimalių saugumo standartų, kad ES įslaptinta informacija būtų perduodama įsitikinus, jog ji bus taip pat atsakingai tvarkoma. Prie tokių minimalių standartų priskiriami patikimumo pažymėjimų personalui išdavimo kriterijai ir ES įslaptintos informacijos apsaugos procedūros.

Komisija suteikia teisę išorės įstaigoms naudotis ESĮI tik jei šios užtikrina, kad tvarkydamos ESĮI griežtai laikysis bent šiuos minimalius standartus tiksliai atitinkančių nuostatų.

Tokie minimalūs standartai taip pat taikomi, kai Komisija sudarydama sutartį arba susitarimą dėl dotacijos paveda užduotis, susijusias su ES įslaptinta informacija, kurias vykdant susiduriama su tokia informacija ir (arba) tokia informacija yra užduoties dalis, pramonės arba kitiems subjektams: šie bendri minimalūs standartai nurodyti II dalies 27 skyriuje.

Visi asmenys, kurie prašo leisti naudotis informacija, pažymėta ►M1 CONFIDENTIEL UE ◄ arba aukštesnio laipsnio slaptumo žyma, prieš suteikiant jiems tokią galimybę, yra tinkamai patikrinami. Panašiai patikrinti reikalaujama ir asmenis, į kurių pareigas įeina ryšių ir informacijos sistemų, kuriose laikoma įslaptinta informacija, techninės operacijos arba priežiūra. Toks tikrinimas turi leisti nustatyti, ar tie asmenys:

Punktuose d, e, ir f apibūdintais atvejais reikėtų kiek tik įmanoma panaudoti operatyvinius tyrimo metodus.

Kai asmenis, kurių atžvilgiu negalima remtis „būtina žinoti“ principu, reikia įdarbinti tokiame darbe, kuriame jie galėtų naudotis ES įslaptinta informacija (pvz., pasiuntiniai, apsaugos darbuotojai, priežiūros personalas, valytojai ir kt.), pirmiausia jie tinkamai patikrinami pagal saugumo kriterijus.

Visi Komisijos departamentai, tvarkantys ES įslaptintą informaciją arba turintys uždarų ryšių arba informacijos sistemų, registruoja tam paskirtam personalui išduotus asmens patikimumo pažymėjimus. Kiekvienas pažymėjimas prireikus tikrinamas, kad būtų užtikrinta, jog jis atitinka dabartines to asmens funkcijas; jie pakartotinai tikrinami prioritetine tvarka, jei gaunama naujos informacijos, kad tolesnis paskyrimas darbui su įslaptinta informacija nebeatitinka saugumo interesų. Patikimumo pažymėjimų registrą jo kompetencijai priskirtoje srityje veda Komisijos departamento vietos saugumo pareigūnas.

Visi galimybes naudotis įslaptinta informacija sudarančias pareigas einantys darbuotojai, pradėdami eiti pareigas ir reguliariai vėliau, saugumo sumetimais nuodugniai instruktuojami apie saugumo reikalavimų poreikį ir jų vykdymo tvarką. Tokie darbuotojai privalo raštu patvirtinti, kad susipažino su esamais saugumo reikalavimais ir kad juos visiškai supranta.

Vadovai privalo žinoti, kurie jų darbuotojai dirba su įslaptinta informacija arba gali naudotis uždaromis ryšių ar informacijos sistemomis, bei registruoti ir pranešti apie visus galinčius turėti įtakos saugumui incidentus arba pažeidimus.

Nustatoma tvarka, užtikrinanti, kad, gavus tam tikram asmeniui nepalankios informacijos, išsiaiškinama, ar jis dirba su įslaptinta informacija arba ar gali naudotis uždaromis ryšių arba informacijos sistemomis, ir informuojamas ►M2 Komisijos Saugumo direktoratas ◄ . Nustačius, kad toks asmuo kelia grėsmę saugumui, jam neleidžiama atlikti pareigų arba jis nušalinamas nuo pareigų, kurias eidamas gali kelti grėsmę saugumui.

Fizinio saugumo priemonių, taikytinų užtikrinant ES įslaptintos informacijos apsaugą, veiksmingumo laipsnis turi būti proporcingas laikomos informacijos ir medžiagos slaptumui, kiekiui ir galimai grėsmei. Visi ES įslaptintos informacijos laikytojai laikosi vienodos tos informacijos įslaptinimo praktikos ir paiso bendrų apsaugos standartų, susijusių su saugomos informacijos ir medžiagos laikymu, perdavimu ir naikinimu.

Prieš išeidami iš zonų, kuriose be priežiūros paliekama ES įslaptinta informacija, už jos laikymą atsakingi asmenys užtikrina, kad ji būtų paliekama saugiai ir kad yra aktyvuotos visos apsaugos priemonės (užraktai, signalizacija ir kt.). Tolesni nepriklausomi tikrinimai atliekami po darbo valandų.

Pastatai, kuriuose kaupiama ES įslaptinta informacija arba laikomos uždaros ryšių ir informacijos sistemos, saugomi, kad į juos nepatektų leidimo neturintys asmenys. ES įslaptintos informacijos apsaugos pobūdis, pvz., langų grotos, durų užraktai, apsauga prie įėjimų, automatizuotos priėjimo kontrolės sistemos, apsaugos tikrinimai ir patruliai, signalizacijos sistemos, į įsibrovimą reaguojančios sistemos ir sarginiai šunys, priklauso nuo:

Ryšių ir informacijos sistemų apsaugos pobūdis analogiškai priklauso nuo laikomo turto vertės ir galimos žalos, jei kiltų grėsmė saugumui, įvertinimo, nuo pastato, kuriame sistema laikoma, savybių bei vietos ir nuo sistemos vietos pastate.

Iš anksto parengiami išsamūs planai, kaip apsaugoti įslaptintą informaciją ištikus vietinio arba nacionalinio masto nelaimei.

Informacijos saugumas (INFOSEC) yra susijęs su ES įslaptintos informacijos apdorojimui, laikymui arba perdavimui ryšių, informacijos arba kitokiomis elektroninėmis sistemomis apsaugoti nuo tyčinio arba atsitiktinio pakenkimo jos slaptumui, vientisumui arba galimybei ja naudotis skirtų saugumo priemonių nustatymu ir taikymu. Imamasi atitinkamų kontrapriemonių, sutrukdant pasinaudoti ES įslaptinta informacija leidimo neturintiems vartotojams ar neleisti naudotis ES įslaptinta informacija leidimą turintiems vartotojams bei užkertant kelią ES įslaptintos informacijos klastojimui arba jos taisymui ar sunaikinimui neturint tam leidimo.

9. KITŲ TYČINĖS ŽALOS DARYMO FORMŲ KONTROLĖ IR PASIPRIEŠINIMAS SABOTAŽUI

Nuo sabotažo ir tyčinio žalos padarymo geriausiai apsaugo fizinės atsargumo priemonės svarbiems įrenginiams, kuriuose kaupiama įslaptinta informacija, apsaugoti; vien personalo tikrinimas nėra pakankamas šių priemonių pakaitalas. Kompetentinga nacionalinė institucija yra prašoma teikti informaciją apie šnipinėjimą, sabotažą, terorizmą ir kitokią ardomąją veiklą.

10. ĮSLAPTINTOS INFORMACIJOS PERDAVIMAS TREČIOSIOMS ŠALIMS ARBA TARPTAUTINĖMS ORGANIZACIJOMS

Komisija kolegialiai priima sprendimą dėl jos sukurtos ES įslaptintos informacijos perdavimo trečiajai šaliai arba tarptautinei organizacijai. Jei Komisija nėra norimos perduoti informacijos autorius, ji pirmiausia turi gauti tikrojo autoriaus sutikimą perduoti tą informaciją. Jei autoriaus negalima nustatyti, sprendimą priima Komisija.

Jei Komisija gauna įslaptintos informacijos iš trečiųjų valstybių, tarptautinių organizacijų arba iš kitų trečiųjų šalių, tai informacijai suteikiama apsauga, atitinkanti jos slaptumo lygį ir prilygstanti šiose nuostatose ES įslaptintai informacijai nustatytiems standartams arba informaciją perduodančios trečiosios šalies reikalaujamiems aukštesnio lygio standartams. Gali būti atliekami abipusiai tikrinimai.

Pirmiau išvardyti principai įgyvendinami pagal II dalies 26 skirsnio ir 3, 4 ir 5 priedėlių išsamias nuostatas.

Sudaroma Komisijos Saugumo politikos patarėjų grupė. Ją sudaro grupei pirmininkaujantis už saugumą atsakingas Komisijos narys arba jo deleguotas asmuo, taip pat kiekvienos valstybės narės NSI atstovas. Gali būti kviečiami ir kitų Europos institucijų atstovai. Kai nagrinėjami su EK ir ES atitinkamomis decentralizuotomis agentūromis susiję klausimai, taip pat gali būti kviečiami tų agentūrų atstovai.

Komisijos Saugumo politikos patarėjų grupė renkasi pirmininko arba kurio nors grupės nario kvietimu. Grupės užduotis – nagrinėti ir vertinti visus svarbius saugumo klausimus ir prireikus teikti rekomendacijas Komisijai.

Įkuriama Komisijos Saugumo taryba. Ją sudaro Administracijos ir personalo generalinis direktorius (jis pirmininkauja tarybai), už saugumą atsakingo Komisijos nario kabineto narys, Pirmininko kabineto narys, Komisijos krizių valdymo grupei pirmininkaujantis generalinio sekretoriaus pavaduotojas, Teisės tarnybos, Išorės santykių, Teisingumo, laisvės ir saugumo, Jungtinio tyrimų centro, Informatikos ir Vidaus audito tarnybos generaliniai direktoriai bei Komisijos Saugumo direktorato direktorius arba minėtų asmenų atstovai. Gali būti kviečiami kiti Komisijos pareigūnai. Ji vertina Komisijos saugumo priemones ir teikia rekomendacijas šioje srityje už saugumą atsakingam Komisijos nariui.

Kad atliktų 11 skirsnyje minėtas pareigas, už saugumą atsakingas Komisijos narys saugumo priemonėms koordinuoti, prižiūrėti ir įgyvendinti savo žinioje turi ►M2 Komisijos Saugumo direktoratą ◄ .

►M2 Komisijos Saugumo direktorato direktorius ◄ yra pagrindinis už saugumą atsakingo Komisijos nario patarėjas saugumo klausimais ir kartu veikia kaip Saugumo politikos patarėjų grupės sekretorius. Todėl jis vadovauja saugumo taisyklių atnaujinimo darbui ir koordinuoja saugumo priemones su valstybių narių kompetentingomis institucijomis, o prireikus – ir su tarptautinėmis organizacijomis, saugumo sutartimis susijusiomis su Komisija. Jis yra už tokius kontaktus atsakingas pareigūnas.

►M2 Komisijos Saugumo direktorato direktorius ◄ atsako už Komisijos IT sistemų ir tinklų akreditavimą. ►M2 Komisijos Saugumo direktorato direktorius ◄ , suderinęs su atitinkamomis NSI, priima sprendimus dėl IT sistemų ir tinklų, apimančių Komisiją ir bet kurį kitą ES įslaptintos informacijos gavėją, akreditavimo.

►M2 Komisijos Saugumo direktoratas ◄ reguliariai tikrina ES įslaptintos informacijos apsaugai skirtas saugumo priemones.

►M2 Komisijos Saugumo direktoratui ◄ atlikti šią užduotį gali padėti kitų ESĮI laikančių ES institucijų saugumo tarnybos arba valstybių narių nacionalinės saugumo institucijos ( 5 ).

Valstybės narės pageidavimu, abiem šalims susitarus, ESĮI tikrinimą Komisijoje gali atlikti šios valstybės NSI kartu su ►M2 Komisijos Saugumo direktoratas ◄ .

Informacija įslaptinama tokiais slaptumo žymų laipsniais (taip pat žr. 2 priedėlį):

Slaptumo žymos galiojimo terminams nustatyti (įslaptintai informacijai, kuriai taikomas automatinis slaptumo laipsnio sumažinimas arba išslaptinimas) gali būti naudojamos sutartos slaptumo žymos galiojimo žymos. Tokios žymos gali būti „IKI… (laikas/data)“ arba „IKI… (įvykis)“.

Kai reikia riboti įslaptintos informacijos platinimą ir ją tvarkyti specialiu būdu, šalia slaptumo žymų naudojamos papildomos įslaptinimą nurodančios žymos, tokios kaip CRYPTO arba bet kurios kitos ES pripažįstamos žymos.

Kvalifikacines žymas galima naudoti, kai reikia tiksliai apibrėžti dokumento taikymo sritį arba pažymėti specialų jo platinimą vadovaujantis „būtina žinoti“ principu ar nurodyti, kada baigiasi draudimas platinti (neįslaptintos informacijos atveju).

Kvalifikacinė žyma nėra slaptumo žyma, todėl negali būti naudojama vietoje jos.

Dokumentams, susijusiems su Sąjungos arba vienos ar daugiau jos valstybių narių saugumu ir gynyba arba su kariniu ar nekariniu krizių valdymu, ir tų dokumentų kopijoms suteikiama ESGP kvalifikacinė žyma.

Slaptumo žymos galiojimo žymos dedamos tiesiai po slaptumo žyma, tomis pačiomis priemonėmis, kaip ir slaptumo žymos.

Informacija įslaptinama tik tuomet, kai tai reikalinga. Slaptumo žyma turi būti aiškiai ir teisingai nurodyta ir taikoma tik tol, kol informaciją reikia saugoti.

Atsakomybė už informacijos įslaptinimą ir už bet kokį paskesnį slaptumo žymos laipsnio sumažinimą arba informacijos išslaptinimą tenka tik informacijos autoriui.

Komisijos pareigūnai ir kiti darbuotojai informaciją įslaptina, jos slaptumo žymos laipsnį sumažina arba informaciją išslaptina tik gavę savo departamento vadovo nurodymą arba sutikimą.

Detali įslaptintų dokumentų naudojimo tvarka parengta taip, kad būtų užtikrinta derama juose esančios informacijos apsauga.

Asmenų, galinčių siūlyti dokumentus, žymimus slaptumo žyma ►M1 TRES SECRET UE/EU TOP SECRET ◄ , turi būti kuo mažiau, o jų pavardės turi būti įtrauktos į ►M2 Komisijos Saugumo direktorato ◄ sudarytą sąrašą.

Dokumento slaptumas nustatomas pagal 16 skirsnyje apibrėžtą jo turinio slaptumą. Svarbu, kad įslaptinimas būtų taikomas teisingai ir nuosaikiai. Tai ypač taikytina slaptumo žymai ►M1 TRES SECRET UE/EU TOP SECRET ◄ .

Įslaptinamo dokumento autorius turi prisiminti minėtas taisykles ir išvengti pernelyg aukšto ar pernelyg žemo slaptumo žymos laipsnio suteikimo.

Prireikus atitinkamo dokumento atskiriems lapams, dalims, skyriams, priedams ir priedėliams suteikti skirtingas slaptumo žymas, jie ir yra atitinkamai įslaptinami. Visas dokumentas įslaptinamas pagal aukščiausią slaptumo žymos laipsnį turinčią jo dalį.

Pridedamų dokumentų lydraščių arba atžymų slaptumo žymos laipsnis atitinka priedų aukščiausio laipsnio slaptumo žymas. Jei tokie dokumentai pateikiami atskirai nuo priedų, autorius turi aiškiai nurodyti, koks slaptumo žymos laipsnis jiems suteikiamas.

ES įslaptintų dokumentų slaptumo žymos laipsnis gali būti sumažintas arba jie gali būti visai išslaptinti tik leidus jų autoriui, ir prireikus pasitarus su kitomis suinteresuotomis šalimis. Dokumentų slaptumo žymos laipsnio sumažinimas arba jų išslaptinimas patvirtinamas raštu. Dokumento autorius atsako už to dokumento gavėjų informavimą apie slaptumo žymos pakeitimą, o šie atitinkamai atsako už kitų adresatų, kuriems jie yra nusiuntę dokumentą arba jo kopiją, informavimą apie slaptumo žymos pakeitimą.

Jei įmanoma, ant įslaptinto dokumento jo autorius nurodo datą, laikotarpį arba įvykį, nuo kurio turinio slaptumo žymos laipsnis gali būti sumažintas arba dokumentas išslaptintas. Priešingu atveju dokumentų autoriai peržiūri dokumentus ne rečiau kaip kas penkerius metus, kad garantuotų, jog reikalingas pradinis įslaptinimas.

Svarbiausi fizinio saugumo priemonių tikslai yra neleisti leidimo neturinčiam asmeniui naudotis ES įslaptinta informacija ir (arba) medžiaga, užkirsti kelią įrangos ir kitokio turto vagystėms bei niokojimui ir priekabiavimui ar kitokios formos agresijai personalo, kitų darbuotojų bei lankytojų atžvilgiu.

Visos patalpos, zonos, pastatai, kambariai, ryšių ir informacijos sistemos ir kt., kuriuose saugoma ES įslaptinta informacija ir (arba) su ja dirbama, yra saugomos tinkamomis fizinės apsaugos priemonėmis.

Sprendžiant, koks fizinio saugumo lygis reikalingas, atsižvelgtina į visus svarbius veiksnius, pavyzdžiui:

Zonos, kuriose dirbama su ►M1 CONFIDENTIEL UE ◄ arba aukštesnio laipsnio slaptumo žyma pažymėta informacija arba kuriose tokia informacija saugoma, yra organizuojamos ir įrengiamos taip, kad atitiktų vieną iš šių reikalavimų:

Aplink I ir II klasės saugumo zonas arba pakeliui į jas gali būti sukurta mažesnio saugumo administracinė zona. Tokiai zonai reikalinga aiškiai atribota erdvė, sudaranti galimybes tikrinti personalą ir transporto priemones. Tokiose zonose dirbama tik su slaptumo žyma ►M1 RESTREINT UE ◄ pažymėta ir neįslaptinta informacija, tik tokia informacija gali būti jose saugoma.

Įėjimas į I ir II klasės saugumo zonas ir išėjimas iš jų kontroliuojamas leidimų arba asmens atpažinimo sistemomis, taikomomis visam šiose zonose paprastai dirbančiam personalui. Taip pat sukuriama lankytojų tikrinimo sistema, kuri neleidžia ES įslaptinta informacija naudotis neturint atitinkamo leidimo. Papildomai prie leidimų sistemos gali būti naudojami automatizuoti identifikavimo įrengimai, tačiau jie laikytini papildoma, bet apsaugos personalo visiškai nepakeičiančia priemone. Pasikeitus grėsmės įvertinimui, pvz., per žymių asmenų vizitus, gali prireikti imtis griežtesnių įėjimo ir išėjimo kontrolės priemonių.

I ir II klasės saugumo zonų patruliai dirba pasibaigus įprastoms darbo valandoms, kad ES turtas nebūtų neteisėtai atskleistas, sunaikintas arba prarastas. Patruliavimo dažnumas nustatomas atsižvelgiant į vietos aplinkybes, tačiau rekomenduotina patruliuoti kas dvi valandas.

I ir II klasės saugumo zonose įrengtuose ugniai ir įsilaužimui atspariuose kambariuose ir visose I klasės saugumo zonose, kur atvirose lentynose arba brėžiniuose, žemėlapiuose ir pan. yra laikoma informacija su ►M1 CONFIDENTIEL UE ◄ ir aukštesnio laipsnio slaptumo žyma, sienos, grindys, lubos ir durys su užraktais turi būti SAI sertifikuotos kaip suteikiančios apsaugą, kuri atitinka apsaugos konteinerio klasę, patvirtintą to paties laipsnio slaptumo žymos informacijai saugoti.

Apsaugos konteinerių ir ugniai ir įsilaužimui atsparių kambarių, kuriuose laikoma ES įslaptinta informacija, užraktai turi atitikti tokias normas:

Apsaugos konteinerių raktai iš Komisijos pastatų neišnešami. Apsaugos konteinerių kombinacijas įsimena tie asmenys, kuriems privalu jas žinoti. Už atsarginių raktų ir užrašytos kiekvienos kombinacijos, skirtų naudoti nenumatytais atvejais, laikymą atsako atitinkamo Komisijos departamento vietos saugumo pareigūnas; užrašytos kombinacijos laikomos atskiruose antspauduotuose nepermatomuose vokuose. Darbiniai raktai, atsarginiai apsaugos raktai ir užrašytos kombinacijos laikomi atskiruose apsaugos konteineriuose. Tokie raktai ir užrašytos kombinacijos saugomi ne mažiau griežtai, nei medžiaga, kuria naudotis jie suteikia galimybę.

Apsaugos konteinerių kombinacijas turi žinoti kiek įmanoma mažiau žmonių. Kombinacijos keičiamos:

Kai ES įslaptintai informacijai apsaugoti yra naudojamos signalizacijos sistemos, uždaros grandinės videostebėjimo sistemos ir kiti elektroniniai prietaisai, būtinas atsarginis elektros energijos tiekimo šaltinis, užtikrinantis sistemos tolesnį veikimą nutrūkus pagrindiniam energijos tiekimui. Kitas esminis reikalavimas yra tas, kad signalizacija įsijungtų ar apsaugos personalas būtų kitaip patikimai įspėtas sutrikus šioms sistemoms ar mėginant jas sugadinti.

►M2 Komisijos Saugumo direktoratas ◄ veda atnaujintus įslaptintai informacijai įvairiomis išsamiai apibrėžtomis aplinkybėmis ir sąlygomis saugoti jo aprobuotų apsaugos įrengimų sąrašus pagal tipą ir modelį. ►M2 Komisijos Saugumo direktoratas ◄ tuos sąrašus sudaro inter alia remdamasis iš NSI gauta informacija.

Kopijavimo aparatai ir telefaksai fiziškai apsaugomi taip, kad būtų užtikrinta, jog jais naudosis tik leidimą apdoroti įslaptintą informaciją turintys asmenys ir kad visi įslaptinti objektai bus tinkamai kontroliuojami.

Tiek dieną, tiek naktį imamasi visų tinkamų priemonių, užtikrinančių, kad ES įslaptintos informacijos netgi atsitiktinai nepamatų joks leidimo tam neturintis asmuo.

Tarnybos ir zonos, kuriose nuolat yra svarstoma informacija su ►M1 SECRET UE ◄ ir aukštesnio laipsnio slaptumo žyma, esant atitinkamai rizikai turi būti apsaugomos nuo galimo pasyvaus arba aktyvaus slapto pasiklausymo. Už tokio pasiklausymo rizikos vertinimą atsako ►M2 Komisijos Saugumo direktoratas ◄ , prireikus pasikonsultavęs su NSI.

Be išankstinio ►M2 Komisijos Saugumo direktorato direktoriaus ◄ leidimo į saugumo zonas arba techniškai saugomas zonas neleidžiama įsinešti mobiliųjų telefonų, asmeninių kompiuterių, įrašymo prietaisų, kamerų ar kitų elektroninių arba įrašymo įrengimų.

Kad nustatytų, kokių apsaugos priemonių reikia imtis patalpų, kuriose egzistuoja pasyvaus (pvz., sienų, durų, grindų ir lubų izoliacija, garso stiprumo matavimai) ir aktyvaus (pvz., mikrofonų paieška) slapto pasiklausymo pavojus, atžvilgiu, ►M2 Komisijos Saugumo direktoratas ◄ gali kreiptis pagalbos į NSI ekspertus.

Taip pat ►M2 Komisijos Saugumo direktorato direktoriaus ◄ prašymu už techninį saugumą atsakingi NSI ekspertai prireikus gali patikrinti telekomunikacijų įrangą ir bet kokią elektrinę ar elektroninę biuro įrangą, naudojamą per ►M1 SECRET UE ◄ ar aukštesnio slaptumo žymos laipsnio posėdžius.

Tam tikras zonas galima išskirti kaip techniškai saugias. Atliekamas specialus tikrinimas į jas įeinant. Tokios zonos, kai jose nedirbama, patvirtintu būdu laikomos užrakintos, o visi raktai laikomi apsaugos raktais. Tokios zonos reguliariai fiziškai tikrinamos, taip pat ir tuo atveju, kai nustatoma ar įtariama, kad į jas įeita be leidimo.

Kad būtų stebima įrangos ir baldų vietų kaita, padaromas detalus inventoriaus planas. Į tokią zoną neįnešami jokie baldai ar įranga, kol jų rūpestingai nepatikrina apsaugos personalas, specialiai parengtas ieškoti pasiklausymo priemonių. Paprastai techniškai apsaugotose zonose tiesti ryšių linijų neleidžiama be išankstinio atitinkamos institucijos leidimo.

19. BENDROS PRINCIPO „BŪTINA ŽINOTI“ TAIKYMO IR ES PERSONALO PATIKIMUMO TIKRINIMO TAISYKLĖS

Naudotis ES įslaptinta informacija leidžiama tik asmenims, kuriems ją būtina žinoti, kad galėtų atlikti savo pareigas arba vykdyti užduotis. Naudotis žymomis ►M1 TRES SECRET UE/EU TOP SECRET ◄ , ►M1 SECRET UE ◄ ir ►M1 CONFIDENTIEL UE ◄ pažymėta informacija leidžiama tik asmenims, turintiems atitinkamą asmens patikimumo pažymėjimą.

Nustatyti, kam taikytinas „būtina žinoti“ principas, privalo departamentas, kuriame atitinkamas asmuo turi būti įdarbintas.

Asmenį patikrinus, jam yra išduodamas „ES asmens patikimumo pažymėjimas“, kuriame nurodomas informacijos, kuria asmuo gali naudotis, slaptumo žymos laipsnis ir pažymėjimo galiojimo laikas.

ES asmens patikimumo pažymėjimas, išduotas tam tikram slaptumo žymos laipsniui, gali suteikti jo turėtojui teisę naudotis žemesnio slaptumo žymos laipsnio informacija.

Pareigūnais ar kitokiais darbuotojais nesantys asmenys, tokie kaip išoriniai sutarčių partneriai, ekspertai arba konsultantai, su kuriais gali prireikti aptarti arba kuriems gali prireikti parodyti ES įslaptintą informaciją, privalo turėti ES asmens patikimumo pažymėjimus dėl teisės naudotis ES įslaptinta informacija, bei yra trumpai supažindinami su jų atsakomybe už saugumą.

19.2. Specialios naudojimosi informacija, pažymėta slaptumo žyma ►M1 TRES SECRET UE/EU TOP SECRET ◄ , taisyklės

Visi asmenys, kuriems reikia naudotis informacija, pažymėta slaptumo žyma ►M1 TRES SECRET UE/EU TOP SECRET ◄ , pirmiausia patikrinami, ar turi teisę tokia informacija naudotis.

Visus asmenis, kurie turi naudotis informacija, pažymėta slaptumo žyma ►M1 TRES SECRET UE/EU TOP SECRET ◄ , nurodo už saugumą atsakingas Komisijos narys, o jų pavardės įrašomos atitinkamame įslaptintos informacijos, pažymėtos slaptumo žyma ►M1 TRES SECRET UE/EU TOP SECRET ◄ , registre. Šį registrą sukuria ir tvarko ►M2 Komisijos Saugumo direktoratas ◄ .

Prieš gaudami leidimą naudotis informacija, pažymėta slaptumo žyma ►M1 TRES SECRET UE/EU TOP SECRET ◄ , visi asmenys pasirašo dokumentą, patvirtinantį, kad jie buvo supažindinti su Komisijos saugumo procedūromis, kad visiškai supranta savo ypatingą pareigą saugoti slaptumo žyma ►M1 TRES SECRET UE/EU TOP SECRET ◄ pažymėtą informaciją, ir supranta padarinius, kuriuos numato ES taisyklės bei nacionaliniai teisės ir administraciniai aktai, jei įslaptinta informacija tyčia arba dėl neatsargumo patektų į leidimo neturinčio asmens rankas.

Jei žyma ►M1 TRES SECRET UE/EU TOP SECRET ◄ pažymėta informacija asmenys turi naudotis posėdžiuose ir pan., kompetentingi tarnybos arba įstaigos, kurioje tie asmenys dirba, kontrolės pareigūnai posėdį organizuojančią įstaigą informuoja, kad tie asmenys turi atitinkamus leidimus.

Visų asmenų, kurie toliau nebeeina su būtinybe naudotis slaptumo žyma žyma ►M1 TRES SECRET UE/EU TOP SECRET ◄ pažymėta informacija susijusių pareigų, pavardės išbraukiamos iš turinčių teisę naudotis informacija su slaptumo žyma ►M1 TRES SECRET UE/EU TOP SECRET ◄ asmenų sąrašo. Be to, visų tokių asmenų dėmesys dar kartą atkreipiamas į jų ypatingą pareigą saugoti informaciją, pažymėtą slaptumo žyma ►M1 TRES SECRET UE/EU TOP SECRET ◄ . Jie taip pat pasirašo pasižadėjimus, kad nenaudos ir neperduos turimų žinių apie slaptumo žyma ►M1 TRES SECRET UE/EU TOP SECRET ◄ pažymėtą informaciją.

19.3. Specialios naudojimosi informacija, pažymėta slaptumo žymomis ►M1 SECRET UE ◄ ir ►M1 CONFIDENTIEL UE ◄ , taisyklės

Visi asmenys, kuriems reikia naudotis slaptumo žymomis ►M1 SECRET UE ◄ ir ►M1 CONFIDENTIEL UE ◄ pažymėta informacija, pirmiausia yra patikrinami atitinkamai slaptumo žymos laipsniui.

Visi asmenys, kuriems reikia naudotis slaptumo žymomis ►M1 SECRET UE ◄ ir ►M1 CONFIDENTIEL UE ◄ pažymėta informacija, supažindinami su atitinkamomis saugumo taisyklėmis ir neatsargumo padariniais.

Jei slaptumo žymomis ►M1 SECRET UE ◄ arba ►M1 CONFIDENTIEL UE ◄ pažymėta informacija asmenys turi naudotis posėdžiuose ir pan., juos įdarbinusios įstaigos saugumo pareigūnas posėdį organizuojančią įstaigą informuoja, kad tie asmenys turi atitinkamus leidimus.

19.4. Specialios naudojimosi informacija, pažymėta slaptumo žyma ►M1 RESTREINT UE ◄ , taisyklės

Asmenys, galintys naudotis slaptumo žyma ►M1 RESTREINT UE ◄ pažymėta informacija, supažindinami su saugumo taisyklėmis ir neatsargumo padariniais.

Kai personalo narys yra perkeliamas iš pareigų, kurias eidamas turėjo dirbti su ES įslaptinta medžiaga, registratūra prižiūri, kad pareigas paliekantis pareigūnas tą medžiagą tinkamai perduotų jo pareigas eisiančiam pareigūnui.

Kai personalo narys yra perkeliamas į kitas pareigas, kurias eidamas turės dirbti su ES įslaptinta medžiaga, vietos saugumo pareigūnas jį atitinkamai instruktuoja.

Asmenys, kurie turi dirbti su ES įslaptinta informacija, pradėdami eiti pareigas ir vėliau periodiškai yra supažindinami su:

Visi asmenys, kurie paprastai dažnai kontaktuoja su atstovais tų valstybių, kurių žvalgybos tarnybų veikla, kiek tai siejasi su ES įslaptinta informacija ir veikla, yra nukreipta prieš ES ir valstybes nares, yra trumpai instruktuojami apie įprastinius įvairių žvalgybos tarnybų darbo metodus.

Komisija nėra nustačiusi saugumo taisyklių, skirtų asmenų, patikrintų dėl teisės naudotis ES įslaptinta informacija, privačioms kelionėms į bet kurią valstybę. Vis dėlto ►M2 Komisijos Saugumo direktoratas ◄ jam pavaldžius pareigūnus ir kitus tarnautojus supažindina su kelionių taisyklėmis, kurios gali būti jiems taikomos.

20. ASMENS PATIKIMUMO PAŽYMĖJIMŲ IŠDAVIMO KOMISIJOS PAREIGŪNAMS IR KITIEMS DARBUOTOJAMS TVARKA

21. ES ĮSLAPTINTŲ DOKUMENTŲ RENGIMAS, PLATINIMAS, PERDAVIMAS, KURJERIO ASMENS PATIKIMUMAS, PAPILDOMOS KOPIJOS, VERTIMAI IR IŠTRAUKOS

Atitinkamame pastate arba pastatų komplekse įslaptinti dokumentai gali būti gabenami antspauduotame voke, ant kurio užrašoma tik adresato pavardė, jei tą voką gabena asmuo, turintis tų dokumentų saugumo žymos laipsnį atitinkantį patikimumo pažymėjimą.

Nėra nustatyta jokių specialių nuostatų dėl dokumentų, pažymėtų ►M1 RESTREINT UE ◄ slaptumo žyma, perdavimo, išskyrus tai, kad juos gabenant turi būti užtikrinta, jog jie nepakliūtų į leidimo neturinčių asmenų rankas.

Visi kurjeriai ir pasiuntiniai, kurių funkcija yra gabenti dokumentus, pažymėtus slaptumo žymomis ►M1 SECRET UE ◄ ir ►M1 CONFIDENTIEL UE ◄ , privalo turėti atitinkamus asmens patikimumo pažymėjimus.

22.2. Dokumentų su slaptumo žyma ►M1 TRES SECRET UE/EU TOP SECRET ◄ registratūra

22.2.2. Centrinė dokumentų su slaptumo žyma ►M1 TRES SECRET UE/EU TOP SECRET ◄ registratūra

Kaip kontrolės pareigūnas, centrinės dokumentų su slaptumo žyma ►M1 TRES SECRET UE/EU TOP SECRET ◄ registratūros vadovas atsako už:

22.2.3. Dokumentų su slaptumo žyma ►M1 TRES SECRET UE/EU TOP SECRET ◄ subregistratūros

Kaip kontrolės pareigūnas, dokumentų su slaptumo žyma ►M1 TRES SECRET UE/EU TOP SECRET ◄ subregistratūros vadovas atsako už:

23. SAUGUMO PRIEMONĖS, TAIKOMOS SPECIALIEMS NE KOMISIJOS PATALPOSE VYKSTANTIEMS POSĖDŽIAMS, KURIUOSE NAUDOJAMA ES ĮSLAPTINTA INFORMACIJA

Kai Komisijos ar kiti svarbūs posėdžiai vyksta ne Komisijos patalpose ir kai dėl ypač didelio nagrinėjamų klausimų arba naudojamos informacijos slaptumo reikalingi ypatingi saugumo reikalavimai, imamasi toliau aprašytų saugumo priemonių. Šios priemonės skirtos tik ES įslaptintos informacijos apsaugai; gali būti numatytos ir kitos saugumo priemonės.

►M2 Komisijos Saugumo direktoratas ◄ bendradarbiauja su kompetentinga valstybės narės, kurios teritorijoje vyksta posėdis (priimančiosios valstybės narės), institucija, kad būtų užtikrintas Komisijos ir kitų svarbių posėdžių saugumas ir delegatų bei jų personalo apsauga. Saugumo užtikrinimo požiūriu jis turi garantuoti, kad:

Rengiantis posėdžiui ►M2 Komisijos Saugumo direktoratas ◄ veikia kaip patarėjas saugumo klausimais; prireikus jo atstovai turi padėti ir patarti posėdžių apsaugos pareigūnui (PAP) ir delegacijoms.

Kiekvienos dalyvaujančios posėdyje delegacijos prašoma paskirti apsaugos pareigūną, kuris būtų atsakingas už savo delegacijos saugumo reikalus ir už ryšio su posėdžių apsaugos pareigūnu, o prireikus – su ►M2 Komisijos Saugumo direktorato ◄ atstovu palaikymą.

Paskiriamas posėdžių apsaugos pareigūnas, kuris atsako už vidaus saugumo priemonių bendrą parengimą bei kontrolę ir už koordinavimą su kitomis susijusiomis saugumo institucijomis. Priemonės, kurių imasi PAP, apskritai siejasi su:

Pagal delegacijų praneštus jų poreikius PAP išduoda atitinkamus leidimus. Jei reikia, juose gali būti skiriamieji ženklai, nurodantys, į kurias apsaugos zonas patekti atitinkamas leidimas suteikia teisę.

Posėdžių saugumo instrukcijos reikalauja, kad posėdžių vietoje visi susiję asmenys matomoje vietoje visą laiką segėtų leidimus, kad prireikus apsaugos personalas galėtų juos patikrinti.

Be atitinkamus leidimus turinčių posėdžio dalyvių, į posėdžio vietą įleidžiama kuo mažiau žmonių. Tik nacionalinių delegacijų pageidavimu PAP leidžia joms posėdžio metu priimti lankytojus. Lankytojams išduodami lankytojo pažymėjimai. Užpildoma lankytojo leidimo forma – įrašoma jo pavardė ir lankomo asmens pavardė. Lankytojus visą laiką lydi apsaugos darbuotojas arba lankomas asmuo. Lankytojo leidimo formą su savimi turi lydintysis asmuo, kuris, kai lankytojas išeina iš posėdžio, apsaugos darbuotojams ją grąžina kartu su lankytojo pažymėjimu.

Į I klasės saugumo zoną negalima įnešti jokių kamerų ar įrašymo įrengimų, išskyrus įrengimus, kuriuos nešasi atitinkamus PAP leidimus gavę fotografai ir garso inžinieriai.

Turintieji leidimus įeiti į saugumo zoną paprastai gali portfelius ir nešiojamuosius kompiuterius (su savo maitinimo šaltiniu) įsinešti netikrintus. Jei delegacijoms pristatomi paketai, jos gali juos priimti, paketas tokiu atveju patikrinamas delegacijos apsaugos pareigūno, peršviečiamas specialia įranga arba jį atidaro ir patikrina apsaugos personalas. Jei PAP mano, kad tai reikalinga, gali būti numatytos griežtesnės portfelių ir paketų tikrinimo priemonės.

Techninės apsaugos komanda gali padaryti posėdžių kambarį techniškai saugų bei posėdžio metu užtikrinti elektroninę priežiūrą.

Delegacijos atsako už ES įslaptintų dokumentų pristatymą į susirinkimus ir iš jų. Jos taip pat atsako už tų dokumentų tikrinimą ir saugumą, kai juos naudoja joms skirtose patalpose. Priimančiąją valstybę galima paprašyti padėti gabenti įslaptintus dokumentus į posėdžio vietą arba iš jos.

Jei Komisija arba delegacijos negali savo įslaptintų dokumentų saugoti pagal patvirtintas normas, jos gali tuos dokumentus, įdėtus į antspauduotą voką, pasirašytinai atiduoti saugoti Posėdžių apsaugos pareigūnui, kad šis dokumentus saugotų pagal patvirtintas normas.

Posėdžių apsaugos pareigūnas pasirūpina Komisijos ir delegacijų kabinetų patikrinimu po kiekvienos darbo dienos, kad būtų užtikrinta, jog visi ES įslaptinti dokumentai yra laikomi saugioje vietoje. Jei taip nėra, jis imasi tinkamų priemonių.

Visos atliekos laikomos ES įslaptintos informacijos atliekomis, o Komisija ir delegacijos aprūpinamos joms pašalinti skirtomis šiukšlių dėžėmis arba maišais. Prieš palikdamos joms skirtas patalpas Komisija ir delegacijos nuneša atliekas posėdžių apsaugos pareigūnui, kuris jas sunaikina pagal taisykles.

Posėdžiui pasibaigus, visi naudoti, bet nei Komisijai, nei delegacijoms nebereikalingi dokumentai laikomi atliekomis. Prieš atšaukiant posėdžiui taikytas saugumo priemones, atliekama nuodugni Komisijos ir delegacijų patalpų apžiūra. Dokumentai, kuriems buvo pasirašytas kvitas, atitinkamais atvejais sunaikinami, kaip nurodyta 22.5 punkte.

Saugumo pažeidimu laikomas Komisijos saugumo taisyklėms priešingas veiksmas arba neveikimas, galintys kelti pavojų ES įslaptintai informacijai arba ją neteisėtai atskleisti.

ES įslaptintos informacijos neteisėtu atskleidimu laikomas jos visos arba jos dalies patekimas į leidimo tam neturinčių asmenų rankas, t. y. į rankas tų asmenų, kurie neturi asmens patikimumo pažymėjimo arba neatitinka „būtina žinoti“ principo, arba jei yra tikimybė, kad tai atsitiko.

ES įslaptinta informacija gali būti neteisėtai atskleista dėl nerūpestingumo, neapdairumo ar neatsargumo, taip pat dėl prieš ES ar jos valstybes nares nukreiptos apie ES įslaptintą informaciją ar veiklą sužinoti siekiančių tarnybų arba ardomąja veikla užsiimančių organizacijų veiklos.

Visi su ES įslaptinta informacija dirbantys asmenys yra trumpai informuojami apie jų pareigas šioje srityje. Jie iškart praneša apie kiekvieną pastebėtą saugumo pažeidimą.

Kai vietos saugumo pareigūnas ar posėdžių apsaugos pareigūnas nustato arba jam yra pranešama apie ES įslaptintos informacijos saugumo pažeidimą, ES įslaptintos informacijos pametimą arba dingimą, jis laiku imasi veiksmų, kad:

Kiekviena apsaugos institucija, vos pastebėjusi galimą saugumo pažeidimą, privalo nedelsiant pranešti apie tai ►M2 Komisijos Saugumo direktoratui ◄ .

Apie informacijos su slaptumo žyma ►M1 RESTREINT UE ◄ saugumo pažeidimus pranešti reikia tik tuomet, kai tie pažeidimai yra neįprasto pobūdžio.

Už saugumą atsakingas Komisijos narys, gavęs informaciją apie saugumo pažeidimą:

Informaciją parengusi institucija informuoja dokumento adresatus ir duoda jiems atitinkamas instrukcijas.

Asmuo, dėl kurio kaltės buvo neteisėtai atskleista ES įslaptinta informacija, yra baudžiamas drausmine nuobauda pagal atitinkamas teisės normas ir nuostatas, visų pirma Personalo taisyklių VI dalį. Ši nuobauda neužkerta kelio bet kokiems tolesniems teisiniams veiksmams.

Jei reikalinga, remdamasis 24.2 punkte minima ataskaita už saugumą atsakingas Komisijos narys imasi visų reikalingų veiksmų, kad kompetentingos nacionalinės institucijos galėtų pradėti baudžiamąjį procesą.

25. INFORMACINIŲ TECHNOLOGIJŲ IR RYŠIŲ SISTEMOMIS TVARKOMOS ES ĮSLAPTINTOS INFORMACIJOS APSAUGA

Saugumo politika ir reikalavimai taikomi visoms ryšių ir informacinėms sistemoms bei tinklams (toliau – sistemos), kuriose apdorojama ►M1 CONFIDENTIEL UE ◄ ir aukštesnio laipsnio slaptumo žyma pažymėta informacija. Jie taikomi kaip papildantys 1995 m. lapkričio 23 d Komisijos sprendimą C (95) 1510 (galutinis) dėl informacinių sistemų apsaugos.

Sistemoms, kuriose apdorojama slaptumo žyma ►M1 RESTREINT UE ◄ pažymėta informacija, taip pat reikalingos tos informacijos slaptumą apsaugančios saugumo priemonės. Visoms sistemoms reikalingos saugumo priemonės, apsaugančios jų bei jose esančios informacijos vientisumą ir prieinamumą.

Grėsmę galima apibrėžti kaip atsitiktinio arba sąmoningo pakenkimo saugumui galimybę. Sistemų atžvilgiu toks pakenkimas apimtų vienos arba kelių iš šių savybių praradimą: konfidencialumo, vientisumo ar prieinamumo. Pažeidžiamumas apibrėžiamas kaip menka arba nepakankama kontrolė, kuri palengvintų ar sudarytų galimybę atsirasti grėsmei tam tikram objektui arba tikslui.

ES įslaptinta ir neįslaptinta informacija, tvarkoma sistemose greitam atkūrimui, perdavimui ir naudojimui pritaikyta archyvuota forma, yra atvira daugeliui grėsmių, įskaitant galimybę leidimo neturintiems vartotojams pasinaudoti informacija arba, atvirkščiai, neleidimą ja pasinaudoti leidimą turintiems vartotojams. Taip pat egzistuoja informacijos atskleidimo, klastojimo, keitimo arba ištrynimo neturint tam leidimo grėsmė. Be to, sudėtingi ir kartais jautrūs įrengimai yra brangūs, neretai būna sunku juos greitai pataisyti arba pakeisti.

Šiame skirsnyje aprašomų saugumo priemonių svarbiausia paskirtis – apsaugoti ES įslaptintą informaciją nuo jos atskleidimo neturint tam leidimo (konfidencialumo praradimas) ir nuo jos vientisumo bei prieinamumo netekimo. Kad būtų užtikrintas tinkamas ES įslaptintą informaciją tvarkančių sistemų saugumas, ►M2 Komisijos Saugumo direktoratas ◄ nustato atitinkamus bendrojo saugumo standartus bei kiekvienai sistemai specialiai sukurtas atitinkamas saugumo procedūras ir metodus.

Reikia, kad techninių sistemų valdytojas (TSV, žr. 25.3.4 punktą) ir informacijos savininkas (IS, žr. 25.3.5 punktą), prireikus bendradarbiaudami su projekto personalu bei ►M2 Komisijos Saugumo direktorato ◄ (kaip INFOSAUGOS institucija – II, žr. 25.3.3 punktą) ir jų padedami, visoms ►M1 CONFIDENTIEL UE ◄ ir aukštesnio laipsnio slaptumo žyma pažymėtą informaciją tvarkančioms sistemoms sukurtų sistemai pritaikytą saugumo reikalavimų suvestinę, kurią patvirtintų saugumo akreditavimo institucija (SAI, žr. 25.3.2 skirsnį).

Sistemai pritaikytos saugumo reikalavimų suvestinės (SSRS) taip pat reikalaujama, jei saugumo akreditavimo institucija (SAI) su naudojimosi ►M1 RESTREINT UE ◄ slaptumo žyma pažymėta arba neįslaptinta informacija galimybe bei jos vientisumu susijusią padėtį laiko kritiška.

SSRS suformuluojama pradinėje projekto fazėje ir jo eigoje plėtojama ir tobulinama, bei įvairiuose projekto ir sistemų gyvavimo ciklo etapuose atlieka skirtingus uždavinius.

Visos sistemos, apdorojančios ►M1 CONFIDENTIEL UE ◄ ir aukštesnio laipsnio slaptumo žyma pažymėtą informaciją, akredituojamos dirbti vienu, o jei reikalaujama – įvairiais laiko tarpais ir daugiau nei vienu iš toliau nurodytų saugumo režimų arba nacionaliniu tokio modelio atitikmeniu:

„Akreditacija“ – sistemai suteiktas leidimas jos operacinėje aplinkoje apdoroti ES įslaptintą informaciją ir to patvirtinimas.

Tokia akreditacija suteikiama įdiegus visas tinkamas saugumo procedūras ir pasiekus pakankamą sisteminių resursų apsaugos lygį. Akreditacija paprastai suteikiama remiantis SSRS ir apima:

„Centrinio informacijos saugumo pareigūnas“ (CISP) – tai centrinės IT tarnybos pareigūnas, koordinuojantis ir prižiūrintis centralizuotas saugumo priemonių sistemas.

„Atestavimas“ – oficialaus liudijimo, prie kurio pridedama nepriklausoma vertinimo ir rezultatų, sistemos saugumo reikalavimų atitikties arba kompiuterių saugumo produktų atitikties iš anksto nubrėžtiems saugumo reikalavimams laipsnio apžvalga, išdavimas.

„Ryšių saugumas“ (RS) – saugumo priemonių taikymas telekomunikacijoms, neleidžiant leidimo neturintiems asmenims pasinaudoti vertinga informacija, kurią jie gautų valdydami arba analizuodami ryšių srautus, arba garantuojant tokių ryšių srautų autentiškumą.

Tokios priemonės yra šifravimas, perdavimo ir priėmimo saugumas, be to, procedūrų, fizinis, personalo, dokumentų ir kompiuterių saugumas.

„Kompiuterių saugumas“ (KS) - kompiuterinės įrangos, gamintojo programinės įrangos ir programinės įrangos saugumo savybių pritaikymas kompiuterinei sistemai, siekiant apsaugoti informaciją, užkirsti kelią neįgaliotiems asmenims ja manipuliuoti ir ją pakeisti/ištrinti arba apsisaugoti nuo sistemos išėjimo iš rikiuotės (Denial of Service).

„Kompiuterių saugos produktas“ – bendras kompiuterinis saugumo modulis, integruojamas į IT sistemą, siekiant užtikrinti tvarkomos informacijos konfidencialumą, vientisumą ar prieinamumą arba tas savybes paryškinti.

„Priskirtas/dedikuotas saugumo operacijų režimas“ – toks režimas, kai VISI asmenys laikomi tinkamais naudotis aukščiausio sistemoje tvarkomos informacijos slaptumo žymos laipsnio informacija ir turinčiais pagal „būtina žinoti“ principą susipažinti su VISA sistemoje tvarkoma informacija.

„Vertinimas“ – atitinkamos institucijos atliekamas išsamus sistemos saugumo aspektų arba šifravimo ar kompiuterių saugos produktų detalus techninis tyrimas.

„Informacijos savininkas“ (IS) – institucija (departamento vadovas), atsakinga už informacijos sukūrimą, apdorojimą ir naudojimą, taip pat ir už sprendimą, kam suteikti teisę naudotis informacija.

„Informacijos saugumas“ (INFOSAUGA) – saugumo priemonių taikymas siekiant ryšių, informacijos ir kitose elektroninėse sistemose apdorojamą, saugomą arba perduodamą informaciją apsaugoti nuo netyčinio arba tyčinio konfidencialumo, vientisumo arba prieinamumo praradimo ir neleisti prarasti pačių sistemų vientisumo ir prieinamumo.

„INFOSAUGOS priemonės“ – kompiuterių, perdavimo, skleidimo ir kriptogramų saugumas, grėsmių informacijai bei sistemoms atskleidimas, dokumentavimas ir atrėmimas.

„IT aplinka“ – zona, kurioje yra vienas arba daugiau kompiuterių, jų vietiniai periferiniai ir saugojimo elementai, valdymo elementai ir priskirti tinklo ir ryšių įrengimai.

Šiai zonai nepriklauso atskirtos zonos, kuriose yra įrengti nuotoliniai periferiniai prietaisai arba terminalai/nutolusios darbo vietos, nors tie prietaisai ir būtų sujungti su IT zonoje esančiais įrengimais.

„IT tinklas“ – visuma geografiniu atžvilgiu išsklaidytų, tarpusavyje keitimuisi duomenimis sujungtų IT sistemų, apimanti tarpusavyje sujungtas IT sistemas ir jų sąsajas su pagalbiniais duomenų arba ryšių tinklais.

„IT tinklo saugumo savybės“ – tinklą sudarančių individualių IT sistemų saugumo savybės kartu su papildomais komponentais ir savybėmis, susijusiais su pačiu tinklu (pvz., ryšiai tinkle, saugumo identifikavimo ir ženklinimo mechanizmai bei procedūros, prisijungimo kontrolė, programos ir audito takeliai), reikalingi, kad įslaptinta informacija būtų tinkamai apsaugoma.

„IT sistema“ – įrengimų, metodų ir procedūrų, o prireikus ir personalo sistema, vykdanti informacijos apdorojimo funkcijas.

„IT sistemos saugumo savybės“ – visos kompiuterinės įrangos/gamintojo programinės įrangos/programinės įrangos funkcijos, ypatybės ir savybės, valdymo procedūros, apskaitomumo procedūros, prisijungimo kontrolė, IT aplinka, nuotolinio terminalo/darbo vietos aplinka, tvarkymo apribojimai, fizinė struktūra ir prietaisai, personalo ir ryšių kontrolė, kurie reikalingi, kad IT sistemoje tvarkomai įslaptintai informacijai būtų užtikrintas deramas apsaugos lygis.

„Vietos informatikos saugumo pareigūnas“ (VISP) – Komisijos departamento pareigūnas, atsakingas už saugumo priemonių koordinavimą ir priežiūrą savo teritorijoje.

„Daugialaipsnis saugumo operacijų režimas“ – toks režimas, kai NE VISI galintys naudotis sistema asmenys turi leidimą naudotis aukščiausio sistemoje tvarkomos informacijos slaptumo žymos laipsnio informacija ir kai NE VISI galintys naudotis sistema asmenys laikomi turinčiais pagal „būtina žinoti“ principą susipažinti su bendra sistemoje tvarkoma informacija.

„Nuotolinio terminalo/darbo vietos aplinka“ – už IT aplinkos ribų esanti zona, kurioje yra kompiuterių įrengimai, jų vietinė periferinė įranga arba terminalai/darbo vietos ir bet kokie susiję ryšių įrengimai.

„Saugumo operacijų procedūros“ – tai techninių sistemų valdytojo nustatytos procedūros, kai yra apibrėžiami saugumo reikalams būtini principai, atliktinos operacijų procedūros ir personalo atsakomybė.

„AUKŠTO LYGIO SISTEMOS saugumo operacijų režimas“ – tai toks režimas, kai VISI galintys naudotis sistema asmenys turi leidimą naudotis aukščiausio sistemoje tvarkomos informacijos slaptumo žymos laipsnio informacija, tačiau NE VISI galintys naudotis sistema asmenys laikomi turinčiais pagal „būtina žinoti“ principą susipažinti su bendra sistemoje tvarkoma informacija.

„Sistemai pritaikyta saugumo reikalavimų suvestinė“ (SSRS) – tai išsamus ir tikslus saugumo principų, kurių reikia laikytis, ir detalių saugumo reikalavimų, kuriuos reikia atitikti, nustatymas. Jis pagrįstas Komisijos saugumo politika ir rizikos įvertinimu arba jį nulemia operacijų aplinkos kriterijai, žemiausias personalo saugumo patikrinimo lygis, aukščiausias tvarkomos informacijos slaptumo žymos laipsnis, saugumo operacijų režimas arba vartotojo reikalavimai. SSRS yra neatskiriama projekto dokumentų, pateiktų atitinkamoms institucijoms tvirtinti techniniu, biudžeto ir saugumo aspektais, dalis. Galutinės formos SSRS yra išsamus atitinkamos sistemos saugumo prielaidų aprašas.

„Techninių sistemų valdytojas“ (TSV) – institucija, atsakinga už sistemos sukūrimą, tvarkymą, jos darbą ir uždarymą.

„Tempest“ apsaugos priemonės – tai priemonės, skirtos įrangai ir ryšių infrastruktūrai apsaugoti nuo įslaptintos informacijos atskleidimo be leidimo dėl netyčinio elektromagnetinio spinduliavimo ir laidumo.

12 skirsnyje apibrėžtos Komisijos Saugumo politikos patarėjų grupės pareigos apima ir INFOSAUGOS reikalavimus. Grupė savo veiklą organizuoja taip, galėtų šiais klausimais teikti ekspertų patarimus.

►M2 Komisijos Saugumo direktoratas ◄ atsako už išsamių šio skirsnio nuostatomis pagrįstų INFOSAUGOS nuostatų parengimą.

Iškilus saugumo problemoms (incidentai, nusižengimai taisyklėms ir pan.), ►M2 Komisijos Saugumo direktoratas ◄ nedelsiant imasi veiksmų.

►M2 Komisijos Saugumo direktorato direktorius ◄ veikia kaip Komisijos saugumo akreditavimo institucija. SAI atsako už bendrus saugumo reikalus bei už konkrečias INFOSAUGOS, ryšių saugumo, šifravimo saugumo ir ,„Tempest“ saugumo sritis.

SAI užtikrina, kad sistemos atitiktų Komisijos saugumo politiką. Viena iš jos užduočių – aprobuoti savo informacinėje aplinkoje iki tam tikro slaptumo žymos laipsnio įslaptintą ES informaciją tvarkančią sistemą.

Komisijos SAI jurisdikcijai priklauso visos Komisijos patalpose veikiančios sistemos. Kai skirtingi sistemos komponentai patenka į Komisijos SAI ir kitų SAI jurisdikciją, visos suinteresuotos pusės gali paskirti bendrą Komisijos SAI koordinuojamą akreditavimo valdybą.

►M2 Komisijos Saugumo direktorato ◄ INFOSAUGOS padalinio vadovas veikia kaip Komisijos INFOSAUGOS institucija. INFOSAUGOS institucija atsako už:

Už sistemų kontrolės ir konkrečių saugumo savybių įdiegimą bei vykdymą atsako šios sistemos valdytojas, t. y., techninių sistemų valdytojas (TSV). Centralizuotai valdomoms sistemoms paskiriamas centrinis informacijos saugumo pareigūnas (CISP). Kiekvienas departamentas paprastai paskiria vietos informacijos saugumo pareigūną (VISP). TSV taip pat atsako už saugumo operacijų tvarkos (SOT) sukūrimą bei už visą sistemos gyvavimo ciklą, prasidedantį projekto koncepcijos kūrimo etapu ir pasibaigiantį sistemos galutiniu utilizavimu.

TSV smulkiai apibrėžia saugos standartus ir procedūras, kurių turi laikytis sistemos tiekėjai.

Prireikus TSV dalį savo pareigų gali perduoti vietos informatikos saugumo pareigūnui. Tas pats asmuo gali vykdyti įvairias INFOSAUGOS funkcijas.

Informacijos savininkas atsako už ESĮI (ir kitokią informaciją), kurią reikia įtraukti, apdoroti ir sudaryti techninėmis sistemomis. Jis apibrėžia reikalavimus, susijusius su galimybe naudotis šia sistemose esančia informacija. Jis gali perduoti šią pareigą savo srities informacijos valdytojui arba duomenų bazės valdytojui.

Visi vartotojai privalo užtikrinti, kad jų veiksmai nepalankiai nepaveiks sistemos, kuria jie naudojasi, saugumo.

INFOSAUGOS švietimas ir mokymas yra prieinamas visiems personalo nariams, kuriems jo reikia.

Sistemos vartotojai, atsižvelgiant į jų specifinėje sistemoje apdorojamos informacijos slaptumo žymos laipsnį ir turinį, privalo turėti atitinkamus patikimumo pažymėjimus bei atitikti „būtina žinoti“ principą. Galimybė dirbti su tam tikrais įrengimais arba naudotis su sistemų saugumu susijusia informacija suteikiama tik pagal Komisijos nustatytas procedūras gavus specialų pažymėjimą.

SAI nurodo visus saugumo prasme svarbius postus ir apibrėžia patikimumo pažymėjimo lygmenį bei priežiūrą, reikalingą visiems tuose postuose dirbantiems personalo nariams.

Sistemos specifikuojamos ir kuriamos taip, kad būtų lengviau paskirstyti pareigas ir atsakomybę personalui neleidžiant vienam asmeniui įgyti visaapimančių žinių arba kontroliuoti esminių sistemos saugumo elementų.

IT ir nuotolinio terminalo/darbo vietos aplinkoje, kurioje gali būti keičiamas sistemos saugumas, negali dirbti tik vienas leidimą turintis pareigūnas arba kitas darbuotojas.

Sistemos saugumo nustatymai gali būti keičiami ne mažiau kaip dviejų leidimą turinčių darbuotojų kartu.

IT ir nuotolinio terminalo/darbo vietos aplinkoje (apibrėžtoje 25.2 punkte), kurioje IT priemonėmis apdorojama informacija su ►M1 CONFIDENTIEL UE ◄ ir aukštesnio laipsnio slaptumo žyma arba kurioje yra reali galimybė pasinaudoti tokia informacija, priklausomai nuo poreikio sukuriamos ES I ir II klasės saugumo zonos.

Visa informacija ir medžiaga, leidžianti kontroliuoti galimybę naudotis sistema, saugoma pagal aukščiausiam informacijos, kuria naudotis ji sudaro galimybę, slaptumo žymos laipsniui ir atitinkamai informacijos kategorijai taikomus reikalavimus.

Informacija ir medžiaga, leidžianti kontroliuoti galimybę naudotis sistema, sunaikinama pagal 25.5.4 punkto nuostatas, jei ji toliau nebenaudojama šiam tikslui.

Informacijos autoriui pavedama identifikuoti ir įslaptinti visus informacijos turinčius dokumentus, nepriklausomai nuo to, ar tai spausdintinės kopijos, ar kompiuterinių duomenų saugojimo laikmenos. Kiekvienas spausdintinės kopijos lapas pažymimas puslapio viršuje ir apačioje nurodoma slaptumo žyma. Tiek spausdintinei, tiek kompiuterinių duomenų saugojimo laikmenose laikomai informacijai suteikiama to laipsnio slaptumo žyma, kuria buvo pažymėta aukščiausio slaptumo žymos laipsnio dokumentą sudarant panaudota informacija. Sistemos veikimo būdas taip pat gali turėti įtakos ta sistema sudarytos informacijos slaptumo žymos laipsniui.

Komisijos departamentams ir jų informacijos laikytojams pavedama apsvarstyti informacijos atskirų elementų rinkinio problematiką bei išvadas, kurias leidžia daryti susiję elementai, ir nustatyti, ar visai šiai informacijai neturėtų būti suteiktas aukštesnis slaptumo žymos laipsnis.

Tai, kad informacija gali būti trumpas kodas, perdavimo kodas arba bet kokios formos binarinis atvaizdavimas, nesuteikia jokios saugumo garantijos, todėl neturėtų įtakoti informacijos įslaptinimo.

Perduodant informaciją iš vienos sistemos į kitą, perdavimo metu ir priimančiojoje sistemoje ji saugoma originalią informacijos slaptumo žymą ir kategoriją atitinkančiu būdu.

Visos kompiuterinių duomenų saugojimo laikmenos tvarkomos tokiu būdu, kuris atitinka saugomos informacijos aukščiausio laipsnio slaptumo žymą arba laikmenos etiketę, ir visą laiką tinkamai saugomos.

Pakartotinai užrašyti ES įslaptintą informaciją naudojamos kompiuterinių duomenų saugojimo laikmenos išlaiko aukščiausio laipsnio slaptumo žymą, kuria jos kada nors buvo naudojamos, kol tos informacijos slaptumo laipsnis nėra sumažinamas ar ta informacija nėra išslaptinama, arba kol laikmenų slaptumo lygmuo nėra atitinkamai sumažinamas arba jos nėra išslaptinamos ar sunaikinamos pagal SAI patvirtintas nuostatas (žr. 25.5.4 punktą).

Naudojimasis ►M1 SECRET UE ◄ ir aukštesnio laipsnio slaptumo žyma pažymėta informacija registruojamas ir protokoluojamas automatiškai (audito takeliai) arba ranka. Protokolai saugomi pagal šias saugumo taisykles.

IT aplinkoje laikoma ES įslaptinta informacija gali būti tvarkoma kaip vienas įslaptintas dokumentas ir neturi būti registruojama, jei medžiaga yra identifikuota, pažymėtas jos slaptumo žymos laipsnis bei ji yra tinkamai kontroliuojama.

Kai informacija surenkama iš ES įslaptintą informaciją tvarkančios sistemos ir iš IT aplinkos perduodama į nuotolinio terminalo/darbo vietos aplinką, SAI patvirtinus nustatomos informacijos kontrolės ir registravimo procedūros. Informacijai su ►M1 SECRET UE ◄ ir aukštesnio laipsnio slaptumo žyma prie tokių procedūrų priskiriami specialūs nurodymai dėl informacijos apskaitomybės.

25.5.3. Išimamų kompiuterinių duomenų saugojimo laikmenų tvarkymas ir kontrolė

Visos išimamos kompiuterinių duomenų saugojimo laikmenos su ►M1 CONFIDENTIEL UE ◄ ir aukštesnio laipsnio slaptumo žyma tvarkomos kaip medžiaga ir joms taikomos bendros taisyklės. Atitinkamus identifikavimo ir įslaptinimo žymenis reikia priderinti prie konkrečios laikmenų fizinės išvaizdos, kad jie būtų aiškiai atpažįstami.

Vartotojai atsako už tai, kad ES įslaptinta informacija būtų laikoma atitinkama slaptumo žyma pažymėtose ir tinkamai saugomose laikmenose. Nustatoma tvarka, užtikrinanti, kad visų slaptumo žymos laipsnių ES įslaptinta informacija kompiuterinių duomenų saugojimo laikmenose būtų saugoma pagal šias saugumo taisykles.

25.5.4. Kompiuterinių duomenų saugojimo laikmenų išslaptinimas ir naikinimas

SAI patvirtinta tvarka kompiuterinių duomenų saugojimo laikmenų, naudojamų ES įslaptintai informacijai užrašyti, slaptumo lygmuo gali būti sumažintas arba jos gali būti išslaptintos.

Kompiuterinių duomenų saugojimo laikmenos, kuriose buvo saugota slaptumo žyma ►M1 TRES SECRET UE/EU TOP SECRET ◄ pažymėta įslaptinta informacija arba ypatingos kategorijos informacija, neišslaptinamos ir pakartotinai nenaudojamos.

Jei kompiuterinių duomenų saugojimo laikmenų negalima išslaptinti arba pakartotinai panaudoti, jos sunaikinamos pirmiau minėta tvarka.

►M2 Komisijos Saugumo direktorato direktorius ◄ veikia kaip Šifravimo institucija.

Kai ES įslaptinta informacija yra perduodama elektromagnetinio ryšio priemonėmis, tokių perdavimų konfidencialumui, vientisumui ir prieinamumui užtikrinti taikomos specialios priemonės. SAI nustato perdavimų apsaugos nuo pasiklausymo ir perėmimo reikalavimus. Ryšių priemonėmis perduodama informacija saugoma laikantis konfidencialumo, vientisumo ir prieinamumo užtikrinimo reikalavimų.

Kai konfidencialumui, vientisumui ir prieinamumui užtikrinti yra reikalingi šifravimo metodai, tokius metodus ir su jais susijusias priemones specialiai tam tikslui akredituoja kaip Šifravimo institucija veikianti SAI.

Perduodant informaciją su ►M1 SECRET UE ◄ ir aukštesnio laipsnio slaptumo žyma konfidencialumas saugomas taikant šifravimo metodus arba priemones, patvirtintus už saugumą atsakingo Komisijos nario, kuris pasikonsultuoja su Komisijos Saugumo politikos patarėjų grupe. Perduodant informaciją, pažymėtą žymomis ►M1 CONFIDENTIEL UE ◄ ar ►M1 RESTREINT UE ◄ , konfidencialumas saugomas taikant šifravimo metodus arba priemones, patvirtintus Komisijos Šifravimo institucijos, pasikonsultavus su Komisijos Saugumo politikos patarėjų grupe.

ES įslaptintos informacijos perdavimui taikomos taisyklės yra detaliai išdėstomos specialiose saugumo instrukcijose, kurias tvirtina ►M2 Komisijos Saugumo direktoratas ◄ , pasikonsultavęs su Komisijos Saugumo politikos patarėjų grupe.

Esant išskirtinėms aplinkybėms, žymomis ►M1 RESTREINT UE ◄ , ►M1 CONFIDENTIEL UE ◄ ir ►M1 SECRET UE ◄ pažymėta informacija gali būti perduodama atviru tekstu, jei informacijos savininkas kiekvieną atvejį aiškiai leidžia ir tinkamai užregistruoja. Išskirtinės aplinkybės yra:

Sistema turi būti pajėgi prireikus neleisti pasinaudoti įslaptinta informacija viename ar visuose nuotoliniuose terminaluose/darbo vietose arba ją fiziškai išjungiant, arba specialių SAI aprobuotų programinės įrangos funkcijų pagalba.

Pradinis sistemų instaliavimas ir kiekvienas svarbesnis jų pakeitimas organizuojamas taip, kad jį atliktų tik asmens patikimumo pažymėjimus turintys sistemų instaliavimo specialistai, nuolat prižiūrimi techniškai kvalifikuoto personalo, turinčio patikimumo patikrinimo pažymėjimus, leidžiančius naudotis ES įslaptinta informacija, kuri pagal slaptumo žymos laipsnį atitinka aukščiausią informacijos, kuri bus saugoma ir tvarkoma atitinkama sistema, slaptumo žymos laipsnį.

Sistemos, kuriose apdorojama ►M1 CONFIDENTIEL UE ◄ ir aukštesnio laipsnio slaptumo žyma pažymėta informacija, saugomos taip, kad jų apsaugai negrėstų pavojus dėl elektromagnetinio spinduliavimo ir laidumo, kurių tyrimo ir kontrolės priemonės vadinamos „Tempest“.

„Tempest“ apsaugos priemones tikrina ir tvirtina „Tempest“ institucija (žr. 25.3.2 punktą).

Saugumo operacijų tvarka (SOT) nustato saugumo principus, operacijų procedūras ir personalo atsakomybę. Už SOT parengimą atsako techninių sistemų valdytojas (TSV).

Taikomųjų programų saugumas įvertinamas remiantis pačios programos įslaptinimo įvertinimu, o ne pagal informacijos, kurią ji turi apdoroti, įslaptinimą. Naudojamos programinės įrangos versijos reguliariai tikrinamos siekiant užtikrinti jų vientisumą ir teisingą veikimą.

Naujos arba pakeistos programinės įrangos versijos ES įslaptintai informacijai apdoroti nenaudojamos tol, kol jų nepatikrina TSV.

25.6.3. Pažeistos programinės įrangos/kompiuterinių virusų buvimo tikrinimas

Pagal SAI reikalavimus reguliariai tikrinama, ar neatsirado pažeistos programinės įrangos/kompiuterinių virusų.

Visos į Komisiją patenkančios kompiuterinių duomenų saugojimo laikmenos prieš jų instaliavimą į kurią nors sistemą yra patikrinamos, ar programinė įranga nėra pažeista ir ar jos nėra užkrėstos kompiuteriniais virusais.

Kontraktuose ir procedūriniuose nurodymuose dėl planinio ir neplaninio sistemų, kurioms yra parengtas SSRS, aptarnavimo tiksliai apibrėžiami reikalavimai, keliami aptarnavimo personalui, pasirengimui ir į IT aplinką įsinešamai reikiamai įrangai.

Reikalavimai yra aiškiai išdėstomi SSRS, o aptarnavimo tvarka – SOT. Rangovo aptarnavimo paslaugos, kai reikia pasinaudoti nuotolinėmis diagnostinėmis procedūromis, leistinos ypatingais atvejais, esant griežtai saugumo kontrolei ir tik turint SAI leidimą.

Kiekvienas kuriamai sistemai naudojamas saugumo produktas turi būti arba jau įvertintas ir patvirtintas, arba šiuo metu pagal tarptautiniu lygiu pripažintus kriterijus (tokius kaip Bendrieji informacinių technologijų saugumo vertinimo kriterijai, ISO 15408) vertinamas ir atestuojamas vienos iš ES valstybių narių atitinkamos vertinimo ir atestavimo institucijos. Reikalingos specialios procedūros Patariamojo pirkimų kontraktų komiteto (PPKK) pritarimui.

Priimant sprendimą dėl to, ar lizinguoti, ar pirkti įrangą, ypač kompiuterinių duomenų saugojimo laikmenas, reikia turėti galvoje tai, kad įranga, kuri nors kartą buvo naudota ES įslaptintai informacijai tvarkyti, negali būti pernuomojama už tinkamai saugios aplinkos ribų, prieš tai SAI sutikimu jos neišslaptinus. Reikia atsižvelgti ir į tai, kad SAI ne visada duos tokį sutikimą.

Visas sistemas, kurioms turi būti parengtas SSRS, prieš pradedant jomis tvarkyti ES įslaptintą informaciją turi akredituoti SAI, remdamasi SSRS, SOT pateikta informacija ir bet kuriais kitais atitinkamais dokumentais. Posistemės ir nuotoliniai terminalai/darbo vietos akredituojamos kaip visų sistemų, prie kurių jie yra prijungti, dalis. Kai sistemą naudoja ir Komisija, ir kitos organizacijos, Komisija ir atitinkamos saugumo institucijos tarpusavyje susitaria dėl akreditavimo.

Akreditavimą galima atlikti pagal atitinkamai sistemai pritaikytą ir SAI apibrėžtą akreditavimo strategiją.

Tam tikrais atvejais prieš akreditaciją kompiuterinės įrangos, gamintojo programinės įrangos ir apskritai programinės įrangos sistemos saugumo savybės yra įvertinamos ir atestuojamos kaip tinkamos reikiamo slaptumo žymos laipsnio informacijai saugoti.

Vertinimo ir atestavimo reikalavimai įtraukiami planuojant sistemą ir aiškiai suformuluojami SSRS.

Vertinimą ir atestavimą pagal patvirtintą vadovą TSV vardu atlieka techniškai kvalifikuotas ir tinkamus patikimumo pažymėjimus turintis personalas.

Atitinkamą personalą gali skirti valstybės narės paskirta vertinimo ir akreditavimo institucija arba jos paskirti atstovai, pvz., kompetentingas ir patikrintas sutarties partneris.

Vertinimas ir atestavimas gali būti supaprastinamas (pvz., vertinami tik integravimo aspektai), jei sistemos yra pagrįstos nacionaliniu lygiu įvertintais ir atestuotais kompiuterių saugumo produktais.

TSV nustato įprasto tikrinimo procedūras, užtikrinančias visų sistemos saugumo savybių tinkamumą naudoti.

Pakeitimai, dėl kurių sistemą reikėtų iš naujo akredituoti arba kuriuos pirmiau turėtų patvirtinti SAI, turi būti aiškiai nurodyti ir suformuluoti SSRS. Po kiekvieno pakeitimo, taisymo arba kiekvieno gedimo, galėjusių neigiamai paveikti sistemos saugumo savybes, TSV turi užtikrinti patikrinimą, kuris garantuotų tinkamą saugumo savybių veikimą. Sistemos akreditacijos pratęsimas paprastai priklauso nuo patikrinimų sėkmingumo.

Visas sistemas, kuriose yra įdiegtos saugumo savybės, reguliariai tikrina arba kontroliuoja SAI. Slaptumo žyma ►M1 TRES SECRET UE/EU TOP SECRET ◄ pažymėtą informaciją apdorojančios sistemos tikrinamos ne rečiau kaip kartą per metus.

Mikrokompiuteriai/asmeniniai kompiuteriai (AK) su fiksuotais diskais (arba kitomis pastoviomis laikmenomis), veikiantys atskirai arba sujungti į tinklą, ir nešiojamosios kompiuterinės priemonės (pvz., nešiojamieji AK ir elektroninės „užrašų knygutės“) su fiksuotais kietaisiais diskais yra laikomi informacinėmis laikmenomis ta pačia prasme, kaip ir lankstieji diskeliai arba kitos išimamos kompiuterinių duomenų saugojimo laikmenos.

Šiai įrangai suteikiamos apsaugos – prieinamumo, apdorojimo, saugojimo ir gabenimo požiūriu – lygmuo turi atitikti bet kada joje laikytos arba apdorotos informacijos aukščiausią slaptumo žymos laipsnį (tol, kol pagal patvirtintą tvarką tas laipsnis nebus sumažintas arba informacija nebus išslaptinta).

25.8.2. Nuosavų IT įrengimų naudojimas atliekant Komisijos tarnybines pareigas

ES įslaptintai informacijai tvarkyti draudžiama naudoti saugojimo galimybių turinčias nuosavas išimamas kompiuterinių duomenų saugojimo laikmenas, programinę įrangą ir kompiuterinę įrangą (pvz., asmeninius kompiuterius ir nešiojamąją kompiuterinę įrangą).

Neturint ►M2 Komisijos Saugumo direktorato direktoriaus ◄ raštiško leidimo, į jokią I ir II klasės zoną, kurioje dirbama su ES įslaptinta informacija, neleidžiama įsinešti nuosavos kompiuterinės įrangos, programinės įrangos ir laikmenų. Toks leidimas gali būti išduodamas tik išimtiniais atvejais dėl techninių priežasčių.

25.8.3. Sutarties partnerio ar šalies narės tiekiamų IT įrengimų naudojimas atliekant Komisijos tarnybines pareigas

Leisti Komisijoje tarnybiniais tikslais naudoti sutarties partnerio IT įrengimus ir programinę įrangą gali ►M2 Komisijos Saugumo direktorato direktorius ◄ . Šalies narės tiekiamus IT įrengimus ir programinę įrangą taip pat gali būti leista naudoti; tuo atveju IT įrengimai perduodami atitinkamai Komisijos inventoriaus kontrolei. Bet kuriuo atveju, jei ES įslaptintai informacijai apdoroti naudojami IT įrengimai, yra konsultuojamasi su SAI, kad tuos įrengimus naudojant taikomi INFOSAUGOS elementai būtų tinkamai apsvarstyti ir įgyvendinti.

26. ES ĮSLAPTINTOS INFORMACIJOS PERDAVIMAS TREČIOSIOMS ŠALIMS ARBA TARPTAUTINĖMS ORGANIZACIJOMS

Komisija kolegialiai priima sprendimą dėl ES įslaptintos informacijos perdavimo trečiosioms šalims arba tarptautinėms organizacijoms, atsižvelgdama į:

Priimdamos ES įslaptintą informaciją, trečiosios šalys arba tarptautinės organizacijos garantuoja, kad perduota informacija nebus naudojama jokiems kitiems tikslams, išskyrus tuos, dėl kurių informacija yra perduodama arba ja yra keičiamasi, ir kad jie garantuos Komisijos reikalaujamą saugumą.

Nusprendusi, kad įslaptinta informacija gali būti perduodama atitinkamai valstybei ar tarptautinei organizacijai arba su ja gali būti keičiamasi ta informacija, Komisija taip pat priima sprendimą dėl galimo bendradarbiavimo lygio. Bendradarbiavimo lygis ypač priklauso nuo tos valstybės ar tarptautinės organizacijos taikomos saugumo politikos ir nuostatų.

Nusprendusi, kad yra nuolatinis arba ilgalaikis poreikis keistis įslaptinta informacija su trečiosiomis šalimis ar kitomis tarptautinėmis organizacijomis, Komisija su jomis sudaro „Susitarimus dėl saugumo keičiantis įslaptinta informacija tvarkos“, kuriuose apibrėžiami bendradarbiavimo tikslai ir abipusės informacijos, kuria keičiamasi, apsaugos taisyklės.

Esant 3 lygio atsitiktiniam bendradarbiavimui, kuris pagal apibrėžimą yra riboto laiko ir kuriuo siekiama ribotų tikslų, „Susitarimus dėl saugumo keičiantis įslaptinta informacija tvarkos“ gali pakeisti paprasti sutarimo memorandumai, apibrėžiantys įslaptintos informacijos, kuria bus keičiamasi, pobūdį ir abipusius įsipareigojimus dėl tos informacijos, jei jos slaptumo žymos laipsnis ne aukštesnis už ►M1 RESTREINT UE ◄ .

Prieš pateikiant susitarimų dėl saugumo tvarkos ir sutarimo memorandumų projektus Komisijai sprendimui priimti, juos svarsto Komisijos Saugumo politikos patarėjų grupė.

Už saugumą atsakingas Komisijos narys bet kokios reikalingos pagalbos kreipiasi į valstybių narių NSI, kad užtikrintų, jog perduodama informacija bus naudojama ir saugoma pagal susitarimų dėl saugumo tvarkos ar sutarimo memorandumų nuostatas.

Šiame skyriuje aptariami pramoninės veiklos saugumo aspektai, kurie yra svarbūs vedant derybas ir sudarant sutartis arba susitarimus dėl dotacijų, pagal kuriuos pramonės ir kitiems subjektams pavedamos užduotys, susijusios su ES įslaptinta informacija, kurias vykdant susiduriama su tokia informacija ir (arba) tokia informacija yra užduoties dalis, taip pat jiems vykdant šias sutartis, įskaitant ES įslaptintos informacijos perdavimą arba galimybę su ja susipažinti viešųjų pirkimų procedūros ir kvietimų teikti paraiškas metu (paraiškų pateikimo laikotarpiu ir vedant derybas iki sutarties sudarymo).

Dėl Komisijos darbuotojų apsilankymų valstybių narių pramonės arba kituose subjektuose, vykdančiuose ES įslaptintas sutartis, turi būti susitariama su atitinkama NSA ir (arba) DSA. Dėl pramonės arba kitų subjektų darbuotojų apsilankymų, susijusių su ES įslaptintomis sutartimis, turi susitarti atitinkamos NSA ir (arba) DSA. Tačiau su ES įslaptinta sutartimi susijusios NSA ir (arba) DSA gali susitarti dėl tvarkos, pagal kurią dėl pramonės arba kitų subjektų darbuotojų apsilankymų gali būti susitariama tiesiogiai.

NACIONALINIO SAUGUMO KLASIFIKACIJŲ PALYGINIMAS

ES klasifikacija	TRES SECRET UE/EU TOP SECRET	SECRET UE	CONFIDENTIEL UE	RESTREINT UE
VES klasifikacija	FOCAL TOP SECRET	WEU SECRET	WEU CONFIDENTIAL	WEU RESTRICTED
Euratomo klasifikacija	EURA TOP SECRET	EURA SECRET	EURA CONFIDENTIAL	EURA RESTRICTED
NATO klasifikacija	COSMIC TOP SECRET	NATO SECRET	NATO CONFIDENTIAL	NATO RESTRICTED
Austrija	Streng Geheim	Geheim	Vertraulich	Eingeschränkt
Belgija	Très Secret	Secret	Confidentiel	Diffusion restreinte
Belgija	Zeer Geheim	Geheim	Vertrouwelijk	Beperkte Verspreiding
Kipras	Άκρως Απόρρητο	Απόρρητο	Εμπιστευτικό	Περιορισμένης Χρήσης
Čekijos Respublika	Přísn tajné	Tajné	Důvěrné	Vyhrazené
Danija	Yderst hemmeligt	Hemmeligt	Fortroligt	Til tjenestebrug
Estija	Täiesti salajane	Salajane	Konfidentsiaalne	Piiratud
Vokietija	Streng geheim	Geheim	VS (1) — Vertraulich	VS — Nur für den Dienstgebrauch
Graikija	Άκρως Απόρρητο	Απόρρητο	Εμπιστευτικό	Περιορισμένης Χρήσης
Graikija	Abr: ΑΑΠ	Abr: (ΑΠ)	Αbr: (ΕΜ)	Abr: (ΠΧ)
Suomija	Erittäin salainen	Erittäin salainen	Salainen	Luottamuksellinen
Prancūzija	Très Secret Défense (2)	Secret Défense	Confidentiel Défense
Airija	Top Secret	Secret	Confidential	Restricted
Italija	Segretissimo	Segreto	Riservatissimo	Riservato
Latvija	Sevišķi slepeni	Slepeni	Konfidenciāli	Dienesta vajadzībām
Lietuva	Visiškai slaptai	Slaptai	Konfidencialiai	Riboto naudojimo
Liuksemburgas	Très Secret	Secret	Confidentiel	Diffusion restreinte
Vengrija	Szigorúan titkos !	Titkos !	Bizalmas !	Korlátozott terjesztésű !
Malta	L-Ghola Segretezza	Sigriet	Kunfidenzjali	Ristrett
Nyderlandai	Stg (3). Zeer Geheim	Stg. Geheim	Stg. Confidentieel	Departementaalvertrouwelijk
Lenkija	Ściśle Tajne	Tajne	Poufne	Zastrzeżone
Portugalija	Muito Secreto	Secreto	Confidencial	Reservado
Slovėnija	Strogo tajno	Tajno	Zaupno	SVN Interno
Slovakija	Prísne tajné	Tajné	Dôverné	Vyhradené
Ispanija	Secreto	Reservado	Confidencial	Difusión Limitada
Švedija	Kvalificerat hemlig	Hemlig	Hemlig	Hemlig
Jungtinė Karalystė	Top Secret	Secret	Confidential	Restricted
(1) VS = Verschlusssache (2) Klasifikacija „Très Secret Défense“, apimanti vyriausybinius klausimus, gali būti pakeista tik gavus Ministro Pirmininko leidimą. (3) Stg = staatsgeheim

Šis vadovas yra informacinis, jis negali būti aiškinamas kaip keičiantis esmines 16, 17, 20 ir 21 skirsnių nuostatas.

Slaptumo žyma

Kada

Kas

Žymos dėjimas

Slaptumo žymos laipsnio sumažinimas/išslaptinimas/sunaikinimas

Kas

Kada

►M1 TRES SECRET UE/EU TOP SECRET ◄ :

Ši žyma suteikiama tik tai informacijai ir medžiagai, kurią atskleidus be leidimo, gali būti padaryta ypač didelė žala svarbiausiems Europos Sąjungos arba vienos ar daugiau jos valstybių narių interesams [16.1].

Tikėtina, kad atskleidus slaptumo žyma ►M1 TRES SECRET UE/EU TOP SECRET ◄ pažymėtus dalykus,

— iškiltų tiesioginė grėsmė ES arba vienos iš valstybių narių ar draugiškos valstybės vidaus stabilumui;

— būtų ypač smarkiai pakenkta santykiams su draugiškomis Vyriausybėmis;

— būtų netekta labai daug gyvybių;

— būtų ypač smarkiai pakenkta valstybių narių arba kitų bendrininkų pajėgų operacijų veiksmingumui ar saugumui arba besitęsiančiam ypač vertingų saugumo ir žvalgybos operacijų veiksmingumui;

— būtų padaryta didelė ilgalaikė žala ES arba valstybių narių ekonomikai.

Tinkamai įgalioti asmenys (autoriai), generaliniai direktoriai, tarnybų vadovai [17.1].

Autoriai nurodo datą, laiką arba atvejį, kada turinio slaptumo laipsnis gali būti sumažintas arba dokumentas išslaptintas [16.2].

Kitais atvejais jie peržiūri dokumentus ne rečiau kaip kas penkerius metus, kad garantuotų, jog reikalingas pradinis įslaptinimas [17.3].

Slaptumo žyma ►M1 TRES SECRET UE/EU TOP SECRET ◄ , o tam tikrais atvejais apsaugos galiojimo laikotarpį nurodantys ženklai ir (arba) gynybos kvalifikacinė žyma ESGP dedama ant šios kategorijos dokumentų mechaninėmis priemonėmis arba ranka [16.4, 16.5, 16.3].

ES slaptumo žymos ir apsaugos galiojimo laikotarpį nurodantys ženklai dedami centre kiekvieno puslapio viršuje ir apačioje, puslapiai numeruojami. Kiekvienas dokumentas turi registracijos numerį ir datą; šis registracijos numeris rašomas kiekviename puslapyje.

Jei dokumentai turi būti platinami keliais egzemplioriais, ant kiekvieno iš jų pirmajame puslapyje kartu su bendru puslapių skaičiumi rašomas kopijos numeris. Visi priedai ir pridedami dokumentai išvardijami dokumento pirmajame puslapyje [21.1].

Išslaptinimas arba slaptumo žymos laipsnio sumažinimas yra autoriaus kompetencija. Jis apie pakeitimą informuoja suinteresuotus adresatus, kuriems yra nusiuntęs dokumentą arba padaręs jo kopiją [17.3].

Dokumentus, pažymėtus slaptumo žyma ►M1 TRES SECRET UE/EU TOP SECRET ◄ , sunaikina už juos atsakinga centrinė registratūra arba subregistratūra. Kiekvienas sunaikintas dokumentas įrašomas į sunaikinimo pažymą, kurią pasirašo dokumentų su slaptumo žyma ►M1 TRES SECRET UE/EU TOP SECRET ◄ kontrolės pareigūnas ir naikinimą stebėjęs pareigūnas, turintis dirbti su slaptumo žyma ►M1 TRES SECRET UE/EU TOP SECRET ◄ pažymėtais dokumentais tinkamą patikimumo pažymėjimą. Pranešimas apie tai įrašomas atitinkamoje registro knygoje. Sunaikinimo pažymas kartu su paskirstymo lapais registratūra saugo 10 metų [22.5].

Atliekamos kopijos ir nebereikalingi dokumentai yra sunaikinami [22.5].

Dokumentai su ►M1 TRES SECRET UE/EU TOP SECRET ◄ slaptumo žyma, taip pat ir visos įslaptintos informacijos atliekos, susidariusios rengiant tuos dokumentus, tokios kaip sugadintos kopijos, darbiniai projektai, išspausdintos pastabos, nuorašams naudotas kalkinis popierius, stebint dokumentų su slaptumo žyma ►M1 TRES SECRET UE/EU TOP SECRET ◄ kontrolės pareigūnui yra sunaikinami sudeginant, paverčiant minkšta mase, supjaustant arba kitaip susmulkinant, kad jų turinys ar forma negalėtų būti atkurti [22.5].

►M1 SECRET UE ◄ :

Ši žyma suteikiama tik tai informacijai ir medžiagai, kurią atskleidus be leidimo, gali būti labai pakenkta svarbiausiems Europos Sąjungos arba vienos ar daugiau jos valstybių narių interesams.

Tikėtina, kad atskleidus slaptumo žyma ►M1 SECRET UE ◄ pažymėtus dalykus:

— būtų sukelta tarptautinė įtampa;

— būtų padaryta didelė žala santykiams su draugiškomis Vyriausybėmis;

— iškiltų grėsmė gyvybei arba būtų labai pakenkta viešajai tvarkai arba asmens saugumui ir laisvei;

— būtų smarkiai pakenkta valstybių narių arba kitų bendrininkų pajėgų operacijų veiksmingumui ar saugumui arba besitęsiančiam labai vertingų saugumo ir žvalgybos operacijų veiksmingumui

— būtų padaryta didelė materialinė žala ES arba vienos iš jos valstybių narių finansiniams, monetariniams, ekonominiams ir prekybiniams interesams.

Įgalioti asmenys autoriai), generaliniai direktoriai, tarnybų vadovai [17.1].

Autoriai nurodo datą, laiką, kada turinio slaptumo laipsnis gali būti sumažintas arba dokumentas išslaptintas [16.2].

Kitais atvejais jie peržiūri dokumentus ne rečiau kaip kas penkerius metus, kad garantuotų, jog reikalingas pradinis įslaptinimas [17.3].

Slaptumo žyma ►M1 SECRET UE ◄ , o tam tikrais atvejais apsaugos galiojimo laikotarpį nurodantys ženklai ir (arba) gynybos kvalifikacinė žyma ESGP dedama ant atitinkamos kategorijos dokumentų mechaninėmis priemonėmis arba ranka [16.4, 16.5, 16.3].

Jei dokumentas dauginamas keliais egzemplioriais, ant kiekvieno iš jų pirmajame puslapyje kartu su bendru puslapių skaičiumi rašomas kopijos numeris. Visi priedai ir pridedami dokumentai išvardijami dokumento pirmajame puslapyje [21.1].

Išslaptinimas ir slaptumo laipsnio sumažinimas yra autoriaus kompetencija. Jis apie pakeitimą informuoja suinteresuotus adresatus, kuriems yra nusiuntęs dokumentą arba padaręs jo kopiją [17.3].

Dokumentus, pažymėtus slaptumo žyma ►M1 SECRET UE ◄ , sunaikina už tokius dokumentus atsakinga registratūra; naikinimą stebi patikimumo pažymėjimą turintis asmuo. Naikinamieji dokumentai su slaptumo žyma ►M1 SECRET UE ◄ įrašomi į pasirašytas sunaikinimo pažymas, kurias kartu su platinimo formomis registratūra saugo ne mažiau kaip trejus metus [22.5].

Atliekamos kopijos ir nebereikalingi dokumentai yra sunaikinami [22.5].

Dokumentai su slaptumo žyma ►M1 SECRET UE ◄ , tarp jų ir visos įslaptintos informacijos atliekos, susidariusios rengiant tuos dokumentus, tokios kaip sugadintos kopijos, darbiniai projektai, išspausdintos pastabos ir nuorašams naudotas kalkinis popierius, yra sunaikinami sudeginant, paverčiant minkšta mase, supjaustant arba kitaip susmulkinant, kad jų turinys ar forma negalėtų būti atkurti [22.5].

►M1 CONFIDENTIEL UE ◄ :

Ši žyma suteikiama tai informacijai ir medžiagai, kurią atskleidus be leidimo, gali būti pakenkta svarbiausiems Europos Sąjungos arba vienos ar daugiau jos valstybių narių interesams [16.1].

Tikėtina, kad atskleidus slaptumo žyma ►M1 CONFIDENTIEL UE ◄ pažymėtus dalykus,

— būtų padaryta konkreti žala diplomatiniams santykiams, t. y. būtų sukeltas oficialus protestas arba kitokios sankcijos;

— būtų pakenkta asmens saugumui arba laisvei;

— būtų pakenkta valstybių narių arba kitų bendrininkų pajėgų operacijų veiksmingumui arba vertingų saugumo ir žvalgybos operacijų veiksmingumui;

— būtų iš esmės sumažintas svarbių organizacijų finansinis gyvybingumas;

— būtų sutrukdyta tyrimams arba palengvintas sunkių nusikaltimų darymas;

— iš esmės būtų veikiama prieš ES arba valstybių narių finansinius, monetarinius, ekonominius ir prekybinius interesus;

— būtų rimtai kliudoma esminių ES politikų parengimui arba vykdymui;

— nutrauktų arba kitaip iš esmės sugriautų svarbias ES veiklas.

Įgalioti asmenys (autoriai), generaliniai direktoriai ir tarnybų vadovai [17.1].

Autoriai nurodo datą arba laiką, kada turinio slaptumo laipsnis gali būti sumažintas arba dokumentas išslaptintas. Kitais atvejais jie peržiūri dokumentus ne rečiau kaip kas penkerius metus, kad garantuotų, jog reikalingas pradinis įslaptinimas [17.3].

Slaptumo žyma ►M1 CONFIDENTIEL UE ◄ , o tam tikrais atvejais apsaugos galiojimo laikotarpį nurodantys ženklai ir (arba) gynybos kvalifikacinė žyma ESGP dedama ant atitinkamos kategorijos dokumentų mechaninėmis priemonėmis ar ranka arba spausdinama ant iš anksto antspauduoto ir registruoto popieriaus [16.4, 16.5, 16.3].

ES slaptumo žymos dedamos centre kiekvieno puslapio viršuje ir apačioje, puslapiai numeruojami. Kiekvienas dokumentas turi registracijos numerį ir datą.

Visi priedai ir pridedami dokumentai išvardijami dokumento pirmajame puslapyje [21.1].

Išslaptinimas ir slaptumo laipsnio sumažinimas yra autoriaus kompetencija. Jis apie pakeitimą informuoja suinteresuotus adresatus, kuriems yra nusiuntęs dokumentą arba padaręs kopiją [17.3].

Dokumentus su slaptumo žyma ►M1 CONFIDENTIEL UE ◄ sunaikina už tokius dokumentus atsakinga registratūra; naikinimą stebi patikimumo pažymėjimą turintis asmuo. Jų sunaikinimas užregistruojamas pagal nacionalines nuostatas, o Komisijos arba ES decentralizuotose agentūrose - pagal ►M2 už saugumą atsakingo Komisijos nario ◄ instrukcijas [22.5].

Atliekamos kopijos ir nebereikalingi dokumentai yra sunaikinami [22.5].

Dokumentai su slaptumo žyma ►M1 CONFIDENTIEL UE ◄ , taip pat ir visos įslaptintos informacijos atliekos, susidariusios rengiant tuos dokumentus, tokios kaip sugadintos kopijos, darbiniai projektai, išspausdintos pastabos ir nuorašams naudotas kalkinis popierius, yra sunaikinami sudeginant, paverčiant minkšta mase, supjaustant arba kitaip susmulkinant, kad jų turinys ar forma negalėtų būti atkurti [22.5].

►M1 RESTREINT UE ◄ :

Ši žyma suteikiama tai informacijai ir medžiagai, kurios atskleidimas be leidimo gali būti nenaudingas Europos Sąjungos arba vienos ar daugiau jos valstybių narių interesams [16.1].

Tikėtina, kad atskleidus slaptumo žyma ►M1 RESTREINT UE ◄ pažymėtus dalykus,

— būtų nepalankiai paveikti diplomatiniai santykiai;

— būtų sukelta daug rūpesčių asmenims;

— būtų sunkiau palaikyti valstybių narių arba kitų bendrininkų operacijų veiksmingumą arba saugumą;

— būtų padaryta finansinių nuostolių asmenims ir verslo įmonėms arba jiems būtų lengviau gauti neteisėtą pelną arba naudą;

— būtų sulaužyti rimti susitarimai, kuriais išsaugomas iš trečiųjų šalių gautos informacijos konfidencialumas;

— būtų sulaužyti įstatyminiai informacijos atskleidimo apribojimai;

— būtų pakenkta tyrimams arba palengvintas nusikaltimų darymas;

— ES ir valstybės narės, vesdamos prekybos arba politines derybas su trečiosiomis šalimis, patektų į nepalankią padėtį;

— būtų trukdoma kliudoma esminių ES politikų parengimui arba vykdymui;

— būtų susilpnintas tinkamas ES ir jos veiklos valdymas.

Įgalioti asmenys (autoriai), generaliniai direktoriai, tarnybų vadovai [17.1].

Autoriai nurodo datą, laiką arba atvejį, kada turinio slaptumo laipsnis gali būti sumažintas arba dokumentas išslaptintas [16.2]. Kitais atvejais jie peržiūri dokumentus ne rečiau kaip kas penkerius metus, kad garantuotų, jog reikalingas pradinis įslaptinimas [17.3].

Slaptumo žyma ►M1 RESTREINT UE ◄ , o tam tikrais atvejais apsaugos galiojimo laikotarpį nurodantys ženklai ir (arba) gynybos kvalifikacinė žyma ESGP dedama ant atitinkamos kategorijos dokumentų mechaninėmis priemonėmis arba ranka. [16.4, 16.5, 16.3].

ES slaptumo žymos spausdinamos centre kiekvieno puslapio viršuje ir apačioje, puslapiai numeruojami. Kiekvienas dokumentas turi registracijos numerį ir datą [21.1].

Išslaptinimas yra autoriaus kompetencija. Jis apie išslaptinimą informuoja suinteresuotus adresatus, kuriems yra nusiuntęs dokumentą arba padaręs jo kopiją [17.3].

Dokumentus su slaptumo žyma ►M1 RESTREINT UE ◄ sunaikina už juos atsakinga registratūra arba vartotojas pagal ►M2 už saugumą atsakingo Komisijos nario ◄ instrukcijas [22.5].

Atliekamos kopijos ir nebereikalingi dokumentai yra sunaikinami [22.5].

ES įslaptintos informacijos perdavimo trečiosioms šalims arba tarptautinėms organizacijoms vadovas: 1 lygio bendradarbiavimas

ES įslaptintos informacijos perdavimo trečiosioms šalims arba tarptautinėms organizacijoms vadovas: 2 lygio bendradarbiavimas

ES įslaptintos informacijos perdavimo trečiosioms šalims arba tarptautinėms organizacijoms vadovas: 3 lygio bendradarbiavimas

SANTRUMPOS

ACPC	Patariamasis pirkimų ir kontraktų komitetas (PPKK)
CrA	Šifravimo institucija (ŠI)
CISO	Centrinis informatikos saugumo pareigūnas (CISP)
COMPUSEC	Kompiuterių saugumas (KS)
COMSEC	Ryšių saugumas (RS)
CSO	►M2 Komisijos Saugumo direktoratas ◄ (KSB)
ESDP	Europos saugumo ir gynybos politika (ESGP)
EUCI	Europos Sąjungos įslaptinta informacija (ESĮI)
IA	Infosaugumo institucija (II)
INFOSEC	Informacijos saugumas (INFOSAUGA)
IO	Informacijos savininkas (IS)
ISO	Tarptautinė standartizacijos organizacija (TSO)
IT	Informacinės technologijos (IT)
LISO	Vietos informatikos saugumo pareigūnas (VISP)
LSO	Vietos saugumo pareigūnas (VSP)
MSO	Posėdžių apsaugos pareigūnas (PAP)
NSA	Nacionalinė saugumo institucija (NSI)
PC	Asmeninis kompiuteris (AK)
RCO	Registro kontrolės pareigūnas (RKP)
SAA	Saugumo akreditavimo institucija (SAI)
SecOPS	Saugumo operacijų tvarka (SOT)
SSRS	Sistemai pritaikyta saugumo reikalavimų suvestinė (SSRS)
TA	TEMPEST institucija (TI)
TSO	Techninių sistemų valdytojas (TSV)
▼M3
DSA	paskirtoji saugumo institucija (Designated Security Authority)
FSC	patalpų saugumo patikrinimas (Facility Security Clearance)
FSO	patalpų saugumo pareigūnas (Facility Security Officer)
PSC	personalo patikimumo patikrinimas (Personnel Security Clearance)
SAL	saugumo aspektų paaiškinimas (Security Aspects Letter)
SCG	įslaptinimo vadovas (Security Classification Guide)

( 5 ) Nepažeidžiant 1961 m. Vienos konvencijos dėl diplomatinių santykių ir 1965 m. balandžio 8 d. Protokolo dėl Europos Bendrijų privilegijų ir imunitetų.

( 6 ) Žr.1 priedėlyje ES, NATO, VES ir valstybių narių slaptumo žymų palyginamąją lentelę.

		Oficialusis leidinys
		No	page	date
►M1	KOMISIJOS SPRENDIMAS 2005 m. vasario 3 d.	L 31	66	4.2.2005
►M2	KOMISIJOS SPRENDIMAS 2006 m. sausio 31 d.	L 34	32	7.2.2006
►M3	KOMISIJOS SPRENDIMAS 2006 m. rugpjūčio 2 d.	L 215	38	5.8.2006

Turinys
I DALIS.	PAGRINDINIAI SAUGUMO PRINCIPAI IR MINIMALŪS STANDARTAI
1.	ĮVADAS
2.	BENDRIEJI PRINCIPAI
3.	SAUGUMO PAGRINDAI
4.	INFORMACIJOS APSAUGOS PRINCIPAI
4.1.	Tikslai
4.2.	Sąvokų apibrėžimai
4.3.	Įslaptinimas
4.4.	Saugumo priemonių paskirtis
5.	APSAUGOS ORGANIZAVIMAS
5.1.	Bendri minimalūs standartai
5.2.	Organizavimas
6.	PERSONALO SAUGUMAS
6.1.	Personalo tikrinimas
6.2.	Asmens patikimumo pažymėjimų registravimas
6.3.	Personalo saugumo instruktažas
6.4.	Vadovų atsakomybė
6.5.	Personalo saugumas
7.	FIZINIS SAUGUMAS
7.1.	Apsaugos poreikis
7.2.	Tikrinimas
7.3.	Pastatų saugumas
7.4.	Nenumatytoms aplinkybėms skirti planai
8.	INFORMACIJOS SAUGUMAS
9.	KITŲ TYČINĖS ŽALOS DARYMO FORMŲ KONTROLĖ IR PASIPRIEŠINIMAS SABOTAŽUI
10.	ĮSLAPTINTOS INFORMACIJOS PERDAVIMAS TREČIOSIOMS ŠALIMS ARBA TARPTAUTINĖMS ORGANIZACIJOMS
II DALIS.	SAUGUMO ORGANIZAVIMAS KOMISIJOJE
11.	UŽ SAUGUMĄ ATSAKINGAS KOMISIJOS NARYS
12.	KOMISIJOS SAUGUMO POLITIKOS PATARĖJŲ GRUPĖ
13.	KOMISIJOS SAUGUMO VALDYBA
14.	►M2 KOMISIJOS SAUGUMO DIREKTORATAS ◄
15.	SAUGUMO TIKRINIMAI
16.	SLAPTUMO ŽYMOS, JŲ GALIOJIMO ŽYMOS IR KVALIFIKACINĖS ŽYMOS
16.1.	Slaptumo žymų laipsniai
16.2.	Slaptumo žymos ogaliojimo žymos
16.3.	Kvalifikacinės žymos
16.4.	Slaptumo žymos dėjimas
16.5.	Slaptumo žymos galiojimo žymų dėjimas
17.	ĮSLAPTINIMO TVARKYMAS
17.1.	Bendrosios nuostatos
17.2.	Slaptumo žymų naudojimas
17.3.	Slaptumo žymos laipsnio sumažinimas ir išslaptinimas
18.	FIZINIS SAUGUMAS
18.1.	Bendrosios nuostatos
18.2.	Saugumo reikalavimai
18.3.	Fizinės apsaugos priemonės
18.3.1.	Saugumo zonos
18.3.2.	Administracinė zona
18.3.3.	Įėjimo ir išėjimo kontrolė
18.3.4.	Apsaugos patruliai
18.3.5.	Apsaugos konteineriai ir ugniai bei įsilaužimui atsparūs kambariai
18.3.6.	Užraktai
18.3.7.	Raktų ir kombinacijų kontrolė
18.3.8.	Į įsibrovimą reaguojanti įranga
18.3.9.	Aprobuoti įrengimai
18.3.10.	Fizinė kopijavimo aparatų ir telefaksų apsauga
18.4.	Apsauga nuo pamatymo ir slapto pasiklausymo
18.4.1.	Pamatymas
18.4.2.	Slaptas pasiklausymas
18.4.3.	Elektroninių ir įrašymo įrengimų įsinešimas
18.5.	Techniškai apsaugotos zonos
19.	BENDROS PRINCIPO „BŪTINA ŽINOTI“ TAIKYMO IR ES PERSONALO PATIKIMUMO TIKRINIMO TAISYKLĖS
19.1.	Bendrosios nuostatos
19.2.	Specialios naudojimosi informacija, pažymėta slaptumo žyma ►M1 TRES SECRET UE/EU TOP SECRET ◄ , taisyklės
19.3.	Specialios naudojimosi informacija, pažymėta slaptumo žymomis ►M1 SECRET UE ◄ ir ►M1 CONFIDENTIEL UE ◄ , taisyklės
19.4.	Specialios naudojimosi informacija, pažymėta slaptumo žyma ►M1 RESTREINT UE ◄ , taisyklės
19.5.	Perkėlimai
19.6.	Specialios instrukcijos
20.	ASMENS PATIKIMUMO PAŽYMĖJIMŲ IŠDAVIMO KOMISIJOS PAREIGŪNAMS IR KITIEMS DARBUOTOJAMS TVARKA
21.	ES ĮSLAPTINTŲ DOKUMENTŲ RENGIMAS, PLATINIMAS, PERDAVIMAS, KURJERIO ASMENS PATIKIMUMAS, PAPILDOMOS KOPIJOS, VERTIMAI IR IŠTRAUKOS
21.1.	Rengimas
21.2.	Platinimas
21.3.	ES įslaptintų dokumentų perdavimas
21.3.1.	Pakavimas, kvitai
21.3.2.	Perdavimas pastate arba pastatų komplekse
21.3.3.	Perdavimas toje pat valstybėje
21.3.4.	Perdavimas iš vienos valstybės į kitą
21.3.5.	ES riboto naudojimo dokumentų perdavimas
21.4.	Kurjerio asmens patikimumas
21.5.	Elektroninės ir kitokios techninės perdavimo priemonės
21.6.	ESįslaptintų dokumentų papildomos kopijos, ištraukos bei vertimai
22.	ESĮI REGISTRATŪROS, APŽIŪROS, TIKRINIMAI, ARCHYVAVIMAS IR NAIKINIMAS
22.1.	ESĮI vietinės registratūros
22.2.	Dokumentų su slaptumo žyma ►M1 TRES SECRET UE/EU TOP SECRET ◄ registratūra
22.2.1.	Bendrosios nuostatos
22.2.2.	Centrinė dokumentų su slaptumo žyma ►M1 TRES SECRET UE/EU TOP SECRET ◄ registratūra
22.2.3.	Dokumentų su slaptumo žyma ►M1 TRES SECRET UE/EU TOP SECRET ◄ subregistrtūros
22.3.	ES įslaptintų dokumentų inventorizacija, apžiūros ir tikrinimai
22.4.	ES įslaptintų dokumentų archyvavimas
22.5.	ES įslaptintų dokumentų naikinimas
22.6.	Naikinimas nenumatytais atvejais
23.	SAUGUMO PRIEMONĖS, TAIKOMOS SPECIALIEMS NE KOMISIJOS PATALPOSE VYKSTANTIEMS POSĖDŽIAMS, KURIUOSE NAUDOJAMA ES ĮSLAPTINTA INFORMACIJA
23.1.	Bendrosios nuostatos
23.2.	Atsakomybė
23.2.1.	►M2 Komisijos Saugumo direktoratas ◄
23.2.2.	Posėdžių apsaugos pareigūnas (PAP)
23.3.	Saugumo priemonės
23.3.1.	Saugumo zonos
23.3.2.	Leidimai
23.3.3.	Fotografinės ir garso įrangos kontrolė
23.3.4.	Portfelių, nešiojamųjų kompiuterių ir paketų tikrinimas
23.3.5.	Techninė apsauga
23.3.6.	Delegacijų dokumentai
23.3.7.	Saugus dokumentų laikymas
23.3.8.	Kabinetų tikrinimas
23.3.9.	ES įslaptintos informacijos atliekų atidavimas
24.	SAUGUMO PAŽEIDIMAI IR ES ĮSLAPTINTŲ DOKUMENTŲ NETEISĖTAS ATSKLEIDIMAS
24.1.	Sąvokų oapibrėžimai
24.2.	Pranešimas apie saugumo pažeidimus
24.3.	Teisiniai veiksmai
25.	INFORMACINIŲ TECHNOLOGIJŲ IR RYŠIŲ SISTEMOMIS TVARKOMOS ES ĮSLAPTINTOS INFORMACIJOS APSAUGA
25.1.	Įvadas
25.1.1.	Bendrosios nuostatos
25.1.2.	Grėsmė sistemoms ir jų pažeidžiamumas
25.1.3.	Svarbiausia saugumo priemonių paskirtis
25.1.4.	Sistemai pritaikyta saugumo reikalavimų suvestinė (SSRS)
25.1.5.	Sistemos darbo saugumo režimai
25.2.	Sąvokų oapibrėžimai
25.3.	Atsakomybė saugumo srityje
25.3.1.	Bendrosios nuostatos
25.3.2.	Saugumo akreditavimo institucija (SAI)
25.3.3.	INFOSAUGOS (INFOSEC) institucija (II)
25.3.4.	Techninių sistemų valdytojas (TSV)
25.3.5.	Informacijos savininkas (IS)
25.3.6.	Vartotojai
25.3.7.	INFOSAUGOS mokymas
25.4.	Netechninės saugumo priemonės
25.4.1.	Personalo saugumas
25.4.2.	Fizinis saugumas
25.4.3.	Naudojimosi sistema kontrolė
25.5.	Techninės saugumo priemonės
25.5.1.	Informacijos saugumas
25.5.2.	Informacijos kontrolė ir atskaitomyb
25.5.3.	Išimamų kompiuterinių duomenų saugojimo laikmenų tvarkymas ir kontrolė
25.5.4.	Kompiuterinių duomenų saugojimo laikmenų išslaptinimas ir naikinimas
25.5.5.	Ryšių priemonių saugumas
25.5.6.	Įrengimo ir spinduliavimo saugumas
25.6.	Saugumas tvarkant įslaptintą informaciją
25.6.1.	Saugumo valdymo tvarka (SOT)
25.6.2.	Programinės įrangos apsauga/konfigūravimo tvarkymas
25.6.3.	Pažeistos programinės įrangos/kompiuterio virusų buvimo tikrinimas
25.6.4.	Aptarnavimas
25.7.	Tiekimas
25.7.1.	Bendrosios nuostatos
25.7.2.	Akreditavimas
25.7.3.	Vertinimas ir atestavimas
25.7.4.	Įprastas saugumo savybių tikrinimas tęstiniam akreditavimui
25.8.	Laikinas arba atsitiktinis naudojimas
25.8.1.	Mikrokompiuterių/asmeninių kompiuterių saugumas
25.8.2.	Nuosavų IT įrengimų naudojimas atliekant Komisijos tarnybines pareigas
25.8.3.	Sutarties partnerio ar šalies – narės tiekiamų IT įrengimų naudojimas atliekant Komisijos tarnybines pareigas
26.	ES ĮSLAPTINTOS INFORMACIJOS PERDAVIMAS TREČIOSIOMS ŠALIMS ARBA TARPTAUTINĖMS ORGANIZACIJOMS
26.1.1.	ES įslaptintos informacijos perdavimą reglamentuojantys principai
26.1.2.	Bendradarbiavimo lygiai
26.1.3.	Susitarimai dėl saugumo
1 PRIEDĖLIS.	Nacionalinių įslaptintos informacijos žymų palyginimas
2 PRIEDĖLIS.	Praktinis slaptumo žymų vadovas
3 PRIEDĖLIS.	ES įslaptintos informacijos perdavimo trečiosioms šalims arba tarptautinėms organizacijoms vadovas: 1 lygio bendradarbiavimas
4 PRIEDĖLIS.	ES įslaptintos informacijos perdavimo trečiosioms šalims arba tarptautinėms organizacijoms vadovas: 2 lygio bendradarbiavimas
5 PRIEDĖLIS.	ES įslaptintos informacijos perdavimo trečiosioms šalims arba tarptautinėms organizacijoms vadovas: 3 lygio bendradarbiavimas
6 PRIEDĖLIS:	Santrumpos