Tyto kontroly probíhaly přirozeně i během roku 2017 a s poznatky, které z nich vyplynuly, se můžete seznámit zde:
Poznatky z kontrol za rok 2017:
Oddělení kontroly Národního bezpečnostního úřadu (NBÚ) přísluší podle § 143 zák. č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti (dále jen „Zákon“) kontrolovat, jak orgány státu, právnické osoby, podnikající fyzické osoby a fyzické osoby dodržují právní předpisy v oblasti ochrany utajovaných informací, tedy Zákon a prováděcí předpisy.
V roce 2017 NBÚ provedl celkem 50 kontrol – z toho ve 32 případech byly zjištěny nedostatky, které v 9 případech vyústily v podnět na přestupkové řízení. Z těchto bylo v 6 případech rozhodnuto o tom, že byl spáchán přestupek. Jednalo se o přestupky podle
- §149, odst. 1, písm. c) Zákona (převzetí utajované informace nebylo potvrzeno příjemcem)
- §149, odst. 1, písm. f) Zákona (nebyly splněny podmínky pro zpracování nebo ukládání utajované informace)
- § 153, odst. 1, písm. p) Zákona - 3 případy (původce na utajované informaci /dokumentu nevyznačil zákonné náležitosti)
- § 155a, odst. 1 písm. b) Zákona (podnikatel si zajistil přístup k utajované informaci ve stupni utajení Vyhrazené, přestože nesplňoval podmínky Zákona)
Bylo uloženo 6 pokut ve výších od 1 000 Kč do 35 000 Kč, celkem 51 000 Kč.
Nejčastějším porušením bylo
- nezaslání poučení NBÚ,
- různé drobné nedostatky ve způsobu vedení evidence utajovaných dokumentů,
- nedostatky ve vyznačování náležitostí utajovaného dokumentu,
- nesplnění podmínek pro výkon funkce bezpečnostního ředitele.
V rámci prevence je zde komplexní výčet skutečně zjištěných porušení zákona a souvisejících předpisů v roce 2017:
OBECNÉ NEDOSTATKY
- bezpečnostní ředitel nebyl držitel osvědčení ve stejném stupni jako podnikatel, který ho do funkce jmenoval (bezpečnostní ředitel měl nižší stupeň) – byl porušen § 71, odst. 4 Zákona,
- nebyly nezajištěny podmínky pro označování, evidenci, zapůjčování, ukládání, přepravu, další manipulaci a vyřazování utajované informace (např. nebyly používány vhodné trezory, chyběly mříže na oknech) – byl porušen § 69, odst. 1, písm. d) Zákona.
V oblasti PERSONÁLNÍ BEZPEČNOSTI:
- s utajovanou informací byla seznámena osoba, která nebyla držitelem oznámení nebo osvědčení (např. platnost stávajícího osvědčení nebo oznámení zanikla, ale nové nebylo doposud vydáno) - byl porušen § 6, odst. 1, písm. a § 11, odst. 1 Zákona
- byl umožněn přístup k utajované informaci osobě, která byla držitelem oznámení nebo osvědčení, ale nebyla poučena – byl porušen § 6, odst. 1 a § 11, odst. 2 Zákona
- byl umožněn přístup k utajované informaci osobě, která byla držitelem oznámení nebo osvědčení, ale utajovanou informaci nezbytně nepotřebovala k výkonu své funkce – byl porušen § 6, odst. 1 a § 11, odst. 1 Zákona
- držitel oznámení, osvědčení nebo dokladu byl poučen, ale poučení nebylo zasláno Úřadu - byl porušen § 11, odst. 2 Zákona
- uživatel, bezpečnostní správce nebo správce informačního systému nebyl držitelem osvědčení ve stejném nebo vyšším stupni utajení jako nejvyšší stupeň utajovaných informací, se kterými může informační systém nakládat - byl porušen § 16, odst. 2 vyhlášky č. 523/2005 Sb.
- nebyla prováděna pravidelná roční školení v oblasti ochrany utajovaných informací - byl porušen § 67, odst. 1, písm. b) Zákona
- NBÚ nebyla zaslána informace o ukončení pracovního, služebního nebo obdobného vztahu fyzické osoby, která měla přístup k utajované informaci - byl porušen § 67, odst. 1, písm. g) Zákona
- poučení nebo oznámení neodpovídalo vzorům stanovených právní úpravou (např. byl používán starý vzor) - byl porušen § 9, odst. 8, resp. § 2, odst. 1 a 2 vyhlášky č. 363/2011 Sb.
- držitel oznámení předložil prohlášení o způsobilosti k právním úkonům místo prohlášení o svéprávnosti - byl porušen § 7 a § 6, odst. 2, písm. a) Zákona
v oblasti BEZPEČNOSTNÍ ZPŮSOBILOSTI
- citlivou činnost vykonávala fyzická osoba, která nebyla držitelem dokladu nebo osvědčení - byl porušen § 80, odst. 2 Zákona
v oblasti PRŮMYSLOVÉ BEZPEČNOSTI
- byl umožněn přístup k utajované informaci podnikateli, který nedoložil prohlášení podnikatele nebo nebyl držitelem osvědčení podnikatele - byl porušen § 15, odst. 1 a 2 Zákona
- bezpečnostní dokumentace podnikatele byla vedena, ale nebyla průběžně aktualizována - byl porušen § 98 Zákona.
V oblasti ADMINISTRATIVNÍ BEZPEČNOSTI
- došlo ke ztrátě utajovaného dokumentu - byl porušen § 69, odst. 1, písm. a) Zákona
- utajovaný dokument nebyl evidován v administrativních pomůckách - byl porušen § 21, odst. 5 Zákona
- došlo ke ztrátě jednacího protokolu - byl porušen § 3, odst. 11 vyhlášky č. 529/2005 Sb.
- zápisy v jednacím protokole byly neúplné nebo nesprávné - byl porušen § 3, odst. 1, písm. a) vyhlášky č. 529/2005 Sb.
- prováděné opravy byly provedeny chybně (např. byl zabílen původní text a poté byl přepsán, chyběl podpis osoby, která opravu provedla) – byl porušen § 7, odst. 2 a § 14 vyhlášky č. 529/2005 Sb.
- zápisy v jednacím protokolu nebyly na konci kalendářního roku uzavřeny – byl porušen § 7, odst. 4 a § 12 odst. 8 vyhlášky č. 529/2005 Sb.
- nebyl vyhotoven kontrolní list u dokumentu ve stupni utajení „D“ a vyšší - byl porušen §3, odst. 1, písm. f) a § 3 odst. 5, písm. a) vyhlášky č. 529/2005 Sb.
- kontrolní list u dokumentu ve stupni utajení „D“ a vyšší byl zničen před stanovenou lhůtou – byl porušen § 3, odst. 6 vyhlášky č. 529/2005 Sb.
- některé z osob, které se seznámily s obsahem utajovaného dokumentu, nebyly zapsány v kontrolním listu – byl porušen §3, odst. 1, písm. f) a odst. 5, písm. a) vyhlášky č. 529/2005 Sb.
- byl používán jeden pomocný jednací protokol pro více evidenčních míst najednou - byl porušen § 12, odst. 3 vyhlášky č. 529/2005 Sb.
- byly používány neautentizované administrativní pomůcky - byl porušen § 3, odst. 3 vyhlášky č. 529/2005 Sb.
- byly používány administrativní pomůcky, které nesplňovaly formální a obsahové náležitosti - byl porušen § 3, odst. 1, písm. a) až g) a přílohy 1 až 7 vyhlášky č. 529/2005 Sb.
- na utajovaném dokumentu nebyl vyznačen stupeň utajení nebo byl vyznačen chybně (nebyl vyznačen nahoře a dole, případně nebyl označen na všech listech) – byl porušen § 5 vyhlášky č. 529/2005 Sb.
- na utajovaném dokumentu chyběly povinné náležitosti (např. název orgánu státu, datum, č.j.) - byly porušeny § 7, odst. 3, § 8, § 12 odst. 2 a § 15 vyhlášky č. 529/2005 Sb.
- byl vyhotoven více než jeden výtisk utajovaného dokumentu, ale nebyl vyhotoven rozdělovník a pořízen záznam na utajovaném dokumentu – byly porušeny § 8 odst. 6 a § 16 vyhlášky č. 529/2005 Sb.
- na obálce nebo obalu, ve kterých byl vložen utajovaný dokument, nebyl vyznačen stupeň utajení – byl porušen § 5, odst. 5 vyhlášky č. 529/2005 Sb.
V ČINNOSTI REGISTRŮ UTAJOVANÝCH INFORMACÍ
- NBÚ nebyly oznámeny změny v registru – byl porušen § 27 odst. 4 vyhlášky č. 529/2005 Sb.
- nebyl aktualizován seznam osob, kterým lze v registru umožnit přístup k utajované informaci cizí moci – byl porušen § 27 odst. 11 vyhlášky č. 529/2005 Sb.
v oblasti FYZICKÉ BEZPEČNOSTI
- utajované informace byly ukládány mimo zabezpečenou oblast nebo v zabezpečené oblasti nižší kategorie - byl porušen § 24, odst. 6 Zákona
- jednotlivá opatření a technické prostředky v projektu byly nesprávně bodově hodnoceny
- použité technické prostředky byly nesprávně instalovány nebo měly chybnou funkci
oblast BEZPEČNOST INFORMAČNÍCH A KOMUNIKAČNÍCH SYSTÉMŮ a KRYPTOGRAFICKÉ OCHRANY
ode dne 01.07.2017 spadá do gesce Národního úřadu pro kybernetickou a informační bezpečnost
autor: Tisková zpráva