ΜΕΡΟΣ II
ΤΜΗΜΑ I
Η ΟΡΓΑΝΩΣΗ ΤΗΣ ΑΣΦΑΛΕΙΑΣ ΣΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ
Ο Γενικός Γραμματέας/Ύπατος Εκπρόσωπος
1. Ο Γενικός Γραμματέας/Ύπατος Εκπρόσωπος
α) μεριμνά για την εφαρμογή της πολιτικής ασφαλείας του Συμβουλίου,
β) εξετάζει τα προβλήματα ασφαλείας που του αναφέρονται από το Συμβούλιο ή τα αρμόδια κλιμάκιά του,
γ) μελετά τα θέματα που συνεπάγονται μεταβολές στην πολιτική ασφαλείας του Συμβουλίου, σε στενή συνεργασία με τις Εθνικές Αρχές Ασφαλείας («ΕΑΑ>>) ή άλλες αρμόδιες αρχές των κρατών μελών. Κατάλογος των εν λόγω αρχών περιλαμβάνει στο προσάρτημα I.
2. Ειδικότερα, ο Γενικός Γραμματέας/Ύπάτος Εκπρόσωπος οφείλει:
α) να συντονίζει όλα τα θέματα ασφαλείας που αφορούν δραστηριότητες του Συμβουλίου,
β) να απαιτεί από κάθε κράτος μέλος τη δημιουργία μιας κεντρικής γραμματείας πληροφοριών TRE SECRET UE/EU TOP SECRET και να επιβάλλει τη δημιουργία τέτοιας γραμματείας στους αποκεντρωμένους οργανισμούς EE, όπου ενδείκνυται.
γ) να απευθύνει στις καθορισμένες για τον σκοπό αυτά αρχές των κρατών μελών αιτήματα παροχής εκ μέρους των ΕΑΑ εγκρίσεων ελέγχου ασφαλείας για το προσωπικό που εργάζεται στη ΓΓΣ σύμφωνα με το τμήμα VI,
δ) να διερευνά ή να διατάσσει τη διερεύνηση κάθε διαρροής διαβαθμισμένων πληροφοριών EE η οποία, κατά τα φαινόμενα, έχει προέλθει από τη ΓΓΣ ή από κάποιο αποκεντρωμένο οργανισμό EE,
ε) να ζητά από τις αρμόδιες αρχές ασφαλείας να διερευνούν τις διαρροές διαβαθμισμένων πληροφοριών EE που φαίνεται να έχουν προέλθει εκτός της ΓΓΣ ή των αποκεντρωμένων οργανισμών EE, και να συντονίζει τις έρευνες στην περίπτωση που συμμετέχουν σε αυτές περισσότερες της μίας αρχές ασφαλείας,
στ) να πραγματοποιεί κατά διαστήματα, από κοινού και σε συμφωνία με την ενεχόμενη ΕΑΑ, έλεγχο των ρυθμίσεων ασφαλείας στα κράτη μέλη για την προστασία των διαβαθμισμένων πληροφοριών EE,
ζ) να διατηρεί στενό σύνδεσμο με όλες τις ενεχόμενες αρχές ασφαλώς για γενικότερο συντονισμό της ασφαλείας
η) να επανεξετάζει τακτικά την πολιτική ασφαλείας του Συμβουλίου και τις σχετικές ρυθμίσεις και, εφόσον απαιτείται, να προβαίνει στις κατάλληλες συστάσεις. Στο πλαίσιο αυτό, υποβάλλει στο Συμβούλιο το ετήσιο πρόγραμμα επιθεωρήσεων που εκπονεί το Γραφείο Ασφαλείας της ΓΓΣ.
Η Επιτροπή Ασφαλείας του Συμβουλίου
3. Δημιουργείται Επιτροπή Ασφαλείας αποτελούμενη από αντιπροσώπους των ΕΑΑ όλων των κρατών μελών, υπό την προεδρία του Γενικού Γραμματέα/Ύπατου Εκπροσώπου ή του εξουσιοδοτημένου εκπροσώπου του. Οι αντιπρόσωποι των αποκεντρωμένων οργανισμών EE επίσης μπορούν να καλούνται να συμμετάσχουν στις εργασίες όταν συζητούνται δέματα που τους αφορούν
4. Η Επιτροπή Ασφαλείας συνέρχεται σύμφωνα με τις οδηγίες του Συμβουλίου, κατόπιν αιτήματος του Γενικού Γραμματέα/Ύπατου Εκπροσώπου ή κάποιας ΕΑΑ. Η Επιτροπή Ασφαλείας δύναται να εξετάζει και να αξιολογεί όλα τα θέματα ασφαλείας που αφορούν τις εργασίες του Συμβουλίου και να υποβάλλει τις κατάλληλες συστάσεις στο Συμβούλιο. Όσον αφορά τις δραστηριότητες της ΓΓΣ, η Επιτροπή Ασφαλείας δύναται να προβαίνει σε συστάσεις για θέματα ασφαλείας προς τον Γενικό Γραμματέα/Ύπατο Εκπρόσωπο.
Το Γραφείο Ασφαλείας της Γενικής Γραμματείας του Συμβουλίου
5. Για την εκπλήρωση των καθηκόντων του κατά τις παραγράφους 1 και 2, ο Γενικός Γραμματέας/Ύπατος Εκπρόσωπος έχει στη διάθεσή του το Γραφείο Ασφαλείας της ΓΓΣ για τον συντονισμό, την εποπτεία και την εφαρμογή των μέτρων ασφαλείας
6. Ο Προϊστάμενος του Γραφείου Ασφαλείας της ΓΓΣ είναι ο κύριος σύμβουλος του Γενικού Γραμματέα/Ύπατου Εκπροσώπου σε θέματα ασφαλείας και ενεργεί ως γραμματέας της Επιτροπής Ασφαλείας. Υπό την ιδιότητα αυτή, διευθύνει την αναπροσαρμογή των κανονισμών ασφαλείας και συντονίζει τα μέτρα ασφαλείας με τις αρμόδιες αρχές των κρατών μελών και, ενδεχομένως με τους διεθνείς οργανισμούς που συνδέονται με το Συμβούλιο με συμφωνίες σε θέματα ασφαλείας. Για τον σκοπό αυτά, ενεργεί ως αξιωματικός-σύνδεσμος
7. Ο Προϊστάμενος του Γραφείου Ασφαλείας της ΓΓΣ είναι υπεύθυνος για την έγκριση των συστημάτων και δικτύων τεχνολογίας των πληροφοριών στη ΓΓΣ Ο Προϊστάμενος του Γραφείου Ασφαλείας της ΓΓΣ και η αρμόδια ΕΑΑ αποφασίζουν από κοινού, όπου απαιτείται, για την έγκριση των συστημάτων και δικτύων τεχνολογίας των πληροφοριών στα οποία συμμετέχουν η ΓΓΣ, τα κράτη μέλη, οι αποκεντρωμένοι οργανισμοί EE και/ή τρίτα μέρη (κράτη ή διεθνείς οργανισμοί).
Αποκεντρωμένοι οργανισμοί EE
8. Κάθε διευθυντής αποκεντρωμένου οργανισμού EE είναι υπεύθυνος για την εφαρμογή των κανονισμών ασφαλείας στην υπηρεσία του, διορίζει δε κανονικά ένα μέλος του προσωπικού του ως υπόλογο έναντι του για θέματα ασφαλείας Το εν λόγω μέλος του προσωπικού ορίζεται ως υπεύθυνος ασφαλείας
Κράτη μέλη
9. Κάθε κράτος μέλος ορίζει μια ΕΑΑ ως υπεύθυνη για την ασφάλεια των διαβαθμισμένων πληροφοριών EE (1).
10. Εντός κάθε διοίκησης κράτους μέλους η αντίστοιχη ΕΑΑ είναι, υπεύθυνη:
α) να τηρεί την ασφάλεια των διαβαθμισμένων πληροφοριών EE εις χείρας των Εθνικών φορέων, οργανισμών ή υπηρεσιών, δημόσιων ή ιδιωτικών, εντός της χώρας ή στο εξωτερικό,
β) να παρέχει έγκριση για τη δημιουργία γραμματειών πληροφοριών TRÈS SECRET UE/EU TOP SECRET (η εξουσία αυτή μπορεί να μεταβιβαστεί στον υπεύθυνο ελέγχου των πληροφοριών TRÈS SECRET UE/EU TOP SECRET μιας κεντρικής γραμματείας),
γ) να ελέγχει κατά διαστήματα τις ρυθμίσεις ασφαλείας για την προστασία των διαβαθμισμένων πληροφοριών EE,
δ) να εξασφαλίζει ότι όλοι οι υπήκοοι μιας χώρος καθώς και οι αλλοδαποί που εργάζονται σε εθνικούς φορείς οργανισμούς και υπηρεσίες οι οποίοι μπορούν να έχουν πρόσβαση σε πληροφορίες EE που έχουν διαβαθμιστεί ως TRÈS SECRET UE/EU TOP SECRET, SECRET UE και CONFIDENTIEL UE, έχουν υποστεί έλεγχο ασφαλείας
ε) να λαμβάνει τα αναγκαία μέτρα ασφαλείας ώστε να προλαμβάνεται η διαρροή διαβαθμισμένων πληροφοριών σε μη εξουσιοδοτημένα πρόσωπα.
Αμοιβαίες επιθεωρήσεις ασφαλείας
11. Το Γραφείο Ασφαλείας της ΓΓΣ και η αντίστοιχη ΕΑΑ, από κοινού και κατόπιν συμφωνίας (2), διενεργούν περιοδικές επιθεωρήσεις των ρυθμίσεων ασφαλείας για την προστασία των διαβαθμισμένων πληροφοριών EE στη ΓΓΣ και στις Μόνιμες Αντιπροσωπείες των κρατών μελών στην Ευρωπαϊκή Ένωση, καθώς και στους χώρους των κρατών μελών στα κτίρια του Συμβουλίου
12. Το Γραφείο Ασφαλείας της ΓΓΣ ή, κατόπιν αιτήματος του Γενικού Γραμματέα, η ΕΑΑ του κράτους μέλους υποδοχής, διενεργούν περιοδικές επιθεωρήσεις των ρυθμίσεων ασφαλείας για την προστασία των διαβαθμισμένων πληροφοριών EE στους αποκεντρωμένους οργανισμούς EE.
(1) Για τον κατάλογο των Εθνικών Αρχών Ασφαλείας που είναι υπεύθυνες για την ασφάλεια των διαβαθμισμένων πληροφοριών EE, βλέπε προσάρτημα 1.
(2) Με την επιφύλαξη της σύμβασης της Βιέννης του 1961 για τις διπλωματικές σχέσεις.
ΤΜΗΜΑ Π
ΔΙΑΒΑΘΜΙΣΕΙΣ ΚΑΙ ΕΠΙΣΗΜΑΝΣΕΙΣ
ΕΠΙΠΕΔΑ ΔΙΑΒΑΘΜΙΣΗΣ (1)
Οι πληροφορίες διαβαθμίζονται σύμφωνα με τα παρακάτω επίπεδα.
1. TRÈS SECRET UE/EU TOP SECRET: Η διαβάθμιση αυτή εφαρμόζεται μόνο σας πληροφορίες και το υλικό των οποίων η άνευ αδείας κοινολόγηση μπορεί να βλάψει σοβαρότατα τα ζωτικά συμφέροντα της Ευρωπαϊκής Ένωσης ή ενός ή περισσοτέρων κρατών μελών της.
2. SECRET UE. Η διαβάθμιση αυτή εφαρμόζεται μόνο στις πληροφορίες και το υλικό των οποίων η άνευ αδείας κοινολόγηση μπορεί να βλάψει σοβαρά τα ζωτικά συμφέροντα της Ευρωπαϊκής Ένωσης ή ενός ή περισσοτέρων κρατών μελών της.
3. CONFIDENTIEL UE. Η διαβάθμιση αυτή εφαρμόζεται σης πληροφορίες και το υλικό των οποίων η άνευ αδείας κοινολόγηση μπορεί να βλάψει τα ζωτικά συμφέροντα της Ευρωπαϊκής Ένωσης ή ενός ή περισσοτέρων κρατών μελών της
4. RESTREINT UE: Η διαβάθμιση αυτή εφαρμόζεται στις πληροφορίες και το υλικό των οποίων η άνευ αδείας κοινολόγηση είναι αντίθετη προς τα συμφέροντα της Ευρωπαϊκής Ένωσης ή ενός ή περισσοτέρων κρατών μελών της
ΕΠΙΣΗΜΑΝΣΕΙΣ
5. Μπορεί να χρησιμοποιείται μια προειδοποιητική επισήμανση με την οποία υποδηλώνεται ο τομέας που καλύπτεται από το συγκεκριμένο έγγραφο ή η περιορισμένη διανομή του μόνο στα πρόσωπα που απαιτείται να γνωρίζουν.
6. Η επισήμανση ESDP/PESD (EΠΑΑ) τίθεται σε όλα τα έγγραφα και στα αντίγραφά τους που αφορούν την ασφάλεια και την άμυνα της Ένωσης ή ενός ή περισσοτέρων κρατών μελών της ή που αφορούν τη στρατιωτική ή μη στρατιωτική διαχείριση μιας κρίσεως
7. Ορισμένα έγγραφα, και ιδίως αυτά που αφορούν τα συστήματα τεχνολογίας των πληροφοριών, μπορούν ,να φέρουν μια επί πλέον επισήμανση η οποία συνεπάγεται πρόσθετα μέτρα ασφάλειας όπως αυτά ορίζονται στους σχετικούς κανονισμούς
ΕΠΙΘΕΣΗ ΤΗΣ ΔΙΑΒΑΘΜΙΣΗΣ KAI ΤΩΝ ΕΠΙΣΗΜΑΝΣΕΩΝ
8. Η διαβάθμιση και οι επισημάνσεις τίθενται ως εξής:
α) σε έγγραφα RESTREINT UE, με μηχανικά ή ηλεκτρονικά μέσα,
β) σε έγγραφα CONFIDENTIEL UE (με μηχανικά μέσα και ιδιοχείρως ή, με εκτύπωση σε προσφραγισμένο ταξινομημένο χαρτί
γ) σε έγγραφα SECRET UE και TRÈS SECRET UE/EU TOP SECRET, με μηχανικό μέσα και ιδιοχείρως
(1) Στο προσάρτημα 2 περιλαμβάνεται συγκριτικός πίνακας των διαβαθμίσεων ασφαλώς της EE, του NATO, της ΔΕΞ και των κρατών μελών
ΤΜΗΜΑ ΙΙΙ
ΔΙΑΧΕΙΡΙΣΗ ΤΩΝ ΔΙΑΒΑΘΜΙΣΕΩΝ
1. Οι πληροφορίες διαβαθμίζονται μόνο όταν απαιτείται. Η διαβάθμιση επισημαίνεται σαφώς και καταλλήλως και διατηρείται μόνον εφόσον οι συγκεκριμένες πληροφορίες απαιτείται να προστατευθούν.
2. Αποκλειστικός υπεύθυνος για τη διαβάθμιση των πληροφοριών και για τον τυχόν μεταγενέστερο υποχαρακτηρισμό ή αποχαρακτηρισμό τους (1) είναι ο συντάκτης του εγγράφου.
Οι υπάλληλοι και το λοιπό προσωπικό της ΓΓΣ διαβαθμίζουν, υποχαρακτηρίζουν ή αποχαρακτηρίζουν πληροφορίες κατόπιν εντολής του Γενικού Διευθυντή τους ή σε συμφωνία μαζί του.
3. Οι αναλυτικές ρυθμίσεις για τον χειρισμό των διαβαθμισμένων εγγράφων έχουν εκπονηθεί κατά τρόπο που να εξασφαλίζεται ότι προστατεύονται αναλόγως των πληροφοριών που περιέχουν.
4. Ο αριθμός των προσώπων που επιτρέπεται να συντάσσουν έγγραφα TRÈS SECRET UE/EU TOP SECRET περιορίζεται στο απολύτως αναγκαίο, τα δε ονόματά τους συμπεριλαμβάνονται σε κατάλογο που καταρτίζεται από τη ΓΓΣ, κάθε κράτος μέλος και, ενδεχομένως, από κάθε αποκεντρωμένο οργανισμό EL
ΕΦΑΡΜΟΓΗ ΤΩΝ ΔΙΑΒΑΘΜΙΣΕΩΝ
5. Η διαβάθμιση ενός εγγράφου καθορίζεται από το επίπεδο ευαισθησίας του περιεχομένου του κατά τα οριζόμενα στο τμήμα Π, παράγραφοι 1 έως 4. Είναι σημαντικό η διαβάθμιση να χρησιμοποιείται σωστά και με φειδώ. Αυτό ισχύει ιδίως για τη διαβάθμιση TRÈS SECRET UE/EU TOP SECRET.
6. Ο συντάκτης ενός εγγράφου το οποίο πρόκειται να λάβει διαβάθμιση οφείλει να έχει πάντοτε κατά νου τους προαναφερόμενους κανονισμούς και να αποφεύγει την τάση προς υπερβολικά υψηλή ή χαμηλή διαβάθμιση.
Αν και μια υψηλή διαβάθμιση μπορεί εκ πρώτης όψεως να φαίνεται ότι εγγυάται την αυξημένη προστασία ενός εγγράφου, η εκ συστήματος υπερβολικά υψηλή διαβάθμιση ενδέχεται να επιφέρει απώλεια της εμπιστοσύνης στην αξία του συστήματος διαβάθμισης.
Από την άλλη πλευρά, τα έγγραφα δεν πρέπει να λαμβάνουν υπερβολικά χαμηλή διαβάθμιση με στόχο να αποφεύγονται οι περιορισμοί που συνδέονται με την προστασία τον έγγραφων υψηλής διαβάθμισης.
Ένας πρακτικός οδηγός για τις διαβαθμίσεις περιλαμβάνεται στο προσάρτημα 3.
7. Επί μέρους σελίδες, παράγραφοι, τμήματα, παραρτήματα και προσαρτήματα ενός εγγράφου καθώς και τα επισυναπτόμενα σε αυτό έγγραφα ενδέχεται να απαιτούν διαφορετικές διαβαθμίσεις, οι οποίες επισημαίνονται αναλόγως. Η διαβάθμιση του όλου εγγράφου αντίστοιχα σε εκείνη του τμήματος του με την υψηλότερη διαβάθμιση.
8. Η διαβάθμιση μιας επιστολής ή ενός σημειώματος που περιλαμβάνει επισυναπτόμενα έγγραφα καθορίζεται στο επίπεδο του υψηλότερα διαβαθμισμένου εγγράφου . Ο συντάκτης επισήμαινα σαφώς σε ποιο επίπεδο πρέπει να διαβαθμιστεί η εν λόγω επιστολή ή το εν λόγω σημείωμα όταν αποχωριστεί από τα επισυναπτόμενα έγγραφα.
ΥΠΟΧΑΡΑΚΤΗΡΙΣΜΟΣ ΚΑΙ ΑΠΟΧΑΡΑΚΤΗΡΙΣΜΟΣ
9. Τα διαβαθμισμένα έγγραφα EE μπορούν να υποχαρακτηρίζονται ή να αποχαρακτηρίζονται μόνο κατόπιν αδείας του συντάκτη, και, εφόσον απαιτείται, αφού ζητηθεί η γνώμη των λοιπών ενδιαφερομένων. Ο υποχαρακτηρισμός ή αποχαρακτηρισμός επιβεβαιώνεται γραπτώς. Το θεσμικά όργανο, το κράτος μέλος, το γραφείο, ο διάδοχος οργανισμός ή η υψηλότερη αρχή προέλευσης του εγγράφου ενημερώνει τους παραλήπτες του εγγράφου για τη μεταβολή της διαβάθμισης, οι δε παραλήπτες ενημερώνουν σχετικά τους διαδοχικούς παραλήπτες στους οποίους έχουν διαβιβάσει το πρωτότυπο ή αντίγραφο του εγγράφου.
10. Ει δυνατόν, οι συντάκτες αναγράφουν επί των διαβαθμισμένων εγγράφων την ημερομηνία ή την προθεσμία μετά την οποία μπορούν να υποχαρακτηρίζονται ή αποχαρακτηρίζονται Σε αντίθετη περίπτωση, επανεξετάζουν τα έγγραφα το αργότερο ανά πενταετία, ώστε να επιβεβαιώνεται ότι η αρχική διαβάθμιση εξακολουθεί να είναι αναγκαία.
(1) Ως υποχαρακτηρισμός (déclassement ) νοείται η μείωση του βαθμού ασφαλείας . Ως αποχαρακτηρισμός (déclassification) νοείται η άρση οποιασδήποτε διαβάθμισης.
TMHMA IV
ΥΛΙΚΗ ΑΣΦΑΛΕΙΑ
ΓΕΝΙΚΑ
1. Ο κύριος στόχος των μέτρων υλικής ασφάλειας είναι να εμποδίζεται η πρόσβαση μη εξουσιοδοτημένων προσώπων σε διαβαθμισμένες πληροφορίες ή/και υλικό EE.
ΑΠΑΙΤΗΣΕΙΣ ΑΣΦΑΛΕΙΑΣ
2. Όλοι οι χώροι, τα κτίρια, τα γραφεία, οι αίθουσες, τα συστήματα επικοινωνίας και πληροφοριών, κλπ όπου γίνεται αποθήκευση ή/και χειρισμός διαβαθμισμένων πληροφοριών και υλικού EE προστατεύονται με τα ενδεδειγμένα μέτρα υλικής ασφάλειας
3. Για τη λήψη απόφασης σχετικά με τον απαιτούμενο βαθμό προστασίας όσον αφορά την υλική ασφάλεια, λαμβάνονται υπόψη όλοι οι σχετικοί παράγοντες, όπως:
α) η διαβάθμιση των πληροφοριών ή/και του υλικού,
β) ο όγκος και η μορφή (π χ αποθήκευση σε έντυπη ή ηλεκτρονική μορφή) των σχετικών πληροφοριών,
γ) η σε τοπικό επίπεδο αξιολογούμενη απειλή δολιοφθοράς, τρομοκρατικών ενεργειών και άλλων ανατρεπτικών ή/και εγκληματικών δραστηριοτήτων, από υπηρεσίες πληροφοριών που έχουν ως στόχο την EE, τα κράτη μέλη ή/και άλλα θεσμικά όργανα ή τρίτα μέρη που κατέχουν διαβαθμισμένες πληροφορίες της EE
4. Τα εφαρμοζόμενα μέτρα υλικής ασφάλειας αποσκοπούν:
α) στην εμπόδιση της λαθραίας ή βιαίας εισόδου αναρμόδιων,
β) στην αποτροπή, παρεμπόδιση και ανίχνευση ενεργειών τυχόν αναξιόπιστου προσωπικού (κατάσκοποι «εντός των τειχών»),
γ) στο να εμποδίζεται η πρόσβαση στις διαβαθμισμένες πληροφορίες της EE στους υπαλλήλους και το λοιπό προσωπικό της ΓΓΣ, των κρατικών υπηρεσιών των κρατών μελών ή/και των άλλων θεσμικών οργάνων ή τρίτων μερών που δεν χρειάζεται να λαμβάνουν γνώση των πληροφοριών αυτών.
ΜΕΤΡΑ ΥΛΙΚΗΣ ΑΣΦΑΛΕΙΑΣ
Χώροι ασφαλείας
5 Οι χώροι στους οποίους γίνεται χειρισμός και αποθήκευση πληροφοριών με βαθμό διαβάθμισης CONFIDENTIEL UE ή υψηλότερο οργανώνονται και διαμορφώνονται ως εξής:
α) Χώρος ασφαλείας κατηγορίας I: χώρος στον οποίο γίνεται χειρισμός και η αποθήκευση πληροφοριών με διαβάθμιση CONFIDENTIEL UE ή υψηλότερη κατά τρόπο ώστε η είσοδος στο συγκεκριμένο χώρο να αποτελεί, ουσιαστικά, πρόσβαση σε διαβαθμισμένες πληροφορίες Για έναν τέτοιο χώρο απαιτούνται.
i) μια συγκεκριμένη προστατευόμενη περίμετρος στην οποία ελέγχεται κάθε είσοδος και έξοδος
ii) ένα σύστημα ελέγχου της εισόδου, το οποίο επιτρέπει την είσοδο μόνο στα πρόσωπα που έχουν υποστεί τον δέοντα έλεγχο ασφαλείας και έχουν οδική άδεια εισόδου στον εν λόγω χώρο,
iii) προσδιορισμός της διαβάθμισης των πληροφοριών που φυλάσσονται συνήθως στο χώρο αυτό, δηλαδή των πληροφοριών στις οποίες δίνει πρόσβαση η είσοδος στον εν λόγω χώρο.
β) Χώρος ασφαλώς κατηγορίας Π χώρος στον οποίο γίνεται χειρισμός και η αποθήκευση πληροφοριών με διαβάθμιση CONFIDENTIEL UE ή υψηλότερη κατά τέτοιον τρόπο ώστε να μπορούν να προστατεύονται με εσωτερικούς ελέγχους προκειμένου να μη μπορούν να έχουν πρόσβαση σ' αυτές μη εξουσιοδοτημένα πρόσωπα, π χ κτίρια όπου περιλαμβάνονται γραφεία στα οποία γίνεται τακτικά χειρισμός και αποθήκευση πληροφοριών με διαβάθμιση CONFIDENTIEL UE ή υψηλότερη Για έναν τέτοιο χώρο απαιτούντα:
i) μια συγκεκριμένη προστατευόμενη περίμετρος στην οποία ελέγχεται κάθε είσοδος και έξοδος
ii) ένα σύστημα ελέγχου της εισόδου, το οποίο επιτρέπει την χωρίς συνοδεία είσοδο μόνο στα πρόσωπα που έχουν υποστεί τον δέοντα έλεγχο ασφαλείας και έχουν ειδική άδεια εισόδου στον εν λόγω χώρο. Για όλα τα άλλα πρόσωπα, θα προβλέπεται η ύπαρξη συνοδών ή ισοδύναμων ελέγχων, προκειμένου να προλαμβάνεται η πρόσβαση μη εξουσιοδοτημένων προσώπων σε διαβαθμισμένες πληροφορίες EE και η ανεξέλεγκτη είσοδος σε χώρους που υπόκεινται σε τεχνικές επιθεωρήσεις ασφαλείας
Οι χώροι στους οποίους δεν υπάρχει προσωπικό υπηρεσίας σε 24ωρη βάση επιθεωρούνται αμέσως μετά τις κανονικές ώρες εργασίας για να διασφαλίζεται ότι οι διαβαθμισμένες πληροφορίες EE έχουν ασφαλισθεί καταλλήλως
Διοικητικός χώρος
6. Γύρω από τους χώρους ασφαλείας κατηγορίας I ή κατηγορίας ΙΙ καθώς και στις προσβάσεις τους, είναι δυνατόν να υπάρξει ένας διοικητικός χώρος μικρότερου βαθμού ασφαλείας Ο χώρος αυτός απαιτεί μια εμφανώς οριοθετημένη περίμετρο που να επιτρέπει τον έλεγχο του προσωπικού και των οχημάτων Στους διοικητικούς χώρους γίνεται χειρισμός και αποθήκευση μόνο πληροφοριών RESTREINT UE
Έλεγχοι εισόδου και εξόδου
7. Η είσοδος στους χώρους ασφαλείας κατηγορίας Ι και κατηγορίας Π ελέγχεται με σύστημα ειδικής ταυτότητας ή προσωπικής αναγνώρισης που ισχύει για το μόνιμο προσωπικό. Θα εγκαθιδρυθεί επίσης ένα σύστημα ελέγχων των επισκεπτών προκειμένου να απαγορεύεται η πρόσβαση μη εξουσιοδοτημένων προσώπων σε διαβαθμισμένες πληροφορίες EE. Τα συστήματα ειδικής ταυτότητας μπορούν να υποστηρίζονται από αυτοματοποιημένη αναγνώριση της ταυτότητας ως συμπλήρωμα αλλά όχι ως πλήρες υποκατάστατο των φυλάκων. Τυχόν μεταβολή της αξιολόγησης κινδύνου μπορεί να συνεπάγεται την ενίσχυση των μέτρων ελέγχου εισόδου/ εξόδου, για παράδειγμα κατά τη διάρκεια της επίσκεψης σημαντικών προσωπικοτήτων
Περιπολίες των φυλάκων
8. Στους χώρους ασφαλείας κατηγορίας I και Π πραγματοποιούνται περιπολίες εκτός των κανονικών ωρών εργασίας με σκοπό την προστασία των περιουσιακών στοιχείων της EE από διαρροή, ζημία ή απώλεια. Η συχνότητα περιπολιών εξαρτάται από τις τοπικές συνθήκες, αλλά κατά κανόνα πραγματοποιούνται κάθε δύο ώρες
Φωριαμοί ασφαλείας και θωρακισμένες αίθουσες
9. Για την αποθήκευση των διαβαθμισμένων πληροφοριών EE χρησιμοποιούνται φωριαμοί τριών κατηγοριών.
— Κατηγορία Α: φωριαμοί που έχουν εγκριθεί σε εθνικά επίπεδο για την αποθήκευση πληροφοριών TRÈS SE GIET UE/EU TOP SECRET σε χώρους ασφαλείας κατηγορίας I ή κατηγορίας Π,
— Κατηγορία Β: φωριαμοί που έχουν εγκριθεί σε εθνικό επίπεδο για την αποθήκευση πληροφοριών SECRET UE και CONFIDENTIEL UE σε χώρους ασφαλείας κατηγορίας I ή κατηγορίας Π,
— Κατηγορία Γ: έπιπλα γραφείου κατάλληλα μόνο για την αποθήκευση πληροφοριών RESTREINT UE
10. Για τις θωρακισμένες αίθουσες που κατασκευάζονται εντός χώρου ασφαλείας κατηγορίας I ή κατηγορίας Π, και για όλες τους χώρους ασφαλείας κατηγορίας I όπου διαβαθμισμένες πληροφορίες με χαρακτηρισμό CONFIDENTIEL UE αποθηκεύονται σε ανοικτά ράφια ή επιδεικνύονται σε σχεδιαγράμματα, χάρτες κλπ., οι τοίχοι, τα πατώματα και οι οροφές καθώς και οι θύρες που κλειδώνουν πιστοποιούνται από Εθνική Αρχή Ασφαλείας ότι προσφέρουν ισοδύναμη προστασία με την κατηγορία του φωριαμού ασφαλείας που έχει εγκριθεί για την αποθήκευση πληροφοριών ίδιας διαβάθμισης
Κλειδαριές
11. Οι κλειδαριές στους φωριαμούς ασφαλείας και τις θωρακισμένες αίθουσες όπου αποθηκεύονται διαβαθμισμένες πληροφορίες EE πληρούν τις ακόλουθες προδιαγραφές;
— Ομάδα Α εγκεκριμένες σε εθνικά επίπεδο για φωριαμούς κατηγορίας Α,
— Ομάδα Β. εγκεκριμένες σε εθνικά επίπεδο για φωριαμούς κατηγορίας Β,
— Ομάδα Γ. κατάλληλες μόνο για έπιπλα γραφείου κατηγορίας Γ.
Έλεγχος των κλειδιών και των συνδυασμών
12 Τα κλειδιά των φωριαμών ασφαλείας δεν πρέπει να βγαίνουν από το κτίριο των γραφείων Οι συνδυασμοί των φωριαμών ασφαλείας απομνημονεύονται από τα πρόσωπα που πρέπει να τους γνωρίζουν. Για χρήση σε επείγουσα ανάγκη, ο Υπεύθυνος Ασφαλείας του οικείου καταστήματος είναι υπεύθυνος να κατέχει αντικλείδια καθώς και, γραπτώς όλους τους συνδυασμούς Οι συνδυασμοί φυλάσσονται σε χωριστούς σφραγισμένους αδιαφανείς φακέλους Τα κλειδιά καθημερινής χρήσης τα αντικλείδια ασφαλείας και οι συνδυασμοί φυλάσσονται σε χωριστούς φωριαμούς ασφαλείας Για τα εν λόγω κλειδιά, και συνδυασμούς ισχύει προστασία ασφαλείας τουλάχιστον ισοδύναμη προς το υλικό στο οποίο παρέχουν πρόσβαση
13. Η γνώση των συνδυασμών των φωριαμών ασφαλείας περιορίζεται σε όσο το δυνατόν λιγότερα πρόσωπα. Οι συνδυασμοί πρέπει να αλλάζουν:
α) όποτε παραλαμβάνεται νέος φωριαμός,
β) όποτε αλλάζει το οικείο προσωπικό,
γ) όποτε σημειώνεται διαρροή ή υπάρχουν υπόνοιες διαρροής
δ) κατά προτίμηση ανά εξάμηνο και πάντως τουλάχιστον ανά δωδεκάμηνο.
Συσκευές ανίχνευσης εισόδου αναρμόδιων
14. Όταν χρησιμοποιούνται για την προστασία των διαβαθμισμένων πληροφοριών EE συστήματα συναγερμού, κλειστά κυκλώματα τηλεόρασης και άλλες ηλεκτρικές συσκευές, πρέπει να προβλέπεται εφεδρική παροχή ηλεκτρικού ρεύματος για περιπτώσεις επείγουσας ανάγκης για να διασφαλίζεται η συνεχής λειτουργία του συστήματος σε περίπτωση διακοπής της κύριας παροχής ενέργειας Μια άλλη βασική απαίτηση είναι να σήμαινα συναγερμός ή να ειδοποιείται με άλλον αξιόπιστο τρόπο το προσωπικό επιτήρησης όποτε σημειώνεται βλάβη των εν λόγω συστημάτων ή επιχειρείται παρέμβαση σ' αυτά.
Εγκεκριμένος εξοπλισμός
15. Οι ΕΑΑ διατηρούν, με δικούς τους ή με διμερείς πόρους ενημερωμένους καταλόγους ανά τύπο και μοντέλο του εξοπλισμού ασφαλείας που έχουν εγκρίνει για την άμεση ή την έμμεση προστασία των διαβαθμισμένων πληροφοριών υπό διάφορες συγκεκριμένες περιστάσεις και συνθήκες. Το Γραφείο Ασφαλείας της ΓΓΣ τηρεί παρόμοιο κατάλογο, με βάση, μεταξύ άλλων, πληροφορίες που παρέχονται από τις ΕΑΑ. Προτού αγοράσουν τον σχετικό εξοπλισμό, οι αποκεντρωμένοι οργανισμοί της EE συμβουλεύονται το Γραφείο Ασφαλείας της ΓΓΣ και, ενδεχομένως την ΕΑΑ του κράτος μέλους που τις φιλοξενεί
Υλική προστασία των φωτοαντιγραφικών συσκευών και συσκευών (φαξ)
16. Οι φωτοαντιγραφικές συσκευές Kat οι συσκευές φαξ προστατεύονται υλικώς όσο απαιτείται ώστε να διασφαλίζεται ότι χρησιμοποιούνται μόνο από εγκεκριμένα πρόσωπα και ότι όλο το διαβαθμισμένο υλικό ελέγχεται δεόντως
ΠΡΟΣΤΑΣΙΑ ΚΑΤΑ ΤΗΣ ΛΑΘΡΟΒΛΕΨΙΑΣ ΚΑΙ ΤΗΣ ΛΑΘΡΑΚΡΟΑΣΗΣ
Λαθροβλεψία
17. Λαμβάνονται όλα τα ενδεδειγμένα μέτρα, μέρα και νύχτα, προκειμένου να διασφαλίζεται ότι τα μη εξουσιοδοτημένα πρόσωπα δεν θα μπορούν να δουν, έστω και συμπτωματικώς τις διαβαθμισμένες πληροφορίες EE.
Λαθρακρόαση
18. Τα γραφεία ή οι χώροι όπου συζητούνται ταχτικά πληροφορίες με διαβάθμιση SECRET UE ή υψηλότερη προστατεύονται από κρούσματα παθητικής ή ενεργητικής λαθρακρόασης εφόσον υφίσταται σχετικός κίνδυνος Υπεύθυνη για την αξιολόγηση αυτού του κινδύνου είναι η αρμόδια αρχή ασφαλείας έπειτα από διαβούλευση, εφόσον χρειάζεται, με τις ΕΑΑ.
19. Για τηv καθορισμό των ληπτέων προστατευτικών μέτρων σε χώρους ευαίσθητους όσον αφορά την παθητική λαθρακρόαση (π χ μόνωση τοίχων, θυρών, πατωμάτων και οροφών, μέτρηση αποκαλυπτικών εκπομπών) και την ενεργητική λαθρακρόαση (π χ αναζήτηση μικροφώνων), το Γραφείο Ασφαλείας της ΓΓΣ μπορεί να ζητά τη συνδρομή εμπειρογνωμόνων των ΕΑΑ. Οι υπάλληλοι ασφαλείας των αποκεντρωμένων οργανισμών της EE μπορούν να ζητούν τη διενέργεια τεχνικών επιθεωρήσεων από το Γραφείο Ασφαλείας της ΓΓΣ ή/και τη συνδρομή εμπειρογνωμόνων των ΕΑΑ
20. Ομοίως, όταν το απαιτούν οι περιστάσεις, ο κάθε είδους τηλεπικοινωνιακός εξοπλισμός και ηλεκτρικός ή ηλεκτρονικός εξοπλισμός γραφείου που χρησιμοποιείται κατά τις συνεδριάσεις σε επίπεδο SECRET UE ή υψηλότερο μπορεί να ελέγχεται από ειδικούς τεχνικούς ασφαλείας των ΕΑΑ έπειτα από αίτηση του αρμόδιου υπαλλήλου ασφαλείας
ΤΕΧΝΙΚΟΣ ΑΣΦΑΛΕΙΣ ΧΩΡΟΙ
21. Ορισμένοι χώροι μπορούν να χαρακτηρισθούν ως τεχνικώς ασφαλώς Στους χώρους αυτούς διενεργείται ειδικός έλεγχος εισόδου. Όταν δεν χρησιμοποιούνται, οι χώροι αυτοί διατηρούνται κλειδωμένοι με εγκεκριμένη μέθοδο και όλα τα σχετικά κλειδιά θεωρούνται ως κλειδιά ασφαλείας Στους χώρους αυτούς διενεργούνται τακτικά υλικές επιθεωρήσεις, οι οποίες διενεργούνται επίσης έπειτα από τυχόν μη εγκεκριμένη είσοδο στους χώρους αυτούς ή εφόσον υπάρχουν υπόνοιες τέτοιας εισόδου.
22. Τηρείται λεπτομερής κατάσταση του εξοπλισμού και της επίπλωσης προκειμένου να παρακολουθούνται οι μετακινήσεις τους Κανένα στοιχείο επίπλωσης ή εξοπλισμού δεν εισάγεται σε τέτοιο χώρο χωρίς προσεκτική επιθεώρηση από ειδικά εκπαιδευμένο προσωπικό ασφαλείας προκειμένου να ανιχνευθούν τυχόν συσκευές υποκλοπής. Κατά γενικό κανόνα, θα πρέπει να αποφεύγεται η εγκατάσταση τηλεπικοινωνιακών γραμμών σε τεχνικώς ασφαλείς χώρους
ΤΜΗΜΑ V
ΓΈΝΙΚΟΙ ΚΑΝΟΝΕΣ ΓΙΑ ΤΗΝ ΑΡΧΗ ΤΗΣ «ΑΝΑΓΚΑΙΑΣ ΓΝΩΣΗΣ» ΚΑΙ ΓΙΑ ΤΟΝ ΕΛΕΓΧΟ ΑΣΦΑΛΕΙΑΣ
1. Η πρόσβαση στις διαβαθμισμένες πληροφορίες EE επιτρέπεται μόνο στα πρόσωπα που όντως χρειάζεται να τις γνωρίζουν για να εκτελούν τα καθήκοντα ή την αποστολή τους Η πρόσβαση στις πληροφορίες TRÈS SECRET UE/EU TOP SECRET, SECRET UE και CONFIDENTIEL UE επιτρέπεται μόνο στα πρόσωπα που έχουν υποστεί με επιτυχία τον ενδεδειγμένο έλεγχο ασφαλείας
2. Αρμόδιοι για τον καθορισμό των προσώπων που πρέπει να έχουν την «αναγκαία γνώση» είναι η ΓΓΣ, οι αποκεντρωμένοι οργανισμοί της EE και οι υπηρεσίες ή τα τμήματα των κρατών μελών όπου πρόκειται να εργασθεί το οικείο πρόσωπο, ανάλογα με τις απαιτήσει; της σχετικής αποστολής
3. Αρμόδιος για τον έλεγχο ασφαλείας του προσωπικού είναι ο εργοδότης του υπαλλήλου, βάσει των σχετικών ισχυουσών διαδικασιών Σε ότι αφορά τους υπαλλήλους και το λοιπό προσωπικά της ΓΓΣ, η διαδικασία του ελέγχου ασφαλείας προβλέπεται στο τμήμα VI
Κατόπιν του ελέγχου ασφαλείας εκδίδεται «πιστοποιητικό ασφαλείας», όπου αναγράφονται το επίπεδο των διαβαθμισμένων πληροφοριών στις οποίες μπορεί να έχει πρόσβαση το ελεγχθέν πρόσωπο καθώς και η ημερομηνία λήξης
Το πιστοποιητικό ασφαλείας για συγκεκριμένη διαβάθμιση μπορεί να παρέχει στον κάτοχό του πρόσβαση σε πληροφορίες χαμηλότερης διαβάθμισης
4. Πρόσωπα άλλα πλην των υπαλλήλων ή του λοιπού προσωπικού της ΓΓΣ ή των κρατών μελών, π.χ. μέλη, υπάλληλοι ή προσωπικό των θεσμικών οργάνων της EE, με τα οποία χρειάζεται ενδεχομένως να συζητηθούν ή στα οποία χρειάζεται ενδεχομένως να επιδειχθούν διαβαθμισμένες πληροφορίες EE, πρέπει να έχουν υποστεί επιτυχώς έλεγχο ασφαλείας όσον αφορά τις διαβαθμισμένες πληροφορίες EE και να ενημερώνονται για την ευθύνη τους όσον αφορά την ασφάλεια. Ο ίδιος κανόνας ισχύει, σε παρόμοιες περίστασης, για τους εξωτερικούς συμβασιούχους εμπειρογνώμονες ή συμβούλους
ΕΙΔΙΚΟΙ ΚΑΝΟΝΕΣ ΓΙΑ ΤΗΝ ΠΡΟΣΒΑΣΗ ΣΕ ΠΛΗΡΟΦΟΡΙΕΣ TRÊS SECRET UE/EU TOP SECRET
5. Όλα τα πρόσωπα που πρόκειται να έχουν πρόσβαση σε πληροφορίες TRÈS SECRET UE/EU TOP SECRET υποβάλλονται προηγουμένως στον αντίστοιχο έλεγχο ασφαλείας
6. Όλα τα πρόσωπα που πρέπει να έχουν πρόσβαση σε πληροφορίες TRÈS SECRET UE/EU TOP SECRET ορίζονται από τον προϊστάμενο του τμήματος τους και τα ονόματα τους καταχωρούνται στην οικεία γραμματεία TRÈS SECRET UE/EU TOP SECRET.
7. Προτού αποκτήσουν πρόσβαση σε πληροφορίες TRÈS SECRET UE/EU TOP SECRET, όλα τα πρόσωπα υπογράφουν βεβαίωση ότι έχουν ενημερωθεί για τις διαδικασίες ασφαλείας του Συμβουλίου και ότι κατανοούν πλήρως την ειδική τους ευθύνη για τη διασφάλιση των πληροφοριών TRÈS SECRET UE/EU TOP SECRET και τις συνέπειες που προβλέπονται από τους κανόνες της EE και το εθνικό δίκαιο ή τους εθνικούς διοικητικούς κανόνες σε περίπτωση που διαβαθμισμένες πληροφορίες EE περιέρχονται σε μη εξουσιοδοτημένα πρόσωπα, είτε εκ προθέσεως είτε εξ αμελείας
8. Στην περίπτωση προσώπων τα οποία έχουν πρόσβαση σε πληροφορίες TRÈS SECRET UE/EU TOP SECRET σε συνεδριάσεις κλπ, ο αρμόδιος υπάλληλος ελέγχου της υπηρεσίας ή του οργάνου στο οποίο απασχολείται το εν λόγω πρόσωπο γνωστοποιεί στο όργανο το οποίο διοργανώνει τη συνεδρίαση ότι τα οικεία πρόσωπα διαθέτουν τη σχετική άδεια.
9. Τα ονόματα όλων των προσώπων τα οποία παύουν να απασχολούνται σε καθήκοντα που απαιτούν πρόσβαση σε πληροφορίες TRÈS SECRET UE/EU TOP SECRET διαγράφονται από τον κατάλογο TRES SECRET UE/EU TOP SECRET Επίσης, εφιστάται και πάλι η προσοχή όλων αυτών των προσώπων στην ειδική ευθύνη τους για τη διασφάλιση των πληροφοριών TRES SECRET UE/EU TOP SECRET. Τα πρόσωπα αυτά υπογράφουν επίσης δήλωση ότι δεν θα χρησιμοποιήσουν ούτε θα διαβιβάσουν σε άλλους πληροφορίες TRÈS SECRET UE/EU TOP SECRET τις οποίες κατέχουν.
ΕΙΔΙΚΟΙ ΚΑΝΟΝΕΣ ΓΙΑ ΤΗΝ ΠΡΟΣΒΑΣΗ ΣΕ ΠΛΗΡΟΦΟΡΙΕΣ SECRET UE ΚΑΙ CONFIDENTIEL UE
10. Όλα τα πρόσωπα που πρόκειται να έχουν πρόσβαση σε πληροφορίες SECRET UE και CONFIDENTIEL UE υφίστανται προηγουμένως τον έλεγχο ασφαλείας στον, ενδεδειγμένο βαθμό.
11. Όλα τα πρόσωπα που πρόκειται να έχουν πρόσβαση σε πληροφορίες SECRET UE και CONFIDENTIEL UE ενημερώνονται για τους κανονισμούς ασφαλώς καθώς και για τις συνέπειες τυχόν αμέλειας.
12 Στην περίπτωση προσώπων που έχουν πρόσβαση σε πληροφορίες SECRET UE και CONFIDENTIEL UE κατά τη διάρκεια συνεδριάσεων κλπ., ο Υπεύθυνος Ασφαλώς του οργάνου όπου εργάζεται το εν λόγω πρόσωπο γνωστοποιεί στο όργανο που οργανώνει τη συνεδρίαση άτι τα σχετικά πρόσωπα διαθέτουν τη σχετική άδεια.
ΕΙΔΙΚΟΙ ΚΑΝΟΝΕΣ ΠΑ ΤΗΝ ΠΡΟΣΒΑΣΗ ΣΕ ΠΛΗΡΟΦΟΡΙΕΣ RESTREINT UE
13. Οι έχοντες πρόσβαση σε πληροφορίες RESTREINT UE ενημερώνονται για τους προκείμενους κανονισμούς ασφαλείας καθώς και για τις συνέπειες τυχόν αμέλειας.
ΜΕΤΑΘΕΣΕΙΣ
14. Όταν ένα μέλος του προσωπικού μετατίθεται από μια θέση η οποία ενέχει το χειρισμό διαβαθμισμένου υλικού EE, η γραμματεία επιβλέπει την κατάλληλη παράδοση του υλικού αυτού από τον απερχόμενο στον νέο υπάλληλο.
ΕΙΔΙΚΕΣ ΕΝΤΟΛΕΣ
15. Τα πρόσωπα τα οποία απαιτείται να χειρίζονται διαβαθμισμένες πληροφορίες EE θα πρέπει, για πρώτη φόρα κατά την ανάληψη των καθηκόντων τους και στη συνέχεια περιοδικά, να ενημερώνονται για:
α) τους κινδύνους που ενέχουν για την ασφάλεια οι ακριτομυθίες,
β) τις προφυλάξεις που πρέπει να λαμβάνουν κατά τις σχέσεις τους με τον τύπο,
γ) την απειλή που συνιστούν οι δραστηριότητες υπηρεσιών πληροφοριών οι οποίες έχουν ως στόχο την EE και τα κράτη μέλη σε ό,τι αφορά τις διαβαθμισμένες πληροφορίες και δραστηριότητες EE,
δ) την υποχρέωση να αναφέρουν αμέσως στις ενδεδειγμένες αρχές ασφαλείας κάθε τυχόν προσέγγιση ή ελιγμό που προκαλεί υπόνοιες κατασκοπευτικής δραστηριότητας ή τυχόν ασυνήθεις περιστάσεις που αφορούν την ασφάλεια.
16. Όλα τα πρόσωπα που έχουν κανονικά συχνές επαφές με αντιπροσώπους χωρών των οποίων οι υπηρεσίες πληροφοριών έχουν ως στόχο την EE και τα κράτη μέλη σε ότι αφορά διαβαθμισμένες πληροφορίες και δραστηριότητες EE, ενημερώνονται για τις τεχνικές που είναι γνωστά ότι χρησιμοποιούνται από τις διάφορες υπηρεσίες πληροφοριών.
17. Δεν υπάρχουν κανονισμοί ασφαλείας του Συμβουλίου σχετικά με τα ιδιωτικά ταξίδια του προσωπικού που έχει άδεια πρόσβασης σε διαβαθμισμένες πληροφορίες EE, ασχέτως προορισμού. Ωστόσο, οι αρμόδιες αρχές ασφαλείας γνωστοποιούν στους υπαλλήλους και το λοιπό προσωπικά που υπάγονται στην αρμοδιότητα τους σχετικά με τους ταξιδιωτικούς κανονισμούς οι οποίοι ενδέχεται να ισχύουν γι' αυτούς. Οι υπεύθυνοι ασφαλείας μεριμνούν για επιμορφωτικές συναντήσεις για τα μέλη του προσωπικού όσον αφορά τις εν λόγω ειδικές οδηγίες.
ΤΜΗΜΑ VI
ΔΙΑΔΙΚΑΣΙΑ ΕΛΕΓΧΟΥ ΑΣΦΑΛΕΙΑΣ ΤΩΝ ΥΠΑΛΛΗΛΩΝ ΚΑΙ ΤΟΥ ΛΟΙΠΟΥ ΠΡΟΣΩΠΙΚΟΥ ΤΗΣ ΓΓΣ
1. Μόνο οι υπάλληλοι και το λοιπό προσωπικό της ΓΓΣ ή πρόσωπα τα οποία εργάζονται στα πλαίσια της ΓΓΣ και τα οποία, λόγω των καθηκόντων τους και για τις ανάγκες της υπηρεσίας χρειάζεται να γνωρίζουν ή να χρησιμοποιούν διαβαθμισμένες πληροφορίες που έχει στην κατοχή του το Συμβούλιο, έχουν πρόσβαση στις πληροφορίες αυτές.
2. Για την πρόσβαση στις πληροφορίες TRÊS SECRET UE/EU TOP SECRET, SECRET UE και CONFIDENTIEL UE, τα πρόσωπα nou μνημονεύονται στην παράγραφο 1 πρέπει να έχουν λάβει σχετική άδεια, σύμφωνα με τη διαδικασία των παραγράφων 4 και 5.
3. Η άδεια χορηγείται μόνο στα πρόσωπα τα οποία έχουν υποστεί έλεγχο ασφαλείας από τις αρμόδιες εθνικές αρχές των κρατών μελών (ΕΑΑ), σύμφωνα με τη διαδικασία των παραγράφων 6 έως 10.
4. Η αρμόδια για τους διορισμούς αρχή, κατά την έννοια του άρθρου 2, πρώτο εδάφιο του Κανονισμού Υπηρεσιακής Κατάστασης είναι αρμόδια για τη χορήγηση των αδειών που μνημονεύονται στα σημεία 1, 2 και 3.
Η αρμόδια για τους διορισμούς αρχή χορηγεί την άδεια αφού λάβει τη γνώμη των αρμόδιων εθνικών αρχών των κρατών μελών βάσει του ελέγχου ασφαλείας που διενεργείται σύμφωνα με τα σημεία 6 έως 12. -
5. Η άδεια, η οποία έχει πενταετή ισχύ, δεν μπορεί να υπερβεί τη διάρκεια των καθηκόντων βάσει των οποίων χορηγείται. Μπορεί να ανανεωθεί από την αρμόδια για τους διορισμούς αρχή με τη διαδικασία της παραγράφου 4.
Η αρμόδια για τους διορισμούς αρχή ανακαλεί την άδεια όταν κρίνει ότι συντρέχει λόγος προς τούτο Τυχόν ανακλητική απόφαση κοινοποιείται στο ενδιαφερόμενο πρόσωπο, το οποίο μπορεί να ζητήσει ακρόαση από την αρμόδια για τους διορισμούς καθώς και στην αρμόδια εθνική αρχή.
6. Στόχος του ελέγχου ασφαλείας είναι να εξακριβωθεί ότι δεν υπάρχουν αντιρρήσεις στο να επιτραπεί στο συγκεκριμένο πρόσωπο να έχει πρόσβαση σε διαβαθμισμένες πληροφορίες που έχει στην κατοχή του το Συμβούλιο.
7. Ο έλεγχος ασφαλείας διενεργείται, με τη συνδρομή του ενδιαφερομένου προσώπου και έπειτα από αίτηση της αρμόδιας για τους διορισμούς αρχής από τις αρμόδιες εθνικές αρχές του κράτους μέλους του οποίου είναι υπήκοος το πρόσωπο που χρειάζεται την άδεια. Εάν ο ενδιαφερόμενος διαμένει στο έδαφος άλλου κράτους μέλους, οι ενδιαφερόμενες εθνικές αρχές μπορούν να διασφαλίζουν τη συνεργασία των αρχών του κρότους διαμονής
8. Ως μέρος της διαδικασίας ελέγχου, μπορεί να ζητηθεί από τον ενδιαφερόμενο να συμπληρώσει έντυπο με προσωπικές πληροφορίες.
9. Η αρμόδια για τους διορισμούς αρχή προσδιορίζει στην αίτησή της το είδος και το επίπεδο των διαβαθμισμένων πληροφοριών που πρόκειται να τεθούν στη διάθεση του ενδιαφερομένου, ώστε οι αρμόδιες εθνικές αρχές να μπορέσουν να διενεργήσουν τη διαδικασία ελέγχου και να δώσουν τη γνώμη τους ως προς το επίπεδο της άδειας που θα ήταν σκόπιμο να χορηγηθεί στο εν λόγω πρόσωπο.
10. Το σύνολο της διαδικασίας ελέγχου ασφαλείας μαζί με το πόρισμά της υπόκειται στους κανόνες και τις ρυθμίσεις που ισχύουν εν προκειμένω στο οικείο κράτος μέλος περιλαμβανομένων των κανόνων και ρυθμίσεων που αφορούν τις ενστάσεις και προσφυγές
11. Όταν οι αρμόδιες εθνικές αρχές του κράτους μέλους δίνουν θετική γνώμη, η αρμόδια για τους διορισμούς αρχή μπορεί να χορηγεί την άδεια στο ενδιαφερόμενο πρόσωπο.
12. Η αρνητική γνώμη των αρμόδιων εθνικών αρχών γνωστοποιείται στον ενδιαφερόμενο, ο οποίος μπορεί να ζητήσει ακρόαση από την αρμόδια για τους διορισμούς αρχή Εφόσον τα κρίνα αναγκαίο, η τελευταία μπορεί να ζητήσει από τις αρμόδιες εθνικές αρχές οιαδήποτε περαιτέρω διευκρίνιση μπορούν να παράσχουν Εάν επιβεβαιωθεί η αρνητική γνώμη, η άδεια δεν χορηγείται.
13. Όλα τα πρόσωπα που έχουν άδεια κατά την έννοια των παραγράφων 4 και 5 λαμβάνουν, κατά τη χορήγηση της άδειας και στη συνέχεια σε τακτικά διαστήματα, τις τυχόν αναγκαίες οδηγίες σχετικά με την προστασία διαβαθμισμένων πληροφοριών και με τα μέσο για τη διασφάλιση της προστασίας αυτής. Τα πρόσωπα αυτά υπογράφουν δήλωση με την οποία βεβαιώνουν ότι έλαβαν τις οδηγίες και αναλαμβάνουν να τις τηρούν.
14. Η αρμοδία για τους διορισμούς αρχή λαμβάνει τα τυχόν αναγκαία μέτρα γα την εφαρμογή του παρόντος τμήματος, ιδίως όσον αφορά τους κανόνες που διέπουν την πρόσβαση στον κατάλογο των προσώπων στα οποία έχει χορηγηθεί η σχετική άδεια.
15. Κατ' εξαίρεση, εφόσον απαιτείται ατό την υπηρεσία, η αρμόδια για τους διορισμούς αρχή μπορεί, αφού ενημερώσει τις αρμόδιες εθνικές αρχές και εφόσον δεν υπάρξει αντίδραση εκ μέρους των εντός ενός μηνός, να χορηγεί προσωρινή άδεια μέγιστης διάρκειας έξι μηνών, εν αναμονή του αποτελέσματος του ελέγχου που μνημονεύεται στο σημείο 7.
16. Οι ούτως χορηγούμενες προσωρινές και υπό αίρεση άδειες δεν επιτρέπουν την πρόσβαση σε πληροφορίες TRÈS SECRET UE/EU TOP SECRET. Η πρόσβαση στις πληροφορίες αυτές περιορίζεται στους υπαλλήλους που έχουν όντως υποστεί έλεγχο επιτυχώς, σύμφωνα με την παράγραφο 7. Εν αναμονή του πορίσματος του ελέγχου, οι υπάλληλοι για τους οποίους έχει ζητηθεί πρόσβαση TRÈS SECRET UE/EU TOP SECRET μπορούν να λαμβάνουν προσωρινή και υπό αίρεση άδεια πρόσβασης σε πληροφορίες έως και SECRET UE.
ΤΜΗΜΑ VΙΙ
ΚΑΤΑΡΤΙΣΜΟΣ, ΔΙΑΝΟΜΗ, ΔΙΑΒΙΒΑΣΗ, ΑΠΟΘΗΚΕΥΣΗ ΚΑΙ ΚΑΤΑΣΤΡΟΦΗ ΔΙΑΒΑΘΜΙΣΜΕΝΩΝ
ΥΛΙΚΩΝ EE
Περιεχόμενα
Γενικές διατάξεις
| Κεφάλαιο Ι | Εκπόνηση και διανομή διαβαθμισμένων εγγράφων EE |
| Κεφάλαιο ΙΙ | Διαβίβαση διαβαθμισμένων εγγράφων EE |
| Κεφάλαιο ΙΙΙ | Ηλεκτρικά και άλλα μέσα τεχνικής διαβίβασης |
| Κεφάλαιο IV | Πρόσθετα αντίγραφα, μεταφράσεις και αποσπάσματα διαβαθμισμένων εγγράφων EE |
| Κεφάλαιο V | Απογραφές και έλεγχοι, αποθήκευση και καταστροφή διαβαθμισμένων εγγράφων EE |
| Κεφάλαιο VI | Ειδικοί κανόνες για τα έγγραφα που προορίζονται για το Συμβούλιο |
Γενικές διατάξεις
Το παρόν τμήμα πραγματεύεται τα μέτρα για τον καταρτισμό, τη διανομή, τη διαβίβαση, την αποθήκευση και την καταστροφή των διαβαθμισμένων εγγράφων EE όπως ορίζονται στην παράγραφο 3 σημείο α) των Βασικών Αρχών και Στοιχειωδών Κανόνων Ασφαλείας του μέρους 1 του παρόντος παραρτήματος, πρέπει δε να χρησιμοποιείται ως αναφορά για την προσαρμογή των μέτρων αυτών για άλλα διαβαθμισμένα υλικά EE, ανάλογα με το είδος τους και κατά περίπτωση
Κεφάλαιο I
Καταρτισμός και διανομή διαβαθμισμένων εγγράφων EE
ΚΑΤΑΡΤΙΣΜΟΣ
1. Η διαβάθμιση και οι επισημάνσεις EE εφαρμόζονται όπως ορίζεται στο τμήμα Π, εμφαίνονται δε στο κέντρο του άνω και του κάτω μέρους κάθε σελίδας• κάθε σελίδα αριθμείται Κάθε διαβαθμισμένο έγγραφο EE φέρει αριθμό αναφοράς και ημερομηνία Στα έγγραφα TRÈS SECRET UE/EU TOP SECRET και SECRET UE, ο αριθμός αυτός εμφαίνεται σε κάθε σελίδα Εάν τα έγγραφα πρόκειται να διανεμηθούν σε πολλαπλά αντίτυπα, στην πρώτη σελίδα κάθε αντιτύπου αναγράφεται ο αριθμός αντιτύπου και ο ολικός αριθμός σελίδων. Στην πρώτη σελίδα των εγγράφων που είναι διαβαθμισμένα τουλάχιστον ως CONFIDENTIEL UE πρέπει να αναφέρονται όλα τα παραρτήματα και τα επισυναπτόμενα έγγραφα.
2. Τα έγγραφα που διαβαθμίζονται τουλάχιστον ως CONFIDENTIEL UE πρέπει να δακτυλογραφούνται, να μεταφράζονται, να αποθηκεύονται, να φωτοαντιγράφονται, να αναπαράγονται μαγνητικά ή να αντιγράφονται σε μικροφίλμ μόνον από άτομα διαβαθμισμένα για πρόσβαση σε πληροφορίες EE διαβαθμισμένες τουλάχιστον μέχρι τον κατάλληλο βαθμό ασφαλείας του συγκεκριμένου εγγράφου, εκτός από την ειδική περίπτωση στην παράγραφο 27 του παρόντος τμήματος.
Οι διατάξεις για την αναπαραγωγή διαβαθμισμένων εγγράφων μέσω υπολογιστή περιέχονται στο τμήμα XI.
ΔΙΑΝΟΜΗ
3. Οι διαβαθμισμένες πληροφορίες EE διανέμονται μόνον σε άτομα που πρέπει να τις γνωρίζουν και έχουν την κατάλληλη διαβάθμιση ασφαλείας. Η αρχική διανομή καθορίζεται από τον συντάκτη.
4. Τα έγγραφα TRÈS SECRET UE/EU TOP SECRET κυκλοφορούν μέσω γραμματειών ΑΚΡΩΣ ΑΠΟΡΡΗΤΟΝ EE (βλέπε τμήμα VIII). Όσον αφορά τα μηνύματα τα TRÈS SECRET UE/EU TOP SECRET, η αρμόδια γραμματεία μπορεί να επιτρέπει στον προϊστάμενο του κέντρου επικοινωνιών να παράγει τον αριθμό αντιγράφων που ορίζεται στον κατάλογο παραληπτών.
5. Τα έγγραφα με διαβάθμιση το πολύ SECRET UE επιτρέπεται να αναδιανέμονται από τον αρχικό παραλήπτη σε άλλους παραλήπτες ανάλογα με την ανάγκη γνώσης. Ωστόσο, οι συντάκτριες αρχές αναφέρουν σαφώς τις τυχόν προειδοποιήσεις που επιθυμούν να επιβάλουν. Όταν επιβάλλονται παρόμοιες προειδοποιήσεις οι παραλήπτες αναδιανέμουν τα έγγραφα μόνον με την άδεια των συντακτριών αρχών
6. Κατά την είσοδο του σε ή την έξοδό του από μια υπηρεσία, κάθε έγγραφο τουλάχιστον CONFIDENTIEL UE καταγράφεται από τη γραμματεία της υπηρεσίας. Τα στοιχεία που καταγράφονται (αριθμός αναφοράς ημερομηνία και, κατά περίπτωση, αριθμός αντιτύπου) πρέπει να επαρκούν για την αναγνώριση των εγγράφων και να καταχωρούνται σε μητρώο ή σε ειδικό προστατευμένο υπόθεμα πληροφορικής
Κεφάλαιο ΙΙ
Διαβίβαση διαβαθμισμένων εγγράφων EE
ΣΥΣΚΕΥΑΣΙΑ
7. Τα έγγραφα τουλάχιστον CONFIDENTIEL UE διαβιβάζονται εντός ανθεκτικών και αδιαφανών διπλών φακέλων Στον εσωτερικό φάκελο αναγράφεται η πρέπουσα διαβάθμιση ασφαλείας EU καθώς και, εφόσον είναι δυνατόν, η πλήρης υπηρεσιακή ιδιότητα και διεύθυνση του αποδέκτη.
8. Μόνον ένας Ελεγκτικός Υπάλληλος Γραμματείας ή ο αναπληρωτής του επιτρέπεται να ανοίγουν τον εσωτερικό φάκελο και να χορηγούν απόδειξη παραλαβής των εγγράφων που περιέχει, εκτός εάν ο φάκελος απευθύνεται σε συγκεκριμένο παραλήπτη Στην περίπτωση αυτήν, η αρμόδια Γραμματεία πρωτοκολλά την άφιξη του φακέλου, μόνον δε ο παραλήπτης επιτρέπεται να ανοίγει τον εσωτερικό φάκελο και να χορηγεί απόδειξη παραλαβής για τα έγγραφα που περιέχει.
9. Ο εσωτερικός φάκελος πρέπει να περιέχει έντυπο απόδειξης. Η απόδειξη, η οποία δεν είναι διαβαθμισμένη, πρέπει να αναγράφει τον αριθμό αναφοράς, την ημερομηνία και τον αριθμό αντιτύπου του εγγράφου αλλά ποτέ το θέμα του
10. Ο εσωτερικός φάκελος περικλείεται σε εξωτερικό φάκελο, ο οποίος φέρει αριθμό δέματος για να είναι δυνατόν να χορηγείται απόδειξη . Ο βαθμός ασφαλείας δεν αναγράφεται ποτέ στον εξωτερικό φάκελο.
11. Για τα έγγραφα με διαβάθμιση τουλάχιστον CONFIDENTIEL UE, οι μεταφορείς και οι αγγελιαφόροι λαμβάνουν αποδείξεις με τον αριθμό δέματος
ΔΙΑΒΙΒΑΣΗ ΣΤΟ ΕΣΩΤΕΡΙΚΟ ΕΝΟΣ ΚΤΙΡΙΟΥ Ή ΜΙΑΣ ΟΜΑΔΑΣ ΚΤΙΡΙΩΝ
12. Εντός ενός συγκεκριμένου κτιρίου ή ομάδας κτιρίων, τα διαβαθμισμένα έγγραφα επιτρέπεται να μεταφέρονται εντός σφραγισμένου φακέλου που φέρει μόνον το όνομα του παραλήπτη, υπό την προϋπόθεση ότι μεταφέρονται από άτομα διαβαθμισμένα για τον αντίστοιχο βαθμό ασφαλείας των εγγράφων.
ΔΙΑΒΙΒΑΣΗ ΕΓΓΡΑΦΩΝ EE ΕΝΤΟΣ ΜΙΑΣ ΧΩΡΑΣ
13. Εντός μιας χώρας, τα έγγραφα TRÈS SECRET UE/EU TOP SECRET πρέπει να αποστέλλονται μέσω επίσημης υπηρεσίας αγγελιοφόρων ή μέσω ατόμων τα οποία έχουν εξουσιοδοτημένη πρόσβαση σε πληροφορίες TRES SECRET UE/EU TOP SECRET.
14. Όταν χρησιμοποιείται υπηρεσία αγγελιοφόρων για τη διαβίβαση ενός εγγράφου TRÈS SECRET UE/EU TOP SECRET εκτός των ορίων ενός κτιρίου ή συγκροτήματος κτιρίων, πρέπει να τηρούνται οι διατάξεις περί συσκευασίας και απόδειξης παραλαβής του παρόντος κεφαλαίου. Οι υπηρεσίες παράδοσης πρέπει να διαθέτουν το κατάλληλο προσωπικό ώστε να εξασφαλίζεται ότι τα δέματα που περιέχουν έγγραφα TRÈS SECRET UE/EU TOP SECRET παραμένουν συνεχώς υπό την άμεση εποπτεία αρμόδιου υπαλλήλου.
15. Κατ’ εξαίρεση, υπάλληλοι πλην των αγγελιοφόρων, επιτρέπεται να μεταφέρουν έγγραφα TRÈS SECRET UE/EU TOP SECRET στο εσωτερικό ενός κτιρίου ή ομάδας κτιρίων, προκειμένου να τα χρησιμοποιούν επιτόπου σε συνεδριάσεις και συζητήσεις, εφόσον;
Α) ο κομιστής έχει εξουσιοδότηση πρόσβασης στα εν λόγω έγγραφα TRÈS SECRET UE/EU TOP SECRET,
β) ο τρόπος μεταφοράς τηρεί τους εθνικούς κανόνες περί διαβίβασης εθνικών εγγράφων TOP SECRET,
γ) ο υπάλληλος δεν εγκαταλείπει ποτέ αφύλακτα τα έγγραφα TRÈS SECRET UE/EU TOP SECRET,
δ) λαμβάνονται μέτρα ώστε να τηρείται κατάλογος των μεταφερόμενων εγγράφων και να καταχωρείται σε βιβλίο στην Γραμματεία TRÈS SECRET UE/EU TOP SECRET, και να αντιπαραβάλλεται προς την εγγραφή αυτήν κατά την επιστροφή τους
16. Εντός μιας και της αυτής χώρας τα έγγραφα SECRET UE και CONFIDENTIEL UE επιτρέπεται να αποστέλλονται είτε με το ταχυδρομείο, εφόσον τούτο επιτρέπεται από τους εθνικούς κανονισμούς και διενεργείται σύμφωνα με τις διατάξεις τους, είτε από υπηρεσία αγγελιοφόρων ή από άτομα με έγκριση πρόσβασης σε διαβαθμισμένες πληροφορίες EE
17. Βάσει των κανονισμών αυτών, κάθε κράτος μέλος ή αποκεντρωμένος οργανισμός της EE πρέπει να καταρτίσει οδηγίες για την αυτοπρόσωπη μεταφορά διαβαθμισμένων εγγράφων EE. Ο κομιστής υποχρεούται να διαβάζει και να υπογράφει τις οδηγίες αυτές. Ειδικότερα, οι οδηγίες πρέπει να καθιστούν σαφές ότι τα έγγραφα ουδέποτε:
α) εγκαταλείπουν την κατοχή του κομιστή, εκτός εάν φυλάσσονται ασφαλώς σύμφωνα με τις διατάξεις του τμήματος IV,
β) εγκαταλείπονται αφύλακτα σε συγκοινωνιακά μέσα ή ιδιωτικά οχήματα ή σε μέρη όπως εστιατόρια ή ξενοδοχεία. Τα έγγραφα απαγορεύεται να αποθηκεύονται σε χρηματοκιβώτια ξενοδοχείων ή να εγκαταλείπονται αφύλακτα σε δωμάτια ξενοδοχείων,
γ) διαβάζονται σε δημόσιους χώρους, όπως αεροσκάφη ή τρένα.
ΔΙΑΒΙΒΑΣΗ ΜΕΤΑΞΥ ΚΡΑΤΩΝ ΜΕΛΩΝ
18. Τα υλικά που είναι διαβαθμισμένα τουλάχιστον CONFIDENTIEL UE πρέπει να μεταφέρονται μεταξύ κρατών μελών μέσω υπηρεσιών διπλωματικών ή στρατιωτικών μεταφορών.
19. Ωστόσο , είναι δυνατόν να επιτρέπεται η αυτοπρόσωπη μεταφορά υλικού διαβαθμισμένου ως SECRET UE ή CONFIDENTIEL UE εάν οι συνθήκες μεταφοράς εξασφαλίζουν άτι δεν είναι δυνατόν να περιπέσουν στα χέρια μη εξουσιοδοτημένου ατόμου.
20. Οι Εθνικές Αρχές Ασφαλείας μπορούν να επιτρέπουν την αυτοπρόσωπη μεταφορά όταν δεν υπάρχουν διπλωματικοί ή στρατιωτικοί μεταφοράς ή όταν η χρήση των μεταφορέων αυτών θα οδηγούσε σε καθυστέρηση που θα έβλαπτε τις επιχειρήσεις της EE και ο παραλήπτης χρειάζεται επειγόντως το συγκεκριμένο υλικό. Κάθε κράτος μέλος πρέπει να εκπονήσει οδηγίες για την αυτοπρόσωπη μεταφορά, διεθνώς, υλικού διαβαθμισμένου μέχρι και SECRET UE από άτομα άλλα πλην των διπλωματικών και στρατιωτικών μεταφορέων. Βάσει των οδηγιών αυτών πρέπει να απαιτείται
α) να διαθέτει ο κομιστής την κατάλληλη διαβάθμιση ασφαλείας που χορηγείται από τα κράτη μέλη,
β) να καταγράφονται, στο κατάλληλο γραφείο ή γραμματεία, όλα τα υλικά που μεταφέρονται κατ' αυτόν τον τρόπο,
γ) να φέρουν όλα τα δέματα ή σάκοι που περιέχουν υλικό EE επίσημη σφραγίδα που να εμποδίζει ή να αποτρέπει την εξέταση από τα τελωνεία, καθώς και ετικέτες με αναγνωριστικά στοιχεία και οδηγίες προς τον ανευρίσκοντα,
δ) να φέρει ο κομιστής πιστοποιητικό αγγελιαφόρου ή/και εντολή αποστολής, αναγνωριζόμενη από όλα τα κράτη μέλη, που να τον εξουσιοδοτεί να μεταφέρει το συγκεκριμένο δέμα,
ε) να μην πραγματοποιείται διέλευση εξωκοινοτικού κράτους ή των συνόρων του κατά τη χερσαία μεταφορά, εκτός εάν το κράτος αποστολής έχει λάβει συγκεκριμένη εξασφάλιση από το κράτος αυτό,
στ) να είναι οι ταξιδιωτικές ρυθμίσεις του κομιστή όσον αφορά τους προορισμούς, τα ακολουθούμενα δρομολόγια και τα χρησιμοποιούμενα μεταφορικά μέσα σύμφωνες προς τους κανονισμούς της EE ή — εάν οι σχετικοί εθνικοί κανονισμοί είναι αυστηρότεροι — σύμφωνες προς αυτούς,
ζ) να παραμείνει διαρκώς το υλικό στην κατοχή του κομιστή, εκτός εάν φυλάσσεται σύμφωνα με τις διατάξεις περί ασφαλούς φύλαξης του τμήματος IV,
η) να μην εγκαταλείπεται το υλικό αφύλακτο σε δημόσια ή ιδιωτικά οχήματα ή σε μέρη όπως εστιατόρια ή ξενοδοχεία. Το υλικό δεν πρέπει να τίθεται σε χρηματοκιβώτια ξενοδοχείων ούτε να εγκαταλείπεται αφύλακτο σε δωμάτια ξενοδοχείων.
θ) αν το μεταφερόμενο υλικό περιέχει έγγραφα, να μην διαβάζονται τα έγγραφα αυτά σε δημόσιους χώρους (π.χ. αεροσκάφη, τρένα κλπ.)
Το άτομο στο οποίο ανατίθεται η μεταφορά διαβαθμισμένου υλικού πρέπει να διαβάζει και να υπογράφει οδηγίες ασφαλείας οι οποίες να περιέχουν, τουλάχιστον, τις προαναφερόμενες οδηγίες και τις ακολουθητέες διαδικασίες σε περίπτωση έκτακτης ανάγκης ή όταν τελωνειακοί υπάλληλοι ή υπάλληλοι ασφαλείας αερολιμένων ζητούν να εξετάσουν το δέμα που περιέχει το διαβαθμισμένο υλικό.
ΔΙΑΒΙΒΑΣΗ ΕΓΓΡΑΦΩΝ RESTREINT UE
21. Για τη μεταφορά εγγράφων RESTREINT UE εν προβλέπονται ειδικές διατάξεις, πλην του ότι οι συνθήκες μεταφοράς πρέπει να εξασφαλίζουν ότι τα έγγραφα είναι αδύνατον να πέσουν στα χέρια μη εξουσιοδοτημένων ατόμων
ΑΣΦΑΛΕΙΑ ΜΕΤΑΦΟΡΕΩΝ
22. Όλοι οι μεταφορείς και αγγελιοφόροι που χρησιμοποιούνται για τη μεταφορά εγγράφων SECRET UE και CONFIDENTIEL UE πρέπει να διαθέτουν την κατάλληλη διαβάθμιση ασφαλείας.
Κεφάλαιο ΙΙΙ
Ηλεκτρικά και άλλα μέσα τεχνικής διαβίβασης
23. Τα μέτρα ασφαλείας επικοινωνιών αποσκοπούν στην εξασφάλιση της ασφαλούς διαβίβασης διαβαθμισμένων πληροφοριών EE. Οι λεπτομερείς κανόνες για την διαβίβαση αυτών των διαβαθμισμένων πληροφοριών EE περιέχονται στο τμήμα XI.
24. Μόνον δεόντως διαπιστευμένα κέντρα επικοινωνιών και δίκτυα ή/και τερματικά και συστήματα Επιτρέπεται να διαβιβάζουν πληροφορίες διαβαθμισμένες ως CONFIDENTIEL UE και SECRET UE.
Κεφάλαιο IV
Πρόσθετα αντίγραφα, μεταφράσεις και αποσπάσματα διαβαθμισμένων εγγράφων EE
25. Μόνον ο συντάκτης μπορεί να επιτρέπει την αντιγραφή ή τη μετάφραση εγγράφων TRÈS SECRET UE/EU TOP SECRET.
26. Εάν άτομα χωρίς διαβάθμιση TRÈS SECRET UE/EU TOP SECRET χρειάζονται πληροφορίες οι οποίες, μολονότι περιέχονται σε έγγραφο TRÈS SECRET UE/EU TOP SECRET, δεν έχουν την διαβάθμιση αυτήν, είναι δυνατών να επιτρέπεται στον προϊστάμενο της Γραμματείας TRÈS SECRET UE/EU TOP SECRET να παράγει τον απαιτούμενο αριθμό αποσπασμάτων από το έγγραφο αυτό. Ταυτόχρονα, ο προϊστάμενος αυτός λαμβάνει τα απαιτούμενα μέτρα για να εξασφαλίσει ότι στα αποσπάσματα αυτά αποδίδεται η κατάλληλη διαβάθμιση ασφαλείας.
27. Τα έγγραφα με διαβάθμιση το πολύ SECRET UE επιτρέπεται να αναπαράγονται και να μεταφράζονται από τον παραλήπτη, στο πλαίσιο των εθνικών κανονισμών ασφαλείας και υπό τον όρο ότι τηρείται αυστηρά η αρχή «ανάγκη γνώσης» Τα μέτρα ασφαλείας που εφαρμόζονται για το αρχικό έγγραφο εφαρμόζονται και στα αντίγραφα ή/και μεταφράσεις του. Οι αποκεντρωμένοι οργανισμοί της EE πρέπει να ακολουθούν τους προκείμενους κανονισμούς ασφαλείας.
Κεφάλαιο V
Απογραφές και έλεγχοι, αποθήκευση και καταστροφή διαβαθμισμένων εγγράφων EE
ΑΠΟΓΡΑΦΕΣ ΚΑΙ ΕΛΕΓΧΟΙ
28. Κάθε χρόνο, κάθε Γραμματεία TRÈS SECRET UE/EU TOP SECRET που αναφέρεται στο τμήμα VIII πραγματοποιεί αναλυτική απογραφή των εγγράφων TRÈS SECRET UE/EU TOP SECRET σύμφωνα με τους κανονισμούς του τμήματος VIII, παράγραφοι 9 έως 11. Τα έγγραφα με διαβάθμιση EE κατώτερη του TRÈS SECRET UE/EU TOP SECRET υποβάλλονται σε εσωτερικά έλεγχο σύμφωνα με τις εθνικές κατευθυντήριες γραμμές και, στην περίπτωση της ΓΓΣ ή των αποκεντρωμένων οργανισμών της EE, σύμφωνα με τις οδηγίες του Γενικού Γραμματέα/Ύπατου Εκπροσώπου.
Οι εργασίες αυτές επιτρέπουν να λαμβάνεται η γνώμη των κατόχων όσον αφορά:
α) τη δυνατότητα υποχαρακτηρισμού ή αποχαρακτηρισμού ορισμένων εγγράφων,
β) τα προς καταστροφή έγγραφα.
ΑΡΧΕΙΟΘΕΤΗΣΗ ΔΙΑΒΑΘΜΙΣΜΕΝΩΝ ΠΛΗΡΟΦΟΡΙΩΝ EE
29. Προκειμένου να ελαχιστοποιηθούν τα προβλήματα αποθήκευσης, Επιτρέπεται στους ελεγκτικούς υπαλλήλους όλων των υπηρεσιών να αναπαράγουν σε μικροφίλμ ή να αποθηκεύουν και άλλο τρόπο σε μαγνητικό ή οπτικό υπόθεμα προς αρχειοθέτηση έγγραφα TRÈS SECRET 'UE/EU TOP SECRET, SECRET UE και CONFIDENTIEL UE, εφόσον:
α) οι εργασίες παραγωγής μικροφίλμ ή αποθήκευσης εκτελούνται από προσωπικό με ισχύουσα διαβάθμιση για τον αντίστοιχο κατάλληλο βαθμό ασφαλείας
β) το υπόθεμα μικροφίλμ/αποθήκευσης προστατεύεται εξίσου ασφαλώς όπως και τα πρωτότυπα έγγραφα,
γ) η παραγωγή μικροφίλμ/αποθήκευση των εγγράφων TRÈS SECRET UE/EU TOP SECRET γνωστοποιείται στο συντάκτη,
δ) τα ρολά φιλμ ή οι άλλοι τύποι υποθέματος περιέχουν μόνον έγγραφα με την ίδια διαβάθμιση TRÈS SECRET UE/EU TOP SECRET, SECRET UE ή CONFIDENTIEL UE,
ε) η παραγωγή μικροφίλμ/αποθήκευση ενός εγγράφου TRÈS SECRET UE/EU TOP SECRET ή SECRET UE αναφέρεται σαφώς στο μητρώο που χρησιμοποιείται για την ετήσια απογραφή,
στ) τα πρωτότυπα έγγραφα, από τα οποία παρήχθησαν μικροφίλμ ή τα οποία αποθηκεύθηκαν κατ' άλλον τρόπο, καταστρέφονται σύμφωνα με τους κανονισμούς των παρακάτω παραγράφων 31 έως 36.
30. Οι κανόνες αυτοί εφαρμόζονται και σε κάθε άλλη μορφή αποθήκευσης που επιτρέπεται από την Εθνική Αρχή Ασφαλείας, όπως ηλεκτρομαγνητικά υποθέματα και οπτικοί δίσκοι.
ΣΥΝΗΘΗΣ ΚΑΤΑΣΤΡΟΦΗ ΔΙΑΒΑΘΜΙΣΜΕΝΩΝ ΕΓΓΡΑΦΩΝ EE
31. Για να αποφευχθεί η περιττή συσσώρευση διαβαθμισμένων εγγράφων EE, τα έγγραφα τα οποία, κατά τη γνώμη του προϊσταμένου της υπηρεσίας στην κατοχή της οποίας ευρίσκονται, είναι πεπαλαιωμένα και περισσεύουν καταστρέφονται το συντομότερο δυνατόν ως εξής:
α) τα έγγραφα TRÈS SECRET UE/EU TOP SECRET καταστρέφονται μόνον από την αρμόδια Κεντρική Γραμματεία Κάθε καταστρεφόμενο έγγραφο πρέπει να καταγράφεται σε πρωτόκολλο καταστροφής, το οποίο υπογράφεται από τον ελεγκτικά υπάλληλο TRÈS SECRET UE/EU TOP SECRET και από τον υπάλληλο o οποίος παρίσταται κατά την καταστροφή και ο οποίος πρέπει να έχει διαβάθμιση TRÈS SECRET UE/EU TOP SECRET. Σχετική σημείωση καταχωρείται στο βιβλίο ημερολογίου,
β) η γραμματεία διατηρεί τα πρωτόκολλα καταστροφής, μαζί με τα φύλλα διανομής, επί δέκα έτη. Αντίγραφά τους αποστέλλονται στον συντάκτη ή την αρμόδια κεντρική γραμματεία μόνον όταν ζητούνται ρητά,
γ) τα έγγραφα TRÈS SECRET UE/EU TOP SECRET, καθώς και όλα τα διαβαθμισμένα απορρίμματα που προκύπτουν κατά την σύνταξη των εγγράφων TRÈS SECRET UE/EU TOP SECRET, όπως κακέκτυπα αντίγραφα, σχέδια - εγγράφων, δακτυλογραφημένα σημειώματα και καρμπόν, καταστρέφονται υπό την επίβλεψη υπαλλήλου TRÈS SECRET UE/EU TOP SECRET, με καύση, πολτοποίηση, σχίσιμο σε λεπτές λουρίδες ή καθ' οιονδήποτε άλλο τρόπο που τα μετατρέπει σε μη αναγνωρίσιμη και μη ανασυστάσιμη μορφή.
32. Τα έγγραφα SECRET UE καταστρέφονται από την αρμόδια γραμματεία, υπό την επίβλεψη άτομου με διαβάθμιση ασφαλείας, με μια από τις μεθόδους που αναφέρονται στην παράγραφο 31 στοιχείο γ). Τα καταστρεφόμενα έγγραφα SECRET UE καταγράφονται σε υπογραφόμενο πρωτόκολλο καταστροφής το οποίο διατηρείται από τη γραμματεία, μαζί με τα έντυπα διανομής, επί τρία τουλάχιστον έτη.
33. Τα έγγραφα CONFIDENTIEL UE καταστρέφονται από την αρμόδια γραμματεία, υπό την επίβλεψη ατόμου με διαβάθμιση ασφαλείας και με μια από τις μεθόδους της παραγράφου 31 στοιχείο γ). Η καταστροφή τους καταγράφεται σύμφωνα με τους εθνικούς κανονισμούς και στην περίπτωση της ΓΓΣ ή των αποκεντρωμένων οργανισμών της EE, σύμφωνα με τις οδηγίες του Γενικού Γραμματέα/Ύπατου Εκπροσώπου.
34. Τα έγγραφα RESTREINT UE καταστρέφονται από την αρμόδια γραμματεία ή από το χρήστη, σύμφωνα με τους εθνικούς κανονισμούς και στην περίπτωση της ΓΓΣ ή των αποκεντρωμένων οργανισμών της EE, σύμφωνα με τις οδηγίες του Γενικού Γραμματέα/Ύπάτου Εκπροσώπου.
ΚΑΤΑΣΤΡΟΦΗ ΣΕ ΠΕΡΙΠΤΩΣΗ ΕΚΤΑΚΤΗΣ ΑΝΑΓΚΗΣ
35. Η ΓΓΣ, τα κράτη μέλη και οι αποκεντρωμένοι οργανισμοί της EE καταρτίζουν σχέδια βάσει των τοπικών συνθηκών για τη διαφύλαξη του διαβαθμισμένου υλικού EE σε περίπτωση χρίσης τα οποία περιλαμβάνουν, εφόσον απαιτείται, σχέδια καταστροφής και εκκένωσης σε περίπτωση έκτακτης ανάγκης, εκδίδουν δε, εντός των αντίστοιχων οργανώσεών τους τις οδηγίες που κρίνονται αναγκαίες ώστε να μην περιπέσουν διαβαθμισμένες πληροφορίες EE στα χέρια μη εξουσιοδοτημένων ατόμων.
36. Οι ρυθμίσεις για τη διαφύλαξη ή/και την καταστροφή του υλικού SECRET UE και CONFIDENTIEL UE σε περίπτωση κρίσης δεν πρέπει ποτέ να επηρεάζουν αρνητικά τη διαφύλαξη ή την καταστροφή υλικού TRÈS SECRET UE/EU TOP SECRET, συμπεριλαμβανομένου του κρυπτογραφικού εξοπλισμού, του οποίου η διαφύλαξη ή καταστροφή πρέπει να έχουν προτεραιότητα έναντι κάθε άλλης εργασίας. Τα ληπτέα μέτρα για τη διαφύλαξη και την καταστροφή του κρυπτογραφικού εξοπλισμού σε περίπτωση έκτακτης ανάγκης καλύπτονται από ειδικές οδηγίες
Κεφάλαιο VI
Ειδικοί κανόνες για τα έγγραφα που προορίζονται για το Συμβούλιο
37. Εντός της ΓΓΣ, ένα «Γραφείο Διαβαθμισμένων Πληροφοριών» παρακολουθεί τις πληροφορίες που διαβαθμίζονται ως SECRET UE ή CONFIDENTIEL UE οι οποίες περιέχονται σε έγγραφα που προορίζονται για το Συμβούλιο.
Υπό την εποπτεία του Γενικού Διευθυντή Προσωπικού και Διοίκησης, το Γραφείο αυτό:
α) διαχειρίζεται τις εργασίες καταχώρησης αναπαραγωγής, μετάφρασης, διαβίβασης αποστολής και καταστροφής των πληροφοριών αυτών,
β) ενημερώνει το μητρώο για τις διαβαθμισμένες πληροφορίες
γ) ερωτά περιοδικώς τους εκδότες των πληροφοριών ως προς την ανάγκη διατήρησης του χαρακτηρισμού τους
δ) καθορίζει, σε συνεργασία με την Υπηρεσία Ασφαλείας τις πρακτικές λεπτομέρειες χαρακτηρισμού και αποχαρακτηρισμού των πληροφοριών,
38. Το Γραφείο Διαβαθμισμένων Πληροφοριών τηρεί μητρώο των ακόλουθων στοιχείων:
α) ημερομηνία παραγωγής των διαβαθμισμένων πληροφοριών,
β) βαθμός ασφαλείας
γ) λήξη του χαρακτηρισμού.
δ) ονοματεπώνυμο και υπηρεσία του εκδότη,
ε) αποδέκτης ή αποδέκτες με ένδειξη του αύξοντα αριθμού,
στ) θέμα,
ζ) αριθμός
η) αριθμός αντιτύπων,
θ) απογραφή των διαβαθμισμένων πληροφοριών που υποβάλλονται στο Συμβούλιο,
ι) μητρώο αποχαρακτηρισμού και υποχαρακτηρισμού διαβαθμισμένων πληροφοριών.
39. Οι γενικοί κανόνες των κεφαλαίων Ι έως V του παρόντος τμήματος ισχύουν για το Γραφείο Διαβαθμισμένων Πληροφοριών της ΓΓΣ, εκτός εάν τροποποιούνται από τους ειδικούς κανόνες του παρόντος κεφαλαίου.
ΤΜΗΜΑ VIII
ΓΡΑΜΜΑΤΕΙΕΣ TRÈS SECRET UE/EU TOP SECRET
1. Οι γραμματείες TRÈS SECRET UE/EU TOP SECRET εξασφαλίζουν την καταγραφή, τη διεκπεραίωση και τη διανομή των εγγράφων TRÈS SECRET UE/EU TOP SECRET σύμφωνα με τους κανονισμούς περί ασφαλείας. Ο προϊστάμενος της γραμματείας TRÈS SECRET UE/EU TOP SECRET, αντίστοιχα σε κάθε κράτος μέλος στη ΓΓΣ και, ανάλογα με την περίπτωση, στους αποκεντρωμένους οργανισμούς της EE, είναι ο ελεγκτικός υπάλληλος TRÈS SECRET UE/EU TOP SECRET.
2. Οι κεντρικές γραμματείες λειτουργούν ως η κύρια αρχή παραλαβής και αποστολής στα κράτη μέλη, τη ΓΓΣ και τους αποκεντρωμένους οργανισμούς της EE, όπου έχουν συσταθεί παρόμοιες γραμματείες, καθώς και, ανάλογα με την περίπτωση, σε άλλα θεσμικά όργανα της EE, διεθνείς οργανισμούς και τρίτα κράτη με τα οποία το Συμβούλιο έχει συμφωνίες για διαδικασίες ασφαλείας για την ανταλλαγή διαβαθμισμένων πληροφοριών.
3. Εφόσον απαιτείται, συγκροτούνται υπογραμματείες αρμόδιες για την εσωτερική διαχείριση των εγγράφων TRÈS SECRET UE/EU TOP SECRET οι υπογραμματείες τηρούν ενημερωμένα αρχεία της κυκλοφορίας κάθε εγγράφου για το οποίο είναι υπεύθυνες
4. Οι υπογραμματείες TRÈS SECRET UE/EU TOP SECRET συγκροτούνται όπως προβλέπεται στο τμήμα I για την κάλυψη μακροπρόθεσμων αναγκών και εξαρτώνται από κεντρική γραμματεία TRÈS SECRET UE/EU TOP SECRET. Εάν χρειάζεται μόνον προσωρινή και περιστασιακή πρόσβαση σε έγγρ. TRÈS SECRET UE/EU TOP SECRET, τα έγγραφα αυτά επιτρέπεται να κυκλοφορούν χωρίς να συγκροτείται υπογραμματεία TRÈS SECRET UE/EU TOP SECRET, υπό την προϋπόθεση ότι θεσπίζονται κανόνες για να εξασφαλίζεται ότι τα έγγραφα αυτά παραμένουν υπό τον έλεγχο της αρμόδιας γραμματείας TRÈS SECRET UE/EU TOP SECRET και ότι τηρούνται όλα τα μέτρα υλικής ασφάλειας και ασφάλειας προσωπικού.
5. Οι υπογραμματείες δεν διαβιβάζουν έγγραφα TRÈS SECRET UE/EU TOP SECRET απευθείας σε άλλες υπογραμματείες της ίδιας κεντρικής γραμματείας TRES SECRET UE/EU TOP SECRET χωρίς τη ρητή της άδεια.
6. Όλες οι ανταλλαγές εγγράφων TRÈS SECRET UE/EU TOP SECRET μεταξύ υπογραμματειών που δεν υπάγονται στην ίδια κεντρική γραμματεία πρέπει να δρομολογούνται μέσω των κεντρικών γραμματειών TRÈS SECRET UE/EU TOP SECRET.
ΚΕΝΤΡΙΚΕΣ ΓΡΑΜΜΑΤΕΙΕΣ TRÈS SECRET UE/EU TOP SECRET
7. Ως ελεγκτικός υπάλληλος ο προϊστάμενος μιας γραμματείας TRÈS SECRET UE/EU TOP SECRET είναι αρμόδιος για,
α) τη διαβίβαση εγγράφων TRÈS SECRET UE/EU TOP SECRET σύμφωνα με τους κανονισμούς του τμήματος VII,
β) την τήρηση καταλόγου όλων των εξαρτωμένων από αυτόν υπογραμματειών TRÈS SECRET UE/EU TOP SECRET καθώς και των ονομάτων και των υπογραφών των διορισμένων ελεγκτικών υπαλλήλων και των εξουσιοδοτημένων αναπληρωτών τους
γ) τη διατήρηση των αποδείξεων από τα μητρώα για όλα τα έγγραφα TRÈS SECRET UE/EU TOP SECRET που διανέμει η κεντρική γραμματεία,
δ) τη διατήρηση αρχείου των διατηρούμενων και διανεμόμενων εγγράφων TRÈS SECRET UE/EU TOP SECRET,
ε) την τήρηση ενημερωμένου καταλόγου όλων των κεντρικών γραμματειών TRÈS SECRET UE/EU TOP SECRET με τις οποίες αλληλογραφεί συνήθως, καθώς και των ονομάτων και των υπογραφών των διορισμένων ελεγκτικών υπαλλήλων τους και των εξουσιοδοτημένων αναπληρωτών τους,
στ) την υλική διαφύλαξη όλων των εγγράφων TRÈS SECRET UE/EU TOP SECRET που φυλάγει η γραμματεία σύμφωνα με τους κανονισμούς του τμήματος IV.
ΥΠΟΓΡΑΜΜΑΤΕΙΕΣ TRÈS SECRET UE/EU TOP SECRET
8. Ως ελεγκτικός υπάλληλος, ο προϊστάμενος μιας υπογραμματείας TRÈS SECRET UE/EU TOP SECRET είναι αρμόδιος για
α) τη διαβίβαση εγγράφων TRÈS SECRET UE/EU TOP SECRET σύμφωνα με τους κανονισμούς του τμήματος VII και των παραγράφων 5 και 6 του τμήματος VIII,
ΤΜΗΜΑ IX
ΜΕΤΡΑ ΑΣΦΑΛΕΙΑΣ ΠΟΥ ΠΡΕΠΕΙ ΝΑ ΕΦΑΡΜΟΖΟΝΤΑΙ ΣΕ ΕΙΔΙΚΕΣ ΣΥΝΕΔΡΙΑΣΕΙΣ ΟΙ ΟΠΟΙΕΣ ΔΙΕΞΑΓΟΝΤΑΙ
ΕΚΤΟΣ ΤΩΝ ΚΤΙΡΙΩΝ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ ΚΑΙ ΚΑΤΑ ΤΙΣ ΟΠΟΙΕΣ ΣΥΖΗΤΟΥΝΤΑΙ ΙΔΙΑΙΤΕΡΑ
ΕΥΑΙΣΘΗΤΑ ΘΕΜΑΤΑ
ΓΕΝΙΚΑ
1. Όταν σύνοδοι του Ευρωπαϊκού Συμβουλίου ή του Συμβουλίου ή υπουργικές ή άλλες σημαντικές συνεδριάσεις πραγματοποιούνται εκτός των κτιρίων του Συμβουλίου στις Βρυξέλλες και το Λουξεμβούργο, και όταν δικαιολογείται από ιδιαίτερες απαιτήσεις ασφαλείας λόγω της ιδιαίτερης ευαισθησίας των προς συζήτηση θεμάτων ή πληροφοριών, λαμβάνονται τα παρακάτω μέτρα ασφαλείας Τα μέτρα αυτά αφορούν μόνον την προστασία των διαβαθμισμένων πληροφοριών ΕΕ• για τα λοιπά θέματα ασφαλείας ενδέχεται να απαιτείται ιδιαίτερος προγραμματισμός.
ΕΥΘΥΝΕΣ
Κράτος μέλος υποδοχής
2. Το κράτος μέλος όπου διοργανώνεται μια συνεδρίαση (κράτος μέλος υποδοχής) είναι υπεύθυνο, σε συνεργασία με την υπηρεσία ασφαλείας της ΓΓΣ, για την ασφάλεια των συνόδων του Ευρωπαϊκού Συμβουλίου ή του Συμβουλίου ή των υπουργικών ή άλλων σημαντικών συνεδριάσεων και για την υλική ασφάλεια των κυριότερων αντιπροσώπων και του προσωπικού τους.
Όσον αφορά την προστασία της ασφάλειας, το κράτος μέλος υποδοχής εξασφαλίζει ιδίως ότι:
α) καταρτίζονται σχέδια για την αντιμετώπιση απειλών κατά της ασφάλειας και περιστατικών σχετικών με την ασφάλεια τα σχετικά μέρα καλύπτουν ιδίως την ασφαλή φύλαξη των διαβαθμισμένων εγγράφων EE στα γραφεία,
β) λαμβάνονται μέτρα για να παρέχεται πρόσβαση στο σύστημα επικοινωνιών του Συμβουλίου για την παραλαβή και τη διαβίβαση διαβαθμισμένων μηνυμάτων EE. Επίσης το κράτος μέλος υποδοχής πρέπει να παρέχει πρόσβαση σε ασφαλή τηλεφωνικά συστήματα
Κράτη μέλη
3. Οι αρχές των κρατών μελών εξασφαλίζουν ότι.
α) παρέχεται κατάλληλη πιστοποίηση της διαβάθμισης ασφαλείας για τους εθνικούς τους αντιπροσώπους εν ανάγκη με σήμα ή φαξ, είτε απευθείας στον υπάλληλο ασφαλείας της συνεδρίασης είτε μέσω της Υπηρεσίας Ασφαλείας της ΓΓΣ,
β) κάθε συγκεκριμένη απειλή γνωστοποιείται στις αρχές του κρότους μέλους υποδοχής και, ανάλογα με την περίπτωση, στην Υπηρεσία Ασφαλείας της ΓΓΣ, ώστε να είναι δυνατόν να ληφθούν τα κατάλληλα μέτρα.
Υπάλληλος Ασφαλείας της Συνεδρίασης
4. Ορίζεται υπάλληλος ασφαλείας υπεύθυνος για τη γενική προετοιμασία και τον έλεγχο των γενικών εσωτερικών μέτρων ασφαλείας και για το συντονισμό με τις λοιπές ενδιαφερόμενες υπηρεσίες ασφαλείας Τα μέτρα που λαμβάνει, κατά κανόνα, αφορούν:
α) i) προστατευτικά μέτρα στον τόπο της συνεδρίασης ώστε να εξασφαλίζεται ότι η συνεδρίαση διεξάγεται χωρίς συμβάντα ικανά να θίξουν την ασφάλεια των διαβαθμισμένων πληροφοριών EE που ενδέχεται να χρησιμοποιηθούν κατά τη συνεδρίαση αυτήν,
ii) τον έλεγχο του προσωπικού που επιτρέπεται να έχει πρόσβαση στο χώρο της συνεδρίασης στους χώρους των αντιπροσωπειών και στις αίθουσες συνεδριάσεων, και τον έλεγχο του τυχόν εξοπλισμού.
iii) συνεχή συντονισμό με τις αρμόδιες αρχές του κράτους μέλους υποδοχής και με την Υπηρεσία Ασφαλείας της ΓΓΣ.
β) την προσθήκη οδηγιών ασφαλείας στο φάκελο της συνεδρίασης λαμβανομένων δεόντως υπόψη των απαιτήσεων που προβλέπονται από τους παρόντες κανονισμούς ασφαλείας και κάθε άλλης οδηγίας που κρίνεται αναγκαία
Υπηρεσία Ασφαλείας της ΓΓΣ
5. Η Υπηρεσία Ασφαλείας της ΓΓΣ λειτουργεί ως σύμβουλος ασφαλείας κατά την προετοιμασία της συνεδρίασης, στην οποία πρέπει να εκπροσωπείται για να επικουρεί και να παρέχει συμβουλές προς τον υπάλληλο ασφαλείας της συνεδρίασης και τις αντιπροσωπείες εφόσον απαιτείται
6. Κάθε αντιπροσωπεία που συμμετέχει στη συνεδρίαση ορίζει έναν υπάλληλο ασφαλείας ο οποίος θα είναι υπεύθυνος για την αντιμετώπιση θεμάτων ασφαλώς εντός της αντιπροσωπείας του και για τη διασύνδεση με τον υπάλληλο ασφαλείας της συνεδρίασης, καθώς και με την Υπηρεσία Ασφαλείας της ΓΓΣ εφόσον απαιτείται.
ΜΕΤΡΑ ΑΣΦΑΛΕΙΑΣ
Περιοχές ασφαλείας
7. Πρέπει να δημιουργούνται οι ακόλουθοι χώροι ασφαλείας
α) ένας χώρος ασφαλείας κατηγορίας ΙΙ, αποτελούμενος από μια αίθουσα σύνταξης, τα γραφεία της ΓΓΣ και μηχανήματα αναπαραγωγής εγγράφων, καθώς και τα γραφεία των αντιπροσωπειών εφόσον απαιτείται,
β) ένας χώρος ασφαλείας κατηγορίας I, αποτελούμενος από την αίθουσα συνεδριάσεων και τους θαλάμους των διερμηνέων και των μηχανικών ήχου,
γ) διοικητικοί χώροι, αποτελούμενοι από την αίθουσα τύπου και τα μέρη του χώρου της συνεδρίασης τα οποία χρησιμοποιούνται για διοικητικές εργασίες, εστίαση και κατάλυμα, και το χώρο που γειτνιάζει άμεσα με το Κέντρο Τύπου και το χώρο της συνεδρίασης
Άδειες κυκλοφορίας
8. Ο υπάλληλος ασφαλείας της συνεδρίασης εκδίδει τις κατάλληλες ειδικές ταυτότητες που ζητούν οι αντιπροσωπείες ανάλογα με τις ανάγκες τους. Εφόσον απαιτείται, είναι δυνατόν να γίνεται διάκριση όσον αφορά την πρόσβαση στους διάφορους χώρους ασφαλείας
9. Οι οδηγίες ασφαλείας της συνεδρίασης πρέπει να απαιτούν από όλους τους ενδιαφερομένους να φέρουν πάντοτε και εμφανώς την ειδική τους ταυτότητα εντός του χώρου της συνεδρίασης ώστε να μπορούν να ελέγχονται από το προσωπικό ασφαλείας
10 Εκτός από τους συμμετέχοντες με ειδική ταυτότητα, στο χώρο της συνεδρίασης πρέπει να επιτρέπεται η είσοδος σε όσο το δυνατόν λιγότερα άτομα Οι εθνικές αντιπροσωπείες που επιθυμούν να δεχθούν επισκέπτες κατά τη διάρκεια της συνεδρίασης πρέπει να ενημερώνουν τον υπάλληλο ασφαλείας της συνεδρίασης. Στους επισκέπτες πρέπει να χορηγείται ειδική ταυτότητα επισκέπτη. Προς τούτο, πρέπει να συμπληρώνεται ειδικά έντυπο με το ονοματεπώνυμό του και το ονοματεπώνυμο του ατόμου που επισκέπτεται. Οι επισκέπτες πρέπει να συνοδεύονται πάντα από φύλακα ή από το άτομο του επισκέπτονται. Το έντυπο εισόδου του επισκέπτη πρέπει να φέρεται από το άτομο που επισκέπτεται, το οποίο και το επιστρέφει, μαζί με την ειδική ταυτότητα του επισκέπτη, στο προσωπικό ασφαλείας κατά την αναχώρηση του επισκέπτη από το χώρο της συνεδρίασης
Έλεγχος φωτογραφικού και ακουστικού εξοπλισμού
11. Στο χώρο ασφαλείας κατηγορίας I απαγορεύεται να εισάγονται φωτογραφικές μηχανές ή ηχογραφικές συσκευές, πλην του εξοπλισμού των φωτογράφων και των μηχανικών ήχου που είναι δεόντως εξουσιοδοτημένοι από τον υπάλληλο ασφαλείας της συνεδρίασης
Έλεγχος χαρτοφυλάκων, φορητών υπολογιστών και δεμάτων
12. Οι κάτοχοι άδειας κυκλοφορίας στους οποίους επιτρέπεται η πρόσβαση σε χώρο ασφαλείας μπορούν κανονικά να φέρουν μαζί τους χαρτοφύλακες και φορητούς υπολογιστές (με δική τους πηγή ηλεκτρισμού) χωρίς έλεγχο Όσον αφορά τα δέματα για τις αντιπροσωπείες, οι αντιπροσωπείες επιτρέπεται να τα παραλαμβάνουν αφού είτε επιθεωρηθούν από τον υπάλληλο ασφαλείας της αντιπροσωπείας είτε εξεταστούν με ειδικό μηχάνημα, είτε ανοιχτούν προς επιθεώρηση από το προσωπικό ασφαλείας Εάν ο υπάλληλος ασφαλείας της συνεδρίασης το κρίνει αναγκαίο, είναι δυνατόν να λαμβάνονται αυστηρότερα μέτρα για την επιθεώρηση των χαρτοφυλάκων και των δεμάτων.
Τεχνική ασφάλεια
13. Η αίθουσα συνεδριάσεων μπορεί να καθίσταται τεχνικώς ασφαλής από ομάδα τεχνικής ασφάλειας η οποία μπορεί να διενεργεί και ηλεκτρονική επιτήρηση κατά τη συνεδρίαση.
Έγγραφα των αντιπροσωπειών
14. Οι αντιπροσωπείες είναι υπεύθυνες για τη μεταφορά διαβαθμισμένων εγγράφων ΕΕ από και προς τις συνεδριάσεις. Οι αντιπροσωπείες είναι επίσης υπεύθυνες για τον έλεγχο και την ασφάλεια των εγγράφων αυτών κατά τη χρήση τους στους διατεθέντες χώρους. Είναι δυνατόν να ζητείται η βοήθεια του κράτους μέλους υποδοχής για τη μεταφορά διαβαθμισμένων εγγράφων από και προς το χώρο της συνεδρίασης.
Ασφαλής φύλαξη των εγγράφων
15. Εάν η ΓΓΣ, η Επιτροπή ή οι αντιπροσωπείες δεν μπορούν να αποθηκεύσουν τα διαβαθμισμένα έγγραφά τους σύμφωνα με τους εγκεκριμένους κανόνες, μπορούν να παραδώσουν τα έγγραφα αυτά, κλεισμένα μέσα σε σφραγισμένους φακέλους, στον υπάλληλο ασφαλείας της συνεδρίασης, έναντι αποδείξεως, ώστε ο υπάλληλος αυτός να μπορεί να τα αποθηκεύει σύμφωνα με τους εγκεκριμένους κανόνες
Επιθεώρηση γραφείων
16. Ο υπάλληλος ασφαλείας της συνεδρίασης πρέπει να λαμβάνει μέτρα για την επιθεώρηση των γραφείων της ΓΓΣ και των αντιπροσωπειών στο τέλος κάθε ημέρας εργασίας προκειμένου να βεβαιώνεται ότι όλα τα διαβαθμισμένα έγγραφα EE διατηρούνται σε ασφαλή χώρο σε διαφορετική περίπτωση, μπορεί να λαμβάνει τα δέοντα μέτρα.
Διάθεση διαβαθμισμένων απορριμμάτων EE
17. Όλα τα απορρίμματα πρέπει να αντιμετωπίζονται ως διαβαθμισμένα EE, οι δε κάλαθοι ή σάκοι αχρήστων πρέπει να παραδίδονται στη ΓΓΣ και τις αντιπροσωπείες προς διάθεση. Πριν εγκαταλείψουν τους διατεθέντες χώρους, η ΓΓΣ και οι αντιπροσωπείες πρέπει να παραδίδουν τα απορρίμματά τους στον υπάλληλο ασφαλείας της συνεδρίασης, ο οποίος φροντίζει για την καταστροφή τους σύμφωνα με τους κανονισμούς
18. Μετά το πέρας της συνεδρίασης όλα τα έγγραφα που βρίσκονται στην κατοχή της ΓΓΣ ή των αντιπροσωπειών αλλά δεν χρειάζονται πλέον πρέπει να αντιμετωπίζονται ως απορρίμματα. Πριν αρθούν τα μέτρα ασφαλείας που εφαρμόζονται κατά τη συνεδρίαση, πρέπει να ερευνώνται διεξοδικά οι χώροι της ΓΓΣ και των αντιπροσωπειών. Τα έγγραφα για τα οποία έχει χορηγηθεί υπογεγραμμένη απόδειξη πρέπει, στο μέτρο του εφικτού, να καταστρέφονται σύμφωνα με το τμήμα VII.
ΤΜΗΜΑ Χ
ΠΑΡΑΒΙΑΣΕΙΣ ΤΗΣ ΑΣΦΑΛΕΙΑΣ ΚΑΙ ΔΙΑΡΡΟΗ ΔΙΑΒΑΘΜΙΣΜΕΝΩΝ ΠΛΗΡΟΦΟΡΙΩΝ EE
1. Παραβίαση της ασφάλειας προκύπτει ως αποτέλεσμα μιας πράξης ή μιας παράλειψης αντίθετης προς συγκεκριμένο κανονισμό ασφαλώς του Συμβουλίου ή κράτους μέλους, με την οποία τίθενται σε κίνδυνο ή διαρρέουν διαβαθμισμένες πληροφορίες EE
2. Διαρροή διαβαθμισμένων πληροφοριών EE προκύπτει όταν αυτές καταλήγουν εξ ολοκλήρου ή εν μέρει σε χέρια μη εξουσιοδοτημένων προσώπων, δηλαδή προσώπων που είτε δεν έχουν υποστεί επιτυχώς τον πρέποντα έλεγχο ασφαλείας είτε δεν δικαιολογείται να γνωρίζουν, ή όταν θεωρείται πιθανό να έχει συμβεί κάτι τέτοιο.
3. Οι διαβαθμισμένες πληροφορίες EE μπορούν να διαρρεύσουν ως αποτέλεσμα απροσεξίας, αμέλειας ή ακριτομυθίας καθώς και ως συνέπεια των δραστηριοτήτων υπηρεσιών που έχουν ως στόχο την EE ή τα κράτη μέλη της, όσον αφορά τις διαβαθμισμένες πληροφορίες και δραστηριότητες EE ή ανατρεπτικών οργανώσεων.
4. Είναι σημαντικό όλα τα πρόσωπα τα οποία απαιτείται να χειρίζονται διαβαθμισμένες πληροφορίες EE να έχουν ενημερωθεί αναλυτικά για τις ρυθμίσεις ασφαλείας, τους κινδύνους τυχόν ακριτομυθιών και τις σχέσεις τους με τον τύπο. Πρέπει να έχουν συνείδηση ότι είναι σημαντικό να αναφέρεται αμέσως στην αρχή ασφαλείας του κράτους μέλους του θεσμικού οργάνου ή του οργανισμού για τον οποίο εργάζονται κάθε παραβίαση της ασφάλειας που τυχόν υποπέσει στην αντίληψη τους.
5. Όταν μια αρχή ασφαλείας ανακαλύπτει ή πληροφορείται παραβίαση της ασφάλειας σχετικά με διαβαθμισμένες πληροφορίες EE ή απώλεια ή εξαφάνιση διαβαθμισμένου υλικού EE, λαμβάνει εγκαίρως μέτρα προκειμένου:
α) να διαπιστώσει τα πραγματικά περιστατικά,
β) να εκτιμήσει και να ελαχιστοποιήσει την επελθούσα ζημία,
γ) να αποτρέψει επανάληψη του συμβάντος
δ) να ειδοποιήσει τις δέουσες αρχές για τις συνέπειες της παραβίασης της ασφάλειας
Στα πλαίσια αυτά, παρέχονται τα ακόλουθα στοιχεία:
i) μια περιγραφή των συγκεκριμένων πληροφοριών, καθώς και η διαβάθμισή τους, ο αριθμός του εγγράφου ή αντιγράφου, η ημερομηνία, ο συντάκτης τους, το θέμα τους και ο τομέας εφαρμογής τους
ii) μια συνοπτική περιγραφή των περιστάσεων παραβίασης της ασφάλειας καθώς και η ημερομηνία και το διάστημα κατά το οποίο οι πληροφορίες ήταν εκτεθειμένες σε κίνδυνο διαρροής,
iii) μια δήλωση για το κατά πόσον έχει ενημερωθεί ο συντάκτης τους.
6. Αποτελεί καθήκον της κάθε αρχής ασφαλείας, μόλις ειδοποιηθεί για μια τέτοια παραβίαση της ασφάλειας να αναφέρει το γεγονός αμέσως με την ακόλουθη διαδικασία• οι υπεύθυνοι της συγκεκριμένης υπογραμματείας TRÈS SECRET UE/EU TOP SECRET ειδοποιούν ΤΟ Γραφείο Ασφαλείας της ΓΓΣ μέσω της κεντρικής γραμματείας TRES SECRET UE/EU TOP SECRET• στην περίπτωση διαρροής διαβαθμισμένων πληροφοριών EE εντός της επικράτειας κράτους μέλους αυτή αναφέρεται στο Γραφείο Ασφαλείας της ΓΓΣ όπως ορίζεται στην παράγραφο 5, μέσω της αρμόδιας ΕΕΑ.
7. Οι περιπτώσει που αφορούν πληροφορίες RESTREINT UE αναφέρονται μόνο όταν παρουσιάζουν ασυνήθιστα χαρακτηριστικά.
8. Ο Γενικός Γραμματέας/Ύπατος Εκπρόσωπος, μόλις πληροφορηθεί μια παραβίαση της ασφάλειας•
α) ενημερώνει την αρχή από όπου προήλθαν οι εν λόγω διαβαθμισμένες πληροφορίες.
β) δίνει εντολή στις αρμόδιες αρχές ασφαλείας να διεξαγάγουν έρευνες
γ) συντονίζει τις έρευνες όταν ενέχονταν πλείονες αρχές ασφαλείας
δ) λαμβάνει έκθεση για τα πραγματικά περιστατικά της παραβίασης, την ημερομηνία ή το διάστημα κατά το οποίο ενδέχεται να συνέβη και την ανακάλυψη της ρε λεπτομερή περιγραφή του περιεχομένου και της διαβάθμισης του σχετικού υλικού, καθώς επίσης και έκθεση της ζημίας που υπέστησαν τα συμφέροντα της EE ή ενός ή περισσοτέρων κρατών μελών της και των ενεργειών που έγιναν για την αποτροπή επανάληψης του συμβάντος
9. Η αρχή που ανακάλυψε την παραβίαση ενημερώνει τους αποδέκτες των πληροφοριών και δίνει τις κατάλληλες οδηγίες
10. Κάθε υπεύθυνος για τη διαρροή διαβαθμισμένων πληροφοριών EE υπόκειται σε πειθαρχικές κυρώσεις σύμφωνα με τους οικείους κανόνες και κανονισμούς. Οι κυρώσεις επιβάλλονται με την επιφύλαξη των τυχόν περαιτέρω δικαστικών ενεργειών.
ΤΜΗΜΑ XI
ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΠΛΗΡΟΦΟΡΙΩΝ ΣΤΑ ΣΥΣΤΗΜΑΤΑ ΤΕΧΝΟΛΟΓΙΑΣ ΤΩΝ ΠΛΗΡΟΦΟΡΙΩΝ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΩΝ
Πίνακας περιεχομένων
Κεφάλαιο I Εισαγωγή
Κεφάλαιο II Ορισμοί .
Κεφάλαιο III Αρμοδιότητες ασφαλείας
Κεφάλαιο IV Μη τεχνικά μέτρα ασφαλείας
Κεφάλαιο V Τεχνικά μέτρα ασφαλείας
Κεφάλαιο VI Ασφάλεια κατά τον χειρισμό
Κεφάλαιο VII Προμήθειες.
Κεφάλαιο VIII Προσωρινή ή περιστασιακή χρήση
Κεφάλαιο I
Εισαγωγή
ΓΕΝΙΚΕΣ ΠΤΥΧΕΣ
1. Η πολιτική και οι απαιτήσεις ασφαλείας που προβλέπονται στο παρόν τμήμα ισχύουν για όλα τα συστήματα και δίκτυα επικοινωνιών και πληροφορικής (εφεξής συστήματα) στα οποία διακινούνται πληροφορίες με διαβάθμιση CONFIDENTIEL UE ή υψηλότερη
2. Τα συστήματα στα οποία διακινούνται πληροφορίες RESTREINT UE επίσης απαιτείται να καλύπτονται από μέτρα ασφαλείας ώστε να προστατεύεται η εμπιστευτικότητα των πληροφοριών αυτών. Όλα τα συστήματα πρέπει να καλύπτονται από μέτρα ασφαλείας ώστε να προστατεύονται η ακεραιότητα και η διαθεσιμότητα αυτών των συστημάτων και των πληροφοριών τις οποίες περιέχουν. Τα μέτρα ασφαλείας των συστημάτων αυτών καθορίζονται από την καθορισμένη Αρχή Πιστοποίησης της Ασφάλειας (ΑΠΑ) και είναι ανάλογα προς τον εκτιμώμενο κίνδυνο και σύμφωνα με την πολιτική που χαράσσεται στους παρόντες κανονισμούς ασφαλείας.
3. Η προστασία των συστημάτων ανίχνευσης στα οποία έχουν ενσωματωθεί συστήματα πληροφορικής καθορίζεται και διευκρινίζεται στο γενικότερο πλαίσιο των συστημάτων στα οποία ανήκουν, με τη χρήση των εφαρμοστέων διατάξεων του παρόντος τμήματος κατά το μέτρο του δυνατού.
ΑΠΕΙΛΕΣ ΚΑΤΑ ΤΩΝ ΣΥΣΤΗΜΑΤΩΝ ΚΑΙ ΤΡΩΤΑ ΣΗΜΕΙΑ ΑΥΤΩΝ
4. Σε γενικές γραμμές ως απειλή ορίζεται κάθε δυνατότητα, τυχαίας ή εσκεμμένης αποδυνάμωση, άμβλυνση της ασφάλειας Στην περίπτωση των συστημάτων, η εν λόγω αποδυνάμωση της ασφάλειας συνεπάγεται απώλεια εμπιστευτικότητας ακεραιότητας, διαθεσιμότητας, ή δύο περισσότερων από τις ιδιότητες αυτές Ως τρωτό σημείο ορίζεται μια αδυναμία των ελέγχων ή έλλειψη αυτών που διευκολύνει ή καθιστά δυνατή την ενεργοποίηση μιας απειλής εις βάρος συγκεκριμένου περιουσιακού στοιχείου ή στόχου. Ένα τρωτό σημείο μπορεί να οφείλεται σε κάποια παράλειψη ή να απορρέει από κάποια ανεπάρκεια όσον αφορά την αυστηρότητα, την πληρότητα ή τη σταθερότητα των ελέγχων, μπορεί δε να είναι τεχνικής, διαδικαστικής η επιχειρησιακής φύσεως
5. Οι διαβαθμισμένες ή αδιαβάθμητες πληροφορίες ΕE που διακινούνται στα συστήματα υπό συμπυκνωμένη μορφή που αποσκοπεί στην ταχεία ανάκτηση, κοινοποίηση και χρήση είναι ευάλωτες σε πολλούς κινδύνους Σε αυτούς περιλαμβάνεται η πρόσβαση μη εξουσιοδοτημένων χρηστών σε αυτές ή, αντίθετα, η άρνηση πρόσβασης στους εξουσιοδοτημένους χρήστες Υπάρχουν επίσης οι κίνδυνοι κοινολόγησης άνευ αδείας, αλλοίωσης τροποποίησης ή εξάλειψης των πληροφοριών. Επιπλέον, τα χρησιμοποιούμενα πολύπλοκα και ορισμένες φορές εύθραυστα μηχανήματα είναι ακριβά και συχνά είναι δύσκολο να επιδιορθωθούν ή να αντικατασταθούν γρήγορα. Τα συστήματα αυτά αποτελούν επομένως ελκυστικούς στόχους για κατασκοπευτικές δραστηριότητες και πράξεις δολιοφθοράς ιδίως εάν υπάρχει η εντύπωση ότι τα μέτρα ασφαλείας είναι αναποτελεσματικά.
ΜΕΤΡΑ ΑΣΦΑΛΕΙΑΣ
6. Ο κύριος σκοπός των μέτρων ασφαλείας που αναφέρονται στο παρόν τμήμα συνίσταται στην παροχή προστασίας από το ενδεχόμενο κοινολόγησης πληροφοριών άνευ αδείας (απώλεια εμπιστευτικότητας) καθώς και απώλειας της ακεραιότητας και της διαθεσιμότητας των πληροφοριών Για την επίτευξη επαρκούς προστασίας της ασφάλειας των συστημάτων που περιέχουν διαβαθμισμένες πληροφορίες EE, καθορίζονται κατάλληλες προδιαγραφές συμβατικής ασφάλειας καθώς και κατάλληλες ρυθμίσεις και τεχνικές ασφαλείας ειδικά για το κάθε σύστημα.
7. Αποφασίζεται και τίθεται σε εφαρμογή ένα ισορροπημένο σύνολο μέτρων ασφαλείας για τη δημιουργία ασφαλούς περιβάλλοντος εντός του οποίου λειτουργεί ένα σύστημα. Τα πεδία εφαρμογής των μέτρων αυτών καλύπτουν τα υλικά στοιχεία, το προσωπικό, τις μη τεχνικές διαδικασίες και τις διαδικασίες λειτουργίας των υπολογιστών και των επικοινωνιών
8. Στα μέτρα ασφαλείας των υπολογιστών (τόσο των μηχανημάτων όσο και των προγραμμάτων) πρέπει να ενσωματώνεται η εφαρμογή της αρχής της πρόσβασης μόνον όσων έχουν ανάγκη να γνωρίζουν καθώς και η πρόληψη και ανίχνευση της κοινολόγησης πληροφοριών άνευ αδείας. Ο βαθμός στον οποίο τα μέτρα ασφαλείας των υπολογιστών μπορούν να θεωρούνται αξιόπιστα καθορίζεται κατά τη διαδικασία θέσπισης των απαιτήσεων ασφάλειας Κατά τη διαδικασία έγκρισης της λειτουργίας εξακριβώνεται η ύπαρξη επαρκούς βεβαιότητας όσον αφορά την αξιοπιστία των μέτρων ασφαλείας των υπολογιστών
ΔΗΛΩΣΗ ΓΙΑ ΤΙΣ ΕΙΔΙΚΕΣ ΓΙΑ ΤΟ ΚΑΘΕ ΣΥΣΤΗΜΑ ΑΠΑΙΤΗΣΕΙΣ ΑΣΦΑΛΕΙΑΣ (SSRS)
9. Για όλα τα συστήματα στα οποία διακινούνται πληροφορίες με διαβάθμιση EU CONFIDENTIAL και υψηλότερες διαβαθμίσεις, απαιτείται να εκδίδεται μια δήλωση για τις ειδικές για το κάθε σύστημα απατήσεις ασφαλείας (SSRS) από την ITSOA, με εισηγήσεις και βοήθεια από το προσωπικό του σχεδίου και την Αρχή INFOSEC Η δήλωση αυτή εγκρίνεται από την ΑΠΑ. Απαιτείται μια SSRS και στις περιπτώσεις όπου η διαθεσιμότητα και ακεραιότητα των πληροφοριών με διαβάθμιση RESTREINT UE ή χωρίς διαβάθμιση κρίνεται καίριας σημασίας από την ΑΠΑ
10. Η SSRS διατυπώνεται το συντομότερο μετά την έναρξη σχεδιασμού ενός σχεδίου και αναπτύσσεται και ενισχύεται ανάλογα με την εξέλιξη του εκπληρώνοντας διαφορετικούς ρόλους κατά τα διάφορα στάδια του κύκλου ζωής του σχεδίου και του συστήματος.
11. Η SSRS συνιστά δεσμευτική συμφωνία μεταξύ της Επιχειρησιακής Αρχής του συστήματος πληροφορικής και της ΑΠΑ από την οποία το σύστημα λαμβάνει την έγκριση λειτουργίας.
12. Η SSRS αποτελεί μια ολοκληρωμένη και ρητή δήλωση των αρχών ασφαλείας που θα τηρούνται και των λεπτομερών απαιτήσεων ασφαλείας που θα εφαρμόζονται Βασίζεται στην πολιτική ασφάλειας και σης εκτιμήσεις κινδύνου του Συμβουλίου, ή επιβάλλεται από παραμέτρους που αφορούν το επιχειρησιακό περιβάλλον, το χαμηλότερο δυνατό επίπεδο ελέγχων ασφαλείας του προσωπικού, την υψηλότερη δυνατή διαβάθμιση των πληροφοριών, το συγκεκριμένο επίπεδο ασφάλειας της λειτουργίας ή τις απαιτήσεις των χρηστών. Η SSRS αποτελεί αναπόσπαστο μέρος της τεκμηρίωσης του σχεδίου που υποβάλλεται στις αρμόδιες αρχές προς έγκριση από άποψη τεχνικής, προϋπολογισμού και ασφάλειας Στην τελική της μορφή, η SSRS αποτελεί μια ολοκληρωμένη δήλωση περί του τι σημαίνει ο ισχυρισμός ότι το σύστημα είναι ασφαλές
ΕΠΙΠΕΔΑ ΑΣΦΑΛΕΙΑΣ ΤΗΣ ΛΕΙΤΟΥΡΓΙΑΣ
13. Όλα τα συστήματα στα οποία διακινούνται πληροφορίες με διαβάθμιση EU CONFIDENTIAL ή υψηλότερη πρέπει να έχουν λάβει πιστοποίηση για να λειτουργούν σε ένα, ή όταν αυτό δικαιολογείται από τις απαιτήσεις λειτουργίας σε διαφορετικά χρονικά διαστήματα, σε περισσότερα από ένα, από τα ακόλουθα Επίπεδα ασφαλείας, ή τα εθνικά τους ισοδύναμα.
α) απόλυτο,
β) υψηλό και
γ) πολλαπλό.
Κεφάλαιο ΙΙ
Ορισμοί
ΠΡΟΣΘΕΤΕΣ ΣΗΜΑΝΣΕΙΣ
14. Στις περιπτώσεις που υπάρχει ανάγκη περιορισμένης διανομής και ειδικής μεταχείρισης πέραν των όσων απαιτούνται βάσει της διαβάθμισης ασφαλείας τίθενται πρόσθετες σημάνσεις όπως CRYPTO ή άλλες αναγνωρισμένες από την EE σημάνσεις ειδικής μεταχείρισης
15. Ως «ΑΠΟΛΥΤΟ» επίπεδο ασφαλείας νοείται το επίπεδο λειτουργίας στο οποίο ΟΛΑ τα πρόσωπα που έχουν πρόσβαση στο σύστημα. Ελέγχονται σύμφωνα με τον υψηλότερο βαθμό διαβάθμισης των πληροφοριών που περιέχονται στο σύστημα, ενώ παράλληλα έχουν και τον ίδιο βαθμό ανάγκης να γνωρίζουν ΟΛΕΣ τις πληροφορίες που περιέχονται στο σύστημα.
Σημειώσεις
1. Ο «ίδιος βαθμός ανάγκης να γνωρίζουν" σημαίνει ότι δεν είναι υποχρεωτικό τα χαρακτηριστικά ασφαλείας των υπολογιστών να παρέχουν τη δυνατότητα διαχωρισμού των πληροφοριών εντός του συστήματος.
2. Τα υπόλοιπα χαρακτηριστικά ασφαλείας (π.χ όσον αφορά την υλική ασφάλεια, το προσωπικό και τις διαδικασίες) ανταποκρίνονται στις απαίτησης της υψηλότερης διαβάθμισης και όλων των κατηγοριών πληροφοριών που περιέχονται στο σύστημα.
16 Ως «ΥΨΗΛΟ» επίπεδο ασφαλείας νοείται το επίπεδο λειτουργίας στο οποίο ΟΛΑ τα πρόσωπα που έχουν πρόσβαση στο σύστημα ελέγχονται σύμφωνα με τον υψηλότερο βαθμό διαβάθμισης των πληροφοριών που περιέχονται στο σύστημα, αλλά μεταξύ αυτών ΔΕΝ ΕΧΟΥΝ ΟΛΑ τον ίδιο βαθμό ανάγκης να γνωρίζουν τις πληροφορίες που περιέχονται στο σύστημα.
Σημειώσεις
1. Η μη ύπαρξη «ίδιου βαθμού ανάγκης να γνωρίζουν» σημαίνει ότι τα χαρακτηριστικά ασφαλείας των υπολογιστών πρέπει οπωσδήποτε να παρέχουν τη δυνατότητα επιλεκτικής πρόσβασης στο σύστημα και διαχωρισμού των πληροφοριών που περιέχονται σε αυτό.
2. Τα υπόλοιπα χαρακτηριστικά ασφαλείας (π.χ όσον αφορά την υλική ασφάλεια, το προσωπικό και τις διαδικασίες ανταποκρίνονται στις απαιτήσεις της υψηλότερης διαβάθμισης και όλων των κατηγοριών πληροφοριών που περιέχονται στο σύστημα.
3. Όλες οι πληροφορίες που διακινούνται ή καθίστανται προσιτές σε ένα σύστημα σύμφωνα με αυτό το επίπεδο ασφαλείας προστατεύονται, όπως και τα στοιχεία που προκύπτουν από αυτές ως δυνητικά εμπίπτουσες στην κατηγορία πληροφοριών και στο υψηλότερο επίπεδο διαβάθμισης που χρησιμοποιούνται έως ότου ληφθεί άλλη απόφαση, εκτός εάν υπάρχει ικανοποιητικός βαθμός εμπιστοσύνης στις όποιες λειτουργίες επισήμανσης υπάρχουν.
17. Ως «ΠΟΛΛΑΠΛΟ» επίπεδο ασφαλείας νοείται το επίπεδο λειτουργίας στο οποίο ΟΡΙΣΜΕΝΑ ΜΟΝΟ από τα πρόσωπα που έχουν πρόσβαση στο σύστημα έχουν υποστεί έλεγχο ασφαλείας και λάβει άδεια χειρισμού του υψηλότερου βαθμού διαβάθμισης των πληροφοριών που περιέχονται στο σύστημα και παράλληλα ΟΡΙΣΜΕΝΑ ΜΟΝΟ από τα πρόσωπα που έχουν πρόσβαση έχουν τον ίδιο βαθμό ανάγκης να γνωρίζουν τις πληροφορίες που περιέχονται στο σύστημα.
Σημειώσεις:
1. Αυτός ο τρόπος λειτουργίας πρέπει, τη στιγμή αυτή, τον χειρισμό πληροφοριών διαφορετικής διαβάθμισης και διαφόρων κατηγοριών, και
2. Το γεγονός ότι δεν έχουν όλα τα πρόσωπα υποστεί έλεγχο και λάβει άδεια στο υψηλότερο επίπεδο, σε συνδυασμό με την μη ύπαρξη ίδιου βαθμού ανάγκης να γνωρίζουν, σημαίνει ότι τα χαρακτηριστικά ασφαλείας των υπολογιστών πρέπει οπωσδήποτε να παρέχουν τη δυνατότητα επιλεκτικής πρόσβασης και διαχωρισμού τον πληροφοριών που περιέχονται στο σύστημα.
18. Ως INFOSEC νοείται η εφαρμογή μέτρων ασφαλείας για την προστασία των πληροφοριών που αποτελούν αντικείμενο επεξεργασίας, αποθήκευσης ή διαβίβασης σε συστήματα επικοινωνιών, πληροφορικής ή άλλα ηλεκτρονικά συστήματα από το ενδεχόμενο να θιγεί, τυχαία ή εσκεμμένα, η εμπιστευτικότητα, η ακεραιότητα ή η διαθεσιμότητά τους, καθώς και για την πρόληψη της απώλειας της ακεραιότητας και της διαθεσιμότητας των συστημάτων αυτών καθεαυτών. Στα μέτρα INFOSEC περιλαμβάνονται μέτρα για την ασφάλεια των υπολογιστών, των διαβιβάσεων, των εκπομπών και της κρυπτογράφησης καθώς και η ανίχνευση, η τεκμηρίωση και η αντιμετώπιση απειλών εναντίον των πληροφοριών και των συστημάτων.
19. Ως ΑΣΦΑΛΕΙΑ ΤΩΝ ΥΠΟΛΟΓΙΣΤΩΝ (COMPUSEC) νοείται η εφαρμογή μέτρων προστασίας του υλικού, του υλικολογισμικού και του λογισμικού σε σύστημα υπολογιστών ώστε να υπάρχει προστασία έναντι, ή πρόληψη, κοινολόγησης άνευ αδείας, αλλοίωσης, τροποποίησης/εξάλειψης πληροφοριών ή άρνησης εξυπηρέτησης.
20. Ως ΠΡΟΪΟΝ ΑΣΦΑΛΕΙΑΣ ΥΠΟΛΟΓΙΣΤΩΝ νοείται ένα γενικό στοιχείο ασφάλειας των υπολογιστών, που προορίζεται να ενσωματώνεται σε σύστημα πληροφορικής για την ενίσχυση ή την εξασφάλιση, της εμπιστευτικότητας, της ακεραιότητας ή της διαθεσιμότητας των πληροφοριών που περιέχονται σε αυτό.
21. Ως ΑΣΦΑΛΕΙΑ ΤΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ (COMSEC) νοείται η εφαρμογή μέτρων ασφάλειας στις τηλεπικοινωνίες ώστε να εμποδιστεί η πρόσβαση μη εξουσιοδοτημένων προσώπων σε σημαντικές πληροφορίες οι οποίες ενδέχεται να προκύψουν από την κατοχή και μελέτη τέτοιων τηλεπικοινωνιών, ή προκειμένου να διασφαλισθεί η γνησιότητα των τηλεπικοινωνιών αυτών.
Σημείωση
Στα μέτρα αυτά περιλαμβάνονται μέτρα για την ασφάλεια της κρυπτογράφησης των διαβιβάσεων και των εκπομπών επίσης, περιλαμβάνονται μέτρα για την ασφάλεια των διαδικασιών, τον υλικού, του προσωπικού, των εγγράφων και των υπολογιστών.
22. Ως ΑΞΙΟΛΟΓΗΣΗ νοείται η λεπτομερής τεχνική εξέταση, από αρμόδια αρχή, των πτυχών ασφαλείας ενός συστήματος ή ενός προϊόντος κρυπτογράφησης η ασφαλείας των υπολογιστών.
Σημειώσεις
1. Με την αξιολόγηση διερευνάται η ύπαρξη των απαιτούμενων λειτουργιών ασφάλειας και η απουσία επικίνδυνων παρενεργεών από τις λειτουργίες αυτές και εκτιμάται το απρόσβλητο αυτών των λειτουργιών και
2. Με την αξιολόγηση καθορίζεται ο βαθμός στον οποίο ικανοποιούνται οι απαιτήσεις ασφαλείας ενός συστήματος ή οι ισχυρισμοί περί ασφαλείας ενός προϊόντος ασφάλειας των υπολογιστών, και προσδιορίζεται το επίπεδο βεβαιότητας του συστήματος ή της κρυπτογράφησης ή ο βαθμός εμπιστοσύνης στη λειτουργία του προϊόντος ασφάλειας των υπολογιστών.
23. Ως ΠΙΣΤΟΠΟΙΗΣΗ νοείται η έκδοση επίσημης δήλωσης, βασισμένης σε ανεξάρτητη εξέταση της διεξαγωγής και των αποτελεσμάτων μιας αξιολόγησης για τον βαθμό στον οποίο ένα σύστημα ανταποκρίνεται στις απαιτήσεις ασφαλείας ή ένα προϊόν ασφάλειας των υπολογιστών στις προκαθορισμένες προδιαγραφές ασφαλείας.
24. Ως ΕΓΚΡΙΣΗ ΛΕΙΤΟΥΡΓΙΑΣ νοείται η άδεια και η έγκριση που χορηγείται σε ένα σύστημα να επεξεργάζεται διαβαθμισμένες πληροφορίες EE στο λειτουργικό του περιβάλλον.
Σημείωση.
Η έγκριση λειτουργίας πρέπει να παρέχεται αφού πρώτα εφαρμοστούν όλες οι ενδεδειγμένες διαδικασίες ασφάλειας και έχει επιτευχθεί ικανοποιητικό επίπεδο προστασίας των πόρων του συστήματος . Η έγκριση λειτουργίας παρέχεται κανονικά βάσει της SSRS στην οποία συμπεριλαμβάνονται και τα εξής:
α) μια δήλωση για τον στόχο της έγκρισης λειτουργίας του συστήματος συγκεκριμένα, ποια επίπεδα διαβάθμισης πληροφοριών πρόκειται να εφαρμοστούν σε αυτό και ποιο είναι το προτεινόμενο επίπεδο ασφάλειας της λειτουργίας του συστήματος ή του δικτύου,
β) εκπόνηση μιας έκθεσης διαχείρισης των κινδύνων, στην οποία καθορίζονται οι απειλές και τα τρωτά σημεία καθώς και τα μέτρα για την αντιμετώπισή τους.
γ) οι λειτουργικές διαδικασίες ασφάλειας σης οποίες περιλαμβάνονται μια αναλυτική περιγραφή των προτεινόμενων λειτουργιών (π.χ. τρόποι λειτουργίας, υπηρεσίες) και μια περιγραφή των χαρακτηριστικών ασφαλείας του συστήματος βάση των οποίων παρέχεται η έγκριση λειτουργίας,
δ) το σχέδιο εφαρμογής και συντήρησης των χαρακτηριστικών ασφαλείας,
ε) το σχέδιο για την αρχική και τις μεταγενέστερες δοκιμές της ασφάλειας του συστήματος ή του δικτύου, την αξιολόγηση της και την πιστοποίησή της και
στ) την πιστοποίηση, όπου απαιτείται, από κοινού με άλλα στοιχεία της έγκρισης λειτουργίας
25. Ως ΣΥΣΤΗΜΑ ΤΕΧΝΟΛΟΓΙΑΣ ΤΩΝ ΠΛΗΡΟΦΟΡΙΩΝ νοείται ο συνδυασμός μηχανημάτων, μεθόδων και διαδικασιών, και ενδεχομένως προσωπικού, οργανωμένων κατά τρόπο που να εκπληρούν λειτουργίες επεξεργασίας πληροφοριών
Σημειώσεις:
1. Αυτό θεωρείται ότι σημαίνει σύνολο εγκαταστάσεων που έχει δημιουργηθεί για τον χειρισμό πληροφοριών εντός του συστήματος
2. Τα συστήματα αυτά ενδέχεται να εξυπηρετούν σκοπούς άντλησης στοιχείων, διοίκησης ελέγχου, επικοινωνιών, επιστημονικών ή διοικητικών εφαρμογών καθώς και επεξεργασίας κειμένου.
3 Τα όρια ενός συστήματος καθορίζονται σε γενικές γραμμές ως τα στοιχεία που βρίσκονται υπό τον έλεγχο μιας και της αυτής λειτουργικής αρχής ενός συστήματος πληροφορικής και
4. Ένα σύστημα πληροφορικής μπορεί να περιλαμβάνει υποσυστήματα, μερικά από τα οποία είναι και τα ίδια συστήματα πληροφορικής .
26. Ως ΧΑΡΑΚΤΗΡΙΣΤΙΚΑ ΑΣΦΑΛΕΙΑΣ ενός συστήματος τεχνολογίας των πληροφοριών νοούνται όλες οι λειτουργίες οι ιδιαιτερότητες και τα χαρακτηριστικά του υλικού, του υλικολογισμικού και του λογισμικού, οι διαδικασίες λειτουργίας οι διαδικασίες λογοδοσίας οι έλεγχοι πρόσβασης ο χώρος πληροφορικής ο χώρος ανεξάρτητων τερματικών/σταθμών εργασίας καθώς και οι διαχειριστικοί περιορισμοί, η υλική δομή και οι συσκευές, το προσωπικό και οι έλεγχοι των επικοινωνιών που απαιτούνται για την εξασφάλιση αποδεκτού επιπέδου προστασίας των διαβαθμισμένων πληροφοριών που εμπεριέχονται σε ένα σύστημα πληροφορικής.
27. Ως ΔΙΚΤΥΟ πληροφορικής νοείται η γεωγραφικά κατανεμημένη οργάνωση συστημάτων πληροφορικής διασυνδεδεμένων με στόχο την ανταλλαγή δεδομένων, στα οποία συμπεριλαμβάνονται τα συστατικά στοιχεία των διασυνδεδεμένων συστημάτων πληροφορικής και η διεπαφή τους με τα σχετικά δεδομένα ή δίκτυα επικοινωνιών.
Σημειώσεις:
1. Ένα δίκτυο πληροφορικής μπορεί να χρησιμοποιεί τις υπηρεσίες ενός ή περισσοτέρων δικτύων επικοινωνιών για τη διασύνδεση και την ανταλλαγή δεδομένων διάφορα δίκτυα πληροφορικής μπορούν να χρησιμοποιούν τις υπηρεσίες ενός κοινού δικτύου επικοινωνιών.
2. Ένα δίκτυο πληροφορικής καλείται «τοπικό» εάν συνδέει διάφορους υπολογιστές στο ίδιο μέρος.
28. Ως ΧΑΡΑΚΤΗΡΙΣΤΙΚΑ ΑΣΦΑΛΕΙΑΣ ΕΝΟΣ ΔΙΚΤΥΟΥ πληροφορικής νοούνται τα χαρακτηριστικά ασφαλείας των επί μέρους συστημάτων πληροφορικής που συναποτελούν το δίκτυο, καθώς και τα πρόσθετα συστατικά στοιχεία και χαρακτηριστικά που σχετίζονται με το ίδιο το δίκτυο (π.χ. δικτυακές επικοινωνίες μηχανισμοί και διαδικασίες επισήμανσης της ασφάλειας έλεγχοι πρόσβασης προγράμματα και αυτόματες καταγραφές ενεργειών) τα οποία απαιτούνται για την παροχή αποδεκτού επιπέδου προστασίας των διαβαθμισμένων πληροφοριών.
29. Ως ΧΩΡΟΣ ΠΛΗΡΟΦΟΡΙΚΗΣ νοείται ο χώρος ο οποίος περιλαμβάνει έναν ή περισσότερους υπολογιστές τα επί τόπου ανεξάρτητα περιφερειακά και μονάδες αποθήκευσης τους τις μονάδες ελέγχου και ειδικό για τον σκοπό αυτό δίκαιο και εξοπλισμό επικοινωνιών.
Σημείωση.
Δεν συμπεριλαμβάνεται ο τυχόν ξεχωριστός χώρος στον οποίο βρίσκονται εγκατεστημένα τα ανεξάρτητα περιφερειακά ή τερματικά/σταθμοί εργασίας ακόμα κι αν τα τερματικά αυτά είναι συνδεδεμένα με μηχανήματα του χώρου πληροφορικής.
30. Ως ΧΩΡΟΣ ΑΝΕΞΑΡΤΗΤΩΝ ΤΕΡΜΑΤΙΚΩΝ/ΣΤΑΘΜΩΝ ΕΡΓΑΣΙΑΣ νοείται ένας χώρος ο οποίος περιλαμβάνει μια ποσότητα πληροφορικού εξοπλισμού, τα επί τόπου περιφερειακά ή τερματικά/σταθμούς εργασίας και τα τυχόν συνδεδεμένα με αυτά μηχανήματα επικοινωνιών, χωριστά από τον χώρο πληροφορικής
31. Ως αντίμετρα TEMPEST νοούνται τα μέτρα ασφαλείας που αποσκοπούν στην προστασία των μηχανημάτων και της υποδομής των επικοινωνιών από το ενδεχόμενο διαρροής διαβαθμισμένων πληροφοριών λόγω ακούσιων ηλεκτρομαγνητικών εκπομπών
Κεφάλαιο ΙΙΙ
Αρμοδιότητες ασφαλείας
ΓΕΝΙΚΑ
32. Οι αρμοδιότητες της Επιτροπής Ασφαλείας, που ορίζεται στο τμήμα 1, παράγραφος 4, περιλαμβάνουν θέματα INFOSEC. Η Επιτροπή Ασφαλείας οργανώνει τις δραστηριότητές της κατά τρόπο ώστε να μπορεί να παρέχει έγκυρες συμβουλές για τα θέματα αυτά.
33. Σε περίπτωση προβλημάτων ασφαλείας (συμβάντα, παραβιάσεις κλπ.), η αρμόδια Εθνική Αρχή ή/και η Υπηρεσία Ασφαλείας της ΓΓΣ λαμβάνουν αμέσως μέτρα. Όλα τα προβλήματα πρέπει να αναφέρονται στην Υπηρεσία Ασφαλείας της ΓΓΣ.
34. Ο Γενικός Γραμματέας/Ύπατος Εκπρόσωπος ή, κατά περίπτωση, ο προϊστάμενος ενός αποκεντρωμένου οργανισμού της EE, συνιστά Γραφείο INFOSEC για να παρέχει οδηγίες στην αρχή ασφαλείας όσον αφορά την εφαρμογή και τον έλεγχο ειδικών μέτρων ασφαλείας που είναι σχεδιασμένα ως μέρη συστημάτων.
ΑΡΧΗ ΠΙΣΤΟΠΟΙΗΣΗΣ ΑΣΦΑΛΕΙΑΣ (ΑΠΑ)
35. Η ΑΠΑ είναι:
— είτε μια ΕΑΑ,
— είτε η Αρχή που ορίζεται από το Γενικό Γραμματέα/Ύπατο Εκπρόσωπο,
— είτε η αρχή ασφαλείας ενός αποκεντρωμένου οργανισμού της EE,
— είτε οι διαπιστευμένοι/διορισμένοι εκπρόσωποί τους ανάλογα με το σύστημα που πρέπει να λάβει έγκριση λειτουργίας.
36. Η ΑΠΑ είναι υπεύθυνη για την εξασφάλιση της συμμόρφωσης των συστημάτων με την πολιτική ασφαλείας του Συμβουλίου. Ένα από τα καθήκοντα της είναι να εγκρίνει ένα σύστημα για τη διεκπεραίωση διαβαθμισμένων πληροφοριών EE μέχρις ενός καθοριζόμενου βαθμού ασφαλείας εντός τον επιχειρησιακού του περιβάλλοντος Όσον αφορά τη ΓΓΣ και, κατά περίπτωση, τους αποκεντρωμένους οργανισμούς της EE, η ΑΠΑ ασκεί την ευθύνη για ασφάλεια εξ ονόματος του Γενικού Γραμματέα/Ύπατου Εκπροσώπου ή των προϊσταμένων των αποκεντρωμένων οργανισμών.
Η δικαιοδοσία της ΑΠΑ της ΓΓΣ καλύπτει όλα τα συστήματα που λειτουργούν στα κτίρια της ΓΓΣ. Τα συστήματα και τα στοιχεία συστημάτων που λειτουργούν στο εσωτερικό κράτους μέλους παραμένουν στη δικαιοδοσία του κράτους μέλους αυτού. Όταν διάφορα στοιχεία ενός συστήματος υπάγονται ταυτόχρονα στη δικαιοδοσία της ΑΠΑ της ΓΓΣ και άλλων ΑΠΑ, όλα τα μέρη διορίζουν κοινό συμβούλιο πιστοποίησης υπό το συντονισμό της ΑΠΑ της ΓΓΣ.
ΑΡΧΗ INFOSEC (ΙΑ)
37. Η αρχή INFOSEC είναι αρμόδια για τις δραστηριότητες του γραφείου INFOSEC. Όσον αφορά τη ΓΓΣ και, κατά περίπτωση, τους αποκεντρωμένους οργανισμούς της EE, η Αρχή INFOSEC είναι υπεύθυνη για τα εξής:
— παροχή τεχνικών συμβουλών και τεχνικής επικουρίας στην ΑΠΑ,
— συμβολή στην ανάπτυξη του SSRS,
— επανεξέταση του SSRS για να εξασφαλίζεται αντιστοιχία προς τους παρόντες κανονισμούς ασφαλείας και τις πολιτικές και τα έγγραφα αρχιτεκτονικής INFOSEC
— συμμετοχή στις ομάδες/συμβούλια διαπίστευσης κατά περίπτωση, και διατύπωση συστάσεων INFOSEC προς την ΑΠΑ όσον αφορά τη διαπίστευση,
— υποστήριξη των δραστηριοτήτων κατάρτισης και εκπαίδευσης INFOSEC,
— παροχή τεχνικών συμβουλών κατά τη διερεύνηση περιστατικών που σχετίζονται με την INFOSEC,
— κατάρτιση οδηγιών τεχνικής πολιτικής για να εξασφαλίζεται ότι χρησιμοποιείται μόνον εγκεκριμένο λογισμικό.
ΕΠΙΧΕΙΡΗΣΙΑΚΗ ΑΡΧΗ ΣΥΣΤΗΜΑΤΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ (ITSOA)
38. Η Αρχή INFOSEC μεταβιβάζει, το συντομότερο δυνατόν, την αρμοδιότητα για την εφαρμογή και τη λειτουργία των ελέγχων και των ειδικών μέτρων ασφαλείας του συστήματος στην επιχειρησιακή αρχή συστημάτων πληροφορικής (ITSOA). Η αρμοδιότητα αυτή ισχύει καθ' όλη τη διάρκεια του κύκλου ζωής του συστήματος, από το στάδιο του βασικού σχεδιασμού μέχρι την τελική διάθεση.
39. Η ITSOA είναι υπεύθυνη για όλα τα μέτρα ασφαλείας που σχεδιάζονται ως μέρη του συνολικού συστήματος Η ευθύνη αυτή περιλαμβάνει την εκπόνηση των SecOP. Η ITSOA ορίζει τα πρότυπα και τις πρακτικές ασφαλείας προς τα οποία πρέπει να συμμορφούται ο προμηθευτής του συστήματος.
40. Η ITSOA μπορεί, να μεταβιβάζει μέρος της αρμοδιότητας της, κατά περίπτωση, π.χ. στον υπάλληλο ασφαλείας INFOSEC και στον επιτόπου υπάλληλο ασφαλείας INFOSEC Τα διάφορα καθήκοντα INFOSEC είναι δυνατόν να εκτελούνται από το ίδιο άτομο.
ΧΡΗΣΤΕΣ
41. Όλοι οι χρήστες πρέπει να φροντίζουν ώστε οι ενέργειές τους να μη θίγουν την ασφάλεια του συστήματος που χρησιμοποιούν
ΚΑΤΑΡΤΙΣΗ INFOSEC
42. Εντός της ΓΓΣ, των αποκεντρωμένων οργανισμών της EE ή των υπουργείων των κρατών μελών, κατά περίπτωση, παρέχονται εκπαίδευση και κατάρτιση INFOSEC σε διάφορα επίπεδα και για διάφορες βαθμίδες προσωπικού.
Κεφάλαια IV
Μη τεχνικά μέτρα ασφάλειας
ΑΣΦΑΛΕΙΑ ΠΡΟΣΩΠΙΚΟΥ
43. Οι χρήστες του συστήματος διαβαθμίζονται και έχουν «ανάγκη γνώσης» ανάλογα με τη διαβάθμιση και το περιεχόμενο των πληροφοριών που διεκπεραιώνουν στο σύστημα τους. Για την πρόσβαση σε ορισμένα είδη εξοπλισμού ή πληροφορίες που σχετίζονται συγκεκριμένα με την ασφάλεια των συστημάτων απαιτείται ειδική διαβάθμιση που χορηγείται σύμφωνα με τις διαδικασίες του Συμβουλίου
44. Η ΑΠΑ καθόριζα όλες τις ευαίσθητες θέσεις και ορίζει το βαθμό διαβάθμισης και εποπτείας που απαιτείται για το σχετικό προσωπικό.
45. Τα συστήματα ορίζονται και σχεδιάζονται κατά τρόπο που να διευκολύνει τον καταμερισμό καθηκόντων και αρμοδιοτήτων μεταξύ των μελών του προσωπικού, ώστε ένα άτομο να μην μπορεί να έχει πλήρη γνώση ή έλεγχο των βασικών σημείων ασφαλείας του συστήματος ούτως ώστε να απαιτείται η συνεργία δύο ή περισσότερων ατόμων για την αλλοίωση ή τη σκόπιμη υποβάθμιση του συστήματος ή του δικτύου.
ΥΛΙΚΗ ΑΣΦΑΛΕΙΑ
46. Οι χώροι υπολογιστών και ανεξάρτητων τερματικών/σταθμών εργασίας (όπως ορίζονται στις παραγράφους 29 και 30), όπου διεκπεραιώνονται, με υπολογιστή, πληροφορίες με διαβάθμιση τουλάχιστον CONFIDENTIEL UE, ή όπου είναι δυνατή η πρόσβαση σε παρόμοιες πληροφορίες συγκρατούνται ως ζώνες ασφαλείας κατηγορίας I ή ΙΙ EE ή ισοδύναμης εθνικής κατηγορίας κατά περίπτωση
47. Στους χώρους υπολογιστών και ανεξάρτητων τερματικών/σταθμών εργασίας από τους οποίους είναι δυνατόν να τροποποιηθεί η ασφάλεια του συστήματος δεν πρέπει να υπάρχει ένας μόνον εξουσιοδοτημένος υπάλληλος ή μέλος του λοιπού προσωπικού.
Κεφάλαιο V
Τεχνικά μέτρα ασφάλειας
ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ
50. Ο συντάκτης των πληροφοριών πρέπει να προσδιορίζει και να διαβαθμίζει τα έγγραφα που περιέχουν πληροφορίες, είτε πρόκειται για τυπωμένα έγγραφα είτε για πληροφορικά υποθέματα αποθήκευσης. Η διαβάθμιση πρέπει να αναγράφεται στο άνω και το κάτω μέρος κάθε σελίδας τυπωμένου εγγράφου Τα παραγόμενα έγγραφα, είτε είναι τυπωμένα είτε είναι υποθέματα αποθήκευσης υπολογιστή, πρέπει να έχουν την ίδια διαβάθμιση με την ανώτερη διαβάθμιση των πληροφοριών που χρησιμοποιούνται για την παραγωγή τους. Ο τρόπος λειτουργίας ενός ΣΥΣΤΗΜΑΤΟΣ ενδέχεται να επηρεάζει τη διαβάθμιση των εγγράφων που παράγονται με αυτό.
51. Ένας οργανισμός και οι κάτοχοι πληροφοριών του πρέπει να εξετάζουν τα προβλήματα σώρευσης επιμέρους στοιχείων πληροφοριών και των συμπερασμάτων που είναι δυνατόν να αντληθούν από τα συσχετιζόμενα στοιχεία, και να αποφασίζουν εάν είναι σκόπιμα να διαβαθμίζεται το σύνολο πληροφοριών με υψηλότερο βαθμό ασφαλείας.
52 Το γεγονός ότι οι πληροφορίες ενδέχεται να είναι κωδικός συντομογραφίας, κωδικός διαβίβασης ή οποιαδήποτε άλλη μορφή δυαδικής απεικόνισης δεν προσφέρει καμιά προστασία της ασφάλειας και, συνεπώς δεν πρέπει να επηρεάζει τη διαβάθμιση των πληροφοριών
53. Όταν οι πληροφορίες μεταφέρονται από ένα σύστημα σε άλλο, οι πληροφορίες πρέπει να προστατεύονται κατά τη μεταφορά και στο δεχόμενο σύστημα κατά τρόπο ανάλογο προς την αρχική διαβάθμιση και βαθμό ασφαλείας των πληροφοριών αυτών.
54. Ο χειρισμός όλων των πληροφορικών υποθεμάτων αποθήκευσης πρέπει να είναι ανάλογος προς την ανώτερη διαβάθμιση των αποθηκευμένων πληροφοριών ή την ετικέτα του υποθέματος, πρέπει δε να προστατεύονται πάντοτε καταλλήλως
55. Τα επαναχρησιμοποιήσιμα υποθέματα αποθήκευσης υπολογιστών που χρησιμοποιούνται για την αποθήκευση διαβαθμισμένων πληροφοριών EE διατηρούν την ανώτερη διαβάθμιση για την οποία χρησιμοποιήθηκαν ποτέ μέχρις ότου οι πληροφορίες αυτές υποχαρακτηριστούν ή αποχαρακτηριστούν και τα υποθέματα αναχαρακτηριστούν ανάλογα, ή τα υποθέματα αποχαρακτηριστούν και καταστραφούν σύμφωνα με εγκεκριμένη διαδικασία της ΓΓΣ ή εθνική διαδικασία (βλέπε παραγράφους 61 έως 63).
ΕΛΕΓΧΟΣ ΠΛΗΡΟΦΟΡΙΩΝ ΚΑΙ ΣΧΕΤΙΚΕΣ ΕΥΘΥΝΕΣ
56. Η πρόσβαση σε πληροφορίες με διαβάθμιση τουλάχιστον SECRET UE καταχωρείται σε αυτόματα (ίχνη ελέγχου) ή χειρόγραφα μητρώα. Τα μητρώα αυτά διατηρούνται σύμφωνα με τους προκειμένους κανονισμούς ασφαλείας.
57. Τα διαβαθμισμένα έγγραφα EE που διατηρούνται σε χώρο υπολογιστών μπορούν να αντιμετωπίζονται σαν ένα διαβαθμισμένο αντικείμενο και δεν χρειάζεται να καταχωρούνται, εφόσον το υλικό φέρει αναγνωριστικά στοιχεία και σήμανση της διαβάθμισης του και ελέγχεται κατάλληλα.
58. Όταν από σύστημα που διεκπεραιώνει διαβαθμισμένες πληροφορίες EE παράγονται έγγραφα που διαβιβάζονται σε ανεξάρτητο τερματικό/σταθμό εργασίας σε χώρο υπολογιστών, θεσπίζονται διαδικασίες εγκεκριμένες από την ΑΠΑ, για τον έλεγχο των εγγράφων που παράγονται στο ανεξάρτητο τερματικό/σταθμό εργασίας Για τα υλικά με διαβάθμιση τουλάχιστον SECRET UE, οι διαδικασίες αυτές περιλαμβάνουν συγκεκριμένες οδηγίες για το άτομο που είναι υπεύθυνο για τις πληροφορίες αυτές.
ΧΕΙΡΙΣΜΟΣ ΚΑΙ ΕΛΕΓΧΟΣ ΑΦΑΙΡΕΤΩΝ ΠΛΗΡΟΦΟΡΙΚΩΝ ΥΠΟΘΕΜΑΤΩΝ ΑΠΟΘΗΚΕΥΣΗΣ
59. Όλα τα αφαιρετά πληροφορικά υποθέματα αποθήκευσης με διαβάθμιση τουλάχιστον CONFIDENTIEL UE πρέπει να αντιμετωπίζονται σαν υλικό και υπόκεινται στους γενικούς κανόνες Οι κατάλληλες επισημάνσεις αναγνώρισης και διαβάθμισης πρέπει να είναι προσαρμοσμένες στη συγκεκριμένη υλική μορφή των υποθεμάτων, ώστε να είναι δυνατή η σαφής αναγνώρισή τους
60. Οι χρήστες πρέπει να φροντίζουν ότι οι διαβαθμισμένες πληροφορίες EE αποθηκεύονται σε υποθέματα με την κατάλληλη επισήμανση διαβάθμισης και προστασία. Θα θεσπιστούν διαδικασίες για να εξασφαλίζεται ότι, για όλα τα επίπεδα των πληροφοριών EE, οι πληροφορίες αποθηκεύονται σε πληροφορικά υποθέματα αποθήκευσης σύμφωνα με τους προκείμενους κανονισμούς ασφαλείας
ΑΠΟΧΑΡΑΚΤΗΡΙΣΜΟΙ ΚΑΙ ΚΑΤΑΣΤΡΟΦΗ ΥΠΟΘΕΜΑΤΩΝ ΑΠΟΘΗΚΕΥΣΗΣ ΥΠΟΛΟΓΙΣΤΩΝ
61. Τα πληροφορικά υποθέματα αποθήκευσης που χρησιμοποιούνται για την καταγραφή διαβαθμισμένων πληροφοριών EE μπορούν να υποχαρακτηρίζονται ή να αποχαρακτηρίζονται εφόσον εφαρμόζονται εγκεκριμένες διαδικασίες της ΓΓΣ ή εθνικές διαδικασίες
62. Τα πληροφορικά υποθέματα αποθήκευσης στα οποία είχαν αποθηκευθεί πληροφορίες TRÈS SECRET UE/EU TOP SECRET ή ειδικής κατηγορίας δεν αποχαρακτηρίζονται προς επαναχρησιμοποίηση
63. Εάν τα πληροφορικά υποθέματα αποθήκευσης δεν είναι δυνατόν να αποχαρακτηριστούν ή δεν είναι επαναχρησιμοποιήσιμα, καταστρέφονται σύμφωνα με εγκεκριμένη διαδικασία της ΓΓΣ ή εθνική διαδικασία.
ΑΣΦΑΛΕΙΑ ΕΠΙΚΟΙΝΩΝΙΩΝ
64. Όταν διαβαθμισμένες πληροφορίες EE διαβιβάζονται με ηλεκτρομαγνητικά μέσα, λαμβάνονται ειδικά μέτρα για να προστατεύεται η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα των διαβιβαζόμενων πληροφοριών. Η ΑΠΑ καθορίζει τις απαιτήσεις για την προστασία των διαβιβαζόμενων πληροφοριών από ανίχνευση και υποκλοπή. Οι πληροφορίες που διαβιβάζονται μέσω επικοινωνιακού συστήματος προστατεύονται βάσει των απαιτήσεων εμπιστευτικότητας ακεραιότητας και διαθεσιμότητας.
65. Όταν απαιτούνται κρυπτογραφικές μέθοδοι για να εξασφαλίζεται η προστασία της εμπιστευτικότητας της ακεραιότητας και της διαθεσιμότητας οι μέθοδοι αυτές ή τα σχετικά προϊόντα εγκρίνονται ειδικά για το σκοπό αυτόν από την ΑΠΑ.
66. Κατά τη διαβίβαση, η εμπιστευτικότητα των πληροφοριών με διαβάθμιση τουλάχιστον SECRET UE προστατεύεται με κρυπτογραφικές μεθόδους ή προϊόντα που εγκρίνει το Συμβούλιο βάσει σχετικής συστάσεως της Επιτροπής Ασφαλείας του Συμβουλίου. Κατά τη διαβίβαση, η εμπιστευτικότητα των πληροφοριών με διαβάθμιση CONFIDENTIEL UE ή RESTREINT UE προστατεύεται με κρυπτογραφικές μεθόδους ή προϊόντα που εγκρίνονται, είτε από τον ΓΓ/ΥΕ βάσει σχετικής συστάσεως της Επιτροπής Ασφαλείας του Συμβουλίου είτε από κράτος μέλος
67. Σε ειδικές οδηγίες ασφαλείας που εγκρίνονται από το Συμβούλιο βάση σχετικής συστάσεως της Επιτροπής Ασφαλείας του Συμβουλίου καθορίζονται λεπτομερείς κανόνες για τη διαβίβαση διαβαθμισμένων πληροφοριών EE.
68. Υπό εξαιρετικές επιχειρησιακές περιστάσεις πληροφορίες με διαβάθμιση RESTREINT UE, CONFIDENTIEL UE και SECRET UE επιτρέπεται να διαβιβάζονται ακρυπτογράφητες υπό την προϋπόθεση ότι χορηγείται ρητή άδεια για κάθε περίπτωση. Οι εξαιρετικές αυτές περιστάσεις είναι οι εξής:
α) κατά τις καταστάσεις επικείμενης ή πραγματικής κρίσης σύγκρουσης ή πολφού και
β) όταν η ταχύτητα διαβίβασης έχει υπέρτατη σημασία, δεν υπάρχουν μέσα κρυπτογράφησης και κρίνεται ότι οι διαβιβαζόμενες πληροφορίες δεν είναι δυνατόν να χρησιμοποιηθούν εγκαίρως για να επηρεάσουν αρνητικά τις επιχειρήσεις.
69. Ένα σύστημα πρέπει να έχει τη δυνατότητα να απαγορεύει ρητά την πρόσβαση σε διαβαθμισμένες πληροφορίες EE μέσω οποιουδήποτε ή όλων των ανεξάρτητων σταθμών εργασίας ή τερματικών του, όταν απαιτείται, είτε με υλική αποσύνδεση είτε μέσω ειδικών χαρακτηριστικών του λογισμικού που εγκρίνονται από την ΑΠΑ.
ΕΓΚΑΤΑΣΤΑΣΗ ΚΑΙ ΑΣΦΑΛΕΙΑ ΑΚΤΙΝΟΒΟΛΙΩΝ
70. Η αρχική εγκατάσταση και οι σημαντικές αλλαγές των συστημάτων καθορίζονται κατά τρόπον ώστε η εγκατάσταση να πραγματοποιείται από εγκαταστάτες με διαβάθμιση ασφαλείας υπό τη συνεχή εποπτεία προσωπικού με τα δέοντα τεχνικά προσόντα το οποίο είναι διαβαθμισμένα για πρόσβαση σε διαβαθμισμένες πληροφορίες EE μέχρις επιπέδου που ισοδυναμεί προς την ανώτερη διαβάθμιση των πληροφοριών που θα αποθηκεύει και θα χειρίζεται το σύστημα.
71. Όλος ο εξοπλισμός εγκαθίσταται σύμφωνα με την τρέχουσα πολιτική περί ασφαλείας του Συμβουλίου.
72. Τα συστήματα που χειρίζονται πληροφορίες με διαβάθμιση τουλάχιστον CONFIDENTIEL UE προστατεύονται κατά τρόπον ώστε η ασφάλειά τους να μην απειλείται από διαρρέουσες εκπομπές, η μελέτη και ο έλεγχος των οποίων αναφέρονται ως «TEMPEST»
73. Τα αντίμετρα TEMPEST της ΓΓΣ και των αποκεντρωμένων οργανισμών της EE εξετάζονται και εγκρίνονται από αρχή TEMPEST που ορίζεται από την Αρχή Ασφαλείας της ΓΓΣ Για τις εθνικές εγκαταστάσεις οι οποίες χειρίζονται διαβαθμισμένες πληροφορίες EE, εγκρίνουσα αρχή είναι η αναγνωρισμένη εθνική εγκρίνουσα αρχή TEMPEST.
Κεφάλαιο VI
Ασφάλεια κατά το χειρισμό
ΑΣΦΑΛΕΙΣ ΔΙΑΔΙΚΑΣΙΕΣ ΛΕΙΤΟΥΡΓΙΑΣ
74. Οι SecOP καθορίζουν τις αρχές που πρέπει να θεσπίζονται για θέματα ασφαλείας, τις ακολουθητέες διαδικασίες λειτουργίας και τις ευθύνες του προσωπικού. Οι SecOP εκπονούνται υπό την ευθύνη της Αρχής Λειτουργίας του Συστήματος Πληροφορικής.
ΠΡΟΣΤΑΣΙΑ ΛΟΓΙΣΜΙΚΟΥ/ΔΙΑΧΕΙΡΙΣΗ ΔΙΑΜΟΡΦΩΣΗΣ
75. Η προστασία ασφαλείας των προγραμμάτων εφαρμογών καθορίζεται βάσει μιας αξιολόγησης της διαβάθμισης ασφαλείας του ίδιου του προγράμματος και όχι των πληροφοριών που χειρίζεται. Οι χρησιμοποιούμενες εκδόσεις λογισμικού πρέπει να ελέγχονται τακτικά για να εξασφαλίζεται η ακεραιότητά τους και η ορθή λειτουργία τους
76. Νέες ή τροποποιημένες εκδόσεις λογισμικού δεν πρέπει να χρησιμοποιούνται για το χειρισμό διαβαθμισμένων πληροφοριών EE πριν ελεγχθούν από την ITSOA.
ΕΛΕΓΧΟΣ ΠΑΡΟΥΣΙΑΣ ΔΟΛΙΟΥ ΛΟΓΙΣΜΙΚΟΥ/ΠΛΗΡΟΦΟΡΙΚΩΝ ΙΩΝ
77. Ο έλεγχος της παρουσίας δόλιου λογισμικού/πληροφορικών ιών διενεργείται τακτικά σύμφωνα με τις απαιτήσεις της ΑΠΑ.
78. Πριν εισαχθούν σε οποιοδήποτε σύστημα, όλα τα πληροφορικά υποθέματα αποθήκευσης που διαβιβάζονται στη ΓΓΣ ή στους αποκεντρωμένους οργανισμούς της EE πρέπει να ελέγχονται για την παρουσία τυχόν δόλιου λογισμικού ή πληροφορικών ιών.
ΣΥΝΤΗΡΗΣΗ
79. Οι συμβάσεις και οι διαδικασίες για την προγραμματισμένη και την έκτακτη συντήρηση των συστημάτων για τα οποία έχει εκπονηθεί SSRS πρέπει να ορίζουν τις απαιτήσεις και τις ρυθμίσεις για την είσοδο του προσωπικού συντήρησης και του εξοπλισμού του σε χώρο υπολογιστών
80. Οι απαιτήσεις πρέπει να αναφέρονται σαφώς στην SSRS, οι δε διαδικασίες πρέπει να αναφέρονται σαφώς στις SecOP. Η συντήρηση από συμβασιούχο για την οποία απαιτούνται διαγνωστικές διαδικασίες με τηλεπρόσβαση επιτρέπεται μόνον σε εξαιρετικές περιπτώσεις, υπό αυστηρό έλεγχο ασφαλείας και μόνον με την έγκριση της ΑΠΑ.
Κεφάλαιο VII
ΠΡΟΜΗΘΕΙΕΣ
81. Κάθε προϊόν ασφαλείας, το οποίο πρόκειται να αγοραστεί για να χρησιμοποιηθεί με το σύστημα, πρέπει είτε να έχει αξιολογηθεί και πιστοποιηθεί , είτε να τελεί ήδη υπό αξιολόγηση και έγκριση από αρμόδιο φορέα αξιολόγησης ή πιστοποίησης βάσει διεθνώς αναγνωρισμένων κριτηρίων (π.χ. των Κοινών Κριτηρίων για την Αξιολόγηση της Ασφαλείας της Πληροφορικής Τεχνολογίας βλέπε ISO 15408).
82. Όταν αποφασίζεται η μίσθωση αντί της αγοράς εξοπλισμού, ιδίως δε πληροφορικών υποθεμάτων αποθήκευσης πρέπει να λαμβάνεται υπόψη το γεγονός ότι ο εξοπλισμός αυτός αφού χρησιμοποιηθεί για το χειρισμό διαβαθμισμένων πληροφοριών EE, δεν μπορεί να απελευθερώνεται σε μη καταλλήλως ασφαλές περιβάλλον αν δεν αποχαρακτηριστεί προηγουμένως βάσει εγκρίσεως της ΑΠΑ, και ότι η έγκριση αυτή ενδέχεται να μην είναι πάντοτε δυνατή.
ΕΓΚΡΙΣΗ ΛΕΙΤΟΥΡΓΙΑΣ
83. Πριν χειριστούν διαβαθμισμένες πληροφορίες EE, όλα το συστήματα για τα οποία έχει εκπονηθεί SSRS λαμβάνουν έγκριση λειτουργίας από την ΑΠΑ βάσει των πληροφοριών που περιέχονται στη SSRS, στις SecOP ή σε κάθε άλλο σχετικό έγγραφο. Τα υποσυστήματα και τα ανεξάρτητα τερματικά/σταθμοί εργασίας λαμβάνουν έγκριση λειτουργίας ως μέρη όλων των συστημάτων με τα οποία συνδέονται. Όταν ένα σύστημα χρησιμοποιείται τόσο από το Συμβούλιο όσο και από άλλους οργανισμούς η ΓΓΣ και οι αρμόδιες Αρχές Ασφαλείας πρέπει να συμφωνούν μεταξύ τους για την έγκριση λειτουργίας.
84. Η διαδικασία έγκρισης λειτουργίας μπορεί να διεξάγεται σύμφωνα με μια σχετική στρατηγική που είναι κατάλληλη για το συγκεκριμένο ΣΥΣΤΗΜΑ, που καθορίζεται από την ΑΠΑ.
ΑΞΙΟΛΟΓΗΣΗ ΚΑΙ ΠΙΣΤΟΠΟΙΗΣΗ
85. Σε ορισμένες περιπτώσεις, πριν από την έγκριση λειτουργίας, τα χαρακτηριστικά ασφαλείας του υλικού, του υλικολογισμικού και του λογισμικού ενός συστήματος αξιολογούνται και πιστοποιούνται ως ικανά να εξασφαλίζουν την απαιτούμενη ασφάλεια για το σκοπούμενο βαθμό διαβάθμισης.
86. Οι απαντήσεις αξιολόγησης και πιστοποίησης περιλαμβάνονται στον προγραμματισμό του συστήματος και αναφέρονται ρητά στην SSRS.
87. Οι διαδικασίες αξιολόγησης και πιστοποίησης διεξάγονται σύμφωνα με εγκεκριμένες κατευθυντήριες γραμμές και από προσωπικό με τα δέοντα τεχνικά προσόντα και την κατάλληλη διαβάθμιση ασφαλείας, που ενεργεί εξ ονόματος της ITSOA.
88. Οι ομάδες μπορούν να προέρχονται από μια οριζόμενη αρχή αξιολόγησης ή πιστοποίησης ενός κράτους μέλους ή από τους οριζόμενους εκπροσώπους της πχ. έναν αρμόδιο και διαβαθμισμένο εργολάβο.
89. Ο βαθμός των συγκεκριμένων διαδικασιών αξιολόγησης και πιστοποίησης μπορεί να μειώνεται (ώστε να καλύπτουν π χ. μόνον θέματα συνολοκλήρωσης) όταν τα συστήματα βασίζονται σε υφιστάμενα προϊόντα ασφαλείας υπολογιστών τα οποία αξιολογούνται και πιστοποιούνται σε εθνικό επίπεδο.
ΤΑΚΤΙΚΟΣ ΕΛΕΓΧΟΣ ΤΩΝ ΧΑΡΑΚΤΗΡΙΣΤΙΚΩΝ ΑΣΦΑΛΕΙΑΣ ΓΙΑ ΤΗ ΔΙΑΤΗΡΗΣΗ ΤΗΣ ΕΓΚΡΙΣΗΣ ΛΕΙΤΟΥΡΓΙΑΣ
90. Η ITSOA εκπονεί διαδικασίες τακτικού ελέγχου οι οποίες εξασφαλίζουν ότι εξακολουθούν να ισχύουν όλα τα χαρακτηριστικά ασφαλείας του συστήματος.
91. Το είδος αλλαγών για τις οποίες απαιτείται νέα έγκριση λειτουργίας ή προηγούμενη έγκριση της ΑΠΑ, προσδιορίζεται και αναφέρεται σαφώς στην SSRS. Ύστερα από κάθε τροποποίηση, επισκευή ή βλάβη που ενδέχεται να έχει θίξει τα χαρακτηριστικά ασφαλείας του συστήματος, η ITSOA φροντίζει να διενεργείται έλεγχος προκειμένου να εξασφαλίζεται η ορθή λειτουργία των χαρακτηριστικών ασφαλείας Η διατήρηση της έγκρισης λειτουργίας του συστήματος εξαρτάται κανονικά από την ικανοποιητική διεξαγωγή των ελέγχων.
92. Όλα τα συστήματα στα οποία λειτουργούν χαρακτηριστικά ασφαλείας επιθεωρούνται ή εξετάζονται τακτικά από την ΑΠΑ. Για τα συστήματα που χαρίζονται πληροφορίες TRES SECRET UE/EU TOP SECRET ή πληροφορίες με πρόσθετες επισημάνσεις, οι επιθεωρήσεις διεξάγονται τουλάχιστον μια φορά το χρόνο.
Κεφάλαιο VIII
Προσωρινή ή περιστασιακή χρήση
ΑΣΦΑΛΕΙΑ ΜΚΡΟΫΠΟΛΟΠΣΤΩΝ/ΠΡΟΣΩΠΙΚΩΝ ΥΠΟΛΟΓΙΣΤΩΝ
93. Οι μικροϋπολογιστές/προσωπικοί υπολογιστές (PC) με σκληρούς δίσκους (ή άλλα υποθέματα μη πτητικής αποθήκευσης), οι οποίοι λειτουργούν είτε ανεξάρτητα είτε ως μέρος δικτύου, καθώς και οι φορητές υπολογιστικές συσκευές (πχ. φορητοί PC και ηλεκτρονικά «σημειωματάρια») με σταθερούς σκληρούς δίσκους θεωρούνται ως υποθέματα αποθήκευσης πληροφοριών όπως και οι δισκέτες ή τα άλλα αφαιρετά υποθέματα αποθήκευσης
94. Οι συσκευές αυτές προστατεύονται, όσον αφορά την πρόσβαση, το χειρισμό, την αποθήκευση και τη μεταφορά, ανάλογα με τον ανώτερο βαθμό ασφαλείας των πληροφοριών τις οποίες έχουν ποτέ αποθηκεύσει ή επεξεργαστεί (μέχρις ότου υπό-χαρακτηριστούν ή αποχαρακτηριστούν σύμφωνα με εγκεκριμένες διαδικασίες).
ΧΡΗΣΗ ΙΔΙΩΤΙΚΩΝ ΣΥΣΚΕΥΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ ΠΑ ΕΠΙΣΗΜΕΣ ΕΡΓΑΣΙΕΣ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ
95. Απαγορεύεται η χρήση ιδιωτικών αφαιρετών πληροφορικών υποθεμάτων αποθήκευσης, λογισμικού και υλικού πληροφορικής (π χ PC και φορητών υπολογιστικών συσκευών) με δυνατότητα αποθήκευσης για το χειρισμό διαβαθμισμένων πληροφοριών EE.
96. Απαγορεύεται η εισαγωγή ιδιωτικού υλικού υπολογιστών, λογισμικού και υποθεμάτων σε χώρους κατηγορίας I ή ΙΙ όπου γίνεται χειρισμός διαβαθμισμένων πληροφοριών EE χωρίς την άδεια του προϊσταμένου της υπηρεσίας Ασφαλείας της ΓΓΣ ή ενός υπουργείου κράτους μέλους ή του αντίστοιχου αποκεντρωμένου οργανισμού της EE.
ΧΡΗΣΗ ΣΥΣΚΕΥΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ ΠΟΥ ΑΝΗΚΟΥΝ ΣΕ ΕΡΓΟΛΑΒΟΥΣ Ή ΠΟΥ ΠΑΡΕΧΟΝΤΑΙ ΑΠΟ ΕΘΝΙΚΕΣ ΑΡΧΕΣ ΠΑ ΕΠΙΣΗΜΕΣ ΕΡΓΑΣΙΕΣ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ
97. Η χρήση συσκευών πληροφορικής και λογισμικού που ανήκουν σε εργολάβους σε οργανώσεις προς υποστήριξη επίσημων εργασιών του Συμβουλίου μπορεί να επιτρέπεται από τον προϊστάμενο της Υπηρεσίας Ασφαλείας της ΓΓΣ ή ενός υπουργείου κράτους μέλους ή του αντίστοιχου αποκεντρωμένου οργανισμού της EE. Είναι δυνατόν επίσης να επιτρέπεται η χρήση, από υπαλλήλους της ΓΓΣ ή ενός αποκεντρωμένου οργανισμού της EE, συσκευών πληροφορικής και λογισμικού που παρέχονται από αρχή κράτους μέλους στην περίπτωση αυτήν, οι συσκευές πληροφορικής καταχωρούνται στον κατάλληλο κατάλογο της ΓΓΣ. Και στις δύο περιπτώσεις, εάν οι συσκευές πληροφορικής πρόκειται να χρησιμοποιηθούν νια το χειρισμό διαβαθμισμένων πληροφοριών EE, πρέπει να ζητείται η γνώμη της αρμόδιας ΑΠΑ ώστε να λαμβάνονται δεόντως υπόψη και να εφαρμόζονται τα στοιχεία INFOSEC του ισχύουν για τη χρήση των συσκευών αυτών.
ΤΜΗΜΑ ΧΙΙ
ΚΟΙΝΟΠΟΙΗΣΗ ΔΙΑΒΑΘΜΙΣΜΕΝΩΝ ΠΛΗΡΟΦΟΡΙΩΝ EE ΣΕ ΤΡΙΤΑ ΚΡΑΤΗ Ή ΔΙΕΘΝΕΙΣ ΟΡΓΑΝΙΣΜΟΥΣ
ΑΡΧΕΣ ΠΟΥ ΔΙΕΠΟΥΝ ΤΗΝ ΚΟΙΝΟΠΟΙΗΣΗ ΔΙΑΒΑΘΜΙΣΜΕΝΩΝ ΠΛΗΡΟΦΟΡΙΩΝ EE
1. Η κοινοποίηση διαβαθμισμένων πληροφοριών EE σε τρίτα κράτη ή διεθνείς οργανισμούς αποφασίζεται από το Συμβούλιο βάσει.
— της φύσης και του περιεχομένου των πληροφοριών αυτών,
— της ανάγκης γνώσης του αποδέκτη,
— των πλεονεκτημάτων για την EE.
Ζητάται η συμφωνία του κράτους μέλους που συνέταξε τις προς κοινοποίηση διαβαθμισμένες πληροφορίες EE
2. Οι αποφάσεις αυτές λαμβάνονται κατά περίπτωση, ανάλογα με:
— τον επιθυμητό βαθμό συνεργασίας με τα συγκεκριμένα τρίτα κράτη ή διεθνείς οργανισμούς,
— την εμπιστοσύνη που εμπνέουν η οποία απορρέει από το βαθμό ασφαλείας που θα αποδώσουν στις διαβαθμισμένες πληροφορίες EE που κοινοποιούνται σε αυτά τα κράτη ή οργανισμούς και από τη συνεπή εφαρμογή των κανόνων ασφαλείας τους και των κανόνων ασφαλείας της ΕΕ η Επιτροπή Ασφαλείας του Συμβουλίου δίνει στο Συμβούλιο τεχνική γνώμη για το θέμα αυτό.
3. Η αποδοχή, από τρίτα κράτη ή διεθνείς οργανισμούς, διαβαθμισμένων πληροφοριών EE συνεπάγεται την εγγύηση ότι οι πληροφορίες αυτές θα χρησιμοποιηθούν μόνον για τους σκοπούς που αιτιολογούν την κοινοποίηση ή ανταλλαγή πληροφοριών, και ότι τα κράτη ή οι οργανισμοί αυτοί θα παρέχουν την προστασία που απαιτεί το Συμβούλιο.
ΕΠΙΠΕΔΑ
4. Όταν το Συμβούλιο αποφασίσει άτι επιτρέπεται η κοινοποίηση ή ανταλλαγή διαβαθμισμένων πληροφοριών με συγκεκριμένο κράτος ή διεθνή οργανισμό, αποφασίζει και για το επίπεδο συνεργασίας το οποίο είναι δυνατό. Το επίπεδο αυτό εξαρτάται ιδίως από την πολιτική και τους κανονισμούς ασφαλείας που εφαρμόζει αυτό το κράτος ή οργανισμός.
5. Προβλέπονται τρία επίπεδα συνεργασίας:
Επίπεδο 1
Συνεργασία με τρίτα κράτη ή με διεθνείς οργανισμούς των οποίων η πολιτική και οι κανονισμοί ασφαλείας είναι πολύ παρόμοιοι με εκείνους της EE.
Επίπεδο 2
Συνεργασία με τρίτα κράτη ή με διεθνείς οργανισμούς των οποίων η πολιτική και οι κανονισμοί ασφαλείας διαφέρουν σημαντικά από τους κοινοτικούς.
Επίπεδο 3
Περιστασιακή συνεργασία με τρίτα κράτη ή με διεθνείς οργανισμούς των οποίων δεν είναι δυνατόν να αξιολογηθούν η πολιτική και οι κανονισμοί ασφαλείας.
6. Σε κάθε επίπεδο συνεργασίας καθορίζονται οι κανονισμοί ασφαλείας αναδιατυπωμένοι στις επιμέρους περιπτώσεις βάσει της τεχνικής γνώμης της Επιτροπής Ασφαλείας του Συμβουλίου, τους οποίους θα πρέπει να εφαρμόζουν οι δικαιούχοι για την προστασία των διαβαθμισμένων πληροφοριών που τους κοινοποιούνται. Αυτές οι διαδικασίες και κανονισμοί ασφαλείας εκτίθενται στα προσαρτήματα 4, 5 και 6
ΣΥΜΦΩΝΙΕΣ
7. Όταν το Συμβούλιο αποφασίσει ότι υπάρχει μόνιμη ή μακροχρόνια ανάγκη ανταλλαγής διαβαθμισμένων πληροφοριών μεταξύ της EE και τρίτων κρατών ή άλλων διεθνών οργανισμών, καταρτίζει με αυτούς «συμφωνίες για διαδικασίες ασφαλείας για την ανταλλαγή διαβαθμισμένων πληροφοριών», στις οποίες ορίζονται ο σκοπός της συνεργασίας και οι αμοιβαίοι κανόνες για την προστασία των ανταλλασσόμενων πληροφοριών.
8. Στην περίπτωση της συνεργασίας επιπέδου 3, η οποία, εξ ορισμού, έχει περιορισμένη χρονική διάρκεια και σκοπό, αντί της «συμφωνίας για διαδικασίες ασφαλώς για την ανταλλαγή διαβαθμισμένων πληροφοριών», είναι δυνατόν να καταρτίζεται απλό μνημόνιο συμφωνίας στο οποίο ορίζονται η φύση των προς ανταλλαγή διαβαθμισμένων πληροφοριών και οι αμοιβαίες υποχρεώσεις όσον αφορά τις πληροφορίες αυτές, υπό την προϋπόθεση ότι η διαβάθμιση των πληροφοριών αυτών δεν υπερβαίνει το RESTREINT UE.
9. Πριν υποβληθούν προς έγκριση στο Συμβούλιο, τα σχέδια συμφωνιών για τις διαδικασίες ασφαλώς ή τα μνημόνια συμφωνίας εγκρίνονται από την Επιτροπή Ασφαλείας.
10. Οι εθνικές αρχές ασφαλείας παρέχουν στο Γενικό Γραμματέα/Ύπατο Εκπρόσωπο κάθε απαιτούμενη βοήθεια νια να εξασφαλίζεται ότι οι προς, κοινοποίηση πληροφορίες θα χρησιμοποιούνται και θα προστατεύονται σύμφωνα με τις διατάξεις των συμφωνιών για τις διαδικασίες ασφαλείας ή των μνημονίων συμφωνίας.