1. Modely riadenia prístupu Štandardy pre hodnotenie zabezpečených IS Právne normy
Jaroslav Porubän
KPI FEI TU Košice © 2006

2. Modely riadenia prístupu
Modely riadenia prístupu predstavujú
vysoko úrovňové
doménovo nezávislé
implementačne nezávislé
referenčné modely pre architektúru a návrh prístupových mechanizmov.
strany v J. Ramachandran: Designing Security Architecture Solutions. Wiley, 2002, 416 pp. ISBN
strany v M. Schumacher, E. Fernandez-Buglioni, D. Hybertson, F. Buschmann, P. Sommerlad: Security Patterns: Integrating Security and Systems Engineering. Wiley, 2006, 600 pp. ISBN
■ Military multi-level models such as Bell-LaPadula protect the confidentiality of information.
■ The multi-level Biba model protects data integrity.
■ The multi-lateral Chinese Wall model of Brewer and Nash protects against conflicts of interest.
■ The multi-lateral BMA model described in [And01] protects patient privacy.

3. Modely riadenia prístupu
Discretionary Access Control (DAC)
Riadenie prístupu podľa uváženia
Mandatory Access Control (MAC)
Povinné riadenie prístupu
Role-Based Access Control (RBAC)
Riadenie prístupu založené na roliach

4. Discretionary Access Control
Definuje autorizáciu pomocou matice riadenia prístupu, v ktorej každý pár objekt-subjekt, má definované prístupové práva
Definuje prístup subjektov k objektom na základe delegovania oprávnenia danému subjektu
Tento model je dynamický pretože umožňuje prideľovať a odobrať práva iným entitám

5. Discretionary Access Control Matica riadenia prístupu
Objekt1
Objekt2
Objekt3
...
Objektm
Subjekt1 RW R -
Subjekt2 CP
Subjekt3 C
Subjektn

6. Discretionary Access Control Implementácia matice riadenia prístupu
reprezentácia podľa riadkov (pre subjekty)
Profiles (Profily)
Capabilities – ticket (Spôsobilosti)
reprezentácia podľa stĺpcov (pre objekty)
Access Control List (Zoznam riadenia prístupu)
Protection bits (Bity ochrany)
In a capability-based system, access to protected objects such as files is granted if the would- be accessor possesses a capability for the object. The capability is a protected identifier that both identifies the object and specifies the access rights to be allowed to the accessor who possesses the capability. Two fundamental properties of capabilities are that they may be passed from one accessor (subject) to another, and that the accessor who possesses capabilities may not alter or fabricate capabilities without the mediation of the operating system TCB.
Profiles use a list of protected objects associated with each user.

7. Mandatory Access Control
Definuje prístup subjektov k objektom na základe klasifikačnej hierarchie označení (label)
Každý subjekt a objekt v systéme ma svoje označenie
Prístup k objektom je založený na porovnaní označení pristupujúceho subjektu a daného objektu
Kontrola je zabezpečené staticky
Povinnosť spočíva v centralizovanom rozhodovaní na základe označenia
Entity nemôžu dané rozhodnutie ovplyvňovať

8. Role-Based Access Control
Reakcia na problém veľkého počtu definícií prístupových práv z dôvodu veľkého počtu objektov a subjektov
Zjednodušenie administrácie, zvýšenie výkonu, jednoduchšia škálovateľnosť systému (pridávanie, odoberanie objektov a subjektov)
Používatelia sú priradení do rolí
Objekty sú priradené do skupín
Role majú definované práva a môžu byť hierarchicky organizované s podporou dedenia práv
Ferraiolo and Kuhn in [FK92] insist that RBAC is a mandatory access control policy in contrast
to Castano et al. in [CFMS94] who are just as insistent that RBAC is discretionary.

9. Role-Based Access Control

10. Medzinárodné štandardy pre hodnotenie zabezpečených IS

11. Čo sa hodnotí dosiahnutá úroveň bezpečnosti
ako je zabezpečená ochrana proti stratám (škodám) údajov pri spracovaní, úschove, distribúcii, prezentácii
bezpečnosť = dôvernosť, integrita, dostupnosť, zodpovednosť
ako sú aplikované bezpečnostné služby produktu
aký postup bol použitý pri vývoji produktu
adekvátnosť použitia bezpečnostných mechanizmov
adekvátnosť prevádzkových pravidiel
kvalita / úplnosť dokumentácie

12. Miera dôveryhodnosti je daná
zárukou za dôveryhodnosť vývoja, testovania, dokumentácie, údržby, dodávok
malá = daná testovaním častí systému relevantných pre bezpečnosť
stredná = daná analýzou systémového návrhu a implementácie systému
veľká = daná aplikáciou formálnych verifikačných nástrojov
spôsobom vyjadrenia bezpečnostnej politiky
malá = neformálne metódy vyjadrenia
stredná = semiformálne metódy vyjadrenia
veľká = formálne metódy vyjadrenia

13. Štandardné kritériá
TCSEC - Trusted Computer System Evaluation Criteria
Orange book - Oranžová kniha, ,DoD U.S.A
Rainbow Series
ITSEC – Information Technology Security Evaluation Criteria
EU, , ...
ITSEM, 1993 Information Technology Security Evaluation Methodology
Common Criteria
ISO/IEC 15408, od júna 1999

14. Trusted Computer System Evaluation Criteria (TCSEC)
Kritériá pre hodnotenie bezpečnosti Ministerstva Obrany U.S.A.
Všeobecne sa používali v 80. a v 90. rokoch 20. storočia
Hodnotí sa
ako má produkt vypracovanú bezpečnostnú politiku a identifikáciu požiadaviek na ochranu
či je zabezpečená klasifikácia informácií za účelom riadenia prístupu k citlivým informáciám
ako sa identifikujú jednotliví používatelia a ako sa táto identita overuje
či sa vykonal spoľahlivý audit

15. Trusted Computer System Evaluation Criteria (TCSEC)
spôsob uplatnenia princípov riadenia prístupu k údajom
Nepovinná ochrana (Discretionary)
Povinná ochrana (Mandatory)
úroveň zaručiteľnosti za dôveryhodnú implementáciu bezpečnostnej politiky
úroveň zaručiteľnosti za priebežnú prevádzkovú ochranu

16. Klasifikácia systémov z hľadiska dosiahnutej bezpečnostiR A S T I E D Ô V H O N Ť
D – žiadna ochrana
C – voliteľné riadenie prístupu
C1 – nepovinná vzájomná ochrana používateľov (nie proti útočníkom)
C2 – voliteľné riadenie prístupu
B – povinné riadenie prístupu
B1 - povinné riadenie prístupu (je podaný dôkaz o uplatnení bezpečnostnej politiky)
B2 – štruktúrovaná ochrana (odolnosť proti bežným útokom)
B3 – bezpečnostné domény (odolnosť proti útokom profesionálov)
A – verifikovaný návrh
Funkčná zhoda s B3 + formálny dôkaz vlastností

17. Bezpečnosť podľa TCSEC
Bezpečnostná politika
voliteľnosť / povinnosť riadenia prístupu
klasifikáciu informácií
Sledovateľnosť činností
identifikáciu a autentizáciu používateľov
audit
použitie dôveryhodných zariadení
Kvalita dokumentácie
bezpečnostné rysy v používateľskej príručke
zaistenie dôveryhodnosti v administrátorskej príručke
existencia dokumentácie testov
existencia návrhovej dokumentácie

18. Bezpečnosť podľa TCSEC
Zaručiteľnosťou dôveryhodnosti z hľadiska činnosti
definovanie architektúry systému
analýza skrytých kanálov
zavedenie role správcu
dôveryhodná obnova činnosti po incidente
Zaručiteľnosťou dôveryhodnosti z hľadiska štandardizovaného návrhu, vývoja a procesu údržby
testovanie
bezpečnostných mechanizmov
rozhraní bezpečnostných služieb
hodnotí sa návrhová špecifikácia a vykonanie verifikácie
ako prebieha správa konfigurácie
ako je zaistená dôveryhodná distribúcia systému

19. Právne normy

20. Národný Bezpečnostný Úrad (http://www.nbu.gov.sk)
Národný bezpečnostný úrad je ústredným orgánom štátnej správy na ochranu utajovaných skutočností, šifrovú službu a elektronický podpis
vykonáva kontrolu utajovaných skutočností v štátnych orgánoch, obciach a v právnických osobách
zabezpečuje vykonanie bezpečnostnej previerky navrhovanej osoby a vydáva, alebo zrušuje osvedčenie navrhovanej osobe na oboznamovanie sa s utajovanými skutočnosťami
vydáva alebo zrušuje potvrdenie o priemyselnej bezpečnosti právnickej osoby
vykonáva certifikáciu, alebo vydáva súhlas na vykonávanie certifikácie technických prostriedkov, mechanických zábranných prostriedkov a technických zabezpečovacích prostriedkov

21. Národný Bezpečnostný Úrad (http://www.nbu.gov.sk)
plní úlohy pri ochrane utajovaných skutočností v rozsahu ustanovenom medzinárodnými zmluvami
pôsobí ako centrálny register pri výmene utajovaných skutočností so zahraničím
plní funkciu ústredného šifrového orgánu Slovenskej republiky
vykonáva kontrolu bezpečnosti šifrovej ochrany informácií
plní funkciu gestora vládneho a zahraničného spojenia
plní funkciu ústredného orgánu štátnej správy pre elektronický podpis
je prevádzkovateľom koreňovej certifikačnej autority
certifikuje bezpečné produkty pre elektronický podpis
vykonáva akreditáciu certifikačných autorít

22. Právne normy a zákony
Zákon č. 566/1992 Z.z. o Národnej banke Slovenska
Zákon č. 46/1993 Z.z. o Slovenskej informačnej službe
Zákon č. 610/1993 Z.z. o elektronických komunikáciách
Zákon č. 241/2001 Z.z. o ochrane utajovaných skutočností
Zákon č. 483/2001 Z.z. o bankách a o zmene a doplnení niektorých zákonov
Zákon č. 215/2002 Z.z. o elektronickom podpise
Zákon č. 428/2002 Z.z. o ochrane osobných údajov
Okrem týchto zákonov existuje množstvo ďalších, ktoré sa odvolávajú na informačnú bezpečnosť nepriamo. Sú to napr. zákon o účtovníctve, zákon o daniach, autorský zákon, trestný zákon atď.

23. Ochrana štátnych tajomstiev
Štátnym tajomstvom sa rozumie všetko, čo v dôležitom záujme republiky, najmä v záujme politickom, vojenskom alebo hospodárskom, má zostať utajené pred nepovolanou osobou.
Za ochranu štátnych tajomstiev zodpovedá Ministerstvo vnútra Slovenskej republiky a Národný bezpečnostný úrad.
Za vyzradenie štátneho tajomstva je uložený trest odňatia slobody na 6 mesiacov – 3 roky (v špeciálnych prípadoch na 1 – 5 rokov)

24. Ochrana obchodných tajomstiev
Obchodné tajomstvo tvoria všetky skutočnosti obchodnej, výrobnej alebo technickej povahy súvisiace s podnikom, ktoré majú skutočnú alebo aspoň potenciálnu materiálnu alebo nemateriálnu hodnotu, nie sú v príslušných obchodných kruhoch bežne dostupné, majú byť podľa vôle podnikateľa utajené a podnikateľ zodpovedajúcim spôsobom ich utajenie zabezpečuje.

25. Ochrana bankových tajomstiev
Bankovým tajomstvom sú všetky informácie a doklady o záležitostiach, ktoré sa týkajú klientov banky alebo klientov pobočky zahraničnej banky, ktoré nie sú verejne prístupné, najmä informácie o bankových obchodoch, stavoch na účtoch a stavoch vkladov, ktoré sú banka a pobočka zahraničnej banky povinné utajovať a chrániť pred vyzradením, zneužitím, poškodením, zničením, stratou alebo odcudzením.

26. Ochrana osobných údajov
Osobnými údajmi sú údaje týkajúce sa fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.
Biometrickým údajom sa rozumie osobný údaj fyzickej osoby, na základe ktorého je jednoznačne a nezameniteľne určiteľná, napr. odtlačok prsta, odtlačok dlane, analýza deoxyribonukleovej kyseliny, profil deoxyribonukleovej kyseliny

27. Zákon o ochrane osobných údajov
Ak účel spracúvania osobných údajov neustanovuje osobitný zákon, prevádzkovateľ pred začatím spracúvania jednoznačne vymedzí účel a zabezpečí, aby sa nespracúvali osobné údaje, ktoré
a) svojím rozsahom a obsahom sú nezlučiteľné s daným účelom spracúvania, pričom ďalšie spracúvanie osobných údajov na historické, štatistické a vedecké účely sa nepovažuje za nezlučiteľné, alebo
b) sú časovo alebo vecne neaktuálne vo vzťahu k účelu spracúvania.
Účel spracúvania osobných údajov musí byť jasný a nesmie byť v rozpore so zákonmi.
Spracúvať možno len také osobné údaje, ktoré svojím rozsahom a obsahom zodpovedajú účelu ich spracúvania. Spôsob spracúvania a využívania osobných údajov musí zodpovedať účelu ich spracúvania.

28. Účel spracúvania osobných údajov
Od dotknutej osoby možno vyžadovať len také osobné údaje, ktoré sú nevyhnutné na dosiahnutie účelu spracúvania. K takýmto osobným údajom môže prevádzkovateľ alebo sprostredkovateľ priradiť ďalšie osobné údaje dotknutej osoby, ktoré bezprostredne súvisia s daným účelom spracúvania, len ak na ne dotknutú osobu upozorní a táto s tým písomne súhlasí. Tento súhlas si prevádzkovateľ ani sprostredkovateľ nesmú vynucovať a ani podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej prevádzkovateľovi alebo sprostredkovateľovi zákonom.
V prípade pochybnosti o tom, že spracúvané osobné údaje svojím rozsahom, obsahom a spôsobom spracúvania alebo využívania zodpovedajú účelu ich spracúvania, že sú s daným účelom spracúvania zlučiteľné alebo časovo a vecne neaktuálne vo vzťahu k tomuto účelu, rozhodne úrad. Stanovisko úradu je záväzné.

29. Osobitné kategórie osobných údajov (podľa zákona)
Spracúvať osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženskú vieru alebo svetonázor, členstvo v politických stranách alebo politických hnutiach, členstvo v odborových organizáciách a údaje týkajúce sa zdravia alebo pohlavného života, sa zakazuje.
Pri spracúvaní osobných údajov možno využiť na účely určenia fyzickej osoby všeobecne použiteľný identifikátor ustanovený osobitným zákonom len vtedy, ak jeho použitie je nevyhnutné na dosiahnutie daného účelu spracúvania. Spracúvať iný identifikátor, ktorý v sebe skrýva charakteristiky dotknutej osoby, alebo zverejňovať všeobecne použiteľný identifikátor sa zakazuje.

30. Osobitné kategórie osobných údajov (podľa zákona)
Spracúvanie biometrických údajov možno vykonávať len za podmienok ustanovených v osobitnom zákone, ak
a) to prevádzkovateľovi vyplýva výslovne zo zákona, alebo
b) na spracúvanie dala písomný súhlas dotknutá osoba.
Spracúvanie osobných údajov o psychickej identite fyzickej osoby alebo o jej psychickej pracovnej spôsobilosti môže vykonávať len psychológ alebo ten, komu to umožňuje osobitný zákon.

31. Zodpovednosť za bezpečnosť osobných údajov
Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ a sprostredkovateľ tým, že ich chráni pred odcudzením, stratou, poškodením, neoprávneným prístupom, zmenou a rozširovaním.
Na tento účel prijme primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania = bezpečnostný projekt informačného systému
Na požiadanie úradu prevádzkovateľ a sprostredkovateľ preukážu rozsah a obsah prijatých technických, organizačných a personálnych opatrení.

32. Bezpečnostný projekt
Bezpečnostný projekt vymedzuje rozsah a spôsob technických, organizačných a personálnych opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti.
Bezpečnostný projekt obsahuje
a) bezpečnostný zámer,
b) analýzu bezpečnosti informačného systému,
c) bezpečnostné smernice.

33. Bezpečnostný zámer
vymedzuje základné bezpečnostné ciele, ktoré je potrebné dosiahnuť na ochranu informačného systému pred ohrozením jeho bezpečnosti
a) formuláciu základných bezpečnostných cieľov a minimálne požadovaných bezpečnostných opatrení,
b) špecifikáciu technických, organizačných a personálnych opatrení na zabezpečenie ochrany osobných údajov v informačnom systéme a spôsob ich využitia,
c) vymedzenie okolia informačného systému a jeho vzťah k možnému narušeniu bezpečnosti,
d) vymedzenie hraníc určujúcich množinu zvyškových rizík.

34. Analýza bezpečnosti
Analýza bezpečnosti informačného systému je podrobný rozbor stavu bezpečnosti informačného systému, ktorá obsahuje
a) Kvalitatívnu analýzu rizík, v rámci ktorej sa identifikujú hrozby pôsobiace na jednotlivé aktíva informačného systému spôsobilé narušiť jeho bezpečnosť alebo funkčnosť. Výsledkom kvalitatívnej analýzy rizík je zoznam hrozieb, ktoré môžu ohroziť dôvernosť, integritu a dostupnosť spracúvaných osobných údajov, s uvedením rozsahu možného rizika, návrhov opatrení, ktoré eliminujú alebo minimalizujú vplyv rizík, a s vymedzením súpisu nepokrytých rizík.
b) Použitie bezpečnostných štandardov a určenie iných metód a prostriedkov ochrany osobných údajov; súčasťou analýzy bezpečnosti informačného systému je posúdenie zhody navrhnutých bezpečnostných opatrení s použitými bezpečnostnými štandardmi, metódami a prostriedkami.

35. Bezpečnostné smernice
Bezpečnostné smernice upresňujú a aplikujú závery vyplývajúce z bezpečnostného projektu na konkrétne podmienky prevádzkovaného informačného systému a obsahujú najmä
a) opis technických, organizačných a personálnych opatrení vymedzených v bezpečnostnom projekte a ich využitie v konkrétnych podmienkach,
b) rozsah oprávnení a opis povolených činností jednotlivých oprávnených osôb, spôsob ich identifikácie a autentifikácie pri prístupe k informačnému systému,
c) rozsah zodpovednosti oprávnených osôb a osoby zodpovednej za dohľad nad ochranou osobných údajov,
d) spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnosti informačného systému,
e) postupy pri haváriách, poruchách a iných mimoriadnych situáciách vrátane preventívnych opatrení na zníženie vzniku mimoriadnych situácií.

36. Registrácia a evidencia informačných systémov
Prevádzkovateľ registruje informačné systémy alebo vedie o nich evidenciu v rozsahu a za podmienok ustanovených týmto zákonom.
Registráciu informačných systémov vykonáva Úrad na ochranu osobných údajov Slovenskej republiky bezplatne.
Registrácii podliehajú informačné systémy, v ktorých
a) sa spracúvajú osobitné kategórie osobných údajov,
b) sa spracúvajú osobné údaje, ktoré sú predmetom cezhraničného toku,

37. Registrácia a evidencia informačných systémov
Registrácii nepodliehajú informačné systémy ak obsahujú
a) osobné údaje týkajúce sa zdravia a všeobecne použiteľný identifikátor tých osôb, ktoré sú s prevádzkovateľom v pracovnom pomere alebo v obdobnom pracovnom vzťahu,
b) osobné údaje o členstve osôb v odborových organizáciách, ktoré sú ich členmi, a ak tieto osobné údaje sa využívajú výlučne pre ich vnútornú potrebu,
c) osobné údaje o náboženskej viere osôb združených v štátom uznanej cirkvi alebo v náboženskej spoločnosti a ak tieto osobné údaje sa využívajú výlučne pre ich vnútornú potrebu,
d) osobné údaje o členstve osôb v politických stranách alebo v politických hnutiach, ktoré sú ich členmi, a ak tieto osobné údaje sa využívajú výlučne pre ich vnútornú potrebu,
e) osobné údaje osôb zúčastnených v konaní pred orgánom štátnej správy, orgánom územnej samosprávy, ako aj pred inými orgánmi verejnej moci a ich spracúvanie sa vykonáva na základe osobitného zákona,
f) výlučne už zverejnené osobné údaje.

38. Registrácia a evidencia informačných systémov
g) osobné údaje, ktoré slúžia masovokomunikačným prostriedkom výlučne pre ich informačnú činnosť,
h) osobné údaje na účely preventívnej medicíny, lekárskej diagnostiky, poskytovania liečebnej alebo kúpeľnej starostlivosti a ďalších služieb zdravotnej starostlivosti a ak tieto osobné údaje spracúva zdravotnícke zariadenie,
i) osobné údaje na účely výchovy alebo vzdelávania alebo vedy a výskumu, ako aj osobné údaje slúžiace na účely štátnej štatistiky a ak prevádzkovateľom je zariadenie,
j) osobné údaje, ktoré sa spracúvajú výlučne na účely identifikácie osôb pri ich jednorazovom vstupe do priestorov prevádzkovateľa.

39. Zákon o ochrane utajovaných skutočností
utajovanou skutočnosťou sa rozumie informácia alebo vec uvedená v zozname utajovaných skutočností, ktorú vzhľadom na záujem Slovenskej republiky treba chrániť pred vyzradením, zneužitím, poškodením, zničením, stratou alebo odcudzením
informáciou sa rozumie
1. obsah písomnosti, nákresu, výkresu, mapy, fotografie, grafu alebo iného záznamu,
2. obsah ústneho vyjadrenia,
3. obsah elektrického, elektromagnetického, elektronického alebo iného fyzikálneho transportného média

40. Zákon o ochrane utajovaných skutočností
Oprávnenou osobou je osoba, ktorá je určená na oboznamovanie sa s utajovanými skutočnosťami alebo ktorej oprávnenie na oboznamovanie sa s utajovanými skutočnosťami vzniklo zo zákona.
Nepovolanou osobou je osoba, ktorá nie je oprávnená oboznamovať sa s utajovanými skutočnosťami alebo ktorá nie je oprávnená oboznamovať sa s utajovanými skutočnosťami nad rozsah, ktorý jej je určený.

41. Utajované skutočnosti
Utajované skutočnosti sa podľa stupňa utajenia členia na
a) prísne tajné PT,
b) tajné T,
c) dôverné D,
d) vyhradené V.

42. Certifikácia technických prostriedkov
Certifikáciu technických prostriedkov vykonáva NBÚ alebo ním autorizovaný štátny orgán, alebo právnická osoba autorizovaná na certifikáciu technických prostriedkov. To sa nevzťahuje na technické prostriedky používané v pôsobnosti Policajného zboru v súvislosti s plnením úloh kriminálneho spravodajstva, Slovenskej informačnej služby a Vojenského spravodajstva, na ktoré vykonáva certifikáciu Ministerstvo vnútra Slovenskej republiky, Slovenská informačná služba a Vojenské spravodajstvo.
Podmienkou certifikácie technického prostriedku je posúdenie bezpečnostného projektu technického prostriedku.
Certifikát technického prostriedku sa udeľuje pre konkrétny stupeň utajenia a podmienkou jeho platnosti je dodržanie v ňom určených podmienok a pravidiel používania technického prostriedku.

43. Certifikácia technických prostriedkov
Certifikát udelený pre určitý stupeň utajenia platí aj pre nižší stupeň utajenia.
Certifikát technického prostriedku pre utajované skutočnosti stupňa utajenia Prísne tajné a Tajné má platnosť päť rokov a pre stupne utajenia Dôverné a Vyhradené sedem rokov.
Náklady spojené s certifikáciou uhrádza ten, kto o certifikáciu žiada.
Systémová ochrana utajovaných skutočností stupňa Dôverné alebo vyšších stupňov, spracúvaných na technických prostriedkoch, sa zabezpečuje certifikovanými systémovými prostriedkami.

44. Certifikácia systémových prostriedkov
Medzi certifikované systémové prostriedky patria najmä
a) operačné systémy, ich jednotlivé verzie a modifikácie,
b) databázové systémy,
c) produkty na správu a prevádzku počítačových sietí,
d) produkty na správu a prevádzku elektronickej pošty,
e) firewally a špeciálne systémové bezpečnostné produkty,
f) iné funkčne špecializované systémové produkty, určené na tvorbu, spracovanie, prenos alebo na uchovávanie utajovaných skutočností.
Úrad sa splnomocňuje na vydanie všeobecne záväzného právneho predpisu obsahujúceho zoznam certifikovaných systémových prostriedkov.

45. Základné skutočnosti stupňa utajenia Prísne tajné
Komplexné plány uvádzania Slovenskej republiky do brannej pohotovosti a komplexné plány a dokumentácia zabezpečenia jej obrany.
Katalógy (zoznamy) údajov o trigonometrických bodoch zariadení na obranu štátu a ostatných účelových zariadení v súradnicovom systéme 1942.
Súhrnné údaje o vojenskej výrobe a úlohy rozvoja vojenskej vedy a techniky.
Celková organizácia, zloženie, úlohy, zabezpečenie činnosti, prostriedky, evidencie a súhrnné výsledky spravodajskej činnosti.
Súhrnné údaje výskumu a vývoja v oblasti kryptológie, špeciálne formy a metódy kryptológie používané v šifrovej ochrane informácií.
Informácie a skutočnosti z medzinárodných rokovaní o zmluvných dokumentoch, schválené zmluvy a protokoly, ak to ich charakter vyžaduje alebo ak sa na tom zmluvné strany dohodnú.
Údaje o príprave zásadných menových opatrení.
TOP SECRET

46. Základné skutočnosti stupňa utajenia Tajné
Čiastkové úlohy vedecko-technického rozvoja výzbroje a ostatnej techniky, výskumné a vývojové práce dôležité pre obranu a bezpečnosť štátu.
Súhrnné údaje o špeciálnych psychologických operáciách.
Formy a metódy kontroly bezpečnosti systémov a prostriedkov šifrovej ochrany informácií.
Formy, metódy, prostriedky, zameranie, plánovacie dokumenty a výsledky spravodajskej činnosti vrátane analytickej a informačnej činnosti.
Krízový plán ústredného orgánu štátnej správy.
Umiestnenie, preprava a spôsob zabezpečenia celkových štátnych zásob drahých kovov a peňažných
prostriedkov v cudzej mene.
Krízový štatistický informačný systém.
Určené údaje o preprave jadrového materiálu a rádioaktívneho odpadu zaradeného do I. kategórie.
SECRET

47. Základné skutočnosti stupňa utajenia Dôverné
Čiastkové údaje o výstavbe ozbrojených síl, ozbrojených bezpečnostných zborov a ozbrojených zborov.
Vybrané údaje o výskume, vývoji, výrobe a prevádzke systémov a prostriedkov šifrovej ochrany informácií.
Organizácia utajeného vládneho a zahraničného spojenia.
Vybrané údaje o stave a spôsobe zabezpečenia ochrany prezidenta republiky, osôb určených vládou Slovenskej republiky, určených objektov a zahraničných delegácií.
Opatrenia hospodárskej mobilizácie a jej pripravenosť.
Čiastkové informácie o technológii zabezpečenia a systémoch ochrany výroby cenín a dokumentov proti falšovaniu.
Mapové podklady a údaje o území, údaje bázy dát súvisiacej s tvorbou lesného hospodárskeho plánu, údaje o vojenskej stavebnej činnosti, údaje konkrétneho vojenského využitia a evidencie pohybu osôb a techniky, týkajúce sa území určených na zabezpečovanie obranyschopnosti štátu i vo vzťahu k ochrane životného prostredia.
CONFIDENTAL

48. Základné skutočnosti stupňa utajenia Vyhradené
Údaje o opatreniach na potláčanie trestnej činnosti, vyhodnotenie informácií a poznatkov.
Vybrané údaje súvisiace s činnosťou spravodajských zložiek.
Určené údaje o preprave jadrového materiálu a rádioaktívneho odpadu zaradeného do III. kategórie.
Pracovné informácie, dokumenty a skutočnosti z diplomatického pôsobenia v rámci medzinárodných stykov, ak to ich charakter vyžaduje.
Informácie a výsledky opatrení a výskumov v oblasti disciplíny, hodnotových orientácií a psychodiagnostických vyšetrení príslušníkov ozbrojených síl, ozbrojených bezpečnostných zborov a bezpečnostných zborov.
Návrhy, žiadosti a informácie súvisiace s úkonmi v prípravnom konaní trestnom, ktoré by mohli viesť k mareniu prípravného konania.
RESTRICTED