§ 15
Požadavky na bezpečnost nosičů utajovaných informací
(1) Všechny nosiče utajovaných informací používané v provozu informačního systému musí být evidovány. Stupeň utajení těchto nosičů informací musí odpovídat bezpečnostnímu provoznímu módu a nejvyššímu stupni utajení utajovaných informací na nosiči uložených.
(2) Pokud je vyměnitelný nosič utajovaných informací určen výhradně pro použití v provozu určitého informačního systému, vyznačuje se spolu se stupněm utajení i název daného informačního systému a evidenční číslo nosiče informací. Nosiče utajovaných informací určené pro předání nebo výdej informací z informačního systému se označují stupněm utajení a dalšími údaji podle zvláštního právního předpisu 5).
(3) Nosiče utajovaných informací zabudované do zařízení a jiné komponenty umožňující uchování utajovaných informací musí být evidovány a označeny stupněm utajení nejpozději po jejich vyjmutí z daného zařízení. Zařízení se evidují v provozní bezpečnostní dokumentaci informačního systému.
(4) Stupeň utajení nosiče utajovaných informací stupně utajení Přísně tajné nesmí být snížen, vyjma případu, kdy je prokázáno, že na něm byly během jeho dosavadního životního cyklu uloženy pouze utajované informace nižšího stupně utajení nebo informace neutajované.
(5) Stupeň utajení nosiče utajovaných informací stupně utajení Tajné může být snížen, stupně utajení Důvěrné může být snížen nebo zrušen, pouze v případě, že vymazání utajovaných informací z něj bylo provedeno způsobem uvedeným v odstavci 6 nebo je prokázáno, že na něm byly během jeho dosavadního životního cyklu uloženy pouze utajované informace nižšího stupně utajení nebo informace neutajované nebo je prokázáno, že stupeň utajení utajovaných informací uložených na něm během jeho dosavadního životního cyklu byl zrušen nebo snížen. Stupeň utajení nosiče utajovaných informací stupně utajení Vyhrazené může být zrušen pouze v případě, že vymazání utajovaných informací z něj bylo provedeno způsobem uvedeným v odstavci 6 nebo je prokázáno, že na něm byly během jeho dosavadního životního cyklu uloženy pouze informace neutajované nebo je prokázáno, že stupeň utajení utajovaných informací uložených na něm během jeho dosavadního životního cyklu byl zrušen.
(6) Vymazání utajované informace z nosiče utajovaných informací, které umožňuje snížení nebo zrušení jeho stupně utajení, musí být provedeno tak, aby utajovaná informace uložená na nosiči během jeho dosavadního životního cyklu byla obtížně zjistitelná i při použití laboratorních metod. Podmínky a postupy bezpečného vymazání stanoví Úřad v bezpečnostním standardu, postup musí být uveden v provozní bezpečnostní dokumentaci certifikovaného informačního systému a schválen v rámci jeho certifikace.
(7) Ničení nosiče utajovaných informací informačního systému musí být provedeno tak, aby se znemožnilo utajovanou informaci z něho opětovně získat.
(8) Při používání velkokapacitních vyměnitelných nosičů informací musí být v bezpečnostní politice stanoveno řízení přístupu uživatele ke vstupním a výstupním zařízením.
------------------------------------------------------------------
5) Vyhláška č. 529/2005 Sb., o administrativní bezpečnosti a o registrech utajovaných informací.