Elektronische Verarbeitung und Übermittlung klassifizierter Informationen

§ 9

(1) Die Verarbeitung von klassifizierten Informationen in Informations- und Kommunikationssystemen bedarf besonderer Sicherungsmaßnahmen, die abhängig sind von

1. 1. der Klassifizierungsstufe,
2. 2. dem Grad der Abstrahlsicherheit der Geräte,
3. 3. der Art und dem Ausmaß der Vernetzung,
4. 4. den Speichermöglichkeiten und
5. 5. den örtlichen Gegebenheiten.

(2) Informationen ab der Klassifizierungsstufe VERTRAULICH dürfen auf allen Informations- und Kommunikationssystemen verarbeitet werden, sofern eine Akkreditierung durch die Informationssicherheitskommission vorliegt. Die spezifischen Voraussetzungen (Anforderungen sowie Maßstab und Grad der Detaillierung) sind dabei in Abstimmung mit der Informationssicherheitskommission festzulegen. Für Informations- und Kommunikationssysteme, die Informationen der Klassifizierungsstufe EINGESCHRÄNKT verarbeiten, sind je nach Art und Umfang des Systems (Risikostufe bzw. Komplexität und Vernetzung) die Vorgaben der Informationssicherheitskommission zu beachten. In jedem Fall sind Maßnahmen zur Identifizierung und Protokollierung von Zugriffen vorzusehen. Bei Informations- und Kommunikationssystemen, die der Erfüllung von Aufgaben des Bundesheeres gemäß Art. 79 Abs. 1 B-VG dienen, nimmt diese Aufgaben die vom Bundesminister für Landesverteidigung und Sport für seinen Wirkungsbereich bestimmte Zertifizierungsstelle wahr.

(3) Informationen ab der Klassifizierungsstufe VERTRAULICH, die auf elektronischen Geräten verarbeitet werden, sind so zu schützen, dass von den Informationen über elektromagnetische Abstrahlung nicht unbefugt Kenntnis erlangt werden kann (TEMPEST-Sicherheitsvorkehrungen).

(4) Bei der Übermittlung von klassifizierten Informationen auf elektronischem Wege sind besondere Schutzvorkehrungen, insbesondere die der jeweiligen Klassifizierungsstufe entsprechende Verschlüsselung, sowie die Vorgaben der Informationssicherheitskommission zu beachten. Ungeachtet dieser Anforderung können in Notsituationen spezielle Verfahren oder spezielle technische Konfigurationen nach Maßgabe der Informationssicherheitskommission angewendet werden. Die Übermittlung von klassifizierten Informationen ab der Klassifizierungsstufe VERTRAULICH ist gemäß den Vorgaben der Informationssicherheitskommission unter Einsatz qualifizierter Signatur bzw. bei automatischer Übermittlung mit technisch gleichwertigen Sicherheitsanforderungen zu protokollieren.

(5) Die Zusammenschaltung eines Informations- und Kommunikationssystems, in dem klassifizierte Informationen verarbeitet werden, mit anderen Systemen bedarf entsprechender Schutzmaßnahmen.