Vorblatt

Problem:

Österreichische Wissenschafter und Unternehmen erhalten nur unter der Voraussetzung gleichberechtigten Zugang zu wichtigen Ausschreibungen und Aufträgen der ESA, insbesondere für Galileo, das weltweite unabhängige europäische Radionavigationssystem, wenn Österreich Vertragspartei des ESA-Sicherheitsübereinkommens wird.

Ziel:

Gleichberechtigter Zugang österreichischer Wissenschafter und Unternehmen zu allen Ausschreibungen und Aufträgen der ESA.

Inhalt:

Regelung des Schutzes und der Sicherung der im Rahmen der ESA verwendeten geheimhaltungsbedürftigen Informationen.

Alternativen:

Keine.

Auswirkungen auf die Beschäftigung und den Wirtschaftsstandort Österreich:

Förderung der österreichischen Weltraumindustrie, in der ca. 300 Personen beschäftigt sind.

Finanzielle Auswirkungen:

Die durch zusätzliche Überprüfungsmaßnahmen verursachten Kosten werden durch die interessierten Unternehmen zu tragen sein (vgl. § 55b Abs. 5 SPG).

Verhältnis zu Rechtsvorschriften der Europäischen Union:

Im Bereich der EU bestehen ebenfalls Regelungen über den Schutzes und der Sicherung klassifizierter Informationen, deren Einhaltung in Österreich durch das Informationssicherheitsgesetz (InfoSiG) sichergestellt wird.

Besonderheiten des Normerzeugungsverfahrens:

Beschluss des Nationalrats gemäß Art. 50 Abs. 2;

Sonderkundmachung der französischen Sprachfassung des Übereinkommens gemäß Art. 49 Abs. 2 B-VG.

Erläuterungen

Allgemeiner Teil

Das Übereinkommen zwischen den Vertragsstaaten des Übereinkommens zur Gründung einer Europäischen Weltraumorganisation und der Europäischen Weltraumorganisation über den Schutz und den Austausch geheimhaltungsbedürftiger Informationen ist gesetzändernd und gesetzesergänzend und bedarf daher der Genehmigung durch den Nationalrat gemäß Art. 50 Abs. 1 B-VG. Es hat nicht politischen Charakter und enthält keine verfassungsändernden bzw. verfassungsergänzenden Bestimmungen. Das Übereinkommen ist der unmittelbaren Anwendung im innerstaatlichen Rechtsbereich nicht zugänglich, sodass eine Erlassung von Gesetzen gemäß Art. 50 Abs. 2 B-VG erforderlich ist. Einer Zustimmung des Bundesrates gemäß Art. 50 Abs. 1 zweiter Satz B-VG bedarf es nicht, da keine Angelegenheiten des selbständigen Wirkungsbereiches der Länder geregelt werden.

Österreich ist Mitglied der Europäischen Weltraumorganisation (ESA), vgl. das Übereinkommen zur Gründung einer Europäischen Weltraumorganisation, BGBl. Nr. 95/1987 (ESA-Übereinkommen). Im Rahmen der ESA wurde ein Übereinkommen über den Schutz und den Austausch geheimhaltungsbedürftiger Informationen („ESA-Sicherheitsübereinkommen“) ausgearbeitet, das der ESA-Rat in seiner Sitzung am 13. Juni 2002 genehmigt hat. Mit diesem Übereinkommen sollte ein geeignetes Rechtsinstrument geschaffen werden, um ein angemessenes Schutzniveau für geheimhaltungsbedürftige Informationen innerhalb der ESA und in ihren Mitgliedstaaten zu gewährleisten (vgl. 4. Präambularabsatz des Übereinkommens).

Zentrale Bestimmung des ESA-Sicherheitsübereinkommens ist dessen Art. 2, demzufolge die Vertragsparteien bestimmte, als solche gekennzeichnete geheimhaltungsbedürftige Informationen „entsprechend den vereinbarten Geheimschutzgrundsätzen und Mindestnormen“ schützen und sichern werden. Bei diesen Grundsätzen und Normen handelt es sich um die ESA-Sicherheitsbestimmungen, die vom ESA-Rat am 11. Dezember 2002 (Teil I) und am 12. Juni 2003 (Teil II) gemäß Art. XI Abs. 5 lit. m und Abs. 6 lit. d ESA-Übereinkommen mit einfacher Mehrheit beschlossen wurden. Durch Art. 2 und 3 des ESA-Sicherheitsübereinkommens werden die ESA-Sicherheitsbestimmungen mittelbarer Vertragsbestandteil des ESA-Sicherheitsübereinkommens; sie werden daher den Erläuterungen als Anlage beigeschlossen und aus Gründen der Publizität gemäß § 2 Abs. 5 Z 5 BGBlG im Teil III des Bundesgesetzblattes zu verlautbaren sein.

Das ESA-Sicherheitsübereinkommen wurde bereits von sieben Staaten unterzeichnet (Belgien, Deutschland, Finnland, Frankreich, Italien, Portugal und Schweden) und von zwei dieser Staaten (Italien, Schweden) auch schon ratifiziert. Gemäß seinem Art. 10 Abs. 2 ist das Übereinkommen nach Hinterlegung der zweiten Ratifikations-, Annahme oder Genehmigungsurkunde am 20. Juni 2003 für die betreffenden Staaten in Kraft getreten.

Eine rasche Unterzeichnung und Ratifikation des ESA-Sicherheitsübereinkommens durch Österreich ist insbesondere notwendig, um österreichischen Wissenschaftlern und Unternehmen den gleichberechtigten Zugang zu Ausschreibungen und Aufträgen der ESA für Galileo, dem weltweiten unabhängigen europäischen Radionavigationssystem, zu ermöglichen. Die Ausschreibung für die fliegenden Teile (IOV – In Orbit Validation – Phase) wird bereits im November 2003 erfolgen.

Die innerstaatliche Umsetzung des ESA-Sicherheitsübereinkommens kann nur teilweise im Rahmen bestehender gesetzlicher Regelungen erfolgen; es werden daher bis zur Ratifikation des ESA-Sicherheitsübereinkommens ergänzende gesetzliche Regelungen vorzunehmen sein.

Das ESA-Sicherheitsübereinkommen kann nicht als Regierungsübereinkommen geschlossen werden, da es Bestimmungen enthält, die von der in § 5 Abs. 2 des Bundesgesetzes über die Umsetzung völkerrechtlicher Verpflichtungen zur sicheren Verwendung von Informationen (Informationssicherheitsgesetz - InfoSiG), BGBl. I Nr. 23/2002, enthaltenen gesetzlichen Grundlage für den Abschluss von Regierungsübereinkommen über die Übermittlung klassifizierter Informationen nicht erfasst sind.

Besonderer Teil

Zu Art. 1:

Art. 1 definiert den Begriff „geheimhaltungsbedürftige Informationen“ nach der Möglichkeit einer Schädigung der Interessen der Vertragsparteien und der Kennzeichnung der Informationen („Geheimhaltungsgrad“). Die ESA-Sicherheitsbestimmungen (zu diesen sh. Allgemeiner Teil) sehen in Teil I Z 5 die (hier auf die ESA bezogenen) international üblichen Klassifizierungsstufen ESA TOP SECRET (ESA TS) – streng geheim, ESA SECRET (ESA S) – geheim, ESA CONFIDENTIAL (ESA C) – vertraulich und ESA RESTRICTED (ESA R) – eingeschränkt vor. Zu den Klassifizierungsstufen vgl. auch § 2 Abs. 2 InfoSiG.

Zu Art. 2:

Z 1 definiert den Begriff „geheimhaltungsbedürftige Informationen“ nach deren Herkunft oder Verwendung: Informationen sind zu schützen und zu sichern, die von der ESA herausgegeben, der ESA von einem ESA-Mitgliedstaat zur Verfügung gestellt (Z 1 lit. a) oder die von einem ESA-Mitgliedstaat einem anderen zur Unterstützung einer ESA-Aktivität zur Verfügung gestellt werden (Z 1 lit. b). Z 2 bis 4 betreffen die Beibehaltung des Schutzniveaus, die zweckbestimmte Verwendung und die Zustimmung des Herausgebers einer Information als Voraussetzung für deren Weitergabe.

Ein ergänzender gesetzlicher Regelungsbedarf zur Umsetzung des ESA-Sicherheitsübereinkommens in Österreich (vgl. dazu auch Allgemeiner Teil) ergibt sich insbesondere im Hinblick auf die in den ESA-Sicherheitsbestimmungen (Teil I Z 46 ff.) angesprochene industrielle Sicherheit. So bestimmt Z 46, dass alle Einrichtungen, die an wirtschaftlichen Aktivitäten teilnehmen, die mit einem Zugang zu als ESA CONFIDENTIAL oder darüber klassifizierten Informationen verbunden sind, über eine „Facility Security Clearance“ verfügen müssen. Für die Ausstellung solcher Bescheinigungen ist in der österreichischen Rechtsordnung noch eine Grundlage zu schaffen.

Zu Art. 3:

Art. 3 ist eine Auslegungsnorm, die auf ein gemeinsames Schutzniveau für geheimhaltungsbedürftige Informationen abzielt.

Zu Art. 4:

Abs. 1 sieht Sicherheitsüberprüfungen für Personen vor, die in Ausübung ihrer amtlichen Tätigkeit („conduct of their official duties“) Zugang zu geheimhaltungsbedürftigen Informationen benötigen. Sicherheitsüberprüfungen sind in Österreich in den §§ 55 bis 55b des Bundesgesetzes über die Organisation der Sicherheitsverwaltung und die Ausübung der Sicherheitspolizei (Sicherheitspolizeigesetz - SPG), BGBl. Nr. 566/1991 idgF, vorgesehen, vgl. aber auch die Verlässlichkeitsprüfungen gemäß den §§ 23 und 24 des Bundesgesetzes über Aufgaben und Befugnisse im Rahmen der militärischen Landesverteidigung (Militärbefugnisgesetz - MBG), BGBl. I Nr. 86/2000 idgF.

Abs. 2 bestimmt, dass nur solchen Personen Zugang zu geheimhaltungsbedürftigen Informationen gegeben werden darf, die zur Erfüllung ihrer Aufgaben oder Aufträge (von diesen Informationen) Kenntnis haben müssen. Dieses „need to know“-Prinzip kommt auch in § 3 Abs. 1 Z 1 lit. a und Z 2 lit. a InfoSiG zum Ausdruck.

Die in Abs. 4 und Art. 6 Abs. 2 vorgesehene internationale Zusammenarbeit findet im Wege der gemäß den ESA-Sicherheitsbestimmungen (Teil I Z 2) vorzusehenden „National Security Authority“ statt. Es ist beabsichtigt, die durch § 8 InfoSiG errichtete Informationssicherheitskommission auch für die Zwecke des ESA-Sicherheitsübereinkommens als „National Security Authority“ zu notifizieren.

Zu Art. 5:

Art. 5 betrifft die Anwendung des Übereinkommens innerhalb der ESA.

Zu Art. 6:

Abs. 1 verpflichtet die Vertragsparteien, Fälle der Preisgabe und des Verlustes von geheimhaltungsbedürftigen Informationen zu untersuchen. Innerstaatlich trifft diese Verpflichtung – unvorgreiflich einer weiteren gesetzlichen Regelung – primär den Informationssicherheitsbeauftragten des sachlich zuständigen Bundesministeriums (§ 7 InfoSiG).

Zu Art. 7:

Art. 7 verpflichtet die ESA-Mitgliedstaaten, den ESA-Rat und den ESA-Generaldirektor im Einklang mit verschiedenen Bestimmungen des ESA-Übereinkommens, BGBl. Nr. 95/1987, zur Aufhebung der Immunität, wenn es sich um Gerichtsverfahren über die unbefugte Preisgabe geheimhaltungsbedürftiger Informationen handelt.

Zu Art. 8:

Art. 8 stellt klar, dass das Übereinkommen die Vertragsparteien nicht daran hindert, andere, den Anwendungsbereich des Übereinkommens nicht berührende Übereinkünfte über den Austausch von geheimhaltungsbedürftigen Informationen, deren Herausgeber sie sind, zu schließen

Zu Art. 9 bis 13:

Diese Artikel enthalten die üblichen Schlussklauseln und betreffen Änderungen des Übereinkommens (Art. 9), dessen Unterzeichnung und Inkrafttreten (Art. 10), Beitritte (Art. 11), die Kündigung (Art. 12) und die Aufgaben des Depositärs (Frankreich, Art. 13).

ANLAGEN

Anlage 1: ESA Security Regulations – Part I and II, englische Sprachfassung

Anlage 2: Sicherheitsvorschriften der ESA – Teil I und II, Übersetzung ins Deutsche

Anlage 1 Teil I der Erläuterungen

ESA SECURITY REGULATIONS PART I

BASIC PRINCIPLES AND MINIMUM STANDARDS FOR THE PROTECTION OF CLASSIFIED INFORMATION PRODUCED AND TRANSMITTED IN CONNECTION WITH ESA ACTIVITIES

INTRODUCTION

1. These provisions lay down the basic principles and minimum standards of security to be applied by the European Space Agency (hereinafter called “ESA”) and by the Member States so that ESA classified information is safeguarded from loss of confidentiality, integrity and availability. Security programmes shall be established to meet these basic principles and standards throughout ESA and its Member States to ensure a common degree of protection in accordance with article 3 of the ESA Security Agreement.

2. ESA Security has the following principal objectives:

(a) to safeguard ESA classified information from espionage, compromise or unauthorised disclosure;

(b) to safeguard ESA classified information handled in communications and information systems and networks, against threats to its integrity and availability;

(d) in the event of failure, to assess the damage caused, limit its consequences and adopt the necessary remedial measures.

3. The foundations of sound security are:

(a) within each Member State, a National Security Authority (NSA)/Designated Security Authority (DSA) which is responsible for ensuring that a security determination of eligibility has been made in respect of all nationals who are required to have access to information classified ESA CONFIDENTIAL and above.

(b) within each Member State, a national security structure responsible for:

(i) the collection and recording of intelligence on espionage, sabotage, terrorism and other subversive activities, and

(ii) information and advice to its government, and through it, to the ESA Council, on the nature of the threats to security and the means of protection against them;

(c) within each Member State, and within ESA, a technical INFOSEC authority responsible for working with the security authority concerned to provide information and advice on technical threats to security and the means for protection against them;

(d) regular collaboration among government departments, agencies and the appropriate ESA services, in order to establish, and recommend, as appropriate:

(i) what information, resources and installations need to be protected, and

(ii) common standards of protection.

4. Where confidentiality is concerned, care and experience are needed in the selection of information and material to be protected and the assessment of the degree of protection it requires. It is fundamental that the degree of protection corresponds with the security classification of the individual piece of information and material to be protected. In order to ensure the smooth flow of information, steps shall be taken in order to avoid over classification. The classification system is the instrument for giving effect to these principles. The same system of classification should be followed in planning and organising ways to counter espionage, sabotage, terrorism and other threats so that the greatest measure of protection is given to the most important premises housing ESA classified information and to the most sensitive points within them.

Classification management

5. Levels of classification

Information is classified at the following levels:

ESA TOP SECRET (ESA TS): this classification shall be applied only to information and material the unauthorised disclosure of which could cause exceptionally grave prejudice to the essential interests of ESA and/or of one or more of its Member States.

ESA SECRET (ESA S): this classification shall be applied only to information and material the unauthorised disclosure of which could seriously harm the essential interests of ESA and/or of one or more of its Member States.

ESA CONFIDENTIAL (ESA C): this classification shall be applied to information and material the unauthorised disclosure of which could harm the essential interests of ESA and/or of one or more of its Member States.

ESA RESTRICTED (ESA R): this classification shall be applied to information and material the unauthorised disclosure of which could be disadvantageous to the interests of ESA and/or of one or more of its Member States.

6. Information shall be classified only when necessary. The classification shall be clearly and correctly indicated, and shall be maintained only as long as the information requires protection.

7. The responsibility for classifying information rests solely with the originator. ESA classified documents may be downgraded or declassified only with the prior written consent of the originator and, if necessary, after discussion with other interested parties.

BASIC PRINCIPLES

8. The security measures shall:

(a) extend to all persons having access to ESA classified information, classified information-carrying media, all premises containing such information and important installations;

(b) be designed to detect persons whose position might endanger the security of classified information and important installations housing ESA classified information and provide for their exclusion or removal;

(c) prevent any unauthorised person from having access to ESA classified information or to installations which contain it;

(d) ensure that ESA classified information is disseminated solely on the basis of the need-to-know principle which is fundamental to all aspects of security;

(e) ensure the integrity (i.e. prevention of corruption or unauthorised alteration or unauthorised deletion) and the availability (i.e. access is not denied to those needing and authorised to have access) of all ESA classified information, and especially of such information stored, processed or transmitted in electromagnetic form.

ORGANISATION OF SECURITY

9. The ESA Director General and each Member State shall ensure that common minimum standards of security are observed by all national bodies, by ESA headquarters, establishments and facilities, and by contractors so that ESA classified information can be passed in the confidence that it will be handled with equal care. Such minimum standards shall include criteria for the clearance of personnel, and procedures for the protection of ESA classified information.

10. In particular, for ESA the Director General shall:

(a) implement the ESA Security Regulations;

(b) consider security problems referred to him by the ESA Headquarters, establishments and facilities;

(c) examine questions involving changes in the ESA Security Regulations, in close liaison with the NSA/DSA or any national competent authority of the Member States.

11. A Security Committee is set up by the ESA Council. It should include delegates of the Member States also representing the appropriate national security authorities. It is chaired by a chairman and a vice-chairman elected from Member States representatives. The Security Committee advises the ESA Council on all issues of security within the framework of its terms of reference.

12. In order to fulfil the above-mentioned responsibilities, the ESA Director General shall have the ESA Security Office at his disposal. The Head of the ESA Security Office shall be responsible for coordinating, supervising and implementing security measures including security of IT systems and networks.

13. In each Member State a NSA/DSA responsible for the security of ESA classified information should be designated. This NSA/DSA should, in particular be responsible for:

(a) the maintenance of the security of ESA classified information held by any national body or entity at home or abroad;

(b) authorising the establishment of an ESA TOP SECRET central registry;

(d) ensuring that all persons employed within national bodies who in the conduct of their official duties require access or whose duties or function may afford access to ESA information classified ESA TOP SECRET, ESA SECRET and ESA CONFIDENTIAL are appropriately security cleared before they are granted access to such information.

(e) devising such security plans as are considered necessary to prevent ESA classified information from falling into the hands of unauthorised persons.

14. Periodic inspections of the security arrangements for the protection of ESA classified information in ESA shall be carried out by the ESA Security Office and by the NSA/DSA concerned, jointly and in mutual agreement.

SECURITY OF PERSONNEL

Clearance of personnel

15. Access to ESA classified information will be authorised only for persons having a “need-to-know” for carrying out their duties or missions. The responsibility for determining the “need-to-know” will rest with the ESA Director General, the Head of ESA headquarters, establishments or facilities and with the national body in which the person concerned is to be employed, according to the requirements of the task.

16. All persons who in the conduct of their official duties require access or whose duties or functions may afford access to information classified ESA CONFIDENTIAL or above, shall be appropriately security cleared before they are granted access to such information. Similar clearance shall be required in the case of persons whose duties involve the technical operation or maintenance of communication and information systems containing classified information.

This clearance shall be designed to determine in particular whether such individuals:

(a) are of unquestioned loyalty;

(b) are of such character and discretion as to cast no doubt upon their integrity in the handling of ESA classified information; or

(c) may be vulnerable to pressure from foreign or other sources, e.g. due to former residence or past associations which might constitute a risk to security.

17. Particularly close scrutiny in the clearance procedures shall be given to persons:

(a) to be granted access to ESA TOP SECRET information;

(b) occupying positions involving regular access to a considerable volume of ESA SECRET information;

(c) whose duties give them special access to mission-critical communication or information systems and thus the opportunity to gain unauthorised access to large amounts of ESA classified information or to inflict serious damage upon the mission through acts of technical sabotage.

In the circumstances outlined in subparagraphs (a), (b) and (c), the fullest practicable use shall be made of the technique of background investigation.

18. The security clearance procedure shall be carried out at the request of the appointing authority by the NSA/DSA or any national competent authorities of the Member State of which the person is a national. Should the person concerned reside in the territory of another Member State, the national authorities concerned may secure the cooperation of the authorities of the State of residence. When the person is not a national of a Member State, it is the responsibility of the NSA/DSA or national competent authority of the Member State where this person works and/or resides to carry out the security clearance procedure.

19. The appointing authority shall specify in its request the type and level of ESA classified information to be made available to the person concerned, so that the NSA/DSA or national competent authorities can carry out the security clearance procedure and give their opinion as to the level of clearance it would be appropriate to grant to that person.

20. The whole security clearance procedure together with the results obtained shall be subject to the relevant rules and regulations in force in the Member State concerned, including those concerning appeals.

21. Exceptionally, pending the outcome of the security clearance procedure, the ESA Director General may, with the agreement of the NSA/DSA or national competent authority, grant temporary access authorisation for information classified up to and including ESA SECRET only, for a period not exceeding six months, to an ESA staff member.

Records of personnel security clearances

22. National bodies, ESA headquarters, establishments and facilities, or contractors handling ESA classified information or housing mission-critical communication or information systems shall maintain a record of the clearances granted to the persons assigned thereto. Each clearance shall be verified as the occasion demands to ensure that it is adequate for that person’s current assignment; it shall be re-examined as a matter of priority whenever new information is received indicating that continued assignment on classified work is no longer consistent with the interests of security. The record of clearances shall be held by the head of security for the national body, ESA headquarters, establishment and facility, or contractor concerned.

Security instruction of personnel

23. All persons employed in positions where they could have access to classified information shall be thoroughly instructed on taking up assignment and at regular intervals in the need for security and the procedures for accomplishing it. All such persons should certify in writing that they fully understand the security regulations relevant to their assignment.

Management responsibilities

24. Managers shall have the duty of knowing those of their staff who are engaged in classified work or who have access to mission-critical communication or information systems and of recording and reporting any incidents or apparent vulnerabilities, likely to have a bearing on security.

Security status of personnel

25. Procedures shall be established to ensure that, when adverse information becomes known concerning a person, it is determined whether the person is employed on classified work or has access to mission-critical communication or information systems, and the authority concerned informed. If it is established that such a person constitutes a security risk, he or she shall be barred or removed from assignments where he or she might endanger security.

ESA TOP SECRET REGISTRIES

26. The purpose of ESA TOP SECRET registries is to ensure the recording, handling and distribution of ESA TOP SECRET documents in accordance with the ESA Security Regulations.

27. Central registries will act as the main receiving and despatching authority in Member States and in the ESA Headquarters, in which such registries have been set up.

BREACHES OF SECURITY AND COMPROMISE OF ESA CLASSIFIED INFORMATION

28. A breach of security occurs as the result of an act or omission contrary to an ESA or national security regulation, which might endanger or compromise ESA classified information.

29. Compromise of ESA classified information occurs when it has wholly or in part fallen into the hands of unauthorised persons, i.e. who do not have either the appropriate security clearance or the necessary need-to-know or if there is the likelihood of such an event having occurred.

30. ESA classified information may be compromised as a result of carelessness, negligence or indiscretion as well as by the activities of services which target ESA or its Member States, as regards ESA classified information and activities, or by subversive organisations.

31. It shall be the duty of each security authority, as soon as it is notified that such a breach of security may have occurred, to report the fact immediately to the ESA Security Office.

32. Any individual who is responsible for compromising ESA classified information shall be liable to disciplinary action according to the relevant rules and regulations. Such action shall be without prejudice to any other legal action. ESA staff members shall be informed about the possible legal consequences of breaches of security and in particular about Article 7 of the ESA Security Agreement on the possible waiver of immunity.

PHYSICAL SECURITY

Need for protection

33. The degree of physical security measures to be applied to ensure the protection of ESA classified information shall be proportional to the classification, volume of and threat to the information and material held. Therefore care shall be taken to avoid both over- and under-classification, and classification shall be subject to regular review. All holders of ESA classified information shall follow uniform practices regarding classification of that information and meet common standards of protection regarding custody, transmission and disposal of information and material requiring protection.

Checking

34. Before leaving areas containing ESA classified information unattended, persons having custody thereof shall ensure that it is securely stored and that all security devices have been activated (locks, alarms, etc.). Further independent checks shall be carried out after working hours.

Security of buildings

35. Buildings housing ESA classified information or mission-critical communication and information systems shall be protected against unauthorised access. The nature of the protection afforded to ESA classified information, e.g. barring of windows, locks for doors, guards at entrances, automated access control systems, security checks and patrols, alarm systems, intrusion detection systems and guard dogs, shall depend on:

(a) the classification, volume and location within the building of the information and material to be protected;

(b) the quality of the security containers for this information and material;

36. The nature of the protection afforded to communication and information systems shall similarly depend upon an assessment of the value of the assets at stake and of the potential damage if security were compromised, upon the physical nature and location of the building in which the system is housed, and upon the location of the system within the building.

Contingency plans

37. Detailed plans shall be prepared in advance for the protection of ESA classified information during a local or national emergency.

INFORMATION SECURITY (INFOSEC)

System Security Principles and Procedures

38. All communications, information systems and networks (hereinafter SYSTEMS) handling ESA classified information require security measures to protect the confidentiality, integrity and availability of that information. The security measures to be applied to those systems will be determined by the appropriate Security Accreditation Authority (SAA) and will be commensurate with the assessed risk and consistent with the policy stated in the ESA Security Regulations.

39. A balanced set of security measures shall be identified and implemented to create a secure environment in which a SYSTEM operates. The fields of application of those measures concern physical elements, personnel, non-technical procedures, computer and communications operating procedures.

40. All SYSTEMS handling information classified ESA CONFIDENTIAL and above shall be accredited.

41. There shall be a Security Accreditation Authority (SAA) responsible for ensuring the compliance of SYSTEMS with the ESA Security Regulations.

42. For SYSTEMS belonging to ESA, the SAA shall be:

- for a SYSTEM used by ESA headquarters, establishments and facilities:

· if the SYSTEM is not connected with a national information system and does not use or process national classified information, the accreditation process is an internal process;

· otherwise, a panel staffed by ESA and the appropriate NSA/DSA (of Member States concerned by interconnection or national classification) conducts the accreditation process and validates accreditation statements.

- for SYSTEMS used by national bodies or contractors, the NSA/DSA of the Member State where the SYSTEM is deployed. In such a case the NSA/DSA conducts the accreditation process and validates accreditation statements.

43. For all SYSTEMS handling information classified ESA CONFIDENTIAL and above, a SYSTEM-Specific Security Requirement Statement (SSRS) shall be approved by the SAA.

44. Users of the SYSTEM shall be cleared and have a need-to-know, as appropriate for the classification and content of the information handled within their particular SYSTEM. Access to certain equipment (e.g. cryptographic) or information specific to security of SYSTEMS will require a special clearance issued by the relevant NSA/DSA.

COUNTER-SABOTAGE AND OTHER FORMS OF MALICIOUS WILFUL DAMAGE

45. Physical precautions for the protection of important installations housing classified information are the best protective security safeguards against sabotage and malicious wilful damage, and clearance of personnel alone is not an effective substitute.

INDUSTRIAL SECURITY

46. All entities participating in industrial activities, which involve access to information classified ESA CONFIDENTIAL and above must hold a Facility Security Clearance (FSC).

47. In respect of all contracts classified ESA CONFIDENTIAL and above, the prime contractor shall notify the NSA/DSA of the nation in which the entity that has been awarded the contract is located or incorporated, that a Security Aspect Letter (SAL) has been provided to that entity together with the contract.

48. The prime contractor shall be contractually required, under penalty of termination of their contract, to take all measures prescribed by ESA and/or NSAs/DSAs respectively for safeguarding all ESA classified information generated by or entrusted to the contractor, or embodied in articles manufactured by the contractor.

49. The prime contract shall contain a Programme Security Instruction (PSI) as an annex. A “Programme Security Classification Guide” shall be a part of the PSI. All other ESA classified contracts shall include, as a minimum, a “Security Aspect Letter” (SAL). In the latter case, the Programme/Project Security Classification Guide may be referred to as a “Security Classification Checklist”. The PSI and/or SAL shall be the single source document for the security of the contract.

50. The prime contractor may negotiate subcontracts with other contractors, i.e., subcontractors. These subcontractors may also negotiate subcontracts with other subcontractors. The prime contractor will be responsible for all subcontracting activities.

51. All contractors, shall, for contracts classified ESA CONFIDENTIAL and above, always hold an FSC and shall ensure that their representatives involved in the negotiations hold appropriate PSC and only receive access to ESA classified information needed for the negotiation of the contract. For contracts classified ESA RESTRICTED, a FSC is not required unless specifically required by national security rules and regulations.

52. Applications for the security clearance for personnel of contractor facilities shall be made to the NSA/DSA, which is responsible for the facility. In submitting the request for verification or initiation of a PSC, the facility shall include:

(a) the identity and security classification of the contract or subcontract, and

(b) the level of ESA classified information to which the person concerned will have access.

53. If an entity wishes to employ a national of a non-ESA Member State in a position that requires access to ESA classified information, it is the responsibility of the NSA/DSA of the Member State in which the hiring facility is located and incorporated, to carry out the security clearance procedure prescribed herein, and determine that the person can be granted access in accordance with the provisions of the ESA Security Regulations, in particular paragraph 8 of Part I.

EXCHANGE OF CLASSIFIED INFORMATION BETWEEN ESA AND THIRD STATES OR INTERNATIONAL ORGANISATIONS

54. The exchange of ESA classified information with third States, international organisations or with other third parties shall be decided by the ESA Council.

55. Once the ESA Council has decided that there is a permanent or long-term or occasional need for the exchange of classified information between ESA and third States or other international organisations, the ESA Director General shall negotiate agreements on security procedures for the exchange of classified information or memoranda of understanding with them, defining the purpose of cooperation and the reciprocal rules on the protection of the information exchanged.

56. Draft agreements on security procedures or memoranda of understanding will be approved by the Security Committee before they are presented to the ESA Council for a decision.

57. The implementation of the release procedures of ESA classified information originating in ESA to a third State or an international organisation, shall rest with the Director General. If the originator of the information for which release is desired is not ESA, the Director General shall first seek the originator’s prior written consent to release it. If the originator cannot be established, the appropriate ESA Board or Committee will assume the former’s responsibility.

ANNEX

58. A comparative table of ESA and Member States’ security gradings may be found in the Annex.

GLOSSARY OF TERMS

Accreditation: means the process, which confirms that a system will operate under the security conditions specified in the SYSTEM-Specific Security Requirement Statement (SSRS) or other relevant document and does not present an unacceptable risk.

Appointing authority: means the authority, which is competent to appoint a person and to request the security clearance.

Availability: means that the information and material is accessible and usable upon demand by an authorised individual or entity.

Competent authority: means an authority identified by the NSA of a Member State which is authorised to carry out personnel security clearances in order to give their nationals access to ESA classified information.

Contractor: means a legal person or body that agrees to supply goods or services whether as prime or single contractor or as subcontractor.

Designated Security Authority: means an authority responsible to the National Security Authority (NSA) of a Member State which is responsible inter alia for communicating to industry the national policy in all matters of ESA industrial security policy and for providing direction and assistance in its implementation. In some countries, the function of a DSA may be carried out by the NSA.

Entity: means any legal person or body.

ESA classified information: means any information, document or material in whatever form whose unauthorised disclosure could damage the interests of one or more of the Parties to the ESA Security Agreement and which has been so designated by a security classification whether this information is originated by ESA or is submitted to ESA by a Member State or is submitted by a Member State to another Member State in support of an ESA programme, project or contract.

ESA Personnel Security Clearance: means a determination that an individual is eligible to have access to ESA classified information.

ESA Security Agreement: means the Agreement between the State Parties to the Convention for the establishment of a European Space Agency and the European Space Agency for the protection and exchange of classified information approved by the ESA Council on 13 June 2002.

ESA Staff Member: means a person appointed pursuant to Article XII.3 of the ESA Convention and whose terms of employment are governed by the ESA Staff Regulations, Rules and Instructions.

Facility Security Clearance: means an administrative determination by a NSA/DSA that, from a security point of view, a facility can afford adequate security protection to ESA classified information of a specified classification or below, and its personnel who require access to ESA classified information have been properly cleared and briefed on ESA security requirements necessary to perform on the ESA classified contracts.

INFOSEC: means the application of security measures to protect information processed, stored or transmitted in communication, information an other electronic systems against loss of confidentiality, integrity or availability, whether accidental or intentional, and to prevent loss of integrity or availability of systems themselves.

Notes.

1. INFOSEC measures include those of computer transmission, emission and cryptographic security.

2. Such measures also include detection, documentation and countering of threats to information and to the systems.

Member State: refers to a State which is Party to the Convention of the European Space Agency in accordance with Articles XX and XXII of the said Convention.

National body: means any administrative and/or government department, office, service, agency or establishment of a Member State.

National Security Authority: means an authority of a Member State, which is responsible for the maintenance of security of ESA classified information in national bodies at home or abroad.

Principle of need-to-know: means the principle according to which a positive determination is made that a prospective recipient has a requirement for access to, knowledge of, or possession on information in order to perform official tasks or services.

Programme Security Classification Guide: means part of the programme security instruction (PSI), which identifies the elements of the programme that are classified, specifying the security classification levels. The security classification guide may be expanded throughout the programme life cycle, and the elements of information may be re-classified or downgraded.

Programme Security Instruction: means a compilation of security regulations/procedures, which are applied to a specified programme in order to standardise security procedures. The PSI also constitutes an Annex to the main contract, and may be revised throughout the programme lifecycle. For sub-contracts let within the programme, the PSI constitutes the basis for the Security Aspects Letter.

Security Aspect Letter: means a document, issued by the appropriate authority, as part of any ESA classified contract or sub-contract, identifying requirements or those elements thereof requiring security protection.

Anlage 1 Teil II der Erläuterungen

ESA SECURITY REGULATIONS PART II

SECTION I

THE ORGANISATION OF SECURITY IN THE EUROPEAN SPACE AGENCY

The Director General

1. The Director General shall in consultation with the ESA Security Committee as defined in paragraphs 3 and 4 below:

(a) implement the ESA security regulations;

(b) consider security problems referred to him by the ESA Headquarters, establishments and facilities ;

(c) examine questions involving changes in the ESA Security Regulations, in close liaison with the National Security Authority/Designated Security Authority (NSA/DSA) or any national competent authority of the Member States.

2. In particular, the Director General shall be responsible for:

(a) Coordinating all matters of security relating to ESA activities;

(b) Accomplishing the necessary actions in order to establish a Central ESA TOP SECRET registry to be set up in ESA Headquarters, establishments and facilities;

(c) Addressing to the competent authorities of the Member States requests for the NSA to provide security clearances for ESA Staff members and ESA experts in accordance with Section VI;

(d) Investigating or ordering an investigation into any leakage of ESA classified information which, on prima facie evidence, has occurred in ESA Headquarters, establishments or facilities;

(e) Requesting the appropriate security authorities to initiate investigations when a leakage of ESA classified information appears to have occurred outside ESA Headquarters, establishments or facilities, and coordinating the enquiries when more than one security authority is involved;

(f) Carrying out jointly and in agreement with the NSA concerned, periodic reviews of the security arrangements for the protection of ESA classified information in the Member States;

(g) Maintaining close liaison with all security authorities concerned in order to achieve overall coordination of security;

(h) Keeping the ESA security regulations and procedures constantly under review and, as required, preparing appropriate recommendations. In this regard, he shall present to the ESA Council the annual inspection plan prepared by the ESA Security Office.

The Security Committee

3. A Security Committee has been set up by the ESA Council Resolution (ESA/C/R/CLIX/Res.1(Final)) on 13 June 2002. This Committee should include delegates of the Member States also representing the appropriate national security authorities accompanied by such advisors as may be required. The Security Committee is chaired by a Chairman and a Vice-Chairman elected from Member States representatives.

4. The Security Committee shall, in accordance with its terms of reference, advise the ESA Council and the Director General on all issues relating to security and prepare and recommend to Council for approval decisions in this respect.

The ESA Security Office

5. In order to fulfil the responsibilities mentioned in paragraphs 1 and 2, the Director General shall have the ESA Security Office at his disposal for coordinating, supervising and implementing security measures.

6. The Head of the ESA Security Office shall advise the Director General on security matters and shall act as secretary to the Security Committee. In this regard he/she shall direct the updating of the security regulations and coordinate security measures with the competent authorities of the Member States and, as appropriate, with international organisations linked to ESA by security agreements. To that effect, he/she shall act as a liaison officer.

7. The Head of the ESA Security Office shall be responsible for the accreditation of IT systems and networks within ESA. The Head of the ESA Security Office and the relevant NSA shall jointly decide, where appropriate, on the accreditation of IT systems and networks involving ESA Headquarters establishments and facilities on the one hand and on the other hand any other recipient of ESA classified information.

ESA headquarters, establishments and facilities

8. The Site management department shall be responsible under guidance of the ESA Security Office for the implementation of physical security measures within ESA Headquarters, establishments and facilities. The Head of the Site Management Department will nominate a member of his/her staff as being responsible to him/her in this field. This staff member is designated as a Site Security Officer.

Member States

9. Each Member State should designate a NSA responsible for the security of ESA classified information.

10. In the framework of each Member State administration, the corresponding NSA should be responsible for:

(a) the maintenance of the security of ESA classified information held by any national body or entity at home or abroad;

(b) authorising the establishment of ESA TOP SECRET registries (this authority may be delegated to the ESA TOP SECRET Control Officer of a Central Registry);

(d) ensuring that all persons within a national body who in the conduct of their official duties require access or whose duties or function may afford access to ESA information classified ESA TOP SECRET, ESA SECRET and ESA CONFIDENTIAL are appropriately security cleared before they are granted access to such information;

(e) devising such security plans as are considered necessary to prevent ESA classified information from falling into the hands of unauthorised persons.

Mutual security inspections

11. Periodic inspections of the security arrangements for the protection of ESA classified information in ESA shall be carried out by the ESA Security Office and by the NSAs concerned, jointly and in mutual agreement.

SECTION II

CLASSIFICATIONS AND MARKINGS

LEVELS OF CLASSIFICATION

Information is classified at the following levels:

1. ESA TOP SECRET (ESA TS): this classification shall be applied only to information and material the unauthorised disclosure of which could cause exceptionally grave prejudice to the essential interests of ESA and/or of one or more of its Member States.

2. ESA SECRET (ESA S): this classification shall be applied only to information and material the unauthorised disclosure of which could seriously harm the essential interests of ESA and/or of one or more of its Member States.

3. ESA CONFIDENTIAL (ESA C): this classification shall be applied to information and material the unauthorised disclosure of which could harm the essential interests of ESA and/or of one or more of its Member States.

4. ESA RESTRICTED (ESA R): this classification shall be applied to information and material the unauthorised disclosure of which could be disadvantageous to the interests of ESA and/or of one or more of its Member States.

MARKINGS

5. A caveat marking may be used to specify the field covered by the document or a particular distribution on a need-to-know basis.

6. Some documents, namely related to Information Technology (IT) Systems may bear an additional marking entailing supplementary security measures as defined in the appropriate regulations and in Section XI of these regulations.

AFFIXING OF CLASSIFICATION AND MARKINGS

7. Classification and markings shall be applied as follows:

(a) On ESA RESTRICTED documents, by mechanical or electronic means,

(b) On ESA CONFIDENTIAL documents, by mechanical means and by hand or by printing on pre-stamped, registered paper,

SECTION III

CLASSIFICATION MANAGEMENT

1. Information shall be classified only when necessary. The classification shall be clearly and correctly indicated, and shall be maintained only as long as the information requires protection.

2. The responsibility for classifying information and for any subsequent downgrading or declassification rests solely with the originator. Where ESA is the originator, ESA Staff members shall classify, downgrade or declassify information only on instruction from or with the agreement of their Director or Head of Department, as appropriate.

3. The number of persons authorised to originate ESA TOP SECRET documents shall be kept to a minimum, and their names kept on a list drawn up by the Director General and each Member State.

APPLICATION OF CLASSIFICATIONS

4. The classification of a document shall be determined by the level of sensitivity of its contents in accordance with the definition at Section II, paragraphs 1 to 4. It is important that classification is correctly and sparingly used. This applies especially to ESA TOP SECRET classification.

5. The originator of a document to be classified shall bear in mind the provisions set out above and curb any tendency to over- or under-classify. Although a high classification may, at first sight, appear to guarantee more protection to a document, routine over-classification can result in a loss of confidence in the validity of the classification system. On the other hand, documents shall not be under-classified with a view to avoiding the constraints connected with protection.

6. Individual pages, paragraphs, sections, annexes, appendices, attachments and enclosures of a given document may require different classifications and shall be marked accordingly. The classification of the document as a whole shall be at least that of its most highly classified part.

7. The classification of a letter or note covering enclosures shall be as high as the highest classification of its enclosures. The originator should indicate clearly at which level it should be classified when detached from its enclosures.

DOWNGRADING AND DECLASSIFICATION

8. ESA classified documents may be downgraded or declassified only with the prior approval of the originator and, if necessary, after discussion with other interested parties. Downgrading or declassification shall be confirmed in writing. The originator shall be responsible for informing its addressees of the change, and they in turn shall be responsible for informing any subsequent addressees, to whom they have sent or copied the document, of the change.

9. If possible, originators shall specify on classified documents a date or period when the contents may be downgraded or declassified. Otherwise, they shall keep the documents under review every five years, at the latest, in order to ensure that the original classification is necessary.

SECTION IV

PHYSICAL SECURITY

GENERAL

1. The main objective of physical security measures is to prevent an unauthorised person from gaining access to ESA classified information and/or material.

2. Complementary measures shall be taken by the Site Management Department in close liaison with the Head of the Security Office where the provisions described in this section must be reinforced in order to cover the planned activities of ESA (e.g. testing and launching related activities).

SECURITY REQUIREMENTS

3. All premises, areas, buildings, offices, rooms, communication and information systems, etc. in which ESA classified information and material is stored and/or handled shall be protected by appropriate physical security measures.

4. In deciding what degree of physical security protection is necessary, account shall be taken of all relevant factors such as:

(a) the classification of information and/or material;

(b) the amount and form (for example hard copy, computer storage media) of the information held;

(c) the locally assessed threat to ESA, the Member States, and/or other institutions or third parties holding ESA classified information from, namely, sabotage, terrorism, espionage and other subversive and/or criminal activities. This threat assessment shall be undertaken by the ESA Security Office with the assistance of the Site Management Department and in close liaison with the competent national security authority where the ESA Headquarters, establishment or facility is located.

5. The physical security measures applied shall be designed to:

(a) Deny surreptitious or forced entry by an intruder;

(b) Deter, impede and detect actions by disloyal ESA Staff members or ESA experts (the spy within);

(c) Prevent those ESA Staff members or ESA experts, persons working for national bodies and/or for third parties who do not have a need-to-know from having access to ESA classified information.

PHYSICAL SECURITY MEASURES

Security areas

6. Areas where information classified ESA CONFIDENTIAL or higher is handled and stored shall be so organised and structured as to correspond to one of the following:

(a) Class I security area: an area where ESA CONFIDENTIAL or above is handled and stored in such a way that entry into the area constitutes, for all practical purposes, access to classified information.

Such an area requires:

(i) a clearly defined and protected perimeter through which all entry and exit is controlled;

(ii) an entry control system, which admits only those duly cleared and specially authorised to enter the area;

(iii) specification of the classification of the information normally held in the area, i.e. the information to which entry gives access.

For persons who do not work in such areas, provisions shall be made for escorts or equivalent controls to prevent unauthorised access to ESA classified information and uncontrolled entry to areas subject to technical security inspections.

(b) Class II security area: an area where ESA CONFIDENTIAL or above is handled and stored in such a way that it can be protected from access by unauthorised persons by means of internally established controls, e.g. premises containing offices in which ESA CONFIDENTIAL or above is regularly handled and stored. Such an area requires:

(i) a clearly defined and protected perimeter through which all entry and exit is controlled;

(ii) an entry control system which allows unescorted access only to those persons duly cleared and specially authorised to enter the area. For all other persons, provision shall be made for escorts or equivalent controls, to prevent unauthorised access to ESA classified information and uncontrolled entry to areas subject to technical security inspections.

Areas not occupied by duty personnel on a 24-hour basis shall be inspected immediately after normal working hours to ensure that ESA classified information is properly secured.

Administrative area

7. Around or leading up to Class I or Class II security areas, an administrative area of lesser security may be established. Such an area requires a visibly defined perimeter allowing personnel and vehicles to be checked. Only ESA RESTRICTED information shall be handled and stored in such areas.

Entry and exit controls

8. Entry and exit into and from Class I and Class II security areas shall be controlled by a pass or personal recognition system. Pass systems may be supported by automated identification, which shall be regarded as a supplement to, but not a total replacement, for guards.

9. A system of visitor checks designed to deny unauthorised access to ESA classified information shall also be established. A change in the threat assessment may entail a strengthening of the entry and exit control measures, for example during the visit of prominent persons.

Guard patrols

10. Patrols of Class I and Class II security areas shall take place outside normal working hours to protect ESA assets against compromise, damage or loss. The frequency of patrols will be determined by local circumstances but shall be conducted randomly.

Security containers and strong rooms

11. Three classes of containers shall be used for the storage of ESA classified information:

- Class A: containers nationally approved for storage of ESA TOP SECRET information within a Class I or a Class II security area;

- Class B: containers nationally approved for storage of ESA SECRET and ESA CONFIDENTIAL information within a Class I or a Class II security area;

- Class C: office furniture suitable for storage of ESA RESTRICTED information only.

12. For strong rooms constructed within a Class I or a Class II security area and for all Class I security areas where information classified ESA CONFIDENTIAL and higher is stored on open shelves or displayed on charts, maps, etc., the walls, floors and ceilings, door(s) with lock(s) shall be certified by the host NSA/DSA as offering equivalent protection to the class of security container approved for the storage of information of the same classification.

Locks

13. Locks used with security containers and strong rooms in which ESA classified information is stored shall meet the following standards:

- Group A: nationally approved for Class A containers;

- Group B: nationally approved for Class B containers;

- Group C: suitable for Class C office furniture only.

Control of keys and combinations

14. Keys of security containers shall not be taken out of the office building. Combination settings of security containers shall be committed to memory by persons needing to know them. For use in an emergency, the Site Security Officer or the Head of the ESA establishment or facility shall be responsible for holding spare keys and a written record of each combination setting; the latter shall be held in separate sealed opaque envelopes. Working keys, spare security keys and combination settings shall be kept in separate security containers. These keys and combination settings should be given security protection no less stringent than the material to which they give access.

15. Knowledge of the combination settings of security containers shall be restricted to as few people as practicable. Combinations shall be reset:

(a) on receipt of a new container;

(b) whenever a change of personnel occurs;

(d) at intervals of preferably six months and at least every 12 months.

Intrusion detection devices

16. When alarm systems, closed circuit television and other electrical devices are used to protect ESA classified information, an emergency electrical supply shall be available to ensure the continuous operation of the system if the main power supply is interrupted. Any malfunction in or tampering with such systems shall result in an alarm or other reliable warning to the surveillance personnel.

Approved equipment

17. The ESA Security Office shall maintain a list of approved security equipment based, inter alia, on information from NSAs/DSAs. The Site Management Department shall consult through the ESA Security Office with the NSA/DSA of the host Member State where the ESA Headquarters, establishment or facility is located before purchasing such equipment, as appropriate.

Physical protection of copying and telefax machines

18. Copying and telefax machines shall be physically protected to the extent necessary to ensure that only authorised persons can use them and that all classified products are subject to proper controls.

PROTECTION AGAINST OVERLOOKING AND EAVESDROPPING

Overlooking

19. All appropriate measures shall be taken by day and by night to ensure that ESA classified information is not seen, even accidentally, by any unauthorised person.

Eavesdropping

20. Offices or areas in which information classified ESA SECRET and above is regularly discussed shall be protected against passive and active eavesdropping attacks where the risk demands it. The assessment of the risk of such attacks shall be the responsibility of the ESA Security Office after consultation, as necessary, with NSAs/DSAs.

21. It is not permitted to introduce mobile phones, private computers, recording devices, cameras and other electronic or recording devices into security areas or technically secure areas without the prior authorisation from the Head of the Security Office.

22. To determine the protective measures to be taken in premises sensitive to passive eavesdropping (e.g. insulation of walls, doors, floors and ceilings, measurement of compromising emanations) and to active eavesdropping (e.g. search for microphones), the ESA Security Office may request assistance from experts from the host NSA/DSA. Site security officers of ESA Headquarters, establishments or facilities may request technical inspections to be carried out by the ESA Security Office and/or with the assistance from experts from the host NSA/DSA.

23. Likewise, when circumstances require, the telecommunications equipment and the electrical or electronic office equipment of any kind used during meetings at ESA SECRET level and above may be checked by technical security specialists of NSAs/DSAs at the request of the Head of the ESA Security Office. Such checks will be carried out in close liaison with the Site Management Department.

TECHNICALLY SECURE AREAS

24. Certain areas may be designated as technically secure areas. A special entry check shall be carried out. Such areas shall be kept locked by an approved method when not occupied and all keys treated as security keys. Such areas shall be subject to regular physical inspections, carried out by the Site Management Department under guidance of the ESA Security Office. Inspections will also be undertaken following any unauthorised entry or suspicion of such an entry.

25. A detailed inventory of equipment and furniture shall be maintained. No item of furniture or equipment shall be brought into such an area until it has undergone a careful inspection by specially trained security personnel, designed to detect any listening devices. As a general rule, the installation of communication lines in technically secure areas should be avoided.

SECTION V

ACCESS TO ESA CLASSIFIED INFORMATION

1. Access to ESA classified information will be authorised only for persons having a “need-to-know” for carrying out their duties or missions. Access to ESA TOP SECRET, ESA SECRET and ESA CONFIDENTIAL will be authorised only for persons in possession of the appropriate security clearance.

2. A list of the posts requiring access to ESA classified information shall be drawn up by the ESA Security Office. The responsibility for determining the “need-to-know” will rest with the Director General, the Head of ESA Headquarters, establishments or facilities and with the national body in which the person concerned is to be employed, according to the requirements of the task.

3. The Personnel security clearance will be the responsibility of the competent national authority of the Member States based on relevant applicable procedures. This will result in the issue of a “Personnel security clearance certificate” showing the highest level of ESA classified information to which the cleared person may have access and the date of expiry.

4. Employees of ESA contractors working for infrastructure and support services within ESA Headquarters, establishments or facilities who for the requirement of their task may have access on the need-to-know basis to ESA classified information shall be appropriately security cleared in compliance with the provisions set out in this Section.

5. When persons not having an established “need-to-know” are to be employed in circumstances in which they may have access to ESA classified information (e.g. messengers, security agents, maintenance personnel and cleaners, etc…) they shall first be appropriately security cleared in compliance with the provisions set out in this Section.

6. Persons other than ESA Staff members or ESA experts and persons other than officials or other servants of Member States, with whom it may occasionally be necessary to discuss, or to whom it may be necessary to show, ESA classified information, must have a valid personnel security clearance as regards classified information and be briefed as to their responsibility for its security.

7. Persons who have access to ESA classified information shall be informed of the consequences of any breach of security and compromise of ESA classified information as set out in Section X of these security regulations.

SPECIFIC RULES ON ACCESS TO ESA TOP SECRET INFORMATION

8. All persons who are required to have access to ESA TOP SECRET information shall be designated by the Head of their department and their names kept in the appropriate ESA TOP SECRET registry.

9. Before having access to ESA TOP SECRET information, all persons shall sign a certificate to the effect that they have been briefed on ESA security procedures and that they fully understand their special responsibility for safeguarding ESA TOP SECRET information, and the consequences which the ESA rules and national law or administrative rules provide when classified information passes into unauthorised hands, either by intent or through negligence.

10. In the case of persons required to access ESA TOP SECRET information at meetings, etc., the competent Security Officer of the service or body in which that person is employed shall provide confirmation to the body organising the meeting that the persons concerned have been appropriately security cleared.

11. The names of all persons ceasing to be employed on duties requiring access to ESA TOP SECRET information shall be removed from the ESA TOP SECRET list. In addition, the attention of all such persons shall be drawn again to their special responsibility for the safeguarding of ESA TOP SECRET information. They shall also sign a declaration stating that they will neither use nor pass on ESA TOP SECRET information in their possession.

SPECIFIC RULES ON ACCESS TO ESA SECRET AND ESA CONFIDENTIAL INFORMATION

12. All persons who are to have access to ESA SECRET or ESA CONFIDENTIAL information shall be acquainted with the appropriate security regulations and shall be aware of the consequences of negligence.

13. In the case of persons having access to ESA SECRET or ESA CONFIDENTIAL information at meetings, etc., the Security Officer of the body in which that person is employed shall notify the body organising the meeting that the persons concerned have such authorisation.

SPECIFIC RULES ON ACCESS TO ESA RESTRICTED INFORMATION

14. Persons with access to ESA RESTRICTED information shall be made aware of these security regulations and of their responsibilities regarding its protection and of the consequences of negligence.

TRANSFERS

15. When a person is transferred from a post which involves the handling of ESA classified material, the Registry will oversee the proper transfer of that material from the outgoing to the incoming person.

SPECIAL INSTRUCTIONS

16. Persons who are required to handle ESA classified information should, on first taking up their duties and periodically thereafter, be made aware of:

(a) The dangers to security arising from indiscreet conversation;

(b) Precautions to take in their relations with the press and with representatives of special interest groups;

(c) The threat presented by, amongst others, espionage activities from intelligence services or private industry, sabotage, terrorism or the actions of subversive and/or criminal groups, which may target ESA and its Member States as regards ESA classified information or activities;

(d) The obligation to report immediately to the appropriate security authorities any approach or manoeuvre giving rise to suspicions of espionage activity or any unusual circumstances relating to security.

17. All persons normally exposed to frequent contact with representatives of countries who may target ESA and Member States as regards ESA classified information and activities shall be given a briefing on the techniques known to be employed by various intelligence services.

18. There are no ESA security regulations concerning private travel to any destination by persons cleared for access to ESA classified information. The competent security authorities will, however, acquaint the persons falling within their responsibility with travel regulations to which they may be subject. It will be the responsibility of the security officers to arrange refresher meetings for persons concerned on these special instructions.

SECTION VI

SECURITY CLEARANCE PROCEDURE FOR ESA STAFF MEMBERS AND ESA EXPERTS

1. Only ESA Staff members and ESA experts who, by reason of their duties and for the requirements of their task, need to have knowledge of, or to use, ESA classified information, shall have access to such information provided they have been appropriately security cleared by the competent national authority.

2. In order to have access to information classified as ESA TOP SECRET, ESA SECRET and ESA CONFIDENTIAL, ESA Staff members and ESA experts must hold a Personnel Security Clearance (PSC) granted by the competent national authorities of the Member States (National Security Authority or equivalent national authority).

3. The PSC shall be valid for a period not exceeding five years for ESA TOP SECRET and ten years for ESA SECRET and ESA CONFIDENTIAL. The authorisation for access given on the basis of this PSC shall not exceed the duration of the tasks on the basis of which it was granted.

4. Security clearance procedure shall be carried out with the assistance of the ESA Staff member or ESA expert concerned and at the request of the Director General by the competent national authorities of the Member State of which this Staff member or expert is a national. Should the Staff member or the ESA expert reside in the territory of another Member State, the competent national authorities may secure the cooperation of the authorities of the State of residence.

5. As part of the security clearance procedure, the ESA Staff member or ESA expert concerned shall be required to complete a personal information form and to acknowledge that he/she understands that any breach of ESA security may result in his/her ESA immunity being waived.

6. The Director General shall specify in his request the type and level of classified information to be made available to the ESA Staff member or ESA expert concerned, so that the NSA/DSA or national competent authorities can carry out the security clearance procedure.

7. The whole security clearance procedure together with the results obtained shall be subject to the relevant rules and regulations in force in the Member State concerned, including those concerning appeals.

8. Where the competent NSA/DSA of the Member State grants a Personnel security clearance certificate, the Director General may grant the ESA Staff member or ESA expert concerned authorisation for access to classified information provided this Staff member or expert has the need to know.

9. A denial by the NSA/DSA to grant a Personnel security clearance certificate shall be notified by the Director General to the ESA Staff member or ESA expert concerned, who may ask to be heard by the Director General. The Director General shall ask the competent national authority for any further clarification they can provide in compliance with their national rules and regulations. If the denial is confirmed by the NSA/DSA authorisation shall not be granted.

10. All ESA Staff members and ESA experts granted a PSC shall, at the time the PSC is granted and at regular intervals thereafter, receive any necessary instructions concerning the protection of classified information and the means of ensuring such protection. Such persons shall sign a declaration acknowledging receipt of the instructions and give an undertaking to obey them.

11. Authorisation to access ESA classified information shall be withdrawn by the Director General if the relevant NSA/DSA withdraws the Security Clearance. Any decision to withdraw authorisation shall be notified to the ESA Staff member or ESA expert concerned, who may ask to be heard by the Director General. The Director General may ask the competent national authority for any further clarification they can provide in compliance with their national rules and regulations.

12. The Director General shall take any measure necessary in order to implement this section, in particular as regards the rules governing access to the list of cleared ESA Staff members or experts.

13. Exceptionally, pending the outcome of the security clearance procedure, the Director General may, with the written agreement of the NSA/DSA or national competent authority, grant temporary access authorisation for information classified up to and including ESA SECRET only, for a period not exceeding six months, to an ESA staff member.

14. The provisional and temporary authorisations thus granted shall not give access to ESA TOP SECRET information; such access shall be limited to ESA Staff members who have been granted a PSC for this classification. Pending the outcome of the security clearance procedure, ESA Staff members for whom clearance at ESA TOP SECRET level has been requested may be authorised temporarily and provisionally to access information classified up to and including ESA SECRET.

SECTION VII

PREPARATION, DISTRIBUTION, TRANSMISSION, STORAGE AND DESTRUCTION OF ESA CLASSIFIED MATERIAL

General provisions

This section details measures for the preparation, distribution, transmission, storage and destruction of ESA classified documents. It shall be used as a reference for the adaptation of those measures for other ESA classified material, according to its type and on a case-by-case basis.

Chapter I

Preparation and distribution of ESA classified documents

PREPARATION

1. The ESA classifications and markings shall be applied as established in Section II and appear at the top and bottom centre of each page, and each page shall be numbered. Each ESA classified document shall bear a reference number and a date. In the case of ESA TOP SECRET and ESA SECRET documents, this reference number shall appear on each page. If they are to be distributed in several copies, each one shall bear a copy number, which will appear on the first page, together with the total number of pages. All annexes and enclosures shall be listed on the first page of a document classified ESA CONFIDENTIAL and above.

2. Documents classified ESA CONFIDENTIAL and above shall be typed, translated, stored, photocopied, reproduced magnetically or microfilmed only by persons who have been cleared for access to ESA classified information up to at least the appropriate security classification of the document in question.

The provisions regulating the computerised production of classified documents are set out in Section XI.

DISTRIBUTION

3. ESA classified information shall be distributed only to persons with a need to know and having the appropriate security clearance. The initial distribution shall be specified by the originator.

4. ESA TOP SECRET documents shall be circulated through ESA TOP SECRET registries (see Section VIII). In the case of ESA TOP SECRET messages, the competent registry may authorise the Head of the communications centre to produce the number of copies specified in the list of addressees.

5. Documents classified ESA SECRET shall be circulated through registries. They may be redistributed by the original addressee to other addressees based on a need to know. The originating authorities shall, however, clearly state any caveats they wish to impose. Whenever such caveats are imposed, the addressees may redistribute the documents only with the originating authorities’ authorisation.

6. Every document classified ESA CONFIDENTIAL shall, on arriving at or leaving an establishment, be recorded by the establishment’s registry. The particulars to be entered (references, date and where applicable the copy number) shall be such as to identify the documents and be entered into a logbook or in special protected computer media.

Chapter II

Transmission of ESA classified documents

PACKAGING

7. Documents classified ESA CONFIDENTIAL and above shall be transmitted in heavy duty, opaque double envelopes. The inner envelope shall be marked with the appropriate ESA security classification as well as, if possible, full particulars of the recipient’s job title and address.

8. Only a Registry Control Officer, or his substitute, may open the inner envelope and acknowledge receipt of the documents enclosed, unless that envelope is addressed to an individual. In such a case, the appropriate Registry shall log the arrival of the envelope, and only the individual to whom it is addressed may open the inner envelope and acknowledge receipt of the documents it contains.

9. A receipt form shall be placed in the inner envelope. The receipt, which will not be classified, should quote the reference number, date and copy number of the document, but never its subject.

10. The inner envelope shall be enclosed in an outer envelope bearing a package number for receipting purposes. Under no circumstances shall the security classification appear on the outer envelope.

11. For documents classified ESA CONFIDENTIAL and above, couriers and messengers shall obtain receipts against the package numbers.

TRANSMISSION WITHIN A BUILDING OR GROUP OF BUILDINGS

12. Within a given building or group of buildings, classified documents may be carried in a sealed envelope bearing only the addressee’s name, on condition that it is carried by a person cleared to the level of classification of the documents.

TRANSMISSION OF ESA DOCUMENTS WITHIN A COUNTRY

13. Within a country, ESA TOP SECRET documents should be sent only by means of official courier or by persons authorised to have access to ESA TOP SECRET information.

14. Whenever an official courier is used for the transmission of a ESA TOP SECRET document outside the confines of a building or group of buildings, the packaging and receipting provisions contained in this Chapter shall be complied with. Delivery services shall be so staffed as to ensure that packages containing ESA TOP SECRET documents remain under the direct supervision of a responsible official at all times.

15. Exceptionally, ESA TOP SECRET documents may be taken by authorised persons, other than official couriers, outside the confines of a building or group of buildings for local use at meetings and discussions, provided that:

(a) The bearer is authorised to have access to those ESA TOP SECRET documents;

(b) The mode of transportation complies with national rules governing the transmission of national TOP SECRET documents;

(d) Arrangements are made for the list of documents so carried to be held in the ESA TOP SECRET Registry holding the documents and recorded in a log, and checked against this record on their return.

16. Within a country, ESA SECRET and ESA CONFIDENTIAL documents may be sent either by post, if such transmission is permitted under national regulations and is in accordance with the provisions of those regulations, or by official couriers or by persons cleared for access to ESA classified information.

17. Each Member State and ESA should prepare instructions on the personal carrying of ESA classified documents based on these regulations. The bearer should be required to read and sign these instructions. In particular, the instructions should make it clear that, under no circumstances, may documents:

(a) Leave the bearer’s possession unless they are in safe custody in accordance with the provisions contained in Section IV;

(b) Be left unattended in public transport or private vehicles, or in places such as restaurants or hotels. They may not be stored in hotel safes or left unattended in hotel rooms;

TRANSMISSION FROM THE TERRITORY OF ONE MEMBER STATE TO THE TERRITORY OF ANOTHER

18. Material classified ESA CONFIDENTIAL and above should be conveyed from one Member State to another by diplomatic pouch.

19. However, the personal carriage of material classified ESA SECRET and ESA CONFIDENTIAL may be permitted if provisions for the carriage are such as to ensure that they cannot fall into any unauthorised person’s hands.

20. NSAs/DSAs may authorise personal carriage when diplomatic pouch is not available or the use of such couriers would result in a delay that would be detrimental to ESA activities and the material is urgently required by the intended recipient. Each Member State should prepare instructions covering the personal carriage of material classified up to and including ESA SECRET internationally by persons other than diplomatic pouch. The instructions should require that:

(a) The bearer has the appropriate security clearance granted by Member States;

(b) A record is held in the appropriate office or registry of all material so carried;

(c) Packages or bags containing ESA material bear an official seal to prevent or discourage inspection by customs, and labels with identification and instructions to the finder;

(d) The bearer carries a courier certificate and/or mission order recognised by all ESA States authorising him to carry the package as identified;

(d) No ESA non-Member State or its frontier is crossed when travelling overland unless the shipping State has a specific guarantee from that State;

(f) The bearer’s travel arrangements with regard to destinations, routes to be taken and means of transportation to be used will be in accordance with ESA Regulations or - if national regulations with respect to such matters are more stringent - in accordance with such regulations;

(g) The material must not leave the possession of the bearer unless it is housed in accordance with the provisions for safe custody contained in Section IV;

(h) The material must not be left unattended in public or private vehicles, or in places such as restaurants or hotels. It must not be stored in hotel safes or left unattended in hotel rooms;

(i) If the material being carried contains documents, these must not be read in public places (for example in aircraft, trains, etc.).

The person designated to carry the classified material must read and sign a security briefing that contains, as a minimum, the instructions listed above and procedures to be followed in an emergency or in case the package containing the classified material is challenged by customs or airport security officials.

TRANSMISSION OF ESA RESTRICTED DOCUMENTS

21. ESA RESTRICTED items will normally be transmitted in a single envelope not bearing a classification by:

a) a normal or registered mail, as appropriate;

b) commercial courrier services;

c) hand carriage by staff members without formal courier order. During travel, the items must remain under permanent personal custody and may not be left unattended in hotel rooms or vehicles and may not be read in public.

COURIER PERSONNEL SECURITY

22. All couriers and messengers employed to carry ESA SECRET and ESA CONFIDENTIAL documents shall be appropriately security cleared.

Chapter III

Transmission through information technology and information systems

23. Communications security measures are designed to ensure the secure transmission of ESA classified information. The detailed rules applicable to the transmission of such ESA classified information are dealt with in Section XI.

24. Only accredited communications centres and networks and/or terminals and systems may transmit information classified ESA CONFIDENTIAL and ESA SECRET.

Chapter IV

Extra copies and translations of and extracts from ESA classified documents

25. Only the originator may authorise the copy or translation of ESA TOP SECRET documents.

26. If persons without ESA TOP SECRET clearance require information which, although contained in a ESA TOP SECRET document, does not have that classification, the Head of the ESA TOP SECRET Registry may be authorised to produce the necessary number of extracts from that document. He/she shall, at the same time, take the necessary steps to ensure that these extracts are given the appropriate security classification.

27. Documents classified ESA SECRET and lower may be reproduced and translated by the addressee, within the framework of the national security regulations and on condition that it complies strictly with the need-to-know principle. The security measures applicable to the original document shall also be applicable to reproductions and/or translations thereof.

Chapter V

Musters and checks, storage and destruction of ESA classified documents

MUSTERS AND CHECKS

28. Every year, each ESA TOP SECRET Registry as referred to in Section VIII shall carry out an itemised muster of ESA TOP SECRET documents in accordance with the regulations set out in Section VIII, (9) to (11). ESA classified documents below the level of ESA TOP SECRET shall be subject to internal checks in accordance with national guidelines, and, in the case of the ESA, according to instructions from the Director General.

These operations shall afford the opportunity to secure holders’ views as to:

(a) The possibility of downgrading or declassifying certain documents;

(b) Documents to be destroyed.

ARCHIVE STORAGE OF ESA CLASSIFIED INFORMATION

29. ESA records and archives whatever their level of classification are an integral part of the Agency’s property, resources and assets and must be handled accordingly. The archiving of classified information shall be consistent with ESA records and archive management policy and procedures.

30. To minimise storage problems, the Control Officers of all registries shall be authorised in consultation with the ESA Records Manager to have ESA SECRET, ESA CONFIDENTIAL and ESA RESTRICTED documents microfilmed or otherwise stored in magnetic or optical media for archive purposes, providing that:

a) The microfilming/storage process is undertaken by personnel with current clearance for the corresponding appropriate classification level;

b) The microfilm/storage medium is afforded the same security as the original documents;

c) Rolls of film, or other type of support, contain only documents of the same ESA SECRET, ESA CONFIDENTIAL or ESA RESTRICTED classification level;

d) The microfilming/storing of ESA SECRET document is clearly indicated in the record used for the annual inventory;

e) ESA original documents, which have been microfilmed or otherwise stored are destroyed in accordance with the regulations set out in paragraphs 33 to 37.

31. ESA Staff members or ESA experts, when leaving the Agency or before transfer to another service/or site must hand over all records in their custody through the appropriate registry as provided for in Section V, paragraph 14.

32. These rules also apply to any other form of storage authorised by the NSA/DSA, such as electromagnetic media and optical disk.

ROUTINE DESTRUCTION OF ESA CLASSIFIED DOCUMENTS

33. To prevent the unnecessary accumulation of ESA classified documents, those regarded by the Directorate or Head of Department, as appropriate, holding them as out of date, except for those having long-term value and which are handled as such as ESA archives (see previous paragraphs on archive storage), or surplus in number shall be destroyed according to their level of classification.

34. ESA TOP SECRET documents shall be destroyed in the following manner:

(a) ESA TOP SECRET documents shall be destroyed only by the Central Registry responsible for them. Each document destroyed shall be listed in a destruction certificate, signed by the ESA TOP SECRET Control Officer and by the Officer witnessing the destruction, who shall be ESA TOP SECRET cleared. A note to this effect shall be made in the logbook;

(b) The registry shall keep the destruction certificates, together with the distribution sheets, for a period of ten years. Copies shall be forwarded to the originator or to the appropriate central registry only when explicitly requested;

(c) ESA TOP SECRET documents, including all classified waste resulting from the preparation of ESA TOP SECRET documents such as spoiled copies, working drafts, typed notes, floppy disks, shall be destroyed, under the supervision of a ESA TOP SECRET Registry Control Officer, by burning, pulping, shredding or otherwise reducing into an unrecognisable and non-reconstitutable form.

35. ESA SECRET documents shall be destroyed by the registry responsible for those documents, under the supervision of a security cleared person, using one of the processes indicated in paragraph 34(c). ESA SECRET documents that are destroyed shall be listed on signed destruction certificates to be retained by the Registry, together with the distribution forms, for at least three years.

36. ESA CONFIDENTIAL documents shall be destroyed by the registry responsible for those documents, under the supervision of a security cleared person, by one of the processes indicated in paragraph 34(c). Their destruction shall be recorded in accordance with national regulations and, in the case of ESA, according to instructions from the Director General.

37. ESA RESTRICTED documents shall be destroyed in accordance with national regulations and, in the case of ESA, according to instructions from the Director General.

DESTRUCTION IN EMERGENCIES

38. The ESA Security Office and the Member States shall prepare plans based on local conditions for the safeguarding of ESA classified material in a crisis including if necessary emergency destruction and evacuation plans; they shall promulgate instructions deemed necessary to prevent ESA classified information from falling into unauthorised hands.

39. The arrangements for the safeguarding and/or destruction of ESA SECRET and ESA CONFIDENTIAL material in a crisis shall under no circumstances adversely affect the safeguarding or destruction of ESA TOP SECRET material, including the enciphering equipment, whose treatment shall take priority over all other tasks. The measures to be adopted for the safeguarding and destruction of enciphering equipment in an emergency shall be covered by ad hoc instructions.

Instructions need to be available on the spot in a sealed envelope. Means/tools for destruction must be available.

CHAPTER VI

Specific rules applicable to documents intended for the ESA Council

40. Within ESA Headquarters, a “Classified Information Office” shall monitor information classified as ESA SECRET or ESA CONFIDENTIAL contained in documents for the ESA Council.

Under the authority of the Director General it shall:

(a) Manage operations relating to the registration, reproduction, translation, transmission dispatch and destruction of such information;

(b) Update the list of particulars on classified information;

(d) Lay down, in collaboration with the ESA Security Office, the practical arrangements for classifying and declassifying information.

41. The Classified Information Office shall keep a register of the following particulars:

(a) The date of preparation of the classified information;

(b) The level of classification;

(d) The name and department of the issuer;

(e) The recipient or recipients, with serial number;

(f) The subject;

(g) The number;

(h) The number of copies circulated;

(i) The preparation of inventories of the classified information submitted to the Council;

(j) The register of declassification and downgrading of classified information.

42. The general rules provided for in Chapters I to V of this Section shall apply to the Classified Information Office of the ESA Headquarters, unless modified by the specific rules laid down in this Chapter.

SECTION VIII

ESA CENTRAL REGISTRIES

ESA TOP SECRET REGISTRIES

1. A Central ESA TOP SECRET Registry will ensure the recording, handling and distribution of ESA TOP SECRET documents in accordance with these security regulations. The head of the ESA TOP SECRET Registry in ESA, respectively in each Member State, will be the ESA TOP SECRET Registry Control Officer.

2. The Central ESA TOP SECRET Registry will act as the main receiving and despatching authority in ESA, as well as, if appropriate, in Member States, international organisations and third States with which ESA has agreements on security procedures for the exchange of classified information.

3. When necessary, sub-registries shall be established, to be responsible for the internal management of ESA TOP SECRET documents; they shall keep up-to-date records of the circulation of each document held on the sub-registry’s charge.

4. ESA TOP SECRET sub-registries shall be set up as specified in Section I paragraph 2. b) in response to long term needs and shall be attached to a central ESA TOP SECRET registry. If there is a need to consult ESA TOP SECRET documents only temporarily and occasionally, these documents may be released without setting up a ESA TOP SECRET sub-registry provided rules are laid down to ensure that they remain under the control of the appropriate ESA TOP SECRET registry and that all physical and personnel security measures are observed.

5. Sub-registries may not transmit ESA TOP SECRET documents direct to other sub-registries of the same central ESA TOP SECRET registry without express approval by the latter.

6. All exchanges of ESA TOP SECRET documents between sub-registries not attached to the same central registry shall be routed through the central ESA TOP SECRET registries.

THE CENTRAL ESA TOP SECRET REGISTRY

7. As the Control Officer, the head of the central ESA TOP SECRET registry shall be responsible for:

(a) The transmission of ESA TOP SECRET documents in accordance with the regulations defined in Section VII;

(b) Maintaining a list of all its dependent ESA TOP SECRET sub-registries together with names and signatures of the appointed Control Officers and their authorised deputies;

(d) Maintaining a record of ESA TOP SECRET documents held and distributed;

(e) Maintaining an up-to-date list of all central ESA TOP SECRET Registries with which he/she normally corresponds, together with the names and signatures of their appointed Control Officers and their authorised deputies;

(f) The physical safeguarding of all ESA TOP SECRET documents held within the registry in accordance with Section IV of these regulations.

ESA TOP SECRET SUB-REGISTRIES

8. As the Control Officer, the head of a ESA TOP SECRET sub-registry shall be responsible for:

(a) The transmission of ESA TOP SECRET documents in accordance with regulations contained in Section VII and paragraphs 5 and 6 of Section VIII;

(b) Maintaining an up-to-date list of all persons authorised to have access to the ESA TOP SECRET information under his control;

(c) The distribution of ESA TOP SECRET documents in accordance with the instructions of the originator or on a need-to-know basis, having first checked that the addressee has the requisite security clearance;

(d) Maintaining an up-to-date record of all ESA TOP SECRET documents held or circulating under his control or which have been passed to other ESA TOP SECRET registries and holding all corresponding receipts;

(e) Maintaining an up-to-date list of ESA TOP SECRET registries with whom he is authorised to exchange ESA TOP SECRET documents, together with the names and signatures of their control officers and authorised deputies;

(f) The physical safeguarding of all ESA TOP SECRET documents held within the sub-registry in accordance with the regulations laid down in Section IV.

INVENTORIES

9. Every twelve months, each ESA TOP SECRET registry shall carry out an itemised inventory of all ESA TOP SECRET documents for which it is accountable. A document is deemed to have been accounted for if the registry physically musters the document, or holds a receipt from the ESA TOP SECRET registry to which the document has been transferred, a destruction certificate for the document or an instruction to downgrade or declassify that document.

10. ESA TOP SECRET Sub-registries shall forward the findings of their annual inventory to the Central Registry to which they are answerable, on a date specified by the latter.

11. NSAs/DSAs, as well as those ESA establishments and international organisations in which a central ESA TOP SECRET registry has been set up, shall forward the findings of the annual inventories conducted in central ESA TOP SECRET registries to the Director General, by 1 April each year at the latest.

SECTION IX

SECURITY MEASURES TO BE APPLIED AT THE TIME OF SPECIFIC MEETINGS HELD OUTSIDE ESA HEADQUARTERS, ESTABLISHMENTS AND FACILITIES AND INVOLVING HIGH SENSITIVITY ISSUES

GENERAL

1. When ESA Council, at Ministerial level, or other important meetings, are held outside ESA Headquarters in Paris, or outside establishments or facilities, and where justified by the particular security requirements relating to the high sensitivity of the issues or information dealt with, the security measures described below should be taken. These measures concern only the protection of ESA classified information; other security measures may have to be planned.

RESPONSIBILITIES

Hosting Member States

2. The Member State on whose territory the meeting is being held (the hosting Member State) should be responsible, in cooperation with the ESA Security Office, for the security of the ESA Council at Ministerial level or other important meetings.

As regards the protection of security, it should specifically ensure that:

(a) Plans are drawn up to deal with security threats and security-related incidents, the measures in question covering in particular the safe custody of ESA classified documents in offices;

(b) Measures are taken to provide possible access to ESA Council’s communications system for the receipt and transmission of ESA classified messages. The host Member State will also provide access if required to secure telephone systems.

Member States

3. The Member States’ authorities should take the necessary steps to ensure that:

(a) Appropriate security clearance certification is provided for their national delegates, if necessary by signal or fax, either directly to the Meeting Security Officer or via the ESA Security Office;

(b) Any specific threat is made known to the host Member State’s authorities and, as appropriate, to the ESA Security Office so that appropriate action can be taken.

Meeting Security Officer

4. A Security Officer shall be appointed and be responsible for the general preparation and control of general internal security measures and for coordination with the other security authorities concerned.

ESA Security Office

5. The ESA Security Office should act as an adviser on security for the preparation of the meeting; it should be represented there to help and advise the Meeting security officer and delegations as necessary.

SECURITY MEASURES

Security areas

6. The following security areas should be established:

(a) A Class II security area, consisting of a drafting room, the ESA offices and reprographic equipment, as well as delegations’ offices as appropriate;

(b) A Class I security area, consisting of the conference room and interpreters’ and sound engineers’ booths;

(c) Administrative areas, consisting of the press area and those parts of the meeting place that are used for administration, catering and accommodation, as well as the area immediately adjacent to the Press Centre and the meeting place.

Passes

7. The Meeting Security Officer should issue appropriate badges as requested by the delegations, according to their needs. Where required, a distinction may be made as regards access to different security areas.

Control of photographic and audio equipment

8. Except for the official recordings, no camera or recording equipment, including cellular phones may be brought into a Class I security area, with the exception of equipment brought by photographers and by sound engineers duly authorised by the Meeting Security Officer.

Inspection of offices

9. The Meeting Security Officer shall arrange for the ESA Executive and delegations’ offices to be inspected at the end of each working day to ensure that all ESA classified documents are being kept in a safe place; if not, he/she shall take the requisite measures.

Disposal of ESA classified waste

10. All waste should be treated as ESA classified, and waste-paper baskets or bags shall be given to the ESA Executive and delegations for its disposal. Before leaving the premises they have been assigned, the ESA Executive and delegations shall take their waste to the meeting security officer, who shall arrange for its destruction according to these regulations.

SECTION X

BREACHES OF SECURITY AND COMPROMISE OF ESA CLASSIFIED INFORMATION

1. A breach of security occurs as the result of an act or omission contrary to an ESA or national security regulation, which might endanger or compromise ESA classified information.

2. Compromise of ESA classified information occurs when it has wholly or in part fallen into the hands of unauthorised persons, i.e. who do not have either the appropriate security clearance or the necessary need-to-know or if there is the likelihood of such an event having occurred.

3. ESA classified information may be compromised as a result of carelessness, negligence or indiscretion as well as by the activities of services which target ESA or its Member States, as regards ESA classified information and activities, or by subversive organisations.

4. It is important that all persons who are required to handle ESA classified information are thoroughly briefed on security procedures, the dangers of indiscreet conversation and their relationships with the press. They should be aware of the importance of reporting any breach of security, which may come to their notice at once to the competent security authority of the Member State, the Security Officer of ESA headquarters, establishment or facility in which they are employed.

5. When a security authority discovers or is informed of a breach of security relating to ESA classified information or of the loss or disappearance of ESA classified material, it shall take timely action in order to:

(a) Safeguard evidence

(b) Establish the facts;

(d) Prevent a recurrence;

(e) Notify the appropriate authorities of the effects of the breach of security.

In this context, the following information shall be provided:

(i) A description of the information involved, including its classification, reference and copy number, date, originator, subject and scope;

(ii) A brief description of the circumstances of the breach of security, including the date and the period during which the information was exposed to compromise;

(iii) A statement of whether the originator has been informed.

6. It shall be the duty of each security authority, as soon as it is notified that such a breach of security may have occurred, to report the fact immediately to the ESA Security Office. In the event of a compromise of ESA classified information occurring within the jurisdiction of a Member State, it shall be reported to the ESA Security Office as specified in paragraph 5, through the NSA/DSA responsible.

7. Cases involving ESA RESTRICTED information need to be reported only when they present unusual features.

8. On being informed that a breach of security has occurred, the Director General shall:

(a) Notify the authority that originated the classified information in question;

(b) Ask the appropriate security authorities to initiate investigations;

(d) Obtain a report on the circumstances of the breach, the date or period during which it may have occurred and was discovered, with a detailed description of the content and classification of the material involved. Damage done to the interests of ESA or of one or more of its Member States and action taken to prevent a recurrence should also be reported.

9. The originating authority shall inform the addressees and shall give appropriate instructions.

10. Any individual who is responsible for compromising ESA classified information shall be liable to disciplinary action according to the relevant rules and regulations. Such action shall be without prejudice to any other legal action. ESA staff members and ESA experts shall be informed about the possible legal consequences of breaches of security and in particular about Article 7 of the ESA Security Agreement on the possible waiver of immunity.

SECTION XI

PROTECTION OF ESA CLASSIFIED INFORMATION HANDLED IN INFORMATION TECHNOLOGY AND COMMUNICATION SYSTEMS

Chapter I

Introduction

GENERAL ASPECTS

1. The security policy and requirements in this section shall apply to all communications and information systems and networks (hereinafter Systems) handling ESA classified information.

2. All Systems require security measures to protect the integrity and availability of those Systems and of the information they contain. In addition, Systems containing ESA classified information require security measures to protect the confidentiality of such information. The security measures to be applied to those Systems will be determined by the designated Security Accreditation Authority (SAA) and will be commensurate with the assessed risk and consistent with the policy stated in these security regulations.

The IT security policy applied by ESA has the following elements:

- It forms an integral part of security in general, and complements all elements of information security, personnel security and physical security;

- Division of responsibilities between technical System owners, owners of ESA classified information stored or handled in technical Systems, IT security specialists and users;

- Description of security principles and requirements of each IT System;

- Approval of these principles and requirements by a designated Security Accreditation authority (SAA);

- Taking into account the specific threats and vulnerabilities in the IT area.

3. Protection embedded IT Systems shall be determined and specified in the general context of the Systems to which they belong using applicable provisions of this section to the extent possible.

THREATS TO, AND VULNERABILITIES OF SYSTEMS

4. In general terms, a threat can be defined as a potential for the accidental or deliberate compromise of security. In the case of Systems, such a compromise involves loss of one or more of the properties of confidentiality, of integrity and of availability. A vulnerability can be defined as a weakness or lack of controls that would facilitate or allow a threat actuation against a specific asset or target. A vulnerability may be an omission or it may relate to a deficiency in a control’s strength, completeness or consistency; it may be technical, procedural or operational in nature.

5. ESA classified and unclassified information handled in Systems in a concentrated form designed for rapid retrieval, communication and use is vulnerable to many risks (defined as a combination of threats and vulnerabilities). These include access to the information by unauthorised users or, conversely, denial of access to authorised users. There are also the risks of the unauthorised disclosure, corruption, modification or deletion of the information. Furthermore, the complex and sometimes fragile equipment is expensive and often difficult to repair or replace rapidly. These Systems are therefore attractive targets for intelligence gathering operations and sabotage, especially if security measures are thought to be ineffective.

SECURITY MEASURES

6. The main purpose of the security measures stated in this section is to provide protection against unauthorised disclosure of information (the loss of confidentiality) and against the loss of integrity or availability of information. To achieve adequate security protection of a System handling ESA classified information, the appropriate standards of conventional security shall be applied according to the level of ESA classified information to be protected, along with appropriate special security procedures and techniques particularly designed for each System.

7. A balanced set of security measures shall be identified and implemented to create a secure environment in which a System operates. The fields of application of those measures concern physical elements, personnel, non-technical procedures, computer and communications operating procedures.

8. Computer security measures (hardware and software security features) shall be required to implement the need-to-know principle, and to prevent or detect the unauthorised disclosure of information. The extent to which computer security measures are to be relied upon shall be determined during the process of establishing the security requirement. The process of accreditation shall determine that an adequate level of assurance is present to support this reliance on computer security measures.

SYSTEM-SPECIFIC SECURITY REQUIREMENT STATEMENT (SSRS)

9. For all Systems handling information classified ESA CONFIDENTIAL and above, a System-specific security requirement statement (SSRS) shall be required to be produced by the IT System Operational Authority (ITSOA)/its Technical System Owner (TSO) and the Information Owner in cooperation with input and assistance as required from the project staff and the relevant INFOSEC Authority, and approved by the Security Accreditation Authority (SAA). An SSRS shall also be required where the confidentiality, availability or integrity of the ESA RESTRICTED or unclassified information is deemed critical by the appropriate SAA.

10. The SSRS shall be formulated at the earliest stage of a IT project’s inception and shall be developed and enhanced as the project develops, fulfilling different roles at different stages in the project and System’s life cycle.

11. The SSRS shall form the binding agreement between the IT System Operational Authority/Technical System Owner and the Information Owner and the SAA against which the System is to be accredited.

12. The SSRS is a complete and explicit statement of the security principles to be observed and of the detailed security requirements to be met. It is based on ESA Security Regulations and risk assessment, or imposed by parameters covering the operational environment, the security mode of operation or user requirements. The SSRS is an integral part of project documentation submitted to the appropriate authorities for technical, budgetary and security approval purposes. In its final form, the SSRS constitutes a complete statement of what it means for the System to be secure.

SECURITY MODES OF OPERATION

13. All Systems handling information classified ESA CONFIDENTIAL and above shall be accredited to operate in one, or where warranted by requirements during different time periods, more than one, of the following security modes of operation, or their national equivalent:

(a) Dedicated;

(b) System high; and

Chapter II

ADDITIONAL MARKINGS

14. Additional markings such as CRYPTO or any other ESA recognised special handling designator, shall apply where there is a need for limited distribution or special handling in addition to that designated by the security classification.

DEFINITIONS

15. “DEDICATED” SECURITY MODE OF OPERATION shall mean: a mode of operation in which ALL individuals with access to the System are cleared to the highest classification level of information handled within the System, and with a common need-to-know for ALL of the information handled within the System.

Notes:

(1) The common need-to-know indicates there is no mandatory requirement for computer security features to provide separation of information within the System.

(2) Other security features (for example, physical, personnel and procedural) shall conform to the requirements for the highest classification level and all category designations of the information handled within the System.

16. “SYSTEM HIGH” SECURITY MODE OF OPERATION shall mean: a mode of operation in which ALL individuals with access to the System are cleared to the highest classification level of information handled within the System, but NOT ALL individuals with access to the system have a common need-to-know for the information handled within the System.

Notes:

(1) The lack of common need-to-know indicates that there is a requirement for computer security features to provide selective access to, and separation of, information within the System.

(3) All information handled or being available to a System under this mode of operation, together with output generated, shall be protected as potentially of the information category designation and of the highest classification level being handled until determined otherwise, unless there is an acceptable level of trust that can be placed in any labelling functionality present.

17. “MULTI-LEVEL” SECURITY MODE OF OPERATION shall mean: a mode of operation in which NOT ALL individuals with access to the System are cleared to the highest classification level of information handled within the System, and NOT ALL individuals with access to the System have a common need-to-know for the information handled within the System.

Notes:

(1) This mode of operation permits, currently, the handling of information of different classification levels and of mixed information category designations.

(2) The fact that not all individuals are cleared to the highest levels, associated with a lack of common need-to-know, indicates that there is a requirement for computer security features to provide elective access to, and separation of, information within the System.

18. INFORMATION SECURITY (INFOSEC) shall mean: the application of security measures to protect information processed, stored or transmitted in communication, information and other electronic Systems against loss of confidentiality, integrity or availability, whether accidental or intentional, and to prevent loss of integrity or availability of the Systems themselves. INFOSEC measures include those of computer, transmission, emission and cryptographic security, and the detection, documentation and countering of threats to information and to the Systems.

19. COMPUTER SECURITY (COMPUSEC) shall mean: the application of hardware, firmware and software security features to a computer System in order to protect against, or to prevent the loss of integrity or availability of the Systems themselves, the unauthorised disclosure, manipulation, modification/deletion of information or denial of service.

20. COMPUTER SECURITY PRODUCT shall mean: a generic computer security item which is intended for incorporation into an IT System for use in enhancing, or providing for, confidentiality, integrity or availability of information handled.

21. COMMUNICATIONS SECURITY (COMSEC) shall mean: the application of security measures to telecommunications in order to deny unauthorised persons information of value which might be derived from the possession and study of such telecommunications or to ensure the confidentiality or integrity of such telecommunications.

Note:

Such measures include cryptographic, transmission and emission security; and also include procedural, physical, personnel, document and computer security.

22. COMMUNICATIONS SECURITY PRODUCT shall mean: a generic communications security item which is intended for incorporation into a communications System for use in enhancing, or providing for, confidentiality, integrity or availability of information handled.

23. EVALUATION shall mean: the detailed technical examination, by an appropriate authority, of the security aspects of a System or of a communications or a computer security product.

Notes:

(1) The evaluation investigates the presence of required security functionality and the absence of compromising side effects from such functionality and assesses the incorruptibility of such functionality.

(2) The evaluation determines the extent to which the security requirements of a System, or the security claims of a computer security product, are satisfied and establishes the assurance level of the System or of the communications, or the computer security product’s trusted function.

24. CERTIFICATION shall mean: a formal statement issued by an appropriate certification authority, supported by an independent review of the conduct and results of an evaluation, of the extent to which a System meets the security requirement, or a communications or computer security product meets pre-defined security claims.

25. APPROVAL of a cryptographic product for use shall mean: a formal statement issued by a National Approval Authority, following its own criteria, supported by the results of an evaluation. It is a necessary but not sufficient condition leading to accreditation.

26. ACCREDITATION shall mean: the authorisation of a System to process ESA classified information in its operational environment.

Note:

Such accreditation should be made after all appropriate security procedures have been implemented and a sufficient level of protection of the System resources has been achieved. Accreditation should normally be made on the basis of the SSRS, including the following:

(a) A statement of the objective of accreditation for the System; in particular, what classification level(s) of information are to be handled and what System or network security mode(s) of operation is being proposed;

(b) Production of a risk management review to identify the threats and vulnerabilities and measures to counter them;

(c) The Security Operating Procedures (SecOPs) with a detailed description of the proposed operations (e.g., modes, services, to be provided) and including a description of the System security features which shall form the basis of accreditation;

(d) The plan for the implementation and maintenance of the security features;

(e) The plan for initial and follow-on System security or network security test, evaluation, and certification; and

(f) Certification, where required, together with other elements of accreditation.

(g) For communications security products, a secondary evaluation may be required depending on the level of change to the approved version of the SSRS document.

27. IT SYSTEM shall mean: assembly of equipment, methods and procedures, and personnel, organised to accomplish information processing functions.

Notes:

(1) This is taken to mean an assembly of facilities, configured for handling information within the System.

(2) Such Systems may be in support of consultation, command, control, communications, scientific or administrative applications including word processing;

(3) The boundaries of a System will generally be determined as being the elements under the control of a single ITSOA/TSO.

(4) An IT System may contain subsystems some of which are themselves IT Systems.

28. IT SYSTEM SECURITY FEATURES comprise all hardware/ firmware/ software functions, characteristics, and features; operating procedures, accountability procedures, and access controls, the IT area, remote terminal/workstation area, and the management constraints, physical structure and devices, personnel and communications controls needed to provide an acceptable level of protection for classified information to be handled in an IT System.

29. IT NETWORK shall mean: organisation, geographically disseminated, of IT Systems interconnected to exchange data, and comprising the components of the interconnected IT Systems and their interface with the supporting data or communications networks.

Notes:

(1) An IT network can use the services of one or several communications networks interconnected to exchange data; several IT networks can use the services of a common communications network.

(2) An IT network is called “local” if it links several computers together on the same site.

30. IT NETWORK SECURITY FEATURES include the IT System security features of individual IT Systems comprising the network together with those additional components and features associated with the network as such (for example, network communications, security identification and labelling mechanisms and procedures, access controls, programs and audit trails) needed to provide an acceptable level of protection for classified information.

31. IT AREA shall mean: an area which contains one or more computers, their local peripheral and storage units, control units and dedicated network and communications equipment.

Note:

This does not include a separate area in which remote peripheral devices or terminals/workstations are located even though those devices are connected to equipment in the IT area.

32. REMOTE TERMINAL/WORKSTATION AREA shall mean: an area containing some computer equipment, its local peripheral devices or terminals/workstations and any associated communications equipment, separate from an IT area.

33. TEMPEST: security measures intended to protect equipment and infrastructures against the compromise of classified information through unintentional electromagnetic emissions.

34. Technical Systems Owner (TSO) shall mean: the authority responsible for the creation, maintenance, operation and closing down of a System.

Chapter III

Security responsibilities

GENERALITIES

35. The responsibilities of the Security Committee, defined in Section I, paragraphs 3 and 4 include INFOSEC issues. The Security Committee shall organise its activities in such a way that it can provide expert advice on the above issues.

36. The ESA Security Office shall have an INFOSEC Unit, which shall be responsible, inter alia, for issuing detailed INFOSEC guidance, based on the provisions in this chapter.

37. In case of problems regarding security (incidents, breaches, etc.), immediate action shall be taken by the responsible National Authority and/or the ESA Security Office. All problems shall be communicated to the ESA Security Office, which shall be responsible for recording and analysing the data and taking appropriate actions, pursuant to the provisions set out in Section X of these regulations. In the case of cryptographic violation or compromise, the provisions of chapter V of this Section on Communications Security shall apply.

SECURITY ACCREDITATION AUTHORITY (SAA)

38. The SAA shall be either:

- an NSA or other competent authority, when the System handling ESA classified information is deployed under its national responsibility;

- The Head of the ESA Security Office, for Systems not connected with a national information System and not using or processing national classified information;

- A panel staffed by ESA and the appropriate NSAs, when different components of a System come under the jurisdiction of ESA and Member States.

39. The SAA shall be responsible for ensuring the compliance of Systems with the ESA security regulations. One of its tasks shall be to accredit a System to handle ESA classified information to a defined level of classification in its operational environment.

- The jurisdiction of the ESA SAA shall cover all the Systems that are in operation within the premises of ESA (i.e. ESA headquarters, establishments and facilities).

- Systems and components of Systems in operation within a Member State shall remain under the jurisdiction of that Member State.

- When different components of a System come under the jurisdiction of the ESA SAA and others’ SAAs, all the parties will appoint a joint accreditation panel under the coordination of the ESA SAA with the participation of representatives of the appropriate NSAs/DSAs.

INFOSEC AUTHORITY (IA)

40. The Head of the ESA Security Office INFOSEC Unit is the INFOSEC Authority for ESA. The ESA INFOSEC Authority is responsible for:

- Implementing and operating security features of a System,

- Auditing and controlling the correct application of the Security Regulations within ESA,

- Providing technical advice and assistance to the SAA,

- Assisting in the development of the SSRS,

- Reviewing the SSRS to ensure consistency with these Security Regulations and the INFOSEC policies and architecture documents,

- Issuing detailed INFOSEC guidance, based on the provisions in this chapter,

- Participating in the accreditation panels/boards as required and providing INFOSEC recommendation on accreditation to the SAA,

- Providing support to the INFOSEC training and education activities,

- Providing technical advice in investigation of INFOSEC related incidents,

- Establishing technical policy guidance to ensure that only authorised software is used.

IT SYSTEM OPERATIONAL AUTHORITY (ITSOA)/The Technical Systems Owner

41. The INFOSEC Authority shall delegate at the earliest stage possible the responsibility for the implementation and operation of controls and special security features of the System to the ITSOA or to the owner of that System, the Technical Systems Owner (TSO), as appropriate. This responsibility shall extend throughout the life cycle of the System from the project concept stage to final disposal.

42. The ITSOA/TSO shall be responsible for all security measures designed as part of the overall System. This responsibility includes the preparation of the SecOPs. The ITSOA/TSO shall specify the security standards and practices to be met by the supplier of the System.

43. The ITSOA/TSO may delegate a part of its responsibilities where appropriate to, the INFOSEC officer for a project or programme. The various INFOSEC functions may be performed by a single person.

USERS

44. All users shall be responsible for ensuring that their actions do not adversely affect the security of the System that they are using.

INFOSEC TRAINING

45. INFOSEC education and training shall be made available by the INFOSEC Authority at various levels, and for various personnel, as appropriate, within ESA Headquarters, establishments and facilities or national bodies.

Chapter IV

Non-technical security measures

PERSONNEL SECURITY

46. Users of the System shall be cleared and have a need-to-know, as appropriate for the classification and content of the information handled within their particular System. Access to certain equipment or information specific to security of Systems will call for special clearance issued according to specific existing national regulations.

47. The SAA shall designate all sensitive positions and specify the level of clearance and supervision required by all personnel occupying them taking account of the effects of aggregation where appropriate.

48. Systems shall be specified and designed in a way that facilitates the allocation of duties and responsibilities to personnel so as to prevent one person having complete knowledge or control of the System security keys points. The aim should be that collusion between two or more individuals would be necessary for alteration or intentional degradation of the System or network to take place.

PHYSICAL SECURITY

49. IT and remote terminal/workstation areas (as defined in paragraphs 31 and 32) in which information classified ESA CONFIDENTIAL and above is handled by IT means, or where potential access to such information is possible, shall be established as ESA Class I or Class II security areas or national equivalent, as appropriate.

50. IT and remote terminal/workstation areas in which the security of the System can be modified shall not be occupied by only one authorised person.

CONTROL OF ACCESS TO A SYSTEM

51. All information and material which allow access control to a System shall be protected under arrangements commensurate with the highest classification and the category designation of the information to which it may give access.

52. When no longer used for this purpose, the access control information and material shall be retained in accordance with SAA procedures and/or national regulations. Their eventual destruction shall be performed pursuant to paragraphs 65 to 67.

Chapter V

Technical security measures

SECURITY OF INFORMATION

53. It shall be incumbent upon the originator of the information to identify and classify all information-bearing documents, whether they are in the form of hard-copy output or computer storage media. Each page of hard-copy output shall be marked, at the top and bottom, with the classification. Output, whether it is the form of hard-copy or computer storage media shall have the same classification as the highest classification of the information used for its production. The way in which a System is operated may also impact on the classification of outputs of that System.

54. ESA Directorates and their information holders shall consider the problems of aggregation of individual elements of information, and the inferences that can be gained from the related elements, and determine whether or not a higher classification is appropriate to the totality of the information.

55. When information is transferred from one System to another the information shall be protected during transfer and in the receiving System in the manner commensurate with the original classification and category of the information.

56. All computer storage media shall be handled in a manner commensurate with the highest classification of the stored information or the media label, and at all times shall be appropriately protected.

57. Reusable computer storage media used for recording ESA classified information shall retain the highest classification for which they have ever been used until that information has been properly downgraded or declassified and the media reclassified accordingly, or the media declassified or destroyed in accordance with a procedure approved by the SAA (see paragraphs 65 to 67).

CONTROL AND ACCOUNTABILITY OF INFORMATION

58. Automatic (audit trails) or manual logs shall be kept as a record of access to information classified ESA SECRET and above. These records shall be retained in accordance with these security regulations.

59. ESA classified outputs held within the IT area may be handled as one classified item and need not be registered, provided the material is identified, marked with its classification and controlled in an appropriate manner.

60. Where output is generated from a System handling ESA classified information, and transmitted to a remote terminal/workstation area from an IT area, procedures, agreed by the SAA shall be established for controlling the remote output. For ESA SECRET and above, such procedures shall include specific instructions for accountability of the information.

HANDLING AND CONTROL OF REMOVABLE COMPUTER STORAGE MEDIA

61. All removable computer storage media classified ESA CONFIDENTIAL and above shall be handled as material and general rules will apply. Appropriate identification and classification markings need to be adapted to the specific physical appearances of the media, to enable it to be clearly recognised.

62. Physical removal of ESA classified information held in electronic form from ESA Headquarters, establishments and facilities, shall be in accordance with procedures approved by the SAA.

63. Users shall take the responsibility for ensuring that ESA classified information is stored on media with the appropriate classification marking and protection. Procedures shall be established to ensure that, for all levels of ESA information, the storage of information on computer storage media is being carried out in accordance with these security regulations.

DECLASSIFICATION AND DESTRUCTION OF COMPUTER STORAGE MEDIA

64. Computer storage media used for recording ESA classified information may be downgraded or declassified in accordance with a procedure to be approved by the SAA.

65. Computer storage media, which has held ESA SECRET and above information shall not be declassified and reused.

66. If computer storage media cannot be declassified or is not reusable, it shall be destroyed in accordance with the above procedure.

COMMUNICATIONS SECURITY

67. When ESA classified information is transmitted, special measures shall be implemented to protect the confidentiality, integrity and availability of such transmissions. The SAA shall determine the requirements for protecting transmissions based upon the requirements for confidentiality, integrity and availability.

68. Cryptographic products used to provide confidentiality, integrity or availability of ESA classified information shall have been evaluated and approved by an appropriately qualified authority of an ESA Member State.

69. During transmission, the confidentiality of information classified ESA SECRET and above shall be protected by cryptographic methods or products approved by the ESA Council upon recommendation of the ESA Security Committee. During transmission, the confidentiality of information classified ESA CONFIDENTIAL or ESA RESTRICTED shall be protected by cryptographic methods or products approved either by the Director General upon recommendation of the ESA Security Committee or approved by a Member State’s NSA/DSA.

70. Detailed rules applicable to the transmission of ESA classified information shall be set out in specific security instructions approved by the Director General upon recommendation of the ESA Security Committee.

71. Under exceptional operational circumstances, information classified ESA RESTRICTED, ESA CONFIDENTIAL and ESA SECRET may be transmitted in clear text provided each occasion is explicitly authorised and duly registered by the Head of the ESA Security Office. Such exceptional circumstances are as follows:

(a) During impending or actual crisis, conflict, or war situations; and

(b) When speed of delivery is of paramount importance, and means of encryption are not available, and it is assessed that the transmitted information cannot be exploited in time to adversely influence operations.

72. A System shall have the capability of positively denying access to ESA classified information at any or all of its remote workstations or terminals, when required either by physical disconnection or by special software features approved by the SAA.

INSTALLATION AND RADIATION SECURITY

73. Initial installation of Systems and any major change thereto shall be so specified that installation is carried out by security cleared installers under constant supervision by technically qualified personnel who are cleared for access to ESA classified information to the level equivalent to the highest classification which the System is expected to store and handle.

74. All equipment shall be installed in accordance with the current ESA Council’s Security Regulations.

75. Systems handling information classified ESA CONFIDENTIAL and above shall be protected in such a way that their security cannot be threatened by compromising emanations, the study and control of which is referred to as “TEMPEST”.

76. TEMPEST measures for ESA Headquarters, establishments and facilities shall be reviewed and approved by the Head of the ESA Security Office acting as TEMPEST authority.

Chapter VI

Security during handling

SECURITY OPERATING PROCEDURES (SecOPs)

77. SecOPs define the principles to be adopted on security matters, the operating procedures to be followed, and personnel responsibilities. The SecOPs shall be prepared under the responsibility of the ITSOA/TSO.

SOFTWARE PROTECTION/CONFIGURATION MANAGEMENT

78. Security protection of applications programmes shall be determined on the basis of an assessment of the security classification of the programme itself rather than of the classification of the information it is to process. The software versions in use should be verified at regular intervals to ensure their integrity and correct functioning.

79. New or modified versions of software should not be used for the handling of ESA classified information until verified by the ITSOA/TSO.

CHECKING FOR THE PRESENCE OF MALICIOUS SOFTWARE/COMPUTER VIRUSES

80. Checking for the presence of malicious software/computer viruses shall be periodically carried out in accordance with the requirements of the SAA.

81. All computer storage media arriving in ESA headquarters, establishments or facilities shall be checked for the presence of any malicious software or computer viruses, before being introduced to any System using tools and facilities approved by the ESA Security Office.

MAINTENANCE

82. Contracts and procedures for scheduled and on-call maintenance of Systems for which a SSRS has been produced shall specify requirements and arrangements for maintenance personnel and their associated equipment entering to an IT area.

83. The requirements shall be clearly stated in the SSRS and the procedures shall be clearly stated in the SecOPs. Contractor maintenance requiring remote access diagnostic procedures shall be permitted only in exceptional circumstances, under stringent security control, and only with the approval of the SAA.

Chapter VII

ACCREDITATION

84. All Systems for which a SSRS has to be produced, prior to handling ESA classified information, shall be accredited, based upon information provided in the SSRS, SecOPs and any other relevant documentation, by the SAA. Subsystems and remote terminals/workstations shall be accredited as part of all the Systems to which they are connected. Where a System supports both ESA and other organisations, ESA and the relevant Security Authorities shall mutually agree on the accreditation.

85. The accreditation process may be carried out in accordance with an accreditation strategy appropriate to the particular System and defined by the SAA.

EVALUATION AND CERTIFICATION

86. Any security product (except cryptographic products) to be used with the System to be procured shall either have been evaluated and certified, or currently be under evaluation and certification by an appropriate Evaluation or Certification body of one of the ESA Member States against internationally acknowledged criteria (such as the Common Criteria for Information Technology Security Evaluation, see ISO 15 408).

87. Prior to accreditation, in certain instances, the hardware, firmware and software security features of a System shall be evaluated and certified as being capable of safeguarding information at the intended level of classification.

88. The requirements for evaluation and certification shall be included in System planning, and clearly stated in the SSRS.

89. Where appropriate, technically qualified and appropriately cleared personnel acting on behalf of the ITSOA/TSO will ensure the use of certified products. The personnel may be provided from a nominated Member State’s evaluation or certification authority or its nominated representatives, for example a competent and cleared contractor.

Note: for cryptographic products see paragraph 69.

90. The degree of evaluation and certification processes involved may be lessened (for example, only involving integration aspects) where Systems are based on existing nationally evaluated and certified computer security products.

ROUTINE CHECKING OF SECURITY FEATURES FOR CONTINUED ACCREDITATION

91. The ITSOA/TSO shall establish routine control procedures, which shall ensure that all security features of the System are still valid.

92. The types of change that would give rise to re-accreditation, or that require the prior approval of the SAA, shall be clearly identified and stated in the SSRS. After any modification, repair or failure, which could have affected the security features of the System, the ITSOA/TSO shall ensure that a check is made to ensure the correct operation of the security features. Continued accreditation of the System shall normally depend on the satisfactory completion of the checks.

93. All Systems where security features have been implemented shall be inspected or reviewed on a periodic basis by the SAA. In respect of Systems handling ESA TOP SECRET or additional markings information the inspections shall be carried out not less than once annually.

Chapter VIII

Temporary or occasional use

SECURITY OF MICROCOMPUTERS/PERSONAL COMPUTERS

94. Microcomputers/Personal Computers (PCs) with fixed disks (or other non-volatile storage media), operating either in stand-alone mode or as networked configurations, and portable computing devices (for example, portable PCs and electronic “notebooks”) with fixed hard disks, shall be considered as information storage media in the same sense as floppy diskettes or other removable computer storage media.

95. This equipment shall be afforded the level of protection, in terms of access, handling, storage and transportation, commensurate with the highest classification level of information ever stored or processed (until downgraded or declassified in accordance with approved procedures).

USE OF PRIVATELY-OWNED IT EQUIPMENT FOR OFFICIAL COUNCIL WORK

96. The use of privately-owned removable computer storage media, software and IT hardware (for example, PCs and portable computing devices) with storage capability shall be prohibited for handling ESA classified information.

97. Privately-owned hardware, software and media shall not be brought into any Class I or Class II area where ESA classified information is handled without the permission of the Head of the ESA Security Office. This authorisation can only be provided for technical reasons in exceptional cases.

USE OF THE CONTRACTOR-OWNED OR NATIONALLY-SUPPLIED IT EQUIPMENT FOR OFFICIAL COUNCIL WORK

98. The use of contractor-owned IT equipment and software in organisations in support of official ESA Council work may be permitted by the Head of the ESA Security Office. The use of nationally-provided IT equipment and software may also be permitted; in this case, the IT equipment shall be brought under the control of the appropriate ESA's inventory. In either case, if the IT equipment is to be used for handling ESA classified information, then the SAA shall be consulted in order that the elements of INFOSEC that are applicable to the use of that equipment are properly considered and implemented.

SECTION XII

RELEASE OF ESA CLASSIFIED INFORMATION TO THIRD STATES OR INTERNATIONAL ORGANISATIONS

PRINCIPLES REGULATING THE RELEASE OF ESA CLASSIFIED INFORMATION

1. The release of ESA classified information to third States or international organisations will be decided by the ESA Council on the basis of:

- The nature and content of such information,

- The recipients’ need to know,

- The measure of advantages to ESA.

The Member State originator of the ESA classified information to be released will be asked for its agreement. ESA classified information which was originated by an ESA Member State shall only be released with the approval of the originator, or, if the originator can no longer be identified, with the approval of the appropriate ESA Board or Committee.

2. These decisions will be taken on a case-by-case basis, depending on:

- The desired degree of cooperation with the third States or international organisations concerned,

- The confidence that may be placed in them, which ensues from the level of security that would be applied to the ESA classified information entrusted to those States or organisations and from the consistency between the security rules applicable there and those applied in ESA. The ESA Security Committee will give the Council its technical opinion on this point.

3. Draft agreements on security procedures or memoranda of understanding will be approved by the Security Committee before they are presented to the Council for a decision.

SECTION XIII

INDUSTRIAL SECURITY

General principles

1. This title deals with security aspects of industrial activities that are unique to the negotiation and placing of ESA classified contracts (i.e. contracts involving classified information pursuant to the ESA Security Agreement) and their performance by industrial entities, including the release of ESA classified information during the bidding period and pre-contract negotiations.

2. All entities participating in industrial activities, which involve access to ESA information classified ESA CONFIDENTIAL and/or ESA SECRET must hold a Facility Security Clearance (FSC). An FSC is granted by a NSA/DSA to confirm that, from a security viewpoint, a facility can afford and guarantee adequate security protection to ESA classified information of a specified classification or below and its personnel who require access to ESA classified information have been properly cleared and briefed on ESA security requirements necessary to perform on the ESA classified contracts.

3. ESA, in co-operation with its Member States, will determine, as appropriate, the aspects of an ESA programme or element of a programme requiring security protection. The ESA Security Committee and the appropriate ESA Subordinate Body will recommend the security classification to be accorded to each aspect area of the programme to ESA Council for approval.

4. Prior to the release of information classified ESA CONFIDENTIAL and/or ESA SECRET to a contractor, potential contractor, or sub-contractor, the NSA/DSA will:

a. ensure that such contractor(s), potential contractor(s), or sub-contractor(s) and their facility(ies) have the capability to protect the information adequately;

b. grant Facility Security Clearances (FSC) to the facility(ies);

c. grant Personnel Security Clearances (PSC) to all persons whose duties require access to ESA information classified CONFIDENTIAL and/or SECRET;

d. ensure that access to ESA classified information is limited to those persons who have a need-to-know for the purpose of performing ESA activities;

e. upon request of the ESA Security Office or any Member State, grant a FSC to enable an entity to bid for, negotiate or perform an ESA classified contract, sub-contract;

f. provide, upon request, to the ESA Security Office or any Member State, a PSC assurance for persons having security responsibilities to enable them to perform on an ESA classified contract which may also include international visits;

g. take action with regard to the specific arrangements to be carried out in matters of transportation in accordance with paragraphs 26 to 40 of this Section;

h. to ensure that, for any entity in which ESA classified information is to be used, security officials are appointed to effectively exercise the responsibilities for safeguarding ESA classified information. These officials will be responsible for limiting access to ESA classified information involved in a contract to those persons who have been appropriately security cleared for access and have a need-to-know.

5. The competent authorities of the Member States will investigate all cases in which it is known or where there are grounds for suspecting that ESA classified information provided or generated pursuant to an ESA contract has been lost, compromised or disclosed to unauthorised persons. Each NSA/DSA will comply with the investigative requirements in Section X of these regulations.

Security requirements for ESA classified contracts

6. The programme implementing rules approved by ESA Council shall contain a Programme Security Instruction (PSI) with security standards no less stringent than the provisions set out in this section.

7. The PSI shall be annexed to the Prime contract. A „Programme Security Classification Guide“ shall be a part of the PSI. All ESA classified subcontracts shall include the Programme Security Classification Guide or, as a minimum, a “Security Aspect Letter” (SAL) which sets out the classified aspects of a subcontract. The PSI and/or SAL shall be the single source document for the security of the contract. Such security rules will meet with ESA Security Regulations outlined in this document and comply with the respective national laws and regulations of the Member States where the contract is placed.

8. All contracts shall contain the “ESA security clauses for classified contracts” as approved by the ESA competent bodies.

9. In respect of all contracts classified ESA CONFIDENTIAL and/or ESA SECRET, the prime contractor shall notify the NSA/DSA of the Member State in which the entity that has been awarded the contract is located or incorporated, that a classification guide or a Security Aspect Letter (SAL) has been provided to that entity together with the contract.

10. The classification for elements of information associated with possible subcontracts shall be based on the Program Security Classification Guide.

11. The prime contractor and subsequent subcontractors shall be contractually bound, under penalty of termination of their contract, to take all measures prescribed by ESA and/or NSAs/DSAs respectively for safeguarding all ESA classified information generated by or entrusted to the contractor, or embodied in articles manufactured by the contractor.

12. The obligation of these Security Regulations including the confidentiality of the classified information shall continue to be observed by the contractors and subsequent subcontractors after termination or conclusion of an ESA classified contract or subcontract.

Placing of ESA classified contracts involving ESA information classified CONFIDENTIAL or SECRET

13. ESA classified contracts will be placed according to the policies established by ESA.

14. The prime contractor, if duly authorised by ESA, may negotiate subcontracts with other contractors, i.e., subcontractors. The prime contractor will be responsible for all subcontracting activities.

15. The following general principles will be observed in connection with the security classification requirements of ESA classified contracts:

a) the determination of classification levels is the responsibility of the originator of the information;

b) classifications should apply only to those aspects of a contract that must effectively be protected and such classifications should be strictly related to the degree of protection required;

c) a compilation of information from more than one source will require co-ordination of the sources in the determination of the appropriate ESA classification level;

d) provisions should be made for the downgrading and declassification as soon as it is possible;

e) changes in the level of classification should be made only with the prior consent of the originator.

16. The initial assessment of a level of classification of a contract where components are not defined and which involve the development of systems rests with the contractor.

17. The levels of classification for possible sub-contracts will be based on the Programme Security Instruction or the Security Aspect Letter of the contracts to which they are related.

18. Before a potential contractor is authorised to negotiate an ESA classified contract involving information classified CONFIDENTIAL and/or SECRET, the ESA Security Office will request the NSA/DSA of this potential contractor for confirmation that it holds an appropriate or provisional FSC, in compliance with national rules and regulations, at least equal to the classification level of the information that will be required for the negotiation of the contract. The NSA/DSA will provide confirmation or otherwise that the potential contractor or sub-contractor holds an FSC or a provisional FSC, in compliance with national rules and regulations. If the potential contractor has no FSC or the FSC is not at the required level, the ESA Security Office shall forward a request to the NSA/DSA for the initiation/upgrading of a FSC using the “Facility security clearance information sheet”(FIS) at Annex 3.

19. All invitations to bid in respect of ESA classified contracts will contain a clause requiring a potential contractor who does not submit a bid to return all documents which were provided to enable him to submit a bid to the contracting officer by the date set for the opening of bids. Similarly, an unsuccessful bidder will be required to return all documents after a stipulated period of time (normally within 15 days after notification that a bid or negotiation proposal was not accepted).

20. At whatever level it is proposed to bid for or to negotiate a sub-contract, the following will apply:

a) before entering into negotiations, the Security Officer of the contractor will request its NSA/DSA for confirmation that the potential subcontractor holds an appropriate FSC ;

b) when the potential sub-contractor is under the jurisdiction of another NSA/DSA, the NSA/DSA of the contractor will issue the request to the former;

c) NSA/DSA of the potential sub-contractor will return the completed form together with the required information to the contractor, following the same channels;

d) Upon receipt of the assurance that the proposed sub-contractor holds a FSC or provisional FSC to the required level the contractor may open negotiations with the potential sub-contractor. It remains the responsibility of the NSA/DSA of the sub-contractor to make the appropriate arrangements to ensure the protection of all ESA classified information issued to the latter.

21. All contractors shall, for contracts classified ESA CONFIDENTIAL and/or SECRET, always hold an FSC and shall ensure that their representatives involved in the negotiations hold an appropriate Personal Security Clearance (PSC), issued in accordance with Section V above, and only receive access to ESA classified information needed for the negotiation of the contract. For contracts classified ESA RESTRICTED, a FSC or PSC is not required unless specifically required by national security rules and regulations.

22. Conditions to bid for and negotiate a contract by a potential contractor or subcontractor not considered to belong to an ESA Member State (Article II.3 Annex V of ESA Convention) or located in a non-ESA Member State shall be provided for in the implementing rules of the programme.

Industrial Security Clearances for ESA contracts

23. A contractor may bid on, participate in pre-contractual negotiations or perform on a ESA contract classified ESA CONFIDENTIAL and/or SECRET, provided the NSA/DSA of the Member State in which the contractor is located and incorporated to do business has given the contractor’s entity the requisite level of FSC or provisional FSC, and all persons who may have access to classified information have been issued the requisite level of PSC in accordance with the Section V of this document. Contractors in possession of a provisional FSC will need to be granted a full FSC upon award of a ESA Contract classified CONFIDENTIAL and/ or SECRET.

24. Applications for the security clearance for persons working for contractor entities shall be made to the NSA/DSA, which is responsible for the entity.

25. If an entity wishes to employ a national of a non-ESA Member State in a position that requires access to ESA classified information, it is the responsibility of the NSA/DSA of the Member State in which the hiring entity is located and incorporated, to carry out the security clearance procedure prescribe herein, and determine that the individual can be granted access in accordance with Section V.

Transmission of documents/material classified ESA CONFIDENTIAL or ESA SECRET between Member States.

26. Information classified ESA CONFIDENTIAL and/or ESA SECRET will normally be transferred between ESA and its Member States through government-to-government diplomatic channels or through channels approved by the NSAs/DSAs of the Member States.

International transportation of ESA classified material

27. The following principles shall be enforced when examining proposed security arrangements for the international transportation of consignments of classified material:

(a) security shall be assured at all stages during the transportation and under all circumstances, from the point of origin to the ultimate destination;

(b) the degree of protection accorded to a consignment shall be determined by the highest classification level of material contained within it;

(c) an FSC shall be obtained, where appropriate, for entities providing transportation. In such cases, personnel handling the consignment shall be cleared according to an appropriate level;

(d) journeys shall be point-to-point to the extent possible, and shall be completed as quickly as circumstances permit, and

(e) care shall be exercised to arrange routes only through ESA Member States. Routes through non ESA Member States should only be undertaken when authorised by the NSA/DSA of the consignors Member State and the consignee.

28. Arrangements for consignments of classified material shall be stipulated between the NSA/DSA concerned. However, such arrangements shall ensure that there is no likelihood of unauthorised access to classified material.

Packaging of Documents and small-sized material

29. Packaging of consignments shall be in compliance with Section VII of these regulations. The Security Officer of the consignor facility is responsible for the supervision of packaging. Special cases requiring additional guidance should be discussed with the facility’s NSA/DSA. In no circumstances shall the packaging reveal the fact that the material is classified.

Hand carriage of ESA classified documents/material

30. When transmission through channels specified in Section VII will result in an unacceptable delay that will adversely affect performance of the ESA contract and when it has been verified that the information is not available at the intended destination, the procedures of hand carriage may be permitted provided the following provisions are complied with:

a) the courier shall be a permanent staff or employee of the dispatching or receiving entity. Shipping agents or commercial courier services shall not be used;

b) the procedure shall be used on a case-by-case basis, subject to the prior approval by the NSAs/DSAs of the Member States concerned.

c) the courier holds the appropriate security clearance;

d) the courier is aware of his responsibilities for safe custody; the courier must carry a courier certificate or a multi-travel courier certificate authorising him to carry the package as identified as well as a copy of “Notes for the courier” (see Annex 1 and appendices for ESA staff members and experts and Annexe 2 and appendices for any other person); a record of the documents/material so carried is held in the appropriate office or registry of the dispatching facility.

31. The dispatching authority/facility will notify the receiving authority/facility about the details (e.g. time of arrival, name of courier) prior to the hand-carriage taking place.

32. Under no circumstances shall the classified consignment be handed over to Customs or other public officials for their custody.

Transportation of items classified ESA CONFIDENTIAL and/or ESA SECRET by Commercial Carriers as Freight

33. Classified items that cannot be transmitted by one of the foregoing methods or where large volumes of classified material (e.g. equipment, components of satellites or launchers) are to be conveyed, they may be transported as freight by commercial carriers in line with the following criteria for handling international shipment, as appropriate:

a) hold an appropriate FSC issued by the NSA/DSA of the ESA Member State of origin if deemed necessary and according to national security regulations;

b) be authorised by laws or regulations of the ESA Member State of origin to provide international transportation services;

c) is obligated to comply with safety, security and emergency procedures which must be observed.

Transportation by road

34. The following standards shall be applied when consignments of ESA classified material are transmitted by road transportation:

a) if required by national rules and regulations, the carrier, the driver and/or co-driver must be security cleared up to the level of the classification of the consignment.

b) the material will be secured in vehicles or containers by a lock or padlock, closed van or cars that may be sealed;

c) containers must bear no visible indication of their contents;

d) consignments will be transported point-to-point;

e) the consignor and the consignee are responsible for jointly organising the transport and for its notification to their respective NSA/DSA who should jointly approve the transportation plan;

f) where appropriate the NSAs/DSAs will advise their customs or other relevant national authorities of impending consignments and should be urged to give maximum priority to the shipment.

35. If the classified consignment cannot be secured as described in paragraph 34.b) the consignment should be encased or sheathed so as to protect the classified aspects and prevent unauthorised persons from gaining access.

Transportation by rail

36. Transportation by rail may be used for consignments of ESA classified material on the basis of the following condition: passenger accommodations shall be made available for security guard personnel and during stops the security guard shall remain with the consignment.

Transportation by sea

37. The following standards shall be applied when consignments of ESA material classified CONFIDENTIAL and/or SECRET are sent by sea:

a) a cleared guard or escort shall accompany the consignment;

b) material shall be stowed in locked stowage space approved by the NSA/DSA of the consignor. The consignment must be under security control;

c) stops at maritime countries presenting special security risks shall be assessed by the NSAs/DSAs of the consignor/consignee. Unless the ship is in emergencies, it shall not enter the territorial waters of any of these countries without the authorisation of the NSAs/DSAs concerned;

d) stops at any non ESA member States’ port shall not be permitted unless prior approval of the consignor’s NSA/DSA has been obtained;

e) in all cases, loading and unloading shall be under security control;

f) deliveries to the port of embarkation and collection from the port of disembarkation must be so timed to prevent, as far as possible, a consignment being held in port warehouses.

Transportation by Aircraft

38. An air carrier may be used provided the following standards shall be applied:

a) Airlines of ESA Member States shall normally be used. However in exceptional circumstances such as the extreme size of the consignment, airlines of non ESA Member States may be used in consultation with the NSA/DSA of the consignor;

b) the consignment shall be delivered straight to the aircraft rather than being stored in warehouses, etc.. at airports, airfields. A sufficient number of security guards must be provided to keep the consignment under adequate supervision;

c) every effort shall be made for the aircraft to be met on landing and the consignment to be removed at its final destination.

d) Intermediate routine stops of short duration may be permitted, provided the consignment shall remain in the aircraft;

e) In the event the aircraft is delayed at an intermediate stop or has to make an emergency landing, the security guard shall take all measures considered necessary for the protection of the consignment;

f) Direct flights shall be used whenever possible and, except in an emergency, stops at airfields in non ESA Member State shall not be permitted unless final destination is in a non ESA Member State.

Security Guards and Escorts

39. Individuals fulfilling the duties of security guards may be armed or unarmed depending on national practices and arrangements made by between the NSAs/DSAs of the Member States affected by the transportation. They must be nationals of ESA Member States and be security cleared.

40. The security guard/escort shall be composed of an adequate number of personnel as to ensure regular tours of duty and rest. Their number shall depend on the classification level of the material, the method of transportation to be used, the estimated time in transit and the quantity of material will also be considered.

41. It is the responsibility of the consignor and, where applicable, the consignee to instruct security guards in their duties. Security guards shall also be given a copy of “Notes for the Courier” (appendix 2 to Annex 1) and be required to sign a receipt for it.

Transportation of items classified ESA RESTRICTED

42. ESA RESTRICTED items will be transported in accordance with the provisions set out in paragraph 21 of Section VII.

International visits

43. International visits involving access to information classified ESA CONFIDENTIAL and ESA SECRET will be subject to approval, in accordance with the rules and regulations of the receiving Member State. The procedures for ESA international visits are based on the use of the “Request for visit” (RFV) as shown at Annex 4.

44. ESA, national bodies, contractors and subcontractors, which intend to send personnel on international visits, shall submit to the NSA/DSA of the entity to be visited, through the agreed official channels, an international visit request in accordance with the procedures set out in the PSI and/or SAL. The visit request shall include an assurance/certification of Personnel Security Clearance for each visitor.

45. The procedures apply to the following types of visits:

a) one-time visits – single visits for a specified purpose, normally lasting less than 15 days and which are not anticipated to be repeated within the year;

b) recurring visits –intermittent, recurring visits over a specified period of time, normally not exceeding one year and for a special purpose; and

c) emergency visits – one-time visits that must take place as a matter of urgency and importance, such that the standard visit request procedure cannot be used.

46. Request for recurring visits should normally be used for contracts for all ESA programmes. They shall be valid for one year from the start date requested in the RFV. Recurring visits shall be re-submitted for the re-issuance annually.

47. To qualify as an emergency visit, the following conditions shall be met:

a) the proposed visit is related to an official ESA request for proposal/request for tender offer, or

b) the visit is to be made in response to the invitation of the host national body or the ESA Programme Management Office; or

c) a ESA programme will be adversely affected if the visit request is not approved.

48. Where permitted by national security rules and regulations, ESA RESTRICTED visits may be arranged directly between the Security Office for the visitor and the Security Office of the entity to be visited.

49. The ESA international visit procedures will normally be those defined in Annex 4. However, in case of a specific programme, when all NSAs/DSAs involved determine that these general procedures would not be the best suitable for their specific requirements, they may establish more flexible procedures, in coordination with the ESA Security Office, provided that these are compatible with the principles set out in this section and allow such authorities to obtain the same information and the same essential guarantees of security. The ESA international visit procedures will then be those defined in Annex 5.

ESA/C/R/CLXI/Rules 1 (Final)

Anlage 2 Teil I der Erläuterungen

SICHERHEITSVORSCHRIFTEN DER ESA – TEIL I

GRUNDPRINZIPIEN UND MINDESTNORMEN FÜR DEN SCHUTZ DER IM ZUSAMMENHANG MIT DEN TÄTIGKEITEN DER ESA HERVORGEBRACHTEN UND WEITERGEGEBENEN VERSCHLUSSSACHEN

EINLEITUNG

1. Die vorliegenden Bestimmungen enthalten die Grundprinzipien und Mindestnormen für die Sicherheit, die von der Europäischen Weltraumorganisation (im folgenden „die ESA“ genannt) und ihren Mitgliedstaaten anzuwenden sind, damit ESA-Verschlußsachen vor dem Verlust ihrer Vertraulichkeit, Integrität und Verfügbarkeit bewahrt bleiben. Im Einklang mit diesen Grundprinzipien und Normen werden in der ESA und ihren Mitgliedstaaten Sicherheitsprogramme eingeführt, die gemäß Artikel 3 des Sicherheitsübereinkommens der ESA einen Schutz in einheitlichem Umfang sicherstellen.

2. Die Hauptziele der ESA im Bereich der Sicherheit sind:

a) Schutz von ESA-Verschlußsachen vor Spionage, Kenntnisnahme durch Unbefugte oder unerlaubter Weitergabe;

b) Schutz von ESA-Verschlußsachen, die in Kommunikations- und Informationssystemen und -netzen behandelt werden, vor Gefahren für ihre Integrität und Verfügbarkeit;

c) Schutz von Einrichtungen, in denen ESA-Verschlußsachen aufbewahrt werden, vor Sabotage und vorsätzlicher Beschädigung;

d) im Falle des Versagens der Sicherheitsvorkehrungen Bewertung des entstandenen Schadens, Begrenzung seiner Folgen und Durchführung der erforderlichen Maßnahmen zu seiner Behebung.

3. Die Grundlagen für die Schaffung einer soliden Sicherheitslage sind:

a) in jedem Mitgliedstaat eine nationale Sicherheitsbehörde (NSA)/benannte Sicherheitsbehörde (DSA), die sich zu vergewissern hat, daß in bezug auf alle Inländer, die Zugang zu als „ESA VERTRAULICH“ und höher eingestuften Informationen haben müssen, ein Sicherheitsunbedenklichkeitsbescheid ergangen ist;

b) in jedem Mitgliedstaat eine nationale Sicherheitsstruktur, die dafür zuständig ist,

i) Erkenntnisse über Spionage, Sabotage, Terrorismus und andere subversive Tätigkeiten zu sammeln und zu speichern sowie

ii) ihre jeweilige Regierung und – über sie – den ESA-Rat über Art und Umfang von Bedrohungen der Sicherheit und entsprechende Schutzmaßnahmen zu informieren und zu beraten;

c) in jedem Mitgliedstaat und in der ESA eine technische INFOSEC-Stelle, die dafür zuständig ist, in Zusammenarbeit mit der betreffenden Sicherheitsbehörde Informationen und Beratung über technische Bedrohungen der Sicherheit und entsprechende Schutzmaßnahmen bereitzustellen;

d) eine regelmäßige Zusammenarbeit zwischen Regierungsstellen, Einrichtungen und den entsprechenden ESA-Dienststellen, um erforderlichenfalls

i) die schutzbedürftigen Informationen, Ressourcen und Einrichtungen und

ii) gemeinsame Schutznormen

zu bestimmen und entsprechende Empfehlungen abzugeben.

4. Im Bereich der Geheimhaltung muß bei der Auswahl der schutzbedürftigen Informationen und Materialien und bei der Bewertung des Ausmaßes des erforderlichen Schutzes mit Sorgfalt vorgegangen und auf Erfahrungen zurückgegriffen werden. Es ist von entscheidender Bedeutung, daß der Umfang des Schutzes der Sicherheitseinstufung der zu schützenden Informationen und Materialien entspricht. Im Interesse eines reibungslosen Informationsflusses muß dafür gesorgt werden, daß eine zu hohe Einstufung von Verschlußsachen vermieden wird. Das Einstufungssystem ist das Instrument, mit dem diesen Grundsätzen Wirkung verliehen wird. Dasselbe Einstufungssystem sollte bei der Planung und Organisierung von Maßnahmen zur Bekämpfung von Spionage, Sabotage, Terrorismus und anderen Arten der Bedrohung angewandt werden, so daß die wichtigsten Gebäude, in denen ESA-Verschlußsachen aufbewahrt werden, und die sensibelsten Punkte innerhalb dieser Gebäude auch den größten Schutz erhalten.

Regeln für die Einstufung als Verschlußsache

5. Geheimhaltungsgrade

Verschlußsachen werden wie folgt eingestuft:

„ESA STRENG GEHEIM“ (ESA TS): Dieser Geheimhaltungsgrad findet nur auf Informationen und Material Anwendung, deren unbefugte Weitergabe den wesentlichen Interessen der ESA und/oder eines oder mehrerer ihrer Mitgliedstaaten einen äußerst schweren Schaden zufügen könnte.

„ESA GEHEIM“ (ESA S): Dieser Geheimhaltungsgrad findet nur auf Informationen und Material Anwendung, deren unbefugte Weitergabe den wesentlichen Interessen der ESA und/oder eines oder mehrerer ihrer Mitgliedstaaten schweren Schaden zufügen könnte.

„ESA VERTRAULICH“ (ESA C): Dieser Geheimhaltungsgrad findet auf Informationen und Material Anwendung, deren unbefugte Weitergabe den wesentlichen Interessen der ESA und/oder eines oder mehrerer ihrer Mitgliedstaaten schaden könnte.

„ESA NUR FÜR DEN DIENSTGEBRAUCH“ (ESA R): Dieser Geheimhaltungsgrad findet auf Informationen und Material Anwendung, deren unbefugte Weitergabe für die Interessen der ESA und/oder eines oder mehrerer ihrer Mitgliedstaaten nachteilig sein könnte.

6. Informationen sind nur dann als Verschlußsachen einzustufen, wenn dies nötig ist. Der Geheimhaltungsgrad ist klar und korrekt anzugeben und nur so lange beizubehalten, wie die Informationen geschützt werden müssen.

7. Die Verantwortung für die Festlegung des Geheimhaltungsgrades einer Information liegt allein beim Urheber der Information. ESA-Verschlußsachen dürfen nur mit vorheriger schriftlicher Zustimmung des Urhebers und erforderlichenfalls nach Erörterung mit den übrigen beteiligten Parteien herabgestuft werden; das Gleiche gilt für die Aufhebung des Geheimhaltungsgrades.

GRUNDPRINZIPIEN

8. Die Sicherheitsmaßnahmen sollen

a) alle Personen, die Zugang zu ESA-Verschlußsachen haben, die Träger von Verschlußsachen und alle Gebäude, in denen sich derartige Verschlußsachen und wichtige Einrichtungen befinden, umfassen;

b) so ausgelegt sein, daß Personen, die aufgrund ihrer Stellung die Sicherheit von Verschlußsachen und wichtigen Einrichtungen, in denen Verschlußsachen aufbewahrt werden, gefährden könnten, erkannt und vom Zugang ausgeschlossen oder ferngehalten werden;

c) verhindern, daß unbefugte Personen Zugang zu ESA-Verschlußsachen oder zu Einrichtungen, in denen sie aufbewahrt werden, erhalten;

d) dafür sorgen, daß ESA-Verschlußsachen nur unter Beachtung des für alle Aspekte der Sicherheit grundlegenden Prinzips „Kenntnis nur wenn nötig“ verbreitet werden;

e) die Integrität (d.h. Verhinderung von Verfälschungen, unbefugten Änderungen oder unbefugten Löschungen) und die Verfügbarkeit (d.h. keine Verweigerung des Zugangs für Personen, die ihn benötigen und dazu befugt sind) aller ESA-Verschlußsachen und insbesondere der in elektromagnetischer Form gespeicherten, verarbeiteten oder übermittelten Informationen gewährleisten.

ORGANISATION DER SICHERHEIT

9. Der Generaldirektor der ESA und jeder Mitgliedstaat sorgen dafür, daß von allen nationalen Stellen sowie von der Hauptverwaltung, den Niederlassungen und Anlagen der ESA und Vertragspartnern gemeinsame Mindestnormen für die Sicherheit eingehalten werden, so daß bei der Weitergabe von ESA-Verschlußsachen darauf vertraut werden kann, daß diese mit derselben Sorgfalt behandelt werden. Zu diesen Mindestnormen gehören Kriterien für die Sicherheitsüberprüfung des Personals und Verfahren für den Schutz von ESA-Verschlußsachen.

10. Für die ESA ist der Generaldirektor insbesondere damit betraut,

a) die Sicherheitsvorschriften der ESA anzuwenden;

b) die Sicherheitsprobleme zu prüfen, mit denen die Hauptverwaltung, die Niederlassungen und die Anlagen der ESA ihn befassen;

c) Fragen, die Änderungen der Sicherheitsvorschriften der ESA betreffen, in enger Verbindung mit den NSA/DSA oder anderen zuständigen nationalen Behörden der Mitgliedstaaten zu prüfen.

11. Der ESA-Rat setzt einen Sicherheitsausschuß ein. Ihm sollten Delegierte der Mitgliedstaaten angehören, die auch die zuständigen nationalen Sicherheitsbehörden vertreten. Er wird von einem Vorsitzenden und einem Stellvertretenden Vorsitzenden geleitet, die von den Vertretern der Mitgliedstaaten gewählt werden. Der Sicherheitsausschuß berät den ESA-Rat im Rahmen seines Auftrags in allen die Sicherheit betreffenden Fragen.

12. Zur Wahrnehmung der oben genannten Aufgaben steht dem Generaldirektor der ESA das ESA-Sicherheitsbüro zur Verfügung. Der Leiter des ESA-Sicherheitsbüros ist für die Koordinierung, Überwachung und Durchführung von Sicherheitsmaßnahmen einschließlich der Sicherheit von IT-Systemen und -Netzen verantwortlich.

13. In jedem Mitgliedstaat sollte eine für die Sicherheit von ESA-Verschlußsachen zuständige NSA/DSA benannt werden. Diese NSA/DSA sollte insbesondere für folgendes verantwortlich sein:

a) die Gewährleistung der Sicherheit von ESA-Verschlußsachen, die von einer Stelle oder Einrichtung ihres Landes im In- oder Ausland verwahrt werden;

b) die Genehmigung der Anlegung eines zentralen Registers für Verschlußsachen, die als „ESA STRENG GEHEIM“ eingestuft sind;

c) die periodische Überprüfung der Sicherheitsvorkehrungen für den Schutz von ESA-Verschlußsachen;

d) die Sorge dafür, daß alle in Stellen ihres Landes beschäftigten Personen, die zur Erfüllung ihrer amtlichen Pflichten Zugang zu als „ESA STRENG GEHEIM“, „ESA GEHEIM“ und „ESA VERTRAULICH“ eingestuften ESA-Verschlußsachen haben müssen oder deren Pflichten oder Aufgaben ihnen Zugang zu solchen Verschlußsachen gewähren können, auf angemessene Weise sicherheitsüberprüft werden, bevor sie Zugang zu solchen Verschlußsachen erhalten;

e) die Aufstellung der Sicherheitspläne, die für erforderlich gehalten werden, um zu verhindern, daß ESA-Verschlußsachen in unbefugte Hände gelangen.

14. Das ESA-Sicherheitsbüro und die zuständige NSA/DSA führen gemeinsam und im beiderseitigen Einvernehmen periodische Inspektionen der Sicherheitsvorkehrungen durch, die in der ESA zum Schutz von ESA-Verschlußsachen getroffen werden.

SICHERHEIT DES PERSONALS

Sicherheitsüberprüfung

15. Der Zugang zu ESA-Verschlußsachen wird nur Personen gestattet, die Kenntnis von ihnen haben müssen, um die ihnen übertragenen Aufgaben oder Aufträge erfüllen zu können. Für die Entscheidung darüber, wer Kenntnis haben muß, sind der Generaldirektor der ESA, der Leiter der ESA-Hauptverwaltung, -Niederlassung und

-Anlage sowie die nationale Stelle, in der die betreffende Person beschäftigt werden soll, entsprechend den Anforderungen der jeweiligen Aufgabe verantwortlich.

16. Alle Personen, die zur Erfüllung ihrer amtlichen Pflichten Zugang zu als „ESA VERTRAULICH“ oder höher eingestuften ESA-Verschlußsachen haben müssen oder deren Pflichten oder Aufgaben ihnen Zugang zu solchen Verschlußsachen gewähren können, werden einer Sicherheitsüberprüfung unterzogen, bevor sie eine Zugangsermächtigung erhalten. Eine entsprechende Sicherheitsüberprüfung wird auch im Falle von Personen vorgenommen, zu deren Aufgaben der technische Betrieb oder die Wartung von Kommunikations- und Informationssystemen gehört, die Verschlußsachen enthalten.

Bei der Sicherheitsüberprüfung soll insbesondere festgestellt werden, ob die betreffenden Personen

a) von unzweifelhafter Loyalität sind;

b) hinsichtlich ihres Charakters und ihrer Diskretionsfähigkeit so beschaffen sind, daß ihre Integrität beim Umgang mit ESA-Verschlußsachen außer Zweifel steht;

c) eventuell aus dem Ausland oder von anderer Seite her leicht unter Druck gesetzt werden können, z.B. aufgrund ihres früheren Wohnsitzes oder früherer Verbindungen, die ein Sicherheitsrisiko darstellen könnten.

17. Besonders gründlich ist die Sicherheitsüberprüfung bei Personen vorzunehmen, die

a) Zugang zu Informationen des Geheimhaltungsgrades „ESA STRENG GEHEIM“ erhalten sollen,

b) Stellen bekleiden, bei denen sie regelmäßig mit einer beträchtlichen Menge an Informationen des Geheimhaltungsgrades „ESA GEHEIM“ zu tun haben;

c) aufgrund ihres Aufgabenbereichs besonderen Zugang zu jeweils entscheidend wichtigen Kommunikations- oder Informationssystemen und somit Gelegenheit haben, sich unbefugt Zugang zu einer größeren Menge von ESA-Verschlußsachen zu verschaffen oder in dem betreffenden Aufgabenbereich durch technische Sabotageakte schweren Schaden zu verursachen.

In den unter den Buchstaben a, b und c genannten Fällen soll soweit als nur möglich auf die Methode der Umfeldermittlung zurückgegriffen werden.

18. Das Sicherheitsüberprüfungsverfahren wird auf Ersuchen des anstellenden Organs durch die NSA/DSA oder eine andere zuständige Behörde des Mitgliedstaats, dessen Staatsangehörigkeit die betreffende Person besitzt, durchgeführt. Hat die betreffende Person ihren Wohnsitz im Hoheitsgebiet eines anderen Mitgliedstaats, können sich die zuständigen nationalen Behörden die Mitwirkung der Behörden des Wohnsitzstaates sichern. Besitzt die Person nicht die Staatsangehörigkeit eines Mitgliedstaats, obliegt die Durchführung des Sicherheitsüberprüfungsverfahrens der NSA/DSA oder der zuständigen nationalen Behörde des Mitgliedstaates, in dem diese Person arbeitet und/oder ihren Wohnsitz hat.

19. Das anstellende Organ benennt in seinem Ersuchen die Art und den Geheimhaltungsgrad der ESA-Verschlußsachen, zu denen die betreffende Person Zugang erhalten soll, damit die NSA/DSA oder die zuständigen nationalen Behörden das Sicherheitsüberprüfungsverfahren durchführen und zu der der betreffenden Person zu erteilenden Ermächtigungsstufe Stellung nehmen können.

20. Für den gesamten Ablauf und die Ergebnisse des Sicherheitsüberprüfungsverfahrens gelten die einschlägigen Vorschriften und Regelungen des betreffenden Mitgliedstaats einschließlich der Vorschriften und Regelungen für etwaige Rechtsbehelfe.

21. Ausnahmsweise kann der Generaldirektor der ESA mit Zustimmung der NSA/DSA oder der zuständigen nationalen Behörde einem Mitglied des ESA-Personals für höchstens sechs Monate eine einstweilige Zugangsermächtigung für Verschlußsachen nur bis zum Geheimhaltungsgrad „ESA GEHEIM“ einschließlich erteilen, bis ihm die Ergebnisse des Sicherheitsüberprüfungsverfahrens vorliegen.

Verzeichnis der Zugangsermächtigungen

22. Nationale Stellen sowie die Hauptverwaltung, Niederlassungen und Anlagen der ESA oder Vertragspartner, die mit ESA-Verschlußsachen zu tun haben oder jeweils entscheidend wichtige Kommunikations- und Informationssysteme verwalten, führen ein Verzeichnis der Zugangsermächtigungen des bei ihnen arbeitenden Personals. Jede Zugangsermächtigung ist erforderlichenfalls zu überprüfen, um sicherzustellen, daß sie der derzeitigen Tätigkeit der betreffenden Person entspricht; sie ist vorrangig zu überprüfen, wenn neue Informationen eingehen, denen zufolge eine weitere Beschäftigung dieser Person mit Verschlußsachen nicht länger mit den Sicherheitsinteressen vereinbar ist. Das Verzeichnis der Zugangsermächtigungen ist vom Sicherheitsbeauftragten der betreffenden nationalen Stelle, ESA-Hauptverwaltung, -Niederlassung und ‑Einrichtung oder des betreffenden Vertragspartners zu führen.

Sicherheitsanweisungen für das Personal

23. Alle Personen, die Stellen bekleiden, an denen sie Zugang zu Verschlußsachen erhalten könnten, sind bei Aufnahme ihrer Tätigkeit und danach in regelmäßigen Abständen eingehend über die Notwendigkeit von Sicherheitsbestimmungen und über die Verfahren zu ihrer Durchführung zu unterrichten. Alle diese Personen sollten schriftlich bestätigen, daß sie die für ihre Arbeit relevanten Sicherheitsbestimmungen in vollem Umfang verstehen.

Verantwortung der Führungskräfte

24. Führungskräfte haben die Pflicht, sich Kenntnis darüber zu verschaffen, welche ihrer Mitarbeiter mit Verschlußsachen zu tun haben oder über einen Zugang zu jeweils entscheidend wichtigen Kommunikations- oder Informationssystemen verfügen, sowie alle Vorfälle oder offensichtlichen Schwachpunkte von Personen, die sicherheitsrelevant sein können, festzuhalten und darüber zu berichten.

Sicherheitsstatus des Personals

25. Es sind Verfahren vorzusehen, um dafür zu sorgen, daß bei Bekanntwerden nachteiliger Informationen über eine Person festgestellt wird, ob diese Person mit Verschlußsachen zu tun hat oder über einen Zugang zu jeweils entscheidend wichtigen Kommunikations- oder Informationssystemen verfügt, und daß die betreffende Behörde hiervon unterrichtet wird. Ist klar erwiesen, daß die fragliche Person ein Sicherheitsrisiko darstellt, ist sie von Aufgaben, bei denen sie die Sicherheit gefährden könnte, auszuschließen oder fern zu halten.

„ESA STRENG GEHEIM“-REGISTRATUREN

26. Durch “ESA STRENG GEHEIM”-Registraturen ist sicherzustellen, daß die Registrierung, Handhabung und Verteilung von „ESA STRENG GEHEIM”-Dokumenten gemäß den Sicherheitsvorschriften der ESA erfolgt.

27. Die Zentralregistraturen sind die hauptsächlichen Empfangs- und Versandstellen in den Mitgliedstaaten und in der ESA-Hauptverwaltung, in denen solche Registraturen eingerichtet sind.

VERLETZUNG DER SICHERHEIT UND KENNTNISNAHME VON ESA-VERSCHLUSSSACHEN DURCH UNBEFUGTE

28. Zu einer Verletzung der Sicherheit kommt es, wenn durch eine Handlung oder durch eine Unterlassung, die den Sicherheitsvorschriften der ESA oder eines der Mitgliedstaaten zuwiderläuft, ESA-Verschlußsachen in Gefahr geraten oder Unbefugten zur Kenntnis gelangen.

29. Eine Kenntnisnahme von ESA-Verschlußsachen durch Unbefugte liegt vor, wenn die Verschlußsachen ganz oder teilweise in die Hände unbefugter Personen (d.h. von Personen, die nicht die erforderliche Zugangsermächtigung haben oder deren Kenntnis der Verschlußsachen nicht nötig ist) gelangt ist oder es wahrscheinlich ist, daß eine solche Kenntnisnahme stattgefunden hat.

30. Die Kenntnisnahme von ESA-Verschlußsachen durch Unbefugte kann die Folge von Nachlässigkeit, Fahrlässigkeit oder Indiskretion, aber auch der Tätigkeit von Diensten, die in der ESA oder ihren Mitgliedstaaten Kenntnis von ESA-Verschlußsachen und geheimen Tätigkeiten erlangen wollen, oder von subversiven Organisationen sein.

31. Jede Sicherheitsbehörde hat die Pflicht, unmittelbar nach ihrer Unterrichtung von einer möglichen Sicherheitsverletzung hierüber dem Sicherheitsbüro der ESA Bericht zu erstatten.

32. Gegen jede für die Kenntnisnahme von ESA-Verschlußsachen durch Unbefugte verantwortliche Person können disziplinarische Maßnahmen aufgrund der geltenden Vorschriften und Regelungen ergriffen werden. Diese Maßnahmen lassen etwaige andere rechtliche Verfahren unberührt. Die Mitglieder des ESA-Personals sind von den möglichen rechtlichen Folgen von Verletzungen der Sicherheit und vor allem von der in Artikel 7 des ESA-Sicherheitsübereinkommens vorgesehenen Möglichkeit der Aufhebung ihrer Immunität in Kenntnis zu setzen.

MATERIELLER GEHEIMSCHUTZ

Schutzbedarf

33. Der Umfang der anzuwendenden Maßnahmen des materiellen Geheimschutzes zur Gewährleistung des Schutzes von ESA-Verschlußsachen muß in angemessenem Verhältnis zum Geheimhaltungsgrad, zum Umfang und zur Bedrohung der entsprechenden Informationen und Materialien stehen. Es ist daher darauf zu achten, daß weder eine zu hohe noch eine zu niedrige Einstufung vorgenommen wird und daß die Einstufung regelmäßig überprüft wird. Alle Personen, die ESA-Verschlußsachen verwahren, haben einheitliche Praktiken bei der Einstufung der Informationen anzuwenden und gemeinsame Schutznormen für die Verwahrung, Übermittlung und Vernichtung schutzbedürftiger Informationen und Materialien zu beachten.

Kontrolle

34. Personen, die Bereiche, in denen sich ihnen anvertraute ESA-Verschlußsachen befinden, unbeaufsichtigt lassen, müssen dafür sorgen, daß die Verschlußsachen sicher aufbewahrt und alle Sicherheitsvorkehrungen (Schlösser, Alarm usw.) aktiviert worden sind. Weitere hiervon unabhängige Kontrollen sind nach den Dienststunden durchzuführen.

Gebäudesicherheit

35. Gebäude, in denen sich ESA-Verschlußsachen oder entscheidend wichtige Kommunikations- und Informationssysteme befinden, sind gegen unerlaubten Zutritt zu schützen. Die Art der Schutzmaßnahmen für ESA-Verschlußsachen (z.B. Vergitterung von Fenstern, Schlösser an Türen, Wachen am Eingang, automatische Zugangskontrollsysteme, Sicherheitskontrollen und Rundgänge, Alarmsysteme, Einbruchmeldesysteme und Wachhunde) hängt von folgenden Faktoren ab:

a) Geheimhaltungsgrad und Umfang der zu schützenden Informationen und Materialien sowie Ort ihrer Unterbringung im Gebäude;

b) Qualität der Sicherheitsbehältnisse, in denen sich die Informationen und Materialien befinden, und

c) Beschaffenheit und Lage des Gebäudes.

36. Die Art der Schutzmaßnahmen für Kommunikations- und Informationssysteme hängt in ähnlicher Weise von folgenden Faktoren ab: Einschätzung des Wertes der betreffenden Objekte und der Höhe des im Falle einer Kenntnisnahme durch Unbefugte eventuell entstehenden Schadens; Beschaffenheit und Lage des Gebäudes, in dem das System untergebracht ist; Ort, an dem sich das System innerhalb des Gebäudes befindet.

Notfallpläne

37. Es sind detaillierte Pläne auszuarbeiten, um im Falle eines örtlichen oder nationalen Notstands auf den Schutz von ESA-Verschlußsachen vorbereitet zu sein.

INFORMATIONSSICHERHEIT (INFOSEC)

Grundsätze und Verfahren für die Sicherheit von Systemen

38. Bei allen Kommunikations- und Informationssystemen und -netzen (im folgenden als „SYSTEME“ bezeichnet), in denen ESA-Verschlußsachen verarbeitet werden, sind Sicherheitsmaßnahmen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit der darin enthaltenen Informationen erforderlich. Alle auf diese Systeme anzuwendenden Sicherheitsmaßnahmen werden von der dazu vorgesehenen Akkreditierungsstelle für IT-Sicherheit (SAA) festgelegt; sie entsprechen dem festgestellten Risiko und stehen mit dem in den Sicherheitsvorschriften der ESA dargelegten Konzept im Einklang.

39. Um ein sicheres Umfeld für den Betrieb eines SYSTEMS zu schaffen, muß eine ausgewogene Kombination von Sicherheitsmaßnahmen ausgewählt und umgesetzt werden. Diese Maßnahmen betreffen physische Objekte, das Personal, nichttechnische Verfahren sowie Betriebsverfahren für Computer und Kommunikationssysteme.

40. Alle SYSTEME, in denen als „ESA VERTRAULICH“ und höher eingestufte Informationen verarbeitet werden, bedürfen der Akkreditierung.

41. Eine Akkreditierungsstelle für IT-Sicherheit (SAA) hat sicherzustellen, daß SYSTEME den Sicherheitsvorschriften der ESA entsprechen.

42. Bei SYSTEMEN, die der ESA gehören, gilt für die SAA folgendes:

– für ein von der Hauptverwaltung, Niederlassungen und Einrichtungen der ESA benutztes SYSTEM:

· Ist das SYSTEM nicht mit einem nationalen Informationssystem verbunden und verwendet oder verarbeitet nicht nationale Verschlußsachen, ist die Akkreditierung ein interner Vorgang;

· andernfalls führt ein Gremium aus Vertretern der ESA und der zuständigen NSA/DSA (der Mitgliedstaaten, die durch die Verbindung oder nationale Einstufung betroffen sind) das Akkreditierungsverfahren durch und erteilt den Akkreditierungsbescheid.

– Für von nationalen Stellen oder Vertragspartnern benutzte SYSTEME wird die Aufgabe der SAA von der NSA/DSA des Mitgliedstaats wahrgenommen, in dem das SYSTEM errichtet ist. In diesem Fall führt die NSA/DSA das Akkreditierungsverfahren durch und erteilt den Akkreditierungsbescheid.

43. Für alle SYSTEME, in denen als „ESA VERTRAULICH“ und höher eingestufte Informationen verarbeitet werden, ist eine Aufstellung der systemspezifischen Sicherheitsanforderungen (SYSTEM-specific Security Requirement Statement, SSRS) erforderlich, die von der SAA zu genehmigen ist.

44. Die Nutzer des SYSTEMS müssen sich erfolgreich einer Sicherheitsüberprüfung unterzogen haben, die dem Geheimhaltungsgrad der in ihrem jeweiligen SYSTEM verarbeiteten Informationen entspricht, und sie müssen einen entsprechenden berechtigten Informationsbedarf haben. Der Zugang zu bestimmten (z.B. kryptografischen) Geräten oder Informationen, die für die SYSTEME sicherheitsrelevant sind, erfordert eine besondere Ermächtigung, die von der zuständigen NSA/DSA erteilt wird.

MASSNAHMEN GEGEN SABOTAGE UND ANDERE FORMEN VORSÄTZLICHER BESCHÄDIGUNG

45. Vorsichtsmaßnahmen im Bereich des Objektschutzes zum Schutz wichtiger Einrichtungen, in denen Verschlußsachen untergebracht sind, sind die besten Sicherheitsgarantien gegen Sabotage und vorsätzliche Beschädigungen; eine Sicherheitsüberprüfung des Personals allein ist kein wirklicher Ersatz.

INDUSTRIELLE SICHERHEIT

46. Alle Einrichtungen, die an industriellen Tätigkeiten mit Zugang zu als „ESA VERTRAULICH“ und höher eingestuften Informationen teilnehmen, müssen einen Sicherheitsbescheid für Einrichtungen (Facility Security Clearance, FSC) besitzen.

47. Für alle als „ESA VERTRAULICH“ und höher eingestuften Verträge teilt der Hauptauftragnehmer der NSA/DSA der Nation, in der die Einrichtung, an die der Vertrag vergeben wurde, angesiedelt oder eingetragen ist, mit, daß dieser Einrichtung zusammen mit dem Vertrag eine Geheimschutzklausel (Security Aspect Letter, SAL) übermittelt worden ist.

48. Der Hauptauftragnehmer wird vertraglich unter Androhung der Kündigung seines Vertrags verpflichtet, alle von der ESA und/oder den NSA/DSA vorgeschriebenen Maßnahmen zum Schutz der ESA-Verschlußsachen, die von dem Auftragnehmer hervorgebracht oder ihm anvertraut werden oder in von ihm hergestellte Gegenstände eingehen, zu ergreifen.

49. Der Hauptvertrag enthält als Anlage eine Sicherheitsanweisung für Vorhaben (PSI). Ein „Einstufungsleitfaden für VS-Vorhaben“ ist Bestandteil der PSI. Alle anderen als Verschlußsache eingestuften ESA-Verträge enthalten mindestens eine „Geheimschutzklausel“ (SAL). Im letzteren Fall kann der Einstufungsleitfaden für VS-Vorhaben als „VS-Einstufungsliste“ bezeichnet werden. Die PSI und/oder SAL bilden das für die Sicherheit des Vertrags maßgebliche einheitliche Dokument.

50. Der Hauptauftragnehmer kann Unterverträge mit anderen Auftragnehmern, d.h. Unterauftragnehmern, aushandeln. Diese Unterauftragnehmer können ihrerseits Unteraufträge mit anderen Unterauftragnehmern aushandeln. Der Hauptauftragnehmer ist für alle Unterauftragstätigkeiten verantwortlich.

51. Für als „ESA VERTRAULICH“ und höher eingestufte Verträge müssen alle Auftragnehmer stets Inhaber eines FSC sein und dafür sorgen, daß ihre an den Verhandlungen beteiligten Vertreter Inhaber eines entsprechenden PSC (Sicherheitsbescheid für Personen) sind und nur Zugang zu den für die Aushandlung des Vertrags erforderlichen ESA-Verschlußsachen erhalten. Für als „ESA NUR FÜR DEN DIENSTGEBRAUCH“ eingestufte Verträge ist ein FSC nicht notwendig, sofern nicht nationale Sicherheitsvorschriften und -regelungen ihn ausdrücklich vorschreiben.

52. Anträge für die Sicherheitsüberprüfung von Personal der Auftragnehmereinrichtungen sind an die NSA/DSA, die für die Einrichtung verantwortlich ist, zu richten. In einem Antrag auf Überprüfung oder Erteilung eines PSC sind anzugeben:

a) die Bezeichnung und Sicherheitseinstufung des Vertrags oder Untervertrags und

b) der Geheimhaltungsgrad der ESA-Verschlußsachen, zu denen die betreffende Person Zugang haben wird.

53. Wünscht eine Einrichtung einen Staatsangehörigen eines ESA-Nichtmitgliedstaats in einer Stellung zu beschäftigen, die Zugang zu ESA-Verschlußsachen erfordert, ist die NSA/DSA des Mitgliedstaats, in dem sich die anstellende Einrichtung befindet, für die Durchführung des hier beschriebenen Sicherheitsüberprüfungsverfahrens und für die Entscheidung darüber verantwortlich, ob der betreffenden Person im Einklang mit den ESA-Sicherheitsvorschriften, insbesondere Teil I Abschnitt 8, Zugang gewährt werden kann.

AUSTAUSCH VON VERSCHLUSSSACHEN ZWISCHEN DER ESA UND DRITTSTAATEN ODER INTERNATIONALEN ORGANISATIONEN

54. Über den Austausch von ESA-Verschlußsachen mit Drittstaaten, internationalen Organisationen oder anderen Dritten entscheidet der ESA-Rat.

55. Hat der ESA-Rat entschieden, daß eine ständige oder langfristige oder fallweise Notwendigkeit für den Austausch von Verschlußsachen zwischen der ESA und Drittstaaten oder anderen internationalen Organisationen besteht, handelt der Generaldirektor der ESA mit ihnen Vereinbarungen über Sicherheitsverfahren für den Austausch von Verschlußsachen oder Abmachungen aus, die den Zweck der Zusammenarbeit und die gegenseitigen Vorschriften für den Schutz der ausgetauschten Informationen festlegen.

56. Der Entwurf der Vereinbarungen über Sicherheitsverfahren oder der Abmachungen ist vom Sicherheitsausschuß zu billigen, bevor er dem ESA-Rat zur Beschlußfassung unterbreitet wird.

57. Die Durchführung der Verfahren für die Weitergabe von ESA-Verschlußsachen, die von der ESA stammen, an einen Drittstaat oder eine internationale Organisation obliegt dem Generaldirektor. Stammen die Verschlußsachen, um deren Weitergabe ersucht wird, nicht von der ESA, hat der Generaldirektor zunächst die schriftliche Zustimmung des Urhebers der Verschlußsache einzuholen. Kann dieser Urheber nicht ermittelt werden, trifft das zuständige ESA-Gremium an seiner Stelle die Entscheidung.

ANLAGE

58. Eine Vergleichstabelle der Sicherheitseinstufungen der ESA und der Mitgliedstaaten ist in der Anlage enthalten.

GLOSSAR DER VERWENDETEN BEGRIFFE

Akkreditierung bezeichnet den Vorgang, der bestätigt, daß ein SYSTEM unter den in der Aufstellung der Systemspezifischen Sicherheitsanforderungen (SSRS) oder in einem anderen einschlägigen Dokument festgelegten Sicherheitsbedingungen betrieben wird und kein unannehmbares Risiko darstellt.

Anstellendes Organ bezeichnet das Organ, das befugt ist, eine Person anzustellen und um ihre Sicherheitsüberprüfung zu ersuchen.

Verfügbarkeit bedeutet, daß die Informationen und Materialien einer befugten Person oder Einrichtung auf Verlangen zugänglich sind und von ihr genutzt werden können.

Zuständige Behörde bezeichnet eine von der NSA eines Mitgliedstaates bestimmte Behörde, die zur Durchführung von Sicherheitsüberprüfungen befugt ist, um seinen Staatsangehörigen Zugang zu ESA-Verschlußsachen zu gewähren.

Auftragnehmer bezeichnet eine juristische Person oder Stelle, die sich bereit erklärt, als Haupt-, Einzel- oder Unterauftragnehmer Güter zu liefern oder Dienste zu erbringen.

Benannte Sicherheitsbehörde bezeichnet eine Behörde, die gegenüber der Nationalen Sicherheitsbehörde (NSA) eines Mitgliedstaates unter anderem für die Unterrichtung der Industrie über die nationale Politik in allen Fragen der industriellen Sicherheitspolitik der ESA und für Weisungen und Unterstützung bei ihrer Umsetzung verantwortlich ist. In manchen Ländern kann die Aufgabe einer DSA von der NSA wahrgenommen werden.

Einrichtung bezeichnet eine juristische Person oder Stelle.

ESA-Verschlußsachen bezeichnet alle Informationen, Dokumente oder Materialien gleich welcher Form, deren unbefugte Weitergabe den Interessen einer oder mehrerer Vertragsparteien des ESA-Sicherheitsübereinkommens schaden könnte und die durch eine Sicherheitseinstufung als solche gekennzeichnet wurden, unabhängig davon, ob diese Informationen von der ESA stammen oder der ESA von einem Mitgliedstaat zugeleitet werden oder von einem Mitgliedstaat einem anderen Mitgliedstaat zur Unterstützung eines Programms, Projekts oder Vertrags der ESA zugeleitet werden.

ESA-Sicherheitsüberprüfung bezeichnet die Feststellung, daß einer Person Zugang zu ESA-Verschlußsachen gewährt werden darf.

ESA-Sicherheitsübereinkommen bezeichnet das Übereinkommen zwischen den Vertragsstaaten des Übereinkommens zur Gründung einer Europäischen Weltraumorganisation und der Europäischen Weltraumorganisation für den Schutz und Austausch von der Geheimhaltung unterliegenden Informationen, das vom ESA-Rat am 13. Juni 2002 genehmigt wurde.

Mitglied des ESA-Personals bezeichnet eine nach Artikel XII Absatz 3 des ESA-Übereinkommens angestellte Person, deren Beschäftigungsbedingungen der Personalordnung der ESA und den zugehörigen Durchführungsbestimmungen und -richtlinien unterliegen.

Sicherheitsbescheid für Einrichtungen (FSC) bezeichnet die verwaltungsrechtliche Feststellung durch eine NSA/DSA, daß eine Einrichtung unter dem Gesichtspunkt der Sicherheit ausreichenden Schutz für ESA-Verschlußsachen eines festgelegten Geheimhaltungsgrads oder darunter bietet und ihr Personal, das Zugang zu ESA-Verschlußsachen haben muß, ordnungsgemäß sicherheitsüberprüft und von den bei ESA-Verträgen, die als Verschlußsache eingestuft sind, zu beachtenden Sicherheitsanforderungen der ESA unterrichtet wurde.

INFOSEC bezeichnet die Anwendung von Sicherheitsmaßnahmen zum Schutz von Informationen, die in Kommunikations-, Informations- und anderen elektronischen Systemen verarbeitet, gespeichert oder übermittelt werden, vor dem absichtlichen oder unabsichtlichen Verlust der Vertraulichkeit, Integrität oder Verfügbarkeit sowie zur Vermeidung des Verlusts der Integrität oder Verfügbarkeit der Systeme selbst.

Anmerkungen:

1. INFOSEC-Maßnahmen erstrecken sich auf die Sicherheit von Computern, die Sicherheit der Übertragung, die Sicherheit vor Abstrahlung und die kryptografische Sicherheit.

2. Diese Maßnahmen schließen auch die Aufdeckung, Dokumentation und Bekämpfung von Bedrohungen für Informationen und Systeme ein.

Mitgliedstaat bezeichnet einen Staat, der Vertragsstaat des Übereinkommens zur Gründung einer Europäischen Weltraumorganisation im Sinne seiner Artikel XX und XXII ist.

Nationale Stelle bezeichnet eine Abteilung, ein Büro, einen Dienst oder eine Einrichtung einer Verwaltungs- oder Regierungsstelle eines Mitgliedstaats.

Nationale Sicherheitsbehörde bezeichnet eine Behörde eines Mitgliedstaats, die für die Gewährleistung der Sicherheit von ESA-Verschlußsachen bei nationalen Stellen im In- und Ausland verantwortlich ist.

Das Prinzip „Kenntnis nur wenn nötig“ bezeichnet den Grundsatz, nach dem die positive Feststellung getroffen wird, daß ein vorgesehener Empfänger den Zugang zu, die Kenntnis oder den Besitz von Informationen benötigt, um die ihm übertragenen Aufgaben oder Aufträge erfüllen zu können.

Einstufungsleitfaden für VS-Vorhaben bezeichnet den Teil der Sicherheitsanweisung für Vorhaben (PSI), der die als Verschlußsachen eingestuften Teile eines Vorhabens unter Angabe der Geheimhaltungsgrade ausweist. Der Einstufungsleitfaden für VS-Vorhaben kann während der Laufzeit des Vorhabens erweitert werden, und Teile der Informationen können neu eingestuft oder herabgestuft werden.

Sicherheitsanweisung für Vorhaben bezeichnet eine Aufstellung der Sicherheitsvorschriften/-verfahren, die auf ein bestimmtes Vorhaben anzuwenden sind, um die Sicherheitsverfahren zu vereinheitlichen. Die PSI bildet auch eine Anlage zum Hauptvertrag und kann während der Laufzeit des Vorhabens geändert werden. Für im Rahmen des Vorhabens vergebene Unterverträge stellt die PSI die Grundlage für die Geheimschutzklausel dar.

Geheimschutzklausel bezeichnet ein von der zuständigen Stelle erstelltes Dokument, das Bestandteil aller als Verschlußsache eingestuften Verträge und Unterverträge ist und die Anforderungen an den Sicherheitsschutz festlegt oder die schutzbedürftigen Teile der Verträge oder Unterverträge bestimmt.

Annex 5

Anlage 2 Teil II der Erläuterungen

SICHERHEITSVORSCHRIFTEN DER ESA - TEIL II

ABSCHNITT I

DIE ORGANISATION DER SICHERHEIT IN DER EUROPÄISCHEN WELTRAUMORGANISATION

Der Generaldirektor

1. Der Generaldirektor nimmt in Absprache mit dem unter den Nummern 3 und 4 genannten Sicherheitsausschuss der ESA folgende Aufgaben wahr:

a) Er wendet die Sicherheitsvorschriften der ESA an;

b) er befasst sich mit Sicherheitsproblemen, die die Hauptverwaltung, Niederlassungen und Anlagen der ESA ihm vorlegen;

c) er prüft in enger Abstimmung mit den Nationalen Sicherheitsbehörden/Benannten Sicherheitsbehörden (NSA/DSA) oder sonstigen zuständigen Behörden der Mitgliedstaaten Fragen, die eine Änderung der Sicherheits-vorschriften der ESA erforderlich machen.

2. Der Generaldirektor ist insbesondere für folgendes zuständig:

a) Er koordiniert alle die Tätigkeiten der ESA betreffenden Sicherheitsfragen;

b) er trifft die erforderlichen Maßnahmen zur Anlegung eines Zentralregisters der als „ESA STRENG GEHEIM“ eingestuften Verschlusssachen in der Hauptverwaltung, den Niederlassungen und den Anlagen der ESA;

c) er richtet an die zuständigen Behörden der Mitgliedstaaten Anträge auf Sicherheitsüberprüfung von Bediensteten und Sachverständigen der ESA durch die jeweilige NSA im Einklang mit Abschnitt VI;

d) er ermittelt oder ordnet Ermittlungen an, wenn ESA-Verschlusssachen Unbefugten zur Kenntnis gelangt sind und die Ursache hierfür dem ersten Anschein nach in der Hauptverwaltung, den Niederlassungen oder den Anlagen der ESA zu suchen ist;

e) er ersucht die entsprechenden Sicherheitsbehörden um die Einleitung von Ermittlungen, wenn eine Kenntnisnahme von ESA-Verschlusssachen durch Unbefugte außerhalb der Hauptverwaltung, den Niederlassungen oder den Anlagen der ESA erfolgt zu sein scheint, und koordiniert die Ermittlungen in den Fällen, in denen mehr als eine Sicherheitsbehörde beteiligt ist;

f) er überprüft gemeinsam und im Einvernehmen mit den betreffenden NSA periodisch die Sicherheitsvorkehrungen zum Schutz von ESA-Verschlusssachen in den Mitgliedstaaten;

g) er unterhält enge Verbindungen zu allen betroffenen Sicherheitsbehörden, um für eine Gesamtkoordinierung der Sicherheitsmaßnahmen zu sorgen;

h) er behält ständig die Sicherheitsvorschriften und ‑verfahren der ESA im Auge und arbeitet gegebenenfalls entsprechende Empfehlungen aus. In diesem Zusammenhang legt er dem Rat der ESA den vom ESA-Sicherheitsbüro erstellten jährlichen Inspektionsplan vor.

Der Sicherheitsausschuss

3. Mit der ESA-Ratsentschließung ESA/C/R/CLIX/Res.1 (Final) vom 13. Juni 2002 wurde ein Sicherheitsausschuss eingesetzt. Diesem Ausschuss sollen Delegierte der Mitgliedstaaten angehören, die auch die zuständigen nationalen Sicherheitsbehörden vertreten und nach Bedarf Berater hinzuziehen können. Der Sicherheitsausschuss wird von einem Vorsitzenden und einem Stellvertretenden Vorsitzenden geleitet, die aus den Vertretern der Mitgliedstaaten gewählt werden.

4. Entsprechend seinem Auftrag berät der Sicherheitsausschuss den Rat und den Generaldirektor der ESA in allen die Sicherheit betreffenden Fragen und bereitet Beschlüsse hierüber vor, die er dem Rat zur Genehmigung empfiehlt.

Das ESA-Sicherheitsbüro

5. Dem Generaldirektor steht bei der Wahrnehmung seiner unter den Nummern 1 und 2 genannten Aufgaben das ESA-Sicherheitsbüro für die Koordinierung, Überwachung und Durchführung von Sicherheitsmaßnahmen zur Verfügung.

6. Der Leiter des ESA-Sicherheitsbüros berät den Generaldirektor in Sicherheitsfragen und fungiert als Sekretär des Sicherheitsausschusses. In dieser Hinsicht leitet er die Aktualisierung der Sicherheitsvorschriften und koordiniert die Sicherheitsmaßnahmen mit den zuständigen Behörden der Mitgliedstaaten und gegebenenfalls mit internationalen Organisationen, die Sicherheitsabkommen mit der ESA geschlossen haben. Er hat hierbei die Rolle einer Verbindungsperson.

7. Der Leiter des ESA-Sicherheitsbüros ist für die Zulassung von IT-Systemen und ‑Netzen in der ESA verantwortlich. Der Leiter des ESA-Sicherheitsbüros und die zuständigen NSA entscheiden gegebenenfalls gemeinsam über die Zulassung von IT-Systemen und ‑Netzen, die die Hauptverwaltung, Niederlassungen und Anlagen der ESA und andere Empfänger von ESA-Verschlusssachen umfassen.

Die Hauptverwaltung, Niederlassungen und Anlagen der ESA

8. Die Abteilung Standortverwaltung ist unter der Leitung des ESA-Sicherheitsbüros für die Durchführung von materiellen Sicherheitsmaßnahmen in der Hauptverwaltung, den Niederlassungen und den Anlagen der ESA zuständig. Der Leiter der Abteilung Standortverwaltung bestimmt einen seiner Mitarbeiter als den ihm rechenschaftspflichtigen Verantwortlichen für diesen Bereich. Der betreffende Mitarbeiter wird zum Standortsicherheitsbeauftragten ernannt.

Die Mitgliedstaaten

9. Jeder Mitgliedstaat sollte eine für die Sicherheit von ESA-Verschlusssachen zuständige NSA benennen.

10. Innerhalb der Verwaltungsstruktur der einzelnen Mitgliedstaaten sollte die jeweilige NSA für folgendes zuständig sein:

a) die Gewährleistung der Sicherheit von ESA-Verschlusssachen, die von einer Stelle oder Einrichtung ihres Landes im In- oder Ausland verwahrt werden;

b) die Genehmigung der Anlegung von „ESA STRENG GEHEIM“-Registern (diese Genehmigungsbefugnis kann auch auf den in einer Zentralregistratur für als „ESA STRENG GEHEIM“ eingestufte Verschlusssachen zuständigen Kontrollbeauftragten übertragen werden);

c) die periodische Überprüfung der Sicherheitsvorkehrungen für den Schutz von ESA-Verschlusssachen;

d) die Sorge dafür, dass alle Personen in einer Stelle ihres Landes, die zur Erfüllung ihrer amtlichen Pflichten Zugang zu als „ESA STRENG GEHEIM“, „ESA GEHEIM“ und „ESA VERTRAULICH“ eingestuften ESA-Verschlusssachen haben müssen oder deren Pflichten oder Aufgaben ihnen Zugang zu solchen Verschlusssachen gewähren können, auf angemessene Weise sicherheitsüberprüft werden, bevor sie Zugang zu solchen Verschlusssachen erhalten;

e) die Aufstellung der Sicherheitspläne, die für erforderlich gehalten werden, um zu verhindern, dass ESA-Verschlusssachen in unbefugte Hände gelangen.

Gegenseitige Sicherheitsinspektionen

11. Das ESA-Sicherheitsbüro und die jeweilige NSA führen gemeinsam und im beiderseitigen Einvernehmen periodische Inspektionen der Sicherheitsvorkehrungen durch, die zum Schutz von ESA-Verschlusssachen in der ESA getroffen werden.

ABSCHNITT II

GEHEIMHALTUNGSGRADE UND KENNZEICHNUNGEN

GEHEIMHALTUNGSGRADE

Verschlusssachen werden wie folgt eingestuft:

1. „ESA STRENG GEHEIM“ (ESA TS): Dieser Geheimhaltungsgrad findet nur auf Informationen und Material Anwendung, deren unbefugte Weitergabe den wesentlichen Interessen der ESA und/oder eines oder mehrerer ihrer Mitgliedstaaten einen äußerst schweren Schaden zufügen könnte.

2. „ESA GEHEIM“ (ESA S): Dieser Geheimhaltungsgrad findet nur auf Informationen und Material Anwendung, deren unbefugte Weitergabe den wesentlichen Interessen der ESA und/oder eines oder mehrerer ihrer Mitgliedstaaten schweren Schaden zufügen könnte.

3. „ESA VERTRAULICH“ (ESA C): Dieser Geheimhaltungsgrad findet auf Informationen und Material Anwendung, deren unbefugte Weitergabe den wesentlichen Interessen der ESA und/oder eines oder mehrerer ihrer Mitgliedstaaten schaden könnte.

4. „ESA NUR FÜR DEN DIENSTGEBRAUCH“ (ESA R): Dieser Geheimhaltungsgrad findet auf Informationen und Material Anwendung, deren unbefugte Weitergabe für die Interessen der ESA und/oder eines oder mehrerer ihrer Mitgliedstaaten nachteilig sein könnte.

KENNZEICHNUNGEN

5. Als Warnhinweis dienende Kennzeichnungen können benutzt werden, um den von einem Dokument abgedeckten Bereich oder eine besondere Verteilung gemäß dem Grundsatz „Kenntnis nur wenn nötig“ anzugeben.

6. Bestimmte Dokumente, insbesondere Dokumente mit Bezug zu Informationstechnologie (IT)-Systemen, können mit einer zusätzlichen Kennzeichnung versehen werden, die in den entsprechenden Regelungen und in Abschnitt XI dieser Vorschriften festgelegte weitere Sicherheitsmaßnahmen zur Folge hat.

ANBRINGUNG EINES HINWEISES AUF DEN GEHEIMHALTUNGSGRAD UND SONSTIGE KENNZEICHNUNGEN

7. Ein Hinweis auf den Geheimhaltungsgrad und sonstige Kennzeichnungen werden wie folgt angebracht:

a) bei Dokumenten, die als „ESA NUR FÜR DEN DIENSTGEBRAUCH“ eingestuft werden, mit mechanischen oder elektronischen Mitteln;

b) bei Dokumenten, die als „ESA VERTRAULICH“ eingestuft werden, mit mechanischen Mitteln und von Hand oder durch Druck auf vorgestempeltem, registriertem Papier;

c) auf Dokumenten, die als „ESA GEHEIM“ oder „ESA STRENG GEHEIM“ eingestuft werden, mit mechanischen Mitteln und von Hand.

ABSCHNITT III

REGELN FÜR DIE EINSTUFUNG ALS VERSCHLUSSSACHE

1. Informationen sind nur dann als Verschlusssachen einzustufen, wenn dies nötig ist. Der Geheimhaltungsgrad ist klar und korrekt anzugeben und nur so lange beizubehalten, wie die Informationen geschützt werden müssen.

2. Die Verantwortung für die Festlegung des Geheimhaltungsgrades einer Information und für jede anschließende Herabstufung oder Aufhebung des Geheimhaltungsgrades liegt allein beim Urheber der Information. Ist die ESA der Urheber, so werden Einstufungen, Herabstufungen oder Aufhebungen des Geheimhaltungsgrades von Verschlusssachen von den Bediensteten der ESA nur auf Anweisung ihres Direktors oder Abteilungsleiters oder mit dessen Zustimmung vorgenommen.

3. Die Zahl der Personen, die dazu ermächtigt sind, Dokumente des Geheimhaltungsgrades „ESA STRENG GEHEIM“ in Umlauf zu bringen, ist möglichst klein zu halten, und ihre Namen sind in einer Liste zu verzeichnen, die vom Generaldirektor und von jedem Mitgliedstaat geführt wird.

ANWENDUNG DER GEHEIMHALTUNGSGRADE

4. Bei der Festlegung des Geheimhaltungsgrades eines Dokuments wird das Ausmaß der Schutzbedürftigkeit seines Inhalts entsprechend der Definition in Abschnitt II Nummern 1 bis 4 zu Grunde gelegt. Es ist wichtig, dass die Einstufung korrekt vorgenommen wird und nur bei wirklichem Bedarf erfolgt. Dies gilt insbesondere für eine Einstufung als „ESA STRENG GEHEIM“.

5. Der Urheber eines Dokuments, das als Verschlusssache eingestuft werden soll, sollte sich der vorstehend genannten Regelungen bewusst sein und eine zu hohe oder zu niedrige Einstufung vermeiden. Eine hohe Einstufung scheint zwar auf den ersten Blick mehr Schutz für ein Dokument zu garantieren, doch kann die routinemäßige Vornahme einer zu hohen Einstufung dazu führen, dass das Vertrauen in die Gültigkeit des Einstufungssystems verlorengeht. Andererseits sollten Dokumente nicht in der Absicht zu niedrig eingestuft werden, die mit ihrem Schutz verbundenen Zwänge zu vermeiden.

6. Einzelne Seiten, Abschnitte, Teile, Anhänge oder sonstige Anlagen eines Dokuments können eine unterschiedliche Einstufung erforderlich machen und sind entsprechend zu kennzeichnen. Als Geheimhaltungsgrad des Gesamtdokuments gilt mindestens der Geheimhaltungsgrad seines am höchsten eingestuften Teils.

7. Ein Begleitschreiben oder ein Übermittlungsvermerk ist so hoch einzustufen wie die am höchsten eingestufte Anlage. Der Urheber sollte klar angeben, welcher Geheimhaltungsgrad für das Begleitschreiben bzw. den Übermittlungsvermerk gilt, wenn ihm seine Anlagen nicht beigefügt sind.

HERABSTUFUNG UND AUFHEBUNG DES GEHEIMHALTUNGSGRADES

8. ESA-Verschlusssachen dürfen nur mit vorheriger Zustimmung des Urhebers und erforderlichenfalls nach Erörterung mit den übrigen Beteiligten herabgestuft werden; das gleiche gilt für die Aufhebung des Geheimhaltungsgrades. Die Herabstufung oder Aufhebung des Geheimhaltungsgrades ist schriftlich zu bestätigen. Dem Urheber obliegt es, die Empfänger des Dokuments über die Änderung der Einstufung zu informieren, wobei letztere wiederum die weiteren Empfänger, denen sie das Original oder eine Kopie des Dokuments zugeleitet haben, davon zu unterrichten haben.

9. Soweit möglich gibt die Stelle, von der das Dokument stammt, auf dem als Verschlusssache eingestuften Dokument den Zeitpunkt oder eine Frist an, ab dem/nach deren Ablauf die in dem Dokument enthaltenen Informationen herabgestuft werden können oder deren Geheimhaltungsgrad aufgehoben werden kann. Anderenfalls überprüft sie die Dokumente spätestens alle fünf Jahre, um sich zu vergewissern, dass die ursprüngliche Einstufung nach wie vor erforderlich ist.

ABSCHNITT IV

MATERIELLER GEHEIMSCHUTZ

ALLGEMEINES

1. Hauptziel der Maßnahmen des materiellen Geheimschutzes ist es, zu verhindern, dass Unbefugte Zugang zu ESA-Verschlusssachen erhalten.

2. Die Abteilung Standortverwaltung trifft in enger Abstimmung mit dem Leiter des ESA-Sicherheitsbüros ergänzende Maßnahmen, wenn für geplante Tätigkeiten der ESA (z.B. mit Erprobungen und Starts verbundene Tätigkeiten) eine Verschärfung der in diesem Abschnitt beschriebenen Bestimmungen erforderlich ist.

SICHERHEITSANFORDERUNGEN

3. Alle Gebäude, Bereiche, Büros, Räume, Kommunikations- und Informationssysteme usw., in denen als ESA-Verschlusssache eingestufte Informationen und/oder Material aufbewahrt werden und/oder in denen damit gearbeitet wird, sind durch geeignete Maßnahmen des materiellen Geheimschutzes zu sichern.

4. Bei der Festlegung des erforderlichen materiellen Geheimschutzniveaus ist allen relevanten Faktoren Rechnung zu tragen, wie beispielsweise

a) der Einstufung der Informationen und/oder des Materials;

b) der Menge und der Form (z.B. Papier, EDV-Datenträger) der verwahrten Informationen;

c) der örtlichen Einschätzung der Bedrohung, die gegen die ESA, die Mitgliedstaaten und/oder andere Institutionen oder Dritte gerichtet ist, die ESA-Verschlusssachen verwahren, insbesondere durch Sabotage, Terrorismus, Spionage und andere subversive und/oder kriminelle Handlungen. Diese Einschätzung der Bedrohung wird vom ESA-Sicherheitsbüro mit Unterstützung der Abteilung Standortverwaltung und in enger Abstimmung mit der zuständigen NSA des Landes vorgenommen, in dem die Hauptverwaltung, Niederlassung oder Anlage der ESA angesiedelt ist.

5. Die Maßnahmen des materiellen Geheimschutzes zielen darauf ab,

a) das heimliche oder gewaltsame Eindringen unbefugter Personen von außen zu verhindern;

b) von Tätigkeiten illoyaler Bediensteter oder Sachverständiger der ESA (Spionage von innen) abzuschrecken beziehungsweise diese zu verhindern und aufzudecken;

c) zu verhindern, dass Bedienstete oder Sachverständige der ESA und von nationalen Stellen und/oder Dritten beschäftigte Personen, die die betreffenden Kenntnisse nicht benötigen, Zugang zu ESA-Verschlusssachen erhalten.

MASSNAHMEN DES MATERIELLEN GEHEIMSCHUTZES

Sicherheitsbereiche

6. Die Bereiche, in denen mit als „ESA VERTRAULICH“ oder höher eingestuften Verschlusssachen gearbeitet wird oder in denen diese aufbewahrt werden, sind so zu gestalten und auszustatten, dass sie einer der nachstehenden Kategorien entsprechen:

a) Sicherheitsbereich der Kategorie I: Bereich, in dem mit als „ESA VERTRAULICH“ oder höher eingestuften Verschlusssachen gearbeitet wird oder diese aufbewahrt werden, wobei das Betreten des Bereichs für alle praktischen Zwecke den Zugang zu den Verschlusssachen ermöglicht. Ein derartiger Bereich erfordert

i) einen klar abgegrenzten und geschützten Raum mit vollständiger Ein- und Ausgangskontrolle;

ii) ein Zutrittskontrollsystem, mit dem dafür gesorgt wird, dass nur die gehörig überprüften und eigens ermächtigten Personen den Bereich betreten können;

iii) eine genaue Festlegung der Einstufung der Verschlusssachen, die in der Regel in dem Bereich verwahrt werden, d.h. der Informationen, die durch das Betreten des Bereichs zugänglich werden.

Bei Personen, die nicht in solchen Bereichen arbeiten, ist eine Begleitung oder eine gleichwertige Kontrolle sicherzustellen, damit der Zugang Unbefugter zu ESA-Verschlusssachen sowie ein unkontrolliertes Betreten von Bereichen, die technischen Sicherheitskontrollen unterliegen, verhindert werden.

b) Sicherheitsbereich der Kategorie II: Bereich, in dem mit als „ESA VERTRAULICH“ oder höher eingestuften Verschlusssachen gearbeitet wird oder diese aufbewahrt werden, wobei durch interne Kontrollen ein Schutz vor dem Zugang Unbefugter ermöglicht wird, beispielsweise Gebäude mit Büros, in denen regelmäßig mit solchen Verschlusssachen gearbeitet wird und in denen diese aufbewahrt werden. Ein derartiger Bereich erfordert

i) einen klar abgegrenzten und geschützten Raum mit vollständiger Ein- und Ausgangskontrolle;

ii) ein Zutrittskontrollsystem, mit dem dafür gesorgt wird, dass nur die gehörig überprüften und eigens ermächtigten Personen den Bereich unbegleitet betreten können. Bei allen anderen Personen ist eine Begleitung oder eine gleichwertige Kontrolle sicherzustellen, damit der Zugang Unbefugter zu ESA-Verschlusssachen sowie ein unkontrolliertes Betreten von Bereichen, die technischen Sicherheitskontrollen unterliegen, verhindert werden.

Die Bereiche, die nicht rund um die Uhr von diensttuendem Personal besetzt sind, sind unmittelbar nach den üblichen Arbeitszeiten zu inspizieren, um sicherzustellen, dass die ESA-Verschlusssachen ordnungsgemäß gesichert sind.

Verwaltungsbereich

7. Um die Sicherheitsbereiche der Kategorien I und II herum oder im Zugangsbereich zu ihnen kann ein Verwaltungsbereich mit geringerem Sicherheitsgrad vorgesehen werden. Ein derartiger Bereich erfordert einen deutlich abgegrenzten Raum, der die Kontrolle des Personals und der Fahrzeuge ermöglicht. In den Verwaltungsbereichen darf nur mit als „ESA NUR FÜR DEN DIENSTGEBRAUCH“ eingestuften Verschlusssachen gearbeitet werden, und es dürfen auch nur diese Verschlusssachen dort aufbewahrt werden.

Ein- und Ausgangskontrollen

8. Das Betreten der Sicherheitsbereiche der Kategorien I und II wird mittels eines Berechtigungsausweises oder eines Systems zur persönlichen Identifizierung kontrolliert. Eine Regelung mit Berechtigungsausweisen kann durch eine automatisierte Erkennung unterstützt werden, die als Ergänzung zum Einsatz des Personals des Sicherheitsdienstes zu verstehen ist, diesen aber nicht vollständig ersetzen kann.

9. Ferner wird ein Kontrollsystem für Besucher eingerichtet, damit der Zugang Unbefugter zu ESA-Verschlusssachen verhindert werden kann. Eine Änderung in der Einschätzung der Bedrohungslage kann eine Verschärfung der Ein- und Ausgangskontrollmaßnahmen zur Folge haben, beispielsweise anlässlich des Besuchs hochrangiger Persönlichkeiten.

Kontrollgänge

10. In Sicherheitsbereichen der Kategorien I und II sind außerhalb der normalen Arbeitszeiten Kontrollgänge durchzuführen, um das Eigentum der ESA vor Kenntnisnahme durch Unbefugte, Beschädigung oder Verlust zu schützen. Die Häufigkeit der Kontrollgänge richtet sich nach den örtlichen Gegebenheiten, sie sollten aber in unterschiedlichen Zeitabständen stattfinden.

Sicherheitsbehältnisse und Tresorräume

11. Zur Aufbewahrung von ESA-Verschlusssachen werden drei Arten von Behältnissen verwendet:

– Typ A: Behältnisse, die zur Aufbewahrung von als „ESA STRENG GEHEIM“ eingestuften Verschlusssachen in Sicherheitsbereichen der Kategorie I oder II auf nationaler Ebene zugelassen sind;

– Typ B: Behältnisse, die zur Aufbewahrung von als „ESA GEHEIM“ und „ESA VERTRAULICH“ eingestuften Verschlusssachen in Sicherheitsbereichen der Kategorie I oder II auf nationaler Ebene zugelassen sind;

– Typ C: Büromöbel, die ausschließlich für die Aufbewahrung von als „ESA NUR FÜR DEN DIENSTGEBRAUCH“ eingestuften Verschlusssachen geeignet sind.

12. In den in einem Sicherheitsbereich der Kategorie I oder II eingebauten Tresorräumen und in allen Sicherheitsbereichen der Kategorie I, wo als „ESA VERTRAULICH“ und höher eingestufte Verschlusssachen in offenen Regalen aufbewahrt werden oder auf Karten, Plänen usw. sichtbar sind, werden Wände, Böden, Decken und Türen einschließlich der Schlösser von der zuständigen NSA/DSA geprüft, um festzustellen, dass sie einen Schutz bieten, der dem Typ des Sicherheitsbehältnisses entspricht, der für die Aufbewahrung von Verschlusssachen desselben Geheimhaltungsgrades zugelassen ist.

Schlösser

13. Die Schlösser der Sicherheitsbehältnisse und Tresorräume, in denen ESA-Verschlusssachen aufbewahrt werden, müssen folgende Anforderungen erfüllen:

– Gruppe A: Sie müssen auf nationaler Ebene für Behältnisse vom Typ A zugelassen sein;

– Gruppe B: Sie müssen auf nationaler Ebene für Behältnisse vom Typ B zugelassen sein;

– Gruppe C: Sie müssen ausschließlich für Büromöbel vom Typ C geeignet sein.

Kontrolle der Schlüssel und Kombinationen

14. Die Schlüssel von Sicherheitsbehältnissen dürfen nicht aus dem Bürogebäude entfernt werden. Die Kombinationen für Sicherheitsbehältnisse sind von den Personen, die sie kennen müssen, auswendig zu lernen. Damit sie im Notfall benutzt werden können, ist der Standortsicherheitsbeauftragte oder der Leiter der ESA-Niederlassung oder ‑Anlage für die Aufbewahrung der Ersatzschlüssel und die schriftliche Registrierung aller Kombinationen verantwortlich; letztere sind einzeln in versiegelten, undurchsichtigen Umschlägen aufzubewahren. Die Arbeitsschlüssel, die Ersatzsicherheitsschlüssel und die Kombinationen sind in gesonderten Sicherheitsbehältnissen aufzubewahren. Für diese Schlüssel und Kombinationen ist kein geringerer Sicherheitsschutz vorzusehen als für das Material, zu dem sie den Zugang ermöglichen.

15. Der Kreis der Personen, die die Kombinationen der Sicherheitsbehältnisse kennen, ist so weit wie möglich zu begrenzen. Die Kombinationen sind zu ändern

a) bei Entgegennahme eines neuen Behältnisses;

b) bei jedem Benutzerwechsel;

c) bei tatsächlicher oder vermuteter Kenntnisnahme durch Unbefugte;

d) vorzugsweise alle sechs Monate und mindestens alle zwölf Monate.

Einbruchmeldeanlagen

16. Kommen zum Schutz von ESA-Verschlusssachen Alarmanlagen, hauseigene Fernsehsysteme und andere elektrische Vorrichtungen zum Einsatz, so ist eine Notstromversorgung vorzusehen, um bei Ausfall der Hauptstromversorgung den ununterbrochenen Betrieb der Anlagen sicherzustellen. Funktionsstörungen dieser Anlagen oder Manipulationen an ihnen müssen ein für das Überwachungspersonal bestimmtes Alarmsignal oder ein anderes verlässliches Signal auslösen.

Zugelassene Ausrüstung

17. Das ESA-Sicherheitsbüro unterhält ein Verzeichnis der zugelassenen Sicherheitsausrüstung, das unter anderem auf den von den NSA/DSA mitgeteilten Informationen beruht. Die Abteilung Standortverwaltung konsultiert über das ESA-Sicherheitsbüro gegebenenfalls die NSA/DSA des Mitgliedstaats, in dem die Hauptverwaltung, Niederlassung oder Anlage der ESA angesiedelt ist, bevor sie derartige Ausrüstungen erwirbt.

Materieller Geheimschutz für Kopier- und Faxgeräte

18. Für Kopier- und Faxgeräte ist im erforderlichen Umfang durch Maßnahmen des materiellen Geheimschutzes dafür zu sorgen, dass sie lediglich von befugten Personen verwendet werden können und dass alle Verschlusssachen einer ordnungsgemäßen Überwachung unterliegen.

SICHT- UND ABHÖRSCHUTZ

Sichtschutz

19. Es sind alle geeigneten Maßnahmen zu treffen, damit bei Tag und bei Nacht gewährleistet ist, dass ESA-Verschlusssachen nicht – auch nicht versehentlich – von Unbefugten eingesehen werden können.

Abhörschutz

20. Die Büroräume oder Bereiche, in denen regelmäßig über als „ESA GEHEIM“ und höher eingestufte Verschlusssachen gesprochen wird, sind bei entsprechendem Risiko gegen Ab- und Mithören zu schützen. Für die Einschätzung des Risikos ist das ESA-Sicherheitsbüro zuständig, das erforderlichenfalls zuvor die zuständigen NSA/DSA zu Rate zieht.

21. Mobilfunktelefone, private Computer, Aufnahmegeräte, Kameras und andere elektronische Geräte sind in Sicherheitsbereichen oder Hochsicherheitszonen nur mit vorheriger Genehmigung des Leiters des ESA-Sicherheitsbüros zugelassen.

22. Zur Festlegung der Schutzmaßnahmen für mithörgefährdete Bereiche (beispielsweise Schalldämpfung von Wänden, Türen, Böden und Decken, Lautstärkemessung) bzw. abhörgefährdete Bereiche (beispielsweise Suche nach Mikrofonen) kann das ESA-Sicherheitsbüro die zuständige NSA/DSA um Unterstützung durch Sachverständige ersuchen. Die Standortsicherheitsbeauftragten der Hauptverwaltung, Niederlassungen oder Anlagen der ESA können darum ersuchen, dass das ESA-Sicherheitsbüro gegebenenfalls mit Unterstützung durch Sachverständige der zuständigen NSA/DSA technische Kontrollen durchführt.

23. Ebenso können die für die technische Sicherheit zuständigen Sachverständigen der NSA/DSA erforderlichenfalls die Telekommunikationseinrichtungen und die elektrischen oder elektronischen Büromaschinen aller Art, die in den Sitzungen des Geheimhaltungsgrades „ESA GEHEIM“ und höher verwendet werden, auf Ersuchen des Leiters des ESA-Sicherheitsbüros überprüfen. Solche Überprüfungen werden in enger Abstimmung mit der Abteilung Standortverwaltung durchgeführt.

HOCHSICHERHEITSZONEN

24. Bestimmte Bereiche können als Hochsicherheitszonen ausgewiesen werden. Hier findet eine besondere Zutrittskontrolle statt. Diese Zonen bleiben nach einem zugelassenen Verfahren verschlossen, wenn sie nicht besetzt sind, und alle Schlüssel sind als Sicherheitsschlüssel zu behandeln. Diese Zonen unterliegen regelmäßigen Objektschutzkontrollen, die von der Abteilung Standortverwaltung unter der Leitung des ESA-Sicherheitsbüros durchgeführt werden. Diese Kontrollen werden auch durchgeführt, wenn festgestellt oder vermutet wird, dass die Zonen ohne Genehmigung betreten wurden.

25. Es wird eine detaillierte Bestandsaufnahme der Geräte und Möbel vorgenommen. Kein Möbelstück oder Gerät wird in eine dieser Zonen verbracht, bevor es nicht durch Sicherheitspersonal, das für das Aufspüren von Abhörvorrichtungen besonders geschult ist, sorgfältig kontrolliert worden ist. In der Regel sollten in Hochsicherheitszonen möglichst keine Telekommunikationsverbindungen installiert werden.

ABSCHNITT V

ZUGANG ZU ESA-VERSCHLUSSSACHEN

1. Der Zugang zu ESA-Verschlusssachen wird nur Personen gestattet, die Kenntnis von ihnen haben müssen, um die ihnen übertragenen Aufgaben oder Aufträge erfüllen zu können. Der Zugang zu als „ESA STRENG GEHEIM“, „ESA GEHEIM“ und „ESA VERTRAULICH“ eingestuften Verschlusssachen wird nur Personen gestattet, die der entsprechenden Sicherheitsüberprüfung unterzogen worden sind.

2. Das ESA-Sicherheitsbüro erstellt eine Liste der Dienstposten, für die der Zugang zu ESA-Verschlusssachen erforderlich ist. Für die Entscheidung darüber, wer Kenntnis haben muss, sind der Generaldirektor, der Leiter der Hauptverwaltung, Niederlassungen oder Anlagen der ESA und die nationale Stelle, in der die betreffende Person beschäftigt werden soll, entsprechend den Anforderungen der jeweiligen Aufgabe verantwortlich.

3. Für die Sicherheitsüberprüfung von Personen sind die zuständigen Behörden der Mitgliedstaaten nach Maßgabe der anwendbaren Verfahren verantwortlich. Am Ende des Verfahrens wird eine „Sicherheitsunbedenklichkeitsbescheinigung“ ausgestellt, in dem der höchste Geheimhaltungsgrad der ESA-Verschlusssachen, zu denen die überprüfte Person Zugang erhalten darf, und das Ende der Gültigkeitsdauer der Bescheinigung angegeben werden.

4. Beschäftigte der ESA-Auftragnehmer, die in den Infrastruktur- und Unterstützungdiensten in der Hauptverwaltung, den Niederlassungen oder den Anlagen der ESA tätig sind und deren Aufgaben ihnen Zugang zu ESA-Verschlusssachen gewähren können, von denen sie Kenntnis haben müssen, müssen zunächst im Einklang mit den Bestimmungen dieses Abschnitts einer angemessenen Sicherheitsüberprüfung unterzogen werden.

5. Sollen Personen, die nicht nachweislich Kenntnis haben müssen, unter Bedingungen beschäftigt werden, die ihnen Zugang zu ESA-Verschlusssachen gewähren können (z.B. Boten, Sicherheits-, Wartungs- und Reinigungspersonal, usw.), müssen sie zunächst im Einklang mit den Bestimmungen dieses Abschnitts einer angemessenen Sicherheitsüberprüfung unterzogen werden.

6. Personen, bei denen es sich nicht um Bedienstete oder Sachverständige der ESA oder um Beamte oder sonstige Bedienstete der Mitgliedstaaten handelt, mit denen möglicherweise ESA-Verschlusssachen erörtert werden müssen oder die möglicherweise Einblick in diese erhalten müssen, müssen einer Sicherheitsüberprüfung in Bezug auf Verschlusssachen unterzogen und über ihre Verantwortung für die Sicherheit belehrt worden sein.

7. Personen, die Zugang zu ESA-Verschlusssachen haben, werden nach Abschnitt X von den Folgen der Verletzung der Sicherheit und der Kenntnisnahme von ESA-Verschlusssachen durch Unbefugte in Kenntnis gesetzt.

BESONDERE VORSCHRIFTEN FÜR DEN ZUGANG ZU ALS „ESA STRENG GEHEIM“ EINGESTUFTEN VERSCHLUSSSACHEN

8. Alle Personen, die Zugang zu als „ESA STRENG GEHEIM“ eingestuften Verschlusssachen benötigen, sind von ihren Abteilungsleitern zu benennen und ihre Namen in das einschlägige „ESA STRENG GEHEIM“-Register einzutragen.

9. Bevor diesen Personen der Zugang zu als „ESA STRENG GEHEIM“ eingestuften Verschlusssachen gewährt wird, müssen sie eine Urkunde des Inhalts unterzeichnen, dass sie über die Sicherheitsverfahren der ESA belehrt worden sind und sich ihrer besonderen Verantwortung für den Schutz von als „ESA STRENG GEHEIM“ eingestuften Verschlusssachen und der Folgen, die in den ESA-Vorschriften und den einzelstaatlichen Rechts- und Verwaltungsvorschriften für den Fall vorgesehen sind, dass Verschlusssachen durch Vorsatz oder durch Fahrlässigkeit in die Hände Unbefugter gelangen, vollständig bewusst sind.

10. Müssen Personen in Sitzungen Zugang zu als „ESA STRENG GEHEIM“ eingestuften Verschlusssachen erhalten, so teilt der Sicherheitsbeauftragte der Dienststelle oder des Gremiums, bei der bzw. dem die Betreffenden beschäftigt sind, der die Sitzung veranstaltenden Stelle mit, dass die betreffenden Personen einer angemessenen Sicherheitsüberprüfung unterzogen wurden.

11. Die Namen aller Personen, die nicht mehr für Aufgaben eingesetzt werden, bei denen sie Zugang zu als „ESA STRENG GEHEIM“ eingestuften Verschlusssachen haben müssen, werden aus dem “ESA STRENG GEHEIM”-Verzeichnis gestrichen. Ferner werden diese Personen erneut über ihre besondere Verantwortung für den Schutz von als “ESA STRENG GEHEIM” eingestuften Verschlusssachen belehrt. Sie haben ferner eine Erklärung zu unterzeichnen, wonach sie ihre Kenntnisse über als “ESA STRENG GEHEIM” eingestufte Verschlusssachen weder verwenden noch weitergeben werden.

BESONDERE VORSCHRIFTEN FÜR DEN ZUGANG ZU ALS „ESA GEHEIM“ UND „ESA VERTRAULICH“ EINGESTUFTEN VERSCHLUSSSACHEN

12. Alle Personen, die Zugang zu als „ESA GEHEIM“ oder „ESA VERTRAULICH“ eingestuften Verschlusssachen benötigen, müssen über die entsprechenden Sicherheitsregelungen unterrichtet werden und sich der Folgen fahrlässigen Handelns bewusst sein.

13. Wenn Personen in Sitzungen Zugang zu als „ESA GEHEIM“ oder „ESA VERTRAULICH“ eingestuften Verschlusssachen erhalten, so teilt der Sicherheitsbeauftragte der Stelle, bei der die Betreffenden beschäftigt sind, der die Sitzung veranstaltenden Stelle mit, dass die betreffenden Personen die entsprechende Ermächtigung besitzen.

BESONDERE VORSCHRIFTEN FÜR DEN ZUGANG ZU ALS „ESA NUR FÜR DEN DIENSTGEBRAUCH“ EINGESTUFTEN VERSCHLUSSSACHEN

14. Alle Personen, die Zugang zu als „ESA NUR FÜR DEN DIENSTGEBRAUCH“ eingestuften Verschlusssachen haben, werden auf diese Sicherheitsvorschriften, ihre Verantwortung für den Schutz dieser Verschlusssachen und die Folgen fahrlässigen Handelns aufmerksam gemacht.

WEITERGABE

15. Wird eine Person von einem Dienstposten, der mit der Arbeit mit ESA-Verschlusssachen verbunden ist, wegversetzt, so achtet die Registratur darauf, dass die betreffenden Verschlusssachen ordnungsgemäß von dem ausscheidenden an den eintretenden Bediensteten weitergegeben werden.

BESONDERE ANWEISUNGEN

16. Personen, die mit ESA-Verschlusssachen arbeiten müssen, sollten bei Aufnahme ihrer Tätigkeit und danach in regelmäßigen Abständen auf folgendes hingewiesen werden:

a) die mögliche Gefährdung der Sicherheit durch indiskrete Gespräche;

b) die in den Beziehungen zur Presse und zu Vertretern besonderer Interessengruppen zu treffenden Vorsichtsmaßnahmen;

c) die Bedrohung für ESA-Verschlusssachen und ihre geheimhaltungsbedürftigen Tätigkeiten unter anderem durch gegen die ESA und ihre Mitgliedstaaten gerichtete Spionage von Nachrichtendiensten oder privatwirtschaftlichen Unternehmen, Sabotage oder Terrorismus oder durch die Aktionen subversiver und/oder krimineller Gruppen;

d) die Verpflichtung, die zuständigen Sicherheitsbehörden unverzüglich über jeden Annäherungsversuch oder jede Handlungsweise, bei denen ein Verdacht auf Spionage entsteht, sowie über alle ungewöhnlichen Umstände in bezug auf die Sicherheit zu unterrichten.

17. Alle Personen, die gewöhnlich häufige Kontakte mit Vertretern von Ländern haben, deren Nachrichtendienste in bezug auf ESA-Verschlusssachen und ihre geheimhaltungsbedürftigen Tätigkeiten gegen die ESA und ihre Mitgliedstaaten arbeiten könnten, sind über die Techniken zu belehren, von denen bekannt ist, dass sich die einzelnen Nachrichtendienste ihrer bedienen.

18. Es bestehen keine Sicherheitsregelungen der ESA für private Reisen der zum Zugang zu ESA-Verschlusssachen ermächtigten Personen nach irgendeinem Zielland. Die zuständigen Sicherheitsbehörden werden jedoch die Bediensteten, für die sie zuständig sind, über Reiseregelungen unterrichten, denen sie möglicherweise unterliegen. Die Sicherheitsbeauftragten sind dafür verantwortlich, für die Betreffenden Sitzungen zur Auffrischung der Kenntnisse über diese besonderen Anweisungen zu veranstalten.

ABSCHNITT VI

VERFAHREN FÜR DIE SICHERHEITSÜBERPRÜFUNG VON BEDIENSTETEN UND SACHVERSTÄNDIGEN DER ESA

1. Nur Bedienstete und Sachverständige der ESA, die aufgrund ihrer Aufgabenbereiche und dienstlicher Erfordernisse von ESA-Verschlusssachen Kenntnis nehmen müssen oder sie zu bearbeiten haben, erhalten Zugang zu diesen Verschlusssachen unter der Voraussetzung, dass sie von der zuständigen nationalen Behörde einer angemessenen Sicherheitsüberprüfung unterzogen worden sind.

2. Um Zugang zu den als „ESA STRENG GEHEIM“, „ESA GEHEIM“ und „ESA VERTRAULICH“ eingestuften Verschlusssachen zu erhalten, müssen die Bediensteten und Sachverständigen der ESA im Besitz einer ESA-Sicherheitsunbedenklichkeitsbescheinigung (PSC) sein, die von den zuständigen Behörden der Mitgliedstaaten (nationale Sicherheitsbehörde oder entsprechende nationale Behörde) erteilt wird.

3. Die PSC ist für die Einstufung „ESA STRENG GEHEIM“ höchstens fünf Jahre und für die Einstufungen „ESA GEHEIM“ und „ESA VERTRAULICH“ höchstens zehn Jahre gültig. Die auf der Grundlage dieser PSC erteilte Zugangsermächtigung erlischt, wenn die Aufgaben, für die sie erteilt wurde, nicht mehr wahrgenommen werden.

4. Die Sicherheitsüberprüfung wird unter Mitwirkung des betreffenden Bediensteten oder Sachverständigen der ESA auf Ersuchen des Generaldirektors von den zuständigen nationalen Behörden desjenigen Mitgliedstaats vorgenommen, dessen Staatsangehörigkeit der Bedienstete oder Sachverständige besitzt. Hat der Bedienstete oder Sachverständige der ESA seinen Wohnsitz in einem anderen Mitgliedstaat, so können die betreffenden nationalen Behörden sich die Mitwirkung der Behörden des Wohnsitzstaats sichern.

5. Der betreffende Bedienstete oder Sachverständige der ESA hat im Hinblick auf die Sicherheitsüberprüfung eine Sicherheitserklärung auszufüllen und zu bestätigen, dass er versteht, dass eine Verletzung der Sicherheit der ESA die Aufhebung seiner ESA-Immunität zur Folge haben könnte.

6. Der Generaldirektor benennt in seinem Ersuchen die Art und den Geheimhaltungsgrad der Informationen, zu denen der betreffende Bedienstete oder Sachverständige der ESA Zugang erhalten soll, damit die NSA/DSA oder andere zuständige nationale Behörden das Sicherheitsüberprüfungsverfahren durchführen können.

7. Für den gesamten Ablauf und die Ergebnisse des Sicherheitsüberprüfungsverfahrens gelten die einschlägigen Vorschriften und Regelungen des betreffenden Mitgliedstaats, einschließlich der Vorschriften und Regelungen für etwaige Rechtsbehelfe.

8. Erteilt die zuständige NSA/DSA eines Mitgliedstaats eine Sicherheitsunbedenklichkeitsbescheinigung, kann der Generaldirektor den betreffenden Bediensteten oder Sachverständigen der ESA zum Zugang zu Verschlusssachen ermächtigen, wenn dieser Bedienstete oder Sachverständige von ihnen Kenntnis haben muss.

9. Lehnt die NSA/DSA die Erteilung einer Sicherheitsunbedenklichkeitsbescheinigung ab, so teilt der Generaldirektor dies dem betreffenden Bediensteten oder Sachverständigen der ESA mit, der darum bitten kann, vom Generaldirektor gehört zu werden. Der Generaldirektor sucht bei der zuständigen nationalen Behörde um alle weiteren Auskünfte nach, die diese nach Maßgabe ihrer nationalen Vorschriften und Regelungen zu geben vermag. Bei Bestätigung der Ablehnung durch die NSA/DSA wird die Zugangsermächtigung nicht erteilt.

10. Jeder Bedienstete und jeder Sachverständige der ESA, dem eine PSC erteilt wurde, erhält zum Zeitpunkt der Ermächtigung und danach in regelmäßigen Abständen die gebotenen Anweisungen zum Schutz der Verschlusssachen und zu den Verfahren zur Sicherstellung dieses Schutzes. Diese Personen unterzeichnen eine Erklärung, mit der sie den Erhalt dieser Anweisungen bestätigen und sich zu ihrer Einhaltung verpflichten.

11. Die Zugangsermächtigung zu ESA-Verschlusssachen wird vom Generaldirektor entzogen, wenn die zuständige NSA/DSA die Sicherheitsunbedenklichkeitsbescheinigung entzieht. Die Entzugsverfügung wird dem betreffenden Bediensteten oder Sachverständigen der ESA mitgeteilt, der darum bitten kann, vom Generaldirektor gehört zu werden. Der Generaldirektor kann bei der zuständigen nationalen Behörde um alle weiteren Auskünfte nachsuchen, die diese nach Maßgabe ihrer nationalen Vorschriften und Regelungen zu geben vermag.

12. Der Generaldirektor ergreift alle erforderlichen Maßnahmen für die Durchführung dieses Abschnitts, insbesondere hinsichtlich der Regelung für den Zugang zum Verzeichnis der sicherheitsüberprüften Bediensteten oder Sachverständigen der ESA.

13. Ausnahmsweise kann der Generaldirektor mit der schriftlichen Zustimmung der NSA/DSA oder einer anderen zuständigen nationalen Behörde einem Bediensteten der ESA für höchstens sechs Monate eine einstweilige Ermächtigung zum Zugang zu als „ESA GEHEIM“ oder niedriger eingestuften Verschlusssachen erteilen, bis ihm die Ergebnisse der Sicherheitsüberprüfung vorliegen.

14. Die so erteilten vorläufigen und befristeten Ermächtigungen berechtigen nicht zum Zugang zu als „ESA STRENG GEHEIM“ eingestuften Verschlusssachen; dieser Zugang wird auf die Bediensteten der ESA beschränkt, denen eine PSC für diese Einstufung erteilt wurde. Bis die Ergebnisse der Sicherheitsüberprüfung vorliegen, können die Bediensteten der ESA, die die Ermächtigungsstufe „ESA STRENG GEHEIM“ erhalten sollen, vorläufig und befristet zum Zugang zu als „ESA GEHEIM“ oder niedriger eingestuften Verschlusssachen ermächtigt werden.

ABSCHNITT VII

HERSTELLUNG, VERTEILUNG, ÜBERMITTLUNG, AUFBEWAHRUNG UND VERNICHTUNG VON ESA-VERSCHLUSSSACHEN

Allgemeine Bestimmungen

Dieser Abschnitt bestimmt die Maßnahmen, die bei der Herstellung, Verteilung, Übermittlung, Aufbewahrung und Vernichtung von als ESA-Verschlusssachen eingestuften Dokumenten zu treffen sind. Er ist als Grundlage heranzuziehen, wenn diese Maßnahmen für sonstiges als ESA-Verschlusssache eingestuftes Material unter Berücksichtigung der Art des jeweils betroffenen Materials in jedem Einzelfall angepasst werden.

Kapitel I

Herstellung und Verteilung von ESA-Verschlusssachen

HERSTELLUNG

1. Die ESA-Geheimhaltungsgrade und sonstigen Kennzeichnungen sind in der in Abschnitt II angegebenen Weise oben und unten in der Mitte auf jeder Seite anzubringen, wobei jede Seite zu nummerieren ist. Auf jeder ESA-Verschlusssache sind ein Aktenzeichen und ein Datum anzugeben. Im Falle von Dokumenten der Geheimhaltungsgrade „ESA STRENG GEHEIM“ und „ESA GEHEIM“ muss das Aktenzeichen auf jeder Seite erscheinen. Werden sie in mehreren Ausfertigungen verteilt, so erhält jede Ausfertigung eine eigene Nummer, die auf der ersten Seite zusammen mit der Gesamtzahl der Seiten anzugeben ist. Alle Anhänge und Anlagen sind auf der ersten Seite von Dokumenten aufzulisten, die als „ESA VERTRAULICH“ oder höher eingestuft werden.

2. Dokumente, die als „ESA VERTRAULICH“ oder höher eingestuft werden, dürfen nur von Personen maschinegeschrieben, übersetzt, archiviert, fotokopiert und auf Magnetband oder Mikrofiche gespeichert werden, die eine zumindest dem Geheimhaltungsgrad des betreffenden Dokuments entsprechende Zugangsermächtigung zu ESA-Verschlusssachen haben.

Abschnitt XI enthält die Vorschriften für die Erstellung von Verschlusssachen mit Hilfe eines Computers.

VERTEILUNG

3. ESA-Verschlusssachen dürfen nur an Personen verteilt werden, für die deren Kenntnis nötig ist und die in entsprechender Weise sicherheitsüberprüft worden sind. Der Urheber bestimmt die Empfänger der erstmaligen Verteilung.

4. Dokumente des Geheimhaltungsgrades „ESA STRENG GEHEIM“ werden über „ESA STRENG GEHEIM“-Registraturen verteilt (siehe Abschnitt VIII). Im Falle von Mitteilungen, die als „ESA STRENG GEHEIM“ eingestuft sind, kann die zuständige Registratur dem Leiter des Kommunikationszentrums gestatten, die in der Liste der Empfänger angegebene Anzahl von Ausfertigungen zu erstellen.

5. Als „ESA GEHEIM“ eingestufte Dokumente werden über Registraturen verteilt. Sie können vom Erstempfänger an weitere Empfänger, für die deren Kenntnis nötig ist, weitergegeben werden. Die Stellen, von denen die Verschlusssachen stammen, können allerdings von ihnen gewünschte Einschränkungen bei der Verteilung mitteilen. In diesem Fall dürfen die Empfänger die Dokumente nur mit der Genehmigung der Stellen, von denen sie stammen, weitergeben.

6. Ein- und Ausgang jedes als „ESA VERTRAULICH“ eingestuften Dokuments sind von der Registratur der jeweiligen Einrichtung zu verzeichnen. Die Angaben, die hierbei zu erfassen sind (Aktenzeichen, Datum und gegebenenfalls Nummer der Ausfertigung) müssen eine Identifizierung des Dokuments ermöglichen und sind in einem Dienstbuch oder in einem besonders geschützten Computermedium festzuhalten.

Kapitel II

Übermittlung von ESA-Verschlusssachen

VERSAND

7. Als „ESA VERTRAULICH“ oder höher eingestufte Dokumente sind in einem doppelten, widerstandsfähigen und undurchsichtigen Umschlag zu übermitteln. Auf dem inneren Umschlag sind der entsprechende ESA-Geheimhaltungsgrad sowie möglichst die vollständige Amtsbezeichnung und Anschrift des Empfängers anzugeben.

8. Nur der Registraturkontrollbeauftragte oder sein Stellvertreter darf den inneren Umschlag öffnen und den Empfang der übermittelten Verschlusssachen bestätigen, es sei denn, der Umschlag ist ausdrücklich an einen bestimmten Empfänger gerichtet. In diesem Fall vermerkt die zuständige Registratur den Eingang des Umschlags, und nur der genannte Empfänger darf den inneren Umschlag öffnen und den Empfang der darin enthaltenen Verschlusssachen bestätigen.

9. In dem inneren Umschlag ist eine Empfangsbestätigung beizulegen. In dieser Bestätigung, die nicht als Verschlusssache eingestuft wird, sind Aktenzeichen, Datum und die Nummer der Ausfertigung der Verschlusssache, niemals jedoch deren Betreff, anzugeben.

10. Der innere Umschlag wird in einen Außenumschlag gelegt, der für Empfangszwecke eine Versandnummer erhält. Der Geheimhaltungsgrad darf unter keinen Umständen auf dem Außenumschlag erscheinen.

11. Bei als „ESA VERTRAULICH“ oder höher eingestuften Dokumenten ist Kurieren und Boten eine Empfangsbestätigung auszustellen, auf der die Versandnummern der übermittelten Versandstücke angegeben sind.

ÜBERMITTLUNG INNERHALB EINES GEBÄUDES ODER GEBÄUDEKOMPLEXES

12. Innerhalb eines bestimmten Gebäudes oder Gebäudekomplexes dürfen als Verschlusssachen eingestufte Dokumente in einem versiegelten Umschlag, der nur den Namen des Empfängers trägt, befördert werden, sofern die Beförderung durch eine für den betreffenden Geheimhaltungsgrad ermächtigte Person erfolgt.

ÜBERMITTLUNG VON ESA-DOKUMENTEN INNERHALB EIN UND DESSELBEN LANDES

13. Innerhalb ein und desselben Landes sollten „ESA STRENG GEHEIM“-Dokumente nur durch offizielle Kuriere oder durch Personen übermittelt werden, die eine Zugangsermächtigung zu als „ESA STRENG GEHEIM“ eingestuften Verschlusssachen haben.

14. Wird zur Übermittlung eines als „ESA STRENG GEHEIM“ eingestuften Dokuments an einen Empfänger außerhalb desselben Gebäudes oder Gebäudekomplexes ein offizieller Kurier verwendet, so sind die Bestimmungen über den Versand und die Empfangsbestätigung in diesem Kapitel einzuhalten. Die Zustelldienste sind personell so auszustatten, dass gewährleistet ist, dass sich Versandstücke mit als „ESA STRENG GEHEIM“ eingestuften Dokumenten jederzeit unter der direkten Aufsicht eines Verantwortlichen befinden.

15. In Ausnahmefällen können befugte Personen, die nicht offizielle Kuriere sind, als „ESA STRENG GEHEIM“ eingestufte Dokumente außerhalb des Gebäudes oder Gebäudekomplexes zur Benutzung vor Ort anlässlich von Sitzungen oder Erörterungen mitnehmen, vorausgesetzt, dass

a) die betreffende Person zum Zugang zu diesen als „ESA STRENG GEHEIM“ eingestuften Dokumenten ermächtigt ist;

b) die Form der Beförderung den einzelstaatlichen Vorschriften für die Übermittlung einzelstaatlicher Dokumente des Geheimhaltungsgrades „STRENG GEHEIM“ entspricht;

c) die betreffende Person die Dokumente des Geheimhaltungsgrades „ESA STRENG GEHEIM“ unter keinen Umständen unbeaufsichtigt lässt;

d) Vorkehrungen getroffen werden, damit die Liste der Dokumente, die mitgenommen werden, in der „ESA STRENG GEHEIM”-Registratur verwahrt, in einem Dienstbuch vermerkt und bei Rückkehr anhand dieses Eintrags kontrolliert wird.

16. Innerhalb ein und desselben Landes dürfen als „ESA GEHEIM“ oder „ESA VERTRAULICH“ eingestufte Dokumente entweder mit der Post, wenn eine derartige Übermittlung nach den einzelstaatlichen Regelungen gestattet ist und mit den hier vorliegenden Vorschriften in Einklang steht, oder durch offizielle Kuriere oder durch Personen übermittelt werden, die zum Zugang zu ESA-Verschlusssachen ermächtigt sind.

17. Jeder Mitgliedstaat und die ESA sollten auf diesen Vorschriften beruhende Weisungen für das Personal ausarbeiten, das ESA-Verschlusssachen befördert. Es sollte vorgeschrieben werden, dass Personen, die Verschlusssachen befördern, diese Weisungen lesen und unterzeichnen. In den Weisungen sollte insbesondere deutlich gemacht werden, dass Dokumente unter keinen Umständen

a) von der sie befördernden Person aus den Händen gegeben werden dürfen, es sei denn, sie sind entsprechend den Bestimmungen in Abschnitt IV in sicherem Gewahrsam;

b) in öffentlichen Transportmitteln oder Privatfahrzeugen oder an Orten wie Restaurants oder Hotels unbeaufsichtigt bleiben dürfen. Sie dürfen nicht in Hotelsafes verwahrt werden oder unbeaufsichtigt in Hotelzimmern zurückbleiben;

c) in der Öffentlichkeit (beispielsweise in Flugzeugen oder Zügen) gelesen werden dürfen.

BEFÖRDERUNG VOM HOHEITSGEBIET EINES MITGLIEDSTAATES IN DAS HOHEITSGEBIET EINES ANDEREN

18. Als „ESA VERTRAULICH“ oder höher eingestuftes Material sollte durch diplomatische Kuriere von einem Mitgliedstaat in einen anderen befördert werden.

19. Eine persönliche Beförderung von als „ESA GEHEIM“ oder „ESA VERTRAULICH“ eingestuftem Material kann jedoch gestattet werden, wenn durch die für die Beförderung geltenden Vorschriften gewährleistet wird, dass das Material nicht in die Hände Unbefugter fallen kann.

20. Die NSA/DSA können eine persönliche Beförderung gestatten, wenn keine diplomatischen Kuriere zur Verfügung stehen oder der Rückgriff auf derartige Kuriere zu einer Verzögerung führen würde, die sich nachteilig auf Tätigkeiten der ESA auswirken könnte, und wenn das Material vom Empfänger dringend benötigt wird. Jeder Mitgliedstaat sollte Anweisungen über die zwischenstaatliche persönliche Beförderung von Material des Geheimhaltungsgrades „ESA GEHEIM“ oder geringer durch Personen, die keine diplomatischen Kuriere sind, ausarbeiten. In diesen Anweisungen sollte vorgesehen werden, dass

a) die Person, die das Material mit sich führt, über die entsprechende, von den Mitgliedstaaten ausgesprochene Zugangsermächtigung verfügen muss;

b) sämtliches auf diese Weise befördertes Material in der zuständigen Dienststelle oder der zuständigen Registratur verzeichnet sein muss;

c) Versandstücke oder Taschen, die ESA-Material enthalten, mit einem Dienstsiegel zu versehen sind, um Zollkontrollen zu vermeiden oder diesen vorzubeugen, sowie mit Etiketten zu ihrer Erkennung und mit Weisungen für den Finder;

d) die Person, die das Material mit sich führt, einen Kurierausweis und/oder einen Dienstreiseauftrag mitführen muss, die von allen ESA-Mitgliedstaaten anerkannt sind und diese Person ermächtigen, das betreffende Versandstück in der beschriebenen Weise zu befördern;

e) bei Überlandreisen die Grenze keines Staates, der nicht Mitglied der ESA ist, überschritten oder dieser Staat durchfahren werden darf, es sei denn, dass der Staat, der die Beförderung vornimmt, über eine besondere Garantie seitens dieses Staates verfügt;

f) die Reiseplanung der Person, die das Material mit sich führt, im Hinblick auf Bestimmungsorte, Fahrtrouten und Beförderungsmittel mit den ESA-Vorschriften oder mit einzelstaatlichen Vorschriften, falls diese in dieser Hinsicht strenger sind, in Einklang stehen muss;

g) das Material von der Person, die es mit sich führt, nicht aus der Hand gegeben werden darf, außer wenn es nach den Bestimmungen des Abschnitts IV über sicheren Gewahrsam verwahrt ist;

h) das Material nicht in öffentlichen Transportmitteln oder Privatfahrzeugen oder an Orten wie Restaurants oder Hotels unbeaufsichtigt bleiben darf. Es darf nicht in Hotelsafes verwahrt werden oder unbeaufsichtigt in Hotelzimmern zurückbleiben;

i) Dokumente, falls solche Bestandteil des beförderten Materials sind, nicht in der Öffentlichkeit (beispielsweise in Flugzeugen, Zügen usw.) gelesen werden dürfen.

Die mit der Beförderung der Verschlusssachen beauftragte Person muss Geheimschutzvorschriften lesen und unterzeichnen, die mindestens die vorstehenden Weisungen sowie Verfahren enthalten, die im Notfall oder für den Fall zu beachten sind, dass das Versandstück mit den Verschlusssachen von Zollbeamten oder Sicherheitsbeamten auf einem Flughafen kontrolliert werden soll.

ÜBERMITTLUNG VON DOKUMENTEN DES GEHEIMHALTUNGSGRADES „ESA NUR FÜR DEN DIENSTGEBRAUCH“

21. Als „ESA NUR FÜR DEN DIENSTGEBRAUCH“ eingestufte Verschlusssachen werden in der Regel in einem Einzelumschlag ohne Angabe des Geheimhaltungsgrades übermittelt durch

a) die normale Post oder soweit zweckmäßig als Einschreiben;

b) kommerzielle Kurierdienste;

c) persönliche Beförderung über Bedienstete ohne förmlichen Kurierauftrag. Während der Reise müssen die Verschlusssachen in ständigem persönlichem Gewahrsam bleiben und dürfen nicht unbeaufsichtigt in Hotelzimmern oder Fahrzeugen zurückbleiben und in der Öffentlichkeit gelesen werden.

SICHERHEIT DER KURIERE

22. Alle Kuriere und Boten, die mit der Beförderung von „ESA GEHEIM“- und „ESA VERTRAULICH“-Dokumenten beauftragt werden, müssen entsprechend sicherheitsermächtigt sein.

Kapitel III

Übermittlung über informationstechnische und Informationssysteme

23. Mit den Maßnahmen für die Kommunikationssicherheit soll die sichere Übermittlung von ESA-Verschlusssachen gewährleistet werden. Die für die Übermittlung dieser ESA-Verschlusssachen geltenden Vorschriften sind in Abschnitt XI festgelegt.

24. Als „ESA VERTRAULICH“ oder „ESA GEHEIM“ eingestufte Informationen dürfen nur von zugelassenen Kommunikationszentren und ‑netzen und/oder Terminals bzw. über entsprechende Systeme übermittelt werden.

Kapitel IV

Zusätzliche Kopien und Übersetzungen von beziehungsweise Auszüge aus ESA-Verschlusssachen

25. Das Kopieren oder die Übersetzung von „ESA STRENG GEHEIM“-Dokumenten kann ausschließlich der Urheber gestatten.

26. Fordern Personen, die nicht über eine „ESA STRENG GEHEIM“-Sicherheitsermächtigung verfügen, Informationen an, die zwar in einem „ESA STRENG GEHEIM“-Dokument enthalten, aber nicht als solche eingestuft sind, so kann der Leiter der „ESA STRENG GEHEIM“-Registratur ermächtigt werden, die notwendige Anzahl von Auszügen aus diesem Dokument auszuhändigen. Gleichzeitig ergreift er die erforderlichen Maßnahmen, um sicherzustellen, dass diese Auszüge einen angemessenen Geheimhaltungsgrad erhalten.

27. Als „ESA GEHEIM“ und niedriger eingestufte Dokumente können vom Empfänger unter Einhaltung der einzelstaatlichen Sicherheitsvorschriften und unter strikter Befolgung des Grundsatzes „Kenntnis nur wenn nötig“ vervielfältigt und übersetzt werden. Die für das Originaldokument geltenden Sicherheitsvorschriften finden auch auf Vervielfältigungen und/oder Übersetzungen dieses Dokuments Anwendung.

Kapitel V

Bestandsaufnahme, Prüfung, Archivierung und Vernichtung von ESA-Verschlusssachen

BESTANDSAUFNAHME UND PRÜFUNG

28. Alljährlich führt jede „ESA STRENG GEHEIM“-Registratur im Sinne des Abschnitts VIII gemäß den Vorschriften des Abschnitts VIII Nummern 9 bis 11 eine detaillierte Bestandsaufnahme der „ESA STRENG GEHEIM“-Dokumente durch. ESA-Verschlusssachen unterhalb des Geheimhaltungsgrades „ESA STRENG GEHEIM“ werden gemäß den einzelstaatlichen Leitlinien oder im Falle der ESA gemäß den Anweisungen des Generaldirektors einer internen Prüfung unterzogen.

Hierbei soll ermittelt werden, ob nach Auffassung der Verwahrer

a) bestimmte Dokumente heruntergestuft werden können oder ihr Geheimhaltungsgrad aufgehoben werden kann,

b) Dokumente vernichtet werden sollten.

ARCHIVIERUNG VON ESA-VERSCHLUSSSACHEN

29. ESA-Aufzeichnungen und ‑Archive sind, unabhängig von ihrem Geheimhaltungsgrad, Bestandteil des Eigentums, der Ressourcen und der Vermögenswerte der ESA und müssen entsprechend behandelt werden. Die Archivierung von Verschlusssachen muss mit der Politik und den Verfahren der ESA für die Behandlung von Aufzeichnungen und Archiven im Einklang stehen.

30. Um Archivierungsprobleme möglichst gering zu halten, ist es den Kontrollbeauftragten aller Registraturen gestattet, in Absprache mit dem ESA-Archivar „ESA GEHEIM“-, „ESA VERTRAULICH“- und „ESA NUR FÜR DEN DIENSTGEBRAUCH“-Dokumente auf Mikrofilm aufzunehmen oder auf andere Weise auf magnetischen oder optischen Datenträgern zu Archivzwecken zu speichern, vorausgesetzt

a) das Mikrofilm-Speicherverfahren wird von Personen durchgeführt, die über eine Sicherheitsermächtigung für den dem Dokument entsprechenden Geheimhaltungsgrad verfügen;

b) für den Mikrofilm/Datenträger wird die gleiche Sicherheit gewährleistet wie für die Originaldokumente;

c) die Filmrollen oder sonstigen Träger enthalten nur Dokumente der gleichen „ESA GEHEIM“-, „ESA VERTRAULICH“- oder „ESA NUR FÜR DEN DIENSTGEBRAUCH“-Einstufung;

d) das Mikrofilmen/die Speicherung eines „ESA GEHEIM“-Dokuments wird in dem für die jährliche Bestandsaufnahme verwendeten Register deutlich kenntlich gemacht;

e) die ESA-Originaldokumente, die auf Mikrofilm aufgenommen oder in anderer Weise gespeichert sind, werden gemäß den Vorschriften der Nummern 33 bis 37 vernichtet.

31. Bedienstete oder Sachverständige der ESA müssen bei ihrem Ausscheiden aus der ESA oder vor ihrer Versetzung in eine andere Abteilung oder Einrichtung alle in ihrem Gewahrsam befindlichen Verschlusssachen gemäß Abschnitt V Nummer 14 über die entsprechende Registratur übergeben.

32. Diese Vorschriften gelten auch für alle anderen von der NSA/DSA zugelassenen Speichermedien wie elektromagnetische Träger und optische Speicherplatten.

ROUTINEMÄSSIGE VERNICHTUNG VON ESA-VERSCHLUSSSACHEN

33. Um eine unnötige Anhäufung von ESA-Verschlusssachen zu vermeiden, werden die nach Auffassung der aufbewahrenden Direktion bzw. des Leiters der aufbewahrenden Abteilung inhaltlich überholten Dokumente – mit Ausnahme derjenigen mit langfristigem Wert, die als solche in den ESA-Archiven behandelt werden (siehe die vorangehenden Bestimmungen über die Archivierung) – oder überzähligen Dokumente entsprechend ihrem Geheimhaltungsgrad vernichtet.

34. „ESA STRENG GEHEIM“-Dokumente werden auf folgende Weise vernichtet:

a) „ESA STRENG GEHEIM“-Dokumente werden nur von der für diese Dokumente zuständigen Zentralregistratur vernichtet. Jedes der Vernichtung zugeführte Dokument wird auf einer Vernichtungsbescheinigung eingetragen, die vom „ESA STRENG GEHEIM“-Kontrollbeauftragten und von dem der Vernichtung als Zeuge beiwohnenden Bediensteten, der über die betreffende Sicherheitsermächtigung verfügt, zu unterzeichnen ist. Der Vorgang wird im Dienstbuch festgehalten.

b) Die Registratur bewahrt die Vernichtungsbescheinigungen zusammen mit den Verteilungsunterlagen zehn Jahre lang auf. Dem Urheber oder der zuständigen Zentralregistratur werden Kopien nur zugesandt, wenn dies ausdrücklich verlangt wird.

c) „ESA STRENG GEHEIM“-Dokumente einschließlich des bei ihrer Herstellung angefallenen und als Verschlusssache zu behandelnden Abfalls wie fehlerhafte Kopien, Arbeitsvorlagen, maschinegeschriebene Aufzeichnungen und Disketten werden unter der Aufsicht eines „ESA STRENG GEHEIM“-Registraturkontrollbeauftragten durch Verbrennen, Einstampfen, Zerkleinern oder andere geeignete Verfahren so vernichtet, dass der Inhalt weder erkennbar ist noch erkennbar gemacht werden kann.

35. „ESA GEHEIM“-Dokumente werden mittels eines der in Nummer 34 Buchstabe c genannten Verfahren unter der Aufsicht einer Person, die über die betreffende Sicherheitsermächtigung verfügt, von der für diese Dokumente zuständigen Registratur vernichtet. Vernichtete „ESA GEHEIM“-Dokumente werden auf einer unterzeichneten Vernichtungsbescheinigung eingetragen, die von der Registratur zusammen mit den Verteilungsunterlagen mindestens drei Jahre lang aufbewahrt wird.

36. „ESA VERTRAULICH“-Dokumente werden mittels eines der in Nummer 34 Buchstabe c genannten Verfahren unter der Aufsicht einer Person, die über die betreffende Sicherheitsermächtigung verfügt, von der für diese Dokumente zuständigen Registratur vernichtet. Ihre Vernichtung wird gemäß den einzelstaatlichen Vorschriften oder im Falle der ESA gemäß den Anweisungen des Generaldirektors registriert.

37. „ESA NUR FÜR DEN DIENSTGEBRAUCH“-Dokumente werden gemäß den einzelstaatlichen Vorschriften oder im Falle der ESA gemäß den Anweisungen des Generaldirektors vernichtet.

VERNICHTUNG IM NOTFALL

38. Das ESA-Sicherheitsbüro und die Mitgliedstaaten arbeiten unter Berücksichtigung der örtlichen Gegebenheiten Pläne zum Schutz von ESA-Verschlusssachen im Krisenfall aus, die, falls erforderlich, auch Pläne für eine Vernichtung oder Auslagerung der ESA-Verschlusssachen im Notfall umfassen; sie erteilen die Anweisungen, die sie für notwendig erachten, damit ESA-Verschlusssachen nicht in unbefugte Hände gelangen.

39. Regelungen zum Schutz und/oder zur Vernichtung von als „ESA GEHEIM“ und „ESA VERTRAULICH“ eingestuften Verschlusssachen im Krisenfall dürfen auf keinen Fall den Schutz oder die Vernichtung von „ESA STRENG GEHEIM“-Materialien, einschließlich der Verschlüsselungseinrichtungen, beeinträchtigen, deren Behandlung Vorrang vor allen anderen Aufgaben hat. Die für den Schutz und die Vernichtung der Verschlüsselungseinrichtungen im Notfall vorzusehenden Maßnahmen sind durch Ad-hoc-Anweisungen zu regeln.

Die Anweisungen sind an Ort und Stelle in einem versiegelten Umschlag zu hinterlegen. Es müssen Vorrichtungen/Werkzeuge für die Vernichtung vorhanden sein.

Kapitel VI

Besondere Vorschriften für Dokumente, die für den ESA-Rat bestimmt sind

40. Innerhalb der ESA-Hauptverwaltung verfolgt ein „Verschlusssachenbüro“ die Behandlung der als „ESA GEHEIM“ und „ESA VERTRAULICH“ eingestuften Informationen, wenn sie Gegenstand von Ratsdokumenten sind.

Unter der Verantwortung des Generaldirektors nimmt es folgende Aufgaben wahr:

a) Verwaltung der Registrierung, Vervielfältigung, Übersetzung, Weiterleitung, Versendung und Vernichtung der Informationen;

b) Führung des Verschlusssachenregisters;

c) regelmäßige Anfragen bei den Urhebern, ob die Einstufung der betreffenden Informationen aufrechtzuerhalten ist;

d) im Benehmen mit dem ESA-Sicherheitsbüro Festlegung des praktischen Vorgehens bei der Einstufung und der Aufhebung des Geheimhaltungsgrades von Informationen.

41. Das Verschlusssachenbüro führt ein Register mit folgenden Angaben:

a) Datum der Erstellung der Verschlusssache,

b) Geheimhaltungsgrad,

c) Sperrfrist,

d) Name und Dienststelle des Urhebers,

e) der oder die Empfänger mit laufender Nummer,

f) Gegenstand,

g) Nummer,

h) Zahl der verbreiteten Exemplare,

i) Erstellung von Bestandsverzeichnissen der dem Rat unterbreiteten Verschlusssachen,

j) Register betreffend die Aufhebung des Geheimhaltungsgrades und die Herabstufung von Verschlusssachen.

42. Für das Verschlusssachenbüro der ESA-Hauptverwaltung gelten die allgemeinen Vorschriften der Kapitel I bis V dieses Abschnitts, soweit sie nicht durch die besonderen Vorschriften dieses Kapitels geändert werden.

ABSCHNITT VIII

ESA-ZENTRALREGISTRATUREN

„ESA STRENG GEHEIM“-REGISTRATUREN

1. Durch eine „ESA STRENG GEHEIM“-Zentralregistratur wird gewährleistet, dass die Registrierung, Handhabung und Verteilung von „ESA STRENG GEHEIM“-Dokumenten gemäß diesen Sicherheitsvorschriften erfolgt. Der Leiter der „ESA STRENG GEHEIM“-Registratur in der ESA bzw. in jedem Mitgliedstaat ist der „ESA STRENG GEHEIM“-Registraturkontrollbeauftragte.

2. Die „ESA STRENG GEHEIM“-Zentralregistratur ist die hauptsächliche Empfangs- und Versandbehörde in der ESA sowie gegebenenfalls in den Mitgliedstaaten, internationalen Organisationen und Drittstaaten, mit denen die ESA Abkommen über die Sicherheitsverfahren für den Austausch von Verschlusssachen geschlossen hat.

3. Nötigenfalls werden Unterregistraturen eingerichtet, die für die interne Verwaltung von „ESA STRENG GEHEIM“-Dokumenten zuständig sind; sie führen ein Register der von ihnen aufbewahrten Dokumente, das stets auf dem neuesten Stand gehalten wird.

4. „ESA STRENG GEHEIM“-Unterregistraturen werden nach Maßgabe des Abschnitts I Nummer 2 Buchstabe b eingerichtet, damit längerfristigen Notwendigkeiten entsprochen werden kann; sie werden einer „ESA STRENG GEHEIM“-Zentralregistratur zugeordnet. Müssen „ESA STRENG GEHEIM“-Dokumente nur zeitweilig und gelegentlich konsultiert werden, so können sie ohne Einrichtung einer „ESA STRENG GEHEIM“-Unterregistratur weitergeleitet werden, sofern Vorschriften festgelegt wurden, die gewährleisten, dass diese Dokumente unter der Kontrolle der entsprechenden „ESA STRENG GEHEIM“-Registratur verbleiben und alle materiellen und personenbezogenen Sicherheitsmaßnahmen eingehalten werden.

5. Unterregistraturen ist es nicht gestattet, ohne ausdrückliche Zustimmung ihrer „ESA STRENG GEHEIM“-Zentralregistratur „ESA STRENG GEHEIM“-Dokumente unmittelbar an andere Unterregistraturen derselben Zentralregistratur zu übermitteln.

6. Der Austausch von „ESA STRENG GEHEIM“-Dokumenten zwischen Unterregistraturen, die nicht derselben Zentralregistratur zugeordnet sind, muss über die „ESA STRENG GEHEIM“-Zentralregistraturen abgewickelt werden.

DIE „ESA STRENG GEHEIM“-ZENTRALREGISTRATUR

7. In seiner Eigenschaft als Kontrollbeauftragter ist der Leiter der „ESA STRENG GEHEIM“-Zentralregistratur zuständig für

a) die Übermittlung von „ESA STRENG GEHEIM“-Dokumenten gemäß den in Abschnitt VII festgelegten Vorschriften;

b) die Führung einer Liste aller ihm unterstehenden „ESA STRENG GEHEIM“-Unterregistraturen mit Name und Unterschrift der ernannten Kontrollbeauftragten und ihrer bevollmächtigten Stellvertreter;

c) die Aufbewahrung der Empfangsbescheinigungen der Registraturen für alle von der Zentralregistratur verteilten „ESA STRENG GEHEIM“-Dokumente;

d) die Führung eines Registers aller aufbewahrten und verteilten „ESA STRENG GEHEIM“-Dokumente;

e) die Führung einer aktuellen Liste aller „ESA STRENG GEHEIM“-Zentralregistraturen, mit denen er üblicherweise korrespondiert, mit Name und Unterschrift der ernannten Kontrollbeauftragten und ihrer bevollmächtigten Stellvertreter;

f) den materiellen Schutz aller in der Registratur aufbewahrten „ESA STRENG GEHEIM“-Dokumente gemäß den Vorschriften des Abschnitts IV.

„ESA STRENG GEHEIM“-UNTERREGISTRATUREN

8. In seiner Eigenschaft als Kontrollbeauftragter ist der Leiter einer „ESA STRENG GEHEIM“-Unterregistratur zuständig für

a) die Übermittlung von „ESA STRENG GEHEIM“-Dokumenten gemäß den in Abschnitt VII und Abschnitt VIII Nummern 5 und 6 festgelegten Vorschriften;

b) die Führung einer aktuellen Liste aller Personen, die befugt sind, Zugang zu den „ESA STRENG GEHEIM“-Informationen zu erhalten, welche seiner Aufsicht unterliegen;

c) die Verteilung von „ESA STRENG GEHEIM“-Dokumenten gemäß den Anweisungen des Urhebers oder nach dem Grundsatz „Kenntnis nur wenn nötig“, nach vorheriger Prüfung, ob der Empfänger die erforderliche Sicherheitsermächtigung besitzt;

d) die Führung eines auf neuestem Stand zu haltenden Registers aller aufbewahrten oder in Umlauf befindlichen „ESA STRENG GEHEIM“-Dokumente, die seiner Aufsicht unterliegen oder die an andere „ESA STRENG GEHEIM“-Registraturen weitergeleitet wurden, und Aufbewahrung aller entsprechenden Empfangsbescheinigungen;

e) die Führung einer aktuellen Liste der „ESA STRENG GEHEIM“-Registraturen, mit denen er „ESA STRENG GEHEIM“-Dokumente austauschen darf, mit Name und Unterschrift ihrer Kontrollbeauftragten und bevollmächtigten Stellvertreter;

f) den materiellen Schutz aller in der Unterregistratur aufbewahrten „ESA STRENG GEHEIM“-Dokumente gemäß den Vorschriften des Abschnitts IV.

BESTANDSAUFNAHMEN

9. Alle zwölf Monate führt jede „ESA STRENG GEHEIM“-Registratur eine ausführliche Bestandsaufnahme aller „ESA STRENG GEHEIM“-Dokumente durch, für die sie nachweispflichtig ist. Als nachgewiesen gilt jedes Dokument, das in der Registratur materiell vorhanden ist oder für das die Empfangsbescheinigung einer „ESA STRENG GEHEIM“-Registratur, der das Dokument übermittelt wurde, bzw. eine Vernichtungsbescheinigung oder aber eine Anweisung zur Herabstufung dieses Dokuments oder zur Aufhebung seines Geheimhaltungsgrades vorliegt.

10. Die „ESA STRENG GEHEIM“-Unterregistraturen übermitteln die Ergebnisse ihrer jährlichen Bestandsaufnahme der Zentralregistratur, der sie unterstehen, zu einem von dieser festgelegten Datum.

11. Die NSA/DSA sowie die ESA-Niederlassungen und internationalen Organisationen, in denen eine „ESA STRENG GEHEIM“-Zentralregistratur eingerichtet wurde, übermitteln dem Generaldirektor spätestens zum 1. April eines jeden Jahres die Ergebnisse der jährlichen Bestandsaufnahme ihrer „ESA STRENG GEHEIM“-Zentralregistraturen.

ABSCHNITT IX

SICHERHEITSMASSNAHMEN BEI BESONDEREN TAGUNGEN AUSSERHALB DER HAUPTVERWALTUNG, NIEDERLASSUNGEN UND ANLAGEN DER ESA, BEI DENEN HOCHEMPFINDLICHE ANGELEGENHEITEN ERÖRTERT WERDEN

ALLGEMEINES

1. Finden ESA-Ratstagungen auf Ministerebene oder andere wichtige Tagungen außerhalb der ESA-Hauptverwaltung in Paris oder außerhalb ihrer Niederlassungen und Anlagen statt und ist es durch die besonderen Sicherheitsanforderungen aufgrund der hohen Empfindlichkeit der behandelten Fragen oder Informationen gerechtfertigt, so werden die nachstehend beschriebenen Sicherheitsmaßnahmen ergriffen. Diese Maßnahmen betreffen lediglich den Schutz von ESA-Verschlusssachen; möglicherweise sind weitere Sicherheitsmaßnahmen vorzusehen.

VERANTWORTLICHKEITEN

Gastgebender Mitgliedstaat

2. Der Mitgliedstaat, in dessen Hoheitsgebiet eine ESA-Ratstagung auf Ministerebene oder eine andere wichtige Tagung stattfindet (gastgebender Mitgliedstaat), sollte in Zusammenarbeit mit dem ESA-Sicherheitsbüro für die Sicherheit dieser Tagung verantwortlich sein.

In bezug auf den Sicherheitsschutz sollte er insbesondere gewährleisten, dass

a) Pläne für den Umgang mit Sicherheitsrisiken und sicherheitsrelevanten Zwischenfällen aufgestellt werden, wobei die betreffenden Maßnahmen insbesondere auf die sichere Verwahrung von ESA-Verschlusssachen in Büroräumen abzielen;

b) Maßnahmen getroffen werden, um gegebenenfalls Zugang zum Kommunikationssystem des ESA-Rates für den Empfang und die Versendung von als Verschlusssache eingestuften ESA-Nachrichten zu gewähren. Ferner wird der gastgebende Mitgliedstaat erforderlichenfalls Zugang zu sicheren Telefonsystemen gewähren.

Mitgliedstaaten

3. Die Behörden der Mitgliedstaaten sollten die erforderlichen Maßnahmen treffen, um dafür zu sorgen, dass

a) für ihre nationalen Delegierten geeignete Sicherheitsunbedenklichkeitsbescheinigungen bereitgestellt und erforderlichenfalls per Signalübertragung oder Fax entweder unmittelbar oder über das ESA-Sicherheitsbüro dem Sicherheitsbeauftragten für die betreffende Tagung übermittelt werden;

b) alle besonderen Risiken den Behörden des gastgebenden Mitgliedstaats und erforderlichenfalls dem ESA-Sicherheitsbüro mitgeteilt werden, so dass geeignete Abhilfemaßnahmen getroffen werden können.

Sicherheitsbeauftragter für die Tagung

4. Es wird ein Sicherheitsbeauftragter ernannt, der für die allgemeine Vorbereitung und Überwachung der allgemeinen internen Sicherheitsmaßnahmen und für die Koordinierung mit den anderen betroffenen Sicherheitsbehörden verantwortlich ist.

ESA-Sicherheitsbüro

5. Das ESA-Sicherheitsbüro sollte als Sicherheitsberatungsstelle für die Vorbereitung der Tagung fungieren; es sollte auf der Tagung vertreten sein, um erforderlichenfalls den Sicherheitsbeauftragten für die Tagung und die Delegationen zu unterstützen und zu beraten.

SICHERHEITSMASSNAHMEN

Sicherheitsbereiche

6. Es werden folgende Sicherheitsbereiche angelegt:

a) ein Sicherheitsbereich der Kategorie II, der nach Maßgabe der Erfordernisse einen Redaktionsraum, die Büroräume der ESA und die Vervielfältigungsausrüstung sowie die Büroräume der Delegationen umfasst;

b) ein Sicherheitsbereich der Kategorie I, der den Konferenzraum sowie die Dolmetschkabinen und die Kabinen für die Tontechnik umfasst;

c) Verwaltungsbereiche, die aus dem Pressebereich und den für Verwaltung, Verpflegung und Unterkunft genutzten Bereichen des Tagungsortes sowie aus dem sich unmittelbar an das Pressezentrum und den Tagungsort anschließenden Bereich bestehen.

Berechtigungsausweise

7. Der Sicherheitsbeauftragte für die Tagung sollte entsprechend dem von den Delegationen gemeldeten Bedarf geeignete Berechtigungsausweise ausgeben. Erforderlichenfalls kann eine Abstufung der Zugangsberechtigung für die verschiedenen Sicherheitsbereiche vorgesehen werden.

Kontrolle von fotografischen Ausrüstungen und Tonaufzeichnungsgeräten

8. Bild- oder Tonaufzeichnungsgeräte, mit Ausnahme der Geräte für die offizielle Aufzeichnung, und Mobilfunktelefone dürfen nicht in einen Sicherheitsbereich der Kategorie I gebracht werden, sofern es sich nicht um die Ausrüstung von Fotografen und Tontechnikern handelt, die vom Sicherheitsbeauftragten für die Tagung vorschriftsgemäß zugelassen worden sind.

Überprüfung der Büroräume

9. Der Sicherheitsbeauftragte für die Tagung hat dafür zu sorgen, dass die Büroräume der ESA-Exekutive und der Delegationen am Ende jedes Arbeitstages überprüft werden, damit sichergestellt ist, dass alle ESA-Verschlusssachen an einem sicheren Ort aufbewahrt werden; andernfalls hat er die erforderlichen Abhilfemaßnahmen zu treffen.

Abfallbeseitigung bei ESA-Verschlusssachen

10. Sämtliche Abfälle sind als ESA-Verschlusssachen zu behandeln, und die ESA-Exekutive und die Delegationen erhalten zur Entsorgung Papierkörbe oder Abfallsäcke. Die ESA-Exekutive und die Delegationen bringen vor Verlassen der ihnen zugewiesenen Räumlichkeiten die Abfälle zum Sicherheitsbeauftragten für die Tagung, der ihre Vernichtung nach diesen Vorschriften veranlasst.

ABSCHNITT X

VERLETZUNG DER SICHERHEIT UND KENNTNISNAHME VON

ESA-VERSCHLUSSSACHEN DURCH UNBEFUGTE

1. Zu einer Verletzung der Sicherheit kommt es, wenn durch eine Handlung oder durch eine Unterlassung, die den ESA- oder nationalen Sicherheitsvorschriften zuwiderläuft, ESA-Verschlusssachen in Gefahr geraten oder Unbefugten zur Kenntnis gelangen könnten.

2. Eine Kenntnisnahme von ESA-Verschlusssachen durch Unbefugte liegt vor, wenn die Verschlusssachen ganz oder teilweise in die Hände unbefugter Personen (d. h. von Personen, die nicht die erforderliche Zugangsermächtigung haben oder deren Kenntnis der Verschlusssachen nicht nötig ist) gelangt sind oder es wahrscheinlich ist, dass eine derartige Kenntnisnahme stattgefunden hat.

3. Die Kenntnisnahme von ESA-Verschlusssachen durch Unbefugte kann die Folge von Nachlässigkeit, Fahrlässigkeit oder Indiskretion, aber auch der Tätigkeit von Diensten, die in der ESA oder ihren Mitgliedstaaten Kenntnis von ESA-Verschlusssachen und geheimen Tätigkeiten erlangen wollen, oder von subversiven Organisationen sein.

4. Es ist wichtig, dass alle Personen, die mit ESA-Verschlusssachen umgehen müssen, eingehend über die Sicherheitsverfahren, die Gefahren von indiskreten Gesprächen und über ihre Beziehungen zur Presse unterrichtet werden. Sie sollten sich darüber im klaren sein, wie wichtig es ist, jede ihnen bekannt werdende Verletzung der Sicherheit sofort der zuständigen Sicherheitsbehörde des Mitgliedstaats bzw. dem Sicherheitsbeauftragten der ESA-Hauptverwaltung, ‑Niederlassung oder ‑Anlage, in dem bzw. der sie beschäftigt sind, mitzuteilen.

5. Wenn eine Sicherheitsbehörde eine Verletzung der Sicherheit betreffend ESA-Verschlusssachen oder den Verlust bzw. das Verschwinden von als ESA-Verschlusssache eingestuftem Material entdeckt oder hiervon unterrichtet wird, trifft sie rasch Maßnahmen, um

a) Beweise zu sichern;

b) den Sachverhalt zu klären;

c) den entstandenen Schaden zu bewerten und möglichst klein zu halten;

d) zu verhindern, dass sich ein derartiger Vorfall wiederholt;

e) die zuständigen Behörden von den Folgen der Verletzung der Sicherheit zu unterrichten.

In diesem Zusammenhang sind folgende Angaben zu machen:

i) eine Beschreibung der entsprechenden Verschlusssache unter Angabe ihres Geheimhaltungsgrades, ihres Aktenzeichens und der Ausfertigungsnummer, des Datums, des Urhebers, des Themas und des Umfangs;

ii) eine kurze Beschreibung der Umstände, unter denen die Verletzung der Sicherheit erfolgt ist, unter Angabe des Datums und des Zeitraums, während dessen die Verschlusssache Unbefugten zur Kenntnis gelangen konnte;

iii) eine Erklärung darüber, ob der Urheber informiert worden ist.

6. Jede Sicherheitsbehörde hat die Pflicht, unmittelbar nach ihrer Unterrichtung von einer möglichen Verletzung der Sicherheit dem ESA-Sicherheitsbüro hierüber Bericht zu erstatten. Ist die Kenntnisnahme von ESA-Verschlusssachen durch Unbefugte im Zuständigkeitsbereich eines Mitgliedstaates erfolgt, so wird sie über die zuständige NSA/DSA auf die in Nummer 5 angegebene Weise dem ESA-Sicherheitsbüro gemeldet.

7. Fälle, in denen es um als „ESA NUR FÜR DEN DIENSTGEBRAUCH“ eingestufte Verschlusssachen geht, müssen nur dann gemeldet werden, wenn sie ungewöhnlicher Art sind.

8. Wird der Generaldirektor von einer Verletzung der Sicherheit unterrichtet, so

a) unterrichtet er die Stelle, von der die entsprechende Verschlusssache stammt;

b) bittet er die zuständigen Sicherheitsbehörden um die Einleitung von Ermittlungen;

c) koordiniert er die Ermittlungen, falls mehr als eine Sicherheitsbehörde betroffen ist;

d) lässt er einen Bericht erstellen über die Umstände der Verletzung der Sicherheit, das Datum oder den Zeitraum, an dem bzw. während dessen die Verletzung erfolgt ist und der Verstoß entdeckt wurde; der Bericht umfasst eine detaillierte Beschreibung des Inhalts und des Geheimhaltungsgrades des betreffenden Materials. Es sollte auch berichtet werden, welcher Schaden den Interessen der ESA oder eines oder mehrerer ihrer Mitgliedstaaten entstanden ist und welche Maßnahmen ergriffen worden sind, um eine Wiederholung des Vorfalls zu verhindern.

9. Die Stelle, von der die Verschlusssache stammt, unterrichtet deren Empfänger und gibt ihnen entsprechende Anweisungen.

10. Gegen jede für die Kenntnisnahme von ESA-Verschlusssachen durch Unbefugte verantwortliche Person können disziplinarische Maßnahmen auf Grund der geltenden Vorschriften und Regelungen ergriffen werden. Diese Maßnahmen lassen etwaige andere rechtliche Verfahren unberührt. Die ESA-Bediensteten und ‑Sachverständigen sind von den möglichen rechtlichen Folgen von Verletzungen der Sicherheit und vor allem von der in Artikel 7 des Sicherheitsübereinkommens vorgesehenen Möglichkeit der Aufhebung ihrer Immunität in Kenntnis zu setzen.

ABSCHNITT XI

SCHUTZ VON ESA-VERSCHLUSSSACHEN IN INFORMATIONSTECHNISCHEN SYSTEMEN UND KOMMUNIKATIONSSYSTEMEN

Kapitel I

Einleitung

ALLGEMEINES

1. Das Sicherheitskonzept und die Sicherheitsanforderungen, die in diesem Abschnitt beschrieben werden, gelten für alle Kommunikations- und Informationssysteme und -netze (nachstehend als SYSTEME bezeichnet), in denen ESA-Verschlusssachen verarbeitet werden.

2. Bei allen SYSTEMEN sind Sicherheitsmaßnahmen zum Schutz der Integrität und der Verfügbarkeit dieser SYSTEME und der darin enthaltenen Informationen erforderlich. Bei SYSTEMEN, die ESA-Verschlusssachen enthalten, sind zudem Sicherheitsmaßnahmen zum Schutz der Vertraulichkeit dieser Informationen erforderlich. Die auf diese SYSTEME anzuwendenden Sicherheitsmaßnahmen werden von der dazu vorgesehenen Akkreditierungsstelle für IT-Sicherheit (Security Accreditation Authority, SAA) festgelegt; sie entsprechen dem festgestellten Risiko und stehen mit dem in diesen Sicherheitsvorschriften dargelegten Konzept im Einklang.

Das IT-Sicherheitskonzept der ESA stützt sich auf folgende Grundsätze:

- Es ist Bestandteil der Sicherheit im allgemeinen und ergänzt alle Teilaspekte der Datensicherheit, der Sicherheit des Personals und der materiellen Sicherheit;

- Aufteilung der Zuständigkeiten auf Eigentümer der technischen SYSTEME, Eigentümer von ESA-Verschlusssachen, die in technischen SYSTEMEN gespeichert oder verarbeitet werden, IT-Sicherheitsexperten und Nutzer;

- Beschreibung der Sicherheitsgrundsätze und Anforderungen jedes IT-SYSTEMS;

- Genehmigung dieser Grundsätze und Anforderungen durch die vorgesehene Akkreditierungsstelle für IT-Sicherheit (SAA);

- Berücksichtigung der spezifischen Bedrohungen und Schwachstellen in der IT-Umgebung.

3. Der Schutz eingebetteter IT-SYSTEME wird im allgemeinen Kontext der SYSTEME, deren Bestandteil sie sind, unter weitestgehender Anwendung der jeweiligen Bestimmungen dieses Abschnitts festgelegt und spezifiziert.

BEDROHUNGEN UND SCHWACHSTELLEN VON SYSTEMEN

4. Eine Bedrohung kann allgemein als Möglichkeit einer unabsichtlichen oder absichtlichen Beeinträchtigung der Sicherheit definiert werden. Bei SYSTEMEN ist dies mit dem Verlust einer oder mehrerer der Eigenschaften Vertraulichkeit, Integrität und Verfügbarkeit verbunden. Eine Schwachstelle kann als unzureichende oder fehlende Kontrolle definiert werden, die die Bedrohung eines bestimmten Objekts oder Ziels erleichtern oder ermöglichen könnte. Eine Schwachstelle kann durch ein Versäumnis entstehen, oder sie kann mit nachlässigen, unvollständigen oder inkonsistenten Kontrollen zusammenhängen; sie kann die Technik, die Verfahrens- oder die Betriebsebene betreffen.

5. ESA-Verschlusssachen und sonstige Informationen, die in SYSTEMEN in einer zur raschen Abfrage, Übermittlung und Nutzung konzipierten konzentrierten Form vorliegen, sind in vielerlei Hinsicht (durch eine Kombinationen von Bedrohungen und Schwachstellen) gefährdet. So könnten z. B. Unbefugte auf die Informationen zugreifen, oder Befugten könnte der Zugriff verweigert werden. Ferner besteht das Risiko einer unerlaubten Verbreitung, einer Verfälschung, Änderung oder Löschung der Informationen. Außerdem sind die komplexen und manchmal empfindlichen Geräte teuer in der Anschaffung, und es ist häufig schwierig, sie rasch zu reparieren oder zu ersetzen. Deshalb stellen diese SYSTEME attraktive Ziele für geheimdienstliche Tätigkeit oder Sabotage dar, insbesondere wenn die Sicherheitsmaßnahmen für unzureichend gehalten werden.

SICHERHEITSMASSNAHMEN

6. Die in diesem Abschnitt festgelegten Sicherheitsmaßnahmen dienen in erster Linie dem Schutz von Informationen vor unerlaubter Preisgabe (Verlust der Vertraulichkeit) sowie dem Schutz vor dem Verlust der Integrität oder der Verfügbarkeit von Informationen. Um ein SYSTEM, in dem ESA-Verschlusssachen verarbeitet werden, angemessen zu schützen, sind gemäß dem Geheimhaltungsgrad der zu schützenden ESA-Verschlusssache die einschlägigen konventionellen Sicherheitsnormen anzuwenden, zu denen geeignete, auf das jeweilige SYSTEM zugeschnittene spezielle Sicherheitsverfahren und -techniken hinzukommen.

7. Um ein sicheres Umfeld für den Betrieb eines SYSTEMS zu schaffen, muss eine ausgewogene Kombination von Sicherheitsmaßnahmen ausgewählt und umgesetzt werden. Diese Maßnahmen betreffen physische Objekte, das Personal, nichttechnische Verfahren sowie Betriebsverfahren für Computer und Kommunikationssysteme.

8. Bei Maßnahmen im Bereich der Computersicherheit (Sicherheitseigenschaften der Hard- und Software) muss der Grundsatz des berechtigen Informationsbedarfs (Prinzip „Kenntnis nur wenn nötig“) eingehalten werden, und die unerlaubte Preisgabe von Informationen muss verhindert oder aufgedeckt werden. Wie zuverlässig Maßnahmen der Computersicherheit sein müssen, wird bei der Formulierung der Sicherheitsanforderungen festgelegt. Im Rahmen der Akkreditierung wird überprüft, dass eine angemessene Vertrauenswürdigkeit vorhanden ist, um sich auf Maßnahmen der Computersicherheit verlassen zu können.

AUFSTELLUNG DER SYSTEMSPEZIFISCHEN SICHERHEITSANFORDERUNGEN (SSRS)

9. Für alle SYSTEME, in denen als „ESA VERTRAULICH“ oder höher eingestufte Informationen verarbeitet werden, ist eine Aufstellung der systemspezifischen Sicherheitsanforderungen (SSRS) erforderlich, die von der für den Betrieb des IT-SYSTEMS zuständigen Stelle (ITSOA) bzw. dem Eigentümer des technischen SYSTEMS (TSO) und dem Eigentümer der Informationen, gegebenenfalls mit Beiträgen und Unterstützung des Projektpersonals und der INFOSEC-Stelle, erstellt und von der Akkreditierungsstelle für IT-Sicherheit (SAA) genehmigt wird. Eine SSRS ist auch dann erforderlich, wenn die Vertraulichkeit, Verfügbarkeit und Integrität von als „ESA NUR FÜR DEN DIENSTGEBRAUCH“ eingestuften Informationen oder von Informationen ohne VS-Einstufung von der SAA als sicherheitskritisch angesehen wird.

10. Die SSRS wird im frühesten Stadium der Konzeption eines Projekts formuliert und parallel zum Projektverlauf weiterentwickelt und verbessert; sie erfüllt unterschiedliche Aufgaben in verschiedenen Stadien des Projekts und des Lebenszyklus des SYSTEMS.

11. Die SSRS wird zwischen der für den Betrieb des IT-Systems zuständigen Stelle bzw. dem Eigentümer des technischen SYSTEMS (TSO) und dem Eigentümer der Informationen und der SAA verbindlich vereinbart und bei der Akkreditierung des SYSTEMS zugrunde gelegt.

12. Die SSRS ist eine vollständige und ausführliche Festlegung der einzuhaltenden Sicherheitsgrundsätze und der zu erfüllenden detaillierten Sicherheitsanforderungen. Sie beruht auf den Sicherheitsvorschriften und der Risikobewertung der ESA bzw. wird von Faktoren des betrieblichen Umfelds bestimmt, vom jeweiligen Sicherheitsmodus oder den Benutzeranforderungen. Die SSRS ist Bestandteil der Projektdokumentation, die den zuständigen Stellen zur Billigung der technischen, haushaltsbezogenen und sicherheitsrelevanten Aspekte unterbreitet wird. In ihrer endgültigen Fassung ist die SSRS eine vollständige Beschreibung der Voraussetzungen, die gegeben sein müssen, damit ein bestimmtes SYSTEM sicher ist.

SICHERHEITSMODUS

13. Alle SYSTEME, in denen als „ESA VERTRAULICH“ oder höher eingestufte Informationen verarbeitet werden, werden für den Betrieb in einem einzigen Sicherheitsmodus oder – aufgrund zeitlich unterschiedlicher Anforderungen – in mehreren der folgenden sicherheitsbezogenen Betriebsarten (oder deren einzelstaatlichen Entsprechungen) freigegeben:

a) „dedicated“;

b) „system high“;

c) „multi-level“.

Kapitel II

ZUSÄTZLICHE KENNZEICHNUNGEN

14. Zusätzliche Kennzeichnungen wie z. B. CRYPTO oder eine andere von der ESA anerkannte Sonderkennung werden verwendet, wenn zusätzlich zu der Behandlung, die sich durch die VS-Einstufung ergibt, eine begrenzte Verteilung und eine besondere Abwicklung erforderlich sind.

BEGRIFFSBESTIMMUNGEN

15. Der SICHERHEITSMODUS „DEDICATED“ bezeichnet eine Betriebsart, bei der ALLE Personen, die Zugang zum SYSTEM haben, zum Zugriff auf den höchsten im SYSTEM verarbeiteten Geheimhaltungsgrad berechtigt sind und generell einen berechtigten Informationsbedarf in bezug auf ALLE im SYSTEM verarbeiteten Informationen haben.

Anmerkungen:

(1) Da alle Nutzer einen berechtigten Informationsbedarf haben, muss sicherheitstechnisch nicht unbedingt zwischen unterschiedlichen Informationen innerhalb des SYSTEMS unterschieden werden.

(2) Andere Sicherheitseigenschaften (z. B. objekt-, personen- und verfahrensbezogene Funktionen) müssen den Anforderungen für den höchsten Geheimhaltungsgrad und für alle Kategorien von Informationen, die im SYSTEM verarbeitet werden, entsprechen.

16. Der SICHERHEITSMODUS „SYSTEM HIGH“ bezeichnet eine Betriebsart, bei der ALLE Personen, die Zugang zum SYSTEM haben, zum Zugriff auf den höchsten im SYSTEM verarbeiteten Geheimhaltungsgrad berechtigt sind, bei der aber NICHT ALLE Personen, die Zugang zum SYSTEM haben, generell einen berechtigten Informationsbedarf in bezug auf die im SYSTEM verarbeiteten Informationen haben.

Anmerkungen:

(1) Da nicht alle Nutzer generell einen berechtigten Informationsbedarf haben, muss die sicherheitstechnische Ausgestaltung einen selektiven Zugriff auf Informationen und eine Trennung von Informationen innerhalb des SYSTEMS gewährleisten.

(3) Bei dieser Betriebsart werden alle im SYSTEM verarbeiteten oder für das SYSTEM verfügbaren Informationen sowie die entsprechenden Ausgaben – solange nichts anderes festgelegt wurde – so geschützt, als würden sie unter die jeweilige Kategorie von Informationen und den höchsten verarbeiteten Geheimhaltungsgrad fallen, es sei denn, eine vorhandene Kennzeichnungsfunktion ist in ausreichendem Maße vertrauenswürdig.

17. Der SICHERHEITSMODUS „MULTI-LEVEL“ bezeichnet eine Betriebsart, bei der NICHT ALLE Personen, die Zugang zum SYSTEM haben, zum Zugriff auf den höchsten Geheimhaltungsgrad im SYSTEM berechtigt sind und bei der NICHT ALLE Personen, die Zugang zum SYSTEM haben, generell einen berechtigten Informationsbedarf in bezug auf die im SYSTEM verarbeiteten Informationen haben.

Anmerkungen:

(1) In dieser Betriebsart ist derzeit die Verarbeitung von Informationen unterschiedlicher Geheimhaltungsgrade und verschiedener Kategorien von Informationen möglich.

(2) Da nicht alle Personen zum Zugriff auf die höchsten Geheimhaltungsgrade berechtigt sind, und da nicht alle Personen generell einen berechtigten Informationsbedarf in bezug auf die im SYSTEM verarbeiteten Informationen haben, muss die sicherheitstechnische Ausgestaltung einen selektiven Zugriff auf Informationen und eine Trennung von Informationen innerhalb des SYSTEMS gewährleisten.

18. INFORMATIONSSICHERHEIT (INFOSEC) bezeichnet die Anwendung von Sicherheitsmaßnahmen zum Schutz von Informationen, die in Kommunikations- und Informationssystemen und anderen elektronischen Systemen verarbeitet, gespeichert oder übermittelt werden, vor dem unabsichtlichen oder absichtlichen Verlust der Vertraulichkeit, Integrität und Verfügbarkeit, sowie zur Vermeidung des Verlustes der Integrität und Verfügbarkeit der SYSTEME selbst. INFOSEC-Maßnahmen erstrecken sich auf die Sicherheit von Computern, die Sicherheit der Übertragung, die Sicherheit vor Abstrahlung und die kryptographische Sicherheit sowie die Aufdeckung, Dokumentation und Bekämpfung von Bedrohungen für Informationen und SYSTEME.

19. COMPUTERSICHERHEIT (COMPUSEC) bezeichnet den Einsatz der Sicherheitseigenschaften von Hardware, Firmware und Software eines Computersystems zum Schutz vor unerlaubter Preisgabe, Manipulation, Änderung bzw. Löschung von Informationen sowie vor einem Systemausfall (Denial of Service).

20. COMPUTERSICHERHEITSPRODUKT ist ein allgemeines, der Computersicherheit dienendes Produkt, das zur Integration in ein IT-SYSTEM und zur Verbesserung bzw. Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten Informationen bestimmt ist.

21. KOMMUNIKATIONSSICHERHEIT (COMSEC) bezeichnet die Anwendung von Sicherheitsmaßnahmen auf den Telekommunikationsverkehr, um zu verhindern, dass Unbefugte in den Besitz wertvoller Informationen gelangen, die aus dem Zugriff auf den Telekommunikationsverkehr und dessen Auswertung gewonnen werden könnten, oder um die Vertraulichkeit und Integrität des Telekommunikationsverkehrs sicherzustellen.

Anmerkung:

Diese Maßnahmen umfassen die kryptographische Sicherheit, die Sicherheit der Übermittlung und die Sicherheit vor Abstrahlung und ferner die verfahrens-, objekt- und personenbezogene Sicherheit sowie die Dokumenten- und Computersicherheit.

22. PRODUKT FÜR KRYPTOGRAPHISCHE SICHERHEIT ist ein allgemeines, der Kommunikationssicherheit dienendes Produkt, das zur Integration in ein Kommunikationssystem und zur Verbesserung bzw. Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten Informationen bestimmt ist.

23. EVALUATION bezeichnet die eingehende technische Prüfung der Sicherheitsaspekte eines SYSTEMS oder eines Produkts für kryptographische Sicherheit oder Computersicherheit durch eine zuständige Stelle.

Anmerkungen:

(1) Bei der Evaluation wird geprüft, ob die verlangten Sicherheitsfunktionen tatsächlich vorhanden sind und ob sie negative Nebeneffekte haben, und es wird bewertet, inwieweit diese Funktionen verfälscht werden könnten.

(2) Bei der Evaluation wird ferner bestimmt, inwieweit die für ein SYSTEM geltenden Sicherheitsanforderungen erfüllt bzw. die geltend gemachten Sicherheitsleistungen eines Computersicherheitsprodukts erbracht werden, und es wird die Vertrauenswürdigkeitsstufe des SYSTEMS oder des Produkts für kryptographische Sicherheit oder Computersicherheit bestimmt.

24. ZERTIFIZIERUNG bezeichnet eine – durch eine unabhängige Überprüfung der Durchführung und der Ergebnisse einer Evaluation gestützte – förmliche Bescheinigung der zuständigen Akkreditierungsstelle darüber, inwieweit ein SYSTEM die Sicherheitsanforderungen erfüllt oder inwieweit ein Produkt für kryptographische Sicherheit oder Computersicherheit vorgegebene Sicherheitsleistungen erbringt.

25. GENEHMIGUNG ZUR VERWENDUNG eines Produkts für kryptographische Sicherheit bezeichnet eine - durch die Ergebnisse einer Evaluation gestützte - förmliche Bescheinigung einer Nationalen Zulassungsstelle mit eigenen Zulassungskriterien. Es handelt sich dabei um eine notwendige, aber nicht ausreichende Voraussetzung für die Akkreditierung.

26. AKKREDITIERUNG bezeichnet die Zulassung eines SYSTEMS zur Verarbeitung von ESA-Verschluss-Sachen in seinem betrieblichen Umfeld.

Anmerkung:

Die Akkreditierung sollte erfolgen, nachdem alle einschlägigen sicherheitsrelevanten Verfahren durchgeführt worden sind und der Schutz der Systemressourcen in ausreichendem Maße sichergestellt worden ist. Die Akkreditierung sollte in der Regel auf der Grundlage der SSRS erfolgen und folgendes umfassen:

a) Festlegung der Zielvorgaben der Akkreditierung dieses SYSTEMS, insbesondere welche Geheimhaltungsgrade verarbeitet werden sollen und welcher Sicherheitsmodus für das SYSTEM oder Netz vorgeschlagen wird;

b) Bestandsaufnahme des Risikomanagements, in der Bedrohungen und Schwachstellen benannt und entsprechende Gegenmaßnahmen dargelegt werden;

c) sicherheitsbezogene Betriebsverfahren (SecOPs) mit einer detaillierten Beschreibung der vorgesehenen Abläufe (z. B. Betriebsarten und Funktionen) und mit einer Beschreibung der Sicherheitseigenschaften des SYSTEMS, die die Grundlage für die Akkreditierung bildet;

d) Plan für die Implementierung und Aufrechterhaltung der Sicherheitseigenschaften;

e) Plan für die erstmalige und nachfolgende Prüfung, Evaluation und Zertifizierung der SYSTEM- oder Netzsicherheit;

f) gegebenenfalls Zertifizierung zusammen mit anderen Teilaspekten der Akkreditierung.

g) Bei Produkten für kryptographische Sicherheit kann je nach Umfang der Änderungen gegenüber der genehmigten Fassung der SSRS eine Nachevaluation erforderlich sein.

27. IT-SYSTEM bezeichnet eine Gesamtheit von Betriebsmitteln, Methoden und Verfahren sowie gegebenenfalls Personal, die zusammenwirken, um Aufgaben der Informationsverarbeitung zu erfüllen.

Anmerkungen:

(1) Darunter wird eine Gesamtheit von Einrichtungen verstanden, die zur Verarbeitung von Informationen innerhalb des SYSTEMS konfiguriert sind.

(2) Diese SYSTEME können der Abfrage, der Steuerung, der Kontrolle, der Kommunikation und wissenschaftlichen oder administrativen Anwendungen einschließlich der Textverarbeitung dienen.

(3) Die Grenzen eines SYSTEMS werden im allgemeinen in bezug auf die Bestandteile definiert, die der Kontrolle einer einzigen ITSOA bzw. eines einzigen TSO unterliegen.

(4) Ein IT-SYSTEM kann Teilsysteme enthalten, von denen einige selbst wiederum IT-SYSTEME sind.

28. Die SICHERHEITSEIGENSCHAFTEN EINES IT-SYSTEMS umfassen alle Funktionen, Merkmale und Eigenschaften der Hardware, Firmware und Software; dazu gehören die Betriebsverfahren, die Nachvollziehbarkeit, die Zugangs- und Zugriffskontrollen, die IT-Umgebung, die Umgebung dezentraler Terminals bzw. Datenstationen, der vorgegebene Managementrahmen, die physischen Strukturen und Geräte sowie Personal- und Kommunikationskontrollen, die erforderlich sind, um einen annehmbaren Schutz der Verschlusssachen sicherzustellen, die in einem IT-SYSTEM verarbeitet werden sollen.

29. IT-NETZ bezeichnet eine Gesamtheit von geographisch verteilten IT-SYSTEMEN, die für den Datenaustausch miteinander verbunden sind; darin eingeschlossen sind die Bestandteile der vernetzten IT-SYSTEME sowie deren Schnittstelle mit den zugrundeliegenden Daten- oder Kommunikationsnetzen.

Anmerkungen:

(1) Ein IT-Netz kann die Funktionen eines oder mehrerer Kommunikationsnetze zum Datenaustausch nutzen; mehrere IT-Netze können die Funktionen eines gemeinsamen Kommunikationsnetzes nutzen.

(2) Ein IT-Netz wird als „lokal“ bezeichnet, wenn es mehrere am selben Standort befindliche Computer miteinander verbindet.

30. Die SICHERHEITSEIGENSCHAFTEN EINES IT-NETZES umfassen die Sicherheitseigenschaften der einzelnen IT-SYSTEME, aus denen das Netz besteht, sowie jene zusätzlichen Bestandteile und Eigenschaften, die mit dem Netz als solchem verbunden sind (z. B. Kommunikation im Netz, Mechanismen und Verfahren zur Sicherheitsidentifikation und zur Kennzeichnung, Zugriffskontrollen, Programme und automatische Ereignisprotokolle) und die erforderlich sind, um einen angemessenen Schutz der Verschlusssachen sicherzustellen.

31. IT-UMGEBUNG bezeichnet einen Bereich, in dem sich ein oder mehrere Computer, deren lokale Peripheriegeräte und Speichereinheiten, Steuereinheiten sowie ihnen fest zugeordnete Netz- und Kommunikationseinrichtungen befinden.

Anmerkung:

Nicht eingeschlossen sind davon abgetrennte Bereiche, in denen sich dezentrale Peripheriegeräte oder Terminals bzw. Datenstationen befinden, auch wenn diese an Geräte innerhalb der IT-Umgebung angeschlossen sind.

32. UMGEBUNG VON DEZENTRALEN TERMINALS bzw. DATENSTATIONEN bezeichnet einen Bereich außerhalb einer IT-Umgebung, in dem sich Computer, deren lokale Peripheriegeräte oder Terminals bzw. Datenstationen und alle zugehörigen Kommunikationseinrichtungen befinden.

33. TEMPEST-Schutzmaßnahmen (Transient Electromagnetic Pulse Emanation Standard) bezeichnen Sicherheitsmaßnahmen zum Schutz von Geräten und Kommunikationsinfrastruktur gegen die Preisgabe von Verschlusssachen durch unabsichtliche elektromagnetische Abstrahlung.

34. EIGENTÜMER DES TECHNISCHEN SYSTEMS (TSO) ist die für Einrichtung, Wartung, Betrieb und Abschaltung eines SYSTEMS zuständige Stelle.

Kapitel III

Zuständigkeiten im Sicherheitsbereich

ALLGEMEINES

35. Der Sicherheitsausschuss gemäß Abschnitt I Nummern 3 und 4 ist auch für INFOSEC-Fragen zuständig. Der Sicherheitsausschuss organisiert seine Tätigkeit so, dass er zu den vorstehenden Punkten sachverständigen Rat geben kann.

36. Das Sicherheitsbüro der ESA hat ein INFOSEC-Referat, das unter anderem dafür zuständig ist, auf der Grundlage dieses Kapitels ausführliche INFOSEC-Leitlinien aufzustellen.

37. Im Falle von Sicherheitsproblemen (Zwischenfälle, Verletzungen der Sicherheit usw.) wird die zuständige einzelstaatliche Behörde und/oder das Sicherheitsbüro der ESA sofort tätig. Alle Probleme werden dem Sicherheitsbüro der ESA gemeldet, das dafür verantwortlich ist, die Daten aufzuzeichnen und zu analysieren und gemäß Abschnitt X geeignete Maßnahmen zu ergreifen. Bei Verletzung oder Gefährdung der kryptographischen Sicherheit sind die Bestimmungen aus Kaptitel V dieses Abschnitts über Kommunikationssicherheit anzuwenden.

AKKREDITIERUNGSSTELLE FÜR IT-SICHERHEIT (SAA)

38. Die SAA ist entweder:

- eine NSA oder andere zuständige Behörde, wenn das SYSTEM, in dem ESA-Verschlusssachen verarbeitet werden, unter nationaler Verantwortung steht,

- der Leiter des Sicherheitsbüros der ESA, wenn das SYSTEM nicht mit einem nationalen Informationssystem verbunden ist und nicht nationale Verschlusssachen verwendet oder verarbeitet, oder

- ein Gremium aus Vertretern der ESA und der zuständigen NSAs, wenn unterschiedliche Bestandteile des SYSTEMS in die Zuständigkeit der ESA und der Mitgliedstaaten fallen.

39. Die SAA hat sicherzustellen, dass die SYSTEME den Sicherheitsvorschriften der ESA entsprechen. Sie hat unter anderem die Aufgabe, ein SYSTEM zur Verarbeitung von ESA-Verschlusssachen bis zu einem bestimmten Geheimhaltungsgrad in seinem betrieblichen Umfeld zuzulassen.

- Die Zuständigkeit der SAA der ESA erstreckt sich auf alle SYSTEME, die innerhalb der Räumlichkeiten der ESA (d.h. in der Hauptverwaltung, den Niederlassungen und den Anlagen der ESA) betrieben werden.

- SYSTEME und Bestandteile von SYSTEMEN, die in einem Mitgliedstaat betrieben werden, verbleiben in der Zuständigkeit dieses Mitgliedstaats.

- Wenn unterschiedliche Bestandteile eines SYSTEMS in die Zuständigkeit der SAA der ESA und anderer SAAs fallen, ernennen alle Parteien ein gemeinsames Akkreditierungsgremium, dessen Koordinierung die SAA der ESA unter Beteiligung von Vertretern der zuständigen NSA/DSA übernimmt.

INFOSEC-STELLE (IA)

40. Der Leiter des INFOSEC-Referats des ESA-Sicherheitsbüros ist die INFOSEC-Stelle für die ESA. Die INFOSEC-Stelle der ESA ist für folgendes verantwortlich:

- Implementierung und Anwendung von Sicherheitseigenschaften eines SYSTEMS,

- Überprüfung und Kontrolle der ordnungsgemäßen Anwendung der Sicherheitsvorschriften in der ESA,

- technische Beratung und Unterstützung der SAA,

- Unterstützung bei der Entwicklung der SSRS,

- Überprüfung der SSRS auf ihre Übereinstimmung mit diesen Sicherheitsvorschriften und den Dokumenten über INFOSEC-Konzept und ‑Architektur,

- Aufstellung ausführlicher INFOSEC-Leitlinien auf der Grundlage dieses Kapitels,

- soweit erforderlich Teilnahme an den Sitzungen der Akkreditierungsgremien und Erstellung von INFOSEC-Empfehlungen für die SAA betreffend Akkreditierung,

- Unterstützung bei Schulungs- und Ausbildungsmaßnahmen im INFOSEC-Bereich,

- technische Beratung bei der Untersuchung von Zwischenfällen im INFOSEC-Bereich,

- Erstellung technischer Strategieleitlinien, um sicherzustellen, dass nur zugelassene Software verwendet wird.

FÜR DEN BETRIEB EINES IT-SYSTEMS ZUSTÄNDIGE STELLE (ITSOA)/Eigentümer des technischen SYSTEMS (TSO)

41. Die INFOSEC-Stelle delegiert zum frühestmöglichen Zeitpunkt die Verantwortung für die Implementierung und die Anwendung von Kontrollen und speziellen Sicherheitseigenschaften des SYSTEMS an die für den Betrieb des IT-SYSTEMS zuständige Stelle (ITSOA) oder gegebenenfalls an dessen Eigentümer, d.h. den Eigentümer des technischen SYSTEMS (TSO). Diese Verantwortung besteht während der gesamten Lebensdauer des SYSTEMS von der Konzeption des Projekts bis zur endgültigen Entsorgung.

42. Die ITSOA bzw. der TSO ist verantwortlich für alle Sicherheitsmaßnahmen, die als Teil des gesamten SYSTEMS konzipiert sind. Diese Verantwortung schließt die Erstellung von SecOPs ein. Die ITSOA bzw. der TSO legt die Sicherheitsnormen und ‑verfahren fest, die vom Lieferanten des SYSTEMS eingehalten werden müssen.

43. Die ITSOA bzw. der TSO kann gegebenenfalls einen Teil ihrer bzw. seiner Verantwortung an den für ein Projekt oder Programm zuständigen INFOSEC-Beauftragten delegieren. Die verschiedenen INFOSEC-Aufgaben können von einer einzigen Person wahrgenommen werden.

NUTZER

44. Alle Nutzer müssen sicherstellen, dass ihr Handeln die Sicherheit des von ihnen benutzten SYSTEMS nicht beeinträchtigt.

INFOSEC-SCHULUNG

45. Ausbildung und Schulung im INFOSEC-Bereich wird je nach Sachlage auf den verschiedenen Ebenen und für unterschiedliches Personal in der Hauptverwaltung, den Niederlassungen und den Anlagen der ESA oder den einzelstaatlichen Behörden angeboten.

Kapitel IV

Nichttechnische Sicherheitsmaßnahmen

SICHERHEIT DES PERSONALS

46. Die Nutzer des SYSTEMS müssen sich erfolgreich einer Sicherheitsüberprüfung unterzogen haben, die dem Geheimhaltungsgrad und Inhalt der in ihrem jeweiligen SYSTEM verarbeiteten Informationen entspricht, und müssen hierfür einen berechtigten Informationsbedarf haben. Der Zugang zu bestimmten Einrichtungen oder Informationen, die für die SYSTEME sicherheitsrelevant sind, erfordert eine besondere Ermächtigung, die gemäß den einschlägigen nationalen Vorschriften erteilt wird.

47. Die SAA benennt alle sicherheitskritischen Arbeitsplätze und legt fest, welcher Sicherheitsüberprüfung und Überwachung sich alle Personen an diesen Arbeitsplätzen unterziehen müssen, wobei gegebenenfalls die Auswirkungen der Zusammenstellung von Informationen zu berücksichtigen sind.

48. SYSTEME werden so spezifiziert und konzipiert, dass die Zuweisung von Aufgaben und Zuständigkeiten an das Personal erleichtert wird und dass vermieden wird, dass eine einzige Person umfassende Kenntnis oder Kontrolle über die für die Systemsicherheit entscheidenden Punkte erhält. Damit wird bezweckt, dass für eine Änderung oder absichtliche Schädigung des SYSTEMS oder Netzes eine Absprache zwischen zwei oder mehr Personen erforderlich wäre.

MATERIELLE SICHERHEIT

49. IT-Umgebungen und Umgebungen von dezentralen Terminals bzw. Datenstationen (gemäß den Nummern 31 und 32), in denen als „ESA VERTRAULICH“ und höher eingestufte Informationen mit informationstechnischen Mitteln verarbeitet werden oder in denen der Zugriff auf solche Informationen grundsätzlich möglich ist, werden je nach Sachlage als ESA-Sicherheitsbereiche der Kategorie I oder II bzw. gemäß deren einzelstaatlichen Entsprechungen eingestuft.

50. IT-Umgebungen und Umgebungen von dezentralen Terminals bzw. Datenstationen, in denen die Sicherheit des SYSTEMS beeinflusst werden kann, dürfen nicht mit nur einem Befugten besetzt werden.

KONTROLLE DES ZUGANGS ZU EINEM SYSTEM

51. Alle Informationen und jegliches Material, das die Kontrolle des Zugangs zu einem SYSTEM ermöglicht, werden durch Vorkehrungen geschützt, die dem höchsten Geheimhaltungsgrad und der Kategorie von Informationen, zu denen sie Zugang gewähren könnten, entsprechen.

52. Informationen und Material zur Zugangskontrolle werden, wenn sie nicht mehr zu diesem Zweck verwendet werden, im Einklang mit den SAA-Verfahren und/oder nationalen Vorschriften verwahrt. Ihre letztliche Vernichtung erfolgt gemäß den Nummern 65 bis 67.

Kapitel V

Technische Sicherheitsmaßnahmen

INFORMATIONSSICHERHEIT

53. Der Urheber einer Information hat die Aufgabe, alle informationstragenden Dokumente zu identifizieren und ihnen einen Geheimhaltungsgrad zuzuordnen, unabhängig davon, ob sie als Papierausdruck oder auf einem elektronischen Datenträger vorliegen. Auf jeder Seite eines Papierausdrucks wird oben und unten der Geheimhaltungsgrad vermerkt. Jeder Ausgabe, ob als Papierausdruck oder auf einem elektronischen Datenträger, wird der höchste Geheimhaltungsgrad der zu ihrer Erstellung verarbeiteten Informationen zugeordnet. Die Betriebsart eines SYSTEMS kann den Geheimhaltungsgrad für Ausgaben dieses SYSTEMS ebenfalls beeinflussen.

54. Die ESA-Direktionen und ihre Informationsträger müssen sich mit der Problematik der Zusammenstellung einzelner Informationsbestandteile und den Schlussfolgerungen, die aus den miteinander verknüpften Bestandteilen gewonnen werden können, auseinandersetzen und entscheiden, ob die Gesamtheit der Informationen höher eingestuft werden muss oder nicht.

55. Wenn Informationen von einem SYSTEM zu einem anderen übertragen werden, werden diese Informationen bei der Übertragung und im Empfängersystem entsprechend dem ursprünglichen Geheimhaltungsgrad und der ursprünglichen Kategorie geschützt.

56. Die Behandlung aller elektronischen Datenträger muss dem höchsten Geheimhaltungsgrad der gespeicherten Informationen bzw. der Datenträger-Kennzeichnung entsprechen; elektronische Datenträger müssen jederzeit angemessen geschützt werden.

57. Wiederverwendbare elektronische Datenträger, die zur Speicherung von ESA-Verschlusssachen verwendet werden, behalten den höchsten Geheimhaltungsgrad bei, für den sie jemals verwendet wurden, bis diese Informationen ordnungsgemäß herabgestuft worden sind oder der Geheimhaltungsgrad aufgehoben wurde und der Datenträger entsprechend neu eingestuft beziehungsweise der Geheimhaltungsgrad aufgehoben oder der Datenträger nach einem von der SAA zugelassenen Verfahren vernichtet wurde (siehe Nummern 65 bis 67).

KONTROLLE UND NACHVOLLZIEHBARKEIT IN BEZUG AUF INFORMATIONEN

58. Der Zugriff auf Informationen, die als „ESA GEHEIM“ und höher eingestuft sind, wird automatisch („audit trails“) oder manuell protokolliert und dokumentiert. Die Protokolle werden im Einklang mit diesen Sicherheitsvorschriften aufbewahrt.

59. ESA-Verschlusssachen, die als Ausgaben innerhalb der IT-Umgebung vorliegen, können als eine einzige Verschlusssache behandelt werden und brauchen nicht registriert zu werden, sofern sie in geeigneter Weise identifiziert, mit dem Geheimhaltungsgrad gekennzeichnet und angemessen kontrolliert werden.

60. Für die Fälle, in denen ein SYSTEM, in dem ESA-Verschlusssachen verarbeitet werden, Ausgaben erstellt und diese Ausgaben aus einer IT-Umgebung in die Umgebung von dezentralen Terminals bzw. Datenstationen übermittelt werden, werden von der SAA zu genehmigende Verfahren festgelegt, um die Ausgabe an den dezentralen Standorten zu kontrollieren. Für Informationen, die als „ESA GEHEIM“ oder höher eingestuft sind, beinhalten diese Verfahren besondere Anweisungen für die Nachvollziehbarkeit in bezug auf diese Informationen.

BEHANDLUNG UND KONTROLLE VON AUSTAUSCHBAREN ELEKTRONISCHEN DATENTRÄGERN

61. Alle austauschbaren elektronischen Datenträger, die als „ESA VERTRAULICH“ und höher eingestuft sind, werden als Material angesehen und unterliegen den allgemeinen Regeln. Die Identifizierung und Kennzeichnung des Geheimhaltungsgrades muss an das besondere physische Erscheinungsbild der Datenträger angepasst werden, sodass diese eindeutig erkannt werden können.

62. Die physische Entfernung von in elektronischer Form aufbewahrten ESA-Verschlusssachen aus der Hauptverwaltung, den Niederlassungen und den Anlagen der ESA muss gemäß den von der SAA genehmigten Verfahren erfolgen.

63. Die Nutzer sind dafür verantwortlich, dass ESA-Verschlusssachen auf Datenträgern gespeichert werden, die korrekt mit dem Geheimhaltungsgrad gekennzeichnet sind und angemessen geschützt werden. Um sicherzustellen, dass die Speicherung von Informationen auf elektronischen Datenträgern für alle ESA-Geheimhaltungsgrade im Einklang mit diesen Sicherheitsvorschriften erfolgt, werden entsprechende Verfahren festgelegt.

FREIGABE UND VERNICHTUNG VON ELEKTRONISCHEN DATENTRÄGERN

64. Elektronische Datenträger, die zur Speicherung von ESA-Verschlusssachen verwendet werden, können nach einem von der SAA zu genehmigenden Verfahren herabgestuft oder freigegeben werden.

65. Elektronische Datenträger, die als „ESA GEHEIM“ und höher eingestufte Informationen enthalten haben, dürfen nicht freigegeben oder wiederverwendet werden.

66. Können elektronische Datenträger nicht freigegeben oder wiederverwendet werden, sind sie nach dem obengenannten Verfahren zu vernichten.

KOMMUNIKATIONSSICHERHEIT

67. Wenn ESA-Verschlusssachen elektromagnetisch übermittelt werden, werden besondere Maßnahmen zum Schutz von Vertraulichkeit, Integrität und Verfügbarkeit solcher Übermittlungsvorgänge ergriffen. Die SAA legt die Anforderungen an den Schutz von Übermittlungsvorgängen fest, der sich nach den Anforderungen an die Vertraulichkeit, Integrität und Verfügbarkeit richtet.

68. Wenn zum Schutz von Vertraulichkeit, Integrität und Verfügbarkeit von ESA-Verschlusssachen kryptographische Produkte verwendet werden sollen, müssen sie vorher von einer entsprechend qualifizierten Stelle eines ESA-Mitgliedstaats evaluiert und zugelassen werden.

69. Während der Übermittlung wird die Vertraulichkeit von als „ESA GEHEIM“ und höher eingestuften Informationen durch kryptographische Methoden oder Produkte geschützt, die vom Rat der ESA auf Empfehlung des ESA-Sicherheitsausschusses zugelassen worden sind. Während der Übermittlung wird die Vertraulichkeit von Informationen des Geheimhaltungsgrades „ESA VERTRAULICH“ oder „ESA NUR FÜR DEN DIENSTGEBRAUCH“ durch kryptographische Methoden oder Produkte geschützt, die entweder vom Generaldirektor auf Empfehlung des ESA-Sicherheitsausschusses oder von der NSA/DSA eines Mitgliedstaats zugelassen worden sind.

70. Detaillierte Regeln für die Übermittlung von ESA-Verschlusssachen werden in besonderen Sicherheitsanweisungen festgelegt, die vom Generaldirektor auf Empfehlung des ESA-Sicherheitsausschusses erlassen werden.

71. Unter außergewöhnlichen Betriebsbedingungen können Informationen der Geheimhaltungsgrade „ESA NUR FÜR DEN DIENSTGEBRAUCH“, „ESA VERTRAULICH“ und „ESA GEHEIM“ als Klartext übermittelt werden, sofern dies in jedem einzelnen Fall vom Leiter des ESA-Sicherheitsbüros ausdrücklich genehmigt und ordnungsgemäß registriert wird. Solche außergewöhnlichen Bedingungen sind gegeben

a) während einer drohenden oder aktuellen Krisen-, Konflikt- oder Kriegssituation und

b) wenn die Schnelligkeit der Zustellung von vordringlicher Bedeutung ist und keine Verschlüsselungsmittel verfügbar sind, und wenn davon ausgegangen wird, dass die übermittelte Information nicht rechtzeitig dazu mißbraucht werden kann, Vorgänge negativ zu beeinflussen.

72. Ein System muß in der Lage sein, bei Bedarf den Zugriff auf ESA-Verschlusssachen an einzelnen oder allen seiner dezentralen Datenstationen bzw. Terminals zu verweigern, und zwar entweder durch eine physische Abschaltung oder durch spezielle, von der SAA genehmigte Softwarefunktionen.

SICHERHEIT DER INSTALLATION UND SICHERHEIT VOR ABSTRAHLUNG

73. Die Erstinstallation von SYSTEMEN und nachfolgende größere Änderungen werden so geregelt, dass die Arbeiten von sicherheitsüberprüften Personen durchgeführt und ständig durch technisch qualifiziertes Personal überwacht werden, das zum Zugang zu ESA-Verschlusssachen des höchsten im SYSTEM voraussichtlich gespeicherten und verarbeiteten Geheimhaltungsgrades ermächtigt ist.

74. Alle Einrichtungen werden im Einklang mit den geltenden Sicherheitsvorschriften des ESA-Rates installiert.

75. SYSTEME, in denen als „ESA VERTRAULICH“ und höher eingestufte Informationen verarbeitet werden, werden so geschützt, dass ihre Sicherheit nicht durch kompromittierende Abstrahlung bedroht werden kann, wobei entsprechende Analyse- und Kontrollmaßnahmen als „TEMPEST“ bezeichnet werden.

76. TEMPEST-Maßnahmen in der Hauptverwaltung, den Niederlassungen und den Anlagen der ESA werden vom Leiter des ESA-Sicherheitsbüros als die für TEMPEST zuständige Stelle überprüft und genehmigt.

Kapitel VI

Sicherheit bei der Verarbeitung

SICHERHEITSBEZOGENE BETRIEBSVERFAHREN (SecOPs)

77. In den SecOPs werden die in Sicherheitsfragen geltenden Grundsätze, die einzuhaltenden Betriebsverfahren sowie die Zuständigkeiten des Personals festgelegt. Für die Erstellung der sicherheitsbezogenen Betriebsverfahren ist die ITSOA bzw. der TSO verantwortlich.

SOFTWARESCHUTZ UND KONFIGURATIONSMANAGEMENT

78. Der Schutz von Anwendungsprogrammen wird auf der Grundlage einer Bewertung der Sicherheitseinstufung des Programms selbst und nicht aufgrund der Einstufung der zu verarbeitenden Informationen festgelegt. Die benutzten Software-Versionen sollten in regelmäßigen Abständen überprüft werden, um ihre Integrität und korrekte Funktion sicherzustellen.

79. Neue oder geänderte Versionen einer Software sollten erst für die Verarbeitung von ESA-Verschlusssachen benutzt werden, wenn sie von der ITSOA bzw. dem TSO geprüft worden sind.

PRÜFUNG AUF DAS VORHANDENSEIN VON PROGRAMMEN MIT SCHADENSFUNKTIONEN UND VON COMPUTERVIREN

80. Die Prüfung auf das Vorhandensein von Programmen mit Schadensfunktionen und von Computerviren wird regelmäßig im Einklang mit den Anforderungen der SAA durchgeführt.

81. Alle elektronischen Datenträger, die in der Hauptverwaltung, den Niederlassungen und den Anlagen der ESA eingehen, sollten auf das Vorhandensein von Programmen mit Schadensfunktionen und von Computerviren überprüft werden, bevor sie in ein SYSTEM eingebracht werden, das vom ESA-Sicherheitsbüro genehmigte Werkzeuge und Anlagen verwendet.

WARTUNG

82. In Verträgen und Verfahrensanweisungen für die planmäßige und außerplanmäßige Wartung von SYSTEMEN, für die eine SSRS erstellt worden ist, werden Anforderungen und Vorkehrungen für den Zutritt von Wartungspersonal zu einer IT-Umgebung und für die zugehörige Wartungsausrüstung festgelegt.

83. Die Anforderungen werden in der SSRS und die Verfahren in den SecOPs präzise festgelegt. Wartungsarbeiten durch einen Auftragnehmer, die Diagnoseverfahren mit Fernzugriff erfordern, sind nur unter außergewöhnlichen Umständen und unter strenger Sicherheitskontrolle und nur nach Genehmigung durch die SAA zulässig.

Kapitel VII

AKKREDITIERUNG

84. Alle SYSTEME, für die eine SSRS erstellt werden muß, müssen von der SAA akkreditiert werden, bevor ESA-Verschlusssachen damit verarbeitet werden, und zwar auf der Grundlage der Angaben in der SSRS, in den SecOPs und in anderer relevanter Dokumentation. Teilsysteme und dezentrale Terminals bzw. Datenstationen werden als Teil aller SYSTEME akkreditiert, mit denen sie verbunden sind. Wenn ein SYSTEM sowohl von der ESA als auch von anderen Organisationen genutzt wird, nehmen die ESA und die zuständigen Sicherheitsstellen die Akkreditierung einvernehmlich vor.

85. Die Akkreditierung kann gemäß einer für das jeweilige SYSTEM geeigneten und von der SAA festgelegten Akkreditierungsstrategie durchgeführt werden.

EVALUATION UND ZERTIFIZIERUNG

86. Jedes zu beschaffende Sicherheitsprodukt (mit Ausnahme kryptographischer Produkte), das zusammen mit dem SYSTEM verwendet werden soll, sollte auf der Grundlage international anerkannter Kriterien (wie z. B. Common Criteria for Information Technology Security Evaluation, ISO 15408) entweder bereits evaluiert und zertifiziert sein oder sich in der Phase der Evaluation und Zertifizierung durch eine geeignete Evaluations- und Zertifizierungsstelle eines der Mitgliedstaaten der ESA befinden.

87. Vor der Akkreditierung werden in bestimmten Fällen die Sicherheitseigenschaften der Hardware, Firmware und Software eines SYSTEMS evaluiert und daraufhin zertifiziert, dass sie in der Lage sind, Informationen des beabsichtigten Geheimhaltungsgrades zu schützen.

88. Die Anforderungen für Evaluation und Zertifizierung werden in die Systemplanung einbezogen und in der SSRS präzise festgelegt.

89. Soweit erforderlich stellt technisch qualifiziertes und ausreichend sicherheitsüberprüftes Personal, das im Auftrag der ITSOA bzw. des TSO handelt, die Verwendung von zertifizierten Produkten sicher. Das betreffende Personal kann von einer benannten Evaluations- und Zertifizierungsstelle eines Mitgliedstaates oder deren benannten Vertretern, z. B. einem fachkundigen und ermächtigten Vertragspartner, bereitgestellt werden.

Anmerkung:

Zur Evaluation und Zertifizierung kryptographischer Produkte siehe Nummer 69.

90. Wenn die SYSTEME auf bestehenden, einzelstaatlich evaluierten und zertifizierten Computersicherheitsprodukten beruhen, können die Evaluation und die Zertifizierung vereinfacht werden (z. B. durch Beschränkung auf Integrationsaspekte).

REGELMÄSSIGE ÜBERPRÜFUNG VON SICHERHEITSEIGENSCHAFTEN ZUR AUFRECHTERHALTUNG DER AKKREDITIERUNG

91. Die ITSOA bzw. der TSO legt Verfahren für eine regelmäßige Kontrolle fest, durch die garantiert wird, dass alle Sicherheitseigenschaften des SYSTEMS noch ordnungsgemäß vorhanden sind.

92. Welche Änderungen eine neue Akkreditierung bzw. die vorherige Genehmigung durch die SAA erfordern, wird in der SSRS präzise festgelegt. Nach jeder Änderung, Instandsetzung oder Störung, die sich auf die Sicherheitseigenschaften des SYSTEMS ausgewirkt haben könnte, sorgt die ITSOA bzw. der TSO dafür, dass eine Überprüfung durchgeführt wird, um die korrekte Funktion der Sicherheitseigenschaften sicherzustellen. Die Aufrechterhaltung der Akkreditierung des SYSTEMS hängt normalerweise vom zufriedenstellenden Ergebnis dieser Überprüfung ab.

93. Alle SYSTEME, die Sicherheitseigenschaften aufweisen, werden regelmäßig von der SAA kontrolliert oder überprüft. Bei SYSTEMEN, die Informationen des Geheimhaltungsgrades „ESA STRENG GEHEIM“ oder Informationen mit zusätzlichen Kennzeichnungen verarbeiten, werden die Kontrollen mindestens einmal jährlich durchgeführt.

Kapitel VIII

Zeitlich befristete oder gelegentliche Nutzung

SICHERHEIT VON MIKROCOMPUTERN BZW. PCs

94. Mikrocomputer bzw. PCs mit eingebauten Speicherplatten (oder anderen nichtflüchtigen Datenträgern), die als Einzelrechner oder in einem Netz betrieben werden, sowie tragbare Computer (z. B. tragbare PCs und Notebook-Computer) mit eingebauten Festplatten werden im selben Sinne wie Disketten oder andere austauschbare elektronische Datenträger als Speichermedium für Informationen eingestuft.

95. Der Schutz dieser Geräte muß in bezug auf Zugang, Verarbeitung, Speicherung und Transport dem höchsten Geheimhaltungsgrad der jemals gespeicherten oder verarbeiteten Informationen entsprechen (bis zur Herabstufung oder Aufhebung des Geheimhaltungsgrades gemäß genehmigter Verfahren).

NUTZUNG VON PRIVATER IT-AUSRÜSTUNG FÜR AMTLICHE ZWECKE DES RATES

96. Die Nutzung von privaten austauschbaren elektronischen Datenträgern, privater Software und IT-Hardware mit Speichermöglichkeit (z. B. PCs und tragbare Computer) zur Verarbeitung von ESA-Verschlusssachen ist untersagt.

97. Private Hardware, Software und Speichermedien dürfen in Bereiche der Kategorien I oder II, in denen ESA-Verschlusssachen verarbeitet werden, nur mit Erlaubnis des Leiters des ESA-Sicherheitsbüros verbracht werden. Diese Erlaubnis darf nur in technisch begründeten Ausnahmefällen erteilt werden.

NUTZUNG VON IT-AUSRÜSTUNG EINES AUFTRAGNEHMERS ODER EINES MITGLIEDSTAATS FÜR AMTLICHE ZWECKE DES RATES

98. Die Nutzung von IT-Ausrüstung und Software eines Auftragnehmers für amtliche Zwecke des ESA-Rates kann vom Leiter des ESA-Sicherheitsbüros erlaubt werden. Die Verwendung der IT-Ausrüstung und Software eines Mitgliedstaats kann ebenfalls erlaubt werden; in diesem Fall unterliegt die IT-Ausrüstung der jeweiligen Bestandskontrolle der ESA. Wenn die IT-Ausrüstung zur Verarbeitung von ESA-Verschlusssachen verwendet werden soll, wird in jedem Fall die zuständige SAA konsultiert, damit die INFOSEC-Aspekte, die auf die Nutzung dieser Ausrüstung anwendbar sind, angemessen berücksichtigt und umgesetzt werden.

ABSCHNITT XII

WEITERGABE VON ESA-VERSCHLUSSSACHEN AN DRITTSTAATEN ODER INTERNATIONALE ORGANISATIONEN

GRUNDSÄTZE FÜR DIE WEITERGABE VON ESA-VERSCHLUSSSACHEN

1. Über die Weitergabe von ESA-Verschlusssachen an Drittstaaten oder internationale Organisationen beschließt der ESA-Rat nach Maßgabe

– von Art und Inhalt dieser Verschlusssachen;

– des Grundsatzes „Kenntnis nur wenn nötig“;

– der Vorteile für die ESA.

Der Mitgliedstaat, aus dem die ESA-Verschlusssache stammt, die weitergegeben werden soll, wird um Zustimmung ersucht. Aus einem Mitgliedstaat stammende ESA-Verschlusssachen dürfen nur mit Zustimmung des Urhebers oder, falls dieser nicht mehr ermittelt werden kann, mit Zustimmung des zuständigen ESA-Gremiums weitergegeben werden.

2. Einschlägige Beschlüsse werden von Fall zu Fall gefaßt und richten sich nach

– dem gewünschten Maß an Zusammenarbeit mit den betreffenden Drittstaaten oder internationalen Organisationen;

– deren Vertrauenswürdigkeit, die nach dem Geheimhaltungsgrad, der für die diesen Staaten oder Organisationen anvertrauten ESA-Verschlusssachen vorgesehen würde, und nach der Vereinbarkeit der dort geltenden Sicherheitsvorschriften mit denen der ESA zu bemessen ist. Der Sicherheitsausschuss der ESA gibt dazu für den Rat ein technisches Gutachten ab.

3. Der Entwurf der Vereinbarungen über Sicherheitsverfahren oder der betreffenden Abmachungen ist vom Sicherheitsausschuß zu billigen, bevor er dem ESA-Rat zur Beschlußfassung unterbreitet wird.

ABSCHNITT XIII

INDUSTRIELLE SICHERHEIT

Allgemeine Grundsätze

1. Dieser Abschnitt behandelt die besonderen Sicherheitsaspekte von Industrietätigkeiten im Zusammenhang mit der Aushandlung und Vergabe von als Verschlußsache eingestuften ESA-Verträgen (d.h. Verträge, die den Umgang mit geheimhaltungsbedürftigen Informationen nach dem ESA-Sicherheitsübereinkommen erfordern) und deren Durchführung durch industrielle Einrichtungen, wozu auch die Weitergabe von ESA-Verschlusssachen während der Angebotserstellung und den Verhandlungen vor der Vertragsvergabe gehört.

2. Alle Einrichtungen, die an industriellen Tätigkeiten mit Zugang zu Informationen des Geheimhaltungsgrads „ESA VERTRAULICH“ und/oder „ESA GEHEIM“ teilnehmen, müssen einen Sicherheitsbescheid für Einrichtungen (FSC) besitzen. Ein FSC wird von einer NSA/DSA erteilt, um zu bestätigen, dass eine Einrichtung unter dem Gesichtspunkt der Sicherheit einen angemessenen Schutz für ESA-Verschlusssachen eines festgelegten Geheimhaltungsgrads oder darunter bieten und gewährleisten kann und sein Personal, das Zugang zu ESA-Verschlusssachen haben muß, ordnungsgemäß sicherheitsüberprüft und über die Sicherheitsanforderungen der ESA, die bei der Durchführung der als Verschlußsache eingestuften ESA-Verträge zu beachten sind, belehrt wurde.

3. Die ESA bestimmt in Zusammenarbeit mit ihren Mitgliedstaaten die schutzbedürftigen Bereiche bzw. Teile eines ESA-Programms. Der ESA-Sicherheitsausschuß und das zuständige nachgeordnete ESA-Gremium empfehlen dem ESA-Rat die für den jeweiligen Bereich oder Teil des Programms vorzusehende Sicherheitseinstufung zur Genehmigung.

4. Vor der Weitergabe von Informationen des Geheimhaltungsgrads „ESA VERTRAULICH“ und/oder „ESA GEHEIM“ an einen Auftragnehmer, möglichen Auftragnehmer oder Unterauftragnehmer muß die NSA/DSA

a. sich vergewissern, dass der bzw. die Auftragnehmer, möglichen Auftragnehmer oder Unterauftragnehmer und ihre Einrichtung(en) in der Lage sind, die Informationen angemessen zu schützen;

b. den betreffenden Einrichtungen einen Sicherheitsbescheid für Einrichtungen (FSC) erteilen;

c. allen Personen, die zur Erfüllung ihrer dienstlichen Pflichten Zugang zu Informationen des Geheimhaltungsgrads „VERTRAULICH“ und/oder „GEHEIM“ haben müssen, eine Sicherheitsunbedenklichkeitsbescheinigung (PSC) erteilen;

d. sicherstellen, dass nur Personen, die zur Durchführung der ESA-Tätigkeiten Kenntnis von ESA-Verschlusssachen haben müssen, Zugang zu diesen erhalten;

e. auf Ersuchen des ESA-Sicherheitsbüros oder eines Mitgliedstaates einer Einrichtung einen FSC erteilen, damit sie ein Angebot für einen als Verschlußsache eingestuften Vertrag oder Untervertrag der ESA einreichen, Verhandlungen hierüber führen oder einen solchen Vertrag oder Untervertrag durchführen kann;

f. dem ESA-Sicherheitsbüro oder einem Mitgliedstaat auf Ersuchen für Personen mit Sicherheitsverantwortung die Erteilung einer PSC zusichern, damit sie an der Durchführung eines als Verschlußsache eingestuften ESA-Vertrags, der möglicherweise auch internationale Besuche umfaßt, teilnehmen können;

g. Maßnahmen im Hinblick auf die nach den Nummern 26 bis 40 dieses Abschnitts zu treffenden besonderen Vorkehrungen in Beförderungsfragen ergreifen;

h. sicherstellen, dass für jede Einrichtung, in der ESA-Verschlusssachen verwendet werden sollen, Sicherheitsbeauftragte ernannt werden, damit die Verantwortlichkeiten für den Schutz der ESA-Verschlusssachen wirksam wahrgenommen werden. Die Sicherheitsbeauftragten sind dafür verantwortlich, dass der mit einem Vertrag verbundene Zugang zu ESA-Verschlusssachen auf diejenigen Personen beschränkt bleibt, die hierfür angemessen sicherheitsüberprüft wurden und von ihnen Kenntnis haben müssen.

5. Die zuständigen Behörden der Mitgliedstaaten ermitteln in allen Fällen, in denen bekannt wird oder Anlaß zu dem Verdacht besteht, dass ESA-Verschlusssachen, die im Rahmen eines ESA-Vertrags bereitgestellt oder hervorgebracht wurden, verloren gegangen sind, Unbefugten zur Kenntnis gelangten oder an sie weitergegeben wurden. Jede NSA/DSA hält die in Abschnitt X für solche Ermittlungen festgelegten Anforderungen ein.

Sicherheitsanforderungen für als Verschlußsache eingestufte ESA-Verträge

6. Die vom ESA-Rat für die Programme genehmigten Durchführungsvorschriften enthalten eine Sicherheitsanweisung für Vorhaben (PSI) mit Sicherheitsnormen, die nicht weniger streng als die Auflagen in diesem Abschnitt sein dürfen.

7. Die PSI wird dem Hauptvertrag als Anlage beigefügt. Ein „Einstufungsleitfaden für VS-Vorhaben“ ist Bestandteil der PSI. Alle als Verschlußsache eingestuften Unterverträge der ESA enthalten den Einstufungsleitfaden für VS-Vorhaben oder mindestens eine „Geheimschutzklausel“ (SAL), die die als Verschlußsache eingestuften Teile des Untervertrags festlegt. Die PSI und/oder SAL bilden das für die Sicherheit des Vertrags maßgebliche einheitliche Dokument. Diese Sicherheitsbestimmungen müssen mit den vorliegenden Sicherheitsvorschriften der ESA übereinstimmen und mit den nationalen Gesetzen und sonstigen Rechtsvorschriften der Mitgliedstaaten, in die der Vertrag vergeben wird, vereinbar sein.

8. Alle Verträge müssen die von den zuständigen Gremien der ESA genehmigen „Sicherheitsklauseln der ESA für als Verschlußsache eingestufte Verträge“ enthalten.

9. Für alle als „ESA VERTRAULICH“ und/oder „ESA GEHEIM“ eingestuften Verträge teilt der Hauptauftragnehmer der NSA/DSA des Mitgliedstaates, in dem die Einrichtung, an die der Vertrag vergeben wurde, angesiedelt oder eingetragen ist, mit, dass dieser Einrichtung zusammen mit dem Vertrag ein Einstufungsleitfaden oder eine Geheimschutzklausel (SAL) übermittelt worden ist.

10. Die Sicherheitseinstufung für mit etwaigen Unterverträgen verbundene Informationen wird nach dem Einstufungsleitfaden für VS-Vorhaben festgelegt.

11. Der Hauptauftragnehmer und seine Unterauftragnehmer werden unter Androhung der Kündigung ihres Vertrags verpflichtet, alle von der ESA und/oder den NSA/DSA vorgeschriebenen Maßnahmen zum Schutz der ESA-Verschlusssachen, die von dem Auftragnehmer hervorgebracht oder ihm anvertraut werden oder in von ihm hergestellte Gegenstände eingehen, zu ergreifen.

12. Die Auftragnehmer und ihre Unterauftragnehmer haben die ihnen in diesen Sicherheitsvorschriften auferlegten Verpflichtungen einschließlich der Wahrung der Vertraulichkeit von Verschlusssachen auch nach der Kündigung oder Beendigung eines als Verschlußsache eingestuften ESA-Vertrags einzuhalten.[5]