POŽADAVKY NA BEZPEČNOST INFORMAČNÍCH SYSTÉMŮ

(1) Bezpečnosti informačního systému se dosahuje uplatněním souboru opatření z oblasti

a) počítačové a komunikační bezpečnosti,

b) kryptografické ochrany,

c) ochrany proti úniku kompromitujícího vyzařování,

d) administrativní bezpečnosti a organizačních opatření,

e) personální bezpečnosti a

f) fyzické bezpečnosti informačního systému.

(2) Opatření přijatá v procesu certifikace informačního systému zajišťují, aby rizika, kterým je informační systém vystaven, byla snížena na přijatelnou úroveň.

(3) Soubor opatření uvedený v odstavci 1 je specifikován v bezpečnostní dokumentaci informačního systému.

(1) Bezpečnostní dokumentaci informačního systému tvoří

a) projektová bezpečnostní dokumentace informačního systému a

b) provozní bezpečnostní dokumentace informačního systému.

(2) Projektová bezpečnostní dokumentace informačního systému obsahuje

a) bezpečnostní politiku informačního systému a výsledky analýzy rizik,

c) dokumentaci k testům bezpečnosti informačního systému.

b) návrh bezpečnosti informačního systému zajišťující splnění bezpečnostní politiky informačního systému, přičemž podrobnost jeho popisu musí umožnit přímou realizaci navrhovaných opatření, a

(3) Provozní bezpečnostní dokumentace informačního systému obsahuje

b) bezpečnostní směrnice informačního systému, které předepisují činnost správců informačního systému v jednotlivých rolích zavedených v informačním systému pro správu informačního systému, pokud se týká zajištění bezpečnosti informačního systému, a

c) bezpečnostní směrnice informačního systému, které předepisují činnost uživatelů informačního systému, pokud se týká zajištění bezpečnosti informačního systému.

a) bezpečnostní směrnice informačního systému, které předepisují činnost bezpečnostních správců informačního systému v jednotlivých rolích zavedených v informačním systému pro zajištění bezpečnostní správy informačního systému,

(1) Pro každý informační systém musí být již v počáteční fázi jeho vývoje zpracována bezpečnostní politika informačního systému. Bezpečnostní politiku informačního systému tvoří soubor norem, pravidel a postupů, který vymezuje způsob, jakým má být zajištěna důvěrnost, integrita a dostupnost utajované informace, dostupnost služeb informačního systému a odpovědnost uživatele, bezpečnostního správce a správce informačního systému za jeho činnost v informačním systému. Pokud to funkce informačního systému vyžaduje, stanoví se rovněž způsob zajištění pravosti informací a nepopiratelnost.

(2) Zásady bezpečnostní politiky jsou rozpracovány v návrhu bezpečnosti informačního systému a v provozní bezpečnostní dokumentaci informačního systému.

(3) Při formulaci bezpečnostní politiky informačního systému a posuzování bezpečnostních vlastností komponentů informačního systému lze využít též mezinárodních standardizovaných bezpečnostních specifikací ³).

a) minimálních bezpečnostních požadavků v oblasti počítačové bezpečnosti,

c) bezpečnostních požadavků bezpečnostní politiky nadřízeného orgánu, pokud byla zpracována.

b) systémově závislých bezpečnostních požadavků, požadavků uživatele a výsledků analýzy rizik a

(1) Informační systém nakládající s utajovanými informacemi stupně utajení Důvěrné nebo vyššího musí zajišťovat tyto bezpečnostní funkce

a) jednoznačnou identifikaci a autentizaci uživatele, bezpečnostního správce nebo správce informačního systému, které musí předcházet všem jejich dalším aktivitám v informačním systému a musí zajistit ochranu důvěrnosti a integrity autentizační informace,

b) volitelné řízení přístupu k objektům informačního systému na základě rozlišování a správy přístupových práv uživatele, bezpečnostního správce nebo správce informačního systému a jejich identity nebo jejich členství ve skupině uživatelů, bezpečnostních správců nebo správců informačního systému,

c) nepřetržité zaznamenávání událostí, které mohou ovlivnit bezpečnost informačního systému do auditních záznamů a zabezpečení auditních záznamů před neautorizovaným přístupem, zejména modifikací nebo zničením. Zaznamenává se zejména použití identifikačních a autentizačních informací, pokusy o zkoumání přístupových práv, vytváření nebo rušení objektu informačního systému nebo činnost autorizovaných subjektů informačního systému ovlivňující bezpečnost informačního systému,

f) ochranu důvěrnosti dat během přenosu mezi zdrojem a cílem.

d) možnost zkoumání auditních záznamů a stanovení odpovědnosti jednotlivého uživatele, bezpečnostního správce nebo správce informačního systému,

e) ošetření paměťových objektů před jejich dalším použitím, zejména před přidělením jinému subjektu informačního systému, které znemožní zjistit jejich předchozí obsah, a

(2) K zajištění bezpečnostních funkcí uvedených v odstavci 1 se v informačním systému realizují identifikovatelné programově technické mechanismy. Dokumentace popisující jejich provedení a operační nastavení musí umožnit jejich nezávislé prověření a zhodnocení jejich dostatečnosti.

(3) Bezpečnostní mechanismy, jimiž se realizují bezpečnostní funkce uplatňující bezpečnostní politiku informačního systému, musí být v celém životním cyklu informačního systému chráněny před narušením nebo neautorizovanými změnami.

(4) V informačním systému, který nakládá s utajovanými informacemi nejvýše do stupně utajení Vyhrazené, se musí přiměřeně využívat bezpečnostní funkce uvedené v odstavci 1, a dále opatření z oblasti personální, administrativní a fyzické bezpečnosti informačních systémů.

(1) Informační systémy se mohou provozovat pouze v některém z uvedených bezpečnostních provozních módů, jimiž jsou

a) bezpečnostní provozní mód vyhrazený,

b) bezpečnostní provozní mód s nejvyšší úrovní,

c) bezpečnostní provozní mód s nejvyšší úrovní s formálním řízením přístupu k informacím, nebo

d) bezpečnostní provozní mód víceúrovňový.

(2) Bezpečnostní provozní mód vyhrazený je takové prostředí, které umožňuje zpracování utajovaných informací různého stupně utajení, přičemž všichni uživatelé musí splňovat podmínky pro přístup k utajovaným informacím nejvyššího stupně utajení, které jsou v informačním systému obsaženy, a zároveň musí být oprávněni pracovat se všemi utajovanými informacemi, které jsou v informačním systému obsaženy. Bezpečnost informačního systému, který je provozován v bezpečnostním provozním módu vyhrazeném, se zabezpečuje splněním minimálních bezpečnostních požadavků v oblasti počítačové bezpečnosti uvedených v § 7 odst. 1 písm. a), c), d) a f) a dále opatřeními z oblasti administrativní a personální bezpečnosti a fyzické bezpečnosti informačních systémů. Úroveň použitých opatření z uvedených oblastí a opatření k zajištění důvěrnosti dat během přenosu musí odpovídat úrovni požadované pro nejvyšší stupeň utajení utajovaných informací, se kterými informační systém nakládá.

(3) Bezpečnostní provozní mód s nejvyšší úrovní je takové prostředí, které umožňuje současné zpracování utajovaných informací klasifikovaných různými stupni utajení, ve kterém všichni uživatelé musí splňovat podmínky pro přístup k utajovaným informacím nejvyššího stupně utajení, které jsou v informačním systému obsaženy, přičemž všichni uživatelé nemusí být oprávněni pracovat se všemi utajovanými informacemi. Bezpečnost informačního systému, který je provozován v bezpečnostním provozním módu s nejvyšší úrovní, se zabezpečuje splněním minimálních bezpečnostních požadavků v oblasti počítačové bezpečnosti uvedených v § 7 a dále opatřeními z oblasti administrativní a personální bezpečnosti a fyzické bezpečnosti informačních systémů. Úroveň použitých opatření z uvedených oblastí a opatření k zajištění důvěrnosti dat během přenosu musí odpovídat úrovni požadované pro nejvyšší stupeň utajení utajovaných informací, se kterými informační systém nakládá.

(4) Bezpečnostní provozní mód s nejvyšší úrovní s formálním řízením přístupu k informacím je takové prostředí, které odpovídá bezpečnostnímu provoznímu módu s nejvyšší úrovní, kde však formální řízení přístupu navíc předpokládá formální centrální správu kontroly přístupu.

(5) Bezpečnostní provozní mód víceúrovňový je takové prostředí, které umožňuje v jednom informačním systému současné zpracování utajovaných informací klasifikovaných různými stupni utajení, ve kterém nemusí všichni uživatelé splňovat podmínky přístupu k utajovaným informacím nejvyššího stupně utajení, které jsou v informačním systému obsaženy, přičemž všichni uživatelé nemusí být oprávněni pracovat se všemi utajovanými informacemi. Bezpečnost informačního systému, který je provozován v bezpečnostním provozním módu víceúrovňovém, se zabezpečuje opatřeními uvedenými v odstavci 3 a bezpečnostní funkcí povinného řízení přístupu subjektů informačního systému k objektům informačního systému. Úroveň použitých opatření z oblasti administrativní a personální bezpečnosti, fyzické bezpečnosti informačních systémů a opatření k zajištění důvěrnosti dat během přenosu se stanoví na základě principu povinného řízení přístupu.

(6) Funkce povinného řízení přístupu subjektů informačního systému k objektům informačního systému musí zabezpečit

b) ochranu integrity bezpečnostního atributu,

a) trvalé spojení každého subjektu informačního systému a objektu informačního systému s bezpečnostním atributem, který pro subjekt informačního systému vyjadřuje úroveň oprávnění subjektu informačního systému a pro objekt informačního systému jeho stupeň utajení,

c) výlučné oprávnění bezpečnostního správce informačního systému k provádění změn bezpečnostních atributů subjektů informačního systému i objektů informačního systému a

d) přidělení předem definovaných hodnot atributů pro nově vytvořené objekty informačního systému a zachování atributu při kopírování objektu informačního systému.

a) subjekt informačního systému může číst informace v objektu informačního systému pouze tehdy, je-li úroveň jeho oprávnění stejná nebo vyšší než stupeň utajení objektu informačního systému,

c) přístup subjektu informačního systému k informaci obsažené v objektu informačního systému je možný, jestliže jej povolují jak pravidla povinného řízení přístupu, tak pravidla volitelného řízení přístupu.

b) subjekt informačního systému může zapisovat informaci do objektu informačního systému pouze tehdy, je-li úroveň jeho oprávnění stejná nebo nižší než stupeň utajení objektu informačního systému, a

(7) Při uplatňování bezpečnostní funkce povinného řízení přístupu subjektů informačního systému k objektům informačního systému musí být zabezpečeny tyto zásady

(8) Informační systém, který je provozován v bezpečnostním provozním módu víceúrovňovém, musí být schopen přesně označit stupněm utajení utajované informace vystupující z informačního systému a umožnit přiřadit stupeň utajení utajované informaci vstupující do informačního systému.

(9) U informačního systému, který je provozován v bezpečnostním provozním módu víceúrovňovém a nakládá s utajovanou informací stupně utajení Přísně tajné, musí být provedena identifikace a analýza skrytých kanálů. Skrytým kanálem se rozumí nepřípustná komunikace, jíž se utajovaná informace může dostat k neoprávněnému subjektu informačního systému.

(1) Při přenosu utajované informace komunikačním kanálem musí být zajištěna ochrana její důvěrnosti a integrity.

(2) Základním prostředkem pro zajištění důvěrnosti utajované informace při jejím přenosu komunikačním kanálem je kryptografická ochrana⁴).

(3) Základním prostředkem pro zajištění integrity utajované informace při jejím přenosu komunikačním kanálem je spolehlivá detekce záměrné i náhodné změny utajované informace.

(4) Přenos utajované informace komunikačním kanálem vedeným v rámci zabezpečené oblasti nebo objektu může být, na základě analýzy rizik, zabezpečen pouze s využitím opatření fyzické bezpečnosti všech komponentů komunikačního kanálu, přičemž přenášená utajovaná informace není chráněna kryptografickou ochranou nebo je chráněna kryptografickou ochranou na nižší úrovni, nežli je vyžadována pro stupeň utajení přenášené utajované informace. Takto zabezpečený přenos utajované informace Úřad schvaluje v rámci certifikace informačního systému.

(5) V závislosti na komunikačním prostředí se zajišťuje spolehlivá identifikace a autentizace komunikujících stran, včetně ochrany identifikační a autentizační informace. Tato identifikace a autentizace předchází přenosu utajované informace.

(6) Přenos utajované informace komunikačním kanálem vedeným mimo objekt musí být zabezpečen certifikovaným kryptografickým prostředkem, který je certifikován nejméně pro stejný stupeň utajení jako přenášená utajovaná informace.

(7) Během certifikace informačního systému může Úřad, na základě předložené analýzy rizik, přijatých specifických bezpečnostních opatření pro detekci narušení bezpečnosti komunikačního kanálu a opatření pro snížení důsledků útoku, schválit odlišný systém zabezpečení informačního systému, než je uveden v odstavcích 4 a 6.

(1) Propojením informačních systémů se pro účely této vyhlášky rozumí přímé propojení dvou nebo více informačních systémů nebo informačního systému a informačního systému pro nakládání s neutajovanými informacemi za účelem jednosměrného či vícesměrného sdílení údajů a dalších informačních zdrojů. Propojení informačního systému s jiným informačním systémem nebo s informačním systémem pro nakládání s neutajovanými informacemi lze realizovat pouze v případě nezbytné provozní potřeby.

(1) Informační systém musí zajistit, aby požadovaná utajovaná informace byla přístupná ve stanoveném místě, v požadované formě a v určeném časovém rozmezí.

a) stejného stupně utajení, nebo

(2) V zájmu zajištění bezpečného provozu informačního systému se v bezpečnostní politice informačního systému stanoví komponenty, které musí být nahraditelné bez přerušení činnosti informačního systému. Dále se definuje rozsah požadované minimální funkčnosti informačního systému a uvedou se komponenty, při jejichž selhání musí být minimální funkčnost informačního systému zaručena.

(2) Certifikovaný informační systém lze propojit s jiným certifikovaným informačním systémem, pokud to bylo na základě analýzy rizik schváleno v rámci certifikace těchto informačních systémů, je mezi nimi realizováno bezpečnostní rozhraní a jsou certifikovány pro nakládání s utajovanými informacemi

b) odlišného stupně utajení, za předpokladu, že se uplatní opatření podle odstavce 3.

(3) Plánování kapacit aktiv informačního systému a sledování kapacitních požadavků se provádí tak, aby nedocházelo k chybám způsobeným nedostatkem volných kapacit.

(3) Propojení informačních systémů certifikovaných pro nakládání s utajovanou informací odlišného stupně utajení musí být realizováno tak, aby mezi nimi bylo zabráněno přenosu utajované informace vyššího stupně utajení, nežli je stupeň utajení, pro který je informační systém certifikován.

(4) Certifikovaný informační systém nesmí být propojen s veřejnou komunikační sítí, s výjimkou případů, kdy má instalované pro tento účel mezi sebou a veřejnou komunikační sítí vhodné bezpečnostní rozhraní, schválené na základě analýzy rizik v rámci jeho certifikace tak, aby bylo zamezeno průniku do certifikovaného informačního systému a byl umožněn pouze kontrolovaný přenos dat, který nenarušuje důvěrnost, integritu a dostupnost utajované informace a dostupnost služeb certifikovaného informačního systému.

(4) Informační systém musí mít zpracován plán na obnovení jeho činnosti po havárii. Opětovné uvedení informačního systému do známého zabezpečeného stavu může být provedeno manuálně správcem informačního systému nebo automaticky. Všechny činnosti, které byly provedeny pro obnovení činnosti informačního systému, se zpravidla zaznamenávají do auditních záznamů chráněných před neoprávněnou modifikací nebo zničením.

(5) Certifikovaný informační systém, který nakládá s utajovanou informací stupně utajení Přísně tajné, nebo s utajovanou informací vyžadující zvláštní režim nakládání označené „ATOMAL“, nesmí být přímo ani postupně propojen s veřejnou komunikační sítí.

(6) Pokud je veřejná komunikační síť využívána výhradně k přenosu dat mezi informačními systémy nebo lokalitami informačního systému a přenášené informace jsou chráněny certifikovaným kryptografickým prostředkem, nepovažuje se takové spojení za propojení. Mezi informačním systémem a veřejnou komunikační sítí musí být realizováno vhodné bezpečnostní rozhraní tak, aby bylo zamezeno průniku do informačního systému. Připojení je předmětem analýzy rizik a musí být schváleno v rámci certifikace informačního systému.

(1) Pro stanovení hrozeb, které ohrožují aktiva informačního systému, musí být provedena analýza rizik.

(2) V rámci provedení analýzy rizik se vymezují aktiva informačního systému a hrozby, které působí na jednotlivá aktiva informačního systému. Posuzují se zejména hrozby, které způsobují ztrátu funkčnosti nebo bezpečnosti informačního systému.

(3) Po stanovení hrozeb se vymezují zranitelná místa informačního systému tak, že ke každé hrozbě se najde zranitelné místo nebo místa, na která tato hrozba působí.

(4) Výsledkem provedené analýzy rizik je seznam hrozeb, které mohou ohrozit informační systém, s uvedením odpovídajícího rizika.

(5) Na základě provedené analýzy rizik se provádí výběr vhodných protiopatření a určují se zbytková rizika a jejich úroveň, přičemž se dbá na to, aby byly implementovány pouze funkce, zařízení a služby, které jsou nezbytné pro splnění účelu, pro který je informační systém zřizován.

(1) Pro mobilní a přenosné informační systémy se v analýze rizik posuzují i rizika, která jsou u mobilních informačních systémů spojená s dopravním prostředkem, a u přenosných informačních systémů s prostředími, ve kterých budou tyto informační systémy používány.

(2) Systém opatření použitých pro celkovou ochranu mobilních a přenosných informačních systémů, obsahujících komponenty umožňující uchování utajovaných informací, musí vedle ostatních požadavků stanovených touto vyhláškou zahrnovat pojetí tohoto zařízení jako nosiče utajované informace klasifikovaného nejvyšším stupněm utajení utajované informace, se kterou nakládá.

(1) Komponenty informačního systému, které nakládají s utajovanými informacemi stupně utajení Důvěrné nebo vyššího a zabezpečená oblast nebo objekt, ve kterém se v informačním systému zpracovávají utajované informace stupně utajení Důvěrné nebo vyššího, musí být zabezpečeny takovým způsobem, aby kompromitující vyzařování nezpůsobilo únik utajované informace.

(2) Požadavky na zabezpečení proti kompromitujícímu vyzařování jsou závislé na stupni utajení utajované informace, se kterou informační systém nakládá, a jsou stanoveny v bezpečnostním standardu.

(1) Všechny nosiče utajovaných informací používané v provozu informačního systému musí být evidovány. Stupeň utajení těchto nosičů informací musí odpovídat bezpečnostnímu provoznímu módu a nejvyššímu stupni utajení utajovaných informací na nosiči uložených.

(2) Pokud je vyměnitelný nosič utajovaných informací určen výhradně pro použití v provozu určitého informačního systému, vyznačuje se spolu se stupněm utajení i název daného informačního systému a evidenční číslo nosiče informací. Nosiče utajovaných informací určené pro předání nebo výdej informací z informačního systému se označují stupněm utajení a dalšími údaji podle zvláštního právního předpisu⁵).

(3) Instalace informačního systému, který nakládá s utajovanou informací stupně utajení Důvěrné nebo vyššího, z hlediska jeho zabezpečení proti kompromitujícímu vyzařování musí být provedena v souladu s požadavky bezpečnostního standardu. Záznam o instalaci komponent informačního systému se vkládá do bezpečnostní dokumentace informačního systému. Obsah a forma záznamu jsou stanoveny v bezpečnostním standardu.

(3) Nosiče utajovaných informací zabudované do zařízení a jiné komponenty umožňující uchování utajovaných informací musí být evidovány a označeny stupněm utajení nejpozději po jejich vyjmutí z daného zařízení. Zařízení se evidují v provozní bezpečnostní dokumentaci informačního systému.

(4) Stupeň utajení nosiče utajovaných informací stupně utajení Přísně tajné nesmí být snížen, vyjma případu, kdy je prokázáno, že na něm byly během jeho dosavadního životního cyklu uloženy pouze utajované informace nižšího stupně utajení nebo informace neutajované.

(5) Stupeň utajení nosiče utajovaných informací stupně utajení Tajné může být snížen, stupně utajení Důvěrné může být snížen nebo zrušen, pouze v případě, že vymazání utajovaných informací z něj bylo provedeno způsobem uvedeným v odstavci 6 nebo je prokázáno, že na něm byly během jeho dosavadního životního cyklu uloženy pouze utajované informace nižšího stupně utajení nebo informace neutajované nebo je prokázáno, že stupeň utajení utajovaných informací uložených na něm během jeho dosavadního životního cyklu byl zrušen nebo snížen. Stupeň utajení nosiče utajovaných informací stupně utajení Vyhrazené může být zrušen pouze v případě, že vymazání utajovaných informací z něj bylo provedeno způsobem uvedeným v odstavci 6 nebo je prokázáno, že na něm byly během jeho dosavadního životního cyklu uloženy pouze informace neutajované nebo je prokázáno, že stupeň utajení utajovaných informací uložených na něm během jeho dosavadního životního cyklu byl zrušen.

(6) Vymazání utajované informace z nosiče utajovaných informací, které umožňuje snížení nebo zrušení jeho stupně utajení, musí být provedeno tak, aby utajovaná informace uložená na nosiči během jeho dosavadního životního cyklu byla obtížně zjistitelná i při použití laboratorních metod. Podmínky a postupy bezpečného vymazání stanoví Úřad v bezpečnostním standardu, postup musí být uveden v provozní bezpečnostní dokumentaci certifikovaného informačního systému a schválen v rámci jeho certifikace.

(7) Ničení nosiče utajovaných informací informačního systému musí být provedeno tak, aby se znemožnilo utajovanou informaci z něho opětovně získat.

(1) Uživatelem, bezpečnostním správcem nebo správcem informačního systému může být pouze osoba, která byla pro svou činnost v informačním systému autorizována postupem stanoveným v bezpečnostní dokumentaci informačního systému.

(2) Uživatel, bezpečnostní správce a správce informačního systému musí splňovat podmínky pro přístup fyzické osoby k utajované informaci stupně utajení, který se stanovuje v souladu s bezpečnostním provozním módem a v závislosti na nejvyšším stupni utajení utajovaných informací, se kterými může informační systém nakládat.

(3) Správce informačního systému, který vykonává funkci administrátora s právy úplného řízení systému, a bezpečnostní správce celého informačního systému, musí splňovat podmínky pro přístup fyzické osoby k utajované informaci stupně utajení o jeden stupeň vyššího, nežli je nejvyšší stupeň utajení utajovaných informací, se kterými může informační systém nakládat. To neplatí u informačního systému, který je určen pro zpracování utajované informace stupně utajení Přísně tajné. U správce informačního systému, který vykonává funkci administrátora s právy úplného řízení systému, a u bezpečnostního správce celého informačního systému malého rozsahu nebo s nízkým podílem zpracování utajovaných informací nejvyššího stupně utajení, pro jejichž zpracování je informační systém určen, nebo v nichž nedochází ke kumulaci utajovaných informací nebo v nichž se zpracovává pouze taktická utajovaná informace, může Úřad, se zvážením identifikovaných rizik, uznat jako dostačující splnění podmínek pro přístup fyzické osoby k utajované informaci na úrovni shodné s nejvyšším stupněm utajení utajovaných informací, se kterými může informační systém nakládat.

(4) Správce informačního systému, který vykonává funkci administrátora s omezenými právy řízení systému, zejména správu serverů, správu aplikace nebo lokální správu a bezpečnostní správce informačního systému zajišťující dílčí oblast bezpečnosti, zejména určitou bezpečnostní technologii nebo lokální správu, musí splňovat podmínky pro přístup fyzické osoby k utajované informaci stupně utajení shodného s nejvyšším stupněm utajení utajovaných informací, se kterými může informační systém nakládat.

(8) Při používání velkokapacitních vyměnitelných nosičů informací musí být v bezpečnostní politice stanoveno řízení přístupu uživatele ke vstupním a výstupním zařízením.

(1) Uživatel, bezpečnostní správce a správce informačního systému dodržuje předepsané postupy stanovené v bezpečnostní dokumentaci informačního systému, kterými je zajišťována bezpečnost informačního systému.

(2) Informace o činnosti subjektu informačního systému v informačním systému se zaznamenává tak, aby bylo možno identifikovat narušení bezpečnosti informačního systému nebo pokusy o ně. Záznamy o činnosti subjektu informačního systému v informačním systému se uchovávají pro zpětné zkoumání po dobu stanovenou v bezpečnostní politice informačního systému.

(7) Uživateli, bezpečnostnímu správci nebo správci informačního systému se uděluje oprávnění pouze v rozsahu nezbytném pro provádění jemu určených aktivit v informačním systému.

(6) Uživateli, bezpečnostnímu správci a správci informačního systému se na základě autorizace přiděluje v rámci informačního systému jedinečný identifikátor. Pro zajištění nepřetržité dostupnosti utajovaných informací a služeb informačního systému, který je ve stálém provozu, může v odůvodněných případech Úřad v rámci jeho certifikace umožnit, aby určitý identifikátor byl využíván několika uživateli, bezpečnostními správci nebo správci informačního systému. Předpokladem je zavedení postupu umožňujícího určit, který uživatel, bezpečnostní správce nebo správce informačního systému v dané době daný identifikátor využíval.

(5) V případě, že odpovědná osoba nebo jí pověřená osoba schválí informační systém do provozu pro nakládání s utajovanou informací do stupně utajení nižšího, nežli je stupeň utajení utajovaných informací, se kterými může informační systém nakládat, je pro stanovení nutné úrovně podmínek pro přístup fyzické osoby k utajované informaci, určující stupeň utajení utajovaných informací, pro který je informační systém schválen do provozu.

(1) V informačním systému se zavádí vhodný systém bezpečnostní správy informačního systému. V rámci systému bezpečnostní správy informačního systému se zavádí role bezpečnostního správce informačního systému, odděleně od jiných rolí ve správě informačního systému, pokud není dále stanoveno jinak.

(2) V případě potřeby zajistit stanovený rozsah činnosti pro zajištění bezpečnosti informačního systému se zavádějí další role v bezpečnostní správě informačního systému, zejména organizační struktura bezpečnostních správců, bezpečnostní správci jednotlivých lokalit, bezpečnostní správce pro oblast komunikační bezpečnosti nebo bezpečnostní správce bezpečnostního rozhraní informačních systémů.

(5) Správce informačního systému mimo činnosti pro zajištění funkčnosti informačního systému a řízení jeho provozu plní stanovené činnosti pro zajištění počítačové a komunikační bezpečnosti informačního systému.

(3) Vyžaduje-li to činnost, pro kterou je informační systém zřízen, je v informačním systému zajišťována nepopiratelnost stanovených jednání či událostí. V případě, že je v informačním systému požadována funkcionalita spisové služby v elektronické podobě⁶), musí být software, kterým je realizována, hodnocen během certifikace informačního systému.

(4) V informačním systému malého rozsahu může Úřad v rámci jeho certifikace umožnit spojení role bezpečnostního správce a některých dalších rolí ve správě informačního systému.

(3) Role bezpečnostního správce informačního systému obsahuje výkon správy bezpečnosti informačního systému spočívající zejména v přidělování přístupových práv, správě autentizačních a autorizačních informací, správě konfigurace informačního systému, správě a vyhodnocování auditních záznamů, aktualizaci bezpečnostních směrnic, řešení bezpečnostních incidentů a krizových situací a vypracování zpráv o nich, zajištění školení uživatelů v oblasti bezpečnosti informačního systému, kontroly dodržování bezpečnostních provozních směrnic, jakož i v dalších činnostech stanovených v bezpečnostní dokumentaci informačního systému.

(2) Provozovatel informačního systému zajišťuje úvodní školení uživatelů, bezpečnostních správců a správců informačního systému v dodržování opatření stanovených v bezpečnostní dokumentaci informačního systému a správném užívání informačního systému. Další školení zajišťuje při podstatných změnách v informačním systému okamžitě, jinak nejméně jednou ročně.

(1) Činnost uživatele, bezpečnostního správce a správce informačního systému v informačním systému se umožňuje na základě jeho autorizace pro tuto činnost, která musí být změněna při změně jeho role v rámci informačního systému nebo zrušena, pokud přestal splňovat podmínky přístupu k utajované informaci. Bezpečnostní správce vede seznam uživatelů informačního systému.

(1) Aktiva informačního systému musí být umístěna do prostoru, ve kterém je zajištěna fyzická ochrana informačního systému před neoprávněným přístupem, poškozením a ovlivněním. V rámci certifikace informačního systému se stanovuje, které komponenty informačního systému musí být umístěny v zabezpečené oblasti nebo v objektu, a požadovaná kategorie zabezpečené oblasti.

(2) Aktiva informačního systému musí být chráněna před bezpečnostními hrozbami a riziky vyplývajícími z prostředí, ve kterém jsou umístěna.

(4) Komunikační infrastruktura přenášející data nebo podporující služby informačního systému musí být chráněna před možností zachycení přenášených utajovaných informací a před poškozením.

(3) Umístění aktiv informačního systému musí být provedeno tak, aby zamezovalo nepovolané osobě odezírat utajované informace nebo informace sloužící k identifikaci a autentizaci uživatele.

(2) Výsledky testů musí prokázat, že bezpečnostní funkce jsou plně v souladu s bezpečnostní politikou informačního systému. Výsledky testů musí být zadokumentovány. Chyby nalezené během testování musí být odstraněny a jejich odstranění musí být ověřeno následnými testy.

(1) Bezpečnost informačního systému se musí před vydáním certifikátu ověřit nezávislým testováním. K provedení testování se nesmějí používat utajované informace.

(5) Minimální míra zabezpečení zabezpečené oblasti pro umístění části informačního systému, v níž mohou být ukládány utajované informace, se určuje v souladu s tabulkami bodových hodnot nejnižší míry zabezpečení fyzické bezpečnosti uvedenými v příloze č. 1 vyhlášky č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci technických prostředků, ve znění pozdějších předpisů.

(6) Bodové ohodnocení fyzické bezpečnosti informačního systému je uvedeno v příloze č. 3 k této vyhlášce.

(1) Bezpečnost provozovaného informačního systému musí být průběžně, s ohledem na skutečný stav informačního systému, prověřována a vyhodnocována. Dílčí změnu v informačním systému je možno provést až po vyhodnocení vlivu této změny na bezpečnost informačního systému a po jejím schválení Úřadem, nestanoví-li certifikační zpráva jinak.

(2) Integrita programového vybavení i utajovaných informací musí být chráněna před působením škodlivého kódu.

(7) Údržbu komponent informačního systému zajišťujících bezpečnostní funkce informačního systému nebo přímo ovlivňujících bezpečnost informačního systému musí zajišťovat osoby splňující podmínky zákona pro přístup k utajovaným informacím nejvyššího stupně utajení, pro jehož nakládání je informační systém určen. Takové komponenty musí být stanoveny v provozní bezpečnostní dokumentaci informačního systému. Údržba ostatních komponentů informačního systému může být prováděna osobami splňujícími podmínky zákona pro nižší stupeň utajení nebo osobami schválenými bezpečnostním ředitelem provozovatele informačního systému, avšak pod neustálým dohledem pracovníka správy informačního systému prověřeného pro přístup k utajovaným informacím nejvyššího stupně utajení, pro jehož nakládání je informační systém určen.

(6) Servisní činnost v provozovaném informačním systému se musí organizovat tak, aby nebyla ohrožena jeho bezpečnost. Z nosičů utajovaných informací informačního systému přístupných při servisní činnosti musí být vymazány utajované informace a dálková diagnostika musí být zabezpečena před zneužitím.

(10) Pro řešení krizové situace provozovaného informačního systému musí být v bezpečnostní dokumentaci informačního systému stanovena opatření zaměřená na jeho uvedení do stavu odpovídajícího bezpečnostní dokumentaci informačního systému. V bezpečnostní dokumentaci informačního systému musí být uvedeny základní typy krizových situací, které mohou podle analýzy rizik nastat, a pro každou z nich specifikována činnost následující

(3) V provozovaném informačním systému je ověřována pravost informací, které vstupují do informačního systému.

(4) V provozovaném informačním systému může být používáno pouze softwarové a hardwarové vybavení odpovídající bezpečnostní dokumentaci informačního systému schválené Úřadem a podmínkám certifikační zprávy k certifikátu informačního systému.

(5) V provozovaném informačním systému musí být prováděno zálohování programového vybavení a utajovaných informací. Záloha programového vybavení a utajovaných informací musí být uložena tak, aby nemohlo dojít k jejímu poškození nebo ke zničení při ohrožení informačního systému anebo zneužití pro narušení důvěrnosti utajovaných informací.

(9) V zabezpečené oblasti, v níž jsou umístěny komponenty informačního systému pro nakládání s utajovanou informací stupně utajení Tajné nebo Přísně tajné, se na žádost orgánu státu nebo podnikatele provádí kontrola ke zjištění nedovoleného použití technických prostředků určených k získávání informací. Tato kontrola se provede před prvním zpracováním utajované informace a dále opakovaně zpravidla v intervalu dvou let.

(8) V provozovaném informačním systému musí být v termínech stanovených v bezpečnostní dokumentaci informačního systému a při vzniku krizové situace neprodleně prováděno vyhodnocení auditních záznamů. Auditní záznamy musí být archivovány po dobu stanovenou v bezpečnostní dokumentaci informačního systému a chráněny před modifikací nebo zničením.

(11) Pro případ havárie softwarového nebo hardwarového vybavení musí být uveden v bezpečnostní dokumentaci informačního systému způsob

d) obnovy funkčnosti a uvedení informačního systému do známého bezpečného stavu.

c) zajištění nouzového provozu informačního systému s vyjmenováním minimálních funkcí, které musí být zachovány, a

b) zajišťování servisní činnosti,

a) zálohování informačního systému a uložení záložních médií,

b) po vzniku krizové situace zaměřená na likvidaci následků krizové situace včetně vymezení osobní odpovědnosti za jednotlivé úkoly.

a) bezprostředně po vzniku krizové situace zaměřená na minimalizaci škod a zajištění informací potřebných pro zjištění příčin a mechanismu vzniku krizové situace a

(12) Před trvalým ukončením provozu informačního systému musí být provedeno vyjmutí nebo zničení nosičů utajovaných informací, se kterými informační systém nakládal.