CERTIFIKACE INFORMAČNÍCH SYSTÉMŮ

(1) Žádost o certifikaci informačního systému obsahuje

3. názvem, sídlem, identifikačním číslem a jménem a příjmením odpovědné osoby, jde-li o orgán státu,

a) identifikaci žadatele

1. obchodní firmou, popřípadě názvem, sídlem a identifikačním číslem, bylo-li přiděleno, je-li žadatelem právnická osoba,

2. obchodní firmou, popřípadě jménem a příjmením, případně odlišujícím dodatkem, místem trvalého pobytu nebo u cizince místem obdobného pobytu a místem podnikání, liší-li se od trvalého pobytu, datem narození a identifikačním číslem, bylo-li přiděleno, je-li žadatelem fyzická osoba, která je podnikatelem, nebo

c) stručný popis účelu a rozsahu informačního systému,

b) jméno a příjmení kontaktního pracovníka žadatele a kontaktní spojení,

f) identifikaci dodavatele informačního systému nebo jeho komponent ovlivňujících bezpečnost informačního systému, podle písmene a) bodu 1 nebo 2, a stupeň utajení, pro který bylo vydáno dodavateli osvědčení podnikatele nebo kopii platného prohlášení podnikatele.

d) stupeň utajení utajovaných informací, se kterými bude informační systém nakládat,

e) stanovení bezpečnostního provozního módu informačního systému a

(2) K provedení certifikace informačního systému žadatel předloží následující podklady

a) bezpečnostní politiku informačního systému a výsledky analýzy rizik,

c) sadu testů bezpečnosti informačního systému, jejich popis a popis výsledků testování,

b) návrh bezpečnosti informačního systému,

d) bezpečnostní provozní dokumentaci informačního systému,

e) popis bezpečnosti vývojového prostředí a

f) další podklady nezbytné k certifikaci informačního systému, vyplývající ze specifikace informačního systému.

(3) Žádá-li o provedení certifikace informačního systému zpravodajská služba, uvede v žádosti podle odstavce 1 a v podkladech podle odstavce 2 pouze nezbytné údaje, které umožní Úřadu provedení certifikace informačního systému.

(4) Jako podklad pro certifikaci informačního systému může žadatel předložit také výsledky dílčích úloh v hodnocení některých komponent informačního systému a v hodnocení jednotlivých oblastí bezpečnosti uvedených v § 3 odst. 1, provedených orgánem státu nebo podnikatelem na základě smlouvy o zajištění činnosti uzavřené s Úřadem.

(5) V rámci certifikace informačního systému se posuzuje vhodnost souboru opatření navržených pro dosažení bezpečnosti informačního systému podle § 3, správnost a úplnost bezpečnostní dokumentace informačního systému a správnost realizace navrženého souboru opatření v daném informačním systému.

(6) Certifikace informačního systému se provádí posouzením podkladů předložených žadatelem a provedením dodatečných testů. Dodatečné testy provádí Úřad v provozním prostředí hodnoceného informačního systému za spoluúčasti žadatele a v případě potřeby dodavatele.

(7) Certifikaci informačního systému lze provádět průběžně po ukončení jednotlivých fází výstavby informačního systému nebo až po jeho celkovém dokončení.

(8) Dojde-li v informačním systému, který byl certifikován a schválen do provozu, ke změnám uvedeným v § 25 písm. d), provádí se doplňující hodnocení informačního systému v rozsahu potřebném k posouzení provedených změn. V případě provádění doplňujícího hodnocení informačního systému se postupuje obdobně jako při provádění certifikace informačního systému.

(9) Vzor certifikátu informačního systému je uveden v příloze č. 1 této vyhlášky.

a) orientační popis informačního systému,

c) identifikaci případných přijatelných rizik souvisejících s provozem informačního systému a

b) podmínky provozu informačního systému,

d) typy změn informačního systému, které vyžadují provedení doplňujícího hodnocení informačního systému.

(1) Žádost o opakovanou certifikaci informačního systému obsahuje

b) úplnou identifikaci vydaného certifikátu informačního systému obsahující jeho držitele, evidenční číslo, datum vydání a dobu platnosti,

a) identifikaci žadatele podle § 24 odst. 1 písm. a),

c) identifikaci informačního systému obsahující jeho název, označení verze a stupeň utajení utajovaných informací, pro který byla schválena jeho způsobilost, a

d) jméno a příjmení kontaktního pracovníka žadatele a kontaktní spojení.

(2) Pokud žadatel doloží, že ke dni ukončení platnosti dosavadního certifikátu bude informační systém provozován v rámci podmínek stanovených v certifikační zprávě, a žadatel ani Úřad neidentifikovali nová rizika pro informační systém, vydá Úřad certifikát na základě existující bezpečnostní dokumentace informačního systému a provedené kontroly bezpečnosti informačního systému.

(3) Pokud ke dni ukončení platnosti dosavadního certifikátu provozovatel navrhuje změnu bezpečnostní politiky informačního systému, případně byla identifikována nová rizika pro informační systém, vyžádá si Úřad doplnění nebo úpravu odpovídajících částí dokumentace a provede doplňující hodnocení informačního systému v rozsahu stanoveném Úřadem. Pokud informační systém vyhoví stanoveným bezpečnostním podmínkám, Úřad vydá certifikát.

(4) V případě, že navrhované změny bezpečnostní politiky informačního systému jsou podstatné pro celkovou bezpečnost informačního systému, bude Úřad postupovat jako v případě nové certifikace.