INFORMAČNÍ BEZPEČNOST
Bezpečnostní požadavky v oblasti počítačové bezpečnosti
Systémově závislé bezpečnostní požadavky na informační systém odvozené z bezpečnostního provozního módu
Bezpečnostní požadavky na bezpečné propojení informačních nebo komunikačních systémů
Bezpečnostní požadavky na bezpečnost nosičů informací
Bezpečnostní požadavky na přístup uživatele k utajované informaci v systému
Bezpečnostní požadavky na fyzickou bezpečnost
Bezpečnostní požadavky na bezpečnost provozu

(1) Bezpečnostní požadavky jsou požadavky na systém, jeho řízení, správu a provoz a na objekty, subjekty a aktiva systému, jejichž cílem je zajištění informační bezpečnosti v oblastech

(2) Bezpečnostní požadavky naplňuje provozovatel systému prostřednictvím souboru bezpečnostních opatření specifikovaného v příslušné bezpečnostní dokumentaci, která musí být autorizována odpovědnou osobou, jí pověřenou osobou nebo bezpečnostním ředitelem.

(3) Bezpečnostní opatření musí provozovatel systému nastavit tak, aby rizika, kterým je utajovaná informace v elektronické podobě v systému vystavena, byla snížena na přijatelnou úroveň.

(4) Bezpečnostní opatření realizuje provozovatel systému přednostně zaváděním a prováděním programově technických mechanismů systému (dále jen „bezpečnostní funkce“).

(5) Přijatý soubor bezpečnostních opatření musí být provozovatelem systému řízen tak, aby bylo zajištěno provádění jeho návrhu, implementace, provozování, monitorování, přezkoumávání, udržování a jeho zlepšování.

(6) Bezpečnostní opatření přijatá k zajištění informační bezpečnosti systému musí splňovat alespoň

(1) Systémem musí být zajištěny bezpečnostní funkce

(2) Bezpečnostní funkce uvedené v odstavci 1 se realizují pomocí identifikovatelných prostředků počítačové bezpečnosti. Úroveň popisu jejich provedení a nastavení uvedené v popisu bezpečnosti systému musí umožnit jejich nezávislé prověření a zhodnocení jejich dostatečnosti.

(3) Mechanismy, jimiž se realizují bezpečnostní funkce uplatňující bezpečnostní politiku, musí být v celém životním cyklu systému chráněny před narušením nebo neautorizovanými změnami.

(4) Provozovatel systému musí zajistit, aby pro nepřetržité zaznamenávání událostí a jejich vyhodnocování bylo nastaveno aktuální datum a čas po celou dobu provozu systému.

(5) Na základě analýzy rizik se u rozsáhlých informačních nebo komunikačních systémů musí využívat technické nástroje pro zaznamenávání událostí, které umožňují i nepřetržité vyhodnocování událostí s cílem identifikace bezpečnostních incidentů včetně včasného varování určených rolí. Rozsáhlým informačním nebo komunikačním systémem se rozumí systém mající nejméně 200 uživatelů.

(1) Bezpečnostní opatření spočívající v zavedení některých bezpečnostních funkcí počítačové bezpečnosti podle § 4 lze v odůvodněných případech nahradit použitím jiných bezpečnostních opatření personální, administrativní a fyzické bezpečnosti anebo použitím vhodných organizačních bezpečnostních opatření.

(2) Při nahrazení bezpečnostních opatření spočívajících v zavedení bezpečnostních funkcí počítačové bezpečnosti náhradním bezpečnostním opatřením podle odstavce 1 musí být zachován účel bezpečnostní funkce a kvalita a úroveň bezpečnosti poskytované nahrazovaným bezpečnostním opatřením.

(3) Nahrazení bezpečnostních opatření spočívajících v zavedení bezpečnostních funkcí počítačové bezpečnosti náhradním bezpečnostním opatřením podle odstavce 1 musí být popsáno a zdůvodněno v analýze rizik nebo popisu bezpečnosti systému.

(1) Informační systémy mohou být provozovány pouze v některém z uvedených bezpečnostních provozních módů, jimiž jsou

(2) Bezpečnostní provozní mód dedikovaný je takové prostředí, které umožňuje zpracování utajovaných informací různého stupně utajení, přičemž všechny subjekty informačního systému musí splňovat podmínky pro přístup k utajovaným informacím nejvyššího stupně utajení, se kterými je informační systém určen nakládat, a zároveň musí být oprávněny pracovat se všemi obsaženými utajovanými informacemi. V bezpečnostním provozním módu dedikovaném není zajištěna bezpečnostní funkce podle § 4 odst. 1 písm. b) a e).

(3) Bezpečnostní provozní mód s nejvyšší úrovní je takové prostředí, které umožňuje současné zpracování utajovaných informací různého stupně utajení, ve kterém všechny subjekty informačního systému musí splňovat podmínky pro přístup k utajovaným informacím nejvyššího stupně utajení, přičemž všechny subjekty informačního systému nemusí být oprávněny pracovat se všemi obsaženými utajovanými informacemi.

(4) Bezpečnostní provozní mód s nejvyšší úrovní s formálním řízením přístupu k informacím je takové prostředí, které odpovídá bezpečnostnímu provoznímu módu s nejvyšší úrovní, kde však formální řízení přístupu navíc předpokládá formální centrální správu kontroly přístupu.

(5) Bezpečnostní provozní mód víceúrovňový je takové prostředí, které umožňuje současné zpracování utajovaných informací různého stupně utajení, kde všechny subjekty informačního systému nemusí splňovat podmínky přístupu k utajovaným informacím nejvyššího stupně utajení a nemusí být oprávněny pracovat se všemi utajovanými informacemi. Při provozu v bezpečnostním provozním módu víceúrovňovém musí být zajištěna bezpečnostní funkce povinného řízení přístupu subjektu informačního systému k objektům informačního systému.

(1) Bezpečnostní funkce povinného řízení přístupu subjektů informačního systému k objektům informačního systému musí zabezpečit

(2) Při uplatňování bezpečnostní funkce povinného řízení přístupu subjektů informačního systému k objektům informačního systému může subjekt informačního systému

(3) Subjekt informačního systému může přistupovat k informaci obsažené v objektu informačního systému, jestliže jej povolují jak pravidla povinného řízení přístupu, tak pravidla volitelného řízení přístupu.

(4) Při provozu informačního systému v bezpečnostním provozním módu víceúrovňovém musí být utajovaná informace vystupující z informačního systému přesně označena stupněm utajení a utajované informaci vstupující do informačního systému přiřazen stupeň utajení.

(5) Při provozu informačního systému v bezpečnostním provozním módu víceúrovňovém, ve kterém se nakládá s utajovanou informací stupně utajení Přísně tajné, musí být prověřeno, zda nedochází k nežádoucí výměně informací mezi informačním systémem a okolím způsobem, který není pro komunikaci přímo určen a ani předpokládán, a při kterém dochází k obcházení bezpečnostních mechanismů informačního systému.

(1) Při přenosu utajované informace komunikačním kanálem musí být zajištěna ochrana důvěrnosti a integrity této utajované informace prostřednictvím kryptografické ochrany nebo jiných vhodných bezpečnostních opatření tak, aby nebyla ohrožena informační bezpečnost.

(2) U komunikačních kanálů, které jsou vedeny v rámci zabezpečených oblastí nebo objektů, lze přenášené utajované informace chránit kryptografickou ochranou na nižší úrovni, než je pro daný stupeň utajení přenášené utajované informace vyžadováno, nebo lze kryptografickou ochranu utajovaných informací nahradit použitím vhodných bezpečnostních opatření fyzické bezpečnosti.

(3) V závislosti na komunikačním prostředí musí být zajištěna spolehlivá identifikace a autentizace komunikujících subjektů systému, včetně ochrany identifikačních a autentizačních dat. Tato identifikace a autentizace předchází přenosu utajované informace.

(4) Přenos utajované informace komunikačním kanálem vedený mimo zabezpečenou oblast nebo objekt musí být chráněn pomocí kryptografického prostředku certifikovaného alespoň pro stupeň utajení přenášené utajované informace.

(5) Při uplatnění specifických bezpečnostních opatření pro detekci narušení bezpečnosti komunikačního kanálu a bezpečnostních opatření pro zmírnění následků bezpečnostní události přijatých na základě analýzy rizik může Národní úřad pro kybernetickou a informační bezpečnost v rámci certifikace informačního systému nebo schvalování projektu bezpečnosti schválit i odlišný způsob zabezpečení, než je uveden v odstavcích 2 a 4.

(6) Úroveň použité ochrany komunikačních kanálů podle odstavce 1 musí odpovídat úrovni ochrany požadované pro nejvyšší stupeň utajení utajovaných informací, které budou komunikačním kanálem přenášeny.

(1) Komunikační kanál mezi informačními nebo komunikačními systémy, které jsou určeny k nakládání s utajovanými informacemi stejných nebo různých stupňů utajení, případně je-li některý z nich určen pouze k nakládání s neutajovanými informacemi, lze zřídit pouze v případě nezbytné provozní potřeby a jestliže je stanoven způsob jeho ochrany prostřednictvím bezpečnostního rozhraní nebo jiným vhodným bezpečnostním opatřením.

(2) Popis propojení a bezpečnostního rozhraní je součástí popisu bezpečnosti každého propojovaného informačního nebo komunikačního systému.

(3) Propojení informačních nebo komunikačních systémů určených k nakládání s utajovanou informací odlišného stupně utajení musí být provedeno tak, aby mezi nimi bylo zabráněno přenosu utajované informace vyššího stupně utajení, než je stupeň utajení utajované informace, pro který je informační nebo komunikační systém určen.

(4) Mezi propojenými informačními nebo komunikačními systémy musí být komponenty bezpečnostního rozhraní umístěny v zabezpečené oblasti alespoň takové kategorie, jakou je nejvyšší stupeň utajení utajované informace, se kterým je možno nakládat v některém z propojovaných informačních nebo komunikačních systémů.

(5) Správa bezpečnostního rozhraní je zajišťována subjekty toho propojeného informačního nebo komunikačního systému, který je určen k nakládání s vyšším stupněm utajení utajovaných informací. Jsou-li propojené informační nebo komunikační systémy určeny k nakládání s utajovanými informacemi stejného stupně utajení, subjekty propojeného informačního nebo komunikačního systému zajišťující správu bezpečnostního rozhraní stanoví popis bezpečnosti systému.

(1) Informační nebo komunikační systém nesmí být propojen s veřejnou komunikační sítí podle právního předpisu upravujícího elektronické komunikace, ledaže má pro tento účel instalované vhodné bezpečnostní rozhraní.

(2) Bezpečnostní rozhraní podle odstavce 1 musí zamezit průniku do informačního nebo komunikačního systému a musí umožnit pouze kontrolovaný přenos informací, který nenarušuje důvěrnost, integritu a dostupnost informací a služeb tohoto sytému.

(3) Informační nebo komunikační systém určený k nakládání s utajovanou informací stupně utajení Přísně tajné, nebo s utajovanou informací vyžadující zvláštní režim nakládání označenou textem „ATOMAL“, „SIOP“, „CRYPTO“, „BOHEMIA“ nebo „KRYPTO“, nesmí být přímo ani nepřímo propojen s veřejnou komunikační sítí.

(4) Pokud je veřejná komunikační síť využívána výhradně k přenosu informací a přenášené utajované informace jsou chráněny příslušným certifikovaným kryptografickým prostředkem, nepovažuje se takové propojení za propojovací komunikační kanál.

(1) Systém musí zajistit, že požadovaná utajovaná informace je přístupná na stanoveném místě, v požadované formě a v určeném časovém rozmezí.

(2) V rámci zajištění bezpečného provozu popis bezpečnosti systému vymezuje komponenty, které lze nahradit bez omezení kontinuity jeho provozu, a dále rozsah požadované základní funkčnosti a komponenty, při jejichž selhání musí být základní funkčnost zaručena.

(3) Provozovatel systému plánuje kapacity aktiv systému a sleduje kapacitní požadavky tak, aby nedocházelo k chybám způsobeným nedostatkem volných kapacit.

(4) Popis bezpečnosti systému obsahuje plán na obnovení činnosti systému po havárii. V případě havárie může být opětovné uvedení do známého zabezpečeného stavu provedeno automaticky, nebo manuálně provozním správcem. Všechny činnosti, které byly provedeny pro obnovení činnosti, jsou zaznamenány do auditních záznamů chráněných před neoprávněnou modifikací nebo zničením. Pokud činnosti podle věty třetí nelze zaznamenat do auditních záznamů, zaznamenají se do provozního deníku.

(1) Pro rozmístitelné zařízení se v analýze rizik posuzují i rizika, která jsou spojena s prostředím, ve kterém se předpokládá použití tohoto zařízení.

(2) Pro mobilní zařízení se v analýze rizik posuzují i rizika, která jsou spojena s dopravou na místo, kde bude zařízení používáno.

(3) Rozmístitelné nebo mobilní zařízení obsahující utajovaný nosič informací se pro účely bezpečnostních opatření považuje za nosič informací utajovaný podle § 13 odst. 2.

a) počítačové a komunikační bezpečnosti,

b) kryptografické ochrany,

c) ochrany před únikem utajovaných informací kompromitujícím vyzařováním,

d) administrativní bezpečnosti a organizačních opatření,

e) personální bezpečnosti a

f) fyzické bezpečnosti.

a) bezpečnostní požadavky uvedené v této vyhlášce,

b) bezpečnostní požadavky uvedené v právním předpise upravujícím ochranu před únikem utajovaných informací kompromitujícím vyzařováním,

c) pravidla pro ochranu utajovaných informací uvedená v právním předpise upravujícím kryptografickou ochranu a

d) výsledky analýzy rizik podle § 38.

a) identifikace a autentizace subjektu systému, které musí předcházet všem jeho dalším činnostem, a musí být zajištěna ochrana důvěrnosti a integrity autentizační informace, nestanoví-li analýza rizik a popis bezpečnosti systému jinak,

b) volitelného řízení přístupu k objektům systému na základě rozlišování a správy přístupových práv subjektu systému a jeho identity nebo členství ve skupině subjektů se shodným oprávněním,

c) nepřetržitého zaznamenávání událostí, které mohou ovlivnit bezpečnost informací nebo systému, do auditních záznamů a zabezpečení auditních záznamů před neautorizovaným přístupem, změnou nebo zničením; zaznamenává se zejména použití identifikačních a autentizačních informací, pokus o změnu přístupových práv, vytváření nebo rušení objektů systému nebo činnost oprávněných subjektů systému ovlivňující bezpečnost informací nebo systému,

d) schopnosti zkoumání auditních záznamů a stanovení odpovědnosti každého subjektu systému,

e) ošetření paměťových objektů před jejich dalším použitím nebo přidělením jinému subjektu systému, které znemožní zjistit jejich předchozí obsah,

f) ochrany důvěrnosti a integrity dat během přenosu mezi jejich zdrojem a cílem a

g) ochrany před škodlivým kódem.

a) bezpečnostní provozní mód dedikovaný,

b) bezpečnostní provozní mód s nejvyšší úrovní,

c) bezpečnostní provozní mód s nejvyšší úrovní s formálním řízením přístupu k informacím, nebo

d) bezpečnostní provozní mód víceúrovňový.

a) trvalé spojení každého subjektu a objektu informačního systému s bezpečnostními příznaky, které pro subjekt informačního systému vyjadřují úrovně oprávnění přístupu subjektu informačního systému k objektům informačního systému a pro objekt informačního systému stupeň utajení utajované informace, kterou objekt informačního systému obsahuje nebo přijímá,

b) ochranu integrity bezpečnostního příznaku,

c) výlučné oprávnění bezpečnostního správce k provádění změn bezpečnostních příznaků subjektů i objektů informačního systému a

d) přidělení předem definovaných hodnot bezpečnostních příznaků pro nově vytvořené objekty informačního systému a zachování bezpečnostního příznaku při kopírování objektu informačního systému.

a) číst informace v objektu informačního systému pouze tehdy, je-li jeho bezpečnostní příznak stejný nebo vyšší než bezpečnostní příznak objektu informačního systému, a

b) zapisovat informace do objektu informačního systému pouze tehdy, je-li jeho bezpečnostní příznak stejný nebo nižší než bezpečnostní příznak objektu informačního systému.

(1) Je-li nosič informací utajovaný, musí jeho stupeň utajení odpovídat nejvyššímu stupni utajení utajované informace, kterou lze na nosiči informací uchovávat.

(2) Na nosiči informací musí být uvedeno evidenční označení podle § 42 odst. 4 písm. c) a identifikace provozovatele systému. Informace se na nosič informací vyznačují přímo, pomocí štítku, visačky nebo jiným vhodným způsobem.

a) vyjímatelný, pokud jej lze ze zařízení vyjmout i bez nutnosti použití nástroje, aniž by došlo k nevratnému poškození zařízení nebo k poškození ochranného prvku zařízení,

(3) V analýze rizik je identifikován nosič informací podle způsobu jeho zapojení do zařízení jako

c) zabudovaný, pokud jej lze ze zařízení vyjmout pouze způsobem, při němž dojde k nevratnému poškození zařízení.

b) vyměnitelný, pokud jej lze ze zařízení vyjmout pouze s použitím nástroje, aniž by došlo k nevratnému poškození zařízení, nebo

(4) V případech odůvodněných v popisu bezpečnosti systému lze evidovat a označit stupněm utajení nosič informací umístěný v zařízení nejpozději po prvním otevření zařízení. Zařízení s neevidovaným nosičem informací podle věty první musí splňovat bezpečnostní požadavky podle § 22.

(1) Stupeň utajení nosiče informací stupně utajení Přísně tajné, Tajné nebo se zvláštním režimem nakládání nesmí být zrušen.

(2) Stupeň utajení nosiče informací stupně utajení Přísně tajné, Tajné nebo se zvláštním režimem nakládání může být snížen, pouze pokud je prokázáno, že na něm byly během jeho dosavadního životního cyklu uloženy pouze utajované informace nižšího stupně utajení nevyžadující zvláštní režim nakládání nebo informace neutajované.

b) je prokázáno, že na něm byly během jeho dosavadního životního cyklu uloženy pouze utajované informace nižšího stupně utajení nebo informace neutajované, nebo

c) je prokázáno, že stupeň utajení utajovaných informací uložených na něm během jeho dosavadního životního cyklu byl snížen nebo zrušen.

(3) Stupeň utajení nosiče informací stupně utajení Důvěrné může být snížen nebo zrušen, pouze pokud

a) vymazání utajovaných informací z něj bylo provedeno způsobem uvedeným v § 15 odst. 1,

c) je prokázáno, že stupeň utajení utajovaných informací uložených na něm během jeho dosavadního životního cyklu byl zrušen.

(4) Stupeň utajení nosiče informací stupně utajení Vyhrazené může být zrušen, pouze pokud

a) vymazání utajovaných informací z něj bylo provedeno způsobem uvedeným v § 15 odst. 1,

b) je prokázáno, že na něm byly během jeho dosavadního životního cyklu uloženy pouze informace neutajované, nebo

(5) Stupeň utajení nosiče informací obsahujícího zálohy informací se určuje podle nejvyššího stupně utajení utajovaných informací, se kterými může systém nakládat.

(1) Vymazání utajované informace z nosiče informací, které umožňuje snížení nebo zrušení jeho stupně utajení, musí být provedeno tak, aby znemožnilo z nosiče informací opětovně získat, byť laboratorními metodami, utajovanou informaci na něm uchovanou během jeho dosavadního životního cyklu.

(2) Postup podle odstavce 1 musí být uveden v popisu bezpečnosti systému.

(3) Ničení nosiče informací musí být provedeno v souladu s postupy ničení nosičů informací nebo dat podle právního předpisu upravujícího fyzickou bezpečnost tak, aby znemožnilo z něho opětovně získat, byť laboratorními metodami, utajovanou informaci na něm uchovanou během jeho dosavadního životního cyklu.

(4) Popis bezpečnosti systému stanoví řízení přístupu uživatelů k vyjímatelným nosičům informací a ke vstupně výstupním portům, přes které jsou tyto nosiče informací k zařízení připojovány.

(5) Popis bezpečnosti systému stanoví podmínky přidělování nosiče informací jinému subjektu systému a postupy znemožňující zjistit jejich předchozí obsah.

(1) Uživatel musí být autorizován postupem stanoveným v popisu bezpečnosti systému.

(2) Uživatel musí splňovat podmínky pro přístup fyzické osoby k utajované informaci stupně utajení, který se stanovuje v závislosti na nejvyšším stupni utajení utajovaných informací, se kterými může systém nakládat. Uživatel v informačním systému musí dále splňovat podmínky pro přístup fyzické osoby k utajované informaci stupně utajení, který se stanovuje v souladu s bezpečnostním provozním módem informačního systému.

(3) Privilegovaným uživatelem se rozumí role uživatele s oprávněními, která mu kromě základního přístupu k poskytovaným službám umožňují i provádění provozní nebo bezpečnostní správy, zejména role pracovníka provozní nebo bezpečnostní správy.

(4) Koncovým uživatelem se rozumí role uživatele s oprávněními, která mu umožňují základní přístup k poskytovaným službám a nakládání s utajovanými informacemi.

(5) Privilegovaný uživatel musí činnost, která není bezpečnostní nebo provozní správou, provádět jako koncový uživatel.

(1) Uživatel v dané roli má vždy oprávnění k činnostem v systému pouze v rozsahu nezbytném pro jejich provádění.

b) pracovníka bezpečnostní správy celého systému

a) pracovníka provozní správy s oprávněním administrátora a s oprávněním úplného řízení, nebo

(2) Uživatel systému, který je určen k nakládání s utajovanými informacemi stupně utajení Vyhrazené, Důvěrné nebo Tajné, v roli
musí splňovat podmínky pro přístup fyzické osoby k utajované informaci stupně utajení o jeden stupeň vyšší, nežli je nejvyšší stupeň utajení utajovaných informací, se kterými může systém nakládat.

a) pracovníka provozní správy s oprávněním administrátora a s oprávněním úplného řízení, nebo

musí splňovat podmínky pro přístup fyzické osoby k utajované informaci stupně utajení Přísně tajné.
(3) Uživatel systému, který je určen k nakládání s utajovanými informacemi stupně utajení Přísně tajné, v roli

b) pracovníka bezpečnostní správy celého systému

a) malého rozsahu, kterým se rozumí systém mající nejvýše 30 uživatelů, nebo

b) zpracovávajícího pouze taktické utajované informace,

(4) Splnění požadavku podle odstavce 2 se nevyžaduje u systému
jestliže systém nenakládá s utajovanou informací cizí moci Organizace Severoatlantické smlouvy a se zvážením identifikovaných rizik je v analýze rizik nebo popisu bezpečnosti systému uvedeno jako dostačující splnění podmínek pro přístup fyzické osoby k utajované informaci stupně utajení shodného s nejvyšším stupněm utajení utajovaných informací, se kterými může systém nakládat.

b) pracovníka bezpečnostní správy systému zajišťujícího dílčí oblast bezpečnosti, zejména určitou bezpečnostní technologii nebo lokální správu,

(5) Uživatel v roli
musí splňovat podmínky pro přístup fyzické osoby k utajované informaci stupně utajení shodného s nejvyšším stupněm utajení utajovaných informací, se kterými může systém nakládat.

a) pracovníka provozní správy systému s oprávněním administrátora a s omezeným oprávněním řízení systému, zejména správy serverů, správy aplikace nebo lokální správy, nebo

(6) Roli uživatele systému je na základě autorizace přidělen jedinečný identifikátor. Roli s jedinečným identifikátorem podle věty první může využívat několik uživatelů, je-li to nezbytné pro zajištění nepřetržité dostupnosti systému nebo správy systému a je-li zaveden postup umožňující určit, který uživatel v dané době tuto roli využívá; to musí být popsáno a zdůvodněno v popisu bezpečnosti systému.

(1) Popis bezpečnosti systému stanoví vhodnou strukturu bezpečnostní a provozní správy. V rámci struktury bezpečnostní správy zavede provozovatel systému roli bezpečnostního správce odděleně od jiných rolí správy, pokud není dále stanoveno jinak. V rámci struktury provozní správy zavede provozovatel systému roli provozního správce.

(2) Bezpečnostní správce je uživatel v roli pracovníka správy s oprávněními, která mu kromě základního přístupu k poskytovaným službám umožňují i provádění činností k zajištění bezpečnosti systému.

(3) Provozní správce je uživatel v roli pracovníka správy s oprávněními, která mu kromě základního přístupu k poskytovaným službám umožňují i provádění činností k zajištění požadované funkčnosti systému a řízení jeho provozu.

(4) V případě potřeby zajistit stanovený rozsah činností k zajištění bezpečnosti nebo provozuschopnosti systému zavede provozovatel systému organizační strukturu bezpečnostních nebo provozních správců nebo další role v bezpečnostní nebo provozní správě.

f) vedení příslušných evidencí,

(5) Výkon bezpečnostní správy spočívá v

a) přidělování přístupových práv,

b) správě autentizačních a autorizačních informací,

c) správě konfigurace systému,

d) správě a vyhodnocování auditních záznamů,

e) aktualizaci bezpečnostní dokumentace,

g) řešení bezpečnostních incidentů a krizových situací a vypracování zpráv o nich,

h) zajištění školení uživatelů v oblasti bezpečnosti,

i) kontrole dodržování bezpečnostních opatření a

j) dalších činnostech stanovených v bezpečnostní dokumentaci.

(6) Výkon provozní správy spočívá v provádění činností k zajištění provozuschopnosti systému a v dalších činnostech stanovených v bezpečnostní dokumentaci.

(7) V odůvodněných případech lze v popisu bezpečnosti systému sloučit některé role bezpečnostní a provozní správy.

(1) Uživatel může vykonávat pouze takovou roli, kterou byl pověřen.

(2) Pověření podle odstavce 1 může provádět pouze odpovědná osoba provozovatele systému nebo jí pověřená osoba postupem stanoveným v popisu bezpečnosti systému.

a) v případě změny jeho role,

c) pokud přestal splňovat podmínky přístupu k utajované informaci podle zákona.

(3) Odpovědná osoba nebo jí pověřená osoba zruší uživateli pověření

b) v případě ukončení pracovněprávního nebo obdobného vztahu s provozovatelem systému, nebo

(4) Uživatel může vykonávat určenou roli, pouze pokud byl proškolen ve správném užívání systému a v dodržování bezpečnostních opatření. Školení se vyžaduje dále při podstatných změnách bezpečnostních opatření bez zbytečného odkladu, jinak nejméně jednou ročně.

(5) Přehled provedených školení, jejich obsah a seznam uživatelů, kteří školení absolvovali, včetně záznamů o prokazatelném absolvování školení, je součástí provozní bezpečnostní dokumentace. Přehled podle věty první může být veden i mimo provozní bezpečnostní dokumentaci. Způsob vedení přehledu podle věty druhé stanoví provozní bezpečnostní dokumentace.

(1) Činnost subjektu systému lze provádět pouze postupy popsanými v provozní bezpečnostní směrnici.

(2) Informace o činnosti subjektu systému se v auditním záznamu zaznamenává tak, aby bylo možno identifikovat narušení bezpečnosti systému nebo pokusy o ně.

(1) Aktiva systému musí být chráněna před bezpečnostními hrozbami a riziky vyplývajícími z prostředí, ve kterém jsou umístěna.

(2) Aktiva systému musí být umístěna do prostoru, ve kterém je zajištěna fyzická ochrana před neoprávněným přístupem a poškozením a ovlivněním aktiv systému. Na základě analýzy rizik se stanovuje, která aktiva systému musí být umístěna v zabezpečené oblasti nebo objektu a požadovaná kategorie zabezpečené oblasti nebo objektu.

(3) Způsob umístění aktiv systému stanoví popis bezpečnosti systému.

(4) Umístění aktiv systému musí být provedeno tak, aby zamezovalo neoprávněné osobě odezírat nebo odposlouchávat utajované informace nebo informace sloužící k identifikaci a autentizaci uživatele.

(1) Nejnižší možná míra zabezpečení zabezpečené oblasti pro umístění zařízení, v němž mohou být ukládány utajované informace, se určuje v souladu s tabulkami bodových hodnot nejnižší míry zabezpečení fyzické bezpečnosti uvedenými v právním předpise upravujícím fyzickou bezpečnost.

a) informací uložených v zařízení a

(2) Bodové ohodnocení fyzické bezpečnosti zařízení, v němž mohou být ukládány utajované informace, je závislé na způsobu zajištění důvěrnosti

b) autentizačních údajů uložených v autentizačních předmětech.

(3) Bodové ohodnocení fyzické bezpečnosti podle odstavce 2 je uvedeno v příloze č. 1 k této vyhlášce.

(4) Zařízení, v nichž mohou být ukládány utajované informace a jejich hardwarové komponenty, jsou označeny a opatřeny ochrannými prvky způsobem uvedeným v popisu bezpečnosti systému.

(5) Ochranný prvek se umísťuje tak, aby při pokusu o rozebrání zařízení, v němž mohou být ukládány utajované informace nebo jeho hardwarové komponenty, došlo k jeho poškození.

(6) Popis bezpečnosti systému stanoví způsob zajišťování důvěrnosti podle odstavce 2 a dále pravidla k zajištění bezpečnosti při

b) údržbě zařízení a jeho hardwarových komponent,

c) provozování zařízení nebo jeho hardwarových komponent mimo prostory provozovatele systému a

a) změně umístění zařízení a jeho hardwarových komponent,

d) bezpečné likvidaci nebo opakovaném použití zařízení nebo jeho hardwarových komponent.

b) evidenční označení podle právního předpisu upravujícího administrativní bezpečnost,

(1) Utajovanou informaci lze prostřednictvím informačního systému odeslat evidenčnímu místu adresáta, pouze pokud jsou na ní vyznačeny

a) stupeň utajení,

c) identifikace odesílatele a

d) datum vzniku.

(2) Utajovaná informace doručená evidenčnímu místu adresáta prostřednictvím informačního systému musí být bez zbytečného odkladu zaevidována v elektronickém systému spisové služby sloužícím k evidenci utajovaných informací nebo v jednacím protokolu v listinné nebo elektronické podobě. Ustanovení právního předpisu upravujícího administrativní bezpečnost se použijí obdobně.

(3) V odůvodněných případech může odpovědná osoba, jí pověřená osoba nebo bezpečnostní ředitel stanovit výjimky, kdy se postupy podle odstavců 1 a 2 nepoužijí. Pravidla pro stanovování výjimek podle věty první stanoví popis bezpečnosti systému.

(1) Informační systém určený k doručování utajovaných informací mezi různými evidenčními místy musí mít

a) zřízen pro každé evidenční místo v rámci tohoto informačního systému doručovací adresu, kterou je adresa elektronické pošty nebo obdobný identifikátor distribuční služby, a

b) veden seznam doručovacích adres všech evidenčních míst v rámci tohoto informačního systému dostupný všem uživatelům informačního systému, kteří jej nezbytně potřebují k výkonu své funkce, pracovní nebo jiné činnosti.

(2) Způsob a podmínky doručování utajovaných informací podle odstavce 1 musí být stanoveny v popisu bezpečnosti informačního systému.

(1) Soulad bezpečnostních opatření s bezpečnostní dokumentací ověřuje provozovatel systému testováním. K provedení testování nelze používat utajované informace.

(2) Soulad bezpečnostních opatření s právními předpisy, vnitřními předpisy a dotčenými smluvními závazky a dodržování bezpečnostních opatření provozovatel systému průběžně prověřuje, u informačního systému nejpozději bezprostředně před podáním opakované žádosti o certifikaci podle § 48.

(3) Podmínky provádění testování, podmínky prověřování podle odstavce 2 a jejich výsledky jsou součástí dokumentace k bezpečnostním testům.

(1) Ve vývojovém prostředí systému musí být zajištěna bezpečnost, ochrana používaných testovacích dat a prováděno bezpečnostní testování změn systému před jejich zavedením do provozu.

(2) Postup instalace aktiv systému musí provozovatel systému organizovat tak, aby nebyla ohrožena informační bezpečnost a oslabeny bezpečnostní funkce.

(3) V popisu bezpečnosti systému musí být stanovena zařízení nebo komponenty, které zajišťují bezpečnostní funkce nebo jsou zranitelné ve fázi instalace.

(4) Zařízení nebo komponenty podle odstavce 3 musí být instalovány osobami splňujícími podmínky pro přístup fyzické osoby k utajované informaci nejvyššího stupně utajení utajované informace, s níž je systém určen nakládat. Ostatní zařízení nebo komponenty mohou být instalovány i osobami nesplňujícími podmínky pro přístup k utajované informaci podle věty první, pokud jsou tyto osoby pod neustálým osobním dohledem příslušného pracovníka správy a jestliže byly schváleny odpovědnou osobou provozovatele systému, jí pověřenou osobou nebo bezpečnostním ředitelem.

4. řízení a schvalování provozních změn.

2. pro sledování a vyhodnocování auditních záznamů a pro ochranu přístupu k těmto auditním záznamům,

1. pro uvedení systému do provozu, ukončení provozu a obnovení provozu po selhání, chybě nebo mimořádné události,

a) práva a povinnosti uživatelů v jednotlivých rolích a

b) provozní pravidla a postupy

(1) Pro bezpečný provoz systému jsou v popisu bezpečnosti systému stanovena

3. pro řešení a vyhodnocování detekovaných bezpečnostních událostí a

(2) Popis bezpečnosti systému obsahuje pravidla pro průběžné prověřování a vyhodnocování bezpečnosti provozu.

(3) Provozovatel systému je povinen řídit veškeré změny v rámci provozu systému. V popisu bezpečnosti systému musí být uvedeny postupy a mechanismy, které příslušné změny umožňují.

(1) Integrita softwarového vybavení a informací musí být chráněna před působením škodlivého kódu.

(2) Softwarové a hardwarové vybavení systému musí být uvedeno v evidenci aktiv a smí být používáno pouze v souladu s podmínkami v uvedenými popisu bezpečnosti systému a provozní bezpečnostní směrnici.

(3) Analýza rizik a popis bezpečnosti systému stanoví požadavky na provádění zálohování softwarového vybavení a uložených informací. Záloha musí být uložena tak, aby nemohlo dojít k jejímu poškození, zničení nebo zneužití.

(4) Popis bezpečnosti systému stanoví postup odstranění utajovaných informací z hardwarového vybavení před jeho vyřazením z používání, případně před jeho zničením.

(1) Servisní činnost musí provozovatel systému organizovat tak, aby nebyla ohrožena bezpečnost a nedošlo k porušení povinností ochrany utajovaných informací.

(2) V případech, kdy hrozí možnost neoprávněného seznámení s utajovanou informací, musí být z nosičů informací přístupných při servisní činnosti bezpečně vymazány utajované informace a dálková diagnostika musí být zabezpečena před zneužitím.

(3) Servis zařízení nebo komponent zajišťujících bezpečnostní funkce musí zajišťovat osoby splňující podmínky pro přístup fyzické osoby k utajované informaci nejvyššího stupně utajení, s níž je systém určen nakládat. Údržba ostatních zařízení nebo komponent může být prováděna i osobami nesplňujícími podmínky pro přístup k utajované informaci podle věty první, pokud jsou tyto osoby pod neustálým osobním dohledem příslušného pracovníka správy a jestliže byly schváleny odpovědnou osobou provozovatele systému, jí pověřenou osobou nebo bezpečnostním ředitelem.

(1) V rámci provozu systému musí provozovatel systému provádět hodnocení auditních záznamů v termínech stanovených v popisu bezpečnosti systému a při vzniku krizové situace bez zbytečného odkladu.

(2) Auditní záznamy musí být chráněny před změnou nebo zničením a uchovávány po dobu stanovenou v popisu bezpečnosti systému, nejméně však po dobu 5 let od vzniku.

(3) V popisu bezpečnosti systému musí být uvedena základní klasifikace krizových situací a pro každou z nich musí být specifikována činnost

a) následující bezprostředně po vzniku krizové situace zaměřená na minimalizaci škod a zajištění informací potřebných pro zjištění příčin a mechanismu vzniku krizové situace a

b) zaměřená na likvidaci následků krizové situace včetně vymezení osobní odpovědnosti za jednotlivé úkoly.

(4) Pro řešení krizových situací musí být v popisu bezpečnosti systému stanovena bezpečnostní opatření zaměřená na uvedení systému do stavu odpovídajícího bezpečnostní dokumentaci.

(5) Při zvládání bezpečnostních událostí a bezpečnostních incidentů musí být

a) přijata nezbytná bezpečnostní opatření pro zajištění oznamování bezpečnostních událostí ze strany uživatelů a zajištění vedení záznamů o těchto oznámeních,

e) dokumentováno zvládání bezpečnostních incidentů.

d) prošetřeny a určeny příčiny bezpečnostního incidentu, vyhodnocena účinnost řešení bezpečnostního incidentu a na základě vyhodnocení stanovena nutná bezpečnostní opatření k zamezení opakování daného bezpečnostního incidentu a

c) provedena klasifikace bezpečnostních incidentů a přijata vhodná bezpečnostní opatření pro odvrácení a zmírnění dopadu bezpečnostních incidentů,

b) zajištěno prostředí pro provádění vyhodnocování oznámených bezpečnostních událostí a bezpečnostních událostí detekovaných technickými nástroji a pro identifikaci případných bezpečnostních incidentů,

(6) Pro případ havárie softwarového nebo hardwarového vybavení systému musí být uveden v popisu bezpečnosti systému způsob

d) obnovy funkčnosti systému a uvedení do bezpečného stavu uvedeného v bezpečnostní dokumentaci.

c) zajištění nouzového provozu s vyjmenováním základních funkcí systému, které musí být zachovány, a

b) zajištění servisní činnosti,

a) zálohování a uložení záložních nosičů informací,

c) pravidla pro ověření bezpečnostních opatření zavedených dodavatelem.

a) zásady hodnocení rizik dodavatele,

b) náležitosti smlouvy s dodavatelem, kterými jsou smluvní ujednání o úrovni dodávaných služeb, o realizaci bezpečnostních opatření a o určení vzájemné smluvní odpovědnosti, a

(1) Popis bezpečnosti systému stanoví bezpečnostní funkce pro zajištění ochrany utajovaných informací zpracovávaných použitým softwarovým vybavením.

(2) Je-li v rámci provozu použito virtualizační prostředí, musí splňovat stejné bezpečnostní požadavky jako systémy provozované na jeho platformě.

(1) Vyžaduje-li to činnost, pro kterou je informační systém zřízen, je v systému zajišťována nepopiratelnost provozovatelem informačního systému stanovených jednání či událostí, kterou se rozumí zajištění toho, že lze subjektu systému přičíst jím provedené předání informace nebo provedená změna stavu systému.

(2) Má-li být součástí informačního systému elektronický systém spisové služby sloužící k evidenci utajovaných informací, musí být hodnocení bezpečnosti softwarového vybavení, kterým je realizován, součástí procesu certifikace informačního systému.

(1) Součástí analýzy rizik a popisu bezpečnosti informačního systému je i rozhodnutí Národního úřadu pro kybernetickou a informační bezpečnost o stanovení dalších nutných bezpečnostních funkcí nebo opatření podle § 34 odst. 4 zákona, bylo-li vydáno.

2. výsledek zavedení bezpečnostní funkce nebo opatření a

3. popis problémů nebo negativních dopadů při zavádění bezpečnostní funkce nebo opatření.

c) podrobnosti o zavedení bezpečnostní funkce nebo opatření, kterými jsou

b) jednoznačný identifikátor rozhodnutí podle § 34 odst. 4 zákona a

1. datum a čas zavedení,

(2) Náležitosti oznámení provozovatele certifikovaného informačního systému o zavedení dalších nutných bezpečnostních funkcí nebo opatření podle § 34 odst. 4 zákona jsou

a) identifikační údaje provozovatele certifikovaného informačního systému,