§ 17 · 479/2024 Sb.

(1) Uživatel v dané roli má vždy oprávnění k činnostem v systému pouze v rozsahu nezbytném pro jejich provádění.

a) pracovníka provozní správy s oprávněním administrátora a s oprávněním úplného řízení, nebo

(2) Uživatel systému, který je určen k nakládání s utajovanými informacemi stupně utajení Vyhrazené, Důvěrné nebo Tajné, v roli
musí splňovat podmínky pro přístup fyzické osoby k utajované informaci stupně utajení o jeden stupeň vyšší, nežli je nejvyšší stupeň utajení utajovaných informací, se kterými může systém nakládat.

b) pracovníka bezpečnostní správy celého systému

a) pracovníka provozní správy s oprávněním administrátora a s oprávněním úplného řízení, nebo

b) pracovníka bezpečnostní správy celého systému

musí splňovat podmínky pro přístup fyzické osoby k utajované informaci stupně utajení Přísně tajné.
(3) Uživatel systému, který je určen k nakládání s utajovanými informacemi stupně utajení Přísně tajné, v roli

(4) Splnění požadavku podle odstavce 2 se nevyžaduje u systému
jestliže systém nenakládá s utajovanou informací cizí moci Organizace Severoatlantické smlouvy a se zvážením identifikovaných rizik je v analýze rizik nebo popisu bezpečnosti systému uvedeno jako dostačující splnění podmínek pro přístup fyzické osoby k utajované informaci stupně utajení shodného s nejvyšším stupněm utajení utajovaných informací, se kterými může systém nakládat.

a) malého rozsahu, kterým se rozumí systém mající nejvýše 30 uživatelů, nebo

b) zpracovávajícího pouze taktické utajované informace,

a) pracovníka provozní správy systému s oprávněním administrátora a s omezeným oprávněním řízení systému, zejména správy serverů, správy aplikace nebo lokální správy, nebo

(5) Uživatel v roli
musí splňovat podmínky pro přístup fyzické osoby k utajované informaci stupně utajení shodného s nejvyšším stupněm utajení utajovaných informací, se kterými může systém nakládat.

b) pracovníka bezpečnostní správy systému zajišťujícího dílčí oblast bezpečnosti, zejména určitou bezpečnostní technologii nebo lokální správu,

(6) Roli uživatele systému je na základě autorizace přidělen jedinečný identifikátor. Roli s jedinečným identifikátorem podle věty první může využívat několik uživatelů, je-li to nezbytné pro zajištění nepřetržité dostupnosti systému nebo správy systému a je-li zaveden postup umožňující určit, který uživatel v dané době tuto roli využívá; to musí být popsáno a zdůvodněno v popisu bezpečnosti systému.