OBSAH DOKUMENTACE

(1) Bezpečnostní dokumentaci systému tvoří

(2) Projektová bezpečnostní dokumentace obsahuje

(3) Provozní bezpečnostní dokumentace obsahuje

(1) Bezpečnostní politika

(2) U informačního systému musí být bezpečnostní politika průběžně přezkoumávána, vyhodnocována a aktualizována, nejpozději však bezprostředně před podáním opakované žádosti o certifikaci podle § 48.

(1) Pro účely analýzy rizik se rozumí

(2) Analýza rizik vychází z bezpečnostní politiky a u informačního systému i ze stanoveného bezpečnostního provozního módu.

(3) Analýza rizik obsahuje

(4) U informačního systému musí být analýza rizik přezkoumávána, vyhodnocována a aktualizována, nejpozději však bezprostředně před podáním opakované žádosti o certifikaci podle § 48.

(1) Popis bezpečnosti systému popisuje aplikaci bezpečnostních opatření navržených v analýze rizik pro splnění požadavků definovaných v bezpečnostní politice, včetně řešení kryptografické ochrany, pokud je aplikována. Popis bezpečnosti systému musí být konkrétní a přesný.

(2) U rozsáhlých systémů lze popis bezpečnosti systému rozdělit do několika samostatných dokumentů, které popisují konkrétní řešení jednotlivých částí systému, zpravidla na úrovni poskytovaných služeb.

(1) Pro každou definovanou roli v systému musí být zpracována provozní bezpečnostní směrnice.

(2) Provozní bezpečnostní směrnice pro každou roli stanoví

(3) Provozní bezpečnostní směrnice pro roli koncového uživatele obsahuje také

(1) Veškerá aktiva systému musí být evidována v evidenci aktiv.

(2) Záznam v evidenci aktiv musí obsahovat přesný název, typ, sériové nebo výrobní číslo aktiva a další informace, které umožní jednoznačnou identifikaci evidovaného aktiva.

(3) Evidovaná hmotná aktiva musí být, kromě výjimek uvedených v bezpečnostní dokumentaci, označena tak, aby byla jednoznačně určena jejich příslušnost k systému.

(4) Evidence nosičů informací obsahuje položky:

(5) Evidence nosičů informací může být vedena i samostatně mimo provozní bezpečnostní dokumentaci. Způsob vedení evidence nosičů informací podle věty první je uveden v bezpečnostní dokumentaci.

(1) Každý uživatel musí být evidován v evidenci uživatelů.

(2) Evidence uživatelů obsahuje

(3) V případě, že má uživatel přístup k utajované informaci podle § 58 zákona, nebo k utajované informaci stupně utajení Vyhrazené podle § 58a zákona, jsou tyto údaje uvedeny v evidenci uživatelů.

(1) Provozní deník slouží k řízení změn v systému a jejich zadokumentování. Do provozního deníku se zaznamenávají zejména změny prováděné v systému pracovníky správy.

(2) Provozní deník lze vést i v elektronické podobě, je-li zabezpečen proti neoprávněnému přístupu nebo zásahu a prokazatelným způsobem zaznamenává všechny v něm prováděné změny.

a) projektová bezpečnostní dokumentace a

b) provozní bezpečnostní dokumentace.

a) bezpečnostní politiku,

b) analýzu rizik,

c) popis bezpečnosti systému a

d) dokumentaci k bezpečnostním testům.

a) provozní bezpečnostní směrnice pro každou zavedenou roli,

b) evidence aktiv systému, zejména nosičů informací,

c) evidenci uživatelů,

d) provozní deníky a

e) další provozní bezpečnostní dokumentaci definovanou v projektové bezpečnostní dokumentaci.

a) je tvořena souborem obecných pravidel a postupů, který vymezuje způsob, jakým má být zajištěna informační bezpečnost a odpovědnost uživatele za jeho činnost v systému, který je konkretizován jako bezpečnostní opatření v popisu bezpečnosti systému,

b) obsahuje prohlášení odpovědné osoby nebo bezpečnostního ředitele o naplnění požadavků právních předpisů z oblasti ochrany utajovaných informací a

c) stanoví způsob zajištění pravosti a nepopiratelnosti informací, je-li to nutné.

a) hrozbou potenciální příčina bezpečnostního incidentu,

b) zranitelností slabé místo aktiva systému, které může být využito hrozbou,

c) rizikem kombinace pravděpodobnosti události a jejího následku jako souhrnu možností, že hrozba využije zranitelnost a způsobí škodu.

a) provozovatelem systému stanovenou metodiku pro identifikaci a hodnocení aktiv systému a pro identifikaci a hodnocení rizik včetně stanovených kritérií pro přijatelnost rizik,

b) identifikaci a hodnocení aktiv systému z hlediska hrozeb, zranitelností a dopadů,

c) kvantifikaci rizik, která zohledňuje hrozby, zranitelnosti a dopady,

d) určenou a akceptovatelnou míru rizika a

e) přehled navržených bezpečnostních opatření.

a) práva uživatele v roli,

b) povinnosti uživatele v roli,

c) zakázané činnosti uživatele v roli a

d) postupy spojené s povinnostmi, právy a zakázanými činnostmi podle písmen a) až c).

a) stručný a zjednodušený popis systému včetně jeho rozsahu a případného umístění,

b) definici a klasifikaci krizových situací včetně základního popisu toho, jak se koncový uživatel podílí na jejich řešení,

c) definici a klasifikaci bezpečnostních událostí a incidentů včetně základního popisu toho, jak se koncový uživatel podílí na jejich řešení,

d) definici kompromitace utajované informace při použití kryptografického prostředku včetně základního popisu toho, jak se uživatel podílí na řešení,

e) způsob manipulace s nosiči informací a způsob jejich používání,

f) pravidla provádění tisku a

g) způsob používání specifického softwarového vybavení.

a) pořadové číslo,

b) stupeň utajení nebo informaci o tom, že nosič informací je neutajovaný,

c) evidenční označení, které tvoří zkratka stupně utajení, je-li nosič informací utajovaný, nebo zkratka informace o tom, že nosič informací je neutajovaný, pořadové číslo, rok zavedení do evidence a identifikaci provozovatele systému,

d) datum zavedení do evidence,

e) typ nosiče informací,

f) jednoznačný identifikátor nosiče informací, kterým je zpravidla sériové číslo, a

g) jméno, příjmení a podpis uživatele, kterému byl nosič informací přidělen, datum převzetí, datum vrácení nosiče informací a jméno, příjmení a podpis uživatele, kterému byl nosič informací vrácen.

a) jméno a příjmení uživatele,

b) údaje o oznámení o splnění podmínek pro přístup k utajované informaci stupně utajení Vyhrazené, zejména datum jeho vydání; to neplatí, má-li uživatel přístup k utajované informaci stupně utajení Vyhrazené podle § 58a zákona,

c) údaje o osvědčení fyzické osoby, bylo-li uživateli vydáno, kterými se rozumí číslo osvědčení, datum vydání, doba platnosti osvědčení a nejvyšší stupeň utajení utajovaných informací, ke kterým osvědčení umožňuje přístup,

d) údaje o osvědčení fyzické osoby pro cizí moc, bylo-li uživateli vydáno, kterými se rozumí číslo osvědčení, datum vydání, doba platnosti osvědčení a nejvyšší stupeň utajení utajovaných informací, ke kterým osvědčení umožňuje přístup, a

e) údaje o roli, kterou byl uživatel pověřen, zejména o rozsahu jeho oprávnění, datu pověření a datu zrušení pověření a datu proškolení podle § 19 odst. 5.