CERTIFIKACE A AKREDITACE INFORMAČNÍHO SYSTÉMU A SCHVALOVÁNÍ PROJEKTU BEZPEČNOSTI

Informační systém

Komunikační systém

Certifikace informačního systému

Smlouva o zajištění činnosti

Akreditace informačního systému

Podmínky bezpečného provozování informačního systému

Posuzování modulů

d) údaj o stupni utajení utajovaných informací, se kterými bude informační systém nakládat,

e) další podklady obsahující informace, které by mohly mít vliv na posuzování bezpečnosti informačního systému nebo jeho provoz.

d) popis bezpečnosti vývojového prostředí a

c) provozní bezpečnostní dokumentaci v rozsahu § 36 odst. 3 písm. a),

b) projektovou bezpečnostní dokumentaci podle § 36 odst. 2,

a) žádost o certifikaci informačního systému podle odstavce 1,

f) identifikační údaje dodavatele informačního systému nebo jeho komponent ovlivňujících bezpečnost informačního systému a číslo osvědčení podnikatele s uvedením příslušného stupně utajení nebo kopii platného prohlášení podnikatele, je-li dodavatel podnikatelem.

e) údaj o stanovení bezpečnostního provozního módu informačního systému a

c) popis účelu a rozsahu informačního systému,

b) jméno a příjmení kontaktní osoby žadatele a kontaktní spojení, kterým se rozumí alespoň její telefonní číslo a adresa elektronické pošty,

a) číslo osvědčení podnikatele s uvedením příslušného stupně utajení nebo kopii platného prohlášení podnikatele, je-li žadatelem podnikatel,

(1) Žádost o certifikaci informačního systému obsahuje

(2) K provedení certifikace informačního systému žadatel předloží

(4) K žádosti žadatel přiloží výsledky dílčích úloh v rámci ověřování způsobilosti informačního systému k nakládání s utajovanými informacemi, provedených orgánem státu, právnickou osobou podle § 60b zákona nebo podnikatelem na základě smlouvy o zajištění činnosti uzavřené s Národním úřadem pro kybernetickou a informační bezpečnost podle § 52 zákona, byly-li tyto dílčí úlohy provedeny.

(5) Zpravodajská služba uvádí v žádosti podle odstavce 1 údaje podle písmen c) až f) pouze v rozsahu, který neohrozí plnění jejích úkolů podle jiného právního předpisu. Zpravodajská služba předkládá podklady podle odstavce 2 pouze v rozsahu, který neohrozí plnění jejích úkolů podle jiného právního předpisu.

(3) K provedení certifikace informačního systému nakládajícího s utajovanými informacemi stupně utajení Důvěrné nebo vyššího žadatel předloží podklady nezbytné k ověření způsobilosti elektrických nebo elektronických zařízení, které jsou součástí informačního systému, k ochraně před únikem utajovaných informací kompromitujícím vyzařováním.

(2) Certifikace informačního systému se provádí na základě předložených podkladů a provedených bezpečnostních testů. Bezpečnostní testy provádí žadatel o certifikaci informačního systému v provozním prostředí hodnoceného informačního systému za spoluúčasti Národního úřadu pro kybernetickou a informační bezpečnost, případně i dodavatele. Provádí-li bezpečnostní testy podle věty druhé zpravodajská služba, spoluúčast Národního úřadu pro kybernetickou a informační bezpečnosti se nevyžaduje.

(1) V rámci certifikace informačního systému posuzuje Národní úřad pro kybernetickou a informační bezpečnost

c) správnost realizace navrženého souboru bezpečnostních opatření v daném informačním systému a její soulad s bezpečnostní dokumentací.

b) správnost a úplnost bezpečnostní dokumentace a

a) vhodnost navrženého souboru bezpečnostních opatření pro dosažení informační bezpečnosti informačního systému podle § 3,

(3) Certifikaci informačního systému lze provádět průběžně po ukončení jednotlivých fází výstavby informačního systému nebo až po jejím dokončení, uvede-li to žadatel v žádosti o certifikaci informačního systému podle § 45.

(5) Vzor certifikátu informačního systému je uveden v příloze č. 2 k této vyhlášce.

(4) Dojde-li v informačním systému, který byl certifikován a schválen do provozu, ke změnám uvedeným v § 51 odst. 2, provádí se pouze doplňující posouzení informačního systému v rozsahu provedených změn. Při provádění doplňujícího posouzení informačního systému se postupuje podle odstavce 1 v nezbytném rozsahu. Výsledek doplňujícího posouzení je součástí certifikační zprávy.

d) identifikaci přijatelných rizik souvisejících s provozem informačního systému a

c) zásady a podmínky provozování informačního systému, včetně typů změn informačního systému, které vyžadují provedení doplňujícího posouzení informačního systému, a podmínek ukončení jeho provozu,

b) popis informačního systému,

e) typy kryptografických prostředků, jsou-li použity, a způsob, jakým bude zajištěn výkon kryptografické ochrany v souladu s certifikační zprávou kryptografického prostředku.

a) identifikaci informačního systému obsahující jeho název, označení verze a stupeň utajení utajovaných informací, pro který byla způsobilost informačního systému ověřena,

a) číslo osvědčení podnikatele s uvedením příslušného stupně utajení nebo kopii platného prohlášení podnikatele, je-li provozovatelem informačního systému podnikatel,

(1) Opakovaná žádost o certifikaci informačního systému obsahuje

(2) Opakovaná žádost o certifikaci informačního systému dále obsahuje návrh změny bezpečnostní dokumentace, pokud ji ke dni ukončení platnosti dosavadního certifikátu provozovatel informačního systému navrhuje.

b) identifikaci vydaného certifikátu informačního systému obsahující identifikaci jeho držitele, evidenční číslo, datum vydání a dobu platnosti,

c) identifikaci informačního systému obsahující jeho název, označení verze a stupeň utajení utajovaných informací, pro který byla způsobilost informačního systému ověřena, a

d) jméno a příjmení kontaktní osoby provozovatele informačního systému a kontaktní spojení na ni.

(5) Pokud navrhované změny bezpečnostní dokumentace informačního systému jsou podstatné pro celkovou bezpečnost informačního systému, bude Národní úřad pro kybernetickou a informační bezpečnost postupovat jako v případě nové certifikace.

(6) Zpravodajská služba uvádí v žádosti podle odstavce 1 údaje podle písmen c) a d) pouze v rozsahu, který neohrozí plnění jejích úkolů podle jiného právního předpisu. Zpravodajská služba předkládá podklady podle odstavce 2 pouze v rozsahu, který neohrozí plnění jejích úkolů podle jiného právního předpisu.

(3) Pokud v opakované žádosti provozovatel informačního systému doloží, že ke dni ukončení platnosti dosavadního certifikátu informačního systému bude informační systém provozován za podmínek stanovených v certifikační zprávě a v jeho provozování nenastaly změny, je rozsah posuzování podle § 46 odst. 1 omezen pouze na písmeno c).

(4) Pokud v opakované žádosti provozovatel informačního systému navrhuje změnu bezpečnostní dokumentace, je rozsah posuzování podle § 46 odst. 1 písm. a) a b) omezen na tyto navrhované změny.

d) údaje o personálním zabezpečení požadovaných činností a

c) rozsah požadovaných činností,

b) prohlášení odpovědné osoby nebo jí pověřené osoby o splnění požadavků na fyzickou a personální bezpečnost pracoviště,

a) adresu umístění pracoviště provádějícího požadované činnosti,

b) jméno a příjmení kontaktní osoby žadatele a kontaktní spojení na ni a

c) specifikace činností, které mají být prováděny podle smlouvy o zajištění činnosti.

a) číslo osvědčení podnikatele s uvedením příslušného stupně utajení, je-li žadatelem podnikatel,

(1) Žádost o uzavření smlouvy s Národním úřadem pro kybernetickou a informační bezpečnost o zajištění činnosti podle § 52 zákona, jejímž předmětem je provádění dílčích úloh při ověřování způsobilosti informačního systému k nakládání s utajovanými informacemi (dále jen „smlouva o zajištění činnosti“), obsahuje

(2) Žádost dle odstavce 1 obsahuje dále

e) údaje o technickém a organizačním zajištění požadovaných činností.

(1) Akreditaci informačního systému cizí moci provádí Národní úřad pro kybernetickou a informační bezpečnost na žádost, která obsahuje prohlášení o naplnění bezpečnostních požadavků vyžadovaných bezpečnostní akreditační autoritou cizí moci podle příslušného předpisu Evropské unie²) a podle mezinárodní smlouvy³).

(2) Pokud Národní úřad pro kybernetickou a informační bezpečnost ověří naplnění bezpečnostních požadavků vyžadovaných bezpečnostní akreditační autoritou cizí moci, předá prohlášení podle odstavce 1 bezpečnostní akreditační autoritě cizí moci.

(3) Na základě rozhodnutí bezpečnostní akreditační autority cizí moci o akreditaci informačního systému cizí moci Národní úřad pro kybernetickou a informační bezpečnost informační systém cizí moci akredituje.

(4) Pokud má být informační systém cizí moci používán i bezprostředně po uplynutí doby platnosti jeho akreditace, požádá jeho provozovatel o opakovanou akreditaci informačního systému podle odstavce 1 obdobně nejpozději 6 měsíců před koncem platnosti akreditace informačního systému cizí moci.

(1) Podmínky bezpečného provozování informačního systému spočívají v

(2) Pokud v rámci provozu informačního systému dojde ke změně podle odstavce 1 písmene c) nebo ke změně podle § 47 písm. c), musí být taková změna bez zbytečného odkladu zohledněna v bezpečnostní dokumentaci, zejména v analýze rizik.

c) informování Národního úřadu pro kybernetickou a informační bezpečnost o významné změně týkající se provozu informačního systému, která by mohla mít vliv na informační bezpečnost.

b) dodržování podmínek provozování informačního systému stanovených v certifikační zprávě a

a) dodržování bezpečnostních opatření,

(1) Projekt bezpečnosti obsahuje bezpečnostní dokumentaci, a to alespoň v rozsahu § 36 odst. 2 písm. a) až c) a odst. 3 písm. a).

(2) Popis bezpečnosti podle § 39 obsahuje pro komunikační systém popis

c) bezpečnostních opatření a zásad provozních postupů, jejichž naplňováním bude zajištěna informační bezpečnost.

b) bezpečnostní správy kryptografické ochrany v souladu s certifikační zprávou kryptografického prostředku a

a) způsobu, jakým bude zajištěn výkon kryptografické ochrany v souladu s certifikační zprávou kryptografického prostředku,

a) požadavky uvedené v § 41 a

b) popis konkrétních provozních postupů pro zajištění bezpečnostní správy komunikačního systému a výkonu kryptografické ochrany.

(3) Bezpečnostní směrnice jednotlivých rolí obsahují pro komunikační systém

(4) Popis bezpečnosti komunikačního systému, který pro zajištění komunikace a řízení používá prvky výpočetní techniky, musí obsahovat popis komunikační infrastruktury a popis informační infrastruktury.

(1) Žádost o schválení projektu bezpečnosti obsahuje

c) název komunikačního systému a popis jeho účelu a rozsahu včetně stanovení jeho běžných provozních funkcí,

a) jméno a příjmení kontaktní osoby žadatele a kontaktní spojení na ni,

b) číslo osvědčení podnikatele s uvedením příslušného stupně utajení nebo kopii platného prohlášení podnikatele, je-li provozovatelem komunikačního systému podnikatel,

e) identifikační údaje dodavatele jednotlivých komponent komunikačního systému majících vliv na bezpečnost komunikačního systému a číslo osvědčení podnikatele s uvedením příslušného stupně utajení nebo kopii platného prohlášení podnikatele, je-li dodavatel podnikatelem, a

d) údaj o stupni utajení utajovaných informací, se kterými bude komunikační systém nakládat,

f) projekt bezpečnosti.

(2) Ke schválení projektu bezpečnosti komunikačního systému nakládajícího s utajovanými informacemi stupně utajení Důvěrné nebo vyššího žadatel předloží podklady nezbytné k ověření způsobilosti elektrických nebo elektronických zařízení, které jsou součástí komunikačního systému, k ochraně před únikem utajovaných informací kompromitujícím vyzařováním.

(3) Pokud žadatel poskytuje jednotlivé části projektu bezpečnosti v průběhu jeho schvalování postupně, musí je předkládat v pořadí podle § 36.

(4) Zpravodajská služba uvádí v žádosti podle odstavce 1 údaje podle písmen c) až f) pouze v rozsahu, který neohrozí plnění jejích úkolů podle jiného právního předpisu. Zpravodajská služba předkládá podklady podle odstavce 2 pouze v rozsahu, který neohrozí plnění jejích úkolů podle jiného právního předpisu.

(1) V rámci schvalování projektu bezpečnosti posuzuje Národní úřad pro kybernetickou a informační bezpečnost

c) správnost realizace navrženého souboru bezpečnostních opatření v daném komunikačním systému a její soulad s bezpečnostní dokumentací.

b) správnost a úplnost bezpečnostní dokumentace a

a) vhodnost navrženého souboru bezpečnostních opatření pro dosažení informační bezpečnosti komunikačního systému podle § 3,

(2) Schvalování projektu bezpečnosti se provádí posouzením podkladů předložených provozovatelem komunikačního systému a posouzením správnosti realizace projektu bezpečnosti Národním úřadem pro kybernetickou a informační bezpečnost v provozním prostředí schvalovaného komunikačního systému.

(3) Schvalování projektu bezpečnosti lze provádět průběžně po ukončení jednotlivých fází výstavby komunikačního systému nebo až po jejím celkovém dokončení, podle požadavků žadatele, zažádá-li o to v žádosti o schválení projektu bezpečnosti podle § 53.

(4) Zjistí-li Národní úřad pro kybernetickou a informační bezpečnost při schvalování projektu bezpečnosti způsobilost hodnoceného komunikačního systému k nakládání s utajovanými informacemi, vydá rozhodnutí o schválení projektu bezpečnosti.

(5) Dojde-li v komunikačním systému ke změnám, které mají vliv na informační bezpečnost komunikačního systému, provádí se doplňující posouzení projektu bezpečnosti v rozsahu potřebném k posouzení provedených změn. Při provádění doplňujícího posouzení projektu bezpečnosti se postupuje obdobně jako při schvalování projektu bezpečnosti.

(1) V rámci certifikace informačního systému nebo schvalování projektu bezpečnosti lze rozdělit existující informační nebo komunikační systém na moduly, které mohou být bez dalšího posuzování obdobně použity i v jiných informačních nebo komunikačních systémech podle § 46 nebo 54 při zachování stejné úrovně informační bezpečnosti.

(2) Modul je funkční celek tvořený
jestliže má jasně definované hranice určující způsob jeho začlenění do systému.

c) kombinací softwarového a hardwarového vybavení, zejména bezpečnostním oddělovacím blokem,

b) hardwarovým vybavením, zejména zástavbou kryptografického prostředku v systému, nebo

a) softwarovým vybavením, zejména elektronickým systémem spisové služby, sloužícím k evidenci utajovaných informací,

a) byl posouzen a použit v již existujícím systému podle § 46 nebo 54 a

(3) Národní úřad pro kybernetickou a informační bezpečnost při posuzování jiného systému podle § 46 odst. 3 a § 54 odst. 1 a 2 nehodnotí modul, jestliže modul

b) má být obdobně použit v jiném systému ve stejné konfiguraci a za stejných podmínek jako v jiném již existujícím systému podle písmene a).