Informační systém

Certifikace informačního systému

Smlouva o zajištění činnosti

Akreditace informačního systému

Podmínky bezpečného provozování informačního systému

c) popis účelu a rozsahu informačního systému,

b) jméno a příjmení kontaktní osoby žadatele a kontaktní spojení, kterým se rozumí alespoň její telefonní číslo a adresa elektronické pošty,

a) číslo osvědčení podnikatele s uvedením příslušného stupně utajení nebo kopii platného prohlášení podnikatele, je-li žadatelem podnikatel,

(1) Žádost o certifikaci informačního systému obsahuje

(2) K provedení certifikace informačního systému žadatel předloží

e) další podklady obsahující informace, které by mohly mít vliv na posuzování bezpečnosti informačního systému nebo jeho provoz.

d) popis bezpečnosti vývojového prostředí a

c) provozní bezpečnostní dokumentaci v rozsahu § 36 odst. 3 písm. a),

b) projektovou bezpečnostní dokumentaci podle § 36 odst. 2,

a) žádost o certifikaci informačního systému podle odstavce 1,

f) identifikační údaje dodavatele informačního systému nebo jeho komponent ovlivňujících bezpečnost informačního systému a číslo osvědčení podnikatele s uvedením příslušného stupně utajení nebo kopii platného prohlášení podnikatele, je-li dodavatel podnikatelem.

e) údaj o stanovení bezpečnostního provozního módu informačního systému a

d) údaj o stupni utajení utajovaných informací, se kterými bude informační systém nakládat,

(5) Zpravodajská služba uvádí v žádosti podle odstavce 1 údaje podle písmen c) až f) pouze v rozsahu, který neohrozí plnění jejích úkolů podle jiného právního předpisu. Zpravodajská služba předkládá podklady podle odstavce 2 pouze v rozsahu, který neohrozí plnění jejích úkolů podle jiného právního předpisu.

(4) K žádosti žadatel přiloží výsledky dílčích úloh v rámci ověřování způsobilosti informačního systému k nakládání s utajovanými informacemi, provedených orgánem státu, právnickou osobou podle § 60b zákona nebo podnikatelem na základě smlouvy o zajištění činnosti uzavřené s Národním úřadem pro kybernetickou a informační bezpečnost podle § 52 zákona, byly-li tyto dílčí úlohy provedeny.

(3) K provedení certifikace informačního systému nakládajícího s utajovanými informacemi stupně utajení Důvěrné nebo vyššího žadatel předloží podklady nezbytné k ověření způsobilosti elektrických nebo elektronických zařízení, které jsou součástí informačního systému, k ochraně před únikem utajovaných informací kompromitujícím vyzařováním.

(2) Certifikace informačního systému se provádí na základě předložených podkladů a provedených bezpečnostních testů. Bezpečnostní testy provádí žadatel o certifikaci informačního systému v provozním prostředí hodnoceného informačního systému za spoluúčasti Národního úřadu pro kybernetickou a informační bezpečnost, případně i dodavatele. Provádí-li bezpečnostní testy podle věty druhé zpravodajská služba, spoluúčast Národního úřadu pro kybernetickou a informační bezpečnosti se nevyžaduje.

c) správnost realizace navrženého souboru bezpečnostních opatření v daném informačním systému a její soulad s bezpečnostní dokumentací.

b) správnost a úplnost bezpečnostní dokumentace a

a) vhodnost navrženého souboru bezpečnostních opatření pro dosažení informační bezpečnosti informačního systému podle § 3,

(1) V rámci certifikace informačního systému posuzuje Národní úřad pro kybernetickou a informační bezpečnost

(4) Dojde-li v informačním systému, který byl certifikován a schválen do provozu, ke změnám uvedeným v § 51 odst. 2, provádí se pouze doplňující posouzení informačního systému v rozsahu provedených změn. Při provádění doplňujícího posouzení informačního systému se postupuje podle odstavce 1 v nezbytném rozsahu. Výsledek doplňujícího posouzení je součástí certifikační zprávy.

(3) Certifikaci informačního systému lze provádět průběžně po ukončení jednotlivých fází výstavby informačního systému nebo až po jejím dokončení, uvede-li to žadatel v žádosti o certifikaci informačního systému podle § 45.

(5) Vzor certifikátu informačního systému je uveden v příloze č. 2 k této vyhlášce.

b) popis informačního systému,

a) identifikaci informačního systému obsahující jeho název, označení verze a stupeň utajení utajovaných informací, pro který byla způsobilost informačního systému ověřena,

c) zásady a podmínky provozování informačního systému, včetně typů změn informačního systému, které vyžadují provedení doplňujícího posouzení informačního systému, a podmínek ukončení jeho provozu,

d) identifikaci přijatelných rizik souvisejících s provozem informačního systému a

e) typy kryptografických prostředků, jsou-li použity, a způsob, jakým bude zajištěn výkon kryptografické ochrany v souladu s certifikační zprávou kryptografického prostředku.

(1) Opakovaná žádost o certifikaci informačního systému obsahuje

(2) Opakovaná žádost o certifikaci informačního systému dále obsahuje návrh změny bezpečnostní dokumentace, pokud ji ke dni ukončení platnosti dosavadního certifikátu provozovatel informačního systému navrhuje.

a) číslo osvědčení podnikatele s uvedením příslušného stupně utajení nebo kopii platného prohlášení podnikatele, je-li provozovatelem informačního systému podnikatel,

b) identifikaci vydaného certifikátu informačního systému obsahující identifikaci jeho držitele, evidenční číslo, datum vydání a dobu platnosti,

c) identifikaci informačního systému obsahující jeho název, označení verze a stupeň utajení utajovaných informací, pro který byla způsobilost informačního systému ověřena, a

d) jméno a příjmení kontaktní osoby provozovatele informačního systému a kontaktní spojení na ni.

(4) Pokud v opakované žádosti provozovatel informačního systému navrhuje změnu bezpečnostní dokumentace, je rozsah posuzování podle § 46 odst. 1 písm. a) a b) omezen na tyto navrhované změny.

(3) Pokud v opakované žádosti provozovatel informačního systému doloží, že ke dni ukončení platnosti dosavadního certifikátu informačního systému bude informační systém provozován za podmínek stanovených v certifikační zprávě a v jeho provozování nenastaly změny, je rozsah posuzování podle § 46 odst. 1 omezen pouze na písmeno c).

(6) Zpravodajská služba uvádí v žádosti podle odstavce 1 údaje podle písmen c) a d) pouze v rozsahu, který neohrozí plnění jejích úkolů podle jiného právního předpisu. Zpravodajská služba předkládá podklady podle odstavce 2 pouze v rozsahu, který neohrozí plnění jejích úkolů podle jiného právního předpisu.

(5) Pokud navrhované změny bezpečnostní dokumentace informačního systému jsou podstatné pro celkovou bezpečnost informačního systému, bude Národní úřad pro kybernetickou a informační bezpečnost postupovat jako v případě nové certifikace.

(2) Žádost dle odstavce 1 obsahuje dále

e) údaje o technickém a organizačním zajištění požadovaných činností.

c) rozsah požadovaných činností,

b) prohlášení odpovědné osoby nebo jí pověřené osoby o splnění požadavků na fyzickou a personální bezpečnost pracoviště,

a) číslo osvědčení podnikatele s uvedením příslušného stupně utajení, je-li žadatelem podnikatel,

a) adresu umístění pracoviště provádějícího požadované činnosti,

b) jméno a příjmení kontaktní osoby žadatele a kontaktní spojení na ni a

c) specifikace činností, které mají být prováděny podle smlouvy o zajištění činnosti.

(1) Žádost o uzavření smlouvy s Národním úřadem pro kybernetickou a informační bezpečnost o zajištění činnosti podle § 52 zákona, jejímž předmětem je provádění dílčích úloh při ověřování způsobilosti informačního systému k nakládání s utajovanými informacemi (dále jen „smlouva o zajištění činnosti“), obsahuje

d) údaje o personálním zabezpečení požadovaných činností a

(2) Pokud Národní úřad pro kybernetickou a informační bezpečnost ověří naplnění bezpečnostních požadavků vyžadovaných bezpečnostní akreditační autoritou cizí moci, předá prohlášení podle odstavce 1 bezpečnostní akreditační autoritě cizí moci.

(1) Akreditaci informačního systému cizí moci provádí Národní úřad pro kybernetickou a informační bezpečnost na žádost, která obsahuje prohlášení o naplnění bezpečnostních požadavků vyžadovaných bezpečnostní akreditační autoritou cizí moci podle příslušného předpisu Evropské unie²) a podle mezinárodní smlouvy³).

(3) Na základě rozhodnutí bezpečnostní akreditační autority cizí moci o akreditaci informačního systému cizí moci Národní úřad pro kybernetickou a informační bezpečnost informační systém cizí moci akredituje.

(4) Pokud má být informační systém cizí moci používán i bezprostředně po uplynutí doby platnosti jeho akreditace, požádá jeho provozovatel o opakovanou akreditaci informačního systému podle odstavce 1 obdobně nejpozději 6 měsíců před koncem platnosti akreditace informačního systému cizí moci.

a) dodržování bezpečnostních opatření,

b) dodržování podmínek provozování informačního systému stanovených v certifikační zprávě a

(1) Podmínky bezpečného provozování informačního systému spočívají v

c) informování Národního úřadu pro kybernetickou a informační bezpečnost o významné změně týkající se provozu informačního systému, která by mohla mít vliv na informační bezpečnost.

(2) Pokud v rámci provozu informačního systému dojde ke změně podle odstavce 1 písmene c) nebo ke změně podle § 47 písm. c), musí být taková změna bez zbytečného odkladu zohledněna v bezpečnostní dokumentaci, zejména v analýze rizik.