Certifikace informačního systému

a) číslo osvědčení podnikatele s uvedením příslušného stupně utajení nebo kopii platného prohlášení podnikatele, je-li žadatelem podnikatel,

e) další podklady obsahující informace, které by mohly mít vliv na posuzování bezpečnosti informačního systému nebo jeho provoz.

(1) Žádost o certifikaci informačního systému obsahuje

(2) K provedení certifikace informačního systému žadatel předloží

c) popis účelu a rozsahu informačního systému,

b) jméno a příjmení kontaktní osoby žadatele a kontaktní spojení, kterým se rozumí alespoň její telefonní číslo a adresa elektronické pošty,

a) žádost o certifikaci informačního systému podle odstavce 1,

f) identifikační údaje dodavatele informačního systému nebo jeho komponent ovlivňujících bezpečnost informačního systému a číslo osvědčení podnikatele s uvedením příslušného stupně utajení nebo kopii platného prohlášení podnikatele, je-li dodavatel podnikatelem.

e) údaj o stanovení bezpečnostního provozního módu informačního systému a

d) údaj o stupni utajení utajovaných informací, se kterými bude informační systém nakládat,

d) popis bezpečnosti vývojového prostředí a

c) provozní bezpečnostní dokumentaci v rozsahu § 36 odst. 3 písm. a),

b) projektovou bezpečnostní dokumentaci podle § 36 odst. 2,

(4) K žádosti žadatel přiloží výsledky dílčích úloh v rámci ověřování způsobilosti informačního systému k nakládání s utajovanými informacemi, provedených orgánem státu, právnickou osobou podle § 60b zákona nebo podnikatelem na základě smlouvy o zajištění činnosti uzavřené s Národním úřadem pro kybernetickou a informační bezpečnost podle § 52 zákona, byly-li tyto dílčí úlohy provedeny.

(5) Zpravodajská služba uvádí v žádosti podle odstavce 1 údaje podle písmen c) až f) pouze v rozsahu, který neohrozí plnění jejích úkolů podle jiného právního předpisu. Zpravodajská služba předkládá podklady podle odstavce 2 pouze v rozsahu, který neohrozí plnění jejích úkolů podle jiného právního předpisu.

(3) K provedení certifikace informačního systému nakládajícího s utajovanými informacemi stupně utajení Důvěrné nebo vyššího žadatel předloží podklady nezbytné k ověření způsobilosti elektrických nebo elektronických zařízení, které jsou součástí informačního systému, k ochraně před únikem utajovaných informací kompromitujícím vyzařováním.

b) správnost a úplnost bezpečnostní dokumentace a

(1) V rámci certifikace informačního systému posuzuje Národní úřad pro kybernetickou a informační bezpečnost

(2) Certifikace informačního systému se provádí na základě předložených podkladů a provedených bezpečnostních testů. Bezpečnostní testy provádí žadatel o certifikaci informačního systému v provozním prostředí hodnoceného informačního systému za spoluúčasti Národního úřadu pro kybernetickou a informační bezpečnost, případně i dodavatele. Provádí-li bezpečnostní testy podle věty druhé zpravodajská služba, spoluúčast Národního úřadu pro kybernetickou a informační bezpečnosti se nevyžaduje.

a) vhodnost navrženého souboru bezpečnostních opatření pro dosažení informační bezpečnosti informačního systému podle § 3,

c) správnost realizace navrženého souboru bezpečnostních opatření v daném informačním systému a její soulad s bezpečnostní dokumentací.

(5) Vzor certifikátu informačního systému je uveden v příloze č. 2 k této vyhlášce.

(4) Dojde-li v informačním systému, který byl certifikován a schválen do provozu, ke změnám uvedeným v § 51 odst. 2, provádí se pouze doplňující posouzení informačního systému v rozsahu provedených změn. Při provádění doplňujícího posouzení informačního systému se postupuje podle odstavce 1 v nezbytném rozsahu. Výsledek doplňujícího posouzení je součástí certifikační zprávy.

(3) Certifikaci informačního systému lze provádět průběžně po ukončení jednotlivých fází výstavby informačního systému nebo až po jejím dokončení, uvede-li to žadatel v žádosti o certifikaci informačního systému podle § 45.

e) typy kryptografických prostředků, jsou-li použity, a způsob, jakým bude zajištěn výkon kryptografické ochrany v souladu s certifikační zprávou kryptografického prostředku.

d) identifikaci přijatelných rizik souvisejících s provozem informačního systému a

c) zásady a podmínky provozování informačního systému, včetně typů změn informačního systému, které vyžadují provedení doplňujícího posouzení informačního systému, a podmínek ukončení jeho provozu,

b) popis informačního systému,

a) identifikaci informačního systému obsahující jeho název, označení verze a stupeň utajení utajovaných informací, pro který byla způsobilost informačního systému ověřena,

d) jméno a příjmení kontaktní osoby provozovatele informačního systému a kontaktní spojení na ni.

b) identifikaci vydaného certifikátu informačního systému obsahující identifikaci jeho držitele, evidenční číslo, datum vydání a dobu platnosti,

(2) Opakovaná žádost o certifikaci informačního systému dále obsahuje návrh změny bezpečnostní dokumentace, pokud ji ke dni ukončení platnosti dosavadního certifikátu provozovatel informačního systému navrhuje.

(1) Opakovaná žádost o certifikaci informačního systému obsahuje

c) identifikaci informačního systému obsahující jeho název, označení verze a stupeň utajení utajovaných informací, pro který byla způsobilost informačního systému ověřena, a

a) číslo osvědčení podnikatele s uvedením příslušného stupně utajení nebo kopii platného prohlášení podnikatele, je-li provozovatelem informačního systému podnikatel,

(4) Pokud v opakované žádosti provozovatel informačního systému navrhuje změnu bezpečnostní dokumentace, je rozsah posuzování podle § 46 odst. 1 písm. a) a b) omezen na tyto navrhované změny.

(6) Zpravodajská služba uvádí v žádosti podle odstavce 1 údaje podle písmen c) a d) pouze v rozsahu, který neohrozí plnění jejích úkolů podle jiného právního předpisu. Zpravodajská služba předkládá podklady podle odstavce 2 pouze v rozsahu, který neohrozí plnění jejích úkolů podle jiného právního předpisu.

(3) Pokud v opakované žádosti provozovatel informačního systému doloží, že ke dni ukončení platnosti dosavadního certifikátu informačního systému bude informační systém provozován za podmínek stanovených v certifikační zprávě a v jeho provozování nenastaly změny, je rozsah posuzování podle § 46 odst. 1 omezen pouze na písmeno c).

(5) Pokud navrhované změny bezpečnostní dokumentace informačního systému jsou podstatné pro celkovou bezpečnost informačního systému, bude Národní úřad pro kybernetickou a informační bezpečnost postupovat jako v případě nové certifikace.