56 / 1999 Z. z.
Nariadenie Národného bezpečnostného úradu o bezpečnosti systémov utajovaných skutočností, ich požiadavkách na osvedčovanie a certifikáciu
Platný
Uznesenie
Účinnosť od 30.03.1999
Verzie znenia:
30.03.1999
Zobrazeno prvních 200 z celkem 250 ustanovení tohoto předpisu.
Zobrazit celý předpis →
Pro stažení celého znění použijte tlačítko Stáhnout výše.
56
VYHLÁSENIE
Národný bezpečnostný úrad
z 19. marca 1999
o bezpečnosti informačných systémov narábajúcich s utajovanými skutočnosťami, vykonávajúcich ich požiadavky na osvedčovanie a osvedčovanie
Národný bezpečnostný úrad (ďalej len "úrad") stanovuje podľa § 51 ods. 3 a § 53 ods. 3 zákona č. 148 / 1998 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých aktov (ďalej len "zákon"):
Predmet úpravy
V tomto dekréte sa stanovujú bezpečnostné požiadavky na informačné systémy, ktoré manipulujú s utajovanými skutočnosťami (ďalej len "informačný systém"), minimálne požiadavky v oblasti počítačovej bezpečnosti, ako aj postupy a postupy certifikačného procesu informačných systémov a podrobnosti o osvedčení.
Vymedzenie pojmov
Na účely tohto dekrétu:
a) aktíva hardvérového informačného systému, softvéru, utajovaných utajovaných skutočností klasifikovaných ako utajované utajované skutočnosti ("utajované skutočnosti") uložené v informačnom systéme a dokumentácii informačného systému;
(b) objektom informačného systému (ďalej len "predmet") pasívny prvok informačného systému, ktorý obsahuje alebo prijíma informácie;
(c) subjekt informačného systému (ďalej len "subjekt") aktívny prvok informačného systému, ktorý spôsobuje prenos informácií medzi objektmi alebo zmeny v stave systému;
d) analýza rizík procesu, počas ktorého sa aktíva informačného systému, hrozby pre aktíva informačného systému, jeho zraniteľnosť, pravdepodobnosť realizácie hrozby a odhad jej dôsledkov;
(e) audítorský záznam udalostí, ktoré môžu ovplyvniť bezpečnosť informačného systému;
f) autentifikáciou subjektu proces overovania jeho totožnosti, ktorá spĺňa požadovanú úroveň záruky;
(g) povolenie subjektu udeliť určité práva na vykonávanie určených činností;
(h) bezpečnostný mechanizmus na vykonávanie bezpečnostnej funkcie;
i) spôsob prevádzky bezpečnostnej ochrany životného prostredia, v ktorom informačný systém funguje, charakterizovaný stupňom utajenia utajovaných skutočností a úrovňou povolenia používateľa;
(j) dôvernosťou utajovaných skutočností, jej majetku, ktorý znemožňuje odhaliť utajované skutočnosti neoprávnenému subjektu;
(k) fyzickej bezpečnosti informačného systému opatrení používaných na zabezpečenie fyzickej ochrany aktív informačného systému pred náhodnými alebo úmyselnými hrozbami;
(l) integritu majetku informačného systému, majetku, ktorý umožňuje, aby sa jeho zmena uskutočnila určitým spôsobom a iba oprávneným subjektom;
(m) opatrenia komunikačnej bezpečnosti používané na zabezpečenie ochrany utajovaných skutočností pri prenose telekomunikačných kanálov;
počítačová bezpečnosť informačného systému poskytovaná jeho technickými a programovými prostriedkami;
(o) povinné riadenie prístupu znamená obmedzenie prístupu subjektov k predmetom založeným na porovnaní úrovne utajovaných skutočností obsiahnutej v predmete a úrovne povolenia subjektu na prístup k utajovaným skutočnostiam a zabezpečenie správneho toku informácií medzi predmetmi rôznych úrovní utajenia nezávisle od rozhodnutia užívateľa;
(p) riziku pre informačný systém o pravdepodobnosti ohrozenia, ktoré využíva zraniteľnosť informačného systému;
(r) úlohu zhrnutia určených činností a potrebné povolenia pre používateľov v informačnom systéme;
(s) prístupového manažmentu prostriedkov na obmedzenie prístupu subjektov k objektom, pričom sa zabezpečí, aby k nim získal prístup len oprávnený používateľ alebo proces;
t) voliteľné prostriedky riadenia prístupu, ktoré obmedzujú prístup k objektom subjektmi založenými na kontrole prístupových práv subjektu k objektu, pričom užívateľ vybavený určitými prístupovými právami na prístup k objektu si môže vybrať, do ktorého iného subjektu prevedie prístupové práva k tomuto objektu, a teda môže ovplyvniť tok informácií medzi objektmi.
Bezpečnostné požiadavky na informačné systémy
Bezpečnosť informačných systémov
(1) Bezpečnosť informačného systému pozostáva zo systému opatrení z oblasti:
(a) bezpečnosť počítačov a komunikácie;
b) administratívne bezpečnostné a organizačné opatrenia;
(c) personálna bezpečnosť;
(d) fyzická bezpečnosť informačného systému.
(2) Systém činnosti uvedený v odseku 1 je špecifikovaný v dokumentácii o bezpečnosti informačného systému.
Dokumentácia o bezpečnosti informačného systému
(1) Bezpečnostnú dokumentáciu informačného systému tvoria:
(a) projektovú bezpečnostnú dokumentáciu informačného systému;
(b) prevádzkovú bezpečnostnú dokumentáciu informačného systému.
(2) Bezpečnostná dokumentácia projektu informačného systému obsahuje:
(a) bezpečnostnú politiku informačného systému a hodnotenie analýzy rizík;
(b) návrh bezpečnostných opatrení pre rôzne fázy návrhu informačného systému;
(c) dokumentáciu na skúšky bezpečnosti informačného systému.
(3) Dokumentácia prevádzkovej bezpečnosti informačného systému obsahuje:
a) smernicu o bezpečnosti informačných systémov, v ktorej sa opisujú činnosti správcu bezpečnosti v príslušnom informačnom systéme;
(b) bezpečnostné smernice pre jednotlivé typy používateľov informačného systému.
(4) Bezpečnostná dokumentácia uvedená v odsekoch 2 a 3 písm. a) sa klasifikuje a identifikuje podľa stupňa utajenia, ktorý je identický s najvyššou úrovňou utajenia utajovaných skutočností, s ktorými sa manipuluje prostredníctvom informačného systému.
Požiadavky na prístup k utajovaným skutočnostiam v informačnom systéme
(1) Prístup k utajovaným skutočnostiam v informačnom systéme sa môže udeliť len označenej osobe oprávnenej na takýto prístup. Autorizácia je založená na jedinečnom užívateľskom identifikátore v rámci informačného systému.
(2) Prístup k utajovaným skutočnostiam v informačnom systéme sa môže udeliť len tým osobám, ktoré nevyhnutne potrebujú takýto prístup na vykonávanie svojich činností. Takéto osoby sú oprávnené len v rozsahu potrebnom na vykonávanie ich určených činností v informačnom systéme.
Požiadavka na zodpovednosť za činnosti v informačnom systéme
(1) Užívatelia informačného systému sú zodpovední za plnenie svojich povinností zabezpečiť bezpečnosť informačného systému. Tieto povinnosti sa stanovia v prevádzkovej bezpečnostnej dokumentácii informačného systému vrátane určenia zodpovednosti za ochranu jednotlivých aktív informačného systému.
(2) V informačnom systéme sa zavádza úloha bezpečnostného správcu informačného systému oddelene od úlohy správcu informačného systému.
(3) Úloha bezpečnostného správcu informačného systému zahŕňa výkon bezpečnostného riadenia informačného systému, ktorý pozostáva najmä z prideľovania prístupových práv, riadenia autentifikačných a povoľovacích informácií, hodnotenia audítorských záznamov, aktualizácie bezpečnostných smerníc, prípravy správy o bezpečnostných incidentoch a iných činností stanovených v prevádzkovej bezpečnostnej dokumentácii informačného systému.
(4) Informácie o činnosti subjektu v informačnom systéme sa zaznamenávajú takým spôsobom, aby narušenie bezpečnosti alebo pokusy o informačný systém mohli byť priradené konkrétnemu používateľovi v každej jeho úlohe v informačnom systéme. Záznamy sa uchovávajú počas obdobia stanoveného v bezpečnostnej politike informačného systému.
Žiadosť o informácie o označení klasifikácie
Utajované skutočnosti, ktoré sa v akejkoľvek forme objavujú z informačného systému, sa identifikujú príslušnou úrovňou utajenia tak, aby sa zabezpečila úroveň dôvernosti, ktorá je stanovená pri každom následnom zaobchádzaní s týmito informáciami.
Politika bezpečnosti informačných systémov
(1) Pre každý informačný systém musí byť bezpečnostná politika informačného systému vypracovaná už v počiatočnom štádiu jeho vývoja. Bezpečnostná politika informačného systému pozostáva zo súboru noriem, pravidiel a postupov, ktoré definujú, ako sa má zabezpečiť dôvernosť, integrita a dostupnosť utajovaných skutočností a zodpovednosť používateľa za jeho činnosť v informačnom systéme. Zásady bezpečnostnej politiky sú vypracované v projekte informačného systému a v prevádzkovej bezpečnostnej dokumentácii.
(2) Bezpečnostná politika informačného systému musí byť spracovaná v súlade s právnymi predpismi a medzinárodnými zmluvami, ktorými je Česká republika viazaná, a s bezpečnostnou politikou nadriadeného orgánu, ak bola spracovaná.
(3) Medzinárodné štandardizované bezpečnostné špecifikácie 1)
Požiadavky na tvorbu politiky bezpečnosti informačných systémov
Bezpečnostná politika informačného systému sa formuluje na základe:
(a) minimálne bezpečnostné požiadavky v oblasti počítačovej bezpečnosti;
(b) systémovo závislé bezpečnostné požiadavky, požiadavky používateľov a výsledky analýzy rizík;
(c) prípadných bezpečnostných požiadaviek bezpečnostnej politiky nadriadeného orgánu.
Minimálne bezpečnostné požiadavky v oblasti počítačovej bezpečnosti
(1) Informačný systém narábajúci s utajovanými skutočnosťami úrovne "dôverného" alebo vyššej obsahuje tieto minimálne bezpečnostné funkcie:
(a) jednoznačnú identifikáciu a autentifikáciu používateľa, ktorá musí zabrániť všetkým ostatným činnostiam používateľov v informačnom systéme a zabezpečiť dôvernosť a integritu autentifikačných informácií;
(b) voliteľné riadenie prístupu k objektom na základe rozlišovania a riadenia práv na prístup používateľov a ich identity alebo členstva v skupine používateľov;
(c) nepretržité zaznamenávanie udalostí, ktoré môžu ovplyvniť bezpečnosť informačného systému v audítorských záznamoch a bezpečnosť audítorských záznamov pred neoprávneným prístupom, najmä úpravou alebo zničením. Zaznamená sa najmä používanie identifikačných a autentifikačných informácií, pokusy preskúmať prístupové práva, vytvoriť alebo narušiť predmet alebo činnosť oprávnených používateľov, ktoré ovplyvňujú bezpečnosť informačného systému,
(d) možnosť preskúmania audítorských záznamov a určenia zodpovednosti jednotlivého používateľa informačného systému;
e) spracovanie pamäťových objektov pred ich ďalším použitím, najmä pred pridelením inému orgánu, čo znemožňuje určiť ich predchádzajúci obsah;
(f) ochranu dôvernosti údajov počas sieťového prenosu s potrebou chrániť utajované skutočnosti v procese prenosu medzi zdrojom a cieľom vhodným spôsobom.
(2) S cieľom zabezpečiť minimálne bezpečnostné funkcie uvedené v odseku 1 sa do informačného systému zavádzajú identifikovateľné programové technické mechanizmy. Ich vykonávanie a prevádzkové nastavenia sú zdokumentované tak, aby ich bolo možné nezávisle skontrolovať a posúdiť ich primeranosť.
(3) Bezpečnostné mechanizmy, ktoré uplatňujú bezpečnostnú politiku informačného systému, musia byť chránené pred poruchami alebo neoprávnenými zmenami počas celého životného cyklu informačného systému.
(4) V informačnom systéme, ktorý sa zaoberá len utajovanými skutočnosťami na úrovni "vyhradeného" sa zabezpečí zodpovednosť používateľa za jeho činnosť v informačnom systéme a prístup k utajovaným skutočnostiam sa umožní na základe zásady prístupu k informáciám. Bezpečnostné funkcie uvedené v odseku 1, ako aj opatrenia týkajúce sa personálu, administratívnej a fyzickej bezpečnosti informačných systémov sa používajú primeraným spôsobom.
Systémovo závislé bezpečnostné požiadavky odvodené z bezpečnostného prevádzkového režimu
(1) Informačné systémy sa môžu prevádzkovať len v jednom z týchto režimov bezpečnostnej prevádzky:
(a) prevádzkový režim so zníženou bezpečnosťou;
(b) vysokoúrovňový bezpečnostný prevádzkový režim;
(c) viacúrovňový bezpečnostný prevádzkový režim.
(2) Rezervovaný bezpečnostný prevádzkový režim je prostredie, v ktorom je informačný systém určený výlučne na spracovanie jedného špecializovaného typu utajovaných skutočností, pričom všetci používatelia sú určení na prístup k utajovaným skutočnostiam najvyššej úrovne, ktoré sa nachádzajú v informačnom systéme, a zároveň sú oprávnení pracovať so všetkými utajovanými skutočnosťami obsiahnutými v informačnom systéme. Bezpečnosť informačného systému prevádzkovaného v rezervovanom bezpečnostnom prevádzkovom režime sa zabezpečuje dodržiavaním minimálnych bezpečnostných požiadaviek v oblasti počítačovej bezpečnosti uvedených v článku 10 ods. 1 písm. a), c), d) a f), ako aj opatrení v oblasti administratívnej, personálnej a fyzickej bezpečnosti informačných systémov. Úroveň opatrení uplatňovaných z týchto oblastí a opatrenia na zabezpečenie dôvernosti údajov počas prenosu musia zodpovedať úrovni požadovanej pre najvyššiu úroveň utajovaných skutočností, s ktorými informačný systém manipuluje.
(3) Vysokoúrovňový bezpečnostný prevádzkový režim je prostredie, ktoré umožňuje súčasné spracovanie utajovaných utajovaných utajovaných utajovaných skutočností, ktoré sú klasifikované ako utajované utajované utajované skutočnosti, v ktorých musia byť všetci používatelia určení na prístup k utajovaným skutočnostiam najvyššej úrovne obsiahnutým v informačnom systéme, zatiaľ čo všetci používatelia nesmú byť oprávnení na zaobchádzanie so všetkými utajovanými skutočnosťami. Bezpečnosť informačného systému, ktorý sa prevádzkuje v prevádzkovom režime vysokej úrovne bezpečnosti, sa zabezpečí splnením minimálnych bezpečnostných požiadaviek v oblasti počítačovej bezpečnosti uvedených v oddiele 10, ako aj opatrení v oblasti administratívnej, personálnej a fyzickej bezpečnosti informačných systémov. Úroveň opatrení uplatňovaných z týchto oblastí a opatrenia na zabezpečenie dôvernosti údajov počas prenosu musia zodpovedať úrovni požadovanej pre najvyššiu úroveň utajovaných skutočností, s ktorými informačný systém manipuluje.
(4) Viacúrovňový bezpečnostný prevádzkový režim je prostredie, ktoré umožňuje súčasné spracovanie utajovaných utajovaných utajovaných utajovaných skutočností klasifikovaných ako utajované utajované utajované skutočnosti v jednom informačnom systéme, v ktorom všetci používatelia nemajú v úmysle pracovať s utajovanými skutočnosťami najvyššej úrovne obsiahnutými v informačnom systéme, zatiaľ čo všetci používatelia nesmú byť oprávnení pracovať so všetkými utajovanými skutočnosťami. Bezpečnosť informačného systému prevádzkovaného vo viacúrovňovom bezpečnostnom režime sa zabezpečuje opatreniami uvedenými v odseku 3 a bezpečnostnou funkciou povinného riadenia prístupu predmetov k predmetom. Úroveň administratívnej a personálnej bezpečnosti, fyzická bezpečnosť informačných systémov a opatrenia na zabezpečenie dôvernosti údajov počas prenosu sa určia na základe zásady riadenia povinného prístupu.
(5) Funkcie povinného riadenia prístupu subjektov k predmetom musia zabezpečiť:
(a) trvalé prepojenie medzi každým subjektom a objektom s atribútom cenných papierov, ktorý vyjadruje účtovnej jednotke úroveň schválenia účtovnej jednotky a úroveň jej klasifikácie pre daný objekt;
b) ochrana integrity bezpečnostného atribútu;
(c) výhradné povolenie správcu bezpečnostného informačného systému na vykonávanie zmien bezpečnostných atribútov subjektov aj objektov;
d) priraďovanie preddefinovaných hodnôt atribútov pre novovytvorené objekty a udržiavanie atribútu pri kopírovaní objektu.
(6) Pri uplatňovaní bezpečnostnej funkcie povinného riadenia prístupu subjektov k predmetom sa zabezpečia tieto zásady:
(a) subjekt môže čítať informácie v predmete len vtedy, ak jeho úroveň povolenia je rovnaká alebo vyššia ako úroveň utajenia predmetu;
(b) subjekt môže vložiť informácie do predmetu len vtedy, ak sa úroveň jeho povolenia rovná úrovni utajenia objektu alebo je nižšia;
(c) prístup k informáciám obsiahnutým v objekte je možný, ak to povoľujú pravidlá riadenia povinného prístupu a pravidlá riadenia voliteľného prístupu.
(7) Informačný systém prevádzkovaný vo viacúrovňovom bezpečnostnom režime musí byť schopný presne uviesť klasifikáciu utajovaných skutočností pochádzajúcich z informačného systému a umožniť klasifikáciu utajovaných skutočností vstupujúcich do informačného systému.
(8) V prípade informačného systému prevádzkovaného vo viacúrovňovom bezpečnostnom prevádzkovom režime a zaobchádzaného s utajovanými utajovanými utajovanými skutočnosťami "Top Secret" sa musí vykonať identifikácia a analýza skrytých kanálov. Skrytý kanál je neprípustná komunikácia, prostredníctvom ktorej sa utajované skutočnosti dostanú k neoprávnenému subjektu.
Požiadavky na bezpečnosť v prostredí počítačovej siete závislé od systému
(1) Pri prenose utajovaných skutočností prostredníctvom komunikačného kanála sa zabezpečí dôvernosť a integrita.
(2) Kryptografická ochrana je základným prostriedkom na zabezpečenie dôvernosti utajovaných skutočností pri prenose prostredníctvom komunikačného kanála.
(3) Základnými prostriedkami na zabezpečenie integrity utajovaných skutočností pri prenose prostredníctvom komunikačného kanála je spoľahlivá detekcia úmyselných aj náhodných zmien utajovaných skutočností.
(4) V závislosti od komunikačného prostredia je zabezpečená spoľahlivá identifikácia a autentifikácia komunikačných strán vrátane ochrany identifikačných a autentifikačných informácií. Táto identifikácia a autentifikácia zabráni prenosu utajovaných skutočností.
(5) Pripojenie siete pod kontrolou riadenia informačného systému k externej sieti, ktorá nie je pod kontrolou riadenia informačného systému, sa zabezpečí vhodným bezpečnostným rozhraním s cieľom zabrániť prieniku do informačného systému.
Požiadavky na prístup k utajovaným skutočnostiam a službám informačného systému
(1) Informačný systém musí zabezpečiť, aby boli požadované utajované skutočnosti prístupné na určenom mieste v požadovanej forme a v stanovenom časovom rozsahu.
(2) Aby sa zabezpečila bezpečná prevádzka informačného systému, v bezpečnostnej politike informačného systému sa špecifikujú komponenty, ktoré musia byť vymeniteľné bez prerušenia informačného systému. Ďalej sa vymedzuje rozsah požadovanej minimálnej funkčnosti informačného systému a uvádzajú sa komponenty, pre ktoré musí byť zaručená minimálna funkčnosť informačného systému.
(3) Plánovanie aktív informačného systému a monitorovanie požiadaviek na kapacitu sa vykonáva takým spôsobom, aby sa zabránilo chybám spôsobeným ich nedostatkom.
(4) Musí sa vypracovať plán obnovy činností po havárii informačného systému. Opätovné zavedenie informačného systému do známeho bezpečného stavu môže vykonávať manuálne správca informačného systému alebo automaticky. Všetky činnosti vykonávané na obnovu informačného systému sa spravidla zaznamenávajú do audítorských záznamov chránených pred neoprávnenou úpravou alebo zničením.
Systémovo závislé bezpečnostné požiadavky odvodené z analýzy rizika
(1) Na určenie ohrozenia aktív informačného systému sa musí vykonať analýza rizík.
(2) Pri analýze rizík sú vymedzené aktíva informačného systému a identifikované hrozby, ktoré ovplyvňujú jednotlivé aktíva informačného systému. Zohľadnia sa najmä hrozby, ktoré spôsobujú stratu funkčnosti alebo bezpečnosti informačného systému.
(3) Po zistení hrozieb sa zraniteľné miesta informačného systému identifikujú tak, aby sa každá hrozba považovala za zraniteľnú alebo postihnutú.
(4) Výsledkom analýzy rizík je zoznam hrozieb, ktoré môžu ohroziť informačný systém, pričom sa uvedie zodpovedajúce riziko.
(5) Na základe vykonanej analýzy rizík sa vyberú vhodné protiopatrenia.
Možnosť výmeny počítačových bezpečnostných zariadení
V prípade neprimeraných nákladov na zabezpečenie bezpečnostnej funkcie informačného systému sa prostriedky počítačovej bezpečnosti môžu nahradiť prostriedkami personálnej alebo administratívnej bezpečnosti, fyzickej bezpečnosti informačných systémov alebo organizačných opatrení. Pri nahradení počítačových bezpečnostných zariadení alternatívnym bezpečnostným mechanizmom alebo skupinou mechanizmov určených na zabezpečenie bezpečnostnej funkcie sa musia dodržiavať tieto zásady:
(a) musí sa úplne zaviesť funkcia bezpečnosti;
(b) musí sa zachovať kvalita a úroveň bezpečnostnej funkcie.
Požiadavky na fyzickú bezpečnosť informačných systémov
(1) Aktíva informačného systému sa musia umiestniť do zabezpečenej oblasti, v ktorej je zabezpečená fyzická ochrana informačného systému pred neoprávneným prístupom, poškodením a vplyvom. Tento priestor je definovaný vymedzenými ochrannými prvkami s primeranými kontrolami prístupu a bezpečnostnými bariérami.
(2) Aktíva informačného systému musia byť fyzicky chránené pred bezpečnostnými hrozbami a environmentálnymi rizikami.
(3) Umiestnenie majetku informačného systému musí zabrániť neoprávnenému prečítaniu utajovaných skutočností.
(4) Telekomunikačná infraštruktúra, ktorá prenáša údaje alebo podporuje služby informačného systému, musí byť chránená pred možnosťou zachytávania a poškodzovania prenášaných utajovaných skutočností.
(5) Fyzická bezpečnosť informačných systémov sa doplní opatreniami vecnej alebo technickej bezpečnosti.
Ochrana pred parazitným žiarením
(1) Zložky informačného systému, ktoré manipulujú s utajovanými skutočnosťami, musia byť chránené pred parazitickým elektromagnetickým žiarením, ktoré by mohlo spôsobiť zverejnenie utajovaných skutočností.
(2) Úroveň bezpečnosti závisí od stupňa utajenia utajovaných skutočností, s ktorými manipuluje informačný systém.
Požiadavky na bezpečnosť médií utajovaných skutočností
(1) Všetky médiá systému utajovaných skutočností sa musia zaregistrovať.
(2) Výmenné médium utajovaných skutočností sa identifikuje aj spôsobom určeným pre utajované skutočnosti nepapierovej povahy.
(3) Úroveň utajenia vymeniteľného média utajovaných skutočností, ktorá bola klasifikovaná ako "Top Secret," sa nezníži.
(4) Úroveň utajenia vymeniteľného média utajovaných skutočností, ktoré boli klasifikované ako "tajné," "dôverné" alebo "vyhradené," sa môže znížiť, len ak sa vymazanie utajovaných skutočností vykonalo spôsobom stanoveným v odseku 5.
(5) Vymazanie utajovaných skutočností z vymeniteľného média utajovaných skutočností, ktoré umožňuje zníženie stupňa ich utajenia, sa vykoná takým spôsobom, aby nebolo možné alebo veľmi ťažké získať reziduálne utajované skutočnosti pomocou osobitných laboratórnych metód a prostriedkov.
(6) Zničenie média utajovaných skutočností do informačného systému sa vykoná takým spôsobom, aby ho nebolo možné z neho žiadnym spôsobom získať.
Ochrana utajovaných skutočností v samostatných osobných počítačoch
(1) V štátnom orgáne alebo organizácii možno bezpečnostnú politiku pre samostatné osobné počítače, ktoré manipulujú s utajovanými skutočnosťami, vypracovať jednotným spôsobom, najmä pre správu utajovaných skutočností prostredníctvom textových editorov, tabuliek, databázových systémov s miestnymi databázami alebo špecializovaných programov inštalovaných na samostatných osobných počítačoch.
(2) Systém opatrení používaných na celkovú ochranu samostatného osobného počítača je založený na koncepcii takého zariadenia ako média utajovaných skutočností klasifikovaných podľa najvyššej úrovne utajenia utajovaných skutočností, s ktorými sa manipuluje prostredníctvom samostatného osobného počítača.
Požiadavky na ochranu mobilných a prenosných informačných systémov
(1) V prípade mobilných a prenosných informačných systémov analýza rizík posúdi aj riziká spojené s dopravnými prostriedkami pre mobilné informačné systémy a prenosné informačné systémy s prostredím, v ktorom sa takéto informačné systémy budú používať.
(2) Ochrana komponentu mobilného a prenosného informačného systému obsahujúceho utajované skutočnosti je založená na koncepcii takejto zložky ako média utajovanej utajovanej utajovanej utajovanej skutočnosti touto zložkou.
Žiadosť o testovanie bezpečnosti informačného systému
(1) Bezpečnosť informačného systému sa musí overiť skúškou pred osvedčovaním. Testovanie vykonáva komisia, ktorej členovia nesmú byť zaujatí vo vzťahu k informačnému systému a vývojovému tímu tým, že sa zúčastňujú na vývoji informačného systému, majú osobný záujem o výsledky testovania alebo ich spájajú s vývojovým tímom s osobným alebo pracovným a iným podobným vzťahom. Utajované skutočnosti sa na skúšanie nepoužívajú.
(2) Výsledky skúšok musia preukázať, že bezpečnostné funkcie sú plne v súlade s bezpečnostnou politikou informačného systému. Výsledky skúšok sa zdokumentujú. Chyby zistené počas testovania sa musia odstrániť a ich odstránenie sa musí overiť následnými testami.
Bezpečnostné požiadavky na prevádzkovaný informačný systém
(1) Bezpečnosť prevádzkovaného informačného systému sa musí priebežne kontrolovať a vyhodnocovať s prihliadnutím na skutočný stav informačného systému. Čiastočná zmena informačného systému sa môže vykonať až po posúdení vplyvu tejto zmeny na bezpečnosť informačného systému.
(2) Integrita softvéru a utajovaných skutočností musí byť chránená pred škodlivým softvérom.
(3) V prevádzkovom informačnom systéme sa môže používať len softvér, ktorý dodal prevádzkovateľ informačného systému.
(4) Software a utajované skutočnosti sa zálohujú v operačnom informačnom systéme. Zálohovanie softvéru a utajovaných skutočností sa uloží takým spôsobom, aby sa pri ohrození informačného systému nemohlo poškodiť alebo zničiť.
(5) Činnosť služieb v prevádzkovanom informačnom systéme sa musí organizovať tak, aby nebola ohrozená jej bezpečnosť. Médiá utajovaných skutočností informačného systému prístupné počas servisných činností sa vymažú a diaľkové diagnostiky sa zabezpečia proti zneužitiu.
(6) V čase uvedenom v dokumentácii o bezpečnosti informačného systému a v čase vzniku krízovej situácie sa bezodkladne vykoná hodnotenie audítorských záznamov. Záznamy o audite sa uchovávajú počas obdobia uvedeného v bezpečnostnej dokumentácii informačného systému.
(7) S cieľom riešiť núdzovú situáciu v prevádzkovanom informačnom systéme sa musia prijať opatrenia zamerané na jeho uvedenie do známeho bezpečného stavu v dokumentácii o bezpečnosti informačného systému. Bezpečnostná dokumentácia informačného systému obsahuje tieto opatrenia:
a) opatrenia bezprostredne po krízovej situácii zamerané na minimalizáciu škôd;
(b) opatrenia po krízovej situácii zamerané na riešenie dôsledkov krízovej situácie vrátane vymedzenia osobnej zodpovednosti za každú úlohu;
(c) spôsobu zálohovania informačného systému;
(d) spôsob poskytovania služieb;
e) prostriedky na zabezpečenie núdzovej prevádzky informačného systému so zoznamom minimálnych funkcií, ktoré sa majú udržiavať;
(f) spôsob obnovenia funkčnosti a uvedenia informačného systému do známeho bezpečného stavu.
(8) Pred zničením informačného systému sa vykoná odstránenie, vymazanie alebo zničenie utajovaných skutočností, s ktorými sa informačný systém zaobchádza.
Požiadavky na bezpečnosť personálu pri prevádzke informačného systému
(1) Užívateľ informačného systému musí mať povolenie na prevádzku v informačnom systéme a toto povolenie sa musí zmeniť pri zmene jeho úlohy v informačnom systéme alebo v prípade, že informačný systém prestane existovať.
(2) Prevádzkovateľ informačného systému musí zabezpečiť, aby používatelia informačného systému boli vyškolení v súlade s opatreniami stanovenými v dokumentácii o bezpečnosti informačného systému a správnom používaní informačného systému.
Certifikácia informačných systémov
Postup a spôsob certifikácie informačného systému
(1) Žiadosť o certifikáciu informačného systému predkladá úradu orgán štátu alebo organizácie, ktorý bude prevádzkovať informačný systém (ďalej len "žiadateľ").
(2) Žiadosť uvedená v odseku 1 obsahuje:
(a) stručný opis účelu a rozsahu informačného systému vrátane určenia jeho normálnych a minimálnych funkcií;
(b) klasifikácia utajovaných skutočností, s ktorými sa bude zaobchádzať;
(c) vytvorenie bezpečnostného prevádzkového režimu informačného systému;
(d) identifikácia dodávateľa informačného systému.
(3) Úrad vypracuje zoznam podporných dokumentov na overenie spôsobilosti informačného systému na spracovanie utajovaných skutočností (ďalej len "hodnotenie") a harmonogram ich predkladania žiadateľom. Na vykonanie hodnotenia žiadateľ vždy poskytne tieto podporné dokumenty:
(a) bezpečnostnú politiku informačného systému a výsledky analýzy rizík;
(b) návrh bezpečnosti informačného systému;
Prihláste sa pre poznámky, obľúbené a upozornenia
Informácie o predpise
| Citácia | Vyhláška Národného bezpečnostného úradu č. 56 / 1999 Z. z. o bezpečnosti systémov utajovaných skutočností, ich požiadavkách na certifikáciu a certifikáciu |
|---|---|
| Typ predpisu | Uznesenie |
| Autor | - |
| Zbierka | Zbierka zákonov |
| Dátum vyhlásenia | 30.03.1999 |
|---|---|
| Účinnosť od | 30.03.1999 |
| Účinnosť do | - |
| Stav | Platný |
Znenie predpisu má informatívny charakter.
Komentáre 0