Указ No 479 / 2024 Coll.
Ординанс на безпеку інформаційно-комунікаційних систем та іншого електронного обладнання, що обслуговується інформаційною інформацією та на певних елементах запиту на укладання договору про дію (Наказ про захист інформації)
Чинний
Замовити
Чинний від 01.01.2025
Версії тексту:
01.01.2025
27.12.2024
Зміст
ČÁST PRVNÍ
§ 1
§ 2
ČÁST DRUHÁ
§ 3
§ 4
§ 5
§ 6
§ 7
§ 8
§ 9
§ 10
§ 11
§ 12
§ 13
§ 14
§ 15
§ 16
§ 17
§ 18
§ 19
§ 20
§ 21
§ 22
§ 23
§ 24
§ 25
§ 26
§ 27
§ 28
§ 29
§ 30
§ 31
§ 32
§ 33
§ 34
§ 35
ČÁST TŘETÍ
§ 36
§ 37
§ 38
§ 39
§ 40
§ 41
§ 42
§ 43
§ 44
ČÁST ČTVRTÁ
HLAVA I
Díl 1
§ 45
§ 46
§ 47
§ 48
Díl 2
§ 49
Díl 3
§ 50
Díl 4
§ 51
HLAVA II
§ 52
§ 53
§ 54
HLAVA III
§ 55
ČÁST PÁTÁ
§ 56
§ 57
ČÁST ŠESTÁ
§ 58
§ 59
ČÁST SEDMÁ
§ 60
Zobrazeno prvních 200 z celkem 608 ustanovení tohoto předpisu.
Zobrazit celý předpis →
Pro stažení celého znění použijte tlačítko Stáhnout výše.
479
VYHLÁŠKA
ze dne 19. prosince 2024
o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti)
Národní úřad pro kybernetickou a informační bezpečnost stanoví podle § 34 odst. 7, § 35 odst. 6, § 36 odst. 4 a § 53 písm. b) až d) a f) zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění zákona č. 255/2011, zákona č. 205/2017 Sb. a zákona č. 267/2024 Sb., (dále jen „zákon“):
ÚVODNÍ USTANOVENÍ
Předmět úpravy
(1) Tato vyhláška upravuje v návaznosti na předpisy Evropské unie1)
a) požadavky na informační systém nakládající s utajovanými informacemi (dále jen „informační systém“) a podmínky jeho bezpečného provozování v závislosti na stupni utajení utajovaných informací, s nimiž nakládá, a na bezpečnostním provozním módu,
b) obsah bezpečnostní dokumentace informačního systému,
c) náležitosti oznámení provozovatele certifikovaného informačního systému o zavedení dalších nutných bezpečnostních funkcí nebo opatření podle § 34 odst. 7 písm. c) zákona,
d) obsah žádosti o schválení projektu bezpečnosti komunikačního systému nakládajícího s utajovanými informacemi (dále jen „komunikační systém“),
e) náležitosti projektu bezpečnosti komunikačního systému (dále jen „projekt bezpečnosti“) a způsob a podmínky jeho schvalování podle § 35 odst. 6 zákona,
f) způsob a podmínky provádění akreditace informačního systému cizí moci nakládajícího s utajovanými informacemi a provozovaného na území České republiky,
g) náležitosti žádosti a opakované žádosti o certifikaci informačního systému a dokumentaci nezbytnou k provedení certifikace informačního systému,
h) způsob a podmínky provádění certifikace nebo akreditace informačního systému, jejich opakování a obsah certifikační zprávy podle § 46 odst. 13 a
i) vzor certifikátu informačního systému.
(2) Tato vyhláška dále stanoví podmínky bezpečného provozování zařízení, které není součástí informačního nebo komunikačního systému (dále jen „samostatné elektronické zařízení“), a rozsah požadovaných informací podle § 36 odst. 2 písm. b) zákona.
(3) Tato vyhláška dále stanoví náležitosti žádosti o uzavření smlouvy o zajištění činnosti podle § 52 zákona, jejímž předmětem je provádění dílčích úloh při ověřování způsobilosti informačního systému k nakládání s utajovanými informacemi.
Vymezení pojmů
Pro účely této vyhlášky se rozumí
a) objektem informačního systému, komunikačního systému nebo samostatného elektronického zařízení (dále jen „systém“) pasivní prvek, který obsahuje nebo přijímá informaci,
b) subjektem systému aktivní prvek, který způsobuje předání informace mezi objekty systému nebo změnu stavu systému,
c) aktivem systému na základě analýzy rizik definované hardwarové a softwarové vybavení, dokumentace a informace, které jsou v systému uloženy,
d) auditním záznamem záznam systému poskytující bližší informace o události nebo stavu systému nebo o činnosti subjektu systému,
e) autentizací subjektu systému proces ověření předložených identifikačních znaků poskytující záruky, že prohlašovaná identita subjektu systému je pravá,
f) autorizací subjektu systému proces udělení oprávnění subjektu systému k provádění určených operací s určenými objekty systému,
g) informační bezpečností soubor, uspořádání a řízení bezpečnostních opatření, jejichž cílem je zajistit důvěrnost, integritu a dostupnost aktiv systému, a odpovědnost subjektů systému za jejich činnost v systému,
h) komunikační bezpečností bezpečnostní opatření použitá k zajištění bezpečnosti informací v systému při přenosu komunikačním kanálem,
i) komunikačním kanálem prostředí sloužící k přenosu informací mezi objekty systému, případně subjekty systému v rámci jednoho nebo několika propojených systémů,
j) bezpečnostní událostí událost, která může způsobit bezpečnostní incident,
k) bezpečnostním incidentem narušení informační bezpečnosti,
l) uživatelem fyzická osoba jako subjekt systému v určité roli,
m) rolí souhrn určených činností a potřebných oprávnění,
n) nosičem informací zařízení s energeticky nezávislou pamětí, které je určeno výhradně pro použití v provozu systému jako jeho součást, a které není určeno k evidenci nebo doručení adresátovi jako utajovaný dokument v nelistinné podobě podle právního předpisu upravujícího administrativní bezpečnost,
o) řízením přístupu prostředky pro omezení přístupu subjektů systému k objektům systému, zajišťující, že přístup k nim získá jen oprávněný subjekt systému,
p) volitelným řízením přístupu řízení přístupu založené na kontrole přístupových práv subjektu systému k objektu systému, přičemž subjekt systému vybavený určitými přístupovými právy pro přístup k objektu systému může zvolit, které další subjekty systému autorizuje k přístupu k tomuto objektu systému, a může tak ovlivňovat tok informací mezi objekty systému, a
q) povinným řízením přístupu řízení přístupu založené na porovnání stupně utajení utajované informace obsažené v objektu systému a úrovně oprávnění subjektu systému pro přístup k utajované informaci a zajišťující správný tok informací mezi objekty systému s různými stupni utajení nezávisle na volbě učiněné uživatelem.
INFORMAČNÍ BEZPEČNOST
Bezpečnostní požadavky
(1) Bezpečnostní požadavky jsou požadavky na systém, jeho řízení, správu a provoz a na objekty, subjekty a aktiva systému, jejichž cílem je zajištění informační bezpečnosti v oblastech
a) počítačové a komunikační bezpečnosti,
b) kryptografické ochrany,
c) ochrany před únikem utajovaných informací kompromitujícím vyzařováním,
d) administrativní bezpečnosti a organizačních opatření,
e) personální bezpečnosti a
f) fyzické bezpečnosti.
(2) Bezpečnostní požadavky naplňuje provozovatel systému prostřednictvím souboru bezpečnostních opatření specifikovaného v příslušné bezpečnostní dokumentaci, která musí být autorizována odpovědnou osobou, jí pověřenou osobou nebo bezpečnostním ředitelem.
(3) Bezpečnostní opatření musí provozovatel systému nastavit tak, aby rizika, kterým je utajovaná informace v elektronické podobě v systému vystavena, byla snížena na přijatelnou úroveň.
(4) Bezpečnostní opatření realizuje provozovatel systému přednostně zaváděním a prováděním programově technických mechanismů systému (dále jen „bezpečnostní funkce“).
(5) Přijatý soubor bezpečnostních opatření musí být provozovatelem systému řízen tak, aby bylo zajištěno provádění jeho návrhu, implementace, provozování, monitorování, přezkoumávání, udržování a jeho zlepšování.
(6) Bezpečnostní opatření přijatá k zajištění informační bezpečnosti systému musí splňovat alespoň
a) bezpečnostní požadavky uvedené v této vyhlášce,
b) bezpečnostní požadavky uvedené v právním předpise upravujícím ochranu před únikem utajovaných informací kompromitujícím vyzařováním,
c) pravidla pro ochranu utajovaných informací uvedená v právním předpise upravujícím kryptografickou ochranu a
d) výsledky analýzy rizik podle § 38.
Bezpečnostní požadavky v oblasti počítačové bezpečnosti
(1) Systémem musí být zajištěny bezpečnostní funkce
a) identifikace a autentizace subjektu systému, které musí předcházet všem jeho dalším činnostem, a musí být zajištěna ochrana důvěrnosti a integrity autentizační informace, nestanoví-li analýza rizik a popis bezpečnosti systému jinak,
b) volitelného řízení přístupu k objektům systému na základě rozlišování a správy přístupových práv subjektu systému a jeho identity nebo členství ve skupině subjektů se shodným oprávněním,
c) nepřetržitého zaznamenávání událostí, které mohou ovlivnit bezpečnost informací nebo systému, do auditních záznamů a zabezpečení auditních záznamů před neautorizovaným přístupem, změnou nebo zničením; zaznamenává se zejména použití identifikačních a autentizačních informací, pokus o změnu přístupových práv, vytváření nebo rušení objektů systému nebo činnost oprávněných subjektů systému ovlivňující bezpečnost informací nebo systému,
d) schopnosti zkoumání auditních záznamů a stanovení odpovědnosti každého subjektu systému,
e) ošetření paměťových objektů před jejich dalším použitím nebo přidělením jinému subjektu systému, které znemožní zjistit jejich předchozí obsah,
f) ochrany důvěrnosti a integrity dat během přenosu mezi jejich zdrojem a cílem a
g) ochrany před škodlivým kódem.
(2) Bezpečnostní funkce uvedené v odstavci 1 se realizují pomocí identifikovatelných prostředků počítačové bezpečnosti. Úroveň popisu jejich provedení a nastavení uvedené v popisu bezpečnosti systému musí umožnit jejich nezávislé prověření a zhodnocení jejich dostatečnosti.
(3) Mechanismy, jimiž se realizují bezpečnostní funkce uplatňující bezpečnostní politiku, musí být v celém životním cyklu systému chráněny před narušením nebo neautorizovanými změnami.
(4) Provozovatel systému musí zajistit, aby pro nepřetržité zaznamenávání událostí a jejich vyhodnocování bylo nastaveno aktuální datum a čas po celou dobu provozu systému.
(5) Na základě analýzy rizik se u rozsáhlých informačních nebo komunikačních systémů musí využívat technické nástroje pro zaznamenávání událostí, které umožňují i nepřetržité vyhodnocování událostí s cílem identifikace bezpečnostních incidentů včetně včasného varování určených rolí. Rozsáhlým informačním nebo komunikačním systémem se rozumí systém mající nejméně 200 uživatelů.
(1) Bezpečnostní opatření spočívající v zavedení některých bezpečnostních funkcí počítačové bezpečnosti podle § 4 lze v odůvodněných případech nahradit použitím jiných bezpečnostních opatření personální, administrativní a fyzické bezpečnosti anebo použitím vhodných organizačních bezpečnostních opatření.
(2) Při nahrazení bezpečnostních opatření spočívajících v zavedení bezpečnostních funkcí počítačové bezpečnosti náhradním bezpečnostním opatřením podle odstavce 1 musí být zachován účel bezpečnostní funkce a kvalita a úroveň bezpečnosti poskytované nahrazovaným bezpečnostním opatřením.
(3) Nahrazení bezpečnostních opatření spočívajících v zavedení bezpečnostních funkcí počítačové bezpečnosti náhradním bezpečnostním opatřením podle odstavce 1 musí být popsáno a zdůvodněno v analýze rizik nebo popisu bezpečnosti systému.
Systémově závislé bezpečnostní požadavky na informační systém odvozené z bezpečnostního provozního módu
(1) Informační systémy mohou být provozovány pouze v některém z uvedených bezpečnostních provozních módů, jimiž jsou
a) bezpečnostní provozní mód dedikovaný,
b) bezpečnostní provozní mód s nejvyšší úrovní,
c) bezpečnostní provozní mód s nejvyšší úrovní s formálním řízením přístupu k informacím, nebo
d) bezpečnostní provozní mód víceúrovňový.
(2) Bezpečnostní provozní mód dedikovaný je takové prostředí, které umožňuje zpracování utajovaných informací různého stupně utajení, přičemž všechny subjekty informačního systému musí splňovat podmínky pro přístup k utajovaným informacím nejvyššího stupně utajení, se kterými je informační systém určen nakládat, a zároveň musí být oprávněny pracovat se všemi obsaženými utajovanými informacemi. V bezpečnostním provozním módu dedikovaném není zajištěna bezpečnostní funkce podle § 4 odst. 1 písm. b) a e).
(3) Bezpečnostní provozní mód s nejvyšší úrovní je takové prostředí, které umožňuje současné zpracování utajovaných informací různého stupně utajení, ve kterém všechny subjekty informačního systému musí splňovat podmínky pro přístup k utajovaným informacím nejvyššího stupně utajení, přičemž všechny subjekty informačního systému nemusí být oprávněny pracovat se všemi obsaženými utajovanými informacemi.
(4) Bezpečnostní provozní mód s nejvyšší úrovní s formálním řízením přístupu k informacím je takové prostředí, které odpovídá bezpečnostnímu provoznímu módu s nejvyšší úrovní, kde však formální řízení přístupu navíc předpokládá formální centrální správu kontroly přístupu.
(5) Bezpečnostní provozní mód víceúrovňový je takové prostředí, které umožňuje současné zpracování utajovaných informací různého stupně utajení, kde všechny subjekty informačního systému nemusí splňovat podmínky přístupu k utajovaným informacím nejvyššího stupně utajení a nemusí být oprávněny pracovat se všemi utajovanými informacemi. Při provozu v bezpečnostním provozním módu víceúrovňovém musí být zajištěna bezpečnostní funkce povinného řízení přístupu subjektu informačního systému k objektům informačního systému.
(1) Bezpečnostní funkce povinného řízení přístupu subjektů informačního systému k objektům informačního systému musí zabezpečit
a) trvalé spojení každého subjektu a objektu informačního systému s bezpečnostními příznaky, které pro subjekt informačního systému vyjadřují úrovně oprávnění přístupu subjektu informačního systému k objektům informačního systému a pro objekt informačního systému stupeň utajení utajované informace, kterou objekt informačního systému obsahuje nebo přijímá,
b) ochranu integrity bezpečnostního příznaku,
c) výlučné oprávnění bezpečnostního správce k provádění změn bezpečnostních příznaků subjektů i objektů informačního systému a
d) přidělení předem definovaných hodnot bezpečnostních příznaků pro nově vytvořené objekty informačního systému a zachování bezpečnostního příznaku při kopírování objektu informačního systému.
(2) Při uplatňování bezpečnostní funkce povinného řízení přístupu subjektů informačního systému k objektům informačního systému může subjekt informačního systému
a) číst informace v objektu informačního systému pouze tehdy, je-li jeho bezpečnostní příznak stejný nebo vyšší než bezpečnostní příznak objektu informačního systému, a
b) zapisovat informace do objektu informačního systému pouze tehdy, je-li jeho bezpečnostní příznak stejný nebo nižší než bezpečnostní příznak objektu informačního systému.
(3) Subjekt informačního systému může přistupovat k informaci obsažené v objektu informačního systému, jestliže jej povolují jak pravidla povinného řízení přístupu, tak pravidla volitelného řízení přístupu.
(4) Při provozu informačního systému v bezpečnostním provozním módu víceúrovňovém musí být utajovaná informace vystupující z informačního systému přesně označena stupněm utajení a utajované informaci vstupující do informačního systému přiřazen stupeň utajení.
(5) Při provozu informačního systému v bezpečnostním provozním módu víceúrovňovém, ve kterém se nakládá s utajovanou informací stupně utajení Přísně tajné, musí být prověřeno, zda nedochází k nežádoucí výměně informací mezi informačním systémem a okolím způsobem, který není pro komunikaci přímo určen a ani předpokládán, a při kterém dochází k obcházení bezpečnostních mechanismů informačního systému.
Bezpečnostní požadavky v oblasti komunikační bezpečnosti
(1) Při přenosu utajované informace komunikačním kanálem musí být zajištěna ochrana důvěrnosti a integrity této utajované informace prostřednictvím kryptografické ochrany nebo jiných vhodných bezpečnostních opatření tak, aby nebyla ohrožena informační bezpečnost.
(2) U komunikačních kanálů, které jsou vedeny v rámci zabezpečených oblastí nebo objektů, lze přenášené utajované informace chránit kryptografickou ochranou na nižší úrovni, než je pro daný stupeň utajení přenášené utajované informace vyžadováno, nebo lze kryptografickou ochranu utajovaných informací nahradit použitím vhodných bezpečnostních opatření fyzické bezpečnosti.
(3) V závislosti na komunikačním prostředí musí být zajištěna spolehlivá identifikace a autentizace komunikujících subjektů systému, včetně ochrany identifikačních a autentizačních dat. Tato identifikace a autentizace předchází přenosu utajované informace.
(4) Přenos utajované informace komunikačním kanálem vedený mimo zabezpečenou oblast nebo objekt musí být chráněn pomocí kryptografického prostředku certifikovaného alespoň pro stupeň utajení přenášené utajované informace.
(5) Při uplatnění specifických bezpečnostních opatření pro detekci narušení bezpečnosti komunikačního kanálu a bezpečnostních opatření pro zmírnění následků bezpečnostní události přijatých na základě analýzy rizik může Národní úřad pro kybernetickou a informační bezpečnost v rámci certifikace informačního systému nebo schvalování projektu bezpečnosti schválit i odlišný způsob zabezpečení, než je uveden v odstavcích 2 a 4.
(6) Úroveň použité ochrany komunikačních kanálů podle odstavce 1 musí odpovídat úrovni ochrany požadované pro nejvyšší stupeň utajení utajovaných informací, které budou komunikačním kanálem přenášeny.
Bezpečnostní požadavky na bezpečné propojení informačních nebo komunikačních systémů
(1) Komunikační kanál mezi informačními nebo komunikačními systémy, které jsou určeny k nakládání s utajovanými informacemi stejných nebo různých stupňů utajení, případně je-li některý z nich určen pouze k nakládání s neutajovanými informacemi, lze zřídit pouze v případě nezbytné provozní potřeby a jestliže je stanoven způsob jeho ochrany prostřednictvím bezpečnostního rozhraní nebo jiným vhodným bezpečnostním opatřením.
(2) Popis propojení a bezpečnostního rozhraní je součástí popisu bezpečnosti každého propojovaného informačního nebo komunikačního systému.
(3) Propojení informačních nebo komunikačních systémů určených k nakládání s utajovanou informací odlišného stupně utajení musí být provedeno tak, aby mezi nimi bylo zabráněno přenosu utajované informace vyššího stupně utajení, než je stupeň utajení utajované informace, pro který je informační nebo komunikační systém určen.
(4) Mezi propojenými informačními nebo komunikačními systémy musí být komponenty bezpečnostního rozhraní umístěny v zabezpečené oblasti alespoň takové kategorie, jakou je nejvyšší stupeň utajení utajované informace, se kterým je možno nakládat v některém z propojovaných informačních nebo komunikačních systémů.
(5) Správa bezpečnostního rozhraní je zajišťována subjekty toho propojeného informačního nebo komunikačního systému, který je určen k nakládání s vyšším stupněm utajení utajovaných informací. Jsou-li propojené informační nebo komunikační systémy určeny k nakládání s utajovanými informacemi stejného stupně utajení, subjekty propojeného informačního nebo komunikačního systému zajišťující správu bezpečnostního rozhraní stanoví popis bezpečnosti systému.
(1) Informační nebo komunikační systém nesmí být propojen s veřejnou komunikační sítí podle právního předpisu upravujícího elektronické komunikace, ledaže má pro tento účel instalované vhodné bezpečnostní rozhraní.
(2) Bezpečnostní rozhraní podle odstavce 1 musí zamezit průniku do informačního nebo komunikačního systému a musí umožnit pouze kontrolovaný přenos informací, který nenarušuje důvěrnost, integritu a dostupnost informací a služeb tohoto sytému.
(3) Informační nebo komunikační systém určený k nakládání s utajovanou informací stupně utajení Přísně tajné, nebo s utajovanou informací vyžadující zvláštní režim nakládání označenou textem „ATOMAL“, „SIOP“, „CRYPTO“, „BOHEMIA“ nebo „KRYPTO“, nesmí být přímo ani nepřímo propojen s veřejnou komunikační sítí.
(4) Pokud je veřejná komunikační síť využívána výhradně k přenosu informací a přenášené utajované informace jsou chráněny příslušným certifikovaným kryptografickým prostředkem, nepovažuje se takové propojení za propojovací komunikační kanál.
Bezpečnostní požadavky na řízení kapacit a kontinuity
(1) Systém musí zajistit, že požadovaná utajovaná informace je přístupná na stanoveném místě, v požadované formě a v určeném časovém rozmezí.
(2) V rámci zajištění bezpečného provozu popis bezpečnosti systému vymezuje komponenty, které lze nahradit bez omezení kontinuity jeho provozu, a dále rozsah požadované základní funkčnosti a komponenty, při jejichž selhání musí být základní funkčnost zaručena.
(3) Provozovatel systému plánuje kapacity aktiv systému a sleduje kapacitní požadavky tak, aby nedocházelo k chybám způsobeným nedostatkem volných kapacit.
(4) Popis bezpečnosti systému obsahuje plán na obnovení činnosti systému po havárii. V případě havárie může být opětovné uvedení do známého zabezpečeného stavu provedeno automaticky, nebo manuálně provozním správcem. Všechny činnosti, které byly provedeny pro obnovení činnosti, jsou zaznamenány do auditních záznamů chráněných před neoprávněnou modifikací nebo zničením. Pokud činnosti podle věty třetí nelze zaznamenat do auditních záznamů, zaznamenají se do provozního deníku.
Bezpečnostní požadavky na ochranu rozmístitelných nebo mobilních zařízení
(1) Pro rozmístitelné zařízení se v analýze rizik posuzují i rizika, která jsou spojena s prostředím, ve kterém se předpokládá použití tohoto zařízení.
(2) Pro mobilní zařízení se v analýze rizik posuzují i rizika, která jsou spojena s dopravou na místo, kde bude zařízení používáno.
(3) Rozmístitelné nebo mobilní zařízení obsahující utajovaný nosič informací se pro účely bezpečnostních opatření považuje za nosič informací utajovaný podle § 13 odst. 2.
Bezpečnostní požadavky na bezpečnost nosičů informací
(1) Je-li nosič informací utajovaný, musí jeho stupeň utajení odpovídat nejvyššímu stupni utajení utajované informace, kterou lze na nosiči informací uchovávat.
(2) Na nosiči informací musí být uvedeno evidenční označení podle § 42 odst. 4 písm. c) a identifikace provozovatele systému. Informace se na nosič informací vyznačují přímo, pomocí štítku, visačky nebo jiným vhodným způsobem.
(3) V analýze rizik je identifikován nosič informací podle způsobu jeho zapojení do zařízení jako
a) vyjímatelný, pokud jej lze ze zařízení vyjmout i bez nutnosti použití nástroje, aniž by došlo k nevratnému poškození zařízení nebo k poškození ochranného prvku zařízení,
b) vyměnitelný, pokud jej lze ze zařízení vyjmout pouze s použitím nástroje, aniž by došlo k nevratnému poškození zařízení, nebo
c) zabudovaný, pokud jej lze ze zařízení vyjmout pouze způsobem, při němž dojde k nevratnému poškození zařízení.
(4) V případech odůvodněných v popisu bezpečnosti systému lze evidovat a označit stupněm utajení nosič informací umístěný v zařízení nejpozději po prvním otevření zařízení. Zařízení s neevidovaným nosičem informací podle věty první musí splňovat bezpečnostní požadavky podle § 22.
(1) Stupeň utajení nosiče informací stupně utajení Přísně tajné, Tajné nebo se zvláštním režimem nakládání nesmí být zrušen.
(2) Stupeň utajení nosiče informací stupně utajení Přísně tajné, Tajné nebo se zvláštním režimem nakládání může být snížen, pouze pokud je prokázáno, že na něm byly během jeho dosavadního životního cyklu uloženy pouze utajované informace nižšího stupně utajení nevyžadující zvláštní režim nakládání nebo informace neutajované.
(3) Stupeň utajení nosiče informací stupně utajení Důvěrné může být snížen nebo zrušen, pouze pokud
a) vymazání utajovaných informací z něj bylo provedeno způsobem uvedeným v § 15 odst. 1,
b) je prokázáno, že na něm byly během jeho dosavadního životního cyklu uloženy pouze utajované informace nižšího stupně utajení nebo informace neutajované, nebo
c) je prokázáno, že stupeň utajení utajovaných informací uložených na něm během jeho dosavadního životního cyklu byl snížen nebo zrušen.
(4) Stupeň utajení nosiče informací stupně utajení Vyhrazené může být zrušen, pouze pokud
a) vymazání utajovaných informací z něj bylo provedeno způsobem uvedeným v § 15 odst. 1,
b) je prokázáno, že na něm byly během jeho dosavadního životního cyklu uloženy pouze informace neutajované, nebo
c) je prokázáno, že stupeň utajení utajovaných informací uložených na něm během jeho dosavadního životního cyklu byl zrušen.
(5) Stupeň utajení nosiče informací obsahujícího zálohy informací se určuje podle nejvyššího stupně utajení utajovaných informací, se kterými může systém nakládat.
(1) Vymazání utajované informace z nosiče informací, které umožňuje snížení nebo zrušení jeho stupně utajení, musí být provedeno tak, aby znemožnilo z nosiče informací opětovně získat, byť laboratorními metodami, utajovanou informaci na něm uchovanou během jeho dosavadního životního cyklu.
(2) Postup podle odstavce 1 musí být uveden v popisu bezpečnosti systému.
(3) Ničení nosiče informací musí být provedeno v souladu s postupy ničení nosičů informací nebo dat podle právního předpisu upravujícího fyzickou bezpečnost tak, aby znemožnilo z něho opětovně získat, byť laboratorními metodami, utajovanou informaci na něm uchovanou během jeho dosavadního životního cyklu.
(4) Popis bezpečnosti systému stanoví řízení přístupu uživatelů k vyjímatelným nosičům informací a ke vstupně výstupním portům, přes které jsou tyto nosiče informací k zařízení připojovány.
(5) Popis bezpečnosti systému stanoví podmínky přidělování nosiče informací jinému subjektu systému a postupy znemožňující zjistit jejich předchozí obsah.
Bezpečnostní požadavky na přístup uživatele k utajované informaci v systému
(1) Uživatel musí být autorizován postupem stanoveným v popisu bezpečnosti systému.
(2) Uživatel musí splňovat podmínky pro přístup fyzické osoby k utajované informaci stupně utajení, který se stanovuje v závislosti na nejvyšším stupni utajení utajovaných informací, se kterými může systém nakládat. Uživatel v informačním systému musí dále splňovat podmínky pro přístup fyzické osoby k utajované informaci stupně utajení, který se stanovuje v souladu s bezpečnostním provozním módem informačního systému.
(3) Privilegovaným uživatelem se rozumí role uživatele s oprávněními, která mu kromě základního přístupu k poskytovaným službám umožňují i provádění provozní nebo bezpečnostní správy, zejména role pracovníka provozní nebo bezpečnostní správy.
(4) Koncovým uživatelem se rozumí role uživatele s oprávněními, která mu umožňují základní přístup k poskytovaným službám a nakládání s utajovanými informacemi.
(5) Privilegovaný uživatel musí činnost, která není bezpečnostní nebo provozní správou, provádět jako koncový uživatel.
(1) Uživatel v dané roli má vždy oprávnění k činnostem v systému pouze v rozsahu nezbytném pro jejich provádění.
(2) Uživatel systému, který je určen k nakládání s utajovanými informacemi stupně utajení Vyhrazené, Důvěrné nebo Tajné, v roli
a) pracovníka provozní správy s oprávněním administrátora a s oprávněním úplného řízení, nebo
b) pracovníka bezpečnostní správy celého systému
musí splňovat podmínky pro přístup fyzické osoby k utajované informaci stupně utajení o jeden stupeň vyšší, nežli je nejvyšší stupeň utajení utajovaných informací, se kterými může systém nakládat.
(3) Uživatel systému, který je určen k nakládání s utajovanými informacemi stupně utajení Přísně tajné, v roli
a) pracovníka provozní správy s oprávněním administrátora a s oprávněním úplného řízení, nebo
b) pracovníka bezpečnostní správy celého systému
musí splňovat podmínky pro přístup fyzické osoby k utajované informaci stupně utajení Přísně tajné.
(4) Splnění požadavku podle odstavce 2 se nevyžaduje u systému
a) malého rozsahu, kterým se rozumí systém mající nejvýše 30 uživatelů, nebo
b) zpracovávajícího pouze taktické utajované informace,
jestliže systém nenakládá s utajovanou informací cizí moci Organizace Severoatlantické smlouvy a se zvážením identifikovaných rizik je v analýze rizik nebo popisu bezpečnosti systému uvedeno jako dostačující splnění podmínek pro přístup fyzické osoby k utajované informaci stupně utajení shodného s nejvyšším stupněm utajení utajovaných informací, se kterými může systém nakládat.
(5) Uživatel v roli
a) pracovníka provozní správy systému s oprávněním administrátora a s omezeným oprávněním řízení systému, zejména správy serverů, správy aplikace nebo lokální správy, nebo
b) pracovníka bezpečnostní správy systému zajišťujícího dílčí oblast bezpečnosti, zejména určitou bezpečnostní technologii nebo lokální správu,
musí splňovat podmínky pro přístup fyzické osoby k utajované informaci stupně utajení shodného s nejvyšším stupněm utajení utajovaných informací, se kterými může systém nakládat.
(6) Roli uživatele systému je na základě autorizace přidělen jedinečný identifikátor. Roli s jedinečným identifikátorem podle věty první může využívat několik uživatelů, je-li to nezbytné pro zajištění nepřetržité dostupnosti systému nebo správy systému a je-li zaveden postup umožňující určit, který uživatel v dané době tuto roli využívá; to musí být popsáno a zdůvodněno v popisu bezpečnosti systému.
Bezpečnostní požadavky na bezpečnostní a provozní správu
(1) Popis bezpečnosti systému stanoví vhodnou strukturu bezpečnostní a provozní správy. V rámci struktury bezpečnostní správy zavede provozovatel systému roli bezpečnostního správce odděleně od jiných rolí správy, pokud není dále stanoveno jinak. V rámci struktury provozní správy zavede provozovatel systému roli provozního správce.
(2) Bezpečnostní správce je uživatel v roli pracovníka správy s oprávněními, která mu kromě základního přístupu k poskytovaným službám umožňují i provádění činností k zajištění bezpečnosti systému.
(3) Provozní správce je uživatel v roli pracovníka správy s oprávněními, která mu kromě základního přístupu k poskytovaným službám umožňují i provádění činností k zajištění požadované funkčnosti systému a řízení jeho provozu.
(4) V případě potřeby zajistit stanovený rozsah činností k zajištění bezpečnosti nebo provozuschopnosti systému zavede provozovatel systému organizační strukturu bezpečnostních nebo provozních správců nebo další role v bezpečnostní nebo provozní správě.
(5) Výkon bezpečnostní správy spočívá v
a) přidělování přístupových práv,
b) správě autentizačních a autorizačních informací,
c) správě konfigurace systému,
d) správě a vyhodnocování auditních záznamů,
Зміст
ČÁST PRVNÍ
§ 1
§ 2
ČÁST DRUHÁ
§ 3
§ 4
§ 5
§ 6
§ 7
§ 8
§ 9
§ 10
§ 11
§ 12
§ 13
§ 14
§ 15
§ 16
§ 17
§ 18
§ 19
§ 20
§ 21
§ 22
§ 23
§ 24
§ 25
§ 26
§ 27
§ 28
§ 29
§ 30
§ 31
§ 32
§ 33
§ 34
§ 35
ČÁST TŘETÍ
§ 36
§ 37
§ 38
§ 39
§ 40
§ 41
§ 42
§ 43
§ 44
ČÁST ČTVRTÁ
HLAVA I
Díl 1
§ 45
§ 46
§ 47
§ 48
Díl 2
§ 49
Díl 3
§ 50
Díl 4
§ 51
HLAVA II
§ 52
§ 53
§ 54
HLAVA III
§ 55
ČÁST PÁTÁ
§ 56
§ 57
ČÁST ŠESTÁ
§ 58
§ 59
ČÁST SEDMÁ
§ 60
Увійдіть для нотаток, обраного та сповіщень
Інформація про нормативний акт
| Цитування | Указ No 479 / 2024 Coll., про безпеку інформаційних та комунікаційних систем та інших електронних пристроїв, що використовуються на офіційному веб-сайті, та про певні деталі застосування для укладення договору про дію (Наказ про захист інформації) |
|---|---|
| Тип нормативного акту | Замовити |
| Автор | - |
| Збірка | Збірка законів |
| Дата оприлюднення | 27.12.2024 |
|---|---|
| Чинний від | 01.01.2025 |
| Чинний до | - |
| Стан | Чинний |
Публічні договори 1
Smlouva o dílo-VN Brno- nemocniční informační systém
Vojenská nemocnice Brno
STAPRO s. r. o.
60 500 000 крон
24.06.2025
Джерело:
Hlídač státu
(CC BY 3.0 CZ)
Текст нормативного акту має інформаційний характер.
Коментарі 0