aktivem informačního systému hardware, software, informace klasifikované stupněm utajení utajované skutečnosti (dále jen „utajovaná informace“), které jsou uloženy v informačním systému, a dokumentace informačního systému,

objektem informačního systému (dále jen „objekt“) pasivní prvek informačního systému, který obsahuje nebo přijímá informaci,

subjektem informačního systému (dále jen „subjekt“) aktivní prvek informačního systému, který způsobuje předání informace mezi objekty nebo změnu stavu systému,

analýzou rizik proces, během něhož jsou zjišťována aktiva informačního systému, hrozby působící na aktiva informačního systému, jeho zranitelná místa, pravděpodobnost realizace hrozeb a odhad jejich následků,

auditním záznamem záznam o událostech, které mohou ovlivnit bezpečnost informačního systému,

autentizací subjektu proces ověření jeho identity splňující požadovanou míru záruky,

autorizací subjektu udělení určitých práv pro vykonávání určených aktivit,

bezpečnostním mechanismem realizace bezpečnostní funkce,

bezpečnostním provozním módem prostředí, ve kterém informační systém pracuje, charakterizované stupněm utajení zpracovávané utajované informace a úrovněmi oprávnění uživatelů,

důvěrností utajované informace její vlastnost, která znemožňuje odhalení utajované informace neoprávněnému subjektu,

fyzickou bezpečností informačního systému opatření použitá k zajištění fyzické ochrany aktiv informačního systému proti náhodným nebo úmyslným hrozbám,

integritou aktiva informačního systému vlastnost, která umožňuje provedení jeho změny určeným způsobem a pouze oprávněným subjektem,

komunikační bezpečností opatření použitá k zajištění ochrany utajované informace při přenosu telekomunikačními kanály,

počítačovou bezpečností bezpečnost informačního systému zajišťovaná jeho technickými a programovými prostředky,

povinným řízením přístupu prostředky pro omezení přístupu subjektů k objektům, založené na porovnání stupně utajení utajované informace obsažené v objektu a úrovně oprávnění subjektu pro přístup k utajované informaci a zajišťující správný tok informací mezi objekty s různými stupni utajení, nezávisle na volbě učiněné uživatelem,

rizikem pro informační systém pravděpodobnost, že určitá hrozba využije zranitelných míst informačního systému,

rolí souhrn určených činností a potřebných autorizací pro uživatele v informačním systému,

řízením přístupu prostředky pro omezení přístupu subjektů k objektům, zajišťující, že přístup k nim získá jen autorizovaný uživatel nebo proces,

volitelným řízením přístupu prostředky omezení přístupu subjektů k objektům, založené na kontrole přístupových práv subjektu k objektu, přičemž uživatel vybavený určitými přístupovými právy pro přístup k objektu může zvolit, na které další subjekty přenese přístupová práva k tomuto objektu, a může tak ovlivňovat tok informace mezi objekty․

Bezpečnost informačního systému tvoří systém opatření z oblasti:

Systém opatření uvedený v odstavci 1 je specifikován v bezpečnostní dokumentaci informačního systému.

Bezpečnostní dokumentaci informačního systému tvoří:

Projektová bezpečnostní dokumentace informačního systému musí obsahovat:

Provozní bezpečnostní dokumentace informačního systému musí obsahovat:

Bezpečnostní dokumentace uvedená v odstavci 2 a odstavci 3 písm. a) se klasifikuje a označuje stupněm utajení shodným s nejvyšším stupněm utajení utajované informace, se kterou informační systém nakládá.

Přístup k utajované informaci v informačním systému lze umožnit pouze určené osobě, která byla pro tento přístup autorizována. Autorizace je založena na jedinečném identifikátoru uživatele v rámci informačního systému.

Přístup k utajované informaci v informačním systému může být umožněn jen pro ty osoby, které tento přístup nezbytně nutně potřebují k výkonu své činnosti. Těmto osobám se udělí oprávnění pouze v rozsahu nezbytném pro provádění jim určených aktivit v informačním systému.

Uživatelé informačního systému odpovídají za dodržování jim stanovených povinností, kterými je zajišťována bezpečnost informačního systému. Tyto povinnosti jsou stanoveny v provozní bezpečnostní dokumentaci informačního systému, včetně stanovení odpovědnosti za ochranu jednotlivých aktiv informačního systému.

V informačním systému se zavádí role bezpečnostního správce informačního systému odděleně od role správce informačního systému.

Role bezpečnostního správce informačního systému obsahuje výkon správy bezpečnosti informačního systému, spočívající zejména v přidělování přístupových práv, správě autentizačních a autorizačních informací, vyhodnocování auditních záznamů, aktualizaci bezpečnostních směrnic, vypracování zprávy o bezpečnostním incidentu a dalších činnostech stanovených v provozní bezpečnostní dokumentaci informačního systému.

Informace o činnosti subjektu v informačním systému se zaznamenává tak, aby narušení bezpečnosti informačního systému nebo pokusy o ně bylo možno přiřadit konkrétnímu uživateli v každé jeho roli v informačním systému. Záznamy se uchovávají po dobu stanovenou v bezpečnostní politice informačního systému.

Pro každý informační systém musí být již v počáteční fázi jeho vývoje zpracována bezpečnostní politika informačního systému. Bezpečnostní politiku informačního systému tvoří soubor norem, pravidel a postupů, který vymezuje způsob, jakým má být zajištěna důvěrnost, integrita a dostupnost utajované informace a odpovědnost uživatele za jeho činnost v informačním systému. Zásady bezpečnostní politiky jsou rozpracovány v projektové a provozní bezpečnostní dokumentaci informačního systému.

Bezpečnostní politika informačního systému musí být zpracována v souladu s právními předpisy a mezinárodními smlouvami, kterými je Česká republika vázána, a s bezpečnostní politikou nadřízeného orgánu, pokud byla zpracována.

Při formulaci bezpečnostní politiky informačního systému a posuzování bezpečnostních vlastností komponentů informačního systému lze využít též mezinárodních standardizovaných bezpečnostních specifikací.¹

minimálních bezpečnostních požadavků v oblasti počítačové bezpečnosti,

systémově závislých bezpečnostních požadavků, požadavků uživatele a výsledků analýzy rizik,

bezpečnostních požadavků bezpečnostní politiky nadřízeného orgánu, pokud byla zpracována.

Informační systém nakládající s utajovanými informacemi stupně utajení „Důvěrné“ nebo vyššího musí obsahovat tyto minimální bezpečnostní funkce:

K zajištění minimálních bezpečnostních funkcí uvedených v odstavci 1 jsou v informačním systému realizovány identifikovatelné programově technické mechanismy. Jejich provedení a operační nastavení je zdokumentováno tak, aby bylo možno nezávisle prověřit a zhodnotit jejich dostatečnost.

Bezpečnostní mechanismy uplatňující bezpečnostní politiku informačního systému musí být v celém životním cyklu informačního systému chráněny před narušením nebo neautorizovanými změnami.

V informačním systému, který nakládá pouze s utajovanými informacemi stupně utajení „Vyhrazené“, musí být zajištěna odpovědnost uživatele za jeho činnost v informačním systému a přístup k utajované informaci lze umožnit na základě zásady potřeby přistupovat k informaci. K tomu se přiměřeným způsobem využívají bezpečnostní funkce uvedené v odstavci 1 a dále opatření z oblasti personální a administrativní bezpečnosti a fyzické bezpečnosti informačních systémů.

Informační systémy se mohou provozovat pouze v některém z uvedených bezpečnostních provozních módů:

Bezpečnostní provozní mód vyhrazený je takové prostředí, ve kterém je informační systém určen výhradně pro zpracování jednoho specializovaného druhu utajované informace, přičemž všichni uživatelé musí být určeni pro přístup k utajovaným informacím nejvyššího stupně utajení, které jsou v informačním systému obsaženy, a zároveň musí být oprávněni pracovat se všemi utajovanými informacemi, které jsou v informačním systému obsaženy. Bezpečnost informačního systému, který je provozován v bezpečnostním provozním módu vyhrazeném, se zabezpečuje splněním minimálních bezpečnostních požadavků v oblasti počítačové bezpečnosti uvedených v § 10 odst. 1 písm. a), c), d) a f), jakož i opatřeními z oblasti administrativní a personální bezpečnosti a fyzické bezpečnosti informačních systémů. Úroveň použitých opatření z uvedených oblastí a opatření k zajištění důvěrnosti dat během přenosu musí odpovídat úrovni požadované pro nejvyšší stupeň utajení utajovaných informací, se kterými informační systém nakládá.

Bezpečnostní provozní mód s nejvyšší úrovní je takové prostředí, které umožňuje současné zpracování utajovaných informací klasifikovaných různými stupni utajení, ve kterém všichni uživatelé musí být určeni pro přístup k utajovaným informacím nejvyššího stupně utajení, které jsou v informačním systému obsaženy, přičemž všichni uživatelé nemusí být oprávněni pracovat se všemi utajovanými informacemi. Bezpečnost informačního systému, který je provozován v bezpečnostním provozním módu s nejvyšší úrovní, se zabezpečuje splněním minimálních bezpečnostních požadavků v oblasti počítačové bezpečnosti uvedených v § 10, jakož i opatřeními z oblasti administrativní a personální bezpečnosti a fyzické bezpečnosti informačních systémů. Úroveň použitých opatření z uvedených oblastí a opatření k zajištění důvěrnosti dat během přenosu musí odpovídat úrovni požadované pro nejvyšší stupeň utajení utajovaných informací, se kterými informační systém nakládá.

Bezpečnostní provozní mód víceúrovňový je takové prostředí, které umožňuje v jednom informačním systému současné zpracování utajovaných informací klasifikovaných různými stupni utajení, ve kterém nejsou všichni uživatelé určeni pro práci s utajovanými informacemi nejvyššího stupně utajení, které jsou v informačním systému obsaženy, přičemž všichni uživatelé nemusí být oprávněni pracovat se všemi utajovanými informacemi. Bezpečnost informačního systému, který je provozován v bezpečnostním provozním módu víceúrovňovém, se zabezpečuje opatřeními uvedenými v odstavci 3 a bezpečnostní funkcí povinného řízení přístupu subjektů k objektům. Úroveň použitých opatření z oblasti administrativní a personální bezpečnosti, fyzické bezpečnosti informačních systémů a opatření k zajištění důvěrnosti dat během přenosu se stanoví na základě principu povinného řízení přístupu.

Funkce povinného řízení přístupu subjektů k objektům musí zabezpečit:

Při uplatňování bezpečnostní funkce povinného řízení přístupu subjektů k objektům musí být zabezpečeny tyto zásady:

Informační systém, který je provozován v bezpečnostním provozním módu víceúrovňovém, musí být schopen přesně označit stupněm utajení utajované informace vystupující z informačního systému a umožnit přiřadit stupeň utajení utajované informaci vstupující do informačního systému.

U informačního systému, který je provozován v bezpečnostním provozním módu víceúrovňovém a nakládá s utajovanou informací klasifikovanou stupněm utajení „Přísně tajné“, musí být provedena identifikace a analýza skrytých kanálů. Skrytým kanálem se rozumí nepřípustná komunikace, jíž se utajovaná informace dostala k neoprávněnému subjektu.

Při přenosu utajované informace komunikačním kanálem musí být zajištěna ochrana její důvěrnosti a integrity.

Základním prostředkem pro zajištění důvěrnosti utajované informace při jejím přenosu komunikačním kanálem je kryptografická ochrana.

Základním prostředkem pro zajištění integrity utajované informace při jejím přenosu komunikačním kanálem je spolehlivá detekce záměrné i náhodné změny utajované informace.

V závislosti na komunikačním prostředí se zajišťuje spolehlivá identifikace a autentizace komunikujících stran, včetně ochrany identifikační a autentizační informace. Tato identifikace a autentizace předchází přenosu utajované informace.

Připojení sítě, která je pod kontrolou správy informačního systému, k síti vnější, která není pod kontrolou správy informačního systému, musí být zabezpečeno vhodným bezpečnostním rozhraním tak, aby bylo zamezeno průniku do informačního systému.

Informační systém musí zajistit, aby požadovaná utajovaná informace byla přístupná ve stanoveném místě, v požadované formě a v určeném časovém rozmezí.

V zájmu zajištění bezpečného provozu informačního systému se v bezpečnostní politice informačního systému stanoví komponenty, které musí být nahraditelné bez přerušení činnosti informačního systému. Dále se definuje rozsah požadované minimální funkčnosti informačního systému a uvedou se komponenty, při jejichž selhání musí být minimální funkčnost informačního systému zaručena.

Plánování kapacit aktiv informačního systému a sledování kapacitních požadavků se provádí tak, aby nedocházelo k chybám způsobeným jejich nedostatkem.

Musí být zpracován plán na obnovení činnosti po havárii informačního systému. Opětovné uvedení informačního systému do známého zabezpečeného stavu může být provedeno manuálně správcem informačního systému nebo automaticky. Všechny činnosti, které byly provedeny pro obnovení činnosti informačního systému, se zpravidla zaznamenávají do auditních záznamů chráněných před neoprávněnou modifikací nebo zničením.

Pro stanovení hrozeb, které ohrožují aktiva informačního systému, musí být provedena analýza rizik.

V rámci provedení analýzy rizik se definují aktiva informačního systému a stanovují se hrozby, které působí na jednotlivá aktiva informačního systému. Posuzují se zejména ohrožení, která způsobují ztrátu funkčnosti nebo zabezpečenosti informačního systému.

Po stanovení hrozeb se určují zranitelná místa informačního systému tak, že ke každé hrozbě se najde zranitelné místo nebo místa, na která tato hrozba působí.

Výsledkem provedené analýzy rizik je seznam hrozeb, které mohou ohrozit informační systém, s uvedením odpovídajícího rizika.

Na základě provedené analýzy rizik se provádí výběr vhodných protiopatření.

bezpečnostní funkce musí být plně realizována,

kvalita a úroveň bezpečnostní funkce musí být zachována.

Aktiva informačního systému musí být umístěna do zabezpečeného prostoru, ve kterém je zajištěna fyzická ochrana informačního systému před neoprávněným přístupem, poškozením a ovlivněním. Tento prostor je vymezen definovanými prvky ochrany s vhodnými kontrolami vstupu a bezpečnostními bariérami.

Aktivum informačního systému musí být fyzicky chráněno před bezpečnostními hrozbami a riziky prostředí.

Umístění aktiv informačního systému musí být provedeno tak, aby zamezovalo nepovolané osobě odezírat utajované informace.

Telekomunikační infrastruktura přenášející data nebo podporující služby informačního systému musí být chráněna před možností zachycení přenášených utajovaných informací a jejich poškození.

Fyzická bezpečnost informačních systémů se doplňuje opatřeními objektové nebo technické bezpečnosti.

Komponenty informačního systému, které nakládají s utajovanou informací, musí být zabezpečeny proti parazitnímu elektromagnetickému vyzařování, které by mohlo způsobit vyzrazení utajované informace.

Úroveň zabezpečení je závislá na stupni utajení utajované informace, se kterou informační systém nakládá.

Všechny nosiče utajovaných informací informačního systému musí být evidovány.

Vyměnitelný nosič utajovaných informací musí být dále označen způsobem stanoveným pro utajované skutečnosti nelistinného charakteru.

Stupeň utajení vyměnitelného nosiče utajovaných informací, který byl označen stupněm utajení „Přísně tajné“, nesmí být snížen.

Stupeň utajení vyměnitelného nosiče utajovaných informací, který byl označen stupněm utajení „Tajné“, „Důvěrné“ nebo „Vyhrazené“, může být snížen pouze v případě, že vymazání utajovaných informací z něj bylo provedeno způsobem uvedeným v odstavci 5.

Vymazání utajované informace z vyměnitelného nosiče utajovaných informací, které umožňuje snížení jeho stupně utajení, musí být provedeno tak, aby získání zbytkové utajované informace nebylo možné nebo bylo vysoce obtížné i při využití speciálních laboratorních metod a prostředků.

Ničení nosiče utajovaných informací informačního systému musí být provedeno tak, aby nebylo možno žádným způsobem utajovanou informaci z něho opětovně získat.

V orgánu státu nebo v organizaci může být bezpečnostní politika pro samostatné osobní počítače, které nakládají s utajovanými skutečnostmi, zpracována jednotně, zejména pro nakládání s utajovanými informacemi prostřednictvím textových editorů, tabulkových procesorů, databázových systémů s lokálními databázemi nebo specializovaných programů instalovaných na samostatných osobních počítačích.

Systém opatření použitých pro celkovou ochranu samostatného osobního počítače vychází z pojetí tohoto zařízení jako nosiče utajované informace klasifikovaného nejvyšším stupněm utajení utajované informace, se kterou samostatný osobní počítač nakládá.

Pro mobilní a přenosné informační systémy se v analýze rizik posuzují i rizika, která jsou u mobilních informačních systémů spojena s dopravním prostředkem a u přenosných informačních systémů s prostředími, ve kterých budou tyto informační systémy používány.

Ochrana komponentu mobilního a přenosného informačního systému, který obsahuje utajované informace, vychází z pojetí tohoto komponentu jako nosiče utajované informace klasifikovaného nejvyšším stupněm utajení utajované informace, se kterou tento komponent nakládá.

Bezpečnost informačního systému se musí před jeho certifikací ověřit testováním. Testování provádí komise, jejíž členové nesmí být ve vztahu k informačnímu systému a k vývojovému týmu podjati tím, že by se podíleli na vývoji informačního systému, že by měli osobní zájem na výsledcích testování nebo je s vývojovým týmem spojoval osobní anebo pracovní a jiný obdobný vztah. K provedení testování se nesmějí používat utajované informace.

Výsledky testů musejí prokázat, že bezpečnostní funkce jsou plně v souladu s bezpečnostní politikou informačního systému. Výsledky testů musí být zadokumentovány. Chyby nalezené během testování musí být odstraněny a jejich odstranění musí být ověřeno následnými testy.

Bezpečnost provozovaného informačního systému musí být průběžně, s ohledem na skutečný stav informačního systému, prověřována a vyhodnocována. Dílčí změnu v informačním systému je možno provést až po vyhodnocení vlivu této změny na bezpečnost informačního systému.

Integrita programového vybavení i utajovaných informací musí být chráněna před působením škodlivého kódu.

V provozovaném informačním systému může být používáno pouze programové vybavení, které bylo dodáno provozovatelem informačního systému.

V provozovaném informačním systému musí být prováděno zálohování programového vybavení a utajovaných informací. Záloha programového vybavení a utajovaných informací musí být uložena tak, aby nemohlo dojít k jejímu poškození nebo zničení při ohrožení informačního systému.

Servisní činnost v provozovaném informačním systému se musí organizovat tak, aby nebyla ohrožena jeho bezpečnost. Z nosičů utajovaných informací informačního systému přístupných při servisní činnosti musí být vymazány utajované informace a dálková diagnostika musí být zabezpečena před zneužitím.

V provozovaném informačním systému musí být v termínech stanovených v bezpečnostní dokumentaci informačního systému a při vzniku krizové situace neprodleně prováděno vyhodnocení auditních záznamů. Auditní záznamy musí být archivovány po dobu stanovenou v bezpečnostní dokumentaci informačního systému.

Pro řešení krizové situace provozovaného informačního systému musí být v bezpečnostní dokumentaci informačního systému stanovena opatření zaměřená na jeho uvedení do známého bezpečného stavu. V bezpečnostní dokumentaci informačního systému musí být uvedena tato opatření:

Před likvidací informačního systému musí být provedeno vyjmutí, vymazání nebo zničení utajovaných informací, se kterými informační systém nakládal.

Uživatel informačního systému musí být autorizován pro činnost v informačním systému a tato autorizace musí být změněna při změně jeho role v rámci informačního systému nebo zrušena při zániku jeho určení.

Provozovatel informačního systému musí zabezpečit proškolování uživatelů informačního systému v dodržování opatření stanovených v bezpečnostní dokumentaci informačního systému a správném užívání informačního systému.

Žádost o provedení certifikace informačního systému předkládá Úřadu orgán státu nebo organizace, které budou informační systém provozovat, (dále jen „žadatel“).

Žádost podle odstavce 1 obsahuje:

Úřad vypracuje seznam podkladů pro ověření způsobilosti informačního systému nakládat s utajovanými informacemi (dále jen „hodnocení“) a časový plán jejich předložení žadatelem. K provedení hodnocení žadatel vždy předloží následující podklady:

Hodnocení se provádí posouzením podkladů předložených žadatelem a provedením dodatečných testů. Dodatečné testy provádí Úřad u žadatele v provozním prostředí hodnoceného informačního systému za spoluúčasti žadatele a v případě potřeby dodavatele.

Jsou-li v průběhu hodnocení zjištěny nedostatky, vyzve Úřad žadatele k jejich odstranění. Pokud žadatel v termínu stanoveném Úřadem zjištěné nedostatky neodstraní, hodnocení se ukončí.

Hodnocení lze provádět průběžně po ukončení jednotlivých fází výstavby informačního systému nebo až po jeho celkovém dokončení.

O výsledku hodnocení se zpracují technické zprávy.

Jestliže se na základě výsledku hodnocení zjistí způsobilost hodnoceného informačního systému pro nakládání s utajovanými informacemi, obdrží žadatel o tomto certifikát. V případě, že hodnocený informační systém splňuje způsobilost pouze pro nižší stupeň utajení, vydá se certifikát na tento stupeň utajení.

Dojde-li v informačním systému, jehož způsobilost byla schválena, ke změnám uvedeným v § 25 odst. 2 písm. e), provádí se doplňující hodnocení informačního systému v rozsahu potřebném k posouzení provedených změn. V případě provádění doplňujícího hodnocení informačního systému se postupuje obdobně jako při provádění certifikace informačního systému.

Certifikát informačního systému, jehož vzor je uveden v příloze, obsahuje:

Součástí certifikátu je certifikační zpráva, která tvoří jeho přílohu. Certifikační zpráva obsahuje:

Úřad vede přehled certifikovaných informačních systémů. K certifikovanému informačnímu systému se vede certifikační spis, do kterého se zakládá žádost o provedení certifikace, podklady poskytnuté žadatelem, technické zprávy a certifikační zpráva hodnoceného informačního systému a kopie vydaného certifikátu.

Skartační lhůta certifikačního spisu začíná běžet dnem skončení platnosti certifikátu a činí nejméně 5 let.

Informační systém orgánu státu, ve kterém ke dni účinnosti zákona byla zpracovávána skutečnost tvořící předmět státního, hospodářského nebo služebního tajemství pomocí výpočetní techniky podle dosavadní právní úpravy,² a informační systém orgánu státu, který ode dne účinnosti zákona do dne účinnosti této vyhlášky nakládal s utajovanou skutečností, lze v případě potřeby považovat za certifikovaný informační systém podle této vyhlášky, nejpozději do 18 měsíců ode dne nabytí účinnosti této vyhlášky.

Informační systém organizace, ve kterém ke dni účinnosti zákona byla zpracovávána skutečnost tvořící předmět státního, hospodářského nebo služebního tajemství pomocí výpočetní techniky podle dosavadní právní úpravy,² a informační systém organizace, který ode dne účinnosti zákona do dne účinnosti této vyhlášky nakládal s utajovanou skutečností, lze v případě potřeby považovat za certifikovaný informační systém podle této vyhlášky, nejpozději do 12 měsíců ode dne nabytí účinnosti této vyhlášky.

Statutární orgán stanoví, které informační systémy uvedené v odstavci 1 nebo odstavci 2 považuje za certifikované informační systémy podle této vyhlášky.

Žádost o certifikaci informačního systému uvedeného v odstavci 1 nebo odstavci 2, u kterého statutární orgán stanovil, že jej považuje za certifikovaný informační systém podle této vyhlášky, je nutno předložit nejpozději 6 měsíců před uplynutím lhůty, po kterou je považován za certifikovaný.