Vyhláška Národního bezpečnostního úřadu o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu
Celé znění předpisu ve formátu PDF ke stažení ZDE
Vyhláška
Národního bezpečnostního úřadu
ze dne 19. března 1999
o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu
Národní bezpečnostní úřad (dále jen „Úřad”) stanoví podle § 51 odst. 3 a § 53 odst. 3 zákona č. 148/1998 Sb. ČR, o ochraně utajovaných skutečností a o změně některých zákonů, (dále jen „zákon”):
§ 1
Předmět úpravy
Tato vyhláška stanoví požadavky na bezpečnost informačních systémů nakládajících s utajovanými skutečnostmi (dále jen „informační systém”), minimální požadavky v oblasti počítačové bezpečnosti, jakož i postupy a způsoby certifikačního procesu informačních systémů a náležitosti certifikátu.
§ 2
Vymezení pojmů
Pro účely této vyhlášky se rozumí:
a) aktivem informačního systému hardware, software, informace klasifikované stupněm utajení utajované skutečnosti (dále jen „utajovaná informace”), které jsou uloženy v informačním systému, a dokumentace informačního systému,
b) objektem informačního systému (dále jen „objekt”) pasivní prvek informačního systému, který obsahuje nebo přijímá informaci,
c) subjektem informačního systému (dále jen „subjekt”) aktivní prvek informačního systému, který způsobuje předání informace mezi objekty nebo změnu stavu systému,
d) analýzou rizik proces, během něhož jsou zjišťována aktiva informačního systému, hrozby působící na aktiva informačního systému, jeho zranitelná místa, pravděpodobnost realizace hrozeb a odhad jejich následků,
e) auditním záznamem záznam o událostech, které mohou ovlivnit bezpečnost informačního systému,
f) autentizací subjektu proces ověření jeho identity splňující požadovanou míru záruky,
g) autorizací subjektu udělení určitých práv pro vykonávání určených aktivit,
h) bezpečnostním mechanismem realizace bezpečnostní funkce,
i) bezpečnostním provozním módem prostředí, ve kterém informační systém pracuje, charakterizované stupněm utajení zpracovávané utajované informace a úrovněmi oprávnění uživatelů,
j) důvěrností utajované informace její vlastnost, která znemožňuje odhalení utajované informace neoprávněnému subjektu,
k) fyzickou bezpečností informačního systému opatření použitá k zajištění fyzické ochrany aktiv informačního systému proti náhodným nebo úmyslným hrozbám,
l) integritou aktiva informačního systému vlastnost, která umožňuje provedení jeho změny určeným způsobem a pouze oprávněným subjektem,
m) komunikační bezpečností opatření použitá k zajištění ochrany utajované informace při přenosu telekomunikačními kanály,
n) počítačovou bezpečností bezpečnost informačního systému zajišťovaná jeho technickými a programovými prostředky,
o) povinným řízením přístupu prostředky pro omezení přístupu subjektů k objektům, založené na porovnání stupně utajení utajované informace obsažené v objektu a úrovně oprávnění subjektu pro přístup k utajované informaci a zajišťující správný tok informací mezi objekty s různými stupni utajení, nezávisle na volbě učiněné uživatelem,
p) rizikem pro informační systém pravděpodobnost, že určitá hrozba využije zranitelných míst informačního systému,
r) rolí souhrn určených činností a potřebných autorizací pro uživatele v informačním systému,
s) řízením přístupu prostředky pro omezení přístupu subjektů k objektům, zajišťující, že přístup k nim získá jen autorizovaný uživatel nebo proces,
t) volitelným řízením přístupu prostředky omezení přístupu subjektů k objektům, založené na kontrole přístupových práv subjektu k objektu, přičemž uživatel vybavený určitými přístupovými právy pro přístup k objektu může zvolit, na které další subjekty přenese přístupová práva k tomuto objektu, a může tak ovlivňovat tok informace mezi objekty.
Požadavky na bezpečnost informačních systémů
§ 3
Bezpečnost informačních systémů
(1) Bezpečnost informačního systému tvoří systém opatření z oblasti:
a) počítačové a komunikační bezpečnosti,
b) administrativní bezpečnosti a organizačních opatření,
c) personální bezpečnosti,
d) fyzické bezpečnosti informačního systému.
(2) Systém opatření uvedený v odstavci 1 je specifikován v bezpečnostní dokumentaci informačního systému.
§ 4
Bezpečnostní dokumentace informačního systému
(1) Bezpečnostní dokumentaci informačního systému tvoří:
a) projektová bezpečnostní dokumentace informačního systému,
b) provozní bezpečnostní dokumentace informačního systému.
(2) Projektová bezpečnostní dokumentace informačního systému musí obsahovat:
a) bezpečnostní politiku informačního systému a vyhodnocení analýzy rizik,
b) návrh bezpečnostních opatření pro jednotlivé fáze návrhu informačního systému,
c) dokumentaci k testům bezpečnosti informačního systému.
(3) Provozní bezpečnostní dokumentace informačního systému musí obsahovat:
a) bezpečnostní směrnici informačního systému, která popisuje činnost bezpečnostního správce v příslušném informačním systému,
b) bezpečnostní směrnice pro jednotlivé typy uživatelů informačního systému.
(4) Bezpečnostní dokumentace uvedená v odstavci 2 a odstavci 3 písm. a) se klasifikuje a označuje stupněm utajení shodným s nejvyšším stupněm utajení utajované informace, se kterou informační systém nakládá.
§ 5
Požadavky na přístup k utajované informaci v informačním systému
(1) Přístup k utajované informaci v informačním systému lze umožnit pouze určené osobě, která byla pro tento přístup autorizována. Autorizace je založena na jedinečném identifikátoru uživatele v rámci informačního systému.
(2) Přístup k utajované informaci v informačním systému může být umožněn jen pro ty osoby, které tento přístup nezbytně nutně potřebují k výkonu své činnosti. Těmto osobám se udělí oprávnění pouze v rozsahu nezbytném pro provádění jim určených aktivit v informačním systému.
§ 6
Požadavek odpovědnosti za činnost v informačním systému
(1) Uživatelé informačního systému odpovídají za dodržování jim stanovených povinností, kterými je zajišťována bezpečnost informačního systému. Tyto povinnosti jsou stanoveny v provozní bezpečnostní dokumentaci informačního systému, včetně stanovení odpovědnosti za ochranu jednotlivých aktiv informačního systému.
(2) V informačním systému se zavádí role bezpečnostního správce informačního systému odděleně od role správce informačního systému.
(3) Role bezpečnostního správce informačního systému obsahuje výkon správy bezpečnosti informačního systému, spočívající zejména v přidělování přístupových práv, správě autentizačních a autorizačních informací, vyhodnocování auditních záznamů, aktualizaci bezpečnostních směrnic, vypracování zprávy o bezpečnostním incidentu a dalších činnostech stanovených v provozní bezpečnostní dokumentaci informačního systému.
(4) Informace o činnosti subjektu v informačním systému se zaznamenává tak, aby narušení bezpečnosti informačního systému nebo pokusy o ně bylo možno přiřadit konkrétnímu uživateli v každé jeho roli v informačním systému. Záznamy se uchovávají po dobu stanovenou v bezpečnostní politice informačního systému.
§ 7
Požadavek označení stupně utajení informace
Utajovaná informace, která vystupuje v jakékoliv podobě z informačního systému, musí být označena odpovídajícím stupněm utajení tak, aby při jakémkoliv dalším nakládání s touto informací bylo zaručeno dodržování stanoveného stupně utajení.
§ 8
Bezpečnostní politika informačního systému
(1) Pro každý informační systém musí být již v počáteční fázi jeho vývoje zpracována bezpečnostní politika informačního systému. Bezpečnostní politiku informačního systému tvoří soubor norem, pravidel a postupů, který vymezuje způsob, jakým má být zajištěna důvěrnost, integrita a dostupnost utajované informace a odpovědnost uživatele za jeho činnost v informačním systému. Zásady bezpečnostní politiky jsou rozpracovány v projektové a provozní bezpečnostní dokumentaci informačního systému.
(2) Bezpečnostní politika informačního systému musí být zpracována v souladu s právními předpisy a mezinárodními smlouvami, kterými je Česká republika vázána, a s bezpečnostní politikou nadřízeného orgánu, pokud byla zpracována.
(3) Při formulaci bezpečnostní politiky informačního systému a posuzování bezpečnostních vlastností komponentů informačního systému lze využít též mezinárodních standardizovaných bezpečnostních specifikací.1)
§ 9
Požadavky na formulaci bezpečnostní politiky informačního systému
Bezpečnostní politika informačního systému se formuluje na základě:
a) minimálních bezpečnostních požadavků v oblasti počítačové bezpečnosti,
b) systémově závislých bezpečnostních požadavků, požadavků uživatele a výsledků analýzy rizik,
c) bezpečnostních požadavků bezpečnostní politiky nadřízeného orgánu, pokud byla zpracována.
§ 10
Minimální bezpečnostní požadavky v oblasti počítačové bezpečnosti
(1) Informační systém nakládající s utajovanými informacemi stupně utajení „Důvěrné” nebo vyššího musí obsahovat tyto minimální bezpečnostní funkce:
a) jednoznačnou identifikaci a autentizaci uživatele, které musí předcházet všem dalším aktivitám uživatelů v informačním systému a musí zajistit ochranu důvěrnosti a integrity autentizační informace,
b) volitelné řízení přístupu k objektům na základě rozlišování a správy přístupových práv uživatele a identity uživatele nebo jeho členství ve skupině uživatelů,
c) nepřetržité zaznamenávání událostí, které mohou ovlivnit bezpečnost informačního systému, do auditních záznamů a zabezpečení auditních záznamů před neautorizovaným přístupem, zejména modifikací nebo zničením. Zaznamenává se zejména použití identifikačních a autentizačních informací, pokusy o zkoumání přístupových práv, vytváření nebo rušení objektu nebo činnost autorizovaných uživatelů ovlivňující bezpečnost informačního systému,
d) možnost zkoumání auditních záznamů a stanovení odpovědnosti jednotlivého uživatele informačního systému,
e) ošetření paměťových objektů před jejich dalším použitím, zejména před přidělením jinému subjektu, které znemožní zjistit jejich předchozí obsah,
f) ochranu důvěrnosti dat během přenosu sítěmi s tím, že utajovaná informace musí být v procesu přenosu mezi zdrojem a cílem chráněna náležitým způsobem.
(2) K zajištění minimálních bezpečnostních funkcí uvedených v odstavci 1 jsou v informačním systému realizovány identifikovatelné programově technické mechanismy. Jejich provedení a operační nastavení je zdokumentováno tak, aby bylo možno nezávisle prověřit a zhodnotit jejich dostatečnost.
(3) Bezpečnostní mechanismy uplatňující bezpečnostní politiku informačního systému musí být v celém životním cyklu informačního systému chráněny před narušením nebo neautorizovanými změnami.
(4) V informačním systému, který nakládá pouze s utajovanými informacemi stupně utajení „Vyhrazené”, musí být zajištěna odpovědnost uživatele za jeho činnost v informačním systému a přístup k utajované informaci lze umožnit na základě zásady potřeby přistupovat k informaci. K tomu se přiměřeným způsobem využívají bezpečnostní funkce uvedené v odstavci 1 a dále opatření z oblasti personální a administrativní bezpečnosti a fyzické bezpečnosti informačních systémů.
§ 11
Systémově závislé bezpečnostní požadavky odvozené z bezpečnostního provozního módu
(1) Informační systémy se mohou provozovat pouze v některém z uvedených bezpečnostních provozních módů:
a) bezpečnostní provozní mód vyhrazený,
b) bezpečnostní provozní mód s nejvyšší úrovní,
c) bezpečnostní provozní mód víceúrovňový.
(2) Bezpečnostní provozní mód vyhrazený je takové prostředí, ve kterém je informační systém určen výhradně pro zpracování jednoho specializovaného druhu utajované informace, přičemž všichni uživatelé musí být určeni pro přístup k utajovaným informacím nejvyššího stupně utajení, které jsou v informačním systému obsaženy, a zároveň musí být oprávněni pracovat se všemi utajovanými informacemi, které jsou v informačním systému obsaženy. Bezpečnost informačního systému, který je provozován v bezpečnostním provozním módu vyhrazeném, se zabezpečuje splněním minimálních bezpečnostních požadavků v oblasti počítačové bezpečnosti uvedených v § 10 odst. 1 písm. a), c), d) a f), jakož i opatřeními z oblasti administrativní a personální bezpečnosti a fyzické bezpečnosti informačních systémů. Úroveň použitých opatření z uvedených oblastí a opatření k zajištění důvěrnosti dat během přenosu musí odpovídat úrovni požadované pro nejvyšší stupeň utajení utajovaných informací, se kterými informační systém nakládá.
(3) Bezpečnostní provozní mód s nejvyšší úrovní je takové prostředí, které umožňuje současné zpracování utajovaných informací klasifikovaných různými stupni utajení, ve kterém všichni uživatelé musí být určeni pro přístup k utajovaným informacím nejvyššího stupně utajení, které jsou v informačním systému obsaženy, přičemž všichni uživatelé nemusí být oprávněni pracovat se všemi utajovanými informacemi. Bezpečnost informačního systému, který je provozován v bezpečnostním provozním módu s nejvyšší úrovní, se zabezpečuje splněním minimálních bezpečnostních požadavků v oblasti počítačové bezpečnosti uvedených v § 10, jakož i opatřeními z oblasti administrativní a personální bezpečnosti a fyzické bezpečnosti informačních systémů. Úroveň použitých opatření z uvedených oblastí a opatření k zajištění důvěrnosti dat během přenosu musí odpovídat úrovni požadované pro nejvyšší stupeň utajení utajovaných informací, se kterými informační systém nakládá.
(4) Bezpečnostní provozní mód víceúrovňový je takové prostředí, které umožňuje v jednom informačním systému současné zpracování utajovaných informací klasifikovaných různými stupni utajení, ve kterém nejsou všichni uživatelé určeni pro práci s utajovanými informacemi nejvyššího stupně utajení, které jsou v informačním systému obsaženy, přičemž všichni uživatelé nemusí být oprávněni pracovat se všemi utajovanými informacemi. Bezpečnost informačního systému, který je provozován v bezpečnostním provozním módu víceúrovňovém, se zabezpečuje opatřeními uvedenými v odstavci 3 a bezpečnostní funkcí povinného řízení přístupu subjektů k objektům. Úroveň použitých opatření z oblasti administrativní a personální bezpečnosti, fyzické bezpečnosti informačních systémů a opatření k zajištění důvěrnosti dat během přenosu se stanoví na základě principu povinného řízení přístupu.
(5) Funkce povinného řízení přístupu subjektů k objektům musí zabezpečit:
a) trvalé spojení každého subjektu a objektu s bezpečnostním atributem, který pro subjekt vyjadřuje úroveň oprávnění subjektu a pro objekt jeho stupeň utajení,
b) ochranu integrity bezpečnostního atributu,
c) výlučné oprávnění bezpečnostního správce informačního systému k provádění změn bezpečnostních atributů subjektů i objektů,
d) přidělení předem definovaných hodnot atributů pro nově vytvořené objekty a zachování atributu při kopírování objektu.
(6) Při uplatňování bezpečnostní funkce povinného řízení přístupu subjektů k objektům musí být zabezpečeny tyto zásady:
a) subjekt může číst informace v objektu pouze tehdy, je-li úroveň jeho oprávnění stejná nebo vyšší než stupeň utajení objektu,
b) subjekt může zapisovat informaci do objektu pouze tehdy, je-li úroveň jeho oprávnění stejná nebo nižší než stupeň utajení objektu,
c) přístup subjektu k informaci obsažené v objektu je možný, jestliže jej povolují jak pravidla povinného řízení přístupu, tak pravidla volitelného řízení přístupu.
(7) Informační systém, který je provozován v bezpečnostním provozním módu víceúrovňovém, musí být schopen přesně označit stupněm utajení utajované informace vystupující z informačního systému a umožnit přiřadit stupeň utajení utajované informaci vstupující do informačního systému.
(8) U informačního systému, který je provozován v bezpečnostním provozním módu víceúrovňovém a nakládá s utajovanou informací klasifikovanou stupněm utajení „Přísně tajné”, musí být provedena identifikace a analýza skrytých kanálů. Skrytým kanálem se rozumí nepřípustná komunikace, jíž se utajovaná informace dostala k neoprávněnému subjektu.
§ 12
Systémově závislé bezpečnostní požadavky na bezpečnost v prostředí počítačových sítí
(1) Při přenosu utajované informace komunikačním kanálem musí být zajištěna ochrana její důvěrnosti a integrity.
(2) Základním prostředkem pro zajištění důvěrnosti utajované informace při jejím přenosu komunikačním kanálem je kryptografická ochrana.
(3) Základním prostředkem pro zajištění integrity utajované informace při jejím přenosu komunikačním kanálem je spolehlivá detekce záměrné i náhodné změny utajované informace.
(4) V závislosti na komunikačním prostředí se zajišťuje spolehlivá identifikace a autentizace komunikujících stran, včetně ochrany identifikační a autentizační informace. Tato identifikace a autentizace předchází přenosu utajované informace.
(5) Připojení sítě, která je pod kontrolou správy informačního systému, k síti vnější, která není pod kontrolou správy informačního systému, musí být zabezpečeno vhodným bezpečnostním rozhraním tak, aby bylo zamezeno průniku do informačního systému.
§ 13
Požadavky na dostupnost utajované informace a služeb informačního systému
(1) Informační systém musí zajistit, aby požadovaná utajovaná informace byla přístupná ve stanoveném místě, v požadované formě a v určeném časovém rozmezí.
(2) V zájmu zajištění bezpečného provozu informačního systému se v bezpečnostní politice informačního systému stanoví komponenty, které musí být nahraditelné bez přerušení činnosti informačního systému. Dále se definuje rozsah požadované minimální funkčnosti informačního systému a uvedou se komponenty, při jejichž selhání musí být minimální funkčnost informačního systému zaručena.
(3) Plánování kapacit aktiv informačního systému a sledování kapacitních požadavků se provádí tak, aby nedocházelo k chybám způsobeným jejich nedostatkem.
(4) Musí být zpracován plán na obnovení činnosti po havárii informačního systému. Opětovné uvedení informačního systému do známého zabezpečeného stavu může být provedeno manuálně správcem informačního systému nebo automaticky. Všechny činnosti, které byly provedeny pro obnovení činnosti informačního systému, se zpravidla zaznamenávají do auditních záznamů chráněných před neoprávněnou modifikací nebo zničením.
§ 14
Systémově závislé bezpečnostní požadavky odvozené z analýzy rizik
(1) Pro stanovení hrozeb, které ohrožují aktiva informačního systému, musí být provedena analýza rizik.
(2) V rámci provedení analýzy rizik se definují aktiva informačního systému a stanovují se hrozby, které působí na jednotlivá aktiva informačního systému. Posuzují se zejména ohrožení, která způsobují ztrátu funkčnosti nebo zabezpečenosti informačního systému.
(3) Po stanovení hrozeb se určují zranitelná místa informačního systému tak, že ke každé hrozbě se najde zranitelné místo nebo místa, na která tato hrozba působí.
(4) Výsledkem provedené analýzy rizik je seznam hrozeb, které mohou ohrozit informační systém, s uvedením odpovídajícího rizika.
(5) Na základě provedené analýzy rizik se provádí výběr vhodných protiopatření.
§ 15
Možnost nahrazení prostředků počítačové bezpečnosti
V případě neúměrných nákladů na zajištění některé bezpečnostní funkce informačního systému prostředky počítačové bezpečnosti lze provést jejich nahrazení použitím prostředků personální nebo administrativní bezpečnosti, fyzické bezpečnosti informačních systémů anebo organizačních opatření. Při nahrazení prostředků počítačové bezpečnosti náhradním bezpečnostním mechanismem nebo skupinou mechanismů, které mají zajišťovat určitou bezpečnostní funkci, musí být dodrženy následující zásady:
a) bezpečnostní funkce musí být plně realizována,
b) kvalita a úroveň bezpečnostní funkce musí být zachována.
§ 16
Požadavky fyzické bezpečnosti informačních systémů
(1) Aktiva informačního systému musí být umístěna do zabezpečeného prostoru, ve kterém je zajištěna fyzická ochrana informačního systému před neoprávněným přístupem, poškozením a ovlivněním. Tento prostor je vymezen definovanými prvky ochrany s vhodnými kontrolami vstupu a bezpečnostními bariérami.
(2) Aktivum informačního systému musí být fyzicky chráněno před bezpečnostními hrozbami a riziky prostředí.
(3) Umístění aktiv informačního systému musí být provedeno tak, aby zamezovalo nepovolané osobě odezírat utajované informace.
(4) Telekomunikační infrastruktura přenášející data nebo podporující služby informačního systému musí být chráněna před možností zachycení přenášených utajovaných informací a jejich poškození.
(5) Fyzická bezpečnost informačních systémů se doplňuje opatřeními objektové nebo technické bezpečnosti.
§ 17
Požadavek ochrany proti parazitnímu vyzařování
(1) Komponenty informačního systému, které nakládají s utajovanou informací, musí být zabezpečeny proti parazitnímu elektromagnetickému vyzařování, které by mohlo způsobit vyzrazení utajované informace.
(2) Úroveň zabezpečení je závislá na stupni utajení utajované informace, se kterou informační systém nakládá.
§ 18
Požadavky na bezpečnost nosičů utajovaných informací
(1) Všechny nosiče utajovaných informací informačního systému musí být evidovány.
(2) Vyměnitelný nosič utajovaných informací musí být dále označen způsobem stanoveným pro utajované skutečnosti nelistinného charakteru.
(3) Stupeň utajení vyměnitelného nosiče utajovaných informací, který byl označen stupněm utajení „Přísně tajné”, nesmí být snížen.
(4) Stupeň utajení vyměnitelného nosiče utajovaných informací, který byl označen stupněm utajení „Tajné”, „Důvěrné” nebo „Vyhrazené”, může být snížen pouze v případě, že vymazání utajovaných informací z něj bylo provedeno způsobem uvedeným v odstavci 5.
(5) Vymazání utajované informace z vyměnitelného nosiče utajovaných informací, které umožňuje snížení jeho stupně utajení, musí být provedeno tak, aby získání zbytkové utajované informace nebylo možné nebo bylo vysoce obtížné i při využití speciálních laboratorních metod a prostředků.
(6) Ničení nosiče utajovaných informací informačního systému musí být provedeno tak, aby nebylo možno žádným způsobem utajovanou informaci z něho opětovně získat.
§ 19
Ochrana utajovaných skutečností v samostatných osobních počítačích
(1) V orgánu státu nebo v organizaci může být bezpečnostní politika pro samostatné osobní počítače, které nakládají s utajovanými skutečnostmi, zpracována jednotně, zejména pro nakládání s utajovanými informacemi prostřednictvím textových editorů, tabulkových procesorů, databázových systémů s lokálními databázemi nebo specializovaných programů instalovaných na samostatných osobních počítačích.
(2) Systém opatření použitých pro celkovou ochranu samostatného osobního počítače vychází z pojetí tohoto zařízení jako nosiče utajované informace klasifikovaného nejvyšším stupněm utajení utajované informace, se kterou samostatný osobní počítač nakládá.
§ 20
Požadavky na ochranu mobilních a přenosných informačních systémů
(1) Pro mobilní a přenosné informační systémy se v analýze rizik posuzují i rizika, která jsou u mobilních informačních systémů spojena s dopravním prostředkem a u přenosných informačních systémů s prostředími, ve kterých budou tyto informační systémy používány.
(2) Ochrana komponentu mobilního a přenosného informačního systému, který obsahuje utajované informace, vychází z pojetí tohoto komponentu jako nosiče utajované informace klasifikovaného nejvyšším stupněm utajení utajované informace, se kterou tento komponent nakládá.
§ 21
Požadavek testování bezpečnosti informačního systému
(1) Bezpečnost informačního systému se musí před jeho certifikací ověřit testováním. Testování provádí komise, jejíž členové nesmí být ve vztahu k informačnímu systému a k vývojovému týmu podjati tím, že by se podíleli na vývoji informačního systému, že by měli osobní zájem na výsledcích testování nebo je s vývojovým týmem spojoval osobní anebo pracovní a jiný obdobný vztah. K provedení testování se nesmějí používat utajované informace.
(2) Výsledky testů musejí prokázat, že bezpečnostní funkce jsou plně v souladu s bezpečnostní politikou informačního systému. Výsledky testů musí být zadokumentovány. Chyby nalezené během testování musí být odstraněny a jejich odstranění musí být ověřeno následnými testy.
§ 22
Požadavky na bezpečnost provozovaného informačního systému
(1) Bezpečnost provozovaného informačního systému musí být průběžně, s ohledem na skutečný stav informačního systému, prověřována a vyhodnocována. Dílčí změnu v informačním systému je možno provést až po vyhodnocení vlivu této změny na bezpečnost informačního systému.
(2) Integrita programového vybavení i utajovaných informací musí být chráněna před působením škodlivého kódu.
(3) V provozovaném informačním systému může být používáno pouze programové vybavení, které bylo dodáno provozovatelem informačního systému.
(4) V provozovaném informačním systému musí být prováděno zálohování programového vybavení a utajovaných informací. Záloha programového vybavení a utajovaných informací musí být uložena tak, aby nemohlo dojít k jejímu poškození nebo zničení při ohrožení informačního systému.
(5) Servisní činnost v provozovaném informačním systému se musí organizovat tak, aby nebyla ohrožena jeho bezpečnost. Z nosičů utajovaných informací informačního systému přístupných při servisní činnosti musí být vymazány utajované informace a dálková diagnostika musí být zabezpečena před zneužitím.
(6) V provozovaném informačním systému musí být v termínech stanovených v bezpečnostní dokumentaci informačního systému a při vzniku krizové situace neprodleně prováděno vyhodnocení auditních záznamů. Auditní záznamy musí být archivovány po dobu stanovenou v bezpečnostní dokumentaci informačního systému.
(7) Pro řešení krizové situace provozovaného informačního systému musí být v bezpečnostní dokumentaci informačního systému stanovena opatření zaměřená na jeho uvedení do známého bezpečného stavu. V bezpečnostní dokumentaci informačního systému musí být uvedena tato opatření:
a) činnost následující bezprostředně po vzniku krizové situace zaměřená na minimalizaci škod,
b) činnost následující po vzniku krizové situace zaměřená na likvidaci následků krizové situace včetně vymezení osobní odpovědnosti za jednotlivé úkoly,
c) způsob zálohování informačního systému,
d) způsob zajišťování servisní činnosti,
e) způsob zajištění nouzového provozu informačního systému s vyjmenováním minimálních funkcí, které musí být zachovány,
f) způsob obnovy funkčnosti a uvedení informačního systému do známého bezpečného stavu.
(8) Před likvidací informačního systému musí být provedeno vyjmutí, vymazání nebo zničení utajovaných informací, se kterými informační systém nakládal.
§ 23
Požadavky personální bezpečnosti při provozu informačního systému
(1) Uživatel informačního systému musí být autorizován pro činnost v informačním systému a tato autorizace musí být změněna při změně jeho role v rámci informačního systému nebo zrušena při zániku jeho určení.
(2) Provozovatel informačního systému musí zabezpečit proškolování uživatelů informačního systému v dodržování opatření stanovených v bezpečnostní dokumentaci informačního systému a správném užívání informačního systému.
Certifikace informačních systémů
§ 24
Postup a způsob certifikace informačního systému
(1) Žádost o provedení certifikace informačního systému předkládá Úřadu orgán státu nebo organizace, které budou informační systém provozovat, (dále jen „žadatel”).
(2) Žádost podle odstavce 1 obsahuje:
a) stručný popis účelu a rozsahu informačního systému včetně stanovení jeho běžných a minimálních funkcí,
b) stupeň utajení utajovaných informací, se kterými bude informační systém nakládat,
c) stanovení bezpečnostního provozního módu informačního systému,
d) identifikaci dodavatele informačního systému.
(3) Úřad vypracuje seznam podkladů pro ověření způsobilosti informačního systému nakládat s utajovanými informacemi (dále jen „hodnocení”) a časový plán jejich předložení žadatelem. K provedení hodnocení žadatel vždy předloží následující podklady:
a) bezpečnostní politiku informačního systému a výsledky analýzy rizik,
b) návrh bezpečnosti informačního systému,
c) sadu testů bezpečnosti informačního systému, jejich popis a popis výsledků testování,
d) bezpečnostní provozní dokumentaci informačního systému,
e) popis bezpečnosti vývojového prostředí.
(4) Hodnocení se provádí posouzením podkladů předložených žadatelem a provedením dodatečných testů. Dodatečné testy provádí Úřad u žadatele v provozním prostředí hodnoceného informačního systému za spoluúčasti žadatele a v případě potřeby dodavatele.
(5) Jsou-li v průběhu hodnocení zjištěny nedostatky, vyzve Úřad žadatele k jejich odstranění. Pokud žadatel v termínu stanoveném Úřadem zjištěné nedostatky neodstraní, hodnocení se ukončí.
(6) Hodnocení lze provádět průběžně po ukončení jednotlivých fází výstavby informačního systému nebo až po jeho celkovém dokončení.
(7) O výsledku hodnocení se zpracují technické zprávy.
(8) Jestliže se na základě výsledku hodnocení zjistí způsobilost hodnoceného informačního systému pro nakládání s utajovanými informacemi, obdrží žadatel o tomto certifikát. V případě, že hodnocený informační systém splňuje způsobilost pouze pro nižší stupeň utajení, vydá se certifikát na tento stupeň utajení.
(9) Dojde-li v informačním systému, jehož způsobilost byla schválena, ke změnám uvedeným v § 25 odst. 2 písm. e), provádí se doplňující hodnocení informačního systému v rozsahu potřebném k posouzení provedených změn. V případě provádění doplňujícího hodnocení informačního systému se postupuje obdobně jako při provádění certifikace informačního systému.
§ 25
Náležitosti certifikátu informačního systému
(1) Certifikát informačního systému, jehož vzor je uveden v příloze, obsahuje:
a) identifikaci informačního systému včetně označení verze, pro který je vydáván,
b) identifikaci certifikátu přidělenou Úřadem,
c) identifikaci žadatele,
d) identifikaci dodavatele informačního systému,
e) stupeň utajení utajovaných informací, pro který byla schválena jeho způsobilost,
f) dobu platnosti certifikátu.
(2) Součástí certifikátu je certifikační zpráva, která tvoří jeho přílohu. Certifikační zpráva obsahuje:
a) orientační popis informačního systému,
b) bezpečnostní politiku informačního systému,
c) hlavní závěry z hodnocení,
d) případná omezení podmiňující platnost certifikátu a
e) typy změn informačního systému, které vyžadují provedení doplňujícího hodnocení informačního systému.
§ 26
Vedení přehledu certifikovaných informačních systémů
(1) Úřad vede přehled certifikovaných informačních systémů. K certifikovanému informačnímu systému se vede certifikační spis, do kterého se zakládá žádost o provedení certifikace, podklady poskytnuté žadatelem, technické zprávy a certifikační zpráva hodnoceného informačního systému a kopie vydaného certifikátu.
(2) Skartační lhůta certifikačního spisu začíná běžet dnem skončení platnosti certifikátu a činí nejméně 5 let.
Ustanovení přechodná a závěrečná
§ 27
Postup pro již provozované informační systémy
(1) Informační systém orgánu státu, ve kterém ke dni účinnosti zákona byla zpracovávána skutečnost tvořící předmět státního, hospodářského nebo služebního tajemství pomocí výpočetní techniky podle dosavadní právní úpravy,2) a informační systém orgánu státu, který ode dne účinnosti zákona do dne účinnosti této vyhlášky nakládal s utajovanou skutečností, lze v případě potřeby považovat za certifikovaný informační systém podle této vyhlášky, nejpozději do 18 měsíců ode dne nabytí účinnosti této vyhlášky.
(2) Informační systém organizace, ve kterém ke dni účinnosti zákona byla zpracovávána skutečnost tvořící předmět státního, hospodářského nebo služebního tajemství pomocí výpočetní techniky podle dosavadní právní úpravy,2) a informační systém organizace, který ode dne účinnosti zákona do dne účinnosti této vyhlášky nakládal s utajovanou skutečností, lze v případě potřeby považovat za certifikovaný informační systém podle této vyhlášky, nejpozději do 12 měsíců ode dne nabytí účinnosti této vyhlášky.
(3) Statutární orgán stanoví, které informační systémy uvedené v odstavci 1 nebo odstavci 2 považuje za certifikované informační systémy podle této vyhlášky.
(4) Žádost o certifikaci informačního systému uvedeného v odstavci 1 nebo odstavci 2, u kterého statutární orgán stanovil, že jej považuje za certifikovaný informační systém podle této vyhlášky, je nutno předložit nejpozději 6 měsíců před uplynutím lhůty, po kterou je považován za certifikovaný.
§ 28
Účinnost
Tato vyhláška nabývá účinnosti dnem vyhlášení.
Ředitel:
Ing. Kadlec v. r.
Příloha
Certifikát informačního systému
SCAN formulář
1) Např. kritéria bezpečnosti Trusted computer system evaluation criteria (TCSEC), Information technology security evaluation criteria (ITSEC), Common criteria (CC) nebo Canadian trusted computer product evaluation criteria (CTCPEC).
2) Směrnice Federálního ministerstva vnitra ze dne 6. června 1973 pro zabezpečení ochrany skutečností tvořících předmět státního, hospodářského a služebního tajemství při jejich zpracování pomocí výpočetní techniky.