Právní předpis byl sestaven k datu 30.12.2005.
Zobrazené znění právního předpisu je účinné od 30.03.1999 do 30.12.2005.
Vyhláška o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu
56/99 Sb.
Předmět úpravy §1
Vymezení pojmů §2
Požadavky na bezpečnost informačních systémů
Bezpečnost informačních systémů §3
Bezpečnostní dokumentace informačního systému §4
Požadavky na přístup k utajované informaci v informačním systému §5
Požadavek odpovědnosti za činnost v informačním systému §6
Požadavek označení stupně utajení informace §7
Bezpečnostní politika informačního systému §8
Požadavky na formulaci bezpečnostní politiky informačního systému §9
Minimální bezpečnostní požadavky v oblasti počítačové bezpečnosti §10
Systémově závislé bezpečnostní požadavky odvozené z bezpečnostního provozního módu §11
Systémově závislé bezpečnostní požadavky na bezpečnost v prostředí počítačových sítí §12
Požadavky na dostupnost utajované informace a služeb informačního systému §13
Systémově závislé bezpečnostní požadavky odvozené z analýzy rizik §14
Možnost nahrazení prostředků počítačové bezpečnosti §15
Požadavky fyzické bezpečnosti informačních systémů §16
Požadavek ochrany proti parazitnímu vyzařování §17
Požadavky na bezpečnost nosičů utajovaných informací §18
Ochrana utajovaných skutečností v samostatných osobních počítačích §19
Požadavky na ochranu mobilních a přenosných informačních systémů §20
Požadavek testování bezpečnosti informačního systému §21
Požadavky na bezpečnost provozovaného informačního systému §22
Požadavky na personální bezpečnosti při provozu informačního systému §23
Certifikace informačních systémů
Postup a způsob certifikace informačního systému §24
Náležitosti certifikátu informačního systému §25
Vedení přehledu certifikovaných informačních systémů §26
Ustanovení přechodná a závěrečná
Postup pro již provozované informační systémy §27
Účinnost §28
Příloha - CERTIFIKÁT
56
VYHLÁŠKA
Xxxxxxxxx xxxxxxxxxxxxxx úřadu
xx dne 19. xxxxxx 1999
o xxxxxxxxx xxxxxxxxxxx informačních xxxxxxx xxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx, xxxxxxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx
§1
Předmět xxxxxx
Xxxx xxxxxxxx xxxxxxx xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx systémů xxxxxxxxxxxxx x utajovanými xxxxxxxxxxxx (dále xxx "xxxxxxxxxx xxxxxx"), xxxxxxxxx xxxxxxxxx x oblasti xxxxxxxxxx bezpečnosti, xxxxx x xxxxxxx a xxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxxxxx certifikátu.
§2
Xxxxxxxx xxxxx
Pro xxxxx xxxx vyhlášky xx xxxxxx:
x) aktivem xxxxxxxxxxxx xxxxxxx hardware, xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxx utajované xxxxxxxxxxx (xxxx jen "xxxxxxxxx informace"), které xxxx xxxxxxx v xxxxxxxxxxx xxxxxxx, x xxxxxxxxxxx xxxxxxxxxxxx systému,
x) xxxxxxxx informačního xxxxxxx (dále jen "xxxxxx") xxxxxxx xxxxx xxxxxxxxxxxx systému, xxxxx xxxxxxxx nebo přijímá xxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxx (xxxx xxx "subjekt") xxxxxxx xxxxx xxxxxxxxxxxx systému, xxxxx způsobuje xxxxxxx xxxxxxxxx xxxx objekty xxxx xxxxx stavu xxxxxxx,
d) analýzou xxxxx xxxxxx, xxxxx xxxxx jsou xxxxxxxxxx xxxxxx informačního xxxxxxx, xxxxxx působící xx xxxxxx informačního xxxxxxx, xxxx zranitelná xxxxx, xxxxxxxxxxxxxxx xxxxxxxxx hrozeb x xxxxx xxxxxx xxxxxxxx,
e) xxxxxxxx xxxxxxxx xxxxxx o xxxxxxxxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) autentizací xxxxxxxx proces ověření xxxx identity splňující xxxxxxxxxxx míru xxxxxx,
x) autorizací xxxxxxxx xxxxxxx xxxxxxxx xxxx xxx xxxxxxxxxx xxxxxxxx xxxxxxx,
x) bezpečnostním xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxx,
i) bezpečnostním xxxxxxxxx módem prostředí, xx xxxxxx xxxxxxxxxx xxxxxx pracuje, xxxxxxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxxx,
x) důvěrností xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx, xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxx informace neoprávněnému xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx použitá x xxxxxxxxx xxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxx xxxxxxxx nebo xxxxxxxx xxxxxxx,
l) xxxxxxxxxx aktiva informačního xxxxxxx vlastnost, xxxxx xxxxxxxx xxxxxxxxx xxxx xxxxx xxxxxxx způsobem x pouze oprávněným xxxxxxxxx,
m) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx použitá x xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx při xxxxxxx telekomunikačními xxxxxx,
x) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx informačního systému xxxxxxxxxxx xxxx technickými x xxxxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxx řízením xxxxxxxx prostředky pro xxxxxxx přístupu xxxxxxxx x objektům, xxxxxxxx xx porovnání stupně xxxxxxx xxxxxxxxx informace xxxxxxxx v xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxx x xxxxxxxxx informaci x xxxxxxxxxxx xxxxxxx xxx xxxxxxxxx mezi xxxxxxx x xxxxxxx xxxxxx xxxxxxx, xxxxxxxxx xx xxxxx xxxxxxx xxxxxxxxxx,
p) xxxxxxx xxx xxxxxxxxxx xxxxxx xxxxxxxxxxxxxxx, že určitá xxxxxx xxxxxxx zranitelných xxxx informačního xxxxxxx,
x) xxxx xxxxxx xxxxxxxx xxxxxxxx a xxxxxxxxxx xxxxxxxxxx pro xxxxxxxxx v xxxxxxxxxxx xxxxxxx,
s) xxxxxxx xxxxxxxx prostředky xxx xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx, xxxxxxxxxxx, xx xxxxxxx k xxx xxxxx jen xxxxxxxxxxxx uživatel xxxx xxxxxx,
x) volitelným xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx, xxxxxxxx xx kontrole přístupových xxxx subjektu x xxxxxxx, xxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx pro xxxxxxx x xxxxxxx xxxx xxxxxx, xx xxxxx xxxxx subjekty přenese xxxxxxxxxx xxxxx k xxxxxx xxxxxxx, x xxxx tak xxxxxxxxxx xxx xxxxxxxxx xxxx xxxxxxx.
Xxxxxxxxx na xxxxxxxxxx informačních systémů
§3
Bezpečnost xxxxxxxxxxxx xxxxxxx
(1) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxx tvoří xxxxxx opatření x xxxxxxx:
x) xxxxxxxxxx x komunikační xxxxxxxxxxx,
x) xxxxxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxxx opatření,
x) xxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxx xxxxxxxx xxxxxxx x odstavci 1 xx xxxxxxxxxxxx x xxxxxxxxxxxx dokumentaci informačního xxxxxxx,
§4
Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxxxxxxxxx dokumentaci xxxxxxxxxxxx xxxxxxx xxxxx:
x) projektová xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému,
x) provozní xxxxxxxxxxxx xxxxxxxxxxx informačního xxxxxxx.
(2) Xxxxxxxxxx bezpečnostní xxxxxxxxxxx informačního xxxxxxx xxxx xxxxxxxxx:
x) xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému a xxxxxxxxxxx xxxxxxx xxxxx,
x) návrh xxxxxxxxxxxxxx xxxxxxxx xxx jednotlivé xxxx xxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(3) Provozní xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxx:
x) xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému, xxxxx xxxxxxxx činnost xxxxxxxxxxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxx,
b) xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(4) Xxxxxxxxxxxx dokumentace uvedená x xxxxxxxx 2 x odstavci 3 xxxx. x) xx xxxxxxxxxxx a xxxxxxxx xxxxxxx utajení xxxxxxx x xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx, xx xxxxxx xxxxxxxxxx xxxxxx xxxxxxx.
§5
Xxxxxxxxx xx xxxxxxx x xxxxxxxxx informaci x xxxxxxxxxxx xxxxxxx
(1) Xxxxxxx k utajované xxxxxxxxx v xxxxxxxxxxx xxxxxxx xxx xxxxxxx xxxxx xxxxxx osobě, xxxxx xxxx xxx xxxxx xxxxxxx autorizována. Xxxxxxxxxx xx xxxxxxxx xx xxxxxxxxxx identifikátoru xxxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx x xxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxx může být xxxxxxx xxx xxx xx osoby, xxxxx xxxxx xxxxxxx nezbytně xxxxx xxxxxxxxx x xxxxxx své xxxxxxxx. Xxxxx xxxxxx se xxxxx oprávnění xxxxx x xxxxxxx xxxxxxxxx xxx xxxxxxxxx xxx xxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxx.
§6
Xxxxxxxxx xxxxxxxxxxxx za xxxxxxx x xxxxxxxxxxx systému
(1) Xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxx za xxxxxxxxxx jim stanovených xxxxxxxxxx, kterými xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Tyto povinnosti xxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxxx xxxxxxxxx xxxxxxxxxxxx za xxxxxxx jednotlivých xxxxx xxxxxxxxxxxx systému.
(2) X xxxxxxxxxxx xxxxxxx xx zavádí xxxx xxxxxxxxxxxxxx správce informačního xxxxxxx xxxxxxxx xx xxxx xxxxxxx xxxxxxxxxxxx xxxxxxx.
(3) Role xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx zejména x xxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxx xxxxxxxxxxxxxx x autorizačních informací, xxxxxxxxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx bezpečnostních směrnic, xxxxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxxxx xxxxxxxxxxx x provozní bezpečnostní xxxxxxxxxxx informačního systému.
(4) Xxxxxxxxx x xxxxxxxx subjektu x xxxxxxxxxxx systému xx xxxxxxxxxxx xxx, aby xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx pokusy x ně bylo xxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx x každé xxxx xxxx x xxxxxxxxxxx xxxxxxx. Xxxxxxx xx xxxxxxxxxx xx xxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx.
§7
Požadavek xxxxxxxx xxxxxx utajení xxxxxxxxx
Utajovaná informace, xxxxx xxxxxxxxx v xxxxxxxxx xxxxxx x xxxxxxxxxxxx systému, xxxx xxx označena odpovídajícím xxxxxxx xxxxxxx xxx, xxx při xxxxxxxxxx xxxxxx xxxxxxxxx x xxxxx xxxxxxxxx xxxx xxxxxxxx dodržování xxxxxxxxxxx xxxxxx xxxxxxx.
§8
Bezpečnostní xxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxx xxxxx xxxxxxxxxx xxxxxx xxxx xxx xxx x xxxxxxxxx xxxx jeho xxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxxxxxxxx xxxxxxxx informačního xxxxxxx xxxxx soubor xxxxx, xxxxxxxx x xxxxxxx, který vymezuje xxxxxx, jakým xx xxx xxxxxxxxx xxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxx informace a xxxxxxxxxxx xxxxxxxxx xx xxxx činnost x xxxxxxxxxxx xxxxxxx. Xxxxxx xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxx v projektové x xxxxxxxx bezpečnostní xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxxx x xxxxxxx x xxxxxxxx xxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx, xxxxxxx je Xxxxx xxxxxxxxx vázána, x x xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx xxxx xxxxxxxxxx.
(3) Xxx formulaci xxxxxxxxxxxx politiky xxxxxxxxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx systému lze xxxxxx xxx mezinárodních xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx.1)
§9
Xxxxxxxxx xx xxxxxxxxx bezpečnostní xxxxxxxx informačního xxxxxxx
Xxxxxxxxxxxx politika informačního xxxxxxx xx xxxxxxxxx xx xxxxxxx:
x) xxxxxxxxxxx xxxxxxxxxxxxxx požadavků x xxxxxxx počítačové xxxxxxxxxxx,
x) systémově xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxx xxxxx,
x) xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx nadřízeného xxxxxx, xxxxx xxxx xxxxxxxxxx.
§10
Minimální xxxxxxxxxxxx xxxxxxxxx x xxxxxxx počítačové xxxxxxxxxxx
(1) Xxxxxxxxxx xxxxxx xxxxxxxxxxx x utajovanými xxxxxxxxxxx stupně xxxxxxx "Xxxxxxx" xxxx xxxxxxx musí xxxxxxxxx xxxx minimální xxxxxxxxxxxx xxxxxx:
x) xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxx xxxxxxxxx, které xxxx xxxxxxxxxx xxxx xxxxxx xxxxxxxxx uživatelů x xxxxxxxxxxx systému x xxxx xxxxxxxx xxxxxxx xxxxxxxxxx x integrity xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxx xxxxxxxx x objektům xx xxxxxxx xxxxxxxxxxx a xxxxxx přístupových práv xxxxxxxxx a xxxxxxxx xxxxxxxxx xxxx jeho xxxxxxxx xx skupině xxxxxxxxx,
c) nepřetržité xxxxxxxxxxxxx událostí, které xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xx xxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxx neautorizovaným xxxxxxxxx, xxxxxxx xxxxxxxxxx xxxx xxxxxxxx. Xxxxxxxxxxx xx xxxxxxx xxxxxxx identifikačních x xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxx, vytváření xxxx xxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxx ovlivňující xxxxxxxxxx xxxxxxxxxxxx systému,
x) xxxxxxx zkoumání xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxxx jednotlivého xxxxxxxxx xxxxxxxxxxxx xxxxxxx,
e) xxxxxxxx paměťových xxxxxxx xxxx xxxxxx dalším xxxxxxxx, xxxxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxx předchozí xxxxx,
x) xxxxxxx xxxxxxxxxx xxx xxxxx xxxxxxx xxxxxx s xxx, xx xxxxxxxxx xxxxxxxxx xxxx xxx x procesu xxxxxxx xxxx zdrojem x cílem xxxxxxxx xxxxxxxxx způsobem.
(2) X zajištění minimálních xxxxxxxxxxxxxx xxxxxx uvedených x odstavci 1 xxxx x xxxxxxxxxxx xxxxxxx realizovány xxxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxx mechanismy. Xxxxxx provedení a xxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxx, xxx xxxx xxxxx nezávisle xxxxxxxx x zhodnotit xxxxxx dostatečnost.
(3) Xxxxxxxxxxxx mechanismy uplatňující xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxx x xxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxx xxxxxxxxxxxxxxxx změnami.
(4) X xxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxx s utajovanými xxxxxxxxxxx stupně utajení "Xxxxxxxxx", xxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxx za xxxx xxxxxxx x informačním xxxxxxx x xxxxxxx x xxxxxxxxx xxxxxxxxx xxx xxxxxxx na xxxxxxx xxxxxx xxxxxxx xxxxxxxxxxx x xxxxxxxxx. X xxxx xx xxxxxxxxxx způsobem xxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxx x odstavci 1 x dále xxxxxxxx x xxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxxx xxxxxxxxxxx x fyzické xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
§11
Xxxxxxxxx xxxxxxx bezpečnostní požadavky xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxx xxxx
(1) Xxxxxxxxxx xxxxxxx xx xxxxx xxxxxxxxxx xxxxx x některém x xxxxxxxxx bezpečnostních xxxxxxxxxx xxxx:
x) xxxxxxxxxxxx xxxxxxxx xxx vyhrazený,
x) xxxxxxxxxxxx xxxxxxxx xxx x xxxxxxxx xxxxxx,
x) xxxxxxxxxxxx xxxxxxxx xxx víceúrovňový.
(2) Bezpečnostní provozní xxx xxxxxxxxx xx xxxxxx xxxxxxxxx, xx xxxxxx xx informační xxxxxx xxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxxx xxxxxxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxx musí být xxxxxx xxx xxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx, xxxxx xxxx x xxxxxxxxxxx systému xxxxxxxx, a zároveň xxxx xxx xxxxxxxxx xxxxxxxx xx xxxxx xxxxxxxxxxx informacemi, xxxxx xxxx x xxxxxxxxxxx xxxxxxx obsaženy. Xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xx provozován v xxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxx, se xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx bezpečnostních xxxxxxxxx x xxxxxxx xxxxxxxxxx bezpečnosti xxxxxxxxx x §10 xxxx. 1 písm. x), x), x) x x), jakož x xxxxxxxxxx z xxxxxxx xxxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systémů. Xxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx x opatření x xxxxxxxxx důvěrnosti dat xxxxx xxxxxxx xxxx xxxxxxxxx xxxxxx požadované xxx xxxxxxxx xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx, xx kterými xxxxxxxxxx xxxxxx xxxxxxx.
(3) Xxxxxxxxxxxx xxxxxxxx xxx x xxxxxxxx úrovní je xxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx utajovaných xxxxxxxxx klasifikovaných různými xxxxxx utajení, xx xxxxxx všichni xxxxxxxxx xxxx xxx xxxxxx xxx xxxxxxx k xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx utajení, xxxxx xxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx, přičemž xxxxxxx uživatelé xxxxxx xxx xxxxxxxxx xxxxxxxx xx xxxxx xxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, který xx xxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx módu s xxxxxxxx úrovní, xx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx požadavků v xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx v §10, xxxxx x xxxxxxxxxx x oblasti xxxxxxxxxxxxxxx x personální xxxxxxxxxxx x fyzické xxxxxxxxxxx xxxxxxxxxxxx systémů. Úroveň xxxxxxxxx xxxxxxxx z xxxxxxxxx oblastí x xxxxxxxx k xxxxxxxxx xxxxxxxxxx xxx xxxxx xxxxxxx xxxx xxxxxxxxx xxxxxx požadované pro xxxxxxxx xxxxxx xxxxxxx xxxxxxxxxxx informací, xx xxxxxxx informační xxxxxx xxxxxxx.
(4) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xx takové prostředí, xxxxx umožňuje v xxxxxx informačním xxxxxxx xxxxxxxx xxxxxxxxxx utajovaných xxxxxxxxx klasifikovaných různými xxxxxx xxxxxxx, xx xxxxxx nejsou všichni xxxxxxxxx xxxxxx pro xxxxx x xxxxxxxxxxx xxxxxxxxxxx nejvyššího xxxxxx xxxxxxx, xxxxx xxxx x informačním xxxxxxx xxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxx nemusí xxx xxxxxxxxx pracovat xx xxxxx xxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxxxx informačního xxxxxxx, xxxxx xx xxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx módu xxxxxxxxxxxxx, xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxx 3 a xxxxxxxxxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx. Xxxxxx použitých xxxxxxxx z oblasti xxxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx, xxxxxxx bezpečnosti xxxxxxxxxxxx xxxxxxx x xxxxxxxx x xxxxxxxxx xxxxxxxxxx xxx xxxxx xxxxxxx xx xxxxxxx xx xxxxxxx principu xxxxxxxxx xxxxxx přístupu.
(5) Xxxxxx xxxxxxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx musí xxxxxxxxxx:
x) xxxxxx xxxxxxx xxxxxxx subjektu x xxxxxxx x xxxxxxxxxxxxx xxxxxxxxx, xxxxx xxx subjekt vyjadřuje xxxxxx oprávnění xxxxxxxx x xxx xxxxxx xxxx xxxxxx xxxxxxx,
x) ochranu xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx informačního xxxxxxx x provádění xxxx xxxxxxxxxxxxxx atributů xxxxxxxx x xxxxxxx,
d) xxxxxxxxx předem definovaných xxxxxx xxxxxxxx xxx xxxx xxxxxxxxx xxxxxxx x zachování atributu xxx xxxxxxxxxx xxxxxxx.
(6) Při xxxxxxxxxxx xxxxxxxxxxxx funkce povinného xxxxxx xxxxxxxx subjektů x xxxxxxxx xxxx xxx xxxxxxxxxxx tyto xxxxxx:
x) subjekt xxxx xxxx informace x xxxxxxx xxxxx xxxxx, xx-xx úroveň xxxx xxxxxxxxx xxxxxx xxxx xxxxx xxx xxxxxx xxxxxxx xxxxxxx,
x) subjekt xxxx xxxxxxxxx informaci xx xxxxxxx pouze tehdy, xx-xx úroveň jeho oprávnění xxxxxx xxxx nižší xxx xxxxxx xxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx x xxxxxxx xx xxxxx, jestliže jej xxxxxxxx xxx pravidla xxxxxxxxx xxxxxx xxxxxxxx, xxx xxxxxxxx xxxxxxxxxxx xxxxxx přístupu.
(7) Xxxxxxxxxx xxxxxx, který xx xxxxxxxxxx v xxxxxxxxxxxxx provozním xxxx xxxxxxxxxxxxx, musí být xxxxxxx xxxxxx xxxxxxx xxxxxxx xxxxxxx utajované xxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx systému x xxxxxxx přiřadit xxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx xx informačního xxxxxxx.
(8) U xxxxxxxxxxxx xxxxxxx, xxxxx xx xxxxxxxxxx x xxxxxxxxxxxxx provozním xxxx xxxxxxxxxxxxx a nakládá x utajovanou xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxx "Xxxxxx xxxxx", xxxx xxx provedena identifikace x xxxxxxx xxxxxxxx xxxxxx. Xxxxxxx xxxxxxx xx rozumí xxxxxxxxxxx xxxxxxxxxx, xxx xx xxxxxxxxx informace xxxxxxx x xxxxxxxxxxxxx xxxxxxxx.
§12
Xxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xx bezpečnost v xxxxxxxxx xxxxxxxxxxxx sítí
(1) Xxx xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxx xxxxxxx xxxx xxxxxxxxxx a xxxxxxxxx.
(2) Základním xxxxxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx informace xxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxxxxxxxxxx xxxxxxx.
(3) Xxxxxxxxx xxxxxxxxxxx pro xxxxxxxxx xxxxxxxxx utajované xxxxxxxxx xxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxxxxxx xxxxxxx xxxxxxx x xxxxxxx změny xxxxxxxxx xxxxxxxxx.
(4) X xxxxxxxxxx xx xxxxxxxxxxxx prostředí xx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxx, včetně xxxxxxx xxxxxxxxxxxxx x autentizační xxxxxxxxx. Tato xxxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx informace.
(5) Xxxxxxxxx xxxx, xxxxx je xxx xxxxxxxxx správy xxxxxxxxxxxx xxxxxxx, x síti xxxxxx, xxxxx xxxx xxx xxxxxxxxx správy xxxxxxxxxxxx xxxxxxx, xxxx xxx xxxxxxxxxxx vhodným xxxxxxxxxxxxx rozhraním xxx, xxx xxxx zamezeno xxxxxxx xx informačního xxxxxxx.
§13
Xxxxxxxxx xx xxxxxxxxxx utajované xxxxxxxxx a xxxxxx xxxxxxxxxxxx systému
(1) Xxxxxxxxxx xxxxxx xxxx xxxxxxxx, aby xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xx xxxxxxxxxx xxxxx, x xxxxxxxxxx xxxxx a x xxxxxxx xxxxxxx xxxxxxx.
(2) V xxxxx zajištění bezpečného xxxxxxx informačního xxxxxxx xx x bezpečnostní xxxxxxxx informačního xxxxxxx xxxxxxx komponenty, které xxxx xxx xxxxxxxxxxxx xxx přerušení xxxxxxxx xxxxxxxxxxxx xxxxxxx. Dále xx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxx xx xxxxxxxxxx, xxx xxxxxxx xxxxxxx xxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx.
(3) Xxxxxxxxx xxxxxxx xxxxx informačního xxxxxxx a sledování xxxxxxxxxxx požadavků xx xxxxxxx xxx, xxx xxxxxxxxxxx k chybám xxxxxxxxxx xxxxxx nedostatkem.
(4) Musí xxx xxxxxxxxx xxxx na xxxxxxxx činnosti po xxxxxxx informačního xxxxxxx. Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxxx xxxxxxxxxxxxx stavu xxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx nebo automaticky. Xxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxxxx xxx xxxxxxxx xxxxxxxx informačního xxxxxxx, xx zpravidla xxxxxxxxxxxxx xx xxxxxxxxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx modifikací nebo xxxxxxxx.
§14
Systémově xxxxxxx bezpečností xxxxxxxxx xxxxxxxx x xxxxxxx xxxxx
(1) Pro xxxxxxxxx xxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx, xxxx být xxxxxxxxx xxxxxxx xxxxx.
(2) X xxxxx xxxxxxxxx xxxxxxx xxxxx xx definují xxxxxx xxxxxxxxxxxx systému x xxxxxxxxx xx xxxxxx, xxxxx xxxxxx xx xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxxxx se xxxxxxx xxxxxxxx, xxxxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(3) Po xxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx tak, xx ke xxxxx xxxxxx xx najde xxxxxxxxxx xxxxx xxxx xxxxx, xx xxxxx xxxx hrozba působí.
(4) Výsledkem xxxxxxxxx xxxxxxx rizik xx xxxxxx hrozeb, xxxxx xxxxx xxxxxxx informační xxxxxx, s xxxxxxxx xxxxxxxxxxxxxx xxxxxx.
(5) Xx základě xxxxxxxxx xxxxxxx xxxxx se xxxxxxx xxxxx vhodných xxxxxxxxxxxxx.
§15
Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx
X xxxxxxx xxxxxxxxxx xxxxxxx xx xxxxxxxxx xxxxxxx bezpečnostní xxxxxx xxxxxxxxxxxx systému xxxxxxxxxx xxxxxxxxxx bezpečnosti xxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx bezpečnosti xxxxxxxxxxxx systémů xxxxx xxxxxxxxxxxxx xxxxxxxx. Xxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx náhradním xxxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx, xxxxx mají xxxxxxxxxx xxxxxxx bezpečnostní xxxxxx, xxxx být xxxxxxxx následující xxxxxx:
x) xxxxxxxxxxxx xxxxxx xxxx xxx xxxx xxxxxxxxxxx,
x) kvalita x xxxxxx xxxxxxxxxxxx xxxxxx musí xxx xxxxxxxxx.
§16
Xxxxxxxxx xxxxxxx xxxxxxxxxxx informačních xxxxxxx
(1) Xxxxxx xxxxxxxxxxxx systému xxxx xxx xxxxxxxx do xxxxxxxxxxxxx prostoru, xx xxxxxx xx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxx a xxxxxxxxxx. Tento xxxxxxx xx xxxxxxx xxxxxxxxxxxx xxxxx ochrany s xxxxxxxx kontrolami vstupu x bezpečnostními xxxxxxxxx.
(2) Xxxxxxx xxxxxxxxxxxx xxxxxxx musí být xxxxxxx xxxxxxxx před xxxxxxxxxxxxxx xxxxxxxx x xxxxxx prostředí.
(3) Xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx musí xxx xxxxxxxxx tak, xxx xxxxxxxxxx nepovolané xxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx.
(4) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx musí xxx xxxxxxxx xxxx xxxxxxxx xxxxxxxxx přenášených xxxxxxxxxxx xxxxxxxxx a xxxxxx xxxxxxxxx.
(5) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxx technické xxxxxxxxxxx.
§17
Xxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxxxxx systému, xxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxx, xxxx xxx xxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxxxxx vyzařování, které xx xxxxx xxxxxxxx xxxxxxxxx utajované informace.
(2) Xxxxxx zabezpečení xx xxxxxxx xx xxxxxx xxxxxxx utajované xxxxxxxxx, xx xxxxxx xxxxxxxxxx xxxxxx xxxxxxx.
§18
Xxxxxxxxx xx xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx být xxxxxxxxx.
(2) Vyměnitelný xxxxx xxxxxxxxxxx xxxxxxxxx xxxx xxx xxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx.
(3) Xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxx informací, který xxx xxxxxxx xxxxxxx xxxxxxx "Přísně xxxxx", xxxxx xxx snížen.
(4) Stupeň utajení xxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxx xxxxxxx xxxxxxx xxxxxxx "Xxxxx", "Důvěrné" xxxx "Xxxxxxxxx", xxxx být xxxxxx pouze x xxxxxxx, xx vymazání xxxxxxxxxxx xxxxxxxxx x xxx xxxx xxxxxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx 5.
(5) Xxxxxxxx utajované xxxxxxxxx x xxxxxxxxxxxxx nosiče xxxxxxxxxxx xxxxxxxxx, které xxxxxxxx xxxxxxx xxxx xxxxxx utajení, musí xxx provedeno xxx, xxx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxx xxxxx xxxx bylo xxxxxx xxxxxxx x xxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxx a xxxxxxxxxx.
(6) Xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxx xxx, xxx xxxxxx možno xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx x něho xxxxxxxx xxxxxx.
§19
Xxxxxxx xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxx počítačích
(1) X xxxxxx xxxxx xxxx v xxxxxxxxxx xxxx xxx xxxxxxxxxxxx politika xxx xxxxxxxxxx osobní xxxxxxxx, xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx, xxxxxxxxxx xxxxxxxx, xxxxxxx xxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx xxxxxxx, tabulkových xxxxxxxxx, xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxx nebo xxxxxxxxxxxxxxxx xxxxxxxx instalovaných xx samostatných xxxxxxxx xxxxxxxxxx.
(2) Xxxxxx xxxxxxxx použitých pro xxxxxxxx xxxxxxx samostatného xxxxxxxx xxxxxxxx xxxxxxx x xxxxxx xxxxxx xxxxxxxx xxxx nosiče xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx informace, xx xxxxxx xxxxxxxxxx osobní xxxxxxx xxxxxxx.
§20
Xxxxxxxxx xx ochranu xxxxxxxxx x xxxxxxxxxx informačních xxxxxxx
(1) Pro xxxxxxx a xxxxxxxx xxxxxxxxxx systémy xx x analýze xxxxx xxxxxxxx x xxxxxx, xxxxx xxxx u xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx s xxxxxxxxx xxxxxxxxxxx x x xxxxxxxxxx informačních systémů x prostředími, xx xxxxxxx budou xxxx xxxxxxxxxx systémy používány.
(2) Xxxxxxx komponentu xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxxx utajované xxxxxxxxx, xxxxxxx x xxxxxx xxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxx utajované xxxxxxxxx, xx xxxxxx xxxxx xxxxxxxxx xxxxxxx.
§21
Xxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxxxxxxx xxxxxxxxxxxx systému xx xxxx xxxx xxxx certifikací xxxxxx xxxxxxxxxx. Xxxxxxxxx xxxxxxx xxxxxx, xxxxx členové xxxxx být ve xxxxxx x xxxxxxxxxxxx xxxxxxx x x xxxxxxxxxx xxxx xxxxxxx xxx, xx by xx xxxxxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxx, xx by xxxx xxxxxx xxxxx xx xxxxxxxxxx testování xxxx xx s xxxxxxxxx xxxxx xxxxxxxx xxxxxx xxxxx xxxxxxxx x xxxx obdobný xxxxx. X xxxxxxxxx testování xx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx xxxxx xxxxxx xxxxxxxx, xx xxxxxxxxxxxx funkce jsou xxxx v souladu x bezpečnostní politikou xxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxx xxxx být xxxxxxxxxxxxxxx. Xxxxx xxxxxxxx xxxxx xxxxxxxxx xxxx xxx xxxxxxxxxx x xxxxxx xxxxxxxxxx xxxx xxx xxxxxxx xxxxxxxxxx xxxxx.
§22
Požadavky xx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxxx, s xxxxxxx xx xxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx, xxxxxxxxxxx x xxxxxxxxxxxxx. Xxxxx xxxxx x xxxxxxxxxxx xxxxxxx xx xxxxx xxxxxxx xx po xxxxxxxxxxx vlivu xxxx xxxxx xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxxxx xxxxxxxxxxxx vybavení x xxxxxxxxxxx informací xxxx xxx xxxxxxxx xxxx působením xxxxxxxxxx xxxx.
(3) X xxxxxxxxxxxx informačním xxxxxxx xxxx xxx xxxxxxxxx xxxxx programové vybavení, xxxxx xxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(4) X xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxx zálohování xxxxxxxxxxxx vybavení x xxxxxxxxxxx xxxxxxxxx. Xxxxxx xxxxxxxxxxxx vybavení x xxxxxxxxxxx xxxxxxxxx xxxx xxx uložena tak, xxx xxxxxxx dojít x xxxxxx xxxxxxxxx xxxx xxxxxxx xxx xxxxxxxx informačního systému.
(5) Xxxxxxxx xxxxxxx x provozovaném xxxxxxxxxxx xxxxxxx se xxxx xxxxxxxxxxx xxx, xxx xxxxxx ohrožena jeho xxxxxxxxxx. X xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx přístupných xxx xxxxxxxx xxxxxxxx musí xxx xxxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxx musí xxx xxxxxxxxxxx před xxxxxxxxx.
(6) X provozovaném xxxxxxxxxxx systému musí xxx x termínech xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx informačního xxxxxxx x xxx xxxxxx xxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx auditních xxxxxxx. Auditní xxxxxxx xxxx xxx xxxxxxxxxxx xx xxxx stanovenou x xxxxxxxxxxxx dokumentaci xxxxxxxxxxxx xxxxxxx.
(7) Xxx xxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx být x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému stanovena xxxxxxxx xxxxxxxx na xxxx uvedení xx xxxxxxx xxxxxxxxxx xxxxx. X xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx musí xxx xxxxxxx xxxx xxxxxxxx:
x) xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx po xxxxxx xxxxxxx xxxxxxx xxxxxxxx xx xxxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxx xxxxxxx xxxxxxxx xx xxxxxxxxx xxxxxxxx krizové situace xxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx za xxxxxxxxxx xxxxx,
c) xxxxxx xxxxxxxxxx xxxxxxxxxxxx systému,
x) způsob zajišťování xxxxxxxx xxxxxxxx,
x) xxxxxx zajištění xxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx x vyjmenováním xxxxxxxxxxx xxxxxx, které xxxx xxx zachovány,
f) xxxxxx obnovy funkčnosti x xxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxxx xxxxxxxxxx xxxxx.
(8) Před likvidací xxxxxxxxxxxx systému musí xxx xxxxxxxxx vyjmutí, xxxxxxxx nebo xxxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx.
§23
Xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Uživatel informačního xxxxxxx musí xxx xxxxxxxxxxx pro xxxxxxx x informačním xxxxxxx x tato autorizace xxxx být xxxxxxx xxx xxxxx xxxx xxxx v xxxxx xxxxxxxxxxxx xxxxxxx nebo xxxxxxx xxx xxxxxx xxxx určení.
(2) Xxxxxxxxxxxx informačního systému xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxx x bezpečnostní xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx x správném xxxxxxx xxxxxxxxxxxx xxxxxxx.
Certifikace xxxxxxxxxxxx xxxxxxx
§24
Xxxxxx x způsob xxxxxxxxxxx xxxxxxxxxxxx systému
(1) Xxxxxx x provedení xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxxx Xxxxx xxxxx xxxxx xxxx xxxxxxxxxx, xxxxx budou informační xxxxxx xxxxxxxxxx, (xxxx jen "žadatel").
(2) Žádost xxxxx xxxxxxxx 1 obsahuje:
x) xxxxxxx xxxxx xxxxx x rozsahu xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xxxx běžných x xxxxxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx xxxxxxxxxxx informací, se xxxxxxx xxxx informační xxxxxx xxxxxxxx,
c) xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx systému,
x) xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(3) Xxxx xxxxxxxxx xxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxx informačního xxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx (xxxx xxx "xxxxxxxxx") a časový xxxx xxxxxx xxxxxxxxxx xxxxxxxxx. X xxxxxxxxx xxxxxxxxx žadatel xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx:
x) bezpečnostní xxxxxxxx informačního xxxxxxx x výsledky analýzy xxxxx,
x) xxxxx xxxxxxxxxxx informačního xxxxxxx,
x) xxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx systému, xxxxxx popis x xxxxx xxxxxxxx testování,
x) xxxxxxxxxxxx provozní xxxxxxxxxxx informačního xxxxxxx,
x) popis xxxxxxxxxxx xxxxxxxxxx prostředí.
(4) Xxxxxxxxx xx provádí xxxxxxxxxx xxxxxxxx předložených xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx xxxxx. Xxxxxxxxx xxxxx xxxxxxx Xxxx x žadatele v xxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx za xxxxxxxxxxx xxxxxxxx x x xxxxxxx xxxxxxx xxxxxxxxxx.
(5) Xxxx-xx x xxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx, vyzve Xxxx xxxxxxxx x jejich xxxxxxxxxx. Xxxxx žadatel x xxxxxxx xxxxxxxxxx Xxxxxx zjištěné xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx se xxxxxx.
(6) Xxxxxxxxx xxx xxxxxxxx xxxxxxxx xx ukončení jednotlivých xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xx xx xxxx celkovém xxxxxxxxx.
(7) X xxxxxxxx xxxxxxxxx xx xxxxxxxx technické xxxxxx.
(8) Jestliže xx xx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxx způsobilost xxxxxxxxxxx informačního xxxxxxx xxx xxxxxxxxx s xxxxxxxxxxx xxxxxxxxxxx, obdrží xxxxxxx o xxxxx certifikát. X případě, xx xxxxxxxxx informační xxxxxx splňuje způsobilost xxxxx xxx nižší xxxxxx xxxxxxx, xxxx xx certifikát xx xxxxx xxxxxx xxxxxxx.
(9) Xxxxx-xx x xxxxxxxxxxx xxxxxxx, xxxxx xxxxxxxxxxx byla chválena, xx xxxxxx xxxxxxxx x §25 odst. 2 xxxx. e), xxxxxxx xx doplňující xxxxxxxxx xxxxxxxxxxxx systému x xxxxxxx potřebném x xxxxxxxxx xxxxxxxxxxx xxxx. X xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx se xxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
§25
Xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxx xx uveden v příloze, xxxxxxxx:
a) xxxxxxxxxxxx informačního xxxxxxx xxxxxx xxxxxxxx xxxxx, xxx xxxxx xx xxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxx přidělenou Xxxxxx,
x) xxxxxxxxxxxx žadatele,
x) identifikaci xxxxxxxxxx xxxxxxxxxxxx systému,
e) xxxxxx utajení xxxxxxxxxxx xxxxxxxxx, xxx který xxxx schválena xxxx xxxxxxxxxxx,
x) xxxx xxxxxxxxx certifikátu.
(2) Xxxxxxxx certifikátu xx xxxxxxxxxxxx zpráva, xxxxx tvoří xxxx xxxxxxx. Certifikační xxxxxx xxxxxxxx:
a) orientační xxxxx xxxxxxxxxxxx xxxxxxx,
x) bezpečnostní politiku xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxxx x xxxxxxxxx,
x) xxxxxxxx xxxxxxx podmiňující platnost xxxxxxxxxxx a
x) xxxx změn xxxxxxxxxxxx xxxxxxx, xxxxx vyžadují xxxxxxxxx doplňujícího hodnocení xxxxxxxxxxxx systému.
§26
Xxxxxx xxxxxxxx certifikovaných xxxxxxxxxxxx xxxxxxx
(1) Xxxx xxxx přehled certifikovaných xxxxxxxxxxxx systémů. X xxxxxxxxxxxxxxx informačnímu systému xx vede certifikační xxxx, xx xxxxxxx xx zakládá žádost x xxxxxxxxx xxxxxxxxxxx, xxxxxxxx poskytnuté xxxxxxxxx, xxxxxxxxx xxxxxx x xxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému a xxxxx vydaného certifikátu.
(2) Xxxxxxxxx xxxxx xxxxxxxxxxxxxx xxxxx xxxxxx xxxxx dnem xxxxxxxx xxxxxxxxx certifikátu x xxxx xxxxxxx 5 let.
Ustanovení xxxxxxxxx x xxxxxxxxx
§27
Xxxxxx xxx již xxxxxxxxxxx xxxxxxxxxx systémy
(1) Informační xxxxxx xxxxxx xxxxx, ve xxxxxx xx xxx xxxxxxxxx zákona xxxx xxxxxxxxxxxx xxxxxxxxxx tvořící xxxxxxx xxxxxxxx, hospodářského xxxx služebního xxxxxxxxx xxxxxx xxxxxxxxx techniky xxxxx xxxxxxxxx xxxxxx xxxxxx,2) a xxxxxxxxxx xxxxxx xxxxxx xxxxx, xxxxx xxx dne xxxxxxxxx zákona do xxx xxxxxxxxx xxxx xxxxxxxx xxxxxxxx s xxxxxxxxxx skutečností, xxx x případě xxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxx xxxx vyhlášky, nejpozději xx 18 xxxxxx xxx xxx xxxxxx xxxxxxxxx xxxx xxxxxxxx.
(2) Xxxxxxxxxx systém xxxxxxxxxx, xx xxxxxx xx dni xxxxxxxxx zákona xxxx zpracovávána xxxxxxxxxx tvořící xxxxxxx xxxxxxxx, hospodářského xxxx xxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx techniky xxxxx xxxxxxxxx právní úpravy,2) x xxxxxxxxxx systém xxxxxxxxxx, který xxx xxx účinnosti zákona xx dne xxxxxxxxx xxxx xxxxxxxx xxxxxxxx x xxxxxxxxxx skutečností, xxx v xxxxxxx xxxxxxx považovat xx xxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxx této xxxxxxxx, xxxxxxxxxx xx 12 xxxxxx xxx xxx xxxxxx xxxxxxxxx této xxxxxxxx.
(3) Statutární xxxxx stanoví, xxxxx xxxxxxxxxx xxxxxxx uvedené x xxxxxxxx 1 xxxx xxxxxxxx 2 xxxxxxxx xx certifikované xxxxxxxxxx xxxxxxx podle xxxx xxxxxxxx.
(4) Xxxxxx x xxxxxxxxxxx xxxxxxxxxxxx systému uvedeného x xxxxxxxx 1 xxxx odstavci 2, x kterého xxxxxxxxxx xxxxx stanovil, xx xxx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxx této xxxxxxxx, xx xxxxx předložit xxxxxxxxxx 6 xxxxxx xxxx uplynutím xxxxx, xx xxxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx.
§28
Xxxxxxxx
Xxxx vyhláška xxxxxx xxxxxxxxx xxxx xxxxxxxxx.
Xxxxxxx:
Xxx. Xxxxxx v. r.
Xxxxxxx x xxxxxxxx x. 56/1999 Sb.
Xxxxxxxxx
Xxxxxx xxxxxxx x. 56/99 Sb. xxxxx xxxxxxxxx dnem 30.3.1999.
Ke dni xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxx xx xxxxxxxxx.
Xxxxxx xxxxxxx x. 56/99 Xx. xxx xxxxxx xxxxxxx xxxxxxxxx č. 412/2005 Sb. x xxxxxxxxx xx 1.1.2006.
Xxxxx xxxxxxxxxxxx právních xxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx není xxxxxxxxxxxxx, xxxxx se xxxx xxxxxx derogační xxxxx xxxxx xxxxxxxxx xxxxxxxx předpisu.
1) Xxxx. xxxxxxxx xxxxxxxxxxx Xxxxxxx xxxxxxxx system xxxxxxxxxx xxxxxxxx (XXXXX), Xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxx (XXXXX), Xxxxxx xxxxxxxx (XX) xxxx Xxxxxxxx trusted xxxxxxxx xxxxxxx xxxxxxxxxx criteria (XXXXXX).
2) Xxxxxxxx Xxxxxxxxxxx ministerstva vnitra xx xxx 6. xxxxxx 1973 xxx xxxxxxxxxxx ochrany xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx, xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx při xxxxxx xxxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx.