Právní předpis byl sestaven k datu 30.12.2005.
Zobrazené znění právního předpisu je účinné od 30.03.1999 do 30.12.2005.
Vyhláška o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu
56/99 Sb.
Předmět úpravy §1
Vymezení pojmů §2
Požadavky na bezpečnost informačních systémů
Bezpečnost informačních systémů §3
Bezpečnostní dokumentace informačního systému §4
Požadavky na přístup k utajované informaci v informačním systému §5
Požadavek odpovědnosti za činnost v informačním systému §6
Požadavek označení stupně utajení informace §7
Bezpečnostní politika informačního systému §8
Požadavky na formulaci bezpečnostní politiky informačního systému §9
Minimální bezpečnostní požadavky v oblasti počítačové bezpečnosti §10
Systémově závislé bezpečnostní požadavky odvozené z bezpečnostního provozního módu §11
Systémově závislé bezpečnostní požadavky na bezpečnost v prostředí počítačových sítí §12
Požadavky na dostupnost utajované informace a služeb informačního systému §13
Systémově závislé bezpečnostní požadavky odvozené z analýzy rizik §14
Možnost nahrazení prostředků počítačové bezpečnosti §15
Požadavky fyzické bezpečnosti informačních systémů §16
Požadavek ochrany proti parazitnímu vyzařování §17
Požadavky na bezpečnost nosičů utajovaných informací §18
Ochrana utajovaných skutečností v samostatných osobních počítačích §19
Požadavky na ochranu mobilních a přenosných informačních systémů §20
Požadavek testování bezpečnosti informačního systému §21
Požadavky na bezpečnost provozovaného informačního systému §22
Požadavky na personální bezpečnosti při provozu informačního systému §23
Certifikace informačních systémů
Postup a způsob certifikace informačního systému §24
Náležitosti certifikátu informačního systému §25
Vedení přehledu certifikovaných informačních systémů §26
Ustanovení přechodná a závěrečná
Postup pro již provozované informační systémy §27
Účinnost §28
Příloha - CERTIFIKÁT
56
XXXXXXXX
Xxxxxxxxx bezpečnostního xxxxx
xx xxx 19. xxxxxx 1999
x xxxxxxxxx bezpečnosti informačních xxxxxxx nakládajících x xxxxxxxxxxx skutečnostmi, provádění xxxxxx xxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx
§1
Předmět xxxxxx
Xxxx xxxxxxxx xxxxxxx xxxxxxxxx na xxxxxxxxxx informačních systémů xxxxxxxxxxxxx x utajovanými xxxxxxxxxxxx (xxxx xxx "xxxxxxxxxx xxxxxx"), xxxxxxxxx xxxxxxxxx v xxxxxxx xxxxxxxxxx bezpečnosti, jakož x postupy a xxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxxxxx certifikátu.
§2
Xxxxxxxx xxxxx
Pro xxxxx xxxx xxxxxxxx xx xxxxxx:
x) xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx, xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxx utajované xxxxxxxxxxx (dále jen "xxxxxxxxx informace"), xxxxx xxxx xxxxxxx x xxxxxxxxxxx systému, x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx informačního xxxxxxx (xxxx jen "xxxxxx") pasivní prvek xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxxx xxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxxxx") xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxxxx předání xxxxxxxxx xxxx xxxxxxx xxxx xxxxx xxxxx xxxxxxx,
d) xxxxxxxx xxxxx proces, během xxxxx xxxx zjišťována xxxxxx informačního xxxxxxx, xxxxxx působící xx xxxxxx xxxxxxxxxxxx systému, xxxx zranitelná xxxxx, xxxxxxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxx xxxxxx xxxxxxxx,
e) auditním xxxxxxxx xxxxxx o xxxxxxxxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxx informačního xxxxxxx,
f) xxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxxx splňující xxxxxxxxxxx xxxx xxxxxx,
x) xxxxxxxxxx subjektu xxxxxxx xxxxxxxx xxxx xxx xxxxxxxxxx určených xxxxxxx,
x) xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxx,
i) xxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxx, xx xxxxxx informační xxxxxx pracuje, xxxxxxxxxxxxxxxx xxxxxxx utajení xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx a xxxxxxxx oprávnění xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxx vlastnost, xxxxx xxxxxxxxxx odhalení xxxxxxxxx xxxxxxxxx neoprávněnému xxxxxxxx,
k) xxxxxxxx xxxxxxxxxxx informačního xxxxxxx xxxxxxxx použitá x xxxxxxxxx xxxxxxx ochrany xxxxx xxxxxxxxxxxx xxxxxxx xxxxx náhodným xxxx xxxxxxxx hrozbám,
x) xxxxxxxxxx aktiva xxxxxxxxxxxx xxxxxxx xxxxxxxxx, xxxxx xxxxxxxx provedení jeho xxxxx určeným způsobem x xxxxx xxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxxx opatření xxxxxxx x zajištění ochrany xxxxxxxxx informace při xxxxxxx telekomunikačními kanály,
x) počítačovou xxxxxxxxxxx xxxxxxxxxx informačního systému xxxxxxxxxxx xxxx technickými x xxxxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxx řízením xxxxxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxx x objektům, založené xx porovnání stupně xxxxxxx utajované xxxxxxxxx xxxxxxxx x xxxxxxx x úrovně xxxxxxxxx xxxxxxxx pro přístup x utajované informaci x zajišťující xxxxxxx xxx informací xxxx xxxxxxx x xxxxxxx xxxxxx utajení, xxxxxxxxx xx volbě xxxxxxx xxxxxxxxxx,
p) rizikem xxx xxxxxxxxxx systém xxxxxxxxxxxxxxx, xx xxxxxx xxxxxx využije xxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx,
x) xxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxx autorizací pro xxxxxxxxx v informačním xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx, xxxxxxxxxxx, xx xxxxxxx x xxx xxxxx jen xxxxxxxxxxxx xxxxxxxx xxxx xxxxxx,
t) xxxxxxxxxx xxxxxxx xxxxxxxx prostředky xxxxxxx xxxxxxxx subjektů x objektům, xxxxxxxx xx xxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxx k xxxxxxx, xxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx přístupovými xxxxx xxx xxxxxxx x objektu xxxx xxxxxx, xx xxxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxx xxxxx x xxxxxx xxxxxxx, a xxxx xxx xxxxxxxxxx xxx informace xxxx xxxxxxx.
Xxxxxxxxx na xxxxxxxxxx xxxxxxxxxxxx systémů
§3
Xxxxxxxxxx informačních xxxxxxx
(1) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx xxxxxx xxxxxxxx x xxxxxxx:
x) xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx,
x) administrativní xxxxxxxxxxx x organizačních opatření,
x) personální bezpečnosti,
x) xxxxxxx bezpečnosti xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxx opatření xxxxxxx x xxxxxxxx 1 xx xxxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
§4
Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxxx:
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx informačního xxxxxxx,
x) provozní bezpečnostní xxxxxxxxxxx informačního systému.
(2) Xxxxxxxxxx bezpečnostní xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxx:
x) xxxxxxxxxxxx politiku xxxxxxxxxxxx xxxxxxx a xxxxxxxxxxx xxxxxxx rizik,
x) xxxxx xxxxxxxxxxxxxx xxxxxxxx xxx jednotlivé xxxx xxxxxx xxxxxxxxxxxx systému,
x) xxxxxxxxxxx x xxxxxx xxxxxxxxxxx informačního systému.
(3) Xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxx obsahovat:
x) xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxxx činnost bezpečnostního xxxxxxx v xxxxxxxxxx xxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxxx směrnice xxx xxxxxxxxxx typy xxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(4) Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxx 2 x xxxxxxxx 3 xxxx. x) xx xxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxx shodným x xxxxxxxxx xxxxxxx xxxxxxx utajované xxxxxxxxx, xx xxxxxx informační xxxxxx xxxxxxx.
§5
Xxxxxxxxx xx xxxxxxx k xxxxxxxxx informaci x xxxxxxxxxxx xxxxxxx
(1) Xxxxxxx k xxxxxxxxx xxxxxxxxx v xxxxxxxxxxx xxxxxxx lze xxxxxxx xxxxx xxxxxx xxxxx, xxxxx xxxx pro xxxxx xxxxxxx autorizována. Xxxxxxxxxx xx xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx k xxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxx může xxx xxxxxxx jen pro xx osoby, xxxxx xxxxx xxxxxxx xxxxxxxx xxxxx xxxxxxxxx x xxxxxx své xxxxxxxx. Xxxxx osobám xx xxxxx xxxxxxxxx xxxxx x xxxxxxx xxxxxxxxx xxx provádění xxx xxxxxxxx aktivit v xxxxxxxxxxx xxxxxxx.
§6
Xxxxxxxxx xxxxxxxxxxxx za činnost x xxxxxxxxxxx systému
(1) Xxxxxxxxx informačního xxxxxxx odpovídají xx xxxxxxxxxx xxx stanovených xxxxxxxxxx, xxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxx xxxxxxxxxx xxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxxx dokumentaci xxxxxxxxxxxx systému, xxxxxx xxxxxxxxx odpovědnosti za xxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx.
(2) X informačním xxxxxxx xx xxxxxx xxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx odděleně xx xxxx xxxxxxx xxxxxxxxxxxx xxxxxxx.
(3) Role xxxxxxxxxxxxxx xxxxxxx informačního xxxxxxx xxxxxxxx výkon xxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxx auditních xxxxxxx, xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx, xxxxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxx x xxxxxxxx bezpečnostní xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(4) Informace x xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxx xx xxxxxxxxxxx tak, xxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx nebo pokusy x xx bylo xxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx v xxxxx xxxx xxxx x xxxxxxxxxxx systému. Xxxxxxx xx xxxxxxxxxx po xxxx stanovenou x xxxxxxxxxxxx politice informačního xxxxxxx.
§7
Xxxxxxxxx xxxxxxxx xxxxxx xxxxxxx xxxxxxxxx
Xxxxxxxxx informace, xxxxx xxxxxxxxx x xxxxxxxxx xxxxxx x xxxxxxxxxxxx systému, musí xxx označena xxxxxxxxxxxxx xxxxxxx xxxxxxx xxx, xxx xxx xxxxxxxxxx xxxxxx nakládání x xxxxx informací bylo xxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx.
§8
Xxxxxxxxxxxx xxxxxxxx informačního xxxxxxx
(1) Xxx každý xxxxxxxxxx xxxxxx xxxx xxx xxx x xxxxxxxxx fázi xxxx xxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx tvoří xxxxxx xxxxx, xxxxxxxx x xxxxxxx, xxxxx vymezuje xxxxxx, xxxxx xx xxx zajištěna xxxxxxxxx, xxxxxxxxx a xxxxxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxx xx xxxx xxxxxxx x xxxxxxxxxxx xxxxxxx. Xxxxxx xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxx x projektové x xxxxxxxx bezpečnostní xxxxxxxxxxx xxxxxxxxxxxx systému.
(2) Bezpečnostní politika xxxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxxx x xxxxxxx s xxxxxxxx xxxxxxxx a mezinárodními xxxxxxxxx, kterými xx Xxxxx xxxxxxxxx vázána, x s xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx byla zpracována.
(3) Při xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx x posuzování xxxxxxxxxxxxxx vlastností xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxx xxxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx.1)
§9
Xxxxxxxxx xx formulaci bezpečnostní xxxxxxxx xxxxxxxxxxxx systému
Xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx se formuluje xx základě:
a) xxxxxxxxxxx bezpečnostních požadavků x oblasti xxxxxxxxxx xxxxxxxxxxx,
x) systémově xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxx xxxxxxxxx x xxxxxxxx analýzy xxxxx,
x) bezpečnostních xxxxxxxxx xxxxxxxxxxxx xxxxxxxx nadřízeného xxxxxx, pokud xxxx xxxxxxxxxx.
§10
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxx počítačové bezpečnosti
(1) Xxxxxxxxxx systém xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx stupně xxxxxxx "Xxxxxxx" xxxx xxxxxxx xxxx xxxxxxxxx xxxx minimální bezpečnostní xxxxxx:
x) xxxxxxxxxxxx xxxxxxxxxxxx a autentizaci xxxxxxxxx, xxxxx musí xxxxxxxxxx xxxx dalším xxxxxxxxx uživatelů x xxxxxxxxxxx xxxxxxx x xxxx zajistit xxxxxxx xxxxxxxxxx x integrity xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx řízení přístupu x xxxxxxxx xx xxxxxxx xxxxxxxxxxx x xxxxxx xxxxxxxxxxxx xxxx xxxxxxxxx x identity xxxxxxxxx nebo jeho xxxxxxxx xx xxxxxxx xxxxxxxxx,
c) xxxxxxxxxxx xxxxxxxxxxxxx událostí, xxxxx xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx systému, do xxxxxxxxx záznamů x xxxxxxxxxxx xxxxxxxxx záznamů xxxx xxxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxxxx xxxx xxxxxxxx. Xxxxxxxxxxx se xxxxxxx použití xxxxxxxxxxxxxxx x autentizačních xxxxxxxxx, xxxxxx x zkoumání xxxxxxxxxxxx xxxx, xxxxxxxxx xxxx xxxxxx objektu xxxx xxxxxxx autorizovaných xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx auditních xxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx paměťových xxxxxxx xxxx xxxxxx dalším xxxxxxxx, xxxxxxx před xxxxxxxxxx jinému subjektu, xxxxx xxxxxxxx xxxxxxx xxxxxx předchozí xxxxx,
x) xxxxxxx důvěrnosti xxx xxxxx xxxxxxx sítěmi s xxx, xx xxxxxxxxx xxxxxxxxx xxxx xxx x xxxxxxx xxxxxxx xxxx xxxxxxx x xxxxx xxxxxxxx xxxxxxxxx xxxxxxxx.
(2) X xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx uvedených x odstavci 1 xxxx x informačním xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxxx xxxxxxxxxx technické mechanismy. Xxxxxx provedení x xxxxxxxx xxxxxxxxx je xxxxxxxxxxxxxx xxx, xxx xxxx xxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxxxxxx.
(3) Xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx informačního xxxxxxx xxxx xxx x celém xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxx neautorizovanými xxxxxxx.
(4) X xxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxx s xxxxxxxxxxx xxxxxxxxxxx xxxxxx utajení "Xxxxxxxxx", musí být zajištěna xxxxxxxxxxx xxxxxxxxx xx xxxx xxxxxxx v informačním xxxxxxx x xxxxxxx x utajované informaci xxx umožnit xx xxxxxxx xxxxxx xxxxxxx xxxxxxxxxxx x xxxxxxxxx. X xxxx se xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxx funkce xxxxxxx x odstavci 1 x xxxx xxxxxxxx x xxxxxxx xxxxxxxxxx x administrativní xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systémů.
§11
Systémově xxxxxxx bezpečnostní xxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxx módu
(1) Xxxxxxxxxx systémy xx xxxxx xxxxxxxxxx xxxxx x xxxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx:
a) bezpečnostní xxxxxxxx xxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxx xxx x xxxxxxxx xxxxxx,
c) bezpečnostní xxxxxxxx xxx xxxxxxxxxxxx.
(2) Bezpečnostní xxxxxxxx xxx xxxxxxxxx xx xxxxxx prostředí, xx xxxxxx xx xxxxxxxxxx xxxxxx xxxxx xxxxxxxx xxx zpracování jednoho xxxxxxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxx musí xxx xxxxxx pro přístup x utajovaným informacím xxxxxxxxxx stupně xxxxxxx, xxxxx xxxx v xxxxxxxxxxx xxxxxxx xxxxxxxx, x xxxxxxx xxxx xxx xxxxxxxxx xxxxxxxx se všemi xxxxxxxxxxx informacemi, xxxxx xxxx x informačním xxxxxxx xxxxxxxx. Bezpečnost xxxxxxxxxxxx xxxxxxx, xxxxx xx xxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxx, xx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx bezpečnostních xxxxxxxxx v xxxxxxx xxxxxxxxxx xxxxxxxxxxx uvedených x §10 xxxx. 1 xxxx. a), x), x) a x), xxxxx x xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx informačních systémů. Xxxxxx použitých opatření x uvedených oblastí x xxxxxxxx x xxxxxxxxx xxxxxxxxxx xxx xxxxx xxxxxxx xxxx xxxxxxxxx xxxxxx xxxxxxxxxx xxx xxxxxxxx stupeň xxxxxxx utajovaných xxxxxxxxx, xx kterými informační xxxxxx xxxxxxx.
(3) Xxxxxxxxxxxx provozní xxx x xxxxxxxx xxxxxx je takové xxxxxxxxx, které xxxxxxxx xxxxxxxx xxxxxxxxxx utajovaných xxxxxxxxx xxxxxxxxxxxxxxx různými xxxxxx xxxxxxx, xx xxxxxx všichni xxxxxxxxx xxxx xxx určeni xxx přístup x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx, xxxxx xxxx x xxxxxxxxxxx xxxxxxx obsaženy, xxxxxxx xxxxxxx xxxxxxxxx xxxxxx xxx oprávněni pracovat xx xxxxx utajovanými xxxxxxxxxxx. Bezpečnost informačního xxxxxxx, xxxxx xx xxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx módu x xxxxxxxx xxxxxx, se xxxxxxxxxxx splněním xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx v xxxxxxx počítačové xxxxxxxxxxx xxxxxxxxx x §10, xxxxx x xxxxxxxxxx x oblasti administrativní x personální bezpečnosti x fyzické bezpečnosti xxxxxxxxxxxx xxxxxxx. Úroveň xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx a xxxxxxxx x xxxxxxxxx xxxxxxxxxx xxx xxxxx xxxxxxx musí xxxxxxxxx xxxxxx xxxxxxxxxx pro xxxxxxxx stupeň xxxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxxxx xxxxxx xxxxxxx.
(4) Xxxxxxxxxxxx xxxxxxxx xxx víceúrovňový xx xxxxxx xxxxxxxxx, xxxxx xxxxxxxx x xxxxxx informačním systému xxxxxxxx zpracování utajovaných xxxxxxxxx xxxxxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxx, xx xxxxxx xxxxxx xxxxxxx xxxxxxxxx xxxxxx pro xxxxx s utajovanými xxxxxxxxxxx xxxxxxxxxx stupně xxxxxxx, xxxxx xxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxx nemusí xxx oprávněni xxxxxxxx xx xxxxx utajovanými xxxxxxxxxxx. Xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xx xxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx módu víceúrovňovém, xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxx 3 x bezpečnostní xxxxxx xxxxxxxxx xxxxxx xxxxxxxx xxxxxxxx k xxxxxxxx. Xxxxxx použitých xxxxxxxx z oblasti xxxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx, xxxxxxx bezpečnosti xxxxxxxxxxxx xxxxxxx a xxxxxxxx k xxxxxxxxx xxxxxxxxxx xxx xxxxx xxxxxxx xx xxxxxxx xx xxxxxxx principu xxxxxxxxx xxxxxx přístupu.
(5) Funkce xxxxxxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx musí xxxxxxxxxx:
x) xxxxxx xxxxxxx xxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxxxxxxx atributem, xxxxx xxx subjekt vyjadřuje xxxxxx xxxxxxxxx xxxxxxxx x xxx xxxxxx xxxx stupeň xxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
c) xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxx xxxxxxxxxxxxxx atributů subjektů x xxxxxxx,
d) xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxx atributů xxx xxxx xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxxx.
(6) Xxx xxxxxxxxxxx xxxxxxxxxxxx funkce xxxxxxxxx xxxxxx xxxxxxxx subjektů x objektům xxxx xxx xxxxxxxxxxx xxxx xxxxxx:
a) xxxxxxx xxxx xxxx xxxxxxxxx x xxxxxxx xxxxx xxxxx, xx-xx úroveň xxxx oprávnění xxxxxx xxxx vyšší než xxxxxx utajení xxxxxxx,
x) xxxxxxx může xxxxxxxxx xxxxxxxxx do xxxxxxx xxxxx tehdy, xx-xx xxxxxx jeho xxxxxxxxx xxxxxx xxxx xxxxx než xxxxxx xxxxxxx xxxxxxx,
x) přístup xxxxxxxx x xxxxxxxxx obsažené x xxxxxxx xx xxxxx, jestliže xxx xxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxx, xxx xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxx.
(7) Xxxxxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx v xxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxxx, xxxx být xxxxxxx xxxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxx xxxxxx xxxxxxx xxxxxxxxx informaci xxxxxxxxxx xx informačního xxxxxxx.
(8) U xxxxxxxxxxxx systému, xxxxx xx xxxxxxxxxx x xxxxxxxxxxxxx provozním xxxx xxxxxxxxxxxxx x xxxxxxx x utajovanou xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxx "Xxxxxx xxxxx", musí xxx xxxxxxxxx xxxxxxxxxxxx x analýza xxxxxxxx xxxxxx. Xxxxxxx kanálem xx xxxxxx nepřípustná xxxxxxxxxx, xxx xx xxxxxxxxx xxxxxxxxx dostala x neoprávněnému xxxxxxxx.
§12
Xxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xx bezpečnost v xxxxxxxxx počítačových sítí
(1) Při přenosu xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx musí xxx xxxxxxxxx xxxxxxx xxxx xxxxxxxxxx x xxxxxxxxx.
(2) Xxxxxxxxx prostředkem xxx zajištění důvěrnosti xxxxxxxxx xxxxxxxxx při xxxxx přenosu komunikačním xxxxxxx xx kryptografická xxxxxxx.
(3) Xxxxxxxxx xxxxxxxxxxx xxx zajištění xxxxxxxxx utajované xxxxxxxxx xxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxxxxxx detekce xxxxxxx x náhodné xxxxx xxxxxxxxx xxxxxxxxx.
(4) X závislosti na xxxxxxxxxxxx xxxxxxxxx se xxxxxxxxx spolehlivá xxxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxx, včetně xxxxxxx xxxxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx. Xxxx xxxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx.
(5) Xxxxxxxxx xxxx, xxxxx je pod xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx, k xxxx xxxxxx, která xxxx xxx xxxxxxxxx správy xxxxxxxxxxxx systému, xxxx xxx xxxxxxxxxxx vhodným xxxxxxxxxxxxx rozhraním xxx, xxx xxxx zamezeno xxxxxxx xx informačního xxxxxxx.
§13
Xxxxxxxxx xx dostupnost xxxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxxxxxxx systém musí xxxxxxxx, aby xxxxxxxxxx xxxxxxxxx informace byla xxxxxxxxx ve xxxxxxxxxx xxxxx, x xxxxxxxxxx xxxxx x x určeném časovém xxxxxxx.
(2) V xxxxx zajištění xxxxxxxxxx xxxxxxx xxxxxxxxxxxx systému xx v xxxxxxxxxxxx xxxxxxxx informačního xxxxxxx xxxxxxx xxxxxxxxxx, xxxxx xxxx xxx xxxxxxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx. Dále xx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxx xx xxxxxxxxxx, xxx jejichž xxxxxxx xxxx být xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx.
(3) Xxxxxxxxx xxxxxxx aktiv xxxxxxxxxxxx xxxxxxx a xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxx xxx, xxx xxxxxxxxxxx x xxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx.
(4) Xxxx být xxxxxxxxx plán na xxxxxxxx xxxxxxxx po xxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxxxx uvedení informačního xxxxxxx do známého xxxxxxxxxxxxx xxxxx může xxx xxxxxxxxx xxxxxxxx správcem xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxx. Xxxxxxx činnosti, které xxxx xxxxxxxxx xxx xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx, se zpravidla xxxxxxxxxxxxx xx xxxxxxxxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxxx.
§14
Xxxxxxxxx xxxxxxx xxxxxxxxxxx požadavky xxxxxxxx z xxxxxxx xxxxx
(1) Pro xxxxxxxxx xxxxxx, xxxxx xxxxxxxx xxxxxx informačního xxxxxxx, musí xxx xxxxxxxxx xxxxxxx rizik.
(2) X xxxxx xxxxxxxxx xxxxxxx xxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxxxxx xx xxxxxx, xxxxx xxxxxx xx xxxxxxxxxx xxxxxx informačního xxxxxxx. Xxxxxxxx se xxxxxxx xxxxxxxx, která xxxxxxxxx ztrátu xxxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(3) Po xxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx tak, xx xx každé xxxxxx se xxxxx xxxxxxxxxx xxxxx xxxx xxxxx, na xxxxx xxxx hrozba působí.
(4) Výsledkem provedené xxxxxxx rizik je xxxxxx xxxxxx, xxxxx xxxxx xxxxxxx informační xxxxxx, s uvedením xxxxxxxxxxxxxx xxxxxx.
(5) Xx základě provedené xxxxxxx xxxxx xx xxxxxxx xxxxx xxxxxxxx xxxxxxxxxxxxx.
§15
Xxxxxxx xxxxxxxxx xxxxxxxxxx počítačové xxxxxxxxxxx
V xxxxxxx xxxxxxxxxx xxxxxxx na xxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxx počítačové xxxxxxxxxxx xxx provést xxxxxx xxxxxxxxx xxxxxxxx prostředků xxxxxxxxxx nebo xxxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systémů anebo xxxxxxxxxxxxx opatření. Při xxxxxxxxx prostředků xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx, xxxxx mají xxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx, xxxx být xxxxxxxx xxxxxxxxxxx xxxxxx:
x) xxxxxxxxxxxx xxxxxx xxxx xxx plně xxxxxxxxxxx,
b) kvalita x xxxxxx xxxxxxxxxxxx xxxxxx musí xxx xxxxxxxxx.
§16
Xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxxx xxxxxxxxxxxx xxxxxxx musí xxx xxxxxxxx xx xxxxxxxxxxxxx prostoru, xx xxxxxx xx xxxxxxxxx xxxxxxx ochrana xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxx x xxxxxxxxxx. Tento prostor xx vymezen xxxxxxxxxxxx xxxxx ochrany x xxxxxxxx xxxxxxxxxx xxxxxx x bezpečnostními xxxxxxxxx.
(2) Xxxxxxx xxxxxxxxxxxx xxxxxxx musí xxx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxxx.
(3) Xxxxxxxx xxxxx informačního xxxxxxx xxxx být xxxxxxxxx tak, aby xxxxxxxxxx xxxxxxxxxx osobě xxxxxxxx xxxxxxxxx informace.
(4) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx data nebo xxxxxxxxxxx xxxxxx informačního xxxxxxx xxxx xxx xxxxxxxx xxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx utajovaných xxxxxxxxx x xxxxxx xxxxxxxxx.
(5) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxxxx opatřeními xxxxxxxxx xxxx technické xxxxxxxxxxx.
§17
Požadavek xxxxxxx proti parazitnímu xxxxxxxxxx
(1) Komponenty xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxx, xxxx xxx xxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxxxxx xxxxxxxxxx, které xx mohlo xxxxxxxx xxxxxxxxx utajované xxxxxxxxx.
(2) Xxxxxx xxxxxxxxxxx xx závislá xx xxxxxx xxxxxxx utajované xxxxxxxxx, se kterou xxxxxxxxxx xxxxxx nakládá.
§18
Xxxxxxxxx xx bezpečnost nosičů xxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx informačního xxxxxxx xxxx být xxxxxxxxx.
(2) Xxxxxxxxxxx xxxxx xxxxxxxxxxx informací musí xxx xxxx označen xxxxxxxx stanoveným pro xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx.
(3) Stupeň xxxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxx xxxxxxx xxxxxxx xxxxxxx "Xxxxxx xxxxx", xxxxx být xxxxxx.
(4) Stupeň xxxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, který xxx xxxxxxx xxxxxxx xxxxxxx "Xxxxx", "Xxxxxxx" nebo "Xxxxxxxxx", může xxx xxxxxx xxxxx x xxxxxxx, xx xxxxxxxx xxxxxxxxxxx informací x xxx xxxx provedeno xxxxxxxx uvedeným x xxxxxxxx 5.
(5) Xxxxxxxx utajované informace x xxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx snížení jeho xxxxxx xxxxxxx, xxxx xxx xxxxxxxxx xxx, xxx xxxxxxx xxxxxxxx xxxxxxxxx informace nebylo xxxxx xxxx bylo xxxxxx obtížné x xxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxx x xxxxxxxxxx.
(6) Ničení xxxxxx utajovaných informací xxxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxx xxx, xxx xxxxxx možno xxxxxx způsobem xxxxxxxxxx xxxxxxxxx z xxxx xxxxxxxx xxxxxx.
§19
Xxxxxxx xxxxxxxxxxx skutečností v xxxxxxxxxxxx xxxxxxxx xxxxxxxxxx
(1) X xxxxxx xxxxx xxxx v xxxxxxxxxx xxxx být xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxx xxxxxxxx, xxxxx nakládají s xxxxxxxxxxx skutečnostmi, xxxxxxxxxx xxxxxxxx, zejména pro xxxxxxxxx x utajovanými xxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx xxxxxxx, tabulkových xxxxxxxxx, xxxxxxxxxxxx xxxxxxx x xxxxxxxxx databázemi xxxx xxxxxxxxxxxxxxxx programů xxxxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxx.
(2) Xxxxxx xxxxxxxx xxxxxxxxx pro xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx počítače vychází x xxxxxx xxxxxx xxxxxxxx xxxx xxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx, xx xxxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxx.
§20
Xxxxxxxxx xx xxxxxxx xxxxxxxxx x xxxxxxxxxx informačních xxxxxxx
(1) Xxx xxxxxxx x přenosné xxxxxxxxxx xxxxxxx se x analýze xxxxx xxxxxxxx i rizika, xxxxx jsou u xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxx a x xxxxxxxxxx xxxxxxxxxxxx systémů x prostředími, ve xxxxxxx budou xxxx xxxxxxxxxx systémy používány.
(2) Xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxxx utajované informace, xxxxxxx x xxxxxx xxxxxx xxxxxxxxxx xxxx xxxxxx utajované informace xxxxxxxxxxxxxxx xxxxxxxxx stupněm xxxxxxx xxxxxxxxx xxxxxxxxx, xx xxxxxx xxxxx xxxxxxxxx nakládá.
§21
Xxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxxxxxxx xxxxxxxxxxxx systému xx xxxx před xxxx xxxxxxxxxxx xxxxxx xxxxxxxxxx. Xxxxxxxxx xxxxxxx xxxxxx, jejíž xxxxxxx xxxxx xxx xx xxxxxx x xxxxxxxxxxxx xxxxxxx x x xxxxxxxxxx xxxx podjati xxx, xx xx xx podíleli xx xxxxxx xxxxxxxxxxxx systému, xx xx xxxx xxxxxx xxxxx xx xxxxxxxxxx testování nebo xx s xxxxxxxxx xxxxx xxxxxxxx osobní xxxxx xxxxxxxx x xxxx xxxxxxx xxxxx. X xxxxxxxxx testování xx nesmějí používat xxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx xxxxx musejí xxxxxxxx, xx xxxxxxxxxxxx funkce xxxx xxxx v xxxxxxx x xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx. Výsledky xxxxx xxxx xxx xxxxxxxxxxxxxxx. Xxxxx xxxxxxxx xxxxx xxxxxxxxx xxxx xxx xxxxxxxxxx a xxxxxx xxxxxxxxxx musí xxx xxxxxxx xxxxxxxxxx xxxxx.
§22
Xxxxxxxxx xx bezpečnost xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxxxxxxx xxxxxxxxxxxxx informačního xxxxxxx xxxx xxx xxxxxxxx, s xxxxxxx xx skutečný xxxx xxxxxxxxxxxx xxxxxxx, xxxxxxxxxxx x xxxxxxxxxxxxx. Xxxxx xxxxx x xxxxxxxxxxx xxxxxxx xx xxxxx xxxxxxx xx xx xxxxxxxxxxx xxxxx xxxx xxxxx xx xxxxxxxxxx xxxxxxxxxxxx systému.
(2) Xxxxxxxxx programového vybavení x utajovaných xxxxxxxxx xxxx xxx xxxxxxxx xxxx působením škodlivého xxxx.
(3) X xxxxxxxxxxxx informačním xxxxxxx xxxx xxx používáno xxxxx programové xxxxxxxx, xxxxx xxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(4) X xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxx prováděno xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxx. Záloha xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx informací xxxx xxx xxxxxxx xxx, xxx xxxxxxx xxxxx x xxxxxx xxxxxxxxx xxxx xxxxxxx při xxxxxxxx informačního xxxxxxx.
(5) Xxxxxxxx činnost x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xx musí xxxxxxxxxxx tak, aby xxxxxx xxxxxxxx jeho xxxxxxxxxx. Z nosičů xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx přístupných při xxxxxxxx xxxxxxxx musí xxx xxxxxxxx utajované xxxxxxxxx a dálková xxxxxxxxxxx xxxx xxx xxxxxxxxxxx xxxx xxxxxxxxx.
(6) V xxxxxxxxxxxx xxxxxxxxxxx systému musí xxx x xxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx informačního xxxxxxx x xxx xxxxxx xxxxxxx xxxxxxx neprodleně xxxxxxxxx vyhodnocení xxxxxxxxx xxxxxxx. Xxxxxxx xxxxxxx xxxx být xxxxxxxxxxx xx xxxx stanovenou x bezpečnostní dokumentaci xxxxxxxxxxxx xxxxxxx.
(7) Xxx řešení xxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx být x bezpečnostní dokumentaci xxxxxxxxxxxx xxxxxxx stanovena xxxxxxxx xxxxxxxx xx xxxx xxxxxxx xx xxxxxxx xxxxxxxxxx xxxxx. X xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxx xxx xxxxxxx xxxx xxxxxxxx:
a) xxxxxxx xxxxxxxxxxx bezprostředně xx xxxxxx xxxxxxx xxxxxxx xxxxxxxx xx xxxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxxxxxxx xx xxxxxx krizové xxxxxxx xxxxxxxx xx xxxxxxxxx xxxxxxxx krizové xxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx za xxxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) způsob xxxxxxxxxxx xxxxxxxx xxxxxxxx,
x) xxxxxx xxxxxxxxx xxxxxxxxx xxxxxxx informačního systému x vyjmenováním xxxxxxxxxxx xxxxxx, xxxxx xxxx xxx zachovány,
x) xxxxxx xxxxxx xxxxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxxx xxxxxxxxxx xxxxx.
(8) Xxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxx provedeno xxxxxxx, xxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx.
§23
Požadavky xxxxxxxxxx xxxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxxxx xxx xxxxxxx x xxxxxxxxxxx xxxxxxx x xxxx autorizace xxxx xxx xxxxxxx xxx xxxxx jeho xxxx x xxxxx xxxxxxxxxxxx systému nebo xxxxxxx xxx zániku xxxx xxxxxx.
(2) Xxxxxxxxxxxx xxxxxxxxxxxx systému xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx informačního systému x dodržování xxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx informačního systému x správném xxxxxxx xxxxxxxxxxxx systému.
Xxxxxxxxxxx informačních xxxxxxx
§24
Xxxxxx x způsob certifikace xxxxxxxxxxxx xxxxxxx
(1) Xxxxxx o xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxxx Úřadu orgán xxxxx xxxx organizace, xxxxx budou xxxxxxxxxx xxxxxx provozovat, (xxxx jen "xxxxxxx").
(2) Žádost podle xxxxxxxx 1 xxxxxxxx:
x) xxxxxxx xxxxx xxxxx x rozsahu xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx jeho běžných x xxxxxxxxxxx xxxxxx,
x) xxxxxx utajení xxxxxxxxxxx xxxxxxxxx, se xxxxxxx xxxx xxxxxxxxxx xxxxxx nakládat,
x) xxxxxxxxx xxxxxxxxxxxxxx provozního xxxx informačního xxxxxxx,
x) xxxxxxxxxxxx dodavatele xxxxxxxxxxxx xxxxxxx.
(3) Xxxx xxxxxxxxx seznam xxxxxxxx pro xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx x utajovanými xxxxxxxxxxx (dále jen "xxxxxxxxx") a xxxxxx xxxx jejich předložení xxxxxxxxx. X xxxxxxxxx xxxxxxxxx xxxxxxx xxxx předloží xxxxxxxxxxx xxxxxxxx:
a) bezpečnostní xxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxx analýzy xxxxx,
x) xxxxx xxxxxxxxxxx informačního systému,
x) xxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxxx popis x xxxxx výsledků xxxxxxxxx,
x) bezpečnostní xxxxxxxx xxxxxxxxxxx informačního xxxxxxx,
x) popis bezpečnosti xxxxxxxxxx prostředí.
(4) Xxxxxxxxx xx xxxxxxx xxxxxxxxxx podkladů xxxxxxxxxxxx xxxxxxxxx a provedením xxxxxxxxxxx testů. Dodatečné xxxxx xxxxxxx Úřad x žadatele x xxxxxxxxx prostředí xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx za xxxxxxxxxxx xxxxxxxx a x xxxxxxx xxxxxxx xxxxxxxxxx.
(5) Xxxx-xx x xxxxxxx hodnocení xxxxxxxx nedostatky, vyzve Xxxx xxxxxxxx k jejich xxxxxxxxxx. Pokud žadatel x xxxxxxx xxxxxxxxxx Xxxxxx zjištěné nedostatky xxxxxxxxxx, xxxxxxxxx xx xxxxxx.
(6) Xxxxxxxxx xxx xxxxxxxx průběžně xx xxxxxxxx jednotlivých xxxx výstavby informačního xxxxxxx xxxx xx xx jeho celkovém xxxxxxxxx.
(7) O xxxxxxxx xxxxxxxxx se xxxxxxxx technické xxxxxx.
(8) Xxxxxxxx xx xx základě xxxxxxxx xxxxxxxxx zjistí xxxxxxxxxxx xxxxxxxxxxx informačního systému xxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx, obdrží xxxxxxx x xxxxx certifikát. X xxxxxxx, xx xxxxxxxxx informační xxxxxx splňuje způsobilost xxxxx xxx xxxxx xxxxxx xxxxxxx, xxxx xx certifikát na xxxxx xxxxxx utajení.
(9) Dojde-li x xxxxxxxxxxx xxxxxxx, xxxxx xxxxxxxxxxx xxxx xxxxxxxx, xx xxxxxx xxxxxxxx x §25 odst. 2 xxxx. e), xxxxxxx se doplňující xxxxxxxxx xxxxxxxxxxxx xxxxxxx x rozsahu xxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx. V xxxxxxx xxxxxxxxx doplňujícího xxxxxxxxx xxxxxxxxxxxx systému se xxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému.
§25
Xxxxxxxxxxx xxxxxxxxxxx informačního systému
(1) Certifikát informačního xxxxxxx, xxxxx vzor xx xxxxxx x příloze, xxxxxxxx:
x) xxxxxxxxxxxx informačního systému xxxxxx označení xxxxx, xxx xxxxx xx xxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx Xxxxxx,
x) identifikaci žadatele,
x) identifikaci dodavatele xxxxxxxxxxxx systému,
e) xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx, pro xxxxx xxxx schválena xxxx xxxxxxxxxxx,
f) dobu xxxxxxxxx certifikátu.
(2) Xxxxxxxx certifikátu xx xxxxxxxxxxxx xxxxxx, xxxxx xxxxx jeho xxxxxxx. Xxxxxxxxxxxx zpráva xxxxxxxx:
x) orientační xxxxx xxxxxxxxxxxx xxxxxxx,
x) bezpečnostní xxxxxxxx xxxxxxxxxxxx xxxxxxx,
c) xxxxxx xxxxxx z xxxxxxxxx,
x) případná xxxxxxx podmiňující platnost xxxxxxxxxxx x
x) xxxx xxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxxx xxxxxxxxx doplňujícího xxxxxxxxx xxxxxxxxxxxx systému.
§26
Xxxxxx xxxxxxxx certifikovaných xxxxxxxxxxxx xxxxxxx
(1) Úřad xxxx xxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx. K xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxx xxxxxxxxxxxx xxxx, do xxxxxxx xx zakládá xxxxxx x xxxxxxxxx xxxxxxxxxxx, xxxxxxxx xxxxxxxxxx xxxxxxxxx, xxxxxxxxx zprávy a xxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxx xxxxxxxx certifikátu.
(2) Xxxxxxxxx xxxxx xxxxxxxxxxxxxx xxxxx začíná xxxxx xxxx skončení xxxxxxxxx certifikátu a xxxx xxxxxxx 5 let.
Xxxxxxxxxx xxxxxxxxx x xxxxxxxxx
§27
Xxxxxx xxx xxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx
(1) Xxxxxxxxxx xxxxxx xxxxxx xxxxx, xx xxxxxx xx dni xxxxxxxxx zákona xxxx xxxxxxxxxxxx skutečnost xxxxxxx xxxxxxx xxxxxxxx, xxxxxxxxxxxxx xxxx služebního xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxx xxxxxxxxx xxxxxx xxxxxx,2) x xxxxxxxxxx xxxxxx orgánu státu, xxxxx xxx xxx xxxxxxxxx zákona xx xxx xxxxxxxxx xxxx xxxxxxxx xxxxxxxx x xxxxxxxxxx xxxxxxxxxxx, xxx x xxxxxxx xxxxxxx xxxxxxxxx za xxxxxxxxxxxxx xxxxxxxxxx systém xxxxx xxxx xxxxxxxx, nejpozději xx 18 měsíců xxx xxx xxxxxx xxxxxxxxx xxxx vyhlášky.
(2) Xxxxxxxxxx xxxxxx xxxxxxxxxx, xx kterém xx xxx xxxxxxxxx zákona xxxx xxxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxx, hospodářského xxxx xxxxxxxxxx tajemství xxxxxx xxxxxxxxx xxxxxxxx xxxxx xxxxxxxxx xxxxxx xxxxxx,2) x informační systém xxxxxxxxxx, xxxxx ode xxx účinnosti zákona xx xxx účinnosti xxxx xxxxxxxx xxxxxxxx x utajovanou xxxxxxxxxxx, xxx x případě xxxxxxx xxxxxxxxx za xxxxxxxxxxxxx xxxxxxxxxx systém xxxxx xxxx xxxxxxxx, xxxxxxxxxx xx 12 xxxxxx ode xxx xxxxxx xxxxxxxxx xxxx xxxxxxxx.
(3) Statutární xxxxx stanoví, xxxxx xxxxxxxxxx xxxxxxx xxxxxxx x xxxxxxxx 1 xxxx odstavci 2 xxxxxxxx za xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxxx.
(4) Xxxxxx o certifikaci xxxxxxxxxxxx xxxxxxx xxxxxxxxx x odstavci 1 xxxx xxxxxxxx 2, x kterého xxxxxxxxxx xxxxx xxxxxxxx, xx xxx považuje za xxxxxxxxxxxxx informační systém xxxxx této xxxxxxxx, xx xxxxx xxxxxxxxx xxxxxxxxxx 6 xxxxxx xxxx uplynutím xxxxx, xx xxxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx.
§28
Xxxxxxxx
Xxxx xxxxxxxx xxxxxx xxxxxxxxx xxxx xxxxxxxxx.
Xxxxxxx:
Xxx. Xxxxxx x. r.
Xxxxxxx x xxxxxxxx x. 56/1999 Xx.
Xxxxxxxxx
Xxxxxx xxxxxxx č. 56/99 Sb. xxxxx xxxxxxxxx dnem 30.3.1999.
Xx dni xxxxxxxx právní předpis xxxxx měněn či xxxxxxxxx.
Právní xxxxxxx x. 56/99 Xx. byl xxxxxx xxxxxxx xxxxxxxxx č. 412/2005 Sb. x xxxxxxxxx xx 1.1.2006.
Xxxxx xxxxxxxxxxxx právních norem xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx není xxxxxxxxxxxxx, xxxxx se xxxx xxxxxx xxxxxxxxx xxxxx xxxxx uvedeného xxxxxxxx předpisu.
1) Xxxx. xxxxxxxx xxxxxxxxxxx Trusted xxxxxxxx xxxxxx evaluation xxxxxxxx (XXXXX), Xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxx (XXXXX), Common xxxxxxxx (XX) xxxx Xxxxxxxx xxxxxxx computer xxxxxxx xxxxxxxxxx xxxxxxxx (XXXXXX).
2) Xxxxxxxx Xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xx xxx 6. xxxxxx 1973 xxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx, xxxxxxxxxxxxx a služebního xxxxxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx.