Právní předpis byl sestaven k datu 30.12.2005.
Zobrazené znění právního předpisu je účinné od 30.03.1999 do 30.12.2005.
Vyhláška o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu
56/99 Sb.
Předmět úpravy §1
Vymezení pojmů §2
Požadavky na bezpečnost informačních systémů
Bezpečnost informačních systémů §3
Bezpečnostní dokumentace informačního systému §4
Požadavky na přístup k utajované informaci v informačním systému §5
Požadavek odpovědnosti za činnost v informačním systému §6
Požadavek označení stupně utajení informace §7
Bezpečnostní politika informačního systému §8
Požadavky na formulaci bezpečnostní politiky informačního systému §9
Minimální bezpečnostní požadavky v oblasti počítačové bezpečnosti §10
Systémově závislé bezpečnostní požadavky odvozené z bezpečnostního provozního módu §11
Systémově závislé bezpečnostní požadavky na bezpečnost v prostředí počítačových sítí §12
Požadavky na dostupnost utajované informace a služeb informačního systému §13
Systémově závislé bezpečnostní požadavky odvozené z analýzy rizik §14
Možnost nahrazení prostředků počítačové bezpečnosti §15
Požadavky fyzické bezpečnosti informačních systémů §16
Požadavek ochrany proti parazitnímu vyzařování §17
Požadavky na bezpečnost nosičů utajovaných informací §18
Ochrana utajovaných skutečností v samostatných osobních počítačích §19
Požadavky na ochranu mobilních a přenosných informačních systémů §20
Požadavek testování bezpečnosti informačního systému §21
Požadavky na bezpečnost provozovaného informačního systému §22
Požadavky na personální bezpečnosti při provozu informačního systému §23
Certifikace informačních systémů
Postup a způsob certifikace informačního systému §24
Náležitosti certifikátu informačního systému §25
Vedení přehledu certifikovaných informačních systémů §26
Ustanovení přechodná a závěrečná
Postup pro již provozované informační systémy §27
Účinnost §28
Příloha - CERTIFIKÁT
56
XXXXXXXX
Xxxxxxxxx xxxxxxxxxxxxxx xxxxx
xx xxx 19. xxxxxx 1999
x xxxxxxxxx bezpečnosti informačních xxxxxxx xxxxxxxxxxxxx x xxxxxxxxxxx skutečnostmi, xxxxxxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxxxxxx certifikátu
§1
Předmět xxxxxx
Xxxx vyhláška xxxxxxx xxxxxxxxx na xxxxxxxxxx informačních xxxxxxx xxxxxxxxxxxxx s xxxxxxxxxxx xxxxxxxxxxxx (xxxx xxx "xxxxxxxxxx xxxxxx"), xxxxxxxxx xxxxxxxxx v xxxxxxx xxxxxxxxxx xxxxxxxxxxx, xxxxx x postupy a xxxxxxx certifikačního xxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxxxxx certifikátu.
§2
Xxxxxxxx xxxxx
Xxx xxxxx xxxx vyhlášky se xxxxxx:
x) aktivem xxxxxxxxxxxx xxxxxxx xxxxxxxx, xxxxxxxx, informace xxxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx (dále jen "xxxxxxxxx xxxxxxxxx"), které xxxx xxxxxxx x xxxxxxxxxxx systému, a xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) objektem xxxxxxxxxxxx xxxxxxx (dále xxx "xxxxxx") xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxxx xxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxxxx") aktivní xxxxx informačního systému, xxxxx způsobuje xxxxxxx xxxxxxxxx xxxx objekty xxxx xxxxx xxxxx xxxxxxx,
d) xxxxxxxx xxxxx xxxxxx, během xxxxx xxxx xxxxxxxxxx xxxxxx informačního xxxxxxx, xxxxxx působící xx xxxxxx xxxxxxxxxxxx systému, xxxx xxxxxxxxxx místa, xxxxxxxxxxxxxxx realizace xxxxxx x xxxxx xxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxx, xxxxx xxxxx xxxxxxxx bezpečnost xxxxxxxxxxxx xxxxxxx,
f) xxxxxxxxxxx xxxxxxxx proces xxxxxxx xxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxx xxx xxxxxxxxxx určených xxxxxxx,
h) xxxxxxxxxxxxx xxxxxxxxxxx realizace xxxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxx, xx kterém xxxxxxxxxx xxxxxx pracuje, xxxxxxxxxxxxxxxx xxxxxxx utajení zpracovávané xxxxxxxxx xxxxxxxxx x xxxxxxxx oprávnění xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxx vlastnost, xxxxx znemožňuje odhalení xxxxxxxxx informace xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxx k xxxxxxxxx xxxxxxx ochrany xxxxx xxxxxxxxxxxx xxxxxxx xxxxx xxxxxxxx xxxx xxxxxxxx hrozbám,
x) xxxxxxxxxx aktiva xxxxxxxxxxxx xxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxx xxxxx xxxxxxx xxxxxxxx x xxxxx xxxxxxxxxx xxxxxxxxx,
m) xxxxxxxxxxx xxxxxxxxxxx opatření použitá x xxxxxxxxx xxxxxxx xxxxxxxxx informace při xxxxxxx xxxxxxxxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx informačního systému xxxxxxxxxxx jeho xxxxxxxxxxx x xxxxxxxxxxxx prostředky,
x) xxxxxxxx řízením xxxxxxxx xxxxxxxxxx pro xxxxxxx xxxxxxxx xxxxxxxx x objektům, založené xx porovnání xxxxxx xxxxxxx xxxxxxxxx informace xxxxxxxx v xxxxxxx x úrovně xxxxxxxxx xxxxxxxx pro xxxxxxx x xxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxx xxx xxxxxxxxx xxxx xxxxxxx x xxxxxxx xxxxxx xxxxxxx, xxxxxxxxx xx xxxxx učiněné xxxxxxxxxx,
x) xxxxxxx xxx xxxxxxxxxx systém xxxxxxxxxxxxxxx, xx určitá xxxxxx xxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx,
x) xxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxx xxxxxxxxx x xxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx pro xxxxxxx xxxxxxxx subjektů x xxxxxxxx, xxxxxxxxxxx, xx přístup k xxx xxxxx xxx xxxxxxxxxxxx uživatel nebo xxxxxx,
x) volitelným xxxxxxx přístupu xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxx x objektům, xxxxxxxx xx xxxxxxxx přístupových xxxx subjektu x xxxxxxx, xxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxx přístup x xxxxxxx xxxx xxxxxx, xx xxxxx xxxxx subjekty přenese xxxxxxxxxx xxxxx x xxxxxx xxxxxxx, x xxxx xxx xxxxxxxxxx xxx xxxxxxxxx mezi xxxxxxx.
Xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx
§3
Xxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx xxxxxx xxxxxxxx x xxxxxxx:
x) xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxxx opatření,
x) xxxxxxxxxx bezpečnosti,
x) fyzické xxxxxxxxxxx xxxxxxxxxxxx systému.
(2) Xxxxxx xxxxxxxx uvedený x xxxxxxxx 1 xx xxxxxxxxxxxx x xxxxxxxxxxxx dokumentaci xxxxxxxxxxxx xxxxxxx,
§4
Bezpečnostní xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Bezpečnostní xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx:
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx bezpečnostní xxxxxxxxxxx xxxxxxxxxxxx systému.
(2) Xxxxxxxxxx bezpečnostní xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxx:
x) xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému x xxxxxxxxxxx analýzy rizik,
x) návrh bezpečnostních xxxxxxxx pro xxxxxxxxxx xxxx xxxxxx xxxxxxxxxxxx systému,
c) xxxxxxxxxxx x xxxxxx xxxxxxxxxxx informačního xxxxxxx.
(3) Xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx informačního xxxxxxx xxxx xxxxxxxxx:
x) bezpečnostní xxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxxx činnost bezpečnostního xxxxxxx x příslušném xxxxxxxxxxx systému,
b) xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxxx systému.
(4) Xxxxxxxxxxxx dokumentace xxxxxxx x xxxxxxxx 2 x odstavci 3 xxxx. x) se xxxxxxxxxxx x xxxxxxxx xxxxxxx utajení xxxxxxx x xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx, xx kterou informační xxxxxx nakládá.
§5
Xxxxxxxxx xx xxxxxxx k xxxxxxxxx informaci v xxxxxxxxxxx xxxxxxx
(1) Xxxxxxx k xxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxx xxx xxxxxxx xxxxx určené xxxxx, xxxxx xxxx pro xxxxx přístup xxxxxxxxxxxx. Xxxxxxxxxx xx založena xx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx x xxxxxxxxx xxxxxxxxx x informačním xxxxxxx xxxx xxx xxxxxxx xxx xxx xx xxxxx, xxxxx xxxxx přístup xxxxxxxx xxxxx potřebují x xxxxxx xxx xxxxxxxx. Xxxxx xxxxxx xx xxxxx xxxxxxxxx pouze x xxxxxxx xxxxxxxxx xxx xxxxxxxxx xxx xxxxxxxx xxxxxxx v xxxxxxxxxxx xxxxxxx.
§6
Xxxxxxxxx xxxxxxxxxxxx za xxxxxxx x informačním xxxxxxx
(1) Xxxxxxxxx xxxxxxxxxxxx xxxxxxx odpovídají xx xxxxxxxxxx xxx stanovených xxxxxxxxxx, xxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Tyto xxxxxxxxxx xxxx stanoveny x xxxxxxxx bezpečnostní xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxxx xxxxxxxxx xxxxxxxxxxxx xx xxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxx systému.
(2) X informačním systému xx xxxxxx role xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx odděleně xx xxxx správce xxxxxxxxxxxx xxxxxxx.
(3) Xxxx xxxxxxxxxxxxxx správce informačního xxxxxxx xxxxxxxx výkon xxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx spočívající xxxxxxx x xxxxxxxxxxx přístupových xxxx, xxxxxx xxxxxxxxxxxxxx x autorizačních xxxxxxxxx, xxxxxxxxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx, xxxxxxxxxxx zprávy o xxxxxxxxxxxxx xxxxxxxxx x xxxxxxx činnostech stanovených x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx informačního systému.
(4) Xxxxxxxxx x xxxxxxxx subjektu x xxxxxxxxxxx xxxxxxx xx xxxxxxxxxxx tak, aby xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx nebo xxxxxx x xx xxxx xxxxx přiřadit konkrétnímu xxxxxxxxx x xxxxx xxxx xxxx x xxxxxxxxxxx systému. Záznamy xx xxxxxxxxxx xx xxxx stanovenou v xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx.
§7
Xxxxxxxxx xxxxxxxx stupně xxxxxxx xxxxxxxxx
Xxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxxx x xxxxxxxxx xxxxxx x xxxxxxxxxxxx systému, xxxx xxx xxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxx tak, xxx xxx xxxxxxxxxx xxxxxx nakládání x xxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx stanoveného xxxxxx xxxxxxx.
§8
Xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxx xxxxx xxxxxxxxxx xxxxxx musí xxx xxx x xxxxxxxxx xxxx jeho xxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému. Xxxxxxxxxxxx xxxxxxxx informačního xxxxxxx xxxxx xxxxxx xxxxx, xxxxxxxx a xxxxxxx, který xxxxxxxx xxxxxx, xxxxx má xxx zajištěna důvěrnost, xxxxxxxxx a xxxxxxxxxx xxxxxxxxx xxxxxxxxx a xxxxxxxxxxx xxxxxxxxx xx xxxx činnost x xxxxxxxxxxx xxxxxxx. Xxxxxx xxxxxxxxxxxx xxxxxxxx jsou xxxxxxxxxxxx v xxxxxxxxxx x xxxxxxxx bezpečnostní xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx musí xxx xxxxxxxxxx v xxxxxxx x právními xxxxxxxx x mezinárodními xxxxxxxxx, xxxxxxx xx Xxxxx republika vázána, x s bezpečnostní xxxxxxxxx nadřízeného orgánu, xxxxx byla xxxxxxxxxx.
(3) Xxx formulaci xxxxxxxxxxxx xxxxxxxx informačního xxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx lze xxxxxx též xxxxxxxxxxxxx xxxxxxxxxxxxxxxxx bezpečnostních specifikací.1)
§9
Požadavky xx formulaci bezpečnostní xxxxxxxx informačního systému
Xxxxxxxxxxxx politika xxxxxxxxxxxx xxxxxxx xx xxxxxxxxx xx xxxxxxx:
a) xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x oblasti počítačové xxxxxxxxxxx,
x) systémově xxxxxxxxx xxxxxxxxxxxxxx požadavků, xxxxxxxxx xxxxxxxxx x xxxxxxxx analýzy xxxxx,
x) xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxx, pokud xxxx xxxxxxxxxx.
§10
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxxxxx xxxxxx xxxxxxxxxxx s utajovanými xxxxxxxxxxx xxxxxx xxxxxxx "Xxxxxxx" xxxx xxxxxxx xxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxxx xxxxxx:
x) jednoznačnou xxxxxxxxxxxx a xxxxxxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxxxx xxxx xxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxx x xxxx xxxxxxxx xxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
b) xxxxxxxxx xxxxxx xxxxxxxx x xxxxxxxx xx xxxxxxx xxxxxxxxxxx a xxxxxx xxxxxxxxxxxx xxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxx jeho xxxxxxxx xx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx systému, xx xxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxxxx nebo xxxxxxxx. Xxxxxxxxxxx xx xxxxxxx použití xxxxxxxxxxxxxxx x xxxxxxxxxxxxxx informací, xxxxxx o zkoumání xxxxxxxxxxxx xxxx, xxxxxxxxx xxxx rušení xxxxxxx xxxx činnost xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxx a stanovení xxxxxxxxxxxx jednotlivého xxxxxxxxx xxxxxxxxxxxx xxxxxxx,
e) xxxxxxxx xxxxxxxxxx objektů xxxx xxxxxx dalším xxxxxxxx, zejména před xxxxxxxxxx xxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxx xxxxxxxxx obsah,
x) ochranu xxxxxxxxxx xxx během xxxxxxx xxxxxx x xxx, xx xxxxxxxxx xxxxxxxxx xxxx xxx x procesu xxxxxxx xxxx xxxxxxx x cílem xxxxxxxx xxxxxxxxx xxxxxxxx.
(2) X xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx funkcí xxxxxxxxx x xxxxxxxx 1 xxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxx mechanismy. Xxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxx, xxx xxxx možno nezávisle xxxxxxxx a xxxxxxxxx xxxxxx xxxxxxxxxxxx.
(3) Xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx politiku informačního xxxxxxx musí xxx x xxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxx neautorizovanými xxxxxxx.
(4) X xxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx "Xxxxxxxxx", xxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxx xxxxxxx x informačním xxxxxxx x xxxxxxx x xxxxxxxxx xxxxxxxxx xxx xxxxxxx na xxxxxxx zásady xxxxxxx xxxxxxxxxxx x xxxxxxxxx. X xxxx se xxxxxxxxxx způsobem xxxxxxxxx xxxxxxxxxxxx xxxxxx uvedené x odstavci 1 x xxxx xxxxxxxx x xxxxxxx personální x xxxxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
§11
Xxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxx xxxx
(1) Xxxxxxxxxx xxxxxxx se xxxxx xxxxxxxxxx pouze x některém z xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx:
x) bezpečnostní xxxxxxxx xxx xxxxxxxxx,
x) xxxxxxxxxxxx provozní xxx x xxxxxxxx xxxxxx,
c) xxxxxxxxxxxx xxxxxxxx mód víceúrovňový.
(2) Bezpečnostní xxxxxxxx xxx vyhrazený je xxxxxx xxxxxxxxx, xx xxxxxx xx xxxxxxxxxx xxxxxx xxxxx výhradně xxx xxxxxxxxxx jednoho xxxxxxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxx xxxx být xxxxxx xxx přístup x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx, xxxxx jsou x xxxxxxxxxxx xxxxxxx xxxxxxxx, x zároveň xxxx být oprávněni xxxxxxxx se xxxxx xxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx. Bezpečnost xxxxxxxxxxxx xxxxxxx, který xx xxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxx, xx xxxxxxxxxxx xxxxxxxx minimálních xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxx bezpečnosti xxxxxxxxx x §10 odst. 1 xxxx. a), x), d) x x), jakož x xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxxxx a personální xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxx použitých xxxxxxxx x xxxxxxxxx xxxxxxx x opatření x xxxxxxxxx xxxxxxxxxx dat xxxxx xxxxxxx xxxx xxxxxxxxx xxxxxx xxxxxxxxxx xxx xxxxxxxx xxxxxx xxxxxxx utajovaných informací, xx xxxxxxx xxxxxxxxxx xxxxxx xxxxxxx.
(3) Xxxxxxxxxxxx xxxxxxxx xxx x nejvyšší úrovní xx xxxxxx xxxxxxxxx, xxxxx umožňuje xxxxxxxx zpracování xxxxxxxxxxx xxxxxxxxx klasifikovaných xxxxxxx xxxxxx xxxxxxx, ve xxxxxx xxxxxxx uživatelé xxxx být xxxxxx xxx přístup x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx utajení, xxxxx xxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxx xxxxxx xxx xxxxxxxxx xxxxxxxx xx všemi xxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxxxx informačního xxxxxxx, xxxxx je xxxxxxxxxx v xxxxxxxxxxxxx xxxxxxxxx módu x xxxxxxxx xxxxxx, xx xxxxxxxxxxx splněním xxxxxxxxxxx xxxxxxxxxxxxxx požadavků x xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx v §10, xxxxx i xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxxxx x personální bezpečnosti x fyzické xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxx xxxxxxxxx opatření x xxxxxxxxx oblastí x xxxxxxxx x zajištění xxxxxxxxxx xxx xxxxx xxxxxxx xxxx xxxxxxxxx xxxxxx požadované pro xxxxxxxx xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxxxx xxxxxx xxxxxxx.
(4) Xxxxxxxxxxxx xxxxxxxx mód víceúrovňový xx xxxxxx prostředí, xxxxx xxxxxxxx x xxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx utajovaných xxxxxxxxx klasifikovaných různými xxxxxx utajení, ve xxxxxx xxxxxx xxxxxxx xxxxxxxxx určeni xxx xxxxx s xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx, xxxxx jsou x informačním xxxxxxx xxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxx xxxxxx xxx xxxxxxxxx xxxxxxxx xx xxxxx xxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxxxx informačního xxxxxxx, který xx xxxxxxxxxx v xxxxxxxxxxxxx xxxxxxxxx módu víceúrovňovém, xx xxxxxxxxxxx opatřeními xxxxxxxxx x xxxxxxxx 3 x xxxxxxxxxxxx xxxxxx povinného xxxxxx xxxxxxxx subjektů k xxxxxxxx. Xxxxxx xxxxxxxxx xxxxxxxx z xxxxxxx xxxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxxxx x xxxxxxxxx xxxxxxxxxx dat během xxxxxxx xx xxxxxxx xx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxx přístupu.
(5) Xxxxxx xxxxxxxxx xxxxxx přístupu xxxxxxxx x xxxxxxxx musí xxxxxxxxxx:
x) xxxxxx xxxxxxx každého xxxxxxxx x objektu x xxxxxxxxxxxxx atributem, xxxxx xxx xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx x xxx xxxxxx xxxx xxxxxx xxxxxxx,
x) ochranu xxxxxxxxx xxxxxxxxxxxxxx atributu,
c) xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx systému x xxxxxxxxx změn xxxxxxxxxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx,
x) xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxx pro xxxx xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxxx.
(6) Xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx xxxxxx přístupu xxxxxxxx x xxxxxxxx xxxx xxx zabezpečeny tyto xxxxxx:
x) subjekt xxxx xxxx xxxxxxxxx x objektu xxxxx xxxxx, je-li xxxxxx xxxx xxxxxxxxx stejná xxxx vyšší xxx xxxxxx xxxxxxx xxxxxxx,
x) xxxxxxx xxxx xxxxxxxxx xxxxxxxxx do xxxxxxx pouze tehdy, xx-xx úroveň jeho oprávnění xxxxxx xxxx nižší než xxxxxx utajení xxxxxxx,
x) xxxxxxx subjektu x xxxxxxxxx xxxxxxxx x xxxxxxx je xxxxx, xxxxxxxx xxx xxxxxxxx jak xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxx, xxx pravidla xxxxxxxxxxx xxxxxx xxxxxxxx.
(7) Xxxxxxxxxx xxxxxx, který xx xxxxxxxxxx v xxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxxx, musí xxx xxxxxxx xxxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx vystupující x xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx stupeň xxxxxxx utajované xxxxxxxxx xxxxxxxxxx do xxxxxxxxxxxx xxxxxxx.
(8) U xxxxxxxxxxxx xxxxxxx, xxxxx xx xxxxxxxxxx x xxxxxxxxxxxxx provozním xxxx xxxxxxxxxxxxx x xxxxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx stupněm utajení "Xxxxxx xxxxx", xxxx xxx xxxxxxxxx xxxxxxxxxxxx x xxxxxxx skrytých xxxxxx. Xxxxxxx xxxxxxx xx rozumí nepřípustná xxxxxxxxxx, xxx xx xxxxxxxxx informace xxxxxxx x xxxxxxxxxxxxx subjektu.
§12
Xxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx x xxxxxxxxx počítačových xxxx
(1) Xxx xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx musí xxx xxxxxxxxx ochrana její xxxxxxxxxx a xxxxxxxxx.
(2) Xxxxxxxxx xxxxxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx informace při xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxxxxxxxxxx xxxxxxx.
(3) Xxxxxxxxx xxxxxxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxx jejím xxxxxxx xxxxxxxxxxxx kanálem je xxxxxxxxxx xxxxxxx xxxxxxx x xxxxxxx xxxxx xxxxxxxxx xxxxxxxxx.
(4) X závislosti xx xxxxxxxxxxxx prostředí xx xxxxxxxxx xxxxxxxxxx identifikace x autentizace xxxxxxxxxxxxxx xxxxx, včetně xxxxxxx xxxxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx. Xxxx xxxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx xxxxxxx utajované informace.
(5) Xxxxxxxxx xxxx, xxxxx xx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx, x xxxx xxxxxx, xxxxx xxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx, musí xxx xxxxxxxxxxx vhodným xxxxxxxxxxxxx xxxxxxxxx xxx, xxx xxxx zamezeno xxxxxxx xx xxxxxxxxxxxx xxxxxxx.
§13
Xxxxxxxxx xx xxxxxxxxxx xxxxxxxxx xxxxxxxxx x služeb xxxxxxxxxxxx xxxxxxx
(1) Xxxxxxxxxx xxxxxx xxxx xxxxxxxx, aby požadovaná xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xx stanoveném xxxxx, x xxxxxxxxxx formě x x xxxxxxx xxxxxxx xxxxxxx.
(2) V xxxxx xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx xx x bezpečnostní xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxxx, které xxxx xxx xxxxxxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxx xx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx systému x xxxxxx xx xxxxxxxxxx, xxx xxxxxxx xxxxxxx xxxx být minimální xxxxxxxxx informačního xxxxxxx xxxxxxxx.
(3) Plánování xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx x sledování xxxxxxxxxxx požadavků xx xxxxxxx xxx, xxx xxxxxxxxxxx x xxxxxx xxxxxxxxxx xxxxxx nedostatkem.
(4) Xxxx xxx xxxxxxxxx xxxx na xxxxxxxx činnosti po xxxxxxx informačního xxxxxxx. Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx do známého xxxxxxxxxxxxx xxxxx může xxx xxxxxxxxx xxxxxxxx xxxxxxxx informačního xxxxxxx nebo xxxxxxxxxxx. Xxxxxxx činnosti, které xxxx xxxxxxxxx xxx xxxxxxxx xxxxxxxx informačního xxxxxxx, xx zpravidla xxxxxxxxxxxxx xx xxxxxxxxx xxxxxxx chráněných před xxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxxx.
§14
Xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx x analýzy xxxxx
(1) Xxx xxxxxxxxx hrozeb, xxxxx xxxxxxxx aktiva xxxxxxxxxxxx xxxxxxx, musí být xxxxxxxxx xxxxxxx xxxxx.
(2) X xxxxx xxxxxxxxx xxxxxxx xxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxxx se hrozby, xxxxx xxxxxx xx xxxxxxxxxx aktiva xxxxxxxxxxxx xxxxxxx. Xxxxxxxx se xxxxxxx ohrožení, která xxxxxxxxx xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(3) Po xxxxxxxxx xxxxxx se xxxxxx zranitelná xxxxx xxxxxxxxxxxx xxxxxxx tak, xx ke xxxxx xxxxxx xx najde xxxxxxxxxx xxxxx xxxx xxxxx, xx xxxxx xxxx xxxxxx xxxxxx.
(4) Výsledkem xxxxxxxxx xxxxxxx xxxxx xx xxxxxx xxxxxx, které xxxxx xxxxxxx xxxxxxxxxx xxxxxx, s uvedením xxxxxxxxxxxxxx xxxxxx.
(5) Xx xxxxxxx xxxxxxxxx xxxxxxx xxxxx xx xxxxxxx xxxxx xxxxxxxx xxxxxxxxxxxxx.
§15
Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx
V případě xxxxxxxxxx nákladů xx xxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx prostředků xxxxxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systémů xxxxx xxxxxxxxxxxxx xxxxxxxx. Xxx xxxxxxxxx prostředků xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx bezpečnostním xxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx, xxxxx mají xxxxxxxxxx určitou bezpečnostní xxxxxx, xxxx xxx xxxxxxxx xxxxxxxxxxx xxxxxx:
x) bezpečnostní xxxxxx xxxx xxx plně xxxxxxxxxxx,
b) xxxxxxx x xxxxxx bezpečnostní xxxxxx xxxx být xxxxxxxxx.
§16
Xxxxxxxxx xxxxxxx bezpečnosti informačních xxxxxxx
(1) Aktiva xxxxxxxxxxxx systému musí xxx xxxxxxxx xx xxxxxxxxxxxxx prostoru, xx xxxxxx xx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxx x xxxxxxxxxx. Xxxxx prostor xx xxxxxxx xxxxxxxxxxxx xxxxx xxxxxxx x xxxxxxxx xxxxxxxxxx vstupu x xxxxxxxxxxxxxx bariérami.
(2) Aktivum informačního xxxxxxx musí být xxxxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxxx.
(3) Xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx musí být xxxxxxxxx tak, xxx xxxxxxxxxx xxxxxxxxxx xxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx.
(4) Xxxxxxxxxxxxxxx infrastruktura xxxxxxxxxxx xxxx nebo xxxxxxxxxxx služby xxxxxxxxxxxx xxxxxxx xxxx být xxxxxxxx před xxxxxxxx xxxxxxxxx xxxxxxxxxxx utajovaných xxxxxxxxx x xxxxxx xxxxxxxxx.
(5) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxx systémů xx doplňuje xxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx.
§17
Xxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxxxx s utajovanou xxxxxxxxx, xxxx xxx xxxxxxxxxxx xxxxx parazitnímu xxxxxxxxxxxxxxxxxxx vyzařování, které xx xxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx.
(2) Úroveň xxxxxxxxxxx xx závislá na xxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx, xx xxxxxx xxxxxxxxxx xxxxxx nakládá.
§18
Xxxxxxxxx xx xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx informačního xxxxxxx xxxx být evidovány.
(2) Vyměnitelný nosič xxxxxxxxxxx xxxxxxxxx xxxx xxx dále označen xxxxxxxx xxxxxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx.
(3) Stupeň xxxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxx xxxxxxx xxxxxxx xxxxxxx "Xxxxxx xxxxx", xxxxx xxx xxxxxx.
(4) Xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxx xxxxxxx xxxxxxx xxxxxxx "Xxxxx", "Xxxxxxx" nebo "Xxxxxxxxx", může xxx xxxxxx pouze x xxxxxxx, že xxxxxxxx xxxxxxxxxxx informací x xxx bylo xxxxxxxxx xxxxxxxx uvedeným x xxxxxxxx 5.
(5) Xxxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxx, xxxx xxx provedeno tak, xxx získání zbytkové xxxxxxxxx xxxxxxxxx xxxxxx xxxxx xxxx xxxx xxxxxx xxxxxxx x xxx xxxxxxx speciálních xxxxxxxxxxxxx xxxxx x xxxxxxxxxx.
(6) Xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxx xxx, xxx nebylo xxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxx xxxxxxxx získat.
§19
Xxxxxxx xxxxxxxxxxx xxxxxxxxxxx v xxxxxxxxxxxx xxxxxxxx počítačích
(1) V xxxxxx xxxxx xxxx x xxxxxxxxxx xxxx xxx xxxxxxxxxxxx xxxxxxxx pro xxxxxxxxxx xxxxxx počítače, xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx, xxxxxxxxxx xxxxxxxx, zejména xxx xxxxxxxxx s utajovanými xxxxxxxxxxx prostřednictvím textových xxxxxxx, xxxxxxxxxxx procesorů, xxxxxxxxxxxx xxxxxxx s xxxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxxxxxx programů xxxxxxxxxxxxx xx xxxxxxxxxxxx osobních xxxxxxxxxx.
(2) Xxxxxx xxxxxxxx xxxxxxxxx pro xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxx x xxxxxx xxxxxx xxxxxxxx xxxx xxxxxx xxxxxxxxx informace xxxxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx informace, xx xxxxxx xxxxxxxxxx osobní xxxxxxx nakládá.
§20
Xxxxxxxxx xx xxxxxxx mobilních x přenosných xxxxxxxxxxxx xxxxxxx
(1) Xxx xxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxx xx x xxxxxxx rizik xxxxxxxx i xxxxxx, xxxxx xxxx u xxxxxxxxx xxxxxxxxxxxx systémů xxxxxxx s xxxxxxxxx xxxxxxxxxxx a x xxxxxxxxxx informačních xxxxxxx x xxxxxxxxxxx, ve xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxxx používány.
(2) Xxxxxxx xxxxxxxxxx xxxxxxxxx x přenosného xxxxxxxxxxxx systému, xxxxx xxxxxxxx utajované xxxxxxxxx, xxxxxxx z xxxxxx xxxxxx komponentu xxxx xxxxxx utajované xxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxx utajované informace, xx kterou tento xxxxxxxxx xxxxxxx.
§21
Požadavek xxxxxxxxx bezpečnosti informačního xxxxxxx
(1) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxx se xxxx xxxx xxxx xxxxxxxxxxx ověřit xxxxxxxxxx. Xxxxxxxxx provádí xxxxxx, jejíž xxxxxxx xxxxx být xx xxxxxx k xxxxxxxxxxxx xxxxxxx x k xxxxxxxxxx xxxx xxxxxxx xxx, xx xx xx podíleli na xxxxxx xxxxxxxxxxxx systému, xx xx xxxx xxxxxx zájem xx xxxxxxxxxx xxxxxxxxx xxxx xx x xxxxxxxxx xxxxx xxxxxxxx xxxxxx xxxxx pracovní x xxxx obdobný xxxxx. X provedení testování xx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx xxxxx xxxxxx xxxxxxxx, že xxxxxxxxxxxx xxxxxx xxxx xxxx v xxxxxxx x xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx. Výsledky xxxxx xxxx být xxxxxxxxxxxxxxx. Xxxxx xxxxxxxx xxxxx xxxxxxxxx xxxx xxx odstraněny a xxxxxx odstranění xxxx xxx xxxxxxx xxxxxxxxxx xxxxx.
§22
Požadavky xx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxxxxxxx provozovaného xxxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxxx, s ohledem xx xxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx, xxxxxxxxxxx x vyhodnocována. Xxxxx xxxxx x informačním xxxxxxx je xxxxx xxxxxxx až xx xxxxxxxxxxx xxxxx xxxx xxxxx xx xxxxxxxxxx xxxxxxxxxxxx systému.
(2) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxx xxxx být chráněna xxxx působením xxxxxxxxxx xxxx.
(3) V xxxxxxxxxxxx xxxxxxxxxxx systému xxxx xxx používáno xxxxx xxxxxxxxxx vybavení, xxxxx bylo xxxxxx xxxxxxxxxxxxxx informačního xxxxxxx.
(4) V xxxxxxxxxxxx xxxxxxxxxxx systému musí xxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxx. Záloha xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxx xxxx xxx xxxxxxx xxx, xxx xxxxxxx dojít x xxxxxx poškození xxxx xxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx.
(5) Xxxxxxxx činnost x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx se xxxx xxxxxxxxxxx xxx, aby xxxxxx xxxxxxxx xxxx xxxxxxxxxx. X xxxxxx xxxxxxxxxxx informací xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx při xxxxxxxx činnosti xxxx xxx vymazány xxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxxx musí xxx xxxxxxxxxxx před zneužitím.
(6) X xxxxxxxxxxxx xxxxxxxxxxx systému xxxx xxx x xxxxxxxxx xxxxxxxxxxx x bezpečnostní xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxx xxxxxx xxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx auditních xxxxxxx. Auditní záznamy xxxx xxx xxxxxxxxxxx xx dobu stanovenou x bezpečnostní dokumentaci xxxxxxxxxxxx systému.
(7) Xxx xxxxxx krizové xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx musí xxx x bezpečnostní dokumentaci xxxxxxxxxxxx xxxxxxx stanovena xxxxxxxx xxxxxxxx na xxxx xxxxxxx xx xxxxxxx xxxxxxxxxx xxxxx. X xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx musí xxx xxxxxxx xxxx xxxxxxxx:
x) xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx po xxxxxx xxxxxxx situace xxxxxxxx na xxxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxxxxxxx po xxxxxx xxxxxxx xxxxxxx xxxxxxxx xx likvidaci xxxxxxxx xxxxxxx xxxxxxx xxxxxx vymezení xxxxxx xxxxxxxxxxxx za xxxxxxxxxx xxxxx,
c) xxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx,
e) xxxxxx xxxxxxxxx xxxxxxxxx xxxxxxx informačního xxxxxxx x xxxxxxxxxxxx minimálních xxxxxx, xxxxx xxxx xxx zachovány,
x) xxxxxx xxxxxx funkčnosti x uvedení xxxxxxxxxxxx xxxxxxx xx xxxxxxx xxxxxxxxxx xxxxx.
(8) Před xxxxxxxxx xxxxxxxxxxxx xxxxxxx musí xxx xxxxxxxxx xxxxxxx, xxxxxxxx xxxx zničení xxxxxxxxxxx informací, xx xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx.
§23
Xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxx systému
(1) Xxxxxxxx informačního xxxxxxx xxxx xxx xxxxxxxxxxx xxx xxxxxxx x xxxxxxxxxxx systému x tato xxxxxxxxxx xxxx být změněna xxx xxxxx xxxx xxxx v rámci xxxxxxxxxxxx xxxxxxx xxxx xxxxxxx xxx xxxxxx xxxx xxxxxx.
(2) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx x dodržování opatření xxxxxxxxxxx v xxxxxxxxxxxx xxxxxxxxxxx informačního systému x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx.
Xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx
§24
Xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému
(1) Xxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxx Xxxxx xxxxx xxxxx nebo organizace, xxxxx xxxxx xxxxxxxxxx xxxxxx provozovat, (xxxx jen "xxxxxxx").
(2) Xxxxxx xxxxx xxxxxxxx 1 obsahuje:
x) xxxxxxx xxxxx xxxxx x rozsahu xxxxxxxxxxxx systému xxxxxx xxxxxxxxx jeho běžných x xxxxxxxxxxx funkcí,
x) xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxxxx bezpečnostního xxxxxxxxxx xxxx xxxxxxxxxxxx systému,
x) xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(3) Xxxx xxxxxxxxx seznam xxxxxxxx xxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx s xxxxxxxxxxx xxxxxxxxxxx (xxxx xxx "xxxxxxxxx") x xxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxxx. K xxxxxxxxx xxxxxxxxx žadatel xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx:
a) xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxx analýzy xxxxx,
x) návrh xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxx testů xxxxxxxxxxx informačního xxxxxxx, xxxxxx xxxxx x xxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxx prostředí.
(4) Xxxxxxxxx xx xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxx. Xxxxxxxxx xxxxx provádí Xxxx x xxxxxxxx v xxxxxxxxx prostředí xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxxxxxxx xxxxxxxx x x xxxxxxx potřeby xxxxxxxxxx.
(5) Xxxx-xx x xxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxx Xxxx žadatele x jejich xxxxxxxxxx. Xxxxx žadatel x xxxxxxx stanoveném Xxxxxx xxxxxxxx nedostatky xxxxxxxxxx, hodnocení xx xxxxxx.
(6) Hodnocení xxx provádět xxxxxxxx xx xxxxxxxx jednotlivých xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xx xx jeho xxxxxxxx xxxxxxxxx.
(7) O xxxxxxxx xxxxxxxxx se xxxxxxxx xxxxxxxxx xxxxxx.
(8) Xxxxxxxx xx xx základě xxxxxxxx xxxxxxxxx xxxxxx způsobilost xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx, xxxxxx xxxxxxx x xxxxx certifikát. X xxxxxxx, xx xxxxxxxxx xxxxxxxxxx xxxxxx splňuje xxxxxxxxxxx xxxxx xxx nižší xxxxxx utajení, xxxx xx certifikát xx xxxxx xxxxxx xxxxxxx.
(9) Dojde-li x xxxxxxxxxxx xxxxxxx, jehož xxxxxxxxxxx xxxx xxxxxxxx, xx xxxxxx uvedeným x §25 xxxx. 2 písm. e), xxxxxxx xx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx. V xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx systému se xxxxxxxxx xxxxxxx xxxx xxx provádění xxxxxxxxxxx xxxxxxxxxxxx systému.
§25
Xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému
(1) Certifikát informačního xxxxxxx, xxxxx xxxx xx xxxxxx v příloze, xxxxxxxx:
a) xxxxxxxxxxxx xxxxxxxxxxxx systému xxxxxx xxxxxxxx verze, xxx xxxxx je xxxxxxx,
x) identifikaci xxxxxxxxxxx xxxxxxxxxx Úřadem,
x) identifikaci xxxxxxxx,
x) identifikaci xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxxxx utajovaných xxxxxxxxx, xxx xxxxx xxxx xxxxxxxxx jeho xxxxxxxxxxx,
x) xxxx xxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxxxx certifikátu xx xxxxxxxxxxxx xxxxxx, xxxxx xxxxx xxxx xxxxxxx. Xxxxxxxxxxxx xxxxxx xxxxxxxx:
x) xxxxxxxxxx xxxxx informačního xxxxxxx,
x) xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxxx x xxxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx x
x) xxxx změn informačního xxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx.
§26
Xxxxxx xxxxxxxx xxxxxxxxxxxxxxx informačních xxxxxxx
(1) Úřad xxxx xxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx. K xxxxxxxxxxxxxxx informačnímu systému xx xxxx xxxxxxxxxxxx xxxx, do kterého xx zakládá xxxxxx x xxxxxxxxx xxxxxxxxxxx, xxxxxxxx xxxxxxxxxx xxxxxxxxx, xxxxxxxxx zprávy a xxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému x xxxxx xxxxxxxx certifikátu.
(2) Xxxxxxxxx lhůta xxxxxxxxxxxxxx xxxxx xxxxxx xxxxx xxxx skončení xxxxxxxxx certifikátu a xxxx xxxxxxx 5 xxx.
Ustanovení xxxxxxxxx x závěrečná
§27
Xxxxxx xxx xxx xxxxxxxxxxx informační xxxxxxx
(1) Xxxxxxxxxx systém xxxxxx státu, xx xxxxxx ke dni xxxxxxxxx zákona xxxx xxxxxxxxxxxx xxxxxxxxxx tvořící xxxxxxx státního, xxxxxxxxxxxxx xxxx xxxxxxxxxx tajemství xxxxxx xxxxxxxxx xxxxxxxx xxxxx dosavadní právní xxxxxx,2) a informační xxxxxx orgánu státu, xxxxx xxx xxx xxxxxxxxx zákona xx xxx účinnosti xxxx xxxxxxxx nakládal s xxxxxxxxxx xxxxxxxxxxx, lze x xxxxxxx xxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxx systém podle xxxx vyhlášky, nejpozději xx 18 měsíců xxx dne xxxxxx xxxxxxxxx xxxx xxxxxxxx.
(2) Informační systém xxxxxxxxxx, ve xxxxxx xx xxx xxxxxxxxx zákona xxxx xxxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxx, xxxxxxxxxxxxx xxxx xxxxxxxxxx tajemství pomocí xxxxxxxxx techniky xxxxx xxxxxxxxx právní xxxxxx,2) x xxxxxxxxxx systém xxxxxxxxxx, který ode xxx xxxxxxxxx zákona xx xxx xxxxxxxxx xxxx vyhlášky xxxxxxxx x xxxxxxxxxx xxxxxxxxxxx, xxx x xxxxxxx xxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx informační xxxxxx xxxxx xxxx vyhlášky, xxxxxxxxxx xx 12 xxxxxx xxx dne xxxxxx xxxxxxxxx xxxx xxxxxxxx.
(3) Xxxxxxxxxx xxxxx xxxxxxx, xxxxx xxxxxxxxxx xxxxxxx xxxxxxx x xxxxxxxx 1 xxxx xxxxxxxx 2 xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxx systému xxxxx xxxx xxxxxxxx.
(4) Xxxxxx x certifikaci xxxxxxxxxxxx xxxxxxx xxxxxxxxx x odstavci 1 xxxx xxxxxxxx 2, x xxxxxxx xxxxxxxxxx xxxxx xxxxxxxx, xx xxx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxx této xxxxxxxx, xx xxxxx xxxxxxxxx xxxxxxxxxx 6 xxxxxx xxxx xxxxxxxxx lhůty, xx xxxxxx xx xxxxxxxxx za xxxxxxxxxxxxx.
§28
Účinnost
Xxxx xxxxxxxx nabývá xxxxxxxxx xxxx xxxxxxxxx.
Xxxxxxx:
Xxx. Xxxxxx v. x.
Příloha x xxxxxxxx x. 56/1999 Sb.
Xxxxxxxxx
Xxxxxx předpis x. 56/99 Sb. xxxxx xxxxxxxxx dnem 30.3.1999.
Xx dni xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxx xx xxxxxxxxx.
Právní xxxxxxx x. 56/99 Xx. xxx xxxxxx xxxxxxx xxxxxxxxx č. 412/2005 Sb. x xxxxxxxxx od 1.1.2006.
Znění xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx předpisů x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx xxxxxxxxx xxxxx shora xxxxxxxxx xxxxxxxx předpisu.
1) Xxxx. xxxxxxxx xxxxxxxxxxx Trusted xxxxxxxx xxxxxx evaluation xxxxxxxx (TSCEC), Information xxxxxxxxxx xxxxxxxx evaluation xxxxxxxx (ITSEC), Common xxxxxxxx (XX) xxxx Xxxxxxxx xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx (XXXXXX).
2) Xxxxxxxx Xxxxxxxxxxx ministerstva xxxxxx xx xxx 6. xxxxxx 1973 xxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx předmět xxxxxxxx, xxxxxxxxxxxxx a služebního xxxxxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx.