Právní předpis byl sestaven k datu 30.03.1999.
Zobrazené znění právního předpisu je účinné od 30.03.1999 do 30.12.2005.
Vyhláška o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu
56/99 Sb.
Předmět úpravy §1
Vymezení pojmů §2
Požadavky na bezpečnost informačních systémů
Bezpečnost informačních systémů §3
Bezpečnostní dokumentace informačního systému §4
Požadavky na přístup k utajované informaci v informačním systému §5
Požadavek odpovědnosti za činnost v informačním systému §6
Požadavek označení stupně utajení informace §7
Bezpečnostní politika informačního systému §8
Požadavky na formulaci bezpečnostní politiky informačního systému §9
Minimální bezpečnostní požadavky v oblasti počítačové bezpečnosti §10
Systémově závislé bezpečnostní požadavky odvozené z bezpečnostního provozního módu §11
Systémově závislé bezpečnostní požadavky na bezpečnost v prostředí počítačových sítí §12
Požadavky na dostupnost utajované informace a služeb informačního systému §13
Systémově závislé bezpečnostní požadavky odvozené z analýzy rizik §14
Možnost nahrazení prostředků počítačové bezpečnosti §15
Požadavky fyzické bezpečnosti informačních systémů §16
Požadavek ochrany proti parazitnímu vyzařování §17
Požadavky na bezpečnost nosičů utajovaných informací §18
Ochrana utajovaných skutečností v samostatných osobních počítačích §19
Požadavky na ochranu mobilních a přenosných informačních systémů §20
Požadavek testování bezpečnosti informačního systému §21
Požadavky na bezpečnost provozovaného informačního systému §22
Požadavky na personální bezpečnosti při provozu informačního systému §23
Certifikace informačních systémů
Postup a způsob certifikace informačního systému §24
Náležitosti certifikátu informačního systému §25
Vedení přehledu certifikovaných informačních systémů §26
Ustanovení přechodná a závěrečná
Postup pro již provozované informační systémy §27
Účinnost §28
Příloha - CERTIFIKÁT
56
XXXXXXXX
Xxxxxxxxx xxxxxxxxxxxxxx úřadu
xx dne 19. xxxxxx 1999
x xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx x xxxxxxxxxxx skutečnostmi, xxxxxxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxxxxxx certifikátu
§1
Xxxxxxx xxxxxx
Xxxx xxxxxxxx xxxxxxx xxxxxxxxx na xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx (xxxx xxx "xxxxxxxxxx systém"), xxxxxxxxx xxxxxxxxx v xxxxxxx xxxxxxxxxx xxxxxxxxxxx, xxxxx x postupy x xxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxxxxx certifikátu.
§2
Vymezení xxxxx
Xxx xxxxx xxxx vyhlášky se xxxxxx:
x) xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx, xxxxxxxx, informace xxxxxxxxxxxxx xxxxxxx xxxxxxx utajované xxxxxxxxxxx (xxxx xxx "xxxxxxxxx xxxxxxxxx"), xxxxx xxxx xxxxxxx x xxxxxxxxxxx xxxxxxx, a xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxxx") pasivní xxxxx xxxxxxxxxxxx xxxxxxx, který xxxxxxxx nebo xxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx systému (xxxx xxx "xxxxxxx") aktivní xxxxx xxxxxxxxxxxx systému, xxxxx xxxxxxxxx předání xxxxxxxxx mezi xxxxxxx xxxx xxxxx xxxxx xxxxxxx,
d) xxxxxxxx xxxxx xxxxxx, xxxxx xxxxx xxxx xxxxxxxxxx xxxxxx informačního xxxxxxx, xxxxxx působící na xxxxxx xxxxxxxxxxxx systému, xxxx xxxxxxxxxx xxxxx, xxxxxxxxxxxxxxx realizace xxxxxx x xxxxx jejich xxxxxxxx,
e) xxxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
f) xxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxx xxxx identity xxxxxxxxx xxxxxxxxxxx xxxx xxxxxx,
x) xxxxxxxxxx subjektu xxxxxxx xxxxxxxx xxxx xxx xxxxxxxxxx určených xxxxxxx,
x) bezpečnostním xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxx,
i) bezpečnostním xxxxxxxxx xxxxx xxxxxxxxx, xx xxxxxx xxxxxxxxxx xxxxxx pracuje, xxxxxxxxxxxxxxxx xxxxxxx utajení zpracovávané xxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx, xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx,
k) fyzickou xxxxxxxxxxx informačního systému xxxxxxxx použitá k xxxxxxxxx xxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxx náhodným xxxx xxxxxxxx xxxxxxx,
l) xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx vlastnost, xxxxx xxxxxxxx xxxxxxxxx xxxx xxxxx určeným xxxxxxxx x xxxxx oprávněným xxxxxxxxx,
x) komunikační xxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxxxxx kanály,
x) xxxxxxxxxxx bezpečností xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx jeho xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx,
x) povinným xxxxxxx xxxxxxxx xxxxxxxxxx pro xxxxxxx přístupu subjektů x xxxxxxxx, založené xx xxxxxxxxx xxxxxx xxxxxxx utajované informace xxxxxxxx x xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxx pro xxxxxxx x utajované xxxxxxxxx x zajišťující xxxxxxx xxx informací xxxx xxxxxxx x xxxxxxx xxxxxx xxxxxxx, nezávisle xx volbě xxxxxxx xxxxxxxxxx,
p) xxxxxxx xxx informační xxxxxx xxxxxxxxxxxxxxx, že xxxxxx xxxxxx xxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx,
x) rolí xxxxxx xxxxxxxx činností x xxxxxxxxxx xxxxxxxxxx xxx xxxxxxxxx v informačním xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx přístupu xxxxxxxx x xxxxxxxx, xxxxxxxxxxx, xx přístup k xxx xxxxx jen xxxxxxxxxxxx xxxxxxxx xxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxx prostředky xxxxxxx xxxxxxxx subjektů x xxxxxxxx, xxxxxxxx xx xxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxx k xxxxxxx, xxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxx xxxxxxx x xxxxxxx může xxxxxx, xx xxxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxx xxxxx k xxxxxx objektu, a xxxx tak ovlivňovat xxx xxxxxxxxx xxxx xxxxxxx.
Xxxxxxxxx na xxxxxxxxxx informačních systémů
§3
Xxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Bezpečnost xxxxxxxxxxxx xxxxxxx xxxxx xxxxxx xxxxxxxx z xxxxxxx:
a) počítačové x komunikační xxxxxxxxxxx,
x) administrativní xxxxxxxxxxx x xxxxxxxxxxxxx opatření,
x) xxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxx opatření xxxxxxx x odstavci 1 xx xxxxxxxxxxxx x xxxxxxxxxxxx dokumentaci xxxxxxxxxxxx xxxxxxx,
§4
Xxxxxxxxxxxx xxxxxxxxxxx informačního xxxxxxx
(1) Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx tvoří:
x) projektová xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx bezpečnostní xxxxxxxxxxx informačního xxxxxxx.
(2) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx obsahovat:
x) xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému x xxxxxxxxxxx analýzy xxxxx,
x) xxxxx bezpečnostních xxxxxxxx xxx xxxxxxxxxx xxxx xxxxxx xxxxxxxxxxxx systému,
x) xxxxxxxxxxx x testům xxxxxxxxxxx informačního systému.
(3) Provozní xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxx:
x) xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx, která xxxxxxxx xxxxxxx bezpečnostního xxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxxx směrnice pro xxxxxxxxxx typy uživatelů xxxxxxxxxxxx xxxxxxx.
(4) Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx x odstavci 2 x xxxxxxxx 3 xxxx. x) xx xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxx shodným x nejvyšším xxxxxxx xxxxxxx xxxxxxxxx informace, xx xxxxxx xxxxxxxxxx xxxxxx nakládá.
§5
Požadavky xx xxxxxxx x xxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxx
(1) Xxxxxxx x xxxxxxxxx xxxxxxxxx v informačním xxxxxxx xxx umožnit xxxxx xxxxxx xxxxx, xxxxx xxxx xxx xxxxx xxxxxxx xxxxxxxxxxxx. Xxxxxxxxxx je xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x rámci xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx x xxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxx být xxxxxxx jen xxx xx xxxxx, které xxxxx xxxxxxx nezbytně xxxxx potřebují k xxxxxx xxx xxxxxxxx. Xxxxx xxxxxx xx xxxxx xxxxxxxxx pouze x xxxxxxx xxxxxxxxx xxx provádění xxx xxxxxxxx aktivit x xxxxxxxxxxx systému.
§6
Požadavek xxxxxxxxxxxx xx xxxxxxx x informačním xxxxxxx
(1) Uživatelé informačního xxxxxxx xxxxxxxxxx xx xxxxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxx, xxxxxxx xx xxxxxxxxxxx xxxxxxxxxx informačního xxxxxxx. Tyto xxxxxxxxxx xxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx, včetně xxxxxxxxx xxxxxxxxxxxx za xxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx.
(2) X xxxxxxxxxxx xxxxxxx xx zavádí xxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx od xxxx xxxxxxx informačního xxxxxxx.
(3) Role xxxxxxxxxxxxxx správce xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxxxxx informačního xxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxx, správě xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx, xxxxxxxxxxx xxxxxx o xxxxxxxxxxxxx xxxxxxxxx x xxxxxxx činnostech stanovených x provozní bezpečnostní xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(4) Xxxxxxxxx x xxxxxxxx xxxxxxxx x xxxxxxxxxxx systému xx xxxxxxxxxxx xxx, aby xxxxxxxx bezpečnosti xxxxxxxxxxxx xxxxxxx nebo xxxxxx x ně bylo xxxxx přiřadit xxxxxxxxxxx xxxxxxxxx x xxxxx xxxx xxxx x xxxxxxxxxxx systému. Xxxxxxx xx xxxxxxxxxx xx xxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx.
§7
Xxxxxxxxx xxxxxxxx xxxxxx utajení xxxxxxxxx
Utajovaná xxxxxxxxx, xxxxx vystupuje x xxxxxxxxx xxxxxx x xxxxxxxxxxxx xxxxxxx, xxxx xxx xxxxxxxx xxxxxxxxxxxxx xxxxxxx utajení xxx, xxx xxx xxxxxxxxxx xxxxxx nakládání s xxxxx informací xxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx.
§8
Xxxxxxxxxxxx xxxxxxxx informačního xxxxxxx
(1) Xxx xxxxx xxxxxxxxxx systém xxxx xxx xxx v xxxxxxxxx xxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxxxxxxxx politiku xxxxxxxxxxxx xxxxxxx xxxxx soubor xxxxx, xxxxxxxx x xxxxxxx, xxxxx xxxxxxxx xxxxxx, jakým má xxx zajištěna xxxxxxxxx, xxxxxxxxx a xxxxxxxxxx xxxxxxxxx informace a xxxxxxxxxxx xxxxxxxxx xx xxxx xxxxxxx v xxxxxxxxxxx systému. Zásady xxxxxxxxxxxx xxxxxxxx jsou xxxxxxxxxxxx x xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx informačního xxxxxxx.
(2) Xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxx xxx zpracována x xxxxxxx s xxxxxxxx xxxxxxxx a mezinárodními xxxxxxxxx, kterými je Xxxxx xxxxxxxxx vázána, x s xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx xxxx zpracována.
(3) Xxx formulaci xxxxxxxxxxxx xxxxxxxx informačního xxxxxxx x posuzování xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxx xxxxxx též xxxxxxxxxxxxx xxxxxxxxxxxxxxxxx bezpečnostních specifikací.1)
§9
Xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx informačního systému
Xxxxxxxxxxxx politika xxxxxxxxxxxx xxxxxxx xx xxxxxxxxx xx xxxxxxx:
x) xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxx,
b) systémově xxxxxxxxx xxxxxxxxxxxxxx požadavků, xxxxxxxxx uživatele x xxxxxxxx xxxxxxx rizik,
x) xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxx, pokud xxxx xxxxxxxxxx.
§10
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx v xxxxxxx xxxxxxxxxx bezpečnosti
(1) Xxxxxxxxxx systém xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxx utajení "Xxxxxxx" xxxx xxxxxxx xxxx xxxxxxxxx xxxx xxxxxxxxx bezpečnostní xxxxxx:
x) xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxxxx všem xxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxx x xxxx zajistit xxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx informace,
b) xxxxxxxxx řízení xxxxxxxx x xxxxxxxx na xxxxxxx xxxxxxxxxxx x xxxxxx xxxxxxxxxxxx xxxx xxxxxxxxx a identity xxxxxxxxx xxxx xxxx xxxxxxxx ve xxxxxxx xxxxxxxxx,
c) xxxxxxxxxxx xxxxxxxxxxxxx událostí, které xxxxx xxxxxxxx bezpečnost xxxxxxxxxxxx xxxxxxx, xx xxxxxxxxx záznamů a xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxx neautorizovaným xxxxxxxxx, xxxxxxx modifikací xxxx xxxxxxxx. Zaznamenává se xxxxxxx xxxxxxx identifikačních x autentizačních xxxxxxxxx, xxxxxx o xxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxx xxxx xxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx bezpečnost xxxxxxxxxxxx systému,
x) xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx systému,
x) xxxxxxxx xxxxxxxxxx objektů xxxx xxxxxx xxxxxx xxxxxxxx, zejména xxxx xxxxxxxxxx jinému xxxxxxxx, xxxxx znemožní zjistit xxxxxx předchozí xxxxx,
x) ochranu xxxxxxxxxx xxx xxxxx xxxxxxx xxxxxx x xxx, xx utajovaná xxxxxxxxx xxxx xxx x xxxxxxx xxxxxxx xxxx xxxxxxx x xxxxx xxxxxxxx xxxxxxxxx xxxxxxxx.
(2) X xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx xxxxxxxxx x odstavci 1 xxxx v xxxxxxxxxxx xxxxxxx xxxxxxxxxxx identifikovatelné xxxxxxxxxx technické mechanismy. Xxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxx, xxx xxxx xxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxx dostatečnost.
(3) Xxxxxxxxxxxx mechanismy xxxxxxxxxxx xxxxxxxxxxxx politiku xxxxxxxxxxxx xxxxxxx musí být x xxxxx životním xxxxx informačního xxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxx xxxxxxxxxxxxxxxx změnami.
(4) X xxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx "Xxxxxxxxx", musí xxx xxxxxxxxx odpovědnost xxxxxxxxx xx xxxx xxxxxxx x xxxxxxxxxxx xxxxxxx x přístup x xxxxxxxxx xxxxxxxxx xxx xxxxxxx na xxxxxxx xxxxxx potřeby xxxxxxxxxxx k xxxxxxxxx. X xxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxx uvedené x odstavci 1 x xxxx opatření x xxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
§11
Xxxxxxxxx xxxxxxx bezpečnostní xxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxx módu
(1) Xxxxxxxxxx systémy xx xxxxx provozovat xxxxx x některém x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx:
x) xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxx xxx x xxxxxxxx xxxxxx,
x) xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx.
(2) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxx je xxxxxx xxxxxxxxx, xx xxxxxx je xxxxxxxxxx xxxxxx xxxxx výhradně xxx xxxxxxxxxx jednoho xxxxxxxxxxxxxxxx xxxxx utajované xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxx xxxx být xxxxxx pro xxxxxxx x utajovaným xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx, xxxxx xxxx v xxxxxxxxxxx systému xxxxxxxx, a zároveň xxxx xxx xxxxxxxxx xxxxxxxx xx xxxxx xxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxx x informačním xxxxxxx xxxxxxxx. Bezpečnost xxxxxxxxxxxx xxxxxxx, který xx provozován x xxxxxxxxxxxxx provozním xxxx xxxxxxxxxx, xx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx bezpečnostních xxxxxxxxx x xxxxxxx xxxxxxxxxx bezpečnosti xxxxxxxxx x §10 xxxx. 1 xxxx. a), x), x) x x), jakož x xxxxxxxxxx z xxxxxxx xxxxxxxxxxxxxxx x personální xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx x opatření x xxxxxxxxx důvěrnosti xxx xxxxx xxxxxxx xxxx xxxxxxxxx xxxxxx xxxxxxxxxx xxx xxxxxxxx xxxxxx xxxxxxx utajovaných xxxxxxxxx, xx kterými xxxxxxxxxx xxxxxx xxxxxxx.
(3) Xxxxxxxxxxxx xxxxxxxx xxx x xxxxxxxx úrovní xx takové xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx utajovaných xxxxxxxxx klasifikovaných xxxxxxx xxxxxx xxxxxxx, xx xxxxxx všichni uživatelé xxxx xxx určeni xxx xxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx, které xxxx x xxxxxxxxxxx xxxxxxx obsaženy, xxxxxxx xxxxxxx xxxxxxxxx xxxxxx xxx oprávněni xxxxxxxx xx všemi xxxxxxxxxxx xxxxxxxxxxx. Bezpečnost xxxxxxxxxxxx xxxxxxx, xxxxx xx xxxxxxxxxx v bezpečnostním xxxxxxxxx módu s xxxxxxxx xxxxxx, xx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx v §10, xxxxx x opatřeními x xxxxxxx administrativní x xxxxxxxxxx xxxxxxxxxxx x fyzické xxxxxxxxxxx xxxxxxxxxxxx systémů. Xxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx a xxxxxxxx k xxxxxxxxx xxxxxxxxxx xxx během xxxxxxx xxxx xxxxxxxxx xxxxxx xxxxxxxxxx xxx xxxxxxxx xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx, se xxxxxxx informační xxxxxx xxxxxxx.
(4) Xxxxxxxxxxxx xxxxxxxx mód xxxxxxxxxxxx xx takové prostředí, xxxxx xxxxxxxx v xxxxxx informačním systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxx různými xxxxxx utajení, xx xxxxxx nejsou všichni xxxxxxxxx xxxxxx xxx xxxxx s xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx, xxxxx jsou x xxxxxxxxxxx xxxxxxx xxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxx xxxxxx xxx xxxxxxxxx xxxxxxxx xx všemi utajovanými xxxxxxxxxxx. Bezpečnost informačního xxxxxxx, xxxxx je xxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxxx, xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxx v odstavci 3 x xxxxxxxxxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxxxx subjektů x xxxxxxxx. Xxxxxx xxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systémů x xxxxxxxx x xxxxxxxxx xxxxxxxxxx xxx xxxxx xxxxxxx xx stanoví xx xxxxxxx principu xxxxxxxxx xxxxxx přístupu.
(5) Xxxxxx xxxxxxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxx:
a) trvalé xxxxxxx xxxxxxx xxxxxxxx x objektu x xxxxxxxxxxxxx atributem, který xxx xxxxxxx vyjadřuje xxxxxx xxxxxxxxx xxxxxxxx x xxx xxxxxx xxxx stupeň utajení,
x) ochranu xxxxxxxxx xxxxxxxxxxxxxx atributu,
x) xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx informačního xxxxxxx x xxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx,
x) xxxxxxxxx xxxxxx definovaných xxxxxx atributů pro xxxx xxxxxxxxx objekty x zachování atributu xxx kopírování objektu.
(6) Při xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx xxxxxx přístupu xxxxxxxx x xxxxxxxx musí xxx xxxxxxxxxxx xxxx xxxxxx:
a) xxxxxxx xxxx xxxx xxxxxxxxx x objektu xxxxx xxxxx, xx-xx xxxxxx xxxx oprávnění stejná xxxx vyšší než xxxxxx utajení xxxxxxx,
x) subjekt xxxx xxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxx xxxxx, xx-xx xxxxxx xxxx xxxxxxxxx xxxxxx xxxx xxxxx xxx xxxxxx utajení xxxxxxx,
x) xxxxxxx xxxxxxxx x xxxxxxxxx obsažené x objektu je xxxxx, xxxxxxxx jej xxxxxxxx xxx pravidla xxxxxxxxx xxxxxx xxxxxxxx, xxx xxxxxxxx volitelného xxxxxx xxxxxxxx.
(7) Xxxxxxxxxx xxxxxx, xxxxx xx provozován x xxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxxx, xxxx xxx xxxxxxx přesně xxxxxxx xxxxxxx utajení xxxxxxxxx xxxxxxxxx vystupující z xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxx xxxxxxx xxxxxxxxx informaci xxxxxxxxxx xx informačního xxxxxxx.
(8) U xxxxxxxxxxxx xxxxxxx, xxxxx xx provozován v xxxxxxxxxxxxx xxxxxxxxx módu xxxxxxxxxxxxx x xxxxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxx "Xxxxxx tajné", xxxx xxx xxxxxxxxx xxxxxxxxxxxx x analýza skrytých xxxxxx. Skrytým xxxxxxx xx xxxxxx xxxxxxxxxxx xxxxxxxxxx, jíž xx xxxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxxxxx subjektu.
§12
Xxxxxxxxx xxxxxxx xxxxxxxxxxxx požadavky xx xxxxxxxxxx v xxxxxxxxx xxxxxxxxxxxx sítí
(1) Xxx přenosu xxxxxxxxx xxxxxxxxx komunikačním xxxxxxx xxxx být xxxxxxxxx ochrana xxxx xxxxxxxxxx a xxxxxxxxx.
(2) Základním xxxxxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx informace při xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxxxxxxxxxx xxxxxxx.
(3) Xxxxxxxxx xxxxxxxxxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxx xxxxxxxxxxxx kanálem xx xxxxxxxxxx detekce xxxxxxx x xxxxxxx xxxxx xxxxxxxxx informace.
(4) X závislosti xx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx x autentizace komunikujících xxxxx, xxxxxx ochrany xxxxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx. Xxxx xxxxxxxxxxxx x autentizace xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx.
(5) Xxxxxxxxx xxxx, xxxxx xx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx, k síti xxxxxx, xxxxx není xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx, xxxx xxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxx, xxx xxxx xxxxxxxx xxxxxxx xx xxxxxxxxxxxx xxxxxxx.
§13
Xxxxxxxxx xx dostupnost xxxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxxxxxxx systém musí xxxxxxxx, xxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx ve xxxxxxxxxx xxxxx, x xxxxxxxxxx xxxxx a x určeném xxxxxxx xxxxxxx.
(2) X xxxxx xxxxxxxxx bezpečného xxxxxxx xxxxxxxxxxxx xxxxxxx xx x xxxxxxxxxxxx xxxxxxxx informačního xxxxxxx xxxxxxx xxxxxxxxxx, xxxxx xxxx xxx xxxxxxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx. Dále xx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx systému x xxxxxx se xxxxxxxxxx, xxx xxxxxxx xxxxxxx xxxx být xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx.
(3) Plánování xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx a sledování xxxxxxxxxxx xxxxxxxxx xx xxxxxxx tak, xxx xxxxxxxxxxx x chybám xxxxxxxxxx jejich nedostatkem.
(4) Musí xxx xxxxxxxxx xxxx na xxxxxxxx činnosti xx xxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx xx známého xxxxxxxxxxxxx xxxxx xxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx informačního xxxxxxx xxxx xxxxxxxxxxx. Xxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxxxx xxx xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx, xx xxxxxxxxx xxxxxxxxxxxxx xx auditních xxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx modifikací xxxx xxxxxxxx.
§14
Xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx z analýzy xxxxx
(1) Xxx xxxxxxxxx xxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx, xxxx xxx xxxxxxxxx analýza xxxxx.
(2) V xxxxx xxxxxxxxx analýzy xxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxxxxx se hrozby, xxxxx xxxxxx xx xxxxxxxxxx xxxxxx informačního xxxxxxx. Posuzují xx xxxxxxx xxxxxxxx, která xxxxxxxxx xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(3) Xx xxxxxxxxx xxxxxx se xxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxx, xx xx xxxxx xxxxxx se najde xxxxxxxxxx xxxxx nebo xxxxx, xx xxxxx xxxx xxxxxx xxxxxx.
(4) Výsledkem provedené xxxxxxx xxxxx xx xxxxxx xxxxxx, které xxxxx xxxxxxx informační xxxxxx, s xxxxxxxx xxxxxxxxxxxxxx rizika.
(5) Xx xxxxxxx xxxxxxxxx xxxxxxx xxxxx se xxxxxxx xxxxx xxxxxxxx xxxxxxxxxxxxx.
§15
Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx
V případě xxxxxxxxxx nákladů xx xxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxx provést jejich xxxxxxxxx xxxxxxxx prostředků xxxxxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx bezpečnosti xxxxxxxxxxxx systémů xxxxx xxxxxxxxxxxxx xxxxxxxx. Xxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx, které xxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx, xxxx xxx xxxxxxxx následující xxxxxx:
x) xxxxxxxxxxxx xxxxxx xxxx xxx xxxx xxxxxxxxxxx,
b) xxxxxxx x xxxxxx bezpečnostní xxxxxx xxxx xxx xxxxxxxxx.
§16
Xxxxxxxxx xxxxxxx xxxxxxxxxxx informačních xxxxxxx
(1) Xxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxxx do xxxxxxxxxxxxx xxxxxxxx, xx xxxxxx je xxxxxxxxx xxxxxxx ochrana xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxx x xxxxxxxxxx. Xxxxx xxxxxxx xx vymezen definovanými xxxxx xxxxxxx x xxxxxxxx xxxxxxxxxx vstupu x xxxxxxxxxxxxxx bariérami.
(2) Xxxxxxx xxxxxxxxxxxx xxxxxxx musí xxx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxxx.
(3) Xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxx xxx, aby xxxxxxxxxx nepovolané xxxxx xxxxxxxx utajované xxxxxxxxx.
(4) Telekomunikační infrastruktura xxxxxxxxxxx data xxxx xxxxxxxxxxx xxxxxx informačního xxxxxxx xxxx xxx xxxxxxxx před xxxxxxxx xxxxxxxxx xxxxxxxxxxx utajovaných xxxxxxxxx x jejich xxxxxxxxx.
(5) Fyzická xxxxxxxxxx xxxxxxxxxxxx systémů xx doplňuje opatřeními xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx.
§17
Požadavek xxxxxxx xxxxx parazitnímu xxxxxxxxxx
(1) Komponenty xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxx, musí xxx xxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxxxxx xxxxxxxxxx, které xx xxxxx xxxxxxxx xxxxxxxxx utajované informace.
(2) Xxxxxx xxxxxxxxxxx xx xxxxxxx xx xxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx, xx xxxxxx xxxxxxxxxx xxxxxx nakládá.
§18
Požadavky xx bezpečnost xxxxxx xxxxxxxxxxx informací
(1) Xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxx.
(2) Vyměnitelný nosič xxxxxxxxxxx informací xxxx xxx xxxx xxxxxxx xxxxxxxx stanoveným pro xxxxxxxxx xxxxxxxxxxx nelistinného xxxxxxxxxx.
(3) Xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxx xxxxxxx xxxxxxx xxxxxxx "Xxxxxx xxxxx", xxxxx xxx xxxxxx.
(4) Xxxxxx utajení xxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxx xxxxxxx xxxxxxx utajení "Xxxxx", "Xxxxxxx" nebo "Xxxxxxxxx", xxxx xxx xxxxxx pouze x xxxxxxx, xx xxxxxxxx xxxxxxxxxxx xxxxxxxxx z xxx xxxx xxxxxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx 5.
(5) Xxxxxxxx xxxxxxxxx informace x vyměnitelného xxxxxx xxxxxxxxxxx informací, které xxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxx, xxxx xxx xxxxxxxxx xxx, xxx získání zbytkové xxxxxxxxx informace xxxxxx xxxxx nebo xxxx xxxxxx xxxxxxx i xxx využití xxxxxxxxxxx xxxxxxxxxxxxx metod x xxxxxxxxxx.
(6) Xxxxxx xxxxxx utajovaných xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxx tak, xxx nebylo xxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxx xxxxxxxx získat.
§19
Ochrana xxxxxxxxxxx skutečností v xxxxxxxxxxxx xxxxxxxx xxxxxxxxxx
(1) X orgánu xxxxx nebo x xxxxxxxxxx xxxx xxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxx osobní xxxxxxxx, xxxxx xxxxxxxxx s xxxxxxxxxxx xxxxxxxxxxxx, xxxxxxxxxx xxxxxxxx, xxxxxxx xxx xxxxxxxxx s xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx procesorů, xxxxxxxxxxxx xxxxxxx x xxxxxxxxx databázemi xxxx xxxxxxxxxxxxxxxx programů xxxxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxx.
(2) Xxxxxx xxxxxxxx xxxxxxxxx pro xxxxxxxx xxxxxxx samostatného xxxxxxxx xxxxxxxx vychází x xxxxxx xxxxxx xxxxxxxx xxxx xxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx informace, se xxxxxx samostatný xxxxxx xxxxxxx xxxxxxx.
§20
Xxxxxxxxx xx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Pro xxxxxxx a přenosné xxxxxxxxxx xxxxxxx se x xxxxxxx xxxxx xxxxxxxx i rizika, xxxxx xxxx u xxxxxxxxx xxxxxxxxxxxx systémů xxxxxxx x xxxxxxxxx xxxxxxxxxxx x x xxxxxxxxxx informačních xxxxxxx x prostředími, xx xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxxx používány.
(2) Ochrana xxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx, xxxxxxx x xxxxxx xxxxxx xxxxxxxxxx xxxx xxxxxx utajované xxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx, xx xxxxxx xxxxx xxxxxxxxx nakládá.
§21
Xxxxxxxxx xxxxxxxxx xxxxxxxxxxx informačního xxxxxxx
(1) Xxxxxxxxxx xxxxxxxxxxxx systému xx xxxx před xxxx certifikací ověřit xxxxxxxxxx. Xxxxxxxxx xxxxxxx xxxxxx, jejíž xxxxxxx xxxxx xxx xx xxxxxx x xxxxxxxxxxxx xxxxxxx x x xxxxxxxxxx týmu xxxxxxx xxx, že xx xx xxxxxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxx, xx xx xxxx xxxxxx zájem na xxxxxxxxxx xxxxxxxxx nebo xx s vývojovým xxxxx spojoval xxxxxx xxxxx pracovní x xxxx obdobný xxxxx. X provedení xxxxxxxxx xx nesmějí používat xxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx xxxxx musejí xxxxxxxx, že bezpečnostní xxxxxx xxxx xxxx x xxxxxxx x bezpečnostní xxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxx xxxx být xxxxxxxxxxxxxxx. Chyby xxxxxxxx xxxxx xxxxxxxxx xxxx xxx xxxxxxxxxx x xxxxxx odstranění xxxx xxx ověřeno xxxxxxxxxx xxxxx.
§22
Xxxxxxxxx xx bezpečnost provozovaného xxxxxxxxxxxx systému
(1) Xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx musí xxx xxxxxxxx, x xxxxxxx xx skutečný stav xxxxxxxxxxxx xxxxxxx, xxxxxxxxxxx x xxxxxxxxxxxxx. Xxxxx xxxxx x informačním xxxxxxx je xxxxx xxxxxxx xx xx xxxxxxxxxxx xxxxx xxxx xxxxx xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x utajovaných xxxxxxxxx xxxx být xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx.
(3) X xxxxxxxxxxxx informačním xxxxxxx xxxx být xxxxxxxxx xxxxx programové vybavení, xxxxx bylo dodáno xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(4) V xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx informací. Záloha xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxx xxxx xxx xxxxxxx xxx, xxx xxxxxxx dojít x xxxxxx xxxxxxxxx xxxx xxxxxxx xxx xxxxxxxx informačního xxxxxxx.
(5) Xxxxxxxx xxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xx xxxx xxxxxxxxxxx xxx, aby xxxxxx ohrožena xxxx xxxxxxxxxx. X xxxxxx xxxxxxxxxxx xxxxxxxxx informačního xxxxxxx xxxxxxxxxxx při xxxxxxxx činnosti xxxx xxx vymazány xxxxxxxxx xxxxxxxxx x dálková xxxxxxxxxxx musí být xxxxxxxxxxx xxxx xxxxxxxxx.
(6) X provozovaném xxxxxxxxxxx xxxxxxx xxxx xxx x xxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxx xxxxxx xxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx. Xxxxxxx xxxxxxx xxxx být archivovány xx xxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(7) Xxx xxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxx x bezpečnostní xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxxx xxxxxxxx xxxxxxxx na xxxx uvedení xx xxxxxxx bezpečného stavu. X xxxxxxxxxxxx dokumentaci xxxxxxxxxxxx xxxxxxx xxxx xxx uvedena tato xxxxxxxx:
a) xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx po xxxxxx xxxxxxx xxxxxxx xxxxxxxx na xxxxxxxxxxxx xxxx,
x) činnost xxxxxxxxxxx po xxxxxx krizové xxxxxxx xxxxxxxx na xxxxxxxxx xxxxxxxx krizové xxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xx jednotlivé xxxxx,
x) xxxxxx xxxxxxxxxx informačního xxxxxxx,
x) způsob xxxxxxxxxxx xxxxxxxx xxxxxxxx,
e) xxxxxx zajištění nouzového xxxxxxx informačního systému x vyjmenováním minimálních xxxxxx, xxxxx xxxx xxx xxxxxxxxx,
f) xxxxxx xxxxxx xxxxxxxxxx x uvedení informačního xxxxxxx xx xxxxxxx xxxxxxxxxx xxxxx.
(8) Xxxx xxxxxxxxx xxxxxxxxxxxx systému xxxx xxx xxxxxxxxx xxxxxxx, xxxxxxxx xxxx zničení xxxxxxxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx.
§23
Xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxx systému
(1) Xxxxxxxx informačního xxxxxxx xxxx xxx xxxxxxxxxxx xxx činnost x xxxxxxxxxxx xxxxxxx x tato xxxxxxxxxx xxxx xxx xxxxxxx xxx změně xxxx xxxx v rámci xxxxxxxxxxxx systému nebo xxxxxxx xxx xxxxxx xxxx xxxxxx.
(2) Xxxxxxxxxxxx informačního xxxxxxx xxxx zabezpečit proškolování xxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxxxx opatření xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému x xxxxxxxx užívání xxxxxxxxxxxx xxxxxxx.
Certifikace informačních xxxxxxx
§24
Xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxxx x provedení xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxxx Xxxxx xxxxx xxxxx nebo organizace, xxxxx budou xxxxxxxxxx xxxxxx xxxxxxxxxx, (xxxx xxx "xxxxxxx").
(2) Xxxxxx xxxxx xxxxxxxx 1 obsahuje:
x) xxxxxxx xxxxx xxxxx x rozsahu xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx jeho běžných x minimálních funkcí,
x) xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxxx bude informační xxxxxx xxxxxxxx,
x) xxxxxxxxx bezpečnostního provozního xxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(3) Xxxx xxxxxxxxx seznam xxxxxxxx xxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx (xxxx xxx "xxxxxxxxx") a xxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxxx. X xxxxxxxxx hodnocení xxxxxxx xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx:
x) bezpečnostní xxxxxxxx xxxxxxxxxxxx systému x xxxxxxxx xxxxxxx xxxxx,
b) xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxxx xxxxx x xxxxx výsledků xxxxxxxxx,
x) bezpečnostní provozní xxxxxxxxxxx informačního xxxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxx.
(4) Xxxxxxxxx xx xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxx. Dodatečné xxxxx provádí Xxxx x xxxxxxxx x xxxxxxxxx prostředí xxxxxxxxxxx xxxxxxxxxxxx systému za xxxxxxxxxxx xxxxxxxx x x xxxxxxx xxxxxxx xxxxxxxxxx.
(5) Xxxx-xx x xxxxxxx xxxxxxxxx xxxxxxxx nedostatky, xxxxx Úřad xxxxxxxx x xxxxxx xxxxxxxxxx. Pokud xxxxxxx x xxxxxxx xxxxxxxxxx Xxxxxx zjištěné nedostatky xxxxxxxxxx, xxxxxxxxx xx xxxxxx.
(6) Xxxxxxxxx xxx xxxxxxxx xxxxxxxx xx xxxxxxxx jednotlivých xxxx xxxxxxxx informačního xxxxxxx nebo xx xx jeho xxxxxxxx xxxxxxxxx.
(7) O xxxxxxxx xxxxxxxxx xx xxxxxxxx technické xxxxxx.
(8) Xxxxxxxx xx xx základě výsledku xxxxxxxxx zjistí způsobilost xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxx nakládání x xxxxxxxxxxx xxxxxxxxxxx, xxxxxx xxxxxxx o xxxxx certifikát. X xxxxxxx, xx xxxxxxxxx xxxxxxxxxx xxxxxx splňuje xxxxxxxxxxx xxxxx xxx nižší xxxxxx xxxxxxx, xxxx xx certifikát xx xxxxx stupeň utajení.
(9) Xxxxx-xx x xxxxxxxxxxx systému, xxxxx xxxxxxxxxxx xxxx chválena, xx xxxxxx xxxxxxxx x §25 odst. 2 xxxx. e), xxxxxxx xx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx potřebném x xxxxxxxxx xxxxxxxxxxx xxxx. X případě xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxxxxx obdobně xxxx xxx xxxxxxxxx certifikace xxxxxxxxxxxx xxxxxxx.
§25
Náležitosti xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Certifikát xxxxxxxxxxxx xxxxxxx, jehož vzor xx xxxxxx x příloze, xxxxxxxx:
a) xxxxxxxxxxxx xxxxxxxxxxxx systému xxxxxx označení xxxxx, xxx který xx xxxxxxx,
b) identifikaci xxxxxxxxxxx xxxxxxxxxx Úřadem,
x) identifikaci xxxxxxxx,
x) identifikaci xxxxxxxxxx xxxxxxxxxxxx systému,
e) xxxxxx utajení xxxxxxxxxxx xxxxxxxxx, xxx xxxxx xxxx xxxxxxxxx jeho xxxxxxxxxxx,
x) xxxx xxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxxxx certifikátu xx xxxxxxxxxxxx xxxxxx, xxxxx tvoří jeho xxxxxxx. Xxxxxxxxxxxx zpráva xxxxxxxx:
x) xxxxxxxxxx xxxxx informačního xxxxxxx,
x) xxxxxxxxxxxx politiku xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxxx z xxxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx x
e) xxxx změn informačního xxxxxxx, které xxxxxxxx xxxxxxxxx xxxxxxxxxxxx hodnocení xxxxxxxxxxxx systému.
§26
Xxxxxx xxxxxxxx xxxxxxxxxxxxxxx informačních xxxxxxx
(1) Xxxx xxxx xxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxx systémů. K xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxx xxxxxxxxxxxx xxxx, do xxxxxxx xx xxxxxxx xxxxxx x provedení xxxxxxxxxxx, xxxxxxxx xxxxxxxxxx xxxxxxxxx, xxxxxxxxx zprávy a xxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému x xxxxx vydaného certifikátu.
(2) Xxxxxxxxx xxxxx xxxxxxxxxxxxxx xxxxx xxxxxx xxxxx dnem xxxxxxxx xxxxxxxxx certifikátu x xxxx xxxxxxx 5 xxx.
Ustanovení xxxxxxxxx x xxxxxxxxx
§27
Xxxxxx xxx již xxxxxxxxxxx xxxxxxxxxx systémy
(1) Xxxxxxxxxx systém xxxxxx xxxxx, ve xxxxxx xx dni xxxxxxxxx zákona byla xxxxxxxxxxxx xxxxxxxxxx tvořící xxxxxxx xxxxxxxx, hospodářského xxxx xxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxx xxxxxxxxx právní xxxxxx,2) a informační xxxxxx xxxxxx státu, xxxxx xxx xxx xxxxxxxxx zákona xx xxx účinnosti xxxx xxxxxxxx nakládal x xxxxxxxxxx xxxxxxxxxxx, xxx x případě xxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxx systém xxxxx xxxx xxxxxxxx, xxxxxxxxxx xx 18 xxxxxx xxx xxx xxxxxx xxxxxxxxx xxxx vyhlášky.
(2) Informační xxxxxx xxxxxxxxxx, ve xxxxxx xx dni účinnosti zákona byla zpracovávána xxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxx, hospodářského xxxx xxxxxxxxxx tajemství xxxxxx xxxxxxxxx techniky xxxxx xxxxxxxxx právní úpravy,2) x xxxxxxxxxx xxxxxx xxxxxxxxxx, xxxxx ode xxx xxxxxxxxx zákona xx xxx účinnosti xxxx xxxxxxxx xxxxxxxx x utajovanou skutečností, xxx x xxxxxxx xxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxx xxxx xxxxxxxx, xxxxxxxxxx do 12 xxxxxx xxx xxx xxxxxx xxxxxxxxx xxxx xxxxxxxx.
(3) Xxxxxxxxxx xxxxx xxxxxxx, xxxxx xxxxxxxxxx systémy xxxxxxx x xxxxxxxx 1 xxxx xxxxxxxx 2 xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxx systému xxxxx xxxx xxxxxxxx.
(4) Xxxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxx x odstavci 1 xxxx xxxxxxxx 2, x kterého xxxxxxxxxx xxxxx xxxxxxxx, že xxx považuje xx xxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxx této xxxxxxxx, xx xxxxx xxxxxxxxx xxxxxxxxxx 6 xxxxxx xxxx xxxxxxxxx xxxxx, xx xxxxxx je xxxxxxxxx za xxxxxxxxxxxxx.
§28
Xxxxxxxx
Xxxx xxxxxxxx xxxxxx xxxxxxxxx xxxx xxxxxxxxx.
Xxxxxxx:
Xxx. Xxxxxx x. r.
Xxxxxxx x xxxxxxxx x. 56/1999 Sb.
Informace
Xxxxxx xxxxxxx č. 56/99 Xx. xxxxx xxxxxxxxx xxxx 30.3.1999.
Xx dni xxxxxxxx xxxxxx předpis xxxxx xxxxx či xxxxxxxxx.
Právní xxxxxxx x. 56/99 Xx. byl xxxxxx xxxxxxx xxxxxxxxx č. 412/2005 Sb. x účinností xx 1.1.2006.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x odkazech není xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx derogační xxxxx shora xxxxxxxxx xxxxxxxx xxxxxxxx.
1) Xxxx. xxxxxxxx xxxxxxxxxxx Xxxxxxx xxxxxxxx system xxxxxxxxxx xxxxxxxx (TSCEC), Information xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxx (XXXXX), Common xxxxxxxx (XX) xxxx Xxxxxxxx xxxxxxx xxxxxxxx xxxxxxx evaluation criteria (XXXXXX).
2) Xxxxxxxx Xxxxxxxxxxx ministerstva vnitra xx xxx 6. xxxxxx 1973 pro xxxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx, xxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxx při xxxxxx xxxxxxxxxx xxxxxx výpočetní xxxxxxxx.