Právní předpis byl sestaven k datu 30.12.2005.
Zobrazené znění právního předpisu je účinné od 30.03.1999 do 30.12.2005.
Vyhláška o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu
56/99 Sb.
Předmět úpravy §1
Vymezení pojmů §2
Požadavky na bezpečnost informačních systémů
Bezpečnost informačních systémů §3
Bezpečnostní dokumentace informačního systému §4
Požadavky na přístup k utajované informaci v informačním systému §5
Požadavek odpovědnosti za činnost v informačním systému §6
Požadavek označení stupně utajení informace §7
Bezpečnostní politika informačního systému §8
Požadavky na formulaci bezpečnostní politiky informačního systému §9
Minimální bezpečnostní požadavky v oblasti počítačové bezpečnosti §10
Systémově závislé bezpečnostní požadavky odvozené z bezpečnostního provozního módu §11
Systémově závislé bezpečnostní požadavky na bezpečnost v prostředí počítačových sítí §12
Požadavky na dostupnost utajované informace a služeb informačního systému §13
Systémově závislé bezpečnostní požadavky odvozené z analýzy rizik §14
Možnost nahrazení prostředků počítačové bezpečnosti §15
Požadavky fyzické bezpečnosti informačních systémů §16
Požadavek ochrany proti parazitnímu vyzařování §17
Požadavky na bezpečnost nosičů utajovaných informací §18
Ochrana utajovaných skutečností v samostatných osobních počítačích §19
Požadavky na ochranu mobilních a přenosných informačních systémů §20
Požadavek testování bezpečnosti informačního systému §21
Požadavky na bezpečnost provozovaného informačního systému §22
Požadavky na personální bezpečnosti při provozu informačního systému §23
Certifikace informačních systémů
Postup a způsob certifikace informačního systému §24
Náležitosti certifikátu informačního systému §25
Vedení přehledu certifikovaných informačních systémů §26
Ustanovení přechodná a závěrečná
Postup pro již provozované informační systémy §27
Účinnost §28
Příloha - CERTIFIKÁT
56
VYHLÁŠKA
Xxxxxxxxx xxxxxxxxxxxxxx úřadu
xx xxx 19. xxxxxx 1999
x xxxxxxxxx xxxxxxxxxxx informačních xxxxxxx nakládajících s xxxxxxxxxxx xxxxxxxxxxxx, xxxxxxxxx xxxxxx certifikace a xxxxxxxxxxxxx xxxxxxxxxxx
§1
Xxxxxxx xxxxxx
Xxxx xxxxxxxx xxxxxxx xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx x utajovanými xxxxxxxxxxxx (xxxx xxx "xxxxxxxxxx xxxxxx"), minimální xxxxxxxxx x xxxxxxx xxxxxxxxxx bezpečnosti, jakož x xxxxxxx a xxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxxxxx certifikátu.
§2
Xxxxxxxx xxxxx
Xxx účely xxxx xxxxxxxx se xxxxxx:
a) xxxxxxx xxxxxxxxxxxx systému hardware, xxxxxxxx, informace xxxxxxxxxxxxx xxxxxxx utajení xxxxxxxxx xxxxxxxxxxx (dále xxx "xxxxxxxxx xxxxxxxxx"), xxxxx xxxx xxxxxxx x xxxxxxxxxxx xxxxxxx, x xxxxxxxxxxx informačního xxxxxxx,
x) objektem informačního xxxxxxx (xxxx jen "xxxxxx") pasivní xxxxx xxxxxxxxxxxx systému, xxxxx xxxxxxxx xxxx xxxxxxx xxxxxxxxx,
c) xxxxxxxxx xxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxxxx") aktivní xxxxx xxxxxxxxxxxx systému, xxxxx xxxxxxxxx předání xxxxxxxxx xxxx objekty xxxx xxxxx stavu xxxxxxx,
d) xxxxxxxx xxxxx proces, xxxxx xxxxx jsou zjišťována xxxxxx informačního systému, xxxxxx působící xx xxxxxx xxxxxxxxxxxx xxxxxxx, xxxx xxxxxxxxxx místa, xxxxxxxxxxxxxxx xxxxxxxxx xxxxxx x odhad jejich xxxxxxxx,
x) xxxxxxxx xxxxxxxx záznam o xxxxxxxxxx, které mohou xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
f) xxxxxxxxxxx xxxxxxxx proces xxxxxxx xxxx identity xxxxxxxxx xxxxxxxxxxx míru záruky,
x) xxxxxxxxxx subjektu xxxxxxx určitých práv xxx xxxxxxxxxx xxxxxxxx xxxxxxx,
x) xxxxxxxxxxxxx xxxxxxxxxxx realizace xxxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxx, xx kterém informační xxxxxx xxxxxxx, charakterizované xxxxxxx utajení xxxxxxxxxxxx xxxxxxxxx informace a xxxxxxxx xxxxxxxxx uživatelů,
x) xxxxxxxxxx utajované xxxxxxxxx xxxx vlastnost, xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxx informace xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx použitá x xxxxxxxxx xxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxx xxxxxxxx xxxx xxxxxxxx xxxxxxx,
x) xxxxxxxxxx aktiva xxxxxxxxxxxx xxxxxxx vlastnost, xxxxx xxxxxxxx provedení xxxx xxxxx určeným způsobem x xxxxx oprávněným xxxxxxxxx,
x) komunikační xxxxxxxxxxx xxxxxxxx použitá x xxxxxxxxx ochrany xxxxxxxxx informace xxx xxxxxxx xxxxxxxxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx,
x) povinným xxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx, xxxxxxxx xx porovnání xxxxxx xxxxxxx utajované xxxxxxxxx xxxxxxxx v objektu x xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxx x utajované xxxxxxxxx x xxxxxxxxxxx xxxxxxx xxx xxxxxxxxx xxxx xxxxxxx x xxxxxxx xxxxxx xxxxxxx, xxxxxxxxx xx volbě xxxxxxx xxxxxxxxxx,
x) xxxxxxx xxx xxxxxxxxxx xxxxxx xxxxxxxxxxxxxxx, xx xxxxxx xxxxxx využije zranitelných xxxx xxxxxxxxxxxx systému,
x) xxxx xxxxxx xxxxxxxx činností x xxxxxxxxxx xxxxxxxxxx xxx xxxxxxxxx v xxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx prostředky pro xxxxxxx přístupu subjektů x xxxxxxxx, xxxxxxxxxxx, xx xxxxxxx k xxx získá xxx xxxxxxxxxxxx uživatel xxxx xxxxxx,
x) volitelným xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxx subjektů x objektům, xxxxxxxx xx xxxxxxxx přístupových xxxx xxxxxxxx k xxxxxxx, xxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx přístupovými xxxxx pro přístup x objektu může xxxxxx, na xxxxx xxxxx subjekty přenese xxxxxxxxxx práva k xxxxxx objektu, a xxxx xxx xxxxxxxxxx xxx xxxxxxxxx xxxx xxxxxxx.
Xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx
§3
Bezpečnost xxxxxxxxxxxx xxxxxxx
(1) Bezpečnost xxxxxxxxxxxx xxxxxxx xxxxx xxxxxx xxxxxxxx x xxxxxxx:
x) xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx bezpečnosti,
x) fyzické bezpečnosti xxxxxxxxxxxx systému.
(2) Xxxxxx xxxxxxxx xxxxxxx x xxxxxxxx 1 xx xxxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
§4
Bezpečnostní xxxxxxxxxxx informačního xxxxxxx
(1) Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxxx:
x) xxxxxxxxxx bezpečnostní xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx bezpečnostní xxxxxxxxxxx informačního systému.
(2) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx obsahovat:
x) xxxxxxxxxxxx politiku xxxxxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxx rizik,
x) xxxxx xxxxxxxxxxxxxx xxxxxxxx pro jednotlivé xxxx xxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx k xxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(3) Xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxx xxxxxxxxx:
x) xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx, která xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxxxxx systému,
b) xxxxxxxxxxxx xxxxxxxx pro xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(4) Xxxxxxxxxxxx dokumentace xxxxxxx x xxxxxxxx 2 x odstavci 3 xxxx. x) xx xxxxxxxxxxx x označuje xxxxxxx xxxxxxx xxxxxxx x xxxxxxxxx xxxxxxx xxxxxxx utajované xxxxxxxxx, xx xxxxxx xxxxxxxxxx xxxxxx nakládá.
§5
Xxxxxxxxx xx xxxxxxx x xxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxx
(1) Xxxxxxx k utajované xxxxxxxxx v xxxxxxxxxxx xxxxxxx lze umožnit xxxxx určené xxxxx, xxxxx xxxx xxx xxxxx přístup xxxxxxxxxxxx. Xxxxxxxxxx xx xxxxxxxx xx jedinečném identifikátoru xxxxxxxxx v rámci xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx x xxxxxxxxx xxxxxxxxx v informačním xxxxxxx může xxx xxxxxxx xxx xxx xx xxxxx, které xxxxx xxxxxxx xxxxxxxx xxxxx xxxxxxxxx k xxxxxx xxx činnosti. Xxxxx xxxxxx xx xxxxx xxxxxxxxx pouze x xxxxxxx xxxxxxxxx xxx xxxxxxxxx xxx xxxxxxxx aktivit x xxxxxxxxxxx systému.
§6
Xxxxxxxxx xxxxxxxxxxxx xx činnost x xxxxxxxxxxx xxxxxxx
(1) Xxxxxxxxx xxxxxxxxxxxx xxxxxxx odpovídají xx xxxxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxx, xxxxxxx xx xxxxxxxxxxx xxxxxxxxxx informačního xxxxxxx. Xxxx xxxxxxxxxx xxxx xxxxxxxxx x xxxxxxxx bezpečnostní xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxxx xxxxxxxxx odpovědnosti za xxxxxxx xxxxxxxxxxxx aktiv xxxxxxxxxxxx xxxxxxx.
(2) X informačním xxxxxxx xx zavádí xxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx odděleně xx xxxx xxxxxxx xxxxxxxxxxxx xxxxxxx.
(3) Role xxxxxxxxxxxxxx xxxxxxx informačního xxxxxxx xxxxxxxx výkon xxxxxx bezpečnosti informačního xxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxxxxx přístupových xxxx, xxxxxx autentizačních x xxxxxxxxxxxxx informací, xxxxxxxxxxxxx xxxxxxxxx záznamů, xxxxxxxxxxx bezpečnostních xxxxxxx, xxxxxxxxxxx xxxxxx o xxxxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx informačního xxxxxxx.
(4) Informace o xxxxxxxx subjektu v xxxxxxxxxxx systému xx xxxxxxxxxxx xxx, aby xxxxxxxx bezpečnosti xxxxxxxxxxxx xxxxxxx xxxx xxxxxx x ně bylo xxxxx xxxxxxxx konkrétnímu xxxxxxxxx x xxxxx xxxx xxxx x xxxxxxxxxxx xxxxxxx. Záznamy xx xxxxxxxxxx po xxxx stanovenou x xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx.
§7
Xxxxxxxxx xxxxxxxx xxxxxx xxxxxxx xxxxxxxxx
Xxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxxx x xxxxxxxxx podobě z xxxxxxxxxxxx xxxxxxx, musí xxx xxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxx xxx, xxx při jakémkoliv xxxxxx xxxxxxxxx s xxxxx xxxxxxxxx bylo xxxxxxxx dodržování xxxxxxxxxxx xxxxxx xxxxxxx.
§8
Xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Pro xxxxx xxxxxxxxxx systém xxxx xxx xxx v xxxxxxxxx fázi xxxx xxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxxx systému. Xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx soubor xxxxx, xxxxxxxx a xxxxxxx, xxxxx vymezuje xxxxxx, jakým má xxx xxxxxxxxx xxxxxxxxx, xxxxxxxxx a dostupnost xxxxxxxxx informace x xxxxxxxxxxx uživatele xx xxxx činnost x xxxxxxxxxxx xxxxxxx. Zásady xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxx v projektové x provozní xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému.
(2) Xxxxxxxxxxxx politika xxxxxxxxxxxx xxxxxxx musí xxx xxxxxxxxxx x xxxxxxx x xxxxxxxx xxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xx Xxxxx republika xxxxxx, x x xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx xxxx xxxxxxxxxx.
(3) Xxx xxxxxxxxx xxxxxxxxxxxx politiky xxxxxxxxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx komponentů xxxxxxxxxxxx systému xxx xxxxxx též xxxxxxxxxxxxx xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx.1)
§9
Xxxxxxxxx xx formulaci xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému
Xxxxxxxxxxxx politika xxxxxxxxxxxx xxxxxxx xx xxxxxxxxx xx xxxxxxx:
x) xxxxxxxxxxx bezpečnostních požadavků x xxxxxxx xxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx požadavků, xxxxxxxxx xxxxxxxxx a xxxxxxxx analýzy rizik,
x) xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx politiky xxxxxxxxxxx xxxxxx, xxxxx xxxx xxxxxxxxxx.
§10
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx "Xxxxxxx" xxxx xxxxxxx xxxx xxxxxxxxx xxxx minimální xxxxxxxxxxxx xxxxxx:
x) xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxx xxxxxxxxx, xxxxx musí xxxxxxxxxx xxxx xxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxx x xxxx xxxxxxxx xxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
b) xxxxxxxxx xxxxxx xxxxxxxx x xxxxxxxx na xxxxxxx rozlišování a xxxxxx přístupových práv xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxx xxxx xxxxxxxx xx skupině xxxxxxxxx,
x) nepřetržité xxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxx ovlivnit xxxxxxxxxx xxxxxxxxxxxx systému, xx xxxxxxxxx xxxxxxx x xxxxxxxxxxx auditních záznamů xxxx xxxxxxxxxxxxxxx přístupem, xxxxxxx xxxxxxxxxx xxxx xxxxxxxx. Xxxxxxxxxxx xx xxxxxxx xxxxxxx xxxxxxxxxxxxxxx x autentizačních informací, xxxxxx x zkoumání xxxxxxxxxxxx xxxx, xxxxxxxxx xxxx xxxxxx xxxxxxx xxxx činnost xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx auditních xxxxxxx a xxxxxxxxx xxxxxxxxxxxx jednotlivého uživatele xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxxx objektů xxxx jejich xxxxxx xxxxxxxx, zejména před xxxxxxxxxx xxxxxx subjektu, xxxxx znemožní xxxxxxx xxxxxx xxxxxxxxx xxxxx,
x) xxxxxxx důvěrnosti xxx během xxxxxxx xxxxxx s xxx, xx utajovaná xxxxxxxxx xxxx xxx v xxxxxxx xxxxxxx mezi xxxxxxx x xxxxx xxxxxxxx xxxxxxxxx xxxxxxxx.
(2) X xxxxxxxxx minimálních xxxxxxxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx v xxxxxxxxxxx xxxxxxx xxxxxxxxxxx identifikovatelné xxxxxxxxxx xxxxxxxxx xxxxxxxxxx. Xxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxx, xxx xxxx xxxxx nezávisle xxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxxxxxx.
(3) Xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx politiku xxxxxxxxxxxx xxxxxxx xxxx xxx x xxxxx životním xxxxx xxxxxxxxxxxx systému xxxxxxxx xxxx xxxxxxxxx xxxx neautorizovanými xxxxxxx.
(4) X xxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx "Xxxxxxxxx", xxxx xxx zajištěna xxxxxxxxxxx xxxxxxxxx xx jeho xxxxxxx x xxxxxxxxxxx xxxxxxx x přístup x xxxxxxxxx xxxxxxxxx xxx xxxxxxx xx xxxxxxx xxxxxx xxxxxxx xxxxxxxxxxx k xxxxxxxxx. X xxxx se xxxxxxxxxx xxxxxxxx využívají xxxxxxxxxxxx xxxxxx uvedené x xxxxxxxx 1 x xxxx xxxxxxxx x xxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxxx xxxxxxxxxxx x fyzické xxxxxxxxxxx xxxxxxxxxxxx systémů.
§11
Systémově xxxxxxx bezpečnostní xxxxxxxxx xxxxxxxx x bezpečnostního xxxxxxxxxx xxxx
(1) Xxxxxxxxxx systémy xx xxxxx xxxxxxxxxx xxxxx x xxxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx:
a) bezpečnostní xxxxxxxx xxx xxxxxxxxx,
x) bezpečnostní xxxxxxxx xxx x xxxxxxxx xxxxxx,
x) xxxxxxxxxxxx xxxxxxxx xxx víceúrovňový.
(2) Bezpečnostní provozní xxx vyhrazený je xxxxxx prostředí, ve xxxxxx xx xxxxxxxxxx xxxxxx určen xxxxxxxx xxx zpracování xxxxxxx xxxxxxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxx musí být xxxxxx xxx xxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx, xxxxx jsou x xxxxxxxxxxx xxxxxxx xxxxxxxx, x xxxxxxx xxxx být xxxxxxxxx xxxxxxxx xx všemi xxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx. Xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, který xx provozován x xxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxx, se xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx bezpečnostních xxxxxxxxx x xxxxxxx xxxxxxxxxx bezpečnosti uvedených x §10 xxxx. 1 písm. x), x), x) x x), jakož x xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx informačních xxxxxxx. Xxxxxx použitých xxxxxxxx x uvedených xxxxxxx x xxxxxxxx x xxxxxxxxx xxxxxxxxxx xxx xxxxx xxxxxxx musí xxxxxxxxx úrovni požadované xxx xxxxxxxx xxxxxx xxxxxxx utajovaných informací, xx kterými xxxxxxxxxx xxxxxx nakládá.
(3) Xxxxxxxxxxxx provozní mód x nejvyšší úrovní xx xxxxxx xxxxxxxxx, xxxxx umožňuje xxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxx různými xxxxxx xxxxxxx, ve xxxxxx xxxxxxx uživatelé xxxx být xxxxxx xxx přístup x xxxxxxxxxx informacím xxxxxxxxxx xxxxxx xxxxxxx, xxxxx xxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx, xxxxxxx xxxxxxx uživatelé nemusí xxx xxxxxxxxx xxxxxxxx xx xxxxx utajovanými xxxxxxxxxxx. Xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xx xxxxxxxxxx v bezpečnostním xxxxxxxxx módu s xxxxxxxx úrovní, xx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx v xxxxxxx počítačové xxxxxxxxxxx xxxxxxxxx x §10, xxxxx i opatřeními x xxxxxxx xxxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxx xxxxxxxxx opatření x xxxxxxxxx xxxxxxx x xxxxxxxx k xxxxxxxxx xxxxxxxxxx xxx xxxxx xxxxxxx xxxx odpovídat xxxxxx požadované pro xxxxxxxx xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx, se xxxxxxx xxxxxxxxxx xxxxxx xxxxxxx.
(4) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xx xxxxxx xxxxxxxxx, xxxxx xxxxxxxx x xxxxxx xxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx utajovaných xxxxxxxxx klasifikovaných různými xxxxxx xxxxxxx, ve xxxxxx nejsou xxxxxxx xxxxxxxxx určeni xxx xxxxx x utajovanými xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx, xxxxx xxxx x informačním xxxxxxx xxxxxxxx, xxxxxxx všichni xxxxxxxxx nemusí xxx xxxxxxxxx pracovat xx xxxxx utajovanými xxxxxxxxxxx. Xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, který xx xxxxxxxxxx v xxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxxx, xx zabezpečuje xxxxxxxxxx xxxxxxxxx x odstavci 3 x xxxxxxxxxxxx xxxxxx povinného řízení xxxxxxxx xxxxxxxx x xxxxxxxx. Xxxxxx xxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxx x xxxxxxxxx xxxxxxxxxx xxx během xxxxxxx se stanoví xx xxxxxxx principu xxxxxxxxx xxxxxx přístupu.
(5) Funkce xxxxxxxxx xxxxxx xxxxxxxx xxxxxxxx x objektům xxxx xxxxxxxxxx:
a) trvalé xxxxxxx každého xxxxxxxx x objektu s xxxxxxxxxxxxx xxxxxxxxx, který xxx subjekt vyjadřuje xxxxxx xxxxxxxxx xxxxxxxx x xxx objekt xxxx xxxxxx xxxxxxx,
x) ochranu integrity xxxxxxxxxxxxxx xxxxxxxx,
c) xxxxxxx xxxxxxxxx bezpečnostního xxxxxxx xxxxxxxxxxxx systému x xxxxxxxxx xxxx xxxxxxxxxxxxxx atributů subjektů x xxxxxxx,
d) xxxxxxxxx předem xxxxxxxxxxxx xxxxxx xxxxxxxx pro xxxx xxxxxxxxx objekty x xxxxxxxxx atributu xxx xxxxxxxxxx xxxxxxx.
(6) Při xxxxxxxxxxx xxxxxxxxxxxx funkce xxxxxxxxx xxxxxx xxxxxxxx subjektů x xxxxxxxx musí xxx xxxxxxxxxxx xxxx xxxxxx:
x) xxxxxxx xxxx xxxx xxxxxxxxx x xxxxxxx xxxxx xxxxx, xx-xx úroveň xxxx xxxxxxxxx xxxxxx xxxx vyšší xxx xxxxxx xxxxxxx objektu,
x) xxxxxxx xxxx xxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxx tehdy, xx-xx xxxxxx xxxx oprávnění xxxxxx xxxx xxxxx xxx xxxxxx utajení objektu,
x) xxxxxxx subjektu x xxxxxxxxx obsažené x xxxxxxx xx xxxxx, xxxxxxxx xxx xxxxxxxx xxx pravidla xxxxxxxxx xxxxxx xxxxxxxx, xxx xxxxxxxx xxxxxxxxxxx xxxxxx přístupu.
(7) Xxxxxxxxxx xxxxxx, který xx provozován v xxxxxxxxxxxxx xxxxxxxxx módu xxxxxxxxxxxxx, musí xxx xxxxxxx přesně xxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxx xxxxxx xxxxxxx utajované xxxxxxxxx xxxxxxxxxx xx xxxxxxxxxxxx xxxxxxx.
(8) X xxxxxxxxxxxx xxxxxxx, xxxxx xx xxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxxx x xxxxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx utajení "Xxxxxx xxxxx", xxxx xxx provedena xxxxxxxxxxxx x xxxxxxx skrytých xxxxxx. Xxxxxxx kanálem xx xxxxxx xxxxxxxxxxx xxxxxxxxxx, jíž xx xxxxxxxxx xxxxxxxxx xxxxxxx x neoprávněnému xxxxxxxx.
§12
Systémově xxxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxx
(1) Při přenosu xxxxxxxxx informace xxxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxx ochrana její xxxxxxxxxx x xxxxxxxxx.
(2) Xxxxxxxxx xxxxxxxxxxx xxx xxxxxxxxx důvěrnosti xxxxxxxxx informace xxx xxxxx xxxxxxx komunikačním xxxxxxx xx xxxxxxxxxxxxxx xxxxxxx.
(3) Xxxxxxxxx xxxxxxxxxxx pro zajištění xxxxxxxxx xxxxxxxxx xxxxxxxxx xxx jejím xxxxxxx xxxxxxxxxxxx xxxxxxx je xxxxxxxxxx xxxxxxx záměrné x xxxxxxx xxxxx xxxxxxxxx informace.
(4) X závislosti xx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxxxxx identifikace x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxx, xxxxxx xxxxxxx xxxxxxxxxxxxx a xxxxxxxxxxxx xxxxxxxxx. Tato xxxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx xxxxxxx utajované xxxxxxxxx.
(5) Xxxxxxxxx sítě, xxxxx xx xxx xxxxxxxxx správy informačního xxxxxxx, k síti xxxxxx, která xxxx xxx kontrolou xxxxxx xxxxxxxxxxxx xxxxxxx, xxxx xxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxx, xxx bylo xxxxxxxx xxxxxxx do xxxxxxxxxxxx xxxxxxx.
§13
Xxxxxxxxx xx dostupnost xxxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxxxxxxx systém musí xxxxxxxx, xxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xx xxxxxxxxxx xxxxx, x xxxxxxxxxx xxxxx x x určeném xxxxxxx xxxxxxx.
(2) V xxxxx xxxxxxxxx xxxxxxxxxx xxxxxxx informačního xxxxxxx xx x xxxxxxxxxxxx xxxxxxxx informačního xxxxxxx xxxxxxx xxxxxxxxxx, které xxxx být xxxxxxxxxxxx xxx xxxxxxxxx činnosti xxxxxxxxxxxx xxxxxxx. Xxxx xx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxx xx xxxxxxxxxx, xxx xxxxxxx xxxxxxx xxxx být xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx.
(3) Xxxxxxxxx xxxxxxx aktiv xxxxxxxxxxxx xxxxxxx x sledování xxxxxxxxxxx xxxxxxxxx xx xxxxxxx xxx, xxx xxxxxxxxxxx x chybám xxxxxxxxxx xxxxxx xxxxxxxxxxx.
(4) Xxxx xxx xxxxxxxxx xxxx xx xxxxxxxx činnosti xx xxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxxxx uvedení xxxxxxxxxxxx xxxxxxx xx xxxxxxx xxxxxxxxxxxxx xxxxx xxxx xxx provedeno xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxx. Xxxxxxx xxxxxxxx, které xxxx xxxxxxxxx xxx xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx, xx xxxxxxxxx xxxxxxxxxxxxx xx xxxxxxxxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx modifikací nebo xxxxxxxx.
§14
Xxxxxxxxx xxxxxxx bezpečností xxxxxxxxx xxxxxxxx x xxxxxxx xxxxx
(1) Xxx xxxxxxxxx xxxxxx, které xxxxxxxx xxxxxx informačního xxxxxxx, xxxx xxx xxxxxxxxx xxxxxxx xxxxx.
(2) X xxxxx xxxxxxxxx xxxxxxx xxxxx xx definují aktiva xxxxxxxxxxxx xxxxxxx x xxxxxxxxx se xxxxxx, xxxxx xxxxxx na xxxxxxxxxx xxxxxx informačního xxxxxxx. Xxxxxxxx xx xxxxxxx ohrožení, která xxxxxxxxx xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(3) Po xxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxxx místa xxxxxxxxxxxx xxxxxxx tak, xx ke xxxxx xxxxxx xx xxxxx xxxxxxxxxx místo nebo xxxxx, xx xxxxx xxxx hrozba xxxxxx.
(4) Xxxxxxxxx xxxxxxxxx xxxxxxx rizik je xxxxxx xxxxxx, xxxxx xxxxx ohrozit xxxxxxxxxx xxxxxx, s uvedením xxxxxxxxxxxxxx xxxxxx.
(5) Xx xxxxxxx xxxxxxxxx xxxxxxx xxxxx se xxxxxxx xxxxx vhodných xxxxxxxxxxxxx.
§15
Xxxxxxx xxxxxxxxx prostředků xxxxxxxxxx xxxxxxxxxxx
X xxxxxxx xxxxxxxxxx xxxxxxx xx xxxxxxxxx xxxxxxx bezpečnostní xxxxxx informačního systému xxxxxxxxxx počítačové xxxxxxxxxxx xxx provést xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxxxxxxx, fyzické xxxxxxxxxxx xxxxxxxxxxxx systémů anebo xxxxxxxxxxxxx opatření. Xxx xxxxxxxxx prostředků xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx bezpečnostním xxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx, xxxxx xxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx, musí xxx xxxxxxxx xxxxxxxxxxx xxxxxx:
x) bezpečnostní xxxxxx xxxx být xxxx xxxxxxxxxxx,
x) kvalita x úroveň bezpečnostní xxxxxx xxxx xxx xxxxxxxxx.
§16
Požadavky xxxxxxx bezpečnosti xxxxxxxxxxxx xxxxxxx
(1) Xxxxxx xxxxxxxxxxxx xxxxxxx musí xxx umístěna xx xxxxxxxxxxxxx xxxxxxxx, xx xxxxxx xx zajištěna xxxxxxx xxxxxxx informačního xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxx x xxxxxxxxxx. Xxxxx xxxxxxx xx xxxxxxx xxxxxxxxxxxx xxxxx ochrany s xxxxxxxx xxxxxxxxxx xxxxxx x bezpečnostními xxxxxxxxx.
(2) Xxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxx xxxxxxxx před xxxxxxxxxxxxxx hrozbami a xxxxxx prostředí.
(3) Xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxx xxx, aby xxxxxxxxxx nepovolané xxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx.
(4) Xxxxxxxxxxxxxxx infrastruktura xxxxxxxxxxx xxxx xxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxxx před xxxxxxxx xxxxxxxxx xxxxxxxxxxx utajovaných xxxxxxxxx x xxxxxx xxxxxxxxx.
(5) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxxxx opatřeními xxxxxxxxx xxxx technické xxxxxxxxxxx.
§17
Požadavek xxxxxxx proti xxxxxxxxxxx xxxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxxxx s xxxxxxxxxx xxxxxxxxx, xxxx xxx xxxxxxxxxxx proti parazitnímu xxxxxxxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx mohlo způsobit xxxxxxxxx utajované informace.
(2) Xxxxxx xxxxxxxxxxx xx xxxxxxx xx xxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx, xx kterou xxxxxxxxxx xxxxxx nakládá.
§18
Xxxxxxxxx xx bezpečnost xxxxxx xxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxx nosiče utajovaných xxxxxxxxx informačního systému xxxx být xxxxxxxxx.
(2) Vyměnitelný xxxxx xxxxxxxxxxx xxxxxxxxx xxxx xxx dále xxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx.
(3) Xxxxxx xxxxxxx xxxxxxxxxxxxx nosiče xxxxxxxxxxx informací, xxxxx xxx označen xxxxxxx xxxxxxx "Přísně xxxxx", xxxxx xxx xxxxxx.
(4) Xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxx xxxxxxx xxxxxxx utajení "Xxxxx", "Xxxxxxx" xxxx "Xxxxxxxxx", xxxx být xxxxxx xxxxx x xxxxxxx, xx xxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxx xxxx xxxxxxxxx xxxxxxxx xxxxxxxx v xxxxxxxx 5.
(5) Xxxxxxxx utajované xxxxxxxxx x vyměnitelného xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx snížení jeho xxxxxx xxxxxxx, xxxx xxx provedeno xxx, xxx xxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx nebylo xxxxx xxxx xxxx xxxxxx xxxxxxx x xxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx metod x xxxxxxxxxx.
(6) Xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxx xxx, xxx nebylo xxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx z něho xxxxxxxx xxxxxx.
§19
Xxxxxxx xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxxxxx
(1) V orgánu xxxxx nebo x xxxxxxxxxx xxxx xxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxx osobní počítače, xxxxx nakládají s xxxxxxxxxxx skutečnostmi, xxxxxxxxxx xxxxxxxx, xxxxxxx xxx xxxxxxxxx s xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxxx textových xxxxxxx, xxxxxxxxxxx procesorů, xxxxxxxxxxxx xxxxxxx s xxxxxxxxx databázemi nebo xxxxxxxxxxxxxxxx programů xxxxxxxxxxxxx xx samostatných xxxxxxxx xxxxxxxxxx.
(2) Xxxxxx xxxxxxxx použitých pro xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxx x pojetí xxxxxx xxxxxxxx jako nosiče xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx, xx xxxxxx xxxxxxxxxx osobní xxxxxxx nakládá.
§20
Xxxxxxxxx xx xxxxxxx mobilních x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxx xxxxxxx a xxxxxxxx xxxxxxxxxx xxxxxxx xx x xxxxxxx xxxxx xxxxxxxx x xxxxxx, xxxxx xxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx s dopravním xxxxxxxxxxx a x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x prostředími, ve xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému, xxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx, xxxxxxx x xxxxxx xxxxxx xxxxxxxxxx jako xxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxx nejvyšším stupněm xxxxxxx xxxxxxxxx informace, xx xxxxxx tento xxxxxxxxx xxxxxxx.
§21
Požadavek xxxxxxxxx xxxxxxxxxxx informačního xxxxxxx
(1) Bezpečnost xxxxxxxxxxxx systému xx xxxx xxxx xxxx certifikací ověřit xxxxxxxxxx. Xxxxxxxxx xxxxxxx xxxxxx, jejíž xxxxxxx xxxxx být xx xxxxxx k informačnímu xxxxxxx x k xxxxxxxxxx xxxx xxxxxxx xxx, xx by xx xxxxxxxx na xxxxxx informačního systému, xx by měli xxxxxx xxxxx na xxxxxxxxxx xxxxxxxxx nebo xx x xxxxxxxxx xxxxx xxxxxxxx xxxxxx xxxxx xxxxxxxx a xxxx xxxxxxx xxxxx. X xxxxxxxxx testování xx nesmějí xxxxxxxx xxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx xxxxx xxxxxx xxxxxxxx, že xxxxxxxxxxxx xxxxxx xxxx xxxx v xxxxxxx x xxxxxxxxxxxx politikou xxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxx xxxx xxx xxxxxxxxxxxxxxx. Xxxxx xxxxxxxx xxxxx xxxxxxxxx xxxx xxx odstraněny x xxxxxx xxxxxxxxxx xxxx xxx ověřeno xxxxxxxxxx xxxxx.
§22
Požadavky xx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx systému
(1) Xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx musí xxx xxxxxxxx, x ohledem xx xxxxxxxx stav xxxxxxxxxxxx xxxxxxx, xxxxxxxxxxx x vyhodnocována. Dílčí xxxxx v xxxxxxxxxxx xxxxxxx je xxxxx xxxxxxx až po xxxxxxxxxxx xxxxx této xxxxx xx xxxxxxxxxx xxxxxxxxxxxx systému.
(2) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxx xxxx xxx xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx.
(3) V xxxxxxxxxxxx informačním xxxxxxx xxxx xxx xxxxxxxxx xxxxx xxxxxxxxxx vybavení, xxxxx bylo xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(4) X xxxxxxxxxxxx xxxxxxxxxxx systému xxxx xxx xxxxxxxxx zálohování xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx informací. Xxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx informací xxxx xxx xxxxxxx xxx, xxx xxxxxxx xxxxx x xxxxxx xxxxxxxxx xxxx xxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx.
(5) Xxxxxxxx činnost x xxxxxxxxxxxx informačním xxxxxxx se musí xxxxxxxxxxx xxx, xxx xxxxxx ohrožena xxxx xxxxxxxxxx. X xxxxxx xxxxxxxxxxx informací xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx při xxxxxxxx xxxxxxxx xxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx x dálková xxxxxxxxxxx musí být xxxxxxxxxxx xxxx zneužitím.
(6) X xxxxxxxxxxxx xxxxxxxxxxx systému xxxx xxx x xxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx x při xxxxxx xxxxxxx situace neprodleně xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx. Xxxxxxx xxxxxxx xxxx xxx xxxxxxxxxxx xx dobu xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(7) Xxx xxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxxx informačního xxxxxxx xxxx xxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxxx xxxxxxxx xxxxxxxx xx xxxx xxxxxxx do xxxxxxx xxxxxxxxxx xxxxx. X xxxxxxxxxxxx dokumentaci xxxxxxxxxxxx xxxxxxx musí xxx xxxxxxx xxxx xxxxxxxx:
x) činnost xxxxxxxxxxx bezprostředně xx xxxxxx xxxxxxx situace xxxxxxxx xx minimalizaci xxxx,
x) činnost xxxxxxxxxxx xx xxxxxx xxxxxxx xxxxxxx xxxxxxxx xx xxxxxxxxx xxxxxxxx krizové situace xxxxxx xxxxxxxx osobní xxxxxxxxxxxx za xxxxxxxxxx xxxxx,
c) způsob xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx zajišťování xxxxxxxx činnosti,
x) xxxxxx xxxxxxxxx xxxxxxxxx xxxxxxx informačního systému x xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, které musí xxx xxxxxxxxx,
x) xxxxxx obnovy xxxxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxxx xxxxxxxxxx xxxxx.
(8) Xxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxx xxxxxxx, xxxxxxxx xxxx zničení xxxxxxxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx.
§23
Xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxx xxxxxxx informačního xxxxxxx
(1) Uživatel xxxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxxxx xxx činnost x xxxxxxxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxx být xxxxxxx xxx xxxxx xxxx xxxx v xxxxx xxxxxxxxxxxx xxxxxxx nebo xxxxxxx při zániku xxxx určení.
(2) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxxxx opatření xxxxxxxxxxx x bezpečnostní xxxxxxxxxxx informačního systému x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx.
Certifikace xxxxxxxxxxxx xxxxxxx
§24
Xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxxx o xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxx Xxxxx xxxxx xxxxx nebo organizace, xxxxx xxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx, (xxxx jen "xxxxxxx").
(2) Xxxxxx podle xxxxxxxx 1 xxxxxxxx:
x) xxxxxxx xxxxx xxxxx a xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xxxx xxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx xxxxxxxxxxx informací, se xxxxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxxxxx provozního xxxx xxxxxxxxxxxx xxxxxxx,
x) identifikaci xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(3) Xxxx xxxxxxxxx seznam xxxxxxxx xxx xxxxxxx xxxxxxxxxxxx informačního xxxxxxx xxxxxxxx s xxxxxxxxxxx xxxxxxxxxxx (dále xxx "xxxxxxxxx") x xxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxxx. K xxxxxxxxx xxxxxxxxx xxxxxxx xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx:
a) bezpečnostní xxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxx analýzy xxxxx,
b) návrh xxxxxxxxxxx informačního xxxxxxx,
x) xxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxxx xxxxx x xxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx provozní xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) popis xxxxxxxxxxx xxxxxxxxxx xxxxxxxxx.
(4) Xxxxxxxxx xx provádí xxxxxxxxxx xxxxxxxx předložených xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxx. Dodatečné xxxxx xxxxxxx Úřad x žadatele x xxxxxxxxx xxxxxxxxx hodnoceného xxxxxxxxxxxx systému xx xxxxxxxxxxx xxxxxxxx a x xxxxxxx xxxxxxx xxxxxxxxxx.
(5) Jsou-li x průběhu hodnocení xxxxxxxx xxxxxxxxxx, vyzve Xxxx xxxxxxxx k xxxxxx xxxxxxxxxx. Pokud xxxxxxx x termínu xxxxxxxxxx Xxxxxx zjištěné xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx se xxxxxx.
(6) Hodnocení xxx xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxx informačního xxxxxxx nebo xx xx xxxx xxxxxxxx xxxxxxxxx.
(7) X xxxxxxxx xxxxxxxxx xx xxxxxxxx xxxxxxxxx zprávy.
(8) Jestliže se xx základě xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxx xxxxxxxxx s xxxxxxxxxxx xxxxxxxxxxx, obdrží xxxxxxx x xxxxx certifikát. X případě, xx xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx způsobilost xxxxx xxx xxxxx xxxxxx xxxxxxx, xxxx xx certifikát na xxxxx stupeň xxxxxxx.
(9) Xxxxx-xx x xxxxxxxxxxx xxxxxxx, xxxxx xxxxxxxxxxx byla xxxxxxxx, xx xxxxxx xxxxxxxx x §25 xxxx. 2 xxxx. e), xxxxxxx se xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx systému x xxxxxxx xxxxxxxxx x xxxxxxxxx provedených xxxx. X xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx systému se xxxxxxxxx xxxxxxx xxxx xxx provádění xxxxxxxxxxx xxxxxxxxxxxx systému.
§25
Xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Certifikát xxxxxxxxxxxx xxxxxxx, jehož vzor xx uveden x příloze, xxxxxxxx:
a) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx xxxxx, xxx xxxxx je xxxxxxx,
b) identifikaci xxxxxxxxxxx xxxxxxxxxx Úřadem,
x) xxxxxxxxxxxx žadatele,
x) xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx, pro xxxxx xxxx xxxxxxxxx jeho xxxxxxxxxxx,
f) xxxx xxxxxxxxx certifikátu.
(2) Xxxxxxxx certifikátu xx xxxxxxxxxxxx xxxxxx, xxxxx xxxxx jeho xxxxxxx. Xxxxxxxxxxxx zpráva xxxxxxxx:
a) xxxxxxxxxx xxxxx informačního systému,
x) xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx,
c) xxxxxx xxxxxx z xxxxxxxxx,
x) případná xxxxxxx xxxxxxxxxxx platnost xxxxxxxxxxx a
x) xxxx xxxx informačního xxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx systému.
§26
Vedení xxxxxxxx certifikovaných informačních xxxxxxx
(1) Úřad xxxx xxxxxxx certifikovaných xxxxxxxxxxxx xxxxxxx. X xxxxxxxxxxxxxxx informačnímu xxxxxxx xx xxxx xxxxxxxxxxxx xxxx, do xxxxxxx xx xxxxxxx xxxxxx x xxxxxxxxx certifikace, xxxxxxxx xxxxxxxxxx xxxxxxxxx, xxxxxxxxx xxxxxx a xxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxx vydaného certifikátu.
(2) Xxxxxxxxx xxxxx xxxxxxxxxxxxxx spisu xxxxxx xxxxx dnem xxxxxxxx xxxxxxxxx certifikátu a xxxx xxxxxxx 5 xxx.
Xxxxxxxxxx přechodná x xxxxxxxxx
§27
Xxxxxx pro již xxxxxxxxxxx informační systémy
(1) Xxxxxxxxxx xxxxxx xxxxxx xxxxx, ve xxxxxx ke xxx xxxxxxxxx zákona xxxx xxxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxx, xxxxxxxxxxxxx xxxx služebního tajemství xxxxxx xxxxxxxxx xxxxxxxx xxxxx xxxxxxxxx xxxxxx xxxxxx,2) x informační xxxxxx xxxxxx xxxxx, xxxxx xxx xxx xxxxxxxxx zákona xx xxx xxxxxxxxx této xxxxxxxx xxxxxxxx x xxxxxxxxxx skutečností, lze x případě potřeby xxxxxxxxx za xxxxxxxxxxxxx xxxxxxxxxx xxxxxx podle xxxx xxxxxxxx, xxxxxxxxxx xx 18 xxxxxx xxx dne xxxxxx xxxxxxxxx této xxxxxxxx.
(2) Xxxxxxxxxx xxxxxx xxxxxxxxxx, xx xxxxxx xx dni xxxxxxxxx zákona byla xxxxxxxxxxxx xxxxxxxxxx tvořící předmět xxxxxxxx, xxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxx pomocí xxxxxxxxx xxxxxxxx podle xxxxxxxxx právní úpravy,2) x xxxxxxxxxx xxxxxx xxxxxxxxxx, xxxxx ode xxx xxxxxxxxx zákona xx dne účinnosti xxxx vyhlášky nakládal x xxxxxxxxxx xxxxxxxxxxx, xxx x případě xxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx informační xxxxxx xxxxx této xxxxxxxx, xxxxxxxxxx xx 12 xxxxxx ode dne xxxxxx xxxxxxxxx xxxx xxxxxxxx.
(3) Xxxxxxxxxx xxxxx xxxxxxx, xxxxx xxxxxxxxxx systémy xxxxxxx x odstavci 1 xxxx odstavci 2 xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxx systému podle xxxx xxxxxxxx.
(4) Xxxxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx odstavci 2, x xxxxxxx xxxxxxxxxx xxxxx xxxxxxxx, xx xxx považuje xx xxxxxxxxxxxxx informační xxxxxx xxxxx xxxx xxxxxxxx, xx xxxxx předložit xxxxxxxxxx 6 xxxxxx xxxx xxxxxxxxx xxxxx, xx kterou je xxxxxxxxx xx xxxxxxxxxxxxx.
§28
Účinnost
Xxxx xxxxxxxx xxxxxx xxxxxxxxx dnem vyhlášení.
Ředitel:
Xxx. Xxxxxx x. r.
Xxxxxxx x vyhlášce x. 56/1999 Xx.
Xxxxxxxxx
Xxxxxx xxxxxxx č. 56/99 Sb. xxxxx xxxxxxxxx xxxx 30.3.1999.
Xx xxx xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxx či xxxxxxxxx.
Xxxxxx xxxxxxx x. 56/99 Xx. xxx zrušen xxxxxxx xxxxxxxxx č. 412/2005 Sb. x xxxxxxxxx od 1.1.2006.
Xxxxx xxxxxxxxxxxx xxxxxxxx norem xxxxxx právních předpisů x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) Např. xxxxxxxx xxxxxxxxxxx Trusted xxxxxxxx system xxxxxxxxxx xxxxxxxx (XXXXX), Xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxx (XXXXX), Common xxxxxxxx (XX) xxxx Xxxxxxxx trusted computer xxxxxxx evaluation xxxxxxxx (XXXXXX).
2) Směrnice Xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xx xxx 6. xxxxxx 1973 xxx xxxxxxxxxxx ochrany xxxxxxxxxxx xxxxxxxxx xxxxxxx státního, xxxxxxxxxxxxx a služebního xxxxxxxxx xxx jejich xxxxxxxxxx xxxxxx výpočetní xxxxxxxx.