Právní předpis byl sestaven k datu 30.03.1999.
Zobrazené znění právního předpisu je účinné od 30.03.1999 do 30.12.2005.
Vyhláška o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu
56/99 Sb.
Předmět úpravy §1
Vymezení pojmů §2
Požadavky na bezpečnost informačních systémů
Bezpečnost informačních systémů §3
Bezpečnostní dokumentace informačního systému §4
Požadavky na přístup k utajované informaci v informačním systému §5
Požadavek odpovědnosti za činnost v informačním systému §6
Požadavek označení stupně utajení informace §7
Bezpečnostní politika informačního systému §8
Požadavky na formulaci bezpečnostní politiky informačního systému §9
Minimální bezpečnostní požadavky v oblasti počítačové bezpečnosti §10
Systémově závislé bezpečnostní požadavky odvozené z bezpečnostního provozního módu §11
Systémově závislé bezpečnostní požadavky na bezpečnost v prostředí počítačových sítí §12
Požadavky na dostupnost utajované informace a služeb informačního systému §13
Systémově závislé bezpečnostní požadavky odvozené z analýzy rizik §14
Možnost nahrazení prostředků počítačové bezpečnosti §15
Požadavky fyzické bezpečnosti informačních systémů §16
Požadavek ochrany proti parazitnímu vyzařování §17
Požadavky na bezpečnost nosičů utajovaných informací §18
Ochrana utajovaných skutečností v samostatných osobních počítačích §19
Požadavky na ochranu mobilních a přenosných informačních systémů §20
Požadavek testování bezpečnosti informačního systému §21
Požadavky na bezpečnost provozovaného informačního systému §22
Požadavky na personální bezpečnosti při provozu informačního systému §23
Certifikace informačních systémů
Postup a způsob certifikace informačního systému §24
Náležitosti certifikátu informačního systému §25
Vedení přehledu certifikovaných informačních systémů §26
Ustanovení přechodná a závěrečná
Postup pro již provozované informační systémy §27
Účinnost §28
Příloha - CERTIFIKÁT
56
XXXXXXXX
Xxxxxxxxx xxxxxxxxxxxxxx úřadu
xx xxx 19. xxxxxx 1999
o xxxxxxxxx xxxxxxxxxxx informačních xxxxxxx xxxxxxxxxxxxx x xxxxxxxxxxx skutečnostmi, xxxxxxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxxxxxx certifikátu
§1
Předmět xxxxxx
Xxxx xxxxxxxx xxxxxxx xxxxxxxxx xx xxxxxxxxxx informačních xxxxxxx xxxxxxxxxxxxx x utajovanými xxxxxxxxxxxx (dále jen "xxxxxxxxxx systém"), xxxxxxxxx xxxxxxxxx v xxxxxxx xxxxxxxxxx xxxxxxxxxxx, xxxxx x xxxxxxx x xxxxxxx certifikačního xxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxxxxx certifikátu.
§2
Xxxxxxxx xxxxx
Xxx účely xxxx xxxxxxxx xx xxxxxx:
a) aktivem xxxxxxxxxxxx systému xxxxxxxx, xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxx utajení xxxxxxxxx xxxxxxxxxxx (xxxx jen "xxxxxxxxx xxxxxxxxx"), xxxxx xxxx uloženy x xxxxxxxxxxx xxxxxxx, x xxxxxxxxxxx informačního systému,
x) xxxxxxxx informačního xxxxxxx (xxxx xxx "xxxxxx") pasivní xxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxxx nebo přijímá xxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxxx systému (xxxx xxx "xxxxxxx") xxxxxxx xxxxx informačního xxxxxxx, xxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxx objekty xxxx xxxxx xxxxx xxxxxxx,
d) xxxxxxxx xxxxx xxxxxx, xxxxx xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx, xxxxxx xxxxxxxx xx xxxxxx xxxxxxxxxxxx systému, xxxx xxxxxxxxxx místa, xxxxxxxxxxxxxxx xxxxxxxxx xxxxxx x odhad xxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxx záznam x xxxxxxxxxx, které xxxxx xxxxxxxx xxxxxxxxxx informačního xxxxxxx,
x) autentizací xxxxxxxx xxxxxx ověření xxxx identity xxxxxxxxx xxxxxxxxxxx xxxx záruky,
x) xxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxx xxx xxxxxxxxxx xxxxxxxx xxxxxxx,
h) xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxx, xx kterém informační xxxxxx pracuje, xxxxxxxxxxxxxxxx xxxxxxx utajení zpracovávané xxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx uživatelů,
x) xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx, xxxxx znemožňuje xxxxxxxx xxxxxxxxx xxxxxxxxx neoprávněnému xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx použitá x xxxxxxxxx fyzické ochrany xxxxx xxxxxxxxxxxx xxxxxxx xxxxx xxxxxxxx nebo xxxxxxxx hrozbám,
x) xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx vlastnost, xxxxx xxxxxxxx xxxxxxxxx jeho xxxxx xxxxxxx xxxxxxxx x xxxxx xxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxxx ochrany xxxxxxxxx xxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx informačního xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxx x xxxxxxxxxxxx prostředky,
x) xxxxxxxx řízením xxxxxxxx xxxxxxxxxx xxx xxxxxxx přístupu xxxxxxxx x xxxxxxxx, xxxxxxxx xx porovnání xxxxxx xxxxxxx xxxxxxxxx informace xxxxxxxx v xxxxxxx x xxxxxx oprávnění xxxxxxxx pro přístup x xxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxx xxx informací xxxx xxxxxxx x xxxxxxx xxxxxx utajení, xxxxxxxxx xx xxxxx učiněné xxxxxxxxxx,
x) rizikem xxx informační systém xxxxxxxxxxxxxxx, že určitá xxxxxx xxxxxxx zranitelných xxxx xxxxxxxxxxxx xxxxxxx,
x) xxxx souhrn xxxxxxxx xxxxxxxx x xxxxxxxxxx autorizací xxx xxxxxxxxx x xxxxxxxxxxx xxxxxxx,
x) řízením xxxxxxxx xxxxxxxxxx pro xxxxxxx přístupu xxxxxxxx x xxxxxxxx, xxxxxxxxxxx, xx xxxxxxx k xxx získá jen xxxxxxxxxxxx xxxxxxxx xxxx xxxxxx,
t) volitelným xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxx subjektů x objektům, xxxxxxxx xx xxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxx x xxxxxxx, xxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx přístupovými xxxxx xxx xxxxxxx x xxxxxxx xxxx xxxxxx, na xxxxx xxxxx subjekty xxxxxxx xxxxxxxxxx xxxxx k xxxxxx xxxxxxx, x xxxx xxx xxxxxxxxxx xxx xxxxxxxxx xxxx xxxxxxx.
Xxxxxxxxx na xxxxxxxxxx informačních xxxxxxx
§3
Xxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx xxxxxx opatření x xxxxxxx:
x) počítačové x komunikační xxxxxxxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxxxxxx x organizačních xxxxxxxx,
x) xxxxxxxxxx bezpečnosti,
x) xxxxxxx bezpečnosti xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxx opatření xxxxxxx x xxxxxxxx 1 xx specifikován x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
§4
Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému
(1) Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx:
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému,
x) xxxxxxxx bezpečnostní xxxxxxxxxxx informačního xxxxxxx.
(2) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx informačního xxxxxxx musí xxxxxxxxx:
x) bezpečnostní politiku xxxxxxxxxxxx systému x xxxxxxxxxxx xxxxxxx xxxxx,
x) xxxxx bezpečnostních xxxxxxxx pro xxxxxxxxxx xxxx návrhu xxxxxxxxxxxx systému,
x) xxxxxxxxxxx k testům xxxxxxxxxxx xxxxxxxxxxxx systému.
(3) Xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx informačního xxxxxxx xxxx xxxxxxxxx:
x) xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxxx xxxxxxx bezpečnostního xxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxx typy xxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(4) Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx x odstavci 2 x xxxxxxxx 3 xxxx. x) xx xxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxx xxxxxxx x xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx, xx xxxxxx xxxxxxxxxx xxxxxx xxxxxxx.
§5
Požadavky xx přístup k xxxxxxxxx xxxxxxxxx v xxxxxxxxxxx xxxxxxx
(1) Xxxxxxx x xxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxx xxx xxxxxxx xxxxx určené xxxxx, xxxxx xxxx xxx xxxxx xxxxxxx xxxxxxxxxxxx. Xxxxxxxxxx xx xxxxxxxx xx xxxxxxxxxx identifikátoru xxxxxxxxx v xxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx k xxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxx může být xxxxxxx xxx pro xx osoby, které xxxxx xxxxxxx xxxxxxxx xxxxx xxxxxxxxx k xxxxxx své xxxxxxxx. Xxxxx xxxxxx xx xxxxx xxxxxxxxx xxxxx x xxxxxxx xxxxxxxxx xxx provádění xxx xxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxx.
§6
Xxxxxxxxx xxxxxxxxxxxx xx činnost x xxxxxxxxxxx systému
(1) Xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxx xx xxxxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxx, xxxxxxx je xxxxxxxxxxx bezpečnost xxxxxxxxxxxx xxxxxxx. Xxxx povinnosti xxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxxx dokumentaci xxxxxxxxxxxx xxxxxxx, včetně xxxxxxxxx xxxxxxxxxxxx za xxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx.
(2) X xxxxxxxxxxx xxxxxxx xx xxxxxx xxxx xxxxxxxxxxxxxx správce informačního xxxxxxx odděleně xx xxxx xxxxxxx xxxxxxxxxxxx xxxxxxx.
(3) Role xxxxxxxxxxxxxx xxxxxxx informačního xxxxxxx xxxxxxxx xxxxx xxxxxx bezpečnosti informačního xxxxxxx spočívající zejména x xxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxx autentizačních x autorizačních informací, xxxxxxxxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx bezpečnostních směrnic, xxxxxxxxxxx xxxxxx x xxxxxxxxxxxxx incidentu x xxxxxxx xxxxxxxxxx xxxxxxxxxxx x provozní bezpečnostní xxxxxxxxxxx xxxxxxxxxxxx systému.
(4) Xxxxxxxxx o xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxx se xxxxxxxxxxx tak, xxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx nebo xxxxxx x ně bylo xxxxx přiřadit xxxxxxxxxxx xxxxxxxxx x xxxxx xxxx xxxx x xxxxxxxxxxx xxxxxxx. Xxxxxxx xx xxxxxxxxxx xx xxxx stanovenou x xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx.
§7
Xxxxxxxxx xxxxxxxx stupně xxxxxxx xxxxxxxxx
Utajovaná xxxxxxxxx, xxxxx xxxxxxxxx v xxxxxxxxx xxxxxx z xxxxxxxxxxxx xxxxxxx, xxxx xxx označena odpovídajícím xxxxxxx xxxxxxx tak, xxx xxx xxxxxxxxxx xxxxxx xxxxxxxxx x xxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx.
§8
Xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému
(1) Pro xxxxx xxxxxxxxxx xxxxxx xxxx xxx xxx v xxxxxxxxx xxxx xxxx xxxxxx zpracována xxxxxxxxxxxx xxxxxxxx informačního xxxxxxx. Xxxxxxxxxxxx xxxxxxxx informačního xxxxxxx xxxxx soubor xxxxx, xxxxxxxx x xxxxxxx, xxxxx xxxxxxxx xxxxxx, jakým xx xxx zajištěna xxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxxx a xxxxxxxxxxx xxxxxxxxx xx xxxx xxxxxxx x xxxxxxxxxxx xxxxxxx. Zásady xxxxxxxxxxxx politiky xxxx xxxxxxxxxxxx x xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxxxxxxx politika xxxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxxx x xxxxxxx s právními xxxxxxxx a xxxxxxxxxxxxx xxxxxxxxx, xxxxxxx je Xxxxx republika vázána, x s xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx xxxx xxxxxxxxxx.
(3) Xxx xxxxxxxxx xxxxxxxxxxxx politiky xxxxxxxxxxxx xxxxxxx x posuzování xxxxxxxxxxxxxx vlastností komponentů xxxxxxxxxxxx xxxxxxx xxx xxxxxx xxx mezinárodních xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx.1)
§9
Xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému
Xxxxxxxxxxxx politika informačního xxxxxxx xx formuluje xx xxxxxxx:
x) xxxxxxxxxxx bezpečnostních xxxxxxxxx x xxxxxxx počítačové xxxxxxxxxxx,
x) systémově xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxx xxxxx,
x) xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx nadřízeného xxxxxx, pokud xxxx xxxxxxxxxx.
§10
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxx počítačové xxxxxxxxxxx
(1) Xxxxxxxxxx xxxxxx xxxxxxxxxxx s xxxxxxxxxxx xxxxxxxxxxx xxxxxx utajení "Xxxxxxx" nebo xxxxxxx xxxx xxxxxxxxx xxxx minimální xxxxxxxxxxxx xxxxxx:
x) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx, které musí xxxxxxxxxx všem xxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxx a xxxx zajistit xxxxxxx xxxxxxxxxx a xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxx xxxxxxxx x xxxxxxxx xx xxxxxxx xxxxxxxxxxx a xxxxxx xxxxxxxxxxxx práv xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxx xxxx xxxxxxxx ve xxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, které xxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx systému, do xxxxxxxxx záznamů x xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxxxx nebo xxxxxxxx. Zaznamenává se xxxxxxx xxxxxxx identifikačních x autentizačních xxxxxxxxx, xxxxxx x zkoumání xxxxxxxxxxxx xxxx, xxxxxxxxx xxxx rušení xxxxxxx xxxx činnost xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx bezpečnost xxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx auditních xxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx uživatele xxxxxxxxxxxx systému,
e) xxxxxxxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxx xxxxxxxx, xxxxxxx xxxx xxxxxxxxxx jinému xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxx xxxxxxxxx obsah,
x) xxxxxxx xxxxxxxxxx xxx xxxxx xxxxxxx sítěmi x xxx, že xxxxxxxxx informace xxxx xxx x procesu xxxxxxx xxxx xxxxxxx x cílem chráněna xxxxxxxxx xxxxxxxx.
(2) X zajištění xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx uvedených x xxxxxxxx 1 xxxx x informačním xxxxxxx realizovány xxxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx. Xxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx tak, xxx xxxx xxxxx nezávisle xxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxxxxxx.
(3) Xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx informačního xxxxxxx xxxx xxx x celém životním xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx před narušením xxxx xxxxxxxxxxxxxxxx xxxxxxx.
(4) X informačním xxxxxxx, xxxxx xxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxxxx stupně xxxxxxx "Xxxxxxxxx", xxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxx xxxxxxx v xxxxxxxxxxx xxxxxxx a xxxxxxx x utajované xxxxxxxxx xxx umožnit xx xxxxxxx xxxxxx potřeby xxxxxxxxxxx x xxxxxxxxx. X tomu xx xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxx funkce uvedené x odstavci 1 x dále opatření x xxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
§11
Systémově xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxx xxxx
(1) Xxxxxxxxxx xxxxxxx xx xxxxx provozovat xxxxx x xxxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx:
x) xxxxxxxxxxxx xxxxxxxx mód xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxx xxx x xxxxxxxx xxxxxx,
c) xxxxxxxxxxxx xxxxxxxx mód xxxxxxxxxxxx.
(2) Bezpečnostní xxxxxxxx xxx xxxxxxxxx xx xxxxxx xxxxxxxxx, ve xxxxxx je informační xxxxxx xxxxx xxxxxxxx xxx xxxxxxxxxx xxxxxxx xxxxxxxxxxxxxxxx druhu xxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxx xxxx xxx xxxxxx pro xxxxxxx x xxxxxxxxxx informacím xxxxxxxxxx xxxxxx xxxxxxx, xxxxx jsou v xxxxxxxxxxx xxxxxxx xxxxxxxx, x zároveň xxxx xxx xxxxxxxxx xxxxxxxx se xxxxx xxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxx x informačním xxxxxxx obsaženy. Bezpečnost xxxxxxxxxxxx xxxxxxx, xxxxx xx provozován v xxxxxxxxxxxxx provozním módu xxxxxxxxxx, xx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x oblasti xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x §10 odst. 1 xxxx. x), x), d) a x), xxxxx x xxxxxxxxxx z xxxxxxx xxxxxxxxxxxxxxx a personální xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx informačních systémů. Xxxxxx použitých xxxxxxxx x xxxxxxxxx xxxxxxx x xxxxxxxx x xxxxxxxxx xxxxxxxxxx dat xxxxx xxxxxxx xxxx xxxxxxxxx xxxxxx požadované xxx xxxxxxxx xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx, xx kterými xxxxxxxxxx xxxxxx nakládá.
(3) Xxxxxxxxxxxx provozní xxx x xxxxxxxx xxxxxx xx takové xxxxxxxxx, které xxxxxxxx xxxxxxxx xxxxxxxxxx utajovaných xxxxxxxxx klasifikovaných xxxxxxx xxxxxx xxxxxxx, xx xxxxxx xxxxxxx xxxxxxxxx xxxx být xxxxxx xxx xxxxxxx x xxxxxxxxxx xxxxxxxxxx nejvyššího xxxxxx xxxxxxx, xxxxx xxxx v informačním xxxxxxx xxxxxxxx, přičemž xxxxxxx xxxxxxxxx xxxxxx xxx xxxxxxxxx pracovat xx xxxxx xxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xx xxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx xxxx x xxxxxxxx úrovní, xx xxxxxxxxxxx splněním xxxxxxxxxxx xxxxxxxxxxxxxx požadavků x xxxxxxx počítačové bezpečnosti xxxxxxxxx v §10, xxxxx x xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx x fyzické bezpečnosti xxxxxxxxxxxx xxxxxxx. Úroveň xxxxxxxxx xxxxxxxx z xxxxxxxxx oblastí a xxxxxxxx k xxxxxxxxx xxxxxxxxxx dat xxxxx xxxxxxx musí xxxxxxxxx xxxxxx xxxxxxxxxx xxx xxxxxxxx xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxxxx xxxxxx xxxxxxx.
(4) Xxxxxxxxxxxx xxxxxxxx xxx víceúrovňový xx xxxxxx xxxxxxxxx, xxxxx umožňuje x xxxxxx informačním xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxx, xx xxxxxx xxxxxx všichni xxxxxxxxx xxxxxx pro xxxxx x utajovanými xxxxxxxxxxx nejvyššího xxxxxx xxxxxxx, xxxxx xxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxx xxxxxx xxx oprávněni pracovat xx všemi xxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxxxx informačního xxxxxxx, který je xxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx módu xxxxxxxxxxxxx, xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxxx 3 x xxxxxxxxxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxxxx xxxxxxxx k xxxxxxxx. Xxxxxx použitých xxxxxxxx x oblasti xxxxxxxxxxxxxxx x personální xxxxxxxxxxx, xxxxxxx bezpečnosti xxxxxxxxxxxx systémů x xxxxxxxx x zajištění xxxxxxxxxx xxx xxxxx xxxxxxx xx xxxxxxx xx xxxxxxx xxxxxxxx xxxxxxxxx řízení xxxxxxxx.
(5) Funkce xxxxxxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx musí xxxxxxxxxx:
a) xxxxxx xxxxxxx xxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxxxxxxx xxxxxxxxx, který xxx xxxxxxx xxxxxxxxx xxxxxx oprávnění xxxxxxxx x xxx xxxxxx xxxx xxxxxx utajení,
x) xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx bezpečnostního xxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxxx změn xxxxxxxxxxxxxx atributů xxxxxxxx x xxxxxxx,
x) xxxxxxxxx předem xxxxxxxxxxxx xxxxxx xxxxxxxx pro xxxx xxxxxxxxx objekty x xxxxxxxxx xxxxxxxx xxx xxxxxxxxxx objektu.
(6) Xxx xxxxxxxxxxx xxxxxxxxxxxx funkce xxxxxxxxx xxxxxx přístupu xxxxxxxx x objektům xxxx xxx zabezpečeny xxxx xxxxxx:
a) xxxxxxx xxxx xxxx informace x objektu xxxxx xxxxx, xx-xx úroveň xxxx xxxxxxxxx stejná xxxx xxxxx xxx xxxxxx xxxxxxx objektu,
x) xxxxxxx může xxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxx xxxxx, xx-xx úroveň xxxx oprávnění xxxxxx xxxx xxxxx xxx xxxxxx utajení objektu,
x) přístup xxxxxxxx x xxxxxxxxx xxxxxxxx x objektu xx xxxxx, jestliže xxx xxxxxxxx xxx pravidla xxxxxxxxx řízení xxxxxxxx, xxx xxxxxxxx volitelného xxxxxx xxxxxxxx.
(7) Xxxxxxxxxx xxxxxx, který xx xxxxxxxxxx v xxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxxx, xxxx být xxxxxxx xxxxxx označit xxxxxxx xxxxxxx utajované xxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxx a xxxxxxx přiřadit stupeň xxxxxxx utajované xxxxxxxxx xxxxxxxxxx do xxxxxxxxxxxx xxxxxxx.
(8) X xxxxxxxxxxxx systému, xxxxx xx xxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx módu xxxxxxxxxxxxx x xxxxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxx "Xxxxxx tajné", xxxx xxx provedena xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx. Xxxxxxx xxxxxxx xx rozumí xxxxxxxxxxx xxxxxxxxxx, jíž xx xxxxxxxxx informace xxxxxxx x xxxxxxxxxxxxx xxxxxxxx.
§12
Xxxxxxxxx xxxxxxx xxxxxxxxxxxx požadavky xx xxxxxxxxxx v xxxxxxxxx počítačových xxxx
(1) Xxx přenosu xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxx xxxxxxx xxxx xxxxxxxxxx x integrity.
(2) Základním xxxxxxxxxxx xxx xxxxxxxxx důvěrnosti xxxxxxxxx xxxxxxxxx při xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx xx kryptografická xxxxxxx.
(3) Xxxxxxxxx xxxxxxxxxxx pro xxxxxxxxx xxxxxxxxx utajované xxxxxxxxx xxx xxxxx přenosu xxxxxxxxxxxx kanálem xx xxxxxxxxxx xxxxxxx záměrné x náhodné xxxxx xxxxxxxxx informace.
(4) X xxxxxxxxxx na xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxx spolehlivá xxxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxx, xxxxxx xxxxxxx xxxxxxxxxxxxx a xxxxxxxxxxxx xxxxxxxxx. Xxxx xxxxxxxxxxxx x xxxxxxxxxxx předchází xxxxxxx utajované informace.
(5) Připojení xxxx, xxxxx je xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx, x xxxx xxxxxx, která není xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx, xxxx xxx zabezpečeno xxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxx, xxx xxxx xxxxxxxx xxxxxxx xx xxxxxxxxxxxx xxxxxxx.
§13
Xxxxxxxxx xx xxxxxxxxxx utajované xxxxxxxxx a služeb xxxxxxxxxxxx xxxxxxx
(1) Xxxxxxxxxx xxxxxx musí xxxxxxxx, xxx xxxxxxxxxx xxxxxxxxx informace xxxx xxxxxxxxx xx stanoveném xxxxx, v xxxxxxxxxx formě x x xxxxxxx časovém xxxxxxx.
(2) X xxxxx zajištění bezpečného xxxxxxx xxxxxxxxxxxx xxxxxxx xx x xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxx xxxxxxxxxx, xxxxx xxxx být nahraditelné xxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxx xx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx funkčnosti xxxxxxxxxxxx xxxxxxx x xxxxxx se xxxxxxxxxx, xxx jejichž xxxxxxx xxxx být minimální xxxxxxxxx informačního xxxxxxx xxxxxxxx.
(3) Plánování xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx x sledování xxxxxxxxxxx xxxxxxxxx xx xxxxxxx xxx, xxx xxxxxxxxxxx x xxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx.
(4) Xxxx xxx xxxxxxxxx plán na xxxxxxxx xxxxxxxx po xxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx do známého xxxxxxxxxxxxx xxxxx může xxx provedeno xxxxxxxx správcem xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxx. Xxxxxxx činnosti, které xxxx xxxxxxxxx xxx xxxxxxxx činnosti xxxxxxxxxxxx xxxxxxx, xx xxxxxxxxx xxxxxxxxxxxxx xx xxxxxxxxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx modifikací xxxx xxxxxxxx.
§14
Systémově xxxxxxx bezpečností požadavky xxxxxxxx x xxxxxxx xxxxx
(1) Xxx xxxxxxxxx xxxxxx, které xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx, xxxx xxx xxxxxxxxx analýza rizik.
(2) X xxxxx xxxxxxxxx xxxxxxx xxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxxx se xxxxxx, xxxxx xxxxxx na xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxxxx xx xxxxxxx xxxxxxxx, která xxxxxxxxx xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxxxx informačního xxxxxxx.
(3) Xx xxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx systému xxx, xx xx xxxxx xxxxxx xx najde xxxxxxxxxx xxxxx xxxx xxxxx, xx xxxxx xxxx hrozba xxxxxx.
(4) Xxxxxxxxx xxxxxxxxx xxxxxxx rizik je xxxxxx hrozeb, které xxxxx xxxxxxx xxxxxxxxxx xxxxxx, s uvedením xxxxxxxxxxxxxx rizika.
(5) Xx základě provedené xxxxxxx rizik xx xxxxxxx xxxxx xxxxxxxx xxxxxxxxxxxxx.
§15
Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx
X xxxxxxx xxxxxxxxxx xxxxxxx na xxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxxxxx počítačové xxxxxxxxxxx xxx xxxxxxx jejich xxxxxxxxx xxxxxxxx prostředků xxxxxxxxxx nebo xxxxxxxxxxxxxxx xxxxxxxxxxx, fyzické xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx anebo xxxxxxxxxxxxx xxxxxxxx. Xxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx, xxxxx xxxx xxxxxxxxxx určitou bezpečnostní xxxxxx, musí xxx xxxxxxxx následující xxxxxx:
x) bezpečnostní funkce xxxx být xxxx xxxxxxxxxxx,
x) kvalita x xxxxxx bezpečnostní xxxxxx xxxx xxx xxxxxxxxx.
§16
Xxxxxxxxx xxxxxxx bezpečnosti xxxxxxxxxxxx xxxxxxx
(1) Xxxxxx xxxxxxxxxxxx xxxxxxx musí xxx xxxxxxxx do xxxxxxxxxxxxx xxxxxxxx, ve xxxxxx je xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxx x xxxxxxxxxx. Xxxxx xxxxxxx xx vymezen xxxxxxxxxxxx xxxxx xxxxxxx x xxxxxxxx xxxxxxxxxx vstupu x xxxxxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxx chráněno xxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxxx.
(3) Xxxxxxxx xxxxx informačního xxxxxxx musí být xxxxxxxxx tak, xxx xxxxxxxxxx xxxxxxxxxx osobě xxxxxxxx xxxxxxxxx informace.
(4) Telekomunikační xxxxxxxxxxxxxx xxxxxxxxxxx data xxxx xxxxxxxxxxx xxxxxx informačního xxxxxxx xxxx xxx xxxxxxxx před možností xxxxxxxxx přenášených xxxxxxxxxxx xxxxxxxxx x jejich xxxxxxxxx.
(5) Fyzická xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx.
§17
Xxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxx, xxxx xxx xxxxxxxxxxx proti xxxxxxxxxxx xxxxxxxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx mohlo způsobit xxxxxxxxx xxxxxxxxx informace.
(2) Xxxxxx xxxxxxxxxxx xx xxxxxxx xx xxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx, xx xxxxxx xxxxxxxxxx xxxxxx nakládá.
§18
Xxxxxxxxx xx xxxxxxxxxx xxxxxx xxxxxxxxxxx informací
(1) Xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx informačního systému xxxx být xxxxxxxxx.
(2) Xxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxx musí xxx xxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxxxx skutečnosti xxxxxxxxxxxx xxxxxxxxxx.
(3) Stupeň xxxxxxx xxxxxxxxxxxxx nosiče xxxxxxxxxxx informací, xxxxx xxx xxxxxxx stupněm xxxxxxx "Xxxxxx tajné", xxxxx xxx xxxxxx.
(4) Stupeň xxxxxxx xxxxxxxxxxxxx nosiče utajovaných xxxxxxxxx, xxxxx xxx xxxxxxx stupněm utajení "Xxxxx", "Xxxxxxx" nebo "Xxxxxxxxx", xxxx xxx xxxxxx xxxxx x xxxxxxx, xx xxxxxxxx xxxxxxxxxxx informací z xxx bylo provedeno xxxxxxxx uvedeným v xxxxxxxx 5.
(5) Xxxxxxxx utajované xxxxxxxxx x xxxxxxxxxxxxx xxxxxx xxxxxxxxxxx informací, které xxxxxxxx snížení xxxx xxxxxx utajení, musí xxx xxxxxxxxx tak, xxx xxxxxxx zbytkové xxxxxxxxx informace xxxxxx xxxxx xxxx xxxx xxxxxx xxxxxxx x xxx xxxxxxx speciálních xxxxxxxxxxxxx metod x xxxxxxxxxx.
(6) Ničení xxxxxx utajovaných informací xxxxxxxxxxxx xxxxxxx musí xxx provedeno tak, xxx xxxxxx možno xxxxxx xxxxxxxx utajovanou xxxxxxxxx z xxxx xxxxxxxx xxxxxx.
§19
Xxxxxxx xxxxxxxxxxx xxxxxxxxxxx v xxxxxxxxxxxx osobních xxxxxxxxxx
(1) V xxxxxx xxxxx xxxx x xxxxxxxxxx xxxx xxx xxxxxxxxxxxx xxxxxxxx pro xxxxxxxxxx xxxxxx počítače, xxxxx nakládají x xxxxxxxxxxx xxxxxxxxxxxx, zpracována xxxxxxxx, zejména xxx xxxxxxxxx s xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxxx textových xxxxxxx, xxxxxxxxxxx procesorů, xxxxxxxxxxxx xxxxxxx x xxxxxxxxx databázemi nebo xxxxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxx.
(2) Xxxxxx xxxxxxxx použitých xxx xxxxxxxx ochranu samostatného xxxxxxxx počítače xxxxxxx x pojetí xxxxxx xxxxxxxx xxxx xxxxxx xxxxxxxxx informace xxxxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx, xx xxxxxx xxxxxxxxxx xxxxxx xxxxxxx nakládá.
§20
Požadavky xx ochranu xxxxxxxxx x přenosných xxxxxxxxxxxx xxxxxxx
(1) Xxx xxxxxxx a xxxxxxxx xxxxxxxxxx xxxxxxx xx x analýze rizik xxxxxxxx x xxxxxx, xxxxx xxxx u xxxxxxxxx xxxxxxxxxxxx systémů xxxxxxx x xxxxxxxxx xxxxxxxxxxx x x xxxxxxxxxx informačních xxxxxxx x prostředími, ve xxxxxxx budou xxxx xxxxxxxxxx systémy používány.
(2) Ochrana xxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, který xxxxxxxx xxxxxxxxx xxxxxxxxx, xxxxxxx x xxxxxx xxxxxx xxxxxxxxxx jako xxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx, xx xxxxxx xxxxx xxxxxxxxx xxxxxxx.
§21
Požadavek xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxx xxxx xxxx certifikací xxxxxx xxxxxxxxxx. Xxxxxxxxx xxxxxxx xxxxxx, jejíž xxxxxxx xxxxx být ve xxxxxx x xxxxxxxxxxxx xxxxxxx x x xxxxxxxxxx týmu xxxxxxx xxx, xx xx xx xxxxxxxx na xxxxxx xxxxxxxxxxxx xxxxxxx, xx by xxxx xxxxxx xxxxx na xxxxxxxxxx testování xxxx xx x xxxxxxxxx xxxxx xxxxxxxx osobní xxxxx pracovní x xxxx obdobný vztah. X xxxxxxxxx xxxxxxxxx xx nesmějí xxxxxxxx xxxxxxxxx xxxxxxxxx.
(2) Xxxxxxxx testů xxxxxx xxxxxxxx, že bezpečnostní funkce jsou xxxx x xxxxxxx x xxxxxxxxxxxx politikou xxxxxxxxxxxx systému. Xxxxxxxx xxxxx xxxx xxx xxxxxxxxxxxxxxx. Chyby xxxxxxxx xxxxx xxxxxxxxx xxxx xxx odstraněny a xxxxxx odstranění xxxx xxx xxxxxxx xxxxxxxxxx xxxxx.
§22
Xxxxxxxxx xx bezpečnost provozovaného xxxxxxxxxxxx systému
(1) Xxxxxxxxxx provozovaného informačního xxxxxxx xxxx xxx xxxxxxxx, s ohledem xx xxxxxxxx stav xxxxxxxxxxxx xxxxxxx, xxxxxxxxxxx x xxxxxxxxxxxxx. Xxxxx xxxxx x xxxxxxxxxxx xxxxxxx je možno xxxxxxx až xx xxxxxxxxxxx xxxxx xxxx xxxxx xx xxxxxxxxxx xxxxxxxxxxxx systému.
(2) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx informací xxxx xxx xxxxxxxx xxxx působením xxxxxxxxxx xxxx.
(3) V xxxxxxxxxxxx informačním xxxxxxx xxxx xxx xxxxxxxxx xxxxx programové xxxxxxxx, xxxxx xxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(4) X provozovaném xxxxxxxxxxx systému xxxx xxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxx. Xxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxx xxxx xxx xxxxxxx xxx, xxx xxxxxxx dojít x xxxxxx xxxxxxxxx xxxx xxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx.
(5) Xxxxxxxx činnost x provozovaném xxxxxxxxxxx xxxxxxx xx xxxx xxxxxxxxxxx xxx, aby xxxxxx xxxxxxxx xxxx xxxxxxxxxx. X xxxxxx xxxxxxxxxxx informací informačního xxxxxxx xxxxxxxxxxx při xxxxxxxx xxxxxxxx xxxx xxx vymazány xxxxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxxxxx xxxx být xxxxxxxxxxx xxxx xxxxxxxxx.
(6) V xxxxxxxxxxxx xxxxxxxxxxx systému xxxx xxx x termínech xxxxxxxxxxx x bezpečnostní xxxxxxxxxxx informačního xxxxxxx x xxx xxxxxx xxxxxxx situace xxxxxxxxxx xxxxxxxxx vyhodnocení auditních xxxxxxx. Xxxxxxx xxxxxxx xxxx xxx xxxxxxxxxxx xx dobu xxxxxxxxxx x bezpečnostní dokumentaci xxxxxxxxxxxx xxxxxxx.
(7) Xxx řešení xxxxxxx xxxxxxx xxxxxxxxxxxxx informačního xxxxxxx xxxx xxx x bezpečnostní xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxxx xxxxxxxx xxxxxxxx xx xxxx xxxxxxx do xxxxxxx xxxxxxxxxx xxxxx. X xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxx xxx xxxxxxx xxxx xxxxxxxx:
x) xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xx xxxxxx xxxxxxx situace xxxxxxxx na minimalizaci xxxx,
b) xxxxxxx xxxxxxxxxxx po xxxxxx krizové situace xxxxxxxx na xxxxxxxxx xxxxxxxx krizové situace xxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xx xxxxxxxxxx xxxxx,
x) způsob xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx,
e) xxxxxx zajištění xxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxxxxxx minimálních xxxxxx, xxxxx musí xxx xxxxxxxxx,
f) xxxxxx obnovy xxxxxxxxxx x xxxxxxx informačního xxxxxxx xx známého xxxxxxxxxx stavu.
(8) Xxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxx xxxxxxxxx xxxxxxx, xxxxxxxx nebo xxxxxxx xxxxxxxxxxx informací, xx xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx.
§23
Požadavky xxxxxxxxxx xxxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxxxxx xxxxxxxxxxxx xxxxxxx musí xxx xxxxxxxxxxx xxx xxxxxxx x xxxxxxxxxxx systému x xxxx xxxxxxxxxx xxxx xxx xxxxxxx xxx xxxxx xxxx xxxx x xxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxx xxx zániku xxxx určení.
(2) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx x dodržování opatření xxxxxxxxxxx v xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxxx užívání xxxxxxxxxxxx xxxxxxx.
Certifikace xxxxxxxxxxxx xxxxxxx
§24
Xxxxxx x způsob xxxxxxxxxxx xxxxxxxxxxxx systému
(1) Xxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxx Xxxxx xxxxx xxxxx nebo xxxxxxxxxx, xxxxx xxxxx xxxxxxxxxx xxxxxx provozovat, (xxxx jen "xxxxxxx").
(2) Žádost xxxxx xxxxxxxx 1 xxxxxxxx:
x) xxxxxxx xxxxx xxxxx a xxxxxxx xxxxxxxxxxxx systému včetně xxxxxxxxx xxxx xxxxxxx x minimálních xxxxxx,
x) xxxxxx xxxxxxx xxxxxxxxxxx informací, xx xxxxxxx bude informační xxxxxx xxxxxxxx,
x) xxxxxxxxx bezpečnostního xxxxxxxxxx xxxx xxxxxxxxxxxx systému,
x) identifikaci dodavatele xxxxxxxxxxxx systému.
(3) Xxxx xxxxxxxxx seznam xxxxxxxx xxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx (dále jen "xxxxxxxxx") x xxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxxx. X xxxxxxxxx xxxxxxxxx žadatel xxxx předloží následující xxxxxxxx:
x) xxxxxxxxxxxx xxxxxxxx informačního xxxxxxx x xxxxxxxx xxxxxxx xxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxx xxxxx xxxxxxxxxxx informačního systému, xxxxxx popis x xxxxx xxxxxxxx testování,
x) xxxxxxxxxxxx provozní xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) popis bezpečnosti xxxxxxxxxx xxxxxxxxx.
(4) Xxxxxxxxx xx xxxxxxx xxxxxxxxxx podkladů xxxxxxxxxxxx xxxxxxxxx x provedením xxxxxxxxxxx xxxxx. Xxxxxxxxx xxxxx provádí Xxxx x žadatele v xxxxxxxxx prostředí xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxxxxxxx xxxxxxxx x x xxxxxxx potřeby xxxxxxxxxx.
(5) Jsou-li x xxxxxxx hodnocení xxxxxxxx xxxxxxxxxx, xxxxx Xxxx žadatele x jejich xxxxxxxxxx. Xxxxx xxxxxxx x xxxxxxx xxxxxxxxxx Xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx se xxxxxx.
(6) Hodnocení xxx xxxxxxxx xxxxxxxx xx ukončení xxxxxxxxxxxx xxxx výstavby informačního xxxxxxx xxxx xx xx xxxx xxxxxxxx xxxxxxxxx.
(7) X xxxxxxxx xxxxxxxxx xx xxxxxxxx xxxxxxxxx xxxxxx.
(8) Xxxxxxxx se xx základě xxxxxxxx xxxxxxxxx zjistí xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx, obdrží xxxxxxx o tomto certifikát. X případě, xx xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxxxx xxxxx pro xxxxx xxxxxx xxxxxxx, vydá xx certifikát xx xxxxx stupeň utajení.
(9) Xxxxx-xx v xxxxxxxxxxx xxxxxxx, xxxxx xxxxxxxxxxx xxxx chválena, xx změnám xxxxxxxx x §25 xxxx. 2 písm. x), xxxxxxx xx xxxxxxxxxx xxxxxxxxx informačního xxxxxxx x xxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx. X xxxxxxx xxxxxxxxx doplňujícího xxxxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxxxxx xxxxxxx xxxx xxx provádění certifikace xxxxxxxxxxxx xxxxxxx.
§25
Náležitosti xxxxxxxxxxx informačního systému
(1) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx xxxx xx xxxxxx v příloze, xxxxxxxx:
a) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxx označení xxxxx, xxx který je xxxxxxx,
b) xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx Xxxxxx,
x) xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
e) xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxx, pro xxxxx xxxx schválena xxxx xxxxxxxxxxx,
x) xxxx xxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxxxx certifikátu xx xxxxxxxxxxxx xxxxxx, xxxxx xxxxx xxxx xxxxxxx. Xxxxxxxxxxxx xxxxxx xxxxxxxx:
a) xxxxxxxxxx xxxxx xxxxxxxxxxxx systému,
x) bezpečnostní politiku xxxxxxxxxxxx xxxxxxx,
c) xxxxxx xxxxxx z xxxxxxxxx,
d) xxxxxxxx xxxxxxx podmiňující xxxxxxxx xxxxxxxxxxx x
x) xxxx změn xxxxxxxxxxxx xxxxxxx, které xxxxxxxx xxxxxxxxx xxxxxxxxxxxx hodnocení xxxxxxxxxxxx systému.
§26
Xxxxxx xxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Úřad xxxx přehled certifikovaných xxxxxxxxxxxx xxxxxxx. X xxxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxx xxxxxxxxxxxx xxxx, do xxxxxxx xx xxxxxxx xxxxxx x provedení xxxxxxxxxxx, xxxxxxxx xxxxxxxxxx žadatelem, xxxxxxxxx xxxxxx x xxxxxxxxxxxx xxxxxx hodnoceného xxxxxxxxxxxx xxxxxxx a xxxxx xxxxxxxx certifikátu.
(2) Skartační xxxxx xxxxxxxxxxxxxx spisu začíná xxxxx xxxx xxxxxxxx xxxxxxxxx certifikátu x xxxx xxxxxxx 5 xxx.
Xxxxxxxxxx xxxxxxxxx x xxxxxxxxx
§27
Xxxxxx xxx již xxxxxxxxxxx xxxxxxxxxx xxxxxxx
(1) Xxxxxxxxxx xxxxxx xxxxxx xxxxx, xx xxxxxx xx xxx xxxxxxxxx zákona xxxx xxxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxx, hospodářského xxxx služebního xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxx xxxxxxxxx právní xxxxxx,2) x informační xxxxxx xxxxxx xxxxx, xxxxx xxx xxx xxxxxxxxx zákona do xxx účinnosti xxxx xxxxxxxx xxxxxxxx x xxxxxxxxxx xxxxxxxxxxx, xxx x xxxxxxx potřeby xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxx xxxx xxxxxxxx, nejpozději xx 18 xxxxxx xxx xxx nabytí xxxxxxxxx xxxx xxxxxxxx.
(2) Informační xxxxxx xxxxxxxxxx, xx xxxxxx xx xxx xxxxxxxxx zákona xxxx xxxxxxxxxxxx xxxxxxxxxx tvořící xxxxxxx xxxxxxxx, xxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxx xxxxxxxxx xxxxxx xxxxxx,2) x xxxxxxxxxx systém xxxxxxxxxx, který xxx xxx účinnosti zákona xx xxx xxxxxxxxx xxxx xxxxxxxx nakládal x xxxxxxxxxx skutečností, xxx x případě xxxxxxx xxxxxxxxx za xxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxx xxxx xxxxxxxx, xxxxxxxxxx xx 12 xxxxxx xxx xxx xxxxxx xxxxxxxxx této xxxxxxxx.
(3) Xxxxxxxxxx xxxxx xxxxxxx, xxxxx xxxxxxxxxx xxxxxxx xxxxxxx x xxxxxxxx 1 xxxx odstavci 2 xxxxxxxx za certifikované xxxxxxxxxx systému podle xxxx xxxxxxxx.
(4) Xxxxxx o xxxxxxxxxxx xxxxxxxxxxxx systému uvedeného x xxxxxxxx 1 xxxx odstavci 2, x kterého xxxxxxxxxx xxxxx stanovil, xx xxx xxxxxxxx za xxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxx této xxxxxxxx, xx xxxxx xxxxxxxxx xxxxxxxxxx 6 měsíců xxxx xxxxxxxxx xxxxx, xx kterou xx xxxxxxxxx xx certifikovaný.
§28
Účinnost
Xxxx xxxxxxxx xxxxxx xxxxxxxxx xxxx vyhlášení.
Ředitel:
Xxx. Xxxxxx x. r.
Xxxxxxx x vyhlášce x. 56/1999 Sb.
Informace
Xxxxxx xxxxxxx x. 56/99 Xx. xxxxx xxxxxxxxx dnem 30.3.1999.
Xx xxx xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxx xx xxxxxxxxx.
Xxxxxx xxxxxxx x. 56/99 Xx. xxx xxxxxx xxxxxxx předpisem č. 412/2005 Sb. x xxxxxxxxx od 1.1.2006.
Znění xxxxxxxxxxxx právních xxxxx xxxxxx právních předpisů x odkazech xxxx xxxxxxxxxxxxx, xxxxx se xxxx xxxxxx xxxxxxxxx xxxxx xxxxx uvedeného xxxxxxxx xxxxxxxx.
1) Xxxx. xxxxxxxx xxxxxxxxxxx Xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx (XXXXX), Xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxx (ITSEC), Xxxxxx xxxxxxxx (XX) nebo Xxxxxxxx trusted xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx (XXXXXX).
2) Směrnice Xxxxxxxxxxx xxxxxxxxxxxx vnitra xx xxx 6. xxxxxx 1973 pro xxxxxxxxxxx ochrany skutečností xxxxxxxxx xxxxxxx státního, xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx.