§ 17 Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) – Uživatel v dané roli má vždy oprávnění k činnostem v…
Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) · 479/2024 Sb. · § 17 · Ostatní právní předpisy
Stručně: Paragraf 17 vyhlášky 479/2024 stanovuje, jaké oprávnění a jaký stupeň prověrky musí mít uživatelé informačních systémů nakládajících s utajovanými informacemi, a to v závislosti na jejich roli a stupni utajení informací v systému.
§ 17
(1) Uživatel v dané roli má vždy oprávnění k činnostem v systému pouze v rozsahu nezbytném pro jejich provádění.
(2) Uživatel systému, který je určen k nakládání s utajovanými informacemi stupně utajení Vyhrazené, Důvěrné nebo Tajné, v roli
a) pracovníka provozní správy s oprávněním administrátora a s oprávněním úplného řízení, nebo
b) pracovníka bezpečnostní správy celého systému
musí splňovat podmínky pro přístup fyzické osoby k utajované informaci stupně utajení o jeden stupeň vyšší, nežli je nejvyšší stupeň utajení utajovaných informací, se kterými může systém nakládat.
(3) Uživatel systému, který je určen k nakládání s utajovanými informacemi stupně utajení Přísně tajné, v roli
a) pracovníka provozní správy s oprávněním administrátora a s oprávněním úplného řízení, nebo
b) pracovníka bezpečnostní správy celého systému
musí splňovat podmínky pro přístup fyzické osoby k utajované informaci stupně utajení Přísně tajné.
(4) Splnění požadavku podle odstavce 2 se nevyžaduje u systému
a) malého rozsahu, kterým se rozumí systém mající nejvýše 30 uživatelů, nebo
b) zpracovávajícího pouze taktické utajované informace,
jestliže systém nenakládá s utajovanou informací cizí moci Organizace Severoatlantické smlouvy a se zvážením identifikovaných rizik je v analýze rizik nebo popisu bezpečnosti systému uvedeno jako dostačující splnění podmínek pro přístup fyzické osoby k utajované informaci stupně utajení shodného s nejvyšším stupněm utajení utajovaných informací, se kterými může systém nakládat.
(5) Uživatel v roli
a) pracovníka provozní správy systému s oprávněním administrátora a s omezeným oprávněním řízení systému, zejména správy serverů, správy aplikace nebo lokální správy, nebo
b) pracovníka bezpečnostní správy systému zajišťujícího dílčí oblast bezpečnosti, zejména určitou bezpečnostní technologii nebo lokální správu,
musí splňovat podmínky pro přístup fyzické osoby k utajované informaci stupně utajení shodného s nejvyšším stupněm utajení utajovaných informací, se kterými může systém nakládat.
(6) Roli uživatele systému je na základě autorizace přidělen jedinečný identifikátor. Roli s jedinečným identifikátorem podle věty první může využívat několik uživatelů, je-li to nezbytné pro zajištění nepřetržité dostupnosti systému nebo správy systému a je-li zaveden postup umožňující určit, který uživatel v dané době tuto roli využívá; to musí být popsáno a zdůvodněno v popisu bezpečnosti systému.
Paragraf 17 vyhlášky 479/2024 stanovuje, jaké oprávnění a jaký stupeň prověrky musí mít uživatelé informačních systémů nakládajících s utajovanými informacemi, a to v závislosti na jejich roli a stupni utajení informací v systému.
Co to znamená v praxi
Omezení oprávnění: Každý uživatel má přístup k činnostem v systému pouze v rozsahu, který je nezbytný pro výkon jeho role.
Vyšší prověrka pro administrátory a bezpečnostní správce: Pracovníci s administrátorskými nebo bezpečnostními oprávněními pro systémy nakládající s utajovanými informacemi stupně Vyhrazené, Důvěrné nebo Tajné musí mít prověrku o jeden stupeň vyšší, než je nejvyšší stupeň utajení informací v systému. Pro systémy s informacemi Přísně tajné musí mít prověrku Přísně tajné.
Výjimky pro malé systémy a taktické informace: U malých systémů (do 30 uživatelů) nebo systémů zpracovávajících pouze taktické utajované informace se za určitých podmínek nevyžaduje vyšší stupeň prověrky, pokud systém nenakládá s utajovanou informací cizí moci NATO a rizika jsou zohledněna v analýze rizik.
Jedinečné identifikátory pro role: Každá role uživatele v systému musí mít přidělen jedinečný identifikátor. V odůvodněných případech (např. pro nepřetržitou dostupnost) může jednu roli využívat více uživatelů, pokud je možné určit, kdo roli v danou chvíli využívá.
Na co si dát pozor
Přísné dodržování rozsahu oprávnění: Je klíčové zajistit, aby uživatelé měli skutečně jen ta oprávnění, která jsou nezbytná pro jejich práci, a nedocházelo k překračování těchto oprávnění.
Správné určení stupně prověrky: Je nutné pečlivě posoudit, jaký stupeň prověrky je vyžadován pro jednotlivé role, zejména pro administrátory a bezpečnostní správce, s ohledem na nejvyšší stupeň utajení informací v systému.
Dokumentace výjimek a sdílených rolí: Pokud se využívají výjimky z požadavku na vyšší prověrku nebo sdílené role, musí být tyto situace řádně popsány a zdůvodněny v popisu bezpečnosti systému.
🔔 Hlídat změny § 17 — pošleme e-mail, když se paragraf novelizuje.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.