§ 2 Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) – Vymezení pojmů
Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) · 479/2024 Sb. · § 2 · Ostatní právní předpisy
Stručně: Paragraf 2 vyhlášky 479/2024 definuje klíčové pojmy, které se používají v celé vyhlášce o informační bezpečnosti, aby bylo zajištěno jednotné chápání odborných termínů.
§ 2 Vymezení pojmů
Pro účely této vyhlášky se rozumí
a) objektem informačního systému, komunikačního systému nebo samostatného elektronického zařízení (dále jen „systém“) pasivní prvek, který obsahuje nebo přijímá informaci,
b) subjektem systému aktivní prvek, který způsobuje předání informace mezi objekty systému nebo změnu stavu systému,
c) aktivem systému na základě analýzy rizik definované hardwarové a softwarové vybavení, dokumentace a informace, které jsou v systému uloženy,
d) auditním záznamem záznam systému poskytující bližší informace o události nebo stavu systému nebo o činnosti subjektu systému,
e) autentizací subjektu systému proces ověření předložených identifikačních znaků poskytující záruky, že prohlašovaná identita subjektu systému je pravá,
f) autorizací subjektu systému proces udělení oprávnění subjektu systému k provádění určených operací s určenými objekty systému,
g) informační bezpečností soubor, uspořádání a řízení bezpečnostních opatření, jejichž cílem je zajistit důvěrnost, integritu a dostupnost aktiv systému, a odpovědnost subjektů systému za jejich činnost v systému,
h) komunikační bezpečností bezpečnostní opatření použitá k zajištění bezpečnosti informací v systému při přenosu komunikačním kanálem,
i) komunikačním kanálem prostředí sloužící k přenosu informací mezi objekty systému, případně subjekty systému v rámci jednoho nebo několika propojených systémů,
j) bezpečnostní událostí událost, která může způsobit bezpečnostní incident,
k) bezpečnostním incidentem narušení informační bezpečnosti,
l) uživatelem fyzická osoba jako subjekt systému v určité roli,
m) rolí souhrn určených činností a potřebných oprávnění,
n) nosičem informací zařízení s energeticky nezávislou pamětí, které je určeno výhradně pro použití v provozu systému jako jeho součást, a které není určeno k evidenci nebo doručení adresátovi jako utajovaný dokument v nelistinné podobě podle právního předpisu upravujícího administrativní bezpečnost,
o) řízením přístupu prostředky pro omezení přístupu subjektů systému k objektům systému, zajišťující, že přístup k nim získá jen oprávněný subjekt systému,
p) volitelným řízením přístupu řízení přístupu založené na kontrole přístupových práv subjektu systému k objektu systému, přičemž subjekt systému vybavený určitými přístupovými právy pro přístup k objektu systému může zvolit, které další subjekty systému autorizuje k přístupu k tomuto objektu systému, a může tak ovlivňovat tok informací mezi objekty systému, a
q) povinným řízením přístupu řízení přístupu založené na porovnání stupně utajení utajované informace obsažené v objektu systému a úrovně oprávnění subjektu systému pro přístup k utajované informaci a zajišťující správný tok informací mezi objekty systému s různými stupni utajení nezávisle na volbě učiněné uživatelem.
ČÁST DRUHÁ
Paragraf 2 vyhlášky 479/2024 definuje klíčové pojmy, které se používají v celé vyhlášce o informační bezpečnosti, aby bylo zajištěno jednotné chápání odborných termínů.
Co to znamená v praxi
Vyhláška používá přesně vymezené termíny jako „objekt systému“, „subjekt systému“ nebo „aktivum systému“, což pomáhá předcházet nejasnostem při aplikaci bezpečnostních požadavků.
Pojmy jako „autentizace“ a „autorizace“ jasně rozlišují mezi ověřením totožnosti a udělením oprávnění, což je zásadní pro řízení přístupu k utajovaným informacím.
Definice „informační bezpečnosti“ a „komunikační bezpečnosti“ stanovují základní cíle a oblasti, na které se vyhláška zaměřuje, tedy důvěrnost, integritu a dostupnost informací.
Rozlišení mezi „bezpečnostní událostí“ a „bezpečnostním incidentem“ pomáhá při správném vyhodnocování a řešení potenciálních hrozeb pro informační bezpečnost.
Na co si dát pozor
Správné pochopení těchto definic je nezbytné pro každého, kdo pracuje s utajovanými informacemi a systémy, na které se tato vyhláška vztahuje, aby mohl řádně plnit stanovené bezpečnostní požadavky.
Záměna nebo nesprávná interpretace definovaných pojmů může vést k chybám v implementaci bezpečnostních opatření nebo v posuzování stavu informační bezpečnosti.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.