§ 4 Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) – Bezpečnostní požadavky v oblasti počítačové bezpečnosti
Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) · 479/2024 Sb. · § 4 · Ostatní právní předpisy
Stručně: Paragraf 4 vyhlášky 479/2024 stanovuje konkrétní bezpečnostní požadavky v oblasti počítačové bezpečnosti, které musí být zajištěny systémem nakládajícím s utajovanými informacemi.
§ 4 Bezpečnostní požadavky v oblasti počítačové bezpečnosti
(1) Systémem musí být zajištěny bezpečnostní funkce
a) identifikace a autentizace subjektu systému, které musí předcházet všem jeho dalším činnostem, a musí být zajištěna ochrana důvěrnosti a integrity autentizační informace, nestanoví-li analýza rizik a popis bezpečnosti systému jinak,
b) volitelného řízení přístupu k objektům systému na základě rozlišování a správy přístupových práv subjektu systému a jeho identity nebo členství ve skupině subjektů se shodným oprávněním,
c) nepřetržitého zaznamenávání událostí, které mohou ovlivnit bezpečnost informací nebo systému, do auditních záznamů a zabezpečení auditních záznamů před neautorizovaným přístupem, změnou nebo zničením; zaznamenává se zejména použití identifikačních a autentizačních informací, pokus o změnu přístupových práv, vytváření nebo rušení objektů systému nebo činnost oprávněných subjektů systému ovlivňující bezpečnost informací nebo systému,
d) schopnosti zkoumání auditních záznamů a stanovení odpovědnosti každého subjektu systému,
e) ošetření paměťových objektů před jejich dalším použitím nebo přidělením jinému subjektu systému, které znemožní zjistit jejich předchozí obsah,
f) ochrany důvěrnosti a integrity dat během přenosu mezi jejich zdrojem a cílem a
g) ochrany před škodlivým kódem.
(2) Bezpečnostní funkce uvedené v odstavci 1 se realizují pomocí identifikovatelných prostředků počítačové bezpečnosti. Úroveň popisu jejich provedení a nastavení uvedené v popisu bezpečnosti systému musí umožnit jejich nezávislé prověření a zhodnocení jejich dostatečnosti.
(3) Mechanismy, jimiž se realizují bezpečnostní funkce uplatňující bezpečnostní politiku, musí být v celém životním cyklu systému chráněny před narušením nebo neautorizovanými změnami.
(4) Provozovatel systému musí zajistit, aby pro nepřetržité zaznamenávání událostí a jejich vyhodnocování bylo nastaveno aktuální datum a čas po celou dobu provozu systému.
(5) Na základě analýzy rizik se u rozsáhlých informačních nebo komunikačních systémů musí využívat technické nástroje pro zaznamenávání událostí, které umožňují i nepřetržité vyhodnocování událostí s cílem identifikace bezpečnostních incidentů včetně včasného varování určených rolí. Rozsáhlým informačním nebo komunikačním systémem se rozumí systém mající nejméně 200 uživatelů.
Paragraf 4 vyhlášky 479/2024 stanovuje konkrétní bezpečnostní požadavky v oblasti počítačové bezpečnosti, které musí být zajištěny systémem nakládajícím s utajovanými informacemi.
Co to znamená v praxi
Systém musí vždy před jakoukoli činností ověřit, kdo jej používá (identifikace a autentizace), a chránit tyto ověřovací údaje.
Musí být možné nastavit a spravovat, kdo má k jakým datům a funkcím v systému přístup.
Všechny události, které mohou ovlivnit bezpečnost, musí být zaznamenávány (např. přihlášení, změna práv) a tyto záznamy musí být chráněny před zneužitím.
Záznamy událostí musí být prozkoumatelné, aby bylo možné určit odpovědnost za činnosti v systému.
Před opětovným použitím paměti musí být její obsah vymazán tak, aby nebylo možné zjistit dříve uložená data.
Data musí být chráněna před neoprávněným přístupem a změnou během přenosu a systém musí být chráněn před škodlivým softwarem.
U rozsáhlých systémů (200 a více uživatelů) je nutné používat nástroje pro automatické vyhodnocování událostí a včasné varování před bezpečnostními incidenty.
Na co si dát pozor
Popis provedení a nastavení bezpečnostních funkcí musí být dostatečně podrobný, aby umožnil nezávislé prověření a zhodnocení jejich účinnosti.
Mechanizmy zajišťující bezpečnostní funkce musí být chráněny po celou dobu životnosti systému před narušením nebo neoprávněnými změnami.
Provozovatel systému musí zajistit, aby pro zaznamenávání událostí bylo vždy nastaveno aktuální datum a čas.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.