§ 46 Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) – Způsob a podmínky provádění certifikace informačního systému
Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) · 479/2024 Sb. · § 46 · Ostatní právní předpisy
Stručně: Paragraf 46 vyhlášky 479/2024 popisuje, jakým způsobem a za jakých podmínek Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) provádí certifikaci informačního systému, který nakládá s utajovanými informacemi.
§ 46 Způsob a podmínky provádění certifikace informačního systému
(1) V rámci certifikace informačního systému posuzuje Národní úřad pro kybernetickou a informační bezpečnost
a) vhodnost navrženého souboru bezpečnostních opatření pro dosažení informační bezpečnosti informačního systému podle § 3,
b) správnost a úplnost bezpečnostní dokumentace a
c) správnost realizace navrženého souboru bezpečnostních opatření v daném informačním systému a její soulad s bezpečnostní dokumentací.
(2) Certifikace informačního systému se provádí na základě předložených podkladů a provedených bezpečnostních testů. Bezpečnostní testy provádí žadatel o certifikaci informačního systému v provozním prostředí hodnoceného informačního systému za spoluúčasti Národního úřadu pro kybernetickou a informační bezpečnost, případně i dodavatele. Provádí-li bezpečnostní testy podle věty druhé zpravodajská služba, spoluúčast Národního úřadu pro kybernetickou a informační bezpečnosti se nevyžaduje.
(3) Certifikaci informačního systému lze provádět průběžně po ukončení jednotlivých fází výstavby informačního systému nebo až po jejím dokončení, uvede-li to žadatel v žádosti o certifikaci informačního systému podle § 45.
(4) Dojde-li v informačním systému, který byl certifikován a schválen do provozu, ke změnám uvedeným v § 51 odst. 2, provádí se pouze doplňující posouzení informačního systému v rozsahu provedených změn. Při provádění doplňujícího posouzení informačního systému se postupuje podle odstavce 1 v nezbytném rozsahu. Výsledek doplňujícího posouzení je součástí certifikační zprávy.
(5) Vzor certifikátu informačního systému je uveden v příloze č. 2 k této vyhlášce.
Paragraf 46 vyhlášky 479/2024 popisuje, jakým způsobem a za jakých podmínek Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) provádí certifikaci informačního systému, který nakládá s utajovanými informacemi.
Co to znamená v praxi
NÚKIB posuzuje, zda jsou navržená bezpečnostní opatření v informačním systému vhodná pro ochranu utajovaných informací a zda jsou správně realizována v souladu s bezpečnostní dokumentací.
Certifikace se provádí na základě dokumentů a bezpečnostních testů, které provádí žadatel o certifikaci, za účasti NÚKIB nebo dodavatele. Zpravodajské služby mohou provádět testy bez účasti NÚKIB.
Certifikaci je možné provádět postupně během výstavby informačního systému, nebo až po jeho dokončení, pokud to žadatel uvede v žádosti.
Pokud dojde k určitým změnám v již certifikovaném informačním systému, provádí se pouze doplňující posouzení těchto změn, nikoli celá nová certifikace.
Na co si dát pozor
Žadatel o certifikaci je zodpovědný za provedení bezpečnostních testů.
Je důležité pečlivě připravit bezpečnostní dokumentaci a zajistit správnou realizaci bezpečnostních opatření.
Při změnách v certifikovaném systému je nutné provést doplňující posouzení, aby systém zůstal v souladu s požadavky.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.