§ 5 Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) – Systémově závislé bezpečnostní požadavky na informační systém odvozené z bezpečnostního provozního módu
Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) · 479/2024 Sb. · § 5 · Ostatní právní předpisy
Stručně: Paragraf 5 vyhlášky 479/2024 umožňuje v odůvodněných případech nahradit standardní bezpečnostní funkce počítačové bezpečnosti jinými typy bezpečnostních opatření, pokud je zachován jejich účel a úroveň bezpečnosti.
§ 5 Systémově závislé bezpečnostní požadavky na informační systém odvozené z bezpečnostního provozního módu
(1) Bezpečnostní opatření spočívající v zavedení některých bezpečnostních funkcí počítačové bezpečnosti podle § 4 lze v odůvodněných případech nahradit použitím jiných bezpečnostních opatření personální, administrativní a fyzické bezpečnosti anebo použitím vhodných organizačních bezpečnostních opatření.
(2) Při nahrazení bezpečnostních opatření spočívajících v zavedení bezpečnostních funkcí počítačové bezpečnosti náhradním bezpečnostním opatřením podle odstavce 1 musí být zachován účel bezpečnostní funkce a kvalita a úroveň bezpečnosti poskytované nahrazovaným bezpečnostním opatřením.
(3) Nahrazení bezpečnostních opatření spočívajících v zavedení bezpečnostních funkcí počítačové bezpečnosti náhradním bezpečnostním opatřením podle odstavce 1 musí být popsáno a zdůvodněno v analýze rizik nebo popisu bezpečnosti systému.
Paragraf 5 vyhlášky 479/2024 umožňuje v odůvodněných případech nahradit standardní bezpečnostní funkce počítačové bezpečnosti jinými typy bezpečnostních opatření, pokud je zachován jejich účel a úroveň bezpečnosti.
Co to znamená v praxi
Není vždy nutné striktně dodržovat všechny předepsané bezpečnostní funkce počítačové bezpečnosti, pokud existuje jiný, stejně účinný způsob zabezpečení.
Místo technických řešení (počítačová bezpečnost) lze použít například opatření týkající se personálu, administrativy, fyzické ochrany nebo organizačních procesů.
Každé takové nahrazení musí být pečlivě zdokumentováno a odůvodněno v analýze rizik nebo popisu bezpečnosti systému.
Na co si dát pozor
Náhradní opatření musí vždy zajistit stejnou kvalitu a úroveň bezpečnosti jako původní bezpečnostní funkce.
Nahrazení musí být vždy řádně odůvodněno a popsáno v relevantní dokumentaci (analýza rizik, popis bezpečnosti systému).
Možnost nahrazení se týká pouze "systémově závislých bezpečnostních požadavků na informační systém odvozených z bezpečnostního provozního módu".
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.