§ 6 Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) – Systémově závislé bezpečnostní požadavky na informační systém odvozené z bezpečnostního provozního módu
Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) · 479/2024 Sb. · § 6 · Ostatní právní předpisy
Stručně: Paragraf 6 vyhlášky 479/2024 stanovuje, že informační systémy nakládající s utajovanými informacemi musí být provozovány v jednom ze čtyř definovaných bezpečnostních provozních módů, které se liší svými požadavky na oprávnění uživatelů a způsobem řízení přístupu k informacím.
§ 6 Systémově závislé bezpečnostní požadavky na informační systém odvozené z bezpečnostního provozního módu
(1) Informační systémy mohou být provozovány pouze v některém z uvedených bezpečnostních provozních módů, jimiž jsou
a) bezpečnostní provozní mód dedikovaný,
b) bezpečnostní provozní mód s nejvyšší úrovní,
c) bezpečnostní provozní mód s nejvyšší úrovní s formálním řízením přístupu k informacím, nebo
d) bezpečnostní provozní mód víceúrovňový.
(2) Bezpečnostní provozní mód dedikovaný je takové prostředí, které umožňuje zpracování utajovaných informací různého stupně utajení, přičemž všechny subjekty informačního systému musí splňovat podmínky pro přístup k utajovaným informacím nejvyššího stupně utajení, se kterými je informační systém určen nakládat, a zároveň musí být oprávněny pracovat se všemi obsaženými utajovanými informacemi. V bezpečnostním provozním módu dedikovaném není zajištěna bezpečnostní funkce podle § 4 odst. 1 písm. b) a e).
(3) Bezpečnostní provozní mód s nejvyšší úrovní je takové prostředí, které umožňuje současné zpracování utajovaných informací různého stupně utajení, ve kterém všechny subjekty informačního systému musí splňovat podmínky pro přístup k utajovaným informacím nejvyššího stupně utajení, přičemž všechny subjekty informačního systému nemusí být oprávněny pracovat se všemi obsaženými utajovanými informacemi.
(4) Bezpečnostní provozní mód s nejvyšší úrovní s formálním řízením přístupu k informacím je takové prostředí, které odpovídá bezpečnostnímu provoznímu módu s nejvyšší úrovní, kde však formální řízení přístupu navíc předpokládá formální centrální správu kontroly přístupu.
(5) Bezpečnostní provozní mód víceúrovňový je takové prostředí, které umožňuje současné zpracování utajovaných informací různého stupně utajení, kde všechny subjekty informačního systému nemusí splňovat podmínky přístupu k utajovaným informacím nejvyššího stupně utajení a nemusí být oprávněny pracovat se všemi utajovanými informacemi. Při provozu v bezpečnostním provozním módu víceúrovňovém musí být zajištěna bezpečnostní funkce povinného řízení přístupu subjektu informačního systému k objektům informačního systému.
Paragraf 6 vyhlášky 479/2024 stanovuje, že informační systémy nakládající s utajovanými informacemi musí být provozovány v jednom ze čtyř definovaných bezpečnostních provozních módů, které se liší svými požadavky na oprávnění uživatelů a způsobem řízení přístupu k informacím.
Co to znamená v praxi
Volba provozního módu: Každý informační systém, který zpracovává utajované informace, musí být zařazen do jednoho z uvedených čtyř bezpečnostních provozních módů (dedikovaný, s nejvyšší úrovní, s nejvyšší úrovní s formálním řízením přístupu, víceúrovňový).
Dedikovaný mód: V tomto módu musí mít všichni uživatelé přístup k utajovaným informacím nejvyššího stupně utajení, se kterými systém pracuje, a musí být oprávněni pracovat se všemi informacemi v systému. Nejsou zde zajištěny některé bezpečnostní funkce podle § 4 odst. 1 písm. b) a e).
Mód s nejvyšší úrovní: Zde musí mít všichni uživatelé přístup k utajovaným informacím nejvyššího stupně utajení, ale nemusí být oprávněni pracovat se všemi informacemi v systému.
Víceúrovňový mód: Tento mód je nejflexibilnější, jelikož uživatelé nemusí splňovat podmínky přístupu k utajovaným informacím nejvyššího stupně utajení a nemusí být oprávněni pracovat se všemi informacemi. Vyžaduje však zajištění bezpečnostní funkce povinného řízení přístupu.
Na co si dát pozor
Oprávnění uživatelů: Klíčové je správně posoudit oprávnění všech uživatelů informačního systému ve vztahu k nejvyššímu stupni utajení informací, se kterými systém nakládá, a podle toho zvolit vhodný provozní mód.
Bezpečnostní funkce: V dedikovaném módu nejsou zajištěny bezpečnostní funkce podle § 4 odst. 1 písm. b) (volitelné řízení přístupu) a e) (nepřetržité zaznamenávání událostí), což může mít dopad na celkovou bezpečnostní architekturu.
Formální řízení přístupu: Mód s nejvyšší úrovní s formálním řízením přístupu vyžaduje formální centrální správu kontroly přístupu, což znamená přísnější a strukturovanější přístup k řízení oprávnění.
Povinné řízení přístupu: Víceúrovňový mód, ačkoliv je flexibilnější z hlediska oprávnění uživatelů, vyžaduje zajištění specifické bezpečnostní funkce povinného řízení přístupu, která je podrobněji popsána v § 7.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.