§ 15 Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor – Požadavky na bezpečnost nosičů utajovaných informací
Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor · 523/2005 Sb. · § 15 · Ostatní právní předpisy
Stručně: Paragraf 15 vyhlášky 523/2005 stanovuje pravidla pro evidenci, označování a nakládání s nosiči utajovaných informací v informačních systémech, včetně podmínek pro snížení nebo zrušení jejich stupně utajení.
§ 15 Požadavky na bezpečnost nosičů utajovaných informací
(1) Všechny nosiče utajovaných informací používané v provozu informačního systému musí být evidovány. Stupeň utajení těchto nosičů informací musí odpovídat bezpečnostnímu provoznímu módu a nejvyššímu stupni utajení utajovaných informací na nosiči uložených.
(2) Pokud je vyměnitelný nosič utajovaných informací určen výhradně pro použití v provozu určitého informačního systému, vyznačuje se spolu se stupněm utajení i název daného informačního systému a evidenční číslo nosiče informací. Nosiče utajovaných informací určené pro předání nebo výdej informací z informačního systému se označují stupněm utajení a dalšími údaji podle zvláštního právního předpisu5).
(3) Nosiče utajovaných informací zabudované do zařízení a jiné komponenty umožňující uchování utajovaných informací musí být evidovány a označeny stupněm utajení nejpozději po jejich vyjmutí z daného zařízení. Zařízení se evidují v provozní bezpečnostní dokumentaci informačního systému.
(4) Stupeň utajení nosiče utajovaných informací stupně utajení Přísně tajné nesmí být snížen, vyjma případu, kdy je prokázáno, že na něm byly během jeho dosavadního životního cyklu uloženy pouze utajované informace nižšího stupně utajení nebo informace neutajované.
(5) Stupeň utajení nosiče utajovaných informací stupně utajení Tajné může být snížen, stupně utajení Důvěrné může být snížen nebo zrušen, pouze v případě, že vymazání utajovaných informací z něj bylo provedeno způsobem uvedeným v odstavci 6 nebo je prokázáno, že na něm byly během jeho dosavadního životního cyklu uloženy pouze utajované informace nižšího stupně utajení nebo informace neutajované nebo je prokázáno, že stupeň utajení utajovaných informací uložených na něm během jeho dosavadního životního cyklu byl zrušen nebo snížen. Stupeň utajení nosiče utajovaných informací stupně utajení Vyhrazené může být zrušen pouze v případě, že vymazání utajovaných informací z něj bylo provedeno způsobem uvedeným v odstavci 6 nebo je prokázáno, že na něm byly během jeho dosavadního životního cyklu uloženy pouze informace neutajované nebo je prokázáno, že stupeň utajení utajovaných informací uložených na něm během jeho dosavadního životního cyklu byl zrušen.
(6) Vymazání utajované informace z nosiče utajovaných informací, které umožňuje snížení nebo zrušení jeho stupně utajení, musí být provedeno tak, aby utajovaná informace uložená na nosiči během jeho dosavadního životního cyklu byla obtížně zjistitelná i při použití laboratorních metod. Podmínky a postupy bezpečného vymazání stanoví Úřad v bezpečnostním standardu, postup musí být uveden v provozní bezpečnostní dokumentaci certifikovaného informačního systému a schválen v rámci jeho certifikace.
(7) Ničení nosiče utajovaných informací informačního systému musí být provedeno tak, aby se znemožnilo utajovanou informaci z něho opětovně získat.
(8) Při používání velkokapacitních vyměnitelných nosičů informací musí být v bezpečnostní politice stanoveno řízení přístupu uživatele ke vstupním a výstupním zařízením.
Paragraf 15 vyhlášky 523/2005 stanovuje pravidla pro evidenci, označování a nakládání s nosiči utajovaných informací v informačních systémech, včetně podmínek pro snížení nebo zrušení jejich stupně utajení.
Co to znamená v praxi
Všechny nosiče utajovaných informací (např. USB disky, pevné disky, paměťové karty) používané v informačním systému musí být evidovány a jejich stupeň utajení musí odpovídat nejvyššímu stupni utajení informací na nich uložených.
Nosiče určené pro konkrétní informační systém se označují stupněm utajení, názvem systému a evidenčním číslem; nosiče pro předání informací se označují podle zvláštního předpisu.
Nosiče zabudované do zařízení nebo jiné komponenty uchovávající utajované informace se evidují a označují stupněm utajení až po jejich vyjmutí ze zařízení, přičemž samotná zařízení se evidují v provozní bezpečnostní dokumentaci.
Snížení nebo zrušení stupně utajení nosiče je možné jen za přesně stanovených podmínek, například po prokázání, že na něm byly uloženy pouze informace nižšího stupně utajení, nebo po provedení bezpečného vymazání informací.
Na co si dát pozor
Stupeň utajení nosiče s informacemi stupně "Přísně tajné" nelze snížit, pokud není prokázáno, že na něm byly uloženy pouze informace nižšího stupně utajení nebo neutajované.
Vymazání utajovaných informací z nosiče za účelem snížení nebo zrušení jeho stupně utajení musí být provedeno tak, aby informace byly obtížně zjistitelné i při použití speciálních metod.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.