§ 16 Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor – Požadavky na přístup k utajované informaci v informačním systému
Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor · 523/2005 Sb. · § 16 · Ostatní právní předpisy
Stručně: Paragraf 16 stanovuje, jaké podmínky musí splňovat osoby (uživatelé, bezpečnostní správci, správci informačního systému), které pracují s utajovanými informacemi v informačním systému, zejména pokud jde o stupeň prověrky.
§ 16 Požadavky na přístup k utajované informaci v informačním systému
(1) Uživatelem, bezpečnostním správcem nebo správcem informačního systému může být pouze osoba, která byla pro svou činnost v informačním systému autorizována postupem stanoveným v bezpečnostní dokumentaci informačního systému.
(2) Uživatel, bezpečnostní správce a správce informačního systému musí splňovat podmínky pro přístup fyzické osoby k utajované informaci stupně utajení, který se stanovuje v souladu s bezpečnostním provozním módem a v závislosti na nejvyšším stupni utajení utajovaných informací, se kterými může informační systém nakládat.
(3) Správce informačního systému, který vykonává funkci administrátora s právy úplného řízení systému, a bezpečnostní správce celého informačního systému, musí splňovat podmínky pro přístup fyzické osoby k utajované informaci stupně utajení o jeden stupeň vyššího, nežli je nejvyšší stupeň utajení utajovaných informací, se kterými může informační systém nakládat. To neplatí u informačního systému, který je určen pro zpracování utajované informace stupně utajení Přísně tajné. U správce informačního systému, který vykonává funkci administrátora s právy úplného řízení systému, a u bezpečnostního správce celého informačního systému malého rozsahu nebo s nízkým podílem zpracování utajovaných informací nejvyššího stupně utajení, pro jejichž zpracování je informační systém určen, nebo v nichž nedochází ke kumulaci utajovaných informací nebo v nichž se zpracovává pouze taktická utajovaná informace, může Úřad, se zvážením identifikovaných rizik, uznat jako dostačující splnění podmínek pro přístup fyzické osoby k utajované informaci na úrovni shodné s nejvyšším stupněm utajení utajovaných informací, se kterými může informační systém nakládat.
(4) Správce informačního systému, který vykonává funkci administrátora s omezenými právy řízení systému, zejména správu serverů, správu aplikace nebo lokální správu a bezpečnostní správce informačního systému zajišťující dílčí oblast bezpečnosti, zejména určitou bezpečnostní technologii nebo lokální správu, musí splňovat podmínky pro přístup fyzické osoby k utajované informaci stupně utajení shodného s nejvyšším stupněm utajení utajovaných informací, se kterými může informační systém nakládat.
(5) V případě, že odpovědná osoba nebo jí pověřená osoba schválí informační systém do provozu pro nakládání s utajovanou informací do stupně utajení nižšího, nežli je stupeň utajení utajovaných informací, se kterými může informační systém nakládat, je pro stanovení nutné úrovně podmínek pro přístup fyzické osoby k utajované informaci, určující stupeň utajení utajovaných informací, pro který je informační systém schválen do provozu.
(6) Uživateli, bezpečnostnímu správci a správci informačního systému se na základě autorizace přiděluje v rámci informačního systému jedinečný identifikátor. Pro zajištění nepřetržité dostupnosti utajovaných informací a služeb informačního systému, který je ve stálém provozu, může v odůvodněných případech Úřad v rámci jeho certifikace umožnit, aby určitý identifikátor byl využíván několika uživateli, bezpečnostními správci nebo správci informačního systému. Předpokladem je zavedení postupu umožňujícího určit, který uživatel, bezpečnostní správce nebo správce informačního systému v dané době daný identifikátor využíval.
(7) Uživateli, bezpečnostnímu správci nebo správci informačního systému se uděluje oprávnění pouze v rozsahu nezbytném pro provádění jemu určených aktivit v informačním systému.
Paragraf 16 stanovuje, jaké podmínky musí splňovat osoby (uživatelé, bezpečnostní správci, správci informačního systému), které pracují s utajovanými informacemi v informačním systému, zejména pokud jde o stupeň prověrky.
Co to znamená v praxi
Každá osoba pracující s utajovanými informacemi v informačním systému musí být pro tuto činnost autorizována podle interních pravidel (bezpečnostní dokumentace).
Tyto osoby musí mít bezpečnostní prověrku odpovídající stupni utajení informací, se kterými systém nakládá, a to v souladu s provozním módem systému.
Správci s plnými právy a bezpečnostní správci celého systému musí mít prověrku o jeden stupeň vyšší, než je nejvyšší stupeň utajení informací v systému, s výjimkou systémů pro Přísně tajné informace nebo v odůvodněných případech malých systémů, kde může Úřad povolit nižší stupeň.
Správci s omezenými právy a bezpečnostní správci dílčích oblastí musí mít prověrku shodnou s nejvyšším stupněm utajení informací v systému.
Na co si dát pozor
Je klíčové dodržovat stanovený postup autorizace a mít odpovídající bezpečnostní prověrku pro každou roli v informačním systému.
U určitých rolí (správci s plnými právy, bezpečnostní správci celého systému) je vyžadována vyšší bezpečnostní prověrka, než je nejvyšší stupeň utajení zpracovávaných informací.
Existují výjimky z pravidla vyšší prověrky, které musí schválit Úřad a jsou vázány na specifické podmínky informačního systému.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.