§ 17 Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor – Požadavek odpovědnosti za činnost v informačním systému
Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor · 523/2005 Sb. · § 17 · Ostatní právní předpisy
Stručně: Paragraf 17 vyhlášky 523/2005 stanovuje, že uživatelé a správci informačního systému musí dodržovat předepsané postupy pro zajištění bezpečnosti, a že činnost v systému musí být zaznamenávána pro identifikaci narušení bezpečnosti.
§ 17 Požadavek odpovědnosti za činnost v informačním systému
(1) Uživatel, bezpečnostní správce a správce informačního systému dodržuje předepsané postupy stanovené v bezpečnostní dokumentaci informačního systému, kterými je zajišťována bezpečnost informačního systému.
(2) Informace o činnosti subjektu informačního systému v informačním systému se zaznamenává tak, aby bylo možno identifikovat narušení bezpečnosti informačního systému nebo pokusy o ně. Záznamy o činnosti subjektu informačního systému v informačním systému se uchovávají pro zpětné zkoumání po dobu stanovenou v bezpečnostní politice informačního systému.
(3) Vyžaduje-li to činnost, pro kterou je informační systém zřízen, je v informačním systému zajišťována nepopiratelnost stanovených jednání či událostí. V případě, že je v informačním systému požadována funkcionalita spisové služby v elektronické podobě6), musí být software, kterým je realizována, hodnocen během certifikace informačního systému.
Paragraf 17 vyhlášky 523/2005 stanovuje, že uživatelé a správci informačního systému musí dodržovat předepsané postupy pro zajištění bezpečnosti, a že činnost v systému musí být zaznamenávána pro identifikaci narušení bezpečnosti.
Co to znamená v praxi
Všichni, kdo pracují s informačním systémem (uživatelé, bezpečnostní správci, správci systému), musí přesně dodržovat pravidla a postupy popsané v bezpečnostní dokumentaci systému.
Systém musí automaticky zaznamenávat veškerou činnost, aby bylo možné zjistit, kdo co dělal, a odhalit případné bezpečnostní incidenty nebo pokusy o ně.
Tyto záznamy o činnosti se musí uchovávat po dobu stanovenou v bezpečnostní politice systému, aby bylo možné je zpětně analyzovat.
Pokud je pro účel informačního systému důležité, aby nebylo možné popřít určité akce nebo události (např. odeslání dokumentu), musí systém tuto "nepopiratelnost" zajistit.
Na co si dát pozor
Nedodržení předepsaných postupů může vést k narušení bezpečnosti a následné odpovědnosti.
Je klíčové, aby záznamy o činnosti byly dostatečně podrobné a uchovávané po nezbytnou dobu pro případné vyšetřování bezpečnostních incidentů.
Pokud systém plní funkci elektronické spisové služby, software pro ni musí projít hodnocením během certifikace celého informačního systému.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.