§ 18 Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor – Bezpečnostní správa informačního systému
Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor · 523/2005 Sb. · § 18 · Ostatní právní předpisy
Stručně: Paragraf 18 vyhlášky 523/2005 stanovuje, že v informačním systému, který nakládá s utajovanými informacemi, musí být zaveden systém bezpečnostní správy a role bezpečnostního správce, který má na starosti zajištění bezpečnosti informačního systému.
§ 18 Bezpečnostní správa informačního systému
(1) V informačním systému se zavádí vhodný systém bezpečnostní správy informačního systému. V rámci systému bezpečnostní správy informačního systému se zavádí role bezpečnostního správce informačního systému, odděleně od jiných rolí ve správě informačního systému, pokud není dále stanoveno jinak.
(2) V případě potřeby zajistit stanovený rozsah činnosti pro zajištění bezpečnosti informačního systému se zavádějí další role v bezpečnostní správě informačního systému, zejména organizační struktura bezpečnostních správců, bezpečnostní správci jednotlivých lokalit, bezpečnostní správce pro oblast komunikační bezpečnosti nebo bezpečnostní správce bezpečnostního rozhraní informačních systémů.
(3) Role bezpečnostního správce informačního systému obsahuje výkon správy bezpečnosti informačního systému spočívající zejména v přidělování přístupových práv, správě autentizačních a autorizačních informací, správě konfigurace informačního systému, správě a vyhodnocování auditních záznamů, aktualizaci bezpečnostních směrnic, řešení bezpečnostních incidentů a krizových situací a vypracování zpráv o nich, zajištění školení uživatelů v oblasti bezpečnosti informačního systému, kontroly dodržování bezpečnostních provozních směrnic, jakož i v dalších činnostech stanovených v bezpečnostní dokumentaci informačního systému.
(4) V informačním systému malého rozsahu může Úřad v rámci jeho certifikace umožnit spojení role bezpečnostního správce a některých dalších rolí ve správě informačního systému.
(5) Správce informačního systému mimo činnosti pro zajištění funkčnosti informačního systému a řízení jeho provozu plní stanovené činnosti pro zajištění počítačové a komunikační bezpečnosti informačního systému.
Paragraf 18 vyhlášky 523/2005 stanovuje, že v informačním systému, který nakládá s utajovanými informacemi, musí být zaveden systém bezpečnostní správy a role bezpečnostního správce, který má na starosti zajištění bezpečnosti informačního systému.
Co to znamená v praxi
Každý informační systém, který pracuje s utajovanými informacemi, musí mít jasně definovaný systém pro řízení bezpečnosti.
Musí být určena osoba (nebo osoby), která bude plnit roli bezpečnostního správce informačního systému a bude oddělena od jiných rolí ve správě systému.
Bezpečnostní správce má na starosti řadu úkolů, jako je přidělování přístupových práv, správa hesel a ověřovacích údajů, kontrola nastavení systému, vyhodnocování záznamů o činnosti, řešení bezpečnostních incidentů a školení uživatelů.
V případě větších systémů mohou být zavedeny další role bezpečnostních správců, například pro různé lokality nebo pro komunikační bezpečnost.
Na co si dát pozor
Role bezpečnostního správce musí být oddělena od jiných rolí ve správě informačního systému, pokud Úřad v rámci certifikace informačního systému malého rozsahu výslovně nepovolí jejich spojení.
Činnosti bezpečnostního správce musí být v souladu s bezpečnostní dokumentací informačního systému.
Správce informačního systému má kromě zajištění funkčnosti systému také povinnosti v oblasti počítačové a komunikační bezpečnosti.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.