§ 21 Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor – Požadavek testování bezpečnosti informačního systému
Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor · 523/2005 Sb. · § 21 · Ostatní právní předpisy
Stručně: Paragraf 21 vyhlášky 523/2005 stanovuje, že před vydáním certifikátu musí být bezpečnost informačního systému ověřena nezávislým testováním, přičemž výsledky testů musí prokázat soulad s bezpečnostní politikou a nalezené chyby musí být odstraněny a ověřeny.
§ 21 Požadavek testování bezpečnosti informačního systému
(1) Bezpečnost informačního systému se musí před vydáním certifikátu ověřit nezávislým testováním. K provedení testování se nesmějí používat utajované informace.
(2) Výsledky testů musí prokázat, že bezpečnostní funkce jsou plně v souladu s bezpečnostní politikou informačního systému. Výsledky testů musí být zadokumentovány. Chyby nalezené během testování musí být odstraněny a jejich odstranění musí být ověřeno následnými testy.
Paragraf 21 vyhlášky 523/2005 stanovuje, že před vydáním certifikátu musí být bezpečnost informačního systému ověřena nezávislým testováním, přičemž výsledky testů musí prokázat soulad s bezpečnostní politikou a nalezené chyby musí být odstraněny a ověřeny.
Co to znamená v praxi
Bezpečnost informačního systému, který má nakládat s utajovanými informacemi, musí být před certifikací podrobena testování, které provede nezávislá strana.
Při tomto testování se nesmí pracovat s reálnými utajovanými informacemi.
Výsledky testů musí potvrdit, že všechny bezpečnostní funkce systému fungují přesně podle stanovené bezpečnostní politiky.
Veškeré zjištěné nedostatky nebo chyby musí být opraveny a jejich odstranění musí být následně znovu ověřeno testy.
Na co si dát pozor
Testování musí být provedeno nezávisle, což znamená, že ho nesmí provádět stejná entita, která systém vyvíjela nebo provozuje.
Dokumentace výsledků testů je povinná a slouží jako důkaz splnění požadavků.
Pro testování se nesmí používat skutečné utajované informace, což vyžaduje použití simulovaných dat nebo jiných vhodných metod.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.