§ 5 Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor – Bezpečnostní politika informačního systému
Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor · 523/2005 Sb. · § 5 · Ostatní právní předpisy
Stručně: Paragraf 523/2005 § 5 stanovuje, že pro každý informační systém musí být od počátku jeho vývoje vytvořena bezpečnostní politika, která definuje pravidla a postupy pro zajištění důvěrnosti, integrity a dostupnosti utajovaných informací a služeb systému, a také odpovědnost osob.
§ 5 Bezpečnostní politika informačního systému
(1) Pro každý informační systém musí být již v počáteční fázi jeho vývoje zpracována bezpečnostní politika informačního systému. Bezpečnostní politiku informačního systému tvoří soubor norem, pravidel a postupů, který vymezuje způsob, jakým má být zajištěna důvěrnost, integrita a dostupnost utajované informace, dostupnost služeb informačního systému a odpovědnost uživatele, bezpečnostního správce a správce informačního systému za jeho činnost v informačním systému. Pokud to funkce informačního systému vyžaduje, stanoví se rovněž způsob zajištění pravosti informací a nepopiratelnost.
(2) Zásady bezpečnostní politiky jsou rozpracovány v návrhu bezpečnosti informačního systému a v provozní bezpečnostní dokumentaci informačního systému.
(3) Při formulaci bezpečnostní politiky informačního systému a posuzování bezpečnostních vlastností komponentů informačního systému lze využít též mezinárodních standardizovaných bezpečnostních specifikací 3).
Paragraf 523/2005 § 5 stanovuje, že pro každý informační systém musí být od počátku jeho vývoje vytvořena bezpečnostní politika, která definuje pravidla a postupy pro zajištění důvěrnosti, integrity a dostupnosti utajovaných informací a služeb systému, a také odpovědnost osob.
Co to znamená v praxi
Již při plánování informačního systému je nutné myslet na jeho bezpečnost a vytvořit soubor pravidel, jak s utajovanými informacemi nakládat.
Bezpečnostní politika musí jasně určit, kdo je za co zodpovědný v rámci informačního systému (uživatel, bezpečnostní správce, správce systému).
Kromě základních principů (důvěrnost, integrita, dostupnost) může být vyžadováno i zajištění pravosti informací a nepopiratelnosti, pokud to funkce systému vyžaduje.
Zásady této politiky se dále podrobně rozpracovávají v dalších dokumentech, jako je návrh bezpečnosti a provozní dokumentace.
Na co si dát pozor
Bezpečnostní politika není jednorázový dokument, ale základ, který se dále rozpracovává a promítá do dalších fází vývoje a provozu systému.
Je třeba zvážit, zda funkce informačního systému vyžaduje i zajištění pravosti informací a nepopiratelnosti, a tyto aspekty do politiky zahrnout.
Při tvorbě bezpečnostní politiky a posuzování komponent systému je možné využít mezinárodní standardizované bezpečnostní specifikace.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.