§ 7 Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor – Minimální bezpečnostní požadavky v oblasti počítačové bezpečnosti
Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor · 523/2005 Sb. · § 7 · Ostatní právní předpisy
Stručně: Paragraf 7 stanovuje minimální bezpečnostní požadavky na informační systémy, které nakládají s utajovanými informacemi, přičemž rozlišuje mezi systémy pro informace stupně Důvěrné a vyšší a systémy pro informace nejvýše stupně Vyhrazené.
§ 7 Minimální bezpečnostní požadavky v oblasti počítačové bezpečnosti
(1) Informační systém nakládající s utajovanými informacemi stupně utajení Důvěrné nebo vyššího musí zajišťovat tyto bezpečnostní funkce
a) jednoznačnou identifikaci a autentizaci uživatele, bezpečnostního správce nebo správce informačního systému, které musí předcházet všem jejich dalším aktivitám v informačním systému a musí zajistit ochranu důvěrnosti a integrity autentizační informace,
b) volitelné řízení přístupu k objektům informačního systému na základě rozlišování a správy přístupových práv uživatele, bezpečnostního správce nebo správce informačního systému a jejich identity nebo jejich členství ve skupině uživatelů, bezpečnostních správců nebo správců informačního systému,
c) nepřetržité zaznamenávání událostí, které mohou ovlivnit bezpečnost informačního systému do auditních záznamů a zabezpečení auditních záznamů před neautorizovaným přístupem, zejména modifikací nebo zničením. Zaznamenává se zejména použití identifikačních a autentizačních informací, pokusy o zkoumání přístupových práv, vytváření nebo rušení objektu informačního systému nebo činnost autorizovaných subjektů informačního systému ovlivňující bezpečnost informačního systému,
d) možnost zkoumání auditních záznamů a stanovení odpovědnosti jednotlivého uživatele, bezpečnostního správce nebo správce informačního systému,
e) ošetření paměťových objektů před jejich dalším použitím, zejména před přidělením jinému subjektu informačního systému, které znemožní zjistit jejich předchozí obsah, a
f) ochranu důvěrnosti dat během přenosu mezi zdrojem a cílem.
(2) K zajištění bezpečnostních funkcí uvedených v odstavci 1 se v informačním systému realizují identifikovatelné programově technické mechanismy. Dokumentace popisující jejich provedení a operační nastavení musí umožnit jejich nezávislé prověření a zhodnocení jejich dostatečnosti.
(3) Bezpečnostní mechanismy, jimiž se realizují bezpečnostní funkce uplatňující bezpečnostní politiku informačního systému, musí být v celém životním cyklu informačního systému chráněny před narušením nebo neautorizovanými změnami.
(4) V informačním systému, který nakládá s utajovanými informacemi nejvýše do stupně utajení Vyhrazené, se musí přiměřeně využívat bezpečnostní funkce uvedené v odstavci 1, a dále opatření z oblasti personální, administrativní a fyzické bezpečnosti informačních systémů.
Paragraf 7 stanovuje minimální bezpečnostní požadavky na informační systémy, které nakládají s utajovanými informacemi, přičemž rozlišuje mezi systémy pro informace stupně Důvěrné a vyšší a systémy pro informace nejvýše stupně Vyhrazené.
Co to znamená v praxi
Informační systémy zpracovávající utajované informace Důvěrné a vyšší musí mít funkce pro jednoznačnou identifikaci a ověření uživatele, řízení přístupu k datům, nepřetržité zaznamenávání bezpečnostních událostí a ochranu dat při přenosu.
Tyto bezpečnostní funkce musí být realizovány konkrétními programovými a technickými mechanismy, jejichž provedení a nastavení musí být zdokumentováno pro možnost nezávislého prověření.
Bezpečnostní mechanismy musí být chráněny před narušením nebo neoprávněnými změnami po celou dobu životnosti informačního systému.
U informačních systémů s utajovanými informacemi nejvýše stupně Vyhrazené se tyto bezpečnostní funkce využívají přiměřeně, doplněné o personální, administrativní a fyzická bezpečnostní opatření.
Na co si dát pozor
Je nutné zajistit, aby veškeré aktivity uživatelů, bezpečnostních správců a správců informačního systému byly předcházeny jednoznačnou identifikací a ověřením.
Auditní záznamy o bezpečnostních událostech musí být nepřetržitě vytvářeny a chráněny před neoprávněným přístupem, změnou nebo zničením.
Při přenosu dat mezi zdrojem a cílem v informačním systému musí být zajištěna ochrana jejich důvěrnosti.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.