§ 9 Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor – Systémově závislé bezpečnostní požadavky na bezpečnost v prostředí počítačových sítí
Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor · 523/2005 Sb. · § 9 · Ostatní právní předpisy
Stručně: Paragraf 9 vyhlášky 523/2005 stanovuje, jakým způsobem musí být zajištěna bezpečnost utajovaných informací při jejich přenosu v počítačových sítích, zejména s ohledem na jejich důvěrnost a integritu.
§ 9 Systémově závislé bezpečnostní požadavky na bezpečnost v prostředí počítačových sítí
(1) Při přenosu utajované informace komunikačním kanálem musí být zajištěna ochrana její důvěrnosti a integrity.
(2) Základním prostředkem pro zajištění důvěrnosti utajované informace při jejím přenosu komunikačním kanálem je kryptografická ochrana4).
(3) Základním prostředkem pro zajištění integrity utajované informace při jejím přenosu komunikačním kanálem je spolehlivá detekce záměrné i náhodné změny utajované informace.
(4) Přenos utajované informace komunikačním kanálem vedeným v rámci zabezpečené oblasti nebo objektu může být, na základě analýzy rizik, zabezpečen pouze s využitím opatření fyzické bezpečnosti všech komponentů komunikačního kanálu, přičemž přenášená utajovaná informace není chráněna kryptografickou ochranou nebo je chráněna kryptografickou ochranou na nižší úrovni, nežli je vyžadována pro stupeň utajení přenášené utajované informace. Takto zabezpečený přenos utajované informace Úřad schvaluje v rámci certifikace informačního systému.
(5) V závislosti na komunikačním prostředí se zajišťuje spolehlivá identifikace a autentizace komunikujících stran, včetně ochrany identifikační a autentizační informace. Tato identifikace a autentizace předchází přenosu utajované informace.
(6) Přenos utajované informace komunikačním kanálem vedeným mimo objekt musí být zabezpečen certifikovaným kryptografickým prostředkem, který je certifikován nejméně pro stejný stupeň utajení jako přenášená utajovaná informace.
(7) Během certifikace informačního systému může Úřad, na základě předložené analýzy rizik, přijatých specifických bezpečnostních opatření pro detekci narušení bezpečnosti komunikačního kanálu a opatření pro snížení důsledků útoku, schválit odlišný systém zabezpečení informačního systému, než je uveden v odstavcích 4 a 6.
Paragraf 9 vyhlášky 523/2005 stanovuje, jakým způsobem musí být zajištěna bezpečnost utajovaných informací při jejich přenosu v počítačových sítích, zejména s ohledem na jejich důvěrnost a integritu.
Co to znamená v praxi
Při přenosu utajované informace komunikačním kanálem je vždy nutné chránit její důvěrnost (aby se k ní nedostal nikdo nepovolaný) a integritu (aby nebyla změněna).
Pro ochranu důvěrnosti se primárně používá kryptografická ochrana, zatímco pro integritu spolehlivá detekce změn.
Před samotným přenosem utajované informace je třeba spolehlivě ověřit totožnost komunikujících stran.
Přenos utajované informace mimo zabezpečený objekt musí být vždy zabezpečen certifikovaným kryptografickým prostředkem, který odpovídá stupni utajení přenášené informace.
Na co si dát pozor
Přenos utajované informace v rámci zabezpečené oblasti nebo objektu může být zabezpečen pouze fyzickými opatřeními, ale jen na základě analýzy rizik a se schválením Úřadu v rámci certifikace informačního systému.
Úřad může v rámci certifikace informačního systému schválit i odlišný systém zabezpečení, pokud je předložena analýza rizik a přijata specifická bezpečnostní opatření.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.