§ 9a Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor – Bezpečné propojení informačních systémů
Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor · 523/2005 Sb. · § 9a · Ostatní právní předpisy
Stručně: Paragraf 9a vyhlášky 523/2005 stanovuje pravidla pro bezpečné propojení informačních systémů, které nakládají s utajovanými informacemi, a to jak mezi sebou, tak i s neutajovanými systémy nebo veřejnými sítěmi, s cílem zajistit ochranu utajovaných informací.
§ 9a Bezpečné propojení informačních systémů
(1) Propojením informačních systémů se pro účely této vyhlášky rozumí přímé propojení dvou nebo více informačních systémů nebo informačního systému a informačního systému pro nakládání s neutajovanými informacemi za účelem jednosměrného či vícesměrného sdílení údajů a dalších informačních zdrojů. Propojení informačního systému s jiným informačním systémem nebo s informačním systémem pro nakládání s neutajovanými informacemi lze realizovat pouze v případě nezbytné provozní potřeby.
(2) Certifikovaný informační systém lze propojit s jiným certifikovaným informačním systémem, pokud to bylo na základě analýzy rizik schváleno v rámci certifikace těchto informačních systémů, je mezi nimi realizováno bezpečnostní rozhraní a jsou certifikovány pro nakládání s utajovanými informacemi
a) stejného stupně utajení, nebo
b) odlišného stupně utajení, za předpokladu, že se uplatní opatření podle odstavce 3.
(3) Propojení informačních systémů certifikovaných pro nakládání s utajovanou informací odlišného stupně utajení musí být realizováno tak, aby mezi nimi bylo zabráněno přenosu utajované informace vyššího stupně utajení, nežli je stupeň utajení, pro který je informační systém certifikován.
(4) Certifikovaný informační systém nesmí být propojen s veřejnou komunikační sítí, s výjimkou případů, kdy má instalované pro tento účel mezi sebou a veřejnou komunikační sítí vhodné bezpečnostní rozhraní, schválené na základě analýzy rizik v rámci jeho certifikace tak, aby bylo zamezeno průniku do certifikovaného informačního systému a byl umožněn pouze kontrolovaný přenos dat, který nenarušuje důvěrnost, integritu a dostupnost utajované informace a dostupnost služeb certifikovaného informačního systému.
(5) Certifikovaný informační systém, který nakládá s utajovanou informací stupně utajení Přísně tajné, nebo s utajovanou informací vyžadující zvláštní režim nakládání označené „ATOMAL“, nesmí být přímo ani postupně propojen s veřejnou komunikační sítí.
(6) Pokud je veřejná komunikační síť využívána výhradně k přenosu dat mezi informačními systémy nebo lokalitami informačního systému a přenášené informace jsou chráněny certifikovaným kryptografickým prostředkem, nepovažuje se takové spojení za propojení. Mezi informačním systémem a veřejnou komunikační sítí musí být realizováno vhodné bezpečnostní rozhraní tak, aby bylo zamezeno průniku do informačního systému. Připojení je předmětem analýzy rizik a musí být schváleno v rámci certifikace informačního systému.
Paragraf 9a vyhlášky 523/2005 stanovuje pravidla pro bezpečné propojení informačních systémů, které nakládají s utajovanými informacemi, a to jak mezi sebou, tak i s neutajovanými systémy nebo veřejnými sítěmi, s cílem zajistit ochranu utajovaných informací.
Co to znamená v praxi
Propojení informačních systémů je možné pouze v případě, že je to nezbytné pro provoz a bylo to schváleno v rámci certifikace na základě analýzy rizik.
Systémy s utajovanými informacemi různých stupňů utajení lze propojit, ale musí být zajištěno, že informace vyššího stupně utajení nemohou být přeneseny do systému s nižším stupněm utajení.
Přímé propojení certifikovaného informačního systému s veřejnou komunikační sítí je obecně zakázáno, s výjimkou případů, kdy je mezi nimi instalováno schválené bezpečnostní rozhraní, které zabraňuje průniku a umožňuje pouze kontrolovaný přenos dat.
Informační systémy nakládající s informacemi stupně "Přísně tajné" nebo "ATOMAL" nesmí být nikdy propojeny s veřejnou komunikační sítí.
Na co si dát pozor
Jakékoli propojení informačních systémů musí být podloženo nezbytnou provozní potřebou a schváleno v rámci certifikace na základě analýzy rizik.
Při propojování systémů s různými stupni utajení je klíčové zajistit, aby nedošlo k úniku citlivějších informací do méně chráněného prostředí.
Použití veřejné komunikační sítě pro přenos dat mezi informačními systémy je možné pouze s certifikovaným kryptografickým prostředkem a vhodným bezpečnostním rozhraním, které je předmětem analýzy rizik a schválení v rámci certifikace.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.