§ 10 Vyhláška Národního bezpečnostního úřadu o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu – Minimální bezpečnostní požadavky v oblasti počítačové bezpečnosti
Vyhláška Národního bezpečnostního úřadu o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu · 56/1999 Sb. · § 10 · IT právo a ochrana dat
Stručně: Paragraf 10 vyhlášky 56/1999 stanovuje minimální bezpečnostní požadavky na počítačovou bezpečnost informačních systémů, které nakládají s utajovanými informacemi, a to v závislosti na stupni utajení těchto informací.
§ 10 Minimální bezpečnostní požadavky v oblasti počítačové bezpečnosti
(1) Informační systém nakládající s utajovanými informacemi stupně utajení „Důvěrné“ nebo vyššího musí obsahovat tyto minimální bezpečnostní funkce:
a) jednoznačnou identifikaci a autentizaci uživatele, které musí předcházet všem dalším aktivitám uživatelů v informačním systému a musí zajistit ochranu důvěrnosti a integrity autentizační informace,
b) volitelné řízení přístupu k objektům na základě rozlišování a správy přístupových práv uživatele a identity uživatele nebo jeho členství ve skupině uživatelů,
c) nepřetržité zaznamenávání událostí, které mohou ovlivnit bezpečnost informačního systému, do auditních záznamů a zabezpečení auditních záznamů před neautorizovaným přístupem, zejména modifikací nebo zničením. Zaznamenává se zejména použití identifikačních a autentizačních informací, pokusy o zkoumání přístupových práv, vytváření nebo rušení objektu nebo činnost autorizovaných uživatelů ovlivňující bezpečnost informačního systému,
d) možnost zkoumání auditních záznamů a stanovení odpovědnosti jednotlivého uživatele informačního systému,
e) ošetření paměťových objektů před jejich dalším použitím, zejména před přidělením jinému subjektu, které znemožní zjistit jejich předchozí obsah,
f) ochranu důvěrnosti dat během přenosu sítěmi s tím, že utajovaná informace musí být v procesu přenosu mezi zdrojem a cílem chráněna náležitým způsobem.
(2) K zajištění minimálních bezpečnostních funkcí uvedených v odstavci 1 jsou v informačním systému realizovány identifikovatelné programově technické mechanismy. Jejich provedení a operační nastavení je zdokumentováno tak, aby bylo možno nezávisle prověřit a zhodnotit jejich dostatečnost.
(3) Bezpečnostní mechanismy uplatňující bezpečnostní politiku informačního systému musí být v celém životním cyklu informačního systému chráněny před narušením nebo neautorizovanými změnami.
(4) V informačním systému, který nakládá pouze s utajovanými informacemi stupně utajení „Vyhrazené“, musí být zajištěna odpovědnost uživatele za jeho činnost v informačním systému a přístup k utajované informaci lze umožnit na základě zásady potřeby přistupovat k informaci. K tomu se přiměřeným způsobem využívají bezpečnostní funkce uvedené v odstavci 1 a dále opatření z oblasti personální a administrativní bezpečnosti a fyzické bezpečnosti informačních systémů.
Paragraf 10 vyhlášky 56/1999 stanovuje minimální bezpečnostní požadavky na počítačovou bezpečnost informačních systémů, které nakládají s utajovanými informacemi, a to v závislosti na stupni utajení těchto informací.
Co to znamená v praxi
Informační systémy pracující s utajovanými informacemi stupně „Důvěrné“ nebo vyššího musí mít specifické bezpečnostní funkce, jako je jednoznačná identifikace uživatele, řízení přístupu k datům a zaznamenávání bezpečnostních událostí.
Tyto bezpečnostní funkce musí být realizovány pomocí programově technických mechanismů, jejichž provedení a nastavení musí být zdokumentováno pro možnost nezávislé kontroly.
Bezpečnostní mechanismy musí být chráněny před narušením nebo neoprávněnými změnami po celou dobu životnosti informačního systému.
Pro informační systémy nakládající pouze s utajovanými informacemi stupně „Vyhrazené“ platí mírnější požadavky, které se zaměřují na odpovědnost uživatele a princip „potřeby znát“, přičemž se přiměřeně využívají některé bezpečnostní funkce z vyšších stupňů utajení a doplňují se personálními, administrativními a fyzickými bezpečnostními opatřeními.
Na co si dát pozor
Je nutné zajistit ochranu důvěrnosti a integrity autentizačních informací uživatelů.
Auditní záznamy musí být chráněny před neautorizovaným přístupem, zejména před modifikací nebo zničením, a musí umožňovat stanovení odpovědnosti uživatele.
Před opětovným použitím paměťových objektů je třeba zajistit, aby jejich předchozí obsah nebyl zjistitelný.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.