§ 21 Vyhláška Národního bezpečnostního úřadu o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu – Požadavek testování bezpečnosti informačního systému
Vyhláška Národního bezpečnostního úřadu o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu · 56/1999 Sb. · § 21 · IT právo a ochrana dat
Stručně: Paragraf 21 vyhlášky 56/1999 Sb. stanovuje, že před certifikací informačního systému nakládajícího s utajovanými skutečnostmi musí být jeho bezpečnost ověřena testováním, které provádí nezávislá komise, a výsledky testů musí být zdokumentovány a prokázat soulad s bezpečnostní politikou.
§ 21 Požadavek testování bezpečnosti informačního systému
(1) Bezpečnost informačního systému se musí před jeho certifikací ověřit testováním. Testování provádí komise, jejíž členové nesmí být ve vztahu k informačnímu systému a k vývojovému týmu podjati tím, že by se podíleli na vývoji informačního systému, že by měli osobní zájem na výsledcích testování nebo je s vývojovým týmem spojoval osobní anebo pracovní a jiný obdobný vztah. K provedení testování se nesmějí používat utajované informace.
(2) Výsledky testů musejí prokázat, že bezpečnostní funkce jsou plně v souladu s bezpečnostní politikou informačního systému. Výsledky testů musí být zadokumentovány. Chyby nalezené během testování musí být odstraněny a jejich odstranění musí být ověřeno následnými testy.
Paragraf 21 vyhlášky 56/1999 Sb. stanovuje, že před certifikací informačního systému nakládajícího s utajovanými skutečnostmi musí být jeho bezpečnost ověřena testováním, které provádí nezávislá komise, a výsledky testů musí být zdokumentovány a prokázat soulad s bezpečnostní politikou.
Co to znamená v praxi
Předtím, než může být informační systém používán pro práci s utajovanými skutečnostmi, musí projít důkladným testováním bezpečnosti.
Testování musí provádět osoby, které nejsou nijak spojené s vývojem systému, nemají osobní zájem na výsledcích a nejsou ve vztahu s vývojovým týmem, aby byla zajištěna objektivita.
Při testování se nesmí používat skutečné utajované informace.
Všechny zjištěné chyby musí být opraveny a jejich oprava musí být následně ověřena dalšími testy.
Na co si dát pozor
Je nutné zajistit naprostou nezávislost testovací komise, aby nedošlo ke střetu zájmů.
Výsledky testů musí být pečlivě zdokumentovány, aby bylo možné prokázat splnění bezpečnostních požadavků.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.