§ 22 Vyhláška Národního bezpečnostního úřadu o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu – Požadavky na bezpečnost provozovaného informačního systému
Vyhláška Národního bezpečnostního úřadu o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu · 56/1999 Sb. · § 22 · IT právo a ochrana dat
Stručně: Paragraf 22 vyhlášky 56/1999 stanovuje požadavky na bezpečnost informačního systému, který nakládá s utajovanými skutečnostmi, během jeho provozu, včetně průběžné kontroly, ochrany před škodlivým kódem, zálohování, organizace servisu, vyhodnocování auditních záznamů a řešení krizových situací.
§ 22 Požadavky na bezpečnost provozovaného informačního systému
(1) Bezpečnost provozovaného informačního systému musí být průběžně, s ohledem na skutečný stav informačního systému, prověřována a vyhodnocována. Dílčí změnu v informačním systému je možno provést až po vyhodnocení vlivu této změny na bezpečnost informačního systému.
(2) Integrita programového vybavení i utajovaných informací musí být chráněna před působením škodlivého kódu.
(3) V provozovaném informačním systému může být používáno pouze programové vybavení, které bylo dodáno provozovatelem informačního systému.
(4) V provozovaném informačním systému musí být prováděno zálohování programového vybavení a utajovaných informací. Záloha programového vybavení a utajovaných informací musí být uložena tak, aby nemohlo dojít k jejímu poškození nebo zničení při ohrožení informačního systému.
(5) Servisní činnost v provozovaném informačním systému se musí organizovat tak, aby nebyla ohrožena jeho bezpečnost. Z nosičů utajovaných informací informačního systému přístupných při servisní činnosti musí být vymazány utajované informace a dálková diagnostika musí být zabezpečena před zneužitím.
(6) V provozovaném informačním systému musí být v termínech stanovených v bezpečnostní dokumentaci informačního systému a při vzniku krizové situace neprodleně prováděno vyhodnocení auditních záznamů. Auditní záznamy musí být archivovány po dobu stanovenou v bezpečnostní dokumentaci informačního systému.
(7) Pro řešení krizové situace provozovaného informačního systému musí být v bezpečnostní dokumentaci informačního systému stanovena opatření zaměřená na jeho uvedení do známého bezpečného stavu. V bezpečnostní dokumentaci informačního systému musí být uvedena tato opatření:
a) činnost následující bezprostředně po vzniku krizové situace zaměřená na minimalizaci škod,
b) činnost následující po vzniku krizové situace zaměřená na likvidaci následků krizové situace včetně vymezení osobní odpovědnosti za jednotlivé úkoly,
c) způsob zálohování informačního systému,
d) způsob zajišťování servisní činnosti,
e) způsob zajištění nouzového provozu informačního systému s vyjmenováním minimálních funkcí, které musí být zachovány,
f) způsob obnovy funkčnosti a uvedení informačního systému do známého bezpečného stavu.
(8) Před likvidací informačního systému musí být provedeno vyjmutí, vymazání nebo zničení utajovaných informací, se kterými informační systém nakládal.
Paragraf 22 vyhlášky 56/1999 stanovuje požadavky na bezpečnost informačního systému, který nakládá s utajovanými skutečnostmi, během jeho provozu, včetně průběžné kontroly, ochrany před škodlivým kódem, zálohování, organizace servisu, vyhodnocování auditních záznamů a řešení krizových situací.
Co to znamená v praxi
Bezpečnost informačního systému musí být neustále prověřována a vyhodnocována, přičemž jakákoli změna v systému musí být nejprve posouzena z hlediska jejího dopadu na bezpečnost.
Je nutné chránit programové vybavení a utajované informace před viry a jiným škodlivým kódem a používat pouze schválené programové vybavení dodané provozovatelem.
Musí být prováděno zálohování programového vybavení a utajovaných informací, přičemž zálohy musí být uloženy tak, aby byly chráněny před poškozením nebo zničením.
Pro případ krizové situace musí být v bezpečnostní dokumentaci informačního systému stanovena jasná opatření pro minimalizaci škod, likvidaci následků, obnovu funkčnosti a uvedení systému do bezpečného stavu.
Na co si dát pozor
Při servisní činnosti je nutné zajistit, aby nebyla ohrožena bezpečnost systému, a z nosičů utajovaných informací přístupných při servisu musí být tyto informace vymazány.
Auditní záznamy musí být pravidelně vyhodnocovány a archivovány po dobu stanovenou v bezpečnostní dokumentaci.
Před likvidací informačního systému je nezbytné zajistit úplné vyjmutí, vymazání nebo zničení všech utajovaných informací, se kterými systém nakládal.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.