CS · EN DE FR brzy

§ 24 Vyhláška Národního bezpečnostního úřadu o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu – Certifikace informačních systémů

Vyhláška Národního bezpečnostního úřadu o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu · 56/1999 Sb. · § 24 · IT právo a ochrana dat
Stručně: Paragraf 24 vyhlášky 56/1999 popisuje proces certifikace informačních systémů, které nakládají s utajovanými informacemi, od podání žádosti přes hodnocení až po vydání certifikátu.
§ 24 Certifikace informačních systémů (1) Žádost o provedení certifikace informačního systému předkládá Úřadu orgán státu nebo organizace, které budou informační systém provozovat, (dále jen „žadatel“). (2) Žádost podle odstavce 1 obsahuje: a) stručný popis účelu a rozsahu informačního systému včetně stanovení jeho běžných a minimálních funkcí, b) stupeň utajení utajovaných informací, se kterými bude informační systém nakládat, c) stanovení bezpečnostního provozního módu informačního systému, d) identifikaci dodavatele informačního systému. (3) Úřad vypracuje seznam podkladů pro ověření způsobilosti informačního systému nakládat s utajovanými informacemi (dále jen „hodnocení“) a časový plán jejich předložení žadatelem. K provedení hodnocení žadatel vždy předloží následující podklady: a) bezpečnostní politiku informačního systému a výsledky analýzy rizik, b) návrh bezpečnosti informačního systému, c) sadu testů bezpečnosti informačního systému, jejich popis a popis výsledků testování, d) bezpečnostní provozní dokumentaci informačního systému, e) popis bezpečnosti vývojového prostředí. (4) Hodnocení se provádí posouzením podkladů předložených žadatelem a provedením dodatečných testů. Dodatečné testy provádí Úřad u žadatele v provozním prostředí hodnoceného informačního systému za spoluúčasti žadatele a v případě potřeby dodavatele. (5) Jsou-li v průběhu hodnocení zjištěny nedostatky, vyzve Úřad žadatele k jejich odstranění. Pokud žadatel v termínu stanoveném Úřadem zjištěné nedostatky neodstraní, hodnocení se ukončí. (6) Hodnocení lze provádět průběžně po ukončení jednotlivých fází výstavby informačního systému nebo až po jeho celkovém dokončení. (7) O výsledku hodnocení se zpracují technické zprávy. (8) Jestliže se na základě výsledku hodnocení zjistí způsobilost hodnoceného informačního systému pro nakládání s utajovanými informacemi, obdrží žadatel o tomto certifikát. V případě, že hodnocený informační systém splňuje způsobilost pouze pro nižší stupeň utajení, vydá se certifikát na tento stupeň utajení. (9) Dojde-li v informačním systému, jehož způsobilost byla schválena, ke změnám uvedeným v § 25 odst. 2 písm. e), provádí se doplňující hodnocení informačního systému v rozsahu potřebném k posouzení provedených změn. V případě provádění doplňujícího hodnocení informačního systému se postupuje obdobně jako při provádění certifikace informačního systému.
← § 23celý předpis§ 25 →

Výklad

Stručně

Paragraf 24 vyhlášky 56/1999 popisuje proces certifikace informačních systémů, které nakládají s utajovanými informacemi, od podání žádosti přes hodnocení až po vydání certifikátu.

Co to znamená v praxi

Na co si dát pozor

Související témata

§ 9a Bezpečné propojení informačních systémů Vyhláška o bezpečnosti informačních a ko
§ 9a Bezpečné propojení informačních systémů Vyhláška, kterou se mění vyhláška č. 523
§ 24 CERTIFIKACE INFORMAČNÍCH SYSTÉMŮ Vyhláška o bezpečnosti informačních a ko
§ 3 POŽADAVKY NA BEZPEČNOST INFORMAČNÍCH SYSTÉMŮ Vyhláška o bezpečnosti informačních a ko
§ 20 Požadavky fyzické bezpečnosti informačních sy Vyhláška o bezpečnosti informačních a ko
🔔 Hlídat změny § 24 — pošleme e-mail, když se paragraf novelizuje.
← § 23celý předpis§ 25 →
DomůŽivotní situaceOtázkyPrávní oblastiJudikaturaAnalýza dopisuVzory smluvCeníkMCP / APIWidget pro webyO násKontaktVOPGDPRReklamace

Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.