§ 24 Vyhláška Národního bezpečnostního úřadu o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu – Certifikace informačních systémů
Vyhláška Národního bezpečnostního úřadu o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu · 56/1999 Sb. · § 24 · IT právo a ochrana dat
Stručně: Paragraf 24 vyhlášky 56/1999 popisuje proces certifikace informačních systémů, které nakládají s utajovanými informacemi, od podání žádosti přes hodnocení až po vydání certifikátu.
§ 24 Certifikace informačních systémů
(1) Žádost o provedení certifikace informačního systému předkládá Úřadu orgán státu nebo organizace, které budou informační systém provozovat, (dále jen „žadatel“).
(2) Žádost podle odstavce 1 obsahuje:
a) stručný popis účelu a rozsahu informačního systému včetně stanovení jeho běžných a minimálních funkcí,
b) stupeň utajení utajovaných informací, se kterými bude informační systém nakládat,
c) stanovení bezpečnostního provozního módu informačního systému,
d) identifikaci dodavatele informačního systému.
(3) Úřad vypracuje seznam podkladů pro ověření způsobilosti informačního systému nakládat s utajovanými informacemi (dále jen „hodnocení“) a časový plán jejich předložení žadatelem. K provedení hodnocení žadatel vždy předloží následující podklady:
a) bezpečnostní politiku informačního systému a výsledky analýzy rizik,
b) návrh bezpečnosti informačního systému,
c) sadu testů bezpečnosti informačního systému, jejich popis a popis výsledků testování,
d) bezpečnostní provozní dokumentaci informačního systému,
e) popis bezpečnosti vývojového prostředí.
(4) Hodnocení se provádí posouzením podkladů předložených žadatelem a provedením dodatečných testů. Dodatečné testy provádí Úřad u žadatele v provozním prostředí hodnoceného informačního systému za spoluúčasti žadatele a v případě potřeby dodavatele.
(5) Jsou-li v průběhu hodnocení zjištěny nedostatky, vyzve Úřad žadatele k jejich odstranění. Pokud žadatel v termínu stanoveném Úřadem zjištěné nedostatky neodstraní, hodnocení se ukončí.
(6) Hodnocení lze provádět průběžně po ukončení jednotlivých fází výstavby informačního systému nebo až po jeho celkovém dokončení.
(7) O výsledku hodnocení se zpracují technické zprávy.
(8) Jestliže se na základě výsledku hodnocení zjistí způsobilost hodnoceného informačního systému pro nakládání s utajovanými informacemi, obdrží žadatel o tomto certifikát. V případě, že hodnocený informační systém splňuje způsobilost pouze pro nižší stupeň utajení, vydá se certifikát na tento stupeň utajení.
(9) Dojde-li v informačním systému, jehož způsobilost byla schválena, ke změnám uvedeným v § 25 odst. 2 písm. e), provádí se doplňující hodnocení informačního systému v rozsahu potřebném k posouzení provedených změn. V případě provádění doplňujícího hodnocení informačního systému se postupuje obdobně jako při provádění certifikace informačního systému.
Paragraf 24 vyhlášky 56/1999 popisuje proces certifikace informačních systémů, které nakládají s utajovanými informacemi, od podání žádosti přes hodnocení až po vydání certifikátu.
Co to znamená v praxi
Orgán státu nebo organizace, která chce provozovat informační systém pro utajované informace, musí požádat Národní bezpečnostní úřad (Úřad) o jeho certifikaci.
Žádost musí obsahovat podrobnosti o systému, jeho účelu, rozsahu, stupni utajení a dodavateli.
Úřad provede hodnocení systému na základě předložených dokumentů (např. bezpečnostní politika, analýza rizik, testy bezpečnosti) a vlastních dodatečných testů.
Pokud systém splní požadavky na bezpečnost pro nakládání s utajovanými informacemi, Úřad vydá certifikát, případně pro nižší stupeň utajení, než bylo původně požadováno.
Na co si dát pozor
Pokud žadatel neodstraní zjištěné nedostatky v termínu stanoveném Úřadem, hodnocení se ukončí a certifikát nebude vydán.
Při změnách v již certifikovaném informačním systému je nutné provést doplňující hodnocení.
Hodnocení může probíhat průběžně během vývoje systému nebo až po jeho dokončení.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.