§ 25 Vyhláška Národního bezpečnostního úřadu o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu – Náležitosti certifikátu informačního systému
Vyhláška Národního bezpečnostního úřadu o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu · 56/1999 Sb. · § 25 · IT právo a ochrana dat
Stručně: Paragraf 25 vyhlášky 56/1999 stanovuje, jaké informace musí obsahovat certifikát informačního systému, který nakládá s utajovanými skutečnostmi, a že jeho nedílnou součástí je certifikační zpráva s podrobnějšími údaji.
§ 25 Náležitosti certifikátu informačního systému
(1) Certifikát informačního systému, jehož vzor je uveden v příloze, obsahuje:
a) identifikaci informačního systému včetně označení verze, pro který je vydáván,
b) identifikaci certifikátu přidělenou Úřadem,
c) identifikaci žadatele,
d) identifikaci dodavatele informačního systému,
e) stupeň utajení utajovaných informací, pro který byla schválena jeho způsobilost,
f) dobu platnosti certifikátu.
(2) Součástí certifikátu je certifikační zpráva, která tvoří jeho přílohu. Certifikační zpráva obsahuje:
a) orientační popis informačního systému,
b) bezpečnostní politiku informačního systému,
c) hlavní závěry z hodnocení,
d) případná omezení podmiňující platnost certifikátu a
e) typy změn informačního systému, které vyžadují provedení doplňujícího hodnocení informačního systému.
Paragraf 25 vyhlášky 56/1999 stanovuje, jaké informace musí obsahovat certifikát informačního systému, který nakládá s utajovanými skutečnostmi, a že jeho nedílnou součástí je certifikační zpráva s podrobnějšími údaji.
Co to znamená v praxi
Certifikát informačního systému není jen jednoduchý dokument, ale musí obsahovat specifické identifikační údaje o systému, žadateli, dodavateli a také o stupni utajení, pro který je systém schválen.
Platnost certifikátu je časově omezena, což znamená, že po uplynutí doby platnosti je nutné certifikaci obnovit.
Součástí certifikátu je vždy podrobná certifikační zpráva, která popisuje systém, jeho bezpečnostní politiku, hlavní závěry hodnocení a případná omezení.
Certifikační zpráva rovněž specifikuje, jaké změny v informačním systému vyžadují nové hodnocení a případně doplňující certifikaci.
Na co si dát pozor
Certifikát je platný pouze pro konkrétní verzi informačního systému, pro kterou byl vydán.
Je třeba pečlivě sledovat dobu platnosti certifikátu, aby nedošlo k provozování systému bez platné certifikace.
Jakékoli změny v informačním systému, které jsou uvedeny v certifikační zprávě, mohou vyžadovat doplňující hodnocení, aby certifikát zůstal platný.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.