§ 4 Vyhláška Národního bezpečnostního úřadu o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu – Bezpečnostní dokumentace informačního systému
Vyhláška Národního bezpečnostního úřadu o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu · 56/1999 Sb. · § 4 · IT právo a ochrana dat
Stručně: Paragraf 4 vyhlášky 56/1999 stanovuje, že informační systém nakládající s utajovanými skutečnostmi musí mít bezpečnostní dokumentaci, která se dělí na projektovou a provozní část, a definuje, co musí tyto části obsahovat.
§ 4 Bezpečnostní dokumentace informačního systému
(1) Bezpečnostní dokumentaci informačního systému tvoří:
a) projektová bezpečnostní dokumentace informačního systému,
b) provozní bezpečnostní dokumentace informačního systému.
(2) Projektová bezpečnostní dokumentace informačního systému musí obsahovat:
a) bezpečnostní politiku informačního systému a vyhodnocení analýzy rizik,
b) návrh bezpečnostních opatření pro jednotlivé fáze návrhu informačního systému,
c) dokumentaci k testům bezpečnosti informačního systému.
(3) Provozní bezpečnostní dokumentace informačního systému musí obsahovat:
a) bezpečnostní směrnici informačního systému, která popisuje činnost bezpečnostního správce v příslušném informačním systému,
b) bezpečnostní směrnice pro jednotlivé typy uživatelů informačního systému.
(4) Bezpečnostní dokumentace uvedená v odstavci 2 a odstavci 3 písm. a) se klasifikuje a označuje stupněm utajení shodným s nejvyšším stupněm utajení utajované informace, se kterou informační systém nakládá.
Paragraf 4 vyhlášky 56/1999 stanovuje, že informační systém nakládající s utajovanými skutečnostmi musí mít bezpečnostní dokumentaci, která se dělí na projektovou a provozní část, a definuje, co musí tyto části obsahovat.
Co to znamená v praxi
Každý informační systém, který pracuje s utajovanými informacemi, musí mít detailně zpracovanou bezpečnostní dokumentaci, která se skládá ze dvou hlavních částí: projektové a provozní.
Projektová dokumentace se zabývá návrhem bezpečnosti systému, včetně analýzy rizik a plánovaných bezpečnostních opatření, a musí obsahovat i dokumentaci k testům bezpečnosti.
Provozní dokumentace se zaměřuje na každodenní provoz, popisuje činnost bezpečnostního správce a stanovuje bezpečnostní pravidla pro různé typy uživatelů.
Nejdůležitější části bezpečnostní dokumentace (projektová dokumentace a bezpečnostní směrnice pro bezpečnostního správce) musí být samy o sobě utajovány na stejné úrovni jako nejvyšší stupeň utajení informací, se kterými systém pracuje.
Na co si dát pozor
Je nutné zajistit, aby projektová i provozní bezpečnostní dokumentace byly vždy aktuální a odpovídaly skutečnému stavu informačního systému a jeho provozu.
Klasifikace a označení stupněm utajení se týká nejen utajovaných informací v systému, ale i samotné bezpečnostní dokumentace, což vyžaduje zvláštní péči při jejím zpracování a uchovávání.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.