§ 6 Vyhláška Národního bezpečnostního úřadu o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu – Požadavek odpovědnosti za činnost v informačním systému
Vyhláška Národního bezpečnostního úřadu o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu · 56/1999 Sb. · § 6 · IT právo a ochrana dat
Stručně: Paragraf 6 vyhlášky 56/1999 stanovuje, že uživatelé informačního systému jsou odpovědní za dodržování bezpečnostních povinností a že v systému musí být oddělená role bezpečnostního správce, který dohlíží na bezpečnostní aspekty, přičemž veškerá činnost uživatelů musí být zaznamenávána a přiřaditelná.
§ 6 Požadavek odpovědnosti za činnost v informačním systému
(1) Uživatelé informačního systému odpovídají za dodržování jim stanovených povinností, kterými je zajišťována bezpečnost informačního systému. Tyto povinnosti jsou stanoveny v provozní bezpečnostní dokumentaci informačního systému, včetně stanovení odpovědnosti za ochranu jednotlivých aktiv informačního systému.
(2) V informačním systému se zavádí role bezpečnostního správce informačního systému odděleně od role správce informačního systému.
(3) Role bezpečnostního správce informačního systému obsahuje výkon správy bezpečnosti informačního systému, spočívající zejména v přidělování přístupových práv, správě autentizačních a autorizačních informací, vyhodnocování auditních záznamů, aktualizaci bezpečnostních směrnic, vypracování zprávy o bezpečnostním incidentu a dalších činnostech stanovených v provozní bezpečnostní dokumentaci informačního systému.
(4) Informace o činnosti subjektu v informačním systému se zaznamenává tak, aby narušení bezpečnosti informačního systému nebo pokusy o ně bylo možno přiřadit konkrétnímu uživateli v každé jeho roli v informačním systému. Záznamy se uchovávají po dobu stanovenou v bezpečnostní politice informačního systému.
Paragraf 6 vyhlášky 56/1999 stanovuje, že uživatelé informačního systému jsou odpovědní za dodržování bezpečnostních povinností a že v systému musí být oddělená role bezpečnostního správce, který dohlíží na bezpečnostní aspekty, přičemž veškerá činnost uživatelů musí být zaznamenávána a přiřaditelná.
Co to znamená v praxi
Každý uživatel informačního systému musí znát a dodržovat pravidla pro zajištění bezpečnosti, která jsou popsána v provozní bezpečnostní dokumentaci.
V informačním systému musí existovat speciální pozice bezpečnostního správce, který se stará o bezpečnostní nastavení, jako je přidělování práv nebo kontrola záznamů, a je oddělen od běžného správce systému.
Všechny akce, které uživatelé v systému provádějí, se musí zaznamenávat tak, aby bylo možné kdykoli zjistit, kdo konkrétní činnost provedl, a to i v případě bezpečnostního incidentu.
Záznamy o činnosti uživatelů se uchovávají po dobu stanovenou v bezpečnostní politice informačního systému.
Na co si dát pozor
Je klíčové, aby provozní bezpečnostní dokumentace jasně definovala povinnosti uživatelů a odpovědnost za ochranu jednotlivých částí informačního systému.
Oddělení rolí správce informačního systému a bezpečnostního správce je povinné a má zabránit střetu zájmů a zvýšit úroveň bezpečnosti.
Systém musí být schopen přiřadit každou činnost konkrétnímu uživateli, což vyžaduje robustní mechanismy pro identifikaci a autentizaci.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.