§ 29 Vyhláška o zabezpečení jaderného zařízení a jaderného materiálu – ZÁVĚREČNÉ USTANOVENÍ

§ 29 ZÁVĚREČNÉ USTANOVENÍ Tato vyhláška nabývá účinnosti dnem 1. ledna 2017. Předsedkyně: Ing. Drábová, Ph.D., v. r. Příloha č. 1 k vyhlášce č. 361/2016 Sb. Poř. č.MateriálDruhKategorieI.II.III. c)1.Plutonium a)Neozářené b)2 kg a víceMéně než 2 kg, ale více než 500 g500 g nebo méně, ale více než 15 g2.Uran 235UNeozářený b) uran obohacený na 20 % 235U nebo více5 kg a víceMéně než 5 kg, ale více než 1 kg1 kg nebo méně, ale více než 15 gNeozářený b) uran obohacený na 10 % 235U, ale na méně než 20 %10 kg nebo víceMéně než 10 kg, ale více než 1 kgNeozářený b) uran obohacený nad přírodní koncentraci, avšak na méně než 10 % 235U10 kg a více3.Uran 233UNeozářený b)2 kg a víceMéně než 2 kg, ale více než 500 g500 g nebo méně, ale více než 15 g4.Ozářené jaderné palivoOchuzený nebo přírodní uran, thorium nebo nízko obohacené jaderné palivo (méně než 10 % štěpitelného obsahu) d) Vysvětlivky: a) Veškeré plutonium kromě plutonia o izotopické koncentraci převyšující 80 % plutonia 238Pu. b) Jaderný materiál neozářený v jaderném reaktoru nebo jaderný materiál ozářený v jaderném reaktoru, u kterého je ve vzdálenosti 1 m bez stínění dávkový příkon roven nebo nižší než 1 Gy.h-1. c) Množství nespadající do III. kategorie a přírodní uran musí být zabezpečeny podle § 162 odst. 1 atomového zákona. d) Jiné jaderné palivo, které s ohledem na původní obsah štěpitelného materiálu bylo zařazeno před ozářením do I. nebo II. kategorie, může být zařazeno do kategorie snížené o 1 stupeň, pokud dávkový příkon z tohoto paliva převyšuje 1 Gy.h-1 ve vzdálenosti 1 m bez stínění. Příloha č. 2 Bezpečnostní úrovně zabezpečení počítačových systémů jsou v souladu s principem ochrany do hloubky a odstupňovaným přístupem členěny alespoň do pěti úrovní s tím, že Úroveň 1 je úroveň s nejvyšší mírou zabezpečení, následovně: Úroveň 1 - důležité ochranné a bezpečnostní systémy, Úroveň 2 - řídicí systémy, další ochranné a bezpečnostní systémy, Úroveň 3 - podpůrné informační systémy, Úroveň 4 - komunikační a nadblokové informační systémy, Úroveň 5 - kancelářské systémy. a) Technická, fyzická, personální a organizační opatření pro zabezpečení počítačových systémů musí být navržena a realizována systematicky a v souladu s platnými procesy a postupy. b) Postupy a obvyklá praxe musí být definovány pro každou úroveň zabezpečení počítačových systémů. c) Pracovníci musí postupovat dle platných postupů a procedur zabezpečení. d) Pracovníci s právem přístupu k systémům musí být dostatečně vzdělaní, trénovaní a v případě, kdy je to právními předpisy vyžadováno, bezpečnostně způsobilí. e) Pracovníci smí mít přístup pouze k těm funkcím počítačových systémů, které potřebují ke své práci. f) Funkcionalita a rozhraní systémů musí být omezeny za účelem snížení celkové zranitelnosti. g) Přístupová oprávnění musí být řízena, pravidelně kontrolována a ověřována. h) Počítačové systémy musí být chráněny před škodlivým kódem a jeho šířením. i) Přístupy do počítačového systému včetně neoprávněných přístupů musí být zaznamenávány, sledovány a zabezpečeny. j) Poruchovost počítačového systému musí být nepřetržitě sledována a musí být předem připravena nápravná technická opatření. k) Efektivita, přiměřenost organizačních a technických opatření sloužících k zabezpečení počítačového systému a zranitelnost počítačového systému musí být pravidelně hodnoceny. l) Přenosné elektronické zařízení umožňující ovlivnit zpracování informací a zabránit nebo narušit plnění bezpečnostní funkce systému, konstrukce nebo komponenty (dále jen „přenosné elektronické zařízení“) musí být kontrolováno v souladu s platným postupem zabezpečení. Na základě provedené studie zranitelnosti musí být regulováno jeho vnášení do vymezených prostorů. Přenosné elektronické zařízení, které neslouží k vykonávání pracovních činností, nesmí být možné spojit se systémem. m) Opatření k zabezpečení počítačových systémů musí být pravidelně aktualizována vzhledem k případným změnám postupů zabezpečení. n) Postupy pro zálohování a obnovu dat musí být předem připraveny a zálohy pravidelně testovány. o) Přenosné elektronické zařízení, které slouží k vykonávání pracovních činností, musí být určeno pro použití pouze v jedné úrovni zabezpečení. p) Fyzický přístup k jednotlivým částem počítačového systému musí být omezen a řízen podle funkcí těchto částí. q) Musí být připravena a uplatňována opatření k řízení datových toků mezi jednotlivými úrovněmi zabezpečení. r) Změnu konfigurace počítačového systému smí provádět pouze schválení a kvalifikovaní pracovníci. Předběžný návrh zajištění počítačového zabezpečení v oblasti řízení jaderné bezpečnosti, evidence jaderného materiálu, fyzické ochrany a zvládání radiační mimořádné události proti jejich úmyslnému zneužití [§ 28 odst. 1 písm. j)], návrh zajištění počítačového zabezpečení v oblasti řízení jaderné bezpečnosti, evidence jaderného materiálu, fyzické ochrany a zvládání radiační mimořádné události proti jejich úmyslnému zneužití [§ 28 odst. 2 písm. m)] a plán zajištění počítačového zabezpečení v oblasti řízení jaderné bezpečnosti, evidence jaderného materiálu, fyzické ochrany a zvládání radiační mimořádné události proti jejich úmyslnému zneužití [§ 28 odst. 3 písm. k)] obsahují následující kapitoly: a) Organizační uspořádání a stanovení odpovědnosti 1. organizační struktura, 2. stanovení odpovědnosti osob a systému hlášení, 3. systém pravidelného přezkoumávání a schvalovací postupy, 4. vzájemná spolupráce s dalšími oblastmi jako jsou lidské zdroje, výkon citlivých činností, fyzická ochrana a odborná příprava. b) Hrozba, zranitelnost a řízení shody 1. systém hodnocení rizika, stanovení a zařazení počítačových systémů do jednotlivých úrovní, 2. stanovení četnosti hodnocení plánu zajištění počítačového zabezpečení, 3. postupy provedení sebehodnocení, 4. popis auditního hodnocení a odstranění zjištěných nedostatků, 5. hodnocení shody s platnými právními předpisy. c) Návrh počítačového zabezpečení a jeho řízení 1. základy architektury počítačového zabezpečení včetně stanovení jednotlivých úrovní zabezpečení počítačových systémů, 2. přijatá opatření počítačového zabezpečení na každé úrovni zabezpečení počítačových systémů, 3. určení požadavků počítačového zabezpečení pro dodavatele včetně požadavků na dodavatelskou údržbu, 4. posouzení opatření počítačového zabezpečení v rámci životního cyklu jaderného zařízení. d) Řízení počítačového systému 1. vlastnosti počítačových systémů, jejich identifikace, úroveň, umístění a možné dopady v případě protiprávních činností proti nim, 2. konfigurace zabezpečení systému, 3. síťový diagram s vyznačením datového toku s vnějším spojením na další počítačové systémy. e) Postupy zabezpečení 1. postupy v případě incidentu v oblasti zabezpečení počítačových systémů, 2. popis systému zálohování dat a jejich obnovení, 3. popis dodavatelského řetězce, 4. popis systému řízení přístupu, 5. popis informačního a komunikačního systému, 6. popis zabezpečení systému aplikací a platforem, 7. popis systému sledování včetně systému logování. f) Personální řízení 1. ověřování citlivých činností, 2. provádění profesní přípravy, 3. provádění systému odborné přípravy a vzdělávání, 4. hlášení incidentů v oblasti zabezpečení včetně ochrany personálu, který tyto události hlásí, 5. zrušení oprávnění k přístupu do počítačových systémů v případě ukončení pracovního poměru pracovníka nebo jeho převodu na jinou pozici. Příloha č. 3 Plán kultury zabezpečení obsahuje následující informace: a) určení cílů pro zavedení, trvalé rozvíjení a udržování úrovně zajištění kultury zabezpečení, b) popis pravidelného hodnocení úrovně kultury zabezpečení, c) popis školení a výcviku kultury zabezpečení, d) popis opatření přijatých k dosažení stanovených cílů, e) určení osob odpovědných za plnění opatření, f) časový rámec pro plnění opatření, g) určení zdrojů pro plnění opatření, h) překážky při plnění opatření, i) určení postupu pro plnění opatření, j) očekávané výsledky opatření.