§ 5 Vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb, o požadavcích na nástroje elektronického podpisu a o požadavcích na ochranu dat pro vytváření elektronických značek (vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb) – Obsah bezpečnostní dokumentace

§ 5 Obsah bezpečnostní dokumentace (1) Obsahem politik podle § 4 odst. 2 písm. a) až d) je vždy a) stanovení zásad, které poskytovatel uplatňuje při zajišťování kvalifikované certifikační služby, b) v případě vydávání kvalifikovaných certifikátů nebo kvalifikovaných systémových certifikátů popis vlastností dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek a jim odpovídajících dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek, která vytváří osoba žádající o vydání certifikátu nebo která vytváří poskytovatel a k nimž má být příslušný certifikát vydán; kryptografické algoritmy a jejich parametry, které mohou být pro tato data použity, zveřejňuje ministerstvo na své úřední desce, c) v případě vydávání kvalifikovaných časových razítek 1. kryptografické algoritmy, které mohou být použity při vytváření otisku dat, která mají být označena kvalifikovaným časovým razítkem a parametry těchto algoritmů, 2. přesnost času v časovém razítku ve vztahu ke světovému koordinovanému času. (2) Obsahem zprávy pro uživatele podle § 4 odst. 2 písm. f) jsou informace o identifikačních údajích poskytovatele a základní přehled o dané kvalifikované certifikační službě a jejím využívání. (3) Obsahem prováděcí směrnice podle § 4 odst. 2 písm. g) je vždy stanovení postupů, které poskytovatel uplatňuje při zajišťování jednotlivých kvalifikovaných certifikačních služeb. (4) Obsahem celkové bezpečnostní politiky podle § 4 odst. 2 písm. h) je vždy stanovení cílů a popis způsobu zabezpečení důvěryhodných systémů poskytovatele a specifikace zásad a předpisů vztahujících se k řešení bezpečnosti v důvěryhodných systémech a určení pravomocí a odpovědností za řešení bezpečnosti. (5) Systémová bezpečnostní politika podle § 4 odst. 2 písm. i) je zpracovávána na základě provedené analýzy rizik spjatých s provozováním důvěryhodných systémů. V analýze rizik poskytovatel definuje aktiva těchto systémů, hrozby, které na ně působí, zranitelná místa systémů, pravděpodobnost výskytu hrozeb, odhad jejich následků a určuje odpovídající bezpečnostní opatření. (6) Obsahem systémové bezpečnostní politiky je vždy a) stanovení cílů při ochraně informací, b) stanovení způsobu zajištění bezpečnosti, c) určení pravomocí a odpovědností při provozování důvěryhodných systémů, d) pravidla a postupy konkrétně definující způsob správy a ochrany informačních technologií, aktiv informačních systémů a způsob distribuce informací v rámci důvěryhodných systémů a jiných systémů, které mají s důvěryhodnými systémy vazby, e) způsoby uplatnění celkové bezpečnostní politiky ve vztahu k provozování důvěryhodných systémů, f) popis důvěryhodných systémů, jejich vnitřních, vnějších a vzájemných vazeb, g) vyhodnocení analýzy rizik a popis bezpečnostních opatření podle odstavce 5, h) způsob šíření časového údaje v rámci důvěryhodných systémů, pokud poskytovatel poskytuje službu vydávání kvalifikovaných časových razítek. (7) Plán pro zvládání krizových situací podle § 4 odst. 2 písm. j) obsahuje vždy stanovení postupů, které jsou uplatněny v případě výskytu mimořádné události. (8) Plán obnovy podle § 4 odst. 2 písm. j) obsahuje strategie obnovy důvěryhodných systémů, které je nutno realizovat pro a) zachování kritických činností poskytovatele v nejkratším možném čase, b) obnovu řádné funkce důvěryhodných systémů.