§ 14 Vyhláška, kterou se mění vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor – Požadavky ochrany proti kompromitujícímu vyzařování

§ 14 Požadavky ochrany proti kompromitujícímu vyzařování (1) Komponenty informačního systému, které nakládají s utajovanými informacemi stupně utajení Důvěrné nebo vyššího a zabezpečená oblast nebo objekt, ve kterém se v informačním systému zpracovávají utajované informace stupně utajení Důvěrné nebo vyššího, musí být zabezpečeny takovým způsobem, aby kompromitující vyzařování nezpůsobilo únik utajované informace. (2) Požadavky na zabezpečení proti kompromitujícímu vyzařování jsou závislé na stupni utajení utajované informace, se kterou informační systém nakládá, a jsou stanoveny v bezpečnostním standardu. (3) Instalace informačního systému, který nakládá s utajovanou informací stupně utajení Důvěrné nebo vyššího, z hlediska jeho zabezpečení proti kompromitujícímu vyzařování musí být provedena v souladu s požadavky bezpečnostního standardu. Záznam o instalaci komponent informačního systému se vkládá do bezpečnostní dokumentace informačního systému. Obsah a forma záznamu jsou stanoveny v bezpečnostním standardu.“. 15. V § 15 odst. 4 se slovo „života“ nahrazuje slovy „životního cyklu“. 16. V § 15 odstavce 5 a 6 znějí: „(5) Stupeň utajení nosiče utajovaných informací stupně utajení Tajné může být snížen, stupně utajení Důvěrné může být snížen nebo zrušen, pouze v případě, že vymazání utajovaných informací z něj bylo provedeno způsobem uvedeným v odstavci 6 nebo je prokázáno, že na něm byly během jeho dosavadního životního cyklu uloženy pouze utajované informace nižšího stupně utajení nebo informace neutajované nebo je prokázáno, že stupeň utajení utajovaných informací uložených na něm během jeho dosavadního životního cyklu byl zrušen nebo snížen. Stupeň utajení nosiče utajovaných informací stupně utajení Vyhrazené může být zrušen pouze v případě, že vymazání utajovaných informací z něj bylo provedeno způsobem uvedeným v odstavci 6 nebo je prokázáno, že na něm byly během jeho dosavadního životního cyklu uloženy pouze informace neutajované nebo je prokázáno, že stupeň utajení utajovaných informací uložených na něm během jeho dosavadního životního cyklu byl zrušen. (6) Vymazání utajované informace z nosiče utajovaných informací, které umožňuje snížení nebo zrušení jeho stupně utajení, musí být provedeno tak, aby utajovaná informace uložená na nosiči během jeho dosavadního životního cyklu byla obtížně zjistitelná i při použití laboratorních metod. Podmínky a postupy bezpečného vymazání stanoví Úřad v bezpečnostním standardu, postup musí být uveden v provozní bezpečnostní dokumentaci certifikovaného informačního systému a schválen v rámci jeho certifikace.“. 17. V § 15 se doplňuje odstavec 8, který zní: „(8) Při používání velkokapacitních vyměnitelných nosičů informací musí být v bezpečnostní politice stanoveno řízení přístupu uživatele ke vstupním a výstupním zařízením.“. 18. V § 16 odst. 2 se slova „být držitelem osvědčení fyzické osoby“ nahrazují slovy „splňovat podmínky pro přístup fyzické osoby k utajované informaci“. 19. V § 16 se za odstavec 2 vkládají nové odstavce 3 až 5, které znějí: „(3) Správce informačního systému, který vykonává funkci administrátora s právy úplného řízení systému, a bezpečnostní správce celého informačního systému, musí splňovat podmínky pro přístup fyzické osoby k utajované informaci stupně utajení o jeden stupeň vyššího, nežli je nejvyšší stupeň utajení utajovaných informací, se kterými může informační systém nakládat. To neplatí u informačního systému, který je určen pro zpracování utajované informace stupně utajení Přísně tajné. U správce informačního systému, který vykonává funkci administrátora s právy úplného řízení systému, a u bezpečnostního správce celého informačního systému malého rozsahu nebo s nízkým podílem zpracování utajovaných informací nejvyššího stupně utajení, pro jejichž zpracování je informační systém určen, nebo v nichž nedochází ke kumulaci utajovaných informací nebo v nichž se zpracovává pouze taktická utajovaná informace, může Úřad, se zvážením identifikovaných rizik, uznat jako dostačující splnění podmínek pro přístup fyzické osoby k utajované informaci na úrovni shodné s nejvyšším stupněm utajení utajovaných informací, se kterými může informační systém nakládat. (4) Správce informačního systému, který vykonává funkci administrátora s omezenými právy řízení systému, zejména správu serverů, správu aplikace nebo lokální správu a bezpečnostní správce informačního systému zajišťující dílčí oblast bezpečnosti, zejména určitou bezpečnostní technologii nebo lokální správu, musí splňovat podmínky pro přístup fyzické osoby k utajované informaci stupně utajení shodného s nejvyšším stupněm utajení utajovaných informací, se kterými může informační systém nakládat. (5) V případě, že odpovědná osoba nebo jí pověřená osoba schválí informační systém do provozu pro nakládání s utajovanou informací do stupně utajení nižšího, nežli je stupeň utajení utajovaných informací, se kterými může informační systém nakládat, je pro stanovení nutné úrovně podmínek pro přístup fyzické osoby k utajované informaci, určující stupeň utajení utajovaných informací, pro který je informační systém schválen do provozu.“. Dosavadní odstavce 3 a 4 se označují jako odstavce 6 a 7. 20. V § 17 se doplňuje odstavec 3, který včetně poznámky pod čarou č. 6 zní: „(3) Vyžaduje-li to činnost, pro kterou je informační systém zřízen, je v informačním systému zajišťována nepopiratelnost stanovených jednání či událostí. V případě, že je v informačním systému požadována funkcionalita spisové služby v elektronické podobě6), musí být software, kterým je realizována, hodnocen během certifikace informačního systému. 6) Zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů.“. 21. V § 20 se doplňují odstavce 5 a 6, které znějí: „(5) Minimální míra zabezpečení zabezpečené oblasti pro umístění části informačního systému, v níž mohou být ukládány utajované informace, se určuje v souladu s tabulkami bodových hodnot nejnižší míry zabezpečení fyzické bezpečnosti uvedenými v příloze č. 1 vyhlášky č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci technických prostředků, ve znění pozdějších předpisů. (6) Bodové ohodnocení fyzické bezpečnosti informačního systému je uvedeno v příloze č. 3 k této vyhlášce.“. 22. V § 23 se za odstavec 2 vkládá nový odstavec 3, který zní: „(3) V provozovaném informačním systému je ověřována pravost informací, které vstupují do informačního systému.“. Dosavadní odstavce 3 až 10 se označují jako odstavce 4 až 11. 23. V § 23 se za odstavec 8 vkládá nový odstavec 9, který zní: „(9) V zabezpečené oblasti, v níž jsou umístěny komponenty informačního systému pro nakládání s utajovanou informací stupně utajení Tajné nebo Přísně tajné, se na žádost orgánu státu nebo podnikatele provádí kontrola ke zjištění nedovoleného použití technických prostředků určených k získávání informací. Tato kontrola se provede před prvním zpracováním utajované informace a dále opakovaně zpravidla v intervalu dvou let.“. Dosavadní odstavce 9 až 11 se označují jako odstavce 10 až 12. 24. V § 24 odst. 1 písm. a) bodech 1 a 2 se za slova „identifikační číslo“ vkládají slova „, bylo-li přiděleno“. 25. V § 24 odst. 1 písm. a) bodě 2 se slova „trvalým pobytem“ nahrazují slovy „místem trvalého pobytu nebo u cizince místem obdobného pobytu“. 26. V § 24 odst. 1 se na konci textu písmene f) doplňují slova „nebo kopii platného prohlášení podnikatele“. 27. V § 27 se vkládá nový odstavec 1, který zní: „(1) Projekt bezpečnosti komunikačního systému obsahuje tyto náležitosti a) bezpečnostní politiku komunikačního systému, b) organizační a provozní postupy provozování komunikačního systému, c) provozní směrnice pro bezpečnostní správu komunikačního systému a d) provozní směrnice uživatele komunikačního systému.“. Dosavadní odstavce 1 až 4 se označují jako odstavce 2 až 5. 28. V § 28 odst. 2 písm. c), § 33 odst. 1 písm. c), § 37 písm. b) se slova „pro seznamování se s utajovanými informacemi“ nahrazují slovy „nebo kopii platného prohlášení podnikatele“. 29. V § 28 odst. 2 se na konci textu písmene f) doplňují slova „nebo kopii platného prohlášení podnikatele“. 30. V § 28 odst. 3 se slova „27 odst. 2“ nahrazují slovy „27 odst. 3“. 31. V § 29 odst. 1 se slova „27 odst. 2“ nahrazují slovy „27 odst. 3“, slova „27 odst. 3“ se nahrazují slovy „27 odst. 4“ a slova „27 odst. 4“ se nahrazují slovy „27 odst. 5“. 32. V nadpisu části čtvrté se slovo „ELEKTROMAGNETICKÉ“ zrušuje. 33. V části čtvrté se na začátek hlavy I vkládá nový § 29a, který zní: