§ 21 Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) – Bezpečnostní požadavky na fyzickou bezpečnost
Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) · 479/2024 Sb. · § 21 · Ostatní právní předpisy
Stručně: Paragraf 21 stanovuje, že aktiva informačního systému, která nakládají s utajovanými informacemi, musí být fyzicky chráněna před hrozbami, poškozením a neoprávněným přístupem, a to včetně ochrany před odezíráním a odposlechem.
§ 21 Bezpečnostní požadavky na fyzickou bezpečnost
(1) Aktiva systému musí být chráněna před bezpečnostními hrozbami a riziky vyplývajícími z prostředí, ve kterém jsou umístěna.
(2) Aktiva systému musí být umístěna do prostoru, ve kterém je zajištěna fyzická ochrana před neoprávněným přístupem a poškozením a ovlivněním aktiv systému. Na základě analýzy rizik se stanovuje, která aktiva systému musí být umístěna v zabezpečené oblasti nebo objektu a požadovaná kategorie zabezpečené oblasti nebo objektu.
(3) Způsob umístění aktiv systému stanoví popis bezpečnosti systému.
(4) Umístění aktiv systému musí být provedeno tak, aby zamezovalo neoprávněné osobě odezírat nebo odposlouchávat utajované informace nebo informace sloužící k identifikaci a autentizaci uživatele.
Výklad
Stručně
Paragraf 21 stanovuje, že aktiva informačního systému, která nakládají s utajovanými informacemi, musí být fyzicky chráněna před hrozbami, poškozením a neoprávněným přístupem, a to včetně ochrany před odezíráním a odposlechem.
Co to znamená v praxi
Musí být zajištěna fyzická ochrana aktiv systému (např. serverů, počítačů) před poškozením nebo neoprávněným zásahem.
Na základě analýzy rizik se určí, která aktiva potřebují být umístěna v zabezpečené oblasti nebo objektu a jaká kategorie zabezpečení je pro ně nutná.
Způsob, jakým jsou aktiva umístěna, musí být popsán v bezpečnostní dokumentaci systému.
Umístění aktiv musí zabránit tomu, aby nepovolané osoby mohly vizuálně nebo akusticky získat utajované informace nebo údaje pro přihlášení uživatele.
Na co si dát pozor
Je nutné provést analýzu rizik pro určení potřeby a kategorie zabezpečené oblasti.
Popis bezpečnosti systému musí detailně stanovit způsob umístění aktiv.
Při umisťování aktiv je třeba myslet na ochranu proti vizuálnímu a akustickému úniku informací.
Zdroj: e-Sbírka / justice.cz (oficiální data). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.