§ 25 Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) – Bezpečnostní požadavky na testování a prověřování
Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) · 479/2024 Sb. · § 25 · Ostatní právní předpisy
Stručně: Paragraf 25 vyhlášky 479/2024 stanovuje, že provozovatel systému musí testováním ověřovat soulad bezpečnostních opatření s bezpečnostní dokumentací a průběžně prověřovat jejich soulad s právními a vnitřními předpisy a smluvními závazky.
§ 25 Bezpečnostní požadavky na testování a prověřování
(1) Soulad bezpečnostních opatření s bezpečnostní dokumentací ověřuje provozovatel systému testováním. K provedení testování nelze používat utajované informace.
(2) Soulad bezpečnostních opatření s právními předpisy, vnitřními předpisy a dotčenými smluvními závazky a dodržování bezpečnostních opatření provozovatel systému průběžně prověřuje, u informačního systému nejpozději bezprostředně před podáním opakované žádosti o certifikaci podle § 48.
(3) Podmínky provádění testování, podmínky prověřování podle odstavce 2 a jejich výsledky jsou součástí dokumentace k bezpečnostním testům.
Výklad
Stručně
Paragraf 25 vyhlášky 479/2024 stanovuje, že provozovatel systému musí testováním ověřovat soulad bezpečnostních opatření s bezpečnostní dokumentací a průběžně prověřovat jejich soulad s právními a vnitřními předpisy a smluvními závazky.
Co to znamená v praxi
Provozovatel musí pravidelně testovat, zda bezpečnostní opatření skutečně odpovídají tomu, co je popsáno v bezpečnostní dokumentaci.
Při testování je zakázáno používat utajované informace, což znamená, že testovací data musí být buď fiktivní, nebo jinak anonymizovaná.
Kromě testování je nutné průběžně prověřovat, zda bezpečnostní opatření splňují požadavky zákonů, interních pravidel a smluv, a zda jsou tato opatření dodržována.
Výsledky testování a prověřování, stejně jako podmínky jejich provádění, musí být zaznamenány v dokumentaci k bezpečnostním testům.
Na co si dát pozor
U informačního systému je nutné provést prověření nejpozději bezprostředně před podáním opakované žádosti o certifikaci podle § 48.
Je klíčové zajistit, aby testování neohrozilo utajované informace, protože jejich použití je výslovně zakázáno.
Zdroj: e-Sbírka / justice.cz (oficiální data). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.