§ 27 Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) – Bezpečnostní požadavky na bezpečnost provozu
Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) · 479/2024 Sb. · § 27 · Ostatní právní předpisy
Stručně: Paragraf 27 vyhlášky 479/2024 stanovuje, jaké bezpečnostní požadavky musí být popsány a dodržovány pro bezpečný provoz systémů nakládajících s utajovanými informacemi, včetně pravidel pro uživatele, provozní postupy a řízení změn.
§ 27 Bezpečnostní požadavky na bezpečnost provozu
(1) Pro bezpečný provoz systému jsou v popisu bezpečnosti systému stanovena
a) práva a povinnosti uživatelů v jednotlivých rolích a
b) provozní pravidla a postupy
1. pro uvedení systému do provozu, ukončení provozu a obnovení provozu po selhání, chybě nebo mimořádné události,
2. pro sledování a vyhodnocování auditních záznamů a pro ochranu přístupu k těmto auditním záznamům,
3. pro řešení a vyhodnocování detekovaných bezpečnostních událostí a
4. řízení a schvalování provozních změn.
(2) Popis bezpečnosti systému obsahuje pravidla pro průběžné prověřování a vyhodnocování bezpečnosti provozu.
(3) Provozovatel systému je povinen řídit veškeré změny v rámci provozu systému. V popisu bezpečnosti systému musí být uvedeny postupy a mechanismy, které příslušné změny umožňují.
Výklad
Stručně
Paragraf 27 vyhlášky 479/2024 stanovuje, jaké bezpečnostní požadavky musí být popsány a dodržovány pro bezpečný provoz systémů nakládajících s utajovanými informacemi, včetně pravidel pro uživatele, provozní postupy a řízení změn.
Co to znamená v praxi
Jasná pravidla pro uživatele: Každý uživatel systému musí mít přesně definovaná práva a povinnosti pro svou roli, aby bylo zřejmé, kdo za co odpovídá a co smí v systému dělat.
Standardizované provozní postupy: Musí existovat podrobné návody pro spouštění, ukončování a obnovu systému po problémech, stejně jako pro sledování bezpečnostních záznamů a řešení incidentů.
Řízení změn: Jakékoli změny v systému musí být řízeny a schvalovány podle předem stanovených postupů, aby se předešlo narušení bezpečnosti.
Průběžné prověřování bezpečnosti: Provozovatel systému je povinen pravidelně kontrolovat a vyhodnocovat, zda je provoz systému stále bezpečný.
Na co si dát pozor
Všechny uvedené požadavky musí být detailně popsány v tzv. "popisu bezpečnosti systému".
Nedodržení těchto pravidel může vést k ohrožení utajovaných informací a sankcím.
Je nutné mít zavedené mechanismy pro řízení a schvalování jakýchkoli provozních změn.
Zdroj: e-Sbírka / justice.cz (oficiální data). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.