§ 27 Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) – Bezpečnostní požadavky na bezpečnost provozu

Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) · 479/2024 Sb. · § 27 · Ostatní právní předpisy

Stručně: Paragraf 27 vyhlášky 479/2024 stanovuje, jaké bezpečnostní požadavky musí být popsány a dodržovány pro bezpečný provoz systémů nakládajících s utajovanými informacemi, včetně pravidel pro uživatele, provozní postupy a řízení změn.

§ 27 Bezpečnostní požadavky na bezpečnost provozu (1) Pro bezpečný provoz systému jsou v popisu bezpečnosti systému stanovena a) práva a povinnosti uživatelů v jednotlivých rolích a b) provozní pravidla a postupy 1. pro uvedení systému do provozu, ukončení provozu a obnovení provozu po selhání, chybě nebo mimořádné události, 2. pro sledování a vyhodnocování auditních záznamů a pro ochranu přístupu k těmto auditním záznamům, 3. pro řešení a vyhodnocování detekovaných bezpečnostních událostí a 4. řízení a schvalování provozních změn. (2) Popis bezpečnosti systému obsahuje pravidla pro průběžné prověřování a vyhodnocování bezpečnosti provozu. (3) Provozovatel systému je povinen řídit veškeré změny v rámci provozu systému. V popisu bezpečnosti systému musí být uvedeny postupy a mechanismy, které příslušné změny umožňují.

Výklad

Stručně

Paragraf 27 vyhlášky 479/2024 stanovuje, jaké bezpečnostní požadavky musí být popsány a dodržovány pro bezpečný provoz systémů nakládajících s utajovanými informacemi, včetně pravidel pro uživatele, provozní postupy a řízení změn.

Co to znamená v praxi

Jasná pravidla pro uživatele: Každý uživatel systému musí mít přesně definovaná práva a povinnosti pro svou roli, aby bylo zřejmé, kdo za co odpovídá a co smí v systému dělat.
Standardizované provozní postupy: Musí existovat podrobné návody pro spouštění, ukončování a obnovu systému po problémech, stejně jako pro sledování bezpečnostních záznamů a řešení incidentů.
Řízení změn: Jakékoli změny v systému musí být řízeny a schvalovány podle předem stanovených postupů, aby se předešlo narušení bezpečnosti.
Průběžné prověřování bezpečnosti: Provozovatel systému je povinen pravidelně kontrolovat a vyhodnocovat, zda je provoz systému stále bezpečný.

Na co si dát pozor

Všechny uvedené požadavky musí být detailně popsány v tzv. "popisu bezpečnosti systému".
Nedodržení těchto pravidel může vést k ohrožení utajovaných informací a sankcím.
Je nutné mít zavedené mechanismy pro řízení a schvalování jakýchkoli provozních změn.

Zdroj: e-Sbírka / justice.cz (oficiální data). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.