§ 24 Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor – CERTIFIKACE INFORMAČNÍCH SYSTÉMŮ

§ 24 CERTIFIKACE INFORMAČNÍCH SYSTÉMŮ (1) Žádost o certifikaci informačního systému obsahuje a) identifikaci žadatele 1. obchodní firmou, popřípadě názvem, sídlem a identifikačním číslem, bylo-li přiděleno, je-li žadatelem právnická osoba, 2. obchodní firmou, popřípadě jménem a příjmením, případně odlišujícím dodatkem, místem trvalého pobytu nebo u cizince místem obdobného pobytu a místem podnikání, liší-li se od trvalého pobytu, datem narození a identifikačním číslem, bylo-li přiděleno, je-li žadatelem fyzická osoba, která je podnikatelem, nebo 3. názvem, sídlem, identifikačním číslem a jménem a příjmením odpovědné osoby, jde-li o orgán státu, b) jméno a příjmení kontaktního pracovníka žadatele a kontaktní spojení, c) stručný popis účelu a rozsahu informačního systému, d) stupeň utajení utajovaných informací, se kterými bude informační systém nakládat, e) stanovení bezpečnostního provozního módu informačního systému a f) identifikaci dodavatele informačního systému nebo jeho komponent ovlivňujících bezpečnost informačního systému, podle písmene a) bodu 1 nebo 2, a stupeň utajení, pro který bylo vydáno dodavateli osvědčení podnikatele nebo kopii platného prohlášení podnikatele. (2) K provedení certifikace informačního systému žadatel předloží následující podklady a) bezpečnostní politiku informačního systému a výsledky analýzy rizik, b) návrh bezpečnosti informačního systému, c) sadu testů bezpečnosti informačního systému, jejich popis a popis výsledků testování, d) bezpečnostní provozní dokumentaci informačního systému, e) popis bezpečnosti vývojového prostředí a f) další podklady nezbytné k certifikaci informačního systému, vyplývající ze specifikace informačního systému. (3) Žádá-li o provedení certifikace informačního systému zpravodajská služba, uvede v žádosti podle odstavce 1 a v podkladech podle odstavce 2 pouze nezbytné údaje, které umožní Úřadu provedení certifikace informačního systému. (4) Jako podklad pro certifikaci informačního systému může žadatel předložit také výsledky dílčích úloh v hodnocení některých komponent informačního systému a v hodnocení jednotlivých oblastí bezpečnosti uvedených v § 3 odst. 1, provedených orgánem státu nebo podnikatelem na základě smlouvy o zajištění činnosti uzavřené s Úřadem. (5) V rámci certifikace informačního systému se posuzuje vhodnost souboru opatření navržených pro dosažení bezpečnosti informačního systému podle § 3, správnost a úplnost bezpečnostní dokumentace informačního systému a správnost realizace navrženého souboru opatření v daném informačním systému. (6) Certifikace informačního systému se provádí posouzením podkladů předložených žadatelem a provedením dodatečných testů. Dodatečné testy provádí Úřad v provozním prostředí hodnoceného informačního systému za spoluúčasti žadatele a v případě potřeby dodavatele. (7) Certifikaci informačního systému lze provádět průběžně po ukončení jednotlivých fází výstavby informačního systému nebo až po jeho celkovém dokončení. (8) Dojde-li v informačním systému, který byl certifikován a schválen do provozu, ke změnám uvedeným v § 25 písm. d), provádí se doplňující hodnocení informačního systému v rozsahu potřebném k posouzení provedených změn. V případě provádění doplňujícího hodnocení informačního systému se postupuje obdobně jako při provádění certifikace informačního systému. (9) Vzor certifikátu informačního systému je uveden v příloze č. 1 této vyhlášky.