479/2024 Sb.Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti)
| Částka: | 479 | Druh předpisu: | Vyhláška |
| Rozeslána dne: | 27. prosince 2024 | Autor předpisu: | |
| Přijato: | 19. prosince 2024 | Nabývá účinnosti: | 1. ledna 2025 |
| Platnost předpisu: | Ano | Pozbývá platnosti: | |
Text předpisu s celou hlavičkou je dostupný pouze pro registrované uživatele.
VYHLÁŠKA
ze dne 19. prosince 2024
o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti)
Národní úřad pro kybernetickou a informační bezpečnost stanoví podle § 34 odst. 7, § 35 odst. 6, § 36 odst. 4 a § 53 písm. b) až d) a f) zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění zákona č. 255/2011, zákona č. 205/2017 Sb. a zákona č. 267/2024 Sb., (dále jen „zákon“):
(1) Tato vyhláška upravuje v návaznosti na předpisy Evropské unie1)
a) požadavky na informační systém nakládající s utajovanými informacemi (dále jen „informační systém“) a podmínky jeho bezpečného provozování v závislosti na stupni utajení utajovaných informací, s nimiž nakládá, a na bezpečnostním provozním módu,
b) obsah bezpečnostní dokumentace informačního systému,
c) náležitosti oznámení provozovatele certifikovaného informačního systému o zavedení dalších nutných bezpečnostních funkcí nebo opatření podle § 34 odst. 7 písm. c) zákona,
d) obsah žádosti o schválení projektu bezpečnosti komunikačního systému nakládajícího s utajovanými informacemi (dále jen „komunikační systém“),
e) náležitosti projektu bezpečnosti komunikačního systému (dále jen „projekt bezpečnosti“) a způsob a podmínky jeho schvalování podle § 35 odst. 6 zákona,
| ČÁST PRVNÍ - | ÚVODNÍ USTANOVENÍ |
| § 1 - | Předmět úpravy |
| § 2 - | Vymezení pojmů |
| ČÁST DRUHÁ - | INFORMAČNÍ BEZPEČNOST |
| § 3 - | Bezpečnostní požadavky |
| § 4 - | Bezpečnostní požadavky v oblasti počítačové bezpečnosti |
| § 5 | |
| § 6 - | Systémově závislé bezpečnostní požadavky na informační systém odvozené z bezpečnostního provozního módu |
| § 7 | |
| § 8 - | Bezpečnostní požadavky v oblasti komunikační bezpečnosti |
| § 9 - | Bezpečnostní požadavky na bezpečné propojení informačních nebo komunikačních systémů |
| § 10 | |
| § 11 - | Bezpečnostní požadavky na řízení kapacit a kontinuity |
| § 12 - | Bezpečnostní požadavky na ochranu rozmístitelných nebo mobilních zařízení |
| § 13 - | Bezpečnostní požadavky na bezpečnost nosičů informací |
| § 14 | |
| § 15 | |
| § 16 - | Bezpečnostní požadavky na přístup uživatele k utajované informaci v systému |
| § 17 | |
| § 18 - | Bezpečnostní požadavky na bezpečnostní a provozní správu |
| § 19 - | Bezpečnostní požadavky personální bezpečnosti při provozu systému |
| § 20 - | Bezpečnostní požadavky na činnost subjektu systému |
| § 21 - | Bezpečnostní požadavky na fyzickou bezpečnost |
| § 22 | |
| § 23 - | Bezpečnostní požadavky na administrativní bezpečnost v informačním systému |
| § 24 - | Bezpečnostní požadavky na informační systém s distribuční službou |
| § 25 - | Bezpečnostní požadavky na testování a prověřování |
| § 26 - | Bezpečnostní požadavky na bezpečnost vývoje a instalace |
| § 27 - | Bezpečnostní požadavky na bezpečnost provozu |
| § 28 | |
| § 29 | |
| § 30 | |
| § 31 | |
| § 32 | |
| § 33 - | Bezpečnostní požadavky na softwarové vybavení |
| § 34 - | Zvláštní bezpečnostní požadavky na softwarové vybavení informačního systému |
| § 35 - | Bezpečnostní požadavky při nově identifikovaných hrozbách a zvýšení rizik |
| ČÁST TŘETÍ - | OBSAH DOKUMENTACE |
| § 36 | |
| § 37 - | Bezpečnostní politika |
| § 38 - | Analýza rizik |
| § 39 - | Popis bezpečnosti systému |
| § 40 - | Dokumentace k bezpečnostním testům |
| § 41 - | Provozní bezpečnostní směrnice |
| § 42 - | Evidence aktiv |
| § 43 - | Evidence uživatelů |
| § 44 - | Provozní deník |
| ČÁST ČTVRTÁ - | CERTIFIKACE A AKREDITACE INFORMAČNÍHO SYSTÉMU A SCHVALOVÁNÍ PROJEKTU BEZPEČNOSTI |
| HLAVA I - | Informační systém |
| Díl 1 - | Certifikace informačního systému |
| § 45 - | Žádost o certifikaci informačního systému |
| § 46 - | Způsob a podmínky provádění certifikace informačního systému |
| § 47 - | Certifikační zpráva |
| § 48 - | Opakovaná žádost o certifikaci informačního systému |
| Díl 2 - | Smlouva o zajištění činnosti |
| § 49 | |
| Díl 3 - | Akreditace informačního systému |
| § 50 | |
| Díl 4 - | Podmínky bezpečného provozování informačního systému |
| § 51 | |
| HLAVA II - | Komunikační systém |
| § 52 - | Náležitosti projektu bezpečnosti |
| § 53 - | Žádost o schválení projektu bezpečnosti |
| § 54 - | Způsob a podmínky schvalování projektu bezpečnosti |
| HLAVA III - | Posuzování modulů |
| § 55 | |
| ČÁST PÁTÁ - | SAMOSTATNÁ ELEKTRONICKÁ ZAŘÍZENÍ |
| § 56 - | Podmínky bezpečného provozování samostatného elektronického zařízení |
| § 57 | |
| ČÁST ŠESTÁ - | PŘECHODNÁ A ZÁVĚREČNÁ USTANOVENÍ |
| § 58 - | Přechodná ustanovení |
| § 59 - | Zrušovací ustanovení |
| ČÁST SEDMÁ - | ÚČINNOST |
| § 60 | |
| Příloha č. 1 - | Fyzická bezpečnost |
| Příloha č. 2 - | Vzor certifikátu NÁRODNÍ ÚŘAD PRO KYBERNETICKOU A INFORMAČNÍ BEZPEČNOST |