Vyhláška Národního bezpečnostního úřadu o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu

§ 1

Předmět úpravy

Tato vyhláška stanoví požadavky na bezpečnost informačních systémů nakládajících s utajovanými skutečnostmi (dále jen „informační systém“), minimální požadavky v oblasti počítačové bezpečnosti, jakož i postupy a způsoby certifikačního procesu informačních systémů a náležitosti certifikátu.

§ 2

Vymezení pojmů

Pro účely této vyhlášky se rozumí:

• a) aktivem informačního systému hardware, software, informace klasifikované stupněm utajení utajované skutečnosti (dále jen „utajovaná informace“), které jsou uloženy v informačním systému, a dokumentace informačního systému,

• b) objektem informačního systému (dále jen „objekt“) pasivní prvek informačního systému, který obsahuje nebo přijímá informaci,

• c) subjektem informačního systému (dále jen „subjekt“) aktivní prvek informačního systému, který způsobuje předání informace mezi objekty nebo změnu stavu systému,

• d) analýzou rizik proces, během něhož jsou zjišťována aktiva informačního systému, hrozby působící na aktiva informačního systému, jeho zranitelná místa, pravděpodobnost realizace hrozeb a odhad jejich následků,

• e) auditním záznamem záznam o událostech, které mohou ovlivnit bezpečnost informačního systému,

• f) autentizací subjektu proces ověření jeho identity splňující požadovanou míru záruky,

• g) autorizací subjektu udělení určitých práv pro vykonávání určených aktivit,

• h) bezpečnostním mechanismem realizace bezpečnostní funkce,

• i) bezpečnostním provozním módem prostředí, ve kterém informační systém pracuje, charakterizované stupněm utajení zpracovávané utajované informace a úrovněmi oprávnění uživatelů,

• j) důvěrností utajované informace její vlastnost, která znemožňuje odhalení utajované informace neoprávněnému subjektu,

• k) fyzickou bezpečností informačního systému opatření použitá k zajištění fyzické ochrany aktiv informačního systému proti náhodným nebo úmyslným hrozbám,

• l) integritou aktiva informačního systému vlastnost, která umožňuje provedení jeho změny určeným způsobem a pouze oprávněným subjektem,

• m) komunikační bezpečností opatření použitá k zajištění ochrany utajované informace při přenosu telekomunikačními kanály,

• n) počítačovou bezpečností bezpečnost informačního systému zajišťovaná jeho technickými a programovými prostředky,

• o) povinným řízením přístupu prostředky pro omezení přístupu subjektů k objektům, založené na porovnání stupně utajení utajované informace obsažené v objektu a úrovně oprávnění subjektu pro přístup k utajované informaci a zajišťující správný tok informací mezi objekty s různými stupni utajení, nezávisle na volbě učiněné uživatelem,

• p) rizikem pro informační systém pravděpodobnost, že určitá hrozba využije zranitelných míst informačního systému,

• r) rolí souhrn určených činností a potřebných autorizací pro uživatele v informačním systému,

• s) řízením přístupu prostředky pro omezení přístupu subjektů k objektům, zajišťující, že přístup k nim získá jen autorizovaný uživatel nebo proces,

• t) volitelným řízením přístupu prostředky omezení přístupu subjektů k objektům, založené na kontrole přístupových práv subjektu k objektu, přičemž uživatel vybavený určitými přístupovými právy pro přístup k objektu může zvolit, na které další subjekty přenese přístupová práva k tomuto objektu, a může tak ovlivňovat tok informace mezi objekty.

Požadavky na bezpečnost informačních systémů

§ 3

Bezpečnost informačních systémů

(1) Bezpečnost informačního systému tvoří systém opatření z oblasti:

• a) počítačové a komunikační bezpečnosti,

• b) administrativní bezpečnosti a organizačních opatření,

• c) personální bezpečnosti,

• d) fyzické bezpečnosti informačního systému.

(2) Systém opatření uvedený v odstavci 1 je specifikován v bezpečnostní dokumentaci informačního systému.

§ 4

Bezpečnostní dokumentace informačního systému

(1) Bezpečnostní dokumentaci informačního systému tvoří:

• a) projektová bezpečnostní dokumentace informačního systému,

• b) provozní bezpečnostní dokumentace informačního systému.

(2) Projektová bezpečnostní dokumentace informačního systému musí obsahovat:

• a) bezpečnostní politiku informačního systému a vyhodnocení analýzy rizik,

• b) návrh bezpečnostních opatření pro jednotlivé fáze návrhu informačního systému,

• c) dokumentaci k testům bezpečnosti informačního systému.

(3) Provozní bezpečnostní dokumentace informačního systému musí obsahovat:

• a) bezpečnostní směrnici informačního systému, která popisuje činnost bezpečnostního správce v příslušném informačním systému,

• b) bezpečnostní směrnice pro jednotlivé typy uživatelů informačního systému.

(4) Bezpečnostní dokumentace uvedená v odstavci 2 a odstavci 3 písm. a) se klasifikuje a označuje stupněm utajení shodným s nejvyšším stupněm utajení utajované informace, se kterou informační systém nakládá.

§ 5

Požadavky na přístup k utajované informaci v informačním systému

(1) Přístup k utajované informaci v informačním systému lze umožnit pouze určené osobě, která byla pro tento přístup autorizována. Autorizace je založena na jedinečném identifikátoru uživatele v rámci informačního systému.

(2) Přístup k utajované informaci v informačním systému může být umožněn jen pro ty osoby, které tento přístup nezbytně nutně potřebují k výkonu své činnosti. Těmto osobám se udělí oprávnění pouze v rozsahu nezbytném pro provádění jim určených aktivit v informačním systému.

§ 6

Požadavek odpovědnosti za činnost v informačním systému

(1) Uživatelé informačního systému odpovídají za dodržování jim stanovených povinností, kterými je zajišťována bezpečnost informačního systému. Tyto povinnosti jsou stanoveny v provozní bezpečnostní dokumentaci informačního systému, včetně stanovení odpovědnosti za ochranu jednotlivých aktiv informačního systému.

(2) V informačním systému se zavádí role bezpečnostního správce informačního systému odděleně od role správce informačního systému.

(3) Role bezpečnostního správce informačního systému obsahuje výkon správy bezpečnosti informačního systému, spočívající zejména v přidělování přístupových práv, správě autentizačních a autorizačních informací, vyhodnocování auditních záznamů, aktualizaci bezpečnostních směrnic, vypracování zprávy o bezpečnostním incidentu a dalších činnostech stanovených v provozní bezpečnostní dokumentaci informačního systému.

(4) Informace o činnosti subjektu v informačním systému se zaznamenává tak, aby narušení bezpečnosti informačního systému nebo pokusy o ně bylo možno přiřadit konkrétnímu uživateli v každé jeho roli v informačním systému. Záznamy se uchovávají po dobu stanovenou v bezpečnostní politice informačního systému.

§ 7

Požadavek označení stupně utajení informace

Utajovaná informace, která vystupuje v jakékoliv podobě z informačního systému, musí být označena odpovídajícím stupněm utajení tak, aby při jakémkoliv dalším nakládání s touto informací bylo zaručeno dodržování stanoveného stupně utajení.

§ 8

Bezpečnostní politika informačního systému

(1) Pro každý informační systém musí být již v počáteční fázi jeho vývoje zpracována bezpečnostní politika informačního systému. Bezpečnostní politiku informačního systému tvoří soubor norem, pravidel a postupů, který vymezuje způsob, jakým má být zajištěna důvěrnost, integrita a dostupnost utajované informace a odpovědnost uživatele za jeho činnost v informačním systému. Zásady bezpečnostní politiky jsou rozpracovány v projektové a provozní bezpečnostní dokumentaci informačního systému.

(2) Bezpečnostní politika informačního systému musí být zpracována v souladu s právními předpisy a mezinárodními smlouvami, kterými je Česká republika vázána, a s bezpečnostní politikou nadřízeného orgánu, pokud byla zpracována.

(3) Při formulaci bezpečnostní politiky informačního systému a posuzování bezpečnostních vlastností komponentů informačního systému lze využít též mezinárodních standardizovaných bezpečnostních specifikací.^1)

§ 9

Požadavky na formulaci bezpečnostní politiky informačního systému

Bezpečnostní politika informačního systému se formuluje na základě:

• a) minimálních bezpečnostních požadavků v oblasti počítačové bezpečnosti,

• b) systémově závislých bezpečnostních požadavků, požadavků uživatele a výsledků analýzy rizik,

• c) bezpečnostních požadavků bezpečnostní politiky nadřízeného orgánu, pokud byla zpracována.

§ 10

Minimální bezpečnostní požadavky v oblasti počítačové bezpečnosti

(1) Informační systém nakládající s utajovanými informacemi stupně utajení „Důvěrné“ nebo vyššího musí obsahovat tyto minimální bezpečnostní funkce:

• a) jednoznačnou identifikaci a autentizaci uživatele, které musí předcházet všem dalším aktivitám uživatelů v informačním systému a musí zajistit ochranu důvěrnosti a integrity autentizační informace,

• b) volitelné řízení přístupu k objektům na základě rozlišování a správy přístupových práv uživatele a identity uživatele nebo jeho členství ve skupině uživatelů,

• c) nepřetržité zaznamenávání událostí, které mohou ovlivnit bezpečnost informačního systému, do auditních záznamů a zabezpečení auditních záznamů před neautorizovaným přístupem, zejména modifikací nebo zničením. Zaznamenává se zejména použití identifikačních a autentizačních informací, pokusy o zkoumání přístupových práv, vytváření nebo rušení objektu nebo činnost autorizovaných uživatelů ovlivňující bezpečnost informačního systému,

• d) možnost zkoumání auditních záznamů a stanovení odpovědnosti jednotlivého uživatele informačního systému,

• e) ošetření paměťových objektů před jejich dalším použitím, zejména před přidělením jinému subjektu, které znemožní zjistit jejich předchozí obsah,

• f) ochranu důvěrnosti dat během přenosu sítěmi s tím, že utajovaná informace musí být v procesu přenosu mezi zdrojem a cílem chráněna náležitým způsobem.

(2) K zajištění minimálních bezpečnostních funkcí uvedených v odstavci 1 jsou v informačním systému realizovány identifikovatelné programově technické mechanismy. Jejich provedení a operační nastavení je zdokumentováno tak, aby bylo možno nezávisle prověřit a zhodnotit jejich dostatečnost.

(3) Bezpečnostní mechanismy uplatňující bezpečnostní politiku informačního systému musí být v celém životním cyklu informačního systému chráněny před narušením nebo neautorizovanými změnami.

(4) V informačním systému, který nakládá pouze s utajovanými informacemi stupně utajení „Vyhrazené“, musí být zajištěna odpovědnost uživatele za jeho činnost v informačním systému a přístup k utajované informaci lze umožnit na základě zásady potřeby přistupovat k informaci. K tomu se přiměřeným způsobem využívají bezpečnostní funkce uvedené v odstavci 1 a dále opatření z oblasti personální a administrativní bezpečnosti a fyzické bezpečnosti informačních systémů.

§ 11

Systémově závislé bezpečnostní požadavky odvozené z bezpečnostního provozního módu

(1) Informační systémy se mohou provozovat pouze v některém z uvedených bezpečnostních provozních módů:

• a) bezpečnostní provozní mód vyhrazený,

• b) bezpečnostní provozní mód s nejvyšší úrovní,

• c) bezpečnostní provozní mód víceúrovňový.

(2) Bezpečnostní provozní mód vyhrazený je takové prostředí, ve kterém je informační systém určen výhradně pro zpracování jednoho specializovaného druhu utajované informace, přičemž všichni uživatelé musí být určeni pro přístup k utajovaným informacím nejvyššího stupně utajení, které jsou v informačním systému obsaženy, a zároveň musí být oprávněni pracovat se všemi utajovanými informacemi, které jsou v informačním systému obsaženy. Bezpečnost informačního systému, který je provozován v bezpečnostním provozním módu vyhrazeném, se zabezpečuje splněním minimálních bezpečnostních požadavků v oblasti počítačové bezpečnosti uvedených v § 10 odst. 1 písm. a), c), d) a f), jakož i opatřeními z oblasti administrativní a personální bezpečnosti a fyzické bezpečnosti informačních systémů. Úroveň použitých opatření z uvedených oblastí a opatření k zajištění důvěrnosti dat během přenosu musí odpovídat úrovni požadované pro nejvyšší stupeň utajení utajovaných informací, se kterými informační systém nakládá.

(3) Bezpečnostní provozní mód s nejvyšší úrovní je takové prostředí, které umožňuje současné zpracování utajovaných informací klasifikovaných různými stupni utajení, ve kterém všichni uživatelé musí být určeni pro přístup k utajovaným informacím nejvyššího stupně utajení, které jsou v informačním systému obsaženy, přičemž všichni uživatelé nemusí být oprávněni pracovat se všemi utajovanými informacemi. Bezpečnost informačního systému, který je provozován v bezpečnostním provozním módu s nejvyšší úrovní, se zabezpečuje splněním minimálních bezpečnostních požadavků v oblasti počítačové bezpečnosti uvedených v § 10, jakož i opatřeními z oblasti administrativní a personální bezpečnosti a fyzické bezpečnosti informačních systémů. Úroveň použitých opatření z uvedených oblastí a opatření k zajištění důvěrnosti dat během přenosu musí odpovídat úrovni požadované pro nejvyšší stupeň utajení utajovaných informací, se kterými informační systém nakládá.

(4) Bezpečnostní provozní mód víceúrovňový je takové prostředí, které umožňuje v jednom informačním systému současné zpracování utajovaných informací klasifikovaných různými stupni utajení, ve kterém nejsou všichni uživatelé určeni pro práci s utajovanými informacemi nejvyššího stupně utajení, které jsou v informačním systému obsaženy, přičemž všichni uživatelé nemusí být oprávněni pracovat se všemi utajovanými informacemi. Bezpečnost informačního systému, který je provozován v bezpečnostním provozním módu víceúrovňovém, se zabezpečuje opatřeními uvedenými v odstavci 3 a bezpečnostní funkcí povinného řízení přístupu subjektů k objektům. Úroveň použitých opatření z oblasti administrativní a personální bezpečnosti, fyzické bezpečnosti informačních systémů a opatření k zajištění důvěrnosti dat během přenosu se stanoví na základě principu povinného řízení přístupu.

(5) Funkce povinného řízení přístupu subjektů k objektům musí zabezpečit:

• a) trvalé spojení každého subjektu a objektu s bezpečnostním atributem, který pro subjekt vyjadřuje úroveň oprávnění subjektu a pro objekt jeho stupeň utajení,

• b) ochranu integrity bezpečnostního atributu,

• c) výlučné oprávnění bezpečnostního správce informačního systému k provádění změn bezpečnostních atributů subjektů i objektů,

• d) přidělení předem definovaných hodnot atributů pro nově vytvořené objekty a zachování atributu při kopírování objektu.

(6) Při uplatňování bezpečnostní funkce povinného řízení přístupu subjektů k objektům musí být zabezpečeny tyto zásady:

• a) subjekt může číst informace v objektu pouze tehdy, je-li úroveň jeho oprávnění stejná nebo vyšší než stupeň utajení objektu,

• b) subjekt může zapisovat informaci do objektu pouze tehdy, je-li úroveň jeho oprávnění stejná nebo nižší než stupeň utajení objektu,

• c) přístup subjektu k informaci obsažené v objektu je možný, jestliže jej povolují jak pravidla povinného řízení přístupu, tak pravidla volitelného řízení přístupu.

(7) Informační systém, který je provozován v bezpečnostním provozním módu víceúrovňovém, musí být schopen přesně označit stupněm utajení utajované informace vystupující z informačního systému a umožnit přiřadit stupeň utajení utajované informaci vstupující do informačního systému.

(8) U informačního systému, který je provozován v bezpečnostním provozním módu víceúrovňovém a nakládá s utajovanou informací klasifikovanou stupněm utajení „Přísně tajné“, musí být provedena identifikace a analýza skrytých kanálů. Skrytým kanálem se rozumí nepřípustná komunikace, jíž se utajovaná informace dostala k neoprávněnému subjektu.

§ 12

Systémově závislé bezpečnostní požadavky na bezpečnost v prostředí počítačových sítí

(1) Při přenosu utajované informace komunikačním kanálem musí být zajištěna ochrana její důvěrnosti a integrity.

(2) Základním prostředkem pro zajištění důvěrnosti utajované informace při jejím přenosu komunikačním kanálem je kryptografická ochrana.

(3) Základním prostředkem pro zajištění integrity utajované informace při jejím přenosu komunikačním kanálem je spolehlivá detekce záměrné i náhodné změny utajované informace.

(4) V závislosti na komunikačním prostředí se zajišťuje spolehlivá identifikace a autentizace komunikujících stran, včetně ochrany identifikační a autentizační informace. Tato identifikace a autentizace předchází přenosu utajované informace.

(5) Připojení sítě, která je pod kontrolou správy informačního systému, k síti vnější, která není pod kontrolou správy informačního systému, musí být zabezpečeno vhodným bezpečnostním rozhraním tak, aby bylo zamezeno průniku do informačního systému.

§ 13

Požadavky na dostupnost utajované informace a služeb informačního systému

(1) Informační systém musí zajistit, aby požadovaná utajovaná informace byla přístupná ve stanoveném místě, v požadované formě a v určeném časovém rozmezí.

(2) V zájmu zajištění bezpečného provozu informačního systému se v bezpečnostní politice informačního systému stanoví komponenty, které musí být nahraditelné bez přerušení činnosti informačního systému. Dále se definuje rozsah požadované minimální funkčnosti informačního systému a uvedou se komponenty, při jejichž selhání musí být minimální funkčnost informačního systému zaručena.

(3) Plánování kapacit aktiv informačního systému a sledování kapacitních požadavků se provádí tak, aby nedocházelo k chybám způsobeným jejich nedostatkem.

(4) Musí být zpracován plán na obnovení činnosti po havárii informačního systému. Opětovné uvedení informačního systému do známého zabezpečeného stavu může být provedeno manuálně správcem informačního systému nebo automaticky. Všechny činnosti, které byly provedeny pro obnovení činnosti informačního systému, se zpravidla zaznamenávají do auditních záznamů chráněných před neoprávněnou modifikací nebo zničením.

§ 14

Systémově závislé bezpečnostní požadavky odvozené z analýzy rizik

(1) Pro stanovení hrozeb, které ohrožují aktiva informačního systému, musí být provedena analýza rizik.

(2) V rámci provedení analýzy rizik se definují aktiva informačního systému a stanovují se hrozby, které působí na jednotlivá aktiva informačního systému. Posuzují se zejména ohrožení, která způsobují ztrátu funkčnosti nebo zabezpečenosti informačního systému.

(3) Po stanovení hrozeb se určují zranitelná místa informačního systému tak, že ke každé hrozbě se najde zranitelné místo nebo místa, na která tato hrozba působí.

(4) Výsledkem provedené analýzy rizik je seznam hrozeb, které mohou ohrozit informační systém, s uvedením odpovídajícího rizika.

(5) Na základě provedené analýzy rizik se provádí výběr vhodných protiopatření.

§ 15

Možnost nahrazení prostředků počítačové bezpečnosti