Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor

ČÁST PRVNÍ

ÚVODNÍ USTANOVENÍ

§ 1

Předmět úpravy

Touto vyhláškou se stanoví požadavky na informační systémy nakládající s utajovanými informacemi^1) (dále jen „informační systém“) a provádění jejich certifikace, na komunikační systémy nakládající s utajovanými informacemi^2) (dále jen „komunikační systém“) a schvalování jejich projektů bezpečnosti, ochranu utajovaných informací v kopírovacím zařízení, zobrazovacím zařízení a psacím stroji s pamětí, ochranu utajovaných informací před jejich únikem kompromitujícím elektromagnetickým vyzařováním a provádění certifikace stínicích komor.

§ 2

Vymezení pojmů

Pro účely této vyhlášky se rozumí

• a) aktivem informačního systému na základě analýzy rizik (§ 11) definovaný hardware, software, dokumentace informačního systému a utajované informace, které jsou v informačním systému uloženy,

• b) objektem informačního systému pasivní prvek informačního systému, který obsahuje nebo přijímá informaci,

• c) subjektem informačního systému aktivní prvek informačního systému, který způsobuje předání informace mezi objekty informačního systému nebo změnu stavu systému,

• d) analýzou rizik proces, během něhož jsou zjišťována aktiva informačního systému, hrozby působící na aktiva informačního systému, jeho zranitelná místa, pravděpodobnost realizace hrozeb a odhad jejich následků,

• e) auditním záznamem záznam informačního systému o události, která může ovlivnit bezpečnost informačního systému,

• f) identifikací subjektu informačního systému proces zjištění jeho identity v informačním systému,

• g) autentizací subjektu informačního systému proces ověření jeho identity v informačním systému, splňující požadovanou míru záruky,

• h) autorizací subjektu informačního systému udělení určitých práv pro vykonávání určených aktivit v informačním systému,

• i) důvěrností utajované informace její vlastnost, která znemožňuje odhalení utajované informace neoprávněné osobě,

• j) fyzickou bezpečností informačního systému nebo komunikačního systému opatření použitá k zajištění fyzické ochrany aktiv těchto systémů proti náhodným nebo úmyslným hrozbám,

• k) integritou aktiva informačního systému nebo komunikačního systému vlastnost, která umožňuje provedení jeho změny určeným způsobem a pouze oprávněným subjektem informačního systému,

• l) komunikační bezpečností opatření použitá k zajištění ochrany utajovaných informací při přenosu definovaným komunikačním prostředím,

• m) počítačovou bezpečností bezpečnost informačního systému zajišťovaná jeho technickými a programovými prostředky,

• n) povinným řízením přístupu prostředky pro omezení přístupu subjektů informačního systému k objektům informačního systému, založené na porovnání stupně utajení utajované informace obsažené v objektu informačního systému a úrovně oprávnění subjektu informačního systému pro přístup k utajované informaci a zajišťující správný tok informací mezi objekty informačního systému s různými stupni utajení, nezávisle na volbě učiněné uživatelem,

• o) rizikem pro informační systém nebo komunikační systém pravděpodobnost, že určitá hrozba využije zranitelných míst některého z těchto systémů,

• p) rolí souhrn určených činností a potřebných autorizací pro subjekt informačního systému působící v informačním systému nebo komunikačním systému,

• q) bezpečnostním správcem informačního systému nebo komunikačního systému pracovník správy informačního systému nebo komunikačního systému v roli vytvořené pro řízení a kontrolu bezpečnosti informačního systému nebo komunikačního systému a provádění stanovených činností pro zajištění bezpečnosti informačního systému nebo komunikačního systému,

• r) správcem informačního systému nebo komunikačního systému pracovník správy informačního systému nebo komunikačního systému v roli vytvořené zejména pro zajištění požadované funkčnosti informačního systému nebo komunikačního systému a řízení provozu informačního systému nebo komunikačního systému,

• s) uživatelem informačního systému nebo komunikačního systému fyzická osoba v roli vytvořené zejména pro nakládání s utajovanými informacemi v informačním systému nebo pro přenos utajovaných informací v komunikačním systému,

• t) řízením přístupu prostředky pro omezení přístupu subjektů informačního systému k objektům informačního systému, zajišťující, že přístup k nim získá jen autorizovaný subjekt informačního systému,

• u) volitelným řízením přístupu prostředky omezení přístupu subjektů informačního systému k objektům informačního systému, založené na kontrole přístupových práv subjektu informačního systému k objektu informačního systému, přičemž uživatel, správce nebo bezpečnostní správce informačního systému vybavený určitými přístupovými právy pro přístup k objektu informačního systému může zvolit, na které další subjekty informačního systému přenese přístupová práva k tomuto objektu informačního systému, a může tak ovlivňovat tok informace mezi objekty informačního systému,

• v) bezpečnostním standardem utajovaný soubor pravidel, ve kterém se stanoví postupy, technická řešení, bezpečnostní parametry a organizační opatření pro zajištění nejmenší možné míry ochrany utajovaných informací,

• w) bezpečnostním provozním módem prostředí, ve kterém informační systém pracuje, charakterizované stupněm utajení zpracovávané utajované informace a úrovněmi oprávnění uživatelů,

• x) žadatelem orgán státu nebo podnikatel, který písemně požádal Národní bezpečnostní úřad (dále jen „Úřad“) o certifikaci informačního systému, o certifikaci stínicí komory, o schválení projektu bezpečnosti komunikačního systému nebo o ověření způsobilosti elektrických a elektronických zařízení, zabezpečené oblasti nebo objektu k ochraně před únikem utajované informace kompromitujícím elektromagnetickým vyzařováním.

ČÁST DRUHÁ

INFORMAČNÍ SYSTÉM

HLAVA I

POŽADAVKY NA BEZPEČNOST INFORMAČNÍCH SYSTÉMŮ

§ 3

Bezpečnost informačních systémů

(1) Bezpečnosti informačního systému se dosahuje uplatněním souboru opatření z oblasti

• a) počítačové a komunikační bezpečnosti,

• b) kryptografické ochrany,

• c) ochrany proti úniku kompromitujícího elektromagnetického vyzařování,

• d) administrativní bezpečnosti a organizačních opatření,

• e) personální bezpečnosti a

• f) fyzické bezpečnosti informačního systému.

(2) Opatření přijatá v procesu certifikace informačního systému zajišťují, aby rizika, kterým je informační systém vystaven, byla snížena na přijatelnou úroveň.

(3) Soubor opatření uvedený v odstavci 1 je specifikován v bezpečnostní dokumentaci informačního systému.

§ 4

Bezpečnostní dokumentace informačního systému

(1) Bezpečnostní dokumentaci informačního systému tvoří

• a) projektová bezpečnostní dokumentace informačního systému a

• b) provozní bezpečnostní dokumentace informačního systému.

(2) Projektová bezpečnostní dokumentace informačního systému obsahuje

• a) bezpečnostní politiku informačního systému a výsledky analýzy rizik,

• b) návrh bezpečnosti informačního systému zajišťující splnění bezpečnostní politiky informačního systému, přičemž podrobnost jeho popisu musí umožnit přímou realizaci navrhovaných opatření, a

• c) dokumentaci k testům bezpečnosti informačního systému.

(3) Provozní bezpečnostní dokumentace informačního systému obsahuje

• a) bezpečnostní směrnice informačního systému, které předepisují činnost bezpečnostních správců informačního systému v jednotlivých rolích zavedených v informačním systému pro zajištění bezpečnostní správy informačního systému,

• b) bezpečnostní směrnice informačního systému, které předepisují činnost správců informačního systému v jednotlivých rolích zavedených v informačním systému pro správu informačního systému, pokud se týká zajištění bezpečnosti informačního systému, a

• c) bezpečnostní směrnice informačního systému, které předepisují činnost uživatelů informačního systému, pokud se týká zajištění bezpečnosti informačního systému.

§ 5

Bezpečnostní politika informačního systému

(1) Pro každý informační systém musí být již v počáteční fázi jeho vývoje zpracována bezpečnostní politika informačního systému. Bezpečnostní politiku informačního systému tvoří soubor norem, pravidel a postupů, který vymezuje způsob, jakým má být zajištěna důvěrnost, integrita a dostupnost utajované informace a odpovědnost uživatele, bezpečnostního správce a správce informačního systému za jeho činnost v informačním systému. Zásady bezpečnostní politiky jsou rozpracovány v projektové a provozní bezpečnostní dokumentaci informačního systému.

(2) Při formulaci bezpečnostní politiky informačního systému a posuzování bezpečnostních vlastností komponentů informačního systému lze využít též mezinárodních standardizovaných bezpečnostních specifikací ^3).

§ 6

Požadavky na formulaci bezpečnostní politiky informačního systému

Bezpečnostní politika informačního systému se formuluje na základě

• a) minimálních bezpečnostních požadavků v oblasti počítačové bezpečnosti,

• b) systémově závislých bezpečnostních požadavků, požadavků uživatele a výsledků analýzy rizik a

• c) bezpečnostních požadavků bezpečnostní politiky nadřízeného orgánu, pokud byla zpracována.

§ 7

Minimální bezpečnostní požadavky v oblasti počítačové bezpečnosti

(1) Informační systém nakládající s utajovanými informacemi stupně utajení Důvěrné nebo vyššího musí zajišťovat tyto bezpečnostní funkce

• a) jednoznačnou identifikaci a autentizaci uživatele, bezpečnostního správce nebo správce informačního systému, které musí předcházet všem jejich dalším aktivitám v informačním systému a musí zajistit ochranu důvěrnosti a integrity autentizační informace,

• b) volitelné řízení přístupu k objektům informačního systému na základě rozlišování a správy přístupových práv uživatele, bezpečnostního správce nebo správce informačního systému a jejich identity nebo jejich členství ve skupině uživatelů, bezpečnostních správců nebo správců informačního systému,

• c) nepřetržité zaznamenávání událostí, které mohou ovlivnit bezpečnost informačního systému do auditních záznamů a zabezpečení auditních záznamů před neautorizovaným přístupem, zejména modifikací nebo zničením. Zaznamenává se zejména použití identifikačních a autentizačních informací, pokusy o zkoumání přístupových práv, vytváření nebo rušení objektu informačního systému nebo činnost autorizovaných subjektů informačního systému ovlivňující bezpečnost informačního systému,

• d) možnost zkoumání auditních záznamů a stanovení odpovědnosti jednotlivého uživatele, bezpečnostního správce nebo správce informačního systému,

• e) ošetření paměťových objektů před jejich dalším použitím, zejména před přidělením jinému subjektu informačního systému, které znemožní zjistit jejich předchozí obsah, a

• f) ochranu důvěrnosti dat během přenosu mezi zdrojem a cílem.

(2) K zajištění bezpečnostních funkcí uvedených v odstavci 1 se v informačním systému realizují identifikovatelné programově technické mechanismy. Dokumentace popisující jejich provedení a operační nastavení musí umožnit jejich nezávislé prověření a zhodnocení jejich dostatečnosti.

(3) Bezpečnostní mechanismy, jimiž se realizují bezpečnostní funkce uplatňující bezpečnostní politiku informačního systému, musí být v celém životním cyklu informačního systému chráněny před narušením nebo neautorizovanými změnami.

(4) V informačním systému, který nakládá s utajovanými informacemi nejvýše do stupně utajení Vyhrazené, se musí přiměřeně využívat bezpečnostní funkce uvedené v odstavci 1, a dále opatření z oblasti personální, administrativní a fyzické bezpečnosti informačních systémů.

§ 8

Systémově závislé bezpečnostní požadavky odvozené z bezpečnostního provozního módu

(1) Informační systémy se mohou provozovat pouze v některém z uvedených bezpečnostních provozních módů, jimiž jsou

• a) bezpečnostní provozní mód vyhrazený,

• b) bezpečnostní provozní mód s nejvyšší úrovní, nebo

• c) bezpečnostní provozní mód víceúrovňový.

(2) Bezpečnostní provozní mód vyhrazený je takové prostředí, které umožňuje zpracování utajovaných informací různého stupně utajení, přičemž všichni uživatelé musí splňovat podmínky pro přístup k utajovaným informacím nejvyššího stupně utajení, které jsou v informačním systému obsaženy, a zároveň musí být oprávněni pracovat se všemi utajovanými informacemi, které jsou v informačním systému obsaženy. Bezpečnost informačního systému, který je provozován v bezpečnostním provozním módu vyhrazeném, se zabezpečuje splněním minimálních bezpečnostních požadavků v oblasti počítačové bezpečnosti uvedených v § 7 odst. 1 písm. a), c), d) a f) a dále opatřeními z oblasti administrativní a personální bezpečnosti a fyzické bezpečnosti informačních systémů. Úroveň použitých opatření z uvedených oblastí a opatření k zajištění důvěrnosti dat během přenosu musí odpovídat úrovni požadované pro nejvyšší stupeň utajení utajovaných informací, se kterými informační systém nakládá.

(3) Bezpečnostní provozní mód s nejvyšší úrovní je takové prostředí, které umožňuje současné zpracování utajovaných informací klasifikovaných různými stupni utajení, ve kterém všichni uživatelé musí splňovat podmínky pro přístup k utajovaným informacím nejvyššího stupně utajení, které jsou v informačním systému obsaženy, přičemž všichni uživatelé nemusí být oprávněni pracovat se všemi utajovanými informacemi. Bezpečnost informačního systému, který je provozován v bezpečnostním provozním módu s nejvyšší úrovní, se zabezpečuje splněním minimálních bezpečnostních požadavků v oblasti počítačové bezpečnosti uvedených v § 7 a dále opatřeními z oblasti administrativní a personální bezpečnosti a fyzické bezpečnosti informačních systémů. Úroveň použitých opatření z uvedených oblastí a opatření k zajištění důvěrnosti dat během přenosu musí odpovídat úrovni požadované pro nejvyšší stupeň utajení utajovaných informací, se kterými informační systém nakládá.

(4) Bezpečnostní provozní mód víceúrovňový je takové prostředí, které umožňuje v jednom informačním systému současné zpracování utajovaných informací klasifikovaných různými stupni utajení, ve kterém nemusí všichni uživatelé splňovat podmínky přístupu k utajovaným informacím nejvyššího stupně utajení, které jsou v informačním systému obsaženy, přičemž všichni uživatelé nemusí být oprávněni pracovat se všemi utajovanými informacemi. Bezpečnost informačního systému, který je provozován v bezpečnostním provozním módu víceúrovňovém, se zabezpečuje opatřeními uvedenými v odstavci 3 a bezpečnostní funkcí povinného řízení přístupu subjektů informačního systému k objektům informačního systému. Úroveň použitých opatření z oblasti administrativní a personální bezpečnosti, fyzické bezpečnosti informačních systémů a opatření k zajištění důvěrnosti dat během přenosu se stanoví na základě principu povinného řízení přístupu.

(5) Funkce povinného řízení přístupu subjektů informačního systému k objektům informačního systému musí zabezpečit

• a) trvalé spojení každého subjektu informačního systému a objektu informačního systému s bezpečnostním atributem, který pro subjekt informačního systému vyjadřuje úroveň oprávnění subjektu informačního systému a pro objekt informačního systému jeho stupeň utajení,

• b) ochranu integrity bezpečnostního atributu,

• c) výlučné oprávnění bezpečnostního správce informačního systému k provádění změn bezpečnostních atributů subjektů informačního systému i objektů informačního systému a

• d) přidělení předem definovaných hodnot atributů pro nově vytvořené objekty informačního systému a zachování atributu při kopírování objektu informačního systému.

(6) Při uplatňování bezpečnostní funkce povinného řízení přístupu subjektů informačního systému k objektům informačního systému musí být zabezpečeny tyto zásady

• a) subjekt informačního systému může číst informace v objektu informačního systému pouze tehdy, je-li úroveň jeho oprávnění stejná nebo vyšší než stupeň utajení objektu informačního systému,

• b) subjekt informačního systému může zapisovat informaci do objektu informačního systému pouze tehdy, je-li úroveň jeho oprávnění stejná nebo nižší než stupeň utajení objektu informačního systému, a

• c) přístup subjektu informačního systému k informaci obsažené v objektu informačního systému je možný, jestliže jej povolují jak pravidla povinného řízení přístupu, tak pravidla volitelného řízení přístupu.

(7) Informační systém, který je provozován v bezpečnostním provozním módu víceúrovňovém, musí být schopen přesně označit stupněm utajení utajované informace vystupující z informačního systému a umožnit přiřadit stupeň utajení utajované informaci vstupující do informačního systému.

(8) U informačního systému, který je provozován v bezpečnostním provozním módu víceúrovňovém a nakládá s utajovanou informací stupně utajení Přísně tajné, musí být provedena identifikace a analýza skrytých kanálů. Skrytým kanálem se rozumí nepřípustná komunikace, jíž se utajovaná informace může dostat k neoprávněnému subjektu informačního systému.

§ 9

Systémově závislé bezpečnostní požadavky na bezpečnost v prostředí počítačových sítí

(1) Při přenosu utajované informace komunikačním kanálem musí být zajištěna ochrana její důvěrnosti a integrity.

(2) Základním prostředkem pro zajištění důvěrnosti utajované informace při jejím přenosu komunikačním kanálem je kryptografická ochrana^4).

(3) Základním prostředkem pro zajištění integrity utajované informace při jejím přenosu komunikačním kanálem je spolehlivá detekce záměrné i náhodné změny utajované informace.

(4) Pro lokální počítačovou síť v rámci zabezpečené oblasti nebo objektu může být postačující fyzická ochrana všech komponentů komunikačního kanálu.

(5) V závislosti na komunikačním prostředí se zajišťuje spolehlivá identifikace a autentizace komunikujících stran, včetně ochrany identifikační a autentizační informace. Tato identifikace a autentizace předchází přenosu utajované informace.

(6) Připojení sítě, která je pod kontrolou správy informačního systému, k síti vnější, která není pod kontrolou správy informačního systému, musí být zabezpečeno vhodným bezpečnostním rozhraním tak, aby bylo zamezeno průniku do informačního systému.

§ 10

Požadavky na dostupnost utajované informace a služeb informačního systému

(1) Informační systém musí zajistit, aby požadovaná utajovaná informace byla přístupná ve stanoveném místě, v požadované formě a v určeném časovém rozmezí.

(2) V zájmu zajištění bezpečného provozu informačního systému se v bezpečnostní politice informačního systému stanoví komponenty, které musí být nahraditelné bez přerušení činnosti informačního systému. Dále se definuje rozsah požadované minimální funkčnosti informačního systému a uvedou se komponenty, při jejichž selhání musí být minimální funkčnost informačního systému zaručena.