Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti)

ČÁST PRVNÍ

ÚVODNÍ USTANOVENÍ

§ 1

Předmět úpravy

(1) Tato vyhláška upravuje v návaznosti na předpisy Evropské unie^1)

• a) požadavky na informační systém nakládající s utajovanými informacemi (dále jen „informační systém“) a podmínky jeho bezpečného provozování v závislosti na stupni utajení utajovaných informací, s nimiž nakládá, a na bezpečnostním provozním módu,

• b) obsah bezpečnostní dokumentace informačního systému,

• c) náležitosti oznámení provozovatele certifikovaného informačního systému o zavedení dalších nutných bezpečnostních funkcí nebo opatření podle § 34 odst. 7 písm. c) zákona,

• d) obsah žádosti o schválení projektu bezpečnosti komunikačního systému nakládajícího s utajovanými informacemi (dále jen „komunikační systém“),

• e) náležitosti projektu bezpečnosti komunikačního systému (dále jen „projekt bezpečnosti“) a způsob a podmínky jeho schvalování podle § 35 odst. 6 zákona,

• f) způsob a podmínky provádění akreditace informačního systému cizí moci nakládajícího s utajovanými informacemi a provozovaného na území České republiky,

• g) náležitosti žádosti a opakované žádosti o certifikaci informačního systému a dokumentaci nezbytnou k provedení certifikace informačního systému,

• h) způsob a podmínky provádění certifikace nebo akreditace informačního systému, jejich opakování a obsah certifikační zprávy podle § 46 odst. 13 a

• i) vzor certifikátu informačního systému.

(2) Tato vyhláška dále stanoví podmínky bezpečného provozování zařízení, které není součástí informačního nebo komunikačního systému (dále jen „samostatné elektronické zařízení“), a rozsah požadovaných informací podle § 36 odst. 2 písm. b) zákona.

(3) Tato vyhláška dále stanoví náležitosti žádosti o uzavření smlouvy o zajištění činnosti podle § 52 zákona, jejímž předmětem je provádění dílčích úloh při ověřování způsobilosti informačního systému k nakládání s utajovanými informacemi.

§ 2

Vymezení pojmů

Pro účely této vyhlášky se rozumí

• a) objektem informačního systému, komunikačního systému nebo samostatného elektronického zařízení (dále jen „systém“) pasivní prvek, který obsahuje nebo přijímá informaci,

• b) subjektem systému aktivní prvek, který způsobuje předání informace mezi objekty systému nebo změnu stavu systému,

• c) aktivem systému na základě analýzy rizik definované hardwarové a softwarové vybavení, dokumentace a informace, které jsou v systému uloženy,

• d) auditním záznamem záznam systému poskytující bližší informace o události nebo stavu systému nebo o činnosti subjektu systému,

• e) autentizací subjektu systému proces ověření předložených identifikačních znaků poskytující záruky, že prohlašovaná identita subjektu systému je pravá,

• f) autorizací subjektu systému proces udělení oprávnění subjektu systému k provádění určených operací s určenými objekty systému,

• g) informační bezpečností soubor, uspořádání a řízení bezpečnostních opatření, jejichž cílem je zajistit důvěrnost, integritu a dostupnost aktiv systému, a odpovědnost subjektů systému za jejich činnost v systému,

• h) komunikační bezpečností bezpečnostní opatření použitá k zajištění bezpečnosti informací v systému při přenosu komunikačním kanálem,

• i) komunikačním kanálem prostředí sloužící k přenosu informací mezi objekty systému, případně subjekty systému v rámci jednoho nebo několika propojených systémů,

• j) bezpečnostní událostí událost, která může způsobit bezpečnostní incident,

• k) bezpečnostním incidentem narušení informační bezpečnosti,

• l) uživatelem fyzická osoba jako subjekt systému v určité roli,

• m) rolí souhrn určených činností a potřebných oprávnění,

• n) nosičem informací zařízení s energeticky nezávislou pamětí, které je určeno výhradně pro použití v provozu systému jako jeho součást, a které není určeno k evidenci nebo doručení adresátovi jako utajovaný dokument v nelistinné podobě podle právního předpisu upravujícího administrativní bezpečnost,

• o) řízením přístupu prostředky pro omezení přístupu subjektů systému k objektům systému, zajišťující, že přístup k nim získá jen oprávněný subjekt systému,

• p) volitelným řízením přístupu řízení přístupu založené na kontrole přístupových práv subjektu systému k objektu systému, přičemž subjekt systému vybavený určitými přístupovými právy pro přístup k objektu systému může zvolit, které další subjekty systému autorizuje k přístupu k tomuto objektu systému, a může tak ovlivňovat tok informací mezi objekty systému, a

• q) povinným řízením přístupu řízení přístupu založené na porovnání stupně utajení utajované informace obsažené v objektu systému a úrovně oprávnění subjektu systému pro přístup k utajované informaci a zajišťující správný tok informací mezi objekty systému s různými stupni utajení nezávisle na volbě učiněné uživatelem.

ČÁST DRUHÁ

INFORMAČNÍ BEZPEČNOST

§ 3

Bezpečnostní požadavky

(1) Bezpečnostní požadavky jsou požadavky na systém, jeho řízení, správu a provoz a na objekty, subjekty a aktiva systému, jejichž cílem je zajištění informační bezpečnosti v oblastech

• a) počítačové a komunikační bezpečnosti,

• b) kryptografické ochrany,

• c) ochrany před únikem utajovaných informací kompromitujícím vyzařováním,

• d) administrativní bezpečnosti a organizačních opatření,

• e) personální bezpečnosti a

• f) fyzické bezpečnosti.

(2) Bezpečnostní požadavky naplňuje provozovatel systému prostřednictvím souboru bezpečnostních opatření specifikovaného v příslušné bezpečnostní dokumentaci, která musí být autorizována odpovědnou osobou, jí pověřenou osobou nebo bezpečnostním ředitelem.

(3) Bezpečnostní opatření musí provozovatel systému nastavit tak, aby rizika, kterým je utajovaná informace v elektronické podobě v systému vystavena, byla snížena na přijatelnou úroveň.

(4) Bezpečnostní opatření realizuje provozovatel systému přednostně zaváděním a prováděním programově technických mechanismů systému (dále jen „bezpečnostní funkce“).

(5) Přijatý soubor bezpečnostních opatření musí být provozovatelem systému řízen tak, aby bylo zajištěno provádění jeho návrhu, implementace, provozování, monitorování, přezkoumávání, udržování a jeho zlepšování.

(6) Bezpečnostní opatření přijatá k zajištění informační bezpečnosti systému musí splňovat alespoň

• a) bezpečnostní požadavky uvedené v této vyhlášce,

• b) bezpečnostní požadavky uvedené v právním předpise upravujícím ochranu před únikem utajovaných informací kompromitujícím vyzařováním,

• c) pravidla pro ochranu utajovaných informací uvedená v právním předpise upravujícím kryptografickou ochranu a

• d) výsledky analýzy rizik podle § 38.

Bezpečnostní požadavky v oblasti počítačové bezpečnosti

§ 4

(1) Systémem musí být zajištěny bezpečnostní funkce

• a) identifikace a autentizace subjektu systému, které musí předcházet všem jeho dalším činnostem, a musí být zajištěna ochrana důvěrnosti a integrity autentizační informace, nestanoví-li analýza rizik a popis bezpečnosti systému jinak,

• b) volitelného řízení přístupu k objektům systému na základě rozlišování a správy přístupových práv subjektu systému a jeho identity nebo členství ve skupině subjektů se shodným oprávněním,

• c) nepřetržitého zaznamenávání událostí, které mohou ovlivnit bezpečnost informací nebo systému, do auditních záznamů a zabezpečení auditních záznamů před neautorizovaným přístupem, změnou nebo zničením; zaznamenává se zejména použití identifikačních a autentizačních informací, pokus o změnu přístupových práv, vytváření nebo rušení objektů systému nebo činnost oprávněných subjektů systému ovlivňující bezpečnost informací nebo systému,

• d) schopnosti zkoumání auditních záznamů a stanovení odpovědnosti každého subjektu systému,

• e) ošetření paměťových objektů před jejich dalším použitím nebo přidělením jinému subjektu systému, které znemožní zjistit jejich předchozí obsah,

• f) ochrany důvěrnosti a integrity dat během přenosu mezi jejich zdrojem a cílem a

• g) ochrany před škodlivým kódem.

(2) Bezpečnostní funkce uvedené v odstavci 1 se realizují pomocí identifikovatelných prostředků počítačové bezpečnosti. Úroveň popisu jejich provedení a nastavení uvedené v popisu bezpečnosti systému musí umožnit jejich nezávislé prověření a zhodnocení jejich dostatečnosti.

(3) Mechanismy, jimiž se realizují bezpečnostní funkce uplatňující bezpečnostní politiku, musí být v celém životním cyklu systému chráněny před narušením nebo neautorizovanými změnami.

(4) Provozovatel systému musí zajistit, aby pro nepřetržité zaznamenávání událostí a jejich vyhodnocování bylo nastaveno aktuální datum a čas po celou dobu provozu systému.

(5) Na základě analýzy rizik se u rozsáhlých informačních nebo komunikačních systémů musí využívat technické nástroje pro zaznamenávání událostí, které umožňují i nepřetržité vyhodnocování událostí s cílem identifikace bezpečnostních incidentů včetně včasného varování určených rolí. Rozsáhlým informačním nebo komunikačním systémem se rozumí systém mající nejméně 200 uživatelů.

§ 5

(1) Bezpečnostní opatření spočívající v zavedení některých bezpečnostních funkcí počítačové bezpečnosti podle § 4 lze v odůvodněných případech nahradit použitím jiných bezpečnostních opatření personální, administrativní a fyzické bezpečnosti anebo použitím vhodných organizačních bezpečnostních opatření.

(2) Při nahrazení bezpečnostních opatření spočívajících v zavedení bezpečnostních funkcí počítačové bezpečnosti náhradním bezpečnostním opatřením podle odstavce 1 musí být zachován účel bezpečnostní funkce a kvalita a úroveň bezpečnosti poskytované nahrazovaným bezpečnostním opatřením.

(3) Nahrazení bezpečnostních opatření spočívajících v zavedení bezpečnostních funkcí počítačové bezpečnosti náhradním bezpečnostním opatřením podle odstavce 1 musí být popsáno a zdůvodněno v analýze rizik nebo popisu bezpečnosti systému.

Systémově závislé bezpečnostní požadavky na informační systém odvozené z bezpečnostního provozního módu

§ 6

(1) Informační systémy mohou být provozovány pouze v některém z uvedených bezpečnostních provozních módů, jimiž jsou

• a) bezpečnostní provozní mód dedikovaný,

• b) bezpečnostní provozní mód s nejvyšší úrovní,

• c) bezpečnostní provozní mód s nejvyšší úrovní s formálním řízením přístupu k informacím, nebo

• d) bezpečnostní provozní mód víceúrovňový.

(2) Bezpečnostní provozní mód dedikovaný je takové prostředí, které umožňuje zpracování utajovaných informací různého stupně utajení, přičemž všechny subjekty informačního systému musí splňovat podmínky pro přístup k utajovaným informacím nejvyššího stupně utajení, se kterými je informační systém určen nakládat, a zároveň musí být oprávněny pracovat se všemi obsaženými utajovanými informacemi. V bezpečnostním provozním módu dedikovaném není zajištěna bezpečnostní funkce podle § 4 odst. 1 písm. b) a e).

(3) Bezpečnostní provozní mód s nejvyšší úrovní je takové prostředí, které umožňuje současné zpracování utajovaných informací různého stupně utajení, ve kterém všechny subjekty informačního systému musí splňovat podmínky pro přístup k utajovaným informacím nejvyššího stupně utajení, přičemž všechny subjekty informačního systému nemusí být oprávněny pracovat se všemi obsaženými utajovanými informacemi.

(4) Bezpečnostní provozní mód s nejvyšší úrovní s formálním řízením přístupu k informacím je takové prostředí, které odpovídá bezpečnostnímu provoznímu módu s nejvyšší úrovní, kde však formální řízení přístupu navíc předpokládá formální centrální správu kontroly přístupu.

(5) Bezpečnostní provozní mód víceúrovňový je takové prostředí, které umožňuje současné zpracování utajovaných informací různého stupně utajení, kde všechny subjekty informačního systému nemusí splňovat podmínky přístupu k utajovaným informacím nejvyššího stupně utajení a nemusí být oprávněny pracovat se všemi utajovanými informacemi. Při provozu v bezpečnostním provozním módu víceúrovňovém musí být zajištěna bezpečnostní funkce povinného řízení přístupu subjektu informačního systému k objektům informačního systému.

§ 7

(1) Bezpečnostní funkce povinného řízení přístupu subjektů informačního systému k objektům informačního systému musí zabezpečit

• a) trvalé spojení každého subjektu a objektu informačního systému s bezpečnostními příznaky, které pro subjekt informačního systému vyjadřují úrovně oprávnění přístupu subjektu informačního systému k objektům informačního systému a pro objekt informačního systému stupeň utajení utajované informace, kterou objekt informačního systému obsahuje nebo přijímá,

• b) ochranu integrity bezpečnostního příznaku,

• c) výlučné oprávnění bezpečnostního správce k provádění změn bezpečnostních příznaků subjektů i objektů informačního systému a

• d) přidělení předem definovaných hodnot bezpečnostních příznaků pro nově vytvořené objekty informačního systému a zachování bezpečnostního příznaku při kopírování objektu informačního systému.

(2) Při uplatňování bezpečnostní funkce povinného řízení přístupu subjektů informačního systému k objektům informačního systému může subjekt informačního systému

• a) číst informace v objektu informačního systému pouze tehdy, je-li jeho bezpečnostní příznak stejný nebo vyšší než bezpečnostní příznak objektu informačního systému, a

• b) zapisovat informace do objektu informačního systému pouze tehdy, je-li jeho bezpečnostní příznak stejný nebo nižší než bezpečnostní příznak objektu informačního systému.

(3) Subjekt informačního systému může přistupovat k informaci obsažené v objektu informačního systému, jestliže jej povolují jak pravidla povinného řízení přístupu, tak pravidla volitelného řízení přístupu.

(4) Při provozu informačního systému v bezpečnostním provozním módu víceúrovňovém musí být utajovaná informace vystupující z informačního systému přesně označena stupněm utajení a utajované informaci vstupující do informačního systému přiřazen stupeň utajení.

(5) Při provozu informačního systému v bezpečnostním provozním módu víceúrovňovém, ve kterém se nakládá s utajovanou informací stupně utajení Přísně tajné, musí být prověřeno, zda nedochází k nežádoucí výměně informací mezi informačním systémem a okolím způsobem, který není pro komunikaci přímo určen a ani předpokládán, a při kterém dochází k obcházení bezpečnostních mechanismů informačního systému.

§ 8

Bezpečnostní požadavky v oblasti komunikační bezpečnosti

(1) Při přenosu utajované informace komunikačním kanálem musí být zajištěna ochrana důvěrnosti a integrity této utajované informace prostřednictvím kryptografické ochrany nebo jiných vhodných bezpečnostních opatření tak, aby nebyla ohrožena informační bezpečnost.

(2) U komunikačních kanálů, které jsou vedeny v rámci zabezpečených oblastí nebo objektů, lze přenášené utajované informace chránit kryptografickou ochranou na nižší úrovni, než je pro daný stupeň utajení přenášené utajované informace vyžadováno, nebo lze kryptografickou ochranu utajovaných informací nahradit použitím vhodných bezpečnostních opatření fyzické bezpečnosti.

(3) V závislosti na komunikačním prostředí musí být zajištěna spolehlivá identifikace a autentizace komunikujících subjektů systému, včetně ochrany identifikačních a autentizačních dat. Tato identifikace a autentizace předchází přenosu utajované informace.

(4) Přenos utajované informace komunikačním kanálem vedený mimo zabezpečenou oblast nebo objekt musí být chráněn pomocí kryptografického prostředku certifikovaného alespoň pro stupeň utajení přenášené utajované informace.

(5) Při uplatnění specifických bezpečnostních opatření pro detekci narušení bezpečnosti komunikačního kanálu a bezpečnostních opatření pro zmírnění následků bezpečnostní události přijatých na základě analýzy rizik může Národní úřad pro kybernetickou a informační bezpečnost v rámci certifikace informačního systému nebo schvalování projektu bezpečnosti schválit i odlišný způsob zabezpečení, než je uveden v odstavcích 2 a 4.

(6) Úroveň použité ochrany komunikačních kanálů podle odstavce 1 musí odpovídat úrovni ochrany požadované pro nejvyšší stupeň utajení utajovaných informací, které budou komunikačním kanálem přenášeny.

Bezpečnostní požadavky na bezpečné propojení informačních nebo komunikačních systémů

§ 9

(1) Komunikační kanál mezi informačními nebo komunikačními systémy, které jsou určeny k nakládání s utajovanými informacemi stejných nebo různých stupňů utajení, případně je-li některý z nich určen pouze k nakládání s neutajovanými informacemi, lze zřídit pouze v případě nezbytné provozní potřeby a jestliže je stanoven způsob jeho ochrany prostřednictvím bezpečnostního rozhraní nebo jiným vhodným bezpečnostním opatřením.

(2) Popis propojení a bezpečnostního rozhraní je součástí popisu bezpečnosti každého propojovaného informačního nebo komunikačního systému.

(3) Propojení informačních nebo komunikačních systémů určených k nakládání s utajovanou informací odlišného stupně utajení musí být provedeno tak, aby mezi nimi bylo zabráněno přenosu utajované informace vyššího stupně utajení, než je stupeň utajení utajované informace, pro který je informační nebo komunikační systém určen.

(4) Mezi propojenými informačními nebo komunikačními systémy musí být komponenty bezpečnostního rozhraní umístěny v zabezpečené oblasti alespoň takové kategorie, jakou je nejvyšší stupeň utajení utajované informace, se kterým je možno nakládat v některém z propojovaných informačních nebo komunikačních systémů.

(5) Správa bezpečnostního rozhraní je zajišťována subjekty toho propojeného informačního nebo komunikačního systému, který je určen k nakládání s vyšším stupněm utajení utajovaných informací. Jsou-li propojené informační nebo komunikační systémy určeny k nakládání s utajovanými informacemi stejného stupně utajení, subjekty propojeného informačního nebo komunikačního systému zajišťující správu bezpečnostního rozhraní stanoví popis bezpečnosti systému.

§ 10

(1) Informační nebo komunikační systém nesmí být propojen s veřejnou komunikační sítí podle právního předpisu upravujícího elektronické komunikace, ledaže má pro tento účel instalované vhodné bezpečnostní rozhraní.

(2) Bezpečnostní rozhraní podle odstavce 1 musí zamezit průniku do informačního nebo komunikačního systému a musí umožnit pouze kontrolovaný přenos informací, který nenarušuje důvěrnost, integritu a dostupnost informací a služeb tohoto sytému.

(3) Informační nebo komunikační systém určený k nakládání s utajovanou informací stupně utajení Přísně tajné, nebo s utajovanou informací vyžadující zvláštní režim nakládání označenou textem „ATOMAL“, „SIOP“, „CRYPTO“, „BOHEMIA“ nebo „KRYPTO“, nesmí být přímo ani nepřímo propojen s veřejnou komunikační sítí.