Informační systémy a technologie
14. Pro účely tohoto bodu a bodů 15 až 21 se rozumí
a) informačním systémem dílčí funkční celek zabezpečující získávání, uchovávání, přenášení, zpracovávání a poskytování informací pomocí informačních technologií,
b) informační technologií technické a programové vybavení. Technickým vybavením se rozumí hmotné technické prostředky výpočetní a komunikační techniky. Programovým vybavením se rozumí programy, procedury a pravidla nutné k tomu, aby příslušné technické vybavení plnilo požadovanou funkci;
c) aktivem informačního systému informační technologie, informace uložené v informačním systému a dokumentace informačního systému,
d) autentizací uživatele proces ověření jeho totožnosti,
e) autorizací uživatele proces ověření jeho přístupových práv na základě autentizace,
f) důvěrností informace zajištění, že informace je přístupná pouze uživateli, který je k přístupu oprávněn,
g) dostupností informace zajištění, že informace je pro oprávněného uživatele přístupná ve stanovené době,
h) integritou informace zajištění správnosti a úplnosti informace a metody jejího zpracování.
15. Povinná osoba zajistí, že bezpečnostní zásady informačních systémů obsahují
a) cíle bezpečnosti informačních systémů,
b) hlavní zásady a postupy pro zajištění důvěrnosti, integrity a dostupnosti informací a
c) působnost a pravomoci v oblasti ochrany aktiv a plnění bezpečnostních zásad informačních systémů.
16. Povinná osoba zajistí dodržování bezpečnostních zásad v jednotlivých informačních systémech.
17. Povinná osoba provede analýzu rizik spjatých s informačními systémy. V ní definuje aktiva informačních systémů, hrozby, které na ně působí, zranitelná místa informačních systémů, pravděpodobnost realizace hrozeb a odhad jejich následků a protiopatření. Povinná osoba pravidelně provádí aktualizaci analýzy rizik spjatých s informačními systémy.
18. V oblasti bezpečnosti přístupu k informacím povinná osoba zajistí
a) přidělení přístupových práv uživatelům v informačních systémech,
b) jednoznačnou autentizaci uživatele, která předchází jeho činnostem v informačních systémech,
c) přístup k informacím v informačních systémech pouze uživateli, který byl pro tento přístup autorizován,
d) ochranu důvěrnosti a integrity autentizační informace,
e) zaznamenávání událostí, které ohrozily nebo narušily bezpečnost informačních systémů, do bezpečnostních auditních záznamů, ochranu těchto záznamů před neautorizovaným přístupem, zejména úpravou (modifikací) nebo zničením, a jejich uchovávání a
f) vyhodnocování bezpečnostních auditních záznamů pracovníkem, který nemá možnost upravovat (modifikovat) v informačních systémech informace související s činností, o které je bezpečnostní auditní záznam pořízen.
19. V oblasti bezpečnosti komunikačních sítí povinná osoba zajistí
a) připojení sítě, která je pod kontrolou povinné osoby, k vnější komunikační síti, která není pod kontrolou povinné osoby, tak, aby byla minimalizována možnost průniku do jejích informačních systémů,
b) že při přenosu důvěrných informací vnější komunikační sítí je zajištěna
1. přiměřená důvěrnost a integrita informací a
2. spolehlivá autentizace komunikujících stran, včetně ochrany autentizačních informací.
20. Povinná osoba zavede a udržuje opatření pro fyzickou ochranu aktiv informačních systémů.
21. Při provozování informačních systémů povinná osoba zejména zajistí
a) že změnu v provozovaných informačních systémech je možno provést až po vyhodnocení vlivu této změny na bezpečnost informačních systémů,
b) že v provozovaných informačních systémech je používáno pouze otestované programové vybavení, u kterého výsledky testů prokázaly, že bezpečnostní funkce jsou v souladu se schválenými bezpečnostními zásadami informačních systémů. Výsledky testů jsou zdokumentovány;
c) že servisní činnost v provozovaných informačních systémech je organizována tak, aby bylo minimalizováno ohrožení jejich bezpečnosti,
d) zálohování informací a programového vybavení provozovaných informačních systémů významných pro její fungování. Zálohované informace a programové vybavení jsou uloženy tak, aby byly zabezpečeny proti poškození, zničení a krádeži; a
e) pravidelné prověřování a vyhodnocování bezpečnosti informačních systémů.
------------------------------------------------------------------