§ 5
Obsah bezpečnostní dokumentace
(1) Obsahem politik podle § 4 odst. 2 písm. a) až d) je vždy
a) stanovení zásad, které poskytovatel uplatňuje při zajišťování kvalifikované certifikační služby,
b) v případě vydávání kvalifikovaných certifikátů nebo kvalifikovaných systémových certifikátů popis vlastností dat pro vytváření elektronických podpisů nebo dat pro vytváření elektronických značek a jim odpovídajících dat pro ověřování elektronických podpisů nebo dat pro ověřování elektronických značek, která vytváří osoba žádající o vydání certifikátu nebo která vytváří poskytovatel a k nimž má být příslušný certifikát vydán; kryptografické algoritmy a jejich parametry, které mohou být pro tato data použity, zveřejňuje ministerstvo na své úřední desce,
c) v případě vydávání kvalifikovaných časových razítek
1. kryptografické algoritmy, které mohou být použity při vytváření otisku dat, která mají být označena kvalifikovaným časovým razítkem a parametry těchto algoritmů,
2. přesnost času v časovém razítku ve vztahu ke světovému koordinovanému času.
(2) Obsahem zprávy pro uživatele podle § 4 odst. 2 písm. f) jsou informace o identifikačních údajích poskytovatele a základní přehled o dané kvalifikované certifikační službě a jejím využívání.
(3) Obsahem prováděcí směrnice podle § 4 odst. 2 písm. g) je vždy stanovení postupů, které poskytovatel uplatňuje při zajišťování jednotlivých kvalifikovaných certifikačních služeb.
(4) Obsahem celkové bezpečnostní politiky podle § 4 odst. 2 písm. h) je vždy stanovení cílů a popis způsobu zabezpečení důvěryhodných systémů poskytovatele a specifikace zásad a předpisů vztahujících se k řešení bezpečnosti v důvěryhodných systémech a určení pravomocí a odpovědností za řešení bezpečnosti.
(5) Systémová bezpečnostní politika podle § 4 odst. 2 písm. i) je zpracovávána na základě provedené analýzy rizik spjatých s provozováním důvěryhodných systémů. V analýze rizik poskytovatel definuje aktiva těchto systémů, hrozby, které na ně působí, zranitelná místa systémů, pravděpodobnost výskytu hrozeb, odhad jejich následků a určuje odpovídající bezpečnostní opatření.
(6) Obsahem systémové bezpečnostní politiky je vždy
a) stanovení cílů při ochraně informací,
b) stanovení způsobu zajištění bezpečnosti,
c) určení pravomocí a odpovědností při provozování důvěryhodných systémů,
d) pravidla a postupy konkrétně definující způsob správy a ochrany informačních technologií, aktiv informačních systémů a způsob distribuce informací v rámci důvěryhodných systémů a jiných systémů, které mají s důvěryhodnými systémy vazby,
e) způsoby uplatnění celkové bezpečnostní politiky ve vztahu k provozování důvěryhodných systémů,
f) popis důvěryhodných systémů, jejich vnitřních, vnějších a vzájemných vazeb,
g) vyhodnocení analýzy rizik a popis bezpečnostních opatření podle odstavce 5,
h) způsob šíření časového údaje v rámci důvěryhodných systémů, pokud poskytovatel poskytuje službu vydávání kvalifikovaných časových razítek.
(7) Plán pro zvládání krizových situací podle § 4 odst. 2 písm. j) obsahuje vždy stanovení postupů, které jsou uplatněny v případě výskytu mimořádné události.
(8) Plán obnovy podle § 4 odst. 2 písm. j) obsahuje strategie obnovy důvěryhodných systémů, které je nutno realizovat pro
a) zachování kritických činností poskytovatele v nejkratším možném čase,
b) obnovu řádné funkce důvěryhodných systémů.