§ 3
Bezpečnostní požadavky
(1) Bezpečnostní požadavky jsou požadavky na systém, jeho řízení, správu a provoz a na objekty, subjekty a aktiva systému, jejichž cílem je zajištění informační bezpečnosti v oblastech
a) počítačové a komunikační bezpečnosti,
b) kryptografické ochrany,
c) ochrany před únikem utajovaných informací kompromitujícím vyzařováním,
d) administrativní bezpečnosti a organizačních opatření,
e) personální bezpečnosti a
f) fyzické bezpečnosti.
(2) Bezpečnostní požadavky naplňuje provozovatel systému prostřednictvím souboru bezpečnostních opatření specifikovaného v příslušné bezpečnostní dokumentaci, která musí být autorizována odpovědnou osobou, jí pověřenou osobou nebo bezpečnostním ředitelem.
(3) Bezpečnostní opatření musí provozovatel systému nastavit tak, aby rizika, kterým je utajovaná informace v elektronické podobě v systému vystavena, byla snížena na přijatelnou úroveň.
(4) Bezpečnostní opatření realizuje provozovatel systému přednostně zaváděním a prováděním programově technických mechanismů systému (dále jen "bezpečnostní funkce").
(5) Přijatý soubor bezpečnostních opatření musí být provozovatelem systému řízen tak, aby bylo zajištěno provádění jeho návrhu, implementace, provozování, monitorování, přezkoumávání, udržování a jeho zlepšování.
(6) Bezpečnostní opatření přijatá k zajištění informační bezpečnosti systému musí splňovat alespoň
a) bezpečnostní požadavky uvedené v této vyhlášce,
b) bezpečnostní požadavky uvedené v právním předpise upravujícím ochranu před únikem utajovaných informací kompromitujícím vyzařováním,
c) pravidla pro ochranu utajovaných informací uvedená v právním předpise upravujícím kryptografickou ochranu a
d) výsledky analýzy rizik podle § 38.