CODEXIS® Přihlaste se ke svému účtu
CODEXIS® ... 479/2024 Sb. Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) § 4

§ 4

479/2024 Sb. Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti)

§ 4

(1) Systémem musí být zajištěny bezpečnostní funkce

a) identifikace a autentizace subjektu systému, které musí předcházet všem jeho dalším činnostem, a musí být zajištěna ochrana důvěrnosti a integrity autentizační informace, nestanoví-li analýza rizik a popis bezpečnosti systému jinak,

b) volitelného řízení přístupu k objektům systému na základě rozlišování a správy přístupových práv subjektu systému a jeho identity nebo členství ve skupině subjektů se shodným oprávněním,

c) nepřetržitého zaznamenávání událostí, které mohou ovlivnit bezpečnost informací nebo systému, do auditních záznamů a zabezpečení auditních záznamů před neautorizovaným přístupem, změnou nebo zničením; zaznamenává se zejména použití identifikačních a autentizačních informací, pokus o změnu přístupových práv, vytváření nebo rušení objektů systému nebo činnost oprávněných subjektů systému ovlivňující bezpečnost informací nebo systému,

d) schopnosti zkoumání auditních záznamů a stanovení odpovědnosti každého subjektu systému,

e) ošetření paměťových objektů před jejich dalším použitím nebo přidělením jinému subjektu systému, které znemožní zjistit jejich předchozí obsah,

f) ochrany důvěrnosti a integrity dat během přenosu mezi jejich zdrojem a cílem a

g) ochrany před škodlivým kódem.

(2) Bezpečnostní funkce uvedené v odstavci 1 se realizují pomocí identifikovatelných prostředků počítačové bezpečnosti. Úroveň popisu jejich provedení a nastavení uvedené v popisu bezpečnosti systému musí umožnit jejich nezávislé prověření a zhodnocení jejich dostatečnosti.

(3) Mechanismy, jimiž se realizují bezpečnostní funkce uplatňující bezpečnostní politiku, musí být v celém životním cyklu systému chráněny před narušením nebo neautorizovanými změnami.

(4) Provozovatel systému musí zajistit, aby pro nepřetržité zaznamenávání událostí a jejich vyhodnocování bylo nastaveno aktuální datum a čas po celou dobu provozu systému.

(5) Na základě analýzy rizik se u rozsáhlých informačních nebo komunikačních systémů musí využívat technické nástroje pro zaznamenávání událostí, které umožňují i nepřetržité vyhodnocování událostí s cílem identifikace bezpečnostních incidentů včetně včasného varování určených rolí. Rozsáhlým informačním nebo komunikačním systémem se rozumí systém mající nejméně 200 uživatelů.

Bezpečnostní požadavky v oblasti počítačové bezpečnosti Obsah § 5