§ 20
Požadavky fyzické bezpečnosti informačních systémů
(1) Aktiva informačního systému musí být umístěna do prostoru, ve kterém je zajištěna fyzická ochrana informačního systému před neoprávněným přístupem, poškozením a ovlivněním. V rámci certifikace informačního systému se stanovuje, které komponenty informačního systému musí být umístěny v zabezpečené oblasti nebo v objektu, a požadovaná kategorie zabezpečené oblasti.
(2) Aktiva informačního systému musí být chráněna před bezpečnostními hrozbami a riziky vyplývajícími z prostředí, ve kterém jsou umístěna.
(3) Umístění aktiv informačního systému musí být provedeno tak, aby zamezovalo nepovolané osobě odezírat utajované informace nebo informace sloužící k identifikaci a autentizaci uživatele.
(4) Komunikační infrastruktura přenášející data nebo podporující služby informačního systému musí být chráněna před možností zachycení přenášených utajovaných informací a před poškozením.
(5) Minimální míra zabezpečení zabezpečené oblasti pro umístění části informačního systému, v níž mohou být ukládány utajované informace, se určuje v souladu s tabulkami bodových hodnot nejnižší míry zabezpečení fyzické bezpečnosti uvedenými v příloze č. 1 vyhlášky č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci technických prostředků, ve znění pozdějších předpisů.
(6) Bodové ohodnocení fyzické bezpečnosti informačního systému je uvedeno v příloze č. 3 k této vyhlášce.