§ 23
Požadavky na bezpečnost provozovaného informačního systému
(1) Bezpečnost provozovaného informačního systému musí být průběžně, s ohledem na skutečný stav informačního systému, prověřována a vyhodnocována. Dílčí změnu v informačním systému je možno provést až po vyhodnocení vlivu této změny na bezpečnost informačního systému a po jejím schválení Úřadem, nestanoví-li certifikační zpráva jinak.
(2) Integrita programového vybavení i utajovaných informací musí být chráněna před působením škodlivého kódu.
(3) V provozovaném informačním systému je ověřována pravost informací, které vstupují do informačního systému.
(4) V provozovaném informačním systému může být používáno pouze softwarové a hardwarové vybavení odpovídající bezpečnostní dokumentaci informačního systému schválené Úřadem a podmínkám certifikační zprávy k certifikátu informačního systému.
(5) V provozovaném informačním systému musí být prováděno zálohování programového vybavení a utajovaných informací. Záloha programového vybavení a utajovaných informací musí být uložena tak, aby nemohlo dojít k jejímu poškození nebo ke zničení při ohrožení informačního systému anebo zneužití pro narušení důvěrnosti utajovaných informací.
(6) Servisní činnost v provozovaném informačním systému se musí organizovat tak, aby nebyla ohrožena jeho bezpečnost. Z nosičů utajovaných informací informačního systému přístupných při servisní činnosti musí být vymazány utajované informace a dálková diagnostika musí být zabezpečena před zneužitím.
(7) Údržbu komponent informačního systému zajišťujících bezpečnostní funkce informačního systému nebo přímo ovlivňujících bezpečnost informačního systému musí zajišťovat osoby splňující podmínky zákona pro přístup k utajovaným informacím nejvyššího stupně utajení, pro jehož nakládání je informační systém určen. Takové komponenty musí být stanoveny v provozní bezpečnostní dokumentaci informačního systému. Údržba ostatních komponentů informačního systému může být prováděna osobami splňujícími podmínky zákona pro nižší stupeň utajení nebo osobami schválenými bezpečnostním ředitelem provozovatele informačního systému, avšak pod neustálým dohledem pracovníka správy informačního systému prověřeného pro přístup k utajovaným informacím nejvyššího stupně utajení, pro jehož nakládání je informační systém určen.
(8) V provozovaném informačním systému musí být v termínech stanovených v bezpečnostní dokumentaci informačního systému a při vzniku krizové situace neprodleně prováděno vyhodnocení auditních záznamů. Auditní záznamy musí být archivovány po dobu stanovenou v bezpečnostní dokumentaci informačního systému a chráněny před modifikací nebo zničením.
(9) V zabezpečené oblasti, v níž jsou umístěny komponenty informačního systému pro nakládání s utajovanou informací stupně utajení Tajné nebo Přísně tajné, se na žádost orgánu státu nebo podnikatele provádí kontrola ke zjištění nedovoleného použití technických prostředků určených k získávání informací. Tato kontrola se provede před prvním zpracováním utajované informace a dále opakovaně zpravidla v intervalu dvou let.
(10) Pro řešení krizové situace provozovaného informačního systému musí být v bezpečnostní dokumentaci informačního systému stanovena opatření zaměřená na jeho uvedení do stavu odpovídajícího bezpečnostní dokumentaci informačního systému. V bezpečnostní dokumentaci informačního systému musí být uvedeny základní typy krizových situací, které mohou podle analýzy rizik nastat, a pro každou z nich specifikována činnost následující
a) bezprostředně po vzniku krizové situace zaměřená na minimalizaci škod a zajištění informací potřebných pro zjištění příčin a mechanismu vzniku krizové situace a
b) po vzniku krizové situace zaměřená na likvidaci následků krizové situace včetně vymezení osobní odpovědnosti za jednotlivé úkoly.
(11) Pro případ havárie softwarového nebo hardwarového vybavení musí být uveden v bezpečnostní dokumentaci informačního systému způsob
a) zálohování informačního systému a uložení záložních médií,
b) zajišťování servisní činnosti,
c) zajištění nouzového provozu informačního systému s vyjmenováním minimálních funkcí, které musí být zachovány, a
d) obnovy funkčnosti a uvedení informačního systému do známého bezpečného stavu.
(12) Před trvalým ukončením provozu informačního systému musí být provedeno vyjmutí nebo zničení nosičů utajovaných informací, se kterými informační systém nakládal.