§ 24
Žádost o certifikaci informačního systému a způsob a podmínky jejího provedení
(1) Žádost o certifikaci informačního systému obsahuje
a) identifikaci žadatele
1. obchodní firmou, popřípadě názvem, sídlem a identifikačním číslem, bylo-li přiděleno, je-li žadatelem právnická osoba,
2. obchodní firmou, popřípadě jménem a příjmením, případně odlišujícím dodatkem, místem trvalého pobytu nebo u cizince místem obdobného pobytu a místem podnikání, liší-li se od trvalého pobytu, datem narození a identifikačním číslem, bylo-li přiděleno, je-li žadatelem fyzická osoba, která je podnikatelem, nebo
3. názvem, sídlem, identifikačním číslem a jménem a příjmením odpovědné osoby, jde-li o orgán státu,
b) jméno a příjmení kontaktního pracovníka žadatele a kontaktní spojení,
c) stručný popis účelu a rozsahu informačního systému,
d) stupeň utajení utajovaných informací, se kterými bude informační systém nakládat,
e) stanovení bezpečnostního provozního módu informačního systému a
f) identifikaci dodavatele informačního systému nebo jeho komponent ovlivňujících bezpečnost informačního systému, podle písmene a) bodu 1 nebo 2, a stupeň utajení, pro který bylo vydáno dodavateli osvědčení podnikatele nebo kopii platného prohlášení podnikatele.
(2) K provedení certifikace informačního systému žadatel předloží následující podklady
a) bezpečnostní politiku informačního systému a výsledky analýzy rizik,
b) návrh bezpečnosti informačního systému,
c) sadu testů bezpečnosti informačního systému, jejich popis a popis výsledků testování,
d) bezpečnostní provozní dokumentaci informačního systému,
e) popis bezpečnosti vývojového prostředí a
f) další podklady nezbytné k certifikaci informačního systému, vyplývající ze specifikace informačního systému.
(3) Žádá-li o provedení certifikace informačního systému zpravodajská služba, uvede v žádosti podle odstavce 1 a v podkladech podle odstavce 2 pouze nezbytné údaje, které umožní Úřadu provedení certifikace informačního systému.
(4) Jako podklad pro certifikaci informačního systému může žadatel předložit také výsledky dílčích úloh v hodnocení některých komponent informačního systému a v hodnocení jednotlivých oblastí bezpečnosti uvedených v § 3 odst. 1, provedených orgánem státu nebo podnikatelem na základě smlouvy o zajištění činnosti uzavřené s Úřadem.
(5) V rámci certifikace informačního systému se posuzuje vhodnost souboru opatření navržených pro dosažení bezpečnosti informačního systému podle § 3, správnost a úplnost bezpečnostní dokumentace informačního systému a správnost realizace navrženého souboru opatření v daném informačním systému.
(6) Certifikace informačního systému se provádí posouzením podkladů předložených žadatelem a provedením dodatečných testů. Dodatečné testy provádí Úřad v provozním prostředí hodnoceného informačního systému za spoluúčasti žadatele a v případě potřeby dodavatele.
(7) Certifikaci informačního systému lze provádět průběžně po ukončení jednotlivých fází výstavby informačního systému nebo až po jeho celkovém dokončení.
(8) Dojde-li v informačním systému, který byl certifikován a schválen do provozu, ke změnám uvedeným v § 25 písm. d), provádí se doplňující hodnocení informačního systému v rozsahu potřebném k posouzení provedených změn. V případě provádění doplňujícího hodnocení informačního systému se postupuje obdobně jako při provádění certifikace informačního systému.
(9) Vzor certifikátu informačního systému je uveden v příloze č. 1 této vyhlášky.