56/1999 Sb. Vyhláška o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu - § 10 - Minimální bezpečnostní požadavky v oblasti počítačové bezpečnosti

§ 10 Minimální bezpečnostní požadavky v oblasti počítačové bezpečnosti

(1) Informační systém nakládající s utajovanými informacemi stupně utajení "Důvěrné" nebo vyššího musí obsahovat tyto minimální bezpečnostní funkce:

a) jednoznačnou identifikaci a autentizaci uživatele, které musí předcházet všem dalším aktivitám uživatelů v informačním systému a musí zajistit ochranu důvěrnosti a integrity autentizační informace,

b) volitelné řízení přístupu k objektům na základě rozlišování a správy přístupových práv uživatele a identity uživatele nebo jeho členství ve skupině uživatelů,

c) nepřetržité zaznamenávání událostí, které mohou ovlivnit bezpečnost informačního systému, do auditních záznamů a zabezpečení auditních záznamů před neautorizovaným přístupem, zejména modifikací nebo zničením. Zaznamenává se zejména použití identifikačních a autentizačních informací, pokusy o zkoumání přístupových práv, vytváření nebo rušení objektu nebo činnost autorizovaných uživatelů ovlivňující bezpečnost informačního systému,

d) možnost zkoumání auditních záznamů a stanovení odpovědnosti jednotlivého uživatele informačního systému,

e) ošetření paměťových objektů před jejich dalším použitím, zejména před přidělením jinému subjektu, které znemožní zjistit jejich předchozí obsah,

f) ochranu důvěrnosti dat během přenosu sítěmi s tím, že utajovaná informace musí být v procesu přenosu mezi zdrojem a cílem chráněna náležitým způsobem.

(2) K zajištění minimálních bezpečnostních funkcí uvedených v odstavci 1 jsou v informačním systému realizovány identifikovatelné programově technické mechanismy. Jejich provedení a operační nastavení je zdokumentováno tak, aby bylo možno nezávisle prověřit a zhodnotit jejich dostatečnost.

(3) Bezpečnostní mechanismy uplatňující bezpečnostní politiku informačního systému musí být v celém životním cyklu informačního systému chráněny před narušením nebo neautorizovanými změnami.

(4) V informačním systému, který nakládá pouze s utajovanými informacemi stupně utajení "Vyhrazené", musí být zajištěna odpovědnost uživatele za jeho činnost v informačním systému a přístup k utajované informaci lze umožnit na základě zásady potřeby přistupovat k informaci. K tomu se přiměřeným způsobem využívají bezpečnostní funkce uvedené v odstavci 1 a dále opatření z oblasti personální a administrativní bezpečnosti a fyzické bezpečnosti informačních systémů.