§ 24
Postup a způsob certifikace informačního systému
(1) Žádost o provedení certifikace informačního systému předkládá Úřadu orgán státu nebo organizace, které budou informační systém provozovat, (dále jen "žadatel").
(2) Žádost podle odstavce 1 obsahuje:
a) stručný popis účelu a rozsahu informačního systému včetně stanovení jeho běžných a minimálních funkcí,
b) stupeň utajení utajovaných informací, se kterými bude informační systém nakládat,
c) stanovení bezpečnostního provozního módu informačního systému,
d) identifikaci dodavatele informačního systému.
(3) Úřad vypracuje seznam podkladů pro ověření způsobilosti informačního systému nakládat s utajovanými informacemi (dále jen "hodnocení") a časový plán jejich předložení žadatelem. K provedení hodnocení žadatel vždy předloží následující podklady:
a) bezpečnostní politiku informačního systému a výsledky analýzy rizik,
b) návrh bezpečnosti informačního systému,
c) sadu testů bezpečnosti informačního systému, jejich popis a popis výsledků testování,
d) bezpečnostní provozní dokumentaci informačního systému,
e) popis bezpečnosti vývojového prostředí.
(4) Hodnocení se provádí posouzením podkladů předložených žadatelem a provedením dodatečných testů. Dodatečné testy provádí Úřad u žadatele v provozním prostředí hodnoceného informačního systému za spoluúčasti žadatele a v případě potřeby dodavatele.
(5) Jsou-li v průběhu hodnocení zjištěny nedostatky, vyzve Úřad žadatele k jejich odstranění. Pokud žadatel v termínu stanoveném Úřadem zjištěné nedostatky neodstraní, hodnocení se ukončí.
(6) Hodnocení lze provádět průběžně po ukončení jednotlivých fází výstavby informačního systému nebo až po jeho celkovém dokončení.
(7) O výsledku hodnocení se zpracují technické zprávy.
(8) Jestliže se na základě výsledku hodnocení zjistí způsobilost hodnoceného informačního systému pro nakládání s utajovanými informacemi, obdrží žadatel o tomto certifikát. V případě, že hodnocený informační systém splňuje způsobilost pouze pro nižší stupeň utajení, vydá se certifikát na tento stupeň utajení.
(9) Dojde-li v informačním systému, jehož způsobilost byla schválena, ke změnám uvedeným v § 25 odst. 2 písm. e), provádí se doplňující hodnocení informačního systému v rozsahu potřebném k posouzení provedených změn. V případě provádění doplňujícího hodnocení informačního systému se postupuje obdobně jako při provádění certifikace informačního systému.