Zákon o ochraně utajovaných informací a o bezpečnostní způsobilosti - Hlava VI - Bezpečnost informačních a komunikačních systémů

Hlava VI

Bezpečnost informačních a komunikačních systémů

§ 33a

Státní správu v oblasti ochrany utajovaných informací podle této hlavy vykonává Národní úřad pro kybernetickou a informační bezpečnost, pokud tento zákon nestanoví jinak.

§ 34

Informační systém

(1) Informačním systémem nakládajícím s utajovanými informacemi se pro účely tohoto zákona rozumí jeden nebo více počítačů, jejich programové vybavení, k tomu patřící periferní zařízení, správa tohoto informačního systému a k tomuto systému se vztahující procesy nebo prostředky schopné provádět sběr, tvorbu, zpracování, ukládání, zobrazení nebo přenos utajovaných informací (dále jen "informační systém").

(2) Informační systém musí být certifikován Národním úřadem pro kybernetickou a informační bezpečnost [§ 46 odst. 1 písm. b)] a písemně schválen do provozu odpovědnou osobou nebo jí pověřenou osobou.

(3) Informační systém podnikatele, který má přístup k utajovaným informacím stupně utajení Vyhrazené, může být schválen do provozu jen v době platnosti prohlášení podnikatele; zánikem platnosti prohlášení podnikatele zaniká též schválení informačního systému do provozu.

(4) Nakládat s utajovanou informací lze pouze v informačním systému splňujícím podmínky podle odstavce 2 nebo 3.

(5) Schválení informačního systému do provozu podle odstavce 2 musí odpovědná osoba nebo jí pověřená osoba písemně oznámit Národnímu úřadu pro kybernetickou a informační bezpečnost do 30 dnů od tohoto schválení.

(6) Prováděcí právní předpis stanoví

a) požadavky na informační systém a podmínky jeho bezpečného provozování v závislosti na stupni utajení utajovaných informací, s nimiž nakládá, a na bezpečnostním provozním módu a

b) obsah bezpečnostní dokumentace informačního systému.

§ 35

Komunikační systém

(1) Komunikačním systémem nakládajícím s utajovanými informacemi (dále jen "komunikační systém") se pro účely tohoto zákona rozumí systém zajišťující přenos těchto informací mezi koncovými uživateli a zahrnující koncové komunikační zařízení, přenosové prostředí, kryptografické prostředky, obsluhu a provozní podmínky a postupy.

(2) Komunikační systém nelze provozovat bez projektu bezpečnosti komunikačního systému schváleného Národním úřadem pro kybernetickou a informační bezpečnost. O schválení projektu bezpečnosti komunikačního systému písemně žádá u Národního úřadu pro kybernetickou a informační bezpečnost orgán státu, právnická osoba nebo podnikající fyzická osoba, která jej bude provozovat.

(3) Nakládat s utajovanou informací lze pouze v komunikačním systému splňujícím podmínky podle odstavce 2.

(4) Komunikační systém musí být písemně schválen do provozu odpovědnou osobou nebo jí pověřenou osobou.

(5) Komunikační systém podnikatele, který má přístup k utajovaným informacím stupně utajení Vyhrazené, může být schválen do provozu jen v době platnosti prohlášení podnikatele; zánikem platnosti prohlášení podnikatele zaniká též schválení komunikačního systému do provozu.

(6) Prováděcí právní předpis stanoví

a) obsah žádosti o schválení projektu bezpečnosti komunikačního systému a

b) náležitosti projektu bezpečnosti komunikačního systému a způsob a podmínky jeho schvalování.

§ 35a

Manipulace s taktickou informací

(1) Taktickou informací se pro účely tohoto zákona rozumí utajovaná informace s krátkou dobou trvání důvodu utajení. Taktická informace se zpracovává v informačním nebo komunikačním systému a při přenosu se chrání kryptografickou ochranou.

(2) Ochrana taktické informace do stupně utajení Tajné může být zabezpečena též souborem opatření stanovených na základě vyhodnocení rizik. Podmínky odlišné manipulace s taktickou informací upravuje bezpečnostní standard.