Certifikace informačního systému k nakládání s utajovanými informacemi

Hlavní informace

Účelem služby je ověření způsobilosti informačního systému, ve kterém budou žadatelé, tj. orgány státu, právnické osoby nebo podnikající fyzické osoby, jež budou provozovat informační systém, nakládat s utajovanou informací. Obdobně se postupuje v případě blížícího se konce platnosti certifikátu – tzv. žádost o opakovanou certifikaci.

Informačním systémem nakládajícím s utajovanými informacemi se rozumí jeden nebo více počítačů, jejich programové vybavení, k tomu patřící periferní zařízení, správa tohoto informačního systému a k tomuto systému se vztahující procesy nebo prostředky schopné provádět sběr, tvorbu, zpracování, ukládání, zobrazení nebo přenos utajovaných informací.

Informační systém nakládající s utajovanými informacemi musí být certifikován Národním úřadem pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“) a s utajovanými informacemi lze nakládat pouze v certifikovaném informačním systému.

Další podrobnosti a náležitosti žádosti o certifikaci informačního systému, popř. žádosti o opakovanou certifikaci, a způsob a podmínky provedení certifikace stanoví vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor.

Týká se vás to pokud

Jste právnická či podnikající fyzická osoba, která:

• má přístup k utajované informaci a bude s utajovanou informací nakládat v informačním systému, nebo
• již nakládá s utajovanou informací v certifikovaném informačním systému a blíží se konec platnosti vydaného certifikátu (minimálně 6 měsíců před koncem platnosti certifikátu).

Kdy službu řešit

Službu je nezbytné řešit v dostatečném časovém předstihu, před tím, než hodláte informační systém provozovat.

NÚKIB je povinen rozhodnout o certifikaci informačního systému do 1 roku od zahájení řízení o certifikaci, ve zvlášť složitých případech do 2 let; nelze-li vzhledem k povaze věci rozhodnout v této lhůtě, může ji přiměřeně prodloužit ředitel NÚKIB, nejvýše však o 6 měsíců.

V případě blížícího se konce platnosti již vydaného certifikátu je nezbytné podat opakovanou žádost tak, aby byla NÚKIB doručena nejméně 6 měsíců před uplynutím doby platnosti původního certifikátu informačního systému.

Vyřízení služby - elektronicky

Co potřebujete pokud službu řešíte

Žádost o certifikaci informačního systému lze podat volnou formou.

Žádost o certifikaci informačního systému musí obsahovat:

• identifikaci žadatele,
• jméno a příjmení kontaktního pracovníka žadatele a kontaktní spojení,
• stručný popis účelu a rozsahu informačního systému,
• stupeň utajení utajovaných informací, se kterými bude informační systém nakládat,
• stanovení bezpečnostního provozního módu informačního systému a
• identifikaci dodavatele informačního systému nebo jeho komponent ovlivňujících bezpečnost informačního systému.

K provedení certifikace informačního systému jako žadatel předložíte následující podklady:

• bezpečnostní politiku informačního systému a výsledky analýzy rizik,
• návrh bezpečnosti informačního systému,
• sadu testů bezpečnosti informačního systému, jejich popis a popis výsledků testování,
• bezpečnostní provozní dokumentaci informačního systému,
• popis bezpečnosti vývojového prostředí a
• další podklady nezbytné k certifikaci informačního systému, vyplývající ze specifikace informačního systému.

Ten, kdo o certifikaci informačního systému požádal předkládá v průběhu certifikace na žádost NÚKIB dokumentaci nezbytnou pro provedení certifikace.

Žádost o opakovanou certifikaci informačního systému musí obsahovat:

• identifikaci žadatele - viz body 1. až 3.,
• úplnou identifikaci vydaného certifikátu informačního systému obsahující jeho držitele, evidenční číslo, datum vydání a dobu platnosti,
• identifikaci informačního systému obsahující jeho název, označení verze a stupeň utajení utajovaných informací, pro který byla schválena jeho způsobilost, a
• jméno a příjmení kontaktního pracovníka žadatele a kontaktní spojení.

Podrobněji viz: Národní úřad pro kybernetickou a informační bezpečnost - Certifikace informačních systémů (nukib.cz)

Kde a jak službu řešit

Žádost lze v elektronické podobě zaslat do datové schránky NÚKIB (ID: zzfnkp3) či e‑mailovou zprávou s uznávaným elektronickým podpisem na adresu obit@nukib.cz nebo posta@nukib.cz.

Kolik budete platit

None

Vyřízení služby - osobně

Co potřebujete pokud službu řešíte

Žádost o certifikaci informačního systému lze podat volnou formou.

Žádost o certifikaci informačního systému musí obsahovat:

• identifikaci žadatele,
• jméno a příjmení kontaktního pracovníka žadatele a kontaktní spojení,
• stručný popis účelu a rozsahu informačního systému,
• stupeň utajení utajovaných informací, se kterými bude informační systém nakládat,
• stanovení bezpečnostního provozního módu informačního systému a
• identifikaci dodavatele informačního systému nebo jeho komponent ovlivňujících bezpečnost informačního systému.

K provedení certifikace informačního systému jako žadatel předložíte následující podklady:

• bezpečnostní politiku informačního systému a výsledky analýzy rizik,
• návrh bezpečnosti informačního systému,
• sadu testů bezpečnosti informačního systému, jejich popis a popis výsledků testování,
• bezpečnostní provozní dokumentaci informačního systému,
• popis bezpečnosti vývojového prostředí a
• další podklady nezbytné k certifikaci informačního systému, vyplývající ze specifikace informačního systému.

Ten, kdo o certifikaci informačního systému požádal předkládá v průběhu certifikace na žádost NÚKIB dokumentaci nezbytnou pro provedení certifikace.

Žádost o opakovanou certifikaci informačního systému musí obsahovat:

•  identifikaci žadatele - viz body 1. až 3.,
•  úplnou identifikaci vydaného certifikátu informačního systému obsahující jeho držitele, evidenční číslo, datum vydání a dobu platnosti,
• identifikaci informačního systému obsahující jeho název, označení verze a stupeň utajení utajovaných informací, pro který byla schválena jeho způsobilost, a
• jméno a příjmení kontaktního pracovníka žadatele a kontaktní spojení.

Podrobněji viz: Národní úřad pro kybernetickou a informační bezpečnost - Certifikace informačních systémů (nukib.cz)

Kde a jak službu řešit

V případě, že není možné službu řešit elektronicky, je možné zaslat žádost v listinné podobě prostřednictvím držitele poštovní licence nebo zvláštní poštovní licence na podatelnu místa sídla NÚKIB:

Národní úřad pro kybernetickou a informační bezpečnost

nebo také na adresu:

Národní úřad pro kybernetickou a informační bezpečnost

Kolik budete platit

None

Doplňující informace

Jaký má služba benefit

Benefitem služby je zajištění, že s utajovanými informacemi bude nakládáno pouze v informačních systémech, které splňují příslušné požadavky a jsou k tomuto způsobilé. Zajištění ochrany utajovaných informací je zájmem České republiky na zachování její ústavnosti, svrchovanosti a územní celistvosti,zajištění vnitřního pořádku a bezpečnosti, mezinárodních závazků a obrany, ochrana ekonomiky a ochrana života nebo zdraví fyzických osob.

Možnosti odvolání

Není-li NÚKIB zjištěna způsobilost informačního systému k nakládání s utajovanými informacemi, rozhodne o nevydání certifikátu. Proti rozhodnutí o nevydání certifikátu informačního systému k nakládání s utajovanými informacemi není odvolání přípustné.

Legislativa

Sankce

Jako fyzická osoba, která má přístup k utajované informaci se dopustíte přestupku tím, že nakládáte s utajovanou informací v informačním systému, který není certifikován NÚKIB nebo není certifikován pro příslušný stupeň utajení. Za tento přestupek lze uložit pokutu do 500 000 Kč.

Jako právnická osoba nebo podnikající fyzická osoba, která má přístup k utajované informaci, se dopustíte přestupku tím, že provozujete informační systém, který není certifikován NÚKIB. Dále se dopustíte přestupku tím, že nezastavíte provoz informačního systému, který nesplňuje podmínky stanovené v certifikační zprávě. Za tyto přestupky lze uložit pokutu do 1 000 000 Kč.

Časté dotazy

None