Ochrana utajovaných informací

Přístup k utajované informaci

Zákon číslo 412/2005 Sb. stanoví pro organizace (podle zákona „podnikatel“) dva druhy přístupu k utajované informaci:

  • utajovaná informace v organizaci vzniká, je zpracovávána, ukládána, projednávána apod.
  • k utajované informaci má organizace přístup pouze „u zákazníka“ na základě plnění smlouvy.

 

Požadavky zákona

Z uvedeného zákona vyplývá pro organizaci, v níž se připravuje práce s utajovanými informacemi, několik důležitých povinností.

 

Organizace musí:

 

  • podat žádost o prověrku podnikatele se specifikací stupně utajení a druhu přístupu k utajované informaci,
  • zpracovat bezpečnostní dokumentaci podnikatele v souladu se zákonem a souvisejícími vyhláškami, se rozpracováním na oblasti
  • fyzické bezpečnosti
  • personální bezpečnosti
  • administrativní bezpečnosti
  • průmyslové bezpečnosti
  • objektové bezpečnosti
  • bezpečnosti informačních systémů
  • bezpečnosti kryptografických systémů
  • vyplnit dotazník podnikatele,
  • vybudovat zabezpečenou oblast pro zpracování utajovaných informací v souladu s platnými vyhláškami,
  • zajistit prověrku osob, které se budou s utajovanými informacemi seznamovat,

 

V oblast informačních systémů organizace musí:

 

  • zajistit komplexní bezpečnost příslušných informačních systémů,
  • zpracovat žádost o provedení certifikace IS,
  • zpracovat požadovanou dokumentaci k bezpečnosti a certifikaci IS v souladu s platnými vyhláškami,
  • zajistit pravidelné kontroly bezpečnosti, aktuálnosti a účelnosti zpracování.

 

Naše služby
Jsme schopni a připraveni Vám s požadovanými povinnostmi vyplývajícími ze zákona pomoci. Vzhledem k časovým, materiálním a finančním předpokladům doporučujeme  řešení rozdělit do dílčích etap tak, aby byly splněny požadavky zákona a přitom nevznikly mimořádně vysoké a nereálné požadavky na zdroje.

V rámci zajištění bezpečnosti informačních systémů dodáváme certifikované prostředky výpočetní techniky, splňující požadavky na ochranu proti elektromagnetickému parazitnímu vyzařování, které v případě požadavku dodáváme i s připraveným a praxí ověřeným systémem pro certifikaci.

Služby se pak dělí na následující etapy:

Provedení úvodního auditu – odpoví na otázku, zda byly splněny všechny požadované povinnosti.
Řešení opatření vyžadovaných zákonem – cílem je splnit předepsaná ustanovení zákona a jednotlivých vyhlášek.
Řešení bezpečnosti informací a informačních systémů – cílem je zajistit bezpečnost utajovaných informací a informačních systémů, které s nimi pracují, přijmout taková opatření, aby nemohlo dojít k neoprávněnému přístupu k utajovaným informacím, k jejich změnám, zničení  či ztrátě.

Úvodní audit

ü seznámení zadavatele i řešitele se současným stavem v nezbytném rozsahu pro další etapy,
ü definování připravovaných (probíhajících) zpracování utajovaných informací a zjištění                   základních informací o jednotlivých zpracováních,
ü audit splnění certifikační povinnosti,
ü zpracování závěrečné zprávy auditu s návrhy na opatření.

Řešení opatření vyžadovaných zákonem

ü příprava dokumentace k žádosti o prověrku a certifikaci,
ü podání žádosti o Bezpečnostní prověrku a o certifikaci,
ü zpracování základní bezpečnostní dokumentace podle zákona,
ü prověření osob, které budou s utajovanými informacemi pracovat.

Řešení bezpečnosti informací a informačních systémů

ü stanovení rolí bezpečnosti informací, určení jejich odpovědnosti a pravomoci,
ü zajištění výkonu funkce managera bezpečnosti a zpracování plánu kontrol bezpečnosti,
ü zpracování bezpečnostního záměru IS a provedení analýzy rizik IS,
ü zpracování havarijních plánů pro chráněné informační systémy,
ü provedení školení bezpečnosti a ochrany utajovaných informací.