Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti ukládá v § 34 povinnost používat pro nakládání sutajovanými informacemi informační systémy certifikované Národním úřadem pro kybernetickou a informační bezpečnost. Certifikace informačních systémů se provádí podle § 46 a § 48 uvedeného zákona a podle § 46, § 47 a § 48 vyhlášky č. 479/2024 Sb., o informační bezpečnosti.
Žádost o certifikaci informačního systému obsahuje
- identifikaci žadatele
- jméno a příjmení kontaktního pracovníka žadatele a kontaktní spojení,
- stručný popis účelu a rozsahu informačního systému,
- stupeň utajení utajovaných informací, se kterými bude informační systém nakládat,
- stanovení bezpečnostního provozního módu informačního systému a
- identifikaci dodavatele informačního systému nebo jeho komponent ovlivňujících bezpečnost informačního systému.
K provedení certifikace informačního systému žadatel předloží následující podklady
- bezpečnostní politiku informačního systému,
- analýzu rizik,
- popis bezpečnosti informačního systému,
- sadu testů bezpečnosti informačního systému, jejich popis a popis výsledků testování,
- bezpečnostní provozní dokumentaci informačního systému,
- popis bezpečnosti vývojového prostředí a
- další podklady nezbytné k certifikaci informačního systému, vyplývající ze specifikace informačního systému.
Národní úřad pro kybernetickou a informační bezpečnost vyhodnotí vhodnost souboru opatření navržených pro dosažení bezpečnosti informačního systému, správnost a úplnost bezpečnostní dokumentace informačního systému a správnost realizace navrženého souboru opatření. Hodnocení se provádí na základě podkladů předložených žadatelem a bezpečnostních testů v provozním prostředí hodnoceného informačního systému.
Zjistí-li Národní úřad pro kybernetickou a informační bezpečnost způsobilost informačního systému k ochraně utajovaných informací, vydá pro něj certifikát informačního systému. V opačném případě rozhodne o nevydání certifikátu. Proti rozhodnutí o nevydání certifikátu informačního systému není odvolání přípustné.
Platnost certifikátu informačního systému je omezena pro stupeň utajení Přísně tajné, Tajné a Důvěrné 3 roky a pro stupeň utajení Vyhrazené 5 let.
Má-li být informační systém používán i bezprostředně po uplynutí doby platnosti jeho certifikátu, je žadatel povinen požádat Úřad o certifikaci informačního systému a to nejméně 6 měsíců před uplynutím doby platnosti původního certifikátu informačního systému.
Certifikát informačního systému, který byl vydán před 1. 1. 2024, zůstává platným po dobu platnosti v něm uvedené.