Certifikace IS malého rozsahu pro Vyhrazené

Postup pro certifikaci IS malého rozsahu určeného pro nakládání s utajovanou informací stupně utajení Vyhrazené

Postup je primárně určen pro podnikatele, kteří žádají o certifikaci informačního systému malého rozsahu určeného pro nakládání s utajovanou informací stupně utajení Vyhrazené.

Postup umožňuje relativně jednoduchým způsobem, který je z velké části automatizovaný, projít celým procesem certifikace IS od podání žádosti, přes tvorbu bezpečnostní dokumentace, nastavení operačního systému až po vydání certifikátu.

Součástí postupu je i možnost stažení příslušných vzorů, návodů, automatizovaného nástroje AuTo4SeSe a dalších potřebných informací. Kompletní archiv je ke stažení zde.

1. Prvním krokem pro zahájení certifikace informačního systému je podání žádosti o certifikaci informačního systému.
2. Po obdržení žádosti NÚKIB zahájí správní řízení o certifikaci informačního systému, v rámci něhož si NÚKIB vyžádá příslušné podklady a sdělí kontaktní údaje na osobu, která bude proces certifikace ze strany NÚKIB zastřešovat.
3. Dalším krokem je splnění podmínek přístupu k utajované informaci stupně utajení Vyhrazené. Podnikatel musí být držitelem osvědčení podnikatele pro stupeň utajení Důvěrné nebo vyšší pro utajované informace, které u něj vznikají nebo jsou mu poskytovány, nebo má vydané prohlášení podnikatele pro stupeň utajení Vyhrazené pro utajované informace, které u něj vznikají nebo jsou mu poskytovány. V oblasti fyzické bezpečnosti musí mít podnikatel zabezpečenou oblast minimálně kategorie Vyhrazené a má pro ni vypracovaný projekt fyzické bezpečnosti minimálně v rozsahu tabulky bodového hodnocení. Zabezpečená oblast musí být vybavena úschovným objektem minimálně typu 1 nebo 1A. Bližší informace k této problematice lze získat u Národního bezpečnostního úřadu, který je gestorem za ochranu utajovaných informací v oblasti průmyslové, administrativní, personální a fyzické bezpečnosti. V případě splnění zákonných předpokladů pro možnost zpracování utajovaných informací stupně utajení Vyhrazené je nutné vyplnit doklad o splnění zákonných předpokladů.
4. Podrobnější popis postupu certifikace je obsažen v dokumentu  "metodický návod certifikace", který popisuje celý proces certifikace krok za krokem. Pro snazší orientaci v procesu certifikace lze použít zjednodušený přehledný postup certifikace.
5. Dalším krokem je personální zajištění správy informačního systému. K tomu je třeba, aby odpovědná osoba pověřila příslušného pracovníka k výkonu role bezpečnostního a provozního správce informačního systému. V případě informačního systému malého rozsahu lze tyto role sloučit a pověřit jejich výkonem jedinou osobu. Při provozu informačního systému pak odpovědná osoba pověřuje i pracovníky do role uživatele a případně ukončuje jejich pověření k výkonu role. Pověření k výkonu role slouží zároveň jako potvrzení prvotního proškolení. Opakované periodické proškolení uživatelů se pak zaznamenává v rámci evidence školení uživatelů.
6. Jedním ze základních předpokladů pro certifikaci informačního systému je vypracovaná bezpečnostní dokumentace informačního systému. Bezpečnostní dokumentace informačního systému musí být prokazatelně schválena odpovědnou osobou nebo bezpečnostním ředitelem podnikatele (vytištěna, podepsána a uložena u bezpečnostního správce informačního systému).
7. Dalším krokem je pak výběr vhodného HW pro pracoviště informačního systému. V případě informačního systému určeného pro nakládání s utajovanou informací stupně utajení Vyhrazené existuje v podstatě jediná omezující podmínka, kterou je zákaz používání bezdrátových technologií. HW a SW součásti informačního systému jsou uvedeny na specifikačním listu pracoviště. Základní jednotka počítače případně notebook musí být opatřen ochranným prvkem a HW komponenty pracoviště informačního systému musí být označeny způsobem uvedeným v metodice.
8. V rámci nastavení zabezpečení je nutné provést nastavení parametrů BIOS/UEFI a nastavení vyplnit do dokladu o nastavení BIOS/UEFI.
9. Po instalaci operačního systému a aplikačního SW je nutné přistoupit k nastavení bezpečnostních atributů operačního systému. Nastavení musí být provedeno v souladu s doporučením NÚKIB. K nastavení lze použít automatizovaný nástroj AuTo4SeSe. Popis práce s nástrojem je uveden v návodu.
10. Pro provoz informačního systému je nutné připravit provozní dokumentaci. Provozní dokumentaci tvoří následující dokumenty: evidence uživatelů, evidence nosičů informací, kniha manipulace s nosiči nebo přenosným počítačem a, provozní deník pracoviště informačního systému. Tyto dokumenty je potřeba upravit podle požadavků uvedených v metodice a následně vytisknout, sešít a nechat podepsat odpovědnou osobou nebo bezpečnostním ředitelem podnikatele.
11. Prvním záznamem v evidenci nosičů bude pevný disk počítače. V případě notebooku lze zaevidovat jako nosič celý notebook (pod jeho sériovým číslem) a do poznámky uvést, že interní pevný disk bude zaevidován až po prvním vyjmutí z počítače.
12. Nyní lze přistoupit k provedení testu bezpečnosti a vyplnění dokladu o provedení testu bezpečnosti.
13. V tuto chvíli by měl bezpečnostní správce informačního systému disponovat vyplněnými a upravenými dokumenty: „10_Bezpecnostni_dokumentace_V.docx“, „21_Splneni_predpokladu_V.docx“, „22_Bezp_nastaveni_BIOS_V.docx“, „23_Specifikacni_list_pracoviste.docx“ a „24_Test_bezpecnosti.docx“. Dále pak soubory „odeslat-datovou-schrankou.txt“ a „odeslat-na-nukib“, které vygeneroval automatizovaný nástroj AuTo4SeSe. Soubor „odeslat-na-nukib“ odešle bezpečnostní správce na e-mail kontaktního pracovníka NÚKIB a zbytek pak systémem datových zpráv (ISDS: zzfnkp3) na NÚKIB.
14. NÚKIB vyhodnotí dodané podklady a na základě nich rozhodne o vydání certifikátu informačního systému, nebo si případně vyžádá jejich doplnění.

Kompletní archiv všech výše uvedených dokumentů je ke stažení zde.