431
VYHLÁŠKA
ze dne 18. prosince 2024
o provádění certifikace při zabezpečování kryptografické ochrany utajovaných informací a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti
Národní úřad pro kybernetickou a informační bezpečnost stanoví podle § 53 písm. b), c), d) a f) zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění zákona č. 420/2011 Sb., zákona č. 205/2017 Sb. a zákona č. 267/2024 Sb., (dále jen „zákon“):
§ 1
Předmět úpravy
(1)
Tato vyhláška upravuje v návaznosti na předpis Evropské unie1) způsob a podmínky provádění certifikace kryptografického prostředku a obsah certifikační zprávy podle § 46 odst. 13 zákona.
(2)
Tato vyhláška dále upravuje
a)
náležitosti žádosti a opakované žádosti o certifikaci kryptografického prostředku a certifikaci kryptografického pracoviště a dokumentaci nezbytnou k provedení certifikace kryptografického prostředku a certifikace kryptografického pracoviště,
b)
způsob a podmínky provádění certifikace kryptografického pracoviště a obsah certifikační zprávy podle § 46 odst. 13 zákona,
c)
vzor certifikátu kryptografického prostředku a certifikátu kryptografického pracoviště a
d)
náležitosti žádosti o uzavření smlouvy o zajištění činnosti podle § 52 zákona, jejímž předmětem je provádění dílčích úloh při ověřování způsobilosti kryptografického prostředku nebo kryptografického pracoviště.
Kryptografický prostředek
§ 2
Náležitosti žádosti o certifikaci kryptografického prostředku
(1)
Žádost o certifikaci kryptografického prostředku obsahuje
a)
jméno a příjmení kontaktní osoby žadatele a kontaktní spojení, kterým se rozumí alespoň její telefonní číslo a adresa elektronické pošty,
b)
číslo osvědčení podnikatele s uvedením příslušného stupně utajení, je-li žadatelem podnikatel,
c)
typové označení kryptografického prostředku,
d)
určení kryptografického prostředku, zejména účel užití a stupeň utajení, pro který má být kryptografický prostředek používán,
e)
název, popřípadě obchodní firmu a sídlo výrobce kryptografického prostředku a
f)
způsob zajištění výroby a distribuce klíčového nebo heslového materiálu podle právního předpisu upravujícího zajištění kryptografické ochrany utajovaných informací.
(2)
K certifikaci kryptografického prostředku Evropské unie nebo některého jejího členského státu anebo Organizace Severoatlantické smlouvy, který je určen k ochraně utajovaných informací, žadatel předkládá žádost podle odstavce 1 a kopii certifikátu nebo obdobného dokumentu vydaného certifikačním orgánem Evropské unie nebo příslušným národním certifikačním orgánem jejího členského státu anebo Organizací Severoatlantické smlouvy.
§ 3
Náležitosti opakované žádosti o certifikaci kryptografického prostředku
Opakovaná žádost o certifikaci kryptografického prostředku obsahuje
a)
evidenční číslo, datum vydání certifikátu a dobu jeho platnosti,
b)
identifikaci certifikovaného kryptografického prostředku, zejména obchodní název, typové označení, variantní provedení, určení použití kryptografického prostředku, název, popřípadě obchodní firmu a sídlo výrobce kryptografického prostředku,
c)
jméno a příjmení kontaktní osoby žadatele a kontaktní spojení na ni a
d)
odůvodnění potřeby opakované certifikace kryptografického prostředku.
§ 4
Dokumentace nezbytná k provedení certifikace kryptografického prostředku
Dokumentace nezbytná k provedení certifikace kryptografického prostředku obsahuje
a)
určení a vymezení způsobu použití kryptografického prostředku a materiálu k zajištění jeho funkce,
b)
údaj o typu uživatelského prostředí a systémovém začlenění kryptografického prostředku a materiálu k zajištění jeho funkce,
c)
blokové schéma a popis kryptografického prostředku a materiálu k zajištění jeho funkce s vyznačením součinnostních vazeb jednotlivých jeho částí,
d)
popis metod zajištění kryptografické ochrany v kryptografickém prostředku,
e)
popis výroby klíčového materiálu pro kryptografický prostředek a správy klíčového hospodářství podle právního předpisu upravujícího zajištění kryptografické ochrany utajovaných informací,
f)
technický popis a návod k obsluze kryptografického prostředku a materiálu k zajištění jeho funkce,
g)
identifikaci hrozeb způsobilých ohrozit ochranu utajovaných informací při používání kryptografického prostředku, popis technických a organizačních opatření zmírňujících tyto hrozby a zhodnocení zbytkových hrozeb, které nelze zmírnit technickými a organizačními opatřeními,
h)
požadavky na instalaci a vyhodnocení testování kryptografického prostředku a materiálu k zajištění jeho funkce a
i)
již vydané platné certifikáty kryptografického prostředku nebo obdobné dokumenty vydané příslušným orgánem cizí moci nebo platná osvědčení hodnotící způsobilost kryptografického prostředku.
§ 5
Vzor certifikátu kryptografického prostředku a obsah certifikační zprávy
(1)
Vzor certifikátu kryptografického prostředku je uveden v příloze č. 1 k této vyhlášce.
(2)
Přílohou certifikátu kryptografického prostředku je certifikační zpráva, která obsahuje
a)
požadavky na výrobu, dopravu a údržbu kryptografického prostředku,
b)
specifikaci kryptografického prostředku a materiálu k zajištění jeho funkce,
c)
ekvivalentní hodnotu parametru S1 podle právního předpisu upravujícího fyzickou bezpečnost a certifikaci technických prostředků,
d)
údaj o způsobilosti kryptografického prostředku pro ochranu utajovaných informací Evropské unie, nebo Organizace Severoatlantické smlouvy,
e)
podmínky provozování kryptografického prostředku a
f)
požadavky na zajištění obsluhy kryptografického prostředku.
§ 6
Způsob a podmínky provádění certifikace kryptografického prostředku
(1)
Při ověřování způsobilosti kryptografického prostředku k ochraně utajovaných informací Národní úřad pro kybernetickou a informační bezpečnost hodnotí
a)
předloženou dokumentaci a funkčnost deklarovaných režimů činnosti kryptografického prostředku,
b)
kryptografické parametry kryptografického prostředku,
c)
technické parametry kryptografického prostředku,
d)
výrobu klíčového materiálu a jeho distribuci,
e)
materiál k zajištění funkce kryptografického prostředku,
f)
naplnění požadavků na výrobu, provozování a ochranu kryptografického prostředku a materiálu k zajištění jeho funkce,
g)
naplnění požadavků na začlenění kryptografického prostředku do komunikačního nebo informačního systému a
h)
použitelnost kryptografického prostředku pro ochranu utajovaných informací České republiky, Evropské unie, nebo Organizace Severoatlantické smlouvy.
(2)
Pro hodnocený materiál k zajištění funkce kryptografického prostředku vydává Národní úřad pro kybernetickou a informační bezpečnost samostatné schválení materiálu k zajištění funkce kryptografického prostředku a schvalující zprávu materiálu pro zajištění bezpečné funkce kryptografického prostředku.
(3)
Pro certifikaci kryptografického prostředku prováděnou na základě opakované žádosti podle § 3 platí odstavce 1 a 2 obdobně.
Kryptografické pracoviště
§ 7
Náležitosti žádosti o certifikaci kryptografického pracoviště
Žádost o certifikaci kryptografického pracoviště obsahuje
a)
jméno a příjmení kontaktní osoby žadatele a kontaktní spojení na ni,
b)
číslo osvědčení podnikatele s uvedením příslušného stupně utajení, je-li žadatelem podnikatel,
c)
identifikaci kryptografického pracoviště, zejména název, adresu a umístění,
d)
určení kryptografického pracoviště, zejména účel užití,
e)
určení kategorie kryptografického pracoviště podle právního předpisu upravujícího fyzickou bezpečnost a certifikaci technických prostředků a
f)
seznam přikládané dokumentace nezbytné k provedení certifikace kryptografického pracoviště.
§ 8
Náležitosti opakované žádosti o certifikaci kryptografického pracoviště
Opakovaná žádost o certifikaci kryptografického pracoviště obsahuje
a)
evidenční číslo, název kryptografického pracoviště, datum vydání certifikátu a dobu jeho platnosti,
b)
identifikaci certifikovaného kryptografického pracoviště podle § 7 písm. c) až e), a
c)
odůvodnění potřeby opakované certifikace kryptografického pracoviště.
§ 9
Dokumentace nezbytná k provedení certifikace kryptografického pracoviště
Dokumentace nezbytná k provedení certifikace kryptografického pracoviště obsahuje
a)
dokumentaci zabezpečení fyzické bezpečnosti kryptografického pracoviště v rozsahu stanoveném právním předpisem upravujícím fyzickou bezpečnost a certifikaci technických prostředků a
b)
dokumentaci provozně-bezpečnostního zabezpečení kryptografického pracoviště.
§ 10
Vzor certifikátu kryptografického pracoviště a obsah certifikační zprávy
(1)
Vzor certifikátu kryptografického pracoviště je uveden v příloze č. 2 k této vyhlášce.
(2)
Přílohou certifikátu kryptografického pracoviště je certifikační zpráva, která obsahuje
a)
identifikaci kryptografického pracoviště,
b)
podmínky provozování kryptografického pracoviště a
c)
rozsah případných změn, které podmiňují platnost certifikátu kryptografického pracoviště.
§ 11
Způsob a podmínky provádění certifikace kryptografického pracoviště
(1)
Při ověřování způsobilosti kryptografického pracoviště k ochraně utajovaných informací Národní úřad pro kybernetickou a informační bezpečnost hodnotí
a)
předloženou dokumentaci,
b)
účel kryptografického pracoviště a jeho technické vybavení,
c)
provozně-bezpečnostní zabezpečení kryptografického pracoviště podle specifikace kategorie kryptografického pracoviště,
d)
splnění požadavků na fyzickou a personální bezpečnost kryptografického pracoviště a
e)
výsledek kontroly kryptografického pracoviště Národním úřadem pro kybernetickou a informační bezpečnost.
(2)
Pro certifikaci kryptografického pracoviště prováděnou na základě opakované žádosti podle § 8 platí odstavec 1 obdobně.
§ 12
Náležitosti žádosti orgánu státu, právnické osoby podle § 60b zákona nebo podnikatele o uzavření smlouvy o zajištění činnosti provádění dílčích úloh při ověřování způsobilosti kryptografického prostředku a kryptografického pracoviště
(1)
Žádost o uzavření smlouvy s Národním úřadem pro kybernetickou a informační bezpečnost o zajištění činnosti podle § 52 zákona (dále jen „smlouva o zajištění činnosti“), jejímž předmětem je provádění dílčích úloh při ověřování způsobilosti kryptografického prostředku k ochraně utajovaných informací, způsobilosti kryptografického pracoviště určeného k výrobě nebo testování materiálu k zajištění funkce kryptografického prostředku nebo které je centrálním distribučním a evidenčním místem kryptografického materiálu orgánu státu, právnické osoby podle § 60b zákona nebo podnikatele, obsahuje
a)
číslo osvědčení podnikatele s uvedením příslušného stupně utajení, je-li žadatelem podnikatel,
b)
jméno a příjmení kontaktní osoby žadatele a kontaktní spojení na ni a
c)
specifikace činností, které mají být prováděny podle smlouvy o zajištění činnosti.
(2)
Žádost podle odstavce 1 obsahuje dále
a)
adresu umístění pracoviště provádějícího požadované činnosti,
b)
prohlášení odpovědné osoby nebo jí pověřené osoby o splnění požadavků na fyzickou a personální bezpečnost pracoviště,
c)
rozsah požadovaných činností,
d)
personální zabezpečení požadovaných činností a
e)
technické a organizační zajištění požadovaných činností.
Závěrečná ustanovení
§ 13
Přechodná ustanovení
(1)
Kryptografický prostředek, jehož způsobilost byla ověřena podle dosavadního právního předpisu, se považuje za způsobilý i podle tohoto právního předpisu.
(2)
Kryptografické pracoviště, jehož způsobilost byla ověřena podle dosavadního právního předpisu, se považuje za způsobilé i podle tohoto právního předpisu.
§ 14
Zrušovací ustanovení
Zrušují se:
1.
Vyhláška č. 525/2005 Sb., o provádění certifikace při zabezpečování kryptografické ochrany utajovaných informací.
2.
Vyhláška č. 434/2011 Sb., kterou se mění vyhláška č. 525/2005 Sb., o provádění certifikace při zabezpečování kryptografické ochrany utajovaných informací.
§ 15
Účinnost
Tato vyhláška nabývá účinnosti dnem 1. ledna 2025.
Ředitel:
Ing. Kintr v. r.
Příloha č. 1
sbcr2024c431z0431u001.pdf
Příloha č. 2
sbcr2024c431z0431u002.pdf
1)
Rozhodnutí Rady (EU) 2013/488/EU ze dne 23. září 2013 o bezpečnostních pravidlech na ochranu utajovaných informací EU, v platném znění.