Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti ukládá v § 34 povinnost používat pro nakládání s utajovanými informacemi informační systémy certifikované Národním úřadem pro kybernetickou a informační bezpečnost. Certifikace informačních systémů se provádí podle § 46 a § 48 uvedeného zákona a podle § 24, § 25 a § 26 vyhlášky č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor.
Žádost o certifikaci informačního systému obsahuje
- identifikaci žadatele
- jméno a příjmení kontaktního pracovníka žadatele a kontaktní spojení,
- stručný popis účelu a rozsahu informačního systému,
- stupeň utajení utajovaných informací, se kterými bude informační systém nakládat,
- stanovení bezpečnostního provozního módu informačního systému a
- identifikaci dodavatele informačního systému nebo jeho komponent ovlivňujících bezpečnost informačního systému.
K provedení certifikace informačního systému žadatel předloží následující podklady
- bezpečnostní politiku informačního systému a výsledky analýzy rizik,
- návrh bezpečnosti informačního systému,
- sadu testů bezpečnosti informačního systému, jejich popis a popis výsledků testování,
- bezpečnostní provozní dokumentaci informačního systému,
- popis bezpečnosti vývojového prostředí a
- další podklady nezbytné k certifikaci informačního systému, vyplývající ze specifikace informačního systému.
Národní úřad pro kybernetickou a informační bezpečnost vyhodnotí vhodnost souboru opatření navržených pro dosažení bezpečnosti informačního systému, správnost a úplnost bezpečnostní dokumentace informačního systému a správnost realizace navrženého souboru opatření. Hodnocení se provádí na základě podkladů předložených žadatelem a bezpečnostních testů v provozním prostředí hodnoceného informačního systému.
Zjistí-li Národní úřad pro kybernetickou a informační bezpečnost způsobilost informačního systému k ochraně utajovaných informací, vydá pro něj certifikát informačního systému. V opačném případě rozhodne o nevydání certifikátu. Proti rozhodnutí o nevydání certifikátu informačního systému není odvolání přípustné.
Platnost certifikátu informačního systému je omezena pro stupeň utajení Přísně tajné a Tajné 2 roky, pro stupeň utajení Důvěrné 3 roky a pro stupeň utajení Vyhrazené 5 let.
Má-li být informační systém používán i bezprostředně po uplynutí doby platnosti jeho certifikátu, je žadatel povinen požádat Úřad o certifikaci informačního systému a to nejméně 6 měsíců před uplynutím doby platnosti původního certifikátu informačního systému.
Certifikát informačního systému, který byl vydán podle zákona č. 148/1998 Sb., se po dobu platnosti v něm uvedenou považuje za certifikát informačního systému podle zákona č. 412/2005 Sb.
Certifikát informačního systému, který byl vydán před 1.8.2017 Národním bezpečnostním úřadem, zůstává platným po dobu platnosti v něm uvedené.
Certifikace informačního systému zahájená před 1.8.2017 Národním bezpečnostním úřadem bude dokončena Národním úřadem pro kybernetickou a informační bezpečnost.