Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti ukládá v § 34 povinnost používat pro nakládání sutajovanými informacemi informační systémy certifikované Národním úřadem pro kybernetickou a informační bezpečnost. Certifikace informačních systémů se provádí podle § 46 a § 48 uvedeného zákona a podle § 24, § 25 a § 26 vyhlášky č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor.

Žádost o certifikaci informačního systému obsahuje

  • identifikaci žadatele
  • jméno a příjmení kontaktního pracovníka žadatele a kontaktní spojení,
  • stručný popis účelu a rozsahu informačního systému,
  • stupeň utajení utajovaných informací, se kterými bude informační systém nakládat,
  • stanovení bezpečnostního provozního módu informačního systému a
  • identifikaci dodavatele informačního systému nebo jeho komponent ovlivňujících bezpečnost informačního systému.

K provedení certifikace informačního systému žadatel předloží následující podklady

  • bezpečnostní politiku informačního systému a výsledky analýzy rizik,
  • návrh bezpečnosti informačního systému,
  • sadu testů bezpečnosti informačního systému, jejich popis a popis výsledků testování,
  • bezpečnostní provozní dokumentaci informačního systému,
  • popis bezpečnosti vývojového prostředí a
  • další podklady nezbytné k certifikaci informačního systému, vyplývající ze specifikace informačního systému.

Národní úřad pro kybernetickou a informační bezpečnost vyhodnotí vhodnost souboru opatření navržených pro dosažení bezpečnosti informačního systému, správnost a úplnost bezpečnostní dokumentace informačního systému a správnost realizace navrženého souboru opatření. Hodnocení se provádí na základě podkladů předložených žadatelem a bezpečnostních testů v provozním prostředí hodnoceného informačního systému.

Zjistí-li Národní úřad pro kybernetickou a informační bezpečnost způsobilost informačního systému k ochraně utajovaných informací, vydá pro něj certifikát informačního systému. V opačném případě rozhodne o nevydání certifikátu. Proti rozhodnutí o nevydání certifikátu informačního systému není odvolání přípustné.

Platnost certifikátu informačního systému je omezena pro stupeň utajení Přísně tajné a Tajné 2 roky, pro stupeň utajení Důvěrné 3 roky a pro stupeň utajení Vyhrazené 5 let.

Má-li být informační systém používán i bezprostředně po uplynutí doby platnosti jeho certifikátu, je žadatel povinen požádat Úřad o certifikaci informačního systému a to nejméně 6 měsíců před uplynutím doby platnosti původního certifikátu informačního systému.

Certifikát informačního systému, který byl vydán podle zákona č. 148/1998 Sb., se po dobu platnosti v něm uvedenou považuje za certifikát informačního systému podle zákona č. 412/2005 Sb.

Certifikát informačního systému, který byl vydán před 1. 8. 2017 Národním bezpečnostním úřadem, zůstává platným po dobu platnosti v něm uvedené.

Certifikace informačního systému zahájená před 1. 8. 2017 Národním bezpečnostním úřadem bude dokončena Národním úřadem pro kybernetickou a informační bezpečnost.