Odstavec předpisu 378/2006 Sb.
Vyhláška Ministerstva informatiky č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb, o požadavcích na nástroje elektronického podpisu a o požadavcích na ochranu dat pro vytváření elektronických značek (vyhláška o postupech kvalifikovaných poskytovatelů certifikačních služeb)
§ 20
§ 20
Bezpečný kryptografický modul
(1) Kryptografický modul, který poskytovatel používá pro činnosti
stanovené zákonem a touto vyhláškou a který splňuje bezpečnostní požadavky
na tyto moduly stanovené
a) ve standardu pro důvěryhodné systémy, který je uveden v bodu 1 přílohy č.
1 této vyhlášky, nebo
b) ve standardu, který je uveden v bodu 11 nebo 12 přílohy č. 1 této
vyhlášky, a to minimálně pro úroveň 3,
je bezpečným kryptografickým modulem.
(2) Bezpečnost postupů, které bezpečný kryptografický modul podporují,
je dostačující, pokud
a) tyto postupy splňují bezpečnostní požadavky na tyto moduly uvedené
ve standardu pro důvěryhodné systémy, který je uveden v bodu 1 přílohy č. 1 této
vyhlášky,
b) je modul používán pouze pro označování vydávaných kvalifikovaných
certifikátů, kvalifikovaných systémových certifikátů, seznamu zneplatněných
certifikátů nebo pro označování kvalifikovaných časových razítek,
c) je nasazení a používání modulu v souladu s technickou dokumentací
modulu výrobce nebo dodavatele,
d) je modul umístěn a používán v prostorech, které jsou zabezpečeny
obdobně jako zabezpečené oblasti kategorie "Důvěrné" podle zvláštního
právního předpisu1).
(3) Splnění požadavků stanovených v odstavci 1 písm. a) se dokládá
dokladem o provedeném hodnocení a certifikaci bezpečného kryptografického
modulu podle požadavků standardu pro tyto moduly, který je uveden v
bodu 8 přílohy č. 1 této vyhlášky, nebo podle požadavků standardu pro
tyto moduly, který je uveden v bodu 9 přílohy č. 1 této vyhlášky.
(4) Splnění požadavků stanovených v odstavci 1 písm. b) se dokládá
dokladem o výsledku hodnocení bezpečného kryptografického modulu podle
odstavce 1 písm. b) a dokladem o vyhodnocení shody podle § 9 odst.
2 písm. f) zákona.
(5) Splnění požadavků stanovených v odstavci 2 se dokládá prostřednictvím
a) bezpečnostní dokumentace,
b) podrobného popisu funkcí a technickou dokumentací bezpečného kryptografického
modulu v rozsahu nutném pro jeho pořízení.
(6) Pokud doklad podle odstavce 3 nebo odstavce 4 pozbyl platnosti
a poskytovatel je schopen zajistit do doby nahrazení kryptografického
modulu bezpečným kryptografickým modulem bezpečnost jeho funkcí na
stejné úrovni, jakou zajišťoval v době před pozbytím platnosti dokladu,
může modul používat za podmínky, že
a) bez zbytečného odkladu uplatní opatření, která přiměřeně eliminují
rizika, na základě kterých pozbyly tyto doklady platnosti,
b) v analýze rizik je jako riziko označen stav, kdy doklad podle odstavce 3 nebo
odstavce 4 pozbyl platnosti,
c) plán pro zvládání krizových situací stanoví opatření, která poskytovatel
uplatní pro zajištění požadované bezpečnosti jeho funkcí,
d) zajistí, aby plnění opatření podle písmene c) bylo kontrolováno tak,
aby bylo možné kdykoliv zjistit, že tato opatření nejsou uplatňována
nebo nejsou uplatňována v plném rozsahu, a ihned zajistit nápravu,
e) zahájí akvizici bezpečného kryptografického modulu.
1) Vyhláška
č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci technických prostředků.