📑 o kybernetické bezpečnosti 📅 15. 12. 2016 👁 9998

VYHLÁSKA ze dne 15. prosince 2014 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech

316
VYHLÁSKA

ze dne 15. prosince 2014

o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech,
reaktivních opatřeních a o stanovení nálezitostí podání v oblasti kybernetické bezpečnosti
(vyhláska o kybernetické bezpečnosti)

 

 


Národní bezpečnostní úřad stanoví podle § 28 odst. 2 zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), (dále jen ˙zákon˙) k provedení § 6 písm. a) az c), § 8 odst. 4, § 13 odst. 4 a § 16 odst. 6 zákona.


ČÁST PRVNÍ
ÚVODNÍ USTANOVENÍ

§ 1

Předmět úpravy

Touto vyhláskou se stanoví obsah a struktura bezpečnostní dokumentace pro informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury nebo významný informační systém, obsah bezpečnostních opatření, rozsah jejich zavedení, typy a kategorie kybernetických bezpečnostních incidentů, nálezitosti a způsob hlásení kybernetického bezpečnostního incidentu, nálezitosti oznámení o provedení reaktivního opatření a jeho výsledku a vzor oznámení kontaktních údajů a jeho formu.

§ 2

Vymezení pojmů

V této vyhlásce se rozumí
a) systémem řízení bezpečnosti informací část systému řízení orgánu a osoby uvedené v § 3 písm. c) az e) zákona zalozená na přístupu k rizikům informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému, která stanoví způsob ustavení, zavádění, provoz, monitorování, přezkoumání, udrzování a zlepsování bezpečnosti informací,
b) aktivem primární aktivum a podpůrné aktivum,
c) primárním aktivem informace nebo sluzba, kterou zpracovává nebo poskytuje informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury nebo významný informační systém,
d) podpůrným aktivem technické aktivum, zaměstnanci a dodavatelé podílející se na provozu, rozvoji, správě nebo bezpečnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního sy-stému,
e) technickým aktivem technické vybavení, komunikační prostředky a programové vybavení informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému a objekty, ve kterých jsou tyto systémy umístěny,
f) rizikem moznost, ze určitá hrozba vyuzije zranitelnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému a způsobí poskození aktiva,
g) hodnocením rizik proces, při němz je určována významnost rizik a jejich přijatelná úroveň,
h) řízením rizik činnost zahrnující hodnocení rizik, výběr a zavedení opatření ke zvládání rizik, sdílení informací o riziku a sledování a přezkoumání rizik,
i) hrozbou potencionální příčina kybernetické bezpečnostní události nebo kybernetického bezpečnostního incidentu, jejímz výsledkem můze být poskození aktiva,
j) zranitelností slabé místo aktiva nebo bezpečnostního opatření, které můze být zneuzito jednou nebo více hrozbami,
k) přijatelným rizikem riziko zbývající po uplatnění bezpečnostních opatření, jehoz úroveň odpovídá kritériím pro přijatelnost rizik,
l) bezpečnostní politikou soubor zásad a pravidel, které určují způsob zajistění ochrany aktiv orgánem a osobou uvedenou v § 3 písm. c) az e) zákona,
m) garantem aktiva fyzická osoba pověřená orgánem nebo osobou uvedenou v § 3 písm. c) az e) zákona k zajistění rozvoje, pouzití a bezpečnosti aktiva,
n) uzivatelem fyzická nebo právnická osoba anebo orgán veřejné moci, která vyuzívá primární aktiva,
o) administrátorem fyzická osoba pověřená garantem aktiva zajisťující správu, provoz, pouzití, údrzbu a bezpečnost technického aktiva.


ČÁST DRUHÁ
BEZPEČNOSTNÍ OPATŘENÍ

HLAVA I

ORGANIZAČNÍ OPATŘENÍ

§ 3


Systém řízení bezpečnosti informací

(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona v rámci systému řízení bezpečnosti informací
a) stanoví s ohledem na aktiva a organizační bezpečnost rozsah a hranice systému řízení bezpečnosti informací, ve kterém určí, kterých organizačních částí a technických prvků se systém řízení bezpečnosti informací týká,
b) řídí rizika podle § 4 odst. 1,
c) vytvoří a schválí bezpečnostní politiku v oblasti systému řízení bezpečnosti informací, která obsahuje hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací a na základě bezpečnostních potřeb a výsledků hodnocení rizik stanoví bezpečnostní politiku v dalsích oblastech podle § 5 a zavede příslusná bezpečnostní opatření,
d) monitoruje účinnost bezpečnostních opatření,
e) vyhodnocuje vhodnost a účinnost bezpečnostní politiky podle § 5,
f) zajistí provedení auditu kybernetické bezpečnosti podle § 15, a to nejméně jednou ročně,
g) zajistí vyhodnocení účinnosti systému řízení bezpečnosti informací, které obsahuje hodnocení stavu systému řízení bezpečnosti informací včetně revize hodnocení rizik, posouzení výsledků provedených kontrol a auditů kybernetické bezpečnosti a dopadů kybernetických bezpečnostních incidentů na systém řízení bezpečnosti informací, a to nejméně jednou ročně,
h) aktualizuje systém řízení bezpečnosti informací a příslusnou dokumentaci na základě zjistění auditů kybernetické bezpečnosti, výsledků vyhodnocení účinnosti systému řízení bezpečnosti informací a v souvislosti s prováděnými nebo plánovanými změnami a
i) řídí provoz a zdroje systému řízení bezpečnosti informací, zaznamenává činnosti spojené se systémem řízení bezpečnosti informací a řízením rizik.

(2) Orgán a osoba uvedená v § 3 písm. e) zákona v rámci systému řízení bezpečnosti informací
a) řídí rizika podle § 4 odst. 2,
b) vytvoří a schválí bezpečnostní politiku v oblasti systému řízení bezpečnosti informací, která obsahuje hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací a na základě bezpečnostních potřeb a výsledků hodnocení rizik stanoví bezpečnostní politiku v dalsích oblastech podle § 5, a zavede příslusná bezpečnostní opatření a
c) provádí aktualizaci zprávy o hodnocení aktiv a rizik, bezpečnostní politiky, plánu zvládání rizik a plánu rozvoje bezpečnostního povědomí, a to nejméně jednou za tři roky nebo v souvislosti s prováděnými nebo plánovanými změnami.

§ 4

Řízení rizik

(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona v rámci řízení rizik
a) stanoví metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik včetně stanovení kritérií pro přijatelnost rizik,
b) identifikuje a hodnotí důlezitost aktiv, která patří do rozsahu systému řízení bezpečnosti informací, podle § 8 v rozsahu přílohy č. 1 k této vyhlásce a výstupy zapracuje do zprávy o hodnocení aktiv a rizik,
c) identifikuje rizika, při kterých zohlední hrozby a zranitelnosti, posoudí mozné dopady na aktiva, hodnotí tato rizika minimálně v rozsahu podle přílohy č. 2 k této vyhlásce, určí a schválí přijatelná rizika a zpracuje zprávu o hodnocení aktiv a rizik,
d) zpracuje na základě bezpečnostních potřeb a výsledků hodnocení rizik prohlásení o aplikovatelnosti, které obsahuje přehled vybraných a zavedených bezpečnostních opatření,
e) zpracuje a zavede plán zvládání rizik, který obsahuje cíle a přínosy bezpečnostních opatření pro zvládání rizik, určení osoby zajisťující prosazování bezpečnostních opatření pro zvládání rizik, potřebné finanční, technické, lidské a informační zdroje, termín jejich zavedení a popis vazeb mezi riziky a příslusnými bezpečnostními opatřeními a
f) zohlední bez zbytečného odkladu reaktivní a ochranná opatření vydaná Národním bezpečnostním úřadem (dále jen ˙Úřad˙) v hodnocení rizik a v případě, ze hodnocení rizik aktualizované o nové zranitelnosti spojené s realizací reaktivního nebo ochranného opatření překročí stanovená kritéria pro přijatelnost rizik, doplní plán zvládání rizik.

(2) Orgán a osoba uvedená v § 3 písm. e) zákona v rámci řízení rizik
a) stanoví metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik včetně stanovení kritérií pro přijatelnost rizik,
b) identifikuje a hodnotí důlezitost primárních aktiv, která patří do rozsahu systému řízení bezpečnosti informací, podle § 8 minimálně v rozsahu přílohy č. 1 k této vyhlásce a výstupy zapracuje do zprávy o hodnocení aktiv a rizik,
c) identifikuje rizika, při kterých zohlední hrozby a zranitelnosti, posoudí mozné dopady na primární aktiva, hodnotí tato rizika minimálně v rozsahu podle přílohy č. 2 k této vyhlásce a zpracuje zprávu o hodnocení aktiv a rizik,
d) zpracuje na základě bezpečnostních potřeb a výsledků hodnocení rizik prohlásení o aplikovatelnosti, které obsahuje přehled vybraných a zavedených bezpečnostních opatření,
e) zpracuje a zavede plán zvládání rizik, který obsahuje cíle a přínosy bezpečnostních opatření pro zvládání rizik, určení osoby zajisťující prosazování bezpečnostních opatření pro zvládání rizik, potřebné finanční, technické, lidské a informační zdroje, termíny jejich zavedení a popis vazeb mezi identifikovanými riziky a příslusnými bezpečnostními opatřeními a
f) zohlední bez zbytečného odkladu reaktivní a ochranná opatření vydaná Úřadem v hodnocení rizik a v případě, ze hodnocení rizik aktualizované o nové zranitelnosti spojené s realizací reaktivního nebo ochranného opatření překročí stanovená kritéria pro přijatelnost rizik, doplní plán zvládání rizik.

(3) Řízení rizik můze být zajistěno i jinými způsoby, nez jak je stanoveno v odstavcích 1 a 2, pokud orgán a osoba uvedená v § 3 písm. c) az e) zákona zabezpečí, ze pouzívá opatření zajisťující stejnou nebo vyssí úroveň řízení rizik.

(4) Orgán a osoba uvedená v § 3 písm. c) az e) zákona při hodnocení rizik zvazuje zejména tyto hrozby
a) porusení bezpečnostní politiky, provedení neoprávněných činností, zneuzití oprávnění ze strany uzivatelů a administrátorů,
b) poskození nebo selhání technického anebo programového vybavení,
c) zneuzití identity fyzické osoby,
d) uzívání programového vybavení v rozporu s licenčními podmínkami,
e) kybernetický útok z komunikační sítě,
f) skodlivý kód (například viry, spyware, trojské koně),
g) nedostatky při poskytování sluzeb informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému,
h) narusení fyzické bezpečnosti,
i) přerusení poskytování sluzeb elektronických komunikací nebo dodávek elektrické energie,
j) zneuzití nebo neoprávněná modifikace údajů,
k) trvale působící hrozby a
l) odcizení nebo poskození aktiva.

(5) Orgán a osoba uvedená v § 3 písm. c) az e) zákona při hodnocení rizik zvazuje zejména tyto zranitelnosti
a) nedostatečná ochrana vnějsího perimetru,
b) nedostatečné bezpečnostní povědomí uzivatelů a administrátorů,
c) nedostatečná údrzba informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému,
d) nevhodné nastavení přístupových oprávnění,
e) nedostatečné postupy při identifikování a odhalení negativních bezpečnostních jevů, kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů,
f) nedostatečné monitorování činnosti uzivatelů a administrátorů a neschopnost odhalit jejich nevhodné nebo závadné způsoby chování a
g) nedostatečné stanovení bezpečnostních pravidel, nepřesné nebo nejednoznačné vymezení práv a povinností uzivatelů, administrátorů a bezpečnostních rolí.

(6) Orgán a osoba uvedená v § 3 písm. c) a d) zákona při hodnocení rizik dále zvazuje tyto hrozby
a) porusení bezpečnostní politiky, provedení neoprávněných činností, zneuzití oprávnění ze strany administrátorů kritické informační infrastruktury,
b) pochybení ze strany zaměstnanců,
c) zneuzití vnitřních prostředků, sabotáz,
d) dlouhodobé přerusení poskytování sluzeb elektronických komunikací, dodávky elektrické energie nebo jiných důlezitých sluzeb,
e) nedostatek zaměstnanců s potřebnou odbornou úrovní,
f) cílený kybernetický útok pomocí sociálního inzenýrství, pouzití spionázních technik a
g) zneuzití vyměnitelných technických nosičů dat.

(7) Orgán a osoba uvedená v § 3 písm. c) a d) zákona při hodnocení rizik dále zvazuje tyto zranitelnosti
a) nedostatečná ochrana prostředků kritické informační infrastruktury,
b) nevhodná bezpečnostní architektura,
c) nedostatečná míra nezávislé kontroly a
d) neschopnost včasného odhalení pochybení ze strany zaměstnanců.

§ 5

Bezpečnostní politika

(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona stanoví bezpečnostní politiku v oblastech
a) systém řízení bezpečnosti informací,
b) organizační bezpečnost,
c) řízení vztahů s dodavateli,
d) klasifikace aktiv,
e) bezpečnost lidských zdrojů,
f) řízení provozu a komunikací,
g) řízení přístupu,
h) bezpečné chování uzivatelů,
i) zálohování a obnova,
j) bezpečné předávání a výměna informací,
k) řízení technických zranitelností,
l) bezpečné pouzívání mobilních zařízení,
m) poskytování a nabývání licencí programového vybavení a informací,
n) dlouhodobé ukládání a archivace informací,
o) ochrana osobních údajů,
p) fyzická bezpečnost,
q) bezpečnost komunikační sítě,
r) ochrana před skodlivým kódem,
s) nasazení a pouzívání nástroje pro detekci kybernetických bezpečnostních událostí,
t) vyuzití a údrzba nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí a
u) pouzívání kryptografické ochrany.


(2) Orgán a osoba uvedená v § 3 písm. e) zákona stanoví bezpečnostní politiku v oblastech
a) systém řízení bezpečnosti informací,
b) organizační bezpečnost,
c) řízení dodavatelů,
d) klasifikace aktiv,
e) bezpečnost lidských zdrojů,
f) řízení provozu a komunikací,
g) řízení přístupu,
h) bezpečné chování uzivatelů,
i) zálohování a obnova,
j) poskytování a nabývání licencí programového vybavení a informací,
k) ochrana osobních údajů,
l) pouzívání kryptografické ochrany,
m) ochrana před skodlivým kódem a
n) nasazení a pouzívání nástroje pro detekci kybernetických bezpečnostních událostí.

(3) Orgán a osoba uvedená v § 3 písm. c) az e) zákona pravidelně hodnotí účinnost bezpečnostní politiky a aktualizuje ji.

§ 6

Organizační bezpečnost

(1) Orgán a osoba uvedená v § 3 písm. c) az e) zákona zavede organizaci řízení bezpečnosti informací, v rámci které určí výbor pro řízení kybernetické bezpečnosti a bezpečnostní role a jejich práva a povinnosti související s informačním systémem kritické informační infrastruktury, komunikačním systémem kritické informační infrastruktury nebo významným informačním systémem.

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona určí bezpečnostní role
a) manazer kybernetické bezpečnosti,
b) architekt kybernetické bezpečnosti,
c) auditor kybernetické bezpečnosti a
d) garant aktiva podle § 2 písm. m).

(3) Orgán a osoba uvedená v § 3 písm. e) určí bezpečnostní role přiměřeně podle odstavce 2.

(4) Manazer kybernetické bezpečnosti je osoba, odpovědná za systém řízení bezpečnosti informací, která je pro tuto činnost vyskolena a prokáze odbornou způsobilost praxí s řízením bezpečnosti informací po dobu nejméně tří let.

(5) Architekt kybernetické bezpečnosti je osoba zajisťující návrh a implementaci bezpečnostních opatření, která je pro tuto činnost vyskolena a prokáze odbornou způsobilost praxí s navrhováním bezpečnostní architektury po dobu nejméně tří let.

(6) Auditor kybernetické bezpečnosti je osoba provádějící audit kybernetické bezpečnosti, která je pro tuto činnost vyskolena a prokáze odbornou způsobilost praxí s prováděním auditů kybernetické bezpečnosti po dobu nejméně tří let. Auditor kybernetické bezpečnosti vykonává svoji roli nestranně a výkon jeho role je oddělen od výkonu rolí uvedených v odstavci 2 písm. a), b) nebo d).

(7) Výbor pro řízení kybernetické bezpečnosti je organizovaná skupina tvořená osobami, které jsou pověřeny celkovým řízením a rozvojem informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému, anebo se významně podílejí na řízení a koordinaci činností spojených s kybernetickou bezpečností těchto systémů.

(8) Orgán a osoba uvedená v § 3 písm. c) az e) zákona zajistí odborné skolení osob, které zastávají bezpečnostní role v souladu s plánem rozvoje bezpečnostního povědomí podle § 9 odst. 1 písm. b).

 

§ 7

Stanovení bezpečnostních pozadavků pro dodavatele

(1) Orgán a osoba uvedená v § 3 písm. c) az e) zákona zavede pravidla pro dodavatele, která zohledňují potřeby řízení bezpečnosti informací, a zohlední je u dodavatelů nebo jiných osob, které se podílejí na rozvoji, provozu nebo zajistění bezpečnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému. Rozsah zapojení dodavatelů na rozvoji, provozu nebo zajistění bezpečnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému prokazatelně dokumentuje orgán a osoba uvedená v § 3 písm. c) az e) zákona smlouvou, jejíz součástí je ustanovení o bezpečnosti informací.

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona u dodavatelů uvedených v odstavci 1 dále
a) před uzavřením smlouvy provádí hodnocení rizik podle přílohy č. 2 k této vyhlásce, která jsou spojena s podstatnými dodávkami,
b) uzavírá smlouvu o úrovni sluzeb, která stanoví způsoby a úrovně realizace bezpečnostních opatření a určí vztah vzájemné smluvní odpovědnosti za zavedení a kontrolu bezpečnostních opatření, a
c) provádí pravidelné hodnocení rizik a pravidelnou kontrolu zavedených bezpečnostních opatření u poskytovaných sluzeb a zjistěné ne- dostatky odstraňuje nebo po dohodě s dodavatelem zajistí jejich odstranění.

 

§ 8

Řízení aktiv

(1) Orgán a osoba uvedená v § 3 písm. c) az e) zákona v rámci řízení aktiv
a) identifikuje a eviduje primární aktiva,
b) určí garanty aktiv, kteří jsou odpovědní za primární aktiva, a
c) hodnotí důlezitost primárních aktiv z hlediska důvěrnosti, integrity a dostupnosti a zařadí je do jednotlivých úrovní minimálně v rozsahu podle přílohy č. 1 k této vyhlásce.

(2) Při hodnocení důlezitosti primárních aktiv je třeba předevsím posoudit
a) rozsah a důlezitost osobních údajů nebo obchodního tajemství,
b) rozsah dotčených právních povinností nebo jiných závazků,
c) rozsah narusení vnitřních řídících a kontrolních činností,
d) poskození veřejných, obchodních nebo ekonomických zájmů,
e) mozné finanční ztráty,
f) rozsah narusení bězných činností orgánu a osoby uvedené v § 3 písm. c) az e) zákona,
g) dopady spojené s narusením důvěrnosti, integrity a dostupnosti a
h) dopady na zachování dobrého jména nebo ochranu dobré pověsti.

(3) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále
a) identifikuje a eviduje podpůrná aktiva,
b) určí garanty aktiv, kteří jsou odpovědní za podpůrná aktiva, a
c) určí vazby mezi primárními a podpůrnými aktivy a hodnotí důsledky závislostí mezi primárními a podpůrnými aktivy.

(4) Orgán a osoba uvedená v § 3 písm. c) az e) zákona dále
a) stanoví pravidla ochrany, nutná pro zabezpečení jednotlivých úrovní aktiv tím, ze

1. určí způsoby rozlisování jednotlivých úrovní aktiv,
2. stanoví pravidla pro manipulaci a evidenci s aktivy podle úrovní aktiv, včetně pravidel pro bezpečné elektronické sdílení a fyzické přenásení aktiv a
3. stanoví přípustné způsoby pouzívání aktiv,
b) zavede pravidla ochrany odpovídající úrovni aktiv a
c) určí způsoby pro spolehlivé smazání nebo ničení technických nosičů dat s ohledem na úroveň aktiv.

 

§ 9

Bezpečnost lidských zdrojů

(1) Orgán a osoba uvedená v § 3 písm. c) az e) zákona v rámci řízení bezpečnosti lidských zdrojů
a) stanoví plán rozvoje bezpečnostního povědomí, který obsahuje formu, obsah a rozsah potřebných skolení a určí osoby provádějící realizaci jednotlivých činností, které jsou v plánu uvedeny,
b) v souladu s plánem rozvoje bezpečnostního povědomí zajistí poučení uzivatelů, administrátorů a osob zastávajících bezpečnostní role o jejich povinnostech a o bezpečnostní politice formou vstupních a pravidelných skolení,
c) zajistí kontrolu dodrzování bezpečnostní politiky ze strany uzivatelů, administrátorů a osob zastávajících bezpečnostní role a
d) zajistí vrácení svěřených aktiv a odebrání přístupových oprávnění při ukončení smluvního vztahu s uzivateli, administrátory nebo osobami zastávajícími bezpečnostní role.

(2) Orgán a osoba uvedená v § 3 písm. c) az e) zákona vede o skolení podle odstavce 1 přehledy, které obsahují předmět skolení a seznam osob, které skolení absolvovaly.

(3) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále
a) stanoví pravidla pro určení osob, které budou zastávat bezpečnostní role, role administrátorů nebo uzivatelů,
b) hodnotí účinnost plánu rozvoje bezpečnostního povědomí, provedených skolení a dalsích činností spojených s prohlubováním bezpečnostního povědomí,
c) určí pravidla a postupy pro řesení případů porusení stanovených bezpečnostních pravidel ze strany uzivatelů, administrátorů a osob zastávajících bezpečnostní role a
d) zajistí změnu přístupových oprávnění při změně postavení uzivatelů, administrátorů nebo osob zastávajících bezpečnostní role.

 

§ 10

Řízení provozu a komunikací

(1) Orgán a osoba uvedená v § 3 písm. c) az e) zákona v rámci řízení provozu a komunikací pomocí technických nástrojů uvedených v § 21 az 23 detekuje kybernetické bezpečnostní události, pravidelně vyhodnocuje získané informace a na zjistěné nedos-tatky reaguje v souladu s § 13.

(2) Orgán a osoba uvedená v § 3 písm. c) az e) zákona v rámci řízení provozu a komunikací dále zajisťuje bezpečný provoz informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému. Za tímto účelem stanoví provozní pravidla a postupy.

(3) Provozní pravidla a postupy orgánu a osoby uvedené v § 3 písm. c) a d) zákona obsahují
a) práva a povinnosti osob zastávajících bezpečnostní role, administrátorů a uzivatelů,
b) postupy pro spustění a ukončení chodu systému, pro restart nebo obnovení chodu systému po selhání a pro osetření chybových stavů nebo mimořádných jevů,
c) postupy pro sledování kybernetických bezpečnostních událostí a pro ochranu přístupu k záznamům o těchto činnostech,
d) spojení na kontaktní osoby, které jsou určeny jako podpora při řesení neočekávaných systémových nebo technických potízí,
e) postupy řízení a schvalování provozních změn a
f) postupy pro sledování, plánování a řízení kapacity lidských a technických zdrojů.

(4) Řízení provozu orgánu a osoby uvedené v § 3 písm. c) az e) zákona spočívá v provádění pravidelného zálohování a prověřování pouzitelnosti provedených záloh.

(5) Řízení provozu orgánu a osoby uvedené v § 3 písm. c) a d) zákona spočívá v
a) zajistění oddělení vývojového, testovacího a produkčního prostředí,
b) řesení reaktivních opatření vydaných Úřadem tím, ze orgán a osoba uvedená v § 3 písm. c) a d) zákona

1. posoudí očekávané dopady reaktivního opatření na informační systém kritické informační infrastruktury nebo komunikační systém kritické informační infrastruktury a na zavedená bezpečnostní opatření, vyhodnotí mozné negativní účinky a bez zbytečného odkladu je oznámí Úřadu a

2. stanoví způsob rychlého provedení reaktivního opatření, který minimalizuje mozné negativní účinky, a určí časový plán jeho provedení.

(6) Orgán a osoba uvedená v § 3 písm. c) a d) zákona v rámci řízení komunikací
a) zajisťuje bezpečnost a integritu komunikačních sítí a bezpečnost komunikačních sluzeb podle § 17,
b) určí pravidla a postupy pro ochranu informací, které jsou přenáseny komunikačními sítěmi,
c) provádí výměnu a předávání informací na základě pravidel stanovených právními předpisy za současného zajistění bezpečnosti informací a tato pravidla dokumentuje a
d) s ohledem na klasifikaci aktiv provádí výměnu a předávání informací na základě písemných smluv, jejíchz součástí je ustanovení o bezpečnosti informací.

 

§ 11

Řízení přístupu a bezpečné chování uzivatelů

(1) Orgán a osoba uvedená v § 3 písm. c) az e) zákona na základě provozních a bezpečnostních potřeb řídí přístup k informačnímu systému kritické informační infrastruktury, komunikačnímu systému kritické informační infrastruktury a významnému informačnímu systému a přidělí kazdému uzivateli jednoznačný identifikátor.

(2) Orgán a osoba uvedená v § 3 písm. c) az e) zákona přijme opatření, která slouzí k zajistění ochrany údajů, které jsou pouzívány pro přihlásení uzivatelů a administrátorů informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému podle § 18 a 19, a která brání ve zneuzití těchto údajů neoprávněnou osobou.

(3) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále v rámci řízení přístupu
a) přidělí přistupujícím aplikacím samostatný identifikátor,
b) omezí přidělování administrátorských oprávnění,
c) přiděluje a odebírá přístupová oprávnění v souladu s politikou řízení přístupu,
d) provádí pravidelné přezkoumání nastavení přístupových oprávnění včetně rozdělení jednotlivých uzivatelů v přístupových skupinách nebo rolích,
e) vyuzívá nástroj pro ověřování identity uzivatelů podle § 18 a nástroj pro řízení přístupových oprávnění podle § 19 a
f) zavede bezpečnostní opatření potřebná pro bezpečné pouzívání mobilních zařízení, případně i bezpečnostní opatření spojená s vyuzitím technických zařízení, kterými orgán a osoba uvedená v § 3 písm. c) a d) zákona nedisponuje.

 

§ 12

Akvizice, vývoj a údrzba

(1) Orgán a osoba uvedená v § 3 písm. c) az e) zákona stanoví bezpečnostní pozadavky na změny informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému spojené s jejich akvizicí, vývojem a údrzbou a zahrne je do projektu akvizice, vývoje a údrzby systému.

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále
a) identifikuje, hodnotí a řídí rizika související s akvizicí, vývojem a údrzbou informačního systému kritické informační infrastruktury nebo komunikačního systému kritické informační infrastruktury; pro postupy hodnocení a řízení rizik se metodiky podle § 4 odst. 1 písm. a) pouzijí obdobně,
b) zajistí bezpečnost vývojového prostředí a zajistí ochranu pouzívaných testovacích dat a
c) provádí bezpečnostní testování změn informačního systému kritické informační infrastruktury nebo komunikačního systému kritické informační infrastruktury před jejich zavedením do provozu.

 

§ 13

Zvládání kybernetických bezpečnostních událostí a incidentů

Orgán a osoba uvedená v § 3 písm. c) az e) zákona při zvládání kybernetických událostí a incidentů
a) přijme nezbytná opatření, která zajistí oznamování kybernetických bezpečnostních událostí u informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému ze strany uzivatelů, administrátorů a osob zastávajících bezpečnostní role a o oznámeních vede záznamy,
b) připraví prostředí pro vyhodnocení oznámených kybernetických bezpečnostních událostí a kybernetických bezpečnostních událostí detekovaných technickými nástroji podle § 21 az 23, provádí jejich vyhodnocení a identifikuje kybernetické bezpečnostní incidenty,
c) provádí klasifikaci kybernetických bezpečnostních incidentů, přijímá opatření pro odvrácení a zmírnění dopadu kybernetického bezpečnostního incidentu, provádí hlásení kybernetického bezpečnostního incidentu podle § 32 a zajistí sběr věrohodných podkladů potřebných pro analýzu kybernetického bezpečnostního incidentu,
d) prosetří a určí příčiny kybernetického bezpečnostního incidentu, vyhodnotí účinnost řesení kybernetického bezpečnostního incidentu a na základě vyhodnocení stanoví nutná bezpečnostní opatření k zamezení opakování řeseného kybernetického bezpečnostního incidentu a
e) dokumentuje zvládání kybernetických bezpečnostních incidentů.

 

§ 14

Řízení kontinuity činností

(1) Orgán a osoba uvedená v § 3 písm. c) az e) zákona v rámci řízení kontinuity činností stanoví
a) práva a povinnosti garantů aktiv, administrátorů a osob zastávajících bezpečnostní role,
b) cíle řízení kontinuity činností formou určení

1. minimální úrovně poskytovaných sluzeb, která je přijatelná pro uzívání, provoz a správu informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému,

2. doby obnovení chodu, během které bude po kybernetickém bezpečnostním incidentu obnovena minimální úroveň poskytovaných sluzeb informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému, a

3. dobu obnovení dat jako termínu, ke kterému budou obnovena data po kybernetickém bezpečnostním incidentu, a
c) strategii řízení kontinuity činností, která obsahuje naplnění cílů podle písmene b).

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále
a) vyhodnotí a dokumentuje mozné dopady kybernetických bezpečnostních incidentů a posoudí mozná rizika související s ohrozením kontinuity činností,
b) stanoví, aktualizuje a pravidelně testuje plány kontinuity činností informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury,
c) realizuje opatření pro zvýsení odolnosti informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury vůči kybernetickému bezpečnostnímu incidentu a vyuzívá nástroj pro zajisťování úrovně dostupnosti podle § 26 a
d) stanoví a aktualizuje postupy pro provedení opatření vydaných Úřadem podle § 13 a 14 zákona, ve kterých zohlední

1. výsledky hodnocení rizik provedení opatření,
2. stav dotčených bezpečnostních opatření a
3. vyhodnocení případných negativních dopadů na provoz a bezpečnost informačního systému kritické informační infrastruktury nebo komunikačního systému kritické informační infrastruktury.

 

§ 15

Kontrola a audit kritické informační infrastruktury a významných informačních systémů

(1) Orgán a osoba uvedená v § 3 písm. c) az e) zákona v rámci kontroly a auditu kritické informační infrastruktury a významných informačních systémů (dále jen ˙audit kybernetické bezpečnosti˙)
a) posuzuje soulad bezpečnostních opatření s právními předpisy, vnitřními předpisy, jinými předpisy a smluvními závazky vztahujícími se k informačnímu systému kritické informační infrastruktury, komunikačnímu systému kritické informační infrastruktury a významnému informačnímu systému a určí opatření pro jeho prosazování a
b) provádí a dokumentuje pravidelné kontroly dodrzování bezpečnostní politiky a výsledky těchto kontrol zohlední v plánu rozvoje bezpečnostního povědomí a plánu zvládání rizik.

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona zajisťuje provedení auditu kybernetické bezpečnosti osobou s odbornou kvalifikací podle § 6 odst. 6, která hodnotí správnost a účinnost zavedených bezpečnostních opatření.

(3) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále pro informační systém kritické informační infrastruktury a komunikační systém kritické informační infrastruktury provádí kontrolu zranitelnosti technických prostředků pomocí automatizovaných nástrojů a jejich odborné vyhodnocení a reaguje na zjistěné zranitelnosti.

 

 

HLAVA II

TECHNICKÁ OPATŘENÍ

§ 16

Fyzická bezpečnost

(1) Orgán a osoba uvedená v § 3 písm. c) az e) zákona v rámci fyzické bezpečnosti
a) přijme nezbytná opatření k zamezení neoprávněnému vstupu do vymezených prostor, kde jsou zpracovávány informace a umístěna technická aktiva informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému,
b) přijme nezbytná opatření k zamezení poskození a zásahům do vymezených prostor, kde jsou uchovány informace a umístěna technická aktiva informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému, a
c) předchází poskození, krádezi nebo zneuzití aktiv nebo přerusení poskytování sluzeb informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému.

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále uplatňuje prostředky fyzické bezpečnosti
a) pro zajistění ochrany na úrovni objektů a
b) pro zajistění ochrany v rámci objektů zajistěním zvýsené bezpečnosti vymezených prostor, ve kterých jsou umístěna technická aktiva informačního systému kritické informační infrastruktury nebo komunikačního systému kritické informační infrastruktury.

(3) Prostředky fyzické bezpečnosti jsou zejména
a) mechanické zábranné prostředky,
b) zařízení elektrické zabezpečovací signalizace,
c) prostředky omezující působení pozárů,
d) prostředky omezující působení projevů zivelních událostí,
e) systémy pro kontrolu vstupu,
f) kamerové systémy,
g) zařízení pro zajistění ochrany před selháním dodávky elektrického napájení a
h) zařízení pro zajistění optimálních provozních podmínek.

 

§ 17

Nástroj pro ochranu integrity komunikačních sítí

(1) Orgán a osoba uvedená v § 3 písm. c) az e) zákona pro ochranu integrity rozhraní vnějsí komunikační sítě, která není pod správou orgánu nebo osoby, a vnitřní komunikační sítě, která je pod správou orgánu nebo osoby, zavede
a) řízení bezpečného přístupu mezi vnějsí a vnitřní sítí,
b) segmentaci zejména pouzitím demilitarizovaných zón jako speciálního typu sítě pouzívaného ke zvýsení bezpečnosti aplikací dostupných z vnějsí sítě a k zamezení přímé komunikace vnitřní sítě s vnějsí sítí,
c) kryptografické prostředky (§ 25) pro vzdálený přístup, vzdálenou správu nebo pro přístup pomocí bezdrátových technologií a
d) opatření pro odstranění nebo blokování přenásených dat, které neodpovídají pozadavkům na ochranu integrity komunikační sítě.

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále vyuzívá nástroje pro ochranu integrity vnitřní komunikační sítě, které zajistí její segmentaci.

 

§ 18

Nástroj pro ověřování identity uzivatelů

(1) Orgán a osoba uvedená v § 3 písm. c) az e) zákona pouzívá nástroje pro ověření identity uzivatelů a administrátorů informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému.

(2) Nástroj pro ověřování identity uzivatelů a administrátorů zajisťuje ověření identity uzivatelů a administrátorů před zahájením jejich aktivit v informačním systému kritické informační infrastruktury, komunikačním systému kritické informační infrastruktury a významném informačním systému.

(3) Nástroj pro ověřování identity uzivatelů, který pouzívá autentizaci pouze heslem, zajisťuje
a) minimální délku hesla osm znaků,
b) minimální slozitost hesla tak, ze heslo bude obsahovat alespoň 3 z následujících čtyř pozadavků

1. nejméně jedno velké písmeno,
2. nejméně jedno malé písmeno,
3. nejméně jednu číslici, nebo
4. nejméně jeden speciální znak odlisný od pozadavků uvedených v bodech 1 az 3,
c)maximální dobu pro povinnou výměnu hesla nepřesahující sto dnů; tento pozadavek není vyzadován pro samostatné identifikátory aplikací.

(4) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále
a) pouzívá nástroj pro ověření identity, který
1. zamezí opětovnému pouzívání dříve pouzívaných hesel a neumozní více změn hesla jednoho uzivatele během stanoveného období, které musí být nejméně 24 hodin, a
2. provádí opětovné ověření identity po určené době nečinnosti a
b)vyuzívá nástroj pro ověřování identity administrátorů. V případě, ze tento nástroj vyuzívá autentizaci heslem, zajistí prosazení minimální délky hesla patnáct znaků při dodrzení pozadavků podle odstavce 3 písm. b) a c).

(5) Nástroj pro ověřování identity uzivatelů můze být zajistěn i jinými způsoby, nez jaké jsou stanoveny v odstavcích 3 az 5, pokud orgán a osoba uvedená v § 3 písm. c) az e) zákona zabezpečí, ze pouzívá opatření zajisťující stejnou nebo vyssí úroveň odolnosti hesla.

 

§ 19

Nástroj pro řízení přístupových oprávnění

(1) Orgán a osoba uvedená v § 3 písm. c) az e) zákona pouzívá nástroj pro řízení přístupových oprávnění, kterým zajistí řízení oprávnění
a) pro přístup k jednotlivým aplikacím a datům a
b) pro čtení dat, pro zápis dat a pro změnu oprávnění.

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále pouzívá nástroj pro řízení přístupových oprávnění, který zaznamenává pouzití přístupových oprávnění v souladu s bezpečnostními potřebami a výsledky hodnocení rizik.

 

§ 20

Nástroj pro ochranu před skodlivým kódem

Orgán a osoba uvedená v § 3 písm. c) az e) zákona pro řízení rizik spojených s působením skodlivého kódu pouzívá nástroj pro ochranu informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému před skodlivým kódem, který zajistí ověření a stálou kontrolu
a) komunikace mezi vnitřní sítí a vnějsí sítí,
b) serverů a sdílených datových úlozisť a
c) pracovních stanic,

přičemz provádí pravidelnou a účinnou aktualizaci nástroje pro ochranu před skodlivým kódem, jeho definic a signatur.

 

§ 21

Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uzivatelů a administrátorů

(1) Orgán a osoba uvedená v § 3 písm. c) az e) zákona pouzívá nástroj pro zaznamenávání činností informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému, který zajistí
a) sběr informací o provozních a bezpečnostních činnostech, zejména typ činnosti, datum a čas, identifikaci technického aktiva, které činnost zaznamenalo, identifikaci původce a místa činnosti a úspěsnost nebo neúspěsnost činnosti a
b) ochranu získaných informací před neoprávněným čtením nebo změnou.

(2) Orgán a osoba uvedená v § 3 písm. c) az e) zákona dále pomocí nástroje pro zaznamenávání činnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému zaznamenává
a) přihlásení a odhlásení uzivatelů a administrátorů,
b) činnosti provedené administrátory,
c) činnosti vedoucí ke změně přístupových oprávnění,
d) neprovedení činností v důsledku nedostatku přístupových oprávnění a dalsí neúspěsné činnosti uzivatelů,
e) zahájení a ukončení činností technických aktiv informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému,
f) automatická varovná nebo chybová hlásení technických aktiv,
g) přístupy k záznamům o činnostech, pokusy o manipulaci se záznamy o činnostech a změny nastavení nástroje pro zaznamenávání činností a
h) pouzití mechanismů identifikace a autentizace včetně změny údajů, které slouzí k přihlásení.

(3) Orgán a osoba uvedená v § 3 písm. c) a d) zákona záznamy činností zaznamenané podle odstavce 2 uchovává nejméně po dobu 3 měsíců.

(4) Orgán a osoba uvedená v § 3 písm. c) az e) zákona zajisťuje nejméně jednou za 24 hodin syn-chronizaci jednotného systémového času technických aktiv patřících do informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému.

 


§ 22

Nástroj pro detekci kybernetických bezpečnostních událostí

(1) Orgán a osoba uvedená v § 3 písm. c) az e) zákona pouzívá nástroj pro detekci kybernetických bezpečnostních událostí, který vychází ze stanovených bezpečnostních potřeb a výsledků hodnocení rizik a který zajistí ověření, kontrolu a případně zablokování komunikace mezi vnitřní komunikační sítí a vnějsí sítí.

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále pouzívá nástroj pro detekci kybernetických bezpečnostních událostí, které zajistí ověření, kontrolu a případně zablokování komunikace
a) v rámci vnitřní komunikační sítě a
b) serverů patřících do informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury.

 

§ 23

Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí

(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona pouzívá nástroj pro sběr a průbězné vyhodnocení kybernetických bezpečnostních událostí, který v souladu s bezpečnostními potřebami a výsledky hodnocení rizik zajistí
a) integrovaný sběr a vyhodnocení kybernetických bezpečnostních událostí z informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury,
b) poskytování informací pro určené bezpečnostní role o detekovaných kybernetických bezpečnostních událostech v informačním systému kritické informační infrastruktury nebo komunikačním systému kritické informační infrastruktury a
c) nepřetrzité vyhodnocování kybernetických bezpečnostních událostí s cílem identifikace kybernetických bezpečnostních incidentů, včetně včasného varování určených bezpečnostních rolí.

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále zajistí
a) pravidelnou aktualizaci nastavení pravidel pro vyhodnocování kybernetických bezpečnostních událostí a včasné varování, aby byly omezovány případy nesprávného vyhodnocení událostí nebo případy falesných varování, a
b) vyuzívání informací, které jsou připraveny nástrojem pro sběr a vyhodnocení kybernetických bezpečnostních událostí, pro optimální nastavení bezpečnostních opatření informačního sy-stému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury.

 

§ 24

Aplikační bezpečnost

(1) Orgán a osoba uvedená v § 3 písm. c) az e) zákona provádí bezpečnostní testy zranitelnosti aplikací, které jsou přístupné z vnějsí sítě, a to před jejich uvedením do provozu a po kazdé zásadní změně bezpečnostních mechanismů.

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále v rámci aplikační bezpečnosti zajistí trvalou ochranu
a) aplikací a informací dostupných z vnějsí sítě před neoprávněnou činností, popřením provedených činností, kompromitací nebo neautorizovanou změnou a
b) transakcí před jejich nedokončením, nesprávným směrováním, neautorizovanou změnou předávaného datového obsahu, kompromitací, neautorizovaným duplikováním nebo opakováním.

 

§ 25

Kryptografické prostředky

(1) Orgán a osoba uvedená v § 3 písm. c) az e) zákona
a) pro pouzívání kryptografické ochrany stanoví

1. úroveň ochrany s ohledem na typ a sílu kryptografického algoritmu a

2. pravidla kryptografické ochrany informací při přenosu po komunikačních sítích nebo při ulození na mobilní zařízení nebo vyměnitelné technické nosiče dat a
b) v souladu s bezpečnostními potřebami a výsledky hodnocení rizik pouzívá kryptografické prostředky, které zajistí ochranu důvěrnosti a integrity předávaných nebo ukládaných dat a průkaznou identifikaci osoby za provedené činnosti.

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále
a) stanoví pro pouzívání kryptografických prostředků systém správy klíčů, který zajistí generování, distribuci, ukládání, archivaci, změny, ničení, kontrolu a audit klíčů, a
b) pouzívá odolné kryptografické algoritmy a kryptografické klíče; v případě nesouladu s minimálními pozadavky na kryptografické algoritmy uvedenými v příloze č. 3 k této vyhlásce řídí rizika spojená s tímto nesouladem.

 

§ 26

Nástroj pro zajisťování úrovně dostupnosti

(1) Orgán a osoba uvedená v § 3 písm. c) az e) zákona v souladu s bezpečnostními potřebami a výsledky hodnocení rizik pouzívá nástroj pro zajisťování úrovně dostupnosti informací.

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona pouzívá nástroj pro zajisťování úrovně dostupnosti informací, který zajistí
a) dostupnost informačního systému kritické informační infrastruktury a komunikačního sy-stému kritické informační infrastruktury pro splnění cílů řízení kontinuity činností,
b) odolnost informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury vůči kybernetickým bezpečnostním incidentům, které by mohly snízit dostupnost, a
c) zálohování důlezitých technických aktiv informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury

1. vyuzitím redundance v návrhu řesení a

2. zajistěním náhradních technických aktiv v určeném čase.

 

§ 27

Bezpečnost průmyslových a řídicích systémů

Orgán a osoba uvedená v § 3 písm. c) a d) zákona pro bezpečnost průmyslových a řídicích systémů, které jsou informačním systémem kritické informační infrastruktury nebo komunikačním systémem kritické informační infrastruktury anebo jsou jejich součástí, pouzívá nástroje, které zajistí
a) omezení fyzického přístupu k síti a zařízením průmyslových a řídicích systémů,
b) omezení propojení a vzdáleného přístupu k síti průmyslových a řídicích systémů,
c) ochranu jednotlivých technických aktiv průmyslových a řídicích systémů před vyuzitím známých zranitelností a
d) obnovení chodu průmyslových a řídicích systémů po kybernetickém bezpečnostním incidentu.

 

HLAVA III

BEZPEČNOSTNÍ DOKUMENTACE

§ 28

Bezpečnostní dokumentace

(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona vede a aktualizuje bezpečnostní dokumentaci, která obsahuje
a) bezpečnostní politiku podle § 5 odst. 1,
b) zprávy z auditu kybernetické bezpečnosti podle § 3 odst. 1 písm. f),
c) zprávy z přezkoumání systému řízení bezpečnosti informací podle § 3 odst. 1 písm. g),
d) metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik,
e) zprávu o hodnocení aktiv a rizik,
f) prohlásení o aplikovatelnosti,
g) plán zvládání rizik,
h) plán rozvoje bezpečnostního povědomí podle § 9 odst. 1 písm. a),
i) zvládání kybernetických bezpečnostních incidentů podle § 13 písm. e),
j) strategii řízení kontinuity činností podle § 14 odst. 1 písm. c) a
k) přehled právních předpisů, vnitřních předpisů a jiných předpisů a smluvních závazků podle § 15 odst. 1 písm. a).

(2) Orgán a osoba uvedená v § 3 písm. e) zákona vede a aktualizuje bezpečnostní dokumentaci, která obsahuje
a) bezpečnostní politiku podle § 5 odst. 2,
b) metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik podle § 4 odst. 2 písm. a),
c) zprávu o hodnocení aktiv a rizik podle § 4 odst. 2 písm. b) a c),
d) prohlásení o aplikovatelnosti podle § 4 odst. 2 písm. d),
e) plán zvládání rizik podle § 4 odst. 2 písm. e),
f) plán rozvoje bezpečnostního povědomí podle § 9 odst. 1 písm. a),
g) zvládání kybernetických bezpečnostních incidentů podle § 13 písm. e),
h) strategii řízení kontinuity činností podle § 14 odst. 1 písm. c) a
i) přehled právních předpisů, vnitřních předpisů a jiných předpisů a smluvních závazků podle § 15 odst. 1 písm. a).

(3) Orgán a osoba uvedená v § 3 písm. c) az e) zákona vede bezpečnostní dokumentaci tak, aby záznamy o provedených činnostech byly úplné, čitelné, snadno identifikovatelné a aby se daly snadno vyhledat. Opatření potřebná k identifikaci, ulození, ochraně, vyhledání, době platnosti a uspořádání záznamů o provedených činnostech dokumentuje.

(4) Doporučená struktura bezpečnostní dokumentace je stanovena v příloze č. 4 k této vyhlásce.

 


§ 29

Prokázání certifikace

Orgán a osoba uvedená v § 3 písm. c) az e) zákona, jejíz informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury nebo významný informační systém je zcela zahrnut do rozsahu systému řízení bezpečnosti informací, který byl certifikován podle příslusné technické normy1) akreditovaným certifikačním orgánem, a která vede dokumenty obsahující
a) popis rozsahu systému řízení bezpečnosti informací,
b) prohlásení politiky a cílů systému řízení bezpečnosti informací,
c) popis pouzité metody hodnocení rizik a zprávu o hodnocení rizik,
d) prohlásení o aplikovatelnosti,
e) certifikát systému řízení bezpečnosti informací splňující pozadavky příslusné technické normy zabývající se bezpečností informací1),
f) záznam o přezkoumání systému řízení bezpečnosti informací včetně souvisejících vstupů a výstupů přezkoumání a
g) zprávu z auditů provedených certifikačním orgánem včetně příslusných záznamů o nápravě zjistěných neshod s příslusnou normou,
splňuje pozadavky na zavedení bezpečnostních opatření podle zákona a této vyhlásky.

 


ČÁST TŘETÍ

KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT

§ 30

Typy kybernetických bezpečnostních incidentů

(1) Podle příčiny jsou kybernetické bezpečnostní incidenty rozděleny do následujících typů
a) kybernetický bezpečnostní incident způsobený kybernetickým útokem nebo jinou událostí vedoucí k průniku do systému nebo k omezení dostupnosti sluzeb,
b) kybernetický bezpečnostní incident způsobený skodlivým kódem,
c) kybernetický bezpečnostní incident způsobený překonáním technických opatření,
d) kybernetický bezpečnostní incident způsobený porusením organizačních opatření,
e) kybernetický bezpečnostní incident spojený s projevem trvale působících hrozeb a