19
b)
odolnost informačního systému kritické informační infrastruktury a komunikačního
systému kritické informační infrastruktury vůči kybernetickým bezpečnostním incidentům,
které by mohly snížit dostupnost,
c)
zálohování důležitých technických aktiv informačního systému kritické informační
infrastruktury a komunikačního systému kritické informační infrastruktury
1.
využitím redundance v návrhu řešení a
2.
zajištěním náhradních technických aktiv v určeném čase.
§ 27
Bezpečnost průmyslových a řídicích systémů
Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2
zákona tím, že pro bezpečnost průmyslových a řídicích systémů, které jsou informačním
systémem kritické informační infrastruktury nebo komunikačním systémem kritické
informační infrastruktury anebo jsou jejich součástí, používá nástroje, které zajistí
a)
omezení fyzického přístupu k síti a zařízením průmyslových a řídicích systémů,
b)
omezení propojení a vzdáleného přístupu k síti průmyslových a řídicích systémů,
c)
ochranu jednotlivých technických aktiv průmyslových a řídicích systémů před využitím
známých zranitelností a
d)
obnovení chodu průmyslových a řídicích systémů po kybernetickém bezpečnostním
incidentu.
HLAVA III
BEZPEČNOSTNÍ DOKUMENTACE
§ 28
Bezpečnostní dokumentace
(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2
zákona tím, že vede a aktualizuje bezpečnostní dokumentaci, která obsahuje
a)
bezpečnostní politiku podle § 5 odst. 1,
b)
zprávy z auditu kybernetické bezpečnosti podle § 3 odst. 1 písm. f),
c)
zprávy z přezkoumání systému řízení bezpečnosti informací podle § 3 odst. 1 písm. g),
d)
metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik podle §
4 odst. 1 písm. a),
e)
zprávu o hodnocení aktiv a rizik podle § 4 odst. 1 písm. b) a c),
f)
prohlášení o aplikovatelnosti podle § 4 odst. 1 písm. d),
g)
plán zvládání rizik podle § 4 odst. 1 písm. e),
h)
plán rozvoje bezpečnostního povědomí podle § 9 odst. 1 písm. a),
i)
zvládání kybernetických bezpečnostních incidentů podle § 13 písm. e),
j)
strategii řízení kontinuity činností podle § 14 odst. 1 písm. c) a
k)
přehled obecně závazných právních předpisů, vnitřních předpisů a jiných předpisů a
smluvních závazků podle § 15 odst. 1 písm. a).
20
(2) Orgán a osoba
uvedená v § 3 písm. e) zákona
splní povinnost podle § 4 odst. 2
zákona dále tím, že
vede a aktualizuje bezpečnostní dokumentaci, která obsahuje
a)
bezpečnostní politiku podle § 5 odst. 2,
b)
metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik podle §
4 odst. 2 písm. a),
c)
zprávu o hodnocení aktiv a rizik podle § 4 odst. 2 písm. b) a c),
d)
prohlášení o aplikovatelnosti podle § 4 odst. 2 písm. d),
e)
plán zvládání rizik podle § 4 odst. 2 písm. e),
f)
plán rozvoje bezpečnostního povědomí podle § 9 odst. 1 písm. a),
g)
zvládání kybernetických bezpečnostních incidentů podle § 13 písm. e),
h)
strategii řízení kontinuity činností podle § 14 odst. 1 písm. c) a
i)
přehled obecně závazných právních předpisů, vnitřních předpisů a jiných předpisů a
smluvních závazků podle § 15 odst. 1 písm. a).
(3) Orgán a osoba
uvedená v § 3 písm. c) a d) zákona vede bezpečnostní dokumentaci
tak, aby záznamy o provedených činnostech byly úplné, čitelné, snadno identifikovatelné a
aby se daly snadno vyhledat. Opatření potřebná k identifikaci, uložení, ochraně, vyhledání,
době platnosti a uspořádání záznamů o provedených činnostech dokumentuje.
(4) Doporučená struktura bezpečnostní dokumentace je stanovena v příloze č. 4 k této
vyhlášce.
§ 29
Prokázání certifikace
Orgán a osoba uvedená v § 3 písm. c) až e) zákona, jejíž informační systém kritické
informační infrastruktury, komunikační systém kritické informační infrastruktury nebo
významný informační systém je certifikován podle příslušné technické normy
1)
akreditovaným certifikačním orgánem, a která vede dokumenty obsahující
a)
popis rozsahu systému řízení bezpečnosti informací,
b)
prohlášení politiky a cílů systému řízení bezpečnosti informací,
c)
popis použité metody hodnocení rizik a zprávu o hodnocení rizik,
d)
prohlášení o aplikovatelnosti,
e)
certifikát systému řízení bezpečnosti informací podle ISO/IEC 27001,
f)
záznam o přezkoumání systému řízení bezpečnosti informací včetně souvisejících
vstupů a výstupů přezkoumání a
g)
zprávu z auditů provedených certifikačním orgánem včetně příslušných záznamů
o nápravě zjištěných neshod s příslušnou normou,
splňuje požadavky na zavedení bezpečnostních opatření podle zákona a této vyhlášky.
1
)
ISO/IEC 27001:2013 resp. ČSN ISO/IEC 27001:2014