VyhláŠka ze dne … … 2014 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání V oblasti kybernetické bezpečnosti

19 

 

b)

 

odolnost  informačního  systému  kritické  informační  infrastruktury  a  komunikačního 

systému  kritické  informační  infrastruktury  vůči  kybernetickým  bezpečnostním  incidentům, 

které by mohly snížit dostupnost, 

c)

 

zálohování  důležitých  technických  aktiv  informačního  systému  kritické  informační 

infrastruktury a komunikačního systému kritické informační infrastruktury  

1.

 

využitím redundance v návrhu řešení a 

2.

 

zajištěním náhradních technických aktiv v určeném čase. 

 

§ 27

 

 

Bezpečnost průmyslových a řídicích systémů 

 

Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2 

zákona  tím,  že  pro  bezpečnost  průmyslových  a  řídicích  systémů,  které  jsou  informačním 

systémem  kritické  informační  infrastruktury  nebo  komunikačním  systémem  kritické 

informační infrastruktury anebo jsou jejich součástí, používá nástroje, které zajistí 

a)

 

omezení fyzického přístupu k síti a zařízením průmyslových a řídicích systémů, 

b)

 

omezení propojení a vzdáleného přístupu k síti průmyslových a řídicích systémů, 

c)

 

ochranu jednotlivých technických aktiv průmyslových a řídicích systémů před využitím 

známých zranitelností a 

d)

 

obnovení  chodu  průmyslových  a  řídicích  systémů  po  kybernetickém  bezpečnostním 

incidentu. 

 

HLAVA III 

BEZPEČNOSTNÍ DOKUMENTACE 

§ 28

 

 

Bezpečnostní dokumentace 

 

(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2 

zákona tím, že vede a aktualizuje bezpečnostní dokumentaci, která obsahuje  

a)

 

bezpečnostní politiku podle § 5 odst. 1, 

b)

 

zprávy z  auditu kybernetické bezpečnosti podle § 3 odst. 1 písm. f), 

c)

 

zprávy z přezkoumání systému řízení bezpečnosti informací podle § 3 odst. 1 písm. g), 

d)

 

metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik podle § 

4 odst. 1 písm. a), 

e)

 

zprávu o hodnocení aktiv a rizik podle § 4 odst. 1 písm. b) a c), 

f)

 

prohlášení o aplikovatelnosti podle § 4 odst. 1 písm. d), 

g)

 

plán zvládání rizik podle § 4 odst. 1 písm. e), 

h)

 

plán rozvoje bezpečnostního povědomí podle § 9 odst. 1 písm. a), 

i)

 

zvládání kybernetických bezpečnostních incidentů podle § 13 písm. e), 

j)

 

strategii řízení kontinuity činností podle § 14 odst. 1 písm. c) a 

k)

 

přehled  obecně  závazných  právních  předpisů,  vnitřních  předpisů  a  jiných  předpisů  a 

smluvních závazků podle § 15 odst. 1 písm. a). 

20 

 

 

(2)  Orgán  a  osoba 

uvedená  v  §  3  písm.  e)  zákona 

splní  povinnost  podle  §  4  odst.  2 

zákona dále tím, že

 vede a aktualizuje bezpečnostní dokumentaci, která obsahuje 

a)

 

bezpečnostní politiku podle § 5 odst. 2, 

b)

 

metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik podle § 

4 odst. 2 písm. a), 

c)

 

zprávu o hodnocení aktiv a rizik podle § 4 odst. 2 písm. b) a c), 

d)

 

prohlášení o aplikovatelnosti podle § 4 odst. 2 písm. d), 

e)

 

plán zvládání rizik podle § 4 odst. 2 písm. e), 

f)

 

plán rozvoje bezpečnostního povědomí podle § 9 odst. 1 písm. a), 

g)

 

zvládání kybernetických bezpečnostních incidentů podle § 13 písm. e), 

h)

 

strategii řízení kontinuity činností podle § 14 odst. 1 písm. c) a 

i)

 

přehled  obecně  závazných  právních  předpisů,  vnitřních  předpisů  a  jiných  předpisů  a 

smluvních závazků podle § 15 odst. 1 písm. a). 

 

(3) Orgán a osoba 

uvedená v § 3 písm. c) a d) zákona vede bezpečnostní dokumentaci

 

tak,  aby  záznamy  o  provedených  činnostech  byly  úplné,  čitelné,  snadno  identifikovatelné  a 

aby  se  daly  snadno  vyhledat.  Opatření  potřebná  k identifikaci,  uložení,  ochraně,  vyhledání, 

době platnosti a uspořádání záznamů o provedených činnostech dokumentuje.

 

 

(4) Doporučená struktura bezpečnostní dokumentace je stanovena v příloze č. 4 k této 

vyhlášce. 

§ 29

 

 

Prokázání certifikace  

 

Orgán a osoba uvedená v § 3 písm. c) až e) zákona, jejíž informační systém kritické 

informační  infrastruktury,  komunikační  systém  kritické  informační  infrastruktury  nebo 

významný  informační  systém  je  certifikován  podle  příslušné  technické  normy

1)

 

akreditovaným certifikačním orgánem, a která vede dokumenty obsahující  

a)

 

popis rozsahu systému řízení bezpečnosti informací, 

b)

 

prohlášení politiky a cílů systému řízení bezpečnosti informací, 

c)

 

popis použité metody hodnocení rizik a zprávu o hodnocení rizik, 

d)

 

prohlášení o aplikovatelnosti, 

e)

 

certifikát systému řízení bezpečnosti informací podle ISO/IEC 27001, 

f)

 

záznam  o  přezkoumání  systému  řízení  bezpečnosti  informací  včetně  souvisejících 

vstupů a výstupů přezkoumání a 

g)

 

zprávu  z auditů  provedených  certifikačním  orgánem  včetně  příslušných  záznamů 

o nápravě zjištěných neshod s příslušnou normou, 

splňuje požadavky na zavedení bezpečnostních opatření podle zákona a této vyhlášky. 

 

 

 

 

 

                                                 

1

)

 

ISO/IEC 27001:2013 resp. ČSN ISO/IEC 27001:2014