23
Příloha č. 1 k vyhlášce č…. /2014 Sb.
Hodnocení a úrovně důležitosti aktiv
Pro hodnocení důležitosti aktiv jsou použity stupnice o čtyřech úrovních. Orgán nebo
osoba uvedená v § 3 písm. c) až e) zákona může používat odlišný počet úrovní pro hodnocení
důležitosti aktiv, než jaký je uveden v této příloze, pokud doloží jednoznačné vazby mezi jí
používaným způsobem hodnocení důležitosti aktiv a stupnicemi a úrovněmi pro hodnocení
důležitosti aktiv, které jsou uvedeny v této příloze.
V případě použití tří úrovní hodnocení důležitosti aktiv je přípustné sloučit buď
úrovně nízká a střední, nebo úrovně vysoká a kritická.
Stupnice pro hodnocení důvěrnosti
Úroveň
Popis
Ochrana
Nízká
Aktiva jsou veřejně přístupná nebo byla
určena ke zveřejnění (např. na základě
zákona č. 106/1999 Sb. o svobodném
přístupu k informacím, ve znění pozdějších
předpisů).
Narušení
důvěrnosti
aktiv
neohrožuje oprávněné zájmy orgánu a osoby
uvedené v § 3 písm. c) až e) zákona.
Není vyžadována žádná ochrana.
Střední
Aktiva nejsou veřejně přístupná a tvoří
know-how orgánu a osoby uvedené v § 3
písm. c) až e) zákona, ochrana aktiv není
vyžadována žádným právním předpisem
nebo smluvním ujednáním.
Pro ochranu důvěrnosti jsou
využívány prostředky pro řízení
přístupu.
Vysoká
Aktiva nejsou veřejně přístupná a jejich
ochrana je vyžadována právními předpisy,
jinými předpisy nebo smluvními ujednáními
(např. obchodní tajemství podle zákona
č. 89/2012 Sb., občanský zákoník, osobní
údaje
podle
zákona
č. 101/2000 Sb.,
o ochraně
osobních údajů, ve znění
pozdějších předpisů).
Pro ochranu důvěrnosti jsou
využívány
prostředky,
které
zajistí řízení a zaznamenávání
přístupu. Přenosy informací vnější
komunikační sítí jsou chráněny
pomocí
kryptografických
prostředků.
Kritická Aktiva nejsou veřejně přístupná a vyžadují
nadstandardní míru ochrany nad rámec
předchozí kategorie (např. strategické
obchodní tajemství, citlivé osobní údaje).
Pro
ochranu
důvěrnosti
je
požadována evidence osob, které
k aktivům přistoupily, a metody
ochrany zabraňující kompromitaci
ze strany administrátorů. Přenosy
informací jsou chráněny pomocí
kryptografických prostředků.
24
Stupnice pro hodnocení integrity
Úroveň
Popis
Ochrana
Nízká
Aktivum nevyžaduje ochranu z hlediska
integrity.
Narušení
integrity
aktiva
neohrožuje oprávněné zájmy orgánu a osoby
uvedené v § 3 písm. c) až e) zákona.
Není vyžadována žádná ochrana.
Střední
Aktivum může vyžadovat ochranu z hlediska
integrity. Narušení integrity aktiva může vést
k poškození oprávněných zájmů orgánu a
osoby uvedené v § 3 písm. c) až e) zákona a
může se projevit méně závažnými dopady na
primární aktiva.
Pro
ochranu
integrity
jsou
využívány standardní nástroje
(např. omezení přístupových práv
pro zápis).
Vysoká
Aktivum vyžaduje ochranu z hlediska
integrity. Narušení integrity aktiva vede
k poškození oprávněných zájmů orgánu a
osoby uvedené v § 3 písm. c) až e) zákona
s podstatnými dopady na primární aktiva.
Pro
ochranu
integrity
jsou
využívány speciální prostředky,
které dovolují sledovat historii
provedených změn a zaznamenat
identitu osoby provádějící změnu.
Ochrana
integrity
informací
přenášených
vnějšími
komunikačními sítěmi je zajištěna
pomocí
kryptografických
prostředků.
Kritická Aktivum vyžaduje ochranu z hlediska
integrity. Narušení integrity vede k velmi
vážnému poškození oprávněných zájmů
orgánu a osoby uvedené v § 3 písm. c) až e)
zákona s přímými a velmi vážnými dopady
na primární aktiva.
Pro
ochranu
integrity
jsou
využívány speciální prostředky
jednoznačné identifikace osoby
provádějící změnu (např. pomocí
technologie digitálního podpisu).
Stupnice pro hodnocení dostupnosti
Úroveň
Popis
Ochrana
Nízká
Narušení dostupnosti aktiva není důležité a
v případě výpadku je běžně tolerováno delší
časové období pro nápravu (cca do 1 týdne).
Pro
ochranu
dostupnosti
je
postačující pravidelné zálohování.
Střední
Narušení dostupnosti aktiva by nemělo
překročit
dobu
pracovního
dne,
dlouhodobější výpadek vede k možnému
ohrožení zájmů orgánu a osoby uvedené v §
3 písm. c) až e) zákona.
Pro ochranu dostupnosti jsou
využívány
běžné
metody
zálohování a obnovy.
Vysoká
Narušení dostupnosti aktiva by nemělo
překročit dobu několika hodin. Jakýkoli
výpadek je nutné řešit neprodleně, protože
vede k přímému ohrožení zájmů orgánu a
osoby uvedené v § 3 písm. c) až e) zákona.
Pro ochranu dostupnosti jsou
využívány záložní systémy a
obnova poskytování služeb může
být podmíněna zásahy obsluhy či
výměnou technických aktiv.