17
§ 22
Nástroj pro detekci kybernetických bezpečnostních událostí
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst.
2 zákona tím, že používá nástroj pro detekci kybernetických bezpečnostních událostí, který
vychází ze stanovených bezpečnostních potřeb a výsledků hodnocení rizik a který zajistí
ověření, kontrolu a případně zablokování komunikace mezi vnitřní komunikační sítí a vnější
sítí.
(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2
zákona dále tím, že používá nástroj pro detekci kybernetických bezpečnostních událostí, které
zajistí ověření, kontrolu a případně zablokování komunikace
a)
v rámci vnitřní komunikační sítě a
b)
serverů patřících do informačního systému kritické informační infrastruktury a
komunikačního systému kritické informační infrastruktury.
§ 23
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí
(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2
zákona tím, že používá nástroj pro sběr a průběžné vyhodnocení kybernetických
bezpečnostních událostí, který v souladu s bezpečnostními potřebami a výsledky hodnocení
rizik zajistí
a)
integrovaný sběr a vyhodnocení kybernetických bezpečnostních událostí z informačního
systému kritické informační infrastruktury a komunikačního systému kritické informační
infrastruktury,
b)
poskytování informací pro určené bezpečnostní role o detekovaných kybernetických
bezpečnostních událostech v informačním systému kritické informační infrastruktury nebo
komunikačním systému kritické informační infrastruktury a
c)
nepřetržité vyhodnocování kybernetických bezpečnostních událostí s cílem identifikace
kybernetických bezpečnostních incidentů, včetně včasného varování určených bezpečnostních
rolí.
(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2
zákona dále tím, že
a)
zajistí pravidelnou aktualizaci nastavení pravidel pro vyhodnocování kybernetických
bezpečnostních událostí a včasné varování, aby byly omezovány případy nesprávného
vyhodnocení událostí nebo případy falešných varování a
b)
zajistí využívání informací, které jsou připraveny nástrojem pro sběr a vyhodnocení
kybernetických bezpečnostních událostí, pro optimální nastavení bezpečnostních opatření
informačního systému kritické informační infrastruktury a komunikačního systému kritické
informační infrastruktury.
18
§ 24
Aplikační bezpečnost
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst.
2 zákona tím, že provádí bezpečnostní testy zranitelnosti aplikací, které jsou přístupné
z vnější sítě, a to před jejich uvedením do provozu a po každé zásadní změně bezpečnostních
mechanismů.
(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2
zákona dále tím, že v rámci aplikační bezpečnosti zajistí
a)
trvalou ochranu aplikací a informací dostupných z vnější sítě před neoprávněnou
činností, popřením provedených činností, kompromitací nebo neautorizovanou změnou a
b)
trvalou ochranu transakcí před jejich nedokončením, nesprávným směrováním,
neautorizovanou změnou předávaného datového obsahu, kompromitací, neautorizovaným
duplikováním nebo opakováním.
§ 25
Kryptografické prostředky
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst.
2 zákona tím, že
1. pro používání kryptografické ochrany, stanoví
a)
úroveň ochrany s ohledem na typ a sílu kryptografického algoritmu a
b)
pravidla kryptografické ochrany informací při přenosu po komunikačních sítích nebo
při uložení na mobilní zařízení nebo vyměnitelná média,
2. v souladu s bezpečnostními potřebami a výsledky hodnocení rizik používá kryptografické
prostředky, které zajistí ochranu důvěrnosti a integrity předávaných nebo ukládaných dat a
prokázání odpovědnosti za provedené činnosti.
(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2
zákona dále tím, že
a) stanoví pro používání kryptografických prostředků systém správy klíčů, který zajistí
generování, distribuci, ukládání, archivaci, změny, ničení, kontrolu a audit klíčů a
b) používá odolné kryptografické algoritmy a kryptografické klíče; v případě nesouladu
s minimálními požadavky na kryptografické algoritmy uvedenými v příloze č. 3 k této
vyhlášce řídí rizika spojená s tímto nesouladem.
§ 26
Nástroj pro zajišťování úrovně dostupnosti
(1)
Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst. 2
zákona tím, že v souladu s bezpečnostními potřebami a výsledky hodnocení rizik používá
nástroj pro zajišťování úrovně dostupnosti informací.
(2)
Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2
zákona tím, že používá nástroj pro zajišťování úrovně dostupnosti informací, který zajistí
a)
dostupnost informačního systému kritické informační infrastruktury a komunikačního
systému kritické informační infrastruktury pro splnění cílů řízení kontinuity činností,