25
Aktiva jsou považována jako velmi důležitá.
Kritická Narušení dostupnosti aktiva není přípustné a
i krátkodobá nedostupnost (v řádu několika
minut) vede k vážnému ohrožení zájmů
orgánu a osoby uvedené v § 3 písm. c) až e)
zákona. Aktiva jsou považována jako
kritická.
Pro ochranu dostupnosti jsou
využívány záložní systémy a
obnova poskytování služeb je
krátkodobá a automatizovaná.
26
Příloha č. 2 k vyhlášce č. …/2014 Sb.
Hodnocení rizik
Hodnocení rizik je vyjádřeno jako funkce, kterou ovlivňuje dopad, hrozba a zranitelnost.
Pro hodnocení rizik lze použít zejména tuto funkci
riziko = dopad * hrozba * zranitelnost.
Jednoznačné určení funkce pro určení rizika je nezbytnou součástí metodiky pro identifikaci a
hodnocení rizika.
Stupnice pro hodnocení dopadů
Úroveň
Popis
Nízký
Dopad je v omezeném časovém období a malého rozsahu a nesmí být
katastrofický.
Rozsah případných škod nepřesahuje
a)
10 zraněných osob s následnou hospitalizací po dobu delší než 24 hodin
nebo
b)
finanční nebo materiální ztráty do 2 500 000 Kč anebo
představuje dopad na veřejnost s rozsáhlým omezením nezbytných služeb nebo
jiného závažného zásahu do každodenního života postihujícího nejvýše 100
osob.
Střední
Dopad je omezeného rozsahu a v omezeném časovém období.
Rozsah případných škod se pohybuje v rozmezí
a)
od 11 do 100 osob s následnou hospitalizací po dobu delší než 24 hodin
nebo
b)
finanční nebo materiální ztráty od 2 500 000 Kč do 25 000 000 Kč anebo
představuje dopad na veřejnost s rozsáhlým omezením nezbytných služeb nebo
jiného závažného zásahu do každodenního života postihujícího od 101 do 1 000
osob.
Vysoký
Dopad je omezeného rozsahu, ale trvalý nebo katastrofický.
Rozsah případných škod se pohybuje v rozmezí
a)
do 10 mrtvých a od 11 do 100 osob s následnou hospitalizací po dobu
delší než 24 hodin nebo
b)
finanční nebo materiální ztráty od 25 000 000 Kč do 250 000 000 Kč
anebo
představuje dopad na veřejnost s rozsáhlým omezením nezbytných služeb nebo
jiného závažného zásahu do každodenního života postihujícího od 1 001 do
10 000 osob.
27
Kritický
Dopad je plošný rozsahem, trvalý a katastrofický.
Rozsah případných škod se pohybuje v rozmezí
a)
11 a více mrtvých a 101 a více osob s následnou hospitalizací po dobu
delší než 24 hodin nebo
b)
finanční nebo materiální ztráty převyšující 250 000 000 Kč anebo
představuje dopad na veřejnost s rozsáhlým omezením nezbytných služeb nebo
jiného závažného zásahu do každodenního života postihujícího více než 10 000
osob.
Stupnice pro hodnocení hrozeb
Úroveň
Popis
Nízká
Hrozba neexistuje nebo je málo pravděpodobná. Předpokládaná realizace hrozby
není častější než jednou za 5 let.
Střední
Hrozba je málo pravděpodobná až pravděpodobná. Předpokládaná realizace
hrozby je v rozpětí od 1 roku do 5 let.
Vysoká
Hrozba je pravděpodobná až velmi pravděpodobná. Předpokládaná realizace
hrozby je v rozpětí od 1 měsíce do 1 roku.
Kritická
Hrozba je velmi pravděpodobná až víceméně jistá. Předpokládaná realizace
hrozby je častější než jednou za měsíc.
Stupnice pro hodnocení zranitelností
Úroveň
Popis
Nízká
Zranitelnost neexistuje nebo je zneužití zranitelnosti málo pravděpodobné.
Existují kvalitní bezpečnostní opatření, které jsou schopna včas detekovat
možné slabiny nebo případné pokusy o překonání opatření.
Střední
Zranitelnost je málo pravděpodobná až pravděpodobná. Existují kvalitní
bezpečnostní opatření, jejichž účinnost je pravidelně kontrolována. Schopnost
bezpečnostních opatření včas detekovat možné slabiny nebo případné pokusy o
překonání opatření je omezena. Nejsou známé žádné úspěšné pokusy o
překonání bezpečnostních opatření.
Vysoká
Zranitelnost je pravděpodobná až velmi pravděpodobná. Bezpečnostní opatření
existují, ale jejich účinnost nepokrývá všechny potřebné aspekty a není
pravidelně kontrolována. Jsou známé dílčí úspěšné pokusy o překonání
bezpečnostních opatření.
Kritická
Zranitelnost je velmi pravděpodobná až po víceméně jisté zneužití.
Bezpečnostní opatření nejsou realizována anebo je jejich účinnost značně
28
omezena. Neprobíhá kontrola účinnosti bezpečnostních opatření. Jsou známé
úspěšné pokusy překonání bezpečnostních opatření.
Stupnice pro hodnocení rizik
Úroveň
Popis
Nízké
Riziko je považováno za přijatelné.
Střední
Riziko může být sníženo méně náročnými opatřeními nebo v případě vyšší
náročnosti opatření je riziko přijatelné.
Vysoké
Riziko je dlouhodobě nepřípustné a musí být zahájeny systematické kroky k
jeho odstranění.
Kritické
Riziko je nepřípustné a musí být neprodleně zahájeny kroky k jeho odstranění.
V případě, že orgán nebo osoba uvedená v § 3 písm. c) až e) zákona využívá metodu pro
identifikaci a hodnocení rizik, která nerozlišuje hodnocení hrozby a zranitelnosti, je možné
stupnice pro hodnocení hrozeb a zranitelností sloučit. Sloučení stupnic by nemělo vést ke
ztrátě schopnosti rozlišení míry hrozby a zranitelnosti. Za tímto účelem lze použít například
komentář, který zřetelně vyjádří jak úroveň hrozby, tak i úroveň zranitelnosti. Obdobně
postupuje i orgán nebo osoba uvedená v § 3 písm. c) až e) zákona, které používá jiný počet
úrovní pro hodnocení dopadů, hrozeb, zranitelností a rizik.
Dostları ilə paylaş: |