32
Příloha č. 4 k vyhlášce č. …/2014 Sb.
STRUKTURA BEZPEČNOSTNÍ DOKUMENTACE
Tato příloha obsahuje doporučený obsah bezpečnostní dokumentace. Navrhované struktury
jednotlivých dokumentů zahrnují témata, která by měly jednotlivé dokumenty podle vyhlášky
pokrývat, přičemž uvedené struktury dokumentů nejsou závazné a je na orgánu nebo osobě
uvedené v § 3 písm. c) až e) zákona, jaký přístup k tvorbě bezpečnostní dokumentace použije.
Přípustná je i změna názvů jednotlivých dokumentů nebo integrování více témat do jednoho
dokumentu.
I.
Struktura bezpečnostní politiky
1.
Politika systému řízení bezpečnosti informací
*
[§ 5 odst. 1 písm. a), § 5 odst. 2 písm. a)]
a.
Cíle, principy a potřeby řízení bezpečnosti informací
b.
Rozsah a hranice systému řízení bezpečnosti informací
c.
Pravidla a postupy pro řízení dokumentace
d.
Pravidla a postupy pro řízení zdrojů a provozu systému řízení bezpečnosti
informací
e.
Pravidla a postupy pro provádění auditů kybernetické bezpečnosti
f.
Pravidla a postupy pro přezkoumání systému řízení bezpečnosti informací
g.
Pravidla a postupy pro nápravná opatření a zlepšování systému řízení
bezpečnosti informací
2.
Politika organizační bezpečnosti
**
[§ 5 odst. 1 písm. b), § 5 odst. 2 písm. b)]
a.
Určení bezpečnostních rolí a jejich práv a povinností
Práva a povinnosti manažera kybernetické bezpečnosti
Práva a povinnosti architekta kybernetické bezpečnosti
Práva a povinnosti auditora kybernetické bezpečnosti
Práva a povinnosti garanta aktiv
Práva a povinnosti výboru pro řízení kybernetické bezpečnosti
b.
Požadavky na oddělení odpovědností
3.
Politika řízení dodavatelů
**
[§ 5 odst. 1 písm. c), § 5 odst. 2 písm. c)]
a.
Pravidla a principy pro výběr dodavatelů
b.
Pravidla pro hodnocení rizik dodavatelů
c.
Náležitosti smlouvy o úrovni služeb a způsobů a úrovní realizace
bezpečnostních opatření a o určení vzájemné smluvní odpovědnosti
d.
Pravidla pro provádění kontroly zavedení bezpečnostních opatření
e.
Pravidla pro hodnocení dodavatelů
33
4.
Politika klasifikace aktiv
**
[§ 5 odst. 1 písm. d), § 5 odst. 2 písm. d)]
a.
Identifikace, hodnocení a evidence primárních aktiv
Určení a evidence jednotlivých primárních aktiv včetně určení jejich garanta
Hodnocení důležitosti primárních aktiv z hlediska důvěrnosti, integrity a
dostupnosti
b.
Identifikace, hodnocení a evidence podpůrných aktiv
Určení a evidence jednotlivých podpůrných aktiv včetně určení jejich
garanta
Určení vazeb mezi primárními a podpůrnými aktivy
c.
Pravidla ochrany jednotlivých úrovní aktiv
Způsoby rozlišování jednotlivých úrovní aktiv
Pravidla pro manipulaci a evidenci aktiv podle úrovní aktiv
Přípustné způsoby používání aktiv
d.
Způsoby spolehlivého smazání nebo ničení paměťových médií
5.
Politika bezpečnosti lidských zdrojů
**
[§ 5 odst. 1 písm. e), § 5 odst. 2 písm. e)]
a.
Pravidla rozvoje bezpečnostního povědomí a způsoby jeho hodnocení
způsoby a formy poučení uživatelů
způsoby a formy poučení garantů aktiv
způsoby a formy poučení administrátorů
způsoby a formy poučení dalších osob zastávajících bezpečnostní role
b.
Bezpečnostní školení nových zaměstnanců
c.
Pravidla pro řešení případů porušení bezpečnostní politiky systému řízení
bezpečnosti informací
d.
Pravidla pro ukončení pracovního vztahu nebo změnu pracovní pozice
vrácení svěřených aktiv a odebrání práv při ukončení pracovního vztahu
změna přístupových oprávnění při změně pracovní pozice
6.
Politika řízení provozu a komunikací
**
[§ 5 odst. 1 písm. f), § 5 odst. 2 písm. f)]
a.
Pravomoci a odpovědnosti spojené s bezpečným provozem
b.
Postupy bezpečného provozu
c.
Požadavky a standardy bezpečného provozu
d.
Řízení technických zranitelností
e.
Pravidla a omezení pro provádění auditů kybernetické bezpečnosti a
bezpečnostních testů
7.
Politika řízení přístupu
**
[§ 5 odst. 1 písm. g), § 5 odst. 2 písm. g)]
a.
Princip minimálních oprávnění/potřeba znát (need to know)
b.
Požadavky na řízení přístupu