VyhláŠka ze dne … … 2014 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání V oblasti kybernetické bezpečnosti
Yüklə 467,67 Kb. Pdf görüntüsü
|
36
Provozní postupy pro vyhodnocování a reagování na detekované kybernetické bezpečnostní události c. Pravidla a postupy pro optimalizaci nastavení nástroje pro detekci kybernetických bezpečnostních událostí 20. Politika využití a údržby nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí ** [§ 5 odst. 1 písm. t)] a. Pravidla a postupy pro evidenci a vyhodnocení kybernetických bezpečnostních událostí b. Pravidla a postupy pravidelné aktualizace pravidel pro vyhodnocení kybernetických bezpečnostních událostí c. Pravidla a postupy pro optimální nastavení bezpečnostních vlastností nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí 21. Politika bezpečného používání kryptografické ochrany ** [§ 5 odst. 1 písm. u), § 5 odst. 2 písm. l)] a. Úroveň ochrany s ohledem na typ a sílu kryptografického algoritmu b. Pravidla kryptografické ochrany informací
při přenosu po komunikačních sítích při uložení na mobilní zařízení nebo vyměnitelné médium c. Systém správy klíčů II. Struktura další dokumentace 1. Zpráva z auditu kybernetické bezpečnosti ** [§ 28 odst. 1 písm. b)] a. Cíle auditu kybernetické bezpečnosti b. Předmět auditu kybernetické bezpečnosti c. Kritéria auditu kybernetické bezpečnosti d. Identifikování týmu auditorů a osob, které se auditu kybernetické bezpečnosti zúčastnily e. Datum a místo, kde byly prováděny činnosti při auditu kybernetické bezpečnosti f. Zjištění z auditu kybernetické bezpečnosti g. Závěry auditu kybernetické bezpečnosti 2. Zpráva z přezkoumání systému řízení bezpečnosti informací ** [§ 28 odst. 1 písm. c)] a. Vyhodnocení opatření z předchozího přezkoumání systému řízení bezpečnosti informací b. Identifikace změn a okolností, které mohou mít vliv na systém řízení bezpečnosti informací c. Zpětná vazba o výkonnosti řízení bezpečnosti informací d. Výsledky hodnocení rizik a stav plánu zvládání rizik 37
Identifikace možností pro neustálé zlepšování f. Doporučení potřebných rozhodnutí, stanovení opatření a odpovědných osob 3. Metodika pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik * [§ 28 odst. 1 písm. d), § 28 odst. 2 písm. b)] a. Určení stupnice pro hodnocení primárních aktiv
Určení stupnice pro hodnocení úrovní důvěrnosti aktiv Určení stupnice pro hodnocení úrovní integrity aktiv
Určení stupnice pro hodnocení úrovní dostupnosti aktiv b. Určení stupnice pro hodnocení rizik
Určení stupnice pro hodnocení úrovní dopadu Určení stupnice pro hodnocení úrovní hrozby
Určení stupnice pro hodnocení úrovní zranitelnosti Určení stupnice pro hodnocení úrovní rizik c. Metody a přístupy pro zvládání rizik d. Způsoby schvalování přijatelných rizik 4. Zpráva o hodnocení aktiv a rizik ** [§ 28 odst. 1 písm. e), § 28 odst. 2 písm. c)] a. Přehled primárních aktiv
identifikace a popis primárních aktiv určení garantů primárních aktiv
hodnocení primárních aktiv z hlediska důvěrnosti, integrity a dostupnosti b. Přehled podpůrných aktiv (neplatí pro orgány a osoby uvedené v § 3 písm. e) zákona)
identifikace a popis podpůrných aktiv určení garantů podpůrných aktiv
určení vazeb mezi primárními a podpůrnými aktivy c. Identifikování a hodnocení rizik
posouzení možných dopadů na aktiva hodnocení existujících hrozeb
hodnocení existujících zranitelností, hodnocení existujících opatření stanovení úrovně rizika, porovnání této úrovně s kritérii pro přijatelnost rizik
d. Zvládání rizik
návrh způsobu zvládání rizik návrh opatření a jejich realizace 5. Prohlášení o aplikovatelnosti * [§ 28 odst. 1 písm. f), § 28 odst. 2 písm. d)] a. Přehled vybraných bezpečnostních opatření včetně zdůvodnění jejich výběru a jejich vazby na identifikovaná rizika 38
Přehled zavedených bezpečnostních opatření 6. Plán zvládání rizik ** [§ 28 odst. 1 písm. g), § 28 odst. 2 písm. e)] a. Obsah a cíle vybraných bezpečnostních opatření pro zvládání rizik b. Potřebné zdroje pro jednotlivá bezpečnostní opatření pro zvládání rizik c. Osoby odpovědné za jednotlivá bezpečnostní opatření pro zvládání rizik d. Termíny zavedení jednotlivých bezpečnostních opatření pro zvládání rizik e. Způsoby hodnocení úspěšnosti zavedení jednotlivých bezpečnostních opatření pro zvládání rizik 7. Plán rozvoje bezpečnostního povědomí * [§ 28 odst. 1 písm. h), § 28 odst. 2 písm. f)] a. Obsah a termíny poučení uživatelů b. Obsah a termíny poučení garantů aktiv (neplatí pro orgány a osoby uvedené v § 3 písm. e) zákona) c. Obsah a termíny poučení administrátorů (neplatí pro orgány a osoby uvedené v § 3 písm. e) zákona) d. Obsah a termíny poučení dalších osob zastávajících bezpečnostní role e. Obsah a termíny poučení nových zaměstnanců f. Formy a způsoby hodnocení plánu 8. Zvládání kybernetických bezpečnostních incidentů ** [§ 28 odst. 1 písm. i), § 28 odst. 2 písm. g)] a. Definování kategorií kybernetického bezpečnostního incidentu b. Pravidla a postupy pro evidenci a zvládání jednotlivých kategorií kybernetických bezpečnostních incidentů c. Pravidla a postupy testování systému zvládání kybernetických bezpečnostních incidentů d. Pravidla a postupy pro vyhodnocení kybernetických bezpečnostních incidentů a pro zlepšování kybernetické bezpečnosti 9. Strategie řízení kontinuity činností ** [§ 28 odst. 1 písm. j), § 28 odst. 2 písm. h)] a. Práva a povinnosti zúčastněných osob b. Cíle řízení kontinuity činností
minimální úroveň poskytovaných služeb doba obnovení chodu
bod obnovení chodu c. Strategie řízení kontinuity činností pro naplnění cílů kontinuity d. Způsoby hodnocení dopadů kybernetických bezpečnostních incidentů na kontinuitu a posuzování souvisejících rizik e. Určení a obsah potřebných plánů kontinuity 39
Postupy pro realizaci opatření vydaných Národním bezpečnostním úřadem 10. Přehled obecně závazných právních předpisů, vnitřních předpisů a jiných předpisů a smluvních závazků * [§ 28 odst. 1 písm. k), § 28 odst. 2 písm. i)] a. Přehled obecně závazných právních předpisů b. Přehled vnitřních předpisů a jiných předpisů c. Přehled smluvních závazků
_____________________________________________________________________ * Očekávaná důvěrnost dokumentu je na úrovni střední podle stupnice uvedené v příloze č. 1: Hodnocení a úroveň aktiv. **
Očekávaná důvěrnost dokumentu je na úrovni vysoká podle stupnice uvedené v příloze č. 1: Hodnocení a úroveň aktiv. 40
Příloha č. 5 k vyhlášce č. …/2014 Sb. Formulář hlášení kybernetického bezpečnostního incidentu HLÁŠENÍ KYBERNETICKÉHO BEZPEČNOSTNÍHO INCIDENTU M ÍRA OCHRANY INFORMACE
Úroveň ochrany
Osobní – seznam příjemců Omezená distribuce Neomezeno K ONTAKTNÍ ÚDAJE
Orgán a osoba uvedená v § 3 písm. c) a e) zákona
Telefon
ETAILY INCIDENTU
Datum a čas zjištění Časová zóna
Kategorie incidentu Kategorie III – velmi závažný kybernetický bezpečnostní incident Kategorie II – závažný kybernetický bezpečnostní incident Kategorie I – méně závažný kybernetický bezpečnostní incident
Typ incidentu Kybernetický bezpečnostní incident způsobený kybernetickým útokem nebo jinou událostí vedoucí k průniku do systému nebo k omezení dostupnosti služeb. Kybernetický bezpečnostní incident způsobený škodlivým softwarem nebo kódem. Kybernetický bezpečnostní incident způsobený kompromitací technických opatření. Kybernetický bezpečnostní incident způsobený porušením organizačních opatření. Kybernetický bezpečnostní incident spojený s projevem trvale působících hrozeb (APT). Ostatní kybernetické bezpečnostní incidenty způsobené kybernetickým útokem. Kybernetický bezpečnostní incident způsobující narušení důvěrnosti primárních aktiv. Kybernetický bezpečnostní incident způsobující narušení integrity primárních aktiv. Kybernetický bezpečnostní incident způsobující narušení
41
dostupnosti primárních aktiv. Kybernetický bezpečnostní incident způsobující kombinaci dopadů uvedených shora. Současný stav zvládání kybernetického bezpečnostního incidentu Probíhá analýza a šetření kybernetického incidentu Kybernetický bezpečnostní incident je pod kontrolou Dotčené funkce obnoveny Neznámý Počet zasažených systémů (odhad)
Odhad počtu dotčených uživatelů
Popis incidentu
YSTÉMOVÉ DETAILY
Host nebo IP
Funkce hosta (DNS server, stanice atd.)
Pokračování Iniciační oznámení CERTu Pokračování dříve oznámených
42
Příloha č. 6 k vyhlášce č. …/2014 Sb. Formulář oznámení o provedení reaktivního opatření a jeho výsledku Část A: Údaje o orgánu a osobě uvedené v § 3 písm. c) až e) zákona Název
Adresa sídla
Identifikační číslo Část B: Údaje o fyzické osobě, která provádí hlášení Jméno, příjmení a tituly
Telefon
Adresa elektronické pošty
Část D: Podrobnosti o realizaci reaktivního opatření Hodnocené negativní dopady reaktivního opatření a jejich možné negativní účinky
Popis postupu možných negativních dopadů reaktivního opatření
Problémy a negativní dopady, které se objevily během provedení reaktivního opatření
Výsledek reaktivního opatření Datum a čas realizace reaktivního opatření DD.MM.RRRR HH:MM Datum a čas hodnocení výsledků reaktivního opatření DD.MM.RRRR HH:MM Poznámky
43
Příloha č. 7 k vyhlášce č. …/2014 Sb. Formulář pro hlášení kontaktních údajů Část A: Údaje o orgánu a osobě uvedené v § 3 zákona Název včetně odlišujícího dodatku nebo dalšího označení
Adresa sídla Identifikační číslo
Typ informačního nebo komunikačního systému podle § 2b) a § 2d) zákona (KII / VIS)
Základní popis systému:
oprávněna jednat ve věcech upravených zákonem Jméno, příjmení
Telefon – pevná linka Mobilní telefon Adresa elektronické pošty Yüklə 467,67 Kb. Dostları ilə paylaş:
|