36
b.
Provozní postupy pro vyhodnocování a reagování na detekované
kybernetické bezpečnostní události
c.
Pravidla a postupy pro optimalizaci nastavení nástroje pro detekci
kybernetických bezpečnostních událostí
20.
Politika využití a údržby nástroje pro sběr a vyhodnocení kybernetických
bezpečnostních událostí
**
[§ 5 odst. 1 písm. t)]
a.
Pravidla a postupy pro evidenci a vyhodnocení kybernetických
bezpečnostních událostí
b.
Pravidla a postupy pravidelné aktualizace pravidel pro vyhodnocení
kybernetických bezpečnostních událostí
c.
Pravidla a postupy pro optimální nastavení bezpečnostních vlastností
nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí
21.
Politika bezpečného používání kryptografické ochrany
**
[§ 5 odst. 1 písm. u), § 5 odst. 2 písm. l)]
a.
Úroveň ochrany s ohledem na typ a sílu kryptografického algoritmu
b.
Pravidla kryptografické ochrany informací
při přenosu po komunikačních sítích
při uložení na mobilní zařízení nebo vyměnitelné médium
c.
Systém správy klíčů
II.
Struktura další dokumentace
1.
Zpráva z auditu kybernetické bezpečnosti
**
[§ 28 odst. 1 písm. b)]
a.
Cíle auditu kybernetické bezpečnosti
b.
Předmět auditu kybernetické bezpečnosti
c.
Kritéria auditu kybernetické bezpečnosti
d.
Identifikování týmu auditorů a osob, které se auditu kybernetické
bezpečnosti zúčastnily
e.
Datum a místo, kde byly prováděny činnosti při auditu kybernetické
bezpečnosti
f.
Zjištění z auditu kybernetické bezpečnosti
g.
Závěry auditu kybernetické bezpečnosti
2.
Zpráva z přezkoumání systému řízení bezpečnosti informací
**
[§ 28 odst. 1 písm. c)]
a.
Vyhodnocení opatření z předchozího přezkoumání systému řízení
bezpečnosti informací
b.
Identifikace změn a okolností, které mohou mít vliv na systém řízení
bezpečnosti informací
c.
Zpětná vazba o výkonnosti řízení bezpečnosti informací
d.
Výsledky hodnocení rizik a stav plánu zvládání rizik
37
e.
Identifikace možností pro neustálé zlepšování
f.
Doporučení potřebných rozhodnutí, stanovení opatření a odpovědných
osob
3.
Metodika pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik
*
[§ 28 odst. 1 písm. d), § 28 odst. 2 písm. b)]
a.
Určení stupnice pro hodnocení primárních aktiv
Určení stupnice pro hodnocení úrovní důvěrnosti aktiv
Určení stupnice pro hodnocení úrovní integrity aktiv
Určení stupnice pro hodnocení úrovní dostupnosti aktiv
b.
Určení stupnice pro hodnocení rizik
Určení stupnice pro hodnocení úrovní dopadu
Určení stupnice pro hodnocení úrovní hrozby
Určení stupnice pro hodnocení úrovní zranitelnosti
Určení stupnice pro hodnocení úrovní rizik
c.
Metody a přístupy pro zvládání rizik
d.
Způsoby schvalování přijatelných rizik
4.
Zpráva o hodnocení aktiv a rizik
**
[§ 28 odst. 1 písm. e), § 28 odst. 2 písm. c)]
a.
Přehled primárních aktiv
identifikace a popis primárních aktiv
určení garantů primárních aktiv
hodnocení primárních aktiv z hlediska důvěrnosti, integrity a dostupnosti
b.
Přehled podpůrných aktiv (neplatí pro orgány a osoby uvedené v § 3 písm. e)
zákona)
identifikace a popis podpůrných aktiv
určení garantů podpůrných aktiv
určení vazeb mezi primárními a podpůrnými aktivy
c.
Identifikování a hodnocení rizik
posouzení možných dopadů na aktiva
hodnocení existujících hrozeb
hodnocení existujících zranitelností, hodnocení existujících opatření
stanovení úrovně rizika, porovnání této úrovně s kritérii pro přijatelnost
rizik
určení a schválení přijatelných rizik
d.
Zvládání rizik
návrh způsobu zvládání rizik
návrh opatření a jejich realizace
5.
Prohlášení o aplikovatelnosti
*
[§ 28 odst. 1 písm. f), § 28 odst. 2 písm. d)]
a.
Přehled vybraných bezpečnostních opatření včetně zdůvodnění jejich
výběru a jejich vazby na identifikovaná rizika
38
b.
Přehled zavedených bezpečnostních opatření
6.
Plán zvládání rizik
**
[§ 28 odst. 1 písm. g), § 28 odst. 2 písm. e)]
a.
Obsah a cíle vybraných bezpečnostních opatření pro zvládání rizik
b.
Potřebné zdroje pro jednotlivá bezpečnostní opatření pro zvládání rizik
c.
Osoby odpovědné za jednotlivá bezpečnostní opatření pro zvládání rizik
d.
Termíny zavedení jednotlivých bezpečnostních opatření pro zvládání rizik
e.
Způsoby hodnocení úspěšnosti zavedení jednotlivých bezpečnostních
opatření pro zvládání rizik
7.
Plán rozvoje bezpečnostního povědomí
*
[§ 28 odst. 1 písm. h), § 28 odst. 2 písm. f)]
a.
Obsah a termíny poučení uživatelů
b.
Obsah a termíny poučení garantů aktiv (neplatí pro orgány a osoby uvedené
v § 3 písm. e) zákona)
c.
Obsah a termíny poučení administrátorů (neplatí pro orgány a osoby
uvedené v § 3 písm. e) zákona)
d.
Obsah a termíny poučení dalších osob zastávajících bezpečnostní role
e.
Obsah a termíny poučení nových zaměstnanců
f.
Formy a způsoby hodnocení plánu
8.
Zvládání kybernetických bezpečnostních incidentů
**
[§ 28 odst. 1 písm. i), § 28 odst. 2 písm. g)]
a.
Definování kategorií kybernetického bezpečnostního incidentu
b.
Pravidla a postupy pro evidenci a zvládání jednotlivých kategorií
kybernetických bezpečnostních incidentů
c.
Pravidla a postupy testování systému zvládání kybernetických
bezpečnostních incidentů
d.
Pravidla a postupy pro vyhodnocení kybernetických bezpečnostních
incidentů a pro zlepšování kybernetické bezpečnosti
9.
Strategie řízení kontinuity činností
**
[§ 28 odst. 1 písm. j), § 28 odst. 2 písm. h)]
a.
Práva a povinnosti zúčastněných osob
b.
Cíle řízení kontinuity činností
minimální úroveň poskytovaných služeb
doba obnovení chodu
bod obnovení chodu
c.
Strategie řízení kontinuity činností pro naplnění cílů kontinuity
d.
Způsoby hodnocení dopadů kybernetických bezpečnostních incidentů na
kontinuitu a posuzování souvisejících rizik
e.
Určení a obsah potřebných plánů kontinuity
39
f.
Postupy pro realizaci opatření vydaných Národním bezpečnostním
úřadem
10.
Přehled obecně závazných právních předpisů, vnitřních předpisů a jiných předpisů a
smluvních závazků
*
[§ 28 odst. 1 písm. k), § 28 odst. 2 písm. i)]
a.
Přehled obecně závazných právních předpisů
b.
Přehled vnitřních předpisů a jiných předpisů
c.
Přehled smluvních závazků
_____________________________________________________________________
*
Očekávaná důvěrnost dokumentu je na úrovni střední podle stupnice uvedené v příloze č. 1:
Hodnocení a úroveň aktiv.
**
Očekávaná důvěrnost dokumentu je na úrovni vysoká podle stupnice uvedené v příloze č. 1:
Hodnocení a úroveň aktiv.
40
Příloha č. 5 k vyhlášce č. …/2014 Sb.
Formulář hlášení kybernetického bezpečnostního incidentu
HLÁŠENÍ KYBERNETICKÉHO BEZPEČNOSTNÍHO INCIDENTU
M
ÍRA OCHRANY INFORMACE
Úroveň ochrany
Osobní – seznam příjemců
Omezená distribuce
Neomezeno
K
ONTAKTNÍ ÚDAJE
Orgán a osoba uvedená v §
3 písm. c) a e) zákona
Email
Telefon
D
ETAILY INCIDENTU
Datum a čas zjištění
Časová zóna
Kategorie incidentu
Kategorie III – velmi závažný kybernetický bezpečnostní incident
Kategorie II – závažný kybernetický bezpečnostní incident
Kategorie I – méně závažný kybernetický bezpečnostní incident
Typ incidentu
Kybernetický
bezpečnostní
incident
způsobený
kybernetickým útokem nebo jinou událostí vedoucí k průniku
do systému nebo k omezení dostupnosti služeb.
Kybernetický bezpečnostní incident způsobený škodlivým
softwarem nebo kódem.
Kybernetický bezpečnostní incident způsobený kompromitací
technických opatření.
Kybernetický bezpečnostní incident způsobený porušením
organizačních opatření.
Kybernetický bezpečnostní incident spojený s projevem trvale
působících hrozeb (APT).
Ostatní kybernetické bezpečnostní incidenty způsobené
kybernetickým útokem.
Kybernetický bezpečnostní incident způsobující narušení
důvěrnosti primárních aktiv.
Kybernetický bezpečnostní incident způsobující narušení
integrity primárních aktiv.
Kybernetický bezpečnostní incident způsobující narušení
41
dostupnosti primárních aktiv.
Kybernetický bezpečnostní incident způsobující kombinaci
dopadů uvedených shora.
Současný stav zvládání
kybernetického
bezpečnostního incidentu
Probíhá analýza a šetření kybernetického incidentu
Kybernetický bezpečnostní incident je pod kontrolou
Dotčené funkce obnoveny
Neznámý
Počet zasažených systémů
(odhad)
Odhad počtu dotčených
uživatelů
Popis incidentu
S
YSTÉMOVÉ DETAILY
Host nebo IP
Funkce hosta (DNS server,
stanice atd.)
Pokračování
Iniciační oznámení CERTu
Pokračování dříve oznámených
42
Příloha č. 6 k vyhlášce č. …/2014 Sb.
Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Část A: Údaje o orgánu a osobě uvedené v § 3 písm. c) až e) zákona
Název
Adresa sídla
Identifikační číslo
Část B: Údaje o fyzické osobě, která provádí hlášení
Jméno, příjmení a tituly
Telefon
Adresa elektronické pošty
Část C: Číslo jednací reaktivního opatření
Část D: Podrobnosti o realizaci reaktivního opatření
Hodnocené negativní dopady reaktivního
opatření a jejich možné negativní účinky
Popis postupu možných negativních dopadů
reaktivního opatření
Problémy a negativní dopady, které se
objevily během provedení reaktivního
opatření
Výsledek reaktivního opatření
Datum a čas realizace reaktivního opatření
DD.MM.RRRR HH:MM
Datum a čas hodnocení výsledků reaktivního
opatření
DD.MM.RRRR HH:MM
Poznámky
43
Příloha č. 7 k vyhlášce č. …/2014 Sb.
Formulář pro hlášení kontaktních údajů
Část A: Údaje o orgánu a osobě uvedené v § 3 zákona
Název včetně odlišujícího dodatku nebo
dalšího označení
Adresa sídla
Identifikační číslo
Část B: Identifikace informačního systému kritické informační infrastruktury,
komunikačního systému kritické informační infrastruktury nebo významného
informačního systému
Typ informačního nebo komunikačního
systému podle § 2b) a § 2d) zákona (KII /
VIS)
Základní popis systému:
Část C: Údaje o fyzické osobě, která je za orgán nebo osobu uvedenou v § 3 zákona
oprávněna jednat ve věcech upravených zákonem
Jméno, příjmení
Telefon – pevná linka
Mobilní telefon
Adresa elektronické pošty
Dostları ilə paylaş: |