3
c)
vytvoří a schválí bezpečnostní politiku v oblasti systému řízení bezpečnosti informací,
která obsahuje hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení
bezpečnosti informací a na základě bezpečnostních potřeb a výsledků hodnocení rizik stanoví
bezpečnostní politiku v dalších oblastech podle § 5 a zavede příslušná bezpečnostní opatření,
d)
monitoruje účinnost bezpečnostních opatření,
e)
vyhodnocuje vhodnost a účinnost bezpečnostní politiky podle § 5,
f)
zajistí provedení auditu kybernetické bezpečnosti podle § 15, a to nejméně jednou
ročně,
g)
zajistí vyhodnocení účinnosti systému řízení bezpečnosti informací, které obsahuje
hodnocení stavu systému řízení bezpečnosti informací včetně revize hodnocení rizik,
posouzení výsledků provedených kontrol a auditů kybernetické bezpečnosti a dopadů
kybernetických bezpečnostních incidentů na systém řízení bezpečnosti informací, a to
nejméně jednou ročně
h)
aktualizuje systém řízení bezpečnosti informací a příslušnou dokumentaci na základě
zjištění auditů kybernetické bezpečnosti, výsledků vyhodnocení účinnosti systému řízení
bezpečnosti informací a v souvislosti s prováděnými nebo plánovanými změnami a
i)
řídí provoz a zdroje systému řízení bezpečnosti informací, zaznamenává činnosti
spojené se systémem řízení bezpečnosti informací a řízením rizik.
(2) Orgán a osoba uvedená v § 3 písm. e) zákona splní povinnost podle § 4 odst. 2
zákona tím, že v rámci systému řízení bezpečnosti informací
a)
řídí rizika podle § 4 odst. 2,
b)
vytvoří a schválí bezpečnostní politiku v oblasti systému řízení bezpečnosti informací,
která obsahuje hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení
bezpečnosti informací a na základě bezpečnostních potřeb a výsledků hodnocení rizik stanoví
bezpečnostní politiku v dalších oblastech podle § 5 a zavede příslušná bezpečnostní opatření a
c)
provádí aktualizaci zprávy o hodnocení aktiv a rizik, bezpečnostní politiky, plánu
zvládání rizik a plánu rozvoje bezpečnostního povědomí, a to nejméně jednou za tři
roky nebo
v souvislosti s prováděnými nebo plánovanými změnami.
§ 4
Řízení rizik
(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2
zákona tím, že v rámci řízení rizik
a)
stanoví metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik
včetně stanovení kritérií pro přijatelnost rizik,
b)
identifikuje a hodnotí důležitost aktiv, které patří do rozsahu systému řízení bezpečnosti
informací, podle § 8 v rozsahu přílohy č. 1 k této vyhlášce a výstupy zapracuje do zprávy
o hodnocení aktiv a rizik,
c)
identifikuje rizika, při kterých zohlední hrozby a zranitelnosti, posoudí možné dopady
na aktiva, hodnotí tato rizika minimálně v rozsahu podle přílohy č. 2 k této vyhlášce, určí a
schválí přijatelná rizika a zpracuje zprávu o hodnocení aktiv a rizik,
d)
zpracuje na základě bezpečnostních potřeb a výsledků hodnocení rizik prohlášení
o aplikovatelnosti, které obsahuje přehled vybraných a zavedených bezpečnostních opatření,
4
e)
zpracuje a zavede plán zvládání rizik, který obsahuje cíle a přínosy bezpečnostních
opatření pro zvládání rizik, určení osoby odpovědné za prosazování bezpečnostních opatření
pro zvládání rizik, potřebné finanční, technické, lidské a informační zdroje, termín jejich
zavedení a popis vazeb mezi riziky a příslušnými bezpečnostními opatřeními a
f)
zohlední bez zbytečného odkladu reaktivní a ochranná opatření vydaná Národním
bezpečnostním úřadem (dále jen „Úřad“) v hodnocení rizik a v případě, že hodnocení rizik
aktualizované o nové zranitelnosti spojené s realizací reaktivního nebo ochranného opatření
překročí stanovená kritéria pro přijatelnost rizik, doplní plán zvládání rizik.
(2) Orgán a osoba uvedená v § 3 písm. e) zákona splní povinnost podle § 4 odst. 2
zákona tím, že v rámci řízení rizik
a)
stanoví metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik
včetně stanovení kritérií pro přijatelnost rizik,
b)
identifikuje a hodnotí důležitost primárních aktiv, které patří do rozsahu systému řízení
bezpečnosti informací podle § 8 minimálně v rozsahu přílohy č. 1 k této vyhlášce a výstupy
zapracuje do zprávy o hodnocení aktiv a rizik,
c)
identifikuje rizika, při kterých zohlední hrozby a zranitelnosti, posoudí možné dopady
na primární aktiva, hodnotí tato rizika minimálně v rozsahu podle přílohy č. 2 k této vyhlášce
a zpracuje zprávu o hodnocení aktiv a rizik,
d)
zpracuje na základě bezpečnostních potřeb a výsledků hodnocení rizik prohlášení
o aplikovatelnosti, které obsahuje přehled vybraných a zavedených bezpečnostních opatření,
e)
zpracuje a zavede plán zvládání rizik, který obsahuje cíle a přínosy bezpečnostních
opatření pro zvládání rizik, určení osoby odpovědné za prosazování bezpečnostních opatření
pro zvládání rizik, potřebné finanční, technické, lidské a informační zdroje, termíny jejich
zavedení a popisuje vazby mezi identifikovanými riziky a příslušnými bezpečnostními
opatřeními,
f)
zohlední bez zbytečného odkladu reaktivní a ochranná opatření vydaná Úřadem
v hodnocení rizik a v případě, že hodnocení rizik aktualizované o nové zranitelnosti spojené
s realizací reaktivního nebo ochranného opatření překročí stanovená kritéria pro přijatelnost
rizik, doplní plán zvládání rizik.
(3) Řízení rizik může být zajištěno i jinými způsoby, než jak je stanoveno v odstavci 1
a 2, pokud orgán a osoba uvedená v § 3 písm. c) až e) zákona doloží, že použitá opatření
zajišťují stejnou nebo vyšší úroveň řízení rizik.
(4) Orgán a osoba uvedená v § 3 písm. c) až e) zákona při hodnocení rizik zvažuje
zejména tyto hrozby
a)
porušení bezpečnostní politiky, provedení neoprávněných činností, zneužití oprávnění
ze strany uživatelů a administrátorů,
b)
poškození nebo selhání hardwaru nebo softwaru,
c)
zneužití identity jiné fyzické osoby,
d)
užívání software v rozporu s licenčními podmínkami,
e)
kybernetický útok z vnější komunikační sítě,
f)
škodlivý kód (například viry, spyware, trojské koně),
g)
nedostatky při poskytování služeb informačního systému kritické informační
infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného
informačního systému,
h)
projevy přírodních jevů (např. povodně, klimatické jevy),