VyhláŠka ze dne … … 2014 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání V oblasti kybernetické bezpečnosti



Yüklə 467,67 Kb.
Pdf görüntüsü
səhifə2/17
tarix06.02.2018
ölçüsü467,67 Kb.
#25864
1   2   3   4   5   6   7   8   9   ...   17

 

c)



 

vytvoří a schválí bezpečnostní politiku v oblasti systému řízení bezpečnosti informací, 

která obsahuje hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení 

bezpečnosti informací a na základě bezpečnostních potřeb a výsledků hodnocení rizik stanoví 

bezpečnostní politiku v dalších oblastech podle § 5 a zavede příslušná bezpečnostní opatření, 

d)

 



monitoruje účinnost bezpečnostních opatření,  

e)

 



vyhodnocuje vhodnost a účinnost bezpečnostní politiky podle § 5, 

f)

 



zajistí  provedení  auditu  kybernetické  bezpečnosti  podle  §  15,  a  to  nejméně  jednou 

ročně, 


g)

 

zajistí  vyhodnocení  účinnosti  systému  řízení  bezpečnosti  informací,  které  obsahuje 



hodnocení  stavu  systému  řízení  bezpečnosti  informací  včetně  revize  hodnocení  rizik, 

posouzení  výsledků  provedených  kontrol  a  auditů  kybernetické  bezpečnosti  a  dopadů 

kybernetických  bezpečnostních  incidentů  na  systém  řízení  bezpečnosti  informací,  a  to 

nejméně jednou ročně 

h)

 

aktualizuje  systém  řízení  bezpečnosti  informací  a  příslušnou  dokumentaci  na  základě 



zjištění  auditů  kybernetické  bezpečnosti,  výsledků  vyhodnocení  účinnosti  systému  řízení 

bezpečnosti informací a v souvislosti s prováděnými nebo plánovanými změnami a 

i)

 

řídí  provoz  a  zdroje  systému  řízení  bezpečnosti  informací,  zaznamenává  činnosti 



spojené se systémem řízení bezpečnosti informací a řízením rizik. 

 

(2)  Orgán  a  osoba  uvedená  v §  3  písm.  e)  zákona  splní  povinnost  podle  §  4  odst.  2 



zákona tím, že v rámci systému řízení bezpečnosti informací  

a)

 



řídí rizika podle § 4 odst. 2, 

b)

 



vytvoří a schválí bezpečnostní politiku v oblasti systému řízení bezpečnosti informací, 

která obsahuje hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení 

bezpečnosti informací a na základě bezpečnostních potřeb a výsledků hodnocení rizik stanoví 

bezpečnostní politiku v dalších oblastech podle § 5 a zavede příslušná bezpečnostní opatření a 

c)

 

provádí  aktualizaci  zprávy  o  hodnocení  aktiv  a  rizik,  bezpečnostní  politiky,  plánu 



zvládání rizik a plánu rozvoje bezpečnostního povědomí, a to nejméně jednou za tři roky nebo 

v souvislosti s prováděnými nebo plánovanými změnami. 

 

§ 4


 

 

Řízení rizik 

 

(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2 



zákona tím, že v rámci řízení rizik 

a)

 



stanoví metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik 

včetně stanovení kritérií pro přijatelnost rizik, 

b)

 

identifikuje a hodnotí důležitost aktiv, které patří do rozsahu systému řízení bezpečnosti 



informací,  podle  §  8  v  rozsahu  přílohy  č.  1  k  této  vyhlášce  a  výstupy  zapracuje  do  zprávy 

o hodnocení aktiv a rizik

c)

 

identifikuje rizika, při kterých zohlední hrozby a zranitelnosti, posoudí možné dopady 



na aktiva, hodnotí tato rizika minimálně v rozsahu podle přílohy č. 2 k této vyhlášce, určí a 

schválí přijatelná rizika a zpracuje zprávu o hodnocení aktiv a rizik, 

d)

 

zpracuje  na  základě  bezpečnostních  potřeb  a  výsledků  hodnocení  rizik  prohlášení 



o aplikovatelnosti, které obsahuje přehled vybraných a zavedených bezpečnostních opatření, 


 

e)



 

zpracuje  a  zavede  plán  zvládání  rizik,  který  obsahuje  cíle  a  přínosy  bezpečnostních 

opatření pro zvládání rizik, určení osoby odpovědné za prosazování bezpečnostních opatření 

pro  zvládání  rizik,  potřebné  finanční,  technické,  lidské  a  informační  zdroje,  termín  jejich 

zavedení a popis vazeb mezi riziky a příslušnými bezpečnostními opatřeními a 

f)

 



zohlední  bez  zbytečného  odkladu  reaktivní  a  ochranná  opatření  vydaná  Národním 

bezpečnostním  úřadem  (dále  jen  „Úřad“)  v  hodnocení  rizik  a  v případě,  že  hodnocení  rizik 

aktualizované  o  nové  zranitelnosti  spojené  s realizací  reaktivního  nebo  ochranného  opatření 

překročí stanovená kritéria pro přijatelnost rizik, doplní plán zvládání rizik. 

 

(2)  Orgán  a  osoba  uvedená  v  §  3  písm.  e)  zákona  splní  povinnost  podle  §  4  odst.  2 



zákona tím, že v rámci řízení rizik 

a)

 



stanoví metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik 

včetně stanovení kritérií pro přijatelnost rizik, 

b)

 

identifikuje a hodnotí důležitost primárních aktiv, které patří do rozsahu systému řízení 



bezpečnosti informací podle § 8 minimálně v rozsahu přílohy č. 1 k této vyhlášce a výstupy 

zapracuje do zprávy o hodnocení aktiv a rizik, 

c)

 

identifikuje  rizika,  při  kterých  zohlední  hrozby  a  zranitelnosti,  posoudí  možné  dopady 



na primární aktiva, hodnotí tato rizika minimálně v rozsahu podle přílohy č. 2 k této vyhlášce 

a zpracuje zprávu o hodnocení aktiv a rizik, 

d)

 

zpracuje  na  základě  bezpečnostních  potřeb  a  výsledků  hodnocení  rizik  prohlášení 



o aplikovatelnosti, které obsahuje přehled vybraných a zavedených bezpečnostních opatření, 

e)

 



zpracuje  a  zavede  plán  zvládání  rizik,  který  obsahuje  cíle  a  přínosy  bezpečnostních 

opatření pro zvládání rizik, určení osoby odpovědné za prosazování bezpečnostních opatření 

pro  zvládání  rizik,  potřebné  finanční,  technické,  lidské  a  informační  zdroje,  termíny  jejich 

zavedení  a  popisuje  vazby  mezi  identifikovanými  riziky  a  příslušnými  bezpečnostními 

opatřeními, 

f)

 



zohlední  bez  zbytečného  odkladu  reaktivní  a  ochranná  opatření  vydaná  Úřadem 

v hodnocení  rizik  a v případě, že hodnocení  rizik  aktualizované o nové zranitelnosti  spojené 

s realizací  reaktivního  nebo  ochranného  opatření  překročí  stanovená  kritéria  pro  přijatelnost 

rizik, doplní plán zvládání rizik. 

(3) Řízení rizik může být zajištěno i jinými způsoby, než jak je stanoveno v odstavci 1 

a  2,  pokud  orgán  a  osoba  uvedená  v §  3  písm.  c)  až  e)  zákona  doloží,  že  použitá  opatření 

zajišťují stejnou nebo vyšší úroveň řízení rizik. 

(4)  Orgán  a  osoba  uvedená  v  §  3  písm.  c)  až  e)  zákona  při  hodnocení  rizik  zvažuje 

zejména tyto hrozby 

a)

 



porušení  bezpečnostní  politiky,  provedení  neoprávněných  činností,  zneužití  oprávnění 

ze strany uživatelů a administrátorů, 

b)

 

poškození nebo selhání hardwaru nebo softwaru



c)

 

zneužití identity jiné fyzické osoby, 



d)

 

užívání software v rozporu s licenčními podmínkami, 



e)

 

kybernetický útok z vnější komunikační sítě, 



f)

 

škodlivý kód (například viry, spyware, trojské koně), 



g)

 

nedostatky  při  poskytování  služeb  informačního  systému  kritické  informační 



infrastruktury, komunikačního  systému  kritické informační  infrastruktury nebo významného 

informačního systému, 

h)

 

projevy přírodních jevů (např. povodně, klimatické jevy), 




Yüklə 467,67 Kb.

Dostları ilə paylaş:
1   2   3   4   5   6   7   8   9   ...   17




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©genderi.org 2024
rəhbərliyinə müraciət

    Ana səhifə