VyhláŠka ze dne … … 2014 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání V oblasti kybernetické bezpečnosti
Yüklə 467,67 Kb. Pdf görüntüsü
|
- Bu səhifədəki naviqasiya:
- Bezpečnostní politika
5
i) přerušení dodávky komunikačních služeb nebo elektrické energie, j)
k)
trvale působící hrozby (APT) a l)
odcizení nebo poškození aktiva. (5) Orgán a osoba uvedená v § 3 písm. c) až e) zákona při hodnocení rizik zvažuje zejména tyto zranitelnosti a)
nedostatečná ochrana vnějšího perimetru, b)
nedostatečné bezpečnostní povědomí uživatelů a administrátorů, c)
nedostatečná údržba informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému, d)
nevhodné nastavení přístupových oprávnění, e)
nedostatečné postupy při identifikování a odhalení negativních bezpečnostních jevů, kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů, f)
jejich nevhodné či závadné způsoby chování a g)
nedostatečné stanovení bezpečnostních pravidel, nepřesné nebo nejednoznačné vymezení práv a povinností uživatelů, administrátorů a bezpečnostních rolí.
(6) Orgán a osoba uvedená v § 3 písm. c) a d) zákona při hodnocení rizik dále zvažuje tyto hrozby a)
porušení bezpečnostní politiky, provedení neoprávněných činností, zneužití oprávnění ze strany administrátorů kritické informační infrastruktury, b)
c)
kybernetický útok z vnitřní sítě, zneužití vnitřních prostředků, sabotáž, d)
dlouhodobé přerušení komunikačních služeb, dodávky elektrické energie nebo jiných důležitých služeb, e)
nedostatek zaměstnanců s potřebnou odbornou úrovní, f)
cílený kybernetický útok pomocí sociálního inženýrství, použití špionážních technik a g)
zneužití vyměnitelných paměťových médií.
(7) Orgán a osoba uvedená v § 3 písm. c) a d) zákona při hodnocení rizik dále zvažuje tyto zranitelnosti a)
nedostatečná ochrana prostředků kritické informační infrastruktury, b)
nevhodná bezpečnostní architektura, c)
nedostatečná míra nezávislé kontroly a d)
neschopnost včasného odhalení pochybení ze strany zaměstnanců.
§ 5
(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2 zákona tím, že stanoví bezpečnostní politiku v oblastech
a) systém řízení bezpečnosti informací, 6
b) organizační bezpečnost, c)
d)
klasifikace aktiv, e)
bezpečnost lidských zdrojů, f)
řízení provozu a komunikací, g)
řízení přístupu, h)
bezpečné chování uživatelů, i)
zálohování a obnova, j)
bezpečné předávání a výměna informací, k)
řízení technických zranitelností, l)
bezpečné používání mobilních zařízení, m)
licencování software a informací, n)
dlouhodobé ukládání a archivace informací, o)
ochrana osobních údajů, p)
fyzická bezpečnost, q)
bezpečnost sítě, r)
ochrana před škodlivým kódem, s)
nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí, t)
využití a údržba nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí a u)
používání kryptografické ochrany.
(2) Orgán a osoba uvedená v § 3 písm. e) zákona splní povinnost podle § 4 odst. 2 zákona tím, že stanoví bezpečnostní politiku v oblastech
a) systém řízení bezpečnosti informací, b)
c)
řízení dodavatelů, d)
klasifikace aktiv, e)
bezpečnost lidských zdrojů, f)
řízení provozu a komunikací, g)
řízení přístupu, h)
bezpečné chování uživatelů, i)
zálohování a obnova, j)
licencování software a informací, k)
ochrana osobních údajů, l)
používání kryptografické ochrany, m)
nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí a n)
ochrana před škodlivým kódem. (3) Orgán a osoba uvedená v § 3 písm. c) až e) zákona pravidelně hodnotí účinnost bezpečnostní politiky a aktualizuje ji.
Yüklə 467,67 Kb. Dostları ilə paylaş:
|