VyhláŠka ze dne … … 2014 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání V oblasti kybernetické bezpečnosti



Yüklə 467,67 Kb.
Pdf görüntüsü
səhifə4/17
tarix06.02.2018
ölçüsü467,67 Kb.
#25864
1   2   3   4   5   6   7   8   9   ...   17

 

§ 6



 

 

Organizační bezpečnost 

 

(1) Orgán a osoba 



uvedená v § 3 písm. c) až e) zákona 

splní povinnost podle § 4 odst. 

2  zákona  tím,  že  zavede  organizaci  řízení  bezpečnosti  informací  (dále  jen  „organizační 

bezpečnost“),  v  rámci  které  určí  výbor  pro  řízení  kybernetické  bezpečnosti  a  bezpečnostní 

role  a  jejich  práva  a  povinnosti  související  s 

informačním  systémem  kritické  informační 

infrastruktury, komunikačním systémem kritické informační infrastruktury nebo významným 

informačním systémem.

 

 

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona určí bezpečnostní role



 

a)

 



manažer kybernetické bezpečnosti,  

b)

 



architekt kybernetické bezpečnosti, 

c)

 



auditor kybernetické bezpečnosti a 

d)

 



garant aktiva podle § 2 písm. m). 

 

(3)  Manažer  kybernetické  bezpečnosti  je  osoba  odpovědná  za  systém  řízení 



bezpečnosti  informací,  která  je  pro  tuto  činnost  řádně  vyškolena  a  prokáže  odbornou 

způsobilost praxí s řízením bezpečnosti informací po dobu nejméně tří let.  

 

(4) Architekt kybernetické bezpečnosti je osoba odpovědná za návrh a implementaci 



bezpečnostních  opatření,  která  je  pro  tuto  činnost  řádně  vyškolena  a  prokáže  odbornou 

způsobilost praxí s navrhováním bezpečnostní architektury po dobu nejméně tří let.  

 

(5)  Auditor  kybernetické  bezpečnosti  je  osoba  odpovědná  za  provádění  auditu 



kybernetické  bezpečnosti,  která  je  pro  tuto  činnost  řádně  vyškolena  a  prokáže  odbornou 

způsobilost  praxí  s prováděním  auditů  kybernetické  bezpečnosti  po  dobu  nejméně  tří  let. 

Auditor kybernetické bezpečnosti vykonává svoji roli nestranně a výkon jeho role je oddělen 

od výkonu rolí uvedených v odstavci 2 písm. a), b) nebo d). 

 

(6) Orgán a osoba 



uvedená v § 3 písm. c) až e) zákona 

splní povinnost podle § 4 odst. 

2  zákona  tím,  že  zajistí  odborné  školení  osob,  které  zastávají  bezpečnostní  role  v souladu 

s plánem rozvoje bezpečnostního povědomí podle § 9 odst. 1 písm. b). 

 

§ 7


 

 

Stanovení bezpečnostních požadavků pro dodavatele 

 

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst. 



2 zákona tím, že stanoví pravidla pro dodavatele, která zohledňují potřeby řízení bezpečnosti 

informací,  a  řídí  své  dodavatele  nebo  jiné  externí  subjekty,  které  se  podílejí  na  rozvoji, 

provozu nebo zajištění bezpečnosti informačního systému kritické informační infrastruktury, 

komunikačního  systému  kritické  informační  infrastruktury  nebo  významného  informačního 

systému.  Rozsah  zapojení  dodavatelů  na  rozvoji,  provozu  nebo  zajištění  bezpečnosti 

informačního  systému  kritické  informační  infrastruktury,  komunikačního  systému  kritické 

informační  infrastruktury  nebo  významného  informačního  systému  dokumentuje  orgán  a 

osoba uvedená v § 3 písm. c) až e) zákona písemnou smlouvou, jejíž součástí je ustanovení 

o bezpečnosti informací. 

 

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2 



zákona tím, že  

a)

 



před  uzavřením  smlouvy  provádí  hodnocení  rizik  podle  přílohy  č.  2  k této  vyhlášce, 

která jsou spojena s dodávkami od jednotlivých dodavatelů, 




 

b)



 

uzavírá s dodavateli smlouvu o úrovni služeb, která stanoví způsoby a úrovně realizace 

bezpečnostních opatření a určí vztah vzájemné smluvní odpovědnosti za zavedení a kontrolu 

bezpečnostních opatření a 

c)

 

provádí pravidelné hodnocení rizik a pravidelnou kontrolu zavedených bezpečnostních 



opatření  u  služeb  poskytovaných  jednotlivými  dodavateli  a  zjištěné  nedostatky  odstraňuje 

nebo po dohodě s dodavatelem zajistí jejich odstranění. 

 

§ 8


 

 

Řízení aktiv 

 

(1) Orgán a osoba 



uvedená v § 3 písm. c) až e) zákona

 

splní povinnost podle § 4 odst. 



2 zákona tím, že

 

a)



 

identifikuje a eviduje primární aktiva, 

b)

 

určí garanty aktiv, kteří jsou odpovědní za primární aktiva a 



c)

 

hodnotí  důležitost  primárních  aktiv  z hlediska  důvěrnosti,  integrity  a  dostupnosti  a 



zařadí je do jednotlivých úrovní minimálně v rozsahu podle přílohy č. 1 k této vyhlášce. 

 

(2) Orgán a osoba 



uvedená v § 3 písm. c) a d) zákona

 

splní povinnost podle § 4 odst. 2 



zákona dále tím, že

 

a)



 

identifikuje a eviduje podpůrná aktiva, 

b)

 

určí garanty aktiv, kteří jsou odpovědní za podpůrná aktiva a 



c)

 

určí  vazby  mezi  primárními  a  podpůrnými  aktivy  a  hodnotí  důsledky  závislostí  mezi 



primárními a podpůrnými aktivy. 

 

(3) Orgán a osoba 



uvedená v § 3 písm. c) až e) zákona 

splní povinnost podle § 4 odst. 

2 zákona dále tím, že

 

a)



 

stanoví pravidla ochrany, nutná pro zabezpečení jednotlivých úrovní aktiv tím, že  

1.

 

určí způsoby rozlišování jednotlivých úrovní aktiv, 



2.

 

stanoví  pravidla  pro  manipulaci  a  evidenci  s  aktivy  podle  úrovní  aktiv,  včetně 



pravidel pro bezpečné elektronické sdílení a fyzické přenášení aktiv, 

3.

 



stanoví přípustné způsoby používání aktiv, 

b)

 



zavede pravidla ochrany odpovídající úrovni aktiv a 

c)

 



určí  způsoby  pro  spolehlivé  smazání  nebo  ničení  paměťových  médií  s ohledem  na 

úroveň aktiv. 

 

(4) Při hodnocení důležitosti primárních aktiv je třeba především posoudit  



a)

 

rozsah a důležitost osobních údajů nebo obchodního tajemství, 



b)

 

rozsah dotčených právních povinností či jiných závazků, 



c)

 

rozsah narušení vnitřních řídících a kontrolních činností, 



d)

 

poškození veřejných, obchodních nebo ekonomických zájmů, 



e)

 

možné finanční ztráty, 



f)

 

rozsah narušení běžných činností orgánu a osoby uvedené v § 3 písm. c) až e) zákona, 



g)

 

dopady spojené s narušením důvěrnosti, integrity a dostupnosti a 



h)

 

dopady na dobré jméno nebo dobrou pověst. 



 


Yüklə 467,67 Kb.

Dostları ilə paylaş:
1   2   3   4   5   6   7   8   9   ...   17




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©genderi.org 2024
rəhbərliyinə müraciət

    Ana səhifə