7
§ 6
Organizační bezpečnost
(1) Orgán a osoba
uvedená v § 3 písm. c) až e) zákona
splní povinnost podle § 4 odst.
2 zákona tím, že zavede organizaci řízení bezpečnosti informací (dále jen „organizační
bezpečnost“), v rámci které určí výbor pro řízení kybernetické bezpečnosti a bezpečnostní
role a jejich práva a povinnosti související s
informačním systémem kritické informační
infrastruktury, komunikačním systémem kritické informační infrastruktury nebo významným
informačním systémem.
(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona určí bezpečnostní role
a)
manažer kybernetické bezpečnosti,
b)
architekt kybernetické bezpečnosti,
c)
auditor kybernetické bezpečnosti a
d)
garant aktiva podle § 2 písm. m).
(3) Manažer kybernetické bezpečnosti je osoba odpovědná za systém řízení
bezpečnosti informací, která je pro tuto činnost řádně vyškolena a prokáže odbornou
způsobilost praxí s řízením bezpečnosti informací po dobu nejméně tří let.
(4) Architekt kybernetické bezpečnosti je osoba odpovědná za návrh a implementaci
bezpečnostních opatření, která je pro tuto činnost řádně vyškolena a prokáže odbornou
způsobilost praxí s navrhováním bezpečnostní architektury po dobu nejméně tří let.
(5) Auditor kybernetické bezpečnosti je osoba odpovědná za provádění auditu
kybernetické bezpečnosti, která je pro tuto činnost řádně vyškolena a prokáže odbornou
způsobilost praxí s prováděním auditů kybernetické bezpečnosti po dobu nejméně tří let.
Auditor kybernetické bezpečnosti vykonává svoji roli nestranně a výkon jeho role je oddělen
od výkonu rolí uvedených v odstavci 2 písm. a), b) nebo d).
(6) Orgán a osoba
uvedená v § 3 písm. c) až e) zákona
splní povinnost podle § 4 odst.
2 zákona tím, že zajistí odborné školení osob, které zastávají bezpečnostní role v souladu
s plánem rozvoje bezpečnostního povědomí podle § 9 odst. 1 písm. b).
§ 7
Stanovení bezpečnostních požadavků pro dodavatele
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst.
2 zákona tím, že stanoví pravidla pro dodavatele, která zohledňují potřeby řízení bezpečnosti
informací, a řídí své dodavatele nebo jiné externí subjekty, které se podílejí na rozvoji,
provozu nebo zajištění bezpečnosti informačního systému kritické informační infrastruktury,
komunikačního systému kritické informační infrastruktury nebo významného informačního
systému. Rozsah zapojení dodavatelů na rozvoji, provozu nebo zajištění bezpečnosti
informačního systému kritické informační infrastruktury, komunikačního systému kritické
informační infrastruktury nebo významného informačního systému dokumentuje orgán a
osoba uvedená v § 3 písm. c) až e) zákona písemnou smlouvou, jejíž součástí je ustanovení
o bezpečnosti informací.
(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2
zákona tím, že
a)
před uzavřením smlouvy provádí hodnocení rizik podle přílohy č. 2 k této vyhlášce,
která jsou spojena s dodávkami od jednotlivých dodavatelů,
8
b)
uzavírá s dodavateli smlouvu o úrovni služeb, která stanoví způsoby a úrovně realizace
bezpečnostních opatření a určí vztah vzájemné smluvní odpovědnosti za zavedení a kontrolu
bezpečnostních opatření a
c)
provádí pravidelné hodnocení rizik a pravidelnou kontrolu zavedených bezpečnostních
opatření u služeb poskytovaných jednotlivými dodavateli a zjištěné nedostatky odstraňuje
nebo po dohodě s dodavatelem zajistí jejich odstranění.
§ 8
Řízení aktiv
(1) Orgán a osoba
uvedená v § 3 písm. c) až e) zákona
splní povinnost podle § 4 odst.
2 zákona tím, že
a)
identifikuje a eviduje primární aktiva,
b)
určí garanty aktiv, kteří jsou odpovědní za primární aktiva a
c)
hodnotí důležitost primárních aktiv z hlediska důvěrnosti, integrity a dostupnosti a
zařadí je do jednotlivých úrovní minimálně v rozsahu podle přílohy č. 1 k této vyhlášce.
(2) Orgán a osoba
uvedená v § 3 písm. c) a d) zákona
splní povinnost podle § 4 odst. 2
zákona dále tím, že
a)
identifikuje a eviduje podpůrná aktiva,
b)
určí garanty aktiv, kteří jsou odpovědní za podpůrná aktiva a
c)
určí vazby mezi primárními a podpůrnými aktivy a hodnotí důsledky závislostí mezi
primárními a podpůrnými aktivy.
(3) Orgán a osoba
uvedená v § 3 písm. c) až e) zákona
splní povinnost podle § 4 odst.
2 zákona dále tím, že
a)
stanoví pravidla ochrany, nutná pro zabezpečení jednotlivých úrovní aktiv tím, že
1.
určí způsoby rozlišování jednotlivých úrovní aktiv,
2.
stanoví pravidla pro manipulaci a evidenci s aktivy podle úrovní aktiv, včetně
pravidel pro bezpečné elektronické sdílení a fyzické přenášení aktiv,
3.
stanoví přípustné způsoby používání aktiv,
b)
zavede pravidla ochrany odpovídající úrovni
aktiv a
c)
určí způsoby pro spolehlivé smazání nebo ničení paměťových médií s ohledem na
úroveň aktiv.
(4) Při hodnocení důležitosti primárních aktiv je třeba především posoudit
a)
rozsah a důležitost osobních údajů nebo obchodního tajemství,
b)
rozsah dotčených právních povinností či jiných závazků,
c)
rozsah narušení vnitřních řídících a kontrolních činností,
d)
poškození veřejných, obchodních nebo ekonomických zájmů,
e)
možné finanční ztráty,
f)
rozsah narušení běžných činností orgánu a osoby uvedené v § 3 písm. c) až e) zákona,
g)
dopady spojené s narušením důvěrnosti, integrity a dostupnosti a
h)
dopady na dobré jméno nebo dobrou pověst.