VyhláŠka ze dne … … 2014 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání V oblasti kybernetické bezpečnosti
Yüklə 467,67 Kb. Pdf görüntüsü
|
- Bu səhifədəki naviqasiya:
- Bezpečnost lidských zdrojů
- Řízení provozu a komunikací
- Řízení přístupu a bezpečné chování uživatelů
9
§ 9
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona
splní povinnost podle § 4 odst. 2 zákona tím, že
a) stanoví plán rozvoje bezpečnostního povědomí, který obsahuje formu, obsah a rozsah potřebných školení a určí osoby provádějící realizaci jednotlivých činností, které jsou v plánu uvedeny
,
b) v souladu s plánem rozvoje bezpečnostního povědomí zajistí poučení uživatelů, administrátorů a osob zastávajících bezpečnostní role o jejich povinnostech a o bezpečnostní politice formou vstupních a pravidelných školení, c)
osob zastávajících bezpečnostní role a d)
zajistí vrácení svěřených aktiv a odebrání přístupových oprávnění při ukončení smluvního vztahu s uživateli, administrátory nebo osobami zastávajícími bezpečnostní role.
(2) Orgán a osoba uvedená v § 3 písm. c) až e) zákona vede o školení podle odstavce 1 přehledy, které obsahují předmět školení a seznam osob, které školení absolvovaly.
(3) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2 zákona dále tím, že
a)
stanoví pravidla pro určení osob, které budou zastávat bezpečnostní role, role administrátorů nebo uživatelů, b)
hodnotí účinnost plánu rozvoje bezpečnostního povědomí, provedených školení a dalších činností spojených s prohlubováním bezpečnostního povědomí, c)
pravidel ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role a d)
zajistí změnu přístupových oprávnění při změně postavení uživatelů, administrátorů nebo osob zastávajících bezpečnostní role.
§ 10
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst. 2 zákona tím, že pomocí technických nástrojů uvedených v § 21 až 23 detekuje kybernetické bezpečnostní události, pravidelně vyhodnocuje získané informace a na zjištěné nedostatky reaguje v souladu s § 13.
(2) Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst. 2 zákona tím, že zajišťuje bezpečný provoz informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury
a významného informačního systému. Za tímto účelem stanoví provozní pravidla a postupy.
(3) Provozní pravidla a postupy orgánu a osoby uvedené v § 3 písm. c) a d) zákona obsahují
a)
práva a povinnosti osob zastávajících bezpečnostní role, administrátorů a uživatelů, b)
postupy pro spuštění a ukončení chodu systému, pro restart nebo obnovení chodu systému po selhání a pro ošetření chybových stavů nebo mimořádných jevů, c)
záznamům o těchto činnostech, 10
d) spojení na kontaktní osoby, které jsou určeny jako podpora při řešení neočekávaných systémových nebo technických potíží, e)
postupy řízení a schvalování provozních změn a f)
postupy pro sledování, plánování a řízení kapacity lidských a technických zdrojů.
(4) Řízení provozu orgánu a osoby uvedené v § 3 písm. c) až e) zákona spočívá v provádění pravidelného zálohování a prověřování použitelnosti provedených záloh.
uvedené v § 3 písm. c) a d) zákona spočívá v
a) zajištění oddělení vývojového, testovacího a produkčního prostředí, b)
c) a d) zákona 1.
posoudí očekávané dopady reaktivního opatření na informační systém kritické informační infrastruktury nebo komunikační systém kritické informační infrastruktury a na zavedená bezpečnostní opatření, vyhodnotí možné negativní účinky a bez zbytečného odkladu je oznámí Úřadu a 2.
možné negativní účinky, a určí časový plán jeho provedení.
(6) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2 zákona tím, že v rámci řízení komunikací
a)
zajišťuje bezpečnost a integritu komunikačních sítí a bezpečnost komunikačních služeb podle § 17, b)
sítěmi, c)
provádí výměnu a předávání informací na základě pravidel stanovených právními předpisy za současného zajištění bezpečnosti informací a tato pravidla dokumentuje a d)
písemných smluv, jejíchž součástí je ustanovení o bezpečnosti informací.
§ 11
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst. 2 zákona tím, že na základě provozních a bezpečnostních potřeb řídí přístup k informačnímu systému kritické informační infrastruktury, komunikačnímu systému kritické informační infrastruktury a významnému informačnímu systému
a přidělí každému uživateli jednoznačný identifikátor.
(2) Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst. 2 zákona tím, že
přijme nezbytná bezpečnostní opatření, která slouží k zajištění ochrany údajů, které jsou používány pro přihlášení uživatelů a administrátorů informačního systému kritické informační struktury, komunikačního systému kritické informační infrastruktury a významného informačního systému, a která brání ve zneužití těchto údajů neoprávněnou osobou.
(3) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2 zákona tím, že v rámci řízení přístupu
a) přidělí přistupujícím aplikacím samostatný identifikátor, b)
Yüklə 467,67 Kb. Dostları ilə paylaş:
|