9
§ 9
Bezpečnost lidských zdrojů
(1) Orgán a osoba
uvedená v § 3 písm. c) až e) zákona
splní povinnost podle § 4 odst.
2 zákona tím, že
a)
stanoví plán rozvoje bezpečnostního povědomí, který obsahuje formu, obsah a rozsah
potřebných školení a určí osoby provádějící realizaci jednotlivých činností, které jsou v plánu
uvedeny
,
b)
v souladu s plánem rozvoje bezpečnostního povědomí zajistí poučení uživatelů,
administrátorů a osob zastávajících bezpečnostní role o jejich povinnostech a o bezpečnostní
politice formou vstupních a pravidelných školení,
c)
zajistí kontrolu dodržování bezpečnostní politiky ze strany uživatelů, administrátorů a
osob zastávajících bezpečnostní
role a
d)
zajistí vrácení svěřených aktiv a odebrání přístupových oprávnění při ukončení
smluvního vztahu s uživateli, administrátory nebo osobami zastávajícími bezpečnostní role.
(2) Orgán a osoba uvedená v § 3 písm. c) až e) zákona vede o školení podle odstavce 1
přehledy, které obsahují předmět školení
a seznam osob, které školení absolvovaly.
(3) Orgán a osoba
uvedená v § 3 písm. c) a d) zákona
splní povinnost podle § 4 odst. 2
zákona dále tím, že
a)
stanoví pravidla pro určení osob, které budou zastávat bezpečnostní role, role
administrátorů nebo uživatelů,
b)
hodnotí účinnost plánu rozvoje bezpečnostního povědomí, provedených školení a
dalších činností spojených s prohlubováním bezpečnostního povědomí,
c)
určí pravidla a postupy pro řešení případů porušení stanovených bezpečnostních
pravidel ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role a
d)
zajistí změnu přístupových oprávnění při změně postavení uživatelů, administrátorů
nebo osob zastávajících bezpečnostní role.
§ 10
Řízení provozu a komunikací
(1) Orgán a osoba
uvedená v § 3 písm. c) až e) zákona
splní povinnost podle § 4 odst.
2 zákona tím, že pomocí technických nástrojů uvedených v § 21 až 23 detekuje kybernetické
bezpečnostní události, pravidelně vyhodnocuje získané informace a na zjištěné nedostatky
reaguje v souladu s § 13.
(2) Orgán a osoba
uvedená v § 3 písm. c) až e) zákona
splní povinnost podle § 4 odst.
2 zákona tím, že zajišťuje bezpečný provoz informačního systému kritické informační
infrastruktury, komunikačního systému kritické informační infrastruktury
a významného
informačního systému. Za tímto účelem stanoví provozní pravidla a postupy.
(3) Provozní pravidla a postupy orgánu a osoby
uvedené v § 3 písm. c) a d) zákona
obsahují
a)
práva a povinnosti osob zastávajících bezpečnostní role, administrátorů a uživatelů,
b)
postupy pro spuštění a ukončení chodu systému, pro restart nebo obnovení chodu
systému po selhání a pro ošetření chybových stavů nebo mimořádných jevů,
c)
postupy pro sledování kybernetických bezpečnostních událostí a pro ochranu přístupu k
záznamům o těchto činnostech,
10
d)
spojení na kontaktní osoby, které jsou určeny jako podpora při řešení neočekávaných
systémových nebo technických potíží,
e)
postupy řízení a schvalování provozních změn a
f)
postupy pro sledování, plánování a řízení kapacity lidských a technických zdrojů.
(4) Řízení provozu orgánu a osoby
uvedené v § 3 písm. c) až e) zákona spočívá v
provádění pravidelného zálohování a prověřování použitelnosti provedených záloh.
(5) Řízení provozu orgánu a osoby
uvedené v § 3 písm. c) a d) zákona spočívá v
a)
zajištění oddělení vývojového, testovacího a produkčního prostředí,
b)
řešení reaktivních opatření vydaných Úřadem tím, že orgán a osoba uvedená v § 3 písm.
c) a d) zákona
1.
posoudí očekávané dopady reaktivního opatření na informační systém kritické
informační infrastruktury nebo komunikační systém kritické informační
infrastruktury a na zavedená bezpečnostní opatření, vyhodnotí možné negativní
účinky a bez zbytečného odkladu je oznámí Úřadu a
2.
stanoví způsob rychlého provedení reaktivního opatření, který minimalizuje
možné negativní účinky, a určí časový plán jeho provedení.
(6) Orgán a osoba
uvedená v § 3 písm. c) a d) zákona
splní povinnost podle § 4 odst. 2
zákona tím, že
v rámci řízení komunikací
a)
zajišťuje bezpečnost a integritu komunikačních sítí a bezpečnost komunikačních služeb
podle § 17,
b)
určí pravidla a postupy pro ochranu informací, které jsou přenášeny komunikačními
sítěmi,
c)
provádí výměnu a předávání informací na základě pravidel stanovených právními
předpisy za současného zajištění bezpečnosti informací a tato pravidla dokumentuje a
d)
s ohledem na klasifikaci aktiv provádí výměnu a předávání informací na základě
písemných smluv, jejíchž součástí je ustanovení o bezpečnosti informací.
§ 11
Řízení přístupu a bezpečné chování uživatelů
(1) Orgán a osoba
uvedená v § 3 písm. c) až e) zákona
splní povinnost podle § 4 odst.
2 zákona tím, že na základě provozních a bezpečnostních potřeb řídí přístup k informačnímu
systému kritické informační infrastruktury, komunikačnímu systému kritické informační
infrastruktury a významnému informačnímu systému
a přidělí každému uživateli jednoznačný
identifikátor.
(2) Orgán a osoba
uvedená v § 3 písm. c) až e) zákona
splní povinnost podle § 4 odst.
2 zákona tím, že
přijme nezbytná bezpečnostní opatření, která slouží k zajištění ochrany
údajů, které jsou používány pro přihlášení uživatelů a administrátorů informačního systému
kritické informační struktury, komunikačního systému kritické informační infrastruktury
a významného informačního systému, a která brání ve zneužití těchto údajů neoprávněnou
osobou.
(3) Orgán a osoba
uvedená v § 3 písm. c) a d) zákona
splní povinnost podle § 4 odst. 2
zákona tím, že v rámci řízení přístupu
a)
přidělí přistupujícím aplikacím samostatný identifikátor,
b)
omezí přidělování administrátorských oprávnění,