VyhláŠka ze dne … … 2014 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání V oblasti kybernetické bezpečnosti

11 

 

c)

 

přiděluje a odebírá přístupová oprávnění v souladu s  politikou řízení přístupu, 

d)

 

provádí  pravidelné  přezkoumání  nastavení  přístupových  oprávnění  včetně  rozdělení 

jednotlivých uživatelů v přístupových skupinách nebo rolích, 

e)

 

využívá  nástroj  pro  ověřování  identity  uživatelů  podle  §  18  a  nástroj  pro  řízení 

přístupových oprávnění podle § 19 a 

f)

 

zavede  bezpečnostní  opatření  potřebná  pro  bezpečné  používání  mobilních  zařízení, 

případně  i  bezpečnostní  opatření  spojená  s využitím  technických  zařízení,  kterými  povinná 

osoba nedisponuje. 

 

§ 12

 

 

Akvizice, vývoj a údržba 

 

(1) Orgán a osoba 

uvedená v § 3 písm. c) až e) zákona 

splní povinnost podle § 4 odst. 

2  zákona  tím,  že  stanoví  bezpečnostní  požadavky  na  změny  informačního  systému  kritické 

informační  infrastruktury,  komunikačního  systému  kritické  informační  infrastruktury  nebo 

významného informačního systému spojené s jejich akvizicí, vývojem a údržbou a zahrne je 

do projektu akvizice, vývoje a údržby systému. 

 

(2) Orgán a osoba 

uvedená v § 3 písm. c) a d) zákona

 splní povinnost podle § 4 odst. 2 

zákona tím, že

 

a)

 

identifikuje,  hodnotí  a  řídí  rizika  související  s akvizicí,  vývojem  a  údržbou 

informačního  systému  kritické  informační  infrastruktury  nebo  komunikačního  systému 

kritické informační infrastruktury; pro postupy hodnocení a řízení rizik se metodiky podle § 4 

odst. 1 písm. a) použijí obdobně, 

b)

 

zajistí bezpečnost vývojového prostředí a zajistí ochranu používaných testovacích dat a 

c)

 

provádí  bezpečnostní  testování  změn  informačního  systému  kritické  informační 

infrastruktury  nebo  komunikačního  systému  kritické  informační  infrastruktury  před  jejich 

zavedením do provozu. 

 

§ 13

 

 

Zvládání kybernetických bezpečnostních událostí a incidentů 

 

Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst. 2 

zákona tím, že 

a)

 

přijme  nezbytná  opatření,  která  zajistí  oznamování  kybernetických  bezpečnostních 

událostí  u informačního  systému kritické informační  infrastruktury, komunikačního  systému 

kritické  informační  infrastruktury  a  významného  informačního  systému  ze  strany  uživatelů, 

administrátorů a osob zastávajících bezpečnostní role a o oznámeních vede záznamy

, 

b)

 

připraví

  prostředí  pro  vyhodnocení  oznámených  kybernetických  bezpečnostních 

událostí a kybernetických bezpečnostních událostí detekovaných technickými nástroji podle § 

21 až 23, provádí jejich vyhodnocení a identifikuje kybernetické bezpečnostní incidenty, 

c)

 

provádí

  klasifikaci  kybernetických  bezpečnostních  incidentů,  přijímá  opatření  pro 

odvrácení  a  zmírnění  dopadu  kybernetického  bezpečnostního  incidentu,  provádí  hlášení 

kybernetického  bezpečnostního  incidentu  podle  §  32  a  zajistí  sběr  věrohodných  podkladů 

potřebných pro analýzu kybernetického bezpečnostního incidentu, 

12 

 

d)

 

prošetří

  a  určí  příčiny  kybernetického  bezpečnostního  incidentu,  vyhodnotí  účinnost 

řešení  kybernetického  bezpečnostního  incidentu  a  na  základě  vyhodnocení  stanoví  nutná 

bezpečnostní  opatření  k zamezení  opakování  řešeného  kybernetického  bezpečnostního 

incidentu a 

e)

 

dokumentuje

 zvládání kybernetických bezpečnostních incidentů. 

 

§ 14

 

 

Řízení kontinuity činností 

 

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst. 

2 zákona tím, že v rámci řízení kontinuity činností stanoví 

a)

 

práva a povinnosti garantů aktiv, administrátorů a osob zastávajících bezpečnostní role, 

b)

 

cíle řízení kontinuity činností formou určení 

1.

 

minimální úrovně poskytovaných služeb, která je přijatelná pro užívání, provoz a 

správu  informačního  systému  kritické  informační  infrastruktury,  komunikačního 

systému  kritické  informační  infrastruktury  nebo  významného  informačního 

systému, 

2.

 

doby  obnovení  chodu,  během  které  bude  po  kybernetickém  bezpečnostním 

incidentu  obnovena  minimální  úroveň  poskytovaných  služeb  informačního 

systému  kritické  informační  infrastruktury,  komunikačního  systému  kritické 

informační infrastruktury nebo významného informačního systému, 

3.

 

bodu  obnovení  dat  jako  termínu,  ke  kterému  budou  obnovena  data  po 

kybernetickém bezpečnostním incidentu, 

c)

 

strategii řízení kontinuity činností, která obsahuje naplnění cílů podle písmene b). 

 

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2 

zákona dále tím, že 

a)

 

vyhodnotí  a  dokumentuje  možné  dopady  kybernetických  bezpečnostních  incidentů  a 

posoudí možná rizika související s ohrožením kontinuity činností, 

b)

 

stanoví, aktualizuje a pravidelně testuje plány kontinuity činností informačního systému 

kritické  informační  infrastruktury  a  komunikačního  systému  kritické  informační 

infrastruktury, 

c)

 

realizuje  opatření  pro  zvýšení  odolnosti  informačního  systému  kritické  informační 

infrastruktury  a  komunikačního  systému  kritické  informační  infrastruktury  vůči 

kybernetickému  bezpečnostnímu  incidentu  a  využívá  nástroj  pro  zajišťování  úrovně 

dostupnosti podle § 26, 

d)

 

stanoví a aktualizuje postupy pro provedení opatření vydaných Úřadem podle § 13 a 14 

zákona, ve kterých zohlední 

1.

 

výsledky hodnocení rizik provedení opatření, 

2.

 

stav dotčených bezpečnostních opatření a 

3.

 

vyhodnocení  případných  negativních  dopadů  na  provoz  a  bezpečnost 

informačního  systému  kritické  informační  infrastruktury  nebo  komunikačního 

systému kritické informační infrastruktury.