11
c)
přiděluje a odebírá přístupová oprávnění v souladu s politikou řízení přístupu,
d)
provádí pravidelné přezkoumání nastavení přístupových oprávnění včetně rozdělení
jednotlivých uživatelů v přístupových skupinách nebo rolích,
e)
využívá nástroj pro ověřování identity uživatelů podle § 18 a nástroj pro řízení
přístupových oprávnění podle § 19 a
f)
zavede bezpečnostní opatření potřebná pro bezpečné používání mobilních zařízení,
případně i bezpečnostní opatření spojená s využitím technických zařízení, kterými povinná
osoba nedisponuje.
§ 12
Akvizice, vývoj a údržba
(1) Orgán a osoba
uvedená v § 3 písm. c) až e) zákona
splní povinnost podle § 4 odst.
2 zákona tím, že stanoví bezpečnostní požadavky na změny informačního systému kritické
informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo
významného informačního systému spojené s jejich akvizicí, vývojem a údržbou a zahrne je
do projektu akvizice, vývoje a údržby systému.
(2) Orgán a osoba
uvedená v § 3 písm. c) a d) zákona
splní povinnost podle § 4 odst. 2
zákona tím, že
a)
identifikuje, hodnotí a řídí rizika související s akvizicí, vývojem a údržbou
informačního systému kritické informační infrastruktury nebo komunikačního systému
kritické informační infrastruktury; pro postupy hodnocení a řízení rizik se metodiky podle § 4
odst. 1 písm. a) použijí obdobně,
b)
zajistí bezpečnost vývojového prostředí a zajistí ochranu používaných testovacích dat a
c)
provádí bezpečnostní testování změn informačního systému kritické informační
infrastruktury nebo komunikačního systému kritické informační infrastruktury před jejich
zavedením do provozu.
§ 13
Zvládání kybernetických bezpečnostních událostí a incidentů
Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst. 2
zákona tím, že
a)
přijme nezbytná opatření, která zajistí oznamování kybernetických bezpečnostních
událostí u informačního systému kritické informační infrastruktury, komunikačního systému
kritické informační infrastruktury a významného informačního systému ze strany uživatelů,
administrátorů a osob zastávajících bezpečnostní role a o oznámeních vede záznamy
,
b)
připraví
prostředí pro vyhodnocení oznámených kybernetických bezpečnostních
událostí a kybernetických bezpečnostních událostí detekovaných technickými nástroji podle §
21 až 23, provádí jejich vyhodnocení a identifikuje kybernetické bezpečnostní incidenty,
c)
provádí
klasifikaci kybernetických bezpečnostních incidentů, přijímá opatření pro
odvrácení a zmírnění dopadu kybernetického bezpečnostního incidentu, provádí hlášení
kybernetického bezpečnostního incidentu podle § 32 a zajistí sběr věrohodných podkladů
potřebných pro analýzu kybernetického bezpečnostního incidentu,
12
d)
prošetří
a určí příčiny kybernetického bezpečnostního incidentu, vyhodnotí účinnost
řešení kybernetického bezpečnostního incidentu a na základě vyhodnocení stanoví nutná
bezpečnostní opatření k zamezení opakování řešeného kybernetického bezpečnostního
incidentu a
e)
dokumentuje
zvládání kybernetických bezpečnostních incidentů.
§ 14
Řízení kontinuity činností
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst.
2 zákona tím, že v rámci řízení kontinuity činností stanoví
a)
práva a povinnosti garantů aktiv, administrátorů a osob zastávajících bezpečnostní role,
b)
cíle řízení kontinuity činností formou určení
1.
minimální úrovně poskytovaných služeb, která je přijatelná pro užívání, provoz a
správu informačního systému kritické informační infrastruktury, komunikačního
systému kritické informační infrastruktury nebo významného informačního
systému,
2.
doby obnovení chodu, během které bude po kybernetickém bezpečnostním
incidentu obnovena minimální úroveň poskytovaných služeb informačního
systému kritické informační infrastruktury, komunikačního systému kritické
informační infrastruktury nebo významného informačního systému,
3.
bodu obnovení dat jako termínu, ke kterému budou obnovena data po
kybernetickém bezpečnostním incidentu,
c)
strategii řízení kontinuity činností, která obsahuje naplnění cílů podle písmene b).
(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2
zákona dále tím, že
a)
vyhodnotí a dokumentuje možné dopady kybernetických bezpečnostních incidentů a
posoudí možná rizika související s ohrožením kontinuity činností,
b)
stanoví, aktualizuje a pravidelně testuje plány kontinuity činností informačního systému
kritické informační infrastruktury a komunikačního systému kritické informační
infrastruktury,
c)
realizuje opatření pro zvýšení odolnosti informačního systému kritické informační
infrastruktury a komunikačního systému kritické informační infrastruktury vůči
kybernetickému bezpečnostnímu incidentu a využívá nástroj pro zajišťování úrovně
dostupnosti podle § 26,
d)
stanoví a aktualizuje postupy pro provedení opatření vydaných Úřadem podle § 13 a 14
zákona, ve kterých zohlední
1.
výsledky hodnocení rizik provedení opatření,
2.
stav dotčených bezpečnostních opatření a
3.
vyhodnocení případných negativních dopadů na provoz a bezpečnost
informačního systému kritické informační infrastruktury nebo komunikačního
systému kritické informační infrastruktury.