VyhláŠka ze dne … … 2014 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání V oblasti kybernetické bezpečnosti

13 

 

§ 15

 

 

Kontrola a audit kybernetické bezpečnosti  

 

(1) Orgán a osoba 

uvedená v § 3 písm. c) až e) zákona

 splní povinnost podle § 4 odst. 

2 zákona tím, že

 

a)

 

posuzuje  soulad  bezpečnostních  opatření  s  obecně  závaznými  právními  předpisy, 

vnitřními  předpisy,  jinými  předpisy  a  smluvními  závazky  vztahujícími  se  k informačnímu 

systému  kritické  informační  infrastruktury,  komunikačnímu  systému  kritické  informační 

infrastruktury a významnému informačnímu systému a určí opatření pro jeho prosazování a 

b)

 

provádí  a  dokumentuje  pravidelné  kontroly  dodržování  bezpečnostní  politiky  a 

výsledky těchto kontrol zohlední v plánu rozvoje bezpečnostního povědomí a plánu zvládání 

rizik. 

 

(2) Orgán a 

osoba 

uvedená v § 3 písm. c) a d) 

splní povinnost podle § 4 odst. 2 zákona 

dále  tím,  že

  zajišťuje  provedení  auditu  kybernetické  bezpečnosti  osobou  s odbornou 

kvalifikací podle § 6 odst. 5, která hodnotí správnost a účinnost zavedených bezpečnostních 

opatření.

 

 

(3) Orgán a osoba 

uvedená v § 3 písm. c) a d) zákona 

splní povinnost podle § 4 odst. 2 

zákona dále tím, že pro 

informační systém kritické informační infrastruktury a komunikační 

systém  kritické  informační  infrastruktury 

provádí  kontrolu  zranitelnosti  technických 

prostředků  pomocí  automatizovaných  nástrojů  a  jejich  odborné  vyhodnocení  a  reaguje  na 

zjištěné zranitelnosti. 

 

HLAVA II 

TECHNICKÁ OPATŘENÍ 

§ 16

 

 

Fyzická bezpečnost 

 

(1) Orgán a osoba 

uvedená v § 3 písm. c) až e) zákona

 splní povinnost podle § 4 odst. 

2 zákona tím, že

 

a)

 

přijme  nezbytná  opatření  k  zamezení  neoprávněnému  vstupu  do  vymezených  prostor, 

kde jsou zpracovávány informace a umístěna technická aktiva informačního systému kritické 

informační  infrastruktury,  komunikačního  systému  kritické  informační  infrastruktury  nebo 

významného informačního systému, 

b)

 

přijme nezbytná opatření k zamezení poškození a zásahům do vymezených prostor, kde 

jsou  uchovány  informace  a  umístěna  technická  aktiva  informačního  systému  kritické 

informační  infrastruktury,  komunikačního  systému  kritické  informační  infrastruktury  nebo 

významného informačního systému a 

c)

 

předchází  poškození,  krádeži  nebo  kompromitaci  aktiv  nebo  přerušení  poskytování 

služeb  informačního  systému  kritické  informační  infrastruktury,  komunikačního  systému 

kritické informační infrastruktury nebo významného informačního systému. 

 

(2) Orgán a osoba 

uvedená v § 3 písm. c) a d) zákona 

splní povinnost podle § 4 odst. 2 

zákona 

dále 

tím, že uplatňuje prostředky fyzické bezpečnosti 

 

a)

 

pro zajištění ochrany na úrovni objektů, 

b)

 

pro  zajištění  ochrany  v rámci  objektů  zajištěním  zvýšené  bezpečnosti  vymezených 

prostor, ve kterých jsou umístěna technická aktiva informačního systému kritické informační 

infrastruktury nebo komunikačního systému kritické informační infrastruktury a 

14 

 

c)

 

pro ochranu informací a jednotlivých technických aktiv informačního systému kritické 

informační infrastruktury nebo komunikačního systému kritické informační infrastruktury. 

 

(3) Prostředky fyzické bezpečnosti jsou zejména

 

a)

 

mechanické zábranné prostředky, 

b)

 

zařízení elektrické zabezpečovací signalizace, 

c)

 

prostředky omezující působení požárů nebo záplav, 

d)

 

systémy pro kontrolu vstupu, 

e)

 

kamerové systémy, 

f)

 

zařízení pro zajištění ochrany před selháním dodávky elektrického napájení a 

g)

 

zařízení pro zajištění optimálních provozních podmínek. 

 

§ 17

 

 

Nástroj pro ochranu integrity komunikačních sítí 

 

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst. 

2  zákona  tím,  že  pro  ochranu  integrity  rozhraní  vnější  komunikační  sítě,  která  není  pod 

správou  orgánu  nebo  osoby,  a  vnitřní  komunikační  sítě,  která  je  pod  správou  orgánu  nebo 

osoby, zavede 

a)

 

řízení bezpečného přístupu mezi vnější a vnitřní sítí, 

b)

 

segmentaci  zejména  použitím  demilitarizovaných  zón  jako  speciálního  typu  sítě 

používaného  ke  zvýšení  bezpečnosti  aplikací  dostupných  z vnější  sítě  a  k  zamezení  přímé 

komunikace vnitřní sítě s vnější sítí, 

c)

 

kryptografické  prostředky  (§  25)  pro  vzdálený  přístup,  vzdálenou  správu  nebo  pro 

přístup pomocí bezdrátových technologií a 

d)

 

opatření  pro  odstranění  nebo  blokování  přenášených  dat,  které  neodpovídají 

požadavkům na ochranu integrity komunikační sítě. 

 

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2 

zákona  dále  tím,  že  využívá  nástroje  pro  ochranu  integrity  vnitřní  komunikační  sítě,  které 

zajistí její segmentaci. 

 

§ 18

 

 

Nástroj pro ověřování identity uživatelů 

 

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst. 

2  zákona  tím,  že  používá  nástroje  pro  ověření  identity  uživatelů  a  administrátorů 

informačního  systému  kritické  informační  infrastruktury,  komunikačního  systému  kritické 

informační infrastruktury a významného informačního systému. 

 

(2) Nástroj pro ověřování identity uživatelů a administrátorů zajišťuje ověření identity 

uživatelů  a  administrátorů  před  zahájením  jejich  aktivit  v informačním  systému  kritické 

informační  infrastruktury,  komunikačním  systému  kritické  informační  infrastruktury  a 

významném informačním systému. 

 

(3) Nástroj pro ověřování identity uživatelů, který používá autentizaci pouze heslem, 

zajišťuje 

a)

 

minimální délku hesla osm znaků,