13
§ 15
Kontrola a audit kybernetické bezpečnosti
(1) Orgán a osoba
uvedená v § 3 písm. c) až e) zákona
splní povinnost podle § 4 odst.
2 zákona tím, že
a)
posuzuje soulad bezpečnostních opatření s obecně závaznými právními předpisy,
vnitřními předpisy, jinými předpisy a smluvními závazky vztahujícími se k informačnímu
systému kritické informační infrastruktury, komunikačnímu systému kritické informační
infrastruktury a významnému informačnímu systému a určí opatření pro jeho prosazování a
b)
provádí a dokumentuje pravidelné kontroly dodržování bezpečnostní politiky a
výsledky těchto kontrol zohlední v plánu rozvoje bezpečnostního povědomí a plánu zvládání
rizik.
(2) Orgán a
osoba
uvedená v § 3 písm. c) a d)
splní povinnost podle § 4 odst. 2 zákona
dále tím, že
zajišťuje provedení auditu kybernetické bezpečnosti osobou s odbornou
kvalifikací podle § 6 odst. 5, která hodnotí správnost a účinnost zavedených bezpečnostních
opatření.
(3) Orgán a osoba
uvedená v § 3 písm. c) a d) zákona
splní povinnost podle § 4 odst. 2
zákona dále tím, že pro
informační systém kritické informační infrastruktury a komunikační
systém kritické informační infrastruktury
provádí kontrolu zranitelnosti technických
prostředků pomocí automatizovaných nástrojů a jejich odborné vyhodnocení a reaguje na
zjištěné zranitelnosti.
HLAVA II
TECHNICKÁ OPATŘENÍ
§ 16
Fyzická bezpečnost
(1) Orgán a osoba
uvedená v § 3 písm. c) až e) zákona
splní povinnost podle § 4 odst.
2 zákona tím, že
a)
přijme nezbytná opatření k zamezení neoprávněnému vstupu do vymezených prostor,
kde jsou zpracovávány informace a umístěna technická aktiva informačního systému kritické
informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo
významného informačního systému,
b)
přijme nezbytná opatření k zamezení poškození a zásahům do vymezených prostor, kde
jsou uchovány informace a umístěna technická aktiva informačního systému kritické
informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo
významného informačního systému a
c)
předchází poškození, krádeži nebo kompromitaci aktiv nebo přerušení poskytování
služeb informačního systému kritické informační infrastruktury, komunikačního systému
kritické informační infrastruktury nebo významného informačního systému.
(2) Orgán a osoba
uvedená v § 3 písm. c) a d) zákona
splní povinnost podle § 4 odst. 2
zákona
dále
tím, že uplatňuje prostředky fyzické bezpečnosti
a)
pro zajištění ochrany na úrovni objektů,
b)
pro zajištění ochrany v rámci objektů zajištěním zvýšené bezpečnosti vymezených
prostor, ve kterých jsou umístěna technická aktiva informačního systému kritické informační
infrastruktury nebo komunikačního systému kritické informační infrastruktury a
14
c)
pro ochranu informací a jednotlivých technických aktiv informačního systému kritické
informační infrastruktury nebo komunikačního systému kritické informační infrastruktury.
(3) Prostředky fyzické bezpečnosti jsou zejména
a)
mechanické zábranné prostředky,
b)
zařízení elektrické zabezpečovací signalizace,
c)
prostředky omezující působení požárů nebo záplav,
d)
systémy pro
kontrolu vstupu,
e)
kamerové systémy,
f)
zařízení pro zajištění ochrany před selháním dodávky elektrického napájení a
g)
zařízení pro zajištění optimálních provozních podmínek.
§ 17
Nástroj pro ochranu integrity komunikačních sítí
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst.
2 zákona tím, že pro ochranu integrity rozhraní vnější komunikační sítě, která není pod
správou orgánu nebo osoby, a vnitřní komunikační sítě, která je pod správou orgánu nebo
osoby, zavede
a)
řízení bezpečného přístupu mezi vnější a vnitřní sítí,
b)
segmentaci zejména použitím demilitarizovaných zón jako speciálního typu sítě
používaného ke zvýšení bezpečnosti aplikací dostupných z vnější sítě a k zamezení přímé
komunikace vnitřní sítě s vnější sítí,
c)
kryptografické prostředky (§ 25) pro vzdálený přístup, vzdálenou správu nebo pro
přístup pomocí bezdrátových technologií a
d)
opatření pro odstranění nebo blokování přenášených dat, které neodpovídají
požadavkům na ochranu integrity komunikační sítě.
(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2
zákona dále tím, že využívá nástroje pro ochranu integrity vnitřní komunikační sítě, které
zajistí její segmentaci.
§ 18
Nástroj pro ověřování identity uživatelů
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst.
2 zákona tím, že používá nástroje pro ověření identity uživatelů a administrátorů
informačního systému kritické informační infrastruktury, komunikačního systému kritické
informační infrastruktury a významného informačního systému.
(2) Nástroj pro ověřování identity uživatelů a administrátorů zajišťuje ověření identity
uživatelů a administrátorů před zahájením jejich aktivit v informačním systému kritické
informační infrastruktury, komunikačním systému kritické informační infrastruktury a
významném informačním systému.
(3) Nástroj pro ověřování identity uživatelů, který používá autentizaci pouze heslem,
zajišťuje
a)
minimální délku hesla osm znaků,