1
I.
Návrh
VYHLÁŠKA
ze dne … … 2014
o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních
opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška
o kybernetické bezpečnosti)
Národní bezpečnostní úřad stanoví podle § 6 písm. a) až c), § 8 odst. 4, § 13 odst. 4 a
§ 16 odst. 6 zákona č. …/2014 Sb. o kybernetické bezpečnosti a o změně souvisejících
zákonů (zákon o kybernetické bezpečnosti), (dále jen „zákon“):
ČÁST PRVNÍ
ÚVODNÍ USTANOVENÍ
§ 1
Předmět úpravy
Touto vyhláškou se stanoví obsah a struktura bezpečnostní dokumentace, obsah
bezpečnostních opatření a rozsah jejich zavedení, typy a kategorie kybernetických
bezpečnostních incidentů, náležitosti a způsob hlášení kybernetického bezpečnostního
incidentu, náležitosti oznámení o provedení reaktivního opatření a jeho výsledku a vzor
oznamování kontaktních údajů a jeho formu.
§ 2
Vymezení pojmů
V této vyhlášce se rozumí
a)
systémem řízení bezpečnosti informací část systému řízení orgánu a osoby uvedené
v § 3 písm. c) až e) zákona založená na přístupu k rizikům informačního systému kritické
informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo
významného informačního systému, která stanoví způsob ustavení, zavádění, provoz,
monitorování, přezkoumání, udržování a zlepšování bezpečnosti informací,
b)
aktivem primární a podpůrné aktivum,
c)
primárním aktivem informace nebo služba, kterou zpracovává nebo poskytuje
informační systém kritické informační infrastruktury, komunikační systém kritické
informační infrastruktury nebo významný informační systém,
d)
podpůrným aktivem technické aktivum, zaměstnanci a dodavatelé podílející se na
provozu, rozvoji, správě nebo bezpečnosti informačního systému kritické informační
infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného
informačního systému,
e)
technickým aktivem technické vybavení, komunikační prostředky a programové
vybavení informačního systému kritické informační infrastruktury, komunikačního systému
kritické informační infrastruktury nebo významného informačního systému a objekty, ve
kterých jsou tyto systémy umístěny,
2
f)
rizikem možnost, že určitá hrozba využije zranitelnosti informačního systému kritické
informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo
významného informačního systému a způsobí negativní dopad na aktiva,
g)
hodnocením rizik proces, při němž je určována významnost rizik a jejich přijatelná
úroveň,
h)
řízením rizik činnost zahrnující hodnocení rizik, výběr a zavedení opatření ke zvládání
rizik, sdílení informací o riziku a sledování a přezkoumání rizik,
i)
hrozbou potencionální příčina kybernetické bezpečnostní události nebo kybernetického
bezpečnostního incidentu, jejímž výsledkem může být poškození aktiva,
j)
zranitelností slabé místo aktiva nebo bezpečnostního opatření, které může být zneužito
jednou nebo více hrozbami,
k)
přijatelným rizikem riziko zbývající po uplatnění bezpečnostních opatření, jehož úroveň
odpovídá kritériím pro přijatelnost rizik,
l)
bezpečnostní politikou soubor zásad a pravidel, které určují způsob zajištění ochrany
aktiv orgánem a osobou uvedenou v § 3 písm. c) až e) zákona,
m)
garantem aktiva fyzická osoba pověřená orgánem a osobou uvedenou v § 3 písm. c) až
e) zákona k zajištění rozvoje, použití a bezpečnosti aktiva,
n)
uživatelem fyzická nebo právnická osoba anebo orgán veřejné moci, která využívá
primární aktiva,
o)
administrátorem fyzická osoba pověřená garantem aktiva odpovědná za správu, provoz,
použití, údržbu, a bezpečnost technického
aktiva a
p)
výborem pro řízení kybernetické bezpečnosti organizovaná skupina tvořená osobami,
které jsou pověřeny celkovým řízením a rozvojem informačního systému kritické informační
infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného
informačního systému nebo se významně podílejí na řízení a koordinaci činností spojených
s kybernetickou bezpečností těchto systémů.
ČÁST DRUHÁ
BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I
ORGANIZAČNÍ OPATŘENÍ
§ 3
Systém řízení bezpečnosti informací
(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2
zákona tím, že v rámci systému řízení bezpečnosti informací
a)
stanoví s ohledem na aktiva a organizační bezpečnost rozsah a hranice systému řízení
bezpečnosti informací, ve kterém určí, kterých organizačních částí a technických prvků se
systém řízení bezpečnosti informací týká,
b)
řídí rizika podle § 4 odst. 1,