Návrh VYHLÁŠKA. ze dne 2014
|
|
- Pavla Zemanová
- před 5 lety
- Počet zobrazení:
Transkript
1 Návrh VYHLÁŠKA ze dne 2014 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních protiopatřeních a o stanovení náležitosti podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) Národní bezpečnostní úřad stanoví podle 7, 9 odst. 4, 15 odst. 4 a 5, 18 odst. 6 zákona č. /2014 Sb. o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) (dále jen zákon ): ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ 1 Předmět úpravy Touto vyhláškou se stanoví obsah, struktura a forma bezpečnostní dokumentace, obsah bezpečnostních opatření a rozsah jejich zavedení, typy a kategorie kybernetických bezpečnostních incidentů, náležitosti a forma hlášení kybernetického bezpečnostního incidentu, náležitosti oznámení o provedení reaktivního opaření a jeho výsledku, příklady reaktivních protiopatření a vzor oznamování kontaktních údajů a jeho formu. V této vyhlášce se rozumí 2 Vymezení pojmů a) systémem řízení bezpečnosti informací část systému řízení povinné osoby založená na přístupu k rizikům informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému, která stanoví způsob ustavení, zavádění, provoz, monitorování, přezkoumání, udržování a zlepšování bezpečnosti informací, b) aktivem souhrn primárních a podpůrných aktiv, c) primárním aktivem informace nebo služba, kterou zpracovává nebo poskytuje informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury nebo významný informační systém, d) podpůrným aktivem technické aktivum, zaměstnanci a dodavatelé, které se podílí na provozu, rozvoji, správě nebo bezpečnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému,
2 e) technickým aktivem technické vybavení, komunikační prostředky, programové vybavení a objekty informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému, f) rizikem pravděpodobnost, že určitá hrozba využije zranitelnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systém a způsobí negativní dopad na aktiva, g) hodnocením rizik proces, při němž je určována významnost rizik a jejich přijatelná úroveň, h) řízením rizik činnost zahrnující hodnocení rizik, výběr a zavedení opatření ke zvládání rizik, přijatelnost rizika, sdílení informací o riziku, sledování a přezkoumání rizik, i) hrozbou potencionální příčina kybernetické bezpečnostní události nebo kybernetického bezpečnostního incidentu, jejímž výsledkem může být poškození aktiva, j) zranitelností slabé místo aktiva nebo systému řízení bezpečnosti informací, k) zbytkovým rizikem riziko zbývající po uplatnění bezpečnostních opatření, l) bezpečnostní politikou soubor zásad a pravidel, které určují způsob zajištění ochrany aktiv povinnou osobou, m) garant aktiva fyzická osoba pověřená povinnou osobou uvedenou v 3 písm. c) až e) zákona k zajištění provozu, vývoje, údržby, použití a bezpečnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému, n) uživatelem fyzická nebo právnická osoba anebo orgán veřejné moci, která využívá primární aktiva informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému a o) administrátorem fyzická osoba pověřená garantem aktiva odpovědná za správu technického aktiva informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému. 2
3 ČÁST DRUHÁ BEZPEČNOSTNÍ OPATŘENÍ HLAVA I ORGANIZAČNÍ OPATŘENÍ 3 Systém řízení bezpečnosti informací (1) Povinná osoba uvedená v 3 písm. c) a d) zákona v rámci systému řízení bezpečnosti informací a) stanoví s ohledem na aktiva a organizační bezpečnost rozsah a hranice systému řízení bezpečnosti informací, ve kterém určí, kterých organizačních částí a technických prvků se systém řízení bezpečnosti informací týká, b) vytvoří a schválí politiku systému řízení bezpečnosti informací, která obsahuje hlavní zásady, cíle a lhůty, bezpečnostní potřeby, práva a povinnosti ve vztahu k systému řízení bezpečnosti informací a k řízení rizik, c) řídí rizika podle 4 odst. 1, d) stanoví na základě bezpečnostních potřeb a výsledků hodnocení rizik bezpečnostní politiky podle 5 a zavede příslušná bezpečnostní opatření, e) monitoruje účinnost bezpečnostních opatření, f) vyhodnocuje vhodnost a účinnost bezpečnostních politik a bezpečnostních opatření, g) zajistí provedení vnitřního auditu systému řízení bezpečnosti informací podle 15 a 36, a to nejméně jednou ročně, h) zajistí nejméně jednou ročně přezkoumání systému řízení bezpečnosti informací, které obsahuje hodnocení stavu systému řízení bezpečnosti informací včetně revize hodnocení rizik, posouzení výsledků provedených kontrol a auditů a dopadů kybernetických bezpečnostních incidentů na systém řízení bezpečnosti informací, i) aktualizuje systém řízení bezpečnosti informací a příslušnou dokumentaci na základě zjištění interních auditů systému řízení bezpečnosti informací, výsledků přezkoumání systému řízení bezpečnosti informací a v souvislosti s prováděnými či plánovanými změnami a j) řídí provoz a zdroje systému řízení bezpečnosti informací, zaznamenává činnosti spojené se systémem řízení bezpečnosti informací a řízením rizik. (2) Povinná osoba uvedená v 3 písm. e) zákona v rámci systému řízení bezpečnosti informací a) stanoví, dokumentuje a schválí politiku systému řízení bezpečnosti informací, která obsahuje hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti ve vztahu k systému řízení bezpečnosti informací a řízení rizik, b) řídí rizika podle 4 odst. 2, 3
4 c) stanoví na základě bezpečnostních potřeb a výsledků hodnocení rizik bezpečnostní politiky podle 5 a zavede příslušná bezpečnostní opatření a d) provádí nejméně jednou za tři roky aktualizaci zprávy o hodnocení rizik, bezpečnostních politik, plánu zvládání rizik a plánu rozvoje bezpečnostního povědomí. 4 Řízení rizik (1) Povinná osoba uvedená v 3 písm. c) a d) zákona v rámci řízení rizik a) stanoví metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik včetně stanovení kritérií pro přijatelnost rizik, b) identifikuje a hodnotí důležitost aktiv, které patří do rozsahu systému řízení bezpečnosti informací, podle 8 a přílohy č. 1 k této vyhlášce a zpracuje zprávu o hodnocení rizik, c) identifikuje rizika, při kterých zohlední hrozby a zranitelností, posoudí možné dopady na aktiva, hodnotí tato rizika podle přílohy č. 2 k této vyhlášce, určí a schválí zbytková rizika a zpracuje zprávu o hodnocení rizik, d) učiní na základě bezpečnostních potřeb a výsledků hodnocení rizik prohlášení o aplikovatelnosti, které obsahuje přehled bezpečnostních opatření a popis vazeb mezi identifikovanými riziky a příslušnými bezpečnostními opatřeními, e) zpracuje a zavede plán zvládání rizik, který obsahuje cíle a přínosy bezpečnostních opatření, určení osoby odpovědné za prosazování bezpečnostních opatření, potřebné finanční, technické, lidské a informační zdroje a termín jejich zavedení a f) zohlední bez zbytečného odkladu protiopatření vydaná Úřadem v hodnocení rizik a v případě, že aktualizované hodnocení rizik překročí stanovená kritéria pro přijatelnost rizik, doplní plán zvládání rizik. (2) Povinná osoba uvedená v 3 písm. e) zákona v rámci řízení rizik a) stanoví metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik včetně stanovení kritérií pro přijatelnost rizik, b) identifikuje a hodnotí důležitost primárních aktiv, které patří do rozsahu systému řízení bezpečnosti informací, podle 8 a přílohy č. 1 k této vyhlášce a zpracuje zprávu o hodnocení rizik, c) identifikuje rizika, při kterých zohlední hrozby a zranitelnosti, posoudí možné dopady na primární aktiva, hodnotí tato rizika podle přílohy č. 2 k této vyhlášce a zpracuje zprávu o hodnocení rizik, d) učiní na základě bezpečnostních potřeb a výsledků hodnocení rizik prohlášení o aplikovatelnosti, které obsahuje přehled bezpečnostních opatření a popisuje vazby mezi identifikovanými riziky a příslušnými bezpečnostními opatřeními, 4
5 e) zpracuje a zavede plán zvládání rizik, který obsahuje cíle a přínosy bezpečnostních opatření, určení osoby odpovědné za prosazování bezpečnostních opatření, potřebné finanční, technické, lidské a informační zdroje a termíny jejich zavedení a f) zohlední bez zbytečného odkladu protiopatření vydaná Úřadem v hodnocení rizik a v případě, že aktualizované hodnocení rizik překročí stanovená kritéria pro přijatelnost rizik, doplní plán zvládání rizik. 5 Bezpečnostní politika (1) Povinná osoba uvedená v 3 písm. c) a d) zákona stanoví bezpečnostní politiky v oblastech a) systém řízení bezpečnosti informací, b) organizační bezpečnost, c) řízení dodavatelů, d) klasifikace aktiv, která zahrnuje pravidla pro bezpečné nakládání s aktivy, e) bezpečnost lidských zdrojů, f) řízení provozu a komunikací, g) řízení přístupu, h) bezpečné chování uživatelů, i) zálohování a obnovy, j) bezpečné předávání informací, k) řízení zranitelností, l) bezpečné používání mobilních zařízení, m) licencování software, n) archivování dokumentů a záznamů, o) ochrana osobních údajů, p) fyzická bezpečnost, q) bezpečnost sítě, r) ochrana před škodlivým softwarem, s) nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí, t) využití a údržby nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí a u) používání kryptografické ochrany. 5
6 (2) Povinná osoba uvedená v 3 písm. e) zákona stanoví bezpečnostní politiky v oblastech a) systém řízení bezpečnosti informací, b) organizační bezpečnost, c) řízení dodavatelů, d) klasifikace aktiv, která zahrnuje pravidla pro bezpečné nakládání s aktivy, e) bezpečnost lidských zdrojů, f) řízení provozu a komunikací, g) řízení přístupu, h) bezpečné chování uživatelů, i) používání kryptografické ochrany a j) nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí. (3) Povinná osoba uvedená v 3 písm. c) až e) zákona pravidelně hodnotí účinnost bezpečnostních politik a aktualizovat je. 6 Organizační bezpečnost (1) Povinná osoba uvedená v 3 písm. c) až e) zákona zavádí organizaci řízení bezpečnosti informací (dále jen organizační bezpečnost ), ve které určí bezpečnostní role a jejich práva a povinnosti související s informačním systémem kritické informační infrastruktury, komunikačním systémem kritické informační infrastruktury nebo významným informačním systémem. (2) Povinná osoba uvedená v 3 písm. c) a d) zákona určí práva a povinnosti bezpečnostních rolí a) manažer kybernetické bezpečnosti, b) architekt kybernetické bezpečnosti, c) auditor kybernetické bezpečnosti, d) garant aktiva a e) výbor pro řízení kybernetické bezpečnosti. (3) Auditor kybernetické bezpečnosti vykonává svoji roli nestranně a výkon jeho role je oddělen od výkonu rolí uvedených v odstavci 2 písm. a), b), nebo d). 7 Stanovení bezpečnostních požadavků pro dodavatele (1) Povinná osoba uvedená v 3 písm. c) až e) zákona stanoví pravidla pro výběr dodavatelů, která zohledňují potřeby řízení bezpečnosti informací, a řídí své dodavatele či jiné 6
7 externí subjekty, které se podílejí na rozvoji, provozu nebo zajištění bezpečnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému. Rozsah zapojení dodavatelů při správě a provozu informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému dokládá povinná osoba písemnou smlouvou, jejíž součástí je ustanovení o bezpečnosti informací. (2) Povinná osoba uvedená v 3 písm. c) a d) zákona a) provádí pravidelné hodnocení rizik, která jsou spojena s jednotlivými dodavateli, b) uzavírá s dodavateli smlouvu o úrovni služeb, která stavoví způsoby a úrovně realizace bezpečnostních opatření a určí vztah vzájemné smluvní odpovědnosti za zavedení a kontrolu bezpečnostních opatření a c) provádí pravidelnou kontrolu zavedených bezpečnostních opatření na straně jednotlivých dodavatelů a zjištěné nedostatky po dohodě s dodavatelem odstraní. 8 Řízení aktiv (1) Povinná osoba uvedená v 3 písm. c) až e) zákona a) identifikuje a eviduje primární aktiva, b) určí osoby, které jsou za primární aktiva odpovědné a c) hodnotí důležitost primárních aktiv z hlediska důvěrnosti, integrity a dostupnosti a zařadí je do úrovní podle přílohy 1 této vyhlášky. (2) Povinná osoba uvedená v 3 písm. c) a d) zákona a) identifikuje a eviduje podpůrná aktiva, b) určí osoby, které jsou za podpůrná aktiva odpovědné a c) určí vazby mezi primárními a podpůrnými aktivy a hodnotí důsledky závislostí mezi primárními a podpůrnými aktivy. (3) Povinná osoba uvedená v 3 písm. c) až e) zákona dále a) stanoví pravidla ochrany, nutná pro zabezpečení jednotlivých úrovní aktiv tím, že 1. určí způsoby rozlišování jednotlivých úrovní aktiv, 2. stanoví pravidla pro manipulaci a evidenci aktiv podle úrovní aktiv včetně pravidel pro bezpečné elektronické sdílení a fyzické přenášení aktiv, 3. stanoví přípustné způsoby používání aktiv, b) zavede pravidla ochrany odpovídající úrovni aktiv a c) určí způsoby pro spolehlivé smazání nebo ničení paměťových médií s ohledem na úroveň aktiv. 7
8 (4) Typy, způsoby hodnocení a úrovně aktiv jsou stanoveny v příloze č. 1 k této vyhlášce. 9 Bezpečnost lidských zdrojů (1) Povinná osoba uvedená v 3 písm. c) až e) zákona a) zajistí poučení uživatelů, garantů aktiv, administrátorů a dalších osob zastávajících bezpečnostní role o jejich povinnostech a o bezpečnostních politikách, b) zajistí kontrolu dodržování bezpečnostních politik ze strany uživatelů, garantů aktiv, administrátorů a dalších osob zastávajících bezpečnostní role, c) stanoví plán rozvoje bezpečnostního povědomí, který obsahuje formu obsah a délku potřebných školení a další a určí osoby provádějící realizaci jednotlivých aktivit, které jsou v plánu uvedeny, d) v souladu s plánem rozvoje bezpečnostního povědomí provádí vstupní školení nových uživatelů, garantů aktiv, administrátorů a dalších osob zastávajících bezpečnostní role a pravidelná školení všech uživatelů, garantů aktiv, administrátorů a osob zastávajících bezpečnostní role o kybernetické bezpečnosti a e) zajistí vrácení svěřených aktiv a odebrání přístupových oprávnění při ukončení smluvního vztahu s uživateli, garanty aktiv, administrátory nebo dalších osobami zastávajícími bezpečnostní role. (2) Poučení vede v listinné podobě a podepisuje ho poučovaná osoba a osoba, která poučení provedla na základě pověření povinné osoby. (3) Povinná osoba uvedená v 3 písm. c) a d) zákona a) stanoví pravidla pro výběr a prověřování osob, které budou zastávat role garantů aktiv, administrátorů nebo další bezpečnostní role, b) hodnotí účinnost plánu rozvoje bezpečnostního povědomí, provedených školení a dalších činností spojených s prohlubováním bezpečnostního povědomí, c) určí pravidla a postupy pro řešení případů porušení pracovních povinností v případech, kdy došlo k porušování stanovených bezpečnostních pravidel ze strany uživatelů, garantů aktiv, administrátorů a dalších osob zastávajících bezpečnostní role a d) zajistí změnu přístupových oprávnění při změně pracovní pozice uživatelů, garantů aktiv, administrátorů nebo dalších osob zastávajících bezpečnostní role. 8
9 10 Řízení provozu a komunikací (1) Povinná osoba uvedená v 3 písm. c) až e) zákona pomocí technických nástrojů uvedených v 21 až 23 detekuje kybernetické bezpečnostní události, pravidelně vyhodnocuje získané informace a na zjištěné nedostatky reaguje v souladu s 13. (2) Povinná osoba uvedená v 3 písm. c) až e) zákona je zajišťuje bezpečný provoz informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému. Za tímto účelem a stanoví provozní pravidla a postupy. (3) Provozní pravidla a postupy povinné osoby uvedené v 3 písm. c) a d) zákona obsahují a) práva a povinnosti garantů aktiv, administrátorů a dalších bezpečnostních rolí, b) postupy pro spuštění a ukončení chodu systému, pro restart nebo obnovení chodu systému po selhání, pro ošetření chybových stavů anebo mimořádných jevů, c) postupy pro sledování kybernetických bezpečnostních událostí a ochranu záznamů o činnostech, d) spojení na kontaktní osoby, které jsou určeny jako podpora při řešení neočekávaných systémových nebo technických potíží, e) postupy řízení a schvalování provozních změn a f) postupy pro sledování, plánování a řízení kapacity lidských a technických zdrojů. (4) Povinná osoba uvedená v 3 písm. c) a d) zákona při řízení provozu a) zajišťuje oddělení vývojového, testovacího a produkčního prostředí, b) provádí pravidelné zálohování a prověřuje použitelnost provedených záloh a c) řeší vydaná reaktivní protiopatření tím, že 1. zváží očekávané dopady navrhovaného reaktivní protiopatření na informační systém kritické informační infrastruktury nebo komunikační systém kritické informační infrastruktury a na zavedená bezpečnostní opatření a vyhodnotí možné negativní účinky, 2. stanoví způsob rychlého provedení reaktivního protiopatření, který bude minimalizovat možné negativní účinky, a určí časový plán provedení reaktivního protiopatření, 3. v případě, že možné negativní dopady nebo související rizika provedení reaktivního protiopatření mohou ohrozit provoz informačního systému kritické informační infrastruktury nebo komunikačního systému kritické informační infrastruktury nebo jejich bezpečnost, bez zbytečného odkladu oznámí tuto skutečnost Úřadu. 9
10 (5) Povinná osoba uvedená v 3 písm. c) a d) zákona v rámci řízení komunikací a) zajišťuje bezpečnost a integritu komunikačních sítí a bezpečnost a integritu komunikačních služeb podle 17, b) určí pravidla a postupy pro ochranu informací, které jsou přenášeny komunikačními sítěmi a c) provádí výměnu a předávání informací na základě písemných smluv, jejíchž součástí je ustanovení o bezpečnosti informací. 11 Řízení přístupu a bezpečné chování uživatelů (1) Povinná osoba uvedená v 3 písm. c) až e) zákona na základě provozních a bezpečnostních potřeb řídí přístup k informačnímu systému kritické informační infrastruktury, komunikačnímu systému kritické informační infrastruktury a významnému informačnímu systému. (2) Povinná osoba uvedená v 3 písm. c) až e) zákona zajistí, aby uživatelé a administrátoři informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému chránili údaje, které slouží k přihlášení, a aby zabránili v jejich zneužití neoprávněnou osobou. (3) Povinná osoba uvedená v 3 písm. c) a d) zákona v rámci řízení přístupu a) přidělí uživateli individuální identifikátor, b) omezí přidělování oprávnění pro administrátory, c) přiděluje a odebírá přístupová oprávnění v souladu s politikou řízení přístupu, d) provádí pravidelné přezkoumání nastavení přístupových oprávnění včetně rozdělení jednotlivých uživatelů v přístupových skupinách, e) využívá nástroj pro ověřování identity uživatelů podle 18 a nástroj pro řízení přístupových oprávnění podle 19 a f) zavede bezpečnostní opatření potřebná pro ochranu a bezpečné používání mobilních zařízení, případně i opatření spojená s využitím technických zařízení, kterými povinná osoba nedisponuje. 12 Akvizice, vývoj a údržba (1) Povinná osoba uvedená v 3 písm. c) až e) zákona stanoví bezpečnostní požadavky na změny spojené s akvizicí, vývojem a údržbou informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému. Bezpečnostní požadavky musí být zahrnuty do projektu akvizice, vývoje a údržby systému. (2) Povinná osoba uvedená v 3 písm. c) a d) zákona 10
11 a) identifikuje, hodnotí a řídí rizika související s akvizicí, vývojem a údržbou informačního systému kritické informační infrastruktury nebo komunikačního systému kritické informační infrastruktury; pro postupy hodnocení a řízení rizik se metodiky podle 4 odst. 1 písm. a) použijí obdobně, b) zajistí bezpečnost vývojového prostředí a zajistí ochranu používaných testovacích dat a c) provádí bezpečnostní testování změn informačního systému kritické informační infrastruktury nebo komunikačního systému kritické informační infrastruktury před jejich zavedením do provozu. 13 Zvládání kybernetických bezpečnostních událostí a incidentů (1) Povinná osoba uvedená v 3 písm. c) až e) zákona a) zajistí, aby u informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému došlo k oznamování kybernetických bezpečnostních událostí od uživatelů, garantů aktiv, administrátorů a další bezpečnostní role, přičemž o oznámeních vede záznamy, b) připraví prostředí pro vyhodnocení oznámených kybernetických bezpečnostních událostí a událostí detekovaných technickými nástroji podle 21 až 23, provádí jejich vyhodnocení a identifikuje kybernetické bezpečnostní incidenty, c) provádí klasifikaci bezpečnostních incidentů, přijímá opatření pro odvrácení a zmírní dopadu kybernetického bezpečnostního incidentu, provádí hlášení kybernetického bezpečnostního incidentu a zajistí sběr věrohodných podkladů pro analýzu kybernetického bezpečnostního incidentu, d) určí příčiny kybernetického bezpečnostního incidentu, vyhodnotí účinnost řešení kybernetického bezpečnostního incidentu a na základě vyhodnocení stanoví nová bezpečnostní opatření k zamezení opakování řešeného kybernetického bezpečnostního incidentu a e) dokumentuje systém zvládání kybernetických bezpečnostních incidentů. 14 Řízení kontinuity činností (1) Povinná osoba uvedená v 3 písm. c) až e) zákona v rámci řízení kontinuity činností stanoví a) práva a povinnosti garantů aktiv, administrátorů a dalších bezpečnostních rolí, b) cíle řízení kontinuity činností formou určení 1. minimální úrovně poskytovaných služeb, která je přijatelná pro užívání, provoz a správu informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému, 11
12 2. doby obnovení chodu, během které bude po kybernetickém bezpečnostním incidentu obnovena minimální úroveň poskytovaných služeb informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému, 3. bodu obnovení dat jako termínu, ke kterému budou obnovena data po kybernetickém bezpečnostním incidentu, c) strategii řízení kontinuity činností, která obsahuje naplnění cílů podle písmene b). (2) Povinná osoba uvedená v 3 písm. c) a d) zákona a) vyhodnotí a dokumentuje možné dopady různých kybernetických bezpečnostních incidentů a posoudí rizika související ohrožením kontinuity činností, b) stanoví, aktualizuje a pravidelně testuje plány kontinuity činností informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury, c) realizuje opatření pro zvýšení odolnosti informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury vůči kybernetickému bezpečnostnímu incidentu, d) stanoví a aktualizuje postupy pro provedení protiopatření vydaných Úřadem, ve kterých zohlední 1. výsledky hodnocení rizik provedení protiopatření, 2. stav dotčených bezpečnostních opatření a 3. vyhodnocení případných negativních dopadů na provoz a bezpečnost informačního systému kritické informační infrastruktury nebo komunikačního systému kritické informační infrastruktury. 15 Kontrola a audit (1) Povinná osoba uvedená v 3 písm. c) až e) zákona a) identifikuje obecně závazné právní předpisy, vnitřní předpisy, jiné předpisy a smluvní závazky vztahující se k informačnímu systému kritické informační infrastruktury, komunikačnímu systému kritické informační infrastruktury a významnému informačnímu systému a určí opatření pro jejich prosazování a b) provádí a dokumentuje pravidelné kontroly dodržování stanovených bezpečnostní politik a výsledky těchto kontrol zohlední v plánu rozvoje bezpečnostního povědomí a plánu zvládání rizik. (2) Povinná osoba uvedená v 3 písm. c) a d) provádí vnitřní audit systému řízení bezpečnosti informací osobou s odbornou kvalifikací podle 36, která hodnotí správnost a účinnost zavedení bezpečnostní opatření. 12
13 (3) Povinná osoba uvedená v 3 písm. c) a d) zákona pro informační systém kritické informační infrastruktury a komunikační systém kritické informační infrastruktury provádí kontrolu zranitelnosti technických prostředků pomocí automatizovaných nástrojů a jejich odborné vyhodnocení a reaguje na zjištěné zranitelnosti. HLAVA II TECHNICKÁ OPATŘENÍ 16 Fyzická bezpečnost (1) Povinná osoba uvedená v 3 písm. c) až e) zákona a) zamezí neoprávněnému vstupu do vymezených prostor s technickými aktivy informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému, b) zamezí poškozením a zásahům do vymezených prostor s technickými aktivy informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému a c) předchází poškození, krádeži nebo kompromitaci aktiv nebo přerušení poskytování služeb informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému. (2) Povinná osoba uvedená v 3 písm. c) a d) zákona uplatňuje prostředky fyzické bezpečnosti a) pro zajištění ochrany na úrovni objektů, b) pro zajištění ochrany v rámci objektů zajištěním zvýšené bezpečnosti vymezených prostor, ve kterých jsou umístěna technická aktiva informačního systému kritické informační infrastruktury nebo komunikačního systému kritické informační infrastruktury a c) pro ochranu jednotlivých technických aktiv informačního systému kritické informační infrastruktury nebo komunikačního systému kritické informační infrastruktury. (3) Prostředky fyzické bezpečnosti jsou zejména a) mechanické zábranné prostředky, b) zařízení elektronické zabezpečovací signalizace, c) systémy pro kontrolu vstupu, d) speciální televizní systémy, e) zařízení pro zajištění ochrany před selháním dodávky elektrického napájení a f) zařízení pro zajištění optimálních provozních podmínek. 13
14 17 Nástroj pro ochranu integrity komunikačních sítí (1) Povinná osoba uvedená v 3 písm. c) až e) zákona pro ochranu integrity rozhraní vnější a vnitřní komunikační sítě zavede a) řízení bezpečného přístupu mezi vnější a vnitřní sítí, b) segmentaci zejména použitím demilitarizovaných zón jako speciálního typu sítě používaného ke zvýšení bezpečnosti aplikací dostupných z vnější sítě a k zamezení přímé komunikace vnitřní sítě s vnější sítí, c) kryptografické prostředky ( 25) pro vzdálený přístup nebo pro přístup pomocí bezdrátových technologií a d) opatření pro odstranění nebo blokování přenášených datových entit, které neodpovídají požadavkům na ochranu integrity komunikační sítě. (2) Povinná osoba uvedená v 3 písm. c) a d) zákona využívá nástroje pro ochranu integrity vnitřní komunikační sítě, které zajistí její segmentaci. 18 Nástroj pro ověřování identity uživatelů (1) Povinná osoba uvedená v 3 písm. c) až e) zákona používá nástroje pro ověření identity uživatelů a administrátorů informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému. (2) Nástroj pro ověřování identity uživatelů a administrátorů zajišťuje a) ověření identity uživatelů a administrátorů před zahájením jejich aktivit v informačním systému kritické informační infrastruktury, komunikačním systému kritické informační infrastruktury a významném informačním systému, b) minimální délku hesla osm znaků, c) minimální složitost hesla tak, že heslo bude obsahovat nejméně jedno velké písmeno, jedno malé písmeno, jednu číslici a jeden speciální znak zejména.,,,!,? a d) maximální dobu pro povinou výměnu hesla ne delší než sto dnů. (3) Povinná osoba uvedená v 3 písm. c) a d) zákona používá nástroje pro ověření identity, které zajistí kontrolu dříve používaných hesel a neumožní více změn hesla jednoho uživatele během stanoveného období, které musí být nejméně 24 hodin. Tyto nástroje provádí opětovné ověření identity po určené době nečinnosti. (4) Povinná osoba uvedená v 3 písm. c) a d) zákona využívá nástroj pro ověřování identity účtů administrátorů, které zajistí prosazení minimální délky hesla patnáct znaků při dodržení požadavků podle odstavce 2 písm. a), c) a d). 14
15 19 Nástroj pro řízení přístupových oprávnění (1) Povinná osoba uvedená v 3 písm. c) až e) zákona používá nástroj pro prosazení přístupových oprávnění, kterým zajistí a) řízení oprávnění uživatelů pro přístup k jednotlivým aplikacím a datovým souborům a b) řízení oprávnění pro čtení dat, pro zápis dat a pro změnu oprávnění. (2) Povinná osoba uvedená v 3 písm. c) a d) zákona používá nástroj pro prosazení přístupových oprávnění, který zaznamenává použití přístupových oprávnění. 20 Nástroj pro ochranu před škodlivým kódem (1) Povinná osoba uvedená v 3 písm. c) až e) zákona používá nástroj pro ochranu před škodlivým kódem informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému, který zajistí a) ověření a kontrolu komunikace mezi vnitřní sítí a vnější sítí, b) ověření a kontrolu serverů a sdílených datových úložišť a c) ověření a kontrolu pracovních stanic. (2) Povinná osoba uvedená v 3 písm. c) až e) zákona provádí pravidelnou aktualizaci definic a signatur, které nástroj pro ochranu před škodlivým kódem využívá. 21 Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů (1) Povinná osoba uvedená v 3 písm. c) až e) zákona používá nástroj pro zaznamenávání činností informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému, které zajistí a) sběr informací o provozních a bezpečnostních činnostech zejména typ činnosti, přesný čas, identifikaci technického aktiva, který činnost zaznamenal, identifikaci původce a místa činnosti, úspěšnost či neúspěšnost činnosti a b) ochranu získaných informací před neoprávněným čtením nebo změnou. (2) Povinná osoba uvedená v 3 písm. c) až e) zákona pomocí nástroje pro zaznamenávání činnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému zaznamenává a) přihlášení a odhlášení uživatelů a administrátorů, b) činnosti provedené administrátory, 15
16 c) činnosti vedoucí k navýšení oprávnění, d) neúspěšné činnosti uživatelů, e) zahájení a ukončení činností technických aktiv informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému, f) automatická varovná nebo chybová hlášení technických aktiv, g) přístupy k záznamům o činnostech, pokusy o manipulaci se záznamy o činnostech a změny nastavení nástroje pro zaznamenávání činností, h) použití mechanismů identifikace a autentizace včetně změny údajů, které slouží k přihlášení a i) neprovedení činností v důsledku nedostatku přístupových oprávnění. (3) Povinná osoba uvedená v 3 písm. c) až e) zákona zajišťuje synchronizaci správného času technických aktiv patřících do informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému. 22 Nástroj pro detekci kybernetických bezpečnostních událostí (1) Povinná osoba uvedená v 3 písm. c) až e) zákona definuje bezpečnostní politiku pro nasazení a používání nástrojů pro detekci kybernetických bezpečnostních událostí. Nasazení nástroje pro detekci kybernetických bezpečnostních událostí vychází ze stanovených bezpečnostních potřeb a výsledků hodnocení rizik. (2) Povinná osoba uvedená v 3 písm. c) až e) zákona používá nástroje pro detekci kybernetických bezpečnostních událostí. Tento nástroj zajišťuje ověření, kontrolu a případně zablokování komunikace mezi vnitřní komunikační sítí a vnější sítí. (3) Povinná osoba uvedená v 3 písm. c) a d) zákona používá nástroje pro detekci kybernetických bezpečnostních událostí, které zajistí a) ověření, kontrolu a případně zablokování komunikace v rámci vnitřní komunikační sítě a b) ověření, kontrolu a případně zablokování komunikace určených serverů. 23 Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí (1) Povinná osoba uvedená v 3 písm. c) a d) zákona používá nástroje pro sběr a vyhodnocení kybernetický bezpečnostních událostí, které zajistí a) integrovaný sběr a vyhodnocení kybernetických bezpečnostních událostí z informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury, 16
17 b) poskytování informací pro určené bezpečnostní role o detekovaných kybernetických bezpečnostních událostech v informačním systému kritické informační infrastruktury nebo komunikačním systému kritické informační infrastruktury a c) nepřetržité vyhodnocování kybernetických bezpečnostních událostí s cílem identifikace kybernetických bezpečnostních incidentů včetně včasného varování určených bezpečnostních rolí. (2) Povinná osoba uvedená v 3 písm. c) a d) zákona a) stanoví bezpečnostní politiku pro použití a údržbu nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí, b) zajistí pravidelnou aktualizaci nastavení pravidel pro vyhodnocování kybernetických bezpečnostních událostí a včasné varování, aby byly omezovány případy nesprávného vyhodnocení událostí nebo případy falešných varování a c) zajistí využívání informací, které jsou připraveny nástrojem pro sběr a vyhodnocení kybernetických bezpečnostních událostí, pro optimální nastavení bezpečnostních vlastností informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury. 24 Aplikační bezpečnost (1) Povinná osoba uvedená v 3 písm. c) až e) zákona provádí bezpečnostní testy aplikací, které jsou přístupné z vnější sítě, a to před jejich uvedením do provozu a po každé zásadní změně bezpečnostních mechanismů. (2) Povinná osoba uvedená v 3 písm. c) a d) zákona používá způsoby aplikační bezpečnosti, která zajistí a) ochranu aplikací a informací dostupných z vnější sítě před neoprávněnou činností, popřením provedených činností, kompromitací nebo neautorizovanou změnou a b) ochranu transakcí před jejich nedokončením, nesprávným směrováním, neautorizovanou změnou předávaného datového obsahu, kompromitací, neautorizovaným duplikováním nebo opakováním. 25 Kryptografické prostředky (1) Povinná osoba uvedená v 3 písm. c) až e) zákona stanoví bezpečnostní politiku pro používání kryptografické ochrany, která obsahuje a) úroveň ochrany s ohledem na typ a sílu kryptografického algoritmu a b) pravidla kryptografické ochrany citlivých informací při přenosu po komunikačních sítích nebo při uložení na mobilní zařízení nebo vyměnitelná média. 17
18 (2) Povinná osoba uvedená v 3 písm. c) až e) zákona je povinna používat kryptografické prostředky, které zajistí a) ochranu důvěrnosti a integrity předávaných nebo ukládaných dat a b) prokázání odpovědnosti za provedené činnosti. (3) Povinná osoba uvedená v 3 písm. c) a d) zákona pro používání kryptografických prostředků stanoví systém správy klíčů, který zajistí generování, distribuci, ukládání, archivaci, změny, ničení, kontrolu a audit klíčů. (4) Povinná osoba uvedená v 3 písm. c) a d) zákona používá odolné kryptografické algoritmy a kryptografické klíče. Minimální požadavky na kryptografické algoritmy jsou uvedeny v příloze č. 3 k této vyhlášce. 26 Nástroje pro zajišťování vysoké úrovně dostupnosti Povinná osoba uvedená v 3 písm. c) a d) zákona používá nástroje pro zajištění vysoké úrovně dostupnosti a odolnosti informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury, které zajistí a) dostupnost informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury pro splnění cílů řízení kontinuity činností, b) odolnost informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury vůči kybernetickým bezpečnostním incidentům, které by mohly snížit dostupnost a c) redundanci důležitých technických aktiv informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury 1. využitím redundance v návrhu řešení, 2. vytvořením skladu náhradních technických aktiv nebo 3. pomocí smluvního vztahu zajišťujícího výměnu vadných technických aktiv v určeném čase. 27 Bezpečnost průmyslových a řídicích systémů Povinná osoba uvedená v 3 písm. c) a d) zákona používá nástroje pro bezpečnost průmyslových a řídicích systémů, které jsou informačním systémem kritické informační infrastruktury nebo komunikačním systémem kritické informační infrastruktury, které zajistí a) omezení fyzického přístupu k síti a zařízením průmyslových a řídících systémům, b) omezení propojení a vzdáleného přístupu k síti průmyslových a řídících systémům, c) ochranu jednotlivých technických aktiv průmyslových a řídicích systémů před využitím známých zranitelností a 18
19 d) obnovení chodu průmyslových a řídicích systémů po kybernetickém bezpečnostním incidentu. HLAVA III BEZPEČNOSTNÍ DOKUMENTACE 28 Bezpečnostní dokumentace (1) Povinná osoba uvedená v 3 písm. c) a d) zákona vede bezpečnostní dokumentaci v elektronické podobě, která obsahuje a) zprávy z vnitřního auditu systému řízení bezpečnosti informací podle 3 odst. 1 písm. g), b) zprávy z přezkoumání systému řízení bezpečnosti informací podle 3 odst. 1 písm. h), c) metodiku pro identifikaci a hodnocení rizik podle 4 odst. 1 písm. a), d) zprávu o hodnocení rizik podle 4 odst. 1 písm. b) a c), e) prohlášení o aplikovatelnosti podle 4 odst. 1 písm. d), f) plán zvládání rizik podle 4 odst. 1 písm. e), g) plán rozvoje bezpečnostního povědomí podle 9 odst. 2 písm. c), h) systém zvládání kybernetických bezpečnostních incidentů podle 13 odst. 1 písm. e), i) strategii řízení kontinuity činností podle 14 odst. 1 písm. c) a j) přehled obecně závazných právních předpisů, vnitřních předpisů a jiných předpisů a smluvních závazků podle 15 odst. 1 písm. a). (2) Povinná osoba uvedená v 3 písm. e) zákona vede bezpečnostní dokumentaci v elektronické podobě, která obsahuje a) metodiku pro identifikaci a hodnocení rizik podle 4 odst. 2 písm. a), b) zprávu o hodnocení rizik podle 4 odst. 2 písm. b) a c), c) prohlášení o aplikovatelnosti podle 4 odst. 2 písm. d), d) plán zvládání rizik podle 4 odst. 2 písm. e), e) plán rozvoje bezpečnostního povědomí podle 9 odst. 1 písm. c), f) systém zvládání kybernetických bezpečnostních incidentů podle 13 odst. 1 písm. e), g) strategii řízení kontinuity činností podle 14 odst. 1 písm. c) a h) přehled obecně závazných právních předpisů, vnitřních předpisů a jiných předpisů a smluvních závazků podle 15 odst. 1 písm. a). (3) Povinná osoba uvedená v 3 písm. c) a d) zákona řídí záznamy o provedených činnostech související s kybernetickou bezpečností tak, aby záznamy o provedených činnostech byly čitelné, snadno identifikovatelné a aby se daly snadno vyhledat. Opatření 19
20 potřebná k identifikaci, uložení, ochraně, vyhledání, době platnosti a uspořádání záznamů o provedených činnostech dokumentuje. (4) Struktura bezpečnostní dokumentace je stanovena v příloze č. 4 k této vyhlášce. HLAVA IV CERTIFIKACE SYSTÉMU ŘÍZENÍ BEZPEČNOSTI INFORMACÍ 29 Certifikace systému řízení bezpečnosti informací Povinná osoba uvedená v 3 písm. c) až e), jejíž informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury nebo významný informační systém je certifikován podle normy ISO/IEC akreditovaným certifikačním orgánem, může prokázat zavedení bezpečnostních opatření Úřadu předložením a) popisu rozsahu systému řízení bezpečnosti informací, b) prohlášení politiky a cílů systému řízení bezpečnosti informací, c) popisem použité metody hodnocení rizik a zprávu o hodnocení rizik, d) prohlášením o aplikovatelnosti, e) certifikátem systému řízení bezpečnosti informací podle ISO/IEC 27001, f) záznamem o přezkoumání systému řízení bezpečnosti informací včetně souvisejících vstupů a výstupů přezkoumání a g) zprávou z auditů provedených certifikačním orgánem včetně příslušných záznamů o nápravě zjištěných neshod s příslušnou normou. ČÁST TŘETÍ KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT 30 Typy kybernetických bezpečnostních incidentů Podle typu hrozeb, které jsou příčinou kybernetické bezpečnostní události, jsou kybernetické bezpečnostní incidenty rozděleny zejména do následujících typů a) přírodní události, b) sociální nepokoje, c) fyzické poškození, d) selhání infrastruktury, e) elektromagnetické poruchy, f) technické poruchy, g) události způsobené škodlivým softwarem, 20
21 h) technické útoky, i) události spojené s porušením organizačních opatření, j) události spojené s kompromitací technických opatření, k) události spojené s kompromitací informací a l) události způsobené škodlivým obsahem. 31 Kategorie kybernetických bezpečnostních incidentů (1) Pro potřeby řízení kybernetických bezpečnostních incidentů se podle svých dopadů a negativních projevů rozdělí do kategorií a) Kategorie III velmi závažný kybernetický bezpečnostní incident Jedná se o kybernetický bezpečnostní incident, při kterém je přímo a významně narušena bezpečnost poskytovaných služeb nebo informačních aktiv. Jeho řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být všemi dostupnými prostředky zabráněno dalšímu šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých i potencionálních škod. Pro tyto kybernetické bezpečnostní incidenty musí být zajištěno důsledné prošetření jejich příčin a musí být přijata dostatečná a vysoce účinná opatření pro odstranění příčin kybernetického bezpečnostního incidentu. b) Kategorie II závažný kybernetický bezpečnostní incident Jedná se o kybernetický bezpečnostní incident, při kterém je narušena bezpečnost poskytovaných služeb nebo informačních aktiv. Jeho řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být vhodnými prostředky zabráněno dalšímu šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých škod. Pro tyto kybernetické bezpečnostní incidenty musí být zajištěno důsledné prošetření jejich příčin a musí být přijata dostatečná a účinná opatření pro odstranění příčin kybernetického bezpečnostního incidentu. c) Kategorie I méně závažný kybernetický bezpečnostní incident Jedná se o kybernetický bezpečnostní incident, při kterém dochází k méně významnému narušení bezpečnosti poskytovaných služeb nebo informačních aktiv. Jeho řešení vyžaduje zásahy obsluhy s tím, že musí být vhodnými prostředky omezeno další šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých škod. Pro tyto kybernetické bezpečnostní incidenty musí být zajištěno prošetření jejich příčin a měla by být přijata nezbytná opatření pro odstranění příčin kybernetického bezpečnostního incidentu. 21
22 (2) Povinná osoba uvedená v 3 písm. c) až e) zákona při kategorizaci jednotlivých kybernetických bezpečnostních incidentů zváží následující faktory a) důležitost dotčených aktiv informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému, b) dopady na poskytované služby informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému, c) škody způsobené povinné osobě dotčeného informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému a d) společenské dopady. (3) Podrobnosti o kategoriích kybernetických bezpečnostních incidentů jsou uvedeny v příloze č. 5 k této vyhlášce. 32 Forma a náležitosti hlášení kybernetických bezpečnostních událostí a incidentů (1) Povinná osoba uvedená v 3 písm. c) až e) zákona hlásí kybernetický bezpečnostní incident formou a) elektronického formuláře na internetových stránkách Úřadu b) elektronického hlášení na adresu elektronické pošty Úřadu hlaseni@nckb.nbu.cz, c) datové zprávy do datové schránky Úřadu h93aayw, d) automatizovaným hlášení prostřednictvím určeného rozhraní nebo, e) listinným hlášením na adresu Národní bezpečnostní úřad, Národní centrum kybernetické bezpečnosti, Mučednická 1125/31, Brno. (2) Náležitosti hlášení kybernetického bezpečnostního incidentu jsou uvedeny ve hlášení kybernetického bezpečnostního incidentu v příloze č. 6 k této vyhlášce. ČÁST ČTVRTÁ PROTIOPATŘENÍ 33 Reaktivní protiopatření (1) Povinná osoba uvedená v 3 písm. c) až e) zákona oznámí provedení reaktivního opatření a jeho výsledek podle vzoru, který je uveden v příloze č. 7 k této vyhlášce. 22
23 (2) Příklady reaktivních protiopatření pro zabezpečení informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému před kybernetickým bezpečnostním incidentem jsou a) změna nebo rozšíření zavedených organizačních opatření jako 1. požadavky na hodnocení rizik spojených se specifickými hrozbami a zranitelnostmi informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému, 2. požadavky na úpravu nebo zpřesnění bezpečnostní politiky, 3. požadavky na školení uživatelů, garantů aktiv, administrátorů nebo dalších osob zastávající bezpečnostní role nebo 4. požadavky na kontrolu určených bezpečnostních opatření nebo technických zranitelností. b) změna nebo rozšíření zavedených technických opatření jako 1. požadavky na provedení úkonů spojených s úpravou technických opatření nebo jejich nastavení, 2. požadavky na bránění v šíření škodlivého kódu v informačním systému kritické informační infrastruktury, komunikačním systému kritické informační infrastruktury nebo významném informačním systému, 3. požadavky na omezení dopadů možných kybernetických bezpečnostních incidentů na poskytování služeb informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému, 4. požadavky na zabezpečení informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému vůči škodlivému kódu nebo specifické zranitelnosti, 5. požadavky na úpravu nastavení přístupových oprávnění nebo pravidel řízení přístupů mezi vnější a vnitřní sítí nebo 6. požadavky na sledování, zaznamenávání a vyhodnocení určených kybernetických bezpečnostních událostí v informačním systému kritické informační infrastruktury, komunikačním systému kritické informační infrastruktury nebo významném informačním systému. 23
24 ČÁST PÁTÁ KONTAKTNÍ ÚDAJE 34 Kontaktní údaje Povinná osoba uvedená v 3 písm. a) až e) zákona oznamuje kontaktní údaje podle vzoru, který je uveden v příloze č. 8 k této vyhlášce. Povinná osoba uvedená v 3 písm. a) až e) zákona oznamuje kontaktní údaje formou uvedenou v 32 odst. 1 písm. c) a e). ČÁST ŠESTÁ ODBORNÁ KVALIFIKACE OSOB 35 Kvalifikace manažera a architekta kybernetické bezpečnosti Povinná osoba uvedená v 3 písm. c) až e) zákona využívá pro správu systému řízení bezpečnosti informací osoby, které jsou pro tuto činnost řádně vyškoleny a prokáží odbornou způsobilost praxí po dobu nejméně tří let s řízením bezpečnosti informací nebo s navrhování bezpečnostní architektury. 36 Kvalifikace auditora kybernetické bezpečnosti Povinná osoba uvedená v 3 písm. c) až e) zákona využívá pro provádění vnitřního auditu systému řízení bezpečnosti informací osoby, které jsou pro tuto činnost řádně vyškoleny a prokáží odbornou způsobilost praxí po dobu nejméně tří let s prováděním auditů systému řízení bezpečnosti informací. ČÁST SEDMÁ ÚČINNOST 37 Tato vyhláška nabývá účinnosti dnem 1. ledna
25 Příloha č. 1 k vyhlášce č. /2014 Typy, způsoby hodnocení a úrovně aktiv Aktivem se rozumí cokoli, co má pro organizaci hodnotu. Systém řízení bezpečnosti informací se soustředí na ochranu aktiv, která jsou důležité z hlediska bezpečnosti informací. Aby mohl systém řízení bezpečnosti informací efektivně fungovat, je důležité identifikovat všechna aktiva a hodnotit jejich důležitost pro naplňování cílů povinné osoby. Identifikace a hodnocení aktiv Prvním krokem, který je pro řízení rizik důležitý, je identifikace všech aktiv a určení jejich významu pro chod povinné osoby. Aktiva systému řízení bezpečnosti informací je možné rozdělit do dvou základních skupin 1. Primární aktiva zejména nehmotná aktiva informace a informační služby, které jsou organizací využívány, a funkční procesy a aktivity povinné osoby, znalosti a knowhow, které mají pro systém řízení bezpečnosti informací určitý význam, tj. je potřeba nějakým způsobem zajistit jejich bezpečnost. 2. Podpůrná aktiva zejména hmotná aktiva technické vybavení, komunikační infrastruktura, ale i programové vybavení nebo pracovníci či dodavatelé, kteří se podílejí na chodu povinné osoby a jejich organizační uspořádání, prostory, které povinná osoba využívá apod. Pro každé identifikované aktivum je potřeba vyjádřit míru jeho důvěrnosti, integrity a dostupnosti. Pro řízení rizik jsou důležitá primární aktiva, která odrážejí potřeby povinné osoby s ohledem na ochranu a zajištění informací. Identifikace a hodnocení sekundárních aktiv má význam především pro další rozhodování při hodnocení a zvládání rizik, protože získané informace dovolují přesněji vyjádřit bezpečnostní potřeby. Přístupy pro identifikování a hodnocení primárních aktiv Primárními aktivy jsou obvykle hlavní procesy a informace o činnosti v rámci rozsahu. Ostatní primární aktiva, jako jsou organizační procesy, lze také brát v úvahu, což bude pro vypracování politiky bezpečnosti informací nebo plán kontinuity činností povinné osoby vhodnější. Pro zajištění kybernetické bezpečnosti jsou důležitá především na následující typy primárních aktiv 1. Informační aktiva informace a související datové zdroje, 2. Služby IT informační a komunikační služby pro podporu činností koncových uživatelů, 3. Znalosti klíčové a jedinečné znalosti, know-how. Pro hodnocení primárních aktiv jsou definovány tři stupnice pro vyjádření míry důvěrnosti, integrity a dostupnosti jednotlivých primárních aktiv. Při hodnocení aktiva je důležité vždy poznamenat důvody, které vedly k vybrání zvoleného stupně. 25
Návrh VYHLÁŠKA. ze dne 2014
Návrh VYHLÁŠKA ze dne 2014 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o
VíceČÁST PRVNÍ ÚVODNÍ USTANOVENÍ
Návrh VYHLÁŠKA ze dne 2014 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o
Více316/2014 Sb. VYHLÁŠKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ
316/2014 Sb. VYHLÁŠKA ze dne 15. prosince 2014 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti
VíceNávrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB
Návrh vyhlášky k zákonu o kybernetické bezpečnosti Přemysl Pazderka NCKB Východiska ISO/IEC 27001:2005 Systémy řízení bezpečnosti informací Požadavky ISO/IEC 27002:2005 Soubor postupů pro management bezpečnosti
Víceb) aktivem primární aktivum a podpůrné aktivum, c) primárním aktivem informace nebo služba, kterou zpracovává nebo poskytuje informační systém
Strana 3972 Sbírka zákonů č. 316 / 2014 316 VYHLÁŠKA ze dne 15. prosince 2014 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání
VíceNávrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.
Návrh zákona o kybernetické bezpečnosti Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.cz Předmět úpravy VKB Obsah a strukturu bezpečnostní dokumentace
VíceSBÍRKA ZÁKONŮ. Ročník 2014 ČESKÁ REPUBLIKA. Částka 127 Rozeslána dne 19. prosince 2014 Cena Kč 109, O B S A H :
Ročník 2014 SBÍRKA ZÁKONŮ ČESKÁ REPUBLIKA Částka 127 Rozeslána dne 19. prosince 2014 Cena Kč 109, O B S A H : 314. Nařízení vlády o úpravě náhrady za ztrátu na služebním příjmu po skončení neschopnosti
VíceStrana 1 / 36. 316/2014 Sb. VYHLÁKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ
316/2014 Sb. VYHLÁKA ze dne 15. prosince 2014 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti
VícePOMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1
POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Verze 2.1 Obsah 1. Úvod... 4 2. Vymezení pojmů... 5 3. Bezpečnostní opatření... 7 3.1. Organizační opatření... 7 3.1.1.
VíceZákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295
Zákon o kybernetické bezpečnosti základní přehled Luděk Novák ludekn@email.cz, 603 248 295 Obsah Zákon č. 181/2014 Sb., o kybernetické bezpečnosti Vyhláška č. 316/2014 Sb., vyhláška o kybernetické bezpečnosti
VíceSBÍRKA ZÁKONŮ. Ročník 2018 ČESKÁ REPUBLIKA. Částka 43 Rozeslána dne 28. května 2018 Cena Kč 106, O B S A H :
Ročník 2018 SBÍRKA ZÁKONŮ ČESKÁ REPUBLIKA Částka 43 Rozeslána dne 28. května 2018 Cena Kč 106, O B S A H : 82. Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních
VíceVYHLÁŠKA. ze dne 21. května 2018,
VYHLÁŠKA ze dne 21. května 2018, o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat
VíceZákon o kybernetické bezpečnosti
Zákon o kybernetické bezpečnosti Ing. Ondřej Ševeček GOPAS a.s. MCSM:Directory2012 MCM:Directory2008 MVP:Enterprise Security CEH: Certified Ethical Hacker CHFI: Computer Hacking Forensic Investigator CISA
VíceKybernetická bezpečnost III. Technická opatření
Reg. č. projektu: CZ 1.04/ 4.1.00/A3.00004 Kybernetická bezpečnost III. Technická opatření Pracovní sešit Materiál vznikl v rámci řešení projektu Vzdělávání v oblasti základních registrů a dalších kmenových
VíceTechnická opatření dle zákona o kybernetické bezpečnosti verze 1.0
D Ů V Ě Ř U J T E S I L N Ý M Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0 Petr Vácha Team Leader Security CCSP, CCSI# 25008, IronPort ICSP, ICSI petr.vacha@alef.com ALEF NULA, a.s.
VíceZákon o kybernetické bezpečnosti
Zákon o kybernetické bezpečnosti Ing. Ondřej Ševeček GOPAS a.s. MCSM:Directory2012 MVP:Security CEH CHFI CISA CISM CISSP ondrej@sevecek.com www.sevecek.com GOPAS: info@gopas.cz www.gopas.cz www.facebook.com/p.s.gopas
VíceZákon o kybernetické bezpečnosti Obecný přehled ZKB se zaměřením na technická opatření
D Ů V Ě Ř U J T E S I L N Ý M Zákon o kybernetické bezpečnosti Obecný přehled ZKB se zaměřením na technická opatření Michal Zedníček Security consultant CCSSS, ID No.: CSCO11467376 michal.zednicek@alef.com
VíceSpisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)
Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.) Adam Kučínský Národní bezpečnostní úřad Národní centrum kybernetické bezpečnosti Prezentace vzhledem ke svému rozsahu nepostihuje kompletní
VíceCYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe
CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe Ing. Aleš Špidla Ředitel odboru bezpečnostní politiky MPSV Člen rady Českého institutu manažerů informační bezpečnosti Ales.spidla@mpsv.cz,
VíceBezpečnostní politika společnosti synlab czech s.r.o.
Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 14. ledna 2015 Datum vypracování: 8. ledna 2015 Datum schválení: 13. ledna 2015 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav
VíceMicrosoft Services Premier Support. Implementace Zákona o kybernetické bezpečnosti
Microsoft Services Premier Support Implementace Zákona o kybernetické bezpečnosti 1 Organizační opatření Vyhláška k ZKB 4 Řízení rizik, odst. 4 povinná osoba zvažuje hrozby Písm. c) zneužití identity jiné
VíceBezpečnostní politika a dokumentace
Bezpečnostní politika a dokumentace Ing. Dominik Marek Kraj Vysočina Kraj Vysočina správce VIS dle zákona č. 181/2014 o kybernetické bezpečnosti VIS (zatím) Webový portál (Webové stránky kraje) Elektronický
VíceČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti
ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti Ing. Daniel Kardoš, Ph.D 4.11.2014 ČSN ISO/IEC 27001:2006 ČSN ISO/IEC 27001:2014 Poznámka 0 Úvod 1 Předmět normy 2 Normativní odkazy 3 Termíny
VíceBEZPEČNOSTNÍ POLITIKA INFORMACÍ
BEZPEČNOSTNÍ POLITIKA INFORMACÍ společnosti ČEZ Energetické služby, s.r.o. Stránka 1 z 8 Obsah: 1. Úvodní ustanovení... 3 2. Cíle a zásady bezpečnosti informací... 3 3. Organizace bezpečnosti... 4 4. Klasifikace
VíceVěstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010
Třídící znak 2 2 1 1 0 5 6 0 ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010 k výkonu činnosti organizátora regulovaného trhu, provozovatele vypořádacího systému a centrálního depozitáře cenných
VíceNávrh. VYHLÁŠKA ze dne 2016 o požadavcích na systém řízení
Návrh II. VYHLÁŠKA ze dne 2016 o požadavcích na systém řízení Státní úřad pro jadernou bezpečnost stanoví podle 236 zákona č..../... Sb., atomový zákon, k provedení 24 odst. 7, 29 odst. 7 a 30 odst. 9:
VíceZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@email.cz
ZÁKON O KYBERNETICKÉ BEZPEČNOSTI JUDr. Mgr. Barbora Vlachová judr.vlachova@email.cz PRÁVNÍ ZAKOTVENÍ KYBERNETICKÉ BEZPEČNOSTI zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů
Víceo Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná
o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná vazba o Příklad o Zákon č. 181/2014 Sb., o kybernetické
VíceNávrh zákona připravil a předložil Národní bezpečnostní úřad. Předložen k dalšímu legislativnímu projednávání v Parlamentu České republiky
Dagmar Brechlerová Vláda České republiky 2. ledna 2014 schválila Návrh zákona o kybernetické bezpečnosti a o změně souvisejících zákonů (tzv. Zákon o kybernetické bezpečnosti) Návrh zákona připravil a
VíceKybernetický zákon Aspekty a konsekvence zákona o kybernetické bezpečnosti. ISSS 2015 jitesar@cisco.com 14. dubna 2015
Kybernetický zákon Aspekty a konsekvence zákona o kybernetické bezpečnosti ISSS 2015 jitesar@cisco.com 14. dubna 2015 Kybernetický zákon a vyhlášky 2 Legislativa Zákon č. 181/2014 Sb., o kybernetické bezpečnosti
VíceBEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI
BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI Název organizace Identifikační číslo 60153351 Sídlo organizace Datum zpracování 18. 5. 2018 Platnost a účinnost 25. 5. 2015 ZÁKLADNÍ ŠKOLA A
VícePOLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ
POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ Pardubice, květen 2018 Rada Pardubického kraje za účelem naplnění ustanovení Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob
VíceNÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha
NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha Převzetí gesce nad problematikou kybernetické bezpečnosti bezpečnosti, jako
Vícesrpen 2008 Ing. Jan Káda
nauka o srpen 2008 Ing. Jan Káda ČSN ISO/IEC 27001:2006 (1) aktivum cokoliv, co má pro organizaci hodnotu důvěrnost zajištění, že informace jsou přístupné pouze těm, kteří jsou k přístupu oprávněni integrita
VíceSeminář CyberSecurity II
Seminář CyberSecurity II AGENDA 1. Implementace ZKB 2. Organizační opatření 3. Technická opatření 2 Implementace ZKB Michal Zedníček Security Consultant ALEF NULA CÍLE ZKB 1. Formální cíl: soulad se ZKB
VíceVěstník ČNB částka 20/2002 ze dne 19. prosince 2002
Třídící znak 1 1 2 0 2 5 1 0 OPATŘENÍ ČESKÉ NÁRODNÍ BANKY Č. 12 ZE DNE 11. PROSINCE 2002 K VNITŘNÍMU ŘÍDICÍMU A KONTROLNÍMU SYSTÉMU BANKY 0 Česká národní banka podle 15 s přihlédnutím k 12 odst. 1 a 8
Víceehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti
Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti ehealth Day 2016 16.2.2016 Ing. Stanislav Bíža, Senior IT Architekt, CISA stanislav.biza@cz.ibm.com 12016 IBM Corporation Požadavky
VíceSměrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL
Směrnice Záměrná a standardní ochrana osobních údajů Platnost a účinnost od: 24.5. 2018 Vydal: Mgr. Milan KRÁL 1 OBSAH 1 Úvod... 5 1.1 Úvodní ustanovení... 5 1.2 Rozsah působnosti... 5 1.3 Odpovědnost
VíceNÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA
NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81 Mgr. Jiří Malý duben 2014, PRAHA Gesce kybernetické bezpečnosti Usnesení vlády ze dne 19. října 2011 č. 781 o ustavení Národního bezpečnostního úřadu gestorem
VíceOrganizační opatření, řízení přístupu k informacím
Organizační opatření, řízení přístupu RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,
VíceNávrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.
Návrh zákona KB Národní centrum KB Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.cz Návrh ZKB # Proč ZKB? # Jak to začalo? # Oblasti regulace ZKB #
VíceNabídka kurzů k systému řízení bezpečnosti informací (ISMS) ČSN ISO/IEC 27001:2014
23.1.2014 Nabídka kurzů k systému řízení bezpečnosti informací (ISMS) ČSN ISO/IEC 27001:2014 Kurz k roli manažera podle požadavků zákona o kybernetické bezpečnosti Verze 201411 Tayllor-Cox Dilia - divadelní,
Vícedo Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1
Stav imoplementace GDPR do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1 Analogie Lze na GDPR nahlížet jako na zákon o požární ochraně? Nabytí účinnosti Legisvakanční
VíceStrategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.
Strategie Implementace GDPR Michal Zedníček michal.zednicek@alef.com ALEF NULA, a.s. Co je obsahem GDPR Kdo/co/jak/proč Definice zpracování OÚ Organizační opatření Řízení bezpečnosti OÚ Pravidla ochrany
VíceFyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.
Fyzická bezpečnost, organizační opatření RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,
VíceBezpečností politiky a pravidla
Bezpečností politiky a pravidla (interní dokument) pro Subjekt: Apartmány Šnek s.r.o. IČO: 05705932, DIČ: CZ05705932 a tyto provozovny: Apartmány Šnek Benecko 107 51237 Výše uvedený Subjekt určuje následující
VíceKybernetická bezpečnost resortu MV
Kybernetická bezpečnost resortu MV Ing. Miroslav Tůma Ph. D. odbor kybernetické bezpečnosti a koordinace ICT miroslav.tuma@mvcr.cz Agenda 1. Pokyn MV - ustanovení Výboru pro řízení kybernetické bezpečnosti
Více(2) Zásady bezpečnostní politiky jsou rozpracovány v návrhu bezpečnosti informačního systému
Strana 5882 Sbírka zákonů č. 453 / 2011 Částka 155 453 VYHLÁŠKA ze dne 21. prosince 2011, kterou se mění vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických
VíceBEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci
BEZPEČNOSTNÍ ROLE a jejich začlenění v organizaci Verze 1.1, platná ke dni 29. 1. 2019 Obsah Úvod... 3 1 Úrovně managementu a bezpečnost... 4 2 Bezpečnostní role... 5 3 RACI matice... 7 4 Časté dotazy
VíceObecné nařízení o ochraně osobních údajů
AGORA PLUS, a.s. Ing. Martin Havel, MBA General Data Protection Regulation (zkráceně GDPR) Obecné nařízení o ochraně osobních údajů Jak zvládnout GDPR v 9-ti krocích 22.9.2017, Brno Představení 2012 CISM
VíceZÁKON O KYBERNETICKÉ BEZPEČNOSTI A NAVAZUJÍCÍ PROVÁDĚCÍ PŘEDPISY
ZÁKON O KYBERNETICKÉ BEZPEČNOSTI A NAVAZUJÍCÍ PROVÁDĚCÍ PŘEDPISY JUDr. Josef Donát, LLM, ROWAN LEGAL, advokátní kancelář s.r.o. Řízení informa-ky v soukromém a veřejném sektoru, 23.1. 2015, Praha KYBERNETICKÁ
VíceKybernetická bezpečnost MV
Kybernetická bezpečnost MV Ing. Miroslav Tůma Ph. D. odbor kybernetické bezpečnosti a koordinace ICT miroslav.tuma@mvcr.cz Agenda 1. Pokyn MV - ustanovení Výboru pro řízení kybernetické bezpečnosti 2.
VíceStátní pokladna. Centrum sdílených služeb
Státní pokladna Centrum sdílených služeb Státní pokladna Centrum sdílených služeb Organizační dopady při řešení kybernetické bezpečnosti Ing. Zdeněk Seeman, CISA, CISM Obsah prezentace Podrobnější pohled
VícePosuzování na základě rizika
Posuzování na základě rizika Ing. Jaroslav Balcar, MBA, LL.M. Nadpis prezentace, Ing. Jaromír Řezáč, www.gordic.cz Kybernetická kriminalita Obecné schéma sofistikovaných kybernetických útoků Kybernetická
VíceTyp aktiv Aktivum Hrozba Zranitelnost Riziko
Zbytková rizika Typ aktiv Aktivum Hrozba Zranitelnost Částečná úroveň rizika Snížení hrozby Snížení zranit. Zbytkové Namapovaná opatření Riziko C I A T MAX Hodnota MAX Hodnota riziko ISO? specif.? Datová
VíceV Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9
V Olomouci dne 25. května 2018 Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9 OBSAH 1 Úvod... 5 2 Hlavní cíle ochrany osobních údajů... 6 3 Zásady zpracování a ochrany osobních údajů...
VíceTyp aktiv Aktivum Hrozba Zranitelnost Riziko
Zbytková rizika Typ aktiv Aktivum Hrozba Zranitelnost Částečná úroveň rizika Snížení hrozby Snížení zranit. Zbytkové Namapovaná opatření Riziko C I A T MAX Hodnota MAX Hodnota riziko ISO? specif.? Datová
VíceBezpečnostní politika informací SMK
STATUTÁRNÍ MĚSTO KARVINÁ Bezpečnostní politika informací SMK Bezpečnostní směrnice pro dodavatele (verze 4) Schváleno: 28. 05. 2018 Účinnost: 29. 05. 2018 Zpracovatel: Odbor organizační Článek 1 Úvodní
Vícenová bezpečnostní identita nejen pro zákon pro skutečnou ochranu
nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu 22 let zkušeností komplexní řešení & dlouhodobý provoz nepřetržité dohledové centrum procesy, role & kompetence zkušení, certifikovaní odborníci
VíceSměrnice upravující eliminaci rizik při správě osobních údajů technicko-organizační opatření
Směrnice určuje práva a povinnosti pracovníků správce osobních údajů ve vztahu k ochraně osobních údajů. Upravuje též konkrétní režim na pracovišti, způsoby zabezpečení (fyzického i elektronického). Směrnice
VíceZákon o kybernetické bezpečnosti a související předpisy
Zákon o kybernetické bezpečnosti a související předpisy egovernment 20:10 Mikulov 2014 Václav Borovička NBÚ / NCKB Národní bezpečnostní úřad Národní centrum kybernetické bezpečnosti NBÚ ustaven gestorem
VíceORGANIZAČNÍ ŘÁD ŠKOLY
Základní škola Mikulov, Školní, příspěvková organizace ORGANIZAČNÍ ŘÁD ŠKOLY část: GDPR Politika ochrany osobních údajů Č.j.: zssp/ 69/2018 Vypracoval: A10 Mgr. Eva Divoká Směrnice nabývá účinnosti ode
VícePolitika ochrany osobních údajů
Gymnázium Jana Blahoslava a Střední pedagogická škola, Přerov, Denisova 3 PSČ 750 02, tel.: +420 581 291 203, datová schránka: vsxji6e www.gjb-spgs.cz; e-mail: info@gjb-spgs.cz Politika ochrany osobních
VíceKybernetická bezpečnost
Kybernetická bezpečnost Ondřej Steiner, S.ICZ a. s. 25.9.2014 1 Obsah Zákon co přináší nového? Nové pojmy KII vs VIS Příklady Povinnosti Jak naplnit požadavky Proč implementovat? Bezpečnostní opatření
VíceSystém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005
Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005 Praha květen 2008 2008-03 - Bezpečnost informací jsou aktiva, která mají pro organizaci hodnotu. mohou existovat v různých podobách
VíceStandardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha
Standardy/praktiky pro řízení služeb informační bezpečnosti Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Služby informační bezpečnosti Nemožnost oddělit informační bezpečnost od IT služeb
VíceČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001
ČSN ISO/IEC 27001 Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky Představení normy ISO/IEC 27001 a norem souvisejících - Současný stav ISO/IEC 27001:2005
VíceMANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007
Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ
VíceCertifikace systému managementu bezpečnosti informací dle ISO/IEC 27001
Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001 Hradec Králové duben 2009 2009-03 Informace versus Bezpečnost informací Informace (aktivum) - vše, co má hodnotu pro organizaci Bezpečnost
VícePolitika ochrany osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL
Politika ochrany osobních údajů Platnost a účinnost od: 24.5. 2018 Vydal: Mgr. Milan KRÁL 1 OBSAH 1 Úvod... 5 2 Hlavní cíle ochrany osobních údajů... 6 3 Zásady zpracování a ochrany osobních údajů... 7
VíceVěstník ČNB částka 5/2011 ze dne 7. června 2011. ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 27. května 2011
Třídící znak 2 0 8 1 1 5 6 0 ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 27. května 2011 k výkonu činnosti na finančním trhu operační riziko v oblasti informačního systému 1. Toto úřední sdělení navazuje
VíceSOUBOR OTÁZEK PRO INTERNÍ AUDIT (Checklist)
SOUBOR OTÁZEK PRO INTERNÍ AUDIT (Checklist) Oblast 1. STRATEGICKÉ PLÁNOVÁNÍ Jsou identifikovány procesy v takovém rozsahu, aby byly dostačující pro zajištění systému managementu jakosti v oblasti vzdělávání?
VíceBEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant
BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM Petr Dolejší Senior Solution Consultant OCHRANA KLÍČŮ A ZOKB Hlavní termín kryptografické prostředky Vyhláška 316/2014Sb. o kybernetické bezpečnosti zmiňuje: v 17 nástroj
VíceZáklady řízení bezpečnosti
Základy řízení bezpečnosti Bezpečnost ve společnosti MND a.s. zahrnuje: - Bezpečnost a ochranu zdraví - Bezpečnost provozu, činností - Ochranu životního prostředí - Ochranu majetku - Ochranu dobrého jména
VíceImplementace systému ISMS
Implementace systému ISMS Krok 1 Stanovení rozsahu a hranic ISMS Rozsah ISMS Krok 2 Definice politiky ISMS Politika ISMS Krok 3 Definice přístupu k hodnocení rizik Dokumentovaný přístup k hodnocení rizik
VíceImplementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem
Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem 16. 5. 2018 Konference k problematice GDPR ve veřejné správě, Národní archiv Praha Implementace
VíceVyhláška č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci technických prostředků, ve znění pozdějších předpisů
Vyhláška č. 528/2005 Sb., o fyzické bezpečnosti a certifikaci technických prostředků, ve znění pozdějších předpisů Národní bezpečnostní úřad stanoví podle 33 a 53 písm. a), c), d), e), f) a j) zákona č.
VíceV Brně dne 10. a
Analýza rizik V Brně dne 10. a 17.10.2013 Ohodnocení aktiv 1. identifikace aktiv včetně jeho vlastníka 2. nástroje k ohodnocení aktiv SW prostředky k hodnocení aktiv (např. CRAMM metodika CCTA Risk Analysis
VíceMinisterstvo pro místní rozvoj stanoví podle 213 odst. 3 zákona č. 134/2016 Sb., o zadávání veřejných zakázek, (dále jen zákon ): 2 Vymezení pojmů
Sbírka zákonů č. 260 / 2016 Strana 3891 260 VYHLÁŠKA ze dne 21. července 2016 o stanovení podrobnějších podmínek týkajících se elektronických nástrojů, elektronických úkonů při zadávání veřejných zakázek
VíceAUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007
Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ
VíceBezepečnost IS v organizaci
Bezepečnost IS v organizaci analýza rizik Zabezpečení informačního systému je nutné provést tímto postupem: Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost
VíceMANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007
Gradua-CEGOS, s.r.o., Certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ
VíceTyp aktiv Aktivum Hrozba Zranitelnost Riziko
Zbytková rizika Typ aktiv Aktivum Hrozba Zranitelnost Částečná úroveň rizika Snížení hrozby Snížení zranit. Zbytkové Namapovaná opatření Riziko C I A T MAX Hodnota MAX Hodnota riziko ISO? specif.? Datová
VíceBezpečnostní opatření pro některé z oblastí kritické infrastruktury. Vladimír ROHEL
Bezpečnostní opatření pro některé z oblastí kritické infrastruktury 26. 3. 2019 Plzeň Vladimír ROHEL Žijeme v době, kdy: Roste naše závislost na IT IT pronikají do oblastí, kde dříve nebyly Svět se stále
VíceSMĚRNICE Č. 001, O OCHRANĚ OSOBNÍCH ÚDAJŮ 1. ÚČEL 2. PŮSOBNOST 3. TERMÍNY, DEFINICE A ZKRATKY
SMĚRNICE Č. 001, O OCHRANĚ OSOBNÍCH ÚDAJŮ 1. ÚČEL 1.1. Účelem této směrnice je stanovit základní pravidla zpracování osobních údajů ve Společnosti. Tato směrnice je jedním z organizačních opatření ochrany
VíceČástka 4 ČÁST PRVNÍ OBECNÁ USTANOVENÍ
Strana 58 Sbírka zákonů č.9/2011 9 VYHLÁŠKA ze dne 10. ledna 2011, kterou se stanoví podrobnější podmínky týkající se elektronických nástrojů a úkonů učiněných elektronicky při zadávání veřejných zakázek
VíceBezpečnostní politika společnosti synlab czech s.r.o.
www.synlab.cz synlab czech s.r.o. Sokolovská 100/94 Karlín 186 00 Praha 8 Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 12. dubna 2017 Datum vypracování: 7. dubna 2017 Datum
VícePŘÍLOHY NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU)
EVROPSKÁ KOMISE V Bruselu dne 13.7.2018 C(2018) 4438 final ANNEXES 1 to 2 PŘÍLOHY NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) kterým se doplňuje nařízení Evropského parlamentu a Rady (EU) 2016/1011, pokud
VíceISMS. Bezpečnostní projekt. V Brně dne 10. října 2013
ISMS Zavádění a provozování ISMS Bezpečnostní projekt V Brně dne 10. října 2013 Co je to bezpečnost informací Systematické ti úsilí (proces), jehož účelem je trvalé zlepšování ochrany cenných informací
VícePRIVACY POLICY. Issued / vydáno dne: Written by / vypracoval: Mgr. Michaela Škrabalová. Revised by / revidoval: ---
Issued / vydáno dne: 2018-05-29 Written by / vypracoval: Mgr. Michaela Škrabalová Revised by / revidoval: --- Approved by / schválil: Ing. Petr Brabec Supersedes/nahrazuje: --- Valid from / platné od:
Vícej) úschovným objektem trezor nebo jiná uzamykatelná schránka stanovená v příloze č. 1 této vyhlášky,
Vyhláška č. 528/2005 Sb., ze dne 14. prosince 2005, o fyzické bezpečnosti a certifikaci technických prostředků Změna: 19/2008 Sb. Změna: 454/2011 Sb. Národní bezpečnostní úřad stanoví podle 33 a 53 písm.
VíceZ K B V P R O S T Ř E D Í
Z K B V P R O S T Ř E D Í MSP Co vás čeká (agenda) Přiblížení prostředí Výchozí stav ( před ZKB ) Volba přístupu Struktura politik Základní role Pár postřehů z implementace 2 MSP z pohledu ZKB Resort MSP
VíceZákon o kybernetické bezpečnosti a související předpisy
Zákon o kybernetické bezpečnosti a související předpisy PSP ČR, listopad 2014 SEMINÁŘ Zákon o kybernetické bezpečnosti a řízení bezpečnosti informačních systémů ve veřejné správě a ve zdravotnictví Václav
VíceBusiness Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.
Business Continuity Management jako jeden z nástrojů zvládání rizik Ing. Martin Tobolka AEC, spol. s r.o. Co je BCM? Mezi časté příčiny přerušení kontinuity činností patří technická selhání (energie, HW,
VíceAUDITOR KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.5/2007
Gradua-CEGOS, s.r.o., Certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 AUDITOR KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ
VíceBezpečnostní politika společnosti synlab czech s.r.o.
Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 1. března 2016 Datum vypracování: 2. února 2016 Datum schválení: 29. února 2016 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav
VíceSMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ
SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ 1. ÚČEL 1. Účelem této směrnice je stanovit základní pravidla zpracování osobních údajů ve Společnosti. Tato směrnice je jedním z organizačních opatření ochrany
Více1. ÚČEL ROZSAH PLATNOSTI POJMY A ZKRATKY POPIS... 3
Obsah: 1. ÚČEL... 3 2. ROZSAH PLATNOSTI... 3 3. POJMY A ZKRATKY... 3 3.1 Audit SMK... 3 3.2 Vedoucí auditor/auditor... 3 3.3 Zpráva z auditu kvality... 3 3.4 Zkratky... 3 4. POPIS... 3 4.1 Plánování auditu...
VícePŘÍLOHA C Požadavky na Dokumentaci
PŘÍLOHA C Požadavky na Dokumentaci Příloha C Požadavky na Dokumentaci Stránka 1 z 5 1. Obecné požadavky Dodavatel dokumentaci zpracuje a bude dokumentaci v celém rozsahu průběžně aktualizovat při každé
VícePředmět úpravy. 2 Způsob dokládání splnění povinností stanovených v 6 zákona o elektronickém podpisu
V Y H L Á Š K A Úřadu pro ochranu osobních údajů ze dne 3. října 2001 o upřesnění podmínek stanovených v 6 a 17 zákona o elektronickém podpisu a o upřesnění požadavků na nástroje elektronického podpisu
Více