BEZPEČNOSTNÍ OPATŘENÍ

ORGANIZAČNÍ OPATŘENÍ

TECHNICKÁ OPATŘENÍ

BEZPEČNOSTNÍ DOKUMENTACE

(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona v rámci systému řízení bezpečnosti informací

a) stanoví s ohledem na aktiva a organizační bezpečnost rozsah a hranice systému řízení bezpečnosti informací, ve kterém určí, kterých organizačních částí a technických prvků se systém řízení bezpečnosti informací týká,

c) vytvoří a schválí bezpečnostní politiku v oblasti systému řízení bezpečnosti informací, která obsahuje hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací a na základě bezpečnostních potřeb a výsledků hodnocení rizik stanoví bezpečnostní politiku v dalších oblastech podle § 5 a zavede příslušná bezpečnostní opatření,

b) řídí rizika podle § 4 odst. 1,

e) vyhodnocuje vhodnost a účinnost bezpečnostní politiky podle § 5,

d) monitoruje účinnost bezpečnostních opatření,

g) zajistí vyhodnocení účinnosti systému řízení bezpečnosti informací, které obsahuje hodnocení stavu systému řízení bezpečnosti informací včetně revize hodnocení rizik, posouzení výsledků provedených kontrol a auditů kybernetické bezpečnosti a dopadů kybernetických bezpečnostních incidentů na systém řízení bezpečnosti informací, a to nejméně jednou ročně,

f) zajistí provedení auditu kybernetické bezpečnosti podle § 15, a to nejméně jednou ročně,

i) řídí provoz a zdroje systému řízení bezpečnosti informací, zaznamenává činnosti spojené se systémem řízení bezpečnosti informací a řízením rizik.

h) aktualizuje systém řízení bezpečnosti informací a příslušnou dokumentaci na základě zjištění auditů kybernetické bezpečnosti, výsledků vyhodnocení účinnosti systému řízení bezpečnosti informací a v souvislosti s prováděnými nebo plánovanými změnami a

(2) Orgán a osoba uvedená v § 3 písm. e) zákona v rámci systému řízení bezpečnosti informací

a) řídí rizika podle § 4 odst. 2,

c) provádí aktualizaci zprávy o hodnocení aktiv a rizik, bezpečnostní politiky, plánu zvládání rizik a plánu rozvoje bezpečnostního povědomí, a to nejméně jednou za tři roky nebo v souvislosti s prováděnými nebo plánovanými změnami.

b) vytvoří a schválí bezpečnostní politiku v oblasti systému řízení bezpečnosti informací, která obsahuje hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací a na základě bezpečnostních potřeb a výsledků hodnocení rizik stanoví bezpečnostní politiku v dalších oblastech podle § 5, a zavede příslušná bezpečnostní opatření a

(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona v rámci řízení rizik

a) stanoví metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik včetně stanovení kritérií pro přijatelnost rizik,

b) identifikuje a hodnotí důležitost aktiv, která patří do rozsahu systému řízení bezpečnosti informací, podle § 8 v rozsahu přílohy č. 1 k této vyhlášce a výstupy zapracuje do zprávy o hodnocení aktiv a rizik,

c) identifikuje rizika, při kterých zohlední hrozby a zranitelnosti, posoudí možné dopady na aktiva, hodnotí tato rizika minimálně v rozsahu podle přílohy č. 2 k této vyhlášce, určí a schválí přijatelná rizika a zpracuje zprávu o hodnocení aktiv a rizik,

e) zpracuje a zavede plán zvládání rizik, který obsahuje cíle a přínosy bezpečnostních opatření pro zvládání rizik, určení osoby zajišťující prosazování bezpečnostních opatření pro zvládání rizik, potřebné finanční, technické, lidské a informační zdroje, termín jejich zavedení a popis vazeb mezi riziky a příslušnými bezpečnostními opatřeními a

d) zpracuje na základě bezpečnostních potřeb a výsledků hodnocení rizik prohlášení o aplikovatelnosti, které obsahuje přehled vybraných a zavedených bezpečnostních opatření,

f) zohlední bez zbytečného odkladu reaktivní a ochranná opatření vydaná Národním bezpečnostním úřadem (dále jen „Úřad“) v hodnocení rizik a v případě, že hodnocení rizik aktualizované o nové zranitelnosti spojené s realizací reaktivního nebo ochranného opatření překročí stanovená kritéria pro přijatelnost rizik, doplní plán zvládání rizik.

(2) Orgán a osoba uvedená v § 3 písm. e) zákona v rámci řízení rizik

a) stanoví metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik včetně stanovení kritérií pro přijatelnost rizik,

c) identifikuje rizika, při kterých zohlední hrozby a zranitelnosti, posoudí možné dopady na primární aktiva, hodnotí tato rizika minimálně v rozsahu podle přílohy č. 2 k této vyhlášce a zpracuje zprávu o hodnocení aktiv a rizik,

b) identifikuje a hodnotí důležitost primárních aktiv, která patří do rozsahu systému řízení bezpečnosti informací, podle § 8 minimálně v rozsahu přílohy č. 1 k této vyhlášce a výstupy zapracuje do zprávy o hodnocení aktiv a rizik,

d) zpracuje na základě bezpečnostních potřeb a výsledků hodnocení rizik prohlášení o aplikovatelnosti, které obsahuje přehled vybraných a zavedených bezpečnostních opatření,

f) zohlední bez zbytečného odkladu reaktivní a ochranná opatření vydaná Úřadem v hodnocení rizik a v případě, že hodnocení rizik aktualizované o nové zranitelnosti spojené s realizací reaktivního nebo ochranného opatření překročí stanovená kritéria pro přijatelnost rizik, doplní plán zvládání rizik.

e) zpracuje a zavede plán zvládání rizik, který obsahuje cíle a přínosy bezpečnostních opatření pro zvládání rizik, určení osoby zajišťující prosazování bezpečnostních opatření pro zvládání rizik, potřebné finanční, technické, lidské a informační zdroje, termíny jejich zavedení a popis vazeb mezi identifikovanými riziky a příslušnými bezpečnostními opatřeními a

(3) Řízení rizik může být zajištěno i jinými způsoby, než jak je stanoveno v odstavcích 1 a 2, pokud orgán a osoba uvedená v § 3 písm. c) až e) zákona zabezpečí, že používá opatření zajišťující stejnou nebo vyšší úroveň řízení rizik.

(4) Orgán a osoba uvedená v § 3 písm. c) až e) zákona při hodnocení rizik zvažuje zejména tyto hrozby

c) zneužití identity fyzické osoby,

b) poškození nebo selhání technického anebo programového vybavení,

a) porušení bezpečnostní politiky, provedení neoprávněných činností, zneužití oprávnění ze strany uživatelů a administrátorů,

e) kybernetický útok z komunikační sítě,

d) užívání programového vybavení v rozporu s licenčními podmínkami,

h) narušení fyzické bezpečnosti,

g) nedostatky při poskytování služeb informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému,

f) škodlivý kód (například viry, spyware, trojské koně),

i) přerušení poskytování služeb elektronických komunikací nebo dodávek elektrické energie,

j) zneužití nebo neoprávněná modifikace údajů,

k) trvale působící hrozby a

l) odcizení nebo poškození aktiva.

(5) Orgán a osoba uvedená v § 3 písm. c) až e) zákona při hodnocení rizik zvažuje zejména tyto zranitelnosti

a) nedostatečná ochrana vnějšího perimetru,

b) nedostatečné bezpečnostní povědomí uživatelů a administrátorů,

c) nedostatečná údržba informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému,

g) nedostatečné stanovení bezpečnostních pravidel, nepřesné nebo nejednoznačné vymezení práv a povinností uživatelů, administrátorů a bezpečnostních rolí.

f) nedostatečné monitorování činnosti uživatelů a administrátorů a neschopnost odhalit jejich nevhodné nebo závadné způsoby chování a

e) nedostatečné postupy při identifikování a odhalení negativních bezpečnostních jevů, kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů,

d) nevhodné nastavení přístupových oprávnění,

(6) Orgán a osoba uvedená v § 3 písm. c) a d) zákona při hodnocení rizik dále zvažuje tyto hrozby

b) pochybení ze strany zaměstnanců,

a) porušení bezpečnostní politiky, provedení neoprávněných činností, zneužití oprávnění ze strany administrátorů kritické informační infrastruktury,

c) zneužití vnitřních prostředků, sabotáž,

d) dlouhodobé přerušení poskytování služeb elektronických komunikací, dodávky elektrické energie nebo jiných důležitých služeb,

g) zneužití vyměnitelných technických nosičů dat.

f) cílený kybernetický útok pomocí sociálního inženýrství, použití špionážních technik a

e) nedostatek zaměstnanců s potřebnou odbornou úrovní,

(7) Orgán a osoba uvedená v § 3 písm. c) a d) zákona při hodnocení rizik dále zvažuje tyto zranitelnosti

c) nedostatečná míra nezávislé kontroly a

b) nevhodná bezpečnostní architektura,

a) nedostatečná ochrana prostředků kritické informační infrastruktury,

d) neschopnost včasného odhalení pochybení ze strany zaměstnanců.

(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona stanoví bezpečnostní politiku v oblastech

c) řízení vztahů s dodavateli,

b) organizační bezpečnost,

a) systém řízení bezpečnosti informací,

o) ochrana osobních údajů,

m) poskytování a nabývání licencí programového vybavení a informací,

l) bezpečné používání mobilních zařízení,

k) řízení technických zranitelností,

j) bezpečné předávání a výměna informací,

i) zálohování a obnova,

h) bezpečné chování uživatelů,

g) řízení přístupu,

f) řízení provozu a komunikací,

e) bezpečnost lidských zdrojů,

d) klasifikace aktiv,

n) dlouhodobé ukládání a archivace informací,

r) ochrana před škodlivým kódem,

q) bezpečnost komunikační sítě,

p) fyzická bezpečnost,

t) využití a údržba nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí a

u) používání kryptografické ochrany.

s) nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí,

(2) Orgán a osoba uvedená v § 3 písm. e) zákona stanoví bezpečnostní politiku v oblastech

b) organizační bezpečnost,

c) řízení dodavatelů,

a) systém řízení bezpečnosti informací,

g) řízení přístupu,

h) bezpečné chování uživatelů,

i) zálohování a obnova,

j) poskytování a nabývání licencí programového vybavení a informací,

k) ochrana osobních údajů,

l) používání kryptografické ochrany,

m) ochrana před škodlivým kódem a

n) nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí.

d) klasifikace aktiv,

e) bezpečnost lidských zdrojů,

f) řízení provozu a komunikací,

(3) Orgán a osoba uvedená v § 3 písm. c) až e) zákona pravidelně hodnotí účinnost bezpečnostní politiky a aktualizuje ji.

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona zavede organizaci řízení bezpečnosti informací, v rámci které určí výbor pro řízení kybernetické bezpečnosti a bezpečnostní role a jejich práva a povinnosti související s informačním systémem kritické informační infrastruktury, komunikačním systémem kritické informační infrastruktury nebo významným informačním systémem.

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona určí bezpečnostní role

a) manažer kybernetické bezpečnosti,

b) architekt kybernetické bezpečnosti,

c) auditor kybernetické bezpečnosti a

d) garant aktiva podle § 2 písm. m).

(3) Orgán a osoba uvedená v § 3 písm. e) určí bezpečnostní role přiměřeně podle odstavce 2.

(4) Manažer kybernetické bezpečnosti je osoba, odpovědná za systém řízení bezpečnosti informací, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s řízením bezpečnosti informací po dobu nejméně tří let.

(5) Architekt kybernetické bezpečnosti je osoba zajišťující návrh a implementaci bezpečnostních opatření, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s navrhováním bezpečnostní architektury po dobu nejméně tří let.

(6) Auditor kybernetické bezpečnosti je osoba provádějící audit kybernetické bezpečnosti, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s prováděním auditů kybernetické bezpečnosti po dobu nejméně tří let. Auditor kybernetické bezpečnosti vykonává svoji roli nestranně a výkon jeho role je oddělen od výkonu rolí uvedených v odstavci 2 písm. a), b) nebo d).

(7) Výbor pro řízení kybernetické bezpečnosti je organizovaná skupina tvořená osobami, které jsou pověřeny celkovým řízením a rozvojem informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému, anebo se významně podílejí na řízení a koordinaci činností spojených s kybernetickou bezpečností těchto systémů.

(8) Orgán a osoba uvedená v § 3 písm. c) až e) zákona zajistí odborné školení osob, které zastávají bezpečnostní role v souladu s plánem rozvoje bezpečnostního povědomí podle § 9 odst. 1 písm. b).

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona zavede pravidla pro dodavatele, která zohledňují potřeby řízení bezpečnosti informací, a zohlední je u dodavatelů nebo jiných osob, které se podílejí na rozvoji, provozu nebo zajištění bezpečnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému. Rozsah zapojení dodavatelů na rozvoji, provozu nebo zajištění bezpečnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému prokazatelně dokumentuje orgán a osoba uvedená v § 3 písm. c) až e) zákona smlouvou, jejíž součástí je ustanovení o bezpečnosti informací.

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona u dodavatelů uvedených v odstavci 1 dále

c) provádí pravidelné hodnocení rizik a pravidelnou kontrolu zavedených bezpečnostních opatření u poskytovaných služeb a zjištěné nedostatky odstraňuje nebo po dohodě s dodavatelem zajistí jejich odstranění.

b) uzavírá smlouvu o úrovni služeb, která stanoví způsoby a úrovně realizace bezpečnostních opatření a určí vztah vzájemné smluvní odpovědnosti za zavedení a kontrolu bezpečnostních opatření, a

a) před uzavřením smlouvy provádí hodnocení rizik podle přílohy č. 2 k této vyhlášce, která jsou spojena s podstatnými dodávkami,

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona v rámci řízení aktiv

a) identifikuje a eviduje primární aktiva,

b) určí garanty aktiv, kteří jsou odpovědní za primární aktiva, a

c) hodnotí důležitost primárních aktiv z hlediska důvěrnosti, integrity a dostupnosti a zařadí je do jednotlivých úrovní minimálně v rozsahu podle přílohy č. 1 k této vyhlášce.

(2) Při hodnocení důležitosti primárních aktiv je třeba především posoudit

a) rozsah a důležitost osobních údajů nebo obchodního tajemství,

c) rozsah narušení vnitřních řídících a kontrolních činností,

b) rozsah dotčených právních povinností nebo jiných závazků,

d) poškození veřejných, obchodních nebo ekonomických zájmů,

h) dopady na zachování dobrého jména nebo ochranu dobré pověsti.

g) dopady spojené s narušením důvěrnosti, integrity a dostupnosti a

f) rozsah narušení běžných činností orgánu a osoby uvedené v § 3 písm. c) až e) zákona,

e) možné finanční ztráty,

a) identifikuje a eviduje podpůrná aktiva,

b) určí garanty aktiv, kteří jsou odpovědní za podpůrná aktiva, a

c) určí vazby mezi primárními a podpůrnými aktivy a hodnotí důsledky závislostí mezi primárními a podpůrnými aktivy.

(3) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále

b) zavede pravidla ochrany odpovídající úrovni aktiv a

c) určí způsoby pro spolehlivé smazání nebo ničení technických nosičů dat s ohledem na úroveň aktiv.

2. stanoví pravidla pro manipulaci a evidenci s aktivy podle úrovní aktiv, včetně pravidel pro bezpečné elektronické sdílení a fyzické přenášení aktiv a

3. stanoví přípustné způsoby používání aktiv,

(4) Orgán a osoba uvedená v § 3 písm. c) až e) zákona dále

1. určí způsoby rozlišování jednotlivých úrovní aktiv,

a) stanoví pravidla ochrany, nutná pro zabezpečení jednotlivých úrovní aktiv tím, že

b) v souladu s plánem rozvoje bezpečnostního povědomí zajistí poučení uživatelů, administrátorů a osob zastávajících bezpečnostní role o jejich povinnostech a o bezpečnostní politice formou vstupních a pravidelných školení,

a) stanoví plán rozvoje bezpečnostního povědomí, který obsahuje formu, obsah a rozsah potřebných školení a určí osoby provádějící realizaci jednotlivých činností, které jsou v plánu uvedeny,

c) zajistí kontrolu dodržování bezpečnostní politiky ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role a

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona v rámci řízení bezpečnosti lidských zdrojů

d) zajistí vrácení svěřených aktiv a odebrání přístupových oprávnění při ukončení smluvního vztahu s uživateli, administrátory nebo osobami zastávajícími bezpečnostní role.

(2) Orgán a osoba uvedená v § 3 písm. c) až e) zákona vede o školení podle odstavce 1 přehledy, které obsahují předmět školení a seznam osob, které školení absolvovaly.

c) určí pravidla a postupy pro řešení případů porušení stanovených bezpečnostních pravidel ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role a

b) hodnotí účinnost plánu rozvoje bezpečnostního povědomí, provedených školení a dalších činností spojených s prohlubováním bezpečnostního povědomí,

a) stanoví pravidla pro určení osob, které budou zastávat bezpečnostní role, role administrátorů nebo uživatelů,

(3) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále

d) zajistí změnu přístupových oprávnění při změně postavení uživatelů, administrátorů nebo osob zastávajících bezpečnostní role.

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona v rámci řízení provozu a komunikací pomocí technických nástrojů uvedených v § 21 až 23 detekuje kybernetické bezpečnostní události, pravidelně vyhodnocuje získané informace a na zjištěné nedostatky reaguje v souladu s § 13.

(2) Orgán a osoba uvedená v § 3 písm. c) až e) zákona v rámci řízení provozu a komunikací dále zajišťuje bezpečný provoz informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému. Za tímto účelem stanoví provozní pravidla a postupy.

(3) Provozní pravidla a postupy orgánu a osoby uvedené v § 3 písm. c) a d) zákona obsahují

f) postupy pro sledování, plánování a řízení kapacity lidských a technických zdrojů.

e) postupy řízení a schvalování provozních změn a

d) spojení na kontaktní osoby, které jsou určeny jako podpora při řešení neočekávaných systémových nebo technických potíží,

c) postupy pro sledování kybernetických bezpečnostních událostí a pro ochranu přístupu k záznamům o těchto činnostech,

b) postupy pro spuštění a ukončení chodu systému, pro restart nebo obnovení chodu systému po selhání a pro ošetření chybových stavů nebo mimořádných jevů,

a) práva a povinnosti osob zastávajících bezpečnostní role, administrátorů a uživatelů,

(4) Řízení provozu orgánu a osoby uvedené v § 3 písm. c) až e) zákona spočívá v provádění pravidelného zálohování a prověřování použitelnosti provedených záloh.

(5) Řízení provozu orgánu a osoby uvedené v § 3 písm. c) a d) zákona spočívá v

b) řešení reaktivních opatření vydaných Úřadem tím, že orgán a osoba uvedená v § 3 písm. c) a d) zákona

2. stanoví způsob rychlého provedení reaktivního opatření, který minimalizuje možné negativní účinky, a určí časový plán jeho provedení.

1. posoudí očekávané dopady reaktivního opatření na informační systém kritické informační infrastruktury nebo komunikační systém kritické informační infrastruktury a na zavedená bezpečnostní opatření, vyhodnotí možné negativní účinky a bez zbytečného odkladu je oznámí Úřadu a

a) zajištění oddělení vývojového, testovacího a produkčního prostředí,

(6) Orgán a osoba uvedená v § 3 písm. c) a d) zákona v rámci řízení komunikací

a) zajišťuje bezpečnost a integritu komunikačních sítí a bezpečnost komunikačních služeb podle § 17,

c) provádí výměnu a předávání informací na základě pravidel stanovených právními předpisy za současného zajištění bezpečnosti informací a tato pravidla dokumentuje a

b) určí pravidla a postupy pro ochranu informací, které jsou přenášeny komunikačními sítěmi,

d) s ohledem na klasifikaci aktiv provádí výměnu a předávání informací na základě písemných smluv, jejíchž součástí je ustanovení o bezpečnosti informací.

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona na základě provozních a bezpečnostních potřeb řídí přístup k informačnímu systému kritické informační infrastruktury, komunikačnímu systému kritické informační infrastruktury a významnému informačnímu systému a přidělí každému uživateli jednoznačný identifikátor.

(2) Orgán a osoba uvedená v § 3 písm. c) až e) zákona přijme opatření, která slouží k zajištění ochrany údajů, které jsou používány pro přihlášení uživatelů a administrátorů informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému podle § 18 a 19, a která brání ve zneužití těchto údajů neoprávněnou osobou.

(3) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále v rámci řízení přístupu

f) zavede bezpečnostní opatření potřebná pro bezpečné používání mobilních zařízení, případně i bezpečnostní opatření spojená s využitím technických zařízení, kterými orgán a osoba uvedená v § 3 písm. c) a d) zákona nedisponuje.

e) využívá nástroj pro ověřování identity uživatelů podle § 18 a nástroj pro řízení přístupových oprávnění podle § 19 a

d) provádí pravidelné přezkoumání nastavení přístupových oprávnění včetně rozdělení jednotlivých uživatelů v přístupových skupinách nebo rolích,

c) přiděluje a odebírá přístupová oprávnění v souladu s politikou řízení přístupu,

b) omezí přidělování administrátorských oprávnění,

a) přidělí přistupujícím aplikacím samostatný identifikátor,

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona stanoví bezpečnostní požadavky na změny informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému spojené s jejich akvizicí, vývojem a údržbou a zahrne je do projektu akvizice, vývoje a údržby systému.

b) zajistí bezpečnost vývojového prostředí a zajistí ochranu používaných testovacích dat a

c) provádí bezpečnostní testování změn informačního systému kritické informační infrastruktury nebo komunikačního systému kritické informační infrastruktury před jejich zavedením do provozu.

a) identifikuje, hodnotí a řídí rizika související s akvizicí, vývojem a údržbou informačního systému kritické informační infrastruktury nebo komunikačního systému kritické informační infrastruktury; pro postupy hodnocení a řízení rizik se metodiky podle § 4 odst. 1 písm. a) použijí obdobně,

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále

c) provádí klasifikaci kybernetických bezpečnostních incidentů, přijímá opatření pro odvrácení a zmírnění dopadu kybernetického bezpečnostního incidentu, provádí hlášení kybernetického bezpečnostního incidentu podle § 32 a zajistí sběr věrohodných podkladů potřebných pro analýzu kybernetického bezpečnostního incidentu,

a) přijme nezbytná opatření, která zajistí oznamování kybernetických bezpečnostních událostí u informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role a o oznámeních vede záznamy,

b) připraví prostředí pro vyhodnocení oznámených kybernetických bezpečnostních událostí a kybernetických bezpečnostních událostí detekovaných technickými nástroji podle § 21 až 23, provádí jejich vyhodnocení a identifikuje kybernetické bezpečnostní incidenty,

d) prošetří a určí příčiny kybernetického bezpečnostního incidentu, vyhodnotí účinnost řešení kybernetického bezpečnostního incidentu a na základě vyhodnocení stanoví nutná bezpečnostní opatření k zamezení opakování řešeného kybernetického bezpečnostního incidentu a

e) dokumentuje zvládání kybernetických bezpečnostních incidentů.

1. minimální úrovně poskytovaných služeb, která je přijatelná pro užívání, provoz a správu informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému,

2. doby obnovení chodu, během které bude po kybernetickém bezpečnostním incidentu obnovena minimální úroveň poskytovaných služeb informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému, a

b) cíle řízení kontinuity činností formou určení

a) práva a povinnosti garantů aktiv, administrátorů a osob zastávajících bezpečnostní role,

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona v rámci řízení kontinuity činností stanoví

3. dobu obnovení dat jako termínu, ke kterému budou obnovena data po kybernetickém bezpečnostním incidentu, a

c) strategii řízení kontinuity činností, která obsahuje naplnění cílů podle písmene b).

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále

c) realizuje opatření pro zvýšení odolnosti informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury vůči kybernetickému bezpečnostnímu incidentu a využívá nástroj pro zajišťování úrovně dostupnosti podle § 26 a

b) stanoví, aktualizuje a pravidelně testuje plány kontinuity činností informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury,

a) vyhodnotí a dokumentuje možné dopady kybernetických bezpečnostních incidentů a posoudí možná rizika související s ohrožením kontinuity činností,

1. výsledky hodnocení rizik provedení opatření,

d) stanoví a aktualizuje postupy pro provedení opatření vydaných Úřadem podle § 13 a 14 zákona, ve kterých zohlední

3. vyhodnocení případných negativních dopadů na provoz a bezpečnost informačního systému kritické informační infrastruktury nebo komunikačního systému kritické informační infrastruktury.

2. stav dotčených bezpečnostních opatření a

a) posuzuje soulad bezpečnostních opatření s právními předpisy, vnitřními předpisy, jinými předpisy a smluvními závazky vztahujícími se k informačnímu systému kritické informační infrastruktury, komunikačnímu systému kritické informační infrastruktury a významnému informačnímu systému a určí opatření pro jeho prosazování a

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona v rámci kontroly a auditu kritické informační infrastruktury a významných informačních systémů (dále jen „audit kybernetické bezpečnosti“)

b) provádí a dokumentuje pravidelné kontroly dodržování bezpečnostní politiky a výsledky těchto kontrol zohlední v plánu rozvoje bezpečnostního povědomí a plánu zvládání rizik.

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona zajišťuje provedení auditu kybernetické bezpečnosti osobou s odbornou kvalifikací podle § 6 odst. 6, která hodnotí správnost a účinnost zavedených bezpečnostních opatření.

(3) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále pro informační systém kritické informační infrastruktury a komunikační systém kritické informační infrastruktury provádí kontrolu zranitelnosti technických prostředků pomocí automatizovaných nástrojů a jejich odborné vyhodnocení a reaguje na zjištěné zranitelnosti.

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona v rámci fyzické bezpečnosti

a) přijme nezbytná opatření k zamezení neoprávněnému vstupu do vymezených prostor, kde jsou zpracovávány informace a umístěna technická aktiva informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému,

b) přijme nezbytná opatření k zamezení poškození a zásahům do vymezených prostor, kde jsou uchovány informace a umístěna technická aktiva informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému, a

c) předchází poškození, krádeži nebo zneužití aktiv nebo přerušení poskytování služeb informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému.

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále uplatňuje prostředky fyzické bezpečnosti

a) pro zajištění ochrany na úrovni objektů a

b) pro zajištění ochrany v rámci objektů zajištěním zvýšené bezpečnosti vymezených prostor, ve kterých jsou umístěna technická aktiva informačního systému kritické informační infrastruktury nebo komunikačního systému kritické informační infrastruktury.

(3) Prostředky fyzické bezpečnosti jsou zejména

b) zařízení elektrické zabezpečovací signalizace,

a) mechanické zábranné prostředky,

c) prostředky omezující působení požárů,

g) zařízení pro zajištění ochrany před selháním dodávky elektrického napájení a

h) zařízení pro zajištění optimálních provozních podmínek.

d) prostředky omezující působení projevů živelních událostí,

e) systémy pro kontrolu vstupu,

f) kamerové systémy,

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona pro ochranu integrity rozhraní vnější komunikační sítě, která není pod správou orgánu nebo osoby, a vnitřní komunikační sítě, která je pod správou orgánu nebo osoby, zavede

a) řízení bezpečného přístupu mezi vnější a vnitřní sítí,

b) segmentaci zejména použitím demilitarizovaných zón jako speciálního typu sítě používaného ke zvýšení bezpečnosti aplikací dostupných z vnější sítě a k zamezení přímé komunikace vnitřní sítě s vnější sítí,

c) kryptografické prostředky (§ 25) pro vzdálený přístup, vzdálenou správu nebo pro přístup pomocí bezdrátových technologií a

d) opatření pro odstranění nebo blokování přenášených dat, které neodpovídají požadavkům na ochranu integrity komunikační sítě.

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále využívá nástroje pro ochranu integrity vnitřní komunikační sítě, které zajistí její segmentaci.

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona používá nástroje pro ověření identity uživatelů a administrátorů informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému.

(2) Nástroj pro ověřování identity uživatelů a administrátorů zajišťuje ověření identity uživatelů a administrátorů před zahájením jejich aktivit v informačním systému kritické informační infrastruktury, komunikačním systému kritické informační infrastruktury a významném informačním systému.

3. nejméně jednu číslici, nebo

2. nejméně jedno malé písmeno,

b) minimální složitost hesla tak, že heslo bude obsahovat alespoň 3 z následujících čtyř požadavků

a) minimální délku hesla osm znaků,

c) maximální dobu pro povinnou výměnu hesla nepřesahující sto dnů; tento požadavek není vyžadován pro samostatné identifikátory aplikací.

(3) Nástroj pro ověřování identity uživatelů, který používá autentizaci pouze heslem, zajišťuje

4. nejméně jeden speciální znak odlišný od požadavků uvedených v bodech 1 až 3,

1. nejméně jedno velké písmeno,

b) využívá nástroj pro ověřování identity administrátorů. V případě, že tento nástroj využívá autentizaci heslem, zajistí prosazení minimální délky hesla patnáct znaků při dodržení požadavků podle odstavce 3 písm. b) a c).

(4) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále

1. zamezí opětovnému používání dříve používaných hesel a neumožní více změn hesla jednoho uživatele během stanoveného období, které musí být nejméně 24 hodin, a

2. provádí opětovné ověření identity po určené době nečinnosti a

a) používá nástroj pro ověření identity, který

(5) Nástroj pro ověřování identity uživatelů může být zajištěn i jinými způsoby, než jaké jsou stanoveny v odstavcích 3 až 5, pokud orgán a osoba uvedená v § 3 písm. c) až e) zákona zabezpečí, že používá opatření zajišťující stejnou nebo vyšší úroveň odolnosti hesla.

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona používá nástroj pro řízení přístupových oprávnění, kterým zajistí řízení oprávnění

a) pro přístup k jednotlivým aplikacím a datům a

b) pro čtení dat, pro zápis dat a pro změnu oprávnění.

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále používá nástroj pro řízení přístupových oprávnění, který zaznamenává použití přístupových oprávnění v souladu s bezpečnostními potřebami a výsledky hodnocení rizik.

b) serverů a sdílených datových úložišť a

c) pracovních stanic,

a) komunikace mezi vnitřní sítí a vnější sítí,

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona používá nástroj pro zaznamenávání činností informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému, který zajistí

a) sběr informací o provozních a bezpečnostních činnostech, zejména typ činnosti, datum a čas, identifikaci technického aktiva, které činnost zaznamenalo, identifikaci původce a místa činnosti a úspěšnost nebo neúspěšnost činnosti a

b) ochranu získaných informací před neoprávněným čtením nebo změnou.

(2) Orgán a osoba uvedená v § 3 písm. c) až e) zákona dále pomocí nástroje pro zaznamenávání činnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému zaznamenává

a) přihlášení a odhlášení uživatelů a administrátorů,

c) činnosti vedoucí ke změně přístupových oprávnění,

b) činnosti provedené administrátory,

f) automatická varovná nebo chybová hlášení technických aktiv,

e) zahájení a ukončení činností technických aktiv informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému,

d) neprovedení činností v důsledku nedostatku přístupových oprávnění a další neúspěšné činnosti uživatelů,

h) použití mechanismů identifikace a autentizace včetně změny údajů, které slouží k přihlášení.

g) přístupy k záznamům o činnostech, pokusy o manipulaci se záznamy o činnostech a změny nastavení nástroje pro zaznamenávání činností a

(3) Orgán a osoba uvedená v § 3 písm. c) a d) zákona záznamy činností zaznamenané podle odstavce 2 uchovává nejméně po dobu 3 měsíců.

(4) Orgán a osoba uvedená v § 3 písm. c) až e) zákona zajišťuje nejméně jednou za 24 hodin synchronizaci jednotného systémového času technických aktiv patřících do informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému.

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona používá nástroj pro detekci kybernetických bezpečnostních událostí, který vychází ze stanovených bezpečnostních potřeb a výsledků hodnocení rizik a který zajistí ověření, kontrolu a případně zablokování komunikace mezi vnitřní komunikační sítí a vnější sítí.

a) v rámci vnitřní komunikační sítě a

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále používá nástroj pro detekci kybernetických bezpečnostních událostí, které zajistí ověření, kontrolu a případně zablokování komunikace

b) serverů patřících do informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury.

(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona používá nástroj pro sběr a průběžné vyhodnocení kybernetických bezpečnostních událostí, který v souladu s bezpečnostními potřebami a výsledky hodnocení rizik zajistí

a) integrovaný sběr a vyhodnocení kybernetických bezpečnostních událostí z informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury,

b) poskytování informací pro určené bezpečnostní role o detekovaných kybernetických bezpečnostních událostech v informačním systému kritické informační infrastruktury nebo komunikačním systému kritické informační infrastruktury a

c) nepřetržité vyhodnocování kybernetických bezpečnostních událostí s cílem identifikace kybernetických bezpečnostních incidentů, včetně včasného varování určených bezpečnostních rolí.

b) využívání informací, které jsou připraveny nástrojem pro sběr a vyhodnocení kybernetických bezpečnostních událostí, pro optimální nastavení bezpečnostních opatření informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury.

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále zajistí

a) pravidelnou aktualizaci nastavení pravidel pro vyhodnocování kybernetických bezpečnostních událostí a včasné varování, aby byly omezovány případy nesprávného vyhodnocení událostí nebo případy falešných varování, a

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona provádí bezpečnostní testy zranitelnosti aplikací, které jsou přístupné z vnější sítě, a to před jejich uvedením do provozu a po každé zásadní změně bezpečnostních mechanismů.

b) transakcí před jejich nedokončením, nesprávným směrováním, neautorizovanou změnou předávaného datového obsahu, kompromitací, neautorizovaným duplikováním nebo opakováním.

a) aplikací a informací dostupných z vnější sítě před neoprávněnou činností, popřením provedených činností, kompromitací nebo neautorizovanou změnou a

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále v rámci aplikační bezpečnosti zajistí trvalou ochranu

1. úroveň ochrany s ohledem na typ a sílu kryptografického algoritmu a

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona

a) pro používání kryptografické ochrany stanoví

b) v souladu s bezpečnostními potřebami a výsledky hodnocení rizik používá kryptografické prostředky, které zajistí ochranu důvěrnosti a integrity předávaných nebo ukládaných dat a průkaznou identifikaci osoby za provedené činnosti.

2. pravidla kryptografické ochrany informací při přenosu po komunikačních sítích nebo při uložení na mobilní zařízení nebo vyměnitelné technické nosiče dat a

b) používá odolné kryptografické algoritmy a kryptografické klíče; v případě nesouladu s minimálními požadavky na kryptografické algoritmy uvedenými v příloze č. 3 k této vyhlášce řídí rizika spojená s tímto nesouladem.

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále

a) stanoví pro používání kryptografických prostředků systém správy klíčů, který zajistí generování, distribuci, ukládání, archivaci, změny, ničení, kontrolu a audit klíčů, a

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona v souladu s bezpečnostními potřebami a výsledky hodnocení rizik používá nástroj pro zajišťování úrovně dostupnosti informací.

2. zajištěním náhradních technických aktiv v určeném čase.

1. využitím redundance v návrhu řešení a

c) zálohování důležitých technických aktiv informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury

b) odolnost informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury vůči kybernetickým bezpečnostním incidentům, které by mohly snížit dostupnost, a

a) dostupnost informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury pro splnění cílů řízení kontinuity činností,

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona používá nástroj pro zajišťování úrovně dostupnosti informací, který zajistí

a) omezení fyzického přístupu k síti a zařízením průmyslových a řídicích systémů,

b) omezení propojení a vzdáleného přístupu k síti průmyslových a řídicích systémů,

c) ochranu jednotlivých technických aktiv průmyslových a řídicích systémů před využitím známých zranitelností a

d) obnovení chodu průmyslových a řídicích systémů po kybernetickém bezpečnostním incidentu.

(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona vede a aktualizuje bezpečnostní dokumentaci, která obsahuje

a) bezpečnostní politiku podle § 5 odst. 1,

b) zprávy z auditu kybernetické bezpečnosti podle § 3 odst. 1 písm. f),

c) zprávy z přezkoumání systému řízení bezpečnosti informací podle § 3 odst. 1 písm. g),

i) zvládání kybernetických bezpečnostních incidentů podle § 13 písm. e),

k) přehled právních předpisů, vnitřních předpisů a jiných předpisů a smluvních závazků podle § 15 odst. 1 písm. a).

g) plán zvládání rizik,

f) prohlášení o aplikovatelnosti,

e) zprávu o hodnocení aktiv a rizik,

d) metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik,

h) plán rozvoje bezpečnostního povědomí podle § 9 odst. 1 písm. a),

j) strategii řízení kontinuity činností podle § 14 odst. 1 písm. c) a

(2) Orgán a osoba uvedená v § 3 písm. e) zákona vede a aktualizuje bezpečnostní dokumentaci, která obsahuje

b) metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik podle § 4 odst. 2 písm. a),

a) bezpečnostní politiku podle § 5 odst. 2,

c) zprávu o hodnocení aktiv a rizik podle § 4 odst. 2 písm. b) a c),

h) strategii řízení kontinuity činností podle § 14 odst. 1 písm. c) a

f) plán rozvoje bezpečnostního povědomí podle § 9 odst. 1 písm. a),

g) zvládání kybernetických bezpečnostních incidentů podle § 13 písm. e),

d) prohlášení o aplikovatelnosti podle § 4 odst. 2 písm. d),

i) přehled právních předpisů, vnitřních předpisů a jiných předpisů a smluvních závazků podle § 15 odst. 1 písm. a).

e) plán zvládání rizik podle § 4 odst. 2 písm. e),

(3) Orgán a osoba uvedená v § 3 písm. c) až e) zákona vede bezpečnostní dokumentaci tak, aby záznamy o provedených činnostech byly úplné, čitelné, snadno identifikovatelné a aby se daly snadno vyhledat. Opatření potřebná k identifikaci, uložení, ochraně, vyhledání, době platnosti a uspořádání záznamů o provedených činnostech dokumentuje.

(4) Doporučená struktura bezpečnostní dokumentace je stanovena v příloze č. 4 k této vyhlášce.

b) prohlášení politiky a cílů systému řízení bezpečnosti informací,

a) popis rozsahu systému řízení bezpečnosti informací,

c) popis použité metody hodnocení rizik a zprávu o hodnocení rizik,

e) certifikát systému řízení bezpečnosti informací splňující požadavky příslušné technické normy zabývající se bezpečností informací¹),

d) prohlášení o aplikovatelnosti,

f) záznam o přezkoumání systému řízení bezpečnosti informací včetně souvisejících vstupů a výstupů přezkoumání a

g) zprávu z auditů provedených certifikačním orgánem včetně příslušných záznamů o nápravě zjištěných neshod s příslušnou normou,