TECHNICKÁ OPATŘENÍ

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona v rámci fyzické bezpečnosti

a) přijme nezbytná opatření k zamezení neoprávněnému vstupu do vymezených prostor, kde jsou zpracovávány informace a umístěna technická aktiva informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému,

c) předchází poškození, krádeži nebo zneužití aktiv nebo přerušení poskytování služeb informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému.

b) přijme nezbytná opatření k zamezení poškození a zásahům do vymezených prostor, kde jsou uchovány informace a umístěna technická aktiva informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému, a

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále uplatňuje prostředky fyzické bezpečnosti

a) pro zajištění ochrany na úrovni objektů a

b) pro zajištění ochrany v rámci objektů zajištěním zvýšené bezpečnosti vymezených prostor, ve kterých jsou umístěna technická aktiva informačního systému kritické informační infrastruktury nebo komunikačního systému kritické informační infrastruktury.

(3) Prostředky fyzické bezpečnosti jsou zejména

c) prostředky omezující působení požárů,

b) zařízení elektrické zabezpečovací signalizace,

a) mechanické zábranné prostředky,

e) systémy pro kontrolu vstupu,

d) prostředky omezující působení projevů živelních událostí,

h) zařízení pro zajištění optimálních provozních podmínek.

g) zařízení pro zajištění ochrany před selháním dodávky elektrického napájení a

f) kamerové systémy,

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona pro ochranu integrity rozhraní vnější komunikační sítě, která není pod správou orgánu nebo osoby, a vnitřní komunikační sítě, která je pod správou orgánu nebo osoby, zavede

a) řízení bezpečného přístupu mezi vnější a vnitřní sítí,

c) kryptografické prostředky (§ 25) pro vzdálený přístup, vzdálenou správu nebo pro přístup pomocí bezdrátových technologií a

b) segmentaci zejména použitím demilitarizovaných zón jako speciálního typu sítě používaného ke zvýšení bezpečnosti aplikací dostupných z vnější sítě a k zamezení přímé komunikace vnitřní sítě s vnější sítí,

d) opatření pro odstranění nebo blokování přenášených dat, které neodpovídají požadavkům na ochranu integrity komunikační sítě.

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále využívá nástroje pro ochranu integrity vnitřní komunikační sítě, které zajistí její segmentaci.

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona používá nástroje pro ověření identity uživatelů a administrátorů informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému.

(2) Nástroj pro ověřování identity uživatelů a administrátorů zajišťuje ověření identity uživatelů a administrátorů před zahájením jejich aktivit v informačním systému kritické informační infrastruktury, komunikačním systému kritické informační infrastruktury a významném informačním systému.

3. nejméně jednu číslici, nebo

1. nejméně jedno velké písmeno,

(3) Nástroj pro ověřování identity uživatelů, který používá autentizaci pouze heslem, zajišťuje

c) maximální dobu pro povinnou výměnu hesla nepřesahující sto dnů; tento požadavek není vyžadován pro samostatné identifikátory aplikací.

b) minimální složitost hesla tak, že heslo bude obsahovat alespoň 3 z následujících čtyř požadavků

a) minimální délku hesla osm znaků,

4. nejméně jeden speciální znak odlišný od požadavků uvedených v bodech 1 až 3,

2. nejméně jedno malé písmeno,

a) používá nástroj pro ověření identity, který

(4) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále

b) využívá nástroj pro ověřování identity administrátorů. V případě, že tento nástroj využívá autentizaci heslem, zajistí prosazení minimální délky hesla patnáct znaků při dodržení požadavků podle odstavce 3 písm. b) a c).

1. zamezí opětovnému používání dříve používaných hesel a neumožní více změn hesla jednoho uživatele během stanoveného období, které musí být nejméně 24 hodin, a

2. provádí opětovné ověření identity po určené době nečinnosti a

(5) Nástroj pro ověřování identity uživatelů může být zajištěn i jinými způsoby, než jaké jsou stanoveny v odstavcích 3 až 5, pokud orgán a osoba uvedená v § 3 písm. c) až e) zákona zabezpečí, že používá opatření zajišťující stejnou nebo vyšší úroveň odolnosti hesla.

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona používá nástroj pro řízení přístupových oprávnění, kterým zajistí řízení oprávnění

b) pro čtení dat, pro zápis dat a pro změnu oprávnění.

a) pro přístup k jednotlivým aplikacím a datům a

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále používá nástroj pro řízení přístupových oprávnění, který zaznamenává použití přístupových oprávnění v souladu s bezpečnostními potřebami a výsledky hodnocení rizik.

a) komunikace mezi vnitřní sítí a vnější sítí,

c) pracovních stanic,

b) serverů a sdílených datových úložišť a

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona používá nástroj pro zaznamenávání činností informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému, který zajistí

a) sběr informací o provozních a bezpečnostních činnostech, zejména typ činnosti, datum a čas, identifikaci technického aktiva, které činnost zaznamenalo, identifikaci původce a místa činnosti a úspěšnost nebo neúspěšnost činnosti a

b) ochranu získaných informací před neoprávněným čtením nebo změnou.

(2) Orgán a osoba uvedená v § 3 písm. c) až e) zákona dále pomocí nástroje pro zaznamenávání činnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému zaznamenává

a) přihlášení a odhlášení uživatelů a administrátorů,

b) činnosti provedené administrátory,

c) činnosti vedoucí ke změně přístupových oprávnění,

h) použití mechanismů identifikace a autentizace včetně změny údajů, které slouží k přihlášení.

d) neprovedení činností v důsledku nedostatku přístupových oprávnění a další neúspěšné činnosti uživatelů,

e) zahájení a ukončení činností technických aktiv informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému,

f) automatická varovná nebo chybová hlášení technických aktiv,

g) přístupy k záznamům o činnostech, pokusy o manipulaci se záznamy o činnostech a změny nastavení nástroje pro zaznamenávání činností a

(3) Orgán a osoba uvedená v § 3 písm. c) a d) zákona záznamy činností zaznamenané podle odstavce 2 uchovává nejméně po dobu 3 měsíců.

(4) Orgán a osoba uvedená v § 3 písm. c) až e) zákona zajišťuje nejméně jednou za 24 hodin synchronizaci jednotného systémového času technických aktiv patřících do informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému.

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona používá nástroj pro detekci kybernetických bezpečnostních událostí, který vychází ze stanovených bezpečnostních potřeb a výsledků hodnocení rizik a který zajistí ověření, kontrolu a případně zablokování komunikace mezi vnitřní komunikační sítí a vnější sítí.

a) v rámci vnitřní komunikační sítě a

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále používá nástroj pro detekci kybernetických bezpečnostních událostí, které zajistí ověření, kontrolu a případně zablokování komunikace

b) serverů patřících do informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury.

b) poskytování informací pro určené bezpečnostní role o detekovaných kybernetických bezpečnostních událostech v informačním systému kritické informační infrastruktury nebo komunikačním systému kritické informační infrastruktury a

(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona používá nástroj pro sběr a průběžné vyhodnocení kybernetických bezpečnostních událostí, který v souladu s bezpečnostními potřebami a výsledky hodnocení rizik zajistí

c) nepřetržité vyhodnocování kybernetických bezpečnostních událostí s cílem identifikace kybernetických bezpečnostních incidentů, včetně včasného varování určených bezpečnostních rolí.

a) integrovaný sběr a vyhodnocení kybernetických bezpečnostních událostí z informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury,

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále zajistí

a) pravidelnou aktualizaci nastavení pravidel pro vyhodnocování kybernetických bezpečnostních událostí a včasné varování, aby byly omezovány případy nesprávného vyhodnocení událostí nebo případy falešných varování, a

b) využívání informací, které jsou připraveny nástrojem pro sběr a vyhodnocení kybernetických bezpečnostních událostí, pro optimální nastavení bezpečnostních opatření informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury.

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona provádí bezpečnostní testy zranitelnosti aplikací, které jsou přístupné z vnější sítě, a to před jejich uvedením do provozu a po každé zásadní změně bezpečnostních mechanismů.

a) aplikací a informací dostupných z vnější sítě před neoprávněnou činností, popřením provedených činností, kompromitací nebo neautorizovanou změnou a

b) transakcí před jejich nedokončením, nesprávným směrováním, neautorizovanou změnou předávaného datového obsahu, kompromitací, neautorizovaným duplikováním nebo opakováním.

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále v rámci aplikační bezpečnosti zajistí trvalou ochranu

2. pravidla kryptografické ochrany informací při přenosu po komunikačních sítích nebo při uložení na mobilní zařízení nebo vyměnitelné technické nosiče dat a

1. úroveň ochrany s ohledem na typ a sílu kryptografického algoritmu a

a) pro používání kryptografické ochrany stanoví

b) v souladu s bezpečnostními potřebami a výsledky hodnocení rizik používá kryptografické prostředky, které zajistí ochranu důvěrnosti a integrity předávaných nebo ukládaných dat a průkaznou identifikaci osoby za provedené činnosti.

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona

b) používá odolné kryptografické algoritmy a kryptografické klíče; v případě nesouladu s minimálními požadavky na kryptografické algoritmy uvedenými v příloze č. 3 k této vyhlášce řídí rizika spojená s tímto nesouladem.

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále

a) stanoví pro používání kryptografických prostředků systém správy klíčů, který zajistí generování, distribuci, ukládání, archivaci, změny, ničení, kontrolu a audit klíčů, a

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona v souladu s bezpečnostními potřebami a výsledky hodnocení rizik používá nástroj pro zajišťování úrovně dostupnosti informací.

b) odolnost informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury vůči kybernetickým bezpečnostním incidentům, které by mohly snížit dostupnost, a

a) dostupnost informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury pro splnění cílů řízení kontinuity činností,

c) zálohování důležitých technických aktiv informačního systému kritické informační infrastruktury a komunikačního systému kritické informační infrastruktury

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona používá nástroj pro zajišťování úrovně dostupnosti informací, který zajistí

1. využitím redundance v návrhu řešení a

2. zajištěním náhradních technických aktiv v určeném čase.

b) omezení propojení a vzdáleného přístupu k síti průmyslových a řídicích systémů,

c) ochranu jednotlivých technických aktiv průmyslových a řídicích systémů před využitím známých zranitelností a

a) omezení fyzického přístupu k síti a zařízením průmyslových a řídicích systémů,

d) obnovení chodu průmyslových a řídicích systémů po kybernetickém bezpečnostním incidentu.