BEZPEČNOSTNÍ OPATŘENÍ

ORGANIZAČNÍ OPATŘENÍ

TECHNICKÁ OPATŘENÍ

BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE

a) stanoví s ohledem na požadavky dotčených stran a organizační bezpečnost rozsah systému řízení bezpečnosti informací, ve kterém určí organizační části a aktiva, jichž se systém řízení bezpečnosti informací týká,

b) stanoví cíle systému řízení bezpečnosti informací,

c) pro stanovený rozsah systému řízení bezpečnosti informací na základě cílů systému řízení bezpečnosti informací, bezpečnostních potřeb a hodnocení rizik zavede přiměřená bezpečnostní opatření,

e) vytvoří a schválí bezpečnostní politiku v oblasti systému řízení bezpečnosti informací, která obsahuje hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací, a na základě bezpečnostních potřeb a výsledků hodnocení rizik stanoví bezpečnostní politiku v dalších oblastech podle § 30 a zavede přiměřená bezpečnostní opatření,

g) zajistí pravidelné vyhodnocování účinnosti systému řízení bezpečnosti informací, které obsahuje hodnocení stavu systému řízení bezpečnosti informací včetně revize hodnocení rizik, posouzení výsledků provedených auditů kybernetické bezpečnosti a dopadů kybernetických bezpečnostních incidentů na systém řízení bezpečnosti informací,

f) zajistí provedení auditu kybernetické bezpečnosti u informačního a komunikačního systému (dále jen „audit kybernetické bezpečnosti“) podle § 16,

d) řídí rizika podle § 5,

h) průběžně identifikuje a následně podle § 11 řídí významné změny, které patří do rozsahu systému řízení bezpečnosti informací,

i) aktualizuje systém řízení bezpečnosti informací a příslušnou dokumentaci na základě zjištění auditů kybernetické bezpečnosti, výsledků vyhodnocení účinnosti systému řízení bezpečnosti informací a v souvislosti s prováděnými významnými změnami a

j) řídí provoz a zdroje systému řízení bezpečnosti informací a zaznamenává činnosti spojené se systémem řízení bezpečnosti informací a řízením rizik.

(1) Povinná osoba v rámci řízení aktiv

a) stanoví metodiku pro identifikaci aktiv,

b) stanoví metodiku pro hodnocení aktiv alespoň v rozsahu uvedeném v příloze č. 1 k této vyhlášce,

c) identifikuje a eviduje aktiva,

d) určí a eviduje garanty aktiv,

e) hodnotí a eviduje primární aktiva z hlediska důvěrnosti, integrity a dostupnosti a zařadí je do jednotlivých úrovní podle písmene b),

f) určí a eviduje vazby mezi primárními a podpůrnými aktivy a hodnotí důsledky závislostí mezi primárními a podpůrnými aktivy,

g) hodnotí podpůrná aktiva a zohledňuje přitom zejména vzájemné závislosti podle písmene f),

j) určí způsob likvidace dat, provozních údajů, informací a jejich kopií nebo likvidaci technických nosičů dat s ohledem na úroveň aktiv v souladu s přílohou č. 4 k této vyhlášce.

h) na základě hodnocení aktiv stanovuje a zavádí pravidla ochrany nutná pro zabezpečení jednotlivých úrovní aktiv,

i) stanoví přípustné způsoby používání aktiv a pravidla pro manipulaci s aktivy s ohledem na úroveň aktiv, včetně pravidel pro bezpečné elektronické sdílení a fyzické přenášení aktiv, a

(2) Při hodnocení důležitosti primárních aktiv je třeba posoudit alespoň

a) rozsah a důležitost osobních údajů, zvláštních kategorií osobních údajů nebo obchodního tajemství,

b) rozsah dotčených právních povinností nebo jiných závazků,

c) rozsah narušení vnitřních řídicích a kontrolních činností,

d) poškození veřejných, obchodních nebo ekonomických zájmů a možné finanční ztráty,

e) dopady na poskytování důležitých služeb,

f) rozsah narušení běžných činností,

g) dopady na zachování dobrého jména nebo ochranu dobré pověsti,

h) dopady na bezpečnost a zdraví osob,

i) dopady na mezinárodní vztahy a

j) dopady na uživatele informačního a komunikačního systému.

(1) Povinná osoba v rámci řízení rizik v návaznosti na § 4

a) stanoví metodiku pro hodnocení rizik, včetně stanovení kritérií pro akceptovatelnost rizik,

b) s ohledem na aktiva identifikuje relevantní hrozby a zranitelnosti; přitom zvažuje zejména kategorie hrozeb a zranitelností uvedených v příloze č. 3 k této vyhlášce,

c) provádí hodnocení rizik v pravidelných intervalech podle odstavce 2 a při významných změnách,

f) zpracuje na základě bezpečnostních potřeb a výsledků hodnocení rizik prohlášení o aplikovatelnosti, které obsahuje přehled bezpečnostních opatření požadovaných touto vyhláškou, která

2. změny rozsahu systému řízení bezpečnosti informací,

3. opatření podle § 11 zákona a

4. kybernetické bezpečnostní incidenty, včetně dříve řešených, a

d) při hodnocení rizik zohlední relevantní hrozby a zranitelnosti a posoudí možné dopady na aktiva; tato rizika hodnotí alespoň v rozsahu přílohy č. 2 k této vyhlášce,

e) zpracuje zprávu o hodnocení rizik,

1. významné změny,

g) zpracuje a zavede plán zvládání rizik, který obsahuje cíle a přínosy bezpečnostních opatření pro zvládání jednotlivých rizik, určení osoby zajišťující prosazování bezpečnostních opatření pro zvládání rizik, potřebné finanční, technické, lidské a informační zdroje, termín jejich zavedení, popis vazeb mezi riziky a příslušnými bezpečnostními opatřeními a způsob realizace bezpečnostních opatření,

1. nebyla aplikována, včetně odůvodnění,

2. byla aplikována, včetně způsobu plnění,

i) v souladu s plánem zvládání rizik zavádí bezpečnostní opatření.

h) při hodnocení rizik a v plánu zvládání rizik zohlední

(2) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona provádí hodnocení rizik alespoň jednou ročně a povinná osoba uvedená v § 3 písm. e) zákona alespoň jednou za tři roky.

(3) Řízení rizik může být zajištěno i jinými způsoby, než jak je stanoveno v odstavci 1 písm. d), pokud povinná osoba zabezpečí, že použitá opatření zajistí stejnou nebo vyšší úroveň procesu řízení rizik.

(1) Povinná osoba s ohledem na systém řízení bezpečnosti informací

a) zajistí stanovení bezpečnostní politiky a cílů systému řízení bezpečnosti informací podle § 3 slučitelných se strategickým směřováním povinné osoby,

b) zajistí integraci systému řízení bezpečnosti informací do procesů povinné osoby,

c) zajistí dostupnost zdrojů potřebných pro systém řízení bezpečnosti informací,

e) zajistí podporu k dosažení zamýšlených výstupů systému řízení bezpečnosti informací,

f) vede zaměstnance k rozvíjení efektivity systému řízení bezpečnosti informací a podporuje je při tomto rozvíjení,

g) prosazuje neustálé zlepšování systému řízení bezpečnosti informací,

h) podporuje osoby zastávající bezpečnostní role při prosazování kybernetické bezpečnosti v oblastech jejich odpovědnosti,

i) zajistí stanovení pravidel pro určení administrátorů a osob, které budou zastávat bezpečnostní role,

l) zajistí testování plánů kontinuity činností, obnovy a procesů spojených se zvládáním kybernetických bezpečnostních incidentů.

k) pro osoby zastávající bezpečnostní role zajistí příslušné pravomoci a zdroje včetně rozpočtových prostředků k naplňování jejich rolí a plnění souvisejících úkolů a

d) informuje zaměstnance o významu systému řízení bezpečnosti informací a významu dosažení shody s jeho požadavky se všemi dotčenými stranami,

j) zajistí, aby byla zachována mlčenlivost administrátorů a osob zastávajících bezpečnostní role,

(2) Povinná osoba v rámci systému řízení bezpečnosti informací určí složení výboru pro řízení kybernetické bezpečnosti a bezpečnostní role a jejich práva a povinnosti související se systémem řízení bezpečnosti informací.

c) garanta aktiva a

(3) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona určí osobu, která bude zastávat bezpečnostní roli

a) manažera kybernetické bezpečnosti,

b) architekta kybernetické bezpečnosti,

d) auditora kybernetické bezpečnosti.

(4) Povinná osoba uvedená v § 3 písm. e) zákona určí role manažera kybernetické bezpečnosti a garanta aktiva. Ostatní bezpečnostní role podle odstavce 3 určí přiměřeně vzhledem k rozsahu a potřebám systému řízení bezpečnosti informací.

(5) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona zajistí zastupitelnost bezpečnostních rolí uvedených v odstavci 3 písm. a) a b).

(6) Povinná osoba uvedená v § 3 písm. e) zákona zajistí zastupitelnost bezpečnostní role manažera kybernetické bezpečnosti.

(7) Výbor pro řízení kybernetické bezpečnosti je tvořen osobami s příslušnými pravomocemi a odbornou způsobilostí pro celkové řízení a rozvoj systému řízení bezpečnosti informací a osobami významně se podílejícími na řízení a koordinaci činností spojených s kybernetickou bezpečností, jehož členem musí být alespoň jeden zástupce vrcholového vedení nebo jím pověřená osoba a manažer kybernetické bezpečnosti. Povinná osoba u výboru pro řízení kybernetické bezpečnosti přihlédne k doporučením uvedeným v příloze č. 6 k této vyhlášce.

(1) Manažer kybernetické bezpečnosti

c) nesmí být pověřen výkonem rolí odpovědných za provoz informačního a komunikačního systému.

2. po dobu jednoho roku, pokud absolvovala studium na vysoké škole,

1. po dobu nejméně tří let, nebo

a) je bezpečnostní role odpovědná za systém řízení bezpečnosti informací, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s řízením kybernetické bezpečnosti nebo s řízením bezpečnosti informací

b) odpovídá za pravidelné informování vrcholového vedení o

2. stavu systému řízení bezpečnosti informací a

1. činnostech vyplývajících z rozsahu jeho odpovědnosti a

(2) Architekt kybernetické bezpečnosti je bezpečnostní role odpovědná za zajištění návrhu implementace bezpečnostních opatření tak, aby byla zajištěna bezpečná architektura informačního a komunikačního systému, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s navrhováním implementace bezpečnostních opatření a zajišťováním architektury bezpečnosti

b) po dobu jednoho roku, pokud absolvovala studium na vysoké škole.

a) po dobu nejméně tří let, nebo

(3) Garant aktiva je bezpečnostní role odpovědná za zajištění rozvoje, použití a bezpečnost aktiva.

c) nesmí být pověřen výkonem jiných bezpečnostních rolí.

(4) Auditor kybernetické bezpečnosti

b) zaručuje, že provedení auditu kybernetické bezpečnosti je nestranné, a

a) je bezpečnostní role odpovědná za provádění auditu kybernetické bezpečnosti, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s prováděním auditů kybernetické bezpečnosti nebo auditů systému řízení bezpečnosti informací

1. po dobu nejméně tří let, nebo

2. po dobu jednoho roku, pokud absolvovala studium na vysoké škole,

(5) Povinná osoba při určování osob zastávajících bezpečnostní role přihlédne k doporučením uvedeným v příloze č. 6 k této vyhlášce.

(1) Povinná osoba

a) stanoví pravidla pro dodavatele, která zohledňují požadavky systému řízení bezpečnosti informací,

c) prokazatelně písemně informuje své významné dodavatele o jejich evidenci podle písmene b),

b) vede evidenci svých významných dodavatelů,

g) pravidelně přezkoumává plnění smluv s významnými dodavateli z hlediska systému řízení bezpečnosti informací.

d) seznamuje své dodavatele s pravidly podle písmene a) a vyžaduje plnění těchto pravidel,

e) řídí rizika spojená s dodavateli,

f) v souvislosti s řízením rizik spojených s významnými dodavateli zajistí, aby smlouvy uzavírané s významnými dodavateli obsahovaly relevantní oblasti uvedené v příloze č. 7 k této vyhlášce, a

(2) Povinná osoba u významných dodavatelů dále

a) v rámci výběrového řízení a před uzavřením smlouvy provádí hodnocení rizik souvisejících s plněním předmětu výběrového řízení přiměřeně podle přílohy č. 2 k této vyhlášce,

c) provádí pravidelné hodnocení rizik a pravidelnou kontrolu zavedených bezpečnostních opatření u poskytovaných plnění pomocí vlastních zdrojů nebo pomocí třetí strany a

b) v rámci uzavíraných smluvních vztahů stanoví způsoby a úrovně realizace bezpečnostních opatření a určí obsah vzájemné smluvní odpovědnosti za zavedení a kontrolu bezpečnostních opatření,

d) v reakci na rizika a zjištěné nedostatky zajistí jejich řešení.

a) identifikace správce nebo provozovatele,

c) identifikace významného dodavatele,

(3) Náležitosti prokazatelného informování podle odstavce 1 písm. c) jsou

b) identifikace informačního a komunikačního systému,

d) vyrozumění o skutečnosti, že dodavatel je pro správce významným dodavatelem, a popřípadě také o tom, že významný dodavatel je zároveň provozovatelem, a

e) obsah pravidel podle odstavce 1 písm. a).

(4) Povinná osoba uvedená v § 3 písm. c) až f) zákona, která je provozovatelem a byla prokazatelně informována podle odstavce 1 písm. c), hlásí kontaktní údaje formou uvedenou v § 34.

1. poučení uživatelů, administrátorů, osob zastávajících bezpečnostní role a dodavatelů o jejich povinnostech a o bezpečnostní politice a

c) v souladu s plánem rozvoje bezpečnostního povědomí zajistí poučení uživatelů, administrátorů, osob zastávajících bezpečnostní role a dodavatelů o jejich povinnostech a o bezpečnostní politice formou vstupních a pravidelných školení,

b) určí osoby odpovědné za realizaci jednotlivých činností, které jsou v plánu uvedeny,

a) s ohledem na stav a potřeby systému řízení bezpečnosti informací stanoví plán rozvoje bezpečnostního povědomí, jehož cílem je zajistit odpovídající vzdělávání a zlepšování bezpečnostního povědomí a který obsahuje formu, obsah a rozsah

(1) Povinná osoba v rámci řízení bezpečnosti lidských zdrojů

2. potřebných teoretických i praktických školení uživatelů, administrátorů a osob zastávajících bezpečnostní role,

d) pro osoby zastávající bezpečnostní role v souladu s plánem rozvoje bezpečnostního povědomí zajistí pravidelná odborná školení, přičemž vychází z aktuálních potřeb povinné osoby v oblasti kybernetické bezpečnosti,

g) v případě ukončení smluvního vztahu s administrátory a osobami zastávajícími bezpečnostní role zajistí předání odpovědností,

e) v souladu s plánem rozvoje bezpečnostního povědomí zajistí pravidelné školení a ověřování bezpečnostního povědomí zaměstnanců v souladu s jejich pracovní náplní,

f) zajistí kontrolu dodržování bezpečnostní politiky ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role,

i) určí pravidla a postupy pro řešení případů porušení stanovených bezpečnostních pravidel ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role.

h) hodnotí účinnost plánu rozvoje bezpečnostního povědomí, provedených školení a dalších činností spojených se zlepšováním bezpečnostního povědomí a

(2) Povinná osoba vede o školení podle odstavce 1 přehledy, které obsahují předmět školení a seznam osob, které školení absolvovaly.

b) postupy pro spuštění a ukončení chodu systému, pro restart nebo obnovení chodu systému po selhání a pro ošetření chybových stavů nebo mimořádných jevů,

(1) Povinná osoba v rámci řízení provozu a komunikací zajišťuje bezpečný provoz informačního a komunikačního systému a stanoví provozní pravidla a postupy, které obsahují zejména

a) práva a povinnosti administrátorů, uživatelů a osob zastávajících bezpečnostní role,

c) postupy pro sledování kybernetických bezpečnostních událostí a opatření pro ochranu přístupu k záznamům o těchto událostech,

l) pravidla a postupy pro zajištění bezpečnosti síťových služeb.

k) provádění pravidelného zálohování a kontroly použitelnosti provedených záloh a

j) pravidla a postupy pro instalaci technických aktiv,

d) pravidla a postupy pro ochranu před škodlivým kódem,

e) řízení technických zranitelností,

f) spojení na kontaktní osoby, které jsou pověřeny výkonem systémové a technické podpory,

i) pravidla a postupy pro ochranu informací a dat v průběhu celého životního cyklu,

h) postupy pro sledování, plánování a řízení kapacity lidských a technických zdrojů,

g) postupy řízení a schvalování provozních změn,

(2) Povinná osoba v rámci řízení provozu a komunikací dodržuje pravidla a postupy stanovené podle odstavce 1 a tato pravidla a postupy aktualizuje v souvislosti s prováděnými nebo plánovanými změnami.

(3) Povinná osoba zajistí oddělení vývojového, testovacího a provozního prostředí.

a) přezkoumává možné dopady změn a

b) určuje významné změny.

(1) Povinná osoba v rámci řízení změn u informačního a komunikačního systému

b) provádí analýzu rizik,

(2) Povinná osoba u významných změn

a) dokumentuje jejich řízení,

c) přijímá opatření za účelem snížení všech nepříznivých dopadů spojených s významnými změnami,

e) zajistí jejich testování a

d) aktualizuje bezpečnostní politiku a bezpečnostní dokumentaci,

f) zajistí možnost navrácení do původního stavu.

(3) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona na základě výsledků analýzy rizik podle odstavce 2 písm. b) rozhoduje o provedení penetračního testování nebo testování zranitelností; pokud rozhodne o provedení penetračního testování nebo testování zranitelností, postupuje podle § 25 odst. 1 a reaguje na zjištěné nedostatky.

(4) Povinná osoba uvedená v § 3 písm. e) zákona se řídí požadavky podle odstavce 3 přiměřeně.

(1) Povinná osoba na základě provozních a bezpečnostních potřeb řídí přístup k informačnímu a komunikačnímu systému a přijímá opatření, která slouží k zajištění ochrany údajů, které jsou používány pro přihlášení podle § 19 a 20, a která brání ve zneužití těchto údajů neoprávněnou osobou.

c) řídí identifikátory, přístupová práva a oprávnění aplikací a technických účtů,

a) řídí přístup na základě skupin a rolí,

b) přidělí každému uživateli a administrátorovi přistupujícímu k informačnímu a komunikačnímu systému přístupová práva a oprávnění a jedinečný identifikátor,

(2) Povinná osoba dále v rámci řízení přístupu k informačnímu a komunikačnímu systému

j) využívá nástroj pro správu a ověřování identity podle § 19 a nástroj pro řízení přístupových oprávnění podle § 20,

l) zajistí odebrání nebo změnu přístupových oprávnění při změně pozice nebo zařazení uživatelů, administrátorů nebo osob zastávajících bezpečnostní role,

m) zajistí odebrání nebo změnu přístupových oprávnění při ukončení nebo změně smluvního vztahu a

n) dokumentuje přidělování a odebírání přístupových oprávnění.

i) provádí pravidelné přezkoumání nastavení veškerých přístupových oprávnění včetně rozdělení do přístupových skupin a rolí,

h) přiděluje a odebírá přístupová oprávnění v souladu s politikou řízení přístupu,

g) omezí a kontroluje používání programových prostředků, které mohou být schopné překonat systémové nebo aplikační kontroly,

f) omezí přidělování privilegovaných oprávnění na úroveň nezbytně nutnou k výkonu náplně práce,

e) zavádí bezpečnostní opatření potřebná pro bezpečné používání mobilních zařízení a jiných technických zařízení, popřípadě i bezpečnostní opatření spojená s využitím technických zařízení, která povinná osoba nemá ve své správě,

d) zavádí bezpečnostní opatření pro řízení přístupu zařízení k prostředkům informačního a komunikačního systému,

k) prosazuje, aby uživatelé při používání privátních autentizačních informací dodržovali stanovené postupy,

a) řídí rizika podle § 5,

b) řídí významné změny podle § 11,

c) stanoví bezpečnostní požadavky,

d) zahrne bezpečnostní požadavky do projektu akvizice, vývoje a údržby,

e) zajistí bezpečnost vývojového a testovacího prostředí a zajistí ochranu používaných testovacích dat,

f) provádí bezpečnostní testování významných změn před jejich zavedením do provozu a

g) plní požadavek podle § 19 odst. 3, je-li cílem provedení akvizice nebo vývoje nástroj pro správu a ověřování identity.

1. detekci a vyhodnocování kybernetických bezpečnostních událostí a incidentů a

(1) Povinná osoba v rámci zvládání kybernetických bezpečnostních událostí a incidentů

c) definuje a aplikuje postupy pro identifikaci, sběr, získání a uchování věrohodných podkladů potřebných pro analýzu kybernetického bezpečnostního incidentu,

b) přidělí odpovědnosti a stanoví postupy pro

a) zavede proces detekce a vyhodnocování kybernetických bezpečnostních událostí a zvládání kybernetických bezpečnostních incidentů,

2. koordinaci a zvládání kybernetických bezpečnostních incidentů,

j) hlásí kybernetické bezpečnostní incidenty podle § 32,

d) zajistí detekci kybernetických bezpečnostních událostí,

e) při detekci kybernetických bezpečnostních událostí se dále řídí § 22 a 23,

f) zajistí, že uživatelé, administrátoři, osoby zastávající bezpečnostní role, další zaměstnanci a dodavatelé budou oznamovat neobvyklé chování informačního a komunikačního systému a podezření na jakékoliv zranitelnosti,

g) zajistí posuzování kybernetických bezpečnostních událostí, při kterém musí být rozhodnuto, zda mají být klasifikovány jako kybernetické bezpečnostní incidenty podle § 31,

h) zajistí zvládání kybernetických bezpečnostních incidentů podle stanovených postupů,

i) přijímá opatření pro odvrácení a zmírnění dopadu kybernetického bezpečnostního incidentu,

k) vede záznamy o kybernetických bezpečnostních incidentech a o jejich zvládání,

l) prošetří a určí příčiny kybernetického bezpečnostního incidentu a

m) vyhodnotí účinnost řešení kybernetického bezpečnostního incidentu a na základě vyhodnocení stanoví nutná bezpečnostní opatření, popřípadě aktualizuje stávající bezpečnostní opatření k zamezení opakování řešeného kybernetického bezpečnostního incidentu.

(2) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona dále při detekci kybernetických bezpečnostních událostí používá nástroj podle § 24.

b) pomocí hodnocení rizik a analýzy dopadů vyhodnotí a dokumentuje možné dopady kybernetických bezpečnostních incidentů a posoudí možná rizika související s ohrožením kontinuity činností,

1. minimální úrovně poskytovaných služeb, která je přijatelná pro užívání, provoz a správu informačního a komunikačního systému,

c) na základě výstupů hodnocení rizik a analýzy dopadů podle písmene b) stanoví cíle řízení kontinuity činností formou určení

a) stanoví práva a povinnosti administrátorů a osob zastávajících bezpečnostní role,

3. bodu obnovení dat jako časové období, za které musí být zpětně obnovena data po kybernetickém bezpečnostním incidentu nebo po selhání,

2. doby obnovení chodu, během které bude po kybernetickém bezpečnostním incidentu obnovena minimální úroveň poskytovaných služeb informačního a komunikačního systému, a

e) vypracuje, aktualizuje a pravidelně testuje plány kontinuity činností a havarijní plány související s provozováním informačního a komunikačního systému a souvisejících služeb a

d) stanoví politiku řízení kontinuity činností, která obsahuje naplnění cílů podle písmene c),

f) realizuje opatření pro zvýšení odolnosti informačního a komunikačního systému vůči kybernetickým bezpečnostním incidentům a omezením dostupnosti a vychází při tom z požadavků podle § 27.

(1) Povinná osoba v rámci auditu kybernetické bezpečnosti

a) provádí a dokumentuje audit dodržování bezpečnostní politiky, včetně přezkoumání technické shody, a výsledky auditu zohlední v plánu rozvoje bezpečnostního povědomí a plánu zvládání rizik a

b) posuzuje soulad bezpečnostních opatření s nejlepší praxí, právními předpisy, vnitřními předpisy, jinými předpisy a smluvními závazky vztahujícími se k informačnímu a komunikačnímu systému a určí případná nápravná opatření pro zajištění souladu.

(2) Audit podle odstavce 1 je prováděn

a) při významných změnách, v rámci jejich rozsahu,

b) v pravidelných intervalech alespoň po 3 letech v případě povinné osoby uvedené v § 3 písm. e) zákona a

c) v pravidelných intervalech alespoň po 2 letech v případě povinné osoby neuvedené v písmenu b).

(3) Není-li v odůvodněných případech možné provést audit v intervalech podle odstavce 2 písm. b) a c) v celém rozsahu, je možné audit provádět průběžně po systematických celcích. V takovém případě je nutno audit v celém rozsahu provést nejpozději do 5 let.

(4) Audit kybernetické bezpečnosti musí být prováděn osobou vyhovující podmínkám stanoveným v § 7 odst. 4, která nezávisle hodnotí správnost a účinnost zavedených bezpečnostních opatření.

(5) Povinná osoba, která je současně provozovatelem, předkládá výsledky auditu kybernetické bezpečnosti správci daného informačního a komunikačního systému.

a) předchází poškození, krádeži nebo zneužití aktiv nebo přerušení poskytování služeb informačního a komunikačního systému,

c) u fyzického bezpečnostního perimetru stanoveného podle písmene b) přijme nezbytná opatření a uplatňuje prostředky fyzické bezpečnosti

3. pro zajištění ochrany na úrovni objektů a v rámci objektů.

2. k zamezení poškození a neoprávněným zásahům a

1. k zamezení neoprávněnému vstupu,

b) stanoví fyzický bezpečnostní perimetr ohraničující oblast, ve které jsou uchovávány a zpracovávány informace a umístěna technická aktiva informačního a komunikačního systému, a

a) zajistí segmentaci komunikační sítě,

b) zajistí řízení komunikace v rámci komunikační sítě a perimetru komunikační sítě,

c) pomocí kryptografie zajistí důvěrnost a integritu dat při vzdáleném přístupu, vzdálené správě nebo při přístupu do komunikační sítě pomocí bezdrátových technologií,

d) aktivně blokuje nežádoucí komunikaci a

e) pro zajištění segmentace sítě a pro řízení komunikace mezi jejími segmenty využívá nástroj, který zajistí ochranu integrity komunikační sítě.

(1) Povinná osoba používá nástroj pro správu a ověření identity uživatelů, administrátorů a aplikací informačního a komunikačního systému.

(2) Nástroj pro správu a ověření identity uživatelů, administrátorů a aplikací zajišťuje

c) odolnost uložených nebo přenášených autentizačních údajů proti neoprávněnému odcizení a zneužití,

a) ověření identity před zahájením aktivit v informačním a komunikačním systému,

b) řízení počtu možných neúspěšných pokusů o přihlášení,

d) ukládání autentizačních údajů ve formě odolné proti offline útokům,

g) centralizovanou správu identit.

f) dodržení důvěrnosti autentizačních údajů při obnově přístupu a

e) opětovné ověření identity po určené době nečinnosti,

(3) Povinná osoba pro ověření identity uživatelů, administrátorů a aplikací využívá autentizační mechanizmus, který není založený pouze na použití identifikátoru účtu a hesla, nýbrž na vícefaktorové autentizaci s nejméně dvěma různými typy faktorů.

(4) Do doby splnění požadavku podle odstavce 3 musí nástroj pro ověření identity uživatelů, administrátorů a aplikací, používat autentizaci pomocí kryptografických klíčů a zaručit obdobnou úroveň bezpečnosti.

c) neomezující použití malých a velkých písmen, číslic a speciálních znaků,

b) umožňující zadat heslo o délce alespoň 64 znaků,

a) délky hesla alespoň

(5) Do doby splnění požadavků podle odstavce 3 nebo 4 musí nástroj pro ověření identity uživatelů, administrátorů a aplikací, který používá k autentizaci identifikátor účtu a heslo, vynucovat pravidla

1. 12 znaků u uživatelů a

2. 17 znaků u administrátorů a aplikací,

3. opětovné použití dříve používaných hesel s pamětí alespoň 12 předchozích hesel a

f) pro povinnou změnu hesla v intervalu maximálně po 18 měsících, přičemž toto pravidlo se nevztahuje na účty sloužící k obnově systému v případě havárie.

e) neumožňující uživatelům a administrátorům

d) umožňující uživatelům změnu hesla, přičemž období mezi dvěma změnami hesla nesmí být kratší než 30 minut,

1. zvolit si nejčastěji používaná hesla,

2. tvořit hesla na základě mnohonásobně opakujících se znaků, přihlašovacího jména, e-mailu, názvu systému nebo obdobným způsobem a

a) vynutí bezodkladnou změnu výchozího hesla po jeho prvním použití,

b) bezodkladně zneplatní heslo sloužící k obnovení přístupu po jeho prvním použití nebo uplynutím nejvýše 60 minut od jeho vytvoření a

c) povinně zahrne pravidla tvorby bezpečných hesel do plánu rozvoje bezpečnostního povědomí podle § 9.

(6) Povinná osoba v případě používání autentizace pouze účtem a heslem dále

a) pro přístup k jednotlivým aktivům informačního a komunikačního systému a

b) pro čtení dat, zápis dat a změnu oprávnění.

(1) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona v rámci ochrany před škodlivým kódem

1. koncových stanic,

a) s ohledem na důležitost aktiv zajišťuje použití nástroje pro nepřetržitou automatickou ochranu

b) monitoruje a řídí používání výměnných zařízení a datových nosičů,

c) řídí automatické spouštění obsahu výměnných zařízení a datových nosičů,

2. mobilních zařízení,

3. serverů,

4. datových úložišť a výměnných datových nosičů,

5. komunikační sítě a prvků komunikační sítě a

6. obdobných zařízení,

d) řídí oprávnění ke spouštění kódu a

e) provádí pravidelnou a účinnou aktualizaci nástroje pro ochranu před škodlivým kódem.

(2) Povinná osoba uvedená v § 3 písm. e) zákona postupuje podle odstavce 1 přiměřeně.

(1) Povinná osoba

a) zaznamenává bezpečnostní a potřebné provozní události důležitých aktiv informačního a komunikačního systému a

b) na základě hodnocení důležitosti aktiv aktualizuje rozsah aktiv, u kterých je zaznamenávání bezpečnostních a provozních událostí prováděno.

(2) Povinná osoba pro zaznamenávání bezpečnostních a provozních událostí podle odstavce 1 zajišťuje

2. typ činnosti,

3. identifikaci technického aktiva, které činnost zaznamenalo,

1. datum a čas včetně specifikace časového pásma,

4. jednoznačnou identifikaci účtu, pod kterým byla činnost provedena,

5. jednoznačnou síťovou identifikaci zařízení původce a

6. úspěšnost nebo neúspěšnost činnosti,

a) jednoznačnou síťovou identifikaci zařízení původce, je-li v komunikační síti použit nástroj, který mění jeho síťovou identifikaci,

b) sběr informací o bezpečnostních a provozních událostech; zejména zaznamenává

c) ochranu informací získaných podle písmen a) a b) před neoprávněným čtením a jakoukoli změnou,

5. činností uživatelů, které mohou mít vliv na bezpečnost informačního a komunikačního systému,

4. neprovedení činností v důsledku nedostatku přístupových práv a oprávnění,

1. přihlašování a odhlašování ke všem účtům, a to včetně neúspěšných pokusů,

2. činností provedených administrátory,

3. úspěšné i neúspěšné manipulace s účty, oprávněními a právy,

d) zaznamenávání

e) synchronizaci jednotného času technických aktiv nejméně jednou za 24 hodin.

8. přístupů k záznamům o událostech, pokusy o manipulaci se záznamy o událostech a změny nastavení nástrojů pro zaznamenávání událostí a

7. kritických i chybových hlášení technických aktiv a

6. zahájení a ukončení činností technických aktiv,

(3) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona uchovává záznamy událostí zaznamenaných podle odstavce 2 nejméně po dobu 18 měsíců.

(4) Povinná osoba uvedená v § 3 písm. e) zákona uchovává záznamy událostí zaznamenaných podle odstavce 2 nejméně po dobu 12 měsíců.

b) ověření a kontrolu přenášených dat na perimetru komunikační sítě a

a) ověření a kontrolu přenášených dat v rámci komunikační sítě a mezi komunikačními sítěmi,

(1) Povinná osoba v rámci komunikační sítě, jejíž součástí je informační a komunikační systém, používá nástroj pro detekci kybernetických bezpečnostních událostí, který zajistí

c) blokování nežádoucí komunikace.

c) serverů,

b) mobilních zařízení,

a) koncových stanic,

(2) Povinná osoba uvedená v § 3 písm. c), d) a f) zákona zajistí detekci kybernetických bezpečnostních událostí přiměřeně s ohledem na důležitost aktiv v rámci

e) síťových aktivních prvků a

f) obdobných aktiv.

d) datových úložišť a výměnných datových nosičů,

a) sběr a vyhodnocování událostí zaznamenaných podle § 22 a 23,

c) poskytování informací pro určené bezpečnostní role o detekovaných kybernetických bezpečnostních událostech,

b) vyhledávání a seskupování souvisejících záznamů,

f) využívání informací získaných nástrojem pro sběr a vyhodnocení kybernetických bezpečnostních událostí pro optimální nastavení bezpečnostních opatření informačního a komunikačního systému.

d) vyhodnocování kybernetických bezpečnostních událostí s cílem identifikace kybernetických bezpečnostních incidentů, včetně včasného varování určených bezpečnostních rolí,

1. vyhodnocování kybernetických bezpečnostních událostí a

2. včasné varování a

e) omezení případů nesprávného vyhodnocení událostí pravidelnou aktualizací nastavení pravidel pro

a) před jejich uvedením do provozu a

(1) Povinná osoba provádí penetrační testy informačního a komunikačního systému se zaměřením na důležitá aktiva, a to

b) v souvislosti s významnou změnou podle § 11 odst. 3.

b) popřením provedených činností.

a) neoprávněnou činností a

(2) Povinná osoba dále v rámci aplikační bezpečnosti zajistí trvalou ochranu aplikací, informací a transakcí před

c) prosazuje bezpečné nakládání s kryptografickými prostředky a

a) používá aktuálně odolné kryptografické algoritmy a kryptografické klíče,

b) používá systém správy klíčů a certifikátů, který

2. umožní kontrolu a audit,

1. zajistí generování, distribuci, ukládání, změny, omezení platnosti, zneplatnění certifikátů a likvidaci klíčů a

d) zohledňuje doporučení v oblasti kryptografických prostředků vydaná Úřadem, zveřejněná na jeho internetových stránkách.

a) dostupnost informačního a komunikačního systému pro splnění cílů podle § 15,

b) odolnost informačního a komunikačního systému vůči kybernetickým bezpečnostním incidentům, které by mohly snížit jeho dostupnost,

c) dostupnost důležitých technických aktiv informačního a komunikačního systému a

d) redundanci aktiv nezbytných pro zajištění dostupnosti informačního a komunikačního systému.

a) použití technických a programových prostředků, které jsou určeny do specifického prostředí,

b) omezení fyzického přístupu k zařízením těchto systémů a ke komunikační síti,

c) vyčlenění komunikační sítě určené pro tyto systémy od ostatní infrastruktury,

f) obnovení chodu těchto systémů po kybernetickém bezpečnostním incidentu.

d) omezení a řízení vzdáleného přístupu k těmto systémům,

e) ochranu jednotlivých technických aktiv těchto systémů před využitím známých zranitelností a

(1) Povinná osoba uvedená v § 3 písm. h) zákona zavede bezpečnostní opatření podle prováděcího nařízení Komise (EU) 2018/151 ze dne 30. ledna 2018, kterým se stanoví pravidla pro uplatňování směrnice Evropského parlamentu a Rady (EU) 2016/1148, pokud jde o bližší upřesnění prvků, které musí poskytovatelé digitálních služeb zohledňovat při řízení bezpečnostních rizik, jimiž jsou vystaveny sítě a informační systémy, a parametrů pro posuzování toho, zda je dopad incidentu významný; ustanovení § 3 až 28 se na tuto povinnou osobu nepoužijí.

(2) Povinná osoba uvedená v § 3 písm. h) zákona hlásí kontaktní údaje podle § 34 odst. 2.

(3) Povinná osoba uvedená v § 3 písm. h) zákona hlásí kybernetické bezpečnostní incidenty podle § 32 odst. 2 a 3.

(1) Povinná osoba

b) pravidelně přezkoumává bezpečnostní politiku a bezpečnostní dokumentaci a

a) stanoví bezpečnostní politiku a vede bezpečnostní dokumentaci zahrnující oblasti uvedené v příloze č. 5,

c) zajistí, aby byla bezpečnostní politika a bezpečnostní dokumentace aktuální.

(2) Bezpečnostní politika a bezpečnostní dokumentace musí být

c) přiměřeně dostupné dotčeným stranám,

b) komunikovány v rámci povinné osoby,

a) dostupné v listinné nebo elektronické podobě,

e) chráněny z pohledu důvěrnosti, integrity a dostupnosti a

d) řízeny,

f) vedeny tak, aby informace v nich obsažené byly úplné, čitelné, snadno identifikovatelné a snadno vyhledatelné.