BEZPEČNOSTNÍ OPATŘENÍ

(1) Povinná osoba při zajišťování kybernetické bezpečnosti

(2) Povinná osoba

(3) Povinná osoba v rámci řízení bezpečnostní politiky a bezpečnostní dokumentace

(4) Povinná osoba v rámci řízení aktiv stanoví pravidla pro používání a manipulaci technických aktiv.

(5) Povinná osoba při uzavírání smlouvy s dodavatelem do stanoveného rozsahu podle § 12 zákona zohlední hrozby a zranitelnosti spojené s tímto dodavatelem, celkovou kvalitu produktů a postupů v oblasti kybernetické bezpečnosti tohoto dodavatele, včetně postupů bezpečného vývoje a na základě toho zajistí, aby smlouvy s tímto dodavatelem obsahovaly relevantní požadavky na smluvní ujednaní uvedené v příloze č. 2 k této vyhlášce.

(6) Povinná osoba v souvislosti s plánovanou akvizicí, vývojem a údržbou technických aktiv stanoví bezpečnostní požadavky v oblasti kybernetické bezpečnosti a vymáhá jejich dodržování, přičemž vychází z požadavků na bezpečnostní opatření podle této vyhlášky.

(1) Povinná osoba v rámci bezpečnosti lidských zdrojů

(2) Povinná osoba v souladu s pravidly rozvoje bezpečnostního povědomí zajistí

(3) Povinná osoba vede přehledy o provedených školeních a seznamy školených osob podle odstavce 2.

(1) Povinná osoba řídí přístup k aktivům a v rámci něj

(2) Povinná osoba v rámci zajištění fyzické bezpečnosti zamezí neoprávněnému přístupu ke svým aktivům a předchází poškození, odcizení, zneužití aktiv, neoprávněným zásahům do nich a narušení bezpečnosti poskytování regulované služby.

(1) Povinná osoba pro řízení identit, přístupových práv a oprávnění používá nástroj, který zajišťuje

(2) Povinná osoba pro ověření identity administrátorů, uživatelů a technických aktiv využívá autentizační mechanismus, který je založený na vícefaktorové autentizaci s alespoň dvěma různými typy faktorů, nebo využívá autentizační mechanismus, který je založen na aktuálně odolné kontinuální autentizaci založené na modelu nulové důvěry.

(3) Povinná osoba do doby využívání autentizačního mechanismu podle odstavce 2 využívá autentizaci pomocí kryptografických klíčů nebo certifikátů.

(4) Povinná osoba do doby využívání autentizačního mechanismu podle odstavce 3 využívá nástroj založený na autentizaci pomocí identifikátoru účtu a hesla, kdy tento nástroj musí vynucovat pravidla

(5) Povinná osoba při řízení identit dále zajistí

(1) Povinná osoba při detekci kybernetických bezpečnostních událostí zajistí

(2) Povinná osoba za účelem detekce kybernetických bezpečnostních událostí zaznamenává

(3) Povinná osoba uchovává záznamy bezpečnostních a relevantních provozních událostí po dobu, kterou si stanoví na základě svých bezpečnostních potřeb.

(1) Povinná osoba při zajištění bezpečnosti technických aktiv a jejich komunikace

(2) Povinná osoba zajišťuje bezpečnou

a) zavede a provádí bezpečnostní opatření, která jsou přiměřená bezpečnostním potřebám, a

b) zavede a provádí alespoň bezpečnostní opatření podle odstavců 2 až 6, § 4 až 6 a § 10.

a) stanoví přehled bezpečnostních opatření podle přílohy č. 1 k této vyhlášce, který obsahuje přehled všech bezpečnostních opatření, která

1. byla povinnou osobou zavedena, včetně popisu jejich zavedení,

3. nebyla zavedena, včetně odůvodnění jejich nezavedení,

2. budou povinnou osobou zavedena, včetně termínů pro jejich zavedení, priority jejich zavedení a určení osoby odpovědné za jejich zavedení, a

b) provede a dokumentuje alespoň jednou ročně aktualizaci přehledu bezpečnostních opatření, včetně vyhodnocení účinnosti zavedených bezpečnostních opatření,

c) uchovává jednotlivé přehledy bezpečnostních opatření a jejich aktualizace alespoň po dobu 4 let.

a) stanoví bezpečnostní politiku a bezpečnostní dokumentaci k bezpečnostním opatřením požadovaným touto vyhláškou,

b) pravidelně přezkoumává a aktualizuje pravidla a postupy stanovené v bezpečnostní politice a bezpečnostní dokumentaci a

c) vynucuje dodržování pravidel a postupů stanovených v bezpečnostní politice a bezpečnostní dokumentaci.

a) určí osobu pověřenou kybernetickou bezpečností, které svěří pravomoci potřebné k řízení a rozvoji kybernetické bezpečnosti, dohledu nad stavem kybernetické bezpečnosti a komunikaci s vrcholným vedením, přičemž pro výkon této činnosti

1. absolvuje bez zbytečného odkladu odborné školení podle § 5 odst. 2 písm. d), nebo

2. prokáže odbornou znalost v kybernetické bezpečnosti,

b) absolvuje prokazatelně školení podle § 5 odst. 2 písm. a),

c) zajistí dostupnost zdrojů potřebných pro zajišťování kybernetické bezpečnosti v souladu s přehledem bezpečnostních opatření,

d) se prokazatelně seznamuje se stavem plnění bezpečnostních opatření uvedeným v přehledu bezpečnostních opatření podle § 3 odst. 2 písm. a),

e) prosazuje neustálé zlepšování zajišťování kybernetické bezpečnosti a za tímto účelem podporuje osobu pověřenou kybernetickou bezpečností a jiné relevantní osoby a

f) stanoví prioritu obnovy primárních aktiv.

a) stanoví politiku bezpečného chování uživatelů, v jejímž rámci zohledňuje relevantní témata uvedená v příloze č. 3 k této vyhlášce,

b) stanoví pravidla rozvoje bezpečnostního povědomí vrcholného vedení, uživatelů, administrátorů a osoby pověřené kybernetickou bezpečností, včetně pravidel pro tvorbu hesel,

c) zajistí kontrolu dodržování bezpečnostní politiky ze strany uživatelů, administrátorů a osoby pověřené kybernetickou bezpečností a

d) stanoví pravidla a postupy pro řešení případů porušení bezpečnostní politiky.

a) poučení vrcholného vedení o jeho povinnostech a o bezpečnostní politice, zejména v oblasti zajišťování kybernetické bezpečnosti, formou vstupních a pravidelných školení,

b) vstupní školení v oblasti kybernetické bezpečnosti,

c) pravidelná školení v oblasti kybernetické bezpečnosti a

d) potřebná odborná teoretická i praktická školení administrátorů a osoby pověřené kybernetickou bezpečností v souladu s jejich pracovní náplní.

a) stanoví prioritu technických aktiv, pořadí a postupy jejich obnovy a zohlední přitom stanovenou prioritu relevantního primárního aktiva podle § 4 písm. f),

b) stanoví povinnosti a odpovědnost konkrétních osob za jednotlivé činnosti pro zajištění kontinuity činností a k obnově podle písmene a) a

c) vytváří pravidelné zálohy informací, dat, konfigurací a nastavení technických aktiv nezbytných zejména pro účely obnovy regulované služby pro případ kybernetického bezpečnostního incidentu.

a) přidělí každému uživateli a administrátorovi přistupujícímu k aktivům přístupová práva a oprávnění na úroveň nezbytně nutnou k výkonu jejich práce a jedinečný identifikátor daného typu účtu, přičemž od sebe odděluje uživatelské a administrátorské účty jedné osoby,

b) řídí identifikátory, přístupová práva a oprávnění účtů technických aktiv,

c) zavádí bezpečnostní opatření potřebná pro bezpečné používání mobilních zařízení a jiných obdobných technických aktiv, popřípadě i bezpečnostní opatření spojená s využitím technických aktiv, která povinná osoba nemá ve své správě,

d) provádí pravidelné přezkoumání nastavení veškerých přístupových práv a oprávnění,

e) zajistí bezodkladné odebrání nebo změnu přístupových práv a oprávnění při změně pozice nebo zařazení uživatelů nebo administrátorů a

f) zajistí deaktivaci účtu a bezodkladné odebrání nebo změnu přístupových práv a oprávnění při ukončení nebo změně smluvního vztahu, na jehož základě došlo ke zřízení přístupu k aktivům.

a) řízení počtu možných neúspěšných pokusů o přihlášení,

b) opětovné ověření identity po stanovené době nečinnosti,

c) odolnost uložených a přenášených autentizačních údajů a

d) řízení přístupových práv, oprávnění pro čtení a zápis informací a dat a změnu oprávnění.

2. 17 znaků pro účty administrátorů,

3. 22 znaků pro účty technických aktiv,

a) délky hesla alespoň

1. 12 znaků pro účty uživatelů,

b) bezodkladné změny výchozího hesla pro ověření identity technických aktiv, přičemž nové heslo musí být vytvořeno náhodným řetězcem složeným z malých a velkých písmen, číslic a speciálních znaků,

c) neomezující použití malých a velkých písmen, číslic a speciálních znaků,

d) povinné změny hesla v intervalu alespoň jednou za 18 měsíců a

1. zvolit si jednoduchá a často používaná hesla,

3. opětovného použití dříve používaných hesel s pamětí alespoň 12 předchozích hesel.

2. tvořit hesla na základě mnohonásobně opakujících se znaků, přihlašovacích jmen, adres elektronické pošty, názvů systémů nebo obdobným způsobem a

e) neumožňující uživatelům a administrátorům

a) důvěrnost při vytváření výchozích autentizačních údajů a při obnově přístupu,

b) změnu výchozího hesla nebo hesla sloužícího k obnově přístupu po jeho prvním použití,

c) zneplatnění hesla nebo identifikátoru sloužícího k obnově přístupu nejpozději do 24 hodin od jeho vytvoření,

d) bezodkladnou změnu přístupového hesla v případě důvodného podezření na jeho kompromitaci a

e) zabezpečení administrátorských účtů technických aktiv zejména určených pro případ obnovy po kybernetickém bezpečnostním incidentu a využívá tyto účty pouze v nezbytně nutných případech.

a) ověření a kontrolu přenášených dat na perimetru komunikační sítě, včetně blokování nežádoucí komunikace,

2. koncových stanicích,

b) použití nástroje pro nepřetržitou a automatickou ochranu před škodlivým kódem na technických aktivech, zejména na

1. serverech a

c) řízení automatického spouštění obsahu, zejména u vyměnitelných zařízení a datových nosičů,

d) nepřetržité poskytování informací o relevantních detekovaných kybernetických bezpečnostních událostech a včasné varování relevantních osob a

e) pravidelnou a bezodkladnou aktualizaci nástrojů pro nepřetržitou a automatickou ochranu před škodlivým kódem a dalších detekčních nástrojů a jejich pravidel.

a) bezpečnostní a relevantní provozní události detekované podle odstavce 1 a bezpečnostní a relevantní provozní události technických aktiv na základě svých bezpečnostních potřeb a

2. typ činnosti,

3. jednoznačnou identifikaci technického aktiva a identifikaci účtu původce a

b) u událostí podle písmene a) následující informace o události:

1. datum a čas, včetně specifikace časového pásma,

4. úspěšnost nebo neúspěšnost činnosti.

a) zajistí, že uživatelé, administrátoři, osoby pověřené kybernetickou bezpečností a další zaměstnanci budou oznamovat neobvyklé chování technických aktiv a podezření na jakékoliv zranitelnosti,

b) vytvoří metodiku pro posuzování kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů, včetně posuzování významnosti dopadu kybernetického bezpečnostního incidentu v souladu s § 14,

c) zajistí detekci kybernetických bezpečnostních událostí,

d) zajistí posuzování kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů v souladu s metodikou podle písmene b),

e) zajistí hlášení kybernetického bezpečnostního incidentu s významným dopadem podle § 15 zákona,

f) zajistí vytvoření závěrečné zprávy o vyřešení kybernetického bezpečnostního incidentu s významným dopadem podle § 16 zákona.

a) zajistí segmentaci komunikační sítě, včetně oddělení provozního a zálohovacího prostředí,

b) omezí odchozí a příchozí komunikaci na perimetru komunikační sítě na dobu nezbytně nutnou pro řádné zajištění poskytování regulované služby,

c) užívá aktuálně odolné a bezpečné komunikační protokoly,

3. má přehled o uživatelích a administrátorech, kteří tato vzdálená připojení nebo vzdálenou správu užívají.

1. omezí tato připojení na nezbytně nutná,

d) v případě užití vzdáleného připojení do interní komunikační sítě nebo vzdálené správy technických aktiv regulované služby

2. zavede bezpečnostní opatření, která zajistí důvěrnost a integritu těchto vzdálených připojení a vzdálené správy, a

a) zajistí bezodkladné aplikování schválených bezpečnostních aktualizací vydaných pro technická aktiva,

b) u technických aktiv, která již nejsou výrobcem, dodavatelem nebo jinou osobou podporována

3. omezí jejich komunikaci v komunikační síti na nezbytně nutnou,

2. zavede bezpečnostní opatření, která zaručí obdobnou nebo vyšší úroveň bezpečnosti, a

1. vede jejich evidenci,

c) provádí pravidelné skenování zranitelností relevantních technických aktiv a aplikuje přiměřená bezpečnostní opatření na základě zjištěných výsledků.

a) používá aktuálně odolné kryptografické algoritmy,

b) prosazuje bezpečné nakládání s kryptografickými algoritmy a

c) zohledňuje doporučení a metodiky v oblasti kryptografických algoritmů vydané Národním úřadem pro kybernetickou a informační bezpečnost.

a) hlasovou, audiovizuální a textovou komunikaci, a to včetně e-mailové komunikace, a

b) nouzovou komunikaci v rámci organizace.