§ 2 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) – Vymezení pojmů
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) · 316/2014 Sb. · § 2 · IT právo a ochrana dat
Stručně: Paragraf 2 vyhlášky 316/2014 definuje klíčové pojmy související s kybernetickou bezpečností, jako jsou systém řízení bezpečnosti informací, aktiva, rizika a hrozby, které se používají v celé vyhlášce.
§ 2 Vymezení pojmů
V této vyhlášce se rozumí
a) systémem řízení bezpečnosti informací část systému řízení orgánu a osoby uvedené v § 3 písm. c) až e) zákona založená na přístupu k rizikům informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému, která stanoví způsob ustavení, zavádění, provoz, monitorování, přezkoumání, udržování a zlepšování bezpečnosti informací,
b) aktivem primární aktivum a podpůrné aktivum,
c) primárním aktivem informace nebo služba, kterou zpracovává nebo poskytuje informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury nebo významný informační systém,
d) podpůrným aktivem technické aktivum, zaměstnanci a dodavatelé podílející se na provozu, rozvoji, správě nebo bezpečnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému,
e) technickým aktivem technické vybavení, komunikační prostředky a programové vybavení informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému a objekty, ve kterých jsou tyto systémy umístěny,
f) rizikem možnost, že určitá hrozba využije zranitelnosti informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému a způsobí poškození aktiva,
g) hodnocením rizik proces, při němž je určována významnost rizik a jejich přijatelná úroveň,
h) řízením rizik činnost zahrnující hodnocení rizik, výběr a zavedení opatření ke zvládání rizik, sdílení informací o riziku a sledování a přezkoumání rizik,
i) hrozbou potencionální příčina kybernetické bezpečnostní události nebo kybernetického bezpečnostního incidentu, jejímž výsledkem může být poškození aktiva,
j) zranitelností slabé místo aktiva nebo bezpečnostního opatření, které může být zneužito jednou nebo více hrozbami,
k) přijatelným rizikem riziko zbývající po uplatnění bezpečnostních opatření, jehož úroveň odpovídá kritériím pro přijatelnost rizik,
l) bezpečnostní politikou soubor zásad a pravidel, které určují způsob zajištění ochrany aktiv orgánem a osobou uvedenou v § 3 písm. c) až e) zákona,
m) garantem aktiva fyzická osoba pověřená orgánem nebo osobou uvedenou v § 3 písm. c) až e) zákona k zajištění rozvoje, použití a bezpečnosti aktiva,
n) uživatelem fyzická nebo právnická osoba anebo orgán veřejné moci, která využívá primární aktiva,
o) administrátorem fyzická osoba pověřená garantem aktiva zajišťující správu, provoz, použití, údržbu a bezpečnost technického aktiva.
ČÁST DRUHÁ
HLAVA I
Paragraf 2 vyhlášky 316/2014 definuje klíčové pojmy související s kybernetickou bezpečností, jako jsou systém řízení bezpečnosti informací, aktiva, rizika a hrozby, které se používají v celé vyhlášce.
Co to znamená v praxi
Pro správné pochopení a aplikaci vyhlášky je nezbytné znát přesný význam pojmů jako „systém řízení bezpečnosti informací“ nebo „aktivum“, které jsou zde definovány.
Definice „rizika“, „hrozby“ a „zranitelnosti“ pomáhají organizacím systematicky identifikovat a vyhodnocovat potenciální nebezpečí pro jejich informační systémy.
Pojmy jako „primární aktivum“ a „podpůrné aktivum“ upřesňují, co všechno je třeba chránit v rámci kybernetické bezpečnosti, od informací a služeb až po technické vybavení a zaměstnance.
Na co si dát pozor
Je důležité rozlišovat mezi „primárním aktivem“ (informace, služby) a „podpůrným aktivem“ (technika, zaměstnanci, dodavatelé), neboť obě kategorie vyžadují ochranu.
Pojem „riziko“ je definován jako možnost, že hrozba využije zranitelnost a způsobí poškození aktiva, což naznačuje, že k riziku dochází pouze při souhře těchto tří prvků.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.