§ 8 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) – Řízení aktiv
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) · 316/2014 Sb. · § 8 · IT právo a ochrana dat
Stručně: Paragraf 8 vyhlášky o kybernetické bezpečnosti stanovuje povinnosti pro orgány a osoby v oblasti řízení aktiv, tedy jak mají identifikovat, evidovat, hodnotit a chránit svá primární a podpůrná aktiva.
§ 8 Řízení aktiv
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona v rámci řízení aktiv
a) identifikuje a eviduje primární aktiva,
b) určí garanty aktiv, kteří jsou odpovědní za primární aktiva, a
c) hodnotí důležitost primárních aktiv z hlediska důvěrnosti, integrity a dostupnosti a zařadí je do jednotlivých úrovní minimálně v rozsahu podle přílohy č. 1 k této vyhlášce.
(2) Při hodnocení důležitosti primárních aktiv je třeba především posoudit
a) rozsah a důležitost osobních údajů nebo obchodního tajemství,
b) rozsah dotčených právních povinností nebo jiných závazků,
c) rozsah narušení vnitřních řídících a kontrolních činností,
d) poškození veřejných, obchodních nebo ekonomických zájmů,
e) možné finanční ztráty,
f) rozsah narušení běžných činností orgánu a osoby uvedené v § 3 písm. c) až e) zákona,
g) dopady spojené s narušením důvěrnosti, integrity a dostupnosti a
h) dopady na zachování dobrého jména nebo ochranu dobré pověsti.
(3) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále
a) identifikuje a eviduje podpůrná aktiva,
b) určí garanty aktiv, kteří jsou odpovědní za podpůrná aktiva, a
c) určí vazby mezi primárními a podpůrnými aktivy a hodnotí důsledky závislostí mezi primárními a podpůrnými aktivy.
(4) Orgán a osoba uvedená v § 3 písm. c) až e) zákona dále
a) stanoví pravidla ochrany, nutná pro zabezpečení jednotlivých úrovní aktiv tím, že
1. určí způsoby rozlišování jednotlivých úrovní aktiv,
2. stanoví pravidla pro manipulaci a evidenci s aktivy podle úrovní aktiv, včetně pravidel pro bezpečné elektronické sdílení a fyzické přenášení aktiv a
3. stanoví přípustné způsoby používání aktiv,
b) zavede pravidla ochrany odpovídající úrovni aktiv a
c) určí způsoby pro spolehlivé smazání nebo ničení technických nosičů dat s ohledem na úroveň aktiv.
Paragraf 8 vyhlášky o kybernetické bezpečnosti stanovuje povinnosti pro orgány a osoby v oblasti řízení aktiv, tedy jak mají identifikovat, evidovat, hodnotit a chránit svá primární a podpůrná aktiva.
Co to znamená v praxi
Identifikace a evidence aktiv: Subjekty musí přesně vědět, jaká primární aktiva (např. data, informační systémy) a podpůrná aktiva (např. hardware, software) vlastní a používají.
Určení odpovědnosti: Ke každému aktivu musí být přiřazen garant, který je za dané aktivum odpovědný a dohlíží na jeho ochranu.
Hodnocení důležitosti: Aktiva se hodnotí z hlediska jejich důvěrnosti, integrity a dostupnosti, přičemž se zohledňují faktory jako osobní údaje, obchodní tajemství, právní závazky, finanční ztráty nebo dopady na pověst. Na základě tohoto hodnocení jsou aktiva zařazena do různých úrovní důležitosti.
Stanovení pravidel ochrany: Pro každou úroveň aktiv musí být stanovena specifická pravidla pro jejich ochranu, manipulaci, evidenci, sdílení, přenášení a bezpečné mazání či ničení.
Na co si dát pozor
Při hodnocení důležitosti aktiv je nutné zohlednit širokou škálu dopadů, nejen ty finanční, ale i právní, reputační nebo provozní.
Pravidla ochrany musí být detailně rozpracována pro různé úrovně aktiv a musí zahrnovat jak elektronické, tak fyzické aspekty manipulace s daty a nosiči.
Je třeba zajistit, aby garant aktiv skutečně nesl odpovědnost a měl potřebné pravomoci k zajištění ochrany svěřených aktiv.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.