§ 18 Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) – Bezpečnostní požadavky na bezpečnostní a provozní správu
Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) · 479/2024 Sb. · § 18 · Ostatní právní předpisy
Stručně: Paragraf 18 vyhlášky 479/2024 stanovuje, jak má být uspořádána bezpečnostní a provozní správa systémů nakládajících s utajovanými informacemi, definuje role bezpečnostního a provozního správce a jejich konkrétní úkoly.
§ 18 Bezpečnostní požadavky na bezpečnostní a provozní správu
(1) Popis bezpečnosti systému stanoví vhodnou strukturu bezpečnostní a provozní správy. V rámci struktury bezpečnostní správy zavede provozovatel systému roli bezpečnostního správce odděleně od jiných rolí správy, pokud není dále stanoveno jinak. V rámci struktury provozní správy zavede provozovatel systému roli provozního správce.
(2) Bezpečnostní správce je uživatel v roli pracovníka správy s oprávněními, která mu kromě základního přístupu k poskytovaným službám umožňují i provádění činností k zajištění bezpečnosti systému.
(3) Provozní správce je uživatel v roli pracovníka správy s oprávněními, která mu kromě základního přístupu k poskytovaným službám umožňují i provádění činností k zajištění požadované funkčnosti systému a řízení jeho provozu.
(4) V případě potřeby zajistit stanovený rozsah činností k zajištění bezpečnosti nebo provozuschopnosti systému zavede provozovatel systému organizační strukturu bezpečnostních nebo provozních správců nebo další role v bezpečnostní nebo provozní správě.
(5) Výkon bezpečnostní správy spočívá v
a) přidělování přístupových práv,
b) správě autentizačních a autorizačních informací,
c) správě konfigurace systému,
d) správě a vyhodnocování auditních záznamů,
e) aktualizaci bezpečnostní dokumentace,
f) vedení příslušných evidencí,
g) řešení bezpečnostních incidentů a krizových situací a vypracování zpráv o nich,
h) zajištění školení uživatelů v oblasti bezpečnosti,
i) kontrole dodržování bezpečnostních opatření a
j) dalších činnostech stanovených v bezpečnostní dokumentaci.
(6) Výkon provozní správy spočívá v provádění činností k zajištění provozuschopnosti systému a v dalších činnostech stanovených v bezpečnostní dokumentaci.
(7) V odůvodněných případech lze v popisu bezpečnosti systému sloučit některé role bezpečnostní a provozní správy.
Paragraf 18 vyhlášky 479/2024 stanovuje, jak má být uspořádána bezpečnostní a provozní správa systémů nakládajících s utajovanými informacemi, definuje role bezpečnostního a provozního správce a jejich konkrétní úkoly.
Co to znamená v praxi
Provozovatel systému musí jasně oddělit roli bezpečnostního správce od jiných rolí správy, aby zajistil nezávislost a objektivitu při dohledu nad bezpečností.
Bezpečnostní správce má za úkol chránit systém, například přidělováním přístupových práv, správou konfigurace a řešením bezpečnostních incidentů.
Provozní správce se stará o to, aby systém fungoval, jak má, a řídí jeho provoz.
V případě potřeby lze vytvořit více bezpečnostních nebo provozních správců, nebo zavést další role, aby se zajistil dostatečný rozsah činností.
Na co si dát pozor
V odůvodněných případech je možné sloučit některé role bezpečnostní a provozní správy, ale toto sloučení musí být popsáno v popisu bezpečnosti systému.
Popis bezpečnosti systému musí stanovit vhodnou strukturu bezpečnostní a provozní správy.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.