§ 20 Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) – Bezpečnostní požadavky na činnost subjektu systému
Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) · 479/2024 Sb. · § 20 · Ostatní právní předpisy
Stručně: Paragraf 20 vyhlášky 479/2024 stanovuje, že činnosti v rámci systému musí probíhat podle předem popsaných postupů v provozní bezpečnostní směrnici a že veškeré informace o těchto činnostech musí být zaznamenávány tak, aby bylo možné odhalit narušení bezpečnosti nebo pokusy o ně.
§ 20 Bezpečnostní požadavky na činnost subjektu systému
(1) Činnost subjektu systému lze provádět pouze postupy popsanými v provozní bezpečnostní směrnici.
(2) Informace o činnosti subjektu systému se v auditním záznamu zaznamenává tak, aby bylo možno identifikovat narušení bezpečnosti systému nebo pokusy o ně.
Paragraf 20 vyhlášky 479/2024 stanovuje, že činnosti v rámci systému musí probíhat podle předem popsaných postupů v provozní bezpečnostní směrnici a že veškeré informace o těchto činnostech musí být zaznamenávány tak, aby bylo možné odhalit narušení bezpečnosti nebo pokusy o ně.
Co to znamená v praxi
Všechny úkony prováděné v systému musí být popsány v dokumentu zvaném provozní bezpečnostní směrnice a musí se podle ní přesně postupovat.
Každá činnost v systému musí být zaznamenána (auditní záznam), aby bylo možné zpětně zjistit, co se dělo.
Záznamy musí být dostatečně podrobné, aby z nich bylo patrné, zda došlo k narušení bezpečnosti nebo k pokusu o něj.
Na co si dát pozor
Je nutné mít vypracovanou a aktuální provozní bezpečnostní směrnici, která podrobně popisuje všechny relevantní postupy.
Systém musí být nastaven tak, aby automaticky nebo manuálně vytvářel auditní záznamy o všech činnostech.
Auditní záznamy musí být pravidelně kontrolovány a vyhodnocovány, aby bylo možné včas odhalit bezpečnostní incidenty.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.