§ 38 Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) – Analýza rizik
Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) · 479/2024 Sb. · § 38 · Ostatní právní předpisy
Stručně: Paragraf 38 vyhlášky 479/2024 definuje, co je analýza rizik v kontextu bezpečnosti informačních a komunikačních systémů nakládajících s utajovanými informacemi, a stanovuje její obsah a požadavky na její přezkum a aktualizaci.
§ 38 Analýza rizik
(1) Pro účely analýzy rizik se rozumí
a) hrozbou potenciální příčina bezpečnostního incidentu,
b) zranitelností slabé místo aktiva systému, které může být využito hrozbou,
c) rizikem kombinace pravděpodobnosti události a jejího následku jako souhrnu možností, že hrozba využije zranitelnost a způsobí škodu.
(2) Analýza rizik vychází z bezpečnostní politiky a u informačního systému i ze stanoveného bezpečnostního provozního módu.
(3) Analýza rizik obsahuje
a) provozovatelem systému stanovenou metodiku pro identifikaci a hodnocení aktiv systému a pro identifikaci a hodnocení rizik včetně stanovených kritérií pro přijatelnost rizik,
b) identifikaci a hodnocení aktiv systému z hlediska hrozeb, zranitelností a dopadů,
c) kvantifikaci rizik, která zohledňuje hrozby, zranitelnosti a dopady,
d) určenou a akceptovatelnou míru rizika a
e) přehled navržených bezpečnostních opatření.
(4) U informačního systému musí být analýza rizik přezkoumávána, vyhodnocována a aktualizována, nejpozději však bezprostředně před podáním opakované žádosti o certifikaci podle § 48.
Paragraf 38 vyhlášky 479/2024 definuje, co je analýza rizik v kontextu bezpečnosti informačních a komunikačních systémů nakládajících s utajovanými informacemi, a stanovuje její obsah a požadavky na její přezkum a aktualizaci.
Co to znamená v praxi
Analýza rizik je klíčovým dokumentem, který pomáhá identifikovat a vyhodnotit potenciální hrozby a slabá místa v systémech nakládajících s utajovanými informacemi.
Musí obsahovat jasně stanovenou metodiku pro hodnocení aktiv, hrozeb, zranitelností a dopadů, včetně kritérií pro přijatelnost rizik.
Výsledkem analýzy je kvantifikace rizik a návrh bezpečnostních opatření, která mají tato rizika snížit na akceptovatelnou úroveň.
U informačních systémů je nutné analýzu rizik pravidelně přezkoumávat, vyhodnocovat a aktualizovat, zejména před podáním žádosti o certifikaci.
Na co si dát pozor
Analýza rizik musí vycházet z bezpečnostní politiky a u informačního systému i ze stanoveného bezpečnostního provozního módu.
Je třeba pečlivě definovat kritéria pro přijatelnost rizik, aby bylo možné určit, která rizika jsou akceptovatelná a která vyžadují další opatření.
Pravidelná aktualizace analýzy rizik je nezbytná pro udržení aktuální úrovně bezpečnosti systému, zejména s ohledem na měnící se hrozby a zranitelnosti.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.