§ 11 Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor – Systémově závislé bezpečnostní požadavky odvozené z analýzy rizik
Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o certifikaci stínicích komor · 523/2005 Sb. · § 11 · Ostatní právní předpisy
Stručně: Paragraf 11 vyhlášky 523/2005 stanovuje, že pro informační systémy nakládající s utajovanými informacemi je nutné provést analýzu rizik, která identifikuje hrozby a zranitelná místa, a na jejím základě vybrat vhodná protiopatření.
§ 11 Systémově závislé bezpečnostní požadavky odvozené z analýzy rizik
(1) Pro stanovení hrozeb, které ohrožují aktiva informačního systému, musí být provedena analýza rizik.
(2) V rámci provedení analýzy rizik se vymezují aktiva informačního systému a hrozby, které působí na jednotlivá aktiva informačního systému. Posuzují se zejména hrozby, které způsobují ztrátu funkčnosti nebo bezpečnosti informačního systému.
(3) Po stanovení hrozeb se vymezují zranitelná místa informačního systému tak, že ke každé hrozbě se najde zranitelné místo nebo místa, na která tato hrozba působí.
(4) Výsledkem provedené analýzy rizik je seznam hrozeb, které mohou ohrozit informační systém, s uvedením odpovídajícího rizika.
(5) Na základě provedené analýzy rizik se provádí výběr vhodných protiopatření a určují se zbytková rizika a jejich úroveň, přičemž se dbá na to, aby byly implementovány pouze funkce, zařízení a služby, které jsou nezbytné pro splnění účelu, pro který je informační systém zřizován.
Paragraf 11 vyhlášky 523/2005 stanovuje, že pro informační systémy nakládající s utajovanými informacemi je nutné provést analýzu rizik, která identifikuje hrozby a zranitelná místa, a na jejím základě vybrat vhodná protiopatření.
Co to znamená v praxi
Musíte systematicky zjistit, co by mohlo ohrozit váš informační systém a jeho data, a jaké slabiny systém má.
Je třeba posoudit, jaké hrozby by mohly způsobit, že systém přestane fungovat nebo nebude bezpečný.
Na základě zjištěných rizik je nutné zvolit konkrétní bezpečnostní opatření a zároveň zajistit, aby systém obsahoval jen ty funkce a zařízení, které jsou pro jeho účel nezbytné.
Výsledkem celého procesu je přehled hrozeb a s nimi spojených rizik, což slouží jako podklad pro rozhodování o bezpečnosti.
Na co si dát pozor
Analýza rizik musí být provedena pečlivě, protože na jejím základě se vybírají bezpečnostní opatření.
Při výběru protiopatření je důležité dbát na to, aby byly implementovány pouze nezbytné funkce, zařízení a služby.
Je nutné vnímat, že i po zavedení protiopatření zůstanou určitá zbytková rizika, která je třeba znát a posoudit jejich úroveň.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.