§ 14 Vyhláška Národního bezpečnostního úřadu o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu – Systémově závislé bezpečnostní požadavky odvozené z analýzy rizik
Vyhláška Národního bezpečnostního úřadu o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátu · 56/1999 Sb. · § 14 · IT právo a ochrana dat
Stručně: Paragraf 14 vyhlášky 56/1999 stanovuje, že pro informační systémy nakládající s utajovanými skutečnostmi je nutné provést analýzu rizik, která identifikuje hrozby a zranitelná místa, a na jejím základě vybrat vhodná protiopatření.
§ 14 Systémově závislé bezpečnostní požadavky odvozené z analýzy rizik
(1) Pro stanovení hrozeb, které ohrožují aktiva informačního systému, musí být provedena analýza rizik.
(2) V rámci provedení analýzy rizik se definují aktiva informačního systému a stanovují se hrozby, které působí na jednotlivá aktiva informačního systému. Posuzují se zejména ohrožení, která způsobují ztrátu funkčnosti nebo zabezpečenosti informačního systému.
(3) Po stanovení hrozeb se určují zranitelná místa informačního systému tak, že ke každé hrozbě se najde zranitelné místo nebo místa, na která tato hrozba působí.
(4) Výsledkem provedené analýzy rizik je seznam hrozeb, které mohou ohrozit informační systém, s uvedením odpovídajícího rizika.
(5) Na základě provedené analýzy rizik se provádí výběr vhodných protiopatření.
Paragraf 14 vyhlášky 56/1999 stanovuje, že pro informační systémy nakládající s utajovanými skutečnostmi je nutné provést analýzu rizik, která identifikuje hrozby a zranitelná místa, a na jejím základě vybrat vhodná protiopatření.
Co to znamená v praxi
Je třeba systematicky zkoumat, co by mohlo ohrozit důležité části informačního systému (aktiva) a jaké hrozby na ně působí, například ztrátu funkčnosti.
Po určení hrozeb se musí najít slabá místa v systému, která by mohly tyto hrozby využít.
Výsledkem celého procesu je seznam rizik, na jehož základě se pak vybírají konkrétní bezpečnostní opatření.
Na co si dát pozor
Analýza rizik musí být provedena pro stanovení hrozeb.
Je nutné definovat aktiva informačního systému a stanovit hrozby, které na ně působí.
Po stanovení hrozeb je třeba určit zranitelná místa.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.