§ 10 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) – Řízení provozu a komunikací
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) · 82/2018 Sb. · § 10 · IT právo a ochrana dat
Stručně: Paragraf 10 vyhlášky o kybernetické bezpečnosti stanovuje povinnosti organizace v oblasti řízení provozu a komunikací informačních a komunikačních systémů, aby byl zajištěn jejich bezpečný chod.
§ 10 Řízení provozu a komunikací
(1) Povinná osoba v rámci řízení provozu a komunikací zajišťuje bezpečný provoz informačního a komunikačního systému a stanoví provozní pravidla a postupy, které obsahují zejména
a) práva a povinnosti administrátorů, uživatelů a osob zastávajících bezpečnostní role,
b) postupy pro spuštění a ukončení chodu systému, pro restart nebo obnovení chodu systému po selhání a pro ošetření chybových stavů nebo mimořádných jevů,
c) postupy pro sledování kybernetických bezpečnostních událostí a opatření pro ochranu přístupu k záznamům o těchto událostech,
d) pravidla a postupy pro ochranu před škodlivým kódem,
e) řízení technických zranitelností,
f) spojení na kontaktní osoby, které jsou pověřeny výkonem systémové a technické podpory,
g) postupy řízení a schvalování provozních změn,
h) postupy pro sledování, plánování a řízení kapacity lidských a technických zdrojů,
i) pravidla a postupy pro ochranu informací a dat v průběhu celého životního cyklu,
j) pravidla a postupy pro instalaci technických aktiv,
k) provádění pravidelného zálohování a kontroly použitelnosti provedených záloh a
l) pravidla a postupy pro zajištění bezpečnosti síťových služeb.
(2) Povinná osoba v rámci řízení provozu a komunikací dodržuje pravidla a postupy stanovené podle odstavce 1 a tato pravidla a postupy aktualizuje v souvislosti s prováděnými nebo plánovanými změnami.
(3) Povinná osoba zajistí oddělení vývojového, testovacího a provozního prostředí.
Paragraf 10 vyhlášky o kybernetické bezpečnosti stanovuje povinnosti organizace v oblasti řízení provozu a komunikací informačních a komunikačních systémů, aby byl zajištěn jejich bezpečný chod.
Co to znamená v praxi
Organizace musí mít jasně definovaná provozní pravidla a postupy pro bezpečný provoz svých IT systémů, včetně rolí a odpovědností zaměstnanců, postupů pro řešení chyb a mimořádných událostí, a ochrany před škodlivým kódem.
Je nutné pravidelně sledovat kybernetické bezpečnostní události a chránit záznamy o nich, stejně jako řídit technické zranitelnosti systémů.
Organizace musí zajistit oddělení vývojového, testovacího a provozního prostředí, aby se předešlo narušení produkčních systémů.
Pravidla a postupy pro řízení provozu a komunikací je třeba dodržovat a pravidelně aktualizovat v souvislosti se změnami.
Na co si dát pozor
Je klíčové mít detailně zpracované a aktuální postupy pro všechny aspekty provozu IT systémů, od spouštění a ukončování systémů, přes zálohování, až po ochranu síťových služeb.
Nezapomeňte na pravidelné kontroly použitelnosti provedených záloh, což je nezbytné pro zajištění obnovitelnosti dat v případě incidentu.
Důsledné oddělení vývojového, testovacího a provozního prostředí je základním bezpečnostním opatřením, které brání přenosu chyb a zranitelností do produkčního prostředí.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.