§ 4 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) – Řízení aktiv
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) · 82/2018 Sb. · § 4 · IT právo a ochrana dat
Stručně: Paragraf 4 vyhlášky o kybernetické bezpečnosti stanovuje povinnosti pro tzv. „povinnou osobu“ v oblasti řízení aktiv, tedy všeho, co je pro ni v kybernetické bezpečnosti cenné. Musí aktiva identifikovat, hodnotit jejich důležitost a zavést pravidla pro jejich ochranu a nakládání s nimi.
§ 4 Řízení aktiv
(1) Povinná osoba v rámci řízení aktiv
a) stanoví metodiku pro identifikaci aktiv,
b) stanoví metodiku pro hodnocení aktiv alespoň v rozsahu uvedeném v příloze č. 1 k této vyhlášce,
c) identifikuje a eviduje aktiva,
d) určí a eviduje garanty aktiv,
e) hodnotí a eviduje primární aktiva z hlediska důvěrnosti, integrity a dostupnosti a zařadí je do jednotlivých úrovní podle písmene b),
f) určí a eviduje vazby mezi primárními a podpůrnými aktivy a hodnotí důsledky závislostí mezi primárními a podpůrnými aktivy,
g) hodnotí podpůrná aktiva a zohledňuje přitom zejména vzájemné závislosti podle písmene f),
h) na základě hodnocení aktiv stanovuje a zavádí pravidla ochrany nutná pro zabezpečení jednotlivých úrovní aktiv,
i) stanoví přípustné způsoby používání aktiv a pravidla pro manipulaci s aktivy s ohledem na úroveň aktiv, včetně pravidel pro bezpečné elektronické sdílení a fyzické přenášení aktiv, a
j) určí způsob likvidace dat, provozních údajů, informací a jejich kopií nebo likvidaci technických nosičů dat s ohledem na úroveň aktiv v souladu s přílohou č. 4 k této vyhlášce.
(2) Při hodnocení důležitosti primárních aktiv je třeba posoudit alespoň
a) rozsah a důležitost osobních údajů, zvláštních kategorií osobních údajů nebo obchodního tajemství,
b) rozsah dotčených právních povinností nebo jiných závazků,
c) rozsah narušení vnitřních řídicích a kontrolních činností,
d) poškození veřejných, obchodních nebo ekonomických zájmů a možné finanční ztráty,
e) dopady na poskytování důležitých služeb,
f) rozsah narušení běžných činností,
g) dopady na zachování dobrého jména nebo ochranu dobré pověsti,
h) dopady na bezpečnost a zdraví osob,
i) dopady na mezinárodní vztahy a
j) dopady na uživatele informačního a komunikačního systému.
Paragraf 4 vyhlášky o kybernetické bezpečnosti stanovuje povinnosti pro tzv. „povinnou osobu“ v oblasti řízení aktiv, tedy všeho, co je pro ni v kybernetické bezpečnosti cenné. Musí aktiva identifikovat, hodnotit jejich důležitost a zavést pravidla pro jejich ochranu a nakládání s nimi.
Co to znamená v praxi
Povinná osoba musí mít jasně stanovený postup (metodiku) pro to, jak bude identifikovat a hodnotit svá aktiva, a to minimálně v rozsahu stanoveném v příloze č. 1 vyhlášky.
Musí vést evidenci všech svých aktiv, určit pro ně garanty (osoby zodpovědné za dané aktivum) a hodnotit primární aktiva z hlediska důvěrnosti, integrity a dostupnosti.
Na základě hodnocení aktiv je nutné stanovit a zavést konkrétní pravidla ochrany a způsoby používání, sdílení a přenášení aktiv, a to s ohledem na jejich důležitost.
Povinná osoba musí také určit, jakým způsobem budou data, provozní údaje a jejich kopie, nebo technické nosiče dat, bezpečně likvidovány, opět s ohledem na úroveň důležitosti aktiv.
Na co si dát pozor
Při hodnocení důležitosti primárních aktiv je nutné posoudit širokou škálu dopadů, například na osobní údaje, obchodní tajemství, právní povinnosti, finanční ztráty, poskytování služeb, pověst, bezpečnost osob či mezinárodní vztahy.
Je důležité správně identifikovat a evidovat vazby mezi primárními a podpůrnými aktivy a zohlednit důsledky těchto závislostí při hodnocení podpůrných aktiv.
Pravidla pro manipulaci s aktivy musí zahrnovat jak bezpečné elektronické sdílení, tak i fyzické přenášení, a musí být v souladu s úrovní důležitosti daného aktiva.
Provozuje Eucalypt 4 s.r.o., IČO 22103741, Jičínská 226/17, Praha 3 (kontakt). Zdroj dat: e-Sbírka / justice.cz (oficiální). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.