§ 10 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) – Řízení provozu a komunikací

§ 10 Řízení provozu a komunikací (1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona v rámci řízení provozu a komunikací pomocí technických nástrojů uvedených v § 21 až 23 detekuje kybernetické bezpečnostní události, pravidelně vyhodnocuje získané informace a na zjištěné nedostatky reaguje v souladu s § 13. (2) Orgán a osoba uvedená v § 3 písm. c) až e) zákona v rámci řízení provozu a komunikací dále zajišťuje bezpečný provoz informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury a významného informačního systému. Za tímto účelem stanoví provozní pravidla a postupy. (3) Provozní pravidla a postupy orgánu a osoby uvedené v § 3 písm. c) a d) zákona obsahují a) práva a povinnosti osob zastávajících bezpečnostní role, administrátorů a uživatelů, b) postupy pro spuštění a ukončení chodu systému, pro restart nebo obnovení chodu systému po selhání a pro ošetření chybových stavů nebo mimořádných jevů, c) postupy pro sledování kybernetických bezpečnostních událostí a pro ochranu přístupu k záznamům o těchto činnostech, d) spojení na kontaktní osoby, které jsou určeny jako podpora při řešení neočekávaných systémových nebo technických potíží, e) postupy řízení a schvalování provozních změn a f) postupy pro sledování, plánování a řízení kapacity lidských a technických zdrojů. (4) Řízení provozu orgánu a osoby uvedené v § 3 písm. c) až e) zákona spočívá v provádění pravidelného zálohování a prověřování použitelnosti provedených záloh. (5) Řízení provozu orgánu a osoby uvedené v § 3 písm. c) a d) zákona spočívá v a) zajištění oddělení vývojového, testovacího a produkčního prostředí, b) řešení reaktivních opatření vydaných Úřadem tím, že orgán a osoba uvedená v § 3 písm. c) a d) zákona 1. posoudí očekávané dopady reaktivního opatření na informační systém kritické informační infrastruktury nebo komunikační systém kritické informační infrastruktury a na zavedená bezpečnostní opatření, vyhodnotí možné negativní účinky a bez zbytečného odkladu je oznámí Úřadu a 2. stanoví způsob rychlého provedení reaktivního opatření, který minimalizuje možné negativní účinky, a určí časový plán jeho provedení. (6) Orgán a osoba uvedená v § 3 písm. c) a d) zákona v rámci řízení komunikací a) zajišťuje bezpečnost a integritu komunikačních sítí a bezpečnost komunikačních služeb podle § 17, b) určí pravidla a postupy pro ochranu informací, které jsou přenášeny komunikačními sítěmi, c) provádí výměnu a předávání informací na základě pravidel stanovených právními předpisy za současného zajištění bezpečnosti informací a tato pravidla dokumentuje a d) s ohledem na klasifikaci aktiv provádí výměnu a předávání informací na základě písemných smluv, jejíchž součástí je ustanovení o bezpečnosti informací.