§ 35 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) – ÚČINNOST

§ 35 ÚČINNOST Tato vyhláška nabývá účinnosti dnem 1. ledna 2015. Ředitel: Ing. Navrátil v. r. Příloha č. 1 k vyhlášce č. 316/2014 Sb. Pro hodnocení důležitosti aktiv jsou použity stupnice o čtyřech úrovních. Orgán nebo osoba uvedená v § 3 písm. c) až e) zákona může používat odlišný počet úrovní pro hodnocení důležitosti aktiv, než jaký je uveden v této příloze, dodrží-li jednoznačné vazby mezi jí používaným způsobem hodnocení důležitosti aktiv a stupnicemi a úrovněmi pro hodnocení důležitosti aktiv, které jsou uvedeny v této příloze. V případě použití tří úrovní hodnocení důležitosti aktiv je přípustné sloučit buď úrovně nízká a střední, nebo úrovně vysoká a kritická. ÚroveňPopisOchranaNízkáAktiva jsou veřejně přístupná nebo byla určena ke zveřejnění (např. na základě zákona č. 106/1999 Sb. o svobodném přístupu k informacím, ve znění pozdějších předpisů). Narušení důvěrnosti aktiv neohrožuje oprávněné zájmy orgánu a osoby uvedené v § 3 písm. c) až e) zákona.Není vyžadována žádná ochrana.StředníAktiva nejsou veřejně přístupná a tvoří know-how orgánu a osoby uvedené v § 3 písm. c) až e) zákona, ochrana aktiv není vyžadována žádným právním předpisem nebo smluvním ujednáním.Pro ochranu důvěrnosti jsou využívány prostředky pro řízení přístupu.VysokáAktiva nejsou veřejně přístupná a jejich ochrana je vyžadována právními předpisy, jinými předpisy nebo smluvními ujednáními (např. obchodní tajemství podle zákona č. 89/2012 Sb., občanský zákoník, osobní údaje podle zákona č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů).Pro ochranu důvěrnosti jsou využívány prostředky, které zajistí řízení a zaznamenávání přístupu. Přenosy informací vnější komunikační sítí jsou chráněny pomocí kryptografických prostředků.KritickáAktiva nejsou veřejně přístupná a vyžadují nadstandardní míru ochrany nad rámec předchozí kategorie (např. strategické obchodní tajemství, citlivé osobní údaje).Pro ochranu důvěrnosti je požadována evidence osob, které k aktivům přistoupily, a metody ochrany zabraňující zneužití aktiv ze strany administrátorů. Přenosy informací jsou chráněny pomocí kryptografických prostředků. ÚroveňPopisOchranaNízkáAktivum nevyžaduje ochranu z hlediska integrity. Narušení integrity aktiva neohrožuje oprávněné zájmy orgánu a osoby uvedené v § 3 písm. c) až e) zákona.Není vyžadována žádná ochrana.StředníAktivum může vyžadovat ochranu z hlediska integrity. Narušení integrity aktiva může vést k poškození oprávněných zájmů orgánu a osoby uvedené v § 3 písm. c) až e) zákona a může se projevit méně závažnými dopady na primární aktiva.Pro ochranu integrity jsou využívány standardní nástroje (např. omezení přístupových práv pro zápis).VysokáAktivum vyžaduje ochranu z hlediska integrity. Narušení integrity aktiva vede k poškození oprávněných zájmů orgánu a osoby uvedené v § 3 písm. c) až e) zákona s podstatnými dopady na primární aktiva.Pro ochranu integrity jsou využívány speciální prostředky, které dovolují sledovat historii provedených změn a zaznamenat identitu osoby provádějící změnu. Ochrana integrity informací přenášených vnějšími komunikačními sítěmi je zajištěna pomocí kryptografických prostředků.KritickáAktivum vyžaduje ochranu z hlediska integrity. Narušení integrity vede k velmi vážnému poškození oprávněných zájmů orgánu a osoby uvedené v § 3 písm. c) až e) zákona s přímými a velmi vážnými dopady na primární aktiva.Pro ochranu integrity jsou využívány speciální prostředky jednoznačné identifikace osoby provádějící změnu (např. pomocí technologie digitálního podpisu). ÚroveňPopisOchranaNízkáNarušení dostupnosti aktiva není důležité a v případě výpadku je běžně tolerováno delší časové období pro nápravu (cca do 1 týdne).Pro ochranu dostupnosti je postačující pravidelné zálohování.StředníNarušení dostupnosti aktiva by nemělo překročit dobu pracovního dne, dlouhodobější výpadek vede k možnému ohrožení zájmů orgánu a osoby uvedené v § 3 písm. c) až e) zákona.Pro ochranu dostupnosti jsou využívány běžné metody zálohování a obnovy.VysokáNarušení dostupnosti aktiva by nemělo překročit dobu několika hodin. Jakýkoli výpadek je nutné řešit neprodleně, protože vede k přímému ohrožení zájmů orgánu a osoby uvedené v § 3 písm. c) až e) zákona. Aktiva jsou považována jako velmi důležitá.Pro ochranu dostupnosti jsou využívány záložní systémy a obnova poskytování služeb může být podmíněna zásahy obsluhy nebo výměnou technických aktiv.KritickáNarušení dostupnosti aktiva není přípustné a i krátkodobá nedostupnost (v řádu několika minut) vede k vážnému ohrožení zájmů orgánu a osoby uvedené v § 3 písm. c) až e) zákona. Aktiva jsou považována jako kritická.Pro ochranu dostupnosti jsou využívány záložní systémy a obnova poskytování služeb je krátkodobá a automatizovaná. Příloha č. 2 k vyhlášce č. 316/2014 Sb. Hodnocení rizik je vyjádřeno jako funkce, kterou ovlivňuje dopad, hrozba a zranitelnost. Pro hodnocení rizik lze použít zejména tuto funkci riziko = dopad x hrozba x zranitelnost. Jednoznačné určení funkce pro určení rizika je nezbytnou součástí metodiky pro identifikaci a hodnocení rizika. Stupnice pro hodnocení dopadůÚroveňPopisNízkýDopad je v omezeném časovém období a malého rozsahu a nesmí být katastrofický. Rozsah případných škod nepřesahuje a) 10 zraněných osob s následnou hospitalizací po dobu delší než 24 hodin nebo b) finanční nebo materiální ztráty do 5 000 000 Kč anebo c) představuje dopad na veřejnost s rozsáhlým omezením nezbytných služeb nebo jiného závažného zásahu do každodenního života postihujícího nejvýše 250 osob.StředníDopad je omezeného rozsahu a v omezeném časovém období. Rozsah případných škod se pohybuje v rozmezí a) do 10 mrtvých nebo od 11 do 100 osob s následnou hospitalizací po dobu delší než 24 hodin nebo b) finanční nebo materiální ztráty od 5 000 000 Kč do 50 000 000 Kč anebo c) představuje dopad na veřejnost s rozsáhlým omezením nezbytných služeb nebo jiného závažného zásahu do každodenního života postihujícího od 251 do 2 500 osob.VysokýDopad je omezeného rozsahu, ale trvalý nebo katastrofický. Rozsah případných škod se pohybuje v rozmezí a) od 11 do 100 mrtvých nebo od 101 do 1 000 osob s následnou hospitalizací po dobu delší než 24 hodin nebo b) finanční nebo materiální ztráty od 50 000 000 Kč do 500 000 000 Kč anebo c) představuje dopad na veřejnost s rozsáhlým omezením nezbytných služeb nebo jiného závažného zásahu do každodenního života postihujícího od 2 501 do 25 000 osob.KritickýDopad je plošný rozsahem, trvalý a katastrofický. Rozsah případných škod se pohybuje v rozmezí a) 101 a více mrtvých a 1 001 a více osob s následnou hospitalizací po dobu delší než 24 hodin nebo b) finanční nebo materiální ztráty převyšující 500 000 000 Kč anebo c) představuje dopad na veřejnost s rozsáhlým omezením nezbytných služeb nebo jiného závažného zásahu do každodenního života postihujícího více než 25 000 osob. Stupnice pro hodnocení hrozebÚroveňPopisNízkáHrozba neexistuje nebo je málo pravděpodobná. Předpokládaná realizace hrozby není častější než jednou za 5 let.StředníHrozba je málo pravděpodobná až pravděpodobná. Předpokládaná realizace hrozby je v rozpětí od 1 roku do 5 let.VysokáHrozba je pravděpodobná až velmi pravděpodobná. Předpokládaná realizace hrozby je v rozpětí od 1 měsíce do 1 roku.KritickáHrozba je velmi pravděpodobná až víceméně jistá. Předpokládaná realizace hrozby je častější než jednou za měsíc. Stupnice pro hodnocení zranitelnostíÚroveňPopisNízkáZranitelnost neexistuje nebo je zneužití zranitelnosti málo pravděpodobné. Existují kvalitní bezpečnostní opatření, které jsou schopna včas detekovat možné slabiny nebo případné pokusy o překonání opatření.StředníZranitelnost je málo pravděpodobná až pravděpodobná. Existují kvalitní bezpečnostní opatření, jejichž účinnost je pravidelně kontrolována. Schopnost bezpečnostních opatření včas detekovat možné slabiny nebo případné pokusy o překonání opatření je omezena. Nejsou známé žádné úspěšné pokusy o překonání bezpečnostních opatření.VysokáZranitelnost je pravděpodobná až velmi pravděpodobná. Bezpečnostní opatření existují, ale jejich účinnost nepokrývá všechny potřebné aspekty a není pravidelně kontrolována. Jsou známé dílčí úspěšné pokusy o překonání bezpečnostních opatření.KritickáZranitelnost je velmi pravděpodobná až po víceméně jisté zneužití. Bezpečnostní opatření nejsou realizována anebo je jejich účinnost značně omezena. Neprobíhá kontrola účinnosti bezpečnostních opatření. Jsou známé úspěšné pokusy překonání bezpečnostních opatření. Stupnice pro hodnocení rizikÚroveňPopisNízkéRiziko je považováno za přijatelné.StředníRiziko může být sníženo méně náročnými opatřeními nebo v případě vyšší náročnosti opatření je riziko přijatelné.VysokéRiziko je dlouhodobě nepřípustné a musí být zahájeny systematické kroky k jeho odstranění.KritickéRiziko je nepřípustné a musí být neprodleně zahájeny kroky k jeho odstranění. V případě, že orgán nebo osoba uvedená v § 3 písm. c) až e) zákona využívá metodu pro identifikaci a hodnocení rizik, která nerozlišuje hodnocení hrozby a zranitelnosti, je možné stupnice pro hodnocení hrozeb a zranitelností sloučit. Sloučení stupnic by nemělo vést ke ztrátě schopnosti rozlišení míry hrozby a zranitelnosti. Za tímto účelem lze použít například komentář, který zřetelně vyjádří jak úroveň hrozby, tak i úroveň zranitelnosti. Obdobně postupuje i orgán nebo osoba uvedená v § 3 písm. c) až e) zákona, které používá jiný počet úrovní pro hodnocení dopadů, hrozeb, zranitelností a rizik. Příloha č. 3 k vyhlášce č. 316/2014 Sb. (1) Symetrické algoritmy a) Blokové a proudové šifry pro ochranu důvěrnosti a integrity 1. Advanced Encryption Standard (AES) s využitím délky klíčů 128, 192 a 256 bitů Triple Data Encryption Standard (3DES) s využitím délky klíčů 168 bitů, omezené použití jen se zatížením klíče menším než 10 GB, postupně přecházet na AES. 2. Triple Data Encryption Standard (3DES) s využitím délky klíčů 112 bitů, omezené použití jen se zatížením klíče menším než 10 MB, postupně přecházet na AES. Doporučeno použití jedinečného klíče pro každou zprávu. 3. Blowfish s využitím minimální délky klíčů 128 bitů, omezené použití jen se zatížením klíče menším než 10 GB. 4. Kasumi s využitím délky klíčů 128 bitů, omezené použití jen se zatížením klíče menším než 10 GB. 5. Twofish s využitím délky klíčů 128 až 256 bitů. 6. Serpent s využitím délky klíčů 128, 192, 256 bitů. 7. Camellia s využitím délky klíčů 128, 192 a 256 bitů. 8. SNOW 2.0, SNOW 3G s využitím délky klíčů 128, 256 bitů. b) Módy šifrování s ochranou integrity 1. CCM, 2. EAX, 3. OCB, 4. Složená schémata typu „Encrypt-then-MAC“. Poznámka: Schémata typu „Encrypt-then-MAC“,musí používat k šifrování pouze uvedené šifrovací módy a k výpočtu MAC pouze uvedené módy pro ochranu integrity. c) Módy šifrování 1. CTR, 2. OFB, 3. CBC, 4. CFB, Poznámka: Módy CBC a CFB musí být použity s náhodným, pro útočníka nepředpověditelným inicializačním vektorem, při použití módu OFB se pro daný klíč nesmí opakovat hodnota inicializačního vektoru, při použití módu CTR se pro daný klíč nesmí opakovat hodnota čítače, v případě použití CBC módu k šifrování bez ochrany integrity je třeba ověřit odolnost proti útoku na padding CBC módu. d) Módy pro ochranu integrity 1. HMAC, 2. CBC-MAC-X9.19, omezené použití jen se zatížením menším než 109 MAC, 3. CBC-MAC-EMAC, 4. CMAC. (2) Asymetrické algoritmy a) Pro technologii digitálního podpisu 1. Digital Signature Algorithm (DSA) s využitím délky klíčů 2048 bitů a více, délky parametru cyklické podgrupy 224 bitů a více. 2. Elliptic Curve Digital Signature Algorithm (EC-DSA) s využitím délky klíčů 224 bitů a více. 3. Rivest-Shamir-Adleman Probablistic Signature Scheme (RSA-PSS) s využitím délky klíčů 2048 bitů a více. b) Pro procesy dohod na klíči a šifrování klíčů 1. Diffie-Hellman (DH) s využitím délky klíčů 2048 bitů a více, délky parametru cyklické podgrupy 224 bitů a více. 2. Elliptic Curve Diffie-Hellman (ECDH) s využitím délky klíčů 224 bitů a více. 3. Elliptic Curve Integrated Encryption System - Key Encapculation Mechanism (ECIES-KEM) s využitím délky klíčů 256 bitů a více. 4. Provably Secure Elliptic Curve - Key Encapculation Mechanism (PSEC-KEM) s využitím délky klíčů 256 bitů více. 5. Asymetric Ciphers and Key Encapculation Mechanism (ACE-KEM) s využitím délky klíčů 256 bitů a více. 6. Rivest Shamir Adleman - Optimal Asymetric Encryption Pedding (RSA-OAEP) s využitím délky klíčů 2048 a více. 7. Rivest Shamir Adleman - Key Encapculation Mechanism (RSA-KEM) s využitím délky klíčů 2048 a více. (3) Algoritmy hash funkcí a) SHA-2 1. SHA-224, 2. SHA-256, 3. SHA-384, 4. SHA-512, 5. SHA-512/224, 6. SHA-512/256. b) SHA-3 1. SHA3-224, 2. SHA3-256, 3. SHA3-384, 4. SHA3-512, 5. SHAKE-128, 6. SHAKE-256. c) Ostatní hašovací funkce 1. Whirpool, 2. RIPEMD-160, 3. SHA 1 s omezeným použitím. Poznámka č. 1: SHA-1 se nesmí používat pro generování nových digitálních podpisů, časových razítek, jakékoliv jiné aplikace vyžadující nekolizní SHA-1. Poznámka č. 2: SHA-1 lze používat pouze pro ověřování již existujících digitálních podpisů a časových razítek, generování a ověřování HMAC-SHA1,funkce pro odvozování klíčů a pseudonáhodné generátory. Příloha č. 4 k vyhlášce č. 316/2014 Sb. Tato příloha obsahuje doporučený obsah bezpečnostní dokumentace. Navrhované struktury jednotlivých dokumentů zahrnují témata, která jednotlivé dokumenty podle této vyhlášky pokrývají, přičemž uvedené struktury dokumentů nejsou závazné a je na orgánu nebo osobě uvedené v § 3 písm. c) až e) zákona, jaký přístup k tvorbě bezpečnostní dokumentace použije. Přípustná je i změna názvů jednotlivých dokumentů nebo integrování více témat do jednoho dokumentu. I. Struktura bezpečnostní politiky (1) Politika systému řízení bezpečnosti informací* [§ 5 odst. 1 písm. a), § 5 odst. 2 písm. a)] a) Cíle, principy a potřeby řízení bezpečnosti informací. b) Rozsah a hranice systému řízení bezpečnosti informací. c) Pravidla a postupy pro řízení dokumentace. d) Pravidla a postupy pro řízení zdrojů a provozu systému řízení bezpečnosti informací. e) Pravidla a postupy pro provádění auditů kybernetické bezpečnosti. f) Pravidla a postupy pro přezkoumání systému řízení bezpečnosti informací. g) Pravidla a postupy pro nápravná opatření a zlepšování systému řízení bezpečnosti informací. (2) Politika organizační bezpečnosti** [§ 5 odst. 1 písm. b), § 5 odst. 2 písm. b)] a) Určení bezpečnostních rolí a jejich práv a povinností, 1. práva a povinnosti manažera kybernetické bezpečnosti, 2. práva a povinnosti architekta kybernetické bezpečnosti, 3. práva a povinnosti auditora kybernetické bezpečnosti, 4. práva a povinnosti garanta aktiv, 5. práva a povinnosti výboru pro řízení kybernetické bezpečnosti. b) Požadavky na oddělení výkonu činností jednotlivých bezpečnostních rolí. (3) Politika řízení dodavatelů** [§ 5 odst. 1 písm. c), § 5 odst. 2 písm. c)] a) Pravidla a principy pro výběr dodavatelů. b) Pravidla pro hodnocení rizik dodavatelů. c) Náležitosti smlouvy o úrovni služeb a způsobů a úrovní realizace bezpečnostních opatření a o určení vzájemné smluvní odpovědnosti. d) Pravidla pro provádění kontroly zavedení bezpečnostních opatření. e) Pravidla pro hodnocení dodavatelů. (4) Politika klasifikace aktiv** [§ 5 odst. 1 písm. d), § 5 odst. 2 písm. d)] a) Identifikace, hodnocení a evidence primárních aktiv 1. určení a evidence jednotlivých primárních aktiv včetně určení jejich garanta, 2. hodnocení důležitosti primárních aktiv z hlediska důvěrnosti, integrity a dostupnosti. b) Identifikace, hodnocení a evidence podpůrných aktiv 1. určení a evidence jednotlivých podpůrných aktiv včetně určení jejich garanta, 2. určení vazeb mezi primárními a podpůrnými aktivy. c) Pravidla ochrany jednotlivých úrovní aktiv 1. způsoby rozlišování jednotlivých úrovní aktiv, 2. pravidla pro manipulaci a evidenci aktiv podle úrovní aktiv, 3. přípustné způsoby používání aktiv. d) Způsoby spolehlivého smazání nebo ničení technických nosičů dat. (5) Politika bezpečnosti lidských zdrojů** [§ 5 odst. 1 písm. e), § 5 odst. 2 písm. e)] a) Pravidla rozvoje bezpečnostního povědomí a způsoby jeho hodnocení 1. způsoby a formy poučení uživatelů, 2. způsoby a formy poučení garantů aktiv, 3. způsoby a formy poučení administrátorů, 4. způsoby a formy poučení dalších osob zastávajících bezpečnostní role. b) Bezpečnostní školení nových zaměstnanců. c) Pravidla pro řešení případů porušení bezpečnostní politiky systému řízení bezpečnosti informací. d) Pravidla pro ukončení pracovního vztahu nebo změnu pracovní pozice. 1. vrácení svěřených aktiv a odebrání práv při ukončení pracovního vztahu, 2. změna přístupových oprávnění při změně pracovní pozice. (6) Politika řízení provozu a komunikací** [§ 5 odst. 1 písm. f), § 5 odst. 2 písm. f)] a) Pravomoci a odpovědnosti spojené s bezpečným provozem. b) Postupy bezpečného provozu. c) Požadavky a standardy bezpečného provozu. d) Řízení technických zranitelností. e) Pravidla a omezení pro provádění auditů kybernetické bezpečnosti a bezpečnostních testů. (7) Politika řízení přístupu** [§ 5 odst. 1 písm. g), § 5 odst. 2 písm. g)] a) Princip minimálních oprávnění/potřeba znát (need to know). b) Požadavky na řízení přístupu. c) Životní cyklus řízení přístupu. d) Řízení privilegovaných oprávnění. e) Řízení přístupu pro mimořádné situace. f) Pravidelné přezkoumání přístupových oprávnění včetně rozdělení jednotlivých uživatelů v přístupových skupinách. (8) Politika bezpečného chování uživatelů* [§ 5 odst. 1 písm. h), § 5 odst. 2 písm. h)] a) Pravidla pro bezpečné nakládání s aktivy. b) Bezpečné použití přístupového hesla. c) Bezpečné použití elektronické pošty a přístupu na internet. d) Bezpečný vzdálený přístup. e) Bezpečné chování na sociálních sítích. f) Bezpečnost ve vztahu k mobilním zařízením. (9) Politika zálohování a obnovy** [§ 5 odst. 1 písm. i), § 5 odst. 2 písm. i)] a) Požadavky na zálohování a obnovu. b) Pravidla a postupy zálohování. c) Pravidla bezpečného uložení záloh. d) Pravidla a postupy obnovy. e) Pravidla a postupy testování zálohování a obnovy. (10) Politika bezpečného předávání a výměny informací** [§ 5 odst. 1 písm. j)] a) Pravidla a postupy pro ochranu předávaných informací. b) Způsoby ochrany elektronické výměny informací. c) Pravidla pro využívání kryptografické ochrany. (11) Politika řízení technických zranitelností** [§ 5 odst. 1 písm. k)] a) Pravidla pro omezení instalace programového vybavení, b) Pravidla a postupy vyhledávání opravných programových balíčků, c) Pravidla a postupy testování oprav programového vybavení, d) Pravidla a postupy nasazení oprav programového vybavení. (12) Politika bezpečného používání mobilních zařízení* [§ 5 odst. 1 písm. l)] a) Pravidla a postupy pro bezpečné používání mobilních zařízení. b) Pravidla a postupy pro zajištění bezpečnosti zařízení, kterými orgán a osoba uvedená v § 3 písm. c) a d) zákona nedisponuje. (13) Politika poskytování a nabývání licencí programového vybavení a informací* [§ 5 odst. 1 písm. m), § 5 odst. 2 písm. j)] a) Pravidla a postupy nasazení programového vybavení a jeho evidence. b) Pravidla a postupy pro kontrolu dodržování licenčních podmínek. (14) Politika dlouhodobého ukládání a archivace informací* [§ 5 odst. 1 písm. n)] a) Pravidla a postupy archivace dokumentů a záznamů. b) Ochrana archivovaných dokumentů a záznamů. c) Politika přístupu k archivovaným dokumentům a záznamům. (15) Politika ochrany osobních údajů* [§ 5 odst. 1 písm. o), § 5 odst. 2 písm. k)] a) Charakteristika zpracovávaných osobních údajů. b) Popis přijatých a provedených organizačních opatření pro ochranu osobních údajů. c) Popis přijatých a provedených technických opatření pro ochranu osobních údajů. (16) Politika fyzické bezpečnosti** [§ 5 odst. 1 písm. p)] a) Pravidla pro ochranu objektů. b) Pravidla pro kontrolu vstupu osob. c) Pravidla pro ochranu zařízení. d) Detekce narušení fyzické bezpečnosti. (17) Politika bezpečnosti komunikační sítě** [§ 5 odst. 1 písm. q)] a) Pravidla a postupy pro zajištění bezpečnosti sítě. b) Určení práv a povinností za bezpečný provoz sítě. c) Pravidla a postupy pro řízení přístupů v rámci sítě. d) Pravidla a postupy pro ochranu vzdáleného přístupu k síti. e) Pravidla a postupy pro monitorování sítě a vyhodnocování provozních záznamů. (18) Politika ochrany před škodlivým kódem* [§ 5 odst. 1 písm. r), § 5 odst. 2 písm. m)] a) Pravidla a postupy pro ochranu komunikace mezi vnitřní a vnější sítí. b) Pravidla a postupy pro ochranu serverů a sdílených datových uložišť. c) Pravidla a postupy pro ochranu pracovních stanic. (19) Politika nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí** [§ 5 odst. 1 písm. s), § 5 odst. 2 písm. n)] a) Pravidla a postupy nasazení nástroje pro detekci kybernetických bezpečnostních událostí. b) Provozní postupy pro vyhodnocování a reagování na detekované kybernetické bezpečnostní události. c) Pravidla a postupy pro optimalizaci nastavení nástroje pro detekci kybernetických bezpečnostních událostí. (20) Politika využití a údržby nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí** [§ 5 odst. 1 písm. t)] a) Pravidla a postupy pro evidenci a vyhodnocení kybernetických bezpečnostních událostí. b) Pravidla a postupy pravidelné aktualizace pravidel pro vyhodnocení kybernetických bezpečnostních událostí. c) Pravidla a postupy pro optimální nastavení bezpečnostních vlastností nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí. (21) Politika bezpečného používání kryptografické ochrany** [§ 5 odst. 1 písm. u), § 5 odst. 2 písm. l)] a) Úroveň ochrany s ohledem na typ a sílu kryptografického algoritmu. b) Pravidla kryptografické ochrany informací 1. při přenosu po komunikačních sítích, 2. při uložení na mobilní zařízení nebo vyměnitelný technický nosič dat, c) Systém správy klíčů. II. Struktura další dokumentace (1) Zpráva z auditu kybernetické bezpečnosti** [§ 28 odst. 1 písm. b)] a) Cíle auditu kybernetické bezpečnosti. b) Předmět auditu kybernetické bezpečnosti. c) Kritéria auditu kybernetické bezpečnosti. d) Identifikování týmu auditorů a osob, které se auditu kybernetické bezpečnosti zúčastnily. e) Datum a místo, kde byly prováděny činnosti při auditu kybernetické bezpečnosti. f) Zjištění z auditu kybernetické bezpečnosti. g) Závěry auditu kybernetické bezpečnosti. (2) Zpráva z přezkoumání systému řízení bezpečnosti informací** [§ 28 odst. 1 písm. c)] a) Vyhodnocení opatření z předchozího přezkoumání systému řízení bezpečnosti informací, b) Identifikace změn a okolností, které mohou mít vliv na systém řízení bezpečnosti informací. c) Zpětná vazba o výkonnosti řízení bezpečnosti informací 1. neshody a nápravná opatření, 2. výsledky monitorování a měření, 3. výsledky auditu, 4. naplnění cílů bezpečnosti, d) Výsledky hodnocení rizik a stav plánu zvládání rizik. e) Identifikace možností pro neustálé zlepšování. d) Doporučení potřebných rozhodnutí, stanovení opatření a osob zajišťujících výkon jednotlivých činností. (3) Metodika pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik* [§ 28 odst. 1 písm. d), § 28 odst. 2 písm. b)] a) Určení stupnice pro hodnocení primárních aktiv 1. určení stupnice pro hodnocení úrovní důvěrnosti aktiv, 2. určení stupnice pro hodnocení úrovní integrity aktiv, 3. určení stupnice pro hodnocení úrovní dostupnosti aktiv. b) Určení stupnice pro hodnocení rizik 1. určení stupnice pro hodnocení úrovní dopadu, 2. určení stupnice pro hodnocení úrovní hrozby, 3. určení stupnice pro hodnocení úrovní zranitelnosti, 4. určení stupnice pro hodnocení úrovní rizik, a) Metody a přístupy pro zvládání rizik. b) Způsoby schvalování přijatelných rizik. (4) Zpráva o hodnocení aktiv a rizik** [§ 28 odst. 1 písm. e), § 28 odst. 2 písm. c)] a) Přehled primárních aktiv 1. identifikace a popis primárních aktiv, 2. určení garantů primárních aktiv, 3. hodnocení primárních aktiv z hlediska důvěrnosti, integrity a dostupnosti. b) Přehled podpůrných aktiv (neplatí pro orgány a osoby uvedené v § 3 písm. e) zákona) 1. identifikace a popis podpůrných aktiv, 2. určení garantů podpůrných aktiv, 3. určení vazeb mezi primárními a podpůrnými aktivy, c) Identifikování a hodnocení rizik 1. posouzení možných dopadů na aktiva, 2. hodnocení existujících hrozeb, 3. hodnocení existujících zranitelností, hodnocení existujících opatření, 4. stanovení úrovně rizika, porovnání této úrovně s kritérii pro přijatelnost rizik, 5. určení a schválení přijatelných rizik. d) Zvládání rizik 1. návrh způsobu zvládání rizik, 2. návrh opatření a jejich realizace. (5) Prohlášení o aplikovatelnosti* [§ 28 odst. 1 písm. f), § 28 odst. 2 písm. d)] a) Přehled vybraných bezpečnostních opatření včetně zdůvodnění jejich výběru a jejich vazby na identifikovaná rizika. b) Přehled zavedených bezpečnostních opatření. (6) Plán zvládání rizik** [§ 28 odst. 1 písm. g), § 28 odst. 2 písm. e)] a) Obsah a cíle vybraných bezpečnostních opatření pro zvládání rizik. b) Potřebné zdroje pro jednotlivá bezpečnostní opatření pro zvládání rizik. c) Osoby zajišťující jednotlivá bezpečnostní opatření pro zvládání rizik. d) Termíny zavedení jednotlivých bezpečnostních opatření pro zvládání rizik. e) Způsoby hodnocení úspěšnosti zavedení jednotlivých bezpečnostních opatření pro zvládání rizik. (7) Plán rozvoje bezpečnostního povědomí* [§ 28 odst. 1 písm. h), § 28 odst. 2 písm. f)] a) Obsah a termíny poučení uživatelů. b) Obsah a termíny poučení garantů aktiv (neplatí pro orgány a osoby uvedené v § 3 písm. e) zákona). c) Obsah a termíny poučení administrátorů (neplatí pro orgány a osoby uvedené v § 3 písm. e) zákona). d) Obsah a termíny poučení dalších osob zastávajících bezpečnostní role. e) Obsah a termíny poučení nových zaměstnanců. f) Formy a způsoby hodnocení plánu. (8) Zvládání kybernetických bezpečnostních incidentů** [§ 28 odst. 1 písm. i), § 28 odst. 2 písm. g)] a) Definování kategorií kybernetického bezpečnostního incidentu. b) Pravidla a postupy pro evidenci a zvládání jednotlivých kategorií kybernetických bezpečnostních incidentů. c) Pravidla a postupy testování systému zvládání kybernetických bezpečnostních incidentů. d) Pravidla a postupy pro vyhodnocení kybernetických bezpečnostních incidentů a pro zlepšování kybernetické bezpečnosti. (9) Strategie řízení kontinuity činností** [§ 28 odst. 1 písm. j), § 28 odst. 2 písm. h)] a) Práva a povinnosti zúčastněných osob. b) Cíle řízení kontinuity činností 1. minimální úroveň poskytovaných služeb, 2. doba obnovení chodu, 3. bod obnovení chodu. c) Strategie řízení kontinuity činností pro naplnění cílů kontinuity. d) Způsoby hodnocení dopadů kybernetických bezpečnostních incidentů na kontinuitu a posuzování souvisejících rizik. e) Určení a obsah potřebných plánů kontinuity. f) Postupy pro realizaci opatření vydaných Národním bezpečnostním úřadem. (10) Přehled obecně závazných právních předpisů, vnitřních předpisů a jiných předpisů a smluvních závazků* [§ 28 odst. 1 písm. k), § 28 odst. 2 písm. i)] a) Přehled obecně závazných právních předpisů. b) Přehled vnitřních předpisů a jiných předpisů. c) Přehled smluvních závazků. Poznámka: * Očekávaná důvěrnost dokumentu je na úrovni střední podle stupnice uvedené v příloze č. 1: Hodnocení a úroveň aktiv. ** Očekávaná důvěrnost dokumentu je na úrovni vysoká podle stupnice uvedené v příloze č. 1: Hodnocení a úroveň aktiv. Příloha č. 5 k vyhlášce č. 316/2014 Sb. Příloha č. 6 k vyhlášce č. 316/2014 Sb. Příloha č. 7 k vyhlášce č. 316/2014 Sb. 1) ISO/IEC 27001:2013, případně ČSN ISO/IEC 27001:2014