§ 30 Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti)

Vyhláška o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení nakládajících s utajovanými informacemi a o některých náležitostech žádosti o uzavření smlouvy o zajištění činnosti (vyhláška o informační bezpečnosti) · 479/2024 Sb. · § 30 · Ostatní právní předpisy

Stručně: Paragraf 30 vyhlášky 479/2024 stanovuje povinnosti provozovatele systému týkající se správy auditních záznamů, řešení krizových situací, zvládání bezpečnostních událostí a incidentů a postupu v případě havárie softwarového nebo hardwarového vybavení.

§ 30 (1) V rámci provozu systému musí provozovatel systému provádět hodnocení auditních záznamů v termínech stanovených v popisu bezpečnosti systému a při vzniku krizové situace bez zbytečného odkladu. (2) Auditní záznamy musí být chráněny před změnou nebo zničením a uchovávány po dobu stanovenou v popisu bezpečnosti systému, nejméně však po dobu 5 let od vzniku. (3) V popisu bezpečnosti systému musí být uvedena základní klasifikace krizových situací a pro každou z nich musí být specifikována činnost a) následující bezprostředně po vzniku krizové situace zaměřená na minimalizaci škod a zajištění informací potřebných pro zjištění příčin a mechanismu vzniku krizové situace a b) zaměřená na likvidaci následků krizové situace včetně vymezení osobní odpovědnosti za jednotlivé úkoly. (4) Pro řešení krizových situací musí být v popisu bezpečnosti systému stanovena bezpečnostní opatření zaměřená na uvedení systému do stavu odpovídajícího bezpečnostní dokumentaci. (5) Při zvládání bezpečnostních událostí a bezpečnostních incidentů musí být a) přijata nezbytná bezpečnostní opatření pro zajištění oznamování bezpečnostních událostí ze strany uživatelů a zajištění vedení záznamů o těchto oznámeních, b) zajištěno prostředí pro provádění vyhodnocování oznámených bezpečnostních událostí a bezpečnostních událostí detekovaných technickými nástroji a pro identifikaci případných bezpečnostních incidentů, c) provedena klasifikace bezpečnostních incidentů a přijata vhodná bezpečnostní opatření pro odvrácení a zmírnění dopadu bezpečnostních incidentů, d) prošetřeny a určeny příčiny bezpečnostního incidentu, vyhodnocena účinnost řešení bezpečnostního incidentu a na základě vyhodnocení stanovena nutná bezpečnostní opatření k zamezení opakování daného bezpečnostního incidentu a e) dokumentováno zvládání bezpečnostních incidentů. (6) Pro případ havárie softwarového nebo hardwarového vybavení systému musí být uveden v popisu bezpečnosti systému způsob a) zálohování a uložení záložních nosičů informací, b) zajištění servisní činnosti, c) zajištění nouzového provozu s vyjmenováním základních funkcí systému, které musí být zachovány, a d) obnovy funkčnosti systému a uvedení do bezpečného stavu uvedeného v bezpečnostní dokumentaci.

Výklad

Stručně

Paragraf 30 vyhlášky 479/2024 stanovuje povinnosti provozovatele systému týkající se správy auditních záznamů, řešení krizových situací, zvládání bezpečnostních událostí a incidentů a postupu v případě havárie softwarového nebo hardwarového vybavení.

Co to znamená v praxi

Provozovatel systému musí pravidelně vyhodnocovat záznamy o událostech v systému (auditní záznamy) a v případě krize okamžitě.
Auditní záznamy je nutné chránit před změnou či zničením a uchovávat je minimálně 5 let.
Provozovatel musí mít předem připravený plán pro různé typy krizových situací, včetně kroků pro minimalizaci škod, zjištění příčin a likvidaci následků.
Je třeba mít stanovená bezpečnostní opatření pro řešení krizových situací, aby se systém vrátil do bezpečného stavu.
Musí být zajištěno hlášení bezpečnostních událostí uživateli, jejich vyhodnocování, klasifikace incidentů a přijímání opatření k jejich řešení a prevenci opakování.
Pro případ havárie musí být popsán způsob zálohování, servisní činnosti, nouzového provozu a obnovy funkčnosti systému.

Na co si dát pozor

Důsledné dodržování termínů pro hodnocení auditních záznamů a okamžitá reakce při krizové situaci.
Zajištění ochrany auditních záznamů před manipulací a jejich uchovávání po stanovenou dobu.
Podrobná specifikace činností pro každou krizovou situaci v popisu bezpečnosti systému, včetně osobní odpovědnosti.
Dokumentace celého procesu zvládání bezpečnostních incidentů.

Zdroj: e-Sbírka / justice.cz (oficiální data). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.