§ 10 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) – Řízení provozu a komunikací

§ 10 Řízení provozu a komunikací (1) Povinná osoba v rámci řízení provozu a komunikací zajišťuje bezpečný provoz informačního a komunikačního systému a stanoví provozní pravidla a postupy, které obsahují zejména a) práva a povinnosti administrátorů, uživatelů a osob zastávajících bezpečnostní role, b) postupy pro spuštění a ukončení chodu systému, pro restart nebo obnovení chodu systému po selhání a pro ošetření chybových stavů nebo mimořádných jevů, c) postupy pro sledování kybernetických bezpečnostních událostí a opatření pro ochranu přístupu k záznamům o těchto událostech, d) pravidla a postupy pro ochranu před škodlivým kódem, e) řízení technických zranitelností, f) spojení na kontaktní osoby, které jsou pověřeny výkonem systémové a technické podpory, g) postupy řízení a schvalování provozních změn, h) postupy pro sledování, plánování a řízení kapacity lidských a technických zdrojů, i) pravidla a postupy pro ochranu informací a dat v průběhu celého životního cyklu, j) pravidla a postupy pro instalaci technických aktiv, k) provádění pravidelného zálohování a kontroly použitelnosti provedených záloh a l) pravidla a postupy pro zajištění bezpečnosti síťových služeb. (2) Povinná osoba v rámci řízení provozu a komunikací dodržuje pravidla a postupy stanovené podle odstavce 1 a tato pravidla a postupy aktualizuje v souvislosti s prováděnými nebo plánovanými změnami. (3) Povinná osoba zajistí oddělení vývojového, testovacího a provozního prostředí.