§ 37 Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) – Účinnost

§ 37 Účinnost Tato vyhláška nabývá účinnosti dnem vyhlášení. Ředitel: Ing. Navrátil v. r. Příloha č. 1 k vyhlášce č. 82/2018 Sb. (1) Pro hodnocení důležitosti aktiv jsou v tomto případě použity stupnice o čtyřech úrovních a posuzuje se, jaký dopad by mělo narušení bezpečnosti informací u jednotlivých aktiv. Povinná osoba může používat odlišný počet úrovní pro hodnocení důležitosti aktiv, než jaký je uveden v této příloze, dodrží-li jednoznačné vazby mezi jimi používaným způsobem hodnocení důležitosti aktiv a stupnicemi a úrovněmi pro hodnocení důležitosti aktiv, které jsou uvedeny v této příloze. (2) Je doporučeno, aby si každá povinná osoba tyto dopadové matice přizpůsobila svým potřebám. ÚroveňPopisPříklady požadavků na ochranu aktivaNízkáAktiva jsou veřejně přístupná nebo byla určena ke zveřejnění. Narušení důvěrnosti aktiv neohrožuje oprávněné zájmy povinné osoby. V případě sdílení takového aktiva s třetími stranami a použití klasifikace podle tzv. traffic light protokolu (dále jen „TLP“) je využíváno označení TLP:WHITE.Není vyžadována žádná ochrana. Likvidace/mazání aktiva na úrovni Nízká – viz příloha č. 4.StředníAktiva nejsou veřejně přístupná a tvoří know-how povinné osoby, ochrana aktiv není vyžadována žádným právním předpisem nebo smluvním ujednáním. V případě sdílení takového aktiva s třetími stranami a použití klasifikace podle TLP je využíváno zejména označení TLP:GREEN nebo TLP:AMBER.Pro ochranu důvěrnosti jsou využívány prostředky pro řízení přístupu. Likvidace/mazání aktiva na úrovni Střední – viz příloha č. 4.VysokáAktiva nejsou veřejně přístupná a jejich ochrana je vyžadována právními předpisy, jinými předpisy nebo smluvními ujednáními (například obchodní tajemství, osobní údaje). V případě sdílení takového aktiva s třetími stranami a použití klasifikace podle TLP je využíváno zejména označení TLP:AMBER.Pro ochranu důvěrnosti jsou využívány prostředky, které zajistí řízení a zaznamenávání přístupu. Přenosy informací komunikační sítí jsou chráněny pomocí kryptografických prostředků. Likvidace/mazání aktiva na úrovni Vysoká – viz příloha č. 4.KritickáAktiva nejsou veřejně přístupná a vyžadují nadstandardní míru ochrany nad rámec předchozí kategorie (například strategické obchodní tajemství, zvláštní kategorie osobních údajů). V případě sdílení takového aktiva s třetími stranami a použití klasifikace podle TLP je využíváno zejména označení TLP:RED nebo TLP:AMBER.Pro ochranu důvěrnosti jsou využívány prostředky, které zajistí řízení a zaznamenávání přístupu. Dále metody ochrany zabraňující zneužití aktiv ze strany administrátorů. Přenosy informací jsou chráněny pomocí kryptografických prostředků. Likvidace/mazání aktiva na úrovni Kritická – viz příloha č. 4. ÚroveňPopisPříklady požadavků na ochranu aktivaNízkáAktivum nevyžaduje ochranu z hlediska integrity. Narušení integrity aktiva neohrožuje oprávněné zájmy povinné osoby.Není vyžadována žádná ochrana.StředníAktivum může vyžadovat ochranu z hlediska integrity. Narušení integrity aktiva může vést k poškození oprávněných zájmů povinné osoby a může se projevit méně závažnými dopady na primární aktiva.Pro ochranu integrity jsou využívány standardní nástroje (například omezení přístupových práv pro zápis).VysokáAktivum vyžaduje ochranu z hlediska integrity. Narušení integrity aktiva vede k poškození oprávněných zájmů povinné osoby s podstatnými dopady na primární aktiva.Pro ochranu integrity jsou využívány speciální prostředky, které dovolují sledovat historii provedených změn a zaznamenat identitu osoby provádějící změnu. Ochrana integrity informací přenášených komunikačními sítěmi je zajištěna pomocí kryptografických prostředků.KritickáAktivum vyžaduje ochranu z hlediska integrity. Narušení integrity vede k velmi vážnému poškození oprávněných zájmů povinné osoby s přímými a velmi vážnými dopady na primární aktiva.Pro ochranu integrity jsou využívány speciální prostředky jednoznačné identifikace osoby provádějící změnu (například pomocí technologie digitálního podpisu). ÚroveňPopisPříklady požadavků na ochranu aktivaNízkáNarušení dostupnosti aktiva není důležité a v případě výpadku je běžně tolerováno delší časové období pro nápravu (cca do 1 týdne).Pro ochranu dostupnosti je postačující pravidelné zálohování.StředníNarušení dostupnosti aktiva by nemělo překročit dobu pracovního dne, dlouhodobější výpadek vede k možnému ohrožení oprávněných zájmů povinné osoby.Pro ochranu dostupnosti jsou využívány běžné metody zálohování a obnovy.VysokáNarušení dostupnosti aktiva by nemělo překročit dobu několika hodin. Jakýkoli výpadek je nutné řešit neprodleně, protože vede k přímému ohrožení oprávněných zájmů povinné osoby. Aktiva jsou považována za velmi důležitá.Pro ochranu dostupnosti jsou využívány záložní systémy a obnova poskytování služeb může být podmíněna zásahy obsluhy nebo výměnou technických aktiv.KritickáNarušení dostupnosti aktiva není přípustné a i krátkodobá nedostupnost (v řádu několika minut) vede k vážnému ohrožení oprávněných zájmů povinné osoby. Aktiva jsou považována za kritická.Pro ochranu dostupnosti jsou využívány záložní systémy a obnova poskytování služeb je krátkodobá a automatizovaná. Příloha č. 2 k vyhlášce č. 82/2018 Sb. (1) Jednoznačné stanovení funkce pro určení rizika je nezbytnou součástí metodiky pro hodnocení rizik podle § 5. (2) Hodnota rizika je nejčastěji vyjádřena jako funkce, kterou ovlivňuje dopad, hrozba a zranitelnost. (3) Pro hodnocení rizik lze použít například tuto funkci: Riziko = dopad x hrozba x zranitelnost. (4) Dopad je v tomto případě odvozen z hodnocení aktiv podle přílohy č. 1. (5) V případě, že povinná osoba využívá metodu pro hodnocení rizik, která nerozlišuje hodnocení hrozby a zranitelnosti, je možné stupnice pro hodnocení hrozeb a zranitelností sloučit. Sloučení stupnic by nemělo vést ke ztrátě schopnosti rozlišení úrovně hrozby a zranitelnosti. Za tímto účelem lze použít například komentář, který zřetelně vyjádří jak úroveň hrozby, tak i úroveň zranitelnosti. Obdobně se postupuje i v případech, kdy povinná osoba používá jiný počet úrovní pro hodnocení dopadů, hrozeb, zranitelností a rizik. ÚroveňPopisNízkáHrozba neexistuje nebo je málo pravděpodobná. Předpokládaná realizace hrozby není častější než jednou za 5 let.StředníHrozba je málo pravděpodobná až pravděpodobná. Předpokládaná realizace hrozby je v rozpětí od 1 roku do 5 let.VysokáHrozba je pravděpodobná až velmi pravděpodobná. Předpokládaná realizace hrozby je v rozpětí od 1 měsíce do 1 roku.KritickáHrozba je velmi pravděpodobná až víceméně jistá. Předpokládaná realizace hrozby je častější než jednou za měsíc. ÚroveňPopisNízkáZranitelnost neexistuje nebo je zneužití zranitelnosti málo pravděpodobné. Jsou zavedena bezpečnostní opatření, která jsou schopna včas detekovat možné zranitelnosti nebo případné pokusy o jejich zneužití.StředníZneužití zranitelnosti je málo pravděpodobné až pravděpodobné. Jsou zavedena bezpečnostní opatření, jejichž účinnost je pravidelně kontrolována. Schopnost bezpečnostních opatření včas detekovat možné zranitelnosti nebo případné pokusy o překonání opatření je omezena. Nejsou známé žádné úspěšné pokusy o překonání bezpečnostních opatření.VysokáZneužití zranitelnosti je pravděpodobné až velmi pravděpodobné. Bezpečnostní opatření jsou zavedena, ale jejich účinnost nepokrývá všechny potřebné aspekty a není pravidelně kontrolována. Jsou známé dílčí úspěšné pokusy o překonání bezpečnostních opatření.KritickáZneužití zranitelnosti je velmi pravděpodobné až víceméně jisté. Bezpečnostní opatření nejsou realizována nebo je jejich účinnost značně omezena. Neprobíhá kontrola účinnosti bezpečnostních opatření. Jsou známé úspěšné pokusy překonání bezpečnostních opatření. ÚroveňPopis NízkéRiziko je považováno za akceptovatelné. StředníRiziko může být sníženo méně náročnými opatřeními nebo v případě vyšší náročnosti opatření je riziko akceptovatelné. VysokéRiziko je dlouhodobě nepřípustné a musí být zahájeny systematické kroky k jeho odstranění. KritickéRiziko je nepřípustné a musí být neprodleně zahájeny kroky k jeho odstranění. Příloha č. 3 k vyhlášce č. 82/2018 Sb. Upozornění: Tato příloha obsahuje jen vybrané kategorie zranitelností a hrozeb. Identifikace konkrétních zranitelností a hrozeb je odpovědností povinné osoby. 1. nedostatečná údržba informačního a komunikačního systému, 2. zastaralost informačního a komunikačního systému, 3. nedostatečná ochrana vnějšího perimetru, 4. nedostatečné bezpečnostní povědomí uživatelů a administrátorů, 5. nedostatečná údržba informačního a komunikačního systému, 6. nevhodné nastavení přístupových oprávnění, 7. nedostatečné postupy při identifikování a odhalení negativních bezpečnostních jevů, kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů, 8. nedostatečné monitorování činnosti uživatelů a administrátorů a neschopnost odhalit jejich nevhodné nebo závadné způsoby chování, 9. nedostatečné stanovení bezpečnostních pravidel, nepřesné nebo nejednoznačné vymezení práv a povinností uživatelů, administrátorů a bezpečnostních rolí, 10. nedostatečná ochrana aktiv, 11. nevhodná bezpečnostní architektura, 12. nedostatečná míra nezávislé kontroly, 13. neschopnost včasného odhalení pochybení ze strany zaměstnanců. 1. porušení bezpečnostní politiky, provedení neoprávněných činností, zneužití oprávnění ze strany uživatelů a administrátorů, 2. poškození nebo selhání technického anebo programového vybavení, 3. zneužití identity, 4. užívání programového vybavení v rozporu s licenčními podmínkami, 5. škodlivý kód (například viry, spyware, trojské koně), 6. narušení fyzické bezpečnosti, 7. přerušení poskytování služeb elektronických komunikací nebo dodávek elektrické energie, 8. zneužití nebo neoprávněná modifikace údajů, 9. ztráta, odcizení nebo poškození aktiva, 10. nedodržení smluvního závazku ze strany dodavatele, 11. pochybení ze strany zaměstnanců, 12. zneužití vnitřních prostředků, sabotáž, 13. dlouhodobé přerušení poskytování služeb elektronických komunikací, dodávky elektrické energie nebo jiných důležitých služeb, 14. nedostatek zaměstnanců s potřebnou odbornou úrovní, 15. cílený kybernetický útok pomocí sociálního inženýrství, použití špionážních technik, 16. zneužití vyměnitelných technických nosičů dat, 17. napadení elektronické komunikace (odposlech, modifikace). Příloha č. 4 k vyhlášce č. 82/2018 Sb. (1) Tato příloha udává povinnosti správce informačního a komunikačního systému k definování způsobů mazání dat a způsobů likvidace technických nosičů informace, provozních údajů, informací a jejich kopií. (2) Jednotliví správci informačního a komunikačního systému si stanoví pravidla pro mazání dat a likvidaci technických nosičů dat v souladu s touto přílohou. Tím nejsou dotčeny povinnosti podle jiných právních předpisů. Je nutné zvolit adekvátní úroveň služby nabízející přiměřená bezpečnostní opatření, včetně adekvátních pravidel pro mazání dat a likvidaci technických nosičů dat, vzhledem k hodnotě a důležitosti aktiv. (3) Pravidla pro likvidaci dat by měla být stanovena přiměřeně hodnotě a důležitosti aktiv a měla by zejména zohledňovat a) hodnotu aktiva (zejména z pohledu důvěrnosti), b) technologii (typy a velikost nosičů informace), c) zda se nosič informace nachází pod kontrolou organizace či nikoliv, d) zda jsou data součástí dedikovaného nebo multitenantního prostředí, e) kdo bude likvidaci dat provádět (interní zaměstnanec, nebo dodavatel), f) dostupnost vybavení a nástrojů pro likvidaci, g) kapacitu likvidovaných nosičů, h) zda je k dispozici vyškolený personál, i) časovou náročnost likvidace, j) cenu likvidace s ohledem na nástroje, školení, validaci, opětovné využití nosiče informace k) možné způsoby likvidace dat (například zničením nosiče, několikanásobným přepsáním nosiče dat, znečitelněním dat jejich šifrováním a podobně), l) použitelné způsoby likvidace dat vzhledem ke stavu nosiče informace (například při poškození zařízení nebude možné použít variantu přepisu informace, ale některý ze způsobů fyzické likvidace). (4) Způsoby likvidace technických nosičů informace, provozních údajů, informací a jejich kopií: a) Odstranění 1. Způsob likvidace spočívá v odstranění dat tak, aby byla pro systém nedostupná (například odstranění datového souboru, vyhození tištěného dokumentu do odpadu). 2. Jde o nejméně bezpečný způsob likvidace dat. V případě získání nosiče informace je možné s vynaložením určitého úsilí informace obnovit. 3. Tato metoda není použitelná pro nosiče digitálních dat neumožňující opětovný zápis. 4. Použitelný způsob pro úroveň důvěrnosti aktiva (vychází z přílohy č. 1): nízká. b) Přepsání 1. Způsob likvidace spočívá v přepsání chráněné informace nahodilými hodnotami. 2. Jde o středně bezpečný způsob likvidace dat. Volně dostupné nástroje neumožňují obnovení přepsaných informací. 3. Přepsání může být nahrazeno nebo kombinováno bezpečnou likvidací kryptografických klíčů k zašifrované informaci. 4. Tato metoda není vhodná pro poškozená média, média neumožňující opětovný zápis, případně pro média s velkou kapacitou. 5. Použitelný způsob pro úroveň důvěrnosti aktiva (vychází z přílohy č. 1): nízká až kritická. c) Fyzická likvidace nosiče informace 1. Způsob likvidace spočívající ve zničení nosiče informace, popřípadě v rozebrání zařízení a následném zničení nosiče informace (mechanickým, chemickým či tepelným působením). 2. Jde o nejbezpečnější metodu likvidace dat. Nosič informace po fyzické likvidaci nelze znovu použít pro původní účel. Původní informace není možné obnovit ani při vynaložení velkého množství prostředků a úsilí. 3. Použitelný způsob likvidace pro úroveň důvěrnosti aktiva (vychází z přílohy č. 1): střední až kritická. Přípustný způsob likvidace podle úrovně důležitosti aktivaNosič informace1. Nízká2. Střední3. Vysoká4. KritickáInformace na lidsky čitelném nosiči (tištěné dokumenty, poznámky a podobně)Odstranění: Vyhození do odpadu.Přepsání: Začernění.Fyzická likvidace: Znehodnocení nosiče informací použitím skartovacího stroje s podélným i příčným řezem, spálením nebo rozložením.Fyzická likvidace: Znehodnocení nosiče informací použitím skartovacího stroje.Mobilní zařízení (mobilní telefony, tablety)Odstranění: Vymazání informací, reset zařízení do továrního nastavení.Přepsání: Pro zařízení s šifrovaným úložištěm – odstranění informací a reset do továrního nastavení.Fyzická likvidace: Rozebrání zařízení a zničení nosiče informací.Síťová zařízení (router, switch, modem a podobně)Odstranění: Vymazání informací, reset do továrního nastavení.Přepsání: Odstranění a zahlcení umělými událostmi (umělý síťový provoz, testovací tiskové úlohy a podobně.).Kancelářské vybavení (scanery, tiskárny, fax)Magnetická média (magnetické pásky, disky, HDD [Hard Disk Drive])Odstranění: Smazání dat na úrovni souborového systému.Přepsání: Přepsání dat. V případě šifrovaného média je alternativou bezpečná likvidace kryptografických klíčůOptická média (CD, DVD, HD-DVD, BLU-RAY)Fyzická likvidace: Zničení nosiče informací.Elektronická média (flash paměti)Fyzická likvidace.Outsourcing a cloudPřípustný způsob likvidace dat by měl být stanoven smluvním ujednáním.Odstranění: Odstranění všech souborů včetně předchozích verzí.Přepsání: Použití šifrování datových úložišť na úrovni paměťového média a bezpečná likvidace kryptografických klíčů.Přepsání: Použití šifrování datových úložišť na úrovni paměťového média a bezpečná likvidace kryptografických klíčů uložených v certifikovaném hardware security modulu (HSM) řízená zákazníkem (například podle standardu FIPS 140-2 Level 2). Při ukončení služby bude zlikvidován vrchní přístupový klíč a data jsou přepsána.Přepsání/fyzická likvidace: Použit způsob viz úroveň “3. Vysoká” nebo použita dedikovaná paměťová kapacita úložiště. Při ukončení služby provedena celková sanitizace všech použitých paměťových médií podle výše uvedených řádků pro úroveň kritická.Alternativně v případě dedikovaného paměťového média je možné data po ukončení služby přepsat. Příloha č. 5 k vyhlášce č. 82/2018 Sb. 1. Bezpečnostní politika 1.1. Politika systému řízení bezpečnosti informací a) Cíle, principy a potřeby řízení bezpečnosti informací. b) Rozsah a hranice systému řízení bezpečnosti informací. c) Pravidla a postupy pro řízení dokumentace. d) Pravidla a postupy pro řízení zdrojů a provozu systému řízení bezpečnosti informací. e) Pravidla a postupy pro provádění auditů kybernetické bezpečnosti. f) Pravidla a postupy pro přezkoumání systému řízení bezpečnosti informací. g) Pravidla a postupy pro nápravná opatření a zlepšování systému řízení bezpečnosti informací. 1.2. Politika řízení aktiv a) Identifikace, hodnocení a evidence primárních aktiv 1. určení a evidence jednotlivých primárních aktiv včetně určení jejich garanta, 2. hodnocení důležitosti primárních aktiv z hlediska důvěrnosti, integrity a dostupnosti. b) Identifikace, hodnocení a evidence podpůrných aktiv 1. určení a evidence jednotlivých podpůrných aktiv včetně určení jejich garanta, 2. určení vazeb mezi primárními a podpůrnými aktivy. c) Pravidla ochrany jednotlivých úrovní aktiv 1. způsoby rozlišování jednotlivých úrovní aktiv, 2. pravidla pro manipulaci a evidenci aktiv podle úrovní aktiv, 3. přípustné způsoby používání aktiv. d) Způsoby spolehlivého mazání nebo ničení technických nosičů dat, informací, provozních údajů a jejich kopií. 1.3. Politika organizační bezpečnosti a) Určení bezpečnostních rolí a jejich práv a povinností. b) Požadavky na oddělení výkonu činností jednotlivých bezpečnostních rolí. c) Požadavky na oddělení výkonu bezpečnostních a provozních rolí. 1.4. Politika řízení dodavatelů a) Pravidla a principy pro výběr dodavatelů. b) Pravidla pro hodnocení rizik souvisejících s dodavateli. c) Náležitosti smlouvy o úrovni služeb a způsobů a úrovní realizace bezpečnostních opatření a o určení vzájemné smluvní odpovědnosti. d) Pravidla pro provádění kontroly zavedení bezpečnostních opatření. e) Pravidla pro hodnocení dodavatelů. 1.5. Politika bezpečnosti lidských zdrojů a) Pravidla rozvoje bezpečnostního povědomí a způsoby jeho hodnocení 1. způsoby a formy poučení uživatelů, 2. způsoby a formy poučení garantů aktiv, 3. způsoby a formy poučení administrátorů, 4. způsoby a formy poučení osob zastávajících bezpečnostní role. b) Bezpečnostní školení nových zaměstnanců. c) Pravidla pro řešení případů porušení bezpečnostní politiky systému řízení bezpečnosti informací. d) Pravidla pro ukončení pracovního vztahu nebo změnu pracovní pozice 1. vrácení svěřených aktiv a odebrání práv při ukončení pracovního vztahu, 2. změna přístupových oprávnění při změně pracovní pozice. 1.6 Politika řízení provozu a komunikací a) Pravomoci a odpovědnosti spojené s bezpečným provozem. b) Postupy bezpečného provozu. c) Požadavky a standardy bezpečného provozu. d) Pravidla a omezení pro provádění auditů kybernetické bezpečnosti a bezpečnostních testů. 1.7. Politika řízení přístupu a) Princip minimálních oprávnění/potřeba znát (need to know). b) Požadavky na řízení přístupu. c) Životní cyklus řízení přístupu. d) Řízení privilegovaných oprávnění. e) Řízení přístupu pro mimořádné situace. f) Pravidelné přezkoumání přístupových oprávnění včetně rozdělení jednotlivých uživatelů v přístupových skupinách. 1.8. Politika bezpečného chování uživatelů a) Pravidla pro bezpečné nakládání s aktivy. b) Bezpečné použití přístupového hesla. c) Bezpečné použití elektronické pošty a přístupu na internet. d) Bezpečný vzdálený přístup. e) Bezpečné chování na sociálních sítích. f) Bezpečnost ve vztahu k mobilním zařízením. 1.9. Politika zálohování a obnovy a dlouhodobého ukládání a) Požadavky na zálohování a obnovu. b) Pravidla a postupy zálohování. c) Pravidla a postupy dlouhodobého ukládání. d) Pravidla bezpečného zálohování a dlouhodobého ukládání informací. e) Pravidla a postupy obnovy. f) Pravidla a postupy testování zálohování a obnovy. g) Politika přístupu k zálohám, ukládaným informacím. 1.10. Politika bezpečného předávání a výměny informací a) Pravidla a postupy pro ochranu předávaných informací. b) Způsoby ochrany elektronické výměny informací. c) Pravidla pro využívání kryptografické ochrany. 1.11. Politika řízení technických zranitelností a) Pravidla pro omezení instalace programového vybavení. b) Pravidla a postupy vyhledávání opravných programových balíčků. c) Pravidla a postupy testování oprav programového vybavení. d) Pravidla a postupy nasazení oprav programového vybavení. 1.12. Politika bezpečného používání mobilních zařízení a) Pravidla a postupy pro bezpečné používání mobilních zařízení. b) Pravidla a postupy pro zajištění bezpečnosti zařízení, která povinná osoba nemá ve své správě. 1.13. Politika akvizice, vývoje a údržby a) Bezpečnostní požadavky pro akvizici, vývoj a údržbu. b) Řízení zranitelností. c) Politika poskytování a nabývání licencí programového vybavení a informací 1. pravidla a postupy nasazení programového vybavení a jeho evidence, 2. pravidla a postupy pro kontrolu dodržování licenčních podmínek. 1.14. Politika ochrany osobních údajů a) Charakteristika zpracovávaných osobních údajů. b) Popis přijatých a provedených organizačních opatření pro ochranu osobních údajů. c) Popis přijatých a provedených technických opatření pro ochranu osobních údajů. 1.15. Politika fyzické bezpečnosti a) Pravidla pro ochranu objektů. b) Pravidla pro kontrolu vstupu osob. c) Pravidla pro ochranu zařízení. d) Detekce narušení fyzické bezpečnosti. 1.16. Politika bezpečnosti komunikační sítě a) Pravidla a postupy pro zajištění bezpečnosti sítě. b) Určení práv a povinností za bezpečný provoz sítě. c) Pravidla a postupy pro řízení přístupů v rámci sítě. d) Pravidla a postupy pro ochranu vzdáleného přístupu k síti. e) Pravidla a postupy pro monitorování sítě a vyhodnocování provozních záznamů. 1.17. Politika ochrany před škodlivým kódem a) Pravidla a postupy pro ochranu síťové komunikace. b) Pravidla a postupy pro ochranu serverů a sdílených datových úložišť. c) Pravidla a postupy pro ochranu pracovních stanic. 1.18. Politika nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí a) Pravidla a postupy nasazení nástroje pro detekci kybernetických bezpečnostních událostí. b) Provozní postupy pro vyhodnocování a reagování na detekované kybernetické bezpečnostní události. c) Pravidla a postupy pro optimalizaci nastavení nástroje pro detekci kybernetických bezpečnostních událostí. 1.19. Politika využití a údržby nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí a) Pravidla a postupy pro evidenci a vyhodnocení kybernetických bezpečnostních událostí. b) Pravidla a postupy pravidelné aktualizace pravidel pro vyhodnocení kybernetických bezpečnostních událostí. c) Pravidla a postupy pro optimální nastavení bezpečnostních vlastností nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí. 1.20. Politika bezpečného používání kryptografické ochrany a) Úroveň ochrany s ohledem na typ a sílu kryptografického algoritmu. b) Pravidla kryptografické ochrany informací 1. při přenosu po komunikačních sítích, 2. při uložení na mobilní zařízení nebo vyměnitelný technický nosič dat. c) Systém správy klíčů. 1.21. Politika řízení změn a) Způsob a principy řízení významných změn v rámci povinné osoby, jejich procesech, informačních a komunikačních systémech. b) Přezkoumávání dopadů významných změn. c) Způsob vedení evidence a testování významných změn. 1.22. Politika zvládání kybernetických bezpečnostních incidentů a) Definování kategorií kybernetického bezpečnostního incidentu. b) Pravidla a postupy pro identifikaci, evidenci a zvládání jednotlivých kategorií kybernetických bezpečnostních incidentů. c) Pravidla a postupy testování systému zvládání kybernetických bezpečnostních incidentů. d) Pravidla a postupy pro vyhodnocení kybernetických bezpečnostních incidentů a pro zlepšování kybernetické bezpečnosti. e) Evidence incidentů. 1.23. Politika řízení kontinuity činností a) Práva a povinnosti zúčastněných osob. b) Cíle řízení kontinuity činností 1. minimální úroveň poskytovaných služeb, 2. doba obnovení chodu, 3. bod obnovení dat. c) Politika řízení kontinuity činností pro naplnění cílů kontinuity. d) Způsoby hodnocení dopadů kybernetických bezpečnostních incidentů na kontinuitu a posuzování souvisejících rizik. e) Určení a obsah potřebných plánů kontinuity a havarijních plánů. f) Postupy pro realizaci opatření vydaných Úřadem. 2. Obsah bezpečnostní dokumentace 2.1. Zpráva z auditu kybernetické bezpečnosti a) Cíle auditu kybernetické bezpečnosti. b) Předmět auditu kybernetické bezpečnosti. c) Kritéria auditu kybernetické bezpečnosti. d) Identifikování týmu auditorů a osob, které se auditu kybernetické bezpečnosti zúčastnily. e) Datum a místo, kde byly prováděny činnosti při auditu kybernetické bezpečnosti. f) Zjištění z auditu kybernetické bezpečnosti. g) Závěry auditu kybernetické bezpečnosti. 2.2. Zpráva z přezkoumání systému řízení bezpečnosti informací a) Vyhodnocení opatření z předchozího přezkoumání systému řízení bezpečnosti informací. b) Identifikace změn a okolností, které mohou mít vliv na systém řízení bezpečnosti informací. c) Zpětná vazba o výkonnosti řízení bezpečnosti informací 1. neshody a nápravná opatření, 2. výsledky monitorování a měření, 3. výsledky auditu, 4. naplnění cílů systému řízení bezpečnosti informací. d) Výsledky hodnocení rizik a stav plánu zvládání rizik. e) Identifikace možností pro neustálé zlepšování. f) Doporučení potřebných rozhodnutí, stanovení opatření a osob zajišťujících výkon jednotlivých činností. 2.3. Metodika pro identifikaci a hodnocení aktiv a pro hodnocení rizik a) Určení stupnice pro hodnocení primárních aktiv 1. určení stupnice pro hodnocení úrovní důvěrnosti aktiv, 2. určení stupnice pro hodnocení úrovní integrity aktiv, 3. určení stupnice pro hodnocení úrovní dostupnosti aktiv. b) Určení stupnice pro hodnocení rizik 1. určení stupnice pro hodnocení úrovní dopadu, 2. určení stupnice pro hodnocení úrovní hrozby, 3. určení stupnice pro hodnocení úrovní zranitelnosti, 4. určení stupnice pro hodnocení úrovní rizik. c) Metody a přístupy pro zvládání rizik. d) Způsoby schvalování akceptovatelných rizik. 2.4. Zpráva o hodnocení aktiv a rizik a) Přehled primárních aktiv 1. identifikace a popis primárních aktiv, 2. určení garantů primárních aktiv, 3. hodnocení primárních aktiv z hlediska důvěrnosti, integrity a dostupnosti. b) Přehled podpůrných aktiv 1. identifikace a popis podpůrných aktiv, 2. určení garantů podpůrných aktiv, 3. určení vazeb mezi primárními a podpůrnými aktivy. c) Hodnocení rizik 1. posouzení možných dopadů na aktiva, 2. hodnocení existujících hrozeb, 3. hodnocení existujících zranitelností, hodnocení existujících opatření, 4. stanovení úrovně rizika, porovnání této úrovně s kritérii pro akceptovatelnost rizik, 5. určení a schválení akceptovatelných rizik. d) Zvládání rizik 1. návrh způsobu zvládání rizik, 2. návrh opatření a jejich realizace. 2.5. Prohlášení o aplikovatelnosti a) Přehled vyloučených bezpečnostních opatření požadovaných touto vyhláškou včetně zdůvodnění, proč nebyla aplikována. b) Přehled zavedených bezpečnostních opatření včetně způsobu jejich implementace. 2.6. Plán zvládání rizik a) Obsah a cíle vybraných bezpečnostních opatření pro zvládání rizik včetně vazby na konkrétní rizika. b) Potřebné zdroje pro jednotlivá bezpečnostní opatření pro zvládání rizik. c) Osoby zajišťující jednotlivá bezpečnostní opatření pro zvládání rizik. d) Termíny zavedení jednotlivých bezpečnostních opatření pro zvládání rizik. e) Způsob realizace bezpečnostních opatření. f) Způsoby hodnocení úspěšnosti zavedení jednotlivých bezpečnostních opatření pro zvládání rizik. 2.7. Plán rozvoje bezpečnostního povědomí a) Obsah a termíny poučení uživatelů, administrátorů a osob zastávajících bezpečnostní role. b) Obsah a termíny poučení nových zaměstnanců. c) Přehledy, které obsahují předmět jednotlivých školení a seznam osob, které školení absolvovaly. d) Formy a způsoby hodnocení plánu. 2.8. Evidence změn a) Evidence životního cyklu významných změn. b) Záznamy o změnách konfigurace podpůrných aktiv. 2.9. Hlášené kontaktní údaje Přehled hlášených kontaktních údajů. 2.10. Přehled obecně závazných právních předpisů, vnitřních předpisů a jiných předpisů a smluvních závazků a) Přehled obecně závazných právních předpisů. b) Přehled vnitřních předpisů a jiných předpisů. c) Přehled smluvních závazků. 2.11. Další doporučená dokumentace a) Topologie infrastruktury. b) Přehled síťových zařízení. Příloha č. 6 k vyhlášce č. 82/2018 Sb. Tato příloha obsahuje popis doporučených požadavků pro výbor pro řízení kybernetické bezpečnosti a bezpečnostní role uvedené v § 6 a 7. Tab. 1: Výbor pro řízení kybernetické bezpečnosti Role:Výbor pro řízení kybernetické bezpečnosti Klíčové činnosti:a) Odpovědnost za celkové řízení a rozvoj kybernetické bezpečnosti v rámci povinné osoby. b) Tvorba rámce kybernetické bezpečnosti, směrování a zásad kybernetické bezpečnosti povinné osoby (definování strategických cílů a směrování rozvoje v oblasti kybernetické bezpečnosti). c) Definice rolí a odpovědností v rámci systému řízení bezpečnosti informací. d) Definice požadavků na podávání zpráv a kontrolu systému řízení bezpečnosti informací. e) Kontrola aktuálního stavu kybernetické bezpečnosti v rámci povinné osoby a zjišťování, zda dochází k naplňování plánovaných cílů. Další podmínky:a) Člen výboru pro řízení kybernetické bezpečnosti musí být alespoň 1. zástupce vrcholového vedení nebo jím pověřené osoby, 2. manažer kybernetické bezpečnosti. b) Členové výboru pro řízení kybernetické bezpečnosti se pravidelně scházejí, přičemž průběh a výstupy z jednání jsou uchovávány v listinné nebo elektronické podobě. Tab. 2: Manažer kybernetické bezpečnosti Role:Manažer kybernetické bezpečnostiKlíčové činnosti:a) Odpovědnost za řízení systému řízení bezpečnosti informací. b) Pravidelný reporting pro vrcholové vedení povinné osoby. c) Pravidelná komunikace s vrcholovým vedením povinné osoby. d) Předkládání Zpráv o hodnocení aktiv a rizik, Plánu zvládání rizik a Prohlášení o aplikovatelnosti výboru pro řízení kybernetické bezpečnosti. e) Poskytování pokynů pro zajištění bezpečnosti informací při vytváření, hodnocení, výběru, řízení a ukončení dodavatelských vztahů v oblasti ICT. f) Komunikace s GovCERT/CSIRT. g) Podílení se na procesu řízení rizik. h) Koordinace řízení incidentů. i) Vyhodnocování vhodnosti a účinnosti bezpečnostních opatření.Znalosti:a) Normy řady ISO/IEC 27000 a obdobné normy z oblasti bezpečnosti a ICT. b) Přehled v oblasti ICT (operační systémy, databáze, aplikace, datové sítě) s důrazem na bezpečnost c) Řízení rizik. d) Řízení kontinuity činností. e) Relevantní právní a regulatorní požadavky, zejména zákon. f) Kontext povinné osoby.Zkušenosti:a) Prosazování systému řízení bezpečnosti informací. b) Porozumění definicím rizik a rizikovým scénářům. c) Řízení rizik v rámci povinné osoby. d) Schopnost interpretovat výsledky řízení rizik a koordinovat zvládání rizik.Vzdělání a praxe:a) Alespoň 3 roky praxe v oboru informační nebo kybernetické bezpečnosti, nebo b) absolvování studia na vysoké škole a alespoň 1 rok praxe v oboru informační nebo kybernetické bezpečnosti.Relevantní certifikace*:Certified Information Security Manager (CISM), Certified in Risk and Information Systems Control (CRISC), Certified Information Systems Security Professional (CISSP), Manažer BI (akreditační schéma ČIA).Další podmínky:a) Role není slučitelná s rolemi odpovědnými za provoz informačního a komunikačního systému a s dalšími provozními či řídicími rolemi. b) Pro správný výkon této role je zapotřebí zajistit potřebné pravomoci, odpovědnost a rozpočet. Tab. 3: Architekt kybernetické bezpečnosti Role:Architekt kybernetické bezpečnostiKlíčové činnosti:a) Odpovědnost za návrh implementace bezpečnostních opatření. b) Zajišťování architektury bezpečnosti.Znalosti:a) Architektura informačních a komunikačních systémů a její navrhování. b) Hardwarové komponenty, nástroje a architektury. c) Operační systémy a software. d) Podnikové procesy a jejich integrace a závislost na ICT. e) Řízení bezpečnosti a rizik. f) Bezpečnost komunikací a sítí. g) Řízení identit a přístupů. h) Hodnocení a testování bezpečnosti. i) Bezpečnost provozu. j) Základní principy bezpečného vývoje softwaru. k) Integrace a závislosti ICT a obchodních procesů.Zkušenosti:a) Navrhování implementace bezpečnostních opatření. b) Navrhování architektury bezpečnosti se zaměřením na cíle a bezpečnost. c) Bezpečnost vývoje softwaru.Vzdělání a praxe:a) Alespoň 3 roky praxe v oboru informační nebo kybernetické bezpečnosti, nebo b) absolvování studia na vysoké škole a alespoň 1 rok praxe v oboru informační nebo kybernetické bezpečnosti.Relevantní certifikace*:Certified Ethical Hacker (CEH), CompTIA Security +, Certified Information Security Manager (CISM), Certified in Risk and Information Systems Control (CRISC), Certified Information Systems Security Professional (CISSP), Manažer BI (akreditační schéma ČIA).Další podmínky:Role není slučitelná s rolemi odpovědnými za provoz informačních a komunikačních systémů. Tab. 4: Auditor kybernetické bezpečnosti Role:Auditor kybernetické bezpečnostiKlíčové činnosti:Provádění auditu kybernetické bezpečnosti.Znalosti:a) Metodologie a rámce auditu informační bezpečnosti. b) Procesy a postupy interního auditu. c) Role a funkce interního auditu. d) Proces provádění auditu ICT bezpečnosti. e) Strategické a taktické řízení ICT. f) Akvizice, vývoj a nasazení ICT. g) Řízení provozu, údržby a služeb ICT. h) Ochrana aktiv. i) Hodnocení kybernetické bezpečnosti, metody testování a vzorkování. j) Relevantní právní předpisy. k) ICT bezpečnost.Zkušenosti:a) Plánování auditů informační nebo kybernetické bezpečnosti. b) Provádění auditů kybernetické bezpečnosti nebo auditů systému řízení bezpečnosti informací. c) Analyzování výsledků auditů. d) Psaní auditních závěrů, jejich prezentace a navrhování doporučení vedoucích k nápravě nálezů. e) Reporting stavu plnění zákonných požadavků. f) Provádění auditů se zaměřením na ICT a informační nebo kybernetickou bezpečnost.Vzdělání a praxe:a) Alespoň 3 roky praxe v oblasti auditu informační nebo kybernetické bezpečnosti, nebo b) absolvování studia na vysoké škole a alespoň 1 rok praxe v oblasti auditu informační nebo kybernetické bezpečnosti.Relevantní certifikace*:Certified Information Systems Auditor (CISA), Certified Internal Auditor (CIA), Certified in Risk and Information Systems Control (CRISC), Lead Auditor Information Security Management System (Lead Auditor ISMS), Auditor BI (akreditační schéma ČIA).Další podmínky:a) Role není slučitelná s rolemi 1. výboru pro řízení kybernetické bezpečnosti, 2. manažera kybernetické bezpečnosti, 3. architekta kybernetické bezpečnosti, 4. garanta aktiva. b) Role není slučitelná s rolemi odpovědnými za provoz informačních a komunikačních systémů. Tab. 5: Garant aktiva Role:Garant aktiva Klíčové činnosti:a) Odpovědnost za zajištění rozvoje, použití a bezpečnosti aktiva. b) Spolupráce s ostatními osobami zastávajícími bezpečnostní role. Znalosti:a) Dobrá znalost aktiva, jehož je garantem. b) Dobrá znalost interních bezpečnostních politik a metodik (například Metodika pro hodnocení aktiv a rizik). * Certifikace může být i jiná než uvedená, jestliže certifikace dokládající odbornou způsobilost bezpečnostních rolí splňuje požadavky ISO 17 024. Příloha č. 7 k vyhlášce č. 82/2018 Sb. Obsah smlouvy uzavírané s významnými dodavateli: a) ustanovení o bezpečnosti informací (z pohledu důvěrnosti, dostupnosti a integrity), b) ustanovení o oprávnění užívat data, c) ustanovení o autorství programového kódu, popřípadě o programových licencích, d) ustanovení o kontrole a auditu dodavatele (pravidla zákaznického auditu), e) ustanovení upravující řetězení dodavatelů, přičemž musí být zajištěno, že poddodavatelé se zaváží dodržovat v plném rozsahu ujednání mezi povinnou osobou a dodavatelem a nebudou v rozporu s požadavky povinné osoby na dodavatele, f) ustanovení o povinnosti dodavatele dodržovat bezpečnostní politiky povinné osoby nebo ustanovení o odsouhlasení bezpečnostních politik dodavatele povinnou osobou, g) ustanovení o řízení změn, h) ustanovení o souladu smluv s obecně závaznými právními předpisy, i) ustanovení o povinnosti dodavatele informovat povinnou osobu o 1. kybernetických bezpečnostních incidentech souvisejících s plněním smlouvy, 2. způsobu řízení rizik na straně dodavatele a o zbytkových rizicích souvisejících s plněním smlouvy, 3. významné změně ovládání tohoto dodavatele podle zákona o obchodních korporacích nebo změně vlastnictví zásadních aktiv, popřípadě změně oprávnění nakládat s těmito aktivy, využívaných tímto dodavatelem k plnění podle smlouvy se správcem, j) specifikace podmínek z pohledu bezpečnosti při ukončení smlouvy (například přechodné období při ukončení spolupráce, kdy je třeba ještě udržovat službu před nasazením nového řešení, migrace dat a podobně), k) specifikace podmínek pro řízení kontinuity činností v souvislosti s dodavateli (například zahrnutí dodavatelů do havarijních plánů, úkoly dodavatelů při aktivaci řízení kontinuity činností), l) specifikace podmínek pro formát předání dat, provozních údajů a informací po vyžádání správcem, m) pravidla pro likvidaci dat, n) ustanovení o právu jednostranně odstoupit od smlouvy v případě významné změny kontroly nad dodavatelem nebo změny kontroly nad zásadními aktivy využívanými dodavatelem k plnění podle smlouvy a o) ustanovení o sankcích za porušení povinností. Příloha č. 8 k vyhlášce č. 82/2018 Sb. 1) Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii.