Указ No 315/2021 Сб.
Указ об уровнях безопасности для использования облачных вычислений государственными органами
Действующий
Приказ
Действует с 01.09.2021
Версии текста:
01.09.2021
31.08.2021
315
Декларация
от 24 августа 2021 года
на уровнях безопасности для использования облачных вычислений государственными органами
В соответствии со статьей 28 (2) (а) Закона No 181 / 2014 Coll. о кибербезопасности и о внесении изменений в соответствующие законы (Закон о кибербезопасности), с поправками, внесенными Законом No 205 / 2017 Coll. («Закон»), Национальное ведомство по кибербезопасности и информационной безопасности предусматривает:
Тема вопроса
Этот указ устанавливает уровни безопасности для использования облачных вычислений государственными органами в соответствии со статьей 6 (е) Закона.
Определение терминов
Для целей настоящего Указа:
(a) запрашиваемой информационной или коммуникационной системы облачных вычислений в целом или ее части, которая может управляться облачными вычислениями и которую государственный орган обязан включить в уровень безопасности;
(b) часть информационной или коммуникационной системы, которая является четко отделимой, обеспечивает целевую и систематическую информационную деятельность (1), может управляться облачными вычислениями и определяется с точки зрения функциональных категорий, архитектуры, операционной модели и безопасности;
(c) области воздействия, определенные областью, в которой инцидент с кибербезопасностью может повлиять на запрашиваемые облачные вычисления, защиту персональных данных, уголовное право, государственную политику, международные отношения, управление и эксплуатацию, доверие, финансовую модель или предоставление услуг;
(d) уровень воздействия низкого, среднего, высокого или критического значения, соответствующий воздействию инцидента кибербезопасности на облачные вычисления, требуемый в каждой области воздействия.
Уровень безопасности
Уровень безопасности для использования облачных вычислений государственными органами выражает возможные последствия инцидента кибербезопасности для запрашиваемых облачных вычислений. Уровень безопасности низкий, средний, высокий или критический.
Классификация запрашиваемых облачных вычислений на уровень безопасности
(1) Включение запрашиваемых облачных вычислений в уровень безопасности осуществляется государственным органом в соответствии с Приложением к настоящему Указу. Государственный орган должен оценить степень воздействия, которое может оказать спрос на облачные вычисления в каждой области воздействия. Уровень воздействия в каждой зоне воздействия обусловлен самым худшим из возможных последствий инцидента с кибербезопасностью.
(2) При определении наихудшего возможного воздействия инцидента, связанного с кибербезопасностью, государственный орган должен принимать во внимание потенциальное нарушение конфиденциальности, целостности и доступности запрашиваемых облачных вычислений, а также характер системы информации или связи, которая является запрашиваемыми облачными вычислениями в целом. Если запрашиваемой облачной вычислительной системой является только часть информационной или коммуникационной системы, она также должна учитывать связь этой части с уровнем безопасности информационной или коммуникационной системы в целом.
(3) Уровень безопасности использования запрашиваемых облачных вычислений государственным органом равен самому высокому уровню воздействия, достигнутому запрашиваемыми облачными вычислениями при оценке отдельных областей воздействия.
(4) Информационная или коммуникационная система, которая является важной информационной системой в соответствии с законом, соответствует высокому уровню безопасности, когда потребность в облачных вычислениях заключается в том, что информационная или коммуникационная система в целом и когда государственный орган не включен в критический уровень безопасности в соответствии с процедурой, упомянутой в предыдущих пунктах.
(5) Информационная или коммуникационная система, которая является критической информационной инфраструктурой в соответствии с законом, соответствует критическому уровню безопасности, когда облачные вычисления требуют, чтобы эта информация или система связи в целом.
(6) Максимальный уровень безопасности информационной или коммуникационной системы в целом должен быть установлен для по меньшей мере одной части информационной или коммуникационной системы, которая является требованием облачных вычислений.
(7) Письменный отчет о процессе определения уровня безопасности облачных вычислений, запрошенный в соответствии с предыдущими пунктами, должен быть сделан государственным органом. Модель письменной записи публикуется на ее веб-сайте Национальным органом по кибербезопасности и информационной безопасности.
эффективность
Настоящий Указ вступает в силу на следующий день после его опубликования.
Директор:
Инг, Греция
Приложение к Указу No 315/2021 Сб.
Уровни и области воздействия для включения запрашиваемых облачных вычислений в уровень безопасности
| Úroveň dopadu | Oblast dopadu | ||||||||
|---|---|---|---|---|---|---|---|---|---|
| A. Bezpečnost a zdraví lidí | B. Ochrana osobních údajů | C. Trestněprávní řízení | D. Veřejný pořádek | E. Mezinárodní vztahy | F. Řízení a provoz | G. Důvěryhodnost | H. Finanční model | I. Zajišťování služeb | |
| 1. Nízká | Nemůže vést ke zranění jednotlivce ani skupiny lidí. | Nemůže ovlivnit | Nemůže vytvořit podmínky pro páchání | Nemůže zapříčinit hromadné nepokoje nebo jinak narušit veřejný pořádek. | Nemůže negativně ovlivnit obraz České republiky v zahraničí. | Nemůže narušit řádné fungování nebo řízení ani části orgánu veřejné moci, nebo může narušit řádné fungování části nebo celého orgánu veřejné moci, avšak nemůže závažně omezit nebo zastavit provádění důležitých činností orgánu veřejné moci. | Nemůže negativně ovlivnit vztahy s jinými částmi orgánu veřejné moci, jinými organizacemi nebo vztahy s veřejností, nebo může vztahy s nimi negativně ovlivnit, avšak negativní následky mohou být nejvýše lokální. | Nemůže ani nepřímo vést k finančním ztrátám, nebo může vést k finančním ztrátám menším než 1 % běžných výdajů ročního rozpočtu orgánu veřejné moci. | Nemůže způsobit omezení, narušení nebo nedostupnost žádných poskytovaných služeb, nebo může způsobit omezení, narušení nebo nedostupnost poskytovaných služeb pro 5 000 a méně osob. |
| 2. Střední | Může vést ke zranění jednotlivce nebo skupiny nejvíce 100 lidí. | Může negativně ovlivnit | Může vytvořit podmínky pro páchání | Může zapříčinit hromadné nepokoje nebo jinak narušit veřejný pořádek s lokálními dopady. | Může negativně ovlivnit obraz České republiky v sousedních státech. | Může narušit řádné fungování části nebo celého orgánu veřejné moci, přičemž může závažně omezit nebo zastavit provádění důležitých činností orgánu veřejné moci. | Může negativně ovlivnit vztahy s jinými částmi orgánu veřejné moci, jinými organizacemi nebo vztahy s veřejností, avšak negativní následky mohou být nejvýše regionální. | Může vést k finančním ztrátám ve výši mezi 1 % a 5 % běžných výdajů ročního rozpočtu orgánu veřejné moci a tyto ztráty odpovídají částce 100 000 Kč a vyšší. V případě, že výše finanční ztráty odpovídá částce nižší než 100 000 Kč, použije se | Může způsobit omezení, narušení nebo nedostupnost služeb pro více než 5 000, nejvíce však 50 000 osob. |
| 3. Vysoká | Může vést ke zranění skupiny více než 100 lidí a nejvíce 2 500 lidí nebo přímému ohrožení nebo ztrátě života jednotlivce nebo skupiny nejvíce 250 lidí. | Může negativně ovlivnit | Může vést k narušení vyšetřování trestné činnosti nebo soudního řízení v rámci | Může zapříčinit hromadné nepokoje nebo jinak závažně narušit veřejný pořádek s regionálními dopady. | Může negativně ovlivnit obraz České republiky ve světě. | Může narušit řádné fungování části nebo celého orgánu veřejné moci, přičemž může závažně omezit nebo zastavit provádění důležitých činností orgánu veřejné moci a narušit řízení, poškodit rozvoj nebo poškodit prosazování cílů a zájmů orgánu veřejné moci. | Může negativně ovlivnit vztahy s jinými částmi orgánu veřejné moci, jinými organizacemi nebo vztahy s veřejností, avšak negativní následky mohou být nejvýše celostátní nebo krátkodobě mezinárodní. | Může vést k finančním ztrátám ve výši přesahující 5 % a maximálně 10 % běžných výdajů ročního rozpočtu orgánu veřejné moci a tyto ztráty odpovídají částce 1 000 000 Kč a vyšší, nebo může způsobit hospodářské ztráty státu ve výši mezi 0,1 % a 0,5 % hrubého domácího produktu. V případě, že výše finanční ztráty odpovídá částce nižší než 1 000 000 Kč, použije se | Může způsobit omezení, narušení nebo nedostupnost služeb pro více než 50 000 osob. |
| 4. Kritická | Může vést ke zranění skupiny více než 2 500 lidí nebo přímému ohrožení nebo ztrátě života skupiny více než 250 lidí. | Může vést k omezení nebo narušení zpracování osobních údajů, které je nezbytné pro zajišťování obranných a bezpečnostních zájmů České republiky. | Může vést k závažnému a dlouhodobému narušení schopnosti vyšetřovat trestnou činnost nebo zpochybnění soudního řízení v rámci | Může být dotčen prvek kritické infrastruktury provozovaný orgánem veřejné moci, který | Může negativně ovlivnit nebo poškodit diplomatické vztahy České republiky. | Může být dotčen prvek kritické infrastruktury provozovaný orgánem veřejné moci, který | Může být dotčen prvek kritické infrastruktury provozovaný orgánem veřejné moci, který | Může vést k finančním ztrátám přesahujícím 10 % běžných výdajů ročního rozpočtu orgánu veřejné moci a tyto ztráty odpovídají částce 10 000 000 Kč a vyšší, nebo může způsobit hospodářské ztráty státu vyšší než 0,5 % hrubého domácího produktu. V případě, že výše finanční ztráty odpovídá částce nižší než 10 000 000 Kč, použije se | Může být dotčen prvek kritické infrastruktury provozovaný orgánem veřejné moci, který |
Группы критериев воздействия B. Защита персональных данных
(1) Первый набор критериев состоит из следующих критериев:
(a) персональные данные обрабатываются для того, чтобы субъект данных мог без дальнейших задержек выполнять или действовать от имени субъекта данных в условиях, связанных с ущербом чести, репутации или характеру, или позволять субъекту данных отзывать услуги, товары или, при необходимости, собирать деньги или другие активы от имени субъекта данных;
(b) персональные данные обрабатываются в соответствии с тем, что субъект данных классифицируется как член группы с ограниченной по времени или конкретной ситуацией уязвимости;
(c) осуществляется обработка персональных данных, которая затрагивает или может обоснованно повлиять на от 5 000 до 10 000 субъектов данных;
(d) персональные данные являются общедоступными для неограниченного числа органов или лиц; и
(e) обработка персональных данных системой, связанной с другой обработкой, осуществляемой тем же контроллером данных или другими контроллерами персональных данных.
(2) Вторая группа критериев состоит из следующих критериев:
(a) обработка конкретных категорий персональных данных или данных исключительно личного характера, в частности финансовых данных о состоянии имущества, сумме средств, задолженности или кредитах или платежной морали, записей истории частных звонков субъектов данных, данных электронной почты субъектов данных и т.п.;
(b) осуществляется обработка персональных данных, которая затрагивает или, как ожидается, затрагивает более 10 000 субъектов данных; и
c происходит автоматизированное принятие решений, затрагивающих субъекта данных.
1 § 2 а Закона No 365/2000 Сб. об информационных системах государственного управления и о внесении изменений в некоторые другие законы с внесенными в них поправками.
Войдите для заметок, избранного и уведомлений
Информация об акте
| Цитирование | Постановление No 315/2021 Сб. об уровнях безопасности использования облачных вычислений органами государственной власти |
|---|---|
| Тип акта | Приказ |
| Автор | - |
| Сборник | Сборник законов |
| Дата опубликования | 31.08.2021 |
|---|---|
| Действует с | 01.09.2021 |
| Действует до | - |
| Статус | Действующий |
Публичные контракты 5
Smlouva o dílo - Provedení studie variantního řešení obnovy datových center Ministerstva kultury
Česká republika - Ministerstvo kultury
Ing. Roman Kalný, CSc.
199 650 крон
05.08.2025
Migrace do Microsoft 365
Národní knihovna České republiky
KSP Computer & Services, s.r.o.
1 125 300 крон
13.06.2025
Elektronické potvrzení o studiu pro vysokoškolské studenty – eSIMS
Ministerstvo školství, mládeže a tělovýchovy
Gappex s.r.o.
1 593 570 крон
07.04.2025
Smlouva o poskytování služeb cloud computingu
Město Horní Slavkov
Aricoma Systems a.s.
688 139 крон
19.02.2024
Smlouva o zajištění provozu programového rpduktu GINIS Expres SQL
Základní škola a Mateřská škola Tábor, Čekanice, P...
GORDIC spol. s r.o.
14.09.2023
Уведомления
Уведомления
Источник:
Hlídač státu
(CC BY 3.0 CZ)
Текст нормативного акта носит информационный характер.
Комментарии 0