Указ No 82/2018 Сб.
Постановление о мерах безопасности, инцидентах кибербезопасности, реактивных мерах, процедурных формальностях в области кибербезопасности и уничтожения данных (Положение о кибербезопасности)
Действующий
Действует с 28.05.2018
Zobrazeno prvních 200 z celkem 899 ustanovení tohoto předpisu.
Zobrazit celý předpis →
Pro stažení celého znění použijte tlačítko Stáhnout výše.
82
Декларация
от 21 мая 2018 года
о мерах безопасности, инцидентах кибербезопасности, реактивных мерах, процедурных формальностях в области кибербезопасности и уничтожения данных (Заказ о кибербезопасности)
Национальное бюро кибербезопасности и информационной безопасности определяет в соответствии со статьей 28 (2) (a)-(d) и (f) Закона No 181 / 2014 Coll. о кибербезопасности и о внесении изменений в соответствующие законы (Закон о кибербезопасности), с поправками, внесенными Законом No 104 / 2017 Coll. и Законом No 205 / 2017 Coll. («Закон»):
ИНТРОДУКТУРНЫЕ ПРОВИДЕНЦИИ
Тема вопроса
Настоящий Указ реализует соответствующий Регламент Европейского Союза1 и Информационную систему критической информационной инфраструктуры, Систему коммуникации критической информационной инфраструктуры, Значительную информационную систему, Базовую информационную систему обслуживания или Систему электронных коммуникаций, используемую Поставщиком цифровых услуг (далее именуемую Информационно-коммуникационной системой).
(a) содержание и структура документации по безопасности;
b) содержание и объем мер безопасности;
(c) виды, категории и оценки значимости инцидентов кибербезопасности;
d формальности и средства сообщения об инциденте, связанном с кибербезопасностью;
e сведения об уведомлении об осуществлении реактивной меры и ее результатах;
f) модель уведомления о контактных данных и ее форма; и
g порядок распоряжения данными, оперативными данными, информацией и их копиями.
Определение терминов
Для целей настоящего Указа:
(a) администратор лица, обеспечивающего управление, эксплуатацию, использование, обслуживание и безопасность технического актива;
(b) приемлемый риск, который является приемлемым для органа власти или лица, обязанного ввести меры безопасности в соответствии с законом (далее именуемого «обязанное лицо») и не нуждается в управлении другими мерами безопасности;
(c) политика безопасности - совокупность принципов и правил, определяющих способ обеспечения защиты активов;
(d) оценка рисков общего процесса выявления, анализа и оценки рисков;
(e) угроза потенциальной причине инцидента кибербезопасности или инцидента кибербезопасности, который может нанести ущерб;
(f) технический актив, персонал и поставщики, участвующие в эксплуатации, разработке, управлении или безопасности информационно-коммуникационной системы;
(g) основным активом является информация или услуга, которую она обрабатывает или предоставляет информационно-коммуникационной системе;
(h) риск угрозы, использующей уязвимость актива и причиняющей ущерб;
(i) деятельность по управлению рисками, включающая оценку рисков, выбор и осуществление мер по управлению рисками, обмен информацией о рисках и мониторинг и обзор рисков;
(j) система управления информационной безопасностью является частью системы управления обязанного лица, основанной на доступе к рискам информационно-коммуникационной системы, которая предусматривает создание, внедрение, эксплуатацию, мониторинг, обзор, поддержание и улучшение безопасности информации и данных;
k технический актив такого технического оборудования, средств связи и программного обеспечения информационно-коммуникационной системы и объектов, в которых расположены такие системы, отказ которых может оказать влияние на информационно-коммуникационную систему;
(l) пользователем, физическим или юридическим лицом или государственным органом, использующим активы;
m высшее руководство лица или группы лиц, находящихся под управлением обязанного лица или уставного органа обязанного лица;
(n) важным поставщиком оператора информационно-коммуникационной системы (далее именуемого «оператор») и любым лицом, вступающим в правоотношения с обязанным лицом, что имеет отношение к безопасности информационно-коммуникационной системы;
значительное изменение, которое оказывает или может оказать влияние на кибербезопасность и представляет высокий риск;
(p) уязвимость к слабой точке актива или слабой точке меры безопасности, которая может быть неправильно использована одной или несколькими угрозами.
Меры безопасности
ОРГАНИЗАЦИОННЫЕ МЕРЫ
Система управления информационной безопасностью
Обязательное лицо в рамках системы управления информационной безопасностью
a устанавливает с учетом требований заинтересованных сторон и организационной безопасности объем системы управления информационной безопасностью, в которой она определяет организационные части и активы, охватываемые системой управления информационной безопасностью;
b) определить цели системы управления информационной безопасностью;
(c) осуществлять адекватные меры безопасности для определенной области применения системы менеджмента информационной безопасности на основе целей системы менеджмента информационной безопасности, потребностей в безопасности и оценки рисков;
(d) управлять рисками, указанными в Статье 5;
(e) устанавливает и утверждает политику безопасности в области системы управления информационной безопасностью, которая содержит руководящие принципы, цели, потребности в безопасности, права и обязательства в отношении управления информационной безопасностью, и, на основе потребностей в безопасности и результатов оценки риска, устанавливает политику безопасности в других областях, упомянутых в статье 30, и осуществляет адекватные меры безопасности;
(f) обеспечить проведение аудита кибербезопасности информационно-коммуникационной системы (далее именуемого «аудит кибербезопасности») в соответствии со статьей 16;
g обеспечивать регулярную оценку эффективности системы управления информационной безопасностью, которая включает оценку состояния системы управления информационной безопасностью, включая обзор оценки рисков, оценку результатов проведенных аудитов кибербезопасности и влияния инцидентов кибербезопасности на систему управления информационной безопасностью;
(h) постоянно выявлять и впоследствии управлять значительными изменениями, которые подпадают под сферу применения системы менеджмента информационной безопасности в соответствии со статьей 11;
(i) обновить систему управления информационной безопасностью и соответствующую документацию на основе результатов аудитов кибербезопасности, результатов оценки эффективности системы управления информационной безопасностью и в контексте внесения существенных изменений; и
(j) управлять функционированием и ресурсами системы управления информационной безопасностью и регистрировать деятельность, связанную с системой управления информационной безопасностью и управлением рисками.
Управление активами
(1) Обязательное лицо в управлении активами
а) разработать методологию идентификации активов;
(b) разработать методологию оценки активов, по крайней мере, в объеме, указанном в Приложении 1 к настоящему Указу;
c идентифицировать и регистрировать активы;
d выявлять и регистрировать гарантии активов;
(e) оценивать и регистрировать основные активы с точки зрения конфиденциальности, целостности и доступности и включать их в различные уровни, указанные в пункте (b);
f выявлять и регистрировать связи между первичными и вспомогательными активами и оценивать последствия зависимости между первичными и вспомогательными активами;
g оценивать вспомогательные активы с учетом, в частности, взаимозависимости, упомянутой в пункте f;
h на основе оценки активов определить и ввести правила защиты, необходимые для защиты различных уровней активов;
i устанавливает допустимые средства использования активов и правила обращения с активами в отношении уровня активов, включая правила безопасного электронного обмена и физической передачи активов; и
(j) определить, каким образом данные, оперативные данные, информация и их копии или технические носители данных должны быть удалены в отношении уровня активов в соответствии с Приложением 4 к настоящему Регламенту.
2 При оценке важности первичных активов, по крайней мере
(a) объем и важность персональных данных, конкретных категорий персональных данных или коммерческой тайны;
b объем соответствующих юридических обязательств или других обязательств;
c степень, в которой затрагиваются внутренние мероприятия по управлению и контролю;
d ущерб государственным, коммерческим или экономическим интересам и потенциальные финансовые потери;
e воздействие на предоставление важных услуг;
f степень нарушения нормальной деятельности;
g последствия для сохранения репутации или защиты репутации;
h) воздействие на безопасность и здоровье людей;
i) воздействие на международные отношения; и
j) воздействие на пользователей информационно-коммуникационной системы.
Управление рисками
(1) Обязательное управление рисками после § 4
а разработать методологию оценки рисков, включая установление критериев принятия рисков;
b определяет соответствующие угрозы и уязвимость в отношении активов; в частности, рассматривает категории угроз и уязвимостей, перечисленные в Приложении 3 к нему;
c проводить оценку риска через регулярные промежутки времени, указанные в пункте 2, и в случае значительных изменений;
d при оценке рисков учитывать соответствующие угрозы и уязвимость и оценивать потенциальное воздействие на активы; риски оцениваются, по крайней мере, в объеме Приложения 2 к настоящему Указу;
подготовить отчет об оценке рисков;
f на основе потребностей в области безопасности и результатов оценки риска составляет декларацию о применимости, которая включает обзор мер безопасности, требуемых настоящим декретом, которые:
1 не применяется, включая обоснование,
2. применялся, в том числе способ его проведения;
g разрабатывает и осуществляет план управления рисками, содержащий цели и выгоды мер безопасности для управления индивидуальными рисками, идентификацию лица, обеспечивающего применение мер безопасности для управления рисками, необходимые финансовые, технические, людские и информационные ресурсы, сроки их осуществления, описание связей между рисками и соответствующими мерами безопасности и способы осуществления мер безопасности;
(h) план оценки рисков и управления рисками должен учитывать:
1. значительные изменения;
2. изменения в сфере применения системы управления информационной безопасностью;
3 меру, предусмотренную статьей 11 Закона; и
4. инциденты, связанные с кибербезопасностью, включая ранее рассмотренные; и
(i) осуществлять меры безопасности в соответствии с планом управления рисками.
(2) Обязательное лицо, указанное в § 3 (с), (d) и (f) Закона, проводит оценку риска не реже одного раза в год, а обязательное лицо, указанное в § 3 (е) Закона, не реже одного раза в три года.
(3) Управление рисками может также обеспечиваться способами, отличными от тех, которые предусмотрены в пункте 1 (d), при условии, что должник обеспечивает, чтобы применяемые меры обеспечивали тот же или более высокий уровень процесса управления рисками.
Организационная безопасность
(1) Обязательное лицо в отношении системы управления информационной безопасностью
(a) обеспечить, чтобы политика безопасности и цели системы управления информационной безопасностью были установлены в соответствии со Статьей 3, совместимой со стратегическим направлением обязанного лица;
(b) обеспечить интеграцию системы управления информационной безопасностью в процессы обязанного лица;
c обеспечить наличие ресурсов, необходимых для системы управления информационной безопасностью;
(d) информировать работников о важности системы управления информационной безопасностью и важности соблюдения ее требований со всеми заинтересованными сторонами;
(e) обеспечивать поддержку для достижения намеченных результатов системы управления информационной безопасностью;
(f) ведет сотрудников к разработке и поддержке эффективности системы управления информационной безопасностью в этой области;
g содействовать постоянному совершенствованию системы управления информационной безопасностью;
(h) оказывать поддержку субъектам безопасности в продвижении кибербезопасности в областях их ответственности;
i обеспечить установление правил для идентификации администраторов и лиц, представляющих функции безопасности;
j обеспечивать сохранение конфиденциальности администраторов и лиц, представляющих функции безопасности;
k обеспечить надлежащие полномочия и ресурсы для лиц, представляющих функции безопасности, включая бюджетные средства, для выполнения своих функций и выполнения связанных с ними задач; и
(l) обеспечить тестирование планов непрерывности деятельности, восстановления и процессов, связанных с управлением инцидентами кибербезопасности.
(2) Обязательное лицо в рамках системы управления информационной безопасностью определяет состав комитета по управлению кибербезопасностью и свои права и обязанности, связанные с системой управления информационной безопасностью.
(3) Обязательным лицом, упомянутым в § 3 (с), (d) и (f) Закона, должно быть лицо, которое будет играть роль безопасности.
менеджер по кибербезопасности,
Архитектор кибербезопасности,
(c) гарантии активов; и
(d) аудитора по кибербезопасности.
(4) Обязательным лицом, указанным в разделе 3 (е) Закона, будет определена роль менеджера по кибербезопасности и гаранта активов. Другие функции обеспечения безопасности, указанные в пункте 3, должны определяться соответствующим образом в отношении объема и потребностей системы управления информационной безопасностью.
(5) Обязательное лицо, указанное в § 3 (с), (d) и (f) Закона, гарантирует, что функции обеспечения, указанные в пункте 3 (а) и (b), являются заменяемыми.
(6) Обязательное лицо, указанное в разделе 3 (е) Закона, обеспечивает заменяемость роли менеджера по кибербезопасности.
(7) Комитет по управлению кибербезопасностью состоит из лиц, обладающих соответствующими полномочиями и компетенцией для общего управления и развития системы управления информационной безопасностью, а также лиц, в значительной степени участвующих в управлении и координации деятельности в области кибербезопасности, членом которого является по меньшей мере один представитель высшего руководства или высшего руководства и менеджер по кибербезопасности. Обязательное лицо в Комитете по управлению кибербезопасностью принимает во внимание рекомендации, изложенные в Приложении 6 к настоящему Постановлению.
Роль безопасности
(1) Менеджер по кибербезопасности
(a) роль в области безопасности несет ответственность за систему управления информационной безопасностью, выполнение которой может быть поручено лицу, которое обучено для этой деятельности и демонстрирует компетентность опыта в области управления кибербезопасности или управления информационной безопасностью.
1 в течение не менее трех лет; или
2. сроком на один год, если она окончила университет,
b нести ответственность за регулярное информирование высшего руководства о:
1 деятельность, вытекающая из степени ее ответственности; и
2 состояние системы управления информационной безопасностью; и
c не возлагается на выполнение функций, ответственных за функционирование информационно-коммуникационной системы.
(2) Архитектор кибербезопасности несет ответственность за обеспечение проектирования реализации мер безопасности, чтобы обеспечить безопасную архитектуру информационно-коммуникационной системы, выполнение которой может быть поручено лицу, которое обучено для этой деятельности, и продемонстрировать компетентность практики проектирования реализации мер безопасности и обеспечения архитектуры безопасности.
а не менее трех лет; или
b) сроком на один год, если она окончила университет.
(3) Гарантом актива является роль обеспечения, отвечающая за обеспечение разработки, использования и безопасности актива.
(4) Аудитор кибербезопасности
(a) ответственность за проведение аудита кибербезопасности, выполнение которого может быть возложено на лицо, которое обучено для этой деятельности и демонстрирует компетентность практики проведения аудитов кибербезопасности или аудитов системы управления информационной безопасностью.
1 в течение не менее трех лет; или
2. сроком на один год, если она окончила университет,
b обеспечивает беспристрастность аудита кибербезопасности; и
c не несет ответственности за выполнение других функций по обеспечению безопасности.
(5) При определении лиц, выполняющих охранные функции, обязательное лицо принимает во внимание рекомендации, изложенные в Приложении 6 к настоящему Указу.
Управление поставщиками
(1) Обязательное лицо
а устанавливает правила для поставщиков, учитывающие требования системы менеджмента информационной безопасности;
(b) вести учет своих значительных поставщиков;
(c) достоверно информировать своих значительных поставщиков в письменной форме о своих записях, упомянутых в пункте (b);
d уведомляет своих поставщиков о правилах, упомянутых в пункте а, и требует соблюдения этих правил;
управлять рисками, связанными с поставщиками;
(f) в связи с управлением рисками, связанными со значительными поставщиками, обеспечить, чтобы контракты, заключенные со значительными поставщиками, включали соответствующие области, перечисленные в Приложении 7 к настоящему Указу; и
g) регулярно проводить обзор выполнения контрактов со значительными поставщиками с точки зрения системы управления информационной безопасностью.
(2) Обязательное лицо для крупных поставщиков
(a) в контексте процедуры отбора и до заключения договора проводить оценку рисков, связанных с выполнением предмета процедуры отбора, mutatis mutandis, в соответствии с Приложением 2 к настоящему Указу;
b устанавливает в рамках заключенных договорных отношений методы и уровни осуществления мер безопасности и определяет содержание взаимной договорной ответственности за установление и контроль мер безопасности;
c проводить регулярные оценки рисков и периодические проверки существующих мер безопасности для достижения результатов, предоставляемых за счет собственных ресурсов или через третью сторону; и
d) обеспечить их устранение в ответ на выявленные риски и недостатки.
3) Элементами проверяемой информации, упомянутой в пункте 1 с), являются:
a) идентификация АИФМ или оператора;
b) идентификация информационно-коммуникационной системы;
c) определение значительного поставщика;
(d) понимание того, что поставщик является важным поставщиком АИФМ и, в соответствующих случаях, что значительный поставщик также является оператором; и
e) содержание правил, упомянутых в пункте 1 а).
(4) Обязательное лицо, указанное в § 3 (с)-(f) Закона, которое является оператором и было явно проинформировано в соответствии с пунктом 1 (с), сообщает контактные данные по форме, указанной в § 34.
Безопасность людских ресурсов
(1) Обязательное лицо в управлении безопасностью людских ресурсов
(a) в свете состояния и потребностей системы управления информационной безопасностью, она должна разработать план развития осведомленности о безопасности, направленный на обеспечение надлежащего образования и повышения осведомленности о безопасности, который должен включать форму, содержание и объем:
1. уроки пользователей, администраторов, агентов и поставщиков по вопросам безопасности об их обязанностях и политике безопасности; и
2. необходимую теоретическую и практическую подготовку пользователей, администраторов и субъектов безопасности;
b назначать лиц, ответственных за осуществление отдельных видов деятельности, перечисленных в плане;
(c) обеспечить, в соответствии с Планом развития осведомленности о безопасности, чтобы пользователи, администраторы, лица, занимающие должности в области безопасности, и поставщики были проинформированы о своих обязанностях и политике безопасности посредством ввода и регулярного обучения;
d обеспечивать регулярное обучение лиц, выполняющих функции обеспечения безопасности в соответствии с Планом развития осведомленности о безопасности, исходя из текущих потребностей обязанного лица в области кибербезопасности;
e обеспечивать в соответствии с Планом развития осведомленности в области безопасности регулярную подготовку и проверку осведомленности персонала в области безопасности в соответствии с его рабочим потенциалом;
f обеспечивать контроль за соблюдением политики безопасности пользователями, администраторами и лицами, представляющими роли безопасности;
g в случае прекращения договорных отношений с администраторами и лицами, выполняющими функции обеспечения, обеспечить передачу обязанностей;
(h) оценить эффективность плана по повышению осведомленности о безопасности, обучению и другим видам деятельности, связанным с повышением осведомленности о безопасности; и
(i) определять правила и процедуры для борьбы с нарушениями со стороны пользователей, администраторов и лиц, представляющих функции безопасности.
(2) Обязательное лицо должно вести резюме обучения, упомянутого в пункте 1, содержащее предмет обучения и список лиц, прошедших обучение.
Управление движением и связью
(1) Обязательное лицо в контексте управления трафиком и связью обеспечивает безопасную работу информационно-коммуникационной системы и устанавливает эксплуатационные правила и процедуры, которые включают, в частности:
(a) права и обязанности администраторов, пользователей и лиц, представляющих функции безопасности;
(b) процедуры начала и окончания работы системы, перезапуска или обновления системы после отказа, а также для лечения неисправностей или исключительных событий;
c процедуры мониторинга инцидентов кибербезопасности и меры по защите доступа к оповещениям о таких инцидентах;
d правила и процедуры защиты от вредоносного кода;
e) управление технической уязвимостью;
f контактные лица, ответственные за выполнение системной и технической поддержки;
g процедуры управления и утверждения оперативных изменений;
h) процедуры мониторинга, планирования и управления людскими и техническими ресурсами;
i правила и процедуры защиты информации и данных на протяжении всего жизненного цикла;
j правила и процедуры установки технических активов;
(k) осуществление регулярных авансовых платежей и проверка применимости авансовых платежей; и
Правила и процедуры обеспечения безопасности сетевых услуг.
(2) В контексте управления дорожным движением и связью обязательное лицо должно соблюдать правила и процедуры, установленные в соответствии с пунктом 1, и обновлять эти правила и процедуры в контексте изменений, осуществленных или запланированных.
(3) Ответственное лицо обеспечивает разделение среды разработки, испытаний и эксплуатации.
Войдите для заметок, избранного и уведомлений
Информация об акте
| Цитирование | Постановление No 82 / 2018 Сб. о мерах безопасности, инцидентах кибербезопасности, реактивных мерах, процедурных требованиях в области кибербезопасности и уничтожения данных (Заказ о кибербезопасности) |
|---|---|
| Тип акта | - |
| Автор | - |
| Сборник | Сборник законов |
| Дата опубликования | 28.05.2018 |
|---|---|
| Действует с | 28.05.2018 |
| Действует до | - |
| Статус | Действующий |
Текст нормативного акта носит информационный характер.
Комментарии 0