Nariadenie č. 316 / 2021 Z. z.
Vyhláška o určitých požiadavkách na zahrnutie do katalógu cloud computingu
Platný
Uznesenie
Účinnosť od 01.09.2021
Verzie znenia:
01.09.2021
31.08.2021
316
VYHLÁSENIE
z 24. augusta 2021,
o určitých požiadavkách na zaradenie do katalógu cloud computingu
National Bureau of Cyber and Information Security (Národný úrad pre kybernetickú a informačnú bezpečnosť) poskytuje podľa § 12 ods. 2 zákona č. 365/2000 Z. z. o informačných systémoch verejnej správy a o zmene a doplnení niektorých iných zákonov, zmeneného a doplneného zákonom č. 261 / 2021 Z. z. (ďalej len "zákon"):
Predmet úpravy
Táto vyhláška stanovuje
(a) požiadavky na schopnosť poskytovateľa cloud computingu (ďalej len "poskytovateľ") zabezpečiť základnú úroveň ochrany dôvernosti, integrity a dostupnosti informácií verejnému orgánu podľa článku 6m ods. 1 písm. a) zákona;
(b) požiadavky na dosiahnutie základnej úrovne ochrany dôvernosti, integrity a dostupnosti informácií ponúkaných verejným orgánom cloud computingu podľa § 6n písm. b) zákona;
c) zoznam osvedčení a auditov na ochranu dôvernosti, integrity a dostupnosti informácií podľa § 6q ods. 5 písm. c), § 6t ods. 6 písm. b) a § 6t ods. 7 písm. c) zákona, dokumentov o zhode a intervalov na predkladanie takýchto dokumentov podľa § 6y ods. 2 zákona;
d) požiadavky na štruktúru a formality správy o skúške prieniku podľa § 6t ods. 6 písm. d) a § 6t ods. 7 písm. e) zákona a intervaly na jeho predloženie;
e) požiadavky na prvky audítorskej správy, ktoré potvrdzujú existenciu plánu kontinuity pre ponúkanú cloud computing a plánu obnovy pre poskytovanie cloud computingu ponúkaného po havárii podľa § 6t ods. 6 písm. e) a § 6t ods. 7 písm. f) zákona;
f) požiadavky na štruktúru a formality dôkazov o posúdení zdrojov rizika podľa § 6t ods. 6 písm. f) a § 6t ods. 7 písm. g) zákona a
(g) požiadavky na štruktúru a formality podporných dokumentov na overenie súladu s požiadavkou na zabezpečenie dôvernosti, integrity a dostupnosti informácií podľa § 6t ods. 6 písm. g) a § 6t ods. 7 písm. h) zákona.
Základné pojmy
Na účely tohto dekrétu:
(a) zákazníkom verejný orgán používajúci cloud computing;
(b) používateľom, ktorý využíva alebo stanovuje službu cloud computingu prostredníctvom systému verejného orgánu;
c) údaje o zákazníkoch všetky údaje, ktoré používateľ poskytol poskytovateľovi počas používania služby cloud computingu;
(d) obsah textu, zvuku, audiovizuálneho, obrazového alebo iného údajov, ktoré používateľ vložil do služby cloud computingu bez akýchkoľvek metaúdajov a indexov pre takéto údaje;
(e) prevádzkové údaje generované alebo odvodené poskytovateľom v súvislosti s poskytovaním služieb cloud computingu;
(f) konkrétne prevádzkové údaje, ktoré obsahujú informácie o identifikovanom alebo identifikovateľnom užívateľovi;
(g) spracovanie akejkoľvek operácie alebo súboru operácií s údajmi o zákazníkoch a prevádzkovými údajmi v elektronickej forme vykonávanými automatizovanými postupmi alebo bez nich, ako sú zhromažďovanie, zaznamenávanie, usporiadanie, štruktúrovanie, uchovávanie, úprava alebo zmena, vyhľadávanie, vyhľadávanie, konzultácia, použitie, zverejnenie prenosom, šírenie alebo akékoľvek iné zverejnenie, zosúladenie alebo kombinácia, obmedzenie, vymazanie alebo zničenie;
(h) úroveň bezpečnosti ponúkaného cloud computingu je úroveň bezpečnosti, na ktorú poskytovateľ priradí ponúkané cloud computing.
Požiadavky oprávnenosti na zabezpečenie základnej úrovne ochrany dôvernosti, integrity a dostupnosti informácií od verejného orgánu
Poskytovateľom, ktorý je schopný zabezpečiť základnú úroveň ochrany dôvernosti, integrity a dostupnosti informácií od verejného orgánu podľa článku 6m ods. 1 písm. a) zákona, je ten, ktorý spĺňa požiadavky na oprávnenosť základnej úrovne ochrany dôvernosti, integrity a dostupnosti informácií od verejného orgánu uvedeného v prílohe 1 k tomuto nariadeniu, ktoré zodpovedajú bezpečnostnej úrovni cloud computingu ponúkanej poskytovateľom žiadajúcim o zapísanie služby cloud computingu do katalógu cloud computingu a do triedy cloud computingu (1), do ktorej je služba cloud computingu zaradená.
Požiadavky na dosiahnutie základnej úrovne ochrany dôvernosti, integrity a dostupnosti informácií ponúkaných verejným orgánom prostredníctvom cloud computingu
Cloud computing, ktorý umožňuje aspoň základnú úroveň ochrany dôvernosti, integrity a dostupnosti informácií od verejného orgánu podľa § 6n zákona, je cloud computing, ktorý spĺňa požiadavky na dosiahnutie základnej úrovne ochrany dôvernosti, integrity a dostupnosti informácií od verejného orgánu, ktoré ponúka cloud computing v prílohe 2 k tomuto dekrétu, zodpovedajúcej úrovni bezpečnosti cloud computing, ktorú ponúka poskytovateľ požadujúci zapísanie služby cloud computing do katalógu cloud computingu a triedy cloud computingu, do ktorej je služba cloud computingu zaradená.
Zoznam osvedčení a auditov na ochranu dôvernosti, integrity a dostupnosti informácií, dôkazov o zhode a intervalov na predkladanie takýchto dokumentov
Zoznam osvedčení a auditov na ochranu dôvernosti, integrity a dostupnosti informácií podľa § 6q ods. 5 písm. c), § 6t ods. 6 písm. b) a § 6t ods. 7 písm. c) zákona, dokumentov na ich dodržiavanie a intervalov na predkladanie týchto dokumentov podľa § 6y ods. 2 zákona sú uvedené v prílohe 3 tohto dekrétu.
Požiadavky na štruktúru a podrobnosti správy o skúške prieniku a intervaly na jej predloženie
Požiadavky na štruktúru a podrobnosti skúšobného protokolu o prieniku podľa § 6t ods. 6 písm. d) a § 6t ods. 7 písm. e) zákona a intervaly na jeho predloženie sú stanovené v prílohe 4 tohto dekrétu.
Požiadavky na prvky správy o audite potvrdzujúce existenciu plánu kontinuity pre ponúkanú cloud computing a plánu obnovy pre poskytovanie cloud computingu ponúkaného po havárii
(1) Audítorská správa osvedčujúca existenciu plánu kontinuity ponúkanej služby cloud computingu a plán obnovy poskytovania služby cloud computingu ponúkanej po havárii je audítorská správa vypracovaná subjektom nezávislým od poskytovateľa, ktorá potvrdzuje existenciu plánu kontinuity ponúkanej služby cloud computingu a plán obnovy poskytovania služby cloud computingu ponúkanej po havárii a preukazuje overenie jej aplikácie.
(2) Charakteristiky audítorskej správy uvedenej v odseku 1 sa považujú za splnené audítorskou správou vydanou na účely certifikácie CSN ISO / IEC 20000, ISO / IEC 20000, CSN EN ISO 22301, ISO 22301, SOC 2 ® typ 2 alebo Atestácie podľa úrovne 2 CSA STAR. Do rozsahu audítorskej správy sa musí zahrnúť ponúkaná služba cloud computing.
Požiadavky na štruktúru a podrobnosti dôkazov hodnotenia zdrojov rizika
Požiadavky na štruktúru a formality dôkazov o posúdení zdrojov rizika podľa § 6t ods. 6 písm. f) a § 6t ods. 7 písm. g) zákona sú stanovené v prílohe 5 tohto dekrétu.
Požiadavky na štruktúru a podrobnosti podporných dokumentov na overenie súladu s požiadavkou na zabezpečenie dôvernosti, integrity a dostupnosti informácií
(1) Štruktúra podporných dokumentov na overenie súladu s požiadavkami oddielov 3 a 4 musí byť jasná a zrozumiteľná. S cieľom dosiahnuť jasnosť a jasnosť poskytovateľ opíše a zdokumentuje pre každú jednotlivú službu cloud computingu, ktorú požaduje zadať do katalógu cloud computingu, súlad s požiadavkami oddielu 4. Ak niekoľko služieb patriacich do rovnakej bezpečnostnej úrovne cloud computingu a tej istej triedy cloud computingu spĺňa požiadavku stanovenú v oddiele 4 rovnakým spôsobom, je možné preukázať súlad s takouto požiadavkou len raz a jasne uviesť všetky služby cloud computingu, na ktoré sa vzťahuje tento dôkaz.
(2) Podporné dokumenty na overenie súladu s požiadavkami oddielov 3 a 4 obsahujú:
(a) identifikáciu poskytovateľa v súlade s oddielom 37 ods. 2 správneho nariadenia;
(b) opis súladu s každou požiadavkou pre každú službu cloud computingu požadovanú poskytovateľom, ktorá sa má uviesť v katalógu cloud computingu, alebo v prípade potreby opis skutočnosti, že poskytovateľ preukáže súlad s požiadavkou uvedenou v prílohách 1 a 2 k tomuto dekrétu v stĺpci "Podkladný dokument, ktorému poskytovateľ preukáže súlad s požiadavkou," a
c) podporné dokumenty preukazujúce súlad s požiadavkami príloh 1 a 2 k tomuto dekrétu.
(3) Údaje uvedené v odseku 2 písm. a) a b) poskytovateľ zdokumentuje na elektronickom formulári uverejnenom na webovej stránke Národného úradu pre kybernetickú a informačnú bezpečnosť.
(4) Ak je potrebné odkazovať na iný dokument pripojený k tlačivu s cieľom preukázať súlad s požiadavkami oddielov 3 a 4, vykoná sa to vo formulári, v ktorom sa uvedie kapitola, strana, odsek a prípadne osobitné vety.
(5) Formulár a všetky prílohy sa predkladajú v elektronickej forme v strojovo čitateľnom formáte a zaručujú integritu obsahu každého dokumentu.
(6) Ak je splnenie ktorejkoľvek z požiadaviek stanovených v oddieloch 3 a 4 doložené čestným vyhlásením, musí byť jasne uvedené, kto a kedy sa vykoná a čo je doložené. Ak čestné vyhlásenie predkladá osoba odlišná od poskytovateľa, pripojí sa k žiadosti o zaradenie ponuky cloud computingu do katalógu cloud computingu a k dokumentu, ktorý tejto osobe povoľuje vydať toto vyhlásenie.
Prechodné ustanovenie
Splnenie požiadaviek stanovených v riadkoch 7.8, 7.9 a 8.7 prílohy 2 k tomuto nariadeniu sa vyžaduje od 1. januára 2024.
Účinnosť
Toto nariadenie nadobúda účinnosť dňom nasledujúcim po jeho uverejnení.
Riaditeľ:
Ing. Grécko
Příloha č. 1
Príloha č. 1 k vyhláške č. 316 / 2021 Z. z.
| Řádek | Požadavky na způsobilost zajistit základní úroveň ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy | Podklad, kterým poskytovatel doloží splnění požadavku | Bezpečnostní úroveň nabízeného cloud computingu | Třída cloud computingu | |||||
|---|---|---|---|---|---|---|---|---|---|
| Nízká | Střední | Vysoká | Kritická | cloud computing ve formě infrastruktury | cloud computing ve formě platformy | cloud computing ve formě aplikačního programového vybavení | |||
| 1 | Poskytovatel má sídlo nebo bydliště v členském státu Evropské unie nebo má určeného svého zástupce ve členském státu Evropské unie obdobně podle čl. 27 obecného nařízení o ochraně osobních údajů2). | Výpis z obchodního rejstříku nebo obdobné zahraniční evidence, nebo písemné čestné prohlášení v rozsahu údajů obsažených v obchodním rejstříku v případě, že není v obchodním rejstříku zapsán; je-li poskytovatel evidován ve veřejném rejstříku podle zákona upravujícího veřejné rejstříky právnických a fyzických osob, žádný podklad se nevyžaduje. | X3) | X | X | X | X | X | X |
| 2 | Poskytovatel ani jeho ovládající osoby4) nebyli v posledních 5 letech pravomocně uznáni vinnými ze spáchání přestupku, za který jim byla uložena pokuta alespoň ve výši 1 000 000 Kč, spočívajícího v nezavedení nebo neprovedení bezpečnostního opatření podle zákona o kybernetické bezpečnosti. Poskytovatel ani jeho ovládající osoby4) nebyli v posledních 5 letech pravomocně uznáni vinnými ze spáchání přestupku, za který jim byla uložena pokuta alespoň ve výši 500 000 Kč, spočívajícího a) v nepředání dat, b) v nepředání dat, c) v nezničení kopií dat, d) v nedetekování kybernetických bezpečnostních událostí podle § 7 odst. 3 zákona o kybernetické bezpečnosti, e) v neohlášení kybernetického bezpečnostního incidentu podle § 8 odst. 1 až 4 zákona o kybernetické bezpečnosti, f) v nesplnění povinnosti uložené Národním úřadem pro kybernetickou a informační bezpečnost podle § 13 nebo 14 zákona o kybernetické bezpečnosti, g) v nesplnění povinnosti uložené Národním úřadem pro kybernetickou a informační bezpečnost v rozhodnutí podle § 15a odst. 1 zákona o kybernetické bezpečnosti, h) v nesplnění některé z povinnosti uložených nápravným opatřením podle § 24 zákona o kybernetické bezpečnosti, i) v nezavedení nebo neprovedení bezpečnostního opatření podle § 4 odst. 3 zákona o kybernetické bezpečnosti. Poskytovatel ani jeho ovládající osoby4) nebyli v posledních 5 letech pravomocně uznáni vinnými ze spáchání přestupku podle kontrolního řádu v souvislosti s kontrolou plnění povinností podle zákona o kybernetické bezpečnosti, za který jim byla uložena pokuta alespoň ve výši 150 000 Kč, spočívajícího v nesplnění některé z povinností podle § 10 odst. 2 nebo § 10 odst. 3 kontrolního řádu. | Informace z interních systémů Národního úřadu pro kybernetickou a informační bezpečnost. Žádný podklad se nevyžaduje. | X | X | X | X | X | X | X |
Příloha č. 2
Príloha č. 2 k vyhláške č. 316 / 2021 Z. z.
| Řádek | Požadavky na dosažení základní úrovně ochrany důvěrnosti, integrity a dostupnosti informací orgánu veřejné správy nabízeným cloud computingem | Podklad, kterým poskytovatel doloží splnění požadavku | Bezpečnostní úroveň nabízeného cloud computingu | Třída cloud computingu | |||||
|---|---|---|---|---|---|---|---|---|---|
| Nízká | Střední | Vysoká | Kritická | cloud computing ve formě infrastruktury | cloud computing ve formě platformy | cloud computing ve formě aplikačního programového vybavení | |||
| 1. Místo | |||||||||
| 1.1 | Poskytovatel uvádí informace o všech územích států, ve kterých jsou nebo mohou být uložena | Písemný popis, ze kterého bude vyplývat, na území jakých států jsou nebo mohou být uložena Má se za to, že předpokládanými územími států, na nichž dochází nebo může docházet ke - území států, z nichž se mohou nepravidelně vzdáleně připojovat pracovníci technické podpory poskytovatele - území států, do nichž poskytovatel může předávat | X | X | X | X | X | ||
| 1.2 | Poskytovatel uvádí informace o všech územích států, ze kterých dochází k výkonu správy a dohledu nad službou | Písemný popis, ze kterého bude vyplývat, z území jakých států dochází k výkonu správy a dohledu nad službou | X | X | X | X | X | X | X |
| 1.3 | V případě, že služba Poskytovatel uvádí místo uložení Na základě označení služby | Odkaz na část smluvních podmínek, kde je vymezen závazek uložení nebo v případě, že se požadavek uložení nebo v případě, že se požadavek uložení Poskytovatel dále doloží odkaz na tu část platné certifikace ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF) nebo auditní zprávu SOC 2® Type 2, s odkazem na tu část, ze které bude patrný úplný výčet datových center a jejich lokace po úroveň | X | X | X | X | |||
| 1.4 | V případě, že služba Poskytovatel uvádí místo uložení Na základě označení služby | Odkaz na část smluvních podmínek, kde je vymezen závazek uložení nebo v případě, že se požadavek uložení nebo v případě, že se požadavek uložení Poskytovatel dále doloží odkaz na tu část platné certifikace ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF) nebo auditní zprávu SOC 2® Type 2, s odkazem na tu část, ze které bude patrný úplný výčet datových center a jejich lokace po úroveň | X | X | X | X | |||
| 1.5 | 1. Poskytovatel uvede u služby a) která zpracovává - jasné označení takové služby - deklaraci závazku b) která zpracovává - jasné označení takové služby - údaje o předpokládaném území státu, na němž dochází nebo může docházet ke c) která zpracovává nebo může zpracovávat - jasné označení takové služby - údaje o předpokládaném území státu, na němž dochází nebo může docházet ke 2. Má se za to, že předpokládanými územími států, na nichž dochází nebo může docházet ke - území států, z nichž se mohou nepravidelně vzdáleně připojovat pracovníci technické podpory poskytovatele za účelem technické podpory služby - území států, do nichž poskytovatel může předávat | X | X | X | X | ||||
| 1.6 | 1. Poskytovatel uvede u služby a) která zpracovává - jasné označení takové služby - deklaraci závazku b) která zpracovává nebo může zpracovávat - jasné označení takové služby - údaje o předpokládaném území státu, na němž dochází nebo může docházet ke 2. Má se za to, že předpokládanými územími států, na nichž dochází nebo může docházet ke - území států, z nichž se mohou nepravidelně vzdáleně připojovat pracovníci technické podpory poskytovatele - území států, do nichž poskytovatel může předávat | X | X | X | X | ||||
| 1.7 | Poskytovatel vyžaduje souhlas Poskytovatel informuje Alternativně k vyžadování souhlasu a informování | Dokument oddělený od podmínek poskytování služby či smlouvy, nebo odkaz na zřetelně uvedený text smluvní dokumentace, jimiž je vyžadován souhlas nebo odkaz na konkrétní část podmínek poskytování služby nebo část návrhu smluvní dokumentace nebo produktovou specifikaci, ze které bude patrné, že poskytovatel v základním nastavení služby vyžaduje souhlas | X | X | X | X | |||
| 1.8 | a pouze s výslovným písemným svolením nebo pouze pokud poskytovatel vyžaduje souhlas | Odkaz na konkrétní část podmínek poskytování služby U služby U služby nebo odkaz na konkrétní část podmínek poskytování služby nebo část návrhu smluvní dokumentace nebo produktovou specifikaci, ze které bude patrné, že poskytovatel vyžaduje souhlas | X | X | X | X | |||
| 2. Žádosti o zpřístupnění a předání dat | |||||||||
| 2.1 | Poskytovatel v případě, že obdrží právně závaznou žádost cizozemského orgánu o zpřístupnění nebo předání | Čestné prohlášení nebo odkaz na část návrhu smlouvy, konkrétní část podmínek poskytování služby nebo auditní zpráva vydaná pro certifikaci ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), nebo auditní zpráva SOC 2® Type 2, s odkazem na tu část, ze které bude patrné, že poskytovatel v případě, že obdrží právně závaznou žádost cizozemského orgánu o zpřístupnění nebo předání | X | X | X | X | X | ||
| 2.2 | Poskytovatel v případě, že obdrží právně závaznou žádost cizozemského orgánu o zpřístupnění nebo předání | Čestné prohlášení nebo odkaz na část návrhu smlouvy, konkrétní část podmínek poskytování služby nebo auditní zpráva vydaná pro certifikaci ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), nebo auditní zpráva SOC 2® Type 2, s odkazem na tu část, ze které bude patrné, že poskytovatel v případě, že obdrží právně závaznou žádost cizozemského orgánu o zpřístupnění nebo předání | X | X | X | X | X | ||
| 2.3 | Poskytovatel v případě, že obdrží žádost cizozemského orgánu o zpřístupnění nebo předání O podkladech sloužících k posouzení poskytovatel provede záznam, který uchová alespoň 5 let pro účely kontroly nebo ho prokazatelně předá | Čestné prohlášení nebo odkaz na část návrhu smlouvy, konkrétní část podmínek poskytování služby nebo auditní zpráva vydaná pro certifikaci ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), nebo auditní zpráva SOC 2® Type 2, s odkazem na tu část, ze které bude patrné, že poskytovatel přezkoumá zákonnost cizozemských orgánů o zpřístupnění, zejména provede právní posouzení, ze kterého bude vyplývat, zda žádost cizozemského orgánu má proveditelný a platný právní základ, je právně závazná a rozsah poskytovaných nebo zpřístupňovaných | X | X | X | X | X | ||
| 2.4 | Poskytovatel v případě, že obdrží žádost cizozemského orgánu o zpřístupnění nebo předání O podkladech sloužících k posouzení poskytovatel provede záznam, který uchová alespoň 10 let pro účely kontroly nebo ho prokazatelně předá | Čestné prohlášení nebo odkaz na část návrhu smlouvy, konkrétní část podmínek poskytování služby nebo auditní zpráva vydaná pro certifikaci ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), nebo auditní zpráva SOC 2® Type 2, s odkazem na tu část, ze které bude patrné, že poskytovatel přezkoumá zákonnost cizozemských orgánů o zpřístupnění, zejména provede právní posouzení, ze kterého bude vyplývat, zda žádost cizozemského orgánu má proveditelný a platný právní základ, je právně závazná a rozsah poskytovaných nebo zpřístupňovaných | X | X | X | X | |||
| 2.5 | Poskytovatel jasně a srozumitelně uvádí jeho povinnosti vyplývající z právních předpisů států odlišných od členských států Evropské unie, v nichž poskytovatel předpokládá | Písemný popis povinností vyplývajících z právních předpisů států odlišných od členských států Evropské unie, v nichž poskytovatel předpokládá | X | X | X | X | X | X | X |
| 2.6 | Poskytovatel v případě, že obdrží žádost cizozemských orgánů o zpřístupnění nebo předání | Čestné prohlášení nebo odkaz na část návrhu smlouvy, konkrétní část podmínek poskytování služby nebo auditní zpráva vydaná pro certifikaci ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), nebo auditní zpráva SOC 2® Type 2, s odkazem na tu část, ze které bude patrné, že poskytovatel v případě, že obdrží žádost cizozemských orgánů o zpřístupnění nebo předání | X | X | X | X | |||
| 3. Oprávnění k provedení kontroly | |||||||||
| 3.1 | Poskytovatel jednou ročně, nebo na základě opakujících se kybernetických bezpečnostních incidentů, nebo v případě rozporu vůči deklarovaným parametrům, umožňuje Ministerstvu vnitra nebo Národnímu úřadu pro kybernetickou a informační bezpečnost zdarma ve vztahu k dané službě | Žádný podklad se nevyžaduje. Splnění tohoto požadavku ověří Ministerstvo vnitra nebo Národní úřad pro kybernetickou a informační bezpečnost z vlastní činnosti. | X | X | X | X | X | X | X |
| 4. Úrovně dostupnosti služby | |||||||||
| 4.1 | Poskytovatel je schopen zajišťovat dostupnost služby | Odkaz na konkrétní část podmínek poskytování služby nebo auditní zpráva vydaná pro certifikaci ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), nebo auditní zpráva SOC 2® Type 2, s odkazem na tu část, ze které bude patrné, že poskytovatel je schopen zajišťovat dostupnost služby | - | 99,45 (%) | 99,90 (%) | 99,99 (%) | X | X | X |
| 4.2 | Poskytovatel je schopen zajišťovat dostupnost služby | Odkaz na konkrétní část podmínek poskytování služby nebo auditní zpráva vydaná pro certifikaci ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), nebo auditní zpráva SOC 2® Type 2, s odkazem na tu část, ze které bude patrné, že poskytovatel je schopen zajišťovat dostupnost služby | 96,16 (%) | - | - | - | X | X | X |
| 5. Připojení do výměnného uzlu internetu (IXP) | |||||||||
| 5.1 | Poskytovatel má zajištěno připojení do výměnného uzlu internetu (IXP) v České republice. | Výpis z veřejně dostupné databáze subjektů připojených do výměnného uzlu internetu, nebo platná smlouva s poskytovatelem služby výměnného uzlu internetu, nebo čestné prohlášení poskytovatele, že má zajištěno připojení do výměnného uzlu internetu (IXP) v České republice. | X | X | X | X | X | ||
| 6. Zajištění poskytování služby | |||||||||
| 6.1 | Poskytovatel má vyhotoven plán zajištění kontinuity provozu a plán na obnovu po havárii týkající se poskytované služby | Strategie zajištění kontinuity provozu a strategie na obnovu po havárii, nebo auditní zpráva vyhotovená subjektem nezávislým na poskytovateli, která potvrzuje existenci plánu zajištění kontinuity provozu nabízené služby V rozsahu dané certifikace nebo auditní zprávy musí být zahrnuta nabízená služba | X | X | X | X | X | ||
| 6.2 | Poskytovatel má vyhotoven plán zajištění kontinuity provozu a plán na obnovu po havárii týkající se poskytované služby | Strategie zajištění kontinuity provozu a strategie na obnovu po havárii, nebo auditní zpráva vyhotovená subjektem nezávislým na poskytovateli, která potvrzuje existenci plánu zajištění kontinuity provozu nabízené služby V rozsahu dané auditní zprávy musí být zahrnuta nabízená služba | X | X | X | X | X | ||
| 6.3 | Poskytovatel umožnuje synchronní replikaci (zálohování) dat alespoň do jednoho záložního datového centra, které je kapacitně dostatečné k převzetí služby | Odkaz na konkrétní část podmínek poskytování služby | X | X | X | X | |||
| 6.4 | Poskytovatel zajišťuje, že primární a alespoň jedno záložní datové centrum, které je kapacitně dostatečné k převzetí služby poskytované z primárního datového centra, jsou v dostatečné vzdálenosti od přírodních zdrojů rizik a zdrojů rizik vyvolaných činností člověka vedoucích k narušení nebo omezení poskytování služby | Odkaz na konkrétní část podmínek poskytování služby nebo část návrhu smlouvy nebo produktovou specifikaci nebo auditní zpráva vydaná pro certifikaci ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), nebo z auditní zprávy SOC 2® Type 2, s odkazem na tu část, ze které bude patrné zajištění alespoň jednoho záložního datového centra, které je kapacitně dostatečné k převzetí služby poskytované z primárního datového centra, a pro doložení dostatečné vzdálenosti nebo přijetí adekvátního bezpečnostního opatření zpráva nebo jiný doklad o zhodnocení přírodních zdrojů rizik a zdrojů rizik vyvolaných činností člověka, které obsahuje náležitosti uvedené v příloze č. 5 k této vyhlášce, nebo pro doložení vzájemné vzdálenosti nejméně 50 km a návrhu a aplikace fyzické ochrany proti přírodním katastrofám, úmyslnému útoku nebo haváriím odkaz na tu část platné certifikace ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), nebo auditní zprávy SOC 2® Type 2, ze které bude patrný úplný výčet datových center a jejich lokace po úroveň | X | X | X | X | X | X | X |
| 6.5 | Poskytovatel zajišťuje, že primární i záložní datové centrum, ve kterých jsou uložena | Odkaz na tu část platné certifikace ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), nebo auditní zprávy SOC 2® Type 2, ze které bude patrný úplný výčet datových center a jejich lokace po úroveň | X | X | X | X | |||
| 6.6 | Poskytovatel zajišťuje, že primární i všechna záložní datová centra, ze kterých je poskytována služba | Odkaz na tu část platné certifikace ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), nebo auditní zprávy SOC 2® Type 2, ze které bude patrný úplný výčet datových center a jejich lokace po úroveň | X | X | X | X | |||
| 6.7 | Poskytovatel je schopen poskytovat nástroje nebo služby pro zvýšení odolnosti vůči útokům typu DoS/DDoS. | Odkaz na konkrétní část podmínek poskytování služby nebo auditní zpráva vydaná pro certifikaci ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), nebo auditní zpráva SOC 2® Type 2, s odkazem na tu část, ze které bude patrné, že poskytovatel je schopen poskytovat nástroje nebo služby pro zvýšení odolnosti vůči útokům typu DoS/DDoS, a ze které bude patrný nástroj nebo služba využívané pro zvýšení odolnosti vůči útokům typu DoS/DDos. | X | X | X | X | X | X | X |
| 6.8 | Poskytovatel umožňuje obsluhu služby | Odkaz na konkrétní část podmínek poskytování služby | X | X | X | X | X | ||
| 7. Nakládání s daty | |||||||||
| 7.1 | Poskytovatel umožňuje import či export dat v objemu větším než 2 TB prostřednictvím zaslání šifrovaných paměťových médií. | Odkaz na konkrétní část podmínek poskytování služby | X | X | X | X | X | ||
| 7.2 | Poskytovatel chrání | Odkaz na konkrétní část podmínek poskytování služby nebo auditní zpráva vydaná pro certifikaci ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), nebo auditní zpráva SOC 2® Type 2, s odkazem na tu část, ze které bude patrné, že poskytovatel chrání | X | X | X | X | X | X | X |
| 7.3 | Poskytovatel umožňuje ochranu | Odkaz na konkrétní část podmínek poskytování služby | X | X | X | X | X | X | |
| 7.4 | Poskytovatel umožňuje | Odkaz na konkrétní část podmínek poskytování služby | X | X | X | X | |||
| 7.5 | Poskytovatel umožňuje uložení šifrovacích klíčů v certifikovaném HSM modulu úrovně ochrany FIPS 140-2 level 2 a vyšší, FIPS 140-3 level 2 a vyšší nebo certifikaci podle Common Criteria minimálně na EAL4 a vyšší, který je pod vzdálenou správou | Odkaz na konkrétní část podmínek poskytování služby | X | X | X | X | |||
| 7.6 | Poskytovatel umožňuje bezpečnou likvidaci kryptografických klíčů uložených v certifikovaném HSM modulu řízenou | Odkaz na konkrétní část podmínek poskytování služby | X | X | X | X | |||
| 7.7 | Poskytovatel umožňuje při ukončení služby | Odkaz na konkrétní část podmínek poskytování služby | X | X | X | X | |||
| 7.8 | Poskytovatel vyhotovuje záznam o přístupu jeho interních a externích pracovníků k nezašifrovaným | Odkaz na konkrétní část podmínek poskytování služby nebo auditní zpráva vydaná pro certifikaci ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), nebo auditní zpráva SOC 2® Type 2, s odkazem na tu část, ze které bude patrné, že poskytovatel vyhotovuje záznam o přístupu jeho interních a externích pracovníků k nezašifrovaným | X | X | X | X | X | X | X |
| 7.9 | Poskytovatel umožňuje Poskytovatel nemusí umožňovat přístup k záznamu v případě, že interní a externí pracovníci přistupují k nezašifrovanému | Odkaz na konkrétní část podmínek poskytování služby nebo auditní zpráva vydaná pro certifikaci ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), nebo auditní zpráva SOC 2® Type 2, s odkazem na tu část, ze které bude patrné, že poskytovatel umožnuje | X | X | X | X | X | X | X |
| 8. Certifikace služby | |||||||||
| 8.1 | Poskytovatel provozuje službu | Čestné prohlášení, že systém řízení bezpečnosti informací, v jehož rozsahu je služba | X | X | X | X | |||
| 8.2 | Poskytovatel je držitelem platné certifikace ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), do jejíhož rozsahu certifikace náleží posuzovaná služba | Platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF) s označením poskytovatele, kdy rozsah certifikace jmenovitě zahrnuje službu nebo v případě, že rozsah certifikace uvedený na certifikátu nezahrnuje jmenovitě službu | X | X | X | X | |||
| 8.3 | Poskytovatel je držitelem platné certifikace ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), do jejíhož rozsahu certifikace náleží posuzovaná služba | Platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), s označením poskytovatele, kdy rozsah certifikace jmenovitě zahrnuje službu nebo v případě, že rozsah certifikace uvedený na certifikátu nezahrnuje jmenovitě službu | X | X | X | X | X | ||
| 8.4 | Poskytovatel je držitelem platné certifikace ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), do jejíhož rozsahu certifikace náleží posuzovaná služba | Platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), s označením poskytovatele, kdy rozsah certifikace jmenovitě zahrnuje službu nebo v případě, že rozsah certifikace uvedený na certifikátu nezahrnuje jmenovitě službu | X | X | X | X | |||
| 8.5 | Poskytovatel je držitelem platné certifikace ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), do jejíhož rozsahu certifikace náleží posuzovaná služba | Platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), s označením poskytovatele, kdy rozsah certifikace jmenovitě zahrnuje službu nebo v případě, že rozsah certifikace uvedený na certifikátu nezahrnuje jmenovitě službu | X | X | X | X | X | ||
| 8.6 | Poskytovatel je držitelem platné certifikace ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), do jejíhož rozsahu certifikace náleží posuzovaná služba | Platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF) s označením poskytovatele, kdy rozsah certifikace jmenovitě zahrnuje službu nebo v případě, že rozsah certifikace uvedený na certifikátu nezahrnuje jmenovitě službu | X | X | X | X | X | ||
| 8.7 | Poskytovatel je držitelem auditní zprávy SOC 2® Type 2 nebo auditní zprávy o vyhodnocení shody s aktuálními požadavky Cloud Computing Compliance Criteria Catalogue C5 vydaný BSI, a to ve formě Type 2, která není starší než 24 měsíců, do jejíhož rozsahu náleží posuzovaná služba | Auditní zpráva SOC 2® Type 2 v doménách bezpečnosti, dostupnosti, procesní integrity, důvěrnosti a soukromí nebo auditní zpráva o vyhodnocení shody s aktuálními požadavky Cloud Computing Compliance Criteria Catalogue (C5) vydaný BSI, a to ve formě Type 2. | X | X | X | X | X | ||
| 9. Kybernetické bezpečnostní události a kybernetické bezpečnostní incidenty | |||||||||
| 9.1 | Poskytovatel má zaveden nástroj na sledování a vyhodnocování kybernetických bezpečnostních událostí. | Odkaz na konkrétní část podmínek poskytování služby nebo auditní zpráva vydaná pro certifikaci ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), nebo auditní zpráva SOC 2® Type 2, s odkazem na tu část, ze které bude patrné, že poskytovatel má zaveden nástroj na sledování a vyhodnocování kybernetických bezpečnostních událostí. | X | X | X | X | |||
| 9.2 | Poskytovatel má zaveden nástroj na sledování a vyhodnocování kybernetických bezpečnostních událostí. Poskytovatel umožní zpřístupnění vzdáleně všech událostí tykajících se konkrétního | Odkaz na konkrétní část podmínek poskytování služby nebo auditní zpráva vydaná pro certifikaci ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), nebo auditní zpráva SOC 2® Type 2, s odkazem na tu část, ze které bude patrné, že poskytovatel má zaveden nástroj na sledování a vyhodnocování kybernetických bezpečnostních událostí, umožní zpřístupnění vzdáleně všech událostí tykajících se konkrétního | X | X | X | X | X | X | |
| 9.3 | Poskytovatel informuje | Odkaz na konkrétní část podmínek poskytování služby | X | X | X | X | X | X | X |
| 10. Testování služby | |||||||||
| 10.1 | Poskytovatel provádí pravidelně skeny zranitelností. Služba | Tři záznamy o provedení skenů zranitelností provedených maximálně 3 měsíce před podáním žádosti o zápis služby nebo auditní zpráva vydaná pro certifikaci ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), nebo auditní zprávu SOC 2® Type 2, s odkazem na tu část, ze které bude patrné, že skeny zranitelností jsou prováděny pravidelně v takovém intervalu, ze kterého bude vyplývat, že byly provedeny alespoň 3 skeny zranitelností maximálně 3 měsíce před podáním žádosti o zápis služby | X | X | X | X | X | X | X |
| 10.2 | Poskytovatel zajišťuje provádění penetračních testů subjektem, který je nezávislý na poskytovateli. Služba | Zpráva z provedení penetračního testu provedeného podle standardu NIST 800-115 nebo v souladu s metodikou OSSTMM. Penetrační test provede subjekt, který je nezávislý na poskytovateli. Zpráva z provedení penetračního testu nesmí být starší než 24 měsíců před podáním žádosti o zápis služby | X | X | X | X | |||
| 10.3 | Poskytovatel zajišťuje provádění penetračních testů subjektem, který je nezávislý na poskytovateli. Služba | Zpráva z provedení penetračního testu, při kterém budou ověřena rizika alespoň podle standardu OWASP Top 10 Web Application Security Risks. Penetrační test provede subjekt, který je nezávislý na poskytovateli. Zpráva z provedení penetračního testu nesmí být starší než 24 měsíců před podáním žádosti o zápis služby | X | X | X | ||||
Příloha č. 3
Príloha č. 3 k vyhláške č. 316 / 2021 Z. z.
| Seznam certifikací pro oblast ochrany důvěrnosti, integrity a dostupnosti informací | |
|---|---|
| • ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 • ČSN ISO/IEC 27017 nebo ISO/IEC 27017 • ČSN ISO/IEC 27018 nebo ISO/IEC 27018 | |
| Doklady o splnění | |
| Pro řádek 8.2 přílohy č. 2 k této vyhlášce | Platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), s označením poskytovatele, kdy rozsah certifikace jmenovitě zahrnuje službu |
| Pro řádek 8.3 přílohy č. 2 k této vyhlášce | Platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), s označením poskytovatele, kdy rozsah certifikace jmenovitě zahrnuje službu |
| Pro řádek 8.4 přílohy č. 2 k této vyhlášce | Platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), s označením poskytovatele, kdy rozsah certifikace jmenovitě zahrnuje službu |
| Pro řádek 8.5 přílohy č. 2 k této vyhlášce | Platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), s označením poskytovatele, kdy rozsah certifikace jmenovitě zahrnuje službu |
| Pro řádek 8.6 přílohy č. 2 k této vyhlášce | Platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), s označením poskytovatele, kdy rozsah certifikace jmenovitě zahrnuje službu |
| Pro řádek 8.7 přílohy č. 2 k této vyhlášce | Auditní zprávu SOC 2® Type 2 v doménách bezpečnosti, dostupnosti, procesní integrity, důvěrnosti a soukromí nebo auditní zprávu o vyhodnocení shody s aktuálními požadavky Cloud Computing Compliance Criteria Catalogue (C5) vydaný BSI, a to ve formě Type 2, přičemž tyto auditní zprávy nesmí být starší než 24 měsíců k datu podání žádosti o zápis do katalogu |
| Poskytovatel dodá každých 15 měsíců evidence služby cloud computingu v katalogu cloud computingu vedeném Ministerstvem vnitra | |
| Pro řádek 8.2 přílohy č. 2 k této vyhlášce | Doklad platnosti certifikátu nebo platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), s označením poskytovatele, ne starší než 3 měsíce v době jeho dodání, kdy rozsah certifikace jmenovitě zahrnuje v katalogu |
| Pro řádek 8.3 přílohy č. 2 k této vyhlášce | Doklad platnosti certifikátu nebo platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), s označením poskytovatele, ne starší než 3 měsíce v době jeho dodání, kdy rozsah certifikace jmenovitě zahrnuje v katalogu |
| Pro řádek 8.4 přílohy č. 2 k této vyhlášce | Doklad platnosti certifikátu nebo platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), s označením poskytovatele, ne starší než 3 měsíce v době jeho dodání, kdy rozsah certifikace jmenovitě zahrnuje v katalogu |
| Pro řádek 8.5 přílohy č. 2 k této vyhlášce | Doklad platnosti certifikátu nebo platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), s označením poskytovatele, ne starší než 3 měsíce v době jeho dodání, kdy rozsah certifikace jmenovitě zahrnuje v katalogu |
| Pro řádek 8.6 přílohy č. 2 k této vyhlášce | Doklad platnosti certifikátu nebo platný certifikát ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), s označením poskytovatele, ne starší než 3 měsíce v době jeho dodání, kdy rozsah certifikace jmenovitě zahrnuje v katalogu |
| V případě, že některou ze skutečností dokládá poskytovatel předložením auditní zprávy SOC 2® Type 2, nesmí být tato auditní zpráva starší než 24 měsíců k datu podání žádosti o zápis do katalogu cloud computingu nebo k datu dokládané skutečnosti. | |
| Poskytovatel dodá každých 24 měsíců evidence služby cloud computingu v katalogu cloud computingu vedeném Ministerstvem vnitra | |
| Pro řádek 8.7 přílohy č. 2 k této vyhlášce | Auditní zprávu SOC 2® Type 2 v doménách bezpečnosti, dostupnosti, procesní integrity, důvěrnosti a soukromí nebo auditní zprávu o vyhodnocení shody s aktuálními požadavky Cloud Computing Compliance Criteria Catalogue (C5) vydaný BSI, a to ve formě Type 2, přičemž tyto auditní zprávy nesmí být starší než 24 měsíců. |
Příloha č. 4
Príloha č. 4 k vyhláške č. 316 / 2021 Z. z.
| Požadavky na strukturu a náležitosti zprávy o provedení penetračního testu | |
|---|---|
| Pro řádek 10.1 přílohy č. 2 k této vyhlášce | Tři záznamy o provedení skenu zranitelností provedených maximálně 3 měsíce před podáním žádosti o zápis do katalogu |
| Pro řádek 10.2 přílohy č. 2 k této vyhlášce | Zprávu o provedení penetračního testu provedeného podle standardu NIST 800-115 nebo v souladu s metodikou OSSTMM, provedeného subjektem, který je nezávislý na poskytovateli. Zpráva o provedení penetračního testu nesmí být starší než 24 měsíců před podáním žádosti o zápis do katalogu |
| Pro řádek 10.3 přílohy č. 2 k této vyhlášce | Zpráva o provedení penetračního testu, při kterém budou ověřena rizika alespoň podle standardu OWASP Top 10 Web Application Security Risks provedeného subjektem, který je nezávislý na poskytovateli. Zpráva o provedení penetračního testu nesmí být starší než 24 měsíců před podáním žádosti o zápis do katalogu |
| Poskytovatel dodá každých 24 měsíců evidence služby cloud computingu v katalogu cloud computingu Ministerstvu vnitra | |
| Pro řádek 10.1 přílohy č. 2 k této vyhlášce | Čtyři záznamy o provedení skenu zranitelností provedených každých 6 měsíců evidence v katalogu |
| Pro řádek 10.2 přílohy č. 2 k této vyhlášce | Zprávu z provedení penetračního testu provedeného podle standardu NIST 800-115 nebo v souladu s metodikou OSSTMM, provedeného subjektem, který je nezávislý na poskytovateli. Zpráva o provedení penetračního testu nesmí být starší než 23 měsíců od zápisu do katalogu |
| Pro řádek 10.3 přílohy č. 2 k této vyhlášce | Zprávu o provedení penetračního testu, při kterém budou ověřena rizika alespoň podle standardu OWASP Top 10 Web Application Security Risks provedeného subjektem, který je nezávislý na poskytovateli. Zpráva o provedení penetračního testu nesmí být starší než 23 měsíců od zápisu do katalogu |
Příloha č. 5
Príloha č. 5 k vyhláške č. 316 / 2021 Z. z.
| Pro řádek 6.4 přílohy č. 2 k této vyhlášce | Zpráva nebo jiný doklad o zhodnocení přírodních zdrojů rizik a zdrojů rizik vyvolaných činností člověka musí obsahovat přehledně a srozumitelně: |
|---|---|
| • označení subjektu poskytovatele | |
| • označení posuzovaných lokalit primárního/záložního datového centra, | |
| • označení zpracovatele zprávy, | |
| • datum | |
| 1. Situační, dispoziční a konstrukční řešení objektu primárního/záložního datového centra – stručný popis stavby z hlediska dispozičního uspořádání a umístění stavby ve vztahu k okolní zástavbě a geolokaci, případně popis technologie provozu. | |
| 2. Analýzu ohrožení každého primárního/záložního datového centra, ze kterého je poskytována služba | |
| a) identifikaci zdrojů rizik, | |
| b) pravděpodobnost aktivace zdroje rizik, | |
| c) míru dopadu, | |
| d) popis možné škody, | |
| e) označení rizika v matici rizik, | |
| f) vyjádření významnosti rizika, | |
| g) aplikovaná protiopatření. | |
| 3. Přílohou zprávy budou zvolené škály pravděpodobnosti aktivace zdroje rizik a míry dopadu, kritéria pro hodnocení významnosti rizik a zpracovaná matice rizik, která kombinuje pravděpodobnost aktivace zdroje rizik a míru dopadu a ukazuje jaká rizika z toho vyplývají s jakou mírou přijatelnosti. | |
| Zpráva zohlední zejména tyto zdroje rizik: | |
| • požár, | |
| • vydatné srážky, | |
| • povodeň, | |
| • tsunami, | |
| • krupobití, | |
| • extrémně vysoké teploty, | |
| • dlouhodobé sucho | |
| • extrémní vítr, | |
| • tornádo, | |
| • extrémně nízké teploty, | |
| • sněhová kalamita, | |
| • sněhová lavina, | |
| • náledí a ledovka, | |
| • geomagnetické anomálie, | |
| • zemětřesení, | |
| • propad zemských dutin, | |
| • svahová nestabilita, | |
| • sopečná erupce, | |
| • závažná nehoda – pád letadla, | |
| • epidemie – hromadné nákazy osob, | |
| • závažné narušení bezpečnosti komunikační sítě a ztráta integrity komunikační sítě, | |
| • narušení dodávek elektrické energie velkého rozsahu, | |
| • radiační havárie. |
1) § 2 písm. a) vyhlášky č. 433 / 2020 Z. z. o údajoch uchovávaných v katalógu cloud computingu.
(2) Nariadenie Európskeho parlamentu a Rady (EÚ) 2016 / 679 z 27 . apríla 2016 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov a o zrušení smernice 95 / 46 / ES (všeobecné nariadenie o ochrane údajov).
(3) Symbol "X" označuje existenciu povinnosti splniť požiadavky tejto úrovne bezpečnosti ponúkaného cloud computingu a triedy cloud computingu.
4) § 74 zákona č. 90 / 2012 Z. z. o spoločnostiach a družstvách (zákon o obchodných spoločnostiach), v znení zmien a doplnení.
Prihláste sa pre poznámky, obľúbené a upozornenia
Informácie o predpise
| Citácia | Nariadenie č. 316 / 2021 Z. z. o určitých požiadavkách na zaradenie do katalógu cloud computingu |
|---|---|
| Typ predpisu | Uznesenie |
| Autor | - |
| Zbierka | Zbierka zákonov |
| Dátum vyhlásenia | 31.08.2021 |
|---|---|
| Účinnosť od | 01.09.2021 |
| Účinnosť do | - |
| Stav | Platný |
Právne oblasti:
Správne právo
Veda a výskum
Verejné zmluvy 5
Smlouva o využívání programového produktu GINIS - cloudová úřední deska
Olomoucký kraj
GORDIC spol. s r.o.
294 272 Kč
21.07.2025
Smlouva o výpůjčce - Reagencie pro hematologické analyzátory
Úrazová nemocnice v Brně
SYSMEX CZ s.r.o.
17.07.2025
Upozornenia
DODATEK Č. 1 KE SMLOUVĚ NA ZAJIŠTĚNÍ CLOUDOVÉHO PROSTŘEDÍ PRO PROVOZ SYSTÉMU ELEKTRONICKÉ SPISOVÉ SL...
Digitální a informační agentura
GORDIC spol. s r.o.
1 523 148 Kč
06.07.2025
Zpracování dopadu legislativy, informační koncepce ČR a dalších strategických dokumentů ČR na Inform...
Moravskoslezský kraj
Equica, a.s.
96 800 Kč
19.07.2024
Smlouva o zajištění provozu programového rpduktu GINIS Expres SQL
Základní škola a Mateřská škola Tábor, Čekanice, P...
GORDIC spol. s r.o.
14.09.2023
Upozornenia
Upozornenia
Zdroj:
Hlídač štátu
(CC BY 3.0 CZ)
Znenie predpisu má informatívny charakter.
Komentáre 0