Указ No 315 / 2021 Coll.
Указ про рівні безпеки для використання хмарних обчислень органами державної влади
Чинний
Замовити
Чинний від 01.09.2021
Версії тексту:
01.09.2021
31.08.2021
315 км
ВИЗНАЧЕННЯ
від 24 серпня 2021
на рівні безпеки для використання хмарних обчислень органами державної влади
Відповідно до статті 28 (2) (а) Акту No 181 / 2014 Coll., з питань кібербезпеки та щодо внесення змін до законів, пов’язаних з покращенням, внесених до Закону No 205 / 2017 Coll., (далі – «»), Національний офіс кібербезпеки та інформаційної безпеки передбачає:
Тема питання
Цей Указ встановлює рівні безпеки для використання хмарних обчислень органами державної влади відповідно до § 6 (e) Акту.
Визначення умов
Для цілей цієї постанови:
(a) запитувана хмарна обчислювальна інформація або система зв'язку в цілому або її частинах, яка може здійснюватися хмарними обчисленнями і які органи державної влади зобов'язані включати в рівень безпеки;
(b) частина системи інформації або зв'язку, така частина системи, яка чітко відокремлена, забезпечує цільову та системну інформаційну діяльність (1), може бути здійснена хмарними обчисленнями і визначається в плані функціональних категорій, архітектури, оперативної моделі та безпеки;
(c) області впливу, визначених зоною, в якій інцидент з кібербезпеки може вплинути на запитані хмарні обчислення, захист персональних даних, кримінальне право, громадська політика, міжнародні відносини, управління та операція, достовірність, фінансові моделі або надання послуг;
(d) рівень впливу низької, середньої, високої або критичної цінності, що відповідає впливу інциденту з кібербезпеки на хмарні обчислення, затребувані в кожній області впливу.
Рівень безпеки
Рівень безпеки для використання хмарних обчислень органами державної влади висловлює можливі наслідки інциденту з кібербезпеки на запитані хмарні обчислення. Рівень безпеки низький, середній, високий або критичний.
Класифікація запитуваних хмарних обчислень на рівень безпеки
(1) Включення запитаних хмарних обчислень у рівні безпеки здійснюється державним органом відповідно до Додатка до цього Указу. Громадська влада оцінює виконання рівня впливу, що попит хмарних обчислень здатний досягти в межах кожної області впливу. Рівень впливу в кожній області впливу обумовлений найгіршим можливим впливом інциденту з кібербезпеки.
(2) При визначенні найгіршого можливого впливу інциденту з кібербезпеки, державна влада враховує потенційне порушення конфіденційності, цілісності та наявності хмарних обчислень, запитуваних та характеру інформаційної або комунікаційної системи, яка є хмарними обчисленнями, які вимагаються в цілому. Де тільки частина інформаційної або комунікаційної системи є запитаними хмарними обчисленнями, вона також враховує відносини цієї частини до рівня безпеки інформаційної або комунікаційної системи в цілому.
(3) Рівень безпеки для використання запитаних хмарних обчислень державним органом є таким же, що найвищий рівень впливу, досягнутих за запитом хмарними обчисленнями в оцінці окремих зон впливу.
(4) Система інформації або зв'язку, яка є важливою інформаційною системою за законом, відповідає високому рівні безпеки, де попит хмарних обчислень полягає в тому, що система інформації або зв'язку в цілому і де державний орган не входить до критичного рівня безпеки відповідно до процедури, зазначених у передових пунктах.
(5) Система інформації або зв'язку, яка є критичною інформаційною інфраструктурою відповідно до закону, відповідає критичному рівні безпеки при потребі хмарних обчислень, що інформація або система зв'язку в цілому.
(6) Максимальний рівень безпеки інформаційної або комунікаційної системи в цілому буде встановлена принаймні одна частина інформаційної або комунікаційної системи, яка є попитом хмарних обчислень.
(7) Письмовий запис процесу визначення рівня безпеки хмарних обчислень, заданих при передових пунктах, здійснюється державним органом. На сайті Національного органу з кібербезпеки опубліковано модель письмового запису.
Еффіфікація
Цей Указ діє в день, що стосується його публікації.
Директор:
Ing. Греція
Додаток до Указу No 315 / 2021 Coll.
Рівень і області впливу на включення запитуваних хмарних обчислень в рівень безпеки
| Úroveň dopadu | Oblast dopadu | ||||||||
|---|---|---|---|---|---|---|---|---|---|
| A. Bezpečnost a zdraví lidí | B. Ochrana osobních údajů | C. Trestněprávní řízení | D. Veřejný pořádek | E. Mezinárodní vztahy | F. Řízení a provoz | G. Důvěryhodnost | H. Finanční model | I. Zajišťování služeb | |
| 1. Nízká | Nemůže vést ke zranění jednotlivce ani skupiny lidí. | Nemůže ovlivnit | Nemůže vytvořit podmínky pro páchání | Nemůže zapříčinit hromadné nepokoje nebo jinak narušit veřejný pořádek. | Nemůže negativně ovlivnit obraz České republiky v zahraničí. | Nemůže narušit řádné fungování nebo řízení ani části orgánu veřejné moci, nebo může narušit řádné fungování části nebo celého orgánu veřejné moci, avšak nemůže závažně omezit nebo zastavit provádění důležitých činností orgánu veřejné moci. | Nemůže negativně ovlivnit vztahy s jinými částmi orgánu veřejné moci, jinými organizacemi nebo vztahy s veřejností, nebo může vztahy s nimi negativně ovlivnit, avšak negativní následky mohou být nejvýše lokální. | Nemůže ani nepřímo vést k finančním ztrátám, nebo může vést k finančním ztrátám menším než 1 % běžných výdajů ročního rozpočtu orgánu veřejné moci. | Nemůže způsobit omezení, narušení nebo nedostupnost žádných poskytovaných služeb, nebo může způsobit omezení, narušení nebo nedostupnost poskytovaných služeb pro 5 000 a méně osob. |
| 2. Střední | Může vést ke zranění jednotlivce nebo skupiny nejvíce 100 lidí. | Může negativně ovlivnit | Může vytvořit podmínky pro páchání | Může zapříčinit hromadné nepokoje nebo jinak narušit veřejný pořádek s lokálními dopady. | Může negativně ovlivnit obraz České republiky v sousedních státech. | Může narušit řádné fungování části nebo celého orgánu veřejné moci, přičemž může závažně omezit nebo zastavit provádění důležitých činností orgánu veřejné moci. | Může negativně ovlivnit vztahy s jinými částmi orgánu veřejné moci, jinými organizacemi nebo vztahy s veřejností, avšak negativní následky mohou být nejvýše regionální. | Může vést k finančním ztrátám ve výši mezi 1 % a 5 % běžných výdajů ročního rozpočtu orgánu veřejné moci a tyto ztráty odpovídají částce 100 000 Kč a vyšší. V případě, že výše finanční ztráty odpovídá částce nižší než 100 000 Kč, použije se | Může způsobit omezení, narušení nebo nedostupnost služeb pro více než 5 000, nejvíce však 50 000 osob. |
| 3. Vysoká | Může vést ke zranění skupiny více než 100 lidí a nejvíce 2 500 lidí nebo přímému ohrožení nebo ztrátě života jednotlivce nebo skupiny nejvíce 250 lidí. | Může negativně ovlivnit | Může vést k narušení vyšetřování trestné činnosti nebo soudního řízení v rámci | Může zapříčinit hromadné nepokoje nebo jinak závažně narušit veřejný pořádek s regionálními dopady. | Může negativně ovlivnit obraz České republiky ve světě. | Může narušit řádné fungování části nebo celého orgánu veřejné moci, přičemž může závažně omezit nebo zastavit provádění důležitých činností orgánu veřejné moci a narušit řízení, poškodit rozvoj nebo poškodit prosazování cílů a zájmů orgánu veřejné moci. | Může negativně ovlivnit vztahy s jinými částmi orgánu veřejné moci, jinými organizacemi nebo vztahy s veřejností, avšak negativní následky mohou být nejvýše celostátní nebo krátkodobě mezinárodní. | Může vést k finančním ztrátám ve výši přesahující 5 % a maximálně 10 % běžných výdajů ročního rozpočtu orgánu veřejné moci a tyto ztráty odpovídají částce 1 000 000 Kč a vyšší, nebo může způsobit hospodářské ztráty státu ve výši mezi 0,1 % a 0,5 % hrubého domácího produktu. V případě, že výše finanční ztráty odpovídá částce nižší než 1 000 000 Kč, použije se | Může způsobit omezení, narušení nebo nedostupnost služeb pro více než 50 000 osob. |
| 4. Kritická | Může vést ke zranění skupiny více než 2 500 lidí nebo přímému ohrožení nebo ztrátě života skupiny více než 250 lidí. | Může vést k omezení nebo narušení zpracování osobních údajů, které je nezbytné pro zajišťování obranných a bezpečnostních zájmů České republiky. | Může vést k závažnému a dlouhodobému narušení schopnosti vyšetřovat trestnou činnost nebo zpochybnění soudního řízení v rámci | Může být dotčen prvek kritické infrastruktury provozovaný orgánem veřejné moci, který | Může negativně ovlivnit nebo poškodit diplomatické vztahy České republiky. | Může být dotčen prvek kritické infrastruktury provozovaný orgánem veřejné moci, který | Může být dotčen prvek kritické infrastruktury provozovaný orgánem veřejné moci, který | Může vést k finančním ztrátám přesahujícím 10 % běžných výdajů ročního rozpočtu orgánu veřejné moci a tyto ztráty odpovídají částce 10 000 000 Kč a vyšší, nebo může způsobit hospodářské ztráty státu vyšší než 0,5 % hrubého domácího produktu. V případě, že výše finanční ztráty odpovídá částce nižší než 10 000 000 Kč, použije se | Může být dotčen prvek kritické infrastruktury provozovaný orgánem veřejné moci, který |
Групи критеріїв впливу Б. Захист персональних даних
(1) Перший набір критеріїв складається з наступних критеріїв:
(а) персональні дані обробляються, щоб увімкнути суб’єкт даних для виконання або дії без подальшої затримки від імені суб’єкта даних, в умовах, пов’язаних з пошкодженням відзнаки, репутації або характеру або дозволити дані, що підлягають вилученню послуг, товарів або, де це доречно, збирати гроші або інші активи від імені суб’єкта даних;
(b) персональні дані обробляються, відповідно до якого суб’єкт даних класифікований як учасник групи з обмеженням часу або ситуацією, яка відповідає вразливості;
(c) обробка персональних даних здійснюється, що впливає або може бути нараховано на вплив від 5 000 та 10 000 суб’єктів даних;
(d) персональні дані публічно доступні для необмеженої кількості органів або осіб;
(e) обробка персональних даних системою, пов’язаної з іншими процесами обробки даних, здійсненими самими контролерами даних або іншими контролерами персональних даних.
(2) Друга група критеріїв складається з наступних критеріїв:
(а) обробка окремих категорій персональних даних або даних високоособистісної природи, зокрема фінансових даних про статус майна, суми коштів, боргів або кредитів або оплати моральності, записів історії приватних дзвінків суб’єктів даних, даних з електронної пошти суб’єктів даних і таких як;
(b) обробка персональних даних здійснюється, що впливає або, відповідно, очікувано, впливає на більш ніж 10 000 суб'єктів даних; і
(c) автоматизоване прийняття рішень, що впливає на суб’єкт даних.
1) § 2 (а) Акту No 365 / 2000 Coll, про інформаційні системи державного управління та про внесення змін до деяких інших законів, внесених змінами.
Увійдіть для нотаток, обраного та сповіщень
Інформація про нормативний акт
| Цитування | Указ No 315 / 2021 Coll., на рівні безпеки для використання хмарних обчислень органами державної влади |
|---|---|
| Тип нормативного акту | Замовити |
| Автор | - |
| Збірка | Збірка законів |
| Дата оприлюднення | 31.08.2021 |
|---|---|
| Чинний від | 01.09.2021 |
| Чинний до | - |
| Стан | Чинний |
Публічні договори 5
Smlouva o dílo - Provedení studie variantního řešení obnovy datových center Ministerstva kultury
Česká republika - Ministerstvo kultury
Ing. Roman Kalný, CSc.
199 650 крон
05.08.2025
Migrace do Microsoft 365
Národní knihovna České republiky
KSP Computer & Services, s.r.o.
1 125 300 крон
13.06.2025
Elektronické potvrzení o studiu pro vysokoškolské studenty – eSIMS
Ministerstvo školství, mládeže a tělovýchovy
Gappex s.r.o.
1 593 570 крон
07.04.2025
Smlouva o poskytování služeb cloud computingu
Město Horní Slavkov
Aricoma Systems a.s.
688 139 крон
19.02.2024
Smlouva o zajištění provozu programového rpduktu GINIS Expres SQL
Základní škola a Mateřská škola Tábor, Čekanice, P...
GORDIC spol. s r.o.
14.09.2023
Сповіщення
Сповіщення
Джерело:
Hlídač státu
(CC BY 3.0 CZ)
Текст нормативного акту має інформаційний характер.
Коментарі 0