Vyhláška č. 316/2014 Sb.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
Platný
Vyhláška
Účinnost od 01.01.2015
Verze znění:
01.01.2015
19.12.2014
Zobrazeno prvních 200 z celkem 843 ustanovení tohoto předpisu.
Zobrazit celý předpis →
Pro stažení celého znění použijte tlačítko Stáhnout výše.
316
VYHLÁŠKA
ze dne 15. prosince 2014
o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
Národní bezpečnostní úřad stanoví podle § 28 odst. 2 zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), (dále jen „zákon“) k provedení § 6 písm. a) až c), § 8 odst. 4, § 13 odst. 4 a § 16 odst. 6 zákona.
ÚVODNÍ USTANOVENÍ
Předmět úpravy
Touto vyhláškou se stanoví obsah a struktura bezpečnostní dokumentace pro informační systém kritické informační infrastruktury , komunikační systém kritické informační infrastruktury nebo významný informační systém , obsah bezpečnostních opatření , rozsah jejich zavedení, typy a kategorie kybernetických bezpečnostních incidentů , náležitosti a způsob hlášení kybernetického bezpečnostního incidentu , náležitosti oznámení o provedení reaktivního opatření a jeho výsledku a vzor oznámení kontaktních údajů a jeho formu.
Vymezení pojmů
V této vyhlášce se rozumí
a) systémem řízení bezpečnosti informací část systému řízení orgánu a osoby uvedené v § 3 písm. c) až e) zákona založená na přístupu k rizikům informačního systému kritické informační infrastruktury , komunikačního systému kritické informační infrastruktury nebo významného informačního systému , která stanoví způsob ustavení, zavádění, provoz, monitorování, přezkoumání, udržování a zlepšování bezpečnosti informací ,
b) aktivem primární aktivum a podpůrné aktivum ,
c) primárním aktivem informace nebo služba, kterou zpracovává nebo poskytuje informační systém kritické informační infrastruktury , komunikační systém kritické informační infrastruktury nebo významný informační systém ,
d) podpůrným aktivem technické aktivum , zaměstnanci a dodavatelé podílející se na provozu, rozvoji, správě nebo bezpečnosti informačního systému kritické informační infrastruktury , komunikačního systému kritické informační infrastruktury nebo významného informačního systému ,
e) technickým aktivem technické vybavení, komunikační prostředky a programové vybavení informačního systému kritické informační infrastruktury , komunikačního systému kritické informační infrastruktury nebo významného informačního systému a objekty, ve kterých jsou tyto systémy umístěny,
f) rizikem možnost, že určitá hrozba využije zranitelnosti informačního systému kritické informační infrastruktury , komunikačního systému kritické informační infrastruktury nebo významného informačního systému a způsobí poškození aktiva ,
g) hodnocením rizik proces, při němž je určována významnost rizik a jejich přijatelná úroveň,
h) řízením rizik činnost zahrnující hodnocení rizik , výběr a zavedení opatření ke zvládání rizik , sdílení informací o riziku a sledování a přezkoumání rizik ,
i) hrozbou potencionální příčina kybernetické bezpečnostní události nebo kybernetického bezpečnostního incidentu , jejímž výsledkem může být poškození aktiva ,
j) zranitelností slabé místo aktiva nebo bezpečnostního opatření , které může být zneužito jednou nebo více hrozbami ,
k) přijatelným rizikem riziko zbývající po uplatnění bezpečnostních opatření , jehož úroveň odpovídá kritériím pro přijatelnost rizik ,
l) bezpečnostní politikou soubor zásad a pravidel, které určují způsob zajištění ochrany aktiv orgánem a osobou uvedenou v § 3 písm. c) až e) zákona,
m) garantem aktiva fyzická osoba pověřená orgánem nebo osobou uvedenou v § 3 písm. c) až e) zákona k zajištění rozvoje, použití a bezpečnosti aktiva ,
n) uživatelem fyzická nebo právnická osoba anebo orgán veřejné moci, která využívá primární aktiva ,
o) administrátorem fyzická osoba pověřená garantem aktiva zajišťující správu, provoz, použití, údržbu a bezpečnost technického aktiva .
BEZPEČNOSTNÍ OPATŘENÍ
ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací
(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona v rámci systému řízení bezpečnosti informací
a) stanoví s ohledem na aktiva a organizační bezpečnost rozsah a hranice systému řízení bezpečnosti informací , ve kterém určí, kterých organizačních částí a technických prvků se systém řízení bezpečnosti informací týká,
b) řídí rizika podle § 4 odst. 1,
c) vytvoří a schválí bezpečnostní politiku v oblasti systému řízení bezpečnosti informací , která obsahuje hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací a na základě bezpečnostních potřeb a výsledků hodnocení rizik stanoví bezpečnostní politiku v dalších oblastech podle § 5 a zavede příslušná bezpečnostní opatření ,
d) monitoruje účinnost bezpečnostních opatření ,
e) vyhodnocuje vhodnost a účinnost bezpečnostní politiky podle § 5,
f) zajistí provedení auditu kybernetické bezpečnosti podle § 15, a to nejméně jednou ročně,
g) zajistí vyhodnocení účinnosti systému řízení bezpečnosti informací , které obsahuje hodnocení stavu systému řízení bezpečnosti informací včetně revize hodnocení rizik , posouzení výsledků provedených kontrol a auditů kybernetické bezpečnosti a dopadů kybernetických bezpečnostních incidentů na systém řízení bezpečnosti informací , a to nejméně jednou ročně,
h) aktualizuje systém řízení bezpečnosti informací a příslušnou dokumentaci na základě zjištění auditů kybernetické bezpečnosti, výsledků vyhodnocení účinnosti systému řízení bezpečnosti informací a v souvislosti s prováděnými nebo plánovanými změnami a
i) řídí provoz a zdroje systému řízení bezpečnosti informací , zaznamenává činnosti spojené se systémem řízení bezpečnosti informací a řízením rizik .
(2) Orgán a osoba uvedená v § 3 písm. e) zákona v rámci systému řízení bezpečnosti informací
a) řídí rizika podle § 4 odst. 2,
b) vytvoří a schválí bezpečnostní politiku v oblasti systému řízení bezpečnosti informací , která obsahuje hlavní zásady, cíle, bezpečnostní potřeby, práva a povinnosti ve vztahu k řízení bezpečnosti informací a na základě bezpečnostních potřeb a výsledků hodnocení rizik stanoví bezpečnostní politiku v dalších oblastech podle § 5, a zavede příslušná bezpečnostní opatření a
c) provádí aktualizaci zprávy o hodnocení aktiv a rizik , bezpečnostní politiky , plánu zvládání rizik a plánu rozvoje bezpečnostního povědomí, a to nejméně jednou za tři roky nebo v souvislosti s prováděnými nebo plánovanými změnami.
Řízení rizik
(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona v rámci řízení rizik
a) stanoví metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik včetně stanovení kritérií pro přijatelnost rizik ,
b) identifikuje a hodnotí důležitost aktiv , která patří do rozsahu systému řízení bezpečnosti informací , podle § 8 v rozsahu přílohy č. 1 k této vyhlášce a výstupy zapracuje do zprávy o hodnocení aktiv a rizik ,
c) identifikuje rizika , při kterých zohlední hrozby a zranitelnosti, posoudí možné dopady na aktiva , hodnotí tato rizika minimálně v rozsahu podle přílohy č. 2 k této vyhlášce, určí a schválí přijatelná rizika a zpracuje zprávu o hodnocení aktiv a rizik ,
d) zpracuje na základě bezpečnostních potřeb a výsledků hodnocení rizik prohlášení o aplikovatelnosti, které obsahuje přehled vybraných a zavedených bezpečnostních opatření ,
e) zpracuje a zavede plán zvládání rizik , který obsahuje cíle a přínosy bezpečnostních opatření pro zvládání rizik , určení osoby zajišťující prosazování bezpečnostních opatření pro zvládání rizik , potřebné finanční, technické, lidské a informační zdroje, termín jejich zavedení a popis vazeb mezi riziky a příslušnými bezpečnostními opatřeními a
f) zohlední bez zbytečného odkladu reaktivní a ochranná opatření vydaná Národním bezpečnostním úřadem (dále jen „Úřad“) v hodnocení rizik a v případě, že hodnocení rizik aktualizované o nové zranitelnosti spojené s realizací reaktivního nebo ochranného opatření překročí stanovená kritéria pro přijatelnost rizik , doplní plán zvládání rizik .
(2) Orgán a osoba uvedená v § 3 písm. e) zákona v rámci řízení rizik
a) stanoví metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik včetně stanovení kritérií pro přijatelnost rizik ,
b) identifikuje a hodnotí důležitost primárních aktiv , která patří do rozsahu systému řízení bezpečnosti informací , podle § 8 minimálně v rozsahu přílohy č. 1 k této vyhlášce a výstupy zapracuje do zprávy o hodnocení aktiv a rizik ,
c) identifikuje rizika , při kterých zohlední hrozby a zranitelnosti, posoudí možné dopady na primární aktiva , hodnotí tato rizika minimálně v rozsahu podle přílohy č. 2 k této vyhlášce a zpracuje zprávu o hodnocení aktiv a rizik ,
d) zpracuje na základě bezpečnostních potřeb a výsledků hodnocení rizik prohlášení o aplikovatelnosti, které obsahuje přehled vybraných a zavedených bezpečnostních opatření ,
e) zpracuje a zavede plán zvládání rizik , který obsahuje cíle a přínosy bezpečnostních opatření pro zvládání rizik , určení osoby zajišťující prosazování bezpečnostních opatření pro zvládání rizik , potřebné finanční, technické, lidské a informační zdroje, termíny jejich zavedení a popis vazeb mezi identifikovanými riziky a příslušnými bezpečnostními opatřeními a
f) zohlední bez zbytečného odkladu reaktivní a ochranná opatření vydaná Úřadem v hodnocení rizik a v případě, že hodnocení rizik aktualizované o nové zranitelnosti spojené s realizací reaktivního nebo ochranného opatření překročí stanovená kritéria pro přijatelnost rizik , doplní plán zvládání rizik .
(3) Řízení rizik může být zajištěno i jinými způsoby, než jak je stanoveno v odstavcích 1 a 2, pokud orgán a osoba uvedená v § 3 písm. c) až e) zákona zabezpečí, že používá opatření zajišťující stejnou nebo vyšší úroveň řízení rizik .
(4) Orgán a osoba uvedená v § 3 písm. c) až e) zákona při hodnocení rizik zvažuje zejména tyto hrozby
a) porušení bezpečnostní politiky , provedení neoprávněných činností, zneužití oprávnění ze strany uživatelů a administrátorů ,
b) poškození nebo selhání technického anebo programového vybavení,
c) zneužití identity fyzické osoby,
d) užívání programového vybavení v rozporu s licenčními podmínkami,
e) kybernetický útok z komunikační sítě,
f) škodlivý kód (například viry, spyware, trojské koně),
g) nedostatky při poskytování služeb informačního systému kritické informační infrastruktury , komunikačního systému kritické informační infrastruktury nebo významného informačního systému ,
h) narušení fyzické bezpečnosti,
i) přerušení poskytování služeb elektronických komunikací nebo dodávek elektrické energie,
j) zneužití nebo neoprávněná modifikace údajů,
k) trvale působící hrozby a
l) odcizení nebo poškození aktiva .
(5) Orgán a osoba uvedená v § 3 písm. c) až e) zákona při hodnocení rizik zvažuje zejména tyto zranitelnosti
a) nedostatečná ochrana vnějšího perimetru,
b) nedostatečné bezpečnostní povědomí uživatelů a administrátorů ,
c) nedostatečná údržba informačního systému kritické informační infrastruktury , komunikačního systému kritické informační infrastruktury nebo významného informačního systému ,
d) nevhodné nastavení přístupových oprávnění,
e) nedostatečné postupy při identifikování a odhalení negativních bezpečnostních jevů, kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů ,
f) nedostatečné monitorování činnosti uživatelů a administrátorů a neschopnost odhalit jejich nevhodné nebo závadné způsoby chování a
g) nedostatečné stanovení bezpečnostních pravidel, nepřesné nebo nejednoznačné vymezení práv a povinností uživatelů , administrátorů a bezpečnostních rolí.
(6) Orgán a osoba uvedená v § 3 písm. c) a d) zákona při hodnocení rizik dále zvažuje tyto hrozby
a) porušení bezpečnostní politiky , provedení neoprávněných činností, zneužití oprávnění ze strany administrátorů kritické informační infrastruktury ,
b) pochybení ze strany zaměstnanců,
c) zneužití vnitřních prostředků, sabotáž,
d) dlouhodobé přerušení poskytování služeb elektronických komunikací, dodávky elektrické energie nebo jiných důležitých služeb,
e) nedostatek zaměstnanců s potřebnou odbornou úrovní,
f) cílený kybernetický útok pomocí sociálního inženýrství, použití špionážních technik a
g) zneužití vyměnitelných technických nosičů dat.
(7) Orgán a osoba uvedená v § 3 písm. c) a d) zákona při hodnocení rizik dále zvažuje tyto zranitelnosti
a) nedostatečná ochrana prostředků kritické informační infrastruktury ,
b) nevhodná bezpečnostní architektura,
c) nedostatečná míra nezávislé kontroly a
d) neschopnost včasného odhalení pochybení ze strany zaměstnanců.
Bezpečnostní politika
(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona stanoví bezpečnostní politiku v oblastech
a) systém řízení bezpečnosti informací ,
b) organizační bezpečnost,
c) řízení vztahů s dodavateli,
d) klasifikace aktiv ,
e) bezpečnost lidských zdrojů,
f) řízení provozu a komunikací,
g) řízení přístupu,
h) bezpečné chování uživatelů ,
i) zálohování a obnova,
j) bezpečné předávání a výměna informací,
k) řízení technických zranitelností,
l) bezpečné používání mobilních zařízení,
m) poskytování a nabývání licencí programového vybavení a informací,
n) dlouhodobé ukládání a archivace informací,
o) ochrana osobních údajů ,
p) fyzická bezpečnost,
q) bezpečnost komunikační sítě,
r) ochrana před škodlivým kódem,
s) nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí ,
t) využití a údržba nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí a
u) používání kryptografické ochrany.
(2) Orgán a osoba uvedená v § 3 písm. e) zákona stanoví bezpečnostní politiku v oblastech
a) systém řízení bezpečnosti informací ,
b) organizační bezpečnost,
c) řízení dodavatelů,
d) klasifikace aktiv ,
e) bezpečnost lidských zdrojů,
f) řízení provozu a komunikací,
g) řízení přístupu,
h) bezpečné chování uživatelů ,
i) zálohování a obnova,
j) poskytování a nabývání licencí programového vybavení a informací,
k) ochrana osobních údajů ,
l) používání kryptografické ochrany,
m) ochrana před škodlivým kódem a
n) nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí .
(3) Orgán a osoba uvedená v § 3 písm. c) až e) zákona pravidelně hodnotí účinnost bezpečnostní politiky a aktualizuje ji.
Organizační bezpečnost
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona zavede organizaci řízení bezpečnosti informací , v rámci které určí výbor pro řízení kybernetické bezpečnosti a bezpečnostní role a jejich práva a povinnosti související s informačním systémem kritické informační infrastruktury , komunikačním systémem kritické informační infrastruktury nebo významným informačním systémem .
(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona určí bezpečnostní role
a) manažer kybernetické bezpečnosti,
b) architekt kybernetické bezpečnosti,
c) auditor kybernetické bezpečnosti a
d) garant aktiva podle § 2 písm. m).
(3) Orgán a osoba uvedená v § 3 písm. e) určí bezpečnostní role přiměřeně podle odstavce 2.
(4) Manažer kybernetické bezpečnosti je osoba, odpovědná za systém řízení bezpečnosti informací , která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s řízením bezpečnosti informací po dobu nejméně tří let.
(5) Architekt kybernetické bezpečnosti je osoba zajišťující návrh a implementaci bezpečnostních opatření , která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s navrhováním bezpečnostní architektury po dobu nejméně tří let.
(6) Auditor kybernetické bezpečnosti je osoba provádějící audit kybernetické bezpečnosti, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s prováděním auditů kybernetické bezpečnosti po dobu nejméně tří let. Auditor kybernetické bezpečnosti vykonává svoji roli nestranně a výkon jeho role je oddělen od výkonu rolí uvedených v odstavci 2 písm. a), b) nebo d).
(7) Výbor pro řízení kybernetické bezpečnosti je organizovaná skupina tvořená osobami, které jsou pověřeny celkovým řízením a rozvojem informačního systému kritické informační infrastruktury , komunikačního systému kritické informační infrastruktury nebo významného informačního systému , anebo se významně podílejí na řízení a koordinaci činností spojených s kybernetickou bezpečností těchto systémů.
(8) Orgán a osoba uvedená v § 3 písm. c) až e) zákona zajistí odborné školení osob, které zastávají bezpečnostní role v souladu s plánem rozvoje bezpečnostního povědomí podle § 9 odst. 1 písm. b).
Stanovení bezpečnostních požadavků pro dodavatele
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona zavede pravidla pro dodavatele, která zohledňují potřeby řízení bezpečnosti informací, a zohlední je u dodavatelů nebo jiných osob, které se podílejí na rozvoji, provozu nebo zajištění bezpečnosti informačního systému kritické informační infrastruktury , komunikačního systému kritické informační infrastruktury nebo významného informačního systému . Rozsah zapojení dodavatelů na rozvoji, provozu nebo zajištění bezpečnosti informačního systému kritické informační infrastruktury , komunikačního systému kritické informační infrastruktury nebo významného informačního systému prokazatelně dokumentuje orgán a osoba uvedená v § 3 písm. c) až e) zákona smlouvou, jejíž součástí je ustanovení o bezpečnosti informací .
a) před uzavřením smlouvy provádí hodnocení rizik podle přílohy č. 2 k této vyhlášce, která jsou spojena s podstatnými dodávkami,
b) uzavírá smlouvu o úrovni služeb, která stanoví způsoby a úrovně realizace bezpečnostních opatření a určí vztah vzájemné smluvní odpovědnosti za zavedení a kontrolu bezpečnostních opatření , a
c) provádí pravidelné hodnocení rizik a pravidelnou kontrolu zavedených bezpečnostních opatření u poskytovaných služeb a zjištěné nedostatky odstraňuje nebo po dohodě s dodavatelem zajistí jejich odstranění.
Řízení aktiv
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona v rámci řízení aktiv
a) identifikuje a eviduje primární aktiva ,
b) určí garanty aktiv , kteří jsou odpovědní za primární aktiva , a
c) hodnotí důležitost primárních aktiv z hlediska důvěrnosti, integrity a dostupnosti a zařadí je do jednotlivých úrovní minimálně v rozsahu podle přílohy č. 1 k této vyhlášce.
(2) Při hodnocení důležitosti primárních aktiv je třeba především posoudit
a) rozsah a důležitost osobních údajů nebo obchodního tajemství,
b) rozsah dotčených právních povinností nebo jiných závazků,
c) rozsah narušení vnitřních řídících a kontrolních činností,
d) poškození veřejných, obchodních nebo ekonomických zájmů,
e) možné finanční ztráty,
f) rozsah narušení běžných činností orgánu a osoby uvedené v § 3 písm. c) až e) zákona,
g) dopady spojené s narušením důvěrnosti, integrity a dostupnosti a
h) dopady na zachování dobrého jména nebo ochranu dobré pověsti.
(3) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále
a) identifikuje a eviduje podpůrná aktiva ,
b) určí garanty aktiv , kteří jsou odpovědní za podpůrná aktiva , a
c) určí vazby mezi primárními a podpůrnými aktivy a hodnotí důsledky závislostí mezi primárními a podpůrnými aktivy.
(4) Orgán a osoba uvedená v § 3 písm. c) až e) zákona dále
a) stanoví pravidla ochrany, nutná pro zabezpečení jednotlivých úrovní aktiv tím, že
1. určí způsoby rozlišování jednotlivých úrovní aktiv ,
2. stanoví pravidla pro manipulaci a evidenci s aktivy podle úrovní aktiv , včetně pravidel pro bezpečné elektronické sdílení a fyzické přenášení aktiv a
3. stanoví přípustné způsoby používání aktiv ,
b) zavede pravidla ochrany odpovídající úrovni aktiv a
c) určí způsoby pro spolehlivé smazání nebo ničení technických nosičů dat s ohledem na úroveň aktiv .
Bezpečnost lidských zdrojů
(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona v rámci řízení bezpečnosti lidských zdrojů
a) stanoví plán rozvoje bezpečnostního povědomí, který obsahuje formu, obsah a rozsah potřebných školení a určí osoby provádějící realizaci jednotlivých činností, které jsou v plánu uvedeny,
b) v souladu s plánem rozvoje bezpečnostního povědomí zajistí poučení uživatelů , administrátorů a osob zastávajících bezpečnostní role o jejich povinnostech a o bezpečnostní politice formou vstupních a pravidelných školení,
c) zajistí kontrolu dodržování bezpečnostní politiky ze strany uživatelů , administrátorů a osob zastávajících bezpečnostní role a
d) zajistí vrácení svěřených aktiv a odebrání přístupových oprávnění při ukončení smluvního vztahu s uživateli , administrátory nebo osobami zastávajícími bezpečnostní role.
(2) Orgán a osoba uvedená v § 3 písm. c) až e) zákona vede o školení podle odstavce 1 přehledy, které obsahují předmět školení a seznam osob, které školení absolvovaly.
(3) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále
a) stanoví pravidla pro určení osob, které budou zastávat bezpečnostní role, role administrátorů nebo uživatelů ,
b) hodnotí účinnost plánu rozvoje bezpečnostního povědomí, provedených školení a dalších činností spojených s prohlubováním bezpečnostního povědomí,
Přihlaste se pro poznámky, oblíbené a upozornění
Informace o předpisu
| Citace | Vyhláška č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) |
|---|---|
| Typ předpisu | Vyhláška |
| Autor | - |
| Sbírka | Sbírka zákonů |
| Datum vyhlášení | 19.12.2014 |
|---|---|
| Účinnost od | 01.01.2015 |
| Účinnost do | - |
| Stav | Platný |
Znění předpisu má informativní charakter.
Komentáře 0