Seznam opatření v nižším regulatorním stupni

V nižším regulatorním stupni nalezneme podstatně méně opatření než ve vyšším stupni. Například v nižším stupni není potřeba jmenovat manažera, architekta ani auditora kybernetické bezpečnosti. Je však potřeba jmenovat osobu, která odpovídá za řízení a rozvoj kybernetické bezpečnosti a komunikaci s vrcholným vedením. I tak je ale nutné všem opatřením věnovat pečlivou pozornost.

Povinná osoba:

  • V rámci zajišťování kybernetické bezpečnosti
    • Zavede a provádí přiměřená bezpečnostní opatření zohledňující bezpečnostní potřeby organizace
    • Vždy zavede a provádí alespoň bezpečnostní opatření podle § 4 odstavce 2 až odstavce 7, § 5, § 6 a § 11
  • Vypracuje:
    • Přehled všech bezpečnostních opatření, která byla povinnou osobou zavedena, včetně popisu jejich zavedení
    • Přehled všech bezpečnostních opatření, která budou povinnou osobou zavedena, včetně termínů pro jejich zavedení, priority jejich zavedení, určení osoby odpovědné za jejich zavedení
    • Přehled všech bezpečnostních opatření, která nebyla zavedena, včetně odůvodnění jejich nezavedení
  • Alespoň jednou ročně provede a dokumentuje vyhodnocení účinnosti zavedených bezpečnostních opatření, včetně aktualizace přehledu bezpečnostních opatření
  • Uchovává jednotlivé přehledy bezpečnostních opatření, alespoň po dobu čtyř let
  • Určí osobu odpovědnou za kybernetickou bezpečnost, která v oblasti kybernetické bezpečnosti odpovídá za řízení a rozvoj kybernetické bezpečnosti, dohled nad stavem kybernetické bezpečnosti a komunikaci s vrcholným vedením, přičemž pověřena může být osoba, která pro tuto činnost:
    • Bez zbytečného odkladu absolvuje odborné školení
    • Prokáže odbornou způsobilost v oblasti kybernetické bezpečnosti
  • V rámci zajišťování kybernetické bezpečnosti řídí bezpečnostní politiku a bezpečnostní dokumentaci, zejména:
    • Vytvoří a schválí relevantní bezpečnostní politiku a vede relevantní bezpečnostní dokumentaci k opatřením
    • Pravidelně přezkoumává bezpečnostní politiku a bezpečnostní dokumentaci a zajišťuje jejich aktuálnost
    • Dodržuje a vynucuje dodržování pravidel a postupů stanovených v bezpečnostní politice a bezpečnostní dokumentaci
  • V návaznosti na stanovení rozsahu řízení kybernetické bezpečnosti v rámci řízení aktiv stanoví a zavádí pravidla ochrany a přípustné způsoby používání aktiv
  • Při uzavírání smlouvy s dodavateli zajistí, aby smlouvy s těmito dodavateli obsahovaly relevantní oblasti
  • V souvislosti s plánovanou akvizicí, vývojem a údržbou technických aktiv stanoví bezpečnostní požadavky v oblasti kybernetické bezpečnosti a vymáhá jejich dodržování, přičemž vychází zejména z požadavků na bezpečnostní opatření podle vyhlášky
  • Určí osobu, která bude zastávat bezpečnostní roli:
    • Manažera kybernetické bezpečnosti
    • Architekta kybernetické bezpečnosti
    • Garanta aktiva
    • Auditora 
  • Zajistí zastupitelnost bezpečnostních rolí
  • Absolvuje školení
  • Zajistí stanovení bezpečnostní politiky a cílů
  • Zajistí integraci systému řízení bezpečnosti informací do procesů povinné osoby
  • Zajistí dostupnost zdrojů 
  • Informuje zaměstnance 
  • Zajistí podporu k dosažení cílů 
  • Vede zaměstnance k rozvíjení efektivity systému řízení bezpečnosti informací
  • Podílí se na vypracování analýzy dopadů
  • Zajistí stanovení pravidel pro určení administrátorů a osob, které budou zastávat bezpečnostní role
  • Zajistí, aby byla zachována mlčenlivost u všech relevantních osob
  • Pro osoby zastávající bezpečnostní role zajistí zdroje a pravomoci potřebné pro naplňování jejich rolí
  • Důsledně se seznamuje se zprávami 
  • Určí složení výboru pro řízení kybernetické bezpečnosti, bezpečnostní role, jejich práva a povinnosti související se systémem řízení bezpečnosti informací
  • Jednání výboru pro řízení kybernetické bezpečnosti probíhají v pravidelném intervalu a o jejich průběhu je veden záznam
  • Povinná osoba v návaznosti na stanovení rozsahu řízení kybernetické bezpečnosti:
    • Stanoví metodiku pro určování a hodnocení aktiv včetně stanovení úrovní aktiv
    • Eviduje garanty aktiv
    • Hodnotí primární aktiva z hlediska důvěrnosti, integrity a dostupnosti a zařadí je do jednotlivých úrovní
    • Určuje a eviduje relevantní vazby mezi aktivy
    • Hodnotí podpůrná aktiva a zohledňuje přitom zejména vazby na primární aktiva
    • Pro jednotlivé úrovně aktiv stanovuje a zavádí pravidla ochrany nutná pro zabezpečení jejich důvěrnosti, integrity a dostupnosti, která obsahují:
      • Přípustné způsoby používání aktiv
      • Pravidla pro manipulaci s aktivy
      • Pravidla pro klasifikaci informací
      • Pravidla pro označování aktiv
      • Pravidla správy výměnných médií
      • Pravidla pro bezpečné elektronické sdílení a fyzické přenášení aktiv
      • Pravidla pro určení způsobu likvidace informací a dat, jejich kopií a likvidace technických aktiv
  • Povinná osoba v rámci řízení rizik:
    • Stanoví metodiku pro určování a hodnocení rizik, včetně stanovení kritérií pro akceptovatelnost rizik
    • Při určování rizik s ohledem na aktiva určuje relevantní hrozby a zranitelnosti; přitom zvažuje zejména kategorie hrozeb a zranitelnosti
    • Provádí hodnocení rizik v pravidelných intervalech alespoň jednou ročně a při významných změnách
    • Při hodnocení rizik zohlední relevantní hrozby a zranitelnosti a posoudí možné dopady na aktiva, přičemž vychází z hodnocení aktiv
    • Na základě provedeného hodnocení rizik zpracuje zprávu o hodnocení rizik
    • Zpracuje na základě bezpečnostních potřeb a výsledků hodnocení rizik prohlášení o aplikovatelnosti, které obsahuje přehled všech bezpečnostních opatření požadovaných touto vyhláškou, která
      • Nebyla aplikována, včetně odůvodnění a přehled přijatých náhradních bezpečnostních opatření
      • Byla aplikována, včetně způsobu plnění
    • Na základě provedeného hodnocení rizik v souladu se stanovenými kritérii pro akceptovatelnost rizik zpracuje plán zvládání rizik, který obsahuje:
      • Popis bezpečnostních opatření 
      • Cíle a přínosy bezpečnostních opatření 
      • Určení osoby zajišťující zavedení bezpečnostních opatření pro zvládání rizik
      • Předpokládané lidské, finanční a technické zdroje pro zavedení opatření
      • Požadovaný termín zavedení bezpečnostních opatření
      • Popis vazeb mezi riziky a příslušnými opatřeními
      • Konkrétní způsob realizace 
    • Při hodnocení rizik a v plánu zvládání rizik zohlední
      • Významné změny
      • Protiopatření 
      • Kybernetické bezpečnostní incidenty, včetně dříve řešených
      • Výsledky auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti
      • Výsledky penetračního testování a skenování zranitelností
    • Povinná osoba v souladu s plánem zvládání rizik zavádí bezpečnostní opatření
  • Povinná osoba:
    • Stanoví plán rozvoje bezpečnostního povědomí, které zahrnuje:
      • Poučení vrcholného vedení o jeho povinnostech a bezpečnostní politice 
      • Poučení uživatelů, administrátorů, osob zastávajících bezpečnostní role a dodavatelů o jejich povinnostech a o bezpečnostní politice
      • Potřebná teoretická i praktická školení uživatelů, administrátorů a osob zastávajících bezpečnostní role
      • Pravidla tvorby bezpečných hesel
      • Relevantní témata
    • Zajistí poučení vrcholného vedení, uživatelů, administrátorů, osob zastávajících bezpečnostní role a dodavatelů o jejich povinnostech a bezpečnostní politice formou vstupních a pravidelných školení, k získání znalostí a dovedností vedoucích k určování rizik a posouzení vhodnosti zvolených postupů při řízení rizik a jejich dopadů na regulovanou službu
    • Zajistí odborná školení
    • Určí osoby odpovědné za realizaci jednotlivých činností
    • Hodnotí účinnost plánu rozvoje bezpečnostního povědomí, provedených poučení, školení a dalších činností spojených se zlepšováním bezpečnostního povědomí
    • Zajistí kontrolu dodržování bezpečnostní politiky ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role
    • Určí pravidla a postupy pro řešení případů porušení stanovených bezpečnostních pravidel ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role
    • V případě ukončení nebo změny smluvního vztahu s administrátory a osobami zastávajícími bezpečnostní role zajistí předání odpovědností

Povinná osoba vede o poučení a školení přehledy, které obsahují předmět poučení a školení včetně seznamu osob, které poučení a školení absolvovaly.

Povinná osoba:

  • Stanoví metodiku pro provedení analýzy dopadů
  • Provádí analýzu dopadů, vyhodnocuje a dokumentuje možné dopady kybernetických bezpečnostních incidentů a zohlední hodnocení rizik
  • Posoudí možná rizika související s ohrožením kontinuity činností
  • Stanoví cíle řízení kontinuity činností formou určení:
    • Minimální úrovně poskytovaných služeb, která je přijatelná pro užívání, provoz a správu regulované služby
    • Doby obnovení chodu, během které bude po kybernetickém bezpečnostním incidentu obnovena minimální úroveň poskytovaných služeb regulované služby
    • Bodu obnovení dat jako časové období, za které musí být zpětně obnovena data po kybernetickém bezpečnostním incidentu nebo po selhání
  • Stanoví politiku řízení kontinuity činností, která obsahuje naplnění cílů a stanoví práva a povinnosti administrátorů a osob zastávajících bezpečnostní role
  • Vypracuje, aktualizuje a pravidelně testuje plány kontinuity činností a plány obnovy související s poskytováním regulované služby
  • Realizuje bezpečnostní opatření pro zvýšení odolnosti
  • Povinná osoba na základě bezpečnostních a provozních potřeb řídí přístup k aktivům a přijímá bezpečnostní opatření, která slouží k zajištění ochrany přístupových a autentizačních údajů, které jsou používány pro ověření identity
  • Povinná osoba dále v rámci řízení přístupu k aktivům:
    • Řídí přístup na základě skupin a rolí
    • Přidělí každému uživateli a administrátorovi přistupujícímu k aktivům přístupová práva a oprávnění na úroveň nezbytně nutnou k výkonu práce a jedinečný identifikátor daného typu účtu, přičemž odděluje uživatelské a administrátorské účty jedné osoby
    • Řídí identifikátory, přístupová práva a oprávnění účtů technických aktiv
    • Zavádí bezpečnostní opatření pro řízení přístupu technických aktiv
    • Zavádí bezpečnostní opatření potřebná pro bezpečné používání mobilních zařízení a jiných obdobných technických aktiv, popřípadě i bezpečnostní opatření spojená s využitím technických aktiv, která povinná osoba nemá ve své správě
    • Omezí a kontroluje používání programových prostředků a vybavení, které mohou být schopné překonat systémové nebo aplikační kontroly
    • Přiděluje a odebírá přístupová práva a oprávnění v souladu s politikou řízení přístupu
    • Provádí pravidelné přezkoumání veškerých přístupových práv a oprávnění včetně rozdělení do skupin a rolí
    • Zajistí bezodkladné odebrání nebo změnu přístupových práv a oprávnění při změně pozice nebo zařazení na základě skupin a rolí
    • Zajistí deaktivaci účtů a bezodkladné odebrání nebo změnu přístupových práv a oprávnění při ukončení nebo změně smluvního vztahu
    • Dokumentuje přidělování a odebírání přístupových práv a oprávnění
    • Využívá nástroj pro správu a ověřování identity a nástroj pro řízení přístupových práv a oprávnění

Povinná osoba pro řízení identit, přístupových práv a oprávnění používá nástroj, který zajišťuje:

  • Řízení počtu možných neúspěšných pokusů o přihlášení
  • Opětovné ověření identity po stanovené době nečinnosti
  • Odolnost uložených a přenášených autentizačních údajů
  • Řízení přístupových práv, oprávnění pro čtení a zápis informací a dat a změnu oprávnění
  • Využívá autentizační mechanismus, který je založený na vícefaktorové autentizaci s nejméně dvěma různými typy faktorů
  • Do doby využívání autentizačního mechanismu založeného na vícefaktorové autentizaci využívá autentizaci pomocí kryptografických klíčů nebo certifikátů
  • Do doby využívání autentizačního mechanismu pomocí kryptografických klíčů nebo certifikátů využívá nástroj založený na autentizaci pomocí identifikátoru účtu a hesla a stanoví pravidla, která vynucují:
    • Délky hesla alespoň
      • 12 znaků pro účty uživatelů
      • 17 znaků pro účty administrátorů
      • 22 znaků pro účty technických aktiv
    • Bezodkladnou změnu výchozího hesla pro ověření identity technických aktiv, přičemž nové heslo musí být vytvořeno náhodným řetězcem složeným z malých a velkých písmen, číslic a speciálních znaků
    • Neomezující použití malých a velkých písmen, číslic a speciálních znaků
    • Povinnou změnu hesla v intervalu maximálně po 18 měsících
    • Neumožňující uživatelům a administrátorům
      • Zvolit si jednoduchá a často používaná hesla
      • Tvořit hesla na základě mnohonásobně opakujících se znaků, přihlašovacího jména, e-mailu, názvu systému nebo obdobným způsobem
      • Opětovné použití dříve používaných hesel s pamětí alespoň 12 předchozích hesel
    • Povinná osoba dále v rámci řízení identit zajistí
      • Důvěrnost při vytváření výchozích autentizačních údajů a při obnově přístupu
      • Změnu výchozího hesla nebo hesla sloužícího k obnově přístupu po jeho prvním použití
      • Zneplatnění hesla nebo identifikátoru sloužícího k obnově přístupu nejpozději do 24 hodin od jeho vytvoření
      • Bezodkladnou změnu přístupového hesla v případě důvodného podezření na jeho kompromitaci
      • Zabezpečení administrátorských účtů technických aktiv určených zejména pro případ obnovy po kybernetickém bezpečnostním incidentu a využívá tyto účty pouze v nezbytně nutných případech

Povinná osoba v rámci detekce kybernetických bezpečnostních událostí zajistí:

  • Ověření a kontrolu přenášených dat na perimetru komunikační sítě, včetně blokování nežádoucí komunikace
  • Nástroje pro nepřetržitou a automatickou ochranu před škodlivým kódem na relevantních technických aktivech, zejména na
    • Serverech
    • Koncových stanicích
  • Řízení automatického spouštění obsahu, zejména u vyměnitelných zařízení a datových nosičů
  • Nepřetržité poskytování informací o relevantních detekovaných kybernetických bezpečnostních událostech a včasné varování relevantních osob 
  • Pravidelnou a bezodkladnou aktualizaci nástrojů pro nepřetržitou a automatickou ochranu před škodlivým kódem a dalších detekčních nástrojů a jejich pravidel
  • Povinná osoba zaznamenává bezpečnostní a relevantní provozní události
    • Datum a čas včetně specifikace časového pásma
    • Typ činnosti
    • Jednoznačnou identifikaci technického aktiva a identifikaci účtu původce
    • Úspěšnost nebo neúspěšnost činnosti

Povinná osoba v rámci řešení kybernetických bezpečnostních událostí a incidentů:

  • Zajistí, že uživatelé, administrátoři, osoby odpovědné za kybernetickou bezpečnost, další zaměstnanci a dodavatelé budou oznamovat neobvyklé chování technických aktiv a podezření na jakékoliv zranitelnosti
  • Vytvoří metodiku pro posuzování kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů, včetně posuzování významnosti dopadu incidentu
  • Zajistí posuzování kybernetických bezpečnostních událostí a incidentů v souladu s metodikou
  • Zajistí detekci kybernetických bezpečnostních událostí
  • Zajistí řešení kybernetických bezpečnostních incidentů
  • Zajistí hlášení kybernetického bezpečnostního incidentu s významným dopadem
  • Zajistí vytvoření závěrečné zprávy o vyřešení kybernetického bezpečnostního incidentu s významným dopadem včetně popisu příčiny vzniku

Povinná osoba:

  • Zajistí a dokumentuje segmentaci komunikační sítě, včetně oddělení provozního, zálohovacího, vývojového, testovacího, administrátorského a jiného specifického prostředí
  • Zajistí řízení komunikace v rámci komunikační sítě
  • Zajistí řízení vzdáleného přístupu ke komunikační sítí
  • Zajistí řízení vzdálené správy technických aktiv
  • Povoluje pouze takovou komunikaci, která je nezbytná pro řádné zajištění regulované služby
  • Zajistí časové omezení této komunikace a opětovné ověření identity administrátorů a uživatelů po stanovené době
  • Pomocí aktuálně odolných kryptografických algoritmů a síťových protokolů zajistí důvěrnost a integritu při přenosu informací a dat
  • Využívá nástroj, který zajistí ochranu integrity komunikační sítě
  • Dokumentuje topologii komunikační sítě a infrastruktury

Povinná osoba:

  • Pro zajištění bezpečnosti regulované služby užívá technická aktiva, která jsou výrobcem, dodavatelem nebo jinou osobou podporována a zajistí bezodkladné aplikování schválených bezpečnostních aktualizací vydaných pro tato aktiva
  • Zavede bezpečnostní opatření, která zaručí obdobnou nebo vyšší úroveň bezpečnosti těchto technických aktiv a eviduje technická aktiva:
    • Která již nejsou výrobcem, dodavatelem nebo jinou osobou podporována
    • Na která není možné aplikovat poslední schválenou bezpečnostní aktualizaci
  • V rámci aplikační bezpečnosti zajistí trvalou ochranu aplikací, informací, transakcí a přenášených identifikátorů relací před
    • Neoprávněnou činností
    • Popření provedených činností
  • Provádí pravidelné skenování zranitelnosti technických aktiv regulované služby
    • Z interní a externí komunikační sítě
    • Alespoň jednou ročně
  • Zohlední výsledky skenů zranitelnosti a zavádí bezpečnostní opatření na základě zjištěných výsledků
  • Provádí penetrační testování technických aktiv s ohledem na hodnocení těchto aktiv a hodnocení rizik
    • Z interních a externích komunikačních sítí
    • Před jejich uvedením do provozu
    • A v souvislosti s významnou změnou
  • Zohlední výsledky penetračního testování v rámci řízení rizik a zavádí bezpečnostní opatření na základě zjištěných výsledků
  • Retest
  • Pravidelné penetrační testování alespoň jednou za dva roky
  • Eviduje termín a osoby provádějící test

Povinná osoba:

  • V rámci zajištění bezpečnosti technických aktiv a jejich komunikace:
    • Používá pouze aktuálně odolné kryptografické algoritmy
    • Prosazuje bezpečné nakládání s kryptografickými algoritmy
    • Zohledňuje doporučení a metodiky v oblasti kryptografických algoritmů
  • Zajišťuje bezpečnou:
    • Hlasovou, audiovizuální a textovou komunikaci, a to včetně e-mailové komunikace
    • Nouzovou komunikaci v rámci organizace
  • V případě využívání kryptografických klíčů a certifikátů pro ochranu technických aktiv a komunikační sítě používá:
    • Pouze aktuálně odolné kryptografických klíče a certifikáty
    • Nástroj pro správu kryptografických klíčů a certifikátů, který
      • Zajistí generování, distribuci, ukládání, změny, omezení platnosti, zneplatnění certifikátů a řádnou likvidaci kryptografických klíčů
      • Umožní kontrolu a audit
      • Zajistí důvěrnost a integritu kryptografických klíčů
Zpět
Cookies
Tyto webové stránky používají soubory cookie ke zlepšení uživatelského zážitku. Používáním našich webových stránek souhlasíte se soubory cookie v souladu s našimi zásadami používání souborů cookie.
Nastavení Odmítnout všechny Přijmout všechny
Cookies
Zvolte, jaké soubory cookie chcete přijímat. Vaše volba bude uložena po dobu jednoho roku. Používáním našich webových stránek souhlasíte se soubory cookie v souladu s našimi zásadami používání souborů cookie.
Uložit Odmítnout všechny Přijmout všechny