Seznam opatření ve vyšším regulatorním stupni

Ačkoliv se mnohá opatření protínají s těmi z nižšího regulačního stupně, u vyššího regulačního stupně je jich podstatně více a jdou více do hloubky. Zároveň jsou rozdělena do dvou velkých kategorií „Organizační opatření“ a „Technická opatření“.

  • Povinná osoba:
    • Stanovuje cíle systému řízení bezpečnosti informací
    • Zavádí bezpečnostní opatření
    • Stanovuje a schvaluje bezpečnostní politiku a bezpečnostní dokumentaci
    • Zajišťuje provedení auditu kybernetické bezpečnosti
    • Zajišťuje vyhodnocení účinnosti systému řízení bezpečnosti informací
  • Vrcholné vedení určí osobu, která bude zastávat bezpečnostní roli:
    • Manažera kybernetické bezpečnosti
    • Architekta kybernetické bezpečnosti
    • Garanta aktiva
    • Auditora 
  • Vrcholné vedení zajistí zastupitelnost bezpečnostních rolí
  • Absolvuje školení
  • Zajistí stanovení bezpečnostní politiky a cílů
  • Zajistí integraci systému řízení bezpečnosti informací do procesů povinné osoby
  • Zajistí dostupnost zdrojů 
  • Informuje zaměstnance 
  • Zajistí podporu k dosažení cílů 
  • Vede zaměstnance k rozvíjení efektivity systému řízení bezpečnosti informací
  • Podílí se na vypracování analýzy dopadů
  • Zajistí stanovení pravidel pro určení administrátorů a osob, které budou zastávat bezpečnostní role
  • Zajistí, aby byla zachována mlčenlivost u všech relevantních osob
  • Pro osoby zastávající bezpečnostní role zajistí zdroje a pravomoci potřebné pro naplňování jejich rolí
  • Důsledně se seznamuje se zprávami 
  • Určí složení výboru pro řízení kybernetické bezpečnosti, bezpečnostní role, jejich práva a povinnosti související se systémem řízení bezpečnosti informací
  • Jednání výboru pro řízení kybernetické bezpečnosti probíhají v pravidelném intervalu a o jejich průběhu je veden záznam
  • Manažer kybernetické bezpečnosti:
    • Bezpečnostní role odpovědná za systém řízení bezpečnosti informací, výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s řízením kybernetické bezpečnosti nebo s řízením bezpečnosti informací:
      • Po dobu nejméně tří let
      • Po dobu jednoho roku, pokud absolvoval vysokou školu
    • Odpovídá za pravidelné informování vrcholného vedení o
      • Činnostech vyplývajících z rozsahu jeho odpovědnosti
      • Stavu systému řízení bezpečnosti informací
    • Nesmí být pověřen výkonem rolí odpovědných za provoz technických aktiv regulované služby
  • Architekt kybernetické bezpečnosti:
    • Bezpečnostní role odpovědná za zajištění návrhu implementace bezpečnostních opatření tak, aby byla zajištěna bezpečná architektura regulované služby, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s navrhováním implementace bezpečnostních opatření a zajišťováním bezpečné architektury:
      • Po dobu nejméně tří let
      • Po dobu jednoho roku, pokud absolvoval vysokou školu
  • Garant aktiva je bezpečnostní role odpovědná za zajištění rozvoje, použití a bezpečnost aktiva
  • Auditor kybernetické bezpečnosti:
    • Bezpečnostní role odpovědná za provádění auditu kybernetické bezpečnosti, přičemž výkonem této role může být pověřena osoba, která je pro tuto činnost vyškolena a prokáže odbornou způsobilost praxí s prováděním auditů kybernetické bezpečnosti nebo auditů systému řízení bezpečnosti informací:
      • Po dobu nejméně tří let
      • Po dobu jednoho roku, pokud absolvoval vysokou školu
    • Zaručuje, že provedení auditu kybernetické bezpečnosti je nestranné
    • Nesmí být pověřen výkonem jiných bezpečnostních rolí
  • Povinná osoba v rámci řízení bezpečnostní politiky a bezpečnostní dokumentace:
    • Stanoví bezpečnostní politiku ve vztahu k řízení kybernetické bezpečnosti a vede relevantní bezpečnostní politiku a bezpečnostní dokumentaci
    • V provozní dokumentaci stanoví pravidla a postupy, které zohledňují relevantní oblasti z bezpečnostní politiky a bezpečnostní dokumentace
    • Stanoví pravidla a postupy pro provedení protiopatření
    • Dodržuje bezpečnostní politiky, bezpečnostní dokumentaci, pravidla a postupy
    • Pravidelně přezkoumává bezpečnostní politiku a bezpečnostní dokumentaci, zajistí jejich aktuálnost a zohlednění jejich relevantních oblastí v provozní dokumentaci
    • Určí osobu odpovědnou za pravidelný přezkum a aktualizaci bezpečnostní politiky, bezpečnostní dokumentace a zohlednění jejich relevantních oblastí v provozní dokumentaci
  • Bezpečnostní politika a bezpečnostní dokumentace musí být řízeny tak, aby byly:
    • Dostupné v elektronické nebo listinné podobě
    • Komunikovány v rámci povinné osoby
    • Přiměřeně dostupné dotčeným stranám
    • Chráněny z pohledu důvěrnosti, integrity a dostupnosti
    • Vedeny tak, aby informace v nich obsažené byly úplné, čitelné, správné, snadno identifikovatelné a vyhledatelné
  • Povinná osoba v návaznosti na stanovení rozsahu řízení kybernetické bezpečnosti:
    • Stanoví metodiku pro určování a hodnocení aktiv včetně stanovení úrovní aktiv
    • Eviduje garanty aktiv
    • Hodnotí primární aktiva z hlediska důvěrnosti, integrity a dostupnosti a zařadí je do jednotlivých úrovní
    • Určuje a eviduje relevantní vazby mezi aktivy
    • Hodnotí podpůrná aktiva a zohledňuje přitom zejména vazby na primární aktiva
    • Pro jednotlivé úrovně aktiv stanovuje a zavádí pravidla ochrany nutná pro zabezpečení jejich důvěrnosti, integrity a dostupnosti, která obsahují:
      • Přípustné způsoby používání aktiv
      • Pravidla pro manipulaci s aktivy
      • Pravidla pro klasifikaci informací
      • Pravidla pro označování aktiv
      • Pravidla správy výměnných médií
      • Pravidla pro bezpečné elektronické sdílení a fyzické přenášení aktiv
      • Pravidla pro určení způsobu likvidace informací a dat a jejich kopií a likvidace technických aktiv
  • Povinná osoba v rámci řízení rizik:
    • Stanoví metodiku pro určování a hodnocení rizik, včetně stanovení kritérií pro akceptovatelnost rizik
    • Při určování rizik s ohledem na aktiva určuje relevantní hrozby a zranitelnosti; přitom zvažuje zejména kategorie hrozeb a zranitelnosti
    • Provádí hodnocení rizik v pravidelných intervalech alespoň jednou ročně a při významných změnách
    • Při hodnocení rizik zohlední relevantní hrozby a zranitelnosti a posoudí možné dopady na aktiva, přičemž vychází z hodnocení aktiv
    • Na základě provedeného hodnocení rizik zpracuje zprávu o hodnocení rizik
    • Zpracuje na základě bezpečnostních potřeb a výsledků hodnocení rizik prohlášení o aplikovatelnosti, které obsahuje přehled všech bezpečnostních opatření požadovaných touto vyhláškou, která:
      • Nebyla aplikována, včetně odůvodnění a přehled přijatých náhradních bezpečnostních opatření
      • Byla aplikována, včetně způsobu plnění
    • Na základě provedeného hodnocení rizik v souladu se stanovenými kritérii pro akceptovatelnost rizik zpracuje plán zvládání rizik, který obsahuje:
      • Popis bezpečnostních opatření 
      • Cíle a přínosy bezpečnostních opatření 
      • Určení osoby zajišťující zavedení bezpečnostních opatření pro zvládání rizik
      • Předpokládané lidské, finanční a technické zdroje pro zavedení opatření
      • Požadovaný termín zavedení bezpečnostních opatření
      • Popis vazeb mezi riziky a příslušnými opatřeními
      • Konkrétní způsob realizace 
    • Při hodnocení rizik a v plánu zvládání rizik zohlední:
      • Významné změny
      • Protiopatření 
      • Kybernetické bezpečnostní incidenty, včetně dříve řešených
      • Výsledky auditů kybernetické bezpečnosti a kontrol v oblasti kybernetické bezpečnosti
      • Výsledky penetračního testování a skenování zranitelností
    • Povinná osoba v souladu s plánem zvládání rizik zavádí bezpečnostní opatření
  • Povinná osoba:
    • Stanoví pravidla pro dodavatele, která zohledňují požadavky systému řízení bezpečnosti informací
    • Prokazatelně seznamuje své dodavatele s pravidly a vyžaduje jejich plnění 
    • Řídí rizika spojená s dodavateli
    • Identifikuje a eviduje své významné dodavatele
    • Prokazatelně písemně informuje své významné dodavatele o jejich evidenci
    • V souvislosti s řízením rizik spojených s významnými dodavateli zajistí, aby smlouvy uzavírané s významnými dodavateli obsahovaly relevantní ustanovení
    • Pravidelně přezkoumává plnění smluv s významnými dodavateli z hlediska systému řízení bezpečnosti informací
    • V rámci výběrového řízení a před uzavřením smlouvy provádí hodnocení rizik souvisejících s plněním předmětu výběrového řízení
    • V rámci uzavíraných smluvních vztahů stanoví způsoby a úrovně realizace bezpečnostních opatření a určí obsah vzájemné smluvní odpovědnosti za zavedení a kontrolu bezpečnostních opatření
    • Provádí pravidelné hodnocení rizik a pravidelnou kontrolu zavedených bezpečnostních opatření u poskytovaných plnění pomocí vlastních zdrojů nebo pomocí třetí strany
    • V reakci na rizika a zjištěné nedostatky zajistí jejich řešení
    • Náležitosti prokazatelného informování jsou:
      • Identifikace povinné osoby, včetně uvedení, že povinná osoba je poskytovatelem regulované služby v režimu vyšších povinností
      • Identifikace regulované služby
      • Identifikace významného dodavatele
      • Vyrozumění o skutečnosti, že dodavatel je pro povinnou osobu významným dodavatelem
  • Povinná osoba:
    • Stanoví plán rozvoje bezpečnostního povědomí, které zahrnuje:
      • Poučení vrcholného vedení o jeho povinnostech a bezpečnostní politice 
      • Poučení uživatelů, administrátorů, osob zastávajících bezpečnostní role a dodavatelů o jejich povinnostech a o bezpečnostní politice
      • Potřebná teoretická i praktická školení uživatelů, administrátorů a osob zastávajících bezpečnostní role
      • Pravidla tvorby bezpečných hesel
      • Relevantní témata
    • Zajistí poučení vrcholného vedení, uživatelů, administrátorů, osob zastávajících bezpečnostní role a dodavatelů o jejich povinnostech a bezpečnostní politice formou vstupních a pravidelných školení, k získání znalostí a dovedností vedoucích k určování rizik a posouzení vhodnosti zvolených postupů při řízení rizik a jejich dopadů na regulovanou službu
    • Zajistí odborná školení
    • Určí osoby odpovědné za realizaci jednotlivých činností
    • Hodnotí účinnost plánu rozvoje bezpečnostního povědomí, provedených poučení, školení a dalších činností spojených se zlepšováním bezpečnostního povědomí
    • Zajistí kontrolu dodržování bezpečnostní politiky ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role
    • Určí pravidla a postupy pro řešení případů porušení stanovených bezpečnostních pravidel ze strany uživatelů, administrátorů a osob zastávajících bezpečnostní role
    • V případě ukončení nebo změny smluvního vztahu s administrátory a osobami zastávajícími bezpečnostní role zajistí předání odpovědností
  • Povinná osoba vede o poučení a školení přehledy, které obsahují předmět poučení a školení včetně seznamu osob, které poučení a školení absolvovaly
  • Povinná osoba v rámci řízení změn u aktiv:
    • Stanoví pravidla, postupy a kritéria pro určení významných změn
    • Identifikuje změny, které mají nebo mohou mít vliv na kybernetickou bezpečnost
    • Určuje významné změny
  • Povinná osoba u významných změn:
    • Dokumentuje jejich řízení
    • Řídí rizika 
    • Přijímá bezpečnostní opatření za účelem snížení všech nepříznivých dopadů 
    • Aktualizuje bezpečnostní a provozní dokumentaci
    • Zajistí jejich testování před uvedením do provozu
    • Zajistí možnost navrácení do původního stavu
  • Na základě výsledků řízení rizik rozhoduje o provedení penetračního testování
  • Povinná osoba v souvislosti s plánovanou akvizicí, vývojem a údržbou aktiv:
    • Řídí rizika spojená s akvizicí, vývojem a údržbou
    • Řídí významné změny
    • Stanoví bezpečnostní požadavky na plánovanou akvizici, vývoj a údržbu
    • Zajistí oddělení provozního, zálohovacího, vývojového, testovacího, administrátorského a jiných specifických prostředí, a zajistí ochranu informací a dat se v nich vyskytujících
    • Je-li cílem provedení akvizice nebo vývoje technické aktivum, musí být zajištěna dostupnost bezpečnostních aktualizací po dobu jeho životního cyklu
  • Povinná osoba na základě bezpečnostních a provozních potřeb řídí přístup k aktivům a přijímá bezpečnostní opatření, která slouží k zajištění ochrany přístupových a autentizačních údajů, které jsou používány pro ověření identity
  • Povinná osoba dále v rámci řízení přístupu k aktivům:
    • Řídí přístup na základě skupin a rolí
    • Přidělí každému uživateli a administrátorovi přistupujícímu k aktivům přístupová práva a oprávnění na úroveň nezbytně nutnou k výkonu práce a jedinečný identifikátor daného typu účtu, přičemž odděluje uživatelské a administrátorské účty jedné osoby
    • Řídí identifikátory, přístupová práva a oprávnění účtů technických aktiv
    • Zavádí bezpečnostní opatření pro řízení přístupu technických aktiv
    • Zavádí bezpečnostní opatření potřebná pro bezpečné používání mobilních zařízení a jiných obdobných technických aktiv, popřípadě i bezpečnostní opatření spojená s využitím technických aktiv, která povinná osoba nemá ve své správě
    • Omezí a kontroluje používání programových prostředků a vybavení, které mohou být schopné překonat systémové nebo aplikační kontroly
    • Přiděluje a odebírá přístupová práva a oprávnění v souladu s politikou řízení přístupu
    • Provádí pravidelná přezkoumání veškerých přístupových práv a oprávnění včetně rozdělení do skupin a rolí
    • Zajistí bezodkladné odebrání nebo změnu přístupových práv a oprávnění při změně pozice nebo zařazení na základě skupin a rolí
    • Zajistí deaktivaci účtů a bezodkladné odebrání nebo změnu přístupových práv a oprávnění při ukončení nebo změně smluvního vztahu
    • Dokumentuje přidělování a odebírání přístupových práv a oprávnění
    • Využívá nástroj pro správu a ověřování identity a nástroj pro řízení přístupových práv a oprávnění

Povinná osoba:

  • Zavede procesy, pravidla a postupy pro detekci, zaznamenávání a vyhodnocování kybernetických bezpečnostních událostí
  • Zavede procesy, pravidla a postupy pro koordinaci a zvládání kybernetických bezpečnostních incidentů
  • Přidělí odpovědnosti pro:
    • Detekci, zaznamenávání a vyhodnocování kybernetických bezpečnostních událostí
    • Koordinaci a zvládání kybernetických bezpečnostních incidentů
  • Definuje a dodržuje pravidla a postupy pro identifikaci, sběr, získání a uchování věrohodných podkladů potřebných pro analýzu kybernetického bezpečnostního incidentu
  • Zajistí detekci kybernetických bezpečnostních událostí
  • Zajistí, že uživatelé, administrátoři, osoby zastávající bezpečnostní role, další zaměstnanci a dodavatelé budou oznamovat neobvyklé chování technických aktiv a podezření na jakékoliv zranitelnosti
  • Zajistí posuzování kybernetických bezpečnostních událostí, při kterém musí být rozhodnuto, zda mají být klasifikovány jako kybernetické bezpečnostní incidenty
  • Zajistí zvládání kybernetických bezpečnostních incidentů podle stanovených postupů
  • Přijímá bezpečnostní opatření pro odvrácení a zmírnění dopadu kybernetického bezpečnostního incidentu
  • Hlásí kybernetické bezpečnostní incidenty
  • Vede záznamy o kybernetických bezpečnostních incidentech a o jejich zvládání
  • Prošetří a určí příčiny kybernetického bezpečnostního incidentu
  • Vyhodnotí účinnost řešení kybernetického bezpečnostního incidentu a na základě vyhodnocení stanoví nutná bezpečnostní opatření, popřípadě aktualizuje stávající bezpečnostní opatření

Povinná osoba:

  • Stanoví metodiku pro provedení analýzy dopadů
  • Provádí analýzu dopadů, vyhodnocuje a dokumentuje možné dopady kybernetických bezpečnostních incidentů a zohlední hodnocení rizik
  • Posoudí možná rizika související s ohrožením kontinuity činností
  • Stanoví cíle řízení kontinuity činností formou určení:
    • Minimální úrovně poskytovaných služeb, která je přijatelná pro užívání, provoz a správu regulované služby
    • Doby obnovení chodu, během které bude po kybernetickém bezpečnostním incidentu obnovena minimální úroveň poskytovaných služeb regulované služby
    • Bodu obnovení dat jako časové období, za které musí být zpětně obnovena data po kybernetickém bezpečnostním incidentu nebo po selhání
  • Stanoví politiku řízení kontinuity činností, která obsahuje naplnění cílů a stanoví práva a povinnosti administrátorů a osob zastávajících bezpečnostní role
  • Vypracuje, aktualizuje a pravidelně testuje plány kontinuity činností a plány obnovy související s poskytováním regulované služby
  • Realizuje bezpečnostní opatření pro zvýšení odolnosti

Povinná osoba:

  • Stanoví plán provádění auditu kybernetické bezpečnosti:
    • Posuzuje, zda byla zavedena bezpečnostní opatření
    • Posuzuje soulad zavedených bezpečnostních opatření s právními předpisy, vnitřními předpisy, jinými předpisy, smluvními závazky a nejlepší praxí
    • Provádí a dokumentuje audit dodržování pravidel a postupů stanovených v bezpečnostní politice, včetně přezkoumání technické shody a dříve stanovených nápravných opatření
  • Zohlední výsledky auditu kybernetické bezpečnosti v
    • Plánu zvládání rizik
    • Prohlášení o aplikovatelnosti
    • Plánu rozvoje bezpečnostního povědomí
  • Stanoví nápravná opatření pro splnění požadavků
  • Audit kybernetické bezpečnosti je prováděn:
    • Při významných změnách
    • V pravidelných intervalech alespoň po dvou letech
    • V souladu s plánem auditu kybernetické bezpečnosti

Povinná osoba:

  • Předchází poškození, krádeži, neoprávněným zásahům, zneužití aktiv a přerušení poskytování regulované služby
  • Stanoví fyzický bezpečnostní perimetr ohraničující oblast, ve které jsou uchovávány nebo zpracovávány informace a data, nebo ve které jsou umístěna technická aktiva regulované služby
  • Dokumentuje jednotlivé fyzické bezpečnostní perimetry s ohledem na hodnocení umístěných technických aktiv a rozdělí je na jednotlivé úrovně fyzické ochrany
  • U každého fyzického bezpečnostního perimetru přijme relevantní bezpečnostní opatření fyzické ochrany s ohledem na jeho úroveň fyzické ochrany:
    • K zamezení neoprávněnému vstupu
    • K zamezení poškození, krádeži, neoprávněným zásahům, zneužití aktiv a přerušení poskytování regulované služby
    • K zajištění fyzické ochrany na úrovni objektů a v rámci objektů
    • Pro zajištění detekce narušení fyzického bezpečnostního perimetru
    • Eviduje vstupy a přístupy do fyzického bezpečnostního perimetru

Povinná osoba:

  • Zajistí a dokumentuje segmentaci komunikační sítě, včetně oddělení provozního, zálohovacího, vývojového, testovacího, administrátorského a jiného specifického prostředí
  • Zajistí řízení komunikace v rámci komunikační sítě
  • Zajistí řízení vzdáleného přístupu ke komunikační sítí
  • Zajistí řízení vzdálené správy technických aktiv
  • Povoluje pouze takovou komunikaci, která je nezbytná pro řádné zajištění regulované služby
  • Zajistí časové omezení této komunikace a opětovné ověření identity administrátorů a uživatelů po stanovené době
  • Pomocí aktuálně odolných kryptografických algoritmů a síťových protokolů zajistí důvěrnost a integritu při přenosu informací a dat
  • Využívá nástroj, který zajistí ochranu integrity komunikační sítě
  • Dokumentuje topologii komunikační sítě a infrastruktury

Povinná osoba:

  • Používá nástroj pro správu a ověření identity administrátorů, uživatelů a technických aktiv regulované služby, který zajišťuje:
    • Ověření identity před zahájením jejich aktivit
    • Řízení počtu možných neúspěšných pokusů o přihlášení
    • Odolnost uložených a přenášených autentizačních údajů vůči hrozbám a zranitelnostem, které by mohly narušit jejich důvěrnost nebo integritu
    • Opětovné ověření identity po stanovené době nečinnosti
    • Dodržení důvěrnosti při vytváření výchozích autentizačních údajů a při obnově přístupu
    • Centralizovanou správu identit s ohledem na vazby mezi aktivy
  • Pro ověření identity administrátorů, uživatelů a technických aktiv využívá autentizační mechanismus, který je založený na vícefaktorové autentizaci s nejméně dvěma různými typy faktorů
  • Do doby splnění požadavků pro ověření identity administrátorů, uživatelů nebo technických aktiv vede evidenci technických aktiv, účtů a autentizačních mechanismů, které tyto požadavky nesplňují, a to včetně odůvodnění
  • Do doby splnění požadavku pro ověření identity administrátorů, uživatelů nebo technických aktiv využívající autentizační mechanismus, využívá autentizaci pomocí kryptografických klíčů nebo certifikátů
  • Do doby splnění požadavků využívá nástroj založený na autentizaci pomocí identifikátoru účtu a hesla a tento nástroj musí vynucovat pravidla:
    • Délky hesla:
      • 12 znaků pro účty uživatelů
      • 17 znaků pro účty administrátorů
      • 22 znaků pro účty technických aktiv
    • Umožňující zadat heslo o délce alespoň 64 znaků
    • Neomezující použití malých a velkých písmen, číslic a speciálních znaků
    • Umožňující uživatelům a administrátorům změnu hesla, přičemž období mezi dvěma změnami hesla nesmí být kratší než 30 minut
    • Povinné změny hesla v intervalu maximálně po 18 měsících
    • Neumožňující uživatelům a administrátorům:
      • Zvolit si jednoduchá a často používaná hesla
      • Tvořit hesla na základě mnohonásobně opakujících se znaků, přihlašovacího jména, e-mailů, názvu systému nebo obdobným způsobem
      • Opětovné použití dříve používaných hesel s pamětí alespoň 12 předchozích hesel
  • Povinná osoba zajistí:
    • Bezodkladné vynucení změny výchozího hesla:
      • Uživatelů a administrátorů po prvním přihlášení
      • Technického aktiva
    • V rámci ověření identity technického aktiva vytvoření nového hesla složeného z náhodného řetězce malých a velkých písmen, číslic a speciálních znaků
    • Vytvoření náhodného výchozího hesla nebo identifikátoru sloužícího k vytvoření nebo pro obnovení přístupu a zajistí jeho důvěrnost
    • Bezodkladné zneplatnění hesla nebo identifikátoru sloužícího k vytvoření nebo pro obnovení přístupu po jeho prvním použití nebo uplynutí nejvýše 24 hodin od jeho vytvoření
  • U administrátorského účtu:
    • Heslo musí být bezpečně uloženo
    • S účtem a jeho heslem mohou manipulovat pouze pověřené osoby, a to v nezbytně nutných případech
    • Musí být vynucena změna hesla po jeho použití, při jakékoli změně odpovědných osob nebo v případě důvodného podezření na jeho kompromitaci
    • Eviduje manipulaci a pokusy o manipulaci s tímto účtem a jeho heslem

Povinná osoba:

  • Využívá centralizovaný nástroj s ohledem na vazby mezi aktivy
  • Řídí práva pro přístup k jednotlivým aktivům
  • Řídí oprávnění pro čtení a zápis informací a dat a změnu oprávnění

Povinná osoba:

  • Používá nástroj pro detekci kybernetických bezpečnostních událostí, který v rámci komunikační sítě zajišťuje
    • Ověření a kontrolu přenášených dat v rámci komunikační sítě a mezi komunikačními sítěmi
    • Ověření a kontrolu přenášených dat na síťovém perimetru komunikační sítě
    • Aktivní blokování nežádoucí komunikace
  • Používá centrálně spravovaný nástroj s ohledem na vazby mezi aktivy pro detekci kybernetických bezpečnostních událostí, který u jednotlivých relevantních technických aktiv zajišťuje:
    • Nepřetržitou a automatickou ochranu před škodlivým kódem
    • Řízení a sledování používání vyměnitelných zařízení a datových nosičů
    • Řízení automatického spouštění obsahu, zejména u vyměnitelných zařízení a datových nosičů
    • Řízení oprávnění ke spouštění kódu
    • Řízení a sledování komunikace aplikací, jejich služeb a procesů
    • Detekci kybernetických bezpečnostních událostí nad technickými aktivy
    • Detekci na základě chování technického aktiva, administrátorů a uživatelů

Povinná osoba:

  • Určí technická aktiva, u kterých je zaznamenávání bezpečnostních a relevantních provozních událostí prováděno
  • Zaznamenává bezpečnostní a relevantní provozní události:
    • V rámci komunikační sítě
    • Na síťovém perimetru
    • Technických aktiv
  • Aktualizuje rozsah technických aktiv
  • Zajišťuje nepřetržitou synchronizaci jednotného času technických aktiv
  • Zaznamenává následující informace o události:
    • Datum a čas
    • Typ činnosti 
    • Identifikaci technického aktiva, které činnost zaznamenalo
    • Identifikaci účtu, pod kterým byla činnost provedena
    • Identifikaci zařízení původce
    • Úspěšnost nebo neúspěšnost činnosti
  • Zajistí jednoznačnou síťovou identifikaci
  • Zajistí ochranu informací před neoprávněným čtením a jakoukoliv změnou
  • Zaznamenává:
    • Přihlašování a odhlašování ke všem účtům, a to včetně neúspěšných pokusů
    • Provedení a neúspěšné pokusy o provedení privilegované činnosti
    • Manipulace a neúspěšné pokusy o manipulaci s účty, oprávněními a právy
    • Neprovedení činností v důsledku nedostatku přístupových práv nebo oprávnění
    • Zahájení a ukončení činností technických aktiv
    • Kritická a chybová hlášení technických aktiv
    • Přístupy a neúspěšné pokusy o přístupy k záznamům událostí
    • Manipulace a neúspěšné pokusy o manipulaci se záznamy událostí
    • Změny a neúspěšné pokusy o změny nastavení nástrojů pro zaznamenávání událostí
    • Další činností uživatelů, které mohou mít vliv na bezpečnost regulované služby
  • Používá centrální nástroj s ohledem na vazby mezi aktivy pro sběr a uchovávání záznamů událostí
  • Uchovává záznamy událostí nejméně po dobu 18 měsíců

Povinná osoba:

  • Používá nástroj pro nepřetržité vyhodnocování kybernetických bezpečnostních událostí, který zajišťuje:
    • Sběr, vyhledávání a seskupování souvisejících záznamů
    • Nepřetržité poskytování informací o detekovaných kybernetických bezpečnostních událostech, včasné varování vybraných bezpečnostních rolí a dalších relevantních osob
    • Vyhodnocování kybernetických bezpečnostních událostí s cílem identifikace kybernetických bezpečnostních incidentů
  • V rámci používání nástroje zajistí:
    • Omezení případů nesprávného či nežádoucího vyhodnocování kybernetických bezpečnostních událostí
    • Pravidelnou aktualizaci nastavení nástroje včetně jeho pravidel pro detekci a vyhodnocování
    • Pravidelnou aktualizaci pravidel pro nepřetržité poskytování informací o detekovaných kybernetických bezpečnostních událostech včetně včasného varování vybraných bezpečnostních rolí a dalších relevantních osob
  • Využívá informací získaných nástrojem pro vyhodnocení kybernetických bezpečnostních událostí pro optimální nastavení systému a zavedení bezpečnostních opatření

Povinná osoba:

  • Pro zajištění bezpečnosti regulované služby užívá technická aktiva, která jsou výrobcem, dodavatelem nebo jinou osobou podporována a zajistí bezodkladné aplikování schválených bezpečnostních aktualizací vydaných pro tato aktiva
  • Zavede bezpečnostní opatření, která zaručí obdobnou nebo vyšší úroveň bezpečnosti těchto technických aktiv a eviduje technická aktiva:
    • Která již nejsou výrobcem, dodavatelem nebo jinou osobou podporována
    • Na která není možné aplikovat poslední schválenou bezpečnostní aktualizaci
  • V rámci aplikační bezpečnosti zajistí trvalou ochranu aplikací, informací, transakcí a přenášených identifikátorů relací před:
    • Neoprávněnou činností
    • Popření provedených činností
  • Provádí pravidelné skenování zranitelnosti technických aktiv regulované služby
    • Z interní a externí komunikační sítě
    • Alespoň jednou ročně
  • Zohlední výsledky skenů zranitelnosti a zavádí bezpečnostní opatření na základě zjištěných výsledků
  • Provádí penetrační testování technických aktiv s ohledem na hodnocení těchto aktiv a hodnocení rizik
    • Z interních a externích komunikačních sítí
    • Před jejich uvedením do provozu
    • A v souvislosti s významnou změnou
  • Zohlední výsledky penetračního testování v rámci řízení rizik a zavádí bezpečnostní opatření na základě zjištěných výsledků
  • Retest
  • Pravidelné penetrační testování alespoň jednou za dva roky
  • Eviduje termín a osoby provádějící test

Povinná osoba:

  • V rámci zajištění bezpečnosti technických aktiv a jejich komunikace:
    • Používá pouze aktuálně odolné kryptografické algoritmy
    • Prosazuje bezpečné nakládání s kryptografickými algoritmy
    • Zohledňuje doporučení a metodiky v oblasti kryptografických algoritmů
  • Zajišťuje bezpečnou:
    • Hlasovou, audiovizuální a textovou komunikaci, a to včetně e-mailové komunikace
    • Nouzovou komunikaci v rámci organizace
  • V případě využívání kryptografických klíčů a certifikátů pro ochranu technických aktiv a komunikační sítě používá:
    • Pouze aktuálně odolné kryptografických klíče a certifikáty
    • Nástroj pro správu kryptografických klíčů a certifikátů, který:
      • Zajistí generování, distribuci, ukládání, změny, omezení platnosti, zneplatnění certifikátů a řádnou likvidaci kryptografických klíčů
      • Umožní kontrolu a audit
      • Zajistí důvěrnost a integritu kryptografických klíčů

Povinná osoba:

  • Zavede bezpečnostní opatření pro zajišťování dostupnosti regulované služby, kterými zajistí:
    • Dostupnost regulované služby
    • Odolnost regulované služby vůči hrozbám a zranitelnostem, které by mohly snížit její dostupnost
    • Redundanci aktiv nezbytných pro zajištění dostupnosti
  • Vytváří pravidelné zálohy nastavení technických aktiv, informací a dat nezbytných zejména pro účely obnovy regulované služby v případě kybernetického bezpečnostního incidentu
  • U záloh:
    • Pravidelné testování jejich integrity, dostupnosti a obnovitelnosti
    • Dokumentování výsledků testů
    • Ochrana ukládaných záloh a dat v nich obsažených před narušením jejich integrity, důvěrnosti a dostupnosti, a to zejména šifrováním těchto záloh
  • Zajistí bezpečnou správu konfigurací a nastavení technických aktiv s ohledem na hodnocení těchto aktiv a hodnocení rizik
  • Za účelem omezení šíření kybernetického bezpečnostního incidentu a snížení jeho dopadu odděluje zálohovací prostředí od jiných prostředí

Povinná osoba:

  • Využívá nástroje a zavádí bezpečnostní opatření, která zajistí:
    • Omezení fyzického přístupu a oprávnění k přístupu k průmyslovým, řídicím a obdobným specifickým technickým aktivům
    • Segmentaci komunikačních sítí průmyslových, řídicích a obdobných specifických technických aktiv od jiných prostředí a segmentaci těchto komunikačních sítí
    • Omezení vzdálených přístupů a vzdálené správy průmyslových, řídicích a obdobných specifických technických aktiv
    • Ochranu jednotlivých průmyslových, řídicích a obdobných specifických technických aktiv před využitím známých zranitelností a hrozeb
    • Dostupnost a obnovu průmyslových, řídicích a obdobných specifických technických aktiv pro zajištění dostupnosti regulované služby
Zpět
Cookies
Tyto webové stránky používají soubory cookie ke zlepšení uživatelského zážitku. Používáním našich webových stránek souhlasíte se soubory cookie v souladu s našimi zásadami používání souborů cookie.
Nastavení Odmítnout všechny Přijmout všechny
Cookies
Zvolte, jaké soubory cookie chcete přijímat. Vaše volba bude uložena po dobu jednoho roku. Používáním našich webových stránek souhlasíte se soubory cookie v souladu s našimi zásadami používání souborů cookie.
Uložit Odmítnout všechny Přijmout všechny