Vyhláška o kybernetické bezpečnosti
Níže je uveden pouze náhled materiálu. Kliknutím na tlačítko 'Stáhnout soubor' stáhnete kompletní formátovaný materiál ve formátu DOCX.
BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Povinná osoba
-
stanoví bezpečnostní politiku a vede bezpečnostní dokumentaci
-
pravidelně přezkoumává bezpečnostní politiku a bezpečnostní dokumentaci
-
zajistí, aby byla bezpečnostní politika a bezpečnostní dokumentace aktuální
Bezpečnostní politika a bezpečnostní dokumentace musí být
-
dostupné v listinné nebo elektronické podobě,
-
chráněny z pohledu důvěrnosti, integrity a dostupnosti
-
vedeny tak, aby informace v nich obsažené byly úplné, čitelné, snadno identifikovatelné a snadno vyhledatelné
KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Jednotlivé kybernetické bezpečnostní incidenty se rozlišují podle významnosti, a to např. podle:
počtu dotčených uživatelů,
způsobené nebo předpokládané škody,
důležitosti dotčených aktiv informačního a komunikačního systému,
dopadů na poskytované služby informačního a komunikačního systému,
délky trvání incidentu,
zeměpisného rozsahu dotčené oblasti apod.
Kybernetické bezpečnostní incidenty dělíme:
podle potřeby hlášení a zvládání na:
a) Kategorie III – velmi významný kybernetický bezpečnostní incident
- je přímo a významně narušena bezpečnost poskytovaných služeb nebo aktiv
- jeho řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být všemi dostupnými prostředky zabráněno dalšímu šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých i potenciálních škod,
b) Kategorie II – významný kybernetický bezpečnostní incident
- je narušena bezpečnost poskytovaných služeb nebo aktiv
- jeho řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být vhodnými prostředky zabráněno dalšímu šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých škod
c) Kategorie I – méně významný kybernetický bezpečnostní incident
- při něm dochází k méně významnému narušení bezpečnosti poskytovaných služeb nebo aktiv
- jeho řešení vyžaduje zásahy obsluhy s tím, že musí být vhodnými prostředky omezeno další šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých škod.
podle dopadu na
a) kybernetický bezpečnostní incident způsobující narušení důvěrnosti aktiv,
b) kybernetický bezpečnostní incident způsobující narušení integrity aktiv,
c) kybernetický bezpečnostní incident způsobující narušení dostupnosti aktiv
d) kybernetický bezpečnostní incident způsobující kombinaci výše uvedených dopadů
FORMA A NÁLEŽITOSTI HLÁŠENÍ KYBERNETICKÝCH BEZPEČNOSTNÍCH INCIDENTŮ
Kybernetický bezpečnostní incident se Úřadu (CERTU) hlásí na elektronickém formuláři zveřejněném na internetových stránkách Úřadu (CERTU) zaslaném
a) na adresu elektronické pošty Úřadu (CERTU) určenou pro příjem hlášení kybernetických bezpečnostních incidentů, zveřejněnou na internetových stránkách