316/2014 Sb. Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) - II. Struktura další dokumentace

II. Struktura další dokumentace

(1) Zpráva z auditu kybernetické bezpečnosti **)

[§ 28 odst. 1 písm. b)]

a) Cíle auditu kybernetické bezpečnosti.

b) Předmět auditu kybernetické bezpečnosti.

c) Kritéria auditu kybernetické bezpečnosti.

d) Identifikování týmu auditorů a osob, které se auditu kybernetické bezpečnosti zúčastnily.

e) Datum a místo, kde byly prováděny činnosti při auditu kybernetické bezpečnosti.

f) Zjištění z auditu kybernetické bezpečnosti.

g) Závěry auditu kybernetické bezpečnosti.

(2) Zpráva z přezkoumání systému řízení bezpečnosti informací **)

[§ 28 odst. 1 písm. c)]

a) Vyhodnocení opatření z předchozího přezkoumání systému řízení bezpečnosti informací,

b) Identifikace změn a okolností, které mohou mít vliv na systém řízení bezpečnosti informací.

c) Zpětná vazba o výkonnosti řízení bezpečnosti informací

1. neshody a nápravná opatření,

2. výsledky monitorování a měření,

3. výsledky auditu,

4. naplnění cílů bezpečnosti,

d) Výsledky hodnocení rizik a stav plánu zvládání rizik.

e) Identifikace možností pro neustálé zlepšování.

d) Doporučení potřebných rozhodnutí, stanovení opatření a osob zajišťujících výkon jednotlivých činností.

(3) Metodika pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik *)

[§ 28 odst. 1 písm. d), § 28 odst. 2 písm. b)]

a) Určení stupnice pro hodnocení primárních aktiv

1. určení stupnice pro hodnocení úrovní důvěrnosti aktiv,

2. určení stupnice pro hodnocení úrovní integrity aktiv,

3. určení stupnice pro hodnocení úrovní dostupnosti aktiv.

b) Určení stupnice pro hodnocení rizik

1. určení stupnice pro hodnocení úrovní dopadu,

2. určení stupnice pro hodnocení úrovní hrozby,

3. určení stupnice pro hodnocení úrovní zranitelnosti,

4. určení stupnice pro hodnocení úrovní rizik,

a) Metody a přístupy pro zvládání rizik.

b) Způsoby schvalování přijatelných rizik.

(4) Zpráva o hodnocení aktiv a rizik **)

[§ 28 odst. 1 písm. e), § 28 odst. 2 písm. c)]

a) Přehled primárních aktiv

1. identifikace a popis primárních aktiv,

2. určení garantů primárních aktiv,

3. hodnocení primárních aktiv z hlediska důvěrnosti, integrity a dostupnosti.

b) Přehled podpůrných aktiv [neplatí pro orgány a osoby uvedené v § 3 písm. e) zákona]

1. identifikace a popis podpůrných aktiv,

2. určení garantů podpůrných aktiv,

3. určení vazeb mezi primárními a podpůrnými aktivy,

c) Identifikování a hodnocení rizik

1. posouzení možných dopadů na aktiva,

2. hodnocení existujících hrozeb,

3. hodnocení existujících zranitelností, hodnocení existujících opatření,

4. stanovení úrovně rizika, porovnání této úrovně s kritérii pro přijatelnost rizik,

5. určení a schválení přijatelných rizik.

d) Zvládání rizik

1. návrh způsobu zvládání rizik,

2. návrh opatření a jejich realizace.

(5) Prohlášení o aplikovatelnosti *)

[§ 28 odst. 1 písm. f), § 28 odst. 2 písm. d)]

a) Přehled vybraných bezpečnostních opatření včetně zdůvodnění jejich výběru a jejich vazby na identifikovaná rizika.

b) Přehled zavedených bezpečnostních opatření.

(6) Plán zvládání rizik **)

[§ 28 odst. 1 písm. g), § 28 odst. 2 písm. e)]

a) Obsah a cíle vybraných bezpečnostních opatření pro zvládání rizik.

b) Potřebné zdroje pro jednotlivá bezpečnostní opatření pro zvládání rizik.

c) Osoby zajišťující jednotlivá bezpečnostní opatření pro zvládání rizik.

d) Termíny zavedení jednotlivých bezpečnostních opatření pro zvládání rizik.

e) Způsoby hodnocení úspěšnosti zavedení jednotlivých bezpečnostních opatření pro zvládání rizik.

(7) Plán rozvoje bezpečnostního povědomí *)

[§ 28 odst. 1 písm. h), § 28 odst. 2 písm. f)]

a) Obsah a termíny poučení uživatelů.

b) Obsah a termíny poučení garantů aktiv [neplatí pro orgány a osoby uvedené v § 3 písm. e) zákona].

c) Obsah a termíny poučení administrátorů [neplatí pro orgány a osoby uvedené v § 3 písm. e) zákona].

d) Obsah a termíny poučení dalších osob zastávajících bezpečnostní role.

e) Obsah a termíny poučení nových zaměstnanců.

f) Formy a způsoby hodnocení plánu.

(8) Zvládání kybernetických bezpečnostních incidentů **)

[§ 28 odst. 1 písm. i), § 28 odst. 2 písm. g)]

a) Definování kategorií kybernetického bezpečnostního incidentu.

b) Pravidla a postupy pro evidenci a zvládání jednotlivých kategorií kybernetických bezpečnostních incidentů.

c) Pravidla a postupy testování systému zvládání kybernetických bezpečnostních incidentů.

d) Pravidla a postupy pro vyhodnocení kybernetických bezpečnostních incidentů a pro zlepšování kybernetické bezpečnosti.

(9) Strategie řízení kontinuity činností **)

[§ 28 odst. 1 písm. j), § 28 odst. 2 písm. h)]

a) Práva a povinnosti zúčastněných osob.

b) Cíle řízení kontinuity činností

1. minimální úroveň poskytovaných služeb,

2. doba obnovení chodu,

3. bod obnovení chodu.

c) Strategie řízení kontinuity činností pro naplnění cílů kontinuity.

d) Způsoby hodnocení dopadů kybernetických bezpečnostních incidentů na kontinuitu a posuzování souvisejících rizik.

e) Určení a obsah potřebných plánů kontinuity.

f) Postupy pro realizaci opatření vydaných Národním bezpečnostním úřadem.

(10) Přehled obecně závazných právních předpisů, vnitřních předpisů a jiných předpisů a smluvních závazků *)

[§ 28 odst. 1 písm. k), § 28 odst. 2 písm. i)]

a) Přehled obecně závazných právních předpisů.

b) Přehled vnitřních předpisů a jiných předpisů.

c) Přehled smluvních závazků.

Poznámka:

*) Očekávaná důvěrnost dokumentuje na úrovni střední podle stupnice uvedené v příloze č. 1: Hodnocení a úroveň aktiv.

**) Očekávaná důvěrnost dokumentu je na úrovni vysoká podle stupnice uvedené v příloze č. 1: Hodnocení a úroveň aktiv.

------------------------------------------------------------------