§ 4
Řízení rizik
(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona v rámci řízení rizik
a) stanoví metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik včetně stanovení kritérií pro přijatelnost rizik,
b) identifikuje a hodnotí důležitost aktiv, která patří do rozsahu systému řízení bezpečnosti informací, podle § 8 v rozsahu přílohy č. 1 k této vyhlášce a výstupy zapracuje do zprávy o hodnocení aktiv a rizik,
c) identifikuje rizika, při kterých zohlední hrozby a zranitelnosti, posoudí možné dopady na aktiva, hodnotí tato rizika minimálně v rozsahu podle přílohy č. 2 k této vyhlášce, určí a schválí přijatelná rizika a zpracuje zprávu o hodnocení aktiv a rizik,
d) zpracuje na základě bezpečnostních potřeb a výsledků hodnocení rizik prohlášení o aplikovatelnosti, které obsahuje přehled vybraných a zavedených bezpečnostních opatření,
e) zpracuje a zavede plán zvládání rizik, který obsahuje cíle a přínosy bezpečnostních opatření pro zvládání rizik, určení osoby zajišťující prosazování bezpečnostních opatření pro zvládání rizik, potřebné finanční, technické, lidské a informační zdroje, termín jejich zavedení a popis vazeb mezi riziky a příslušnými bezpečnostními opatřeními a
f) zohlední bez zbytečného odkladu reaktivní a ochranná opatření vydaná Národním bezpečnostním úřadem (dále jen "Úřad") v hodnocení rizik a v případě, že hodnocení rizik aktualizované o nové zranitelnosti spojené s realizací reaktivního nebo ochranného opatření překročí stanovená kritéria pro přijatelnost rizik, doplní plán zvládání rizik.
(2) Orgán a osoba uvedená v § 3 písm. e) zákona v rámci řízení rizik
a) stanoví metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik včetně stanovení kritérií pro přijatelnost rizik,
b) identifikuje a hodnotí důležitost primárních aktiv, která patří do rozsahu systému řízení bezpečnosti informací, podle § 8 minimálně v rozsahu přílohy č. 1 k této vyhlášce a výstupy zapracuje do zprávy o hodnocení aktiv a rizik,
c) identifikuje rizika, při kterých zohlední hrozby a zranitelnosti, posoudí možné dopady na primární aktiva, hodnotí tato rizika minimálně v rozsahu podle přílohy č. 2 k této vyhlášce a zpracuje zprávu o hodnocení aktiv a rizik,
d) zpracuje na základě bezpečnostních potřeb a výsledků hodnocení rizik prohlášení o aplikovatelnosti, které obsahuje přehled vybraných a zavedených bezpečnostních opatření,
e) zpracuje a zavede plán zvládání rizik, který obsahuje cíle a přínosy bezpečnostních opatření pro zvládání rizik, určení osoby zajišťující prosazování bezpečnostních opatření pro zvládání rizik, potřebné finanční, technické, lidské a informační zdroje, termíny jejich zavedení a popis vazeb mezi identifikovanými riziky a příslušnými bezpečnostními opatřeními a
f) zohlední bez zbytečného odkladu reaktivní a ochranná opatření vydaná Úřadem v hodnocení rizik a v případě, že hodnocení rizik aktualizované o nové zranitelnosti spojené s realizací reaktivního nebo ochranného opatření překročí stanovená kritéria pro přijatelnost rizik, doplní plán zvládání rizik.
(3) Řízení rizik může být zajištěno i jinými způsoby, než jak je stanoveno v odstavcích 1 a 2, pokud orgán a osoba uvedená v § 3 písm. c) až e) zákona zabezpečí, že používá opatření zajišťující stejnou nebo vyšší úroveň řízení rizik.
(4) Orgán a osoba uvedená v § 3 písm. c) až e) zákona při hodnocení rizik zvažuje zejména tyto hrozby
a) porušení bezpečnostní politiky, provedení neoprávněných činností, zneužití oprávnění ze strany uživatelů a administrátorů,
b) poškození nebo selhání technického anebo programového vybavení,
c) zneužití identity fyzické osoby,
d) užívání programového vybavení v rozporu s licenčními podmínkami,
e) kybernetický útok z komunikační sítě,
f) škodlivý kód (například viry, spyware, trojské koně),
g) nedostatky při poskytování služeb informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému,
h) narušení fyzické bezpečnosti,
i) přerušení poskytování služeb elektronických komunikací nebo dodávek elektrické energie,
j) zneužití nebo neoprávněná modifikace údajů,
k) trvale působící hrozby a
l) odcizení nebo poškození aktiva.
(5) Orgán a osoba uvedená v § 3 písm. c) až e) zákona při hodnocení rizik zvažuje zejména tyto zranitelnosti
a) nedostatečná ochrana vnějšího perimetru,
b) nedostatečné bezpečnostní povědomí uživatelů a administrátorů,
c) nedostatečná údržba informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému,
d) nevhodné nastavení přístupových oprávnění,
e) nedostatečné postupy při identifikování a odhalení negativních bezpečnostních jevů, kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů,
f) nedostatečné monitorování činnosti uživatelů a administrátorů a neschopnost odhalit jejich nevhodné nebo závadné způsoby chování a
g) nedostatečné stanovení bezpečnostních pravidel, nepřesné nebo nejednoznačné vymezení práv a povinností uživatelů, administrátorů a bezpečnostních rolí.
(6) Orgán a osoba uvedená v § 3 písm. c) a d) zákona při hodnocení rizik dále zvažuje tyto hrozby
a) porušení bezpečnostní politiky, provedení neoprávněných činností, zneužití oprávnění ze strany administrátorů kritické informační infrastruktury,
b) pochybení ze strany zaměstnanců,
c) zneužití vnitřních prostředků, sabotáž,
d) dlouhodobé přerušení poskytování služeb elektronických komunikací, dodávky elektrické energie nebo jiných důležitých služeb,
e) nedostatek zaměstnanců s potřebnou odbornou úrovní,
f) cílený kybernetický útok pomocí sociálního inženýrství, použití špionážních technik a
g) zneužití vyměnitelných technických nosičů dat.
(7) Orgán a osoba uvedená v § 3 písm. c) a d) zákona při hodnocení rizik dále zvažuje tyto zranitelnosti
a) nedostatečná ochrana prostředků kritické informační infrastruktury,
b) nevhodná bezpečnostní architektura,
c) nedostatečná míra nezávislé kontroly a
d) neschopnost včasného odhalení pochybení ze strany zaměstnanců.