CODEXIS® Přihlaste se ke svému účtu
CODEXIS® ... 316/2014 Sb. Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) Stupnice pro hodnocení důvěrnosti

Stupnice pro hodnocení důvěrnosti

316/2014 Sb. Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)

Stupnice pro hodnocení důvěrnosti

+----------+-----------------------------------------------------+-----------------------------------------+
| Úroveň | Popis | Ochrana |
+----------+-----------------------------------------------------+-----------------------------------------+
| Nízká | Aktiva jsou veřejně přístupná nebo byla určena ke | Není vyžadována žádná ochrana. |
| | zveřejnění (např. na základě zákona č. 106/1999 Sb. | |
| | o svobodném přístupu k informacím, ve znění | |
| | pozdějších předpisů). Narušení důvěrnosti aktiv | |
| | neohrožuje oprávněné zájmy orgánu a osoby | |
| | uvedené v § 3 písm. c)e) zákona. | |
+----------+-----------------------------------------------------+-----------------------------------------+
| Střední | Aktiva nejsou veřejně přístupná a tvoří know-how | Pro ochranu důvěrnosti jsou využívány |
| | orgánu a osoby uvedené v § 3 písm. c)e) zákona, | prostředky pro řízení přístupu. |
| | ochrana aktiv není vyžadována žádným právním | |
| | předpisem nebo smluvním ujednáním. | |
+----------+-----------------------------------------------------+-----------------------------------------+
| Vysoká | Aktiva nejsou veřejně přístupná a jejich ochrana je | Pro ochranu důvěrnosti jsou využívány |
| | vyžadována právními předpisy, jinými předpisy | prostředky, které zajistí řízení a |
| | nebo smluvními ujednáními (např. obchodní | zaznamenávání přístupu. Přenosy |
| | tajemství podle zákona č. 89/2012 Sb., občanský | informací vnější komunikační sítí jsou |
| | zákoník, osobní údaje podle zákona č. 101/2000 Sb., | chráněny pomocí kryptografických |
| | o ochraně osobních údajů, ve znění pozdějších | prostředků. |
| | předpisů). | |
+----------+-----------------------------------------------------+-----------------------------------------+
| Kritická | Aktiva nejsou veřejně přístupná a vyžadují | Pro ochranu důvěrnosti je požadována |
| | nadstandardní míru ochrany nad rámec předchozí | evidence osob, které k aktivům |
| | kategorie (např. strategické obchodní tajemství, | přistoupily, a metody ochrany |
| | citlivé osobní údaje). | zabraňující zneužití aktiv ze strany |
| | | administrátorů. Přenosy informací jsou |
| | | jsou chráněny pomocí kryptografických |
| | | prostředků. |
+----------+-----------------------------------------------------+-----------------------------------------+


Stupnice pro hodnocení integrity

+----------+-----------------------------------------------------+-----------------------------------------+
| Úroveň | Popis | Ochrana |
+----------+-----------------------------------------------------+-----------------------------------------+
| Nízká | Aktivum nevyžaduje ochranu z hlediska integrity. | Není vyžadována žádná ochrana. |
| | Narušení integrity aktiva neohrožuje oprávněné | |
| | zájmy orgánu a osoby uvedené v § 3 písm. c)e) | |
| | zákona. | |
+----------+-----------------------------------------------------+-----------------------------------------+
| Střední | Aktivum může vyžadovat ochranu z hlediska i | Pro ochranu integrity jsou využívány |
| | integrity. Narušení integrity aktiva může vést k | standardní nástroje (např. omezení |
| | poškození oprávněných zájmů orgánu a osoby uvedené | přístupových práv pro zápis). |
| | v § 3 písm. c)e) zákona a může se projevit méně | |
| | závažnými dopady na primární aktiva. | |
+----------+-----------------------------------------------------+-----------------------------------------+
| Vysoká | Aktivum vyžaduje ochranu z hlediska integrity. | Pro ochranu integrity jsou využívány |
| | Narušení integrity aktiva vede k poškození | speciální prostředky, které dovolují |
| | oprávněných zájmů orgánu a osoby uvedené v § 3 | sledovat historii provedených změn |
| | písm. c)e) zákona s podstatnými dopady na | a zaznamenat identitu osoby provádějící |
| | primární aktiva. | změnu. Ochrana integrity informací |
| | | přenášených vnějšími komunikačními |
| | | sítěmi je zajištěna pomocí |
| | | kryptografických prostředků. |
+----------+-----------------------------------------------------+-----------------------------------------+
| Kritická | Aktivum vyžaduje ochranu z hlediska integrity. | Pro ochranu integrity jsou využívány |
| | Narušení integrity vede k velmi vážnému poškození | speciální prostředky jednoznačné |
| | oprávněných zájmů orgánu a osoby uvedené v § 3 | identifikace osoby provádějící změnu |
| | písm. c)e) zákona s přímým a velmi vážnými | (např. pomocí technologie digitálního |
| | dopady na primární aktiva. | podpisu). |
+----------+-----------------------------------------------------+-----------------------------------------+


Stupnice pro hodnocení dostupnosti

+----------+-----------------------------------------------------+-----------------------------------------+
| Úroveň | Popis | Ochrana |
+----------+-----------------------------------------------------+-----------------------------------------+
| Nízká | Narušení dostupnosti aktiva není důležité a v | Pro ochranu dostupnosti je postačující |
| | případě výpadku je běžně tolerováno delší časové | pravidelné zálohování. |
| | období pro nápravu (cca do 1 týdne). | |
+----------+-----------------------------------------------------+-----------------------------------------+
| Střední | Narušení dostupnosti aktiva by nemělo překročit | Pro ochranu dostupnosti jsou využívány |
| | dobu pracovního dne, dlouhodobější výpadek vede | běžné metody zálohování a obnovy. |
| | k možnému ohrožení zájmů orgánu a osoby uvedené v | |
| | § 3 písm. c)e) zákona. | |
+----------+-----------------------------------------------------+-----------------------------------------+
| Vysoká | Narušení dostupnosti aktiva by nemělo překročit | Pro ochranu dostupnosti jsou využívány |
| | dobu několika hodin. Jakýkoli výpadek je nutné | záložní systémy a obnova poskytování |
| | řešit neprodleně, protože vede k přímému ohrožení | služeb může být podmíněna zásahy |
| | zájmů orgánu a osoby uvedené v § 3 písm. c)e) | obsluhy nebo výměnou technických aktiv. |
| | zákona. Aktiva jsou považována jako velmi | |
| | důležitá. | |
+----------+-----------------------------------------------------+-----------------------------------------+
| Kritická | Narušení dostupnosti aktiva není přípustné a i | Pro ochranu dostupnosti jsou využívány |
| | krátkodobá nedostupnost (v řádu několika minut) | záložní systémy a obnova poskytování |
| | vede k vážnému ohrožení zájmů orgánu a osoby | služeb je krátkodobá a automatizovaná. |
| | uvedené v § 3 písm. c)e) zákona. Aktiva jsou | |
| | považována jako kritická. | |
+----------+-----------------------------------------------------+-----------------------------------------+


------------------------------------------------------------------

Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv Obsah Stupnice pro hodnocení integrity