Příloha č. 4
+----------------------------------------------------------------------------------------------------------------------------------------------------------------+
| Požadavky na strukturu a náležitosti zprávy o provedení penetračního testu |
| |
+------------------+---------------------------------------------------------------------------------------------------------------------------------------------+
| Pro řádek 10.1 | Tři záznamy o provedení skenu zranitelností provedených maximálně 3 měsíce před podáním žádosti o zápis do katalogu cloud computingu nebo |
| přílohy č. 2 | auditní zpráva vydaná pro certifikaci ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl |
| k této vyhlášce | akreditován pro provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra |
| | (IAF), nebo auditní zprávy SOC 2® Type 2, s odkazem na tu část, ze které bude patrné, že skeny zranitelností jsou prováděny pravidelně |
| | v takovém intervalu, ze kterého bude vyplývat, že byly provedeny alespoň 3 skeny zranitelností maximálně 3 měsíce před podáním žádosti |
| | o zápis do katalogu cloud computingu. |
| | |
+------------------+---------------------------------------------------------------------------------------------------------------------------------------------+
| Pro řádek 10.2 | Zprávu o provedení penetračního testu provedeného podle standardu NIST 800-115 nebo v souladu s metodikou OSSTMM, provedeného subjektem, |
| přílohy č. 2 | který je nezávislý na poskytovateli. Zpráva o provedení penetračního testu nesmí být starší než 24 měsíců před podáním žádosti o zápis |
| k této vyhlášce | do katalogu cloud computingu. |
| | |
+------------------+---------------------------------------------------------------------------------------------------------------------------------------------+
| Pro řádek 10.3 | Zpráva o provedení penetračního testu, při kterém budou ověřena rizika alespoň podle standardu OWASP Top 10 Web Application Security |
| přílohy č. 2 | Risks provedeného subjektem, který je nezávislý na poskytovateli. Zpráva o provedení penetračního testu nesmí být starší než 24 měsíců |
| k této vyhlášce | před podáním žádosti o zápis do katalogu cloud computingu. |
| | |
+------------------+---------------------------------------------------------------------------------------------------------------------------------------------+
| Poskytovatel dodá každých 24 měsíců evidence služby cloud computingu v katalogu cloud computingu Ministerstvu vnitra |
| |
+------------------+---------------------------------------------------------------------------------------------------------------------------------------------+
| Pro řádek 10.1 | Čtyři záznamy o provedení skenu zranitelností provedených každých 6 měsíců evidence v katalogu cloud computingu nebo auditní zpráva |
| přílohy č. 2 | vydaná pro certifikaci ČSN EN ISO/IEC 27001, EN ISO/IEC 27001 nebo ISO/IEC 27001 od certifikačního orgánu, který byl akreditován pro |
| k této vyhlášce | provádění auditů a certifikaci systémů řízení bezpečnosti informací některým z členů Mezinárodního akreditačního fóra (IAF), nebo |
| | auditní zprávy SOC 2® Type 2, s odkazem na tu část, ze které bude patrné, že skeny zranitelností jsou prováděny pravidelně v takovém |
| | intervalu, ze kterého bude vyplývat, že byly provedeny alespoň 4 skeny zranitelností každých 6 měsíců evidence v katalogu cloud |
| | computingu. |
| | |
+------------------+---------------------------------------------------------------------------------------------------------------------------------------------+
| Pro řádek 10.2 | Zprávu z provedení penetračního testu provedeného podle standardu NIST 800-115 nebo v souladu s metodikou OSSTMM, provedeného subjektem, |
| přílohy č. 2 | který je nezávislý na poskytovateli. Zpráva o provedení penetračního testu nesmí být starší než 23 měsíců od zápisu do katalogu cloud |
| k této vyhlášce | computingu nebo dodání předchozí zprávy o provedení penetračního testu. |
| | |
+------------------+---------------------------------------------------------------------------------------------------------------------------------------------+
| Pro řádek 10.3 | Zprávu o provedení penetračního testu, při kterém budou ověřena rizika alespoň podle standardu OWASP Top 10 Web Application Security |
| přílohy č. 2 | Risks provedeného subjektem, který je nezávislý na poskytovateli. Zpráva o provedení penetračního testu nesmí být starší než 23 měsíců |
| k této vyhlášce | od zápisu do katalogu cloud computingu nebo dodání předchozí zprávy o provedení penetračního testu. |
| | |
+------------------+---------------------------------------------------------------------------------------------------------------------------------------------+
------------------------------------------------------------------