CODEXIS® Přihlaste se ke svému účtu
CODEXIS® ... 82/2018 Sb. Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) 1. Bezpečnostní politika

1. Bezpečnostní politika

82/2018 Sb. Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)

1. Bezpečnostní politika

1.1. Politika systému řízení bezpečnosti informací

a) Cíle, principy a potřeby řízení bezpečnosti informací.

b) Rozsah a hranice systému řízení bezpečnosti informací.

c) Pravidla a postupy pro řízení dokumentace.

d) Pravidla a postupy pro řízení zdrojů a provozu systému řízení bezpečnosti informací.

e) Pravidla a postupy pro provádění auditů kybernetické bezpečnosti.

f) Pravidla a postupy pro přezkoumání systému řízení bezpečnosti informací.

g) Pravidla a postupy pro nápravná opatření a zlepšování systému řízení bezpečnosti informací.

1.2. Politika řízení aktiv

a) Identifikace, hodnocení a evidence primárních aktiv

1. určení a evidence jednotlivých primárních aktiv včetně určení jejich garanta,

2. hodnocení důležitosti primárních aktiv z hlediska důvěrnosti, integrity a dostupnosti.

b) Identifikace, hodnocení a evidence podpůrných aktiv

1. určení a evidence jednotlivých podpůrných aktiv včetně určení jejich garanta,

2. určení vazeb mezi primárními a podpůrnými aktivy.

c) Pravidla ochrany jednotlivých úrovní aktiv

1. způsoby rozlišování jednotlivých úrovní aktiv,

2. pravidla pro manipulaci a evidenci aktiv podle úrovní aktiv,

3. přípustné způsoby používání aktiv.

d) Způsoby spolehlivého mazání nebo ničení technických nosičů dat, informací, provozních údajů a jejich kopií.

1.3. Politika organizační bezpečnosti

a) Určení bezpečnostních rolí a jejich práv a povinností.

b) Požadavky na oddělení výkonu činností jednotlivých bezpečnostních rolí.

c) Požadavky na oddělení výkonu bezpečnostních a provozních rolí.

1.4. Politika řízení dodavatelů

a) Pravidla a principy pro výběr dodavatelů.

b) Pravidla pro hodnocení rizik souvisejících s dodavateli.

c) Náležitosti smlouvy o úrovni služeb a způsobů a úrovní realizace bezpečnostních opatření a o určení vzájemné smluvní odpovědnosti.

d) Pravidla pro provádění kontroly zavedení bezpečnostních opatření.

e) Pravidla pro hodnocení dodavatelů.

1.5. Politika bezpečnosti lidských zdrojů

a) Pravidla rozvoje bezpečnostního povědomí a způsoby jeho hodnocení

1. způsoby a formy poučení uživatelů,

2. způsoby a formy poučení garantů aktiv,

3. způsoby a formy poučení administrátorů,

4. způsoby a formy poučení osob zastávajících bezpečnostní role.

b) Bezpečnostní školení nových zaměstnanců.

c) Pravidla pro řešení případů porušení bezpečnostní politiky systému řízení bezpečnosti informací.

d) Pravidla pro ukončení pracovního vztahu nebo změnu pracovní pozice

1. vrácení svěřených aktiv a odebrání práv při ukončení pracovního vztahu,

2. změna přístupových oprávnění při změně pracovní pozice.

1.6 Politika řízení provozu a komunikací

a) Pravomoci a odpovědnosti spojené s bezpečným provozem.

b) Postupy bezpečného provozu.

c) Požadavky a standardy bezpečného provozu.

d) Pravidla a omezení pro provádění auditů kybernetické bezpečnosti a bezpečnostních testů.

1.7. Politika řízení přístupu

a) Princip minimálních oprávnění/potřeba znát (need to know).

b) Požadavky na řízení přístupu.

c) Životní cyklus řízení přístupu.

d) Řízení privilegovaných oprávnění.

e) Řízení přístupu pro mimořádné situace.

f) Pravidelné přezkoumání přístupových oprávnění včetně rozdělení jednotlivých uživatelů v přístupových skupinách.

1.8. Politika bezpečného chování uživatelů

a) Pravidla pro bezpečné nakládání s aktivy.

b) Bezpečné použití přístupového hesla.

c) Bezpečné použití elektronické pošty a přístupu na internet.

d) Bezpečný vzdálený přístup.

e) Bezpečné chování na sociálních sítích.

f) Bezpečnost ve vztahu k mobilním zařízením.

1.9. Politika zálohování a obnovy a dlouhodobého ukládání

a) Požadavky na zálohování a obnovu.

b) Pravidla a postupy zálohování.

c) Pravidla a postupy dlouhodobého ukládání.

d) Pravidla bezpečného zálohování a dlouhodobého ukládání informací.

e) Pravidla a postupy obnovy.

f) Pravidla a postupy testování zálohování a obnovy.

g) Politika přístupu k zálohám, ukládaným informacím.

1.10. Politika bezpečného předávání a výměny informací

a) Pravidla a postupy pro ochranu předávaných informací.

b) Způsoby ochrany elektronické výměny informací.

c) Pravidla pro využívání kryptografické ochrany.

1.11. Politika řízení technických zranitelností

a) Pravidla pro omezení instalace programového vybavení.

b) Pravidla a postupy vyhledávání opravných programových balíčků.

c) Pravidla a postupy testování oprav programového vybavení.

d) Pravidla a postupy nasazení oprav programového vybavení.

1.12. Politika bezpečného používání mobilních zařízení

a) Pravidla a postupy pro bezpečné používání mobilních zařízení.

b) Pravidla a postupy pro zajištění bezpečnosti zařízení, která povinná osoba nemá ve své správě.

1.13. Politika akvizice, vývoje a údržby

a) Bezpečnostní požadavky pro akvizici, vývoj a údržbu.

b) Řízení zranitelností.

c) Politika poskytování a nabývání licencí programového vybavení a informací

1. pravidla a postupy nasazení programového vybavení a jeho evidence,

2. pravidla a postupy pro kontrolu dodržování licenčních podmínek.

1.14. Politika ochrany osobních údajů

a) Charakteristika zpracovávaných osobních údajů.

b) Popis přijatých a provedených organizačních opatření pro ochranu osobních údajů.

c) Popis přijatých a provedených technických opatření pro ochranu osobních údajů.

1.15. Politika fyzické bezpečnosti

a) Pravidla pro ochranu objektů.

b) Pravidla pro kontrolu vstupu osob.

c) Pravidla pro ochranu zařízení.

d) Detekce narušení fyzické bezpečnosti.

1.16. Politika bezpečnosti komunikační sítě

a) Pravidla a postupy pro zajištění bezpečnosti sítě.

b) Určení práv a povinností za bezpečný provoz sítě.

c) Pravidla a postupy pro řízení přístupů v rámci sítě.

d) Pravidla a postupy pro ochranu vzdáleného přístupu k síti.

e) Pravidla a postupy pro monitorování sítě a vyhodnocování provozních záznamů.

1.17. Politika ochrany před škodlivým kódem

a) Pravidla a postupy pro ochranu síťové komunikace.

b) Pravidla a postupy pro ochranu serverů a sdílených datových úložišť.

c) Pravidla a postupy pro ochranu pracovních stanic.

1.18. Politika nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí

a) Pravidla a postupy nasazení nástroje pro detekci kybernetických bezpečnostních událostí.

b) Provozní postupy pro vyhodnocování a reagování na detekované kybernetické bezpečnostní události.

c) Pravidla a postupy pro optimalizaci nastavení nástroje pro detekci kybernetických bezpečnostních událostí.

1.19. Politika využití a údržby nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí

a) Pravidla a postupy pro evidenci a vyhodnocení kybernetických bezpečnostních událostí.

b) Pravidla a postupy pravidelné aktualizace pravidel pro vyhodnocení kybernetických bezpečnostních událostí.

c) Pravidla a postupy pro optimální nastavení bezpečnostních vlastností nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí.

1.20. Politika bezpečného používání kryptografické ochrany

a) Úroveň ochrany s ohledem na typ a sílu kryptografického algoritmu.

b) Pravidla kryptografické ochrany informací

1. při přenosu po komunikačních sítích,

2. při uložení na mobilní zařízení nebo vyměnitelný technický nosič dat.

c) Systém správy klíčů.

1.21. Politika řízení změn

a) Způsob a principy řízení významných změn v rámci povinné osoby, jejich procesech, informačních a komunikačních systémech.

b) Přezkoumávání dopadů významných změn.

c) Způsob vedení evidence a testování významných změn.

1.22. Politika zvládání kybernetických bezpečnostních incidentů

a) Definování kategorií kybernetického bezpečnostního incidentu.

b) Pravidla a postupy pro identifikaci, evidenci a zvládání jednotlivých kategorií kybernetických bezpečnostních incidentů.

c) Pravidla a postupy testování systému zvládání kybernetických bezpečnostních incidentů.

d) Pravidla a postupy pro vyhodnocení kybernetických bezpečnostních incidentů a pro zlepšování kybernetické bezpečnosti.

e) Evidence incidentů.

1.23. Politika řízení kontinuity činností

a) Práva a povinnosti zúčastněných osob.

b) Cíle řízení kontinuity činností

1. minimální úroveň poskytovaných služeb,

2. doba obnovení chodu,

3. bod obnovení dat.

c) Politika řízení kontinuity činností pro naplnění cílů kontinuity.

d) Způsoby hodnocení dopadů kybernetických bezpečnostních incidentů na kontinuitu a posuzování souvisejících rizik.

e) Určení a obsah potřebných plánů kontinuity a havarijních plánů.

f) Postupy pro realizaci opatření vydaných Úřadem.

Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace Obsah 2. Obsah bezpečnostní dokumentace