Příloha č. 1
Hodnocení aktiv
(1) Pro hodnocení důležitosti aktiv jsou v tomto případě použity stupnice o čtyřech úrovních a posuzuje se, jaký dopad by mělo narušení bezpečnosti informací u jednotlivých aktiv. Povinná osoba může používat odlišný počet úrovní pro hodnocení důležitosti aktiv, než jaký je uveden v této příloze, dodrží-li jednoznačné vazby mezi jimi používaným způsobem hodnocení důležitosti aktiv a stupnicemi a úrovněmi pro hodnocení důležitosti aktiv, které jsou uvedeny v této příloze.
(2) Je doporučeno, aby si každá povinná osoba tyto dopadové matice přizpůsobila svým potřebám.
Tab. 1: Stupnice pro hodnocení důvěrnosti
+----------+----------------------------------------+--------------------------------------+
| Úroveň | Popis | Příklady požadavků na ochranu aktiva |
+----------+----------------------------------------+--------------------------------------+
| Nízká | Aktiva jsou veřejně přístupná nebo | Není vyžadována žádná ochrana. |
| | byla určena ke zveřejnění. Narušení | |
| | důvěrnosti aktiv neohrožuje oprávněné | |
| | povinné osoby. | Likvidace/mazání aktiva na úrovni |
| | | Nízká - viz příloha č. 4. |
| | V případě sdílení takového aktiva | |
| | s třetími stranami a použití | |
| | klasifikace podle tzv. traffic light | |
| | protokolu (dále jen "TLP") je | |
| | využíváno označení TLP:WHITE. | |
+----------+----------------------------------------+--------------------------------------+
| Střední | Aktiva nejsou veřejně přístupná | Pro ochranu důvěrnosti jsou |
| | a tvoří know-how povinné osoby, | využívány prostředky pro řízení |
| | ochrana aktiv není vyžadována žádným | přístupu. |
| | právním předpisem nebo smluvním | |
| | ujednáním. | |
| | | Likvidace/mazání aktiva na úrovni |
| | V případě sdílení takového aktiva | Střední - viz příloha č. 4. |
| | s třetími stranami a použití | |
| | klasifikace podle TLP je využíváno | |
| | zejména označení TLP:GREEN nebo | |
| | TLP:AMBER. | |
+----------+----------------------------------------+--------------------------------------+
| Vysoká | Aktiva nejsou veřejně přístupná | Pro ochranu důvěrnosti jsou |
| | a jejich ochrana je vyžadována | využívány prostředky, které zajistí |
| | právními předpisy, jinými předpisy | řízení a zaznamenávání přístupu. |
| | nebo smluvními ujednáními (například | Přenosy informací komunikační |
| | obchodní tajemství, osobní údaje). | sítí jsou chráněny pomocí |
| | | kryptografických prostředků. |
| | V případě sdílení takového aktiva | |
| | s třetími stranami a použití | |
| | klasifikace podle TLP je využíváno | Likvidace/mazání aktiva na úrovni |
| | zejména označení TLP:AMBER. | Vysoká - viz příloha č. 4 |
+----------+----------------------------------------+--------------------------------------+
| Kritická | Aktiva nejsou veřejně přístupná | Pro ochranu důvěrnosti jsou |
| | a vyžadují nadstandardní míru | využívány prostředky, které zajistí |
| | ochrany nad rámec předchozí kategorie | řízení a zaznamenávání přístupu. |
| | (například strategické obchodní | Dále metody ochrany zabraňující |
| | tajemství, zvláštní kategorie osobních | zneužití aktiv ze strany |
| | údajů). | administrátorů. |
| | | Přenosy informací jsou chráněny |
| | V případě sdílení takového aktiva | pomocí kryptografických prostředků. |
| | s třetími stranami a použití | |
| | klasifikace podle TLP je využíváno | |
| | zejména označení TLP:RED nebo | Likvidace/mazání aktiva na úrovni |
| | TLP:AMBER | Kritická - viz příloha č. 4. |
+----------+----------------------------------------+--------------------------------------+
Tab. 2: Stupnice pro hodnocení integrity
+----------+----------------------------------------+--------------------------------------+
| Úroveň | Popis | Příklady požadavků na ochranu aktiva |
+----------+----------------------------------------+--------------------------------------+
| Nízká | Aktivum nevyžaduje ochranu z hlediska | Není vyžadována žádná ochrana. |
| | integrity. Narušení integrity aktiva | |
| | neohrožuje oprávněné zájmy povinné | |
| | osoby. | |
+----------+----------------------------------------+--------------------------------------+
| Střední | Aktivum může vyžadovat ochranu | Pro ochranu integrity jsou využívány |
| | z hlediska integrity. Narušení | standardní nástroje (například |
| | integrity aktiva může vést k poškození | omezení přístupových práv pro |
| | oprávněných zájmů povinné osoby a může | zápis). |
| | se projevit méně závažnými dopady na | |
| | primární aktiva. | |
+----------+----------------------------------------+--------------------------------------+
| Vysoká | Aktivum vyžaduje ochranu z hlediska | Pro ochranu integrity jsou využívány |
| | Narušení integrity aktiva vede | speciální prostředky, které dovolují |
| | k poškození oprávněných zájmů povinné | sledovat historii provedených změn |
| | osoby s podstatnými dopady na primární | a zaznamenat identitu osoby |
| | aktiva. | provádějící změnu. Ochrana integrity |
| | | informací přenášených komunikačními |
| | | sítěmi je zajištěna pomocí |
| | | kryptografických prostředků. |
+----------+----------------------------------------+--------------------------------------+
| Kritická | Aktivum vyžaduje ochranu z hlediska | Pro ochranu integrity jsou využívány |
| | integrity. Narušení integrity vede | speciální prostředky jednoznačné |
| | k velmi vážnému poškození oprávněných | identifikace osoby provádějící změnu |
| | zájmů povinné osoby s přímými a velmi | (například pomocí technologie |
| | vážnými dopady na primární aktiva. | digitálního podpisu). |
+----------+----------------------------------------+--------------------------------------+
Tab. 3: Stupnice pro hodnocení dostupnosti
+----------+----------------------------------------+--------------------------------------+
| Úroveň | Popis | Příklady požadavků na ochranu aktiva |
+----------+----------------------------------------+--------------------------------------+
| Nízká | Narušení dostupnosti aktiva není | Pro ochranu dostupnosti je |
| | důležité a v případě výpadku je běžně | postačující pravidelné zálohování. |
| | tolerováno delší časové období pro | |
| | nápravu (cca do 1 týdne). | |
+----------+----------------------------------------+--------------------------------------+
| Střední | Narušení dostupnosti aktiva by nemělo | Pro ochranu dostupnosti jsou |
| | překročit dobu pracovního dne, | využívány běžné metody zálohování |
| | dlouhodobější výpadek vede k možnému | a obnovy. |
| | ohrožení oprávněných zájmů povinné | |
| | osoby. | |
+----------+----------------------------------------+--------------------------------------+
| Vysoká | Narušení dostupnosti aktiva by nemělo | Pro ochranu dostupnosti jsou |
| | překročit dobu několika hodin. | využívány záložní systémy |
| | Jakýkoli výpadek je nutné řešit | a obnova poskytování služeb může |
| | neprodleně, protože vede k přímému | být podmíněna zásahy obsluhy nebo |
| | ohrožení oprávněných zájmů povinné | výměnou technických aktiv. |
| | osoby. Aktiva jsou považována za velmi | |
| | důležitá. | |
+----------+----------------------------------------+--------------------------------------+
| Kritická | Narušení dostupnosti aktiva není | Pro ochranu dostupnosti jsou |
| | přípustné a i krátkodobá nedostupnost | využívány záložní systémy |
| | (v řádu několika minut) vede k vážnému | a obnova poskytování služeb |
| | ohrožení oprávněných zájmů povinné | je krátkodobá a automatizovaná. |
| | osoby. Aktiva jsou považována za | |
| | kritická. | |
+----------+----------------------------------------+--------------------------------------+
------------------------------------------------------------------