CODEXIS® Přihlaste se ke svému účtu
CODEXIS® ... 82/2018 Sb. Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti) Příloha č. 2 - Hodnocení rizik

Příloha č. 2 - Hodnocení rizik

82/2018 Sb. Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)

Příloha č. 2

Hodnocení rizik

(1) Jednoznačné stanovení funkce pro určení rizika je nezbytnou součástí metodiky pro hodnocení rizik podle § 5.

(2) Hodnota rizika je nejčastěji vyjádřena jako funkce, kterou ovlivňuje dopad, hrozba a zranitelnost.

(3) Pro hodnocení rizik lze použít například tuto funkci:

Riziko = dopad x hrozba x zranitelnost.

(4) Dopad je v tomto případě odvozen z hodnocení aktiv podle přílohy č. 1.

(5) V případě, že povinná osoba využívá metodu pro hodnocení rizik, která nerozlišuje hodnocení hrozby a zranitelnosti, je možné stupnice pro hodnocení hrozeb a zranitelností sloučit. Sloučení stupnic by nemělo vést ke ztrátě schopnosti rozlišení úrovně hrozby a zranitelnosti. Za tímto účelem lze použít například komentář, který zřetelně vyjádří jak úroveň hrozby, tak i úroveň zranitelnosti. Obdobně se postupuje i v případech, kdy povinná osoba používá jiný počet úrovní pro hodnocení dopadů, hrozeb, zranitelností a rizik.

Tab. 1: Stupnice pro hodnocení hrozeb

+----------+--------------------------------------------------------------------+

| Úroveň | Popis |

+----------+--------------------------------------------------------------------+

| Nízká | Hrozba neexistuje nebo je málo pravděpodobná. |

| | Předpokládaná realizace hrozby není častější než jednou za 5 let. |

+----------+--------------------------------------------------------------------+

| Střední | Hrozba je málo pravděpodobná až pravděpodobná. |

| | Předpokládaná realizace hrozby je v rozpětí od 1 roku do 5 let. |

+----------+--------------------------------------------------------------------+

| Vysoká | Hrozba je pravděpodobná až velmi pravděpodobná. |

| | Předpokládaná realizace hrozby je v rozpětí od 1 měsíce do 1 roku. |

+----------+--------------------------------------------------------------------+

| Kritická | Hrozba je velmi pravděpodobná až víceméně jistá. |

| | Předpokládaná realizace hrozby je častější než jednou za měsíc. |

+----------+--------------------------------------------------------------------+

Tab. 2: Stupnice pro hodnocení zranitelností

+----------+--------------------------------------------------------------------+

| Úroveň | Popis |

+----------+--------------------------------------------------------------------+

| Nízká | Zranitelnost neexistuje nebo je zneužití zranitelnosti málo |

| | pravděpodobné. Jsou zavedena bezpečnostní opatření, která jsou |

| | schopna včas detekovat možné zranitelnosti nebo případné pokusy |

| | o jejich zneužití. |

+----------+--------------------------------------------------------------------+

| Střední | Zneužití zranitelnosti je málo pravděpodobné až pravděpodobné. |

| | Jsou zavedena bezpečnostní opatření, jejichž účinnost je |

| | pravidelně kontrolována. |

| | Schopnost bezpečnostních opatření včas detekovat možné |

| | zranitelnosti nebo případné pokusy o překonání opatření je |

| | omezena. |

| | Nejsou známé žádné úspěšné pokusy o překonání bezpečnostních |

| | opatření. |

+----------+--------------------------------------------------------------------+

| Vysoká | Zneužití zranitelnosti je pravděpodobné až velmi pravděpodobné. |

| | Bezpečnostní opatření jsou zavedena, ale jejich účinnost nepokrývá |

| | všechny potřebné aspekty a není pravidelně kontrolována. |

| | Jsou známé dílčí úspěšné pokusy o překonání bezpečnostních |

| | opatření. |

+----------+--------------------------------------------------------------------+

| Kritická | Zneužití zranitelnosti je velmi pravděpodobné až víceméně jisté. |

| | Bezpečnostní opatření nejsou realizována nebo je jejich účinnost |

| | značně omezena. |

| | Neprobíhá kontrola účinnosti bezpečnostních opatření. |

| | Jsou známé úspěšné pokusy překonání bezpečnostních opatření. |

+----------+--------------------------------------------------------------------+

Tab. 3: Stupnice pro hodnocení rizik

+----------+--------------------------------------------------------------------+

| Úroveň | Popis |

+----------+--------------------------------------------------------------------+

| Nízké | Riziko je považováno za akceptovatelné. |

+----------+--------------------------------------------------------------------+

| Střední | Riziko může být sníženo méně náročnými opatřeními nebo v případě |

| | vyšší náročnosti opatření je riziko akceptovatelné. |

+----------+--------------------------------------------------------------------+

| Vysoké | Riziko je dlouhodobě nepřípustné a musí být zahájeny systematické |

| | kroky k jeho odstranění. |

+----------+--------------------------------------------------------------------+

| Kritické | Riziko je nepřípustné a musí být neprodleně zahájeny kroky k jeho |

| | odstranění. |

+----------+--------------------------------------------------------------------+

------------------------------------------------------------------

Příloha č. 1 - Hodnocení aktiv Obsah Příloha č. 3 - Zranitelnosti a hrozby