4.1 Požadavky na bezpečnost informací
Provozovatel elektronického nástroje musí eliminovat dopady identifikovaných hrozeb, které mohou mít za následek neplnění stanovených požadavků na elektronický nástroj. Příklady struktury hrozeb a z ní vyplývající důvody členění požadavků jsou uvedeny na následujícím Schématu.
Při provádění úkonů v zadávacích postupech musí být ve všech případech zajištěna dostupnost a integrita předávaných a zpracovávaných informací a ve stanovených případech musí být navíc zajištěna i důvěrnost těchto informací.
Schéma III. Stěžejní faktory ovlivňující plnění požadavků na elektronický nástroj
Obrázek - Schéma
Dostupnost, integritu a důvěrnost musí provozovatel dokumentovaným způsobem zabezpečit a to aplikováním vybraných postupů mezinárodních norem v oblasti bezpečnosti informací. Provozovatel musí zajistit provedení alespoň následujících kroků
1. určit rozsah a hranice elektronického nástroje na základě posouzení jeho uspořádání, struktury, umístění (lokality), aktiv a technologií,
2. definovat politiku bezpečnosti informací elektronického nástroje, která
a) stanovuje principy, zásady a celkový rámec řízení bezpečnosti informací,
b) bere v úvahu zákonné nebo regulatorní požadavky a smluvní závazky provozovatele elektronického nástroje a stanovuje kritéria, kterými budou hodnocena rizika,
3. stanovit přístup provozovatele elektronického nástroje k rizikům bezpečnosti informací
a) identifikovat metodiku hodnocení rizik, která vyhovuje stanovené úrovni bezpečnosti informací, zákonným a regulatorním požadavkům, a zajistí reprodukovatelnost a porovnatelnost výsledků,
b) vytvořit kritéria pro akceptaci rizik a identifikovat jejich akceptační úrovně,
4. identifikovat rizika
a) identifikovat aktiva v rámci rozsahu elektronického nástroje a jejich vlastníky,
b) identifikovat hrozby pro tato aktiva,
c) identifikovat zranitelnosti, které by mohly být hrozbami využity,
d) identifikovat jaké dopady na provoz elektronického nástroje by mohla mít ztráta důvěrnosti, integrity a dostupnosti aktiv,
5. analyzovat a vyhodnotit rizika,
6. identifikovat a stanovit varianty pro zvládání rizik, kterými může být
a) aplikování vhodných opatření k eliminaci či snížení dopadu rizik,
b) vědomé a objektivní akceptování rizik za předpokladu, že zřetelně naplňují politiky organizace a kritéria pro akceptaci rizik
c) vyhnutí se rizikům,
d) přenesení rizik spojených s činností organizace na třetí strany, např. na pojišťovny, dodavatele,
7. vybrat a aplikovat jednotlivá bezpečnostní opatření pro zvládání rizik.
Provozovatel elektronického nástroje musí v rámci provozování elektronického nástroje:
1. monitorovat, přezkoumávat a zavádět další opatření
a) pro včasnou detekci chyb zpracování,
b) pro včasnou identifikaci úspěšných i neúspěšných pokusů o narušení bezpečnosti a detekci bezpečnostních incidentů,
c) umožňující vedení provozovatele elektronického nástroje určit, zda bezpečnostní aktivity prováděné pověřenými osobami, nebo pro které byly implementovány technologie, fungují podle očekávání,
d) umožňující detekci bezpečnostních událostí, které mohou způsobit bezpečnostní incident,
2. měřit účinnost zavedených opatření pro ověření toho, že byly naplněny požadavky na bezpečnost,
3. provádět interní audity bezpečnosti informací v plánovaných intervalech a přijímat účinná opatření k odstranění nedostatků a
4. pravidelně přezkoumávat rizika, přiměřenost a účinnost přijatých opatření pro zvládání rizik, výskyt bezpečnostních událostí a incidentů, výsledky interních auditů a na základě toho přijímat opatření ke zlepšování nastaveného systému řízení bezpečnosti informací.