316/2014 Sb.Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
Částka: | 127 | Druh předpisu: | Vyhláška |
Rozeslána dne: | 19. prosince 2014 | Autor předpisu: | Národní bezpečnostní úřad |
Přijato: | 15. prosince 2014 | Nabývá účinnosti: | 1. ledna 2015 |
Platnost předpisu: | Zrušen předpisem 82/2018 Sb. | Pozbývá platnosti: | 28. května 2018 |
Text předpisu s celou hlavičkou je dostupný pouze pro registrované uživatele.
VYHLÁŠKA
ze dne 15. prosince 2014
o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech,
reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti
(vyhláška o kybernetické bezpečnosti)
Národní bezpečnostní úřad stanoví podle § 28 odst. 2 zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), (dále jen „zákon“) k provedení § 6 písm. a) až c), § 8 odst. 4, § 13 odst. 4 a § 16 odst. 6 zákona.
Touto vyhláškou se stanoví obsah a struktura bezpečnostní dokumentace pro informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury nebo významný informační systém, obsah bezpečnostních opatření, rozsah jejich zavedení, typy a kategorie kybernetických bezpečnostních incidentů, náležitosti a způsob hlášení kybernetického bezpečnostního incidentu, náležitosti oznámení o provedení reaktivního opatření a jeho výsledku a vzor oznámení kontaktních údajů a jeho formu.
V této vyhlášce se rozumí
a) systémem řízení bezpečnosti informací část systému řízení orgánu a osoby uvedené v § 3 písm. c) až e) zákona založená na přístupu k rizikům informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému, která stanoví způsob ustavení, zavádění, provoz, monitorování, přezkoumání, udržování a zlepšování bezpečnosti informací,
ČÁST PRVNÍ - | ÚVODNÍ USTANOVENÍ |
§ 1 - | Předmět úpravy |
§ 2 - | Vymezení pojmů |
ČÁST DRUHÁ - | BEZPEČNOSTNÍ OPATŘENÍ |
HLAVA I - | ORGANIZAČNÍ OPATŘENÍ |
§ 3 - | Systém řízení bezpečnosti informací |
§ 4 - | Řízení rizik |
§ 5 - | Bezpečnostní politika |
§ 6 - | Organizační bezpečnost |
§ 7 - | Stanovení bezpečnostních požadavků pro dodavatele |
§ 8 - | Řízení aktiv |
§ 9 - | Bezpečnost lidských zdrojů |
§ 10 - | Řízení provozu a komunikací |
§ 11 - | Řízení přístupu a bezpečné chování uživatelů |
§ 12 - | Akvizice, vývoj a údržba |
§ 13 - | Zvládání kybernetických bezpečnostních událostí a incidentů |
§ 14 - | Řízení kontinuity činností |
§ 15 - | Kontrola a audit kritické informační infrastruktury a významných informačních systémů |
HLAVA II - | TECHNICKÁ OPATŘENÍ |
§ 16 - | Fyzická bezpečnost |
§ 17 - | Nástroj pro ochranu integrity komunikačních sítí |
§ 18 - | Nástroj pro ověřování identity uživatelů |
§ 19 - | Nástroj pro řízení přístupových oprávnění |
§ 20 - | Nástroj pro ochranu před škodlivým kódem |
§ 21 - | Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů |
§ 22 - | Nástroj pro detekci kybernetických bezpečnostních událostí |
§ 23 - | Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí |
§ 24 - | Aplikační bezpečnost |
§ 25 - | Kryptografické prostředky |
§ 26 - | Nástroj pro zajišťování úrovně dostupnosti |
§ 27 - | Bezpečnost průmyslových a řídicích systémů |
HLAVA III - | BEZPEČNOSTNÍ DOKUMENTACE |
§ 28 - | Bezpečnostní dokumentace |
§ 29 - | Prokázání certifikace |
ČÁST TŘETÍ - | KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT |
§ 30 - | Typy kybernetických bezpečnostních incidentů |
§ 31 - | Kategorie kybernetických bezpečnostních incidentů |
§ 32 - | Forma a náležitosti hlášení kybernetických bezpečnostních incidentů |
ČÁST ČTVRTÁ - | REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE |
§ 33 - | Reaktivní opatření |
§ 34 - | Kontaktní údaje |
ČÁST PÁTÁ - | ÚČINNOST |
§ 35   | |
Příloha č. 1 - | Hodnocení a úrovně důležitosti aktiv |
Příloha č. 2 - | Hodnocení rizik |
Příloha č. 3 - | Minimálními požadavky na kryptografické algoritmy |
Příloha č. 4 - | Struktura bezpečnostní dokumentace |
Příloha č. 5 - | Formulář hlášení kybernetického bezpečnostního incidentu |
Příloha č. 6 - | Formulář oznámení o provedení reaktivního opatření a jeho výsledku |
Příloha č. 7 - | Formulář pro hlášení kontaktních údajů |