82/2018 Sb.Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
Částka: | 043 | Druh předpisu: | Vyhláška |
Rozeslána dne: | 28. května 2018 | Autor předpisu: | Národní úřad pro kybernetickou a informační bezpečnost |
Přijato: | 21. května 2018 | Nabývá účinnosti: | 28. května 2018 |
Platnost předpisu: | Ano | Pozbývá platnosti: | |
Text předpisu s celou hlavičkou je dostupný pouze pro registrované uživatele.
VYHLÁŠKA
ze dne 21. května 2018
o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních,
náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat
(vyhláška o kybernetické bezpečnosti)
Národní úřad pro kybernetickou a informační bezpečnost stanoví podle § 28 odst. 2 písm. a) až d) a f) zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění zákona č. 104/2017 Sb. a zákona č. 205/2017 Sb., (dále jen „zákon“):
Tato vyhláška zapracovává příslušný předpis Evropské unie1) a pro informační systém kritické informační infrastruktury, komunikační systém kritické informační infrastruktury, významný informační systém, informační systém základní služby anebo informační systém nebo síť elektronických komunikací, které využívá poskytovatel digitálních služeb, (dále jen „informační a komunikační systém“) upravuje
a) obsah a strukturu bezpečnostní dokumentace,
b) obsah a rozsah bezpečnostních opatření,
c) typy, kategorie a hodnocení významnosti kybernetických bezpečnostních incidentů,
d) náležitosti a způsob hlášení kybernetického bezpečnostního incidentu,
e) náležitosti oznámení o provedení reaktivního opatření a jeho výsledku,
f) vzor oznámení kontaktních údajů a jeho formu a
g) způsob likvidace dat, provozních údajů, informací a jejich kopií.
ČÁST PRVNÍ - | ÚVODNÍ USTANOVENÍ |
§ 1 - | Předmět úpravy |
§ 2 - | Vymezení pojmů |
ČÁST DRUHÁ - | BEZPEČNOSTNÍ OPATŘENÍ |
HLAVA I - | ORGANIZAČNÍ OPATŘENÍ |
§ 3 - | Systém řízení bezpečnosti informací |
§ 4 - | Řízení aktiv |
§ 5 - | Řízení rizik |
§ 6 - | Organizační bezpečnost |
§ 7 - | Bezpečnostní role |
§ 8 - | Řízení dodavatelů |
§ 9 - | Bezpečnost lidských zdrojů |
§ 10 - | Řízení provozu a komunikací |
§ 11 - | Řízení změn |
§ 12 - | Řízení přístupu |
§ 13 - | Akvizice, vývoj a údržba |
§ 14 - | Zvládání kybernetických bezpečnostních událostí a incidentů |
§ 15 - | Řízení kontinuity činností |
§ 16 - | Audit kybernetické bezpečnosti |
HLAVA II - | TECHNICKÁ OPATŘENÍ |
§ 17 - | Fyzická bezpečnost |
§ 18 - | Bezpečnost komunikačních sítí |
§ 19 - | Správa a ověřování identit |
§ 20 - | Řízení přístupových oprávnění |
§ 21 - | Ochrana před škodlivým kódem |
§ 22 - | Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů |
§ 23 - | Detekce kybernetických bezpečnostních událostí |
§ 24 - | Sběr a vyhodnocování kybernetických bezpečnostních událostí |
§ 25 - | Aplikační bezpečnost |
§ 26 - | Kryptografické prostředky |
§ 27 - | Zajišťování úrovně dostupnosti informací |
§ 28 - | Průmyslové, řídicí a obdobné specifické systémy |
§ 29 - | Digitální služby |
HLAVA III - | BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE |
§ 30 - | Bezpečnostní politika a bezpečnostní dokumentace |
ČÁST TŘETÍ - | KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT |
§ 31 - | Kategorizace kybernetických bezpečnostních incidentů |
§ 32 - | Forma a náležitosti hlášení kybernetických bezpečnostních incidentů |
ČÁST ČTVRTÁ - | REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE |
§ 33 - | Reaktivní opatření |
§ 34 - | Kontaktní údaje |
ČÁST PÁTÁ - | ZÁVĚREČNÁ USTANOVENÍ |
§ 35 - | Přechodná ustanovení |
§ 36 - | Zrušovací ustanovení |
§ 37 - | Účinnost |
Příloha č. 1 - | Hodnocení aktiv |
Příloha č. 2 - | Hodnocení rizik |
Příloha č. 3 - | Zranitelnosti a hrozby |
Příloha č. 4 - | Likvidace dat |
Příloha č. 5 - | Obsah bezpečnostní politiky a bezpečnostní dokumentace |
Příloha č. 6 - | Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role |
Příloha č. 7 - | Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy |
Příloha č. 8 - | Vzor Formuláře pro hlášení kontaktních údajů |