Tato příloha obsahuje doporučený obsah bezpečnostní dokumentace. Navrhované struktury jednotlivých dokumentů zahrnují témata, která jednotlivé dokumenty podle této vyhlášky pokrývají, přičemž uvedené struktury dokumentů nejsou závazné a je na orgánu nebo osobě uvedené v § 3 písm. c) až e) zákona, jaký přístup k tvorbě bezpečnostní dokumentace použije. Přípustná je i změna názvů jednotlivých dokumentů nebo integrování více témat do jednoho dokumentu.
(1) | Politika systému řízení bezpečnosti informací* [§ 5 odst. 1 písm. a), § 5 odst. 2 písm. a)] a) | Cíle, principy a potřeby řízení bezpečnosti informací. | b) | Rozsah a hranice systému řízení bezpečnosti informací. | c) | Pravidla a postupy pro řízení dokumentace. | d) | Pravidla a postupy pro řízení zdrojů a provozu systému řízení bezpečnosti informací. | e) | Pravidla a postupy pro provádění auditů kybernetické bezpečnosti. | f) | Pravidla a postupy pro přezkoumání systému řízení bezpečnosti informací. | g) | Pravidla a postupy pro nápravná opatření a zlepšování systému řízení bezpečnosti informací. |
|
(2) | Politika organizační bezpečnosti** [§ 5 odst. 1 písm. b), § 5 odst. 2 písm. b)] a) | Určení bezpečnostních rolí a jejich práv a povinností, 1. | práva a povinnosti manažera kybernetické bezpečnosti, | 2. | práva a povinnosti architekta kybernetické bezpečnosti, | 3. | práva a povinnosti auditora kybernetické bezpečnosti, | 4. | práva a povinnosti garanta aktiv, | 5. | práva a povinnosti výboru pro řízení kybernetické bezpečnosti. |
| b) | Požadavky na oddělení výkonu činností jednotlivých bezpečnostních rolí. |
|
(3) | Politika řízení dodavatelů* [§ 5 odst. 1 písm. c), § 5 odst. 2 písm. c)] a) | Pravidla a principy pro výběr dodavatelů. | b) | Pravidla pro hodnocení rizik dodavatelů. | c) | Náležitosti smlouvy o úrovni služeb a způsobů a úrovní realizace bezpečnostních opatření a o určení vzájemné smluvní odpovědnosti. | d) | Pravidla pro provádění kontroly zavedení bezpečnostních opatření. | e) | Pravidla pro hodnocení dodavatelů. |
|
(4) | Politika klasifikace aktiv* [§ 5 odst. 1 písm. d), § 5 odst. 2 písm. d)] a) | Identifikace, hodnocení a evidence primárních aktiv 1. | určení a evidence jednotlivých primárních aktiv včetně určení jejich garanta, | 2. | hodnocení důležitosti primárních aktiv z hlediska důvěrnosti, integrity a dostupnosti. |
| b) | Identifikace, hodnocení a evidence podpůrných aktiv 1. | určení a evidence jednotlivých podpůrných aktiv včetně určení jejich garanta, | 2. | určení vazeb mezi primárními a podpůrnými aktivy. |
| c) | Pravidla ochrany jednotlivých úrovní aktiv 1. | způsoby rozlišování jednotlivých úrovní aktiv, | 2. | pravidla pro manipulaci a evidenci aktiv podle úrovní aktiv, | 3. | přípustné způsoby používání aktiv. |
| d) | Způsoby spolehlivého smazání nebo ničení technických nosičů dat. |
|
(5) | Politika bezpečnosti lidských zdrojů** [§ 5 odst. 1 písm. e), § 5 odst. 2 písm. e)] a) | Pravidla rozvoje bezpečnostního povědomí a způsoby jeho hodnocení 1. | způsoby a formy poučení uživatelů, | 2. | způsoby a formy poučení garantů aktiv, | 3. | způsoby a formy poučení administrátorů, | 4. | způsoby a formy poučení dalších osob zastávajících bezpečnostní role. |
| b) | Bezpečnostní školení nových zaměstnanců. | c) | Pravidla pro řešení případů porušení bezpečnostní politiky systému řízení bezpečnosti informací. | d) | Pravidla pro ukončení pracovního vztahu nebo změnu pracovní pozice. 1. | vrácení svěřených aktiv a odebrání práv při ukončení pracovního vztahu, | 2. | změna přístupových oprávnění při změně pracovní pozice. |
|
|
(6) | Politika řízení provozu a komunikací* [§ 5 odst. 1 písm. f), § 5 odst. 2 písm. f)] a) | Pravomoci a odpovědnosti spojené s bezpečným provozem. | b) | Postupy bezpečného provozu. | c) | Požadavky a standardy bezpečného provozu. | d) | Řízení technických zranitelností. | e) | Pravidla a omezení pro provádění auditů kybernetické bezpečnosti a bezpečnostních testů. |
|
(7) | Politika řízení přístupu* [§ 5 odst. 1 písm. g), § 5 odst. 2 písm. g)] a) | Princip minimálních oprávnění/potřeba znát (need to know). | b) | Požadavky na řízení přístupu. | c) | Životní cyklus řízení přístupu. | d) | Řízení privilegovaných oprávnění. | e) | Řízení přístupu pro mimořádné situace. | f) | Pravidelné přezkoumání přístupových oprávnění včetně rozdělení jednotlivých uživatelů v přístupových skupinách. |
|
(8) | Politika bezpečného chování uživatelů* [§ 5 odst. 1 písm. h), § 5 odst. 2 písm. h)] a) | Pravidla pro bezpečné nakládání s aktivy. | b) | Bezpečné použití přístupového hesla. | c) | Bezpečné použití elektronické pošty a přístupu na internet. | d) | Bezpečný vzdálený přístup. | e) | Bezpečné chování na sociálních sítích. | f) | Bezpečnost ve vztahu k mobilním zařízením. |
|
(9) | Politika zálohování a obnovy* [§ 5 odst. 1 písm. i), § 5 odst. 2 písm. i)] a) | Požadavky na zálohování a obnovu. | b) | Pravidla a postupy zálohování. | c) | Pravidla bezpečného uložení záloh. | d) | Pravidla a postupy obnovy. | e) | Pravidla a postupy testování zálohování a obnovy. |
|
(10) | Politika bezpečného předávání a výměny informací** [§ 5 odst. 1 písm. j)] a) | Pravidla a postupy pro ochranu předávaných informací. | b) | Způsoby ochrany elektronické výměny informací. | c) | Pravidla pro využívání kryptografické ochrany. |
|
(11) | Politika řízení technických zranitelností** [§ 5 odst. 1 písm. k)] a) | Pravidla pro omezení instalace programového vybavení, | b) | Pravidla a postupy vyhledávání opravných programových balíčků, | c) | Pravidla a postupy testování oprav programového vybavení, | d) | Pravidla a postupy nasazení oprav programového vybavení. |
|
(12) | Politika bezpečného používání mobilních zařízení* [§ 5 odst. 1 písm. 1)] a) | Pravidla a postupy pro bezpečné používání mobilních zařízení. | b) | Pravidla a postupy pro zajištění bezpečnosti zařízení, kterými orgán a osoba uvedená v § 3 písm. c) a d) zákona nedisponuje. |
|
(13) | Politika poskytování a nabývání licencí programového vybavení a informací* [§ 5 odst. 1 písm. m), § 5 odst. 2 písm. j)] a) | Pravidla a postupy nasazení programového vybavení a jeho evidence. | b) | Pravidla a postupy pro kontrolu dodržování licenčních podmínek. |
|
(14) | Politika dlouhodobého ukládání a archivace informací* [§ 5 odst. 1 písm. n)] a) | Pravidla a postupy archivace dokumentů a záznamů. | b) | Ochrana archivovaných dokumentů a záznamů. | c) | Politika přístupu k archivovaným dokumentům a záznamům. |
|
(15) | Politika ochrany osobních údajů* [§ 5 odst. 1 písm. o), § 5 odst. 2 písm. k)] a) | Charakteristika zpracovávaných osobních údajů. | b) | Popis přijatých a provedených organizačních opatření pro ochranu osobních údajů. | c) | Popis přijatých a provedených technických opatření pro ochranu osobních údajů. |
|
(16) | Politika fyzické bezpečnosti* [§ 5 odst. 1 písm. p)] a) | Pravidla pro ochranu objektů. | b) | Pravidla pro kontrolu vstupu osob. | c) | Pravidla pro ochranu zařízení. | d) | Detekce narušení fyzické bezpečnosti. |
|
(17) | Politika bezpečnosti komunikační sítě* [§ 5 odst. 1 písm. q)] a) | Pravidla a postupy pro zajištění bezpečnosti sítě. | b) | Určení práv a povinností za bezpečný provoz sítě. | c) | Pravidla a postupy pro řízení přístupů v rámci sítě. | d) | Pravidla a postupy pro ochranu vzdáleného přístupu k síti. | e) | Pravidla a postupy pro monitorování sítě a vyhodnocování provozních záznamů. |
|
(18) | Politika ochrany před škodlivým kódem* [§ 5 odst. 1 písm. r), § 5 odst. 2 písm. m)] a) | Pravidla a postupy pro ochranu komunikace mezi vnitřní a vnější sítí. | b) | Pravidla a postupy pro ochranu serverů a sdílených datových úložišť. | c) | Pravidla a postupy pro ochranu pracovních stanic. |
|
(19) | Politika nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí** [§ 5 odst. 1 písm. s), § 5 odst. 2 písm. n)] a) | Pravidla a postupy nasazení nástroje pro detekci kybernetických bezpečnostních událostí. | b) | Provozní postupy pro vyhodnocování a reagování na detekované kybernetické bezpečnostní události. | c) | Pravidla a postupy pro optimalizaci nastavení nástroje pro detekci kybernetických bezpečnostních událostí. |
|
(20) | Politika využití a údržby nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí* [§ 5 odst. 1 písm. t)] a) | Pravidla a postupy pro evidenci a vyhodnocení kybernetických bezpečnostních událostí. | b) | Pravidla a postupy pravidelné aktualizace pravidel pro vyhodnocení kybernetických bezpečnostních událostí. | c) | Pravidla a postupy pro optimální nastavení bezpečnostních vlastností nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí. |
|
(21) | Politika bezpečného používání kryptografické ochrany** [§ 5 odst. 1 písm. u), § 5 odst. 2 písm. 1)] a) | Úroveň ochrany s ohledem na typ a sílu kryptografického algoritmu. | b) | Pravidla kryptografické ochrany informací 1. | při přenosu po komunikačních sítích, | 2. | při uložení na mobilní zařízení nebo vyměnitelný technický nosič dat, |
| c) | Systém správy klíčů. |
II. Struktura další dokumentace |
(1) | Zpráva z auditu kybernetické bezpečnosti* [§ 28 odst. 1 písm. b)] a) | Cíle auditu kybernetické bezpečnosti. | b) | Předmět auditu kybernetické bezpečnosti. | c) | Kritéria auditu kybernetické bezpečnosti. | d) | Identifikování týmu auditorů a osob, které se auditu kybernetické bezpečnosti zúčastnily. | e) | Datum a místo, kde byly prováděny činnosti při auditu kybernetické bezpečnosti. | f) | Zjištění z auditu kybernetické bezpečnosti. | g) | Závěry auditu kybernetické bezpečnosti. |
|
(2) | Zpráva z přezkoumání systému řízení bezpečnosti informací** [§ 28 odst. 1 písm. c)] a) | Vyhodnocení opatření z předchozího přezkoumání systému řízení bezpečnosti informací, | b) | Identifikace změn a okolností, které mohou mít vliv na systém řízení bezpečnosti informací. | c) | Zpětná vazba o výkonnosti řízení bezpečnosti informací 1. | neshody a nápravná opatření, | 2. | výsledky monitorování a měření, | 3. | výsledky auditu, | 4. | naplnění cílů bezpečnosti, |
| d) | Výsledky hodnocení rizik a stav plánu zvládání rizik. | e) | Identifikace možností pro neustálé zlepšování. | d) | Doporučení potřebných rozhodnutí, stanovení opatření a osob zajišťujících výkon jednotlivých činností. |
|
(3) | Metodika pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik* [§ 28 odst. 1 písm. d), § 28 odst. 2 písm. b)] a) | Určení stupnice pro hodnocení primárních aktiv 1. | určení stupnice pro hodnocení úrovní důvěrnosti aktiv, | 2. | určení stupnice pro hodnocení úrovní integrity aktiv, | 3. | určení stupnice pro hodnocení úrovní dostupnosti aktiv. |
| b) | Určení stupnice pro hodnocení rizik 1. | určení stupnice pro hodnocení úrovní dopadu, | 2. | určení stupnice pro hodnocení úrovní hrozby, | 3. | určení stupnice pro hodnocení úrovní zranitelnosti, | 4. | určení stupnice pro hodnocení úrovní rizik, |
| a) | Metody a přístupy pro zvládání rizik. | b) | Způsoby schvalování přijatelných rizik. |
|
(4) | Zpráva o hodnocení aktiv a rizik** [§ 28 odst. 1 písm. e), § 28 odst. 2 písm. c)] a) | Přehled primárních aktiv 1. | identifikace a popis primárních aktiv, | 2. | určení garantů primárních aktiv, | 3. | hodnocení primárních aktiv z hlediska důvěrnosti, integrity a dostupnosti. |
| b) | Přehled podpůrných aktiv (neplatí pro orgány a osoby uvedené v § 3 písm. e) zákona) 1. | identifikace a popis podpůrných aktiv, | 2. | určení garantů podpůrných aktiv, | 3. | určení vazeb mezi primárními a podpůrnými aktivy, |
| c) | Identifikování a hodnocení rizik 1. | posouzení možných dopadů na aktiva, | 2. | hodnocení existujících hrozeb, | 3. | hodnocení existujících zranitelností, hodnocení existujících opatření, | 4. | stanovení úrovně rizika, porovnání této úrovně s kritérii pro přijatelnost rizik, | 5. | určení a schválení přijatelných rizik. |
| d) | Zvládání rizik 1. | návrh způsobu zvládání rizik, | 2. | návrh opatření a jejich realizace. |
|
|
(5) | Prohlášení o aplikovatelnosti* [§ 28 odst. 1 písm. f), § 28 odst. 2 písm. d)] a) | Přehled vybraných bezpečnostních opatření včetně zdůvodnění jejich výběru a jejich vazby na identifikovaná rizika. | b) | Přehled zavedených bezpečnostních opatření. |
|
(6) | Plán zvládání rizik* [§ 28 odst. 1 písm. g), § 28 odst. 2 písm. e)] a) | Obsah a cíle vybraných bezpečnostních opatření pro zvládání rizik. | b) | Potřebné zdroje pro jednotlivá bezpečnostní opatření pro zvládání rizik. | c) | Osoby zajišťující jednotlivá bezpečnostní opatření pro zvládání rizik. | d) | Termíny zavedení jednotlivých bezpečnostních opatření pro zvládání rizik. | e) | Způsoby hodnocení úspěšnosti zavedení jednotlivých bezpečnostních opatření pro zvládání rizik. |
|
(7) | Plán rozvoje bezpečnostního povědomí* [§ 28 odst. 1 písm. h), § 28 odst. 2 písm. f)] a) | Obsah a termíny poučení uživatelů. | b) | Obsah a termíny poučení garantů aktiv (neplatí pro orgány a osoby uvedené v § 3 písm. e) zákona). | c) | Obsah a termíny poučení administrátorů (neplatí pro orgány a osoby uvedené v § 3 písm. e) zákona). | d) | Obsah a termíny poučení dalších osob zastávajících bezpečnostní role. | e) | Obsah a termíny poučení nových zaměstnanců. | f) | Formy a způsoby hodnocení plánu. |
|
(8) | Zvládání kybernetických bezpečnostních incidentů** [§ 28 odst. 1 písm. i), § 28 odst. 2 písm. g)] a) | Definování kategorií kybernetického bezpečnostního incidentu. | b) | Pravidla a postupy pro evidenci a zvládání jednotlivých kategorií kybernetických bezpečnostních incidentů. | c) | Pravidla a postupy testování systému zvládání kybernetických bezpečnostních incidentů. | d) | Pravidla a postupy pro vyhodnocení kybernetických bezpečnostních incidentů a pro zlepšování kybernetické bezpečnosti. |
|
(9) | Strategie řízení kontinuity činností* [§ 28 odst. 1 písm. j), § 28 odst. 2 písm. h)] a) | Práva a povinnosti zúčastněných osob. | b) | Cíle řízení kontinuity činností 1. | minimální úroveň poskytovaných služeb, | 2. | doba obnovení chodu, | 3. | bod obnovení chodu. |
| c) | Strategie řízení kontinuity činností pro naplnění cílů kontinuity. | d) | Způsoby hodnocení dopadů kybernetických bezpečnostních incidentů na kontinuitu a posuzování souvisejících rizik. | e) | Určení a obsah potřebných plánů kontinuity. | f) | Postupy pro realizaci opatření vydaných Národním bezpečnostním úřadem. |
|
(10) | Přehled obecně závazných právních předpisů, vnitřních předpisů a jiných předpisů a smluvních závazků* [§ 28 odst. 1 písm. k), § 28 odst. 2 písm. i)] a) | Přehled obecně závazných právních předpisů. | b) | Přehled vnitřních předpisů a jiných předpisů. | c) | Přehled smluvních závazků. |
Poznámka: * | Očekávaná důvěrnost dokumentuje na úrovni střední podle stupnice uvedené v příloze č. 1: Hodnocení a úroveň aktiv. | ** | Očekávaná důvěrnost dokumentu je na úrovni vysoká podle stupnice uvedené v příloze č. 1: Hodnocení a úroveň aktiv. |
|