Audit Zabezpečení Zákon

Audit Zabezpečení Zákon

Úvod Zákon Systém řízení Normy ISO Ochrana osobních dat Bezpečnostní dokumenty a politiky

Pro zaměření této práce je právě vyhláška o kybernetické bezpečnosti jedním z nejvýznamnějších dokumentů. Zákon dělí opatření na organizační a technická. Na základě zmocňovacího ustanovení Úřad stanovuje jejich obsah a rozsah vyhláškou, která obsahuje prováděcí předpisy jednotlivých opatření. Zmiňovanou vyhláškou je vyhláška č. 316/2014 Sb., která má být novelizována v rámci provedení souladu se směrnicí NIS. Novela poměrně značně mění dopad pro významné informační systémy a bude mít dopad i na znění zákona (konkrétně § 5 ZoKB). Změny struktury opatření jsou uvedeny v Tabulce č. 3. Tato změna není nijak rozsáhlá, výraznější změny jsou v jednotlivých opatřeních. Zatímco ve vyhlášce 316/2014 Sb. je pro většinu opatření charakteristická dvojí úroveň konkrétních nařízení (z pohledu VIS a KII), novela vyhlášky rozdíly mezi VIS a KII významně omezuje. Rozdíly mezi VIS a KII, které z novely vyhlášky vyplývají jsou pouze tyto:

▪ subjekty podle § 3 písm. c), d) a f) zákona provedou hodnocení rizik alespoň jednou ročně, subjekty VIS hodnocení rizik provedou alespoň jednou za tři roky, ▪ subjekty podle § 3 písm. c), d) a f) zákona stanoví bezpečnostní role (garanty aktiv, auditora, manažera a architekta KB), subjekty VIS určí roli manažera kybernetické bezpečnosti, ostatní role určí přiměřeně okolnostem, ▪ subjekty podle § 3 písm. c), d) a f) zákona zajistí zastupitelnost bezpečnostních rolí, subjekty VIS zajistí jen zastupitelnost bezpečnostní role manažera kybernetické bezpečnosti, ▪ subjekty podle § 3 písm. c), d) a f) zákona na základě výsledků analýzy rizik podle odstavce 2 písm. b) rozhodnou o provedení penetračního testování nebo testování zranitelností, subjekty VIS se řídí požadavky přiměřeně, ▪ subjekty podle § 3 písm. c), d), f) a g) zákona při detekci kybernetických bezpečnostních událostí dále používají nástroje podle § 24, tato povinnost se subjektů VIS netýká, ▪ audit provádí subjekty VIS v pravidelných intervalech alespoň po 3 letech, v pravidelných intervalech alespoň po 2 letech v případě orgánu nebo osoby, které nejsou VIS, ▪ subjekty podle § 3 písm. c), d) a f) zákona v rámci ochrany před škodlivým provádí ochranná opatření podle nařízení, subjekty VIS tak učiní přiměřeně, ▪ subjekty podle § 3 písm. c), d) a f) zákona uchovávají záznamy událostí nejméně po dobu 24 měsíců, subjekty VIS je uchovávají nejméně po dobu 12 měsíců, ▪ subjekty podle § 3 písm. c), d) a f) zákona zajistí detekci kybernetických bezpečnostních událostí v rámci koncových stanic, mobilních zařízení, serverů, datových úložišť a výměnných datových nosičů, síťových aktivních prvků a obdobných aktiv, tato povinnost se subjektů VIS netýká, ▪ subjekty podle § 3 písm. c), d) a f) zákona používají nástroje pro průběžné vyhodnocení a sběr kybernetických bezpečnostních událostí, tato povinnost se subjektů VIS netýká.