Dokumentace

book-1798

Bezpečnostní dokumentace

Vyhláška č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) požaduje pro kritickou informační infrastrukturu vypracování a vedení následující kybernetické bezpečnostní dokumentace, dle doporučené struktury.

Kritická informační infrastruktura

Pro kritickou informační infrastrukturu je navíc požadováno udržování záznamů o tom, jaké činnosti byly v rámci řízení kybernetické bezpečnosti prováděny a jejich výsledků.

Bezpečnostní dokumentace obsahuje:

  • bezpečnostní politiku podle § 5 odst. 1,
  • zprávy z auditu kybernetické bezpečnosti podle § 3 odst. 1 písm. f),
  • zprávy z přezkoumání systému řízení bezpečnosti informací podle § 3 odst. 1 písm. g),
  • metodiku pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik podle § 4 odst. 1 písm. a),
  • zprávu o hodnocení rizik podle § 4 odst. 1 písm. b) a c),
  • prohlášení o aplikovatelnosti podle § 4 odst. 1 písm. d),
  • plán zvládání rizik podle § 4 odst. 1 písm. e),
  • plán rozvoje bezpečnostního povědomí podle § 9 odst. 1 písm. a),
  • zvládání kybernetických bezpečnostních incidentů podle § 13 odst. 1 písm. e),
  • strategii řízení kontinuity činností podle § 14 odst. 1 písm. c) a
  • přehled obecně závazných právních předpisů, vnitřních předpisů a jiných předpisů a smluvních závazků podle § 15 odst. 1 písm. a).

Bezpečnostní politiky

Struktura bezpečnostní politiky:

  • Politika systému řízení bezpečnosti informací [§ 5 odst. 1, písm. a), § 5 odst. 2, písm. a)]
  • Politika organizační bezpečnosti [§ 5 odst. 1, písm. b), § 5 odst. 2, písm. b)]
  • Politika řízení dodavatelů [§ 5 odst. 1, písm. c), § 5 odst. 2, písm. c)]
  • Politika klasifikace aktiv [§ 5 odst. 1, písm. d), § 5 odst. 2, písm. d)]
  • Politika bezpečnosti lidských zdrojů [§ 5 odst. 1, písm. e), § 5 odst. 2, písm. e)]
  • Politika řízení provozu a komunikací [§ 5 odst. 1, písm. f), § 5 odst. 2, písm. f)]
  • Politika řízení přístupu [§ 5 odst. 1, písm. g), § 5 odst. 2, písm. g)]
  • Politika bezpečného chování uživatelů [§ 5 odst. 1, písm. h), § 5 odst. 2, písm. h)]
  • Politika zálohování a obnovy [§ 5 odst. 1, písm. i)]
  • Politika bezpečného předávání a výměny informací [§ 5 odst. 1, písm. j)]
  • Politika řízení technických zranitelností [§ 5 odst. 1, písm. k)]
  • Politika bezpečného používání mobilních zařízení [§ 5 odst. 1, písm. l)]
  • Politika licencování softwaru a informací [§ 5 odst. 1, písm. m)]
  • Politika dlouhodobého ukládání a archivace informací [§ 5 odst. 1, písm. n)]
  • Politika ochrany osobních údajů [§ 5 odst. 1, písm. o)]
  • Politika fyzické bezpečnosti [§ 5 odst. 1, písm. p)]
  • Politika bezpečnosti sítě [§ 5 odst. 1, písm. q)]
  • Politika ochrany před škodlivým kódem [§ 5 odst. 1, písm. r), § 5 odst. 2 písm. k)]
  • Politika nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí [§ 5 odst. 1, písm. s), § 5 odst. 2, písm. j)]
  • Politika využití a údržby nástroje pro sběr a vyhodnocení kybernetických bezpečnostních událostí [§ 5 odst. 1, písm. t)]
  • Politika bezpečného používání kryptografické ochrany [§ 5 odst. 1, písm. u), § 5 odst. 2, písm. i)]