VyhláŠka ze dne … … 2014 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání V oblasti kybernetické bezpečnosti

23 

 

Příloha č. 1 k vyhlášce č…. /2014 Sb. 

 

Hodnocení a úrovně důležitosti aktiv

 

 

Pro hodnocení důležitosti aktiv jsou použity stupnice o čtyřech úrovních. Orgán nebo 

osoba uvedená v § 3 písm. c) až e) zákona může používat odlišný počet úrovní pro hodnocení 

důležitosti aktiv, než jaký je uveden v této příloze, pokud doloží jednoznačné vazby mezi jí 

používaným  způsobem  hodnocení  důležitosti  aktiv  a  stupnicemi  a  úrovněmi  pro  hodnocení 

důležitosti aktiv, které jsou uvedeny v této příloze. 

V případě  použití  tří  úrovní  hodnocení  důležitosti  aktiv  je  přípustné  sloučit  buď 

úrovně nízká a střední, nebo úrovně vysoká a kritická.  

 

Stupnice pro hodnocení důvěrnosti 

Úroveň 

Popis 

Ochrana 

Nízká 

Aktiva  jsou  veřejně  přístupná  nebo  byla 

určena  ke  zveřejnění  (např.  na  základě 

zákona  č.  106/1999  Sb.  o  svobodném 

přístupu  k informacím,  ve  znění  pozdějších 

předpisů). 

Narušení 

důvěrnosti 

aktiv 

neohrožuje oprávněné zájmy orgánu a osoby 

uvedené v § 3 písm. c) až e) zákona.   

Není vyžadována žádná ochrana. 

Střední 

Aktiva  nejsou  veřejně  přístupná  a  tvoří 

know-how  orgánu  a  osoby  uvedené  v  §  3 

písm.  c)  až  e)  zákona,  ochrana  aktiv  není 

vyžadována  žádným  právním  předpisem 

nebo smluvním ujednáním.  

Pro  ochranu  důvěrnosti  jsou 

využívány  prostředky  pro  řízení 

přístupu. 

Vysoká 

Aktiva  nejsou  veřejně  přístupná  a  jejich 

ochrana  je  vyžadována  právními  předpisy, 

jinými  předpisy  nebo  smluvními  ujednáními 

(např.  obchodní  tajemství  podle  zákona 

č. 89/2012  Sb.,  občanský  zákoník,  osobní 

údaje 

podle 

zákona 

č. 101/2000 Sb., 

o ochraně 

osobních  údajů,  ve  znění 

pozdějších předpisů).  

Pro  ochranu  důvěrnosti  jsou 

využívány 

prostředky, 

které 

zajistí  řízení  a  zaznamenávání 

přístupu. Přenosy informací vnější 

komunikační  sítí  jsou  chráněny 

pomocí 

kryptografických 

prostředků. 

Kritická  Aktiva  nejsou  veřejně  přístupná  a  vyžadují 

nadstandardní  míru  ochrany  nad  rámec 

předchozí  kategorie  (např.  strategické 

obchodní tajemství, citlivé osobní údaje).  

Pro 

ochranu 

důvěrnosti 

je 

požadována  evidence  osob,  které 

k  aktivům  přistoupily,  a  metody 

ochrany zabraňující kompromitaci 

ze  strany  administrátorů.  Přenosy 

informací  jsou  chráněny  pomocí 

kryptografických prostředků. 

 

 

 

24 

 

Stupnice pro hodnocení integrity 

Úroveň 

Popis 

Ochrana 

Nízká 

Aktivum  nevyžaduje  ochranu  z  hlediska 

integrity. 

Narušení 

integrity 

aktiva 

neohrožuje oprávněné zájmy orgánu a osoby 

uvedené v § 3 písm. c) až e) zákona.   

Není vyžadována žádná ochrana. 

Střední 

Aktivum může vyžadovat ochranu z hlediska 

integrity. Narušení integrity aktiva může vést 

k  poškození  oprávněných  zájmů  orgánu  a 

osoby uvedené v § 3 písm. c) až e) zákona a 

může se projevit méně závažnými dopady na 

primární aktiva. 

Pro 

ochranu 

integrity 

jsou 

využívány  standardní  nástroje 

(např.  omezení  přístupových  práv 

pro zápis). 

Vysoká 

Aktivum  vyžaduje  ochranu  z  hlediska 

integrity.  Narušení  integrity  aktiva  vede 

k poškození  oprávněných  zájmů  orgánu  a 

osoby  uvedené  v  §  3  písm.  c)  až  e)  zákona 

s podstatnými dopady na primární aktiva.  

Pro 

ochranu 

integrity 

jsou 

využívány  speciální  prostředky, 

které  dovolují  sledovat  historii 

provedených  změn  a  zaznamenat 

identitu osoby provádějící změnu. 

Ochrana 

integrity 

informací 

přenášených 

vnějšími 

komunikačními sítěmi je zajištěna 

pomocí 

kryptografických 

prostředků. 

Kritická  Aktivum  vyžaduje  ochranu  z  hlediska 

integrity.  Narušení  integrity  vede  k velmi 

vážnému  poškození  oprávněných  zájmů 

orgánu a osoby uvedené v § 3 písm. c) až e) 

zákona  s  přímými  a velmi  vážnými  dopady 

na primární aktiva.  

Pro 

ochranu 

integrity 

jsou 

využívány  speciální  prostředky 

jednoznačné  identifikace  osoby 

provádějící  změnu  (např.  pomocí 

technologie digitálního podpisu). 

 

Stupnice pro hodnocení dostupnosti 

Úroveň 

Popis 

Ochrana 

Nízká 

Narušení  dostupnosti  aktiva  není  důležité  a 

v případě výpadku je běžně tolerováno delší 

časové období pro nápravu (cca do 1 týdne).  

Pro 

ochranu 

dostupnosti 

je 

postačující pravidelné zálohování. 

Střední 

Narušení  dostupnosti  aktiva  by  nemělo 

překročit 

dobu 

pracovního 

dne, 

dlouhodobější  výpadek  vede  k  možnému 

ohrožení zájmů orgánu a osoby uvedené v § 

3 písm. c) až e) zákona.  

Pro  ochranu  dostupnosti  jsou 

využívány 

běžné 

metody 

zálohování a obnovy. 

Vysoká 

Narušení  dostupnosti  aktiva  by  nemělo 

překročit  dobu  několika  hodin.  Jakýkoli 

výpadek  je  nutné  řešit  neprodleně,  protože 

vede  k  přímému  ohrožení  zájmů  orgánu  a 

osoby uvedené v § 3 písm. c) až e) zákona. 

Pro  ochranu  dostupnosti  jsou 

využívány  záložní  systémy  a 

obnova  poskytování  služeb  může 

být  podmíněna  zásahy  obsluhy  či 

výměnou technických aktiv.