VyhláŠka ze dne … … 2014 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání V oblasti kybernetické bezpečnosti

17 

 

§ 22

 

 

Nástroj pro detekci kybernetických bezpečnostních událostí 

 

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst. 

2  zákona  tím,  že  používá  nástroj  pro  detekci  kybernetických  bezpečnostních  událostí,  který 

vychází  ze  stanovených  bezpečnostních  potřeb  a  výsledků  hodnocení  rizik  a  který  zajistí 

ověření, kontrolu a případně zablokování komunikace mezi vnitřní komunikační sítí a vnější 

sítí. 

 

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2 

zákona dále tím, že používá nástroj pro detekci kybernetických bezpečnostních událostí, které 

zajistí ověření, kontrolu a případně zablokování komunikace 

a)

 

v rámci vnitřní komunikační sítě a 

b)

 

serverů  patřících  do  informačního  systému  kritické  informační  infrastruktury  a 

komunikačního systému kritické informační infrastruktury. 

 

§ 23

 

 

Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí 

 

(1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2 

zákona  tím,  že  používá  nástroj  pro  sběr  a  průběžné  vyhodnocení  kybernetických 

bezpečnostních  událostí,  který  v souladu  s  bezpečnostními  potřebami  a  výsledky  hodnocení 

rizik zajistí 

a)

 

integrovaný sběr a vyhodnocení kybernetických bezpečnostních událostí z informačního 

systému  kritické  informační  infrastruktury  a  komunikačního  systému  kritické  informační 

infrastruktury, 

b)

 

poskytování  informací  pro  určené  bezpečnostní  role  o  detekovaných  kybernetických 

bezpečnostních  událostech  v informačním  systému  kritické  informační  infrastruktury  nebo 

komunikačním systému kritické informační infrastruktury a 

c)

 

nepřetržité vyhodnocování kybernetických bezpečnostních událostí s cílem identifikace 

kybernetických bezpečnostních incidentů, včetně včasného varování určených bezpečnostních 

rolí. 

 

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2 

zákona dále tím, že 

a)

 

zajistí  pravidelnou  aktualizaci  nastavení  pravidel  pro  vyhodnocování  kybernetických 

bezpečnostních  událostí  a  včasné  varování,  aby  byly  omezovány  případy  nesprávného 

vyhodnocení událostí nebo případy falešných varování a 

b)

 

zajistí  využívání  informací,  které  jsou  připraveny  nástrojem  pro  sběr  a  vyhodnocení 

kybernetických  bezpečnostních  událostí,  pro  optimální  nastavení  bezpečnostních  opatření 

informačního  systému  kritické  informační  infrastruktury  a  komunikačního  systému  kritické 

informační infrastruktury. 

 

 

 

 

 

 

18 

 

§ 24

 

 

Aplikační bezpečnost 

 

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst. 

2  zákona  tím,  že  provádí  bezpečnostní  testy  zranitelnosti  aplikací,  které  jsou  přístupné 

z vnější sítě, a to před jejich uvedením do provozu a po každé zásadní změně bezpečnostních 

mechanismů. 

 

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2 

zákona dále tím, že v rámci aplikační bezpečnosti zajistí  

a)

 

trvalou  ochranu  aplikací  a  informací  dostupných  z vnější  sítě  před  neoprávněnou 

činností, popřením provedených činností, kompromitací nebo neautorizovanou změnou a 

b)

 

trvalou  ochranu  transakcí  před  jejich  nedokončením,  nesprávným  směrováním, 

neautorizovanou  změnou  předávaného  datového  obsahu,  kompromitací,  neautorizovaným 

duplikováním nebo opakováním. 

 

§ 25

 

 

Kryptografické prostředky 

 

(1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst. 

2 zákona tím, že 

1. pro používání kryptografické ochrany, stanoví 

a)

 

úroveň ochrany s ohledem na typ a sílu kryptografického algoritmu a 

b)

 

pravidla  kryptografické  ochrany  informací  při  přenosu  po  komunikačních  sítích  nebo 

při uložení na mobilní zařízení nebo vyměnitelná média, 

2. v souladu s  bezpečnostními potřebami a výsledky hodnocení  rizik  používá kryptografické 

prostředky,  které  zajistí  ochranu  důvěrnosti  a  integrity  předávaných  nebo  ukládaných  dat  a 

prokázání odpovědnosti za provedené činnosti. 

 

(2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona splní povinnost podle § 4 odst. 2 

zákona dále tím, že  

a)  stanoví  pro  používání  kryptografických  prostředků  systém  správy  klíčů,  který  zajistí 

generování, distribuci, ukládání, archivaci, změny, ničení, kontrolu a audit klíčů a 

b)  používá  odolné  kryptografické  algoritmy  a  kryptografické  klíče;  v případě  nesouladu 

s minimálními  požadavky  na  kryptografické  algoritmy  uvedenými  v příloze  č.  3  k  této 

vyhlášce řídí rizika spojená s tímto nesouladem. 

 

§ 26

 

 

Nástroj pro zajišťování úrovně dostupnosti  

(1)

 

Orgán a osoba uvedená v § 3 písm. c) až e) zákona splní povinnost podle § 4 odst. 2 

zákona  tím,  že  v souladu  s  bezpečnostními  potřebami  a  výsledky  hodnocení  rizik  používá 

nástroj pro zajišťování úrovně dostupnosti informací. 

(2)

 

 Orgán a osoba uvedená v § 3 písm. c) a d) zákona  splní povinnost podle § 4 odst. 2 

zákona tím, že používá nástroj pro zajišťování úrovně dostupnosti informací, který zajistí 

a)

 

dostupnost  informačního  systému  kritické  informační  infrastruktury  a  komunikačního 

systému kritické informační infrastruktury pro splnění cílů řízení kontinuity činností,