5
i)
přerušení dodávky komunikačních služeb nebo elektrické energie,
j)
zneužití nebo neoprávněná modifikace údajů,
k)
trvale působící hrozby (APT) a
l)
odcizení nebo poškození aktiva.
(5) Orgán a osoba uvedená v § 3 písm. c) až e) zákona při hodnocení rizik zvažuje
zejména tyto zranitelnosti
a)
nedostatečná ochrana vnějšího perimetru,
b)
nedostatečné bezpečnostní povědomí uživatelů a administrátorů,
c)
nedostatečná údržba informačního systému kritické informační infrastruktury,
komunikačního systému kritické informační infrastruktury nebo významného informačního
systému,
d)
nevhodné nastavení přístupových oprávnění,
e)
nedostatečné postupy při identifikování a odhalení negativních bezpečnostních jevů,
kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů,
f)
nedostatečné monitorování činnosti uživatelů a administrátorů a neschopnost odhalit
jejich nevhodné či závadné způsoby chování a
g)
nedostatečné stanovení bezpečnostních pravidel, nepřesné nebo nejednoznačné
vymezení práv a povinností uživatelů, administrátorů a bezpečnostních rolí.
(6) Orgán a osoba uvedená v § 3 písm. c) a d) zákona při hodnocení rizik dále zvažuje
tyto hrozby
a)
porušení bezpečnostní politiky, provedení neoprávněných činností, zneužití oprávnění
ze strany administrátorů kritické informační infrastruktury,
b)
pochybení ze strany zaměstnanců,
c)
kybernetický útok z vnitřní sítě, zneužití vnitřních prostředků, sabotáž,
d)
dlouhodobé přerušení komunikačních služeb, dodávky elektrické energie nebo jiných
důležitých služeb,
e)
nedostatek zaměstnanců s potřebnou odbornou úrovní,
f)
cílený kybernetický útok pomocí sociálního inženýrství, použití špionážních
technik a
g)
zneužití vyměnitelných paměťových médií.
(7) Orgán a osoba uvedená v § 3 písm. c) a d) zákona při hodnocení rizik dále zvažuje
tyto zranitelnosti
a)
nedostatečná ochrana prostředků kritické informační infrastruktury,
b)
nevhodná bezpečnostní
architektura,
c)
nedostatečná míra nezávislé kontroly a
d)
neschopnost včasného odhalení pochybení ze strany zaměstnanců.
§ 5
Bezpečnostní politika
(1) Orgán a osoba
uvedená v § 3 písm. c) a d) zákona
splní povinnost podle § 4 odst. 2
zákona tím, že stanoví bezpečnostní politiku v oblastech
a)
systém řízení bezpečnosti informací,
6
b)
organizační bezpečnost,
c)
řízení dodavatelů,
d)
klasifikace aktiv,
e)
bezpečnost lidských zdrojů,
f)
řízení provozu a komunikací,
g)
řízení přístupu,
h)
bezpečné chování uživatelů,
i)
zálohování a obnova,
j)
bezpečné předávání a výměna informací,
k)
řízení technických zranitelností,
l)
bezpečné používání mobilních zařízení,
m)
licencování software a informací,
n)
dlouhodobé ukládání a archivace informací,
o)
ochrana osobních údajů,
p)
fyzická bezpečnost,
q)
bezpečnost sítě,
r)
ochrana před škodlivým kódem,
s)
nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí,
t)
využití a údržba nástroje pro sběr a vyhodnocení kybernetických bezpečnostních
událostí a
u)
používání kryptografické ochrany.
(2) Orgán a osoba
uvedená v § 3 písm. e) zákona
splní povinnost podle § 4 odst. 2
zákona tím, že stanoví bezpečnostní politiku v oblastech
a)
systém řízení bezpečnosti informací,
b)
organizační bezpečnost,
c)
řízení dodavatelů,
d)
klasifikace aktiv,
e)
bezpečnost lidských zdrojů,
f)
řízení provozu a komunikací,
g)
řízení přístupu,
h)
bezpečné chování uživatelů,
i)
zálohování a obnova,
j)
licencování software a informací,
k)
ochrana osobních údajů,
l)
používání kryptografické ochrany,
m)
nasazení a používání nástroje pro detekci kybernetických bezpečnostních událostí a
n)
ochrana před škodlivým kódem.
(3) Orgán a osoba
uvedená v § 3 písm. c) až e) zákona
pravidelně hodnotí účinnost
bezpečnostní politiky a aktualizuje ji.