k
Neopominutelná bezpečnostní opatření

Mezi neopominutelná bezpečnostní opatření vyhlášky, tedy paragrafy, kterými se musíte vždy řídit, jsou:

§ 3 – Systém zajišťování minimální kybernetické bezpečnosti

  • Zpracování přehledu bezpečnostních opatření:
    • Seznam zavedených opatření a jejich popis.
    • Seznam opatření k zavedení (termíny, priority, odpovědné osoby).
    • Odůvodnění nezavedení některých opatření.
  • Vyhodnocování účinnosti opatření:
    • Provádět minimálně jednou ročně a dokumentovat.
  • Osoba pověřená kybernetickou bezpečností:
    • Určení, školení nebo ověření odborné způsobilosti.
  • Bezpečnostní politika a dokumentace:
    • Stanovení, pravidelná aktualizace a vynucování dodržování.
  • Řízení technických aktiv:
    • Stanovit pravidla pro používání a manipulaci.
  • Dodavatelské smlouvy:
    • Zahrnutí bezpečnostních požadavků podle přílohy č. 2.
  • Bezpečnost při akvizici a vývoji:
    • Stanovit bezpečnostní požadavky pro aktiva a jejich dodržování.

§ 4 – Požadavky na vrcholné vedení

  • Absolvování školení o KB.
  • Zajištění zdrojů pro zavedení opatření.
  • Seznamování se stavem plnění opatření.
  • Podpora zlepšování bezpečnosti a osoby pověřené KB.
  • Stanovení priorit obnovy primárních aktiv.

§ 5 – Bezpečnost lidských zdrojů

  • Politika bezpečného chování uživatelů:
    • Tvorba pravidel, rozvoj povědomí a heslových pravidel.
  • Školení:
    • Vstupní a pravidelná školení uživatelů, administrátorů a vedení.
  • Řešení porušení bezpečnostní politiky:
    • Stanovení postupů pro řešení porušení.
  • Evidence školení a proškolených osob.

§ 6 – Řízení kontinuity činností

  • Stanovení priorit obnovy technických aktiv.
  • Definování odpovědností a povinností pro kontinuitu činností.
  • Pravidelné zálohování nezbytných dat, konfigurací a nastavení.

§ 10 – Řešení kybernetických bezpečnostních incidentů

  • Oznamování incidentů:
    • Zaměstnanci mají povinnost oznamovat podezřelé chování technických aktiv.
  • Metodika posuzování incidentů:
    • Hodnocení významnosti dopadu a řešení incidentů.
  • Detekce a hlášení incidentů:
    • Zajištění detekce, hlášení a zpracování závěrečných zpráv.
  • Závěrečná zpráva:
    • Popis příčin a vyřešení incidentu s významným dopadem.