Národní plán obnovy  

Přejdi na

Národní plán obnovy  

Rychlé linky: Mapa serveru Textová verze English Rozšířené vyhledávání

 

Hlavní menu

 
 

FAQ k výzvám v oblasti zajištění kybernetické bezpečnosti

  1. Dokládání monitorovacích indikátorů
  2. Výzvy, alokace, oprávněnost žadatelů
  3. Příprava a podání žádosti a příloh
  4. Věcné zaměření a náplň projektu
  5. Realizace a dokončení projektu
  6. Stará verze FAQ

Dokládání monitorovacích indikátorů

Můžete upřesnit podobu dokumentu "Seznam informačních systémů..."

Formální dokument s náležitostmi: název realizátora, název projektu, podepsáno realizátorem. V přehledné tabulce vyjmenování všech IS, které jsou předmětem projektu a u nichž došlo k posílení kybernetické bezpečnosti. Název IS v případě použití zkratky i rozepsat. Ke každému IS uvést § realizovaného opatření dle VKB, případně dle nového ZoKB, a vysvětlit přínos technologií v návazností na daný paragraf.

Návodná ukázka Seznam IS (docx, 317 kB)

  

Akceptační protokoly mají být podepsány dvěma stranami, přitom část implementace realizujeme vlastními zdroji interního IT, kde se činnosti zadávají či akceptují na základě elektronického nástroje. Dále se uvádí, že dokument podepisuje kompetentní orgán, vlastnící daný informační systém. Některé informační systémy nevlastníme, pouze využíváme. Jak máme postupovat?

Právě pro tyto účely umožňuje EK realizátorovi vystavovat vlastní certifikáty (dokumenty), přitom není rozhodné, zda je realizátor projektu vlastníkem informačního systému, nebo jeho provozovatel.

V případě využití vlastních zdrojů pro implementaci doporučujeme pro naplnění formálních náležitostí dokumentů vytvoření akceptačního protokolu pro každý informační systém a doplnění strany zadavatele činnosti a realizátora činnosti, tento AP lze pak podepsat jen v rámci organizace. Printscreen z používaného helpdeskového nástroje, obsahující zadání a akceptaci povedení prací může být také přílohou tohoto dokumentu.

Návodná ukázka Akceptančí protokol (docx, 289 kB)

  

Můžete upřesnit obsah dokumentu "Dokument potvrzující úspěšné testování a ověření souladu s požadavky na kybernetickou bezpečnost"?

V tomto případě se jedná o doložení auditu - viz třetí hlavní monitorovací indikátor v Právním aktu či verifikační mechanismus b) v Operačním ujednání. Může se jednat o více dokumentů, záleží na realizátorovi, jakými doklady doloží "úspěšné testování" pro každý jednotlivý informační systém, který je předmětem projektu. Vyžadované prokázání "souladu" prokazuje pouze nezávislý audit.
 

Uvedené "testování" a "soulad" se týká nejen konkrétního dodaného bezpečnostního nástroje, ale i každého jednoho informačního systému, jehož zvýšení kybernetické bezpečnosti je předmětem projektu.

"Soulad" se doplňuje konkrétními § zvoleného opatření dle VKB či nového ZKB.

Činnosti, související s auditem a testováním typicky zahrnují:

  • 1) Produkt nebo služba či licence byla zakoupena v požadované kvantitě a má požadované vlastnosti dle dokumentů projektu

Ověřeno na základě faktury, dodacího listu, smlouvy, předávacího protokolu.

  • 2) Produkt nebo služba či licence byla dodána, je instalována a zprovozněna či poskytována
    • a. HW zařízení bylo instalováno a zprovozněno
    • b. Licence byly dodány a použity
    • c. Služba byla zprovozněna a je užívána

Ověřeno fyzickou prohlídkou, fotodokumentací (pokud lze), akceptačními protokoly.

  • 3) Produkt nebo služba či licence plní požadovanou funkci
    • a. Např. firewall je instalován a je v produktivním provozu na rozhraní sítě žadatele
    • b. Např. zálohování či druhá site jsou instalovány a zálohování produkčně probíhá, redundantní site je instalována a provoz na ni může být překlopen
    • c. Např. Log Management/SIEM je instalován, logy jsou kolektovány, ukládány, korelovány…
    • d. Např. server/diskové pole je konfigurováno a jsou na něm provozovány aplikace/ukládána data dle dokumentace žádosti
    • e. Např. segmentace sítě byla provedena, segmenty vytvořeny, vytvořena pravidla na FW, přes který je provoz veden atp.

Ověřeno screenshotem z managementu zařízení, z konzole jiného SW produktu, který je napojen, akceptačními protokoly. 

  • 4) Produkt nebo služba zajišťuje vyšší kybernetickou bezpečnost informačnímu systému "ABC" (platí pro každý jednotlivý IS dle rozsahu projektu)
    • a. Např. Informační systém ABC je instalován a zprovozněn na novém HW a je v produkčním provozu
    • b. Např. Informační systém ABC je provozován na síti s novým bezpečnostním HW/SW nástrojem a je v produkčním provozu
    • c. Např. Informační systém ABC je zálohován, je u něj zajištěna redundance a zálohování probíhá, příp. redundance je ověřena a funkční
    • d. Např. Informační systém ABC je zabezpečen pořízením/aktualizací bezpečnostních nástrojů active directory, autentizace, šifrování, atd.

Ověřeno screenshotem z nástroje, akceptačním protokolem instalace a testování IS v novém prostředí, certifikátem vydaným správcem / provozovatelem IS.

  

vytisknout  e-mailem 

 

© 2025 Ministerstvo vnitra České republiky. Všechna práva vyhrazena.