Stránky o kybernetické bezpečnosti

Povinnosti Auditu KB

Povinnosti provádění Auditu KB pro poskytovatele regulované služby v režimu vyšších povinností vyplývá z §14 Zákona č. 264/2025 Sb.o kybernetické bezpečnosti.

Audit kybernetické bezpečnosti podle odstavce 4 §16 navazující Vyhlášky č. 409/2025 Sb. o bezpečnostních opatřeních poskytovatel regulované služby v režimu vyšších povinností (dále VKB) je nutno prováděn vždy:

  1. při významných změnách, v rámci jejich rozsahu,
  2. v pravidelných intervalech alespoň po 2 letech a
  3. není-li v odůvodněných případech možné provést audit v tomto intervalu v celém rozsahu podle odstavce 2 VKB, je možné audit kybernetické bezpečnosti provádět průběžně po systematických celcích. V takovém případě je nutno audit v celém rozsahu podle odstavce 2 provést nejpozději do 5 let.
  4. Audit musí být prováděn nezávislou osobou vyhovující podmínkám stanoveným v § 16 odst. 6 VKB (Auditor kybernetické bezpečnosti), která nezávisle hodnotí správnost a účinnost zavedených bezpečnostních opatření.

Výsledky auditu se zohledňují v plánu rozvoje bezpečnostního povědomí a v rámci řízení rizik. Na základě výsledků se stanovují případná nápravná opatření.

Audit kybernetické bezpečnosti musí být prováděn v souladu s plánem auditu kybernetické bezpečnosti osobou vyhovující podmínkám stanoveným v odstavci 4 §6 výše zmíněné vyhlášky, která nezávisle hodnotí správnost a účinnost zavedených bezpečnostních opatření.

audit

Obsah auditu KB plnění povinnosti dle ZoKB

**1. Audit Organizačních opatření

1.1. Audit stanoveného rozsahu řízení kybernetické bezpečnosti

  • Cíl: Ověřit správné a aktuální vymezení aktiv souvisejících s regulovanou službou.
  • Kontrolní body:
    • Ověření určení všech primárních aktiv
    • Posouzení, zda primární aktiva souvisí s poskytováním regulované služby
    • Určení podpůrných aktiv k primárním aktivům
    • Evidence aktiv, která jsou součástí stanoveného rozsahu, a primárních aktiv vyjmutých z rozsahu, včetně důvodů vyjmutí
    • Pravidelné přezkoumání a aktualizace stanoveného rozsahu

Podklady: Dokumentace rozsahu řízení KB, evidence aktiv, záznamy o přezkoumání.`

1.2. Audit Systému řízení bezpečnosti informací (ISMS)

  • Cíl: Ověřit fungování a účinnost ISMS v souladu s požadavky VKB.
  • Kontrolní body:
    • Stanovení cílů ISMS směřujících k zajištění kybernetické bezpečnosti regulované služby
    • Řízení rizik dle § 8 VKB (viz bod 1.6)
    • Zavádění přiměřených bezpečnostních opatření na základě cílů ISMS a řízení rizik
    • Stanovení a schválení bezpečnostní politiky a dokumentace
    • Zajištění auditu kybernetické bezpečnosti dle § 16 VKB (viz bod 1.14)
    • Roční vyhodnocení účinnosti ISMS, zahrnující:
    • Vyhodnocení cílů ISMS.
    • Posouzení plnění plánu zvládání rizik.
    • Hodnocení stavu ISMS včetně revize hodnocení rizik.
    • Posouzení výsledků auditů a kontrol KB.
    • Výsledky předchozího hodnocení účinnosti.
    • Posouzení dopadů KB incidentů. * Posouzení významných změn.
    • Zpracování zprávy o přezkoumání ISMS na základě vyhodnocení účinnosti
    • Aktualizace ISMS a relevantní dokumentace na základě zjištění z auditů, vyhodnocení účinnosti, dopadů incidentů a významných změn
    • Řízení provozu a zdrojů ISMS a zaznamenávání činností
    • Stanovení procesu řízení výjimek z bezpečnostní politiky

Podklady: Bezpečnostní politika, dokumentace ISMS, zprávy o vyhodnocení účinnosti ISMS, zprávy o přezkoumání ISMS.`

1.3. Audit Požadavků na vrcholné vedení

  • Cíl: Ověřit plnění povinností vrcholného vedení v oblasti kybernetické bezpečnosti.
  • Kontrolní body:
    • Prokazatelné absolvování školení všemi členy vrcholného vedení dle § 10 odst. 3 písm. a) VKB
    • Zajištění stanovení bezpečnostní politiky a cílů ISMS
    • Zajištění integrace ISMS do procesů povinné osoby
    • Zajištění dostupnosti zdrojů pro ISMS
    • Informování zaměstnanců o významu ISMS
    • Zajištění podpory pro dosažení cílů ISMS a neustálé zlepšování
    • Účast na vypracování analýzy dopadů dle § 15 VKB
    • Zajištění testování plánů kontinuity činností, plánů obnovy a procesů zvládání KB incidentů
    • Podpora osob zastávajících bezpečnostní role
    • Zajištění stanovení pravidel pro určení administrátorů a osob v bezpečnostních rolích
    • Zajištění mlčenlivosti relevantních osob
    • Zajištění pravomocí a zdrojů (včetně rozpočtu) pro osoby v bezpečnostních rolích
    • Seznamování se s klíčovými zprávami (ISMS, rizika, dopady, audity)
    • Zřízení výboru pro řízení kybernetické bezpečnosti a určení jeho členů (vč. alespoň 1 člena vedení nebo pověřené osoby a manažera KB)
    • Určení práv a povinností výboru a jeho členů
    • Zajištění pravidelných jednání výboru alespoň jednou ročně a vyhotovení záznamů
    • Zajištění složení výboru z osob s pravomocemi a odbornou způsobilostí
    • Určení osob a vymezení práv/povinností pro bezpečnostní role: Manažer KB, Architekt KB, Garant aktiva, Auditor KB
    • Zajištění zastupitelnosti rolí Manažera KB a Architekta KB

Podklady: Záznamy ze školení vedení, schválené dokumenty ISMS, rozpočet KB, zprávy (ISMS, rizika, dopady, audity), záznamy z jednání výboru KB, organizační struktura, popisy rolí a pravomocí.`

1.4. Audit Stanovení bezpečnostních rolí

  • Cíl: Ověřit správné definování, obsazení a kvalifikaci bezpečnostních rolí.
  • Kontrolní body:
    • Definování rolí: Manažer KB (odpovědný za ISMS, informuje vedení, nesmí provozovat technická aktiva), Architekt KB (odpovědný za návrh bezpečných opatření/architektury), Garant aktiva (odpovědný za rozvoj, použití a bezpečnost aktiva), Auditor KB (odpovědný za audit, nestrannost, nesmí vykonávat jiné bezpečnostní role)
    • Kvalifikační požadavky pro Manažera KB, Architekta KB, Auditora KB (praxe, vzdělání, certifikace)
    • Zajištění nezávislosti Auditora KB a neslučitelnosti rolí

Podklady: Popisy pracovních pozic a rolí, doklady o vzdělání a praxi, certifikace, organizační schéma.

1.5. Audit Řízení bezpečnostní politiky a dokumentace

  • Cíl: Ověřit existenci, aktuálnost a řízení bezpečnostních politik a dokumentace.
  • Kontrolní body:
    • Stanovení a vedení bezpečnostní politiky a dokumentace k opatřením dle § 3 až 27 VKB
    • Dodržování stanovených pravidel a postupů
    • Pravidelný přezkum a aktualizace politiky a dokumentace a zohlednění v provozních pravidlech
    • Určení osoby odpovědné za přezkum a aktualizaci
    • Zajištění dostupnosti (elektronicky/listinně), komunikace v rámci organizace a přiměřené dostupnosti dotčeným stranám
    • Ochrana dokumentace z pohledu důvěrnosti, integrity a dostupnosti
    • Úplnost, čitelnost, správnost, snadná identifikovatelnost a vyhledatelnost informací

Podklady: Bezpečnostní politika, veškerá bezpečnostní dokumentace, záznamy o přezkumech a aktualizacích, komunikační plány, systémy pro správu dokumentů.

audit2

1.6. Audit Řízení aktiv

  • Cíl: Ověřit zavedený proces určování, hodnocení a ochrany aktiv.
  • Kontrolní body:
    • Stanovení metodiky pro určování aktiv
    • Stanovení metodiky pro hodnocení aktiv, vč. stanovení úrovní (dle Přílohy č. 1 VKB)
    • Evidence garantů aktiv
    • Hodnocení primárních aktiv z hlediska důvěrnosti, integrity a dostupnosti a jejich zařazení do úrovní
    • Posuzování oblastí hodnocení primárních aktiv dle Přílohy č. 1 VKB (Tab. č. 4)
    • Určení a evidence relevantních vazeb mezi aktivy
    • Hodnocení podpůrných aktiv s ohledem na vazby k primárním aktivům
    • Stanovení a zavedení pravidel ochrany pro jednotlivé úrovně aktiv (používání, manipulace, klasifikace informací, označování, správa výměnných médií, sdílení, likvidace dle Přílohy č. 2 VKB)

Podklady: Metodiky pro určování a hodnocení aktiv, evidence aktiv, záznamy o hodnocení, pravidla ochrany aktiv, Příloha č. 1 VKB, Příloha č. 2 VKB.

1.7. Audit Řízení rizik

  • Cíl: Ověřit systematický proces řízení kybernetických rizik.
  • Kontrolní body:
    • Stanovení metodiky pro určování a hodnocení rizik, vč. kritérií pro akceptovatelnost rizik
    • Určování relevantních hrozeb a zranitelností s ohledem na aktiva (dle Přílohy č. 3 VKB)
    • Provádění hodnocení rizik alespoň jednou ročně a při významných změnách, zohlednění hrozeb, zranitelností, dopadů na aktiva, významných změn, rozsahu ZoKB, protiopatření, incidentů, auditů, penetračních testů, ISMS účinnosti
    • Zpracování zprávy o hodnocení rizik
    • Zpracování Prohlášení o aplikovatelnosti (SoA) s přehledem všech bezpečnostních opatření požadovaných vyhláškou
    • Zpracování plánu zvládání rizik na základě hodnocení a akceptovatelnosti rizik (popis opatření, cíle, odpovědnost, zdroje, termíny, vazby, způsob realizace)
    • Zavádění bezpečnostních opatření v souladu s plánem zvládání rizik
    • Možnost jiných metod hodnocení rizik při zajištění stejné nebo vyšší úrovně procesu
    • Možnost vyloučení opatření pouze na základě řízení rizik

Podklady: Metodika řízení rizik, zprávy o hodnocení rizik, Prohlášení o aplikovatelnosti (SoA), Plán zvládání rizik, Příloha č. 1 VKB (stupnice hodnocení)

1.8. Audit Řízení dodavatelů

  • Cíl: Ověřit řízení rizik spojených s dodavatelským řetězcem.
  • Kontrolní body:
    • Stanovení pravidel pro dodavatele zohledňující požadavky ISMS
    • Prokazatelné seznamování dodavatelů s pravidly a vyžadování plnění
    • Řízení rizik spojených s dodavateli
    • Identifikace a evidence významných dodavatelů
    • Prokazatelné písemné informování významných dodavatelů o jejich evidenci (identifikace povinné osoby, regulované služby, dodavatele, vyrozumění o významnosti)
    • Zajištění, aby smlouvy s významnými dodavateli obsahovaly relevantní ustanovení
    • Pravidelný přezkum plnění smluv s významnými dodavateli z hlediska ISMS
    • Provádění hodnocení rizik u významných dodavatelů v rámci výběrového řízení a před uzavřením smlouvy
    • Stanovení způsobů a úrovní realizace bezpečnostních opatření a smluvní odpovědnosti v rámci smluv
    • Pravidelná kontrola zavedených bezpečnostních opatření u významných dodavatelů vlastními zdroji nebo třetí stranou
    • Zajištění řešení zjištěných nedostatků

Podklady: Politika řízení dodavatelů, evidence dodavatelů, vzorové smlouvy, záznamy o školení dodavatelů, zprávy o hodnocení rizik dodavatelů, výsledky kontrol dodavatelů.

1.9. Audit Bezpečnosti lidských zdrojů

  • Cíl: Ověřit systém zvyšování bezpečnostního povědomí a správy lidských zdrojů.
  • Kontrolní body:
    • Stanovení plánu rozvoje bezpečnostního povědomí (vč. formy, obsahu, rozsahu poučení a školení)
    • Zahrnutí do plánu: poučení vrcholného vedení, uživatelů/administrátorů/bezpečnostních rolí, potřebná teoretická i praktická školení, pravidla tvorby bezpečných hesel, relevantní témata dle Přílohy č. 6 VKB
    • Zajištění školení (vstupní, pravidelná, odborná) v souladu s plánem zvyšování bezpečnostního povědomí
    • Určení osob odpovědných za realizaci plánu
    • Hodnocení účinnosti plánu a provedených školení
    • Zajištění kontroly dodržování bezpečnostní politiky ze strany zaměstnanců
    • Určení pravidel a postupů pro řešení porušení bezpečnostních pravidel
    • Zajištění plynulosti výkonu činností při ukončení/změně vztahu s administrátory a bezpečnostními rolemi
    • Vedení přehledů o poučení a školení (předmět, seznam účastníků)

Podklady: Plán rozvoje bezpečnostního povědomí, záznamy o školeních, hodnocení účinnosti školení, interní směrnice pro řešení porušení pravidel.

1.10. Audit Řízení změn

  • Cíl: Ověřit proces řízení změn s ohledem na kybernetickou bezpečnost.
  • Kontrolní body:
    • Stanovení pravidel, postupů a kritérií pro určení významných změn
    • Určení změn, které mají nebo mohou mít vliv na kybernetickou bezpečnost
    • Určení významných změn v souladu se stanovenými pravidly
    • U významných změn:
      • Dokumentace jejich řízení
      • Řízení rizik spojených s významnými změnami
      • Přijímání bezpečnostních opatření pro snížení nepříznivých dopadů
      • Aktualizace bezpečnostní a provozní dokumentace
      • Zajištění testování před uvedením do provozu
      • Zajištění možnosti navrácení do původního stavu
      • Rozhodování o provedení penetračního testování na základě výsledků řízení rizik

Podklady: Metodika řízení změn, záznamy o řízení významných změn, zprávy z testování, dokumentace penetračních testů.

1.11. Audit Akvizice, vývoje a údržby

  • Cíl: Ověřit integraci bezpečnosti do životního cyklu aktiv.
  • Kontrolní body:
    • Řízení rizik
    • Řízení významných změn
    • Stanovení bezpečnostních požadavků zohledňujících relevantní bezpečnostní opatření VKB
    • Zahrnutí bezpečnostních požadavků do akvizice, vývoje a údržby
    • Zajištění oddělení prostředí (provozní, zálohovací, vývojové, testovací, administrátorské) a ochrana informací v nich
    • Při akvizici/vývoji technických aktiv:+
      • Plnění požadavků na autentizační mechanismy dle § 19 odst. 3 VKB
      • Plnění požadavků na kryptografické algoritmy dle § 25 odst. 1 písm. a) a § 25 odst. 3 písm. a) VKB
      • Dostupnost bezpečnostních aktualizací po dobu životního cyklu

Podklady: Dokumentace akvizic/vývoje, bezpečnostní požadavky, záznamy o oddělení prostředí, kontrola plnění požadavků na autentizaci/kryptografii.

audit3

1.12. Audit Řízení přístupu

  • Cíl: Ověřit systém řízení přístupu k aktivům a ochranu přístupových údajů.
  • Kontrolní body:
    • Řízení přístupu k aktivům na základě bezpečnostních a provozních potřeb a ochrana přístupových/autentizačních údajů
    • Řízení přístupu na základě skupin a rolí
    • Přidělení přístupových práv na úroveň nezbytně nutnou (princip nejmenších oprávnění) a jedinečný identifikátor, oddělení uživatelských a administrátorských účtů pro jednu osobu
    • Řízení identifikátorů, práv a oprávnění účtů technických aktiv a zavedení opatření pro ně
    • Zavedení opatření pro bezpečné používání mobilních zařízení a aktiv mimo správu povinné osoby
    • Omezení a kontrola používání programových prostředků schopných překonat systémové kontroly
    • Přidělování a odebírání přístupových práv v souladu s politikou
    • Pravidelný přezkum veškerých přístupových práv a oprávnění
    • Bezodkladné odebrání/změna práv při změně pozice nebo ukončení smluvního vztahu
    • Deaktivace účtů a bezodkladné odebrání/změna práv při ukončení vztahu
    • Dokumentace přidělování a odebírání práv
    • Využívání nástroje pro správu a ověřování identit dle § 19 VKB a nástroje pro řízení přístupových práv dle § 20 VKB

Podklady: Politika řízení přístupu, záznamy o přidělování/odebírání práv, výsledky přezkumů práv, dokumentace k IAM systémům.

1.13. Audit Zvládání kybernetických bezpečnostních událostí a incidentů

  • Cíl: Ověřit připravenost a efektivitu procesů detekce, reakce a obnovy po incidentech.
  • Kontrolní body:
    • Zavedení procesů, pravidel a postupů pro detekci, zaznamenávání a vyhodnocování KB událostí (v souladu s § 21 až 23 VKB)
    • Zavedení procesů, pravidel a postupů pro koordinaci a zvládání KB incidentů
    • Přidělení odpovědností pro detekci/vyhodnocování událostí a koordinaci/zvládání incidentů
    • Definice a dodržování pravidel pro identifikaci, sběr, získání a uchování věrohodných podkladů pro analýzu incidentů
    • Zajištění detekce KB událostí dle § 21 VKB
    • Zajištění oznamování neobvyklého chování a podezření na zranitelnosti ze strany uživatelů, administrátorů, bezpečnostních rolí, zaměstnanců a dodavatelů
    • Zajištění posuzování KB událostí a jejich klasifikace jako incidentů
    • Zvládání KB incidentů dle stanovených postupů
    • Přijímání bezpečnostních opatření pro odvrácení a zmírnění dopadu incidentů
    • Hlášení KB incidentů dle ZoKB § 14
    • Prošetření a určení příčin KB incidentů
    • Vedení záznamů o KB incidentech a jejich zvládání
    • Vytvoření závěrečné zprávy o vyřešení incidentu s významným dopadem (vč. popisu příčiny)
    • Vyhodnocení účinnosti řešení incidentu a stanovení nutných opatření k zamezení opakování
    • Používání nástrojů pro detekci a vyhodnocování událostí dle § 21 a 23 VKB

Podklady: IR/BCP/DRP plány, záznamy o incidentech, zprávy o incidentech, komunikační plány, dokumentace k detekčním a vyhodnocovacím nástrojům.

1.14. Audit Řízení kontinuity činností

  • Cíl: Ověřit existenci a funkčnost plánů pro zajištění kontinuity regulovaných služeb.
  • Kontrolní body:
    • Stanovení metodiky pro provedení analýzy dopadů (BIA)
    • Provádění analýzy dopadů, vyhodnocování a dokumentace možných dopadů KB incidentů, zohlednění hodnocení rizik dle § 8 VKB
    • Stanovení cílů řízení kontinuity činností na základě BIA a hodnocení rizik:
      • Minimální úroveň poskytovaných služeb
      • Doba obnovení chodu (RTO)
      • Bod obnovení dat (RPO)
    • Stanovení politiky řízení kontinuity činností (naplnění cílů, práva a povinnosti administrátorů/bezpečnostních rolí)
    • Vypracování, aktualizace a pravidelné testování plánů kontinuity činností a plánů obnovy (DRP/BCP)
    • Realizace bezpečnostních opatření pro zvýšení odolnosti dle § 26 VKB

Podklady: Metodika BIA, zprávy BIA, definice RTO/RPO, politika kontinuity, DRP/BCP plány, záznamy o testování DRP/BCP.

1.15. Audit Provádění auditu kybernetické bezpečnosti

  • Cíl: Ověřit, zda je proces interního/externího auditu KB nastaven a prováděn v souladu s legislativou.
  • Kontrolní body:
    • Stanovení plánu provádění auditu kybernetické bezpečnosti
    • Posuzování, zda byla zavedena požadovaná bezpečnostní opatření (ZoKB, VKB)
    • Posuzování souladu opatření s právními předpisy, vnitřními předpisy, smluvními závazky a nejlepší praxí
    • Provádění a dokumentace auditu dodržování pravidel a postupů (vč. technické shody a dříve stanovených nápravných opatření)
    • Zohlednění výsledků auditu v plánu rozvoje bezpečnostního povědomí a v rámci řízení rizik
    • Stanovení případných nápravných opatření na základě auditu
    • Provádění auditu:
      • Při významných změnách
      • V pravidelných intervalech alespoň jednou za 2 roky
      • V souladu s plánem auditu
      • Pokud audit celého rozsahu nelze provést do 2 let, možnost průběžných auditů po systematických celcích, s tím, že celý rozsah musí být proveden nejpozději do 5 let
    • Audit provádí osoba vyhovující podmínkám § 5 odst. 4 VKB, která nezávisle hodnotí správnost a účinnost zavedených opatření

Podklady: Plán auditu KB, zprávy z auditů, dokumentace nápravných opatření, kvalifikace auditorů.

**2. Audit Technických opatření

2.1. Audit Fyzické bezpečnosti

  • Cíl: Ověřit ochranu aktiv před fyzickými hrozbami.
  • Kontrolní body:
    • Předcházení poškození, odcizení, zneužití aktiv, neoprávněným zásahům a narušení služby
    • Stanovení fyzického bezpečnostního perimetru
    • Rozdělení perimetrů do úrovní fyzické ochrany a jejich dokumentace
    • Přijetí relevantních opatření pro každou úroveň perimetru
      • Zamezení neoprávněnému vstupu
      • Zamezení poškození, odcizení, zneužití aktiv
      • Zajištění fyzické ochrany budov
      • Zajištění detekce narušení
      • Evidence vstupů a přístupů

Podklady: Politika fyzické bezpečnosti, dokumentace perimetrů a úrovní ochrany, záznamy vstupů/výstupů, výsledky auditů fyzické bezpečnosti.

2.2. Audit Bezpečnosti komunikačních sítí

  • Cíl: Ověřit ochranu komunikačních sítí a dat v nich přenášených.
  • Kontrolní body:
    • Zajištění a dokumentace segmentace komunikační sítě (vč. oddělení provozního, zálohovacího, vývojového, testovacího, administrátorského a dalších prostředí)
    • Zajištění řízení komunikace v rámci komunikační sítě
    • Zajištění řízení vzdáleného přístupu a vzdálené správy
    • Povolování pouze nezbytné komunikace
    • Časové omezení komunikace a opětovné ověření identity administrátorů/uživatelů při vzdáleném přístupu/správě
    • Zajištění důvěrnosti a integrity při přenosu informací pomocí odolných kryptografických algoritmů (§ 25 VKB) a síťových protokolů
    • Využívání nástroje zajišťujícího ochranu integrity komunikační sítě
    • Dokumentace topologie komunikační sítě a infrastruktury

Podklady: Síťová dokumentace, konfigurační soubory aktivních prvků (firewally, routery), záznamy o vzdálených přístupech, penetrační testy.

2.3. Audit Správy a ověřování identit

  • Cíl: Ověřit procesy a nástroje pro správu identit a autentizaci.

  • Kontrolní body:

    • Používání nástroje pro správu a ověřování identit, zajišťujícího:
      • Ověření identity před aktivitami
      • Řízení počtu neúspěšných pokusů o přihlášení
      • Odolnost autentizačních údajů (uložených a přenášených)
      • Opětovné ověření identity po nečinnosti
      • Dodržení důvěrnosti při vytváření výchozích a obnově přístupu
      • Centralizovanou správu identit
      • Využívání vícefaktorové autentizace (MFA) s alespoň dvěma různými typy faktorů nebo aktuálně odolné kontinuální autentizace založené na nulové důvěře
    • Do doby plnění požadavků MFA, využití autentizace pomocí kryptografických klíčů nebo certifikátů
    • Evidence technických aktiv, účtů a autentizačních mechanismů, které nesplňují požadavky MFA, včetně odůvodnění
    • Do doby plnění požadavků MFA, vynucování pravidel pro hesla:
      • Délka hesla: min. 12 znaků pro uživatele, 17 pro administrátory, 22 pro technická aktiva
      • Možnost zadat heslo o délce min. 64 znaků
      • Neomezené použití malých/velkých písmen, číslic, speciálních znaků
      • Možnost změny hesla, období mezi změnami min. 30 minut
      • Povinná změna hesla alespoň jednou za 18 měsíců
      • Nemožnost volby jednoduchých/často používaných hesel, opakujících se znaků, přihlašovacího jména, e-mailu, názvu systému
      • Nemožnost opětovného použití min. 12 předchozích hesel
    • Bezodkladné vynucení změny výchozího hesla po prvním přihlášení (uživatelé, administrátoři, technická aktiva)
    • Vytváření hesla účtu technického aktiva z náhodného řetězce
    • Bezodkladné vynucení změny hesla při důvodném podezření na kompromitaci
    • Vytvoření náhodného výchozího hesla pro obnovu přístupu a zajištění jeho důvěrnosti
    • Bezodkladné zneplatnění hesla/identifikátoru pro obnovu přístupu po prvním použití nebo do 24 hodin
    • Zvláštní pravidla pro administrátorské účty pro obnovu po incidentu:
      • Bezodkladná změna výchozího hesla
      • Heslo vytvořeno náhodným řetězcem (min. 22 znaků)
      • Heslo bezpečně uloženo, manipulace jen pověřenými osobami v nezbytných případech
      • Změna hesla po použití, při změně odpovědných osob, při kompromitaci nebo min. jednou za 18 měsíců
      • Evidence manipulace a pokusů o manipulaci s tímto účtem a heslem

    Podklady: Konfigurace AD/LDAP/IAM systémů, bezpečnostní politika hesel, záznamy o implementaci MFA, evidence výjimek, záznamy o manipulaci s administrátorskými účty pro obnovu.

2.4. Audit Řízení přístupových práv a oprávnění

  • Cíl: Ověřit správné nastavení a správu přístupových práv.
  • Kontrolní body:
    • Využívání centralizovaného nástroje pro řízení práv a oprávnění s ohledem na vazby mezi aktivy
    • Řízení práv pro přístup k jednotlivým aktivům
    • Řízení oprávnění pro čtení a zápis informací a dat a změnu oprávnění

Podklady: Konfigurace nástrojů pro správu práv (např. GPO, RBAC), matice přístupových práv, záznamy o auditu práv.

2.5. Audit Detekce kybernetických bezpečnostních událostí

  • Cíl: Ověřit existenci a funkčnost nástrojů pro detekci událostí.
  • Kontrolní body:
    • Používání nástroje pro detekci událostí, který zajišťuje:
      • Ověření a kontrolu přenášených dat v rámci a mezi komunikačními sítěmi
      • Ověření a kontrolu přenášených dat na síťovém perimetru
      • Aktivní blokování nežádoucí komunikace
    • Používání centrálně spravovaného nástroje pro detekci u relevantních technických aktiv, zajišťujícího:
      • Nepřetržitou a automatickou ochranu před škodlivým kódem
      • Řízení a sledování používání vyměnitelných zařízení a datových nosičů
      • Řízení automatického spouštění obsahu
      • Řízení oprávnění ke spouštění kódu
      • Řízení a sledování komunikace aplikací, služeb a procesů
      • Detekci KB událostí technických aktiv
      • Detekci KB událostí na základě chování technických aktiv, administrátorů a uživatelů
    • Pravidelná a bezodkladná aktualizace nástroje, jeho nastavení a detekčních pravidel

Podklady: Konfigurace IDS/IPS, antivirových systémů, EDR/XDR řešení, log managementu, SIEM, záznamy o aktualizacích.

2.6. Audit Zaznamenávání událostí

  • Cíl: Ověřit správnost, rozsah a ochranu záznamů o událostech.
  • Kontrolní body:
    • Určení technických aktiv, u kterých je prováděno zaznamenávání bezpečnostních a relevantních provozních událostí
    • Aktualizace rozsahu těchto aktiv pravidelně a při významných změnách
    • Zaznamenávání událostí detekovaných dle § 21, v rámci komunikační sítě, na síťovém perimetru a u určených technických aktiv
    • Zaznamenávání konkrétních událostí:
      • Přihlašování a odhlašování (vč. neúspěšných pokusů)
      • Provedení a neúspěšné pokusy o provedení privilegované činnosti
      • Manipulace s účty, oprávněními, právy (vč. neúspěšných pokusů)
      • Neprovedení činností pro nedostatek práv
      • Zahájení a ukončení činností technických aktiv
      • Kritická a chybová hlášení
      • Přístupy k záznamům událostí (vč. neúspěšných pokusů)
      • Manipulace se záznamy událostí (vč. neúspěšných pokusů)
      • Změny nastavení nástrojů pro zaznamenávání událostí (vč. neúspěšných pokusů)
      • Další činnosti uživatelů s vlivem na bezpečnost
    • Zaznamenávání informací o události: datum/čas, typ činnosti, jednoznačná identifikace technického aktiva, účtu a zařízení původce (i při změně síťové identifikace), úspěšnost/neúspěšnost činnosti
    • Zajištění důvěrnosti a integrity získaných informací (ochrana před neoprávněným čtením a změnou)
    • Používání centralizovaného nástroje pro sběr a uchovávání záznamů
    • Uchovávání záznamů alespoň po dobu 18 měsíců
    • Zajištění nepřetržité synchronizace jednotného času technických aktiv

Podklady: Konfigurace log managementu, SIEM, záznamy událostí, politika retence logů, dokumentace synchronizace času.

2.7. Audit Vyhodnocování kybernetických bezpečnostních událostí

  • Cíl: Ověřit funkčnost a efektivitu nástrojů pro analýzu a vyhodnocování událostí.
  • Kontrolní body:
    • Používání nástroje pro nepřetržité vyhodnocování událostí detekovaných dle § 21 VKB, který zajišťuje:
      • Sběr, vyhledávání a seskupování souvisejících záznamů
      • Nepřetržité poskytování informací o detekovaných událostech a včasné varování bezpečnostních rolí/relevantních osob
      • Vyhodnocování událostí s cílem identifikace KB incidentů
    • Zajištění omezení případů nesprávného nebo nežádoucího vyhodnocování (false positives)
    • Pravidelná aktualizace nastavení nástroje a jeho pravidel pro detekci/vyhodnocování
    • Pravidelná aktualizace pravidel pro poskytování informací a varování
    • Využívání informací získaných nástrojem pro optimální nastavení ISMS

Podklady: Konfigurace SIEM, IDS/IPS, záznamy o vyhodnocených událostech, statistiky falešných poplachů, reporty pro bezpečnostní role, procesy optimalizace SIEM pravidel.

2.8. Audit Aplikační bezpečnosti

  • Cíl: Ověřit ochranu aplikací a dat, včetně správy zranitelností.
  • Kontrolní body:
    • Používání technických aktiv podporovaných výrobcem/dodavatelem a aplikování schválených bezpečnostních aktualizací
    • Zavádění bezpečnostních opatření pro nepodporovaná aktiva a jejich evidence
    • Trvalá ochrana aplikací, informací, transakcí a identifikátorů relací před neoprávněnou činností a popřením
    • Pravidelné skenování zranitelností technických aktiv (z vnitřní i vnější sítě, alespoň jednou ročně)
    • Zohlednění výsledků skenování v řízení rizik a zavádění opatření
    • Provedení penetračního testování (s ohledem na hodnocení aktiv a rizik):
      • Z vnitřní i vnější sítě
      • Před uvedením do provozu
      • V souvislosti s významnou změnou
      • Pravidelně alespoň jednou za dva roky
      • Možnost rozdělení do systematických celků s celkovým provedením do 5 let
    • Zohlednění výsledků penetračního testování v řízení rizik a zavádění opatření
    • Evidence termínů a fyzických osob provádějících penetrační testování
    • Opětovné otestování nálezů ze skenování a penetračního testování za účelem ověření funkčnosti opatření

Podklady: Evidence aktiv, záznamy o aktualizacích, výsledky skenování zranitelností, zprávy z penetračních testů, záznamy o retestování, politika správy zranitelností.

2.9. Audit Kryptografických algoritmů

  • Cíl: Ověřit používání a správu kryptografických algoritmů a klíčů.
  • Kontrolní body:
    • Používání pouze aktuálně odolných kryptografických algoritmů
    • Prosazování bezpečného nakládání s kryptografickými algoritmy
    • Zohlednění doporučení a metodik NÚKIB v oblasti kryptografie
    • Zajištění bezpečné hlasové, audiovizuální, textové a elektronické komunikace
    • Zajištění bezpečné nouzové komunikace v rámci organizace
    • V případě využívání kryptografických klíčů a certifikátů:
      • Používání pouze aktuálně odolných kryptografických klíčů a certifikátů
      • Používání nástroje pro správu klíčů a certifikátů, který zajistí: generování, distribuci, ukládání, změny, omezení platnosti, zneplatnění certifikátů, řádnou likvidaci klíčů, umožní kontrolu a audit, zajistí důvěrnost a integritu klíčů

Podklady: Kryptografická politika, inventář kryptografických řešení (VPN, šifrování dat, e-mail), dokumentace k PKI, záznamy o správě klíčů a certifikátů.

2.10. Audit Zajišťování dostupnosti regulované služby

  • Cíl: Ověřit opatření pro zajištění dostupnosti regulované služby a obnovu po incidentech.
  • Kontrolní body:
    • Zavedení bezpečnostních opatření pro zajišťování dostupnosti dle cílů § 15 VKB
    • Zajištění odolnosti regulované služby vůči hrozbám snižujícím dostupnost
    • Zajištění redundance aktiv nezbytných pro dostupnost
    • Vytváření pravidelných záloh konfigurací, nastavení technických aktiv, informací a dat (zejména pro účely obnovy)
    • U záloh:
      • Pravidelné testování jejich integrity, dostupnosti a obnovitelnosti
      • Dokumentování výsledků testů
      • Ochrana ukládaných záloh a dat v nich obsažených před narušením integrity a důvěrnosti (zejména šifrováním dle § 26 VKB)
      • Ochrana ukládaných záloh a dat před narušením dostupnosti
    • Zajištění bezpečné správy konfigurací a nastavení technických aktiv
    • Oddělení zálohovacího prostředí od jiných prostředí dle § 18 písm. a) VKB za účelem omezení šíření incidentu a snížení dopadu

Podklady: Dokumentace zálohování, záznamy o testování záloh, výsledky obnovy z testů, politika šifrování záloh, síťová topologie (oddělení zálohovacího prostředí).

2.11. Audit Zabezpečení průmyslových, řídicích a obdobných specifických technických aktiv

  • Cíl: Ověřit specifická bezpečnostní opatření pro OT/ICS systémy.
  • Kontrolní body:
    • Omezení fyzického přístupu k těmto aktivům
    • Omezení oprávnění k přístupu k těmto aktivům
    • Segmentace komunikačních sítí těchto aktiv od jiných prostředí a dle § 18 VKB
    • Omezení vzdálených přístupů a vzdálené správy
    • Ochrana jednotlivých aktiv před známými zranitelnostmi a hrozbami
    • Dostupnost a obnova těchto aktiv pro zajištění dostupnosti regulované služby

Podklady: Dokumentace k OT/ICS systémům, síťová topologie, záznamy o přístupech, výsledky penetračních testů OT/ICS.

3. Audit Plnění povinností vůči NÚKIB a strategicky významným službám

3.1. Audit Hlášení údajů NÚKIB

  • Cíl: Ověřit správnost a včasnost hlášení kontaktních a doplňujících údajů.
  • Kontrolní body:
    • Včasné nahlášení kontaktních údajů (identifikační údaje fyzických osob oprávněných jednat) do 30 dnů od rozhodnutí o registraci
    • Včasné nahlášení doplňujících údajů (vlastnická struktura, technické údaje služby, geografické rozšíření, přeshraniční poskytování) do 30 dnů
    • Hlášení změn těchto údajů (kromě referenčních) do 14 dnů od změny
    • Použití Portálu Úřadu pro hlášení

Podklady: Komunikace s NÚKIB, záznamy o hlášených údajích, firemní dokumentace (vlastnická struktura, technická specifikace služeb).

3.2. Audit Hlášení kybernetických bezpečnostních incidentů

  • Cíl: Ověřit, že incidenty jsou hlášeny včas, správně a v plném rozsahu.
  • Kontrolní body:
    • Hlášení všech incidentů s původem v kybernetickém prostoru ve stanoveném rozsahu, u kterých nelze vyloučit úmyslné zavinění
    • Prvotní hlášení bez zbytečného odkladu, nejpozději do 24 hodin po zjištění incidentu (identifikační údaje, základní údaje o incidentu, podezření na nezákonné zavinění/přeshraniční dopad)
    • Oznámení pro incidenty s významným dopadem (do 72 hodin): aktualizované info, prvotní posouzení, dopad, indikátory kompromitace
    • Průběžné zprávy na výzvu Úřadu/Národního CERT
    • Závěrečná zpráva do 30 dnů po oznámení (nebo po vyřešení incidentu, pokud trval déle)
    • Hlášení prostřednictvím Portálu Úřadu (alternativně e-mailem/datovou schránkou)

Podklady: Záznamy o incidentech, korespondence s NÚKIB/Národním CERT, časové osy řešení incidentů.

3.3. Audit Reaktivních a Ochranných opatření NÚKIB

  • Cíl: Ověřit plnění uložených protiopatření a informační povinnost.
  • Kontrolní body:
    • Plnění reaktivních protiopatření uložených NÚKIB k řešení hrozícího/probíhajícího incidentu, zabezpečení aktiv nebo zvýšení ochrany
    • Oznámení NÚKIB o provedení protiopatření a jeho výsledku ve stanovené lhůtě
    • Reakce na varování Úřadu (§ 22 ZoKB) a výstrahy (§ 21 ZoKB)

Podklady: Rozhodnutí NÚKIB o protiopatřeních, dokumentace o jejich plnění, korespondence s NÚKIB.

3.4. Audit Povinností poskytovatele strategicky významné služby

  • Cíl: Ověřit specifické povinnosti pro strategicky významné služby (pokud se aplikuje).
  • Kontrolní body:
    • Hlášení změn regulované služby, které vedou ke splnění podmínek strategicky významné služby, do 60 dnů
    • Zjišťování informací o dodavatelích bezpečnostně významných dodávek s vynaložením přiměřeného úsilí
    • Evidence informací o bezpečnostně významných dodávkách a dodavatelích
    • Hlášení informací o dodavatelích a jejich změnách NÚKIB do 10 dnů
    • Zajištění dostupnosti strategicky významné služby z území ČR v nezbytném rozsahu, čase a kvalitě
    • Prověřování zajištění poskytování služby z území ČR alespoň jednou za 2 roky a vyhotovení záznamu
    • Stanovení času a kvality dostupnosti služby a vyhotovení záznamu
    • Dodržování podmínek nebo zákazů uložených Úřadem v opatřeních obecné povahy k omezení rizik spojených s dodavatelem

Podklady: Evidence dodavatelů, smlouvy s dodavateli, dokumentace zajištění dostupnosti, záznamy o prověřování, záznamy o čase a kvalitě služby, opatření obecné povahy NÚKIB.

4. Audit Komunikace s NÚKIB a sdílení informací

Cíl: Ověřit, zda společnost aktivně a správně komunikuje s NÚKIB dle zákona. • Kontrolní body: ◦ Kontrola veškeré korespondence s NÚKIB a Národním CERT, včetně potvrzení o doručení a obsahu. ◦ Ověření použití Portálu Úřadu pro komunikaci. ◦ Kontrola správnosti a úplnosti poskytovaných informací.

Podklady: Veškerá komunikace s NÚKIB a Národním CERT, interní záznamy o odeslaných/přijatých hlášeních.

Tato struktura by měla zajistit komplexní pokrytí všech požadavků vyplývajících z nového ZoKB a VKB pro poskytovatele regulovaných služeb v režimu vyšších povinností.

Je důležité, aby audit nezůstal pouze u formální kontroly existence dokumentů, ale zaměřil se i na reálnou funkčnost a účinnost zavedených opatření a procesů.

Back to Top