Samospráva
Cesta:

RK-02-2019-03: Informace o aktivitách v návaznosti na varování NUKIB

RK-02-2019-03.pdf

Číslo materiálu 3
Číslo jednací RK-02-2019-03
Název Informace o aktivitách v návaznosti na varování NUKIB
Zpracoval D. Marek, P. Pavlinec
Předkládá P. Pavlinec
Počet příloh 0
Popis problému

Národní úřad pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“) vydal dne 17. prosince 2018 podle § 12 zákona č. 181/2014 Sb., o kybernetické bezpečnosti (dále jen „ZKB“) varování před používáním softwaru i hardwaru společností Huawei Technologies Co., Ltd., a ZTE Corporation. Používání těchto prostředků informačních a komunikačních technologií dle NÚKIB představuje bezpečnostní hrozbu.

 

Kraj Vysočina je podle ZKB tzv. správcem významným informačních systémů a tudíž je i osobou povinnou zohlednit toto varování v souvislosti s 

  • řízením rizik
  • řízením dodavatelů a bezpečnostních opatření při výběru dodavatelů podle vyhlášky č. 316/2014 Sb., o kybernetické bezpečnosti. 

 

Dne 4. 1. 2019 NÚKIB vydal Metodiku k varování ze dne 17. prosince 2018, ve které jsou stanoveny doporučené metody reakce na vydané varování.
Návrh řešení

Vzhledem k tomu, že Kraj Vysočina využívá technologie výše jmenovaných společností, podnikne následující kroky, které budou v souladu s metodikou uvedenou výše, s platnou legislativou a  s platnými vnitřními předpisy organizace: 

  • aktualizace analýzy rizik s ohledem na nové hrozby, na které NÚKIB upozorňuje a na informační aktiva, jejichž činnost je závislá na hardwaru či softwaru výše uvedených společností
  • v závislosti na výsledcích analýzy rizik vydefinování případných bezpečnostních opatření, která by měla vést ke snížení případného nově vydefinovaného rizika, a to formou aktualizace plánu zvládání rizik
  • v případě schválení bezpečnostních opatření jejich implementace – při schvalování bezpečnostních opatření je nutné přihlédnout k finanční a personální náročnosti bezpečnostního opatření, k jeho efektivitě, výhodnosti a potenciálu snížení rizika v porovnání s náklady případně vynaloženými při realizaci hrozby.

 

Vzhledem k uvedeným hrozbám by navržená bezpečnostní opatření mohla mít následující charakter:

  • technická opatření
  • postupná náhrada technických a programových prostředků
  • úprava smluvních vztahů s dodavateli
  • úprava pravidel při zadávání veřejných zakázek (v souladu se zákonem č. 134/2016 Sb., o  zadávání veřejných zakázek)
Stanoviska Grémium ředitele

Grémium ředitele souhlasí s navrženými opatřeními ke snížení rizik bezpečnostních hrozeb, které jsou předmětem tohoto materiálu.
Návrh usnesení bere na vědomí

informaci o řešení bezpečnostních rizik vyplývajících z varování NUKIB.
Odpovědnost Odbor analýz a podpory řízení, Odbor informatiky
Termín 31. 7. 2019