Bezpečnostní odbor řídí bezpečnostní ředitel^[1], který plní také povinnosti odpovědné osoby ve smyslu zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů (dále jen „zákon o ochraně utajovaných informací“), zejména zajišťuje ověření splnění podmínek pro přístup zaměstnanců MZV k utajované informaci stupně utajení Vyhrazené, zajišťuje poučení zaměstnanců MZV o jejich právech a povinnostech v oblasti ochrany utajovaných informací a o následcích porušení těchto povinností, zpracovává a vede přehled míst a funkcí, na kterých je nezbytné mít přístup k utajovaným informacím, zajišťuje vytváření podmínek pro personální, administrativní a fyzickou bezpečnost utajovaných informací a kontroluje dodržování dalších povinností stanovených zákonem o ochraně utajovaných informací.

Metodicky vede útvary MZV a zastupitelských úřadů v oblasti ochrany utajovaných informací, krizového řízení a civilní ochrany. Kontroluje dodržování povinností stanovených obecně závaznými právními předpisy a předpisy a akty řízení MZV upravujícími tuto oblast a ukládá závazné úkoly k odstranění zjištěných nedostatků.

Plní povinnosti vyplývající ze zákona o ochraně utajovaných informací, zejména zpracovává přehled míst a funkcí, na kterých je nezbytné mít přístup k utajovaným informacím, kontroluje splnění podmínek pro přístup zaměstnanců MZV k utajované informaci stupně utajení Důvěrné, Tajné nebo Přísně tajné v souvislosti s jejich pracovním zařazením, zajišťuje zpracování projektů fyzické bezpečnosti objektů MZV a zastupitelských úřadů a vede příslušné evidence.

Zajišťuje spolupráci MZV s Národním bezpečnostním úřadem a v souladu s pokyny vrchního ředitele sekce bezpečnostní a multilaterální zabezpečuje spolupráci se zpravodajskými službami ČR; zabezpečuje praktické uplatňování zákona č. 451/1991 Sb., kterým se stanoví některé další předpoklady pro výkon některých funkcí ve státních orgánech a organizacích České a Slovenské Federativní Republiky, České republiky a Slovenské republiky, ve znění pozdějších předpisů, v podmínkách MZV.

V úzké součinnosti se zpravodajskými službami ČR vytváří a zabezpečuje komplexní systém zpravodajské ochrany celého rezortu MZV.

Identifikuje rizikové faktory v oblasti personální bezpečnosti v ústředí i na zastupitelských úřadech, definuje systémová nebo ad hoc opatření zaměřená na předcházení vzniku bezpečnostních rizik nebo na jejich eliminaci.

Shromažďuje hlášení nestandardních událostí, registruje bezpečnostní rizika a incidenty, provádí jejich analýzu a realizuje nezbytná opatření. Poskytuje konzultační činnost zaměstnancům MZV v oblasti bezpečnosti.

Koordinuje a zabezpečuje základní, průběžnou i specializovanou bezpečnostní přípravu zaměstnanců MZV v ústředí a na zastupitelských úřadech, provádí její vyhodnocování a aktualizaci.

Odpovídá za návrh, zavádění a provoz specializovaných informačních systémů MZV, včetně systémů pro práci s utajovanými informacemi v souladu s bezpečnostní politikou MZV. Ve spolupráci s dalšími útvary MZV se podílí na realizaci informačních systémů, především po odborné a organizační stránce.

Je garantem nasazení a používání vhodných technických a programových prostředků šifrové techniky v rámci MZV, přiděluje technické a programové prostředky šifrové techniky, stanovuje způsob jejich používání a v případě potřeby zajišťuje jejich přerozdělení.

Spravuje výpočetní techniku užívanou v informačních systémech pro práci s utajovanými informacemi v působnosti odboru. Spravuje tempestovou techniku a stínící komory.

Zajišťuje údržbu a opravy prostředků šifrové techniky a pro útvary MZV zajišťuje speciální školení z oblasti šifrových technologií.

Schvaluje vstup zaměstnanců do zabezpečených oblastí pracovišť kryptografické ochrany v ústředí i na zastupitelských úřadech.

Vede evidenci kryptografického materiálu. Zajišťuje používání kryptografických prostředků pouze k účelu, ke kterému jsou certifikovány Národním úřadem pro kybernetickou a informační bezpečnost.

Ve spolupráci s odborem kybernetické diplomacie zajišťuje bezpečnost všech provozovaných informačních systémů MZV v souladu s obecně závaznými právními předpisy a předpisy a akty řízení MZV. Zajišťuje certifikaci informačních systémů, které zpracovávají utajované informace MZV.

Organizuje chod spisové služby pro utajované dokumenty všech stupňů utajení, zajišťuje činnost spisovny národních utajovaných dokumentů a činnost jednotlivých registrů utajovaných dokumentů NATO, EU a ostatních subjektů cizí moci, zejména předávání, evidenci pohybu a ukládání dokumentů těchto subjektů v MZV.

Metodicky řídí a kontroluje uplatňování předpisů bezpečnosti práce a požární ochrany ve všech útvarech MZV a ZÚ a ukládá závazné úkoly k odstranění zjištěných nedostatků. Registruje a došetřuje pracovní úrazy a řídí příslušnou komisi.

Zajišťuje přípravu a realizaci technických a režimových bezpečnostních opatření pro ochranu a ostrahu objektů MZV a zastupitelských úřadů, včetně technické dokumentace.

Zajišťuje krizovou komunikaci MZV. Zajišťuje krizové spojení mezi pracovišti MZV v ČR a v zahraničí pomocí radiové techniky.

Je pracovištěm krizového řízení MZV ve smyslu zákona č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), a realizuje úkoly vyplývající pro MZV z tohoto zákona. Provádí souhrn metodických, koordinačních a řídících činností zaměřených na analýzu a vyhodnocování bezpečnostních rizik, plánování, organizování, realizaci a kontrolu činností prováděných v souvislosti s krizovým řízením ve všech útvarech MZV a zastupitelských úřadech. Pro potřeby nepřetržitého sledování a vyhodnocování informací, permanentního zabezpečení informovanosti určených zaměstnanců MZV, k operativnímu zvládnutí počátků řešení mimořádných událostí v zahraničí a včasnému zahájení procesu krizového řízení zabezpečuje a metodicky řídí chod Operačního a informačního centra MZV a v jeho rámci plní úkoly diplomatické služby MZV.

Plní funkci sekretariátu krizového štábu MZV a připravuje podklady a účastní se jednání Výboru pro civilní nouzové plánování BRS a jeho pracovních orgánů; zabezpečuje oblast civilní ochrany a zajišťování obrany resortu, realizuje úkoly, vyplývající pro MZV ze zákona č. 222/1999 Sb., o zajišťování obrany České republiky, ve znění pozdějších předpisů, plánování obrany s přípravou na stav ohrožení státu a válečný stav, provádí zproštění mimořádné služby a další odborné činnosti ve vztahu k zaměstnancům MZV podléhajícím branné povinnosti.

Koordinuje a připravuje podklady pro jednání Výboru pro vnitřní bezpečnost BRS.

Ve věcech, které nespadají do působnosti zákona o ochraně utajovaných informací, je organizačně podřízen vrchnímu řediteli sekce bezpečnostní a multilaterální.

Realizuje a odpovídá za systém řízení bezpečnosti informací podle zákona o kybernetické bezpečnosti a podzákonných předpisů v rozsahu nezbytném pro MZV.

Řídí ochranu důvěrnosti, integrity a dostupnosti informačních aktiv MZV a v součinnosti s garanty aktiv přijímá opatření k minimalizaci rizik spojených s neoprávněným nakládáním, použitím, prozrazením, narušením, úpravou, nahlédnutím, zkopírováním nebo zničením informačních aktiv MZV.

Zajišťuje a odpovídá za soulad systému řízení bezpečnosti informací s obecně závaznými právními předpisy a standardy týkajícími se kybernetické bezpečnosti.

Odpovídá za proces řízení výjimek týkajících se bezpečnosti informací a informačních systémů a ve spolupráci s dotčenými zaměstnanci provádí činnosti spojené s udělováním/odebíráním těchto výjimek.

Schvaluje vzdálený přístup uživatelů k privilegovaným účtům, zřizování skupinových účtů nebo sdílení individuálních účtů, vzdálené připojení a připojení pracovníků externích dodavatelů k informačním aktivům MZV, použití anonymizovaných nebo upravených provozních dat pro testování.

Pravidelně přezkoumává přístupová práva uživatelů.

Ve spolupráci s dotčenými útvary zajišťuje návrh a implementaci bezpečnostních opatření v rozsahu systému řízení bezpečnosti informací, zpracovává plán zvládání rizik pro realizaci těchto bezpečnostních opatření a průběžně monitoruje jejich účinnost.

Spolupracuje s dotčenými útvary a schvaluje změny v informačních systémech a sítích mající dopad na kybernetickou a informační bezpečnost.

Zajišťuje monitorování, vyhodnocování a průběžné zlepšování zavedeného systému řízení bezpečnosti informací.

Odpovídá za organizaci a rozvoj bezpečnostního povědomí zaměstnanců MZV.

Provádí, řídí a spolupracuje s dotčenými útvary na pravidelném hodnocení aktiv a rizik informačních systémů MZV.

Spravuje registr aktiv a odpovídá za jeho průběžnou revizi a aktualizaci ve spolupráci s garanty primárních a podpůrných aktiv.

Řídí kontinuitu činností v rozsahu systému řízení bezpečnosti informací.

Odpovídá za plánování, realizaci a vyhodnocení penetračních testů.

Aktivně zkoumá potenciální hrozby a možné vektory útoků na informační aktiva MZV.

Řeší bezpečnostní události, incidenty a provádí bezpečnostní dohled nad informačními aktivy MZV a souvisejícími prvky IKT infrastruktury.

Zajišťuje detekci kybernetických bezpečnostních událostí a realizaci adekvátních reaktivních a nápravných opatření.

Odpovídá za nastavení procesu zvládání incidentů bezpečnosti informací.

Řídí provádění forenzní analýzy a zajištění důkazů pro případné vyšetřování incidentu nebo trestní řízení.