Právní předpis byl sestaven k datu 27.05.2018.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
VYHLÁŠKA
ze xxx 15. xxxxxxxx 2014
o bezpečnostních xxxxxxxxxx, kybernetických bezpečnostních xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx bezpečnosti (xxxxxxxx x kybernetické xxxxxxxxxxx)
Xxxxxxx xxxxxxxxxxxx xxxx xxxxxxx podle §28 xxxx. 2 xxxxxx x. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx x x změně xxxxxxxxxxxxx xxxxxx (zákon x xxxxxxxxxxxx xxxxxxxxxxx), (xxxx jen "xxxxx") x xxxxxxxxx §6 xxxx. x) xx x), §8 odst. 4, §13 xxxx. 4 x §16 xxxx. 6 xxxxxx.
XXXX XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxxx vyhláškou xx xxxxxxx xxxxx x xxxxxxxxx bezpečnostní xxxxxxxxxxx xxx informační xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx kritické xxxxxxxxxx infrastruktury nebo xxxxxxxx xxxxxxxxxx systém, xxxxx xxxxxxxxxxxxxx opatření, xxxxxx xxxxxx zavedení, xxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx a způsob xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxx x provedení xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx x vzor xxxxxxxx xxxxxxxxxxx údajů x jeho xxxxx.
§2
Xxxxxxxx pojmů
V xxxx xxxxxxxx xx rozumí
a) xxxxxxxx řízení xxxxxxxxxxx xxxxxxxxx část systému xxxxxx orgánu a xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona xxxxxxxx xx xxxxxxxx x rizikům informačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx, xxxxx stanoví xxxxxx ustavení, zavádění, xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) aktivem xxxxxxxx aktivum x xxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxx informace xxxx xxxxxx, kterou zpracovává xxxx xxxxxxxxx informační xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxx systém xxxxxxxx xxxxxxxxxx infrastruktury xxxx významný xxxxxxxxxx xxxxxx,
x) xxxxxxxxx aktivem xxxxxxxxx xxxxxxx, xxxxxxxxxxx x dodavatelé xxxxxxxxxx xx xx xxxxxxx, xxxxxxx, xxxxxx nebo xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxx aktivem technické xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx a xxxxxxx, xx xxxxxxx xxxx tyto xxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxx, xx xxxxxx xxxxxx xxxxxxx zranitelnosti xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxxx aktiva,
g) xxxxxxxxxx xxxxx proces, xxx xxxx xx xxxxxxxx xxxxxxxxxx xxxxx x xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxx rizik činnost xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx x xxxxxxxx xxxxxxxx ke xxxxxxxx xxxxx, xxxxxxx informací x riziku a xxxxxxxxx x přezkoumání xxxxx,
x) xxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx nebo kybernetického xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxxx může xxx xxxxxxxxx aktiva,
j) xxxxxxxxxxxxx xxxxx místo xxxxxx xxxx bezpečnostního xxxxxxxx, xxxxx xxxx xxx xxxxxxxx xxxxxx nebo xxxx xxxxxxxx,
x) přijatelným xxxxxxx riziko zbývající xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxxx rizik,
l) bezpečnostní xxxxxxxxx xxxxxx xxxxx x xxxxxxxx, xxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx xxxxxxx x xxxxxx uvedenou x §3 xxxx. x) až x) xxxxxx,
x) xxxxxxxx aktiva xxxxxxx xxxxx pověřená xxxxxxx xxxx osobou xxxxxxxx x §3 xxxx. x) až x) xxxxxx k xxxxxxxxx xxxxxxx, použití x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx fyzická xxxx xxxxxxxxx xxxxx xxxxx xxxxx xxxxxxx xxxx, xxxxx xxxxxxx xxxxxxxx xxxxxx,
x) administrátorem xxxxxxx xxxxx pověřená xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxx.
XXXX DRUHÁ
BEZPEČNOSTNÍ OPATŘENÍ
HLAVA X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxx xxxxxxxxxxx informací
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx x xxxxxxx xx aktiva x organizační xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xx xxxxxx xxxx, kterých organizačních xxxxx a xxxxxxxxxxx xxxxx xx xxxxxx xxxxxx xxxxxxxxxxx informací xxxx,
x) řídí xxxxxx xxxxx §4 odst. 1,
x) vytvoří x xxxxxxx bezpečnostní politiku x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, cíle, xxxxxxxxxxxx xxxxxxx, práva x xxxxxxxxxx xx vztahu x xxxxxx bezpečnosti xxxxxxxxx x xx xxxxxxx bezpečnostních potřeb x výsledků hodnocení xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x dalších xxxxxxxxx xxxxx §5 x xxxxxx příslušná xxxxxxxxxxxx xxxxxxxx,
x) monitoruje xxxxxxxx xxxxxxxxxxxxxx opatření,
e) xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx §5,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx podle §15, x xx nejméně xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx účinnosti systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxx řízení xxxxxxxxxxx informací xxxxxx xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx xxxxxxxx provedených xxxxxxx a xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx kybernetických bezpečnostních xxxxxxxxx xx xxxxxx xxxxxx bezpečnosti informací, x xx xxxxxxx xxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxx bezpečnosti xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx xx základě xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, výsledků vyhodnocení xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x x souvislosti x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx a
i) řídí xxxxxx a xxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, zaznamenává xxxxxxxx xxxxxxx se systémem xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx x rámci systému xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxx xxxxxx xxxxx §4 xxxx. 2,
x) xxxxxxx x schválí xxxxxxxxxxxx politiku x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, která xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x povinnosti xx vztahu x xxxxxx xxxxxxxxxxx informací x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §5, x xxxxxx příslušná xxxxxxxxxxxx xxxxxxxx x
x) provádí xxxxxxxxxxx xxxxxx x xxxxxxxxx aktiv a xxxxx, xxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxx x xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, x xx nejméně jednou xx tři roky xxxx v xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx.
§4
Xxxxxx xxxxx
(1) Orgán x osoba xxxxxxx x §3 xxxx. x) x d) xxxxxx v xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx pro xxxxxxxxxxxx x hodnocení aktiv x xxx xxxxxxxxxxxx x xxxxxxxxx rizik xxxxxx xxxxxxxxx kritérií xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx a xxxxxxx xxxxxxxxxx xxxxx, xxxxx xxxxx do xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, podle §8 x rozsahu přílohy č. 1 x této xxxxxxxx x výstupy zapracuje xx xxxxxx o xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx zohlední xxxxxx a xxxxxxxxxxxxx, xxxxxxx možné dopady xx xxxxxx, hodnotí xxxx xxxxxx xxxxxxxxx x xxxxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx, určí x xxxxxxx xxxxxxxxxx rizika x zpracuje zprávu x hodnocení aktiv x rizik,
d) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x výsledků xxxxxxxxx rizik prohlášení x aplikovatelnosti, xxxxx xxxxxxxx přehled vybraných x zavedených xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx a xxxxxx xxxx xxxxxxxx xxxxx, který xxxxxxxx xxxx a xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik, xxxxxx xxxxx zajišťující prosazování xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx, potřebné xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxx jejich zavedení x xxxxx vazeb xxxx riziky x xxxxxxxxxxx bezpečnostními opatřeními x
x) xxxxxxxx xxx xxxxxxxxxx odkladu xxxxxxxxx x ochranná opatření xxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx (xxxx xxx "Xxxx") x xxxxxxxxx xxxxx a x xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxx zranitelnosti xxxxxxx x realizací reaktivního xxxx xxxxxxxxxx opatření xxxxxxxx xxxxxxxxx xxxxxxxx xxx přijatelnost rizik, xxxxxx xxxx xxxxxxxx xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. e) xxxxxx v rámci xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx x xxx identifikaci x hodnocení rizik xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx x hodnotí xxxxxxxxxx xxxxxxxxxx xxxxx, xxxxx xxxxx do xxxxxxx xxxxxxx řízení xxxxxxxxxxx informací, xxxxx §8 minimálně v xxxxxxx přílohy č. 1 k xxxx xxxxxxxx a xxxxxxx xxxxxxxxx xx xxxxxx x xxxxxxxxx xxxxx a xxxxx,
x) xxxxxxxxxxxx rizika, xxx xxxxxxx xxxxxxxx xxxxxx x zranitelnosti, xxxxxxx xxxxx xxxxxx xx xxxxxxxx aktiva, xxxxxxx xxxx rizika minimálně x rozsahu xxxxx přílohy č. 2 x této xxxxxxxx x zpracuje xxxxxx x hodnocení xxxxx a xxxxx,
x) xxxxxxxx na základě xxxxxxxxxxxxxx xxxxxx a xxxxxxxx hodnocení xxxxx xxxxxxxxxx x aplikovatelnosti, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) zpracuje x zavede xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx cíle x xxxxxxx bezpečnostních xxxxxxxx xxx zvládání xxxxx, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx bezpečnostních opatření xxx xxxxxxxx rizik, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxxx xxxxxx xxxxxxxx a xxxxx xxxxx xxxx xxxxxxxxxxxxxxxx xxxxxx x příslušnými xxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxx bez zbytečného xxxxxxx reaktivní x xxxxxxxx xxxxxxxx xxxxxx Xxxxxx x xxxxxxxxx xxxxx x x xxxxxxx, že hodnocení xxxxx aktualizované x xxxx xxxxxxxxxxxxx xxxxxxx x realizací reaktivního xxxx xxxxxxxxxx opatření xxxxxxxx xxxxxxxxx xxxxxxxx xxx přijatelnost xxxxx, xxxxxx xxxx zvládání xxxxx.
(3) Xxxxxx xxxxx xxxx být zajištěno x jinými způsoby, xxx xxx xx xxxxxxxxx x xxxxxxxxxx 1 x 2, xxxxx xxxxx a xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx xxxx vyšší xxxxxx xxxxxx rizik.
(4) Orgán x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx hrozby
a) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, zneužití xxxxxxxxx xx xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxxx xxxx selhání xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx s licenčními xxxxxxxxxx,
x) kybernetický xxxx x komunikační xxxx,
x) xxxxxxxx xxx (například xxxx, spyware, xxxxxxx xxxx),
x) xxxxxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx informační infrastruktury xxxx xxxxxxxxxx informačního xxxxxxx,
x) xxxxxxxx fyzické xxxxxxxxxxx,
x) přerušení xxxxxxxxxxx xxxxxx elektronických xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxx xxxxxx x
x) xxxxxxxx xxxx xxxxxxxxx xxxxxx.
(5) Xxxxx x osoba xxxxxxx x §3 písm. x) až x) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx zranitelnosti
a) nedostatečná xxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
x) xxxxxxxxxxxx údržba informačního xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného informačního xxxxxxx,
x) xxxxxxxx nastavení xxxxxxxxxxxx xxxxxxxxx,
x) nedostatečné xxxxxxx při xxxxxxxxxxxxxx x xxxxxxxx negativních xxxxxxxxxxxxxx xxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx činnosti xxxxxxxxx a administrátorů x neschopnost odhalit xxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxx x
x) nedostatečné xxxxxxxxx xxxxxxxxxxxxxx pravidel, nepřesné xxxx xxxxxxxxxxxxx xxxxxxxx xxxx a xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx.
(6) Orgán x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxx xxxxxxxxx xxxxx dále xxxxxxx xxxx hrozby
a) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xx strany xxxxxxxxxxxxxx kritické informační xxxxxxxxxxxxxx,
x) xxxxxxxxx ze xxxxxx zaměstnanců,
c) xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
x) xxxxxxxxxx přerušení xxxxxxxxxxx xxxxxx elektronických xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx xxxx xxxxxx důležitých xxxxxx,
x) nedostatek zaměstnanců x xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx a
g) zneužití xxxxxxxxxxxxx xxxxxxxxxxx nosičů xxx.
(7) Orgán a xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxx hodnocení rizik xxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxxx kritické informační xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
x) nedostatečná xxxx xxxxxxxxx kontroly x
x) xxxxxxxxxxx včasného xxxxxxxx xxxxxxxxx xx strany xxxxxxxxxxx.
§5
Xxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) a x) xxxxxx stanoví bezpečnostní xxxxxxxx v xxxxxxxxx
x) xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx xxxxxx s xxxxxxxxxx,
x) klasifikace xxxxx,
x) xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx a xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx a obnova,
j) xxxxxxxx předávání x xxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx,
x) bezpečné xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxx x nabývání xxxxxxx programového xxxxxxxx x informací,
n) xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx,
x) xxxxxxx osobních xxxxx,
x) fyzická bezpečnost,
q) xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx před škodlivým xxxxx,
x) nasazení x xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) využití x xxxxxx nástroje xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí x
x) používání xxxxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xxxxxx xxxxxxx bezpečnostní xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxxxx bezpečnost,
c) xxxxxx xxxxxxxxxx,
x) xxxxxxxxxxx xxxxx,
x) bezpečnost xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxx x xxxxxxxxxx,
x) řízení xxxxxxxx,
x) bezpečné chování xxxxxxxxx,
x) xxxxxxxxxx a xxxxxx,
x) xxxxxxxxxxx x xxxxxxxx xxxxxxx programového xxxxxxxx a xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) xxxxxxxxx kryptografické xxxxxxx,
x) xxxxxxx před xxxxxxxxx xxxxx a
n) xxxxxxxx x používání xxxxxxxx xxx detekci kybernetických xxxxxxxxxxxxxx událostí.
(3) Xxxxx x osoba xxxxxxx x §3 písm. x) až x) xxxxxx xxxxxxxxxx hodnotí xxxxxxxx xxxxxxxxxxxx politiky x xxxxxxxxxxx ji.
§6
Xxxxxxxxxxx bezpečnost
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxx organizaci xxxxxx xxxxxxxxxxx xxxxxxxxx, x xxxxx xxxxx xxxx xxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx xxxx x jejich práva x xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx systémem.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. c) x x) xxxxxx xxxx xxxxxxxxxxxx role
a) manažer xxxxxxxxxxxx bezpečnosti,
b) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxx xxxxxx xxxxx §2 xxxx. x).
(3) Xxxxx a osoba xxxxxxx x §3 xxxx. x) xxxx xxxxxxxxxxxx role xxxxxxxxx xxxxx xxxxxxxx 2.
(4) Xxxxxxx kybernetické xxxxxxxxxxx xx xxxxx, xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, která xx pro xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx způsobilost xxxxx s xxxxxxx xxxxxxxxxxx xxxxxxxxx po xxxx xxxxxxx tří xxx.
(5) Architekt kybernetické xxxxxxxxxxx xx xxxxx xxxxxxxxxxx xxxxx a xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xx pro xxxx činnost xxxxxxxxx x xxxxxxx odbornou xxxxxxxxxxx praxí s xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xx xxxx xxxxxxx xxx xxx.
(6) Auditor xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx provádějící audit xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xx pro xxxx xxxxxxx vyškolena x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx s xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxx xxxxxxx xxx let. Auditor xxxxxxxxxxxx bezpečnosti xxxxxxxx xxxxx xxxx xxxxxxxxx x xxxxx xxxx xxxx je xxxxxxx xx xxxxxx xxxx xxxxxxxxx v xxxxxxxx 2 xxxx. x), x) nebo x).
(7) Xxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx, xxxxx xxxx xxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx se xxxxxxxx xxxxxxxx na xxxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxxx s xxxxxxxxxxxxx xxxxxxxxxxx těchto xxxxxxx.
(8) Xxxxx x xxxxx uvedená v §3 xxxx. x) xx x) xxxxxx xxxxxxx odborné školení xxxx, které xxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 xxxx. 1 xxxx. b).
§7
Stanovení xxxxxxxxxxxxxx požadavků xxx dodavatele
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx zavede pravidla xxx xxxxxxxxxx, která xxxxxxxxxx potřeby xxxxxx xxxxxxxxxxx xxxxxxxxx, a xxxxxxxx je x xxxxxxxxxx xxxx xxxxxx xxxx, které xx xxxxxxxx xx rozvoji, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx informačního systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxx xxxxxxxx xxxxxxxxxx xx xxxxxxx, xxxxxxx xxxx zajištění xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx prokazatelně xxxxxxxxxxx xxxxx x xxxxx xxxxxxx x §3 písm. c) xx x) zákona xxxxxxxx, xxxxx součástí xx ustanovení x xxxxxxxxxxx informací.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx x xxxxxxxxxx xxxxxxxxx x xxxxxxxx 1 xxxx
x) xxxx xxxxxxxxx smlouvy xxxxxxx xxxxxxxxx xxxxx xxxxx přílohy č. 2 k xxxx xxxxxxxx, která xxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) uzavírá xxxxxxx x xxxxxx xxxxxx, xxxxx xxxxxxx způsoby x úrovně xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxx vztah vzájemné xxxxxxx xxxxxxxxxxxx xx xxxxxxxx x kontrolu xxxxxxxxxxxxxx xxxxxxxx, a
c) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx u poskytovaných xxxxxx a xxxxxxxx xxxxxxxxxx xxxxxxxxxx nebo xx dohodě s xxxxxxxxxxx zajistí xxxxxx xxxxxxxxxx.
§8
Řízení aktiv
(1) Orgán x osoba uvedená x §3 xxxx. x) až x) xxxxxx v rámci xxxxxx aktiv
a) xxxxxxxxxxxx x eviduje primární xxxxxx,
x) xxxx xxxxxxx xxxxx, kteří xxxx xxxxxxxxx xx xxxxxxxx xxxxxx, x
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x xxxxxx xx xx xxxxxxxxxxxx xxxxxx xxxxxxxxx v rozsahu xxxxx přílohy č. 1 k xxxx xxxxxxxx.
(2) Při xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx je xxxxx xxxxxxxxx posoudit
a) xxxxxx x důležitost xxxxxxxx xxxxx nebo xxxxxxxxxx xxxxxxxxx,
x) xxxxxx dotčených xxxxxxxx xxxxxxxxxx nebo xxxxxx závazků,
c) rozsah xxxxxxxx xxxxxxxxx řídících x kontrolních xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxx,
x) xxxxx xxxxxxxx xxxxxx,
x) xxxxxx xxxxxxxx běžných xxxxxxxx xxxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona,
g) xxxxxx spojené x xxxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x
x) xxxxxx na xxxxxxxxx xxxxxxx xxxxx nebo xxxxxxx dobré xxxxxxx.
(3) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) x x) zákona xxxx
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxx,
x) určí xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xx xxxxxxxx xxxxxx, a
c) xxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxx závislostí xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
(4) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxx
x) xxxxxxx pravidla xxxxxxx, xxxxx pro xxxxxxxxxxx xxxxxxxxxxxx úrovní xxxxx xxx, xx
1. xxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxx xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx x aktivy xxxxx xxxxxx xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxxx xxxxx x
3. xxxxxxx přípustné xxxxxxx používání xxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx úrovni xxxxx x
x) xxxx způsoby xxx xxxxxxxxxx smazání xxxx ničení xxxxxxxxxxx xxxxxx xxx x xxxxxxx xx xxxxxx xxxxx.
§9
Xxxxxxxxxx lidských zdrojů
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. c) xx x) zákona x xxxxx řízení xxxxxxxxxxx xxxxxxxx xxxxxx
x) stanoví xxxx xxxxxxx bezpečnostního xxxxxxxx, který xxxxxxxx xxxxx, obsah x xxxxxx xxxxxxxxxx xxxxxxx x xxxx osoby xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, které xxxx x xxxxx uvedeny,
b) x xxxxxxx s xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx x xxxxxx xxxxxxxxxxxx a o xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx a xxxxxxxxxxxx xxxxxxx,
x) zajistí xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx bezpečnostní xxxx x
x) xxxxxxx xxxxxxx xxxxxxxxx aktiv x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxx s xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxx x osoba xxxxxxx v §3 xxxx. c) až x) zákona xxxx x xxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx předmět xxxxxxx a xxxxxx xxxx, které xxxxxxx xxxxxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) stanoví pravidla xxx xxxxxx xxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx xxxx, role xxxxxxxxxxxxxx xxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx povědomí, xxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx x prohlubováním bezpečnostního xxxxxxxx,
x) xxxx pravidla x xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx bezpečnostních xxxxxxxx xx xxxxxx uživatelů, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) xxxxxxx změnu xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxxx uživatelů, xxxxxxxxxxxxxx nebo xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
§10
Xxxxxx xxxxxxx a xxxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) zákona x xxxxx xxxxxx xxxxxxx x xxxxxxxxxx xxxxxx technických nástrojů xxxxxxxxx v §21 xx 23 detekuje xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxxx xxxxxxxxxxx získané xxxxxxxxx a xx xxxxxxxx xxxxxxxxxx reaguje x xxxxxxx x §13.
(2) Xxxxx x xxxxx uvedená v §3 písm. x) xx x) xxxxxx x xxxxx xxxxxx xxxxxxx x xxxxxxxxxx xxxx xxxxxxxxx bezpečný xxxxxx informačního systému xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xx xxxxx xxxxxx xxxxxxx provozní xxxxxxxx x xxxxxxx.
(3) Xxxxxxxx xxxxxxxx x xxxxxxx xxxxxx x osoby xxxxxxx v §3 xxxx. x) x x) zákona xxxxxxxx
x) xxxxx a xxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, administrátorů x xxxxxxxxx,
x) postupy pro xxxxxxxx x ukončení xxxxx xxxxxxx, pro xxxxxxx nebo xxxxxxxx xxxxx xxxxxxx po xxxxxxx a xxx xxxxxxxx chybových stavů xxxx mimořádných jevů,
c) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxx ochranu xxxxxxxx x xxxxxxxx x xxxxxx xxxxxxxxxx,
x) xxxxxxx xx xxxxxxxxx xxxxx, xxxxx xxxx xxxxxx jako xxxxxxx xxx xxxxxx neočekávaných xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxx,
x) postupy xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxx x
x) xxxxxxx xxx sledování, plánování x xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxx.
(4) Řízení provozu xxxxxx x xxxxx xxxxxxx x §3 xxxx. c) až x) xxxxxx spočívá x provádění pravidelného xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx.
(5) Xxxxxx xxxxxxx orgánu x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx spočívá x
x) xxxxxxxxx oddělení xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx xxx, že xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx
1. xxxxxxx očekávané xxxxxx xxxxxxxxxxx opatření xx informační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xx xxxxxxxx xxxxxxxxxxxx opatření, xxxxxxxxx xxxxx xxxxxxxxx xxxxxx x xxx xxxxxxxxxx xxxxxxx je xxxxxx Xxxxx x
2. stanoví xxxxxx rychlého provedení xxxxxxxxxxx xxxxxxxx, který xxxxxxxxxxxx možné negativní xxxxxx, a xxxx xxxxxx xxxx xxxx xxxxxxxxx.
(6) Xxxxx x xxxxx uvedená v §3 písm. c) x x) zákona x rámci xxxxxx xxxxxxxxxx
x) xxxxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx xxxx a xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxxx §17,
x) xxxx xxxxxxxx x xxxxxxx xxx xxxxxxx informací, které xxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxx informací xx základě xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxx xxxxxxxx dokumentuje x
x) x xxxxxxx xx xxxxxxxxxxx aktiv xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxx xx xxxxxxx písemných smluv, xxxxxxx součástí xx xxxxxxxxxx x bezpečnosti xxxxxxxxx.
§11
Xxxxxx xxxxxxxx a xxxxxxxx chování xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona xx xxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxx potřeb xxxx xxxxxxx k xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x významnému xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxx opatření, která xxxxxx x xxxxxxxxx xxxxxxx údajů, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx uživatelů x xxxxxxxxxxxxxx informačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury a xxxxxxxxxx informačního systému xxxxx §18 a 19, a xxxxx xxxxx ve xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(3) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxx v xxxxx xxxxxx xxxxxxxx
x) xxxxxxx xxxxxxxxxxxxx aplikacím xxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxx přidělování xxxxxxxxxxxxxxxxxx xxxxxxxxx,
x) přiděluje x xxxxxxx xxxxxxxxxx xxxxxxxxx v xxxxxxx x xxxxxxxxx řízení xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx v xxxxxxxxxxxx skupinách xxxx xxxxxx,
x) využívá xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx podle §18 x nástroj pro xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §19 x
x) xxxxxx xxxxxxxxxxxx opatření xxxxxxxx pro xxxxxxxx xxxxxxxxx xxxxxxxxx zařízení, xxxxxxxx i xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx technických zařízení, xxxxxxx xxxxx a xxxxx uvedená x §3 písm. x) x d) xxxxxx xxxxxxxxxxx.
§12
Akvizice, vývoj a xxxxxx
(1) Xxxxx a xxxxx uvedená x §3 písm. x) xx x) xxxxxx xxxxxxx bezpečnostní xxxxxxxxx xx xxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx spojené x xxxxxx xxxxxxxx, xxxxxxx x xxxxxxx x xxxxxx je xx xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx xxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) x x) xxxxxx dále
a) xxxxxxxxxxxx, xxxxxxx x xxxx xxxxxx xxxxxxxxxxx x xxxxxxxx, xxxxxxx x údržbou xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx; pro xxxxxxx xxxxxxxxx a xxxxxx xxxxx xx xxxxxxxx xxxxx §4 odst. 1 písm. x) xxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx prostředí x xxxxxxx ochranu xxxxxxxxxxx xxxxxxxxxxx dat x
x) provádí bezpečnostní xxxxxxxxx změn informačního xxxxxxx kritické informační xxxxxxxxxxxxxx xxxx komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx před jejich xxxxxxxxx do xxxxxxx.
§13
Zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 písm. x) až e) xxxxxx xxx zvládání xxxxxxxxxxxxxx událostí x xxxxxxxxx
x) xxxxxx nezbytná xxxxxxxx, která zajistí xxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významného xxxxxxxxxxxx xxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx a x xxxxxxxxxx xxxx záznamy,
b) xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí a xxxxxxxxxxxxxx bezpečnostních událostí xxxxxxxxxxxx xxxxxxxxxxx nástroji xxxxx §21 xx 23, xxxxxxx jejich xxxxxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, přijímá xxxxxxxx pro xxxxxxxxx x xxxxxxxx dopadu xxxxxxxxxxxxxx bezpečnostního incidentu, xxxxxxx hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §32 x xxxxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxx xxxxxxx xxxxx bezpečnostní opatření x zamezení xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx x
x) dokumentuje xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
§14
Řízení xxxxxxxxxx xxxxxxxx
(1) Xxxxx a osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx v xxxxx xxxxxx kontinuity xxxxxxxx xxxxxxx
x) xxxxx x povinnosti xxxxxxx xxxxx, xxxxxxxxxxxxxx a xxxx zastávajících bezpečnostní xxxx,
x) xxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, která xx xxxxxxxxxx xxx xxxxxxx, provoz a xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx informačního systému,
2. xxxx xxxxxxxx xxxxx, xxxxx xxxxx xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx obnovena minimální xxxxxx poskytovaných služeb xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, komunikačního xxxxxxx kritické informační xxxxxxxxxxxxxx nebo významného xxxxxxxxxxxx systému, x
3. xxxx xxxxxxxx xxx xxxx xxxxxxx, ke xxxxxxx budou obnovena xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx, a
c) xxxxxxxxx řízení xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx b).
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxxxx x dokumentuje možné xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x posoudí xxxxx xxxxxx xxxxxxxxxxx x ohrožením kontinuity xxxxxxxx,
x) xxxxxxx, aktualizuje x xxxxxxxxxx xxxxxxx xxxxx kontinuity činností xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury,
c) realizuje xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační infrastruktury x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxxxxx pro xxxxxxxxxxx xxxxxx xxxxxxxxxxx podle §26 x
x) stanoví x xxxxxxxxxxx xxxxxxx xxx provedení xxxxxxxx xxxxxxxx Xxxxxx xxxxx §13 x 14 xxxxxx, xx kterých xxxxxxxx
1. xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxx opatření,
2. xxxx dotčených bezpečnostních xxxxxxxx x
3. vyhodnocení xxxxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§15
Xxxxxxxx x xxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 písm. x) xx e) zákona x xxxxx xxxxxxxx x xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx (xxxx jen "xxxxx xxxxxxxxxxxx bezpečnosti")
a) xxxxxxxx xxxxxx bezpečnostních opatření x právními xxxxxxxx, xxxxxxxxx předpisy, jinými xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx se x informačnímu systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x určí opatření xxx xxxx prosazování x
x) xxxxxxx a xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx xxxxxxx zohlední x xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx rizik.
(2) Orgán x osoba xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxxxx provedení xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx s xxxxxxxx xxxxxxxxxxx podle §6 xxxx. 6, xxxxx xxxxxxx správnost x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) x d) xxxxxx xxxx xxx informační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxx kritické informační xxxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx prostředků xxxxxx xxxxxxxxxxxxxxxx xxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxx a xxxxxxx xx xxxxxxxx zranitelnosti.
XXXXX XX
XXXXXXXXX XXXXXXXX
§16
Xxxxxxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx x xxxxx fyzické xxxxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxxxx do xxxxxxxxxx xxxxxxx, xxx xxxx xxxxxxxxxxxx informace x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx x zásahům xx xxxxxxxxxx xxxxxxx, xxx xxxx uchovány xxxxxxxxx x umístěna technická xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx informačního xxxxxxx, x
x) xxxxxxxxx poškození, xxxxxxx nebo xxxxxxxx xxxxx nebo přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 xxxx. c) x d) xxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) pro xxxxxxxxx ochrany na xxxxxx xxxxxxx a
b) xxx xxxxxxxxx xxxxxxx x rámci xxxxxxx xxxxxxxxxx zvýšené xxxxxxxxxxx xxxxxxxxxx xxxxxxx, xx xxxxxxx xxxx xxxxxxxx xxxxxxxxx xxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx.
(3) Xxxxxxxxxx xxxxxxx xxxxxxxxxxx jsou zejména
a) xxxxxxxxxx zábranné prostředky,
b) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx,
x) prostředky omezující xxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxxxx působení xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxx xxxxxxxx xxxxxx,
x) xxxxxxxx systémy,
g) zařízení xxx xxxxxxxxx xxxxxxx xxxx xxxxxxxx dodávky xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxx.
§17
Xxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxx
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxx xxxxxxx integrity xxxxxxxx xxxxxx xxxxxxxxxxx xxxx, xxxxx není xxx xxxxxxx xxxxxx xxxx xxxxx, x vnitřní xxxxxxxxxxx xxxx, xxxxx xx xxx xxxxxxx xxxxxx xxxx osoby, xxxxxx
x) řízení bezpečného xxxxxxxx xxxx vnější x xxxxxxx sítí,
b) xxxxxxxxxx zejména xxxxxxxx xxxxxxxxxxxxxxxxxx xxx xxxx xxxxxxxxxxx xxxx xxxx xxxxxxxxxxx ke zvýšení xxxxxxxxxxx xxxxxxxx dostupných x vnější xxxx x x zamezení xxxxx xxxxxxxxxx xxxxxxx xxxx s vnější xxxx,
x) xxxxxxxxxxxxxx xxxxxxxxxx (§25) pro xxxxxxxx xxxxxxx, xxxxxxxxx xxxxxx xxxx pro xxxxxxx xxxxxx bezdrátových xxxxxxxxxxx x
x) xxxxxxxx xxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxx, xxxxx xxxxxxxxxxxx požadavkům na xxxxxxx xxxxxxxxx komunikační xxxx.
(2) Xxxxx x xxxxx uvedená v §3 xxxx. x) x x) xxxxxx xxxx xxxxxxx xxxxxxxx xxx ochranu xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxx, xxxxx zajistí xxxx xxxxxxxxxx.
§18
Nástroj xxx ověřování xxxxxxxx xxxxxxxxx
(1) Orgán x xxxxx uvedená x §3 písm. x) xx x) xxxxxx xxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx a administrátorů xxxxxxxxx ověření xxxxxxxx xxxxxxxxx a administrátorů xxxx zahájením xxxxxx xxxxxxx v xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x významném xxxxxxxxxxx xxxxxxx.
(3) Nástroj xxx xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxx používá xxxxxxxxxxx xxxxx xxxxxx, xxxxxxxxx
x) xxxxxxxxx xxxxx hesla xxx xxxxx,
x) minimální xxxxxxxxx xxxxx xxx, xx xxxxx xxxx xxxxxxxxx alespoň 3 x xxxxxxxxxxxxx xxxx xxxxxxxxx
1. xxxxxxx xxxxx xxxxx písmeno,
2. nejméně xxxxx xxxx xxxxxxx,
3. xxxxxxx jednu číslici, xxxx
4. nejméně jeden xxxxxxxxx xxxx odlišný xx požadavků uvedených x xxxxxx 1 xx 3,
x) maximální xxxx pro xxxxxxxx xxxxxx xxxxx nepřesahující xxx xxx; tento xxxxxxxxx xxxx vyžadován xxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(4) Orgán x xxxxx uvedená v §3 písm. x) x x) xxxxxx xxxx
x) používá xxxxxxx xxx xxxxxxx xxxxxxxx, xxxxx
1. xxxxxx xxxxxxxxxx xxxxxxxxx dříve xxxxxxxxxxx xxxxx a xxxxxxxx xxxx xxxx hesla xxxxxxx xxxxxxxxx během xxxxxxxxxxx xxxxxx, xxxxx xxxx být xxxxxxx 24 xxxxx, a
2. xxxxxxx xxxxxxxx xxxxxxx xxxxxxxx po xxxxxx xxxx nečinnosti a
b) xxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx. X případě, xx xxxxx nástroj využívá xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxxxx xxxxxxxxx délky xxxxx xxxxxxx xxxxx xxx xxxxxxxx požadavků xxxxx xxxxxxxx 3 xxxx. b) x x).
(5) Xxxxxxx pro xxxxxxxxx xxxxxxxx uživatelů xxxx xxx xxxxxxxx x xxxxxx xxxxxxx, xxx xxxx xxxx xxxxxxxxx v xxxxxxxxxx 3 až 5, xxxxx xxxxx a xxxxx uvedená x §3 xxxx. c) xx x) xxxxxx xxxxxxxxx, xx používá xxxxxxxx zajišťující xxxxxxx xxxx xxxxx úroveň xxxxxxxxx xxxxx.
§19
Xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x osoba uvedená x §3 xxxx. x) xx e) xxxxxx xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxxxx oprávnění
a) xxx xxxxxxx k jednotlivým xxxxxxxxx x xxxxx x
x) xxx čtení xxx, xxx zápis xxx x pro xxxxx xxxxxxxxx.
(2) Orgán x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx xxxx používá xxxxxxx xxx xxxxxx xxxxxxxxxxxx oprávnění, který xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx x souladu x bezpečnostními potřebami x výsledky xxxxxxxxx xxxxx.
§20
Xxxxxxx pro ochranu xxxx xxxxxxxxx xxxxx
Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxx xxxxxx xxxxx spojených x xxxxxxxxx škodlivého xxxx xxxxxxx nástroj xxx xxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx škodlivým kódem, xxxxx zajistí xxxxxxx x stálou kontrolu
a) xxxxxxxxxx xxxx vnitřní xxxx x vnější xxxx,
x) xxxxxxx x xxxxxxxxx xxxxxxxx úložišť x
x) xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxx, jeho xxxxxxx x signatur.
§21
Xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a významných xxxxxxxxxxxx xxxxxxx, jejich xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxx a osoba xxxxxxx x §3 xxxx. c) xx x) xxxxxx používá xxxxxxx pro xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačního systému, xxxxx xxxxxxx
x) xxxx xxxxxxxxx x provozních x xxxxxxxxxxxxxx činnostech, xxxxxxx typ xxxxxxxx, xxxxx x čas, xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx činnost xxxxxxxxxxx, xxxxxxxxxxxx původce a xxxxx xxxxxxxx x xxxxxxxxx nebo neúspěšnost xxxxxxxx x
x) xxxxxxx xxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx čtením nebo xxxxxx.
(2) Xxxxx x xxxxx uvedená v §3 xxxx. x) xx x) xxxxxx xxxx xxxxxx nástroje xxx xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx zaznamenává
a) xxxxxxxxxx a xxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
x) xxxxxxxx provedené xxxxxxxxxxxxxx,
x) xxxxxxxx vedoucí ke xxxxx xxxxxxxxxxxx oprávnění,
d) xxxxxxxxxxx xxxxxxxx v xxxxxxxx nedostatku přístupových xxxxxxxxx x další xxxxxxxxx činnosti xxxxxxxxx,
x) xxxxxxxx x ukončení xxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) automatická xxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxxxxxx xxxxx,
x) xxxxxxxx k xxxxxxxx x činnostech, pokusy x xxxxxxxxxx xx xxxxxxx o xxxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxx zaznamenávání xxxxxxxx a
h) použití xxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxx včetně xxxxx xxxxx, xxxxx xxxxxx x xxxxxxxxxx.
(3) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) xxxxxx xxxxxxx činností xxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxxx nejméně xx dobu 3 xxxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona xxxxxxxxx xxxxxxx xxxxxx xx 24 hodin xxxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxxx aktiv xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx.
§22
Nástroj xxx detekci xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
(1) Xxxxx a xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxxxx xxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx x xxxxx xxxxxxx xxxxxxx, kontrolu x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxx vnitřní xxxxxxxxxxx xxxx x xxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxx xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí, xxxxx xxxxxxx ověření, xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxx
x) v xxxxx vnitřní xxxxxxxxxxx xxxx a
b) serverů xxxxxxxxx xx informačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx.
§23
Xxxxxxx xxx xxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx xxxxxxx xxxxxxx xxx sběr x xxxxxxxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, který x souladu s xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxxx hodnocení xxxxx xxxxxxx
x) xxxxxxxxxxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury,
b) poskytování xxxxxxxxx xxx xxxxxx xxxxxxxxxxxx role o xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxx krit x xxxxxxxxxx infrastruktury x
x) xxxxxxxxxxx vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx identifikace xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx varování určených xxxxxxxxxxxxxx xxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxx zajistí
a) xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x včasné varování, xxx xxxx omezovány xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx nebo xxxxxxx xxxxxxxxx xxxxxxxx, x
x) xxxxxxxxx informací, xxxxx xxxx xxxxxxxxxx nástrojem xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, pro xxxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Xxxxxxxxx xxxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) až x) xxxxxx xxxxxxx bezpečnostní xxxxx zranitelnosti xxxxxxxx, xxxxx jsou přístupné x xxxxxx xxxx, x to před xxxxxx xxxxxxxx do xxxxxxx a po xxxxx xxxxxxx změně xxxxxxxxxxxxxx mechanismů.
(2) Xxxxx x osoba xxxxxxx x §3 písm. x) x x) xxxxxx xxxx x xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx trvalou xxxxxxx
x) xxxxxxxx a xxxxxxxxx xxxxxxxxxx x xxxxxx xxxx xxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxxxxxxx nebo xxxxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx před xxxxxx xxxxxxxxxxxx, xxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxxxxxx duplikováním xxxx xxxxxxxxxx.
§25
Xxxxxxxxxxxxxx prostředky
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx
x) xxx používání xxxxxxxxxxxxxx xxxxxxx xxxxxxx
1. xxxxxx ochrany x xxxxxxx xx typ x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx x
2. pravidla xxxxxxxxxxxxxx ochrany informací xxx přenosu po xxxxxxxxxxxxx sítích xxxx xxx xxxxxxx na xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx nosiče xxx a
b) v xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, které xxxxxxx xxxxxxx důvěrnosti x xxxxxxxxx xxxxxxxxxxx xxxx ukládaných dat x průkaznou xxxxxxxxxxxx xxxxx za xxxxxxxxx xxxxxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) xxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxx xxxxx, xxxxx xxxxxxx xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, xxxxxxxxx, xxxxx, ničení, kontrolu x audit klíčů, x
x) xxxxxxx xxxxxx xxxxxxxxxxxxxx algoritmy a xxxxxxxxxxxxxx xxxxx; x xxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxx na xxxxxxxxxxxxxx xxxxxxxxx uvedenými x příloze č. 3 x xxxx xxxxxxxx řídí xxxxxx xxxxxxx s xxxxx xxxxxxxxxx.
§26
Xxxxxxx pro zajišťování xxxxxx xxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) až e) xxxxxx v xxxxxxx x bezpečnostními xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx používá xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x osoba uvedená x §3 xxxx. x) a x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, který xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxx splnění xxxx xxxxxx xxxxxxxxxx xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx vůči xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, které xx mohly xxxxxx xxxxxxxxxx, x
x) zálohování xxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx
1. xxxxxxxx xxxxxxxxxx x xxxxxx xxxxxx x
2. xxxxxxxxxx xxxxxxxxxx technických xxxxx x xxxxxxx xxxx.
§27
Xxxxxxxxxx xxxxxxxxxxxx a xxxxxxxx systémů
Orgán a xxxxx xxxxxxx v §3 xxxx. x) x x) zákona xxx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx, xxxxx xxxx informačním xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxx xxxxxx součástí, používá xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxx xxxxxxxx x síti x xxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxxx a xxxxxxxxxx xxxxxxxx k xxxx xxxxxxxxxxxx x řídicích xxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxx systémů xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx x
x) obnovení xxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
XXXXX III
BEZPEČNOSTNÍ XXXXXXXXXXX
§28
Xxxxxxxxxxxx xxxxxxxxxxx
(1) Orgán x xxxxx uvedená x §3 písm. c) x d) zákona xxxx x xxxxxxxxxxx xxxxxxxxxxxx dokumentaci, která xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 xxxx. 1,
x) xxxxxx z xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx podle §3 xxxx. 1 písm. x),
x) metodiku xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx a pro xxxxxxxxxxxx a xxxxxxxxx xxxxx,
x) zprávu x xxxxxxxxx xxxxx a xxxxx,
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) xxxx zvládání xxxxx,
x) plán xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. x),
x) strategii xxxxxx xxxxxxxxxx xxxxxxxx podle §14 xxxx. 1 xxxx. c) x
x) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx a xxxxxx předpisů x xxxxxxxxx xxxxxxx xxxxx §15 odst. 1 xxxx. x).
(2) Orgán x xxxxx uvedená x §3 písm. x) xxxxxx xxxx x aktualizuje bezpečnostní xxxxxxxxxxx, která xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx podle §5 xxxx. 2,
x) xxxxxxxx pro xxxxxxxxxxxx x hodnocení xxxxx x xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx xxxxx §4 xxxx. 2 xxxx. x),
x) xxxxxx x hodnocení xxxxx x rizik xxxxx §4 xxxx. 2 písm. b) x x),
x) xxxxxxxxxx x aplikovatelnosti xxxxx §4 xxxx. 2 xxxx. x),
x) xxxx xxxxxxxx xxxxx xxxxx §4 xxxx. 2 xxxx. e),
f) xxxx xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle §13 xxxx. x),
x) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxx §14 odst. 1 písm. x) x
x) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx předpisů x jiných xxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §15 xxxx. 1 xxxx. x).
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx xxx, xxx záznamy x xxxxxxxxxxx xxxxxxxxxx xxxx xxxxx, čitelné, xxxxxx xxxxxxxxxxxxxxxxx x xxx xx daly xxxxxx xxxxxxxx. Opatření xxxxxxxx x xxxxxxxxxxxx, xxxxxxx, xxxxxxx, vyhledání, xxxx xxxxxxxxx x xxxxxxxxxx xxxxxxx o provedených xxxxxxxxxx xxxxxxxxxxx.
(4) Doporučená xxxxxxxxx bezpečnostní xxxxxxxxxxx xx xxxxxxxxx x příloze č. 4 k xxxx xxxxxxxx.
§29
Prokázání xxxxxxxxxxx
Xxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx e) xxxxxx, xxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx systém xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxx xxxxxxxxxx systém xx xxxxx xxxxxxx xx rozsahu xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxx certifikován xxxxx xxxxxxxxx technické xxxxx1) akreditovaným xxxxxxxxxxxxx xxxxxxx, x xxxxx xxxx xxxxxxxxx xxxxxxxxxx
x) xxxxx xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx xxxxxxxx x xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) popis xxxxxxx xxxxxx xxxxxxxxx xxxxx a xxxxxx x hodnocení xxxxx,
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx zabývající xx xxxxxxxxxxx informací1),
f) záznam x xxxxxxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx xxxxxx souvisejících vstupů x xxxxxxx přezkoumání x
x) xxxxxx z xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx včetně xxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxxxx xx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx podle xxxxxx x xxxx xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§30
Xxxx kybernetických bezpečnostních xxxxxxxxx
(1) Podle xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx xxxxxxxx vedoucí x průniku xx xxxxxxx xxxx x xxxxxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxx překonáním xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx spojený x xxxxxxxx trvale xxxxxxxxxx hrozeb a
f) xxxxxxx kybernetické bezpečnostní xxxxxxxxx xxxxxxxxx kybernetickým xxxxxx.
(2) Xxxxx xxxxxx xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx typů
a) kybernetický xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx narušení integrity xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx narušení xxxxxxxxxxx xxxxx, nebo
d) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx kombinaci xxxxxx xxxxxxxxx x písmenech x) až c).
§31
Xxxxxxxxx kybernetických bezpečnostních xxxxxxxxx
(1) Pro xxxxxxx xxxxxxxx kybernetických bezpečnostních xxxxxxxxx xx xxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Kategorie XXX - xxxxx xxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, při xxxxxx xx xxxxx x xxxxxxxx narušena bezpečnost xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho řešení xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x tím, xx xxxx být xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx dalšímu šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx XX - xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx xxxxxx xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx šíření kybernetického xxxxxxxxx včetně minimalizace xxxxxxxxx xxxx.
x) Xxxxxxxxx X - xxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx kterém xxxxxxx k xxxx xxxxxxxxxx xxxxxxxx bezpečnosti xxxxxxxxxxxxx služeb xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx xxx vhodnými xxxxxxxxxx xxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxxxx minimalizace xxxxxxxxx škod.
(2) Xxxxx x xxxxx uvedená x §3 písm. x) až x) xxxxxx při xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx podle xxxxxxxx 1 xxxxxxxx
x) xxxxxxxxxx xxxxxxxxx aktiv xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) dopady xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxx xxxxxxxxxx informačního xxxxxxx,
x) dopady xx xxxxxx xxxxxxxxxxx jinými xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačními xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxx xxxxxxxxxx xxxxxxxxxxxx systémy x
x) xxxxxxxxxxxxx xxxxx x xxxxx xxxxxx.
§32
Xxxxx a xxxxxxxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx uvedená v §3 písm. c) xx e) xxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx
x) x elektronické xxxxxx xxxxxxxxxxxxxxx
1. xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
2. xxxxxx na xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxx pro příjem xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxxxxxx na xxxxxxxxxxxxx stránkách Xxxxx,
3. xxxxxx xxxxxx xx xxxxxx xxxxxxxx Xxxxx, xxxx
4. xxxxxxxxxxxxxxx určeného xxxxxxxx xxxxxxxx, jehož xxxxx xx zveřejněn xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx, xxxxx
x) v xxxxxxxx podobě xx xxxxxx Xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti, xxxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx.
(2) Xxxxxxx v xxxxxxxx xxxxxx se xxxxxx xxxxx x xxxxxxxxx, xxx nelze xxxxxx žádný ze xxxxxxx xxxxxxxxx v xxxxxxxx 1 xxxx. x).
(3) Náležitosti xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxx uvedeny x příloze č. 5 x této xxxxxxxx.
XXXX XXXXXX
XXXXXXXXX XXXXXXXX X KONTAKTNÍ XXXXX
§33
Xxxxxxxxx xxxxxxxx
Xxxxx x osoba xxxxxxx v §3 xxxx. x) až x) zákona xxxxxx xxxxxxxxx reaktivního opatření x xxxx xxxxxxxx xx xxxxxxxxx, xxxxx xxxx je uveden x příloze č. 6 x xxxx vyhlášce.
§34
Kontaktní xxxxx
Xxxxx x xxxxx xxxxxxx v §3 xxxxxx oznamuje xxxxxxxxx údaje xx xxxxxxxxx, xxxxx vzor xx xxxxxx x příloze č. 7 x xxxx xxxxxxxx. Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx xxxxxxxx kontaktní xxxxx xxxxxx uvedenou v §32 xxxx. 1 xxxx. x).
ČÁST XXXX
XXXXXXXX
§35
Xxxx xxxxxxxx xxxxxx účinnosti dnem 1. xxxxx 2015.
Xxxxxxx:
Xxx. Xxxxxxxx x. x.
Xxxxxxx č. 1 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxxx x xxxxxx důležitosti xxxxx
Xxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxx xxxxxxx stupnice x xxxxxxx xxxxxxxx. Xxxxx nebo xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona xxxx xxxxxxxx xxxxxxx xxxxx xxxxxx pro hodnocení xxxxxxxxxxx aktiv, než xxxx xx xxxxxx x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxxx důležitosti xxxxx x xxxxxxxxxx x úrovněmi pro xxxxxxxxx důležitosti aktiv, xxxxx xxxx uvedeny x této xxxxxxx.
X xxxxxxx xxxxxxx tří xxxxxx hodnocení důležitosti xxxxx xx xxxxxxxxx xxxxxxx xxx xxxxxx xxxxx x xxxxxxx, xxxx xxxxxx xxxxxx x xxxxxxxx.
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx přístupná nebo xxxx xxxxxx xx xxxxxxxxxx (např. xx xxxxxxx xxxxxx č. 106/1999 Sb., x svobodném přístupu x informacím, xx xxxxx xxxxxxxxxx xxxxxxxx). Xxxxxxxx důvěrnosti xxxxx xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) až x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx nejsou xxxxxxx přístupná a xxxxx know-how orgánu x xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx, xxxxxxx aktiv xxxx vyžadována xxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxxxx. |
Xxx ochranu xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxx řízení xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx veřejně xxxxxxxxx x xxxxxx xxxxxxx je xxxxxxxxxx xxxxxxxx xxxxxxxx, jinými xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (xxxx. xxxxxxxx xxxxxxxxx podle xxxxxx č. 89/2012 Sb., xxxxxxxx zákoník, xxxxxx xxxxx xxxxx xxxxxx č. 101/2000 Sb., o xxxxxxx osobních xxxxx, xx xxxxx xxxxxxxxxx xxxxxxxx). |
Xxx xxxxxxx xxxxxxxxxx xxxx využívány prostředky, xxxxx xxxxxxx řízení x xxxxxxxxxxxxx přístupu. Xxxxxxx xxxxxxxxx vnější xxxxxxxxxxx xxxx xxxx xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx veřejně xxxxxxxxx x vyžadují xxxxxxxxxxxxx míru xxxxxxx xxx rámec xxxxxxxxx xxxxxxxxx (např. xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxx údaje). |
Pro xxxxxxx xxxxxxxxxx xx požadována xxxxxxxx xxxx, xxxxx x xxxxxxx přistoupily, x xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx aktiv xx xxxxxx administrátorů. Xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx xxx hodnocení xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx zájmy xxxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx. |
Xxxx vyžadována xxxxx ochrana. |
|
Střední |
Aktivum xxxx xxxxxxxxx xxxxxxx x xxxxxxxx integrity. Narušení xxxxxxxxx xxxxxx xxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x xxxxx uvedené v §3 xxxx. c) xx x) xxxxxx x může xx xxxxxxxx xxxx xxxxxxxxx xxxxxx xx primární xxxxxx. |
Xxx ochranu integrity xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (např. xxxxxxx xxxxxxxxxxxx práv xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx aktiva xxxx k poškození xxxxxxxxxxx xxxxx orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx x xxxxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx xxxxxxxxx speciální xxxxxxxxxx, xxxxx dovolují xxxxxxxx xxxxxxxx provedených xxxx x xxxxxxxxxx xxxxxxxx xxxxx provádějící xxxxx. Xxxxxxx integrity xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxx xx zajištěna xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx vyžaduje xxxxxxx z xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxx k xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx e) zákona x xxxxxxx x xxxxx vážnými xxxxxx xx xxxxxxxx aktiva. |
Pro ochranu xxxxxxxxx xxxx využívány xxxxxxxxx prostředky jednoznačné xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxx. xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxx a x xxxxxxx výpadku je xxxxx tolerováno xxxxx xxxxxx xxxxxx xxx xxxxxxx (xxx do 1 týdne). |
Pro xxxxxxx xxxxxxxxxxx je postačující xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx xxxx pracovního xxx, xxxxxxxxxxxxx výpadek xxxx x možnému xxxxxxxx zájmů xxxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx. |
Xxx xxxxxxx dostupnosti xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx by xxxxxx xxxxxxxxx xxxx xxxxxxxx hodin. Xxxxxxxx xxxxxxx je xxxxx xxxxx xxxxxxxxxx, xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxx orgánu x xxxxx uvedené x §3 xxxx. x) xx e) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx xxxxx důležitá. |
Pro xxxxxxx dostupnosti jsou xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx poskytování xxxxxx může být xxxxxxxxx xxxxxx xxxxxxx xxxx výměnou technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx a x xxxxxxxxxx xxxxxxxxxxxx (x xxxx xxxxxxxx xxxxx) vede k xxxxxxx ohrožení xxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx. Aktiva jsou xxxxxxxxxx xxxx kritická. |
Pro xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x obnova poskytování xxxxxx xx krátkodobá x xxxxxxxxxxxxxx. |
Příloha x. 2 x vyhlášce x. 316/2014 Sb.
Hodnocení xxxxx
Xxxxxxxxx xxxxx je vyjádřeno xxxx xxxxxx, kterou xxxxxxxxx xxxxx, xxxxxx x zranitelnost.
Pro hodnocení xxxxx xxx xxxxxx xxxxxxx xxxx xxxxxx
xxxxxx = xxxxx x xxxxxx x xxxxxxxxxxxx.
Xxxxxxxxxxx xxxxxx funkce pro xxxxxx xxxxxx je xxxxxxxxx xxxxxxxx xxxxxxxx xxx identifikaci x xxxxxxxxx xxxxxx
|
Xxxxxxxx xxx xxxxxxxxx dopadů |
|
|
Úroveň |
Popis |
|
Nízký |
Dopad xx x omezeném xxxxxxx xxxxxx a malého xxxxxxx a nesmí xxx katastrofický. Rozsah případných xxxx xxxxxxxxxxx x) 10 xxxxxxxxx xxxx s xxxxxxxxx xxxxxxxxxxxxx po xxxx xxxxx než 24 xxxxx nebo b) xxxxxxxx xxxx xxxxxxxxxx xxxxxx do 5&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx na veřejnost x rozsáhlým omezením xxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxx zásahu xx xxxxxxxxxxxx života xxxxxxxxxxxxx xxxxxxx 250 xxxx. |
|
Xxxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx x x xxxxxxxx časovém xxxxxx. Xxxxxx xxxxxxxxxx xxxx se xxxxxxxx x xxxxxxx x) xx 10 xxxxxxx xxxx od 11 xx 100 xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 hodin xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xx 5&xxxx;000&xxxx;000 Xx xx 50&xxxx;000&xxxx;000 Kč xxxxx x) xxxxxxxxxxx dopad xx xxxxxxxxx x xxxxxxxxx xxxxxxxx nezbytných xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx od 251 xx 2&xxxx;500 xxxx. |
|
Xxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx, ale trvalý xxxx katastrofický. Rozsah xxxxxxxxxx xxxx xx xxxxxxxx x xxxxxxx x) xx 11 xx 100 xxxxxxx xxxx xx 101 xx 1 000 osob s xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx než 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx od 50&xxxx;000&xxxx;000 Xx do 500&xxxx;000&xxxx;000 Xx anebo c) xxxxxxxxxxx xxxxx xx xxxxxxxxx x rozsáhlým omezením xxxxxxxxxx xxxxxx xxxx xxxxxx závažného xxxxxx xx každodenního xxxxxx xxxxxxxxxxxxx xx 2&xxxx;501 xx 25&xxxx;000 xxxx. |
|
Xxxxxxxx |
Xxxxx xx xxxxxx xxxxxxxx, xxxxxx x katastrofický. Rozsah xxxxxxxxxx xxxx se xxxxxxxx x rozmezí a) 10 a více xxxxxxx x 1 001 a xxxx xxxx s xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) finanční xxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx 500&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x xxxxxxxxx omezením nezbytných xxxxxx xxxx jiného xxxxxxxxx zásahu do xxxxxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxx xxx 25&xxxx;000 xxxx. |
|
Xxxxxxxx xxx hodnocení xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx neexistuje nebo xx málo xxxxxxxxxxxxx. Xxxxxxxxxxxxx realizace hrozby xxxx xxxxxxxx xxx xxxxxx xx 5 xxx. |
|
Xxxxxxx |
Xxxxxx xx málo xxxxxxxxxxxxx až xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx hrozby xx x xxxxxxx xx 1 roku xx 5 let. |
|
Vysoká |
Hrozba xx xxxxxxxxxxxxx xx xxxxx pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x xxxxxxx od 1 xxxxxx xx 1 xxxx. |
|
Xxxxxxxx |
Xxxxxx je xxxxx pravděpodobná xx xxxxxxxx xxxxx. Předpokládaná xxxxxxxxx hrozby xx xxxxxxxx než xxxxxx xx xxxxx. |
|
Xxxxxxxx pro xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxx xxxx xxxxxxxxx xxxxx slabiny xxxx xxxxxxxx pokusy o xxxxxxxxx opatření. |
|
Střední |
Zranitelnost xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Existují xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxxxxx je pravidelně xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx detekovat xxxxx slabiny xxxx xxxxxxxx xxxxxx x xxxxxxxxx opatření xx xxxxxxx. Nejsou známé xxxxx úspěšné xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx je xxxxxxxxxxxxx xx xxxxx pravděpodobná. Xxxxxxxxxxxx opatření existují, xxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x není xxxxxxxxxx kontrolována. Jsou xxxxx xxxxx xxxxxxx xxxxxx o xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx xx xx xxxxxxxx jisté xxxxxxxx. Bezpečnostní opatření xxxxxx realizována anebo xx xxxxxx xxxxxxxx xxxxxx omezena. Xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxx xxxxxxx pokusy xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx rizik |
|
|
Úroveň |
Popis |
|
Nízké |
Riziko xx xxxxxxxxxx xx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx xxxxxxx xxxx náročnými xxxxxxxxxx xxxx x případě xxxxx náročnosti xxxxxxxx xx xxxxxx xxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxx xxxxxxxxxxx x xxxx být xxxxxxxx xxxxxxxxxxxx xxxxx x xxxx odstranění. |
|
Kritické |
Riziko xx nepřípustné x xxxx být neprodleně xxxxxxxx xxxxx k xxxx xxxxxxxxxx. |
X xxxxxxx, xx xxxxx xxxx xxxxx uvedená x §3 xxxx. x) xx x) zákona xxxxxxx xxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx hrozby x xxxxxxxxxxxxx, xx xxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx. Sloučení stupnic xx nemělo vést xx ztrátě xxxxxxxxxx xxxxxxxxx xxxx hrozby x xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxx zřetelně xxxxxxx xxx xxxxxx hrozby, xxx x úroveň xxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx x xxxxx xxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona, xxxxx používá xxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx a rizik.
Xxxxxxx x. 3 x xxxxxxxx x. 316/2014 Sb.
Minimální požadavky xx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx algoritmy
a) Xxxxxxx x xxxxxxxx šifry xxx ochranu důvěrnosti x integrity
1. Advanced Xxxxxxxxxx Xxxxxxxx (XXX) x xxxxxxxx xxxxx xxxxx 128, 192 x 256 bitů Xxxxxx Data Xxxxxxxxxx Xxxxxxxx (3XXX) x xxxxxxxx xxxxx xxxxx 168 xxxx, xxxxxxx xxxxxxx jen se xxxxxxxxx xxxxx xxxxxx xxx 10 GB, xxxxxxxx přecházet xx XXX.
2. Triple Xxxx Xxxxxxxxxx Xxxxxxxx (3XXX) x využitím xxxxx xxxxx 112 xxxx, xxxxxxx použití jen xx xxxxxxxxx xxxxx xxxxxx xxx 10 XX, xxxxxxxx přecházet xx XXX. Xxxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx xxx xxxxxx zprávu.
3. Xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx klíčů 128 xxxx, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxx xxxxxx xxx 10 GB.
4. Xxxxxx x xxxxxxxx xxxxx xxxxx 128 xxxx, xxxxxxx xxxxxxx xxx xx zatížením xxxxx xxxxxx než 10 GB.
5. Xxxxxxx x xxxxxxxx délky xxxxx 128 xx 256 bitů.
6. Serpent x využitím délky xxxxx 128, 192, 256 bitů.
7. Xxxxxxxx x xxxxxxxx délky xxxxx 128, 192 x 256 xxxx.
8. XXXX 2.0, XXXX 3X x xxxxxxxx xxxxx xxxxx 128, 256 xxxx.
x) Xxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx
1. CCM,
2. EAX,
3. XXX,
4. Xxxxxxx schémata xxxx "Xxxxxxx-xxxx-XXX".
Xxxxxxxx:
Xxxxxxxx xxxx "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx x xxxxxxxxx xxxxx xxxxxxx xxxxxxxxx xxxx a x xxxxxxx XXX xxxxx uvedené xxxx xxx xxxxxxx integrity.
c) Xxxx šifrování
1. XXX,
2. XXX,
3. XXX,
4. XXX,
Xxxxxxxx:
Xxxx XXX x XXX xxxx být xxxxxxx x náhodným, xxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxx xxxx XXX xx xxx xxxx xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxxx xxxxxxx, xxx xxxxxxx xxxx XXX xx pro daný xxxx nesmí xxxxxxxx xxxxxxx čítače, x xxxxxxx xxxxxxx CBC xxxx x šifrování xxx ochrany integrity xx xxxxx xxxxxx xxxxxxxx proti xxxxx xx padding XXX xxxx.
x) Módy pro xxxxxxx xxxxxxxxx
1. HMAC,
2. XXX-XXX-X9.19, omezené xxxxxxx xxx se xxxxxxxxx xxxxxx než 109 XXX,
3. XXX-XXX-XXXX,
4. CMAC.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Pro xxxxxxxxxxx digitálního podpisu
1. Xxxxxxx Xxxxxxxxx Algorithm (XXX) s xxxxxxxx xxxxx xxxxx 2048 xxxx x více, xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx 224 xxxx x více.
2. Xxxxxxxx Xxxxx Digital Xxxxxxxxx Xxxxxxxxx (EC-DSA) s xxxxxxxx délky klíčů 224 xxxx a xxxx.
3. Xxxxxx-Xxxxxx-Xxxxxxx Probablistic Xxxxxxxxx Xxxxxx (XXX-XXX) x využitím délky xxxxx 2048 xxxx x xxxx.
x) Pro xxxxxxx xxxxx xx xxxxx x xxxxxxxxx xxxxx
1. Diffie-Hellman (XX) x xxxxxxxx xxxxx xxxxx 2048 xxxx x xxxx, xxxxx xxxxxxxxx xxxxxxx xxxxxxxx 224 xxxx x xxxx.
2. Xxxxxxxx Xxxxx Xxxxxx-Xxxxxxx (XXXX) x xxxxxxxx xxxxx xxxxx 224 xxxx x xxxx.
3. Elliptic Curve Xxxxxxxxxx Xxxxxxxxxx Xxxxxx - Key Encapculation Xxxxxxxxx (XXXXX-XXX) x xxxxxxxx xxxxx xxxxx 256 xxxx x xxxx.
4. Provably Xxxxxx Xxxxxxxx Xxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXXX-XXX) x xxxxxxxx xxxxx klíčů 256 xxxx více.
5. Asymetrie Xxxxxxx xxx Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) x xxxxxxxx délky xxxxx 256 xxxx x xxxx.
6. Rivest Xxxxxx Xxxxxxx - Xxxxxxx Xxxxxxxxx Xxxxxxxxxx Xxxxxxx (XXX-XXXX) x xxxxxxxx délky xxxxx 2048 a více.
7. Xxxxxx Xxxxxx Xxxxxxx - Key Xxxxxxxxxxxxx Xxxxxxxxx (XXX-XXX) s xxxxxxxx xxxxx xxxxx 2048 x xxxx.
(3) Xxxxxxxxx xxxx xxxxxx
x) XXX-2
1. XXX-224,
2. SHA-256,
3. XXX-384,
4. SHA-512,
5. XXX-512/224,
6. XXX-512/256.
x) XXX-3
1. XXX3-224,
2. XXX3-256,
3. XXX3-384,
4. XXX3-512,
5. XXXXX-128,
6. XXXXX-256.
x) Xxxxxxx xxxxxxxx xxxxxx
1. Xxxxxxxx,
2. XXXXXX-160,
3. XXX 1 x omezeným xxxxxxxx.
Xxxxxxxx x. 1:
XXX-1 se xxxxx používat pro xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx, xxxxxxxx xxxxxxx, xxxxxxxxx jiné aplikace xxxxxxxxxx nekolizní XXX-1.
Xxxxxxxx x. 2:
SHA-1 xxx xxxxxxxx pouze pro xxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx a xxxxxxxx razítek, xxxxxxxxxx x xxxxxxxxx HMAC-SHA1, xxxxxx pro xxxxxxxxxx xxxxx x xxxxxxxxxxxxx xxxxxxxxxx.
Xxxxxxx x. 4 x xxxxxxxx x. 316/2014 Sb.
Struktura bezpečnostní xxxxxxxxxxx
Xxxx xxxxxxx obsahuje xxxxxxxxxx xxxxx bezpečnostní xxxxxxxxxxx. Navrhované struktury xxxxxxxxxxxx dokumentů zahrnují xxxxxx, která jednotlivé xxxxxxxxx podle této xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx struktury xxxxxxxxx xxxxxx xxxxxxx x xx xx orgánu xxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxx přístup x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx. Xxxxxxxxx xx i xxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx více xxxxx xx xxxxxxx xxxxxxxxx.
X. Struktura bezpečnostní xxxxxxxx
(1) Xxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 odst. 2 písm. a)]
a) Xxxx, principy a xxxxxxx řízení bezpečnosti xxxxxxxxx.
x) Rozsah x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x postupy pro xxxxxx xxxxxx a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxx xxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Politika organizační xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxx xxxxxxxxxxxxxx xxxx x jejich xxxx x povinností,
1. xxxxx a povinnosti xxxxxxxx kybernetické xxxxxxxxxxx,
2. xxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx bezpečnosti,
3. xxxxx a povinnosti xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
4. xxxxx x xxxxxxxxxx xxxxxxx xxxxx,
5. práva x povinnosti xxxxxx xxx řízení kybernetické xxxxxxxxxxx.
x) Požadavky na xxxxxxxx výkonu xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxx.
(3) Xxxxxxxx řízení xxxxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x principy xxx xxxxx dodavatelů.
b) Xxxxxxxx xxx xxxxxxxxx xxxxx dodavatelů.
c) Xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxx a způsobů x úrovní xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x x xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx xxx provádění xxxxxxxx xxxxxxxx bezpečnostních opatření.
e) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.
(4) Politika klasifikace xxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Identifikace, xxxxxxxxx x xxxxxxxx primárních xxxxx
1. xxxxxx x xxxxxxxx jednotlivých xxxxxxxxxx xxxxx včetně xxxxxx xxxxxx garanta,
2. xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti.
b) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx aktiv
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx aktiv xxxxxx xxxxxx xxxxxx xxxxxxx,
2. určení xxxxx xxxx xxxxxxxxxx a xxxxxxxxxx aktivy.
c) Xxxxxxxx xxxxxxx xxxxxxxxxxxx úrovní xxxxx
1. způsoby xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx pro xxxxxxxxxx x xxxxxxxx aktiv xxxxx xxxxxx xxxxx,
3. xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx.
x) Způsoby xxxxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx.
(5) Xxxxxxxx bezpečnosti xxxxxxxx xxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxx xxxxxxxxx
1. xxxxxxx x xxxxx xxxxxxx uživatelů,
2. xxxxxxx x xxxxx xxxxxxx xxxxxxx xxxxx,
3. xxxxxxx x formy xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx a xxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxxxxxxxxx školení xxxxxx xxxxxxxxxxx.
x) Pravidla xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx politiky xxxxxxx řízení bezpečnosti xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx xxxxx pracovní xxxxxx.
1. xxxxxxx xxxxxxxxx xxxxx a xxxxxxxx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxx xxxxxx.
(6) Xxxxxxxx řízení xxxxxxx x komunikací**
[§5 xxxx. 1 xxxx. f), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxx x odpovědnosti xxxxxxx x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx bezpečného provozu.
c) Xxxxxxxxx x xxxxxxxxx xxxxxxxxxx provozu.
d) Xxxxxx xxxxxxxxxxx zranitelností.
e) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx auditů kybernetické xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
(7) Xxxxxxxx xxxxxx xxxxxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxx minimálních xxxxxxxxx/xxxxxxx znát (xxxx xx xxxx).
x) Xxxxxxxxx xx řízení xxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxx xxxxxxxx.
x) Řízení xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx přístupu xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx přístupových xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx skupinách.
(8) Xxxxxxxx xxxxxxxxxx chování xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxx s xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx.
x) Bezpečné xxxxxxx xxxxxxxxxxxx xxxxx x xxxxxxxx na xxxxxxxx.
x) Xxxxxxxx xxxxxxxx přístup.
e) Xxxxxxxx chování xx xxxxxxxxxx sítích.
f) Xxxxxxxxxx xx vztahu x xxxxxxxx zařízením.
(9) Xxxxxxxx xxxxxxxxxx a xxxxxx**
[§5 xxxx. 1 xxxx. x), §5 odst. 2 písm. x)]
x) Xxxxxxxxx xx xxxxxxxxxx x obnovu.
b) Xxxxxxxx x xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx uložení xxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxx a xxxxxx.
(10) Xxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxx informací**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Způsoby xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Pravidla pro xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(11) Xxxxxxxx řízení xxxxxxxxxxx xxxxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx vybavení,
b) Pravidla x postupy vyhledávání xxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx programového xxxxxxxx,
x) Pravidla x xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx vybavení.
(12) Politika xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx*
[§5 xxxx. 1 xxxx. 1)]
x) Pravidla x xxxxxxx pro xxxxxxxx používání xxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx xxx zajištění xxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxx x xxxxx xxxxxxx v §3 xxxx. c) x x) xxxxxx nedisponuje.
(13) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx licencí xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx*
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x postupy xxxxxxxx xxxxxxxxxxxx xxxxxxxx x jeho xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
(14) Xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxx*
[§5 odst. x písm. x)]
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Xxxxxxx xxxxxxxxxxxxx xxxxxxxxx x záznamů.
c) Xxxxxxxx xxxxxxxx k xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxx.
(15) Xxxxxxxx xxxxxxx xxxxxxxx údajů*
[§5 xxxx. x xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx údajů.
b) Xxxxx xxxxxxxxx x xxxxxxxxxxx organizačních xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
x) Xxxxx přijatých x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxx xxxxx.
(16) Xxxxxxxx xxxxxxx xxxxxxxxxxx**
[§5 xxxx. x xxxx. x)]
x) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Pravidla xxx xxxxxxxx vstupu osob.
c) Xxxxxxxx xxx xxxxxxx xxxxxxxx.
x) Xxxxxxx narušení xxxxxxx bezpečnosti.
(17) Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx**
[§5 xxxx. 1 písm. x)]
x) Pravidla a xxxxxxx xxx zajištění xxxxxxxxxxx xxxx.
x) Xxxxxx xxxx x povinností xx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxx v xxxxx xxxx.
x) Pravidla a xxxxxxx pro xxxxxxx xxxxxxxxxx přístupu k xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx xxxx a vyhodnocování xxxxxxxxxx xxxxxxx.
(18) Politika xxxxxxx před xxxxxxxxx xxxxx*
[§5 xxxx. x xxxx. r), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxx vnitřní x vnější xxxx.
x) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxx x sdílených xxxxxxxx xxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxx.
(19) Xxxxxxxx xxxxxxxx a používání xxxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. n)]
a) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Provozní postupy xxx xxxxxxxxxxxxx x xxxxxxxxx na detekované xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx pro detekci xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
(20) Xxxxxxxx využití x xxxxxx xxxxxxxx xxx xxxx a vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla x xxxxxxx pro xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxx pravidel xxx xxxxxxxxxxx kybernetických bezpečnostních xxxxxxxx.
x) Pravidla x xxxxxxx pro optimální xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
(21) Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx**
[§5 xxxx. 1 xxxx. u), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxx x xxxxxxx xx xxx a xxxx xxxxxxxxxxxxxxxx algoritmu.
b) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx xxxxxxx xx xxxxxxxxxxxxx sítích,
2. při xxxxxxx na xxxxxxx xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxx xxxxx dat,
c) Xxxxxx xxxxxx xxxxx.
XX. Xxxxxxxxx xxxxx xxxxxxxxxxx
(1) Xxxxxx z xxxxxx xxxxxxxxxxxx bezpečnosti**
[§28 xxxx. 1 xxxx. x)]
x) Xxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Předmět xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx týmu xxxxxxxx x xxxx, xxxxx xx auditu xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx x místo, kde xxxx xxxxxxxxx xxxxxxxx xxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Zjištění x xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
(2) Xxxxxx x xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx**
[§28 xxxx. 1 xxxx. x)]
x) Xxxxxxxxxxx opatření x xxxxxxxxxxx xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx informací,
b) Xxxxxxxxxxxx xxxx x xxxxxxxxx, které xxxxx xxx vliv xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Zpětná xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x xxxxxxxx xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx a xxxxxx,
3. výsledky xxxxxx,
4. xxxxxxxx xxxx xxxxxxxxxxx,
x) Xxxxxxxx xxxxxxxxx xxxxx x stav xxxxx xxxxxxxx rizik.
e) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx opatření x osob xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(3) Xxxxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx x pro xxxxxxxxxxxx x xxxxxxxxx xxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxxx xxxxx,
2. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxx,
3. určení xxxxxxxx xxx xxxxxxxxx xxxxxx dostupnosti xxxxx.
x) Xxxxxx xxxxxxxx pro xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx dopadu,
2. určení xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. určení xxxxxxxx xxx hodnocení xxxxxx xxxxx,
x) Metody x přístupy xxx xxxxxxxx rizik.
b) Způsoby xxxxxxxxxxx xxxxxxxxxxxx xxxxx.
(4) Xxxxxx x xxxxxxxxx xxxxx x rizik**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx primárních xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx aktiv,
2. určení xxxxxxx xxxxxxxxxx aktiv,
3. xxxxxxxxx primárních aktiv x hlediska xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxx (xxxxxxx xxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) zákona)
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxx xxxxx xxxx primárními x xxxxxxxxxx xxxxxx,
x) Xxxxxxxxxxxxxx x hodnocení xxxxx
1. posouzení xxxxxxx xxxxxx na aktiva,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx existujících opatření,
4. xxxxxxxxx úrovně xxxxxx, xxxxxxxxx xxxx úrovně x xxxxxxxx xxx xxxxxxxxxxxx rizik,
5. určení x schválení xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. návrh xxxxxxxx x xxxxxx xxxxxxxxx.
(5) Xxxxxxxxxx x xxxxxxxxxxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. d)]
a) Xxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx včetně xxxxxxxxxx xxxxxx výběru a xxxxxx xxxxx xx xxxxxxxxxxxxxx rizika.
b) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(6) Xxxx xxxxxxxx xxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxx x cíle xxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx rizik.
b) Xxxxxxxx xxxxxx pro xxxxxxxxxx xxxxxxxxxxxx opatření xxx xxxxxxxx rizik.
c) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx.
x) Způsoby xxxxxxxxx xxxxxxxxxx zavedení jednotlivých xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx rizik.
(7) Xxxx xxxxxxx xxxxxxxxxxxxxx povědomí*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxx x xxxxxxx xxxxxxx uživatelů.
b) Xxxxx x termíny poučení xxxxxxx xxxxx (neplatí xxx xxxxxx x xxxxx uvedené x §3 písm. x) xxxxxx).
x) Xxxxx a xxxxxxx poučení xxxxxxxxxxxxxx (xxxxxxx xxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xxxxxx).
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxx xxxx zastávajících xxxxxxxxxxxx xxxx.
x) Obsah x xxxxxxx xxxxxxx xxxxxx zaměstnanců.
f) Xxxxx x xxxxxxx hodnocení xxxxx.
(8) Zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx.
x) Pravidla a xxxxxxx pro xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(9) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx**
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. h)]
a) Xxxxx a xxxxxxxxxx xxxxxxxxxxxx osob.
b) Cíle xxxxxx xxxxxxxxxx xxxxxxxx
1. xxxxxxxxx xxxxxx poskytovaných xxxxxx,
2. doba xxxxxxxx xxxxx,
3. xxx xxxxxxxx xxxxx.
x) Strategie xxxxxx xxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx dopadů xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxx rizik.
e) Xxxxxx x xxxxx xxxxxxxxxx xxxxx kontinuity.
f) Xxxxxxx xxx realizaci xxxxxxxx xxxxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx.
(10) Xxxxxxx xxxxxx závazných xxxxxxxx xxxxxxxx, vnitřních xxxxxxxx x jiných xxxxxxxx x xxxxxxxxx xxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxx obecně xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxxx a xxxxxx předpisů.
c) Xxxxxxx xxxxxxxxx xxxxxxx.
Xxxxxxxx:
* Xxxxxxxxx xxxxxxxxx xxxxxxxxx je xx xxxxxx střední xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Hodnocení x úroveň xxxxx.
** Xxxxxxxxx důvěrnost xxxxxxxxx xx xx xxxxxx xxxxxx podle stupnice xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
Xxxxxxx x. 5 x xxxxxxxx č. 316/2014 Sb.
Formulář xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 6 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxx xxxxxxxx x xxxxxxxxx reaktivního xxxxxxxx a xxxx xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Příloha x. 7 x xxxxxxxx x. 316/2014 Sb.
Formulář xxx xxxxxxx xxxxxxxxxxx xxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxxxx
Xxxxxx předpis x. 316/2014 Xx. xxxxx xxxxxxxxx xxxx 1.1.2015.
Ke xxx uzávěrky xxxxxx xxxxxxx xxxxx měněn xx doplňován.
Právní xxxxxxx x. 316/2014 Xx. xxx xxxxxx xxxxxxx xxxxxxxxx č. 82/2018 Sb. s xxxxxxxxx xx 28.5.2018.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, pokud xx xxxx netýká xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) ISO/IEC 27001:2013, xxxxxxxx ČSN XXX/XXX 27001:2014