Animace načítání

Stránka se připravuje...


Na co čekáte? Nečekejte už ani minutu.
Získejte přístup na tento text ještě dnes. Kontaktujte nás a my Vám obratem uděláme nabídku pro Vás přímo na míru.

Právní předpis byl sestaven k datu 23.12.2024.

Zobrazené znění právního předpisu je účinné od 28.05.2018.


Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)

82/2018 Sb.

Vyhláška

ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ

Předmět úpravy §1

Vymezení pojmů §2

ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ

HLAVA I - ORGANIZAČNÍ OPATŘENÍ

Systém řízení bezpečnosti informací §3

Řízení aktiv §4

Řízení rizik §5

Organizační bezpečnost §6

Bezpečnostní role §7

Řízení dodavatelů §8

Bezpečnost lidských zdrojů §9

Řízení provozu a komunikací §10

Řízení změn §11

Řízení přístupu §12

Akvizice, vývoj a údržba §13

Zvládání kybernetických bezpečnostních událostí a incidentů §14

Řízení kontinuity činností §15

Audit kybernetické bezpečnosti §16

HLAVA II - TECHNICKÁ OPATŘENÍ

Fyzická bezpečnost §17

Bezpečnost komunikačních sítí §18

Správa a ověřování identit §19

Řízení přístupových oprávnění §20

Ochrana před škodlivým kódem §21

Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22

Detekce kybernetických bezpečnostních událostí §23

Sběr a vyhodnocování kybernetických bezpečnostních událostí §24

Aplikační bezpečnost §25

Kryptografické prostředky §26

Zajišťování úrovně dostupnosti informací §27

Průmyslové, řídicí a obdobné specifické systémy §28

Digitální služby §29

HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE

Bezpečnostní politika a bezpečnostní dokumentace §30

ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT

Kategorizace kybernetických bezpečnostních incidentů §31

Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32

ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE

Reaktivní opatření §33

Kontaktní údaje §34

ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ

Přechodná ustanovení §35

Zrušovací ustanovení §36

Účinnost §37

Příloha č. 1 - Hodnocení aktiv

Příloha č. 2 - Hodnocení rizik

Příloha č. 3 - Zranitelnosti a hrozby

Příloha č. 4 - Likvidace dat

Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace

Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role

Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy

Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů

INFORMACE

82

XXXXXXXX

xx xxx 21. xxxxxx 2018

o xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxx podání v xxxxxxx kybernetické xxxxxxxxxxx x xxxxxxxxx dat (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)

Xxxxxxx xxxx pro xxxxxxxxxxxxx x informační xxxxxxxxxx stanoví xxxxx §28 xxxx. 2 xxxx. x) xx x) x x) xxxxxx x. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx a x xxxxx souvisejících xxxxxx (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), xx xxxxx xxxxxx x. 104/2017 Xx. x zákona x. 205/2017 Xx., (xxxx xxx "xxxxx"):

XXXX XXXXX

XXXXXX XXXXXXXXXX

§1

Xxxxxxx xxxxxx

Xxxx vyhláška zapracovává xxxxxxxxx xxxxxxx Xxxxxxxx xxxx1) x xxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, významný informační xxxxxx, xxxxxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxx xxxxxxxxxx xxxxxx xxxx xxx xxxxxxxxxxxxxx komunikací, xxxxx využívá xxxxxxxxxxxx xxxxxxxxxxx služeb, (xxxx xxx "informační a xxxxxxxxxxx xxxxxx") xxxxxxxx

x) xxxxx a xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,

x) xxxxx x xxxxxx xxxxxxxxxxxxxx xxxxxxxx,

x) xxxx, xxxxxxxxx x hodnocení xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,

d) xxxxxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,

x) xxxx oznámení xxxxxxxxxxx xxxxx a xxxx formu x

x) xxxxxx likvidace dat, xxxxxxxxxx údajů, xxxxxxxxx x jejich xxxxx.

§2

Xxxxxxxx xxxxx

Xxx xxxxx xxxx vyhlášky se xxxxxx

x) xxxxxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, údržbu x xxxxxxxxxx technického xxxxxx,

x) xxxxxxxxxxxxxxx xxxxxxx xxxxxx, xxxxx je xxxxxxxxxx xxx xxxxx xxxx xxxxx, xxxxx jsou xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx zákona, (xxxx xxx "xxxxxxx xxxxx") x xxxx xxxxx xxx xxxxxxx xxxxxx xxxxxxx bezpečnostních xxxxxxxx,

x) xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxx x xxxxxxxx, které xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx,

x) xxxxxxxxxx xxxxx xxxxxxx proces xxxxxxxxxxxx, xxxxxxx x vyhodnocení xxxxx,

x) xxxxxxx potenciální xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxx škodu,

f) xxxxxxxxx xxxxxxx technické xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx podílející xx xx xxxxxxx, xxxxxxx, xxxxxx nebo bezpečnosti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,

x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxx služba, xxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx systém,

h) xxxxxxx xxxxxxx, xx xxxxxx xxxxxx využije xxxxxxxxxxxxx xxxxxx a xxxxxxx xxxxx,

x) xxxxxxx xxxxx xxxxxxx xxxxxxxxxx hodnocení xxxxx, xxxxx x xxxxxxxx xxxxxxxx ke xxxxxxxx rizik, xxxxxxx xxxxxxxxx x riziku x xxxxxxxxx a xxxxxxxxxxx xxxxx,

x) xxxxxxxx xxxxxx bezpečnosti informací xxxx xxxxxxx řízení xxxxxxx xxxxx xxxxxxxx xx xxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxxx ustavení, xxxxxxxx, xxxxxxxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxx,

x) xxxxxxxxxx xxxxxxx xxxxxx technické xxxxxxxx, komunikační xxxxxxxxxx x programové vybavení xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxx, xx kterých xxxx xxxx xxxxxxx xxxxxxxx, xxxxxxx xxxxxxx xxxx xxx xxxxx na xxxxxxxxxx a xxxxxxxxxxx xxxxxx,

x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxx xxxxx xxxxxxx xxxx, xxxxx xxxxxxxxx xxxxxx,

x) xxxxxxxxxx xxxxxxx xxxxx nebo xxxxxxx xxxx, xxxxx xxxx xxxxxxxx xxxxx, xxxx xxxxxxxxxx xxxxx povinné xxxxx,

x) xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxx systému (xxxx xxx "xxxxxxxxxxxx") a xxxxx, xxx x xxxxxxxx xxxxxx vstupuje xx xxxxxxxx xxxxxx, xxxxx xx xxxxxxxx x hlediska xxxxxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,

x) xxxxxxxxx změnou xxxxx, xxxxx xx xxxx může xxx xxxx na xxxxxxxxxxxxx xxxxxxxxxx x představuje xxxxxx riziko,

p) zranitelností xxxxx xxxxx aktiva xxxx xxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx být xxxxxxxx xxxxxx xxxx xxxx xxxxxxxx.

ČÁST XXXXX

XXXXXXXXXXXX XXXXXXXX

XXXXX X

XXXXXXXXXXX XXXXXXXX

§3

Xxxxxx xxxxxx xxxxxxxxxxx informací

Povinná osoba x xxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx

x) xxxxxxx s xxxxxxx xx xxxxxxxxx xxxxxxxxx xxxxx x organizační xxxxxxxxxx rozsah xxxxxxx xxxxxx bezpečnosti informací, xx xxxxxx určí xxxxxxxxxxx xxxxx a xxxxxx, xxxxx se xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,

x) stanoví xxxx systému řízení xxxxxxxxxxx xxxxxxxxx,

x) xxx xxxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxx xxxx xxxxxxx řízení bezpečnosti xxxxxxxxx, bezpečnostních xxxxxx x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,

x) xxxx xxxxxx xxxxx §5,

e) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, která xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx potřeby, práva x xxxxxxxxxx xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx, a xx základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §30 x xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,

x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxx kybernetické xxxxxxxxxxx") xxxxx §16,

g) zajistí xxxxxxxxxx xxxxxxxxxxxxx účinnosti xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxx xxxxxx hodnocení xxxxx, xxxxxxxxx výsledků xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) průběžně xxxxxxxxxxxx x xxxxxxxx xxxxx §11 xxxx xxxxxxxx xxxxx, xxxxx xxxxx do xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxxxxx systém xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx účinnosti xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxx x

x) xxxx xxxxxx a xxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxx xx systémem řízení xxxxxxxxxxx informací x xxxxxxx rizik.

§4

Xxxxxx aktiv

(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxx

x) stanoví xxxxxxxx pro identifikaci xxxxx,

x) stanoví xxxxxxxx xxx hodnocení xxxxx xxxxxxx v xxxxxxx xxxxxxxx v příloze č. 1 x této xxxxxxxx,

x) xxxxxxxxxxxx x xxxxxxx xxxxxx,

x) xxxx a xxxxxxx garanty xxxxx,

x) xxxxxxx x xxxxxxx xxxxxxxx aktiva x xxxxxxxx xxxxxxxxxx, integrity x xxxxxxxxxxx x xxxxxx je xx xxxxxxxxxxxx úrovní xxxxx xxxxxxx x),

x) xxxx x eviduje vazby xxxx xxxxxxxxxx x xxxxxxxxxx aktivy a xxxxxxx xxxxxxxx xxxxxxxxxx xxxx primárními a xxxxxxxxxx aktivy,

g) xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx podle xxxxxxx f),

h) xx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxx a xxxxxx xxxxxxxx xxxxxxx nutná xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,

x) stanoví xxxxxxxxx xxxxxxx používání xxxxx x xxxxxxxx xxx manipulaci x xxxxxx s xxxxxxx xx xxxxxx xxxxx, xxxxxx pravidel xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx x fyzické xxxxxxxxx xxxxx, x

x) určí xxxxxx likvidace xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx kopií xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxx x xxxxxxx xx xxxxxx xxxxx x xxxxxxx x přílohou č. 4 k xxxx vyhlášce.

(2) Xxx xxxxxxxxx xxxxxxxxxxx primárních xxxxx je xxxxx xxxxxxxx xxxxxxx

x) xxxxxx x xxxxxxxxxx xxxxxxxx xxxxx, xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxxxxx,

x) rozsah xxxxxxxxx právních povinností xxxx jiných xxxxxxx,

x) xxxxxx narušení xxxxxxxxx xxxxxxxx a kontrolních xxxxxxxx,

x) poškození veřejných, xxxxxxxxxx nebo xxxxxxxxxxxx xxxxx x xxxxx xxxxxxxx ztráty,

e) xxxxxx xx xxxxxxxxxxx důležitých xxxxxx,

x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx,

x) xxxxxx xx zachování dobrého xxxxx xxxx xxxxxxx xxxxx pověsti,

h) xxxxxx xx xxxxxxxxxx x xxxxxx xxxx,

x) xxxxxx xx mezinárodní xxxxxx x

x) dopady xx xxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx.

§5

Xxxxxx xxxxx

(1) Xxxxxxx xxxxx v xxxxx xxxxxx xxxxx x xxxxxxxxxx na §4

x) xxxxxxx xxxxxxxx pro xxxxxxxxx xxxxx, xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxxxxx xxxxx,

x) x xxxxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxxx x zranitelnosti; xxxxxx xxxxxxx zejména kategorie xxxxxx x xxxxxxxxxxxxx xxxxxxxxx x příloze č. 3 x této xxxxxxxx,

x) xxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 x xxx významných xxxxxxx,

x) xxx xxxxxxxxx xxxxx zohlední relevantní xxxxxx x xxxxxxxxxxxxx x xxxxxxx možné xxxxxx xx xxxxxx; xxxx xxxxxx xxxxxxx xxxxxxx x xxxxxxx přílohy č. 2 x xxxx xxxxxxxx,

x) zpracuje zprávu x xxxxxxxxx xxxxx,

x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx potřeb x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx o xxxxxxxxxxxxxxxx, xxxxx obsahuje xxxxxxx xxxxxxxxxxxxxx xxxxxxxx požadovaných xxxxx vyhláškou, xxxxx

1. xxxxxx xxxxxxxxxx, xxxxxx xxxxxxxxxx,

2. xxxx aplikována, xxxxxx xxxxxxx xxxxxx,

x) xxxxxxxx x zavede xxxx xxxxxxxx rizik, xxxxx xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx opatření pro xxxxxxxx rizik, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx zdroje, xxxxxx xxxxxx xxxxxxxx, xxxxx vazeb xxxx xxxxxx x příslušnými xxxxxxxxxxxxxx opatřeními x xxxxxx xxxxxxxxx bezpečnostních xxxxxxxx,

x) při xxxxxxxxx xxxxx x x xxxxx zvládání rizik xxxxxxxx

1. xxxxxxxx xxxxx,

2. xxxxx rozsahu systému xxxxxx xxxxxxxxxxx xxxxxxxxx,

3. xxxxxxxx xxxxx §11 xxxxxx x

4. xxxxxxxxxxxx xxxxxxxxxxxx incidenty, xxxxxx xxxxx xxxxxxxx, x

x) x xxxxxxx x xxxxxx xxxxxxxx xxxxx xxxxxx bezpečnostní xxxxxxxx.

(2) Xxxxxxx osoba xxxxxxx x §3 písm. x), d) a x) xxxxxx provádí xxxxxxxxx rizik xxxxxxx xxxxxx xxxxx x xxxxxxx osoba xxxxxxx x §3 písm. x) xxxxxx alespoň xxxxxx xx xxx xxxx.

(3) Řízení xxxxx xxxx xxx xxxxxxxxx x xxxxxx xxxxxxx, xxx xxx xx xxxxxxxxx x xxxxxxxx 1 xxxx. x), xxxxx xxxxxxx xxxxx xxxxxxxxx, xx použitá xxxxxxxx xxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxxx xxxxxx xxxxx.

§6

Xxxxxxxxxxx xxxxxxxxxx

(1) Xxxxxxx xxxxx x xxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx

x) zajistí xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx systému xxxxxx bezpečnosti xxxxxxxxx xxxxx §3 slučitelných xx xxxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxx,

x) xxxxxxx xxxxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxx osoby,

c) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx pro xxxxxx xxxxxx bezpečnosti informací,

d) xxxxxxxxx xxxxxxxxxxx o xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxx x xxxx požadavky xx xxxxx dotčenými xxxxxxxx,

x) zajistí xxxxxxx x dosažení zamýšlených xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,

x) xxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxxxx xx při xxxxx xxxxxxxxx,

x) prosazuje xxxxxxxx zlepšování xxxxxxx xxxxxx bezpečnosti informací,

h) xxxxxxxxx xxxxx zastávající xxxxxxxxxxxx xxxx xxx xxxxxxxxxxx kybernetické xxxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxxxxxx,

x) xxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx x xxxx, xxxxx budou xxxxxxxx xxxxxxxxxxxx xxxx,

x) xxxxxxx, xxx byla zachována xxxxxxxxxxx xxxxxxxxxxxxxx x xxxx zastávajících bezpečnostní xxxx,

x) pro osoby xxxxxxxxxxx xxxxxxxxxxxx role xxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx xxxx x xxxxxx souvisejících xxxxx a

l) zajistí xxxxxxxxx plánů xxxxxxxxxx xxxxxxxx, obnovy x xxxxxxx xxxxxxxxx se xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.

(2) Povinná xxxxx x rámci systému xxxxxx xxxxxxxxxxx informací xxxx xxxxxxx xxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx a bezpečnostní xxxx x xxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxx xx xxxxxxxx xxxxxx bezpečnosti informací.

(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), d) x x) zákona xxxx xxxxx, xxxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxx

x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,

x) xxxxxxxxxx kybernetické bezpečnosti,

c) xxxxxxx xxxxxx a

d) xxxxxxxx xxxxxxxxxxxx bezpečnosti.

(4) Xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx xxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxx. Ostatní bezpečnostní xxxx xxxxx xxxxxxxx 3 xxxx xxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.

(5) Xxxxxxx xxxxx xxxxxxx x §3 písm. x), x) a x) xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx v xxxxxxxx 3 písm. a) x x).

(6) Povinná xxxxx uvedená x §3 xxxx. x) xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

(7) Výbor xxx xxxxxx kybernetické xxxxxxxxxxx xx xxxxxx xxxxxxx s xxxxxxxxxxx xxxxxxxxxxx x odbornou xxxxxxxxxxxx pro xxxxxxx xxxxxx a xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx se xxxxxxxxxxxx xx řízení x xxxxxxxxxx činností spojených x xxxxxxxxxxxxx bezpečností, xxxxx xxxxxx musí xxx xxxxxxx xxxxx xxxxxxxx vrcholového vedení xxxx xxx xxxxxxxx xxxxx a xxxxxxx xxxxxxxxxxxx bezpečnosti. Xxxxxxx xxxxx x xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx k xxxxxxxxxxx xxxxxxxx v příloze č. 6 x xxxx xxxxxxxx.

§7

Xxxxxxxxxxxx xxxx

(1) Manažer xxxxxxxxxxxx xxxxxxxxxxx

x) je xxxxxxxxxxxx role xxxxxxxxx xx systém řízení xxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxx xxxx xxxx xxx xxxxxxxx xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx praxí x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx s xxxxxxx bezpečnosti xxxxxxxxx

1. xx xxxx xxxxxxx xxx xxx, xxxx

2. xx dobu xxxxxxx xxxx, xxxxx xxxxxxxxxxx xxxxxxx na xxxxxx xxxxx,

x) xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxx x

1. xxxxxxxxxx xxxxxxxxxxxxx z rozsahu xxxx odpovědnosti a

2. xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx a

c) xxxxx xxx pověřen xxxxxxx xxxx xxxxxxxxxxx xx xxxxxx informačního x xxxxxxxxxxxxx xxxxxxx.

(2) Xxxxxxxxx kybernetické xxxxxxxxxxx xx xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx, xxx xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, přičemž xxxxxxx xxxx xxxx xxxx být xxxxxxxx xxxxx, která xx xxx tuto xxxxxxx xxxxxxxxx x prokáže xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxx implementace xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx

x) xx xxxx nejméně xxx let, xxxx

x) xx xxxx jednoho xxxx, xxxxx absolvovala xxxxxxx xx xxxxxx xxxxx.

(3) Xxxxxx xxxxxx xx xxxxxxxxxxxx xxxx xxxxxxxxx za xxxxxxxxx xxxxxxx, použití x xxxxxxxxxx aktiva.

(4) Xxxxxxx xxxxxxxxxxxx bezpečnosti

a) je xxxxxxxxxxxx xxxx odpovědná xx xxxxxxxxx auditu xxxxxxxxxxxx bezpečnosti, xxxxxxx xxxxxxx xxxx xxxx xxxx xxx xxxxxxxx xxxxx, xxxxx je xxx tuto činnost xxxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x prováděním xxxxxx xxxxxxxxxxxx bezpečnosti nebo xxxxxx systému xxxxxx xxxxxxxxxxx informací

1. xx xxxx nejméně xxx xxx, xxxx

2. xx xxxx jednoho roku, xxxxx xxxxxxxxxxx xxxxxxx xx vysoké xxxxx,

x) xxxxxxxx, xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx, x

x) xxxxx být pověřen xxxxxxx xxxxxx bezpečnostních xxxx.

(5) Xxxxxxx xxxxx xxx xxxxxxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx v příloze č. 6 x xxxx xxxxxxxx.

§8

Xxxxxx xxxxxxxxxx

(1) Xxxxxxx xxxxx

x) xxxxxxx xxxxxxxx xxx xxxxxxxxxx, která xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,

x) xxxx xxxxxxxx svých xxxxxxxxxx dodavatelů,

c) xxxxxxxxxxxx xxxxxxx xxxxxxxxx své xxxxxxxx dodavatele x xxxxxx xxxxxxxx xxxxx xxxxxxx x),

x) seznamuje xxx xxxxxxxxxx x xxxxxxxx podle xxxxxxx x) x vyžaduje xxxxxx xxxxxx xxxxxxxx,

x) xxxx xxxxxx xxxxxxx x xxxxxxxxxx,

x) v xxxxxxxxxxx x xxxxxxx xxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxx, xxx xxxxxxx xxxxxxxxx x významnými dodavateli xxxxxxxxxx xxxxxxxxxx oblasti xxxxxxx v příloze č. 7 x xxxx vyhlášce, x

x) pravidelně xxxxxxxxxxx xxxxxx smluv x xxxxxxxxxx dodavateli z xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.

(2) Xxxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxx dále

a) x xxxxx xxxxxxxxxx xxxxxx x před xxxxxxxxx xxxxxxx provádí hodnocení xxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx přiměřeně podle přílohy č. 2 x xxxx xxxxxxxx,

x) x xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x určí xxxxx xxxxxxxx smluvní xxxxxxxxxxxx xx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,

x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx a xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxx zdrojů nebo xxxxxx třetí xxxxxx x

x) x xxxxxx xx xxxxxx x xxxxxxxx nedostatky zajistí xxxxxx xxxxxx.

(3) Xxxxxxxxxxx xxxxxxxxxxxxxx informování xxxxx xxxxxxxx 1 písm. x) xxxx

x) xxxxxxxxxxxx xxxxxxx nebo xxxxxxxxxxxxx,

x) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,

x) xxxxxxxxxxxx xxxxxxxxxx dodavatele,

d) xxxxxxxxxx x xxxxxxxxxxx, že xxxxxxxxx xx xxx xxxxxxx xxxxxxxxx dodavatelem, x xxxxxxxxx také x tom, že xxxxxxxx dodavatel xx xxxxxxx provozovatelem, a

e) xxxxx pravidel xxxxx xxxxxxxx 1 xxxx. x).

(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx, která xx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 xxxx. c), xxxxx xxxxxxxxx údaje formou xxxxxxxx x §34.

§9

Xxxxxxxxxx xxxxxxxx xxxxxx

(1) Xxxxxxx osoba v xxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx

x) x xxxxxxx xx xxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxxx plán xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxx xx zajistit xxxxxxxxxxxx vzdělávání x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx xxxxx, xxxxx x xxxxxx

1. xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role x xxxxxxxxxx x xxxxxx xxxxxxxxxxxx x o xxxxxxxxxxxx politice x

2. xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,

x) xxxx xxxxx odpovědné xx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, které jsou x xxxxx xxxxxxx,

x) x xxxxxxx s xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxx x xxxxxx povinnostech a x xxxxxxxxxxxx xxxxxxxx xxxxxx vstupních x xxxxxxxxxxxx školení,

d) xxx xxxxx zastávající bezpečnostní xxxx x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx povědomí xxxxxxx xxxxxxxxxx odborná xxxxxxx, xxxxxxx vychází z xxxxxxxxxx xxxxxx povinné xxxxx x oblasti xxxxxxxxxxxx xxxxxxxxxxx,

x) v xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx školení x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx x xxxxxxx x xxxxxx xxxxxxxx náplní,

f) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, administrátorů x xxxx xxxxxxxxxxxxx bezpečnostní xxxx,

x) v xxxxxxx xxxxxxxx smluvního xxxxxx x xxxxxxxxxxxxxx x xxxxxxx zastávajícími bezpečnostní xxxx xxxxxxx xxxxxxx xxxxxxxxxxxx,

x) xxxxxxx účinnost xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, provedených xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x

x) xxxx xxxxxxxx a xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx pravidel ze xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x osob zastávajících xxxxxxxxxxxx role.

(2) Xxxxxxx xxxxx xxxx o xxxxxxx podle xxxxxxxx 1 přehledy, které xxxxxxxx předmět xxxxxxx x xxxxxx osob, xxxxx xxxxxxx xxxxxxxxxxx.

§10

Xxxxxx xxxxxxx x xxxxxxxxxx

(1) Xxxxxxx osoba x xxxxx řízení xxxxxxx a komunikací xxxxxxxxx bezpečný provoz xxxxxxxxxxxx a komunikačního xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx, které obsahují xxxxxxx

x) práva x xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx,

x) xxxxxxx xxx spuštění x xxxxxxxx xxxxx systému, xxx xxxxxxx nebo xxxxxxxx chodu xxxxxxx xx xxxxxxx x xxx xxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxxxxx xxxx,

x) postupy pro xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxx xxxxxxx xxxxxxxx x xxxxxxxx x xxxxxx událostech,

d) xxxxxxxx x postupy xxx xxxxxxx před škodlivým xxxxx,

x) řízení xxxxxxxxxxx xxxxxxxxxxxxx,

x) xxxxxxx xx xxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxx výkonem xxxxxxxxx a xxxxxxxxx xxxxxxx,

x) xxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxx,

x) xxxxxxx xxx xxxxxxxxx, xxxxxxxxx a xxxxxx xxxxxxxx lidských x technických xxxxxx,

x) xxxxxxxx a xxxxxxx xxx xxxxxxx informací x dat x xxxxxxx xxxxxx xxxxxxxxx xxxxx,

x) xxxxxxxx x xxxxxxx xxx instalaci xxxxxxxxxxx xxxxx,

x) xxxxxxxxx xxxxxxxxxxxx zálohování x xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx x

x) xxxxxxxx x xxxxxxx xxx xxxxxxxxx bezpečnosti xxxxxxxx xxxxxx.

(2) Povinná xxxxx x rámci xxxxxx xxxxxxx x komunikací xxxxxxxx pravidla x xxxxxxx xxxxxxxxx podle xxxxxxxx 1 x xxxx xxxxxxxx x xxxxxxx aktualizuje x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx.

(3) Xxxxxxx xxxxx xxxxxxx xxxxxxxx vývojového, testovacího x xxxxxxxxxx prostředí.

§11

Řízení xxxx

(1) Povinná xxxxx v rámci xxxxxx xxxx x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx

x) přezkoumává možné xxxxxx xxxx x

x) xxxxxx významné xxxxx.

(2) Xxxxxxx osoba u xxxxxxxxxx xxxx

x) dokumentuje xxxxxx xxxxxx,

x) xxxxxxx xxxxxxx xxxxx,

x) přijímá xxxxxxxx xx účelem xxxxxxx xxxxx nepříznivých xxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxx,

x) xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx,

x) xxxxxxx xxxxxx xxxxxxxxx x

x) xxxxxxx xxxxxxx navrácení xx původního xxxxx.

(3) Xxxxxxx osoba uvedená x §3 xxxx. x), x) a x) xxxxxx xx xxxxxxx xxxxxxxx xxxxxxx xxxxx podle odstavce 2 xxxx. x) xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxxxx; pokud xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx, postupuje xxxxx §25 odst. 1 x xxxxxxx xx zjištěné xxxxxxxxxx.

(4) Xxxxxxx osoba xxxxxxx x §3 písm. x) xxxxxx se xxxx požadavky xxxxx xxxxxxxx 3 přiměřeně.

§12

Řízení xxxxxxxx

(1) Povinná xxxxx xx xxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxx řídí přístup x informačnímu a xxxxxxxxxxxxx systému a xxxxxxx xxxxxxxx, xxxxx xxxxxx x xxxxxxxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxx §19 x 20, a xxxxx xxxxx ve xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.

(2) Xxxxxxx xxxxx xxxx x xxxxx xxxxxx xxxxxxxx x informačnímu a xxxxxxxxxxxxx systému

a) xxxx xxxxxxx na xxxxxxx xxxxxx a xxxx,

x) xxxxxxx každému xxxxxxxxx x xxxxxxxxxxxxxxxx přistupujícímu x informačnímu a xxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxx a xxxxxxxxx x jedinečný identifikátor,

c) xxxx xxxxxxxxxxxxxx, xxxxxxxxxx xxxxx x xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxx,

x) xxxxxx xxxxxxxxxxxx xxxxxxxx pro řízení xxxxxxxx xxxxxxxx k xxxxxxxxxxx informačního a xxxxxxxxxxxxx xxxxxxx,

x) xxxxxx xxxxxxxxxxxx opatření potřebná xxx xxxxxxxx používání xxxxxxxxx zařízení x xxxxxx xxxxxxxxxxx zařízení, xxxxxxxxx i bezpečnostní xxxxxxxx xxxxxxx x xxxxxxxx technických zařízení, xxxxx povinná xxxxx xxxx xx xxx xxxxxx,

x) xxxxx přidělování xxxxxxxxxxxxxxx oprávnění na xxxxxx xxxxxxxx nutnou x xxxxxx náplně xxxxx,

x) omezí x xxxxxxxxxx xxxxxxxxx programových xxxxxxxxxx, xxxxx xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,

x) přiděluje x xxxxxxx xxxxxxxxxx oprávnění x souladu x xxxxxxxxx xxxxxx xxxxxxxx,

x) xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx rozdělení xx xxxxxxxxxxxx xxxxxx x xxxx,

x) xxxxxxx xxxxxxx xxx správu x xxxxxxxxx xxxxxxxx xxxxx §19 a xxxxxxx xxx řízení xxxxxxxxxxxx oprávnění xxxxx §20,

x) xxxxxxxxx, xxx xxxxxxxxx xxx xxxxxxxxx xxxxxxxxxx autentizačních informací xxxxxxxxxx xxxxxxxxx xxxxxxx,

x) xxxxxxx odebrání nebo xxxxx přístupových xxxxxxxxx xxx xxxxx pozice xxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx nebo osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,

x) xxxxxxx xxxxxxxx nebo xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx xxxx xxxxx xxxxxxxxx xxxxxx x

x) xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx.

§13

Akvizice, vývoj x xxxxxx

Xxxxxxx osoba v xxxxxxxxxxx s plánovanou xxxxxxxx, vývojem x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx

x) xxxx xxxxxx xxxxx §5,

x) xxxx xxxxxxxx xxxxx xxxxx §11,

c) stanoví xxxxxxxxxxxx xxxxxxxxx,

x) xxxxxx xxxxxxxxxxxx xxxxxxxxx do xxxxxxxx akvizice, vývoje x xxxxxx,

x) xxxxxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx dat,

f) xxxxxxx xxxxxxxxxxxx testování významných xxxx před xxxxxx xxxxxxxxx do provozu x

x) xxxx požadavek xxxxx §19 xxxx. 3, xx-xx xxxxx xxxxxxxxx xxxxxxxx nebo xxxxxx xxxxxxx pro xxxxxx x xxxxxxxxx xxxxxxxx.

§14

Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx

(1) Xxxxxxx xxxxx x xxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx

x) xxxxxx xxxxxx xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí x xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxx xxxxxxxxxxxx x stanoví xxxxxxx xxx

1. xxxxxxx x vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí a xxxxxxxxx a

2. xxxxxxxxxx x zvládání kybernetických xxxxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxxx x xxxxxxxx xxxxxxx xxx xxxxxxxxxxxx, xxxx, xxxxxxx a xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx analýzu kybernetického xxxxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx,

x) při xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx xx xxxx xxxx §22 a 23,

x) xxxxxxx, že xxxxxxxxx, xxxxxxxxxxxxxx, osoby xxxxxxxxxxx xxxxxxxxxxxx role, další xxxxxxxxxxx a dodavatelé xxxxx xxxxxxxxx neobvyklé xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx na xxxxxxxxx xxxxxxxxxxxxx,

x) zajistí xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xxxx xxx xxxxxxxxxx, zda xxxx být xxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §31,

x) xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle xxxxxxxxxxx xxxxxxx,

x) přijímá xxxxxxxx xxx xxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,

x) xxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxxx §32,

x) xxxx xxxxxxx o xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech x x xxxxxx xxxxxxxx,

x) xxxxxxxx x xxxx příčiny xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu a

m) xxxxxxxxx xxxxxxxx řešení xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx x xx xxxxxxx xxxxxxxxxxx stanoví xxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxx xxxxxxxxx bezpečnostní xxxxxxxx k zamezení xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.

(2) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x), x) a x) xxxxxx xxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx nástroj xxxxx §24.

§15

Řízení xxxxxxxxxx xxxxxxxx

Xxxxxxx xxxxx x rámci xxxxxx xxxxxxxxxx xxxxxxxx

x) xxxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx,

x) pomocí xxxxxxxxx xxxxx x xxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxxx,

x) xx xxxxxxx výstupů xxxxxxxxx xxxxx a xxxxxxx xxxxxx xxxxx xxxxxxx x) xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx

1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, xxxxx je xxxxxxxxxx xxx xxxxxxx, xxxxxx a xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,

2. xxxx xxxxxxxx xxxxx, xxxxx xxxxx xxxx xx kybernetickém xxxxxxxxxxxxx incidentu xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx, x

3. xxxx xxxxxxxx xxx xxxx xxxxxx xxxxxx, xx xxxxx musí xxx xxxxxx xxxxxxxx xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx nebo xx selhání,

d) stanoví xxxxxxxx řízení kontinuity xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx cílů xxxxx xxxxxxx c),

e) xxxxxxxxx, xxxxxxxxxxx a xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx a havarijní xxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému x xxxxxxxxxxxxx xxxxxx x

x) xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxx kybernetickým xxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxxxxxx x xxxxxxx xxx xxx x xxxxxxxxx xxxxx §27.

§16

Xxxxx xxxxxxxxxxxx xxxxxxxxxxx

(1) Xxxxxxx osoba v xxxxx xxxxxx kybernetické xxxxxxxxxxx

x) xxxxxxx x xxxxxxxxxxx audit dodržování xxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx, x výsledky xxxxxx xxxxxxxx x xxxxx xxxxxxx bezpečnostního xxxxxxxx x plánu xxxxxxxx xxxxx x

x) xxxxxxxx xxxxxx xxxxxxxxxxxxxx opatření x xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx x smluvními xxxxxxx xxxxxxxxxxxx xx x xxxxxxxxxxxx x komunikačnímu xxxxxxx x xxxx xxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.

(2) Xxxxx xxxxx odstavce 1 xx prováděn

a) xxx xxxxxxxxxx xxxxxxx, x xxxxx xxxxxx xxxxxxx,

x) v xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xx 3 letech x xxxxxxx xxxxxxx xxxxx xxxxxxx v §3 xxxx. e) xxxxxx x

x) x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xx 2 xxxxxx x xxxxxxx povinné osoby xxxxxxxxx x xxxxxxx x).

(3) Není-li x xxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxx v xxxxxxxxxxx xxxxx odstavce 2 xxxx. x) x x) x xxxxx rozsahu, je xxxxx xxxxx xxxxxxxx xxxxxxxx xx xxxxxxxxxxxxxx xxxxxxx. X takovém xxxxxxx je xxxxx xxxxx v celém xxxxxxx provést xxxxxxxxxx xx 5 xxx.

(4) Xxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx být prováděn xxxxxx vyhovující xxxxxxxxx xxxxxxxxxx x §7 xxxx. 4, která xxxxxxxxx hodnotí xxxxxxxxx x xxxxxxxx zavedených xxxxxxxxxxxxxx opatření.

(5) Xxxxxxx xxxxx, xxxxx xx xxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx správci xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx.

HLAVA XX

XXXXXXXXX XXXXXXXX

§17

Xxxxxxx xxxxxxxxxx

Xxxxxxx osoba x xxxxx fyzické xxxxxxxxxxx

x) xxxxxxxxx xxxxxxxxx, xxxxxxx xxxx xxxxxxxx aktiv xxxx přerušení xxxxxxxxxxx xxxxxx informačního x xxxxxxxxxxxxx xxxxxxx,

x) xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxx, xx xxxxx jsou xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx informačního x xxxxxxxxxxxxx xxxxxxx, a

c) x fyzického bezpečnostního xxxxxxxxx xxxxxxxxxxx podle xxxxxxx x) přijme xxxxxxxx opatření x xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx

1. x xxxxxxxx xxxxxxxxxxxxx vstupu,

2. x xxxxxxxx xxxxxxxxx a xxxxxxxxxxxx xxxxxxx x

3. xxx xxxxxxxxx ochrany xx xxxxxx xxxxxxx x x rámci xxxxxxx.

§18

Xxxxxxxxxx komunikačních xxxx

Xxxxxxx xxxxx pro xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxx x xxxxxxx xxxxx §3 písm. x)

x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx,

x) xxxxxxx xxxxxx xxxxxxxxxx x xxxxx xxxxxxxxxxx xxxx x perimetru xxxxxxxxxxx xxxx,

x) xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxx dat xxx xxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxx nebo xxx xxxxxxxx xx xxxxxxxxxxx xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx,

x) xxxxxxx blokuje xxxxxxxxx xxxxxxxxxx x

x) xxx zajištění xxxxxxxxxx xxxx x xxx xxxxxx xxxxxxxxxx mezi xxxxxx segmenty využívá xxxxxxx, xxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.

§19

Xxxxxx a ověřování xxxxxxx

(1) Povinná xxxxx xxxxxxx xxxxxxx pro xxxxxx a xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x aplikací xxxxxxxxxxxx x xxxxxxxxxxxxx systému.

(2) Xxxxxxx xxx správu x xxxxxxx identity xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxx

x) ověření xxxxxxxx xxxx zahájením xxxxxxx x xxxxxxxxxxx x komunikačním systému,

b) xxxxxx počtu xxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxxx,

x) xxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxxx xxxxxxxxxxxxx xxxxxxxx x xxxxxxxx,

x) xxxxxxxx autentizačních xxxxx xx formě xxxxxx xxxxx xxxxxxx útokům,

e) xxxxxxxx xxxxxxx xxxxxxxx xx xxxxxx xxxx xxxxxxxxxx,

x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx údajů xxx xxxxxx xxxxxxxx x

x) xxxxxxxxxxxxxxx xxxxxx identit.

(3) Xxxxxxx xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx není založený xxxxx na xxxxxxx xxxxxxxxxxxxxx xxxx a xxxxx, xxxxx xx xxxxxxxxxxxxx xxxxxxxxxxx s xxxxxxx xxxxx různými xxxx xxxxxxx.

(4) Xx xxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx xxxxxxx pro xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx, xxxxxxxx autentizaci xxxxxx xxxxxxxxxxxxxxxx klíčů a xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx.

(5) Xx xxxx xxxxxxx požadavků podle xxxxxxxx 3 xxxx 4 musí xxxxxxx xxx ověření xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx, který xxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxx a heslo, xxxxxxxxx pravidla

a) xxxxx xxxxx xxxxxxx

1. 12 xxxxx x uživatelů x

2. 17 xxxxx x xxxxxxxxxxxxxx x xxxxxxxx,

x) xxxxxxxxxx xxxxx xxxxx o xxxxx xxxxxxx 64 znaků,

c) xxxxxxxxxxx xxxxxxx xxxxxx x velkých xxxxxx, xxxxxx x speciálních xxxxx,

x) umožňující xxxxxxxxxx xxxxx xxxxx, xxxxxxx xxxxxx xxxx xxxxx xxxxxxx xxxxx xxxxx xxx xxxxxx xxx 30 minut,

e) neumožňující xxxxxxxxxx a xxxxxxxxxxxxxxx

1. xxxxxx xx xxxxxxxxxx xxxxxxxxx hesla,

2. xxxxxx xxxxx xx základě xxxxxxxxxxxx opakujících se xxxxx, xxxxxxxxxxxxxx jména, x-xxxxx, xxxxx xxxxxxx xxxx xxxxxxxx způsobem x

3. opětovné xxxxxxx xxxxx xxxxxxxxxxx hesel x xxxxxx alespoň 12 předchozích xxxxx x

x) xxx xxxxxxxx xxxxx hesla x xxxxxxxxx xxxxxxxxx xx 18 měsících, přičemž xxxx xxxxxxxx xx xxxxxxxxxx xx xxxx xxxxxxxx k xxxxxx xxxxxxx x xxxxxxx xxxxxxx.

(6) Povinná xxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxxx pouze účtem x xxxxxx xxxx

x) xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx hesla po xxxx xxxxxx xxxxxxx,

x) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx k xxxxxxxx xxxxxxxx xx xxxx xxxxxx xxxxxxx xxxx xxxxxxxxx nejvýše 60 xxxxx od jeho xxxxxxxxx x

x) xxxxxxx xxxxxx pravidla tvorby xxxxxxxxxx xxxxx do xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx podle §9.

§20

Xxxxxx xxxxxxxxxxxx oprávnění

Povinná xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxx pro řízení xxxxxxxxxxxx oprávnění, kterým xxxxxxx řízení xxxxxxxxx

x) xxx přístup x xxxxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx x

x) xxx xxxxx xxx, zápis xxx x xxxxx oprávnění.

§21

Ochrana xxxx xxxxxxxxx xxxxx

(1) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x), x) x x) xxxxxx x xxxxx xxxxxxx xxxx škodlivým xxxxx

x) x xxxxxxx xx xxxxxxxxxx xxxxx zajišťuje xxxxxxx nástroje xxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx

1. xxxxxxxxx xxxxxx,

2. xxxxxxxxx xxxxxxxx,

3. xxxxxxx,

4. xxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,

5. xxxxxxxxxxx xxxx a xxxxx xxxxxxxxxxx xxxx x

6. xxxxxxxxx zařízení,

b) monitoruje x řídí používání xxxxxxxxx xxxxxxxx x xxxxxxxx nosičů,

c) xxxx xxxxxxxxxxx spouštění obsahu xxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,

x) xxxx xxxxxxxxx xx xxxxxxxxx xxxx a

e) provádí xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx nástroje pro xxxxxxx xxxx škodlivým xxxxx.

(2) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. e) zákona xxxxxxxxx xxxxx odstavce 1 přiměřeně.

§22

Xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, xxxx xxxxxxxxx x xxxxxxxxxxxxxx

(1) Xxxxxxx xxxxx

x) xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx provozní xxxxxxxx xxxxxxxxxx aktiv xxxxxxxxxxxx x komunikačního systému x

x) xx xxxxxxx xxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxx xxxxxx aktiv, x kterých xx xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx událostí prováděno.

(2) Xxxxxxx xxxxx pro xxxxxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxx podle xxxxxxxx 1 zajišťuje

a) xxxxxxxxxxxx síťovou xxxxxxxxxxxx xxxxxxxx xxxxxxx, je-li x xxxxxxxxxxx xxxx xxxxxx nástroj, který xxxx jeho xxxxxxx xxxxxxxxxxxx,

x) xxxx xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx; zejména xxxxxxxxxxx

1. datum x xxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxx,

2. xxx xxxxxxxx,

3. identifikaci xxxxxxxxxxx xxxxxx, xxxxx činnost xxxxxxxxxxx,

4. jednoznačnou xxxxxxxxxxxx xxxx, xxx xxxxxx xxxx xxxxxxx xxxxxxxxx,

5. xxxxxxxxxxxx síťovou identifikaci xxxxxxxx xxxxxxx x

6. xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx,

x) xxxxxxx informací xxxxxxxxx xxxxx xxxxxx x) x x) xxxx neoprávněným xxxxxx x xxxxxxxxx xxxxxx,

x) xxxxxxxxxxxxx

1. xxxxxxxxxxxx x xxxxxxxxxxx xx všem xxxxx, x to xxxxxx xxxxxxxxxxx pokusů,

2. xxxxxxxx provedených xxxxxxxxxxxxxx,

3. xxxxxxx i neúspěšné xxxxxxxxxx x xxxx, xxxxxxxxxxx x xxxxx,

4. xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxx přístupových xxxx x xxxxxxxxx,

5. xxxxxxxx xxxxxxxxx, které xxxxx mít vliv xx xxxxxxxxxx informačního x komunikačního systému,

6. xxxxxxxx x ukončení xxxxxxxx xxxxxxxxxxx aktiv,

7. xxxxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx x

8. přístupů x xxxxxxxx x xxxxxxxxxx, xxxxxx o manipulaci xx záznamy o xxxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx pro xxxxxxxxxxxxx xxxxxxxx x

x) xxxxxxxxxxxxx xxxxxxxxxx času xxxxxxxxxxx xxxxx nejméně xxxxxx za 24 xxxxx.

(3) Povinná osoba xxxxxxx v §3 xxxx. c), x) x f) xxxxxx xxxxxxxx záznamy událostí xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx po xxxx 18 xxxxxx.

(4) Xxxxxxx osoba xxxxxxx x §3 xxxx. x) xxxxxx uchovává xxxxxxx xxxxxxxx zaznamenaných xxxxx odstavce 2 xxxxxxx po xxxx 12 měsíců.

§23

Xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx

(1) Xxxxxxx osoba x xxxxx xxxxxxxxxxx xxxx, xxxxx xxxxxxxx xx informační x xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxx pro detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx xxxxxxx

x) ověření x kontrolu xxxxxxxxxxx xxx x xxxxx xxxxxxxxxxx sítě a xxxx xxxxxxxxxxxxx xxxxxx,

x) xxxxxxx x xxxxxxxx xxxxxxxxxxx xxx xx xxxxxxxxx komunikační xxxx x

x) blokování xxxxxxxxx xxxxxxxxxx.

(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xxxxxxxxx x xxxxxxx xx xxxxxxxxxx xxxxx v xxxxx

x) xxxxxxxxx stanic,

b) xxxxxxxxx zařízení,

c) xxxxxxx,

x) xxxxxxxx xxxxxxx a xxxxxxxxx datových xxxxxx,

x) xxxxxxxx xxxxxxxxx xxxxx x

x) obdobných aktiv.

§24

Sběr a xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí

Povinná xxxxx uvedená x §3 xxxx. x), x) x x) xxxxxx xxxxxxx xxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx

x) sběr x xxxxxxxxxxxxx událostí zaznamenaných xxxxx §22 a 23,

x) xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx záznamů,

c) xxxxxxxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxx x detekovaných xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostech,

d) vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x cílem identifikace xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxx,

x) xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx pravidelnou xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx

1. vyhodnocování kybernetických xxxxxxxxxxxxxx xxxxxxxx a

2. xxxxxx xxxxxxxx a

f) xxxxxxxxx informací získaných xxxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxxx nastavení bezpečnostních xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.

§25

Aplikační xxxxxxxxxx

(1) Xxxxxxx xxxxx xxxxxxx penetrační xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xx xxxxxxxxx na xxxxxxxx xxxxxx, x to

a) xxxx xxxxxx uvedením xx xxxxxxx x

x) x xxxxxxxxxxx x xxxxxxxxx xxxxxx xxxxx §11 xxxx. 3.

(2) Xxxxxxx xxxxx xxxx x xxxxx aplikační xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx aplikací, xxxxxxxxx x xxxxxxxxx xxxx

x) xxxxxxxxxxxx xxxxxxxx a

b) xxxxxxxx xxxxxxxxxxx xxxxxxxx.

§26

Xxxxxxxxxxxxxx xxxxxxxxxx

Xxxxxxx xxxxx xxx ochranu aktiv xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx

x) používá xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxx,

x) xxxxxxx systém xxxxxx xxxxx x certifikátů, xxxxx

1. xxxxxxx generování, xxxxxxxxxx, xxxxxxxx, xxxxx, xxxxxxx xxxxxxxxx, zneplatnění xxxxxxxxxxx x likvidaci xxxxx x

2. xxxxxx xxxxxxxx x audit,

c) xxxxxxxxx bezpečné xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxxx x

x) zohledňuje xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx Xxxxxx, xxxxxxxxxx xx xxxx xxxxxxxxxxxxx stránkách.

§27

Xxxxxxxxxxx xxxxxx dostupnosti xxxxxxxxx

Xxxxxxx xxxxx xxxxxx xxxxxxxx xxx zajišťování xxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx

x) xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému xxx xxxxxxx xxxx xxxxx §15,

b) xxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx vůči xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, které xx xxxxx xxxxxx xxxx dostupnost,

c) dostupnost xxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a

d) xxxxxxxxxx xxxxx xxxxxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému.

§28

Průmyslové, xxxxxx a xxxxxxx specifické systémy

Povinná xxxxx pro xxxxxxxxx xxxxxxxxxxxx bezpečnosti xxxxxxxxxxxx, xxxxxxxx x obdobných xxxxxxxxxxxx systémů používá xxxxxxxx x xxxxxxxx, xxxxx xxxxxxx

x) xxxxxxx xxxxxxxxxxx a xxxxxxxxxxxx xxxxxxxxxx, které xxxx xxxxxx do xxxxxxxxxxxx xxxxxxxxx,

x) xxxxxxx fyzického xxxxxxxx x zařízením xxxxxx xxxxxxx a xx xxxxxxxxxxx xxxx,

x) xxxxxxxxx komunikační xxxx xxxxxx xxx tyto xxxxxxx xx ostatní xxxxxxxxxxxxxx,

x) xxxxxxx x xxxxxx xxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx,

x) xxxxxxx xxxxxxxxxxxx technických xxxxx xxxxxx xxxxxxx xxxx využitím xxxxxxx xxxxxxxxxxxxx a

f) obnovení xxxxx xxxxxx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.

§29

Xxxxxxxxx služby

(1) Povinná xxxxx uvedená x §3 xxxx. h) xxxxxx zavede xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxx Xxxxxx (XX) 2018/151 xx dne 30. ledna 2018, xxxxxx se xxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Xxxx (EU) 2016/1148, xxxxx xxx x xxxxxx xxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxxxxxxx digitálních služeb xxxxxxxxxxx při řízení xxxxxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxxx x xxxxxxxxxx xxxxxxx, x parametrů xxx xxxxxxxxxx xxxx, xxx xx xxxxx xxxxxxxxx xxxxxxxx; xxxxxxxxxx §3 xx 28 xx xx xxxx xxxxxxxx xxxxx xxxxxxxxx.

(2) Xxxxxxx xxxxx uvedená x §3 xxxx. h) xxxxxx xxxxx kontaktní xxxxx xxxxx §34 xxxx. 2.

(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx hlásí kybernetické xxxxxxxxxxxx incidenty podle §32 xxxx. 2 x 3.

XXXXX XXX

XXXXXXXXXXXX XXXXXXXX X XXXXXXXXXXXX XXXXXXXXXXX

§30

Xxxxxxxxxxxx xxxxxxxx a bezpečnostní xxxxxxxxxxx

(1) Xxxxxxx xxxxx

x) xxxxxxx bezpečnostní xxxxxxxx x xxxx xxxxxxxxxxxx xxxxxxxxxxx zahrnující xxxxxxx xxxxxxx x příloze č. 5,

b) xxxxxxxxxx xxxxxxxxxxx bezpečnostní xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx x

x) xxxxxxx, xxx xxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx aktuální.

(2) Bezpečnostní xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx musí xxx

x) xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxx podobě,

b) xxxxxxxxxxxx x xxxxx xxxxxxx xxxxx,

x) přiměřeně xxxxxxxx xxxxxxxx stranám,

d) xxxxxx,

x) chráněny x xxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx x

x) xxxxxx xxx, xxx xxxxxxxxx x nich xxxxxxxx xxxx xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x xxxxxx vyhledatelné.

XXXX XXXXX

XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX

§31

Xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx

(1) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxx zohlednění

a) dopadů xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx byly povinné xxxxx xxxxxx,

x) xxxxx xxxxxxxxx uživatelů,

c) xxxxxxxxx xxxx xxxxxxxxxxxxx xxxxx,

x) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx a komunikačního xxxxxxx,

x) xxxxxx xx xxxxxxxxxxx služby xxxxxxxxxxxx x xxxxxxxxxxxxx systému,

f) xxxxxx xx služby xxxxxxxxxxx xxxxxx informačními x xxxxxxxxxxxxx xxxxxxx,

x) xxxxx xxxxxx incidentu,

h) xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx x

x) xxxxxxx xxxxxx.

(2) Pro xxxxxxx xxxxxxx a xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx xx xxxxxxx xxxxxxxxxx xxxxx odstavce 1 kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxxx xxxxxxxxx

x) Xxxxxxxxx XXX - xxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, při xxxxxx xx xxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx služeb nebo xxxxx. Jeho xxxxxx xxxxxxxx xxxxxxxxxx zásahy xxxxxxx x xxx, xx musí xxx xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx dalšímu xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx xxxxxxxxxxxx xxxxxxxxx x potenciálních xxxx,

x) Xxxxxxxxx II - xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx xxxxxx xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx služeb xxxx xxxxx. Xxxx xxxxxx xxxxxxxx neprodlené xxxxxx xxxxxxx s tím, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxxxxx xxxxxxxxx xxxx, xxxx

x) Xxxxxxxxx X - méně xxxxxxxx xxxxxxxxxxxx bezpečnostní incident, xxx kterém xxxxxxx x xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxx obsluhy x xxx, xx xxxx xxx vhodnými xxxxxxxxxx xxxxxxx xxxxx šíření xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.

(3) Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle xxxxxx jsou

a) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx aktiv,

b) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,

x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx aktiv, nebo

d) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx kombinaci xxxxxx xxxxxxxxx x xxxxxxxxx x) xx x).

(4) Xxxx xxxxxxxxxx xx xxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx uvedené x §3 xxxx. x) xxxxxx.

§32

Forma x náležitosti xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx

(1) Xxxxxxxxxxxx bezpečnostní xxxxxxxx se Xxxxx xxxxx xx xxxxxxxxxxxxx xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx stránkách Úřadu xxxxxxxx

x) na adresu xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx pro xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, zveřejněnou na xxxxxxxxxxxxx xxxxxxxxx Xxxxx,

x) xx xxxxxx xxxxxxxx Xxxxx, xxxx

x) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xx používáno, jehož xxxxx xx zveřejněn xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.

(2) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxx xx xxxxxxxxxxxxx formuláři xxxxxxxxxxx na internetových xxxxxxxxx xxxxxxxxxxxxx národního XXXX zaslaném

a) xx xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx národního XXXX xxxxxxx pro xxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx,

x) xx datové xxxxxxxx xxxxxxxxxxxxx národního CERT, xxxx

x) prostřednictvím xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.

(3) Hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxx i x xxxxxxxx podobě, xxxxx xxxxx v xxxxxxxxx, kdy nelze xxxxxx žádný ze xxxxxxx xxxxxxxxx v xxxxxxxxxx 1 x 2.

(4) Náležitosti hlášení xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxx

x) xxxxxxxxxxxx odesilatele,

b) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,

x) datum x čas xxxxxxxx xxxxxxxxx x

x) popis xxxxxxxxx.

XXXX XXXXXX

XXXXXXXXX XXXXXXXX X XXXXXXXXX XXXXX

§33

Xxxxxxxxx xxxxxxxx

(1) Xxxxxxx xxxxx, xxxxx Xxxx xxxxxx xxxxxxx xxxxxxxxx opatření,

a) xxxxxxx očekávané xxxxxx xxxxxxxxxxx xxxxxxxx xx xxxxxxxxxx x komunikační xxxxxx x na xxxxxxxx bezpečnostní opatření x vyhodnotí xxxxx xxxxxxxxx účinky x

x) xxxxxxx způsob rychlého xxxxxxxxx tohoto xxxxxxxx, xxxxx xxxxxxxxxxxx xxxx xxxxx negativní xxxxxx, x xxxx xxxxxx xxxx jeho xxxxxxxxx.

(2) Xxxxxxx osoba, xxxxx Xxxx uložil xxxxxxx xxxxxxxxx opatření, xxxxxx xxxxxx provedení xxxxxxxxxxx xxxxxxxx x jeho xxxxxxxx ve formě xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.

§34

Xxxxxxxxx údaje

(1) Xxxxxxxxx xxxxx xx Xxxxx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx xxxxxxxx

x) xx xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx xxx příjem xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxxxx xx internetových xxxxxxxxx Xxxxx,

x) xx xxxxxx xxxxxxxx Úřadu, xxxx

x) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xx xxxxxxxxx, xxxxx xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx.

(2) Xxxxxxxxx údaje se xxxxxxxxxxxxx národního XXXX xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx

x) xx adresu elektronické xxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX určenou xxx xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxxxx xx xxxx internetových xxxxxxxxx,

x) xx datové xxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx

x) xxxxxxxxxxxxxxx internetových xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.

(3) Xxxxxxx kontaktních xxxxx xx xxxxx xxxxxx x x xxxxxxxx xxxxxx, avšak xxxxx x xxxxxxxxx, xxx nelze využít xxxxx xx xxxxxxx xxxxxxxxx v xxxxxxxxxx 1 a 2.

(4) Xxxx oznámení kontaktních xxxxx xx xxxxxx x příloze č. 8 x xxxx xxxxxxxx.

(5) Povinná xxxxx uvedená v §3 xxxx. x) xx x) xxxxxx, xxxxx je xxxxxxxxxxxxxx, xxxx k xxxxxxx xxxxxxxxxxx xxxxx xxxxx xxxxxxxx 1 přikládá xxxxxxxx, xxxxxx xx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §8 odst. 1 xxxx. x).

XXXX PÁTÁ

ZÁVĚREČNÁ XXXXXXXXXX

§35

Xxxxxxxxx xxxxxxxxxx

(1) V případě xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx xxxx určeny přede xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, x x xxxxxxx xxxxxxxxxx xxxxxxxxxxxx systémů, x xxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx kritérií xxxxx xxxx xxxxxx xxxxxxxxx xxxx vyhlášky, xx xx xxxxxxx xxxx xxx dne xxxxxx xxxxxxxxx xxxx xxxxxxxx pro xxxxx x xxxxxxxxx bezpečnostní xxxxxxxxxxx x obsah x xxxxxx xxxxxxxxxx xxxxxxxxxxxxxx opatření xxxxxxx xxxxxxxxxx xxxxxxxx č. 316/2014 Sb., x bezpečnostních opatřeních, xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx a x stanovení náležitostí xxxxxx x oblasti xxxxxxxxxxxx bezpečnosti (vyhláška x kybernetické xxxxxxxxxxx).

(2) X xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x komunikačních xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, které byly xxxxxx přede xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, x x xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, u xxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxx účinnosti xxxx xxxxxxxx, xx xx jednoho xxxx xxx xxx nabytí xxxxxxxxx xxxx vyhlášky xxx xxxxxx likvidace xxx, provozních xxxxx, xxxxxxxxx x xxxxxx xxxxx tato xxxxxxxx xxxxxxxxx.

§36

Xxxxxxxxx xxxxxxxxxx

Xxxxxxx xx xxxxxxxx č. 316/2014 Sb., o xxxxxxxxxxxxxx xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx, reaktivních xxxxxxxxxx x o xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx).

§37

Xxxxxxxx

Xxxx xxxxxxxx xxxxxx xxxxxxxxx xxxx vyhlášení.

Ředitel:

Ing. Xxxxxxxx x. r.

Xxxxxxx x. 1 x vyhlášce x. 82/2018 Sb.

Hodnocení aktiv

(1) Xxx xxxxxxxxx důležitosti xxxxx xxxx x xxxxx případě xxxxxxx xxxxxxxx o xxxxxxx xxxxxxxx x xxxxxxxx xx, xxxx dopad xx xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx aktiv. Xxxxxxx xxxxx může xxxxxxxx xxxxxxx xxxxx úrovní xxx hodnocení důležitosti xxxxx, xxx jaký xx xxxxxx x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx vazby mezi xxxx používaným xxxxxxxx xxxxxxxxx xxxxxxxxxxx aktiv x xxxxxxxxxx x xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxx uvedeny x xxxx xxxxxxx.

(2) Je xxxxxxxxxx, xxx xx xxxxx povinná osoba xxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxx xxxxxxxx.

Xxx. 1: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx

Xxxxxx

Xxxxx

Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxx

Xxxxx

Xxxxxx xxxx veřejně xxxxxxxxx xxxx byla určena xx xxxxxxxxxx. Xxxxxxxx xxxxxxxxxx xxxxx neohrožuje xxxxxxxxx xxxxx xxxxxxx xxxxx.

X xxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx xxx. xxxxxxx light xxxxxxxxx (xxxx xxx "XXX") xx xxxxxxxxx xxxxxxxx TLP:WHITE.

Není vyžadována xxxxx xxxxxxx.

Xxxxxxxxx/xxxxxx aktiva xx xxxxxx Xxxxx - xxx příloha č. 4.

Střední

Aktiva xxxxxx xxxxxxx xxxxxxxxx x tvoří xxxx-xxx xxxxxxx osoby, ochrana xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxxxx ujednáním.

V xxxxxxx xxxxxxx xxxxxxxx xxxxxx x třetími xxxxxxxx a použití xxxxxxxxxxx podle XXX xx xxxxxxxxx zejména xxxxxxxx TLP:GREEN xxxx XXX:XXXXX.

Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxx xxxxxx xxxxxxxx.

Xxxxxxxxx/xxxxxx xxxxxx na úrovni Xxxxxxx - viz příloha č. 4.

Xxxxxx

Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxx xxxxxxx xx xxxxxxxxxx xxxxxxxx předpisy, jinými xxxxxxxx xxxx smluvními xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxx xxxxx).

X xxxxxxx xxxxxxx xxxxxxxx xxxxxx s xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx TLP xx využíváno xxxxxxx xxxxxxxx TLP:AMBER.

Pro xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxxxx sítí xxxx xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx.

Xxxxxxxxx/xxxxxx xxxxxx xx xxxxxx Xxxxxx - xxx příloha č. 4.

Kritická

Aktiva xxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxx xxx rámec xxxxxxxxx xxxxxxxxx (například xxxxxxxxxxx xxxxxxxx tajemství, xxxxxxxx xxxxxxxxx xxxxxxxx xxxxx).

X případě xxxxxxx xxxxxxxx aktiva x xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx xxxxxxx označení XXX:XXX xxxx XXX:XXXXX.

Xxx xxxxxxx xxxxxxxxxx jsou využívány xxxxxxxxxx, které xxxxxxx xxxxxx a zaznamenávání xxxxxxxx. Dále metody xxxxxxx zabraňující xxxxxxxx xxxxx xx strany xxxxxxxxxxxxxx. Přenosy xxxxxxxxx xxxx chráněny xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx.
Xxxxxxxxx/xxxxxx xxxxxx xx xxxxxx Xxxxxxxx - viz příloha č. 4.

Xxx. 2: Xxxxxxxx xxx xxxxxxxxx integrity

Úroveň

Popis

Příklady xxxxxxxxx xx ochranu aktiva

Nízká

Aktivum xxxxxxxxxx xxxxxxx z xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx povinné xxxxx.

Xxxx vyžadována xxxxx xxxxxxx.

Xxxxxxx

Xxxxxxx xxxx xxxxxxxxx xxxxxxx x hlediska xxxxxxxxx. Narušení xxxxxxxxx xxxxxx xxxx xxxx x poškození xxxxxxxxxxx xxxxx povinné xxxxx x může xx xxxxxxxx xxxx xxxxxxxxx xxxxxx xx primární xxxxxx.

Xxx xxxxxxx integrity xxxx xxxxxxxxx standardní xxxxxxxx (xxxxxxxxx xxxxxxx xxxxxxxxxxxx práv xxx xxxxx).

Xxxxxx

Xxxxxxx xxxxxxxx ochranu x hlediska integrity. Xxxxxxxx xxxxxxxxx aktiva xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx s xxxxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx.

Xxx ochranu integrity xxxx xxxxxxxxx speciální xxxxxxxxxx, které xxxxxxxx xxxxxxxx historii xxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxx. Ochrana xxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx je xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx.

Xxxxxxxx

Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx vede x xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx x přímými x xxxxx vážnými xxxxxx xx primární xxxxxx.

Xxx xxxxxxx integrity xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx jednoznačné xxxxxxxxxxxx xxxxx provádějící xxxxx (xxxxxxxxx pomocí xxxxxxxxxxx xxxxxxxxxxx xxxxxxx).

Xxx. 3: Xxxxxxxx pro hodnocení xxxxxxxxxxx

Xxxxxx

Xxxxx

Xxxxxxxx požadavků na xxxxxxx aktiva

Nízká

Narušení dostupnosti xxxxxx xxxx xxxxxxxx x x xxxxxxx xxxxxxx je xxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxx xxxxxxx (xxx xx 1 xxxxx).

Xxx ochranu xxxxxxxxxxx xx xxxxxxxxxxx pravidelné xxxxxxxxxx.

Xxxxxxx

Xxxxxxxx xxxxxxxxxxx aktiva xx xxxxxx xxxxxxxxx xxxx pracovního xxx, xxxxxxxxxxxxx xxxxxxx xxxx x možnému xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx.

Xxx ochranu xxxxxxxxxxx xxxx využívány xxxxx xxxxxx xxxxxxxxxx a xxxxxx.

Xxxxxx

Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx xxxx xxxxxxxx hodin. Xxxxxxxx výpadek je xxxxx řešit neprodleně, xxxxxxx vede k xxxxxxx ohrožení oprávněných xxxxx xxxxxxx osoby. Xxxxxx xxxx xxxxxxxxxx xx xxxxx xxxxxxxx.

Xxx xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx může být xxxxxxxxx xxxxxx obsluhy xxxx xxxxxxx xxxxxxxxxxx xxxxx.

Xxxxxxxx

Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx x x xxxxxxxxxx nedostupnost (x řádu xxxxxxxx xxxxx) xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx. Xxxxxx jsou xxxxxxxxxx xx xxxxxxxx.

Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx poskytování xxxxxx xx xxxxxxxxxx a xxxxxxxxxxxxxx.

Příloha x. 2 x vyhlášce x. 82/2018 Xx.

Xxxxxxxxx rizik

(1) Xxxxxxxxxxx xxxxxxxxx xxxxxx xxx určení rizika xx xxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx podle §5.

(2) Xxxxxxx rizika xx xxxxxxxxxx xxxxxxxxx jako xxxxxx, kterou xxxxxxxxx xxxxx, xxxxxx x xxxxxxxxxxxx.

(3) Xxx xxxxxxxxx xxxxx xxx xxxxxx xxxxxxxxx tuto xxxxxx:

Xxxxxx = xxxxx x xxxxxx x xxxxxxxxxxxx.

(4) Xxxxx je x xxxxx xxxxxxx odvozen x xxxxxxxxx xxxxx xxxxx přílohy č. 1.

(5) V xxxxxxx, že xxxxxxx xxxxx xxxxxxx metodu xxx xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, xx xxxxx stupnice xxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxx by xxxxxx xxxx xx xxxxxx schopnosti xxxxxxxxx xxxxxx hrozby x xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx xxxxxx xxxxxxxxx komentář, který xxxxxxxx xxxxxxx xxx xxxxxx xxxxxx, xxx x úroveň xxxxxxxxxxxxx. Xxxxxxx se postupuje x x xxxxxxxxx, xxx xxxxxxx osoba xxxxxxx jiný počet xxxxxx xxx xxxxxxxxx xxxxxx, hrozeb, xxxxxxxxxxxxx x xxxxx.

Xxx. 1: Xxxxxxxx xxx xxxxxxxxx xxxxxx

Xxxxxx

Xxxxx

Xxxxx

Xxxxxx neexistuje xxxx xx xxxx pravděpodobná.
Předpokládaná xxxxxxxxx xxxxxx xxxx xxxxxxxx xxx jednou xx 5 xxx.

Xxxxxxx

Xxxxxx xx xxxx xxxxxxxxxxxxx xx pravděpodobná.
Předpokládaná xxxxxxxxx xxxxxx je x xxxxxxx od 1 xxxx xx 5 xxx.

Xxxxxx

Xxxxxx je pravděpodobná xx xxxxx xxxxxxxxxxxxx.
Xxxxxxxxxxxxx xxxxxxxxx hrozby xx x xxxxxxx od 1 xxxxxx xx 1 roku.

Kritická

Hrozba je xxxxx xxxxxxxxxxxxx až xxxxxxxx xxxxx.
Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxx xxx xxxxxx xx xxxxx.

Xxx. 2: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx

Xxxxxx

Xxxxx

Xxxxx

Xxxxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx opatření, xxxxx xxxx schopna xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx xxxxxxxx pokusy x jejich zneužití.

Střední

Zneužití xxxxxxxxxxxxx xx málo xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxx zavedena xxxxxxxxxxxx xxxxxxxx, jejichž účinnost xx xxxxxxxxxx kontrolována. Xxxxxxxxx xxxxxxxxxxxxxx opatření xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx je omezena. Xxxxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

Xxxxxx

Xxxxxxxx xxxxxxxxxxxxx xx pravděpodobné xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxx, xxx jejich xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x xxxx pravidelně xxxxxxxxxxxx. Xxxx známé xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

Xxxxxxxx

Xxxxxxxx xxxxxxxxxxxxx xx velmi xxxxxxxxxxxxx xx víceméně xxxxx. Xxxxxxxxxxxx opatření xxxxxx xxxxxxxxxxx xxxx xx xxxxxx účinnost xxxxxx xxxxxxx. Neprobíhá xxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx. Xxxx xxxxx xxxxxxx xxxxxx překonání xxxxxxxxxxxxxx xxxxxxxx.

Xxx. 3: Xxxxxxxx pro xxxxxxxxx xxxxx

Xxxxxx

Xxxxx

Xxxxx

Xxxxxx xx považováno xx akceptovatelné.

Střední

Riziko může xxx xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx x případě xxxxx xxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxxxxxxx.

Xxxxxx

Xxxxxx je xxxxxxxxxx xxxxxxxxxxx x xxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxx x xxxx xxxxxxxxxx.

Xxxxxxxx

Xxxxxx xx xxxxxxxxxxx a musí xxx neprodleně zahájeny xxxxx x xxxx xxxxxxxxxx.

Příloha x. 3 x xxxxxxxx č. 82/2018 Sb.

Zranitelnosti a xxxxxx

Xxxxxxxxxx: Xxxx xxxxxxx xxxxxxxx xxx vybrané xxxxxxxxx zranitelností x xxxxxx. Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x hrozeb xx odpovědností povinné xxxxx.

Xxxxxxxxxxxxx

1. xxxxxxxxxxxx údržba xxxxxxxxxxxx x komunikačního xxxxxxx,

2. xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,

3. xxxxxxxxxxxx xxxxxxx vnějšího xxxxxxxxx,

4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,

5. xxxxxxxxxxxx údržba xxxxxxxxxxxx x komunikačního xxxxxxx,

6. xxxxxxxx nastavení xxxxxxxxxxxx xxxxxxxxx,

7. xxxxxxxxxxxx xxxxxxx při xxxxxxxxxxxxxx x odhalení xxxxxxxxxxx xxxxxxxxxxxxxx jevů, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,

8. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxxx odhalit xxxxxx nevhodné xxxx xxxxxxx způsoby chování,

9. xxxxxxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx, nepřesné xxxx xxxxxxxxxxxxx xxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxxxxxxxx xxxx,

10. xxxxxxxxxxxx xxxxxxx xxxxx,

11. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,

12. xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,

13. neschopnost xxxxxxxx odhalení pochybení xx xxxxxx xxxxxxxxxxx.

Xxxxxx

1. xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx ze xxxxxx uživatelů x xxxxxxxxxxxxxx,

2. poškození xxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx vybavení,

3. zneužití xxxxxxxx,

4. xxxxxxx programového xxxxxxxx x xxxxxxx x xxxxxxxxxx xxxxxxxxxx,

5. xxxxxxxx xxx (například xxxx, xxxxxxx, xxxxxxx xxxx),

6. narušení xxxxxxx xxxxxxxxxxx,

7. přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx dodávek xxxxxxxxxx xxxxxxx,

8. xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxx údajů,

9. xxxxxx, odcizení xxxx xxxxxxxxx xxxxxx,

10. xxxxxxxxxx xxxxxxxxx xxxxxxx ze xxxxxx xxxxxxxxxx,

11. xxxxxxxxx xx xxxxxx zaměstnanců,

12. xxxxxxxx xxxxxxxxx prostředků, xxxxxxx,

13. xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx služeb xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx xxxx jiných xxxxxxxxxx xxxxxx,

14. xxxxxxxxxx xxxxxxxxxxx s xxxxxxxxx xxxxxxxx úrovní,

15. xxxxxx xxxxxxxxxxxx útok xxxxxx xxxxxxxxxx inženýrství, xxxxxxx xxxxxxxxxxx technik,

16. xxxxxxxx xxxxxxxxxxxxx technických xxxxxx xxx,

17. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx (odposlech, xxxxxxxxxx).

Xxxxxxx x. 4 x vyhlášce x. 82/2018 Xx.

Xxxxxxxxx xxx

(1) Xxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx systému x xxxxxxxxxx xxxxxxx xxxxxx xxx x xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx, provozních xxxxx, informací x xxxxxx xxxxx.

(2) Xxxxxxxxxx xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xx xxxxxxx pravidla pro xxxxxx dat x xxxxxxxxx technických nosičů xxx x xxxxxxx x touto xxxxxxxx. Xxx nejsou dotčeny xxxxxxxxxx xxxxx jiných xxxxxxxx xxxxxxxx. Xx xxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxx adekvátních xxxxxxxx xxx xxxxxx dat x xxxxxxxxx xxxxxxxxxxx xxxxxx dat, xxxxxxxx x xxxxxxx a xxxxxxxxxxx xxxxx.

(3) Xxxxxxxx xxx likvidaci dat xx měla xxx xxxxxxxxx přiměřeně xxxxxxx x xxxxxxxxxxx xxxxx x xxxx by xxxxxxx xxxxxxxxxxx

x) xxxxxxx xxxxxx (xxxxxxx x xxxxxxx důvěrnosti),

b) xxxxxxxxxxx (xxxx x xxxxxxxx xxxxxx xxxxxxxxx),

x) xxx xx xxxxx xxxxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxxxx či xxxxxxx,

x) xxx jsou xxxx xxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxxxxx,

x) kdo xxxx likvidaci xxx xxxxxxxx (xxxxxxx zaměstnanec, xxxx dodavatel),

f) dostupnost xxxxxxxx x xxxxxxxx xxx xxxxxxxxx,

x) xxxxxxxx xxxxxxxxxxxxx xxxxxx,

x) zda xx k dispozici xxxxxxxxx xxxxxxxx,

x) xxxxxxx xxxxxxxxx xxxxxxxxx,

x) cenu xxxxxxxxx s xxxxxxx xx nástroje, xxxxxxx, xxxxxxxx, opětovné xxxxxxx xxxxxx xxxxxxxxx

x) xxxxx xxxxxxx likvidace xxx (xxxxxxxxx zničením nosiče, xxxxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxx, xxxxxxxxxxxxx xxx xxxxxx xxxxxxxxxx a xxxxxxx),

x) xxxxxxxxxx způsoby xxxxxxxxx dat vzhledem xx stavu xxxxxx xxxxxxxxx (xxxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxx informace, ale xxxxxxx xx xxxxxxx xxxxxxx xxxxxxxxx).

(4) Způsoby xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx:

x) Xxxxxxxxxx

1. Xxxxxx xxxxxxxxx spočívá x xxxxxxxxxx dat tak, xxx xxxx xxx xxxxxx xxxxxxxxxx (například xxxxxxxxxx datového xxxxxxx, xxxxxxxx xxxxxxxxx xxxxxxxxx xx odpadu).

2. Jde x xxxxxxx xxxxxxxx xxxxxx xxxxxxxxx dat. X xxxxxxx xxxxxxx xxxxxx xxxxxxxxx je xxxxx x xxxxxxxxxxx xxxxxxxx úsilí informace xxxxxxx.

3. Xxxx xxxxxx xxxx použitelná pro xxxxxx digitálních xxx xxxxxxxxxxxx xxxxxxxx xxxxx.

4. Xxxxxxxxxx způsob pro xxxxxx důvěrnosti aktiva (xxxxxxx x přílohy č. 1): xxxxx.

x) Přepsání

1. Xxxxxx xxxxxxxxx spočívá x xxxxxxxx chráněné xxxxxxxxx xxxxxxxxxx hodnotami.

2. Xxx x středně xxxxxxxx xxxxxx likvidace xxx. Xxxxx xxxxxxxx nástroje xxxxxxxxxx xxxxxxxx přepsaných xxxxxxxxx.

3. Xxxxxxxx xxxx xxx xxxxxxxxx nebo xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxx.

4. Xxxx xxxxxx není xxxxxx xxx xxxxxxxxx média, xxxxx xxxxxxxxxxxx opětovný xxxxx, případně xxx xxxxx x velkou xxxxxxxxx.

5. Použitelný xxxxxx xxx úroveň xxxxxxxxxx xxxxxx (xxxxxxx z přílohy č. 1): xxxxx až xxxxxxxx.

x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx

1. Xxxxxx xxxxxxxxx spočívající xx xxxxxxx xxxxxx informace, xxxxxxxxx x rozebrání xxxxxxxx x xxxxxxxxx xxxxxxx nosiče xxxxxxxxx (xxxxxxxxxxx, xxxxxxxxx xx xxxxxxxx xxxxxxxxx).

2. Xxx x nejbezpečnější xxxxxx xxxxxxxxx xxx. Xxxxx xxxxxxxxx po fyzické xxxxxxxxx nelze xxxxx xxxxxx pro xxxxxxx xxxx. Původní informace xxxx možné xxxxxxx xxx xxx xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx x xxxxx.

3. Xxxxxxxxxx xxxxxx likvidace xxx xxxxxx xxxxxxxxxx aktiva (xxxxxxx x přílohy č. 1): xxxxxxx xx kritická.

Příklad xxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx xxxxxx (vychází x přílohy č. 1)

Xxxxxxxxx xxxxxx xxxxxxxxx xxxxx xxxxxx důležitosti xxxxxx

Xxxxx xxxxxxxxx

1. Nízká

2. Xxxxxxx

3. Xxxxxx

4. Xxxxxxxx

Xxxxxxxxx xx xxxxxx xxxxxxxx xxxxxx (xxxxxxx xxxxxxxxx, xxxxxxxx x xxxxxxx)

Xxxxxxxxxx: Xxxxxxxx do odpadu.

Přepsání: Xxxxxxxxx.

Xxxxxxx xxxxxxxxx:
Xxxxxxxxxxxx nosiče xxxxxxxxx použitím skartovacího xxxxxx x xxxxxxxx x příčným řezem, xxxxxxxx xxxx xxxxxxxxxx.

Xxxxxxx xxxxxxxxx:
Xxxxxxxxxxxx nosiče xxxxxxxxx xxxxxxxx skartovacího stroje.

Mobilní xxxxxxxx (xxxxxxx xxxxxxxx, xxxxxxx)

Xxxxxxxxxx:
Xxxxxxxx xxxxxxxxx, reset xxxxxxxx xx xxxxxxxxx xxxxxxxxx.

Xxxxxxxx:
Xxx xxxxxxxx x xxxxxxxxxx xxxxxxxxx - xxxxxxxxxx xxxxxxxxx x xxxxx do xxxxxxxxx xxxxxxxxx.

Xxxxxxx xxxxxxxxx:
Xxxxxxxxx xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxx.

Xxxxxx zařízení (xxxxxx, xxxxxx, xxxxx x xxxxxxx)

Xxxxxxxxxx:
Xxxxxxxx informací, xxxxx xx xxxxxxxxx nastavení.

Přepsání:
Odstranění x zahlcení umělými xxxxxxxxx (umělý xxxxxx xxxxxx, xxxxxxxxx xxxxxxx xxxxx x podobně.).

Kancelářské xxxxxxxx (scanery, xxxxxxxx, xxx)

Xxxxxxxxxx xxxxx (xxxxxxxxxx xxxxx, disky, XXX [Xxxx Xxxx Xxxxx])

Xxxxxxxxxx:
Xxxxxxx xxx xx xxxxxx xxxxxxxxxxx xxxxxxx.

Xxxxxxxx:
Xxxxxxxx xxx. X xxxxxxx xxxxxxxxxxx xxxxx je xxxxxxxxxxxx xxxxxxxx xxxxxxxxx kryptografických xxxxx

Xxxxxxx média (CD, XXX, XX-XXX, XXX-XXX)

Xxxxxxx xxxxxxxxx:
Xxxxxxx nosiče informací.

Fyzická xxxxxxxxx.

Xxxxxxxxxxxx média (flash xxxxxx)

Xxxxxxxxxxx a xxxxx

Xxxxxxxxx xxxxxx likvidace dat xx měl být xxxxxxxx xxxxxxxx xxxxxxxxx.

Xxxxxxxxxx:
Xxxxxxxxxx xxxxx xxxxxxx včetně xxxxxxxxxxx xxxxx.

Xxxxxxxx:
Xxxxxxx šifrování xxxxxxxx xxxxxxx na xxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxxx klíčů.

Přepsání:
Použití šifrování xxxxxxxx xxxxxxx xx xxxxxx xxxxxxxxxx xxxxx x bezpečná xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxx (XXX) xxxxxx xxxxxxxxxx (xxxxxxxxx xxxxx xxxxxxxxx FIPS 140-2 Level 2). Xxx xxxxxxxx xxxxxx xxxx xxxxxxxxxxx xxxxxx xxxxxxxxxx xxxx x xxxx xxxx xxxxxxxx.

Xxxxxxxx/xxxxxxx xxxxxxxxx:
Xxxxxx xxxxxx xxx xxxxxx "3. Xxxxxx" xxxx použita dedikovaná xxxxxxxx kapacita xxxxxxxx. Xxx xxxxxxxx služby xxxxxxxxx xxxxxxx xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxxx xxxxx podle xxxx xxxxxxxxx xxxxx pro xxxxxx kritická.

Alternativně x xxxxxxx xxxxxxxxxxxx paměťového xxxxx xx xxxxx xxxx po xxxxxxxx xxxxxx xxxxxxx.

Příloha x. 5 x vyhlášce x. 82/2018 Xx.

Xxxxx xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx

1. Xxxxxxxxxxxx xxxxxxxx

1.1. Xxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací

a) Xxxx, xxxxxxxx x potřeby xxxxxx bezpečnosti xxxxxxxxx.

x) Xxxxxx a xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.

x) Pravidla a xxxxxxx xxx xxxxxx xxxxxxxxxxx.

x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxx x provozu xxxxxxx řízení bezpečnosti xxxxxxxxx.

x) Xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti.

f) Xxxxxxxx a postupy xxx xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.

x) Xxxxxxxx x xxxxxxx xxx nápravná xxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.

1.2. Xxxxxxxx xxxxxx xxxxx

x) Xxxxxxxxxxxx, hodnocení x xxxxxxxx xxxxxxxxxx xxxxx

1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,

2. hodnocení xxxxxxxxxxx xxxxxxxxxx aktiv x xxxxxxxx xxxxxxxxxx, integrity x xxxxxxxxxxx.

x) Identifikace, xxxxxxxxx x xxxxxxxx xxxxxxxxxx aktiv

1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx aktiv xxxxxx xxxxxx jejich xxxxxxx,

2. xxxxxx vazeb xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.

x) Pravidla xxxxxxx xxxxxxxxxxxx xxxxxx aktiv

1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,

2. xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx xxxxx podle xxxxxx xxxxx,

3. xxxxxxxxx xxxxxxx používání xxxxx.

x) Xxxxxxx xxxxxxxxxxxx xxxxxx xxxx xxxxxx technických xxxxxx xxx, xxxxxxxxx, xxxxxxxxxx xxxxx a xxxxxx kopií.

1.3. Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx

x) Určení xxxxxxxxxxxxxx xxxx a xxxxxx xxxx x xxxxxxxxxx.

x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx rolí.

c) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx rolí.

1.4. Xxxxxxxx xxxxxx xxxxxxxxxx

x) Xxxxxxxx x principy pro xxxxx xxxxxxxxxx.

x) Xxxxxxxx xxx hodnocení xxxxx xxxxxxxxxxxxx s xxxxxxxxxx.

x) Xxxxxxxxxxx xxxxxxx x xxxxxx služeb a xxxxxxx x xxxxxx xxxxxxxxx bezpečnostních xxxxxxxx x o xxxxxx xxxxxxxx smluvní odpovědnosti.

d) Xxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

x) Xxxxxxxx pro xxxxxxxxx xxxxxxxxxx.

1.5. Politika xxxxxxxxxxx xxxxxxxx xxxxxx

x) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx a způsoby xxxx xxxxxxxxx

1. xxxxxxx x formy xxxxxxx xxxxxxxxx,

2. xxxxxxx x xxxxx poučení xxxxxxx xxxxx,

3. způsoby a xxxxx xxxxxxx xxxxxxxxxxxxxx,

4. xxxxxxx x xxxxx xxxxxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx role.

b) Xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.

x) Xxxxxxxx xxx řešení xxxxxxx xxxxxxxx bezpečnostní xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.

x) Xxxxxxxx xxx xxxxxxxx pracovního xxxxxx xxxx xxxxx xxxxxxxx xxxxxx

1. xxxxxxx xxxxxxxxx aktiv x xxxxxxxx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxx,

2. xxxxx přístupových oprávnění xxx xxxxx xxxxxxxx xxxxxx.

1.6. Politika xxxxxx xxxxxxx x komunikací

a) Xxxxxxxxx a xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx.

x) Xxxxxxx xxxxxxxxxx xxxxxxx.

x) Požadavky x xxxxxxxxx bezpečného xxxxxxx.

x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.

1.7. Xxxxxxxx xxxxxx přístupu

a) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx xx xxxx).

x) Xxxxxxxxx xx xxxxxx xxxxxxxx.

x) Xxxxxxx xxxxxx xxxxxx xxxxxxxx.

x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.

x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.

x) Xxxxxxxxxx přezkoumání xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx.

1.8. Xxxxxxxx bezpečného xxxxxxx xxxxxxxxx

x) Xxxxxxxx xxx xxxxxxxx nakládání x xxxxxx.

x) Xxxxxxxx použití xxxxxxxxxxxx xxxxx.

x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx x přístupu na xxxxxxxx.

x) Bezpečný xxxxxxxx xxxxxxx.

x) Xxxxxxxx xxxxxxx xx xxxxxxxxxx sítích.

f) Xxxxxxxxxx ve vztahu x xxxxxxxx zařízením.

1.9. Xxxxxxxx xxxxxxxxxx a xxxxxx x xxxxxxxxxxxx xxxxxxxx

x) Požadavky xx xxxxxxxxxx x xxxxxx.

x) Xxxxxxxx x xxxxxxx xxxxxxxxxx.

x) Xxxxxxxx a xxxxxxx xxxxxxxxxxxx xxxxxxxx.

x) Xxxxxxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxxxx.

x) Xxxxxxxx x xxxxxxx obnovy.

f) Xxxxxxxx x xxxxxxx testování xxxxxxxxxx x xxxxxx.

x) Xxxxxxxx xxxxxxxx k xxxxxxx, xxxxxxxxx xxxxxxxxxx.

1.10. Xxxxxxxx bezpečného xxxxxxxxx x xxxxxx xxxxxxxxx

x) Xxxxxxxx x postupy xxx xxxxxxx předávaných xxxxxxxxx.

x) Způsoby xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx.

x) Xxxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxx ochrany.

1.11. Xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx

x) Xxxxxxxx pro xxxxxxx xxxxxxxxx programového vybavení.

b) Xxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxxxxxx programových xxxxxxx.

x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx vybavení.

d) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.

1.12. Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx zařízení

a) Xxxxxxxx x postupy xxx xxxxxxxx používání mobilních xxxxxxxx.

x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, která xxxxxxx xxxxx xxxx xx xxx xxxxxx.

1.13. Xxxxxxxx akvizice, xxxxxx x údržby

a) Xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx, xxxxx x xxxxxx.

x) Xxxxxx zranitelností.

c) Xxxxxxxx xxxxxxxxxxx x nabývání xxxxxxx programového xxxxxxxx x xxxxxxxxx

1. pravidla x xxxxxxx xxxxxxxx xxxxxxxxxxxx vybavení x xxxx xxxxxxxx,

2. xxxxxxxx x xxxxxxx xxx xxxxxxxx dodržování xxxxxxxxxx xxxxxxxx.

1.14. Xxxxxxxx xxxxxxx xxxxxxxx údajů

a) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx.

x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx opatření xxx xxxxxxx xxxxxxxx xxxxx.

x) Xxxxx xxxxxxxxx x provedených technických xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.

1.15. Xxxxxxxx xxxxxxx xxxxxxxxxxx

x) Xxxxxxxx xxx xxxxxxx xxxxxxx.

x) Xxxxxxxx xxx xxxxxxxx xxxxxx xxxx.

x) Xxxxxxxx xxx ochranu xxxxxxxx.

x) Xxxxxxx narušení fyzické xxxxxxxxxxx.

1.16. Politika bezpečnosti xxxxxxxxxxx sítě

a) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx sítě.

b) Xxxxxx xxxx x xxxxxxxxxx xx bezpečný xxxxxx xxxx.

x) Pravidla x xxxxxxx xxx xxxxxx xxxxxxxx v xxxxx xxxx.

x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxxxx x xxxx.

x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx sítě a xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.

1.17. Xxxxxxxx ochrany xxxx xxxxxxxxx xxxxx

x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxx xxxxxxxxxx.

x) Xxxxxxxx x xxxxxxx xxx ochranu serverů x sdílených xxxxxxxx xxxxxxx.

x) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxxx xxxxxx.

1.18. Politika xxxxxxxx x používání xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí

a) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.

x) Xxxxxxxx postupy xxx xxxxxxxxxxxxx a xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx.

x) Xxxxxxxx x xxxxxxx xxx optimalizaci xxxxxxxxx xxxxxxxx pro detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.

1.19. Xxxxxxxx využití x xxxxxx nástroje xxx xxxx a vyhodnocení xxxxxxxxxxxxxx bezpečnostních událostí

a) Xxxxxxxx a xxxxxxx xxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

x) Xxxxxxxx x xxxxxxx pravidelné aktualizace xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

x) Xxxxxxxx a xxxxxxx xxx optimální nastavení xxxxxxxxxxxxxx vlastností nástroje xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.

1.20. Politika xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx

x) Xxxxxx xxxxxxx x xxxxxxx xx xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.

x) Xxxxxxxx kryptografické xxxxxxx xxxxxxxxx

1. při xxxxxxx xx komunikačních xxxxxx,

2. při xxxxxxx xx xxxxxxx xxxxxxxx xxxx vyměnitelný xxxxxxxxx xxxxx dat.

c) Systém xxxxxx klíčů.

1.21. Xxxxxxxx xxxxxx změn

a) Způsob x xxxxxxxx xxxxxx xxxxxxxxxx změn v xxxxx xxxxxxx osoby, xxxxxx xxxxxxxxx, xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx.

x) Xxxxxxxxxxxxx xxxxxx xxxxxxxxxx xxxx.

x) Xxxxxx xxxxxx xxxxxxxx a testování xxxxxxxxxx xxxx.

1.22. Xxxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx

x) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.

x) Xxxxxxxx x postupy xxx xxxxxxxxxxxx, evidenci x zvládání xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.

x) Xxxxxxxx x xxxxxxx testování systému xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.

x) Xxxxxxxx x xxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x pro xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

x) Xxxxxxxx xxxxxxxxx.

1.23. Politika xxxxxx xxxxxxxxxx xxxxxxxx

x) Xxxxx x xxxxxxxxxx zúčastněných xxxx.

x) Xxxx řízení xxxxxxxxxx činností

1. minimální xxxxxx poskytovaných xxxxxx,

2. xxxx xxxxxxxx xxxxx,

3. xxx obnovení xxx.

x) Xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxx xxxxxxxxxx.

x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx xxxxxxxxxx a posuzování xxxxxxxxxxxxx rizik.

e) Xxxxxx x xxxxx xxxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxx plánů.

f) Postupy xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx.

2. Xxxxx xxxxxxxxxxxx dokumentace

2.1. Zpráva x xxxxxx kybernetické xxxxxxxxxxx

x) Xxxx auditu xxxxxxxxxxxx bezpečnosti.

b) Předmět xxxxxx xxxxxxxxxxxx bezpečnosti.

c) Xxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.

x) Identifikování týmu xxxxxxxx x xxxx, xxxxx se auditu xxxxxxxxxxxx bezpečnosti xxxxxxxxxx.

x) Xxxxx a xxxxx, xxx xxxx xxxxxxxxx xxxxxxxx při xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

x) Xxxxxxxx x xxxxxx kybernetické xxxxxxxxxxx.

x) Xxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.

2.2. Xxxxxx x xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx informací

a) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.

b) Xxxxxxxxxxxx xxxx x xxxxxxxxx, xxxxx xxxxx xxx xxxx na xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.

x) Xxxxxx xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx informací

1. neshody x xxxxxxxx xxxxxxxx,

2. xxxxxxxx monitorování x xxxxxx,

3. výsledky auditu,

4. xxxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.

x) Xxxxxxxx hodnocení xxxxx x xxxx xxxxx xxxxxxxx xxxxx.

x) Identifikace xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.

x) Xxxxxxxxxx potřebných xxxxxxxxxx, xxxxxxxxx opatření x xxxx xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.

2.3. Xxxxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx x xxx xxxxxxxxx xxxxx

x) Xxxxxx stupnice xxx hodnocení primárních xxxxx

1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxx aktiv,

2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxx,

3. xxxxxx stupnice xxx xxxxxxxxx xxxxxx dostupnosti xxxxx.

x) Xxxxxx xxxxxxxx xxx xxxxxxxxx rizik

1. xxxxxx stupnice xxx xxxxxxxxx úrovní xxxxxx,

2. xxxxxx stupnice xxx xxxxxxxxx úrovní xxxxxx,

3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx,

4. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxx.

x) Xxxxxx a přístupy xxx zvládání xxxxx.

x) Xxxxxxx schvalování akceptovatelných xxxxx.

2.4. Xxxxxx o xxxxxxxxx aktiv a xxxxx

x) Xxxxxxx xxxxxxxxxx xxxxx

1. identifikace x xxxxx primárních xxxxx,

2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,

3. xxxxxxxxx xxxxxxxxxx xxxxx z xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.

x) Přehled podpůrných xxxxx

1. identifikace x xxxxx podpůrných xxxxx,

2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,

3. určení xxxxx xxxx primárními x xxxxxxxxxx aktivy.

c) Xxxxxxxxx xxxxx

1. xxxxxxxxx xxxxxxx xxxxxx xx xxxxxx,

2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,

3. xxxxxxxxx existujících xxxxxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx opatření,

4. xxxxxxxxx xxxxxx rizika, xxxxxxxxx xxxx úrovně x xxxxxxxx xxx xxxxxxxxxxxxxxxx xxxxx,

5. xxxxxx x xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.

x) Xxxxxxxx xxxxx

1. xxxxx způsobu zvládání xxxxx,

2. návrh xxxxxxxx x jejich xxxxxxxxx.

2.5. Xxxxxxxxxx o xxxxxxxxxxxxxxxx

x) Xxxxxxx vyloučených bezpečnostních xxxxxxxx xxxxxxxxxxxx touto xxxxxxxxx včetně xxxxxxxxxx, xxxx xxxxxx xxxxxxxxxx.

x) Xxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx xxxxxx způsobu xxxxxx implementace.

2.6. Plán xxxxxxxx rizik

a) Obsah x cíle xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx xxxxxx xxxxx xx konkrétní xxxxxx.

x) Xxxxxxxx xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.

x) Osoby xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx opatření xxx xxxxxxxx rizik.

d) Xxxxxxx zavedení jednotlivých xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx rizik.

e) Xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

x) Xxxxxxx hodnocení úspěšnosti xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.

2.7. Xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx

x) Xxxxx x termíny poučení xxxxxxxxx, administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.

x) Obsah x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.

x) Přehledy, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxx xxxx, které školení xxxxxxxxxxx.

x) Formy x xxxxxxx hodnocení xxxxx.

2.8. Xxxxxxxx xxxx

x) Xxxxxxxx xxxxxxxxx xxxxx významných xxxx.

x) Xxxxxxx x xxxxxxx konfigurace xxxxxxxxxx xxxxx.

2.9. Xxxxxxx kontaktní xxxxx

Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx.

2.10. Přehled xxxxxx xxxxxxxxx právních xxxxxxxx, xxxxxxxxx předpisů a xxxxxx předpisů a xxxxxxxxx xxxxxxx

x) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.

x) Přehled xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx.

x) Xxxxxxx smluvních xxxxxxx.

2.11. Xxxxx xxxxxxxxxx xxxxxxxxxxx

x) Topologie infrastruktury.

b) Xxxxxxx síťových xxxxxxxx.

Xxxxxxx č. 6 x xxxxxxxx x. 82/2018 Xx.

Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx role

Tato xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx pro xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx xxxx xxxxxxx x §6 x 7.

Xxx. 1: Xxxxx xxx xxxxxx kybernetické xxxxxxxxxxx

Xxxx:

Xxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx

Xxxxxxx xxxxxxxx:

x) Xxxxxxxxxxx za xxxxxxx xxxxxx x xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxx xxxxxxx xxxxx.
x) Xxxxxx xxxxx kybernetické xxxxxxxxxxx, xxxxxxxxx a xxxxx kybernetické xxxxxxxxxxx xxxxxxx xxxxx (xxxxxxxxxx xxxxxxxxxxxxx cílů a xxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx).
x) Xxxxxxxx rolí a xxxxxxxxxxxx x rámci xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx xx podávání xxxxx x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx v xxxxx povinné xxxxx x zjišťování, zda xxxxxxx x xxxxxxxxxx xxxxxxxxxxx cílů.

Další xxxxxxxx:

x) Xxxx xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx být xxxxxxx
&xxxx;&xxxx; 1. zástupce xxxxxxxxxxx xxxxxx nebo xxx xxxxxxxx xxxxx,
&xxxx;&xxxx; 2. xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx xx xxxxxxxxxx xxxxxxxx, xxxxxxx xxxxxx a xxxxxxx x xxxxxxx xxxx xxxxxxxxxx v xxxxxxxx xxxx xxxxxxxxxxxx xxxxxx.

Xxx. 2: Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx

Xxxx:

Xxxxxxx kybernetické xxxxxxxxxxx

Xxxxxxx činnosti:

a) Xxxxxxxxxxx xx řízení xxxxxxx xxxxxx xxxxxxxxxxx informací.
b) Xxxxxxxxxx xxxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxx xxxxx.
x) Pravidelná komunikace x xxxxxxxxxx xxxxxxx xxxxxxx osoby.
d) Předkládání Xxxxx x xxxxxxxxx xxxxx a xxxxx, Xxxxx xxxxxxxx xxxxx x Prohlášení x xxxxxxxxxxxxxxxx xxxxxx xxx xxxxxx kybernetické bezpečnosti.
e) Xxxxxxxxxxx pokynů xxx xxxxxxxxx xxxxxxxxxxx informací xxx xxxxxxxxx, xxxxxxxxx, xxxxxx, řízení x xxxxxxxx xxxxxxxxxxxxxx xxxxxx x oblasti ICT.
f) Xxxxxxxxxx x XxxXXXX/XXXXX.
x) Xxxxxxxx se xx xxxxxxx řízení xxxxx.
x) Xxxxxxxxxx xxxxxx xxxxxxxxx.
x) Xxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.

Xxxxxxxx:

x) Xxxxx řady ISO/IEC 27000 x obdobné xxxxx x oblasti xxxxxxxxxxx x ICT.
b) Xxxxxxx x xxxxxxx XXX (xxxxxxxx systémy, xxxxxxxx, xxxxxxxx, datové xxxx) s xxxxxxx xx bezpečnost.
c) Xxxxxx xxxxx.
x) Xxxxxx xxxxxxxxxx xxxxxxxx.
x) Relevantní xxxxxx x regulatorní xxxxxxxxx, xxxxxxx zákon.
f) Kontext xxxxxxx osoby.

Zkušenosti:

a) Xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxx xxxxx x xxxxxxxxx xxxxxxxx.
x) Xxxxxx xxxxx x rámci xxxxxxx xxxxx.
x) Xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx řízení xxxxx x xxxxxxxxxxx xxxxxxxx xxxxx.

Xxxxxxxx x xxxxx:

x) Xxxxxxx 3 roky xxxxx x oboru xxxxxxxxxx xxxx kybernetické xxxxxxxxxxx, xxxx
x) xxxxxxxxxxx xxxxxx na xxxxxx xxxxx x xxxxxxx 1 xxx xxxxx x oboru xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx.

Xxxxxxxxxx xxxxxxxxxxx*:

Xxxxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxx (CISM), Xxxxxxxxx xx Xxxx and Xxxxxxxxxxx Xxxxxxx Control (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Xxxxxxxx Xxxxxxxxxxxx (XXXXX), Manažer XX (xxxxxxxxxxx xxxxxx ČIA).

Další xxxxxxxx:

x) Role není xxxxxxxxxx s xxxxxx xxxxxxxxxxx za xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx a x xxxxxxx xxxxxxxxxx xx xxxxxxxx rolemi.
b) Pro xxxxxxx výkon této xxxx xx zapotřebí xxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxx x xxxxxxxx.

Xxx. 3: Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx

Xxxx:

Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx

Xxxxxxx xxxxxxxx:

x) Xxxxxxxxxxx za xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.

Xxxxxxxx:

x) Xxxxxxxxxxxx xxxxxxxxxxxx x komunikačních systémů x xxxx xxxxxxxxxx.
x) Xxxxxxxxxx komponenty, xxxxxxxx x xxxxxxxxxxxx.
x) Xxxxxxxx xxxxxxx x software.
d) Xxxxxxxxx xxxxxxx x xxxxxx xxxxxxxxx x xxxxxxxxx xx XXX.
x) Xxxxxx xxxxxxxxxxx x xxxxx.
x) Xxxxxxxxxx xxxxxxxxxx x xxxx.
x) Řízení xxxxxxx x xxxxxxxx.
x) Xxxxxxxxx a xxxxxxxxx xxxxxxxxxxx.
x) Bezpečnost xxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx.
x) Xxxxxxxxx x xxxxxxxxxx ICT x obchodních xxxxxxx.

Xxxxxxxxxx:

x) Xxxxxxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx se xxxxxxxxx xx xxxx a xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxx xxxxxxxx.

Xxxxxxxx x xxxxx:

x) Xxxxxxx 3 roky xxxxx x xxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxx
x) absolvování xxxxxx na xxxxxx xxxxx x xxxxxxx 1 xxx xxxxx x xxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx bezpečnosti.

Relevantní xxxxxxxxxxx*:

Xxxxxxxxx Xxxxxxx Hacker (XXX), XxxxXXX Xxxxxxxx +, Certified Xxxxxxxxxxx Xxxxxxxx Manager (CISM), Xxxxxxxxx in Xxxx xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Security Xxxxxxxxxxxx (XXXXX), Xxxxxxx XX (xxxxxxxxxxx xxxxxx XXX).

Xxxxx xxxxxxxx:

Xxxx xxxx xxxxxxxxxx x xxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx a komunikačních xxxxxxx.

Xxx. 4: Auditor xxxxxxxxxxxx bezpečnosti

Role:

Auditor kybernetické xxxxxxxxxxx

Xxxxxxx xxxxxxxx:

Xxxxxxxxx auditu xxxxxxxxxxxx bezpečnosti.

Znalosti:

a) Xxxxxxxxxxx x xxxxx auditu xxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx x postupy interního xxxxxx.
x) Role x xxxxxx xxxxxxxxx xxxxxx.
x) Xxxxxx xxxxxxxxx xxxxxx XXX bezpečnosti.
e) Xxxxxxxxxxx x taktické xxxxxx XXX.
x) Akvizice, vývoj x nasazení XXX.
x) Xxxxxx xxxxxxx, údržby x xxxxxx XXX.
x) Xxxxxxx xxxxx.
x) Xxxxxxxxx xxxxxxxxxxxx bezpečnosti, xxxxxx xxxxxxxxx a xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxx xxxxxxxx.
x) XXX xxxxxxxxxx.

Xxxxxxxxxx:

x) Xxxxxxxxx xxxxxx xxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxxxxx.
x) Provádění xxxxxx kybernetické xxxxxxxxxxx xxxx auditů systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxxx xxxxxx.
x) Xxxxx auditních xxxxxx, xxxxxx prezentace x xxxxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxx.
x) Xxxxxxxxx xxxxx xxxxxx xxxxxxxxx požadavků.
f) Provádění xxxxxx xx zaměřením xx ICT a xxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxx.

Xxxxxxxx x praxe:

a) Xxxxxxx 3 xxxx xxxxx x xxxxxxx xxxxxx xxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxxxxx, nebo
b) xxxxxxxxxxx studia xx xxxxxx xxxxx x xxxxxxx 1 xxx xxxxx x xxxxxxx xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx bezpečnosti.

Relevantní certifikace*:

Certified Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXX), Certified Xxxxxxxx Xxxxxxx (CIA), Certified xx Xxxx xxx Xxxxxxxxxxx Systems Xxxxxxx (XXXXX), Xxxx Auditor Xxxxxxxxxxx Xxxxxxxx Management Xxxxxx (Xxxx Xxxxxxx XXXX), Auditor BI (xxxxxxxxxxx xxxxxx ČIA).

Další xxxxxxxx:

x) Xxxx není xxxxxxxxxx x rolemi
   1. xxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx,
&xxxx;&xxxx; 2. manažera xxxxxxxxxxxx xxxxxxxxxxx,
&xxxx;&xxxx; 3. xxxxxxxxxx xxxxxxxxxxxx bezpečnosti,
   4. xxxxxxx xxxxxx.
x) Xxxx xxxx xxxxxxxxxx s xxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systémů.

Tab. 5: Xxxxxx aktiva

Role:

Garant xxxxxx

Xxxxxxx xxxxxxxx:

x) Odpovědnost xx xxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxxxxx aktiva.
b) Xxxxxxxxxx x ostatními xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.

Xxxxxxxx:

x) Xxxxx xxxxxxx xxxxxx, xxxxx xx xxxxxxxx.
x) Xxxxx znalost xxxxxxxxx xxxxxxxxxxxxxx politik x xxxxxxx (například Xxxxxxxx xxx xxxxxxxxx xxxxx a rizik).

* Xxxxxxxxxxx xxxx xxx x xxxx než xxxxxxx, jestliže certifikace xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx rolí xxxxxxx xxxxxxxxx XXX 17 024.

Xxxxxxx č. 7 x vyhlášce x. 82/2018 Xx.

Xxxxxx xxxxxxxxxx - bezpečnostní opatření xxx xxxxxxx xxxxxx

Xxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx dodavateli:

a) xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx (x xxxxxxx xxxxxxxxxx, xxxxxxxxxxx a xxxxxxxxx),

x) xxxxxxxxxx x oprávnění xxxxxx xxxx,

x) ustanovení x xxxxxxxxx xxxxxxxxxxxx xxxx, popřípadě x xxxxxxxxxxxx licencích,

d) xxxxxxxxxx x kontrole x xxxxxx xxxxxxxxxx (xxxxxxxx xxxxxxxxxxxx auditu),

e) ustanovení xxxxxxxxxx řetězení dodavatelů, xxxxxxx xxxx xxx xxxxxxxxx, xx poddodavatelé xx xxxxxx dodržovat x xxxxx xxxxxxx xxxxxxxx xxxx povinnou xxxxxx x dodavatelem x xxxxxxx x xxxxxxx s požadavky xxxxxxx xxxxx na xxxxxxxxxx,

x) xxxxxxxxxx o xxxxxxxxxx xxxxxxxxxx dodržovat xxxxxxxxxxxx politiky povinné xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx bezpečnostních xxxxxxx dodavatele povinnou xxxxxx,

x) xxxxxxxxxx x xxxxxx xxxx,

x) xxxxxxxxxx x souladu xxxxx x xxxxxx xxxxxxxxx xxxxxxxx předpisy,

i) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx povinnou xxxxx x

1. xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxxx smlouvy,

2. způsobu xxxxxx xxxxx xx xxxxxx xxxxxxxxxx x x zbytkových rizicích xxxxxxxxxxxxx x xxxxxxx xxxxxxx,

3. významné změně xxxxxxxx xxxxxx dodavatele xxxxx xxxxxx o xxxxxxxxxx korporacích xxxx xxxxx vlastnictví xxxxxxxxx xxxxx, xxxxxxxxx xxxxx xxxxxxxxx xxxxxxxx x xxxxxx aktivy, využívaných xxxxx dodavatelem k xxxxxx xxxxx xxxxxxx xx xxxxxxxx,

x) xxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxx xxxxxxxx xxxxxxx (například xxxxxxxxx xxxxxx xxx xxxxxxxx xxxxxxxxxx, xxx je xxxxx ještě udržovat xxxxxx před xxxxxxxxx xxxxxx xxxxxx, xxxxxxx xxx a podobně),

k) xxxxxxxxxxx podmínek xxx xxxxxx kontinuity činností x xxxxxxxxxxx x xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxxx xx havarijních xxxxx, úkoly xxxxxxxxxx xxx aktivaci řízení xxxxxxxxxx xxxxxxxx),

x) specifikace xxxxxxxx xxx formát xxxxxxx xxx, xxxxxxxxxx xxxxx a xxxxxxxxx xx xxxxxxxx xxxxxxxx,

x) xxxxxxxx xxx likvidaci xxx,

x) xxxxxxxxxx o xxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxx x xxxxxxx xxxxxxxx xxxxx xxxxxxxx nad xxxxxxxxxxx xxxx xxxxx kontroly xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxx xxxxxxx x

x) xxxxxxxxxx x xxxxxxxx xx xxxxxxxx xxxxxxxxxx.

Příloha x. 8 x xxxxxxxx x. 82/2018 Sb.

Vzor Xxxxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxx

Vyplnitelný formulář ve formátu PDF

Informace

Právní xxxxxxx x. 82/2018 Xx. nabyl xxxxxxxxx xxxx 28.5.2018.

Ke xxx uzávěrky xxxxxx xxxxxxx xxxxx xxxxx xx xxxxxxxxx.

Xxxxx xxxxxxxxxxxx xxxxxxxx norem jiných xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx se xxxx xxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxxxx právního xxxxxxxx.

1) Xxxxxxxx Evropského xxxxxxxxxx x Xxxx (XX) 2016/1148 xx xxx 6. xxxxxxxx 2016 x xxxxxxxxxx x zajištění vysoké xxxxxxxx úrovně xxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxx x Xxxx.