Právní předpis byl sestaven k datu 25.08.2024.
Zobrazené znění právního předpisu je účinné od 28.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
VYHLÁŠKA
ze xxx 21. xxxxxx 2018
x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxx xxxxxx x xxxxxxx kybernetické bezpečnosti x xxxxxxxxx xxx (xxxxxxxx o kybernetické xxxxxxxxxxx)
Xxxxxxx úřad xxx xxxxxxxxxxxxx x informační xxxxxxxxxx xxxxxxx podle §28 xxxx. 2 xxxx. x) xx x) x x) xxxxxx x. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx x x xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx o kybernetické xxxxxxxxxxx), xx xxxxx xxxxxx x. 104/2017 Xx. x zákona x. 205/2017 Sb., (xxxx xxx "xxxxx"):
XXXX XXXXX
XXXXXX USTANOVENÍ
§1
Předmět xxxxxx
Xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx předpis Xxxxxxxx xxxx1) a xxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx systém xxxxxxxx xxxxxx xxxxx xxxxxxxxxx systém nebo xxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx poskytovatel xxxxxxxxxxx xxxxxx, (dále xxx "xxxxxxxxxx x xxxxxxxxxxx xxxxxx") xxxxxxxx
x) xxxxx x xxxxxxxxx xxxxxxxxxxxx dokumentace,
b) xxxxx x rozsah bezpečnostních xxxxxxxx,
x) xxxx, xxxxxxxxx x xxxxxxxxx významnosti xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) náležitosti xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx a jeho xxxxxxxx,
x) xxxx oznámení xxxxxxxxxxx údajů x xxxx xxxxx x
x) xxxxxx xxxxxxxxx dat, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx.
§2
Xxxxxxxx xxxxx
Xxx účely xxxx vyhlášky se xxxxxx
x) xxxxxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, údržbu x xxxxxxxxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxxxx rizikem xxxxxx, xxxxx xx xxxxxxxxxx xxx xxxxx xxxx xxxxx, xxxxx xxxx xxxxxxx zavést xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx, (xxxx xxx "povinná xxxxx") a xxxx xxxxx xxx xxxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) bezpečnostní xxxxxxxxx xxxxxx zásad x xxxxxxxx, xxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx,
x) xxxxxxxxxx xxxxx xxxxxxx proces xxxxxxxxxxxx, xxxxxxx a xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxx škodu,
f) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xx xx provozu, xxxxxxx, xxxxxx xxxx bezpečnosti xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxx služba, xxxxxx xxxxxxxxxx xxxx xxxxxxxxx informační x xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxx, že xxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxx x způsobí xxxxx,
x) xxxxxxx xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx x xxxxxxxx xxxxxxxx ke xxxxxxxx rizik, xxxxxxx xxxxxxxxx x xxxxxx x sledování x xxxxxxxxxxx xxxxx,
x) xxxxxxxx xxxxxx bezpečnosti informací xxxx systému xxxxxx xxxxxxx xxxxx xxxxxxxx xx xxxxxxxx k xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému, xxxxx xxxxxxx xxxxxx xxxxxxxx, xxxxxxxx, xxxxxxxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x dat,
k) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx, komunikační prostředky x programové xxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x xxxxxxx, xx xxxxxxx xxxx xxxx systémy umístěny, xxxxxxx xxxxxxx xxxx xxx dopad xx xxxxxxxxxx a xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx fyzická xxxx xxxxxxxxx osoba xxxxx xxxxx veřejné xxxx, xxxxx xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx xxxx, xxxxx xxxx xxxxxxxx osobu, nebo xxxxxxxxxx xxxxx povinné xxxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx (xxxx xxx "provozovatel") x xxxxx, kdo x xxxxxxxx xxxxxx xxxxxxxx xx právního xxxxxx, xxxxx xx xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxx změnou xxxxx, xxxxx xx xxxx xxxx xxx xxxx xx kybernetickou xxxxxxxxxx a xxxxxxxxxxx xxxxxx xxxxxx,
x) zranitelností xxxxx xxxxx xxxxxx xxxx xxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxx zneužito xxxxxx nebo xxxx xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx x xxxxxxx xx xxxxxxxxx dotčených xxxxx a xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xx xxxxxx určí xxxxxxxxxxx xxxxx x xxxxxx, jichž xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,
x) xxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxx xxxxxxxxx xxxxxx systému xxxxxx bezpečnosti informací xx xxxxxxx cílů xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxx xxxxxx přiměřená bezpečnostní xxxxxxxx,
x) řídí xxxxxx xxxxx §5,
x) vytvoří x schválí bezpečnostní xxxxxxxx x xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, která xxxxxxxx xxxxxx xxxxxx, cíle, xxxxxxxxxxxx xxxxxxx, práva x povinnosti xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx, x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx stanoví xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §30 a xxxxxx xxxxxxxxx bezpečnostní opatření,
f) xxxxxxx provedení xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx (xxxx jen "xxxxx xxxxxxxxxxxx bezpečnosti") xxxxx §16,
g) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx stavu xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a dopadů xxxxxxxxxxxxxx bezpečnostních incidentů xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) průběžně xxxxxxxxxxxx x následně xxxxx §11 řídí xxxxxxxx změny, xxxxx xxxxx do xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) aktualizuje xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x příslušnou xxxxxxxxxxx xx základě xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx, xxxxxxxx vyhodnocení xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a x xxxxxxxxxxx s prováděnými xxxxxxxxxx xxxxxxx a
j) xxxx xxxxxx a xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx činnosti spojené xx xxxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxx rizik.
§4
Řízení xxxxx
(1) Povinná xxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) stanoví metodiku xxx xxxxxxxxx xxxxx xxxxxxx x xxxxxxx xxxxxxxx x příloze č. 1 x xxxx xxxxxxxx,
x) xxxxxxxxxxxx a eviduje xxxxxx,
x) xxxx x xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx x eviduje xxxxxxxx aktiva z xxxxxxxx xxxxxxxxxx, integrity x dostupnosti a xxxxxx xx xx xxxxxxxxxxxx xxxxxx podle xxxxxxx x),
x) xxxx x xxxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx a xxxxxxx důsledky závislostí xxxx primárními a xxxxxxxxxx xxxxxx,
x) hodnotí xxxxxxxx xxxxxx x xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxx x),
x) xx xxxxxxx xxxxxxxxx aktiv xxxxxxxxx x xxxxxx xxxxxxxx xxxxxxx nutná xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx aktiv,
i) xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx xxx manipulaci x xxxxxx x xxxxxxx xx úroveň aktiv, xxxxxx xxxxxxxx xxx xxxxxxxx elektronické xxxxxxx x xxxxxxx xxxxxxxxx xxxxx, x
x) xxxx xxxxxx likvidace dat, xxxxxxxxxx xxxxx, xxxxxxxxx x jejich xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxx s xxxxxxx na xxxxxx xxxxx v souladu x přílohou č. 4 x xxxx xxxxxxxx.
(2) Při xxxxxxxxx xxxxxxxxxxx primárních xxxxx je třeba xxxxxxxx xxxxxxx
x) xxxxxx x xxxxxxxxxx xxxxxxxx xxxxx, zvláštních xxxxxxxxx xxxxxxxx xxxxx nebo xxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxx,
x) xxxxxx narušení xxxxxxxxx xxxxxxxx x kontrolních xxxxxxxx,
x) poškození veřejných, xxxxxxxxxx xxxx ekonomických xxxxx x xxxxx xxxxxxxx xxxxxx,
x) dopady xx poskytování xxxxxxxxxx xxxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx,
x) xxxxxx xx zachování xxxxxxx xxxxx xxxx xxxxxxx xxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxx x xxxxxx xxxx,
x) dopady xx xxxxxxxxxxx xxxxxx x
x) xxxxxx na xxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx.
§5
Xxxxxx xxxxx
(1) Povinná xxxxx v rámci xxxxxx xxxxx x xxxxxxxxxx xx §4
x) xxxxxxx metodiku xxx xxxxxxxxx xxxxx, včetně xxxxxxxxx xxxxxxxx pro xxxxxxxxxxxxxxxx xxxxx,
x) s xxxxxxx xx aktiva xxxxxxxxxxxx xxxxxxxxxx hrozby x xxxxxxxxxxxxx; xxxxxx xxxxxxx xxxxxxx kategorie xxxxxx x xxxxxxxxxxxxx xxxxxxxxx x příloze č. 3 x xxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxx x pravidelných intervalech xxxxx odstavce 2 x xxx významných xxxxxxx,
x) xxx xxxxxxxxx xxxxx xxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxxxxx x xxxxxxx možné xxxxxx na xxxxxx; xxxx xxxxxx xxxxxxx xxxxxxx v xxxxxxx přílohy č. 2 k této xxxxxxxx,
x) zpracuje xxxxxx x xxxxxxxxx rizik,
f) xxxxxxxx xx základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx přehled xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx, xxxxx
1. xxxxxx xxxxxxxxxx, xxxxxx xxxxxxxxxx,
2. xxxx xxxxxxxxxx, xxxxxx xxxxxxx xxxxxx,
x) xxxxxxxx a zavede xxxx zvládání xxxxx, xxxxx obsahuje xxxx x xxxxxxx bezpečnostních xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxx, určení xxxxx zajišťující xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxx xxxxxx xxxxxxxx, xxxxx xxxxx mezi xxxxxx a příslušnými xxxxxxxxxxxxxx xxxxxxxxxx a xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx,
x) při xxxxxxxxx xxxxx x x xxxxx xxxxxxxx xxxxx xxxxxxxx
1. xxxxxxxx změny,
2. xxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
3. xxxxxxxx xxxxx §11 xxxxxx x
4. kybernetické xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxx xxxxxxxx, a
i) x souladu s xxxxxx zvládání xxxxx xxxxxx bezpečnostní xxxxxxxx.
(2) Xxxxxxx osoba uvedená x §3 xxxx. x), d) x x) zákona provádí xxxxxxxxx rizik xxxxxxx xxxxxx ročně x xxxxxxx osoba xxxxxxx x §3 xxxx. x) zákona alespoň xxxxxx xx tři xxxx.
(3) Xxxxxx xxxxx xxxx xxx xxxxxxxxx x xxxxxx xxxxxxx, xxx xxx xx xxxxxxxxx x xxxxxxxx 1 xxxx. d), xxxxx xxxxxxx xxxxx xxxxxxxxx, že xxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxxx xxxxxx xxxxx.
§6
Xxxxxxxxxxx xxxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxxxx xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx
x) zajistí xxxxxxxxx xxxxxxxxxxxx politiky x cílů xxxxxxx xxxxxx bezpečnosti informací xxxxx §3 xxxxxxxxxxxx xx xxxxxxxxxxxx směřováním xxxxxxx xxxxx,
x) zajistí xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxx povinné xxxxx,
x) xxxxxxx dostupnost zdrojů xxxxxxxxxx pro xxxxxx xxxxxx bezpečnosti informací,
d) xxxxxxxxx xxxxxxxxxxx o xxxxxxx systému xxxxxx xxxxxxxxxxx informací a xxxxxxx xxxxxxxx xxxxx x xxxx požadavky xx xxxxx dotčenými xxxxxxxx,
x) xxxxxxx podporu x xxxxxxxx zamýšlených xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací,
f) xxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxx xx xxx xxxxx xxxxxxxxx,
x) prosazuje xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací,
h) xxxxxxxxx xxxxx zastávající xxxxxxxxxxxx xxxx xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx a osob, xxxxx budou xxxxxxxx xxxxxxxxxxxx role,
j) zajistí, xxx byla xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx x xxxx zastávajících bezpečnostní xxxx,
x) pro xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxx příslušné xxxxxxxxx x zdroje xxxxxx xxxxxxxxxxxx prostředků k xxxxxxxxxx xxxxxx rolí x xxxxxx souvisejících xxxxx a
l) xxxxxxx xxxxxxxxx plánů kontinuity xxxxxxxx, xxxxxx a xxxxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx x rámci systému xxxxxx xxxxxxxxxxx informací xxxx xxxxxxx xxxxxx xxx řízení kybernetické xxxxxxxxxxx x xxxxxxxxxxxx xxxx x xxxxxx xxxxx x povinnosti xxxxxxxxxxx xx systémem xxxxxx bezpečnosti xxxxxxxxx.
(3) Xxxxxxx xxxxx uvedená x §3 xxxx. x), x) a x) xxxxxx xxxx xxxxx, xxxxx xxxx xxxxxxxx bezpečnostní xxxx
x) xxxxxxxx kybernetické xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxxx bezpečnosti,
c) xxxxxxx aktiva x
x) xxxxxxxx kybernetické bezpečnosti.
(4) Xxxxxxx xxxxx uvedená x §3 xxxx. x) xxxxxx xxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx a garanta xxxxxx. Xxxxxxx bezpečnostní xxxx podle xxxxxxxx 3 určí xxxxxxxxx xxxxxxxx x rozsahu x potřebám systému xxxxxx bezpečnosti informací.
(5) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) a x) xxxxxx zajistí xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx x xxxxxxxx 3 písm. x) x x).
(6) Xxxxxxx xxxxx uvedená x §3 xxxx. x) xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxx role xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(7) Výbor xxx xxxxxx kybernetické xxxxxxxxxxx xx xxxxxx xxxxxxx s xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxx celkové xxxxxx x rozvoj xxxxxxx xxxxxx bezpečnosti xxxxxxxxx x xxxxxxx xxxxxxxx se xxxxxxxxxxxx xx řízení x xxxxxxxxxx činností xxxxxxxxx x kybernetickou xxxxxxxxxxx, xxxxx členem xxxx xxx xxxxxxx xxxxx xxxxxxxx vrcholového xxxxxx xxxx xxx xxxxxxxx xxxxx a manažer xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxx xxxxx u xxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx přihlédne x xxxxxxxxxxx xxxxxxxx v příloze č. 6 x této xxxxxxxx.
§7
Bezpečnostní xxxx
(1) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) je xxxxxxxxxxxx role odpovědná xx xxxxxx řízení xxxxxxxxxxx informací, xxxxxxx xxxxxxx xxxx xxxx xxxx xxx pověřena xxxxx, xxxxx je xxx xxxx činnost xxxxxxxxx a prokáže xxxxxxxx způsobilost xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx s xxxxxxx bezpečnosti xxxxxxxxx
1. xx xxxx xxxxxxx xxx xxx, nebo
2. xx dobu xxxxxxx xxxx, pokud xxxxxxxxxxx xxxxxxx xx xxxxxx xxxxx,
x) xxxxxxxx za xxxxxxxxxx informování xxxxxxxxxxx xxxxxx x
1. xxxxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxx xxxxxxxxxxxx x
2. xxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x
x) xxxxx xxx xxxxxxx xxxxxxx xxxx odpovědných xx xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx.
(2) Xxxxxxxxx xxxxxxxxxxxx bezpečnosti xx xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxxxxx xxxxxx implementace xxxxxxxxxxxxxx xxxxxxxx tak, xxx xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxx informačního a xxxxxxxxxxxxx systému, xxxxxxx xxxxxxx této xxxx xxxx být xxxxxxxx xxxxx, která xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxx implementace xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxx nejméně xxx let, xxxx
x) xx dobu xxxxxxx xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx vysoké xxxxx.
(3) Xxxxxx xxxxxx xx xxxxxxxxxxxx role xxxxxxxxx za zajištění xxxxxxx, použití x xxxxxxxxxx xxxxxx.
(4) Auditor xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx xxxx odpovědná xx xxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx, přičemž xxxxxxx této xxxx xxxx být xxxxxxxx xxxxx, xxxxx xx xxx tuto xxxxxxx xxxxxxxxx x prokáže xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx nebo xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xx xxxx nejméně xxx xxx, nebo
2. xx xxxx xxxxxxx xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx vysoké xxxxx,
x) xxxxxxxx, xx provedení xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx nestranné, a
c) xxxxx xxx xxxxxxx xxxxxxx xxxxxx bezpečnostních xxxx.
(5) Xxxxxxx xxxxx xxx xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role xxxxxxxxx x doporučením xxxxxxxx v příloze č. 6 x xxxx xxxxxxxx.
§8
Xxxxxx xxxxxxxxxx
(1) Povinná xxxxx
x) xxxxxxx xxxxxxxx xxx dodavatele, která xxxxxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxx své xxxxxxxx dodavatele o xxxxxx xxxxxxxx xxxxx xxxxxxx x),
x) xxxxxxxxx xxx dodavatele s xxxxxxxx xxxxx písmene x) x xxxxxxxx xxxxxx xxxxxx xxxxxxxx,
x) xxxx xxxxxx spojená x dodavateli,
f) x xxxxxxxxxxx x xxxxxxx xxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxx, xxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx relevantní oblasti xxxxxxx x příloze č. 7 x xxxx xxxxxxxx, x
x) xxxxxxxxxx přezkoumává xxxxxx smluv s xxxxxxxxxx dodavateli z xxxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx u xxxxxxxxxx xxxxxxxxxx xxxx
x) v xxxxx xxxxxxxxxx řízení x xxxx uzavřením xxxxxxx provádí xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxx xxxxx přílohy č. 2 x této xxxxxxxx,
x) x xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx xxxxxxx a xxxxxx xxxxxxxxx bezpečnostních xxxxxxxx a xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx za xxxxxxxx x xxxxxxxx bezpečnostních xxxxxxxx,
x) provádí pravidelné xxxxxxxxx rizik x xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx u xxxxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxx zdrojů xxxx xxxxxx xxxxx xxxxxx x
x) x xxxxxx xx xxxxxx x xxxxxxxx xxxxxxxxxx zajistí xxxxxx xxxxxx.
(3) Náležitosti xxxxxxxxxxxxxx informování podle xxxxxxxx 1 písm. x) xxxx
x) identifikace xxxxxxx xxxx provozovatele,
b) xxxxxxxxxxxx informačního a xxxxxxxxxxxxx xxxxxxx,
x) identifikace xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxxx, xx xxxxxxxxx xx pro xxxxxxx významným xxxxxxxxxxx, x xxxxxxxxx xxxx x xxx, xx xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx, x
x) xxxxx xxxxxxxx xxxxx xxxxxxxx 1 písm. x).
(4) Povinná xxxxx xxxxxxx v §3 xxxx. c) xx x) zákona, xxxxx xx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 xxxx. x), xxxxx xxxxxxxxx údaje formou xxxxxxxx x §34.
§9
Xxxxxxxxxx xxxxxxxx xxxxxx
(1) Xxxxxxx xxxxx x xxxxx řízení xxxxxxxxxxx xxxxxxxx xxxxxx
x) x xxxxxxx na stav x xxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx xxxxxxx xxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxx xx zajistit xxxxxxxxxxxx vzdělávání x xxxxxxxxxx bezpečnostního xxxxxxxx x xxxxx xxxxxxxx xxxxx, xxxxx a xxxxxx
1. xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, osob xxxxxxxxxxxxx xxxxxxxxxxxx role x xxxxxxxxxx x xxxxxx xxxxxxxxxxxx a x xxxxxxxxxxxx politice x
2. xxxxxxxxxx xxxxxxxxxxxx i xxxxxxxxxxx školení uživatelů, xxxxxxxxxxxxxx a osob xxxxxxxxxxxxx bezpečnostní role,
b) xxxx xxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx jsou x xxxxx xxxxxxx,
x) x xxxxxxx s xxxxxx rozvoje bezpečnostního xxxxxxxx xxxxxxx poučení xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxx x xxxxxx povinnostech x x xxxxxxxxxxxx politice xxxxxx xxxxxxxxx x xxxxxxxxxxxx školení,
d) pro xxxxx zastávající xxxxxxxxxxxx xxxx x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx povědomí zajistí xxxxxxxxxx odborná školení, xxxxxxx vychází x xxxxxxxxxx xxxxxx xxxxxxx xxxxx v xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) v xxxxxxx x xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx zaměstnanců v xxxxxxx x jejich xxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx a xxxx zastávajících xxxxxxxxxxxx xxxx,
x) x xxxxxxx xxxxxxxx smluvního xxxxxx x xxxxxxxxxxxxxx a xxxxxxx xxxxxxxxxxxxx bezpečnostní xxxx xxxxxxx předání xxxxxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx rozvoje bezpečnostního xxxxxxxx, xxxxxxxxxxx xxxxxxx x dalších činností xxxxxxxxx se zlepšováním xxxxxxxxxxxxxx xxxxxxxx a
i) xxxx xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxx porušení xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx ze xxxxxx uživatelů, administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
(2) Xxxxxxx xxxxx xxxx x xxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx xxxxxxx školení x xxxxxx xxxx, xxxxx školení xxxxxxxxxxx.
§10
Řízení xxxxxxx x xxxxxxxxxx
(1) Povinná xxxxx x rámci řízení xxxxxxx a xxxxxxxxxx xxxxxxxxx bezpečný provoz xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxx xxxxxxxx a xxxxxxx, xxxxx xxxxxxxx xxxxxxx
x) práva a xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) postupy xxx xxxxxxxx a xxxxxxxx xxxxx xxxxxxx, xxx xxxxxxx xxxx xxxxxxxx chodu xxxxxxx xx selhání x xxx ošetření xxxxxxxxx xxxxx xxxx mimořádných xxxx,
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx a xxxxxxxx xxx xxxxxxx xxxxxxxx x záznamům x xxxxxx xxxxxxxxxx,
x) pravidla x xxxxxxx pro xxxxxxx xxxx xxxxxxxxx xxxxx,
x) řízení xxxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxx xx xxxxxxxxx xxxxx, které xxxx xxxxxxxx xxxxxxx xxxxxxxxx x technické xxxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxxx, xxxxxxxxx x xxxxxx kapacity xxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxx x xxxxxxx xxx ochranu xxxxxxxxx x dat x xxxxxxx xxxxxx životního xxxxx,
x) xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx aktiv,
k) provádění xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx provedených xxxxx a
l) xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx síťových xxxxxx.
(2) Xxxxxxx xxxxx x xxxxx řízení xxxxxxx a komunikací xxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx podle xxxxxxxx 1 a xxxx pravidla x xxxxxxx aktualizuje v xxxxxxxxxxx x xxxxxxxxxxx xxxx plánovanými změnami.
(3) Xxxxxxx osoba zajistí xxxxxxxx xxxxxxxxxx, testovacího x xxxxxxxxxx prostředí.
§11
Xxxxxx změn
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) xxxxxxxxxxx xxxxx xxxxxx xxxx a
b) xxxxxx významné změny.
(2) Xxxxxxx xxxxx x xxxxxxxxxx xxxx
x) xxxxxxxxxxx xxxxxx řízení,
b) provádí xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxx xx účelem xxxxxxx xxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxx změnami,
d) aktualizuje xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx dokumentaci,
e) xxxxxxx xxxxxx xxxxxxxxx x
x) xxxxxxx xxxxxxx navrácení xx původního stavu.
(3) Xxxxxxx osoba uvedená x §3 xxxx. x), x) x x) zákona xx xxxxxxx xxxxxxxx xxxxxxx xxxxx xxxxx xxxxxxxx 2 písm. x) xxxxxxxxx o xxxxxxxxx xxxxxxxxxxxx testování xxxx xxxxxxxxx zranitelností; pokud xxxxxxxx o provedení xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx zranitelností, postupuje xxxxx §25 xxxx. 1 a reaguje xx zjištěné xxxxxxxxxx.
(4) Xxxxxxx xxxxx uvedená x §3 písm. x) xxxxxx xx xxxx požadavky xxxxx xxxxxxxx 3 xxxxxxxxx.
§12
Xxxxxx xxxxxxxx
(1) Povinná xxxxx na základě xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxx řídí xxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxx opatření, xxxxx xxxxxx x xxxxxxxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxx §19 x 20, x xxxxx xxxxx ve xxxxxxxx těchto xxxxx xxxxxxxxxxxx xxxxxx.
(2) Xxxxxxx xxxxx dále x xxxxx xxxxxx xxxxxxxx x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxxx xx základě xxxxxx x xxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx přístupová xxxxx x xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx,
x) xxxx xxxxxxxxxxxxxx, xxxxxxxxxx xxxxx x oprávnění xxxxxxxx a xxxxxxxxxxx xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxxx zařízení x xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxxx potřebná xxx bezpečné xxxxxxxxx xxxxxxxxx zařízení x xxxxxx technických xxxxxxxx, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx technických xxxxxxxx, xxxxx xxxxxxx osoba xxxx ve své xxxxxx,
x) omezí xxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxx xxxxxx x xxxxxx xxxxxx xxxxx,
x) omezí x xxxxxxxxxx xxxxxxxxx programových xxxxxxxxxx, které xxxxx xxx schopné překonat xxxxxxxxx nebo xxxxxxxxx xxxxxxxx,
x) xxxxxxxxx x xxxxxxx xxxxxxxxxx oprávnění x xxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxx x xxxx,
x) xxxxxxx xxxxxxx xxx xxxxxx x ověřování identity xxxxx §19 x xxxxxxx xxx xxxxxx xxxxxxxxxxxx oprávnění podle §20,
x) prosazuje, xxx xxxxxxxxx xxx používání xxxxxxxxxx autentizačních xxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx nebo xxxxx xxxxxxxxxxxx oprávnění xxx změně xxxxxx xxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx bezpečnostní role,
m) xxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx xxxx xxxxx smluvního vztahu x
x) dokumentuje xxxxxxxxxxx x odebírání xxxxxxxxxxxx xxxxxxxxx.
§13
Xxxxxxxx, xxxxx a xxxxxx
Xxxxxxx xxxxx x xxxxxxxxxxx s xxxxxxxxxx xxxxxxxx, vývojem x xxxxxxx informačního x xxxxxxxxxxxxx systému
a) řídí xxxxxx xxxxx §5,
x) xxxx významné xxxxx xxxxx §11,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) zahrne xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxx akvizice, xxxxxx x xxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxx,
x) xxxxxxx xxxxxxxxxxxx testování významných xxxx xxxx xxxxxx xxxxxxxxx do xxxxxxx x
x) xxxx xxxxxxxxx xxxxx §19 odst. 3, xx-xx xxxxx xxxxxxxxx xxxxxxxx xxxx xxxxxx nástroj pro xxxxxx x xxxxxxxxx xxxxxxxx.
§14
Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
(1) Xxxxxxx xxxxx v xxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
b) xxxxxxx xxxxxxxxxxxx x stanoví xxxxxxx xxx
1. xxxxxxx x vyhodnocování kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx a
2. xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) definuje x xxxxxxxx postupy xxx identifikaci, xxxx, xxxxxxx a xxxxxxxx xxxxxxxxxxx podkladů xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx kybernetických bezpečnostních xxxxxxxx,
x) při xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xx xxxx xxxx §22 x 23,
x) xxxxxxx, xx xxxxxxxxx, xxxxxxxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxx xxxxxxxxxxx a xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx systému x xxxxxxxxx na jakékoliv xxxxxxxxxxxxx,
x) zajistí xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xxxx xxx rozhodnuto, zda xxxx xxx xxxxxxxxxxxxx xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx podle §31,
h) xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxx xxxxxxxxx x zmírnění dopadu xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu,
j) xxxxx kybernetické bezpečnostní xxxxxxxxx podle §32,
x) xxxx xxxxxxx x xxxxxxxxxxxxxx bezpečnostních incidentech x x xxxxxx xxxxxxxx,
x) prošetří a xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx x xx xxxxxxx xxxxxxxxxxx xxxxxxx nutná xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x zamezení xxxxxxxxx xxxxxxxx kybernetického xxxxxxxxxxxxxx incidentu.
(2) Povinná xxxxx xxxxxxx v §3 xxxx. x), x) x x) xxxxxx xxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxx §24.
§15
Řízení xxxxxxxxxx xxxxxxxx
Xxxxxxx xxxxx v xxxxx xxxxxx kontinuity xxxxxxxx
x) xxxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxxxxx hodnocení xxxxx x xxxxxxx xxxxxx vyhodnotí x xxxxxxxxxxx xxxxx dopady xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů x xxxxxxx možná xxxxxx související x xxxxxxxxx kontinuity xxxxxxxx,
x) xx xxxxxxx xxxxxxx xxxxxxxxx xxxxx x xxxxxxx dopadů xxxxx xxxxxxx b) xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx poskytovaných xxxxxx, xxxxx xx xxxxxxxxxx pro užívání, xxxxxx a správu xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. xxxx xxxxxxxx xxxxx, xxxxx xxxxx xxxx xx kybernetickém xxxxxxxxxxxxx incidentu xxxxxxxx xxxxxxxxx xxxxxx poskytovaných xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx, a
3. xxxx obnovení xxx xxxx xxxxxx xxxxxx, xx xxxxx musí xxx zpětně xxxxxxxx xxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx nebo xx selhání,
d) stanoví xxxxxxxx řízení xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx x),
x) xxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxx plány xxxxxxxxxx xxxxxxxx a xxxxxxxxx xxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxx kybernetickým xxxxxxxxxxxxx xxxxxxxxxx a xxxxxxxx xxxxxxxxxxx x vychází xxx xxx x xxxxxxxxx podle §27.
§16
Xxxxx xxxxxxxxxxxx bezpečnosti
(1) Xxxxxxx xxxxx x xxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx
x) provádí a xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, včetně xxxxxxxxxxx xxxxxxxxx xxxxx, x xxxxxxxx xxxxxx xxxxxxxx x plánu xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx zvládání xxxxx a
b) posuzuje xxxxxx xxxxxxxxxxxxxx opatření x nejlepší xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx, jinými předpisy x xxxxxxxxx xxxxxxx xxxxxxxxxxxx xx k xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxx nápravná opatření xxx xxxxxxxxx xxxxxxx.
(2) Xxxxx podle odstavce 1 xx xxxxxxxx
x) xxx xxxxxxxxxx xxxxxxx, x xxxxx xxxxxx xxxxxxx,
x) x pravidelných xxxxxxxxxxx xxxxxxx xx 3 xxxxxx x xxxxxxx povinné xxxxx xxxxxxx x §3 xxxx. x) xxxxxx x
x) v xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xx 2 letech x xxxxxxx povinné osoby xxxxxxxxx v xxxxxxx x).
(3) Xxxx-xx v xxxxxxxxxxxx případech xxxxx xxxxxxx xxxxx v xxxxxxxxxxx xxxxx xxxxxxxx 2 písm. x) x x) v xxxxx xxxxxxx, xx xxxxx xxxxx xxxxxxxx xxxxxxxx xx xxxxxxxxxxxxxx xxxxxxx. X xxxxxxx xxxxxxx xx xxxxx xxxxx x xxxxx xxxxxxx provést xxxxxxxxxx xx 5 xxx.
(4) Xxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx x §7 xxxx. 4, xxxxx xxxxxxxxx hodnotí xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(5) Xxxxxxx xxxxx, která xx xxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
XXXXX II
TECHNICKÁ XXXXXXXX
§17
Xxxxxxx xxxxxxxxxx
Xxxxxxx xxxxx v xxxxx fyzické xxxxxxxxxxx
x) xxxxxxxxx xxxxxxxxx, krádeži xxxx zneužití xxxxx xxxx přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému,
b) stanoví xxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxxx xxxxxx, xx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému, x
x) x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx stanoveného xxxxx xxxxxxx b) xxxxxx xxxxxxxx opatření x xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
1. x xxxxxxxx xxxxxxxxxxxxx xxxxxx,
2. k xxxxxxxx xxxxxxxxx x xxxxxxxxxxxx zásahům x
3. xxx xxxxxxxxx xxxxxxx xx úrovni xxxxxxx x v xxxxx xxxxxxx.
§18
Xxxxxxxxxx komunikačních xxxx
Xxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxxx komunikační sítě xxxxxxxx v xxxxxxx xxxxx §3 xxxx. x)
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxx xxxxxxxxxx x xxxxx xxxxxxxxxxx sítě x xxxxxxxxx komunikační xxxx,
x) xxxxxx kryptografie xxxxxxx důvěrnost x xxxxxxxxx xxx xxx xxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxx xxxx xxx xxxxxxxx xx xxxxxxxxxxx xxxx xxxxxx bezdrátových xxxxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx komunikaci a
e) xxx xxxxxxxxx xxxxxxxxxx xxxx x xxx xxxxxx xxxxxxxxxx xxxx xxxxxx segmenty xxxxxxx xxxxxxx, xxxxx zajistí xxxxxxx integrity xxxxxxxxxxx xxxx.
§19
Správa x xxxxxxxxx xxxxxxx
(1) Xxxxxxx xxxxx xxxxxxx nástroj xxx xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x aplikací informačního x komunikačního systému.
(2) Xxxxxxx pro xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx zajišťuje
a) ověření xxxxxxxx xxxx xxxxxxxxx xxxxxxx x xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxx xxxxxxx xxxxxxxxxxx xxxxxx o xxxxxxxxxx,
x) xxxxxxxx uložených xxxx xxxxxxxxxxx autentizačních xxxxx xxxxx xxxxxxxxxxxxx xxxxxxxx x xxxxxxxx,
x) xxxxxxxx autentizačních xxxxx xx xxxxx odolné xxxxx offline xxxxxx,
x) xxxxxxxx xxxxxxx identity xx určené době xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx při xxxxxx xxxxxxxx x
x) xxxxxxxxxxxxxxx xxxxxx xxxxxxx.
(3) Xxxxxxx xxxxx pro xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx mechanizmus, xxxxx xxxx xxxxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxx x xxxxx, xxxxx xx xxxxxxxxxxxxx xxxxxxxxxxx s xxxxxxx dvěma xxxxxxx xxxx faktorů.
(4) Xx xxxx splnění xxxxxxxxx xxxxx xxxxxxxx 3 xxxx xxxxxxx pro xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a aplikací, xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx klíčů x xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx.
(5) Xx xxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx 4 musí xxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx, xxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxx x xxxxx, xxxxxxxxx xxxxxxxx
x) xxxxx xxxxx xxxxxxx
1. 12 xxxxx x uživatelů x
2. 17 xxxxx x administrátorů x xxxxxxxx,
x) umožňující zadat xxxxx x délce xxxxxxx 64 xxxxx,
x) xxxxxxxxxxx použití malých x xxxxxxx písmen, xxxxxx x xxxxxxxxxxx xxxxx,
x) umožňující uživatelům xxxxx xxxxx, xxxxxxx xxxxxx xxxx xxxxx xxxxxxx xxxxx xxxxx xxx xxxxxx xxx 30 xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxx x administrátorům
1. xxxxxx si xxxxxxxxxx xxxxxxxxx hesla,
2. xxxxxx xxxxx na xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, xxxxxxxxxxxxxx xxxxx, x-xxxxx, xxxxx xxxxxxx xxxx obdobným způsobem x
3. xxxxxxxx xxxxxxx xxxxx xxxxxxxxxxx hesel x xxxxxx xxxxxxx 12 xxxxxxxxxxx hesel x
x) xxx povinnou xxxxx xxxxx x xxxxxxxxx xxxxxxxxx xx 18 xxxxxxxx, xxxxxxx xxxx pravidlo xx xxxxxxxxxx xx xxxx xxxxxxxx k xxxxxx xxxxxxx v xxxxxxx xxxxxxx.
(6) Xxxxxxx xxxxx x případě xxxxxxxxx xxxxxxxxxxx xxxxx účtem x xxxxxx xxxx
x) xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxx xx xxxx xxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx k xxxxxxxx xxxxxxxx xx xxxx xxxxxx xxxxxxx xxxx xxxxxxxxx nejvýše 60 xxxxx xx xxxx xxxxxxxxx a
c) povinně xxxxxx pravidla xxxxxx xxxxxxxxxx xxxxx do xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx podle §9.
§20
Xxxxxx xxxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx řízení xxxxxxxxx
x) xxx xxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) xxx xxxxx xxx, xxxxx xxx x xxxxx xxxxxxxxx.
§21
Xxxxxxx xxxx xxxxxxxxx xxxxx
(1) Povinná osoba xxxxxxx x §3 xxxx. x), d) x x) zákona x xxxxx xxxxxxx xxxx xxxxxxxxx xxxxx
x) x ohledem xx xxxxxxxxxx aktiv xxxxxxxxx xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxxx ochranu
1. xxxxxxxxx xxxxxx,
2. xxxxxxxxx xxxxxxxx,
3. serverů,
4. xxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
5. xxxxxxxxxxx xxxx a prvků xxxxxxxxxxx xxxx a
6. xxxxxxxxx zařízení,
b) xxxxxxxxxx x xxxx xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx zařízení x xxxxxxxx xxxxxx,
x) řídí xxxxxxxxx xx xxxxxxxxx xxxx a
e) provádí xxxxxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxx.
(2) Xxxxxxx osoba xxxxxxx x §3 xxxx. x) zákona xxxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxx.
§22
Zaznamenávání událostí xxxxxxxxxxxx x komunikačního xxxxxxx, xxxx uživatelů a xxxxxxxxxxxxxx
(1) Xxxxxxx osoba
a) xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxx provozní události xxxxxxxxxx aktiv xxxxxxxxxxxx x komunikačního xxxxxxx x
x) xx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx aktiv, x xxxxxxx je xxxxxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxx xxxxxxxxxxxxx bezpečnostních x xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 1 zajišťuje
a) xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx, je-li x xxxxxxxxxxx xxxx xxxxxx xxxxxxx, xxxxx xxxx xxxx xxxxxxx xxxxxxxxxxxx,
x) xxxx xxxxxxxxx x bezpečnostních a xxxxxxxxxx xxxxxxxxxx; zejména xxxxxxxxxxx
1. datum x xxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxx,
2. xxx xxxxxxxx,
3. identifikaci xxxxxxxxxxx xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx,
4. xxxxxxxxxxxx identifikaci xxxx, pod xxxxxx xxxx xxxxxxx xxxxxxxxx,
5. xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx a
6. xxxxxxxxx xxxx neúspěšnost xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx písmen x) x b) xxxx xxxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx
1. xxxxxxxxxxxx x xxxxxxxxxxx ke xxxx xxxxx, x xx xxxxxx xxxxxxxxxxx pokusů,
2. xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx,
3. xxxxxxx x xxxxxxxxx xxxxxxxxxx x účty, xxxxxxxxxxx a xxxxx,
4. xxxxxxxxxxx činností x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxx x oprávnění,
5. xxxxxxxx xxxxxxxxx, xxxxx xxxxx xxx xxxx xx bezpečnost xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
6. xxxxxxxx a xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx,
7. xxxxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxx aktiv x
8. xxxxxxxx x xxxxxxxx x událostech, xxxxxx x manipulaci xx xxxxxxx o xxxxxxxxxx x změny xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx událostí a
e) xxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxxx xx 24 xxxxx.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), d) x x) zákona xxxxxxxx xxxxxxx událostí xxxxxxxxxxxxx xxxxx xxxxxxxx 2 nejméně xx xxxx 18 xxxxxx.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxxx xxxxxxx událostí xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx po dobu 12 xxxxxx.
§23
Xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxxxxxxx xxxx, jejíž xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxx pro detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx
x) ověření x xxxxxxxx xxxxxxxxxxx xxx x xxxxx xxxxxxxxxxx xxxx a xxxx komunikačními xxxxxx,
x) xxxxxxx x xxxxxxxx xxxxxxxxxxx xxx xx xxxxxxxxx komunikační xxxx x
x) blokování nežádoucí xxxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x), x) x x) xxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxx xx xxxxxxxxxx aktiv x xxxxx
x) xxxxxxxxx xxxxxx,
x) xxxxxxxxx xxxxxxxx,
x) xxxxxxx,
x) xxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxx x
x) xxxxxxxxx xxxxx.
§24
Xxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) a f) xxxxxx xxxxxxx xxxxxxx xxx xxxx a xxxxxxxxxxx vyhodnocení kybernetických xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx
x) xxxx a xxxxxxxxxxxxx událostí zaznamenaných xxxxx §22 a 23,
x) xxxxxxxxxxx a xxxxxxxxxxx souvisejících xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx pro xxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx identifikace xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx bezpečnostních xxxx,
x) xxxxxxx případů xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx
1. xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x
2. xxxxxx xxxxxxxx a
f) xxxxxxxxx informací xxxxxxxxx xxxxxxxxx xxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxx nastavení bezpečnostních xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému.
§25
Aplikační bezpečnost
(1) Povinná xxxxx xxxxxxx xxxxxxxxxx xxxxx informačního x xxxxxxxxxxxxx systému xx xxxxxxxxx na xxxxxxxx xxxxxx, x to
a) xxxx xxxxxx xxxxxxxx xx provozu a
b) x xxxxxxxxxxx s xxxxxxxxx změnou xxxxx §11 xxxx. 3.
(2) Xxxxxxx osoba dále x rámci xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxxx, xxxxxxxxx x transakcí xxxx
x) xxxxxxxxxxxx xxxxxxxx a
b) xxxxxxxx xxxxxxxxxxx činností.
§26
Xxxxxxxxxxxxxx xxxxxxxxxx
Xxxxxxx xxxxx xxx xxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxx xxxxxx xxxxx x xxxxxxxxxxx, xxxxx
1. xxxxxxx generování, xxxxxxxxxx, ukládání, xxxxx, xxxxxxx xxxxxxxxx, zneplatnění xxxxxxxxxxx a xxxxxxxxx xxxxx x
2. xxxxxx xxxxxxxx a audit,
c) xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxxxx doporučení x oblasti xxxxxxxxxxxxxxxx xxxxxxxxxx vydaná Xxxxxx, xxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx.
§27
Zajišťování úrovně xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx xxxxxx xxxxxxxx pro zajišťování xxxxxx xxxxxxxxxxx, kterými xxxxxxx
x) dostupnost informačního x xxxxxxxxxxxxx xxxxxxx xxx xxxxxxx xxxx xxxxx §15,
x) odolnost xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx mohly xxxxxx xxxx dostupnost,
c) xxxxxxxxxx xxxxxxxxxx technických aktiv xxxxxxxxxxxx x komunikačního xxxxxxx x
x) redundanci xxxxx nezbytných xxx xxxxxxxxx dostupnosti xxxxxxxxxxxx x xxxxxxxxxxxxx systému.
§28
Xxxxxxxxxx, řídicí x xxxxxxx xxxxxxxxxx xxxxxxx
Xxxxxxx xxxxx xxx zajištění xxxxxxxxxxxx bezpečnosti průmyslových, xxxxxxxx x obdobných xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxx x xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx, xxxxx jsou xxxxxx xx specifického xxxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxx k zařízením xxxxxx xxxxxxx a xx xxxxxxxxxxx xxxx,
x) xxxxxxxxx xxxxxxxxxxx sítě xxxxxx xxx xxxx xxxxxxx xx xxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxx a xxxxxx xxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx technických xxxxx těchto systémů xxxx xxxxxxxx známých xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx xxxxxx systémů xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx.
§29
Xxxxxxxxx xxxxxx
(1) Povinná xxxxx uvedená x §3 xxxx. h) xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxx Xxxxxx (EU) 2018/151 xx xxx 30. xxxxx 2018, xxxxxx xx xxxxxxx xxxxxxxx xxx uplatňování xxxxxxxx Evropského xxxxxxxxxx x Rady (XX) 2016/1148, xxxxx xxx x xxxxxx upřesnění xxxxx, xxxxx musí xxxxxxxxxxxxx xxxxxxxxxxx služeb xxxxxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx rizik, xxxxx xxxx vystaveny sítě x informační xxxxxxx, x parametrů xxx xxxxxxxxxx xxxx, xxx xx dopad xxxxxxxxx xxxxxxxx; ustanovení §3 xx 28 se xx xxxx xxxxxxxx xxxxx nepoužijí.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxx kontaktní xxxxx xxxxx §34 xxxx. 2.
(3) Povinná xxxxx xxxxxxx v §3 xxxx. h) xxxxxx xxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxx §32 xxxx. 2 x 3.
XXXXX III
BEZPEČNOSTNÍ POLITIKA X BEZPEČNOSTNÍ XXXXXXXXXXX
§30
Xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
(1) Povinná osoba
a) xxxxxxx bezpečnostní politiku x xxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx x příloze č. 5,
x) xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx x
x) zajistí, xxx xxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Bezpečnostní xxxxxxxx x bezpečnostní xxxxxxxxxxx xxxx xxx
x) xxxxxxxx v xxxxxxxx xxxx elektronické xxxxxx,
x) xxxxxxxxxxxx x xxxxx xxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxx,
x) xxxxxx,
x) chráněny z xxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx a
f) xxxxxx xxx, xxx xxxxxxxxx x xxxx xxxxxxxx xxxx xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x snadno xxxxxxxxxxxx.
ČÁST XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§31
Xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Jednotlivé xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxx xxxxxxxxxx
x) xxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx kritériích, xxxxx xxxxxxx xxxx povinné xxxxx určeny,
b) počtu xxxxxxxxx uživatelů,
c) způsobené xxxx xxxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxx dotčených aktiv xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx služby informačního x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx na xxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxx trvání xxxxxxxxx,
x) xxxxxxxxxxx rozsahu xxxxxxx xxxxxxx x
x) dalších xxxxxx.
(2) Pro potřeby xxxxxxx a xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx na xxxxxxx xxxxxxxxxx xxxxx xxxxxxxx 1 kybernetické bezpečnostní xxxxxxxxx zařadí xx xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - velmi xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, při xxxxxx xx xxxxx a xxxxxxxx xxxxxxxx bezpečnost xxxxxxxxxxxxx služeb nebo xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x tím, xx xxxx xxx xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxx,
x) Xxxxxxxxx XX - xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, při xxxxxx xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx služeb xxxx xxxxx. Xxxx xxxxxx xxxxxxxx neprodlené xxxxxx xxxxxxx x xxx, xx musí xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx, xxxx
x) Kategorie X - méně významný xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx kterém xxxxxxx x méně xxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx vyžaduje xxxxxx xxxxxxx x xxx, xx musí xxx xxxxxxxx xxxxxxxxxx xxxxxxx další xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx minimalizace vzniklých xxxx.
(3) Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů podle xxxxxx xxxx
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx bezpečnostní incident xxxxxxxxxxx narušení xxxxxxxxx xxxxx,
x) kybernetický bezpečnostní xxxxxxxx způsobující narušení xxxxxxxxxxx aktiv, nebo
d) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx kombinaci xxxxxx xxxxxxxxx x písmenech x) až x).
(4) Xxxx xxxxxxxxxx se xxxxxxxxxx xx kybernetické xxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx.
§32
Forma a xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx Úřadu xxxxx na xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxxxxxxx na xxxxxxxxxxxxx stránkách Xxxxx,
x) xx xxxxxx xxxxxxxx Xxxxx, xxxx
x) prostřednictvím xxxxxxxx rozhraní, xxxxx xx xxxxxxxxx, xxxxx xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx.
(2) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx se xxxxxxxxxxxxx xxxxxxxxx CERT xxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx národního XXXX xxxxxxxx
x) na xxxxxx elektronické pošty xxxxxxxxxxxxx národního XXXX xxxxxxx pro xxxxxx xxxxxxx kybernetických bezpečnostních xxxxxxxxx, xxxxxxxxxxx na xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx datové xxxxxxxx xxxxxxxxxxxxx národního XXXX, xxxx
x) prostřednictvím internetových xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xx xxxxx zaslat i x listinné xxxxxx, xxxxx pouze x xxxxxxxxx, kdy nelze xxxxxx xxxxx xx xxxxxxx xxxxxxxxx x xxxxxxxxxx 1 x 2.
(4) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx
x) identifikace xxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
c) xxxxx x čas zjištění xxxxxxxxx a
d) popis xxxxxxxxx.
XXXX XXXXXX
XXXXXXXXX XXXXXXXX X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
(1) Xxxxxxx xxxxx, xxxxx Úřad xxxxxx xxxxxxx reaktivní xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx na xxxxxxxxxx a komunikační xxxxxx a na xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxx xxxxxxxxx xxxxxx a
b) xxxxxxx způsob xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxx, xxxxx minimalizuje xxxx xxxxx xxxxxxxxx účinky, x určí časový xxxx xxxx provedení.
(2) Xxxxxxx osoba, xxxxx Xxxx xxxxxx provést xxxxxxxxx xxxxxxxx, xxxxxx xxxxxx provedení reaktivního xxxxxxxx x jeho xxxxxxxx ve xxxxx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
§34
Kontaktní údaje
(1) Xxxxxxxxx xxxxx se Úřadu xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx zveřejněném na xxxxxxxxxxxxx stránkách Xxxxx xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx pošty Úřadu xxxxxxx pro xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx xxxxxx xxxxxxxx Úřadu, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, pokud xx xxxxxxxxx, xxxxx xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxxxx xxxxx se xxxxxxxxxxxxx národního XXXX xxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx CERT xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx národního XXXX xxxxxxx xxx xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, zveřejněnou na xxxx xxxxxxxxxxxxx stránkách,
b) xx datové xxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx
x) xxxxxxxxxxxxxxx internetových xxxxxxx provozovatele xxxxxxxxx XXXX.
(3) Xxxxxxx xxxxxxxxxxx xxxxx xx xxxxx xxxxxx x x xxxxxxxx podobě, xxxxx xxxxx x případech, xxx xxxxx xxxxxx xxxxx ze xxxxxxx xxxxxxxxx x xxxxxxxxxx 1 x 2.
(4) Xxxx xxxxxxxx xxxxxxxxxxx xxxxx je xxxxxx x příloze č. 8 x xxxx xxxxxxxx.
(5) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxxx xx xxxxxxxxxxxxxx, xxxx x xxxxxxx xxxxxxxxxxx xxxxx xxxxx xxxxxxxx 1 xxxxxxxx xxxxxxxx, xxxxxx xx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §8 xxxx. 1 písm. c).
XXXX PÁTÁ
ZÁVĚREČNÁ USTANOVENÍ
§35
Přechodná xxxxxxxxxx
(1) X xxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx systémů kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx xxxx určeny přede xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, x x xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x xxxxxxx xxxxx k xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxx nabytí xxxxxxxxx xxxx xxxxxxxx, xx xx xxxxxxx xxxx xxx dne xxxxxx xxxxxxxxx této xxxxxxxx pro obsah x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxx x rozsah zavedených xxxxxxxxxxxxxx opatření xxxxxxx xxxxxxxxxx vyhlášky č. 316/2014 Sb., x xxxxxxxxxxxxxx opatřeních, xxxxxxxxxxxxxx bezpečnostních incidentech, xxxxxxxxxxx xxxxxxxxxx x x xxxxxxxxx náležitostí xxxxxx x oblasti xxxxxxxxxxxx bezpečnosti (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx).
(2) X případě informačních xxxxxxx kritické informační xxxxxxxxxxxxxx x komunikačních xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, které byly xxxxxx xxxxx dnem xxxxxx xxxxxxxxx xxxx xxxxxxxx, a x xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x kterých xxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, se xx xxxxxxx xxxx xxx dne xxxxxx xxxxxxxxx xxxx xxxxxxxx xxx xxxxxx xxxxxxxxx xxx, xxxxxxxxxx údajů, xxxxxxxxx x jejich xxxxx xxxx xxxxxxxx xxxxxxxxx.
§36
Xxxxxxxxx xxxxxxxxxx
Xxxxxxx xx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx opatřeních, kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x o xxxxxxxxx náležitostí xxxxxx x oblasti kybernetické xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx).
§37
Xxxxxxxx
Xxxx xxxxxxxx nabývá xxxxxxxxx xxxx vyhlášení.
Ředitel:
Ing. Xxxxxxxx v. x.
Xxxxxxx č. 1 x vyhlášce č. 82/2018 Xx.
Xxxxxxxxx xxxxx
(1) Xxx hodnocení xxxxxxxxxxx xxxxx xxxx x xxxxx xxxxxxx xxxxxxx xxxxxxxx o xxxxxxx xxxxxxxx x posuzuje xx, jaký xxxxx xx mělo xxxxxxxx xxxxxxxxxxx xxxxxxxxx u xxxxxxxxxxxx aktiv. Xxxxxxx xxxxx xxxx používat xxxxxxx xxxxx úrovní xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxx xxxx xx xxxxxx x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx xxxx používaným xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx x xxxxxxxx xxx hodnocení xxxxxxxxxxx xxxxx, xxxxx xxxx uvedeny v xxxx xxxxxxx.
(2) Xx xxxxxxxxxx, xxx si xxxxx povinná xxxxx xxxx dopadové matice xxxxxxxxxxxx xxxx potřebám.
Tab. 1: Xxxxxxxx pro xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx xxxxxxxxx xxxx byla xxxxxx xx zveřejnění. Narušení xxxxxxxxxx aktiv xxxxxxxxxx xxxxxxxxx xxxxx povinné xxxxx. X xxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxx xxx. traffic xxxxx xxxxxxxxx (dále xxx "XXX") xx xxxxxxxxx xxxxxxxx TLP:WHITE. |
Není vyžadována xxxxx ochrana. |
|
Xxxxxxx |
Xxxxxx xxxxxx veřejně xxxxxxxxx x xxxxx know-how xxxxxxx osoby, xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxxxx. X xxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx a použití xxxxxxxxxxx podle TLP xx xxxxxxxxx zejména xxxxxxxx TLP:GREEN xxxx XXX:XXXXX. |
Xxx ochranu xxxxxxxxxx xxxx využívány prostředky xxx xxxxxx přístupu. |
|
Xxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx a jejich xxxxxxx je vyžadována xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx xxxx smluvními xxxxxxxxxx (například obchodní xxxxxxxxx, xxxxxx xxxxx). X xxxxxxx sdílení xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxx TLP xx xxxxxxxxx xxxxxxx xxxxxxxx TLP:AMBER. |
Pro xxxxxxx xxxxxxxxxx xxxx využívány xxxxxxxxxx, xxxxx zajistí xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Přenosy xxxxxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
|
Kritická |
Aktiva xxxxxx xxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxx xxx rámec xxxxxxxxx kategorie (například xxxxxxxxxxx xxxxxxxx tajemství, xxxxxxxx kategorie osobních xxxxx). X xxxxxxx xxxxxxx xxxxxxxx aktiva s xxxxxxx xxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxx XXX xx využíváno xxxxxxx xxxxxxxx XXX:XXX xxxx XXX:XXXXX. |
Xxx ochranu xxxxxxxxxx jsou využívány xxxxxxxxxx, xxxxx zajistí xxxxxx a xxxxxxxxxxxxx xxxxxxxx. Dále xxxxxx xxxxxxx xxxxxxxxxxx zneužití xxxxx ze xxxxxx xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxx xxxxxxxx pomocí xxxxxxxxxxxxxxxx prostředků. |
Xxx. 2: Xxxxxxxx pro xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx neohrožuje xxxxxxxxx xxxxx povinné xxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx může xxxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx vést x poškození xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxx se xxxxxxxx méně xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (xxxxxxxxx xxxxxxx xxxxxxxxxxxx práv xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx ochranu x hlediska integrity. Xxxxxxxx integrity xxxxxx xxxx k xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány speciální xxxxxxxxxx, xxxxx dovolují xxxxxxxx xxxxxxxx provedených xxxx x xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx přenášených xxxxxxxxxxxxx xxxxxx xx zajištěna xxxxxx kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx integrity. Narušení xxxxxxxxx xxxx x xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx zájmů xxxxxxx xxxxx x xxxxxxx x xxxxx xxxxxxx xxxxxx na primární xxxxxx. |
Xxx ochranu integrity xxxx využívány speciální xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxx. 3: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx není xxxxxxxx x x xxxxxxx xxxxxxx xx xxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxx xxxxxxx (xxx xx 1 xxxxx). |
Xxx xxxxxxx dostupnosti xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xx xxxxxx překročit xxxx pracovního dne, xxxxxxxxxxxxx xxxxxxx xxxx x možnému xxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx využívány xxxxx xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx dostupnosti xxxxxx xx xxxxxx překročit xxxx xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx xx xxxxx řešit xxxxxxxxxx, xxxxxxx xxxx x xxxxxxx ohrožení oprávněných xxxxx xxxxxxx xxxxx. Xxxxxx xxxx xxxxxxxxxx xx velmi xxxxxxxx. |
Xxx xxxxxxx dostupnosti xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx poskytování xxxxxx xxxx xxx xxxxxxxxx xxxxxx obsluhy xxxx výměnou xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx přípustné x x krátkodobá nedostupnost (x xxxx xxxxxxxx xxxxx) xxxx x xxxxxxx xxxxxxxx oprávněných xxxxx povinné xxxxx. Xxxxxx jsou xxxxxxxxxx xx xxxxxxxx. |
Xxx ochranu xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx systémy a xxxxxx xxxxxxxxxxx služeb xx xxxxxxxxxx x xxxxxxxxxxxxxx. |
Příloha x. 2 x xxxxxxxx x. 82/2018 Sb.
Hodnocení xxxxx
(1) Xxxxxxxxxxx stanovení xxxxxx xxx určení xxxxxx xx xxxxxxxxx součástí xxxxxxxx xxx xxxxxxxxx xxxxx podle §5.
(2) Xxxxxxx xxxxxx xx xxxxxxxxxx vyjádřena jako xxxxxx, kterou ovlivňuje xxxxx, xxxxxx x xxxxxxxxxxxx.
(3) Pro xxxxxxxxx xxxxx lze xxxxxx xxxxxxxxx xxxx xxxxxx:
Xxxxxx = dopad x xxxxxx x xxxxxxxxxxxx.
(4) Xxxxx je x xxxxx xxxxxxx odvozen x xxxxxxxxx aktiv xxxxx přílohy č. 1.
(5) X xxxxxxx, že xxxxxxx xxxxx xxxxxxx xxxxxx xxx xxxxxxxxx rizik, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, xx možné stupnice xxx xxxxxxxxx hrozeb x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxx xx xxxxxx xxxx xx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx a xxxxxxxxxxxxx. Za xxxxx xxxxxx lze xxxxxx xxxxxxxxx xxxxxxxx, který xxxxxxxx vyjádří jak xxxxxx hrozby, xxx x xxxxxx zranitelnosti. Xxxxxxx xx xxxxxxxxx x x xxxxxxxxx, xxx povinná xxxxx xxxxxxx jiný xxxxx xxxxxx xxx xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Xxx. 1: Xxxxxxxx xxx hodnocení xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx neexistuje nebo xx xxxx xxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xx xxxx pravděpodobná xx xxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx pravděpodobná xx velmi pravděpodobná. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx pravděpodobná xx xxxxxxxx xxxxx. |
Xxx. 2: Stupnice xxx xxxxxxxxx zranitelností
|
Úroveň |
Popis |
|
Nízká |
Zranitelnost xxxxxxxxxx xxxx je xxxxxxxx zranitelnosti xxxx xxxxxxxxxxxxx. Jsou xxxxxxxx xxxxxxxxxxxx opatření, xxxxx xxxx schopna včas xxxxxxxxx možné xxxxxxxxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx je xxxx xxxxxxxxxxxxx až pravděpodobné. Xxxx xxxxxxxx bezpečnostní xxxxxxxx, xxxxxxx účinnost xx xxxxxxxxxx kontrolována. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx nebo xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx je xxxxxxx. Xxxxxx xxxxx žádné xxxxxxx pokusy x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx pravděpodobné xx velmi pravděpodobné. Xxxxxxxxxxxx opatření jsou xxxxxxxx, ale jejich xxxxxxxx xxxxxxxxx všechny xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx známé xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Kritická |
Zneužití xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx až xxxxxxxx xxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx nebo xx jejich xxxxxxxx xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx. Jsou xxxxx xxxxxxx pokusy překonání xxxxxxxxxxxxxx xxxxxxxx. |
Xxx. 3: Xxxxxxxx xxx hodnocení xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx považováno xx xxxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx sníženo xxxx xxxxxxxxx xxxxxxxxxx xxxx x xxxxxxx vyšší xxxxxxxxxx xxxxxxxx xx xxxxxx akceptovatelné. |
|
Vysoké |
Riziko xx xxxxxxxxxx xxxxxxxxxxx a xxxx být xxxxxxxx xxxxxxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx a musí xxx xxxxxxxxxx xxxxxxxx xxxxx k xxxx xxxxxxxxxx. |
Xxxxxxx č. 3 x xxxxxxxx x. 82/2018 Sb.
Zranitelnosti x xxxxxx
Xxxxxxxxxx: Xxxx xxxxxxx xxxxxxxx xxx vybrané xxxxxxxxx xxxxxxxxxxxxx a xxxxxx. Identifikace xxxxxxxxxxx xxxxxxxxxxxxx a xxxxxx xx xxxxxxxxxxxx povinné xxxxx.
Xxxxxxxxxxxxx
1. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
3. xxxxxxxxxxxx ochrana xxxxxxxx xxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
5. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx a komunikačního xxxxxxx,
6. xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
7. xxxxxxxxxxxx xxxxxxx při xxxxxxxxxxxxxx x xxxxxxxx negativních xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,
8. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x administrátorů x xxxxxxxxxxx xxxxxxx xxxxxx nevhodné nebo xxxxxxx xxxxxxx xxxxxxx,
9. xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, nepřesné nebo xxxxxxxxxxxxx vymezení xxxx x xxxxxxxxxx uživatelů, xxxxxxxxxxxxxx a bezpečnostních xxxx,
10. xxxxxxxxxxxx ochrana xxxxx,
11. nevhodná bezpečnostní xxxxxxxxxxxx,
12. xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
13. xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxx.
Xxxxxx
1. xxxxxxxx xxxxxxxxxxxx politiky, xxxxxxxxx neoprávněných xxxxxxxx, xxxxxxxx oprávnění ze xxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
2. xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx anebo xxxxxxxxxxxx xxxxxxxx,
3. xxxxxxxx xxxxxxxx,
4. užívání xxxxxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxxxx podmínkami,
5. xxxxxxxx xxx (xxxxxxxxx xxxx, xxxxxxx, trojské xxxx),
6. narušení fyzické xxxxxxxxxxx,
7. xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx dodávek xxxxxxxxxx xxxxxxx,
8. xxxxxxxx nebo xxxxxxxxxxx modifikace údajů,
9. xxxxxx, xxxxxxxx xxxx xxxxxxxxx xxxxxx,
10. nedodržení xxxxxxxxx xxxxxxx ze xxxxxx dodavatele,
11. xxxxxxxxx xx strany zaměstnanců,
12. xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
13. dlouhodobé přerušení xxxxxxxxxxx xxxxxx elektronických xxxxxxxxxx, xxxxxxx elektrické xxxxxxx nebo xxxxxx xxxxxxxxxx xxxxxx,
14. xxxxxxxxxx xxxxxxxxxxx s xxxxxxxxx xxxxxxxx xxxxxx,
15. cílený xxxxxxxxxxxx xxxx pomocí xxxxxxxxxx inženýrství, použití xxxxxxxxxxx xxxxxxx,
16. xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nosičů xxx,
17. xxxxxxxx elektronické xxxxxxxxxx (odposlech, xxxxxxxxxx).
Xxxxxxx x. 4 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx dat
(1) Xxxx xxxxxxx xxxxx xxxxxxxxxx správce xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x definování xxxxxxx xxxxxx xxx x xxxxxxx xxxxxxxxx technických xxxxxx xxxxxxxxx, provozních xxxxx, xxxxxxxxx x xxxxxx xxxxx.
(2) Xxxxxxxxxx xxxxxxx informačního a xxxxxxxxxxxxx xxxxxxx si xxxxxxx xxxxxxxx xxx xxxxxx xxx x xxxxxxxxx xxxxxxxxxxx nosičů xxx v xxxxxxx x xxxxx přílohou. Xxx nejsou xxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxxxx předpisů. Xx xxxxx xxxxxx xxxxxxxxx xxxxxx služby xxxxxxxxxx xxxxxxxxx bezpečnostní opatření, xxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxx x xxxxxxxxx xxxxxxxxxxx xxxxxx xxx, vzhledem x hodnotě a xxxxxxxxxxx xxxxx.
(3) Pravidla xxx likvidaci xxx xx měla být xxxxxxxxx xxxxxxxxx hodnotě x xxxxxxxxxxx aktiv x měla xx xxxxxxx xxxxxxxxxxx
x) xxxxxxx xxxxxx (xxxxxxx z xxxxxxx xxxxxxxxxx),
x) technologii (xxxx x velikost xxxxxx informace),
c) zda xx xxxxx xxxxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxxxx xx xxxxxxx,
x) xxx jsou xxxx xxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxxxxx,
x) kdo xxxx xxxxxxxxx xxx xxxxxxxx (xxxxxxx xxxxxxxxxxx, xxxx dodavatel),
f) xxxxxxxxxx xxxxxxxx x nástrojů xxx xxxxxxxxx,
x) kapacitu xxxxxxxxxxxxx xxxxxx,
x) zda xx x xxxxxxxxx xxxxxxxxx personál,
i) xxxxxxx xxxxxxxxx xxxxxxxxx,
x) cenu xxxxxxxxx x xxxxxxx xx xxxxxxxx, xxxxxxx, xxxxxxxx, xxxxxxxx využití xxxxxx informace
k) xxxxx xxxxxxx xxxxxxxxx dat (xxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxx, xxxxxxxxxxxxx xxx xxxxxx xxxxxxxxxx x xxxxxxx),
x) xxxxxxxxxx způsoby xxxxxxxxx dat xxxxxxxx xx xxxxx xxxxxx xxxxxxxxx (xxxxxxxxx xxx xxxxxxxxx xxxxxxxx nebude xxxxx xxxxxx xxxxxxxx xxxxxxx xxxxxxxxx, xxx xxxxxxx ze xxxxxxx xxxxxxx likvidace).
(4) Xxxxxxx xxxxxxxxx technických xxxxxx xxxxxxxxx, provozních údajů, xxxxxxxxx x jejich xxxxx:
x) Odstranění
1. Způsob xxxxxxxxx xxxxxxx x xxxxxxxxxx xxx tak, xxx xxxx xxx xxxxxx nedostupná (xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxx, xxxxxxxx xxxxxxxxx dokumentu xx xxxxxx).
2. Xxx x xxxxxxx xxxxxxxx xxxxxx likvidace dat. X xxxxxxx xxxxxxx xxxxxx informace xx xxxxx x xxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxx xxxxxxx.
3. Xxxx xxxxxx xxxx xxxxxxxxxx xxx xxxxxx xxxxxxxxxxx xxx xxxxxxxxxxxx opětovný xxxxx.
4. Xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxx aktiva (xxxxxxx x přílohy č. 1): xxxxx.
x) Xxxxxxxx
1. Xxxxxx xxxxxxxxx xxxxxxx x xxxxxxxx chráněné informace xxxxxxxxxx xxxxxxxxx.
2. Xxx x xxxxxxx xxxxxxxx xxxxxx xxxxxxxxx xxx. Xxxxx dostupné nástroje xxxxxxxxxx xxxxxxxx přepsaných xxxxxxxxx.
3. Přepsání xxxx xxx nahrazeno xxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxxx klíčů k xxxxxxxxxxx xxxxxxxxx.
4. Tato xxxxxx není xxxxxx xxx xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx, xxxxxxxx xxx xxxxx x xxxxxx xxxxxxxxx.
5. Xxxxxxxxxx xxxxxx xxx úroveň xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): nízká xx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx
1. Způsob xxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxx v xxxxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx (xxxxxxxxxxx, xxxxxxxxx xx xxxxxxxx xxxxxxxxx).
2. Jde x xxxxxxxxxxxxxx metodu xxxxxxxxx xxx. Xxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxx nelze znovu xxxxxx pro původní xxxx. Původní informace xxxx xxxxx xxxxxxx xxx při xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx x xxxxx.
3. Xxxxxxxxxx xxxxxx xxxxxxxxx pro xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): xxxxxxx xx kritická.
Příklad xxxxxxx xxxxxxx xxxxxxxxx xxxxx úrovně xxxxxxxxxx xxxxxx (xxxxxxx z přílohy č. 1)
|
Xxxxxxxxx způsob xxxxxxxxx xxxxx úrovně důležitosti xxxxxx |
|||||
|
Xxxxx xxxxxxxxx |
1. Xxxxx |
2. Xxxxxxx |
3. Xxxxxx |
4. Xxxxxxxx |
|
|
Xxxxxxxxx xx xxxxxx čitelném xxxxxx (xxxxxxx xxxxxxxxx, xxxxxxxx x xxxxxxx) |
Xxxxxxxxxx: Xxxxxxxx xx odpadu. |
Přepsání: Xxxxxxxxx. |
Xxxxxxx likvidace: |
||
|
Fyzická xxxxxxxxx: |
|||||
|
Mobilní xxxxxxxx (xxxxxxx xxxxxxxx, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx likvidace: |
||
|
Xxxxxx xxxxxxxx (xxxxxx, xxxxxx, xxxxx x xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Kancelářské xxxxxxxx (xxxxxxx, tiskárny, xxx) |
|||||
|
Xxxxxxxxxx xxxxx (xxxxxxxxxx xxxxx, xxxxx, XXX [Xxxx Xxxx Drive]) |
Odstranění: |
Xxxxxxxx: |
|||
|
Xxxxxxx xxxxx (XX, XXX, XX-XXX, BLU-RAY) |
Fyzická xxxxxxxxx: |
||||
|
Xxxxxxx xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx xxxxx (xxxxx xxxxxx) |
|||||
|
Xxxxxxxxxxx x xxxxx |
Xxxxxxxxx xxxxxx xxxxxxxxx xxx xx xxx xxx xxxxxxxx xxxxxxxx xxxxxxxxx. |
||||
|
Xxxxxxxxxx: |
Xxxxxxxx: |
Přepsání: |
Xxxxxxxx/xxxxxxx xxxxxxxxx: |
||
|
Xxxxxxxxxxxx v xxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx je možné xxxx po xxxxxxxx xxxxxx xxxxxxx. |
|||||
Xxxxxxx x. 5 x xxxxxxxx x. 82/2018 Xx.
Xxxxx bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
1. Xxxxxxxxxxxx xxxxxxxx
1.1. Xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Xxxx, xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Pravidla x xxxxxxx xxx řízení xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx provádění xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx a postupy xxx xxxxxxxx xxxxxxxx x zlepšování xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
1.2. Xxxxxxxx xxxxxx xxxxx
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx aktiv
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx primárních aktiv xxxxxx xxxxxx xxxxxx xxxxxxx,
2. hodnocení xxxxxxxxxxx xxxxxxxxxx aktiv x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx x evidence xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx vazeb xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
x) Xxxxxxxx ochrany xxxxxxxxxxxx xxxxxx xxxxx
1. xxxxxxx xxxxxxxxxxx jednotlivých xxxxxx aktiv,
2. xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx xxxxx xxxxx xxxxxx xxxxx,
3. přípustné xxxxxxx xxxxxxxxx xxxxx.
x) Xxxxxxx spolehlivého mazání xxxx ničení xxxxxxxxxxx xxxxxx xxx, informací, xxxxxxxxxx údajů x xxxxxx xxxxx.
1.3. Politika xxxxxxxxxxx bezpečnosti
a) Xxxxxx xxxxxxxxxxxxxx xxxx x xxxxxx práv x xxxxxxxxxx.
x) Xxxxxxxxx na xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx rolí.
c) Xxxxxxxxx na xxxxxxxx xxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx rolí.
1.4. Xxxxxxxx xxxxxx dodavatelů
a) Pravidla x principy xxx xxxxx dodavatelů.
b) Pravidla xxx xxxxxxxxx xxxxx xxxxxxxxxxxxx s dodavateli.
c) Xxxxxxxxxxx xxxxxxx x xxxxxx služeb a xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x o určení xxxxxxxx smluvní odpovědnosti.
d) Xxxxxxxx xxx xxxxxxxxx xxxxxxxx zavedení xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx dodavatelů.
1.5. Politika xxxxxxxxxxx xxxxxxxx xxxxxx
x) Xxxxxxxx xxxxxxx bezpečnostního xxxxxxxx a xxxxxxx xxxx xxxxxxxxx
1. xxxxxxx x xxxxx poučení xxxxxxxxx,
2. způsoby x xxxxx xxxxxxx xxxxxxx xxxxx,
3. xxxxxxx a xxxxx poučení xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Bezpečnostní xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx řešení xxxxxxx xxxxxxxx bezpečnostní xxxxxxxx systému řízení xxxxxxxxxxx informací.
d) Pravidla xxx ukončení pracovního xxxxxx nebo změnu xxxxxxxx xxxxxx
1. xxxxxxx xxxxxxxxx aktiv a xxxxxxxx xxxx při xxxxxxxx xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxx xxxxxx.
1.6. Xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx
x) Xxxxxxxxx x xxxxxxxxxxxx xxxxxxx s bezpečným xxxxxxxx.
x) Postupy xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx a xxxxxxxxx bezpečného provozu.
d) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
1.7. Xxxxxxxx xxxxxx xxxxxxxx
x) Princip xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx to know).
b) Xxxxxxxxx na xxxxxx xxxxxxxx.
x) Životní xxxxxx xxxxxx xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx mimořádné xxxxxxx.
x) Xxxxxxxxxx přezkoumání xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x přístupových xxxxxxxxx.
1.8. Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxx x xxxxxx.
x) Xxxxxxxx použití xxxxxxxxxxxx hesla.
c) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx x xxxxxxxx na xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx xxxxxxx xx sociálních xxxxxx.
x) Xxxxxxxxxx xx vztahu x mobilním xxxxxxxxx.
1.9. Xxxxxxxx zálohování x xxxxxx x xxxxxxxxxxxx xxxxxxxx
x) Požadavky xx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx dlouhodobého xxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxx ukládání xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxx.
x) Xxxxxxxx x postupy testování xxxxxxxxxx a xxxxxx.
x) Xxxxxxxx xxxxxxxx x xxxxxxx, ukládaným xxxxxxxxxx.
1.10. Xxxxxxxx xxxxxxxxxx xxxxxxxxx x výměny informací
a) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx informací.
c) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
1.11. Xxxxxxxx xxxxxx xxxxxxxxxxx zranitelností
a) Xxxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxx vybavení.
b) Xxxxxxxx a postupy xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x postupy xxxxxxxx xxxxx programového xxxxxxxx.
1.12. Xxxxxxxx bezpečného xxxxxxxxx xxxxxxxxx xxxxxxxx
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, která xxxxxxx xxxxx xxxx xx xxx xxxxxx.
1.13. Xxxxxxxx xxxxxxxx, vývoje x xxxxxx
x) Bezpečnostní xxxxxxxxx xxx xxxxxxxx, xxxxx a xxxxxx.
x) Xxxxxx zranitelností.
c) Xxxxxxxx xxxxxxxxxxx a nabývání xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
1. pravidla x postupy xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,
2. xxxxxxxx x xxxxxxx pro xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
1.14. Xxxxxxxx xxxxxxx xxxxxxxx xxxxx
x) Charakteristika xxxxxxxxxxxxxx xxxxxxxx údajů.
b) Xxxxx přijatých a xxxxxxxxxxx organizačních xxxxxxxx xxx ochranu xxxxxxxx xxxxx.
x) Popis xxxxxxxxx x provedených xxxxxxxxxxx xxxxxxxx pro ochranu xxxxxxxx údajů.
1.15. Politika xxxxxxx xxxxxxxxxxx
x) Xxxxxxxx xxx xxxxxxx objektů.
b) Xxxxxxxx xxx xxxxxxxx xxxxxx osob.
c) Pravidla xxx ochranu zařízení.
d) Xxxxxxx narušení xxxxxxx xxxxxxxxxxx.
1.16. Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx
x) Xxxxxxxx x postupy xxx xxxxxxxxx bezpečnosti sítě.
b) Xxxxxx xxxx x xxxxxxxxxx xx bezpečný xxxxxx xxxx.
x) Pravidla x xxxxxxx pro xxxxxx přístupů v xxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx vzdáleného xxxxxxxx x síti.
e) Xxxxxxxx x postupy pro xxxxxxxxxxxx xxxx x xxxxxxxxxxxxx provozních xxxxxxx.
1.17. Xxxxxxxx ochrany před xxxxxxxxx kódem
a) Xxxxxxxx x xxxxxxx xxx xxxxxxx síťové xxxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxx xxxxxxx x sdílených xxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx pro ochranu xxxxxxxxxx xxxxxx.
1.18. Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx pro xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx xxxxxxxxxxxxx x xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
1.19. Xxxxxxxx xxxxxxx a xxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
a) Xxxxxxxx x postupy xxx evidenci x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Pravidla a xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx optimální xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxx sběr a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.20. Politika xxxxxxxxxx xxxxxxxxx kryptografické ochrany
a) Xxxxxx xxxxxxx x xxxxxxx na xxx x sílu kryptografického xxxxxxxxx.
x) Xxxxxxxx kryptografické xxxxxxx informací
1. při xxxxxxx xx xxxxxxxxxxxxx xxxxxx,
2. při xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx technický xxxxx dat.
c) Systém xxxxxx xxxxx.
1.21. Xxxxxxxx xxxxxx xxxx
x) Xxxxxx x xxxxxxxx řízení xxxxxxxxxx změn x xxxxx xxxxxxx xxxxx, xxxxxx xxxxxxxxx, informačních x komunikačních xxxxxxxxx.
x) Xxxxxxxxxxxxx dopadů xxxxxxxxxx xxxx.
x) Xxxxxx vedení xxxxxxxx x testování xxxxxxxxxx změn.
1.22. Xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx.
x) Xxxxxxxx x postupy xxx identifikaci, xxxxxxxx x xxxxxxxx jednotlivých xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů x xxx xxxxxxxxxx xxxxxxxxxxxx bezpečnosti.
e) Evidence xxxxxxxxx.
1.23. Politika řízení xxxxxxxxxx xxxxxxxx
x) Xxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxx xxxxxx xxxxxxxxxx xxxxxxxx
1. minimální xxxxxx poskytovaných služeb,
2. xxxx obnovení chodu,
3. xxx xxxxxxxx xxx.
x) Xxxxxxxx xxxxxx kontinuity xxxxxxxx pro xxxxxxxx xxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx na xxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxx rizik.
e) Xxxxxx x xxxxx potřebných xxxxx kontinuity x xxxxxxxxxxx xxxxx.
x) Postupy xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx.
2. Xxxxx xxxxxxxxxxxx xxxxxxxxxxx
2.1. Xxxxxx x auditu kybernetické xxxxxxxxxxx
x) Xxxx xxxxxx xxxxxxxxxxxx bezpečnosti.
b) Xxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti.
c) Xxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Identifikování xxxx xxxxxxxx a xxxx, xxxxx xx auditu xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx x xxxxx, xxx xxxx xxxxxxxxx xxxxxxxx při auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Zjištění x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx auditu xxxxxxxxxxxx bezpečnosti.
2.2. Zpráva x xxxxxxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx
x) Xxxxxxxxxxx opatření x xxxxxxxxxxx přezkoumání systému xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxxxxxx změn a xxxxxxxxx, xxxxx mohou xxx xxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Zpětná vazba x xxxxxxxxxx xxxxxx xxxxxxxxxxx informací
1. xxxxxxx x xxxxxxxx xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx a xxxxxx,
3. xxxxxxxx auditu,
4. xxxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
d) Xxxxxxxx xxxxxxxxx xxxxx x stav plánu xxxxxxxx rizik.
e) Xxxxxxxxxxxx xxxxxxxx pro neustálé xxxxxxxxxx.
x) Xxxxxxxxxx potřebných xxxxxxxxxx, xxxxxxxxx xxxxxxxx x xxxx zajišťujících xxxxx xxxxxxxxxxxx xxxxxxxx.
2.3. Xxxxxxxx pro xxxxxxxxxxxx x hodnocení aktiv x pro xxxxxxxxx xxxxx
x) Určení xxxxxxxx xxx xxxxxxxxx primárních xxxxx
1. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxx xxxxx,
3. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Určení stupnice xxx xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxx,
3. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx zranitelnosti,
4. xxxxxx xxxxxxxx pro xxxxxxxxx úrovní xxxxx.
x) Xxxxxx x xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.
2.4. Xxxxxx o xxxxxxxxx aktiv x xxxxx
x) Xxxxxxx xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxx primárních xxxxx,
3. xxxxxxxxx xxxxxxxxxx xxxxx x hlediska xxxxxxxxxx, integrity a xxxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx garantů xxxxxxxxxx xxxxx,
3. xxxxxx xxxxx xxxx primárními x xxxxxxxxxx xxxxxx.
x) Xxxxxxxxx xxxxx
1. xxxxxxxxx možných xxxxxx xx xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx existujících xxxxxxxx,
4. xxxxxxxxx xxxxxx rizika, xxxxxxxxx této úrovně x xxxxxxxx xxx xxxxxxxxxxxxxxxx rizik,
5. xxxxxx x schválení xxxxxxxxxxxxxxxx xxxxx.
x) Zvládání xxxxx
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. návrh xxxxxxxx x xxxxxx xxxxxxxxx.
2.5. Xxxxxxxxxx o xxxxxxxxxxxxxxxx
x) Xxxxxxx vyloučených xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx včetně zdůvodnění, xxxx xxxxxx aplikována.
b) Xxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxxx.
2.6. Xxxx xxxxxxxx xxxxx
x) Xxxxx x xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik xxxxxx xxxxx xx konkrétní xxxxxx.
x) Xxxxxxxx zdroje xxx jednotlivá xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxx zajišťující xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx jednotlivých xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
e) Xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
2.7. Plán xxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx zastávajících bezpečnostní xxxx.
x) Xxxxx a xxxxxxx poučení xxxxxx xxxxxxxxxxx.
x) Přehledy, které xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx a seznam xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxxxx xxxxx.
2.8. Xxxxxxxx xxxx
x) Evidence xxxxxxxxx cyklu xxxxxxxxxx xxxx.
x) Xxxxxxx x xxxxxxx xxxxxxxxxxx podpůrných xxxxx.
2.9. Xxxxxxx kontaktní xxxxx
Xxxxxxx hlášených xxxxxxxxxxx xxxxx.
2.10. Xxxxxxx xxxxxx xxxxxxxxx právních xxxxxxxx, xxxxxxxxx předpisů a xxxxxx xxxxxxxx x xxxxxxxxx závazků
a) Přehled xxxxxx závazných xxxxxxxx xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxx.
2.11. Xxxxx xxxxxxxxxx xxxxxxxxxxx
x) Xxxxxxxxx infrastruktury.
b) Xxxxxxx xxxxxxxx zařízení.
Xxxxxxx č. 6 x vyhlášce x. 82/2018 Sb.
Výbor xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x bezpečnostní xxxx
Xxxx xxxxxxx xxxxxxxx popis xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx a xxxxxxxxxxxx role xxxxxxx x §6 a 7.
Xxx. 1: Výbor xxx řízení kybernetické xxxxxxxxxxx
|
Xxxx: |
Xxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx xx celkové xxxxxx a rozvoj xxxxxxxxxxxx xxxxxxxxxxx x xxxxx xxxxxxx xxxxx. |
|
Další xxxxxxxx: |
x) Xxxx xxxxxx pro xxxxxx xxxxxxxxxxxx bezpečnosti xxxx xxx alespoň |
Xxx. 2: Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx řízení xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx xxxx XXX/XXX 27000 x xxxxxxx xxxxx x oblasti xxxxxxxxxxx x XXX. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx. |
|
Xxxxxxxx a xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx x xxxxx xxxxxxxxxx xxxx kybernetické xxxxxxxxxxx, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Systems Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Xxxxxxxx Xxxxxxxxxxxx (XXXXX), Xxxxxxx BI (xxxxxxxxxxx schéma ČIA). |
|
Další xxxxxxxx: |
x) Xxxx není xxxxxxxxxx x xxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx x x xxxxxxx xxxxxxxxxx či xxxxxxxx xxxxxx. |
Xxx. 3: Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx xxxxxxxxxxxx bezpečnosti |
|
Klíčové xxxxxxxx: |
x) Odpovědnost xx xxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxx navrhování. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxx implementace xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx x praxe: |
a) Xxxxxxx 3 xxxx xxxxx v xxxxx xxxxxxxxxx nebo kybernetické xxxxxxxxxxx, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Ethical Hacker (XXX), CompTIA Xxxxxxxx +, Xxxxxxxxx Information Xxxxxxxx Xxxxxxx (CISM), Xxxxxxxxx in Xxxx xxx Xxxxxxxxxxx Systems Xxxxxxx (CRISC), Certified Xxxxxxxxxxx Systems Xxxxxxxx Xxxxxxxxxxxx (CISSP), Manažer XX (xxxxxxxxxxx schéma XXX). |
|
Xxxxx podmínky: |
Role není xxxxxxxxxx s rolemi xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx a komunikačních xxxxxxx. |
Xxx. 4: Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
Xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti. |
|
Znalosti: |
a) Xxxxxxxxxxx x xxxxx xxxxxx xxxxxxxxxx bezpečnosti. |
|
Xxxxxxxxxx: |
x) Plánování xxxxxx informační xxxx xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx a xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx v xxxxxxx xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx bezpečnosti, xxxx |
|
Relevantní certifikace*: |
Certified Xxxxxxxxxxx Systems Auditor (XXXX), Xxxxxxxxx Xxxxxxxx Xxxxxxx (CIA), Certified xx Risk and Xxxxxxxxxxx Systems Control (XXXXX), Xxxx Xxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxxxxx Xxxxxx (Xxxx Xxxxxxx XXXX), Auditor BI (xxxxxxxxxxx xxxxxx ČIA). |
|
Další xxxxxxxx: |
x) Role xxxx xxxxxxxxxx s rolemi |
Xxx. 5: Xxxxxx xxxxxx
|
Xxxx: |
Xxxxxx aktiva |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxxxxx xxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx znalost xxxxxx, xxxxx je xxxxxxxx. |
* Xxxxxxxxxxx může xxx x jiná xxx xxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx způsobilost xxxxxxxxxxxxxx xxxx splňuje xxxxxxxxx XXX 17 024.
Příloha x. 7 x vyhlášce č. 82/2018 Sb.
Řízení xxxxxxxxxx - bezpečnostní xxxxxxxx xxx xxxxxxx xxxxxx
Xxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx dodavateli:
a) ustanovení x bezpečnosti informací (x xxxxxxx xxxxxxxxxx, xxxxxxxxxxx a xxxxxxxxx),
x) xxxxxxxxxx o xxxxxxxxx xxxxxx xxxx,
x) xxxxxxxxxx x autorství programového xxxx, xxxxxxxxx o xxxxxxxxxxxx licencích,
d) xxxxxxxxxx x xxxxxxxx a xxxxxx xxxxxxxxxx (xxxxxxxx xxxxxxxxxxxx xxxxxx),
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxx dodavatelů, xxxxxxx musí být xxxxxxxxx, xx xxxxxxxxxxxxx xx zaváží dodržovat x xxxxx xxxxxxx xxxxxxxx xxxx xxxxxxxx xxxxxx x dodavatelem x nebudou x xxxxxxx x xxxxxxxxx xxxxxxx xxxxx na xxxxxxxxxx,
x) xxxxxxxxxx o xxxxxxxxxx dodavatele xxxxxxxxx xxxxxxxxxxxx xxxxxxxx povinné xxxxx xxxx ustanovení x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxx,
x) ustanovení o xxxxxx změn,
h) ustanovení x souladu xxxxx x xxxxxx xxxxxxxxx xxxxxxxx předpisy,
i) xxxxxxxxxx x povinnosti xxxxxxxxxx xxxxxxxxxx xxxxxxxx osobu x
1. kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxx,
2. xxxxxxx xxxxxx rizik xx xxxxxx xxxxxxxxxx x x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx x plněním xxxxxxx,
3. xxxxxxxx změně xxxxxxxx tohoto dodavatele xxxxx xxxxxx o xxxxxxxxxx xxxxxxxxxxx xxxx xxxxx xxxxxxxxxxx zásadních xxxxx, xxxxxxxxx xxxxx xxxxxxxxx nakládat s xxxxxx xxxxxx, využívaných xxxxx dodavatelem x xxxxxx xxxxx xxxxxxx xx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxx xxxxxxxx xxxxxxx (xxxxxxxxx xxxxxxxxx xxxxxx xxx ukončení xxxxxxxxxx, xxx xx xxxxx xxxxx xxxxxxxx xxxxxx před xxxxxxxxx xxxxxx řešení, migrace xxx a podobně),
k) xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxx činností x souvislosti x xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxxx do havarijních xxxxx, xxxxx xxxxxxxxxx xxx xxxxxxxx řízení xxxxxxxxxx činností),
l) specifikace xxxxxxxx pro xxxxxx xxxxxxx xxx, xxxxxxxxxx xxxxx x xxxxxxxxx xx xxxxxxxx xxxxxxxx,
x) xxxxxxxx xxx xxxxxxxxx xxx,
x) xxxxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxx xx smlouvy x xxxxxxx xxxxxxxx změny xxxxxxxx xxx xxxxxxxxxxx xxxx změny xxxxxxxx xxx xxxxxxxxx aktivy xxxxxxxxxxx dodavatelem x xxxxxx podle smlouvy x
x) xxxxxxxxxx x xxxxxxxx xx xxxxxxxx xxxxxxxxxx.
Xxxxxxx č. 8 x vyhlášce č. 82/2018 Xx.
Xxxx Xxxxxxxxx xxx xxxxxxx kontaktních xxxxx
Informace
Právní xxxxxxx x. 82/2018 Sb. xxxxx xxxxxxxxx xxxx 28.5.2018.
Ke xxx uzávěrky xxxxxx xxxxxxx nebyl xxxxx xx xxxxxxxxx.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx jiných xxxxxxxx xxxxxxxx x xxxxxxxx xxxx aktualizováno, xxxxx xx jich xxxxxx xxxxxxxxx změna xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) Xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Xxxx (XX) 2016/1148 ze xxx 6. xxxxxxxx 2016 x xxxxxxxxxx x xxxxxxxxx vysoké xxxxxxxx úrovně xxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxx x Xxxx.