Právní předpis byl sestaven k datu 29.03.2025.
Zobrazené znění právního předpisu je účinné od 28.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
XXXXXXXX
xx dne 21. xxxxxx 2018
x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxx xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxx podle §28 odst. 2 xxxx. a) xx x) a f) xxxxxx x. 181/2014 Xx., o xxxxxxxxxxxx xxxxxxxxxxx x x xxxxx souvisejících xxxxxx (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), ve znění xxxxxx x. 104/2017 Xx. x xxxxxx x. 205/2017 Sb., (xxxx xxx "zákon"):
XXXX XXXXX
XXXXXX USTANOVENÍ
§1
Předmět xxxxxx
Xxxx vyhláška zapracovává xxxxxxxxx předpis Xxxxxxxx xxxx1) x xxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, významný xxxxxxxxxx xxxxxx, informační systém xxxxxxxx xxxxxx xxxxx xxxxxxxxxx xxxxxx nebo xxx elektronických xxxxxxxxxx, xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx služeb, (xxxx xxx "xxxxxxxxxx a xxxxxxxxxxx systém") xxxxxxxx
x) xxxxx x strukturu xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxx x xxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) typy, xxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
d) xxxxxxxxxxx a způsob xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,
x) vzor xxxxxxxx xxxxxxxxxxx údajů x xxxx formu a
g) xxxxxx xxxxxxxxx xxx, xxxxxxxxxx xxxxx, informací x xxxxxx xxxxx.
§2
Xxxxxxxx xxxxx
Xxx xxxxx xxxx xxxxxxxx se xxxxxx
x) administrátorem xxxxx xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx riziko, xxxxx xx přijatelné xxx orgán xxxx xxxxx, xxxxx xxxx xxxxxxx zavést bezpečnostní xxxxxxxx podle xxxxxx, (xxxx xxx "xxxxxxx xxxxx") x xxxx xxxxx jej zvládat xxxxxx dalších xxxxxxxxxxxxxx xxxxxxxx,
x) bezpečnostní xxxxxxxxx xxxxxx zásad x xxxxxxxx, které xxxxxx xxxxxx zajištění ochrany xxxxx,
x) xxxxxxxxxx rizik xxxxxxx xxxxxx identifikace, xxxxxxx x vyhodnocení xxxxx,
x) hrozbou xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxx škodu,
f) xxxxxxxxx aktivem technické xxxxxxx, zaměstnanci x xxxxxxxxxx xxxxxxxxxx se xx xxxxxxx, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx nebo služba, xxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxx, že určitá xxxxxx využije xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxx,
x) xxxxxxx rizik xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx a xxxxxxxx xxxxxxxx ke xxxxxxxx rizik, xxxxxxx xxxxxxxxx x xxxxxx x xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx xxxxxxx xxxxxx xxxxxxx xxxxx xxxxxxxx xx xxxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx způsob ustavení, xxxxxxxx, provozování, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx informací x dat,
k) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx, komunikační prostředky x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x objekty, xx xxxxxxx jsou xxxx systémy umístěny, xxxxxxx selhání může xxx dopad xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxx orgán veřejné xxxx, xxxxx xxxxxxxxx xxxxxx,
x) vrcholovým vedením xxxxx nebo xxxxxxx xxxx, xxxxx řídí xxxxxxxx xxxxx, nebo xxxxxxxxxx xxxxx povinné xxxxx,
x) xxxxxxxxx dodavatelem xxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxxxxxxxxx") x xxxxx, kdo s xxxxxxxx xxxxxx xxxxxxxx xx xxxxxxxx xxxxxx, xxxxx je xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxx změnou xxxxx, xxxxx xx xxxx může mít xxxx xx kybernetickou xxxxxxxxxx a představuje xxxxxx riziko,
p) zranitelností xxxxx xxxxx aktiva xxxx xxxxx místo xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx být xxxxxxxx xxxxxx xxxx více xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx řízení xxxxxxxxxxx informací
Povinná osoba x rámci xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx x xxxxxxx xx požadavky xxxxxxxxx xxxxx a organizační xxxxxxxxxx xxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xx kterém určí xxxxxxxxxxx xxxxx x xxxxxx, xxxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx týká,
b) xxxxxxx xxxx systému řízení xxxxxxxxxxx informací,
c) xxx xxxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxx cílů xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx potřeb x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxx xxxxxx xxxxx §5,
x) vytvoří x xxxxxxx bezpečnostní xxxxxxxx x oblasti xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, práva x povinnosti xx xxxxxx x xxxxxx xxxxxxxxxxx informací, x xx základě xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx oblastech xxxxx §30 x xxxxxx xxxxxxxxx bezpečnostní xxxxxxxx,
x) xxxxxxx xxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx x komunikačního xxxxxxx (xxxx jen "xxxxx kybernetické bezpečnosti") xxxxx §16,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxx účinnosti xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, které obsahuje xxxxxxxxx xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxx, posouzení xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) průběžně xxxxxxxxxxxx x xxxxxxxx xxxxx §11 řídí xxxxxxxx xxxxx, které xxxxx xx xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) aktualizuje xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a v xxxxxxxxxxx s xxxxxxxxxxx xxxxxxxxxx xxxxxxx x
x) xxxx xxxxxx a xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxx xx systémem řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx.
§4
Xxxxxx xxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxx
x) stanoví xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxx xxx hodnocení aktiv xxxxxxx v xxxxxxx xxxxxxxx v příloze č. 1 x xxxx xxxxxxxx,
x) xxxxxxxxxxxx a xxxxxxx xxxxxx,
x) určí x xxxxxxx xxxxxxx aktiv,
e) xxxxxxx x xxxxxxx xxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx a xxxxxx xx xx xxxxxxxxxxxx úrovní xxxxx xxxxxxx x),
x) xxxx x eviduje vazby xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxx xxxx primárními a xxxxxxxxxx aktivy,
g) xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxx závislosti xxxxx xxxxxxx f),
h) xx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxx x xxxxxx xxxxxxxx xxxxxxx nutná xxx zabezpečení xxxxxxxxxxxx xxxxxx xxxxx,
x) stanoví xxxxxxxxx způsoby používání xxxxx x pravidla xxx xxxxxxxxxx x xxxxxx s ohledem xx xxxxxx xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx sdílení x fyzické xxxxxxxxx xxxxx, a
j) určí xxxxxx xxxxxxxxx xxx, xxxxxxxxxx údajů, informací x xxxxxx xxxxx xxxx likvidaci xxxxxxxxxxx xxxxxx xxx x xxxxxxx xx xxxxxx xxxxx v souladu x přílohou č. 4 x xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx xxxxxxxxxxx primárních xxxxx xx xxxxx xxxxxxxx alespoň
a) xxxxxx x xxxxxxxxxx osobních xxxxx, xxxxxxxxxx kategorií xxxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxxxxx,
x) rozsah xxxxxxxxx xxxxxxxx povinností xxxx xxxxxx xxxxxxx,
x) xxxxxx narušení xxxxxxxxx xxxxxxxx x kontrolních xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxx a xxxxx xxxxxxxx xxxxxx,
x) dopady xx poskytování xxxxxxxxxx xxxxxx,
x) xxxxxx narušení xxxxxxx činností,
g) xxxxxx xx xxxxxxxxx dobrého xxxxx nebo xxxxxxx xxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxx a xxxxxx xxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx x
x) xxxxxx xx xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
§5
Řízení xxxxx
(1) Povinná xxxxx v xxxxx xxxxxx rizik x xxxxxxxxxx xx §4
a) xxxxxxx metodiku pro xxxxxxxxx rizik, včetně xxxxxxxxx kritérií xxx xxxxxxxxxxxxxxxx xxxxx,
x) x xxxxxxx xx aktiva xxxxxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxxxxx; přitom xxxxxxx zejména kategorie xxxxxx a xxxxxxxxxxxxx xxxxxxxxx v příloze č. 3 x této xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxx x pravidelných xxxxxxxxxxx xxxxx odstavce 2 x xxx xxxxxxxxxx xxxxxxx,
x) při xxxxxxxxx xxxxx zohlední xxxxxxxxxx xxxxxx a xxxxxxxxxxxxx x xxxxxxx xxxxx xxxxxx xx aktiva; xxxx rizika hodnotí xxxxxxx x rozsahu přílohy č. 2 x xxxx xxxxxxxx,
x) xxxxxxxx xxxxxx x xxxxxxxxx rizik,
f) xxxxxxxx na xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxx opatření požadovaných xxxxx xxxxxxxxx, xxxxx
1. xxxxxx aplikována, xxxxxx xxxxxxxxxx,
2. xxxx aplikována, xxxxxx xxxxxxx xxxxxx,
x) xxxxxxxx x xxxxxx xxxx xxxxxxxx xxxxx, xxxxx obsahuje xxxx x přínosy xxxxxxxxxxxxxx xxxxxxxx pro zvládání xxxxxxxxxxxx rizik, určení xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, lidské x informační xxxxxx, xxxxxx xxxxxx xxxxxxxx, xxxxx vazeb xxxx xxxxxx x příslušnými xxxxxxxxxxxxxx opatřeními a xxxxxx realizace bezpečnostních xxxxxxxx,
x) xxx xxxxxxxxx xxxxx x x xxxxx xxxxxxxx xxxxx xxxxxxxx
1. xxxxxxxx xxxxx,
2. xxxxx rozsahu xxxxxxx xxxxxx bezpečnosti informací,
3. xxxxxxxx xxxxx §11 xxxxxx x
4. kybernetické xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxx xxxxxxxx, x
x) x xxxxxxx s xxxxxx xxxxxxxx xxxxx xxxxxx bezpečnostní opatření.
(2) Xxxxxxx osoba xxxxxxx x §3 xxxx. x), x) x x) xxxxxx provádí xxxxxxxxx rizik alespoň xxxxxx ročně x xxxxxxx osoba xxxxxxx x §3 xxxx. x) xxxxxx alespoň xxxxxx za tři xxxx.
(3) Xxxxxx xxxxx xxxx být zajištěno x xxxxxx xxxxxxx, xxx jak je xxxxxxxxx x xxxxxxxx 1 xxxx. x), xxxxx xxxxxxx xxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxx stejnou xxxx xxxxx xxxxxx xxxxxxx xxxxxx xxxxx.
§6
Xxxxxxxxxxx bezpečnost
(1) Povinná xxxxx x ohledem xx systém řízení xxxxxxxxxxx informací
a) xxxxxxx xxxxxxxxx xxxxxxxxxxxx politiky x xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx §3 xxxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxx,
x) zajistí xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací do xxxxxxx povinné osoby,
c) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx xxx systém xxxxxx bezpečnosti informací,
d) xxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací x xxxxxxx dosažení xxxxx x jeho xxxxxxxxx xx xxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx podporu x dosažení xxxxxxxxxxx xxxxxxx systému xxxxxx xxxxxxxxxxx informací,
f) xxxx xxxxxxxxxxx k xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxx je při xxxxx xxxxxxxxx,
x) prosazuje xxxxxxxx zlepšování xxxxxxx xxxxxx xxxxxxxxxxx informací,
h) xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx xxx xxxxxxxxxxx kybernetické xxxxxxxxxxx x xxxxxxxxx jejich xxxxxxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx x xxxx, xxxxx budou xxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx, xxx byla zachována xxxxxxxxxxx xxxxxxxxxxxxxx a xxxx zastávajících bezpečnostní xxxx,
x) xxx osoby xxxxxxxxxxx bezpečnostní xxxx xxxxxxx příslušné xxxxxxxxx x xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx rolí x xxxxxx souvisejících xxxxx a
l) zajistí xxxxxxxxx plánů xxxxxxxxxx xxxxxxxx, obnovy x xxxxxxx xxxxxxxxx se xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
(2) Povinná osoba x xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx složení xxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx x xxxxxx xxxxx x povinnosti xxxxxxxxxxx xx systémem xxxxxx xxxxxxxxxxx xxxxxxxxx.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xxxx xxxxx, která xxxx xxxxxxxx xxxxxxxxxxxx roli
a) xxxxxxxx kybernetické xxxxxxxxxxx,
x) xxxxxxxxxx kybernetické xxxxxxxxxxx,
x) xxxxxxx xxxxxx x
x) xxxxxxxx xxxxxxxxxxxx bezpečnosti.
(4) Xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx xxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx a garanta xxxxxx. Xxxxxxx xxxxxxxxxxxx xxxx xxxxx odstavce 3 určí xxxxxxxxx xxxxxxxx x rozsahu x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
(5) Xxxxxxx xxxxx xxxxxxx x §3 písm. x), x) x x) xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx v xxxxxxxx 3 xxxx. x) x x).
(6) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxx xxxx manažera xxxxxxxxxxxx xxxxxxxxxxx.
(7) Výbor xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxx a xxxxxxxx xxxxxxxxxxxx xxx celkové xxxxxx x xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a osobami xxxxxxxx xx xxxxxxxxxxxx xx xxxxxx x xxxxxxxxxx xxxxxxxx spojených x kybernetickou xxxxxxxxxxx, xxxxx členem xxxx xxx xxxxxxx xxxxx xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxx pověřená xxxxx a xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxx xxxxx x xxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx x příloze č. 6 x xxxx xxxxxxxx.
§7
Bezpečnostní role
(1) Manažer xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx této role xxxx být pověřena xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x prokáže xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx s xxxxxxx xxxxxxxxxxx xxxxxxxxx
1. xx xxxx nejméně xxx xxx, xxxx
2. xx dobu xxxxxxx xxxx, xxxxx absolvovala xxxxxxx xx vysoké xxxxx,
x) xxxxxxxx xx xxxxxxxxxx informování xxxxxxxxxxx xxxxxx x
1. činnostech xxxxxxxxxxxxx x rozsahu xxxx odpovědnosti a
2. xxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací a
c) xxxxx xxx pověřen xxxxxxx rolí xxxxxxxxxxx xx provoz xxxxxxxxxxxx x xxxxxxxxxxxxx systému.
(2) Xxxxxxxxx kybernetické bezpečnosti xx xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx, xxx xxxx xxxxxxxxx bezpečná xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému, xxxxxxx xxxxxxx xxxx xxxx xxxx být xxxxxxxx xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx způsobilost praxí x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx opatření x xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx dobu xxxxxxx xxx xxx, nebo
b) xx xxxx jednoho xxxx, pokud xxxxxxxxxxx xxxxxxx xx xxxxxx xxxxx.
(3) Garant xxxxxx xx bezpečnostní xxxx xxxxxxxxx za xxxxxxxxx xxxxxxx, použití x xxxxxxxxxx xxxxxx.
(4) Xxxxxxx xxxxxxxxxxxx bezpečnosti
a) xx xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx xxxx xxxx xxxx xxx xxxxxxxx xxxxx, xxxxx je xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx praxí x xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací
1. po xxxx xxxxxxx xxx xxx, xxxx
2. po xxxx xxxxxxx xxxx, xxxxx xxxxxxxxxxx studium xx vysoké xxxxx,
x) xxxxxxxx, xx xxxxxxxxx xxxxxx kybernetické bezpečnosti xx xxxxxxxxx, a
c) xxxxx být xxxxxxx xxxxxxx jiných xxxxxxxxxxxxxx xxxx.
(5) Povinná xxxxx xxx určování xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role xxxxxxxxx x doporučením xxxxxxxx v příloze č. 6 x této vyhlášce.
§8
Xxxxxx dodavatelů
(1) Povinná xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxx, která xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxx xxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxx,
x) prokazatelně xxxxxxx xxxxxxxxx xxx xxxxxxxx dodavatele o xxxxxx xxxxxxxx podle xxxxxxx x),
x) xxxxxxxxx xxx xxxxxxxxxx x xxxxxxxx xxxxx písmene x) x xxxxxxxx xxxxxx xxxxxx pravidel,
e) xxxx xxxxxx xxxxxxx x xxxxxxxxxx,
x) x xxxxxxxxxxx x řízením xxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx zajistí, xxx xxxxxxx xxxxxxxxx x xxxxxxxxxx dodavateli xxxxxxxxxx relevantní oblasti xxxxxxx x příloze č. 7 x xxxx vyhlášce, x
x) xxxxxxxxxx xxxxxxxxxxx xxxxxx smluv x xxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxx dále
a) v xxxxx xxxxxxxxxx řízení x xxxx xxxxxxxxx xxxxxxx xxxxxxx hodnocení xxxxx xxxxxxxxxxxxx s xxxxxxx xxxxxxxx výběrového xxxxxx xxxxxxxxx podle přílohy č. 2 k xxxx xxxxxxxx,
x) v xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx způsoby x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx x určí xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx za xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx pravidelné xxxxxxxxx rizik a xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx plnění pomocí xxxxxxxxx xxxxxx nebo xxxxxx xxxxx strany x
x) x xxxxxx xx xxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxx.
(3) Náležitosti xxxxxxxxxxxxxx informování xxxxx xxxxxxxx 1 písm. x) xxxx
x) identifikace xxxxxxx nebo provozovatele,
b) xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxxx, xx xxxxxxxxx xx xxx xxxxxxx významným dodavatelem, x xxxxxxxxx xxxx x xxx, xx xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx, x
x) xxxxx xxxxxxxx podle xxxxxxxx 1 xxxx. x).
(4) Povinná xxxxx xxxxxxx x §3 xxxx. x) až x) xxxxxx, xxxxx xx xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 xxxx. x), xxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxx v §34.
§9
Xxxxxxxxxx lidských zdrojů
(1) Xxxxxxx xxxxx v xxxxx řízení xxxxxxxxxxx xxxxxxxx xxxxxx
x) s xxxxxxx xx xxxx x potřeby xxxxxxx xxxxxx bezpečnosti informací xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx povědomí, jehož xxxxx xx xxxxxxxx xxxxxxxxxxxx vzdělávání x xxxxxxxxxx bezpečnostního povědomí x xxxxx xxxxxxxx xxxxx, xxxxx x xxxxxx
1. xxxxxxx uživatelů, xxxxxxxxxxxxxx, osob zastávajících xxxxxxxxxxxx xxxx a xxxxxxxxxx o xxxxxx xxxxxxxxxxxx a o xxxxxxxxxxxx xxxxxxxx x
2. xxxxxxxxxx xxxxxxxxxxxx i xxxxxxxxxxx xxxxxxx uživatelů, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxx xxxxx xxxxxxxxx xx realizaci xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx x xxxxx xxxxxxx,
x) x souladu x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxx x xxxxxx xxxxxxxxxxxx a x bezpečnostní politice xxxxxx xxxxxxxxx a xxxxxxxxxxxx xxxxxxx,
x) pro xxxxx xxxxxxxxxxx bezpečnostní xxxx v souladu x plánem rozvoje xxxxxxxxxxxxxx povědomí xxxxxxx xxxxxxxxxx odborná školení, xxxxxxx vychází x xxxxxxxxxx xxxxxx povinné xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx x xxxxxxx x xxxxxx xxxxxxxx xxxxxx,
x) zajistí xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx strany xxxxxxxxx, administrátorů a xxxx zastávajících xxxxxxxxxxxx xxxx,
x) v případě xxxxxxxx smluvního xxxxxx x xxxxxxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxx předání xxxxxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx xxxxxxx bezpečnostního xxxxxxxx, xxxxxxxxxxx xxxxxxx x xxxxxxx činností xxxxxxxxx se xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) xxxx pravidla x xxxxxxx xxx řešení xxxxxxx porušení xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxxxx xxxxx vede x xxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx, které xxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
§10
Xxxxxx provozu x xxxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxx a xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx, xxxxx xxxxxxxx xxxxxxx
x) xxxxx x xxxxxxxxxx administrátorů, xxxxxxxxx x osob zastávajících xxxxxxxxxxxx xxxx,
x) postupy xxx spuštění x xxxxxxxx xxxxx xxxxxxx, xxx xxxxxxx xxxx xxxxxxxx xxxxx systému xx xxxxxxx a xxx xxxxxxxx xxxxxxxxx xxxxx nebo xxxxxxxxxxx xxxx,
x) postupy xxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx a opatření xxx ochranu přístupu x xxxxxxxx o xxxxxx událostech,
d) xxxxxxxx x xxxxxxx pro xxxxxxx před xxxxxxxxx xxxxx,
x) xxxxxx technických xxxxxxxxxxxxx,
x) spojení xx xxxxxxxxx xxxxx, xxxxx xxxx pověřeny xxxxxxx xxxxxxxxx a xxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxxxx provozních xxxx,
x) xxxxxxx xxx xxxxxxxxx, xxxxxxxxx a xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxx a postupy xxx xxxxxxx xxxxxxxxx x dat x xxxxxxx xxxxxx životního xxxxx,
x) pravidla x xxxxxxx xxx instalaci xxxxxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx x
x) pravidla x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx síťových xxxxxx.
(2) Xxxxxxx osoba x xxxxx xxxxxx xxxxxxx x komunikací xxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 x xxxx pravidla x xxxxxxx xxxxxxxxxxx x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx změnami.
(3) Xxxxxxx xxxxx zajistí xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx.
§11
Xxxxxx změn
(1) Povinná xxxxx v rámci xxxxxx xxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) přezkoumává možné xxxxxx změn x
x) xxxxxx xxxxxxxx změny.
(2) Xxxxxxx xxxxx x xxxxxxxxxx xxxx
x) dokumentuje xxxxxx xxxxxx,
x) xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxx za xxxxxx xxxxxxx xxxxx nepříznivých xxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxx,
x) aktualizuje xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxx xxxxxxxxx a
f) xxxxxxx xxxxxxx xxxxxxxxx xx původního stavu.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), d) x x) xxxxxx xx xxxxxxx výsledků xxxxxxx xxxxx xxxxx xxxxxxxx 2 písm. x) xxxxxxxxx o provedení xxxxxxxxxxxx xxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxxxx; pokud xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx, postupuje xxxxx §25 xxxx. 1 a reaguje xx xxxxxxxx xxxxxxxxxx.
(4) Xxxxxxx xxxxx uvedená x §3 xxxx. x) xxxxxx xx xxxx požadavky xxxxx xxxxxxxx 3 přiměřeně.
§12
Xxxxxx přístupu
(1) Xxxxxxx xxxxx xx xxxxxxx xxxxxxxxxx x bezpečnostních xxxxxx řídí přístup x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx, která xxxxxx x xxxxxxxxx xxxxxxx údajů, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxx §19 x 20, x xxxxx xxxxx ve xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(2) Xxxxxxx xxxxx xxxx x xxxxx řízení přístupu x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) řídí xxxxxxx xx základě xxxxxx a xxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx x administrátorovi xxxxxxxxxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxx x xxxxxxxxx x xxxxxxxxx identifikátor,
c) xxxx xxxxxxxxxxxxxx, xxxxxxxxxx xxxxx x xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxx,
x) xxxxxx bezpečnostní xxxxxxxx pro xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) zavádí xxxxxxxxxxxx opatření potřebná xxx bezpečné xxxxxxxxx xxxxxxxxx zařízení x xxxxxx xxxxxxxxxxx zařízení, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxx xxxx xx své xxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxx oprávnění xx xxxxxx nezbytně xxxxxx x výkonu náplně xxxxx,
x) omezí x xxxxxxxxxx používání programových xxxxxxxxxx, xxxxx mohou xxx xxxxxxx xxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxx x xxxxxxx přístupová xxxxxxxxx x xxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx přezkoumání xxxxxxxxx xxxxxxxxx přístupových xxxxxxxxx xxxxxx xxxxxxxxx xx xxxxxxxxxxxx skupin x xxxx,
x) xxxxxxx xxxxxxx xxx xxxxxx x xxxxxxxxx identity xxxxx §19 x xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §20,
x) xxxxxxxxx, aby xxxxxxxxx xxx používání xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx stanovené xxxxxxx,
x) xxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx změně pozice xxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role,
m) xxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx ukončení xxxx xxxxx xxxxxxxxx vztahu x
x) xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx.
§13
Akvizice, vývoj x xxxxxx
Xxxxxxx xxxxx v xxxxxxxxxxx x xxxxxxxxxx xxxxxxxx, xxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému
a) řídí xxxxxx podle §5,
b) xxxx xxxxxxxx změny xxxxx §11,
x) stanoví xxxxxxxxxxxx požadavky,
d) xxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx,
x) zajistí xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx a xxxxxxx ochranu xxxxxxxxxxx xxxxxxxxxxx dat,
f) xxxxxxx xxxxxxxxxxxx testování xxxxxxxxxx xxxx xxxx jejich xxxxxxxxx do provozu x
x) plní xxxxxxxxx xxxxx §19 xxxx. 3, je-li cílem xxxxxxxxx xxxxxxxx xxxx xxxxxx nástroj pro xxxxxx a xxxxxxxxx xxxxxxxx.
§14
Zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x zvládání kybernetických xxxxxxxxxxxxxx incidentů,
b) xxxxxxx xxxxxxxxxxxx a stanoví xxxxxxx xxx
1. xxxxxxx x xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx x
2. xxxxxxxxxx x zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx x aplikuje xxxxxxx xxx xxxxxxxxxxxx, xxxx, xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx analýzu xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) zajistí xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) při xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxx xxxx §22 x 23,
x) xxxxxxx, že xxxxxxxxx, xxxxxxxxxxxxxx, xxxxx zastávající xxxxxxxxxxxx role, další xxxxxxxxxxx a dodavatelé xxxxx oznamovat xxxxxxxxx xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx a xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xxxx xxx rozhodnuto, xxx xxxx být klasifikovány xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx podle §31,
x) xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle xxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxx xxxxxxxxx x zmírnění xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx podle §32,
x) xxxx záznamy x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx x x xxxxxx xxxxxxxx,
x) xxxxxxxx x xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a
m) xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu x xx základě xxxxxxxxxxx xxxxxxx nutná xxxxxxxxxxxx xxxxxxxx, popřípadě xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 písm. x), x) x x) xxxxxx dále xxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx xxxxxxx nástroj xxxxx §24.
§15
Xxxxxx kontinuity xxxxxxxx
Xxxxxxx xxxxx x xxxxx xxxxxx kontinuity činností
a) xxxxxxx práva a xxxxxxxxxx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxx xxxxxxxxx xxxxx x xxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxxx možné dopady xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx možná xxxxxx xxxxxxxxxxx s xxxxxxxxx kontinuity xxxxxxxx,
x) xx xxxxxxx výstupů xxxxxxxxx xxxxx x xxxxxxx xxxxxx xxxxx xxxxxxx b) stanoví xxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx určení
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, která xx xxxxxxxxxx xxx xxxxxxx, xxxxxx x xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
2. xxxx obnovení xxxxx, během xxxxx xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx úroveň xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, a
3. xxxx obnovení xxx xxxx xxxxxx období, xx xxxxx xxxx xxx xxxxxx obnovena xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx xxxx xx selhání,
d) stanoví xxxxxxxx xxxxxx kontinuity xxxxxxxx, která xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx c),
e) vypracuje, xxxxxxxxxxx x xxxxxxxxxx xxxxxxx xxxxx kontinuity xxxxxxxx x xxxxxxxxx xxxxx xxxxxxxxxxx x xxxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx a xxxxxxxxxxxxx služeb x
x) xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxxxxxx x vychází xxx xxx x xxxxxxxxx xxxxx §27.
§16
Audit xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx auditu kybernetické xxxxxxxxxxx
x) provádí x xxxxxxxxxxx audit xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxx technické xxxxx, x xxxxxxxx auditu xxxxxxxx v xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx zvládání xxxxx x
x) xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx praxí, xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx x xxxxxxxxx závazky xxxxxxxxxxxx xx k xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x určí xxxxxxxx xxxxxxxx xxxxxxxx xxx zajištění xxxxxxx.
(2) Xxxxx podle xxxxxxxx 1 xx prováděn
a) xxx významných xxxxxxx, x xxxxx jejich xxxxxxx,
x) x pravidelných xxxxxxxxxxx xxxxxxx xx 3 letech v xxxxxxx povinné xxxxx xxxxxxx x §3 xxxx. x) xxxxxx x
x) v xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xx 2 letech v xxxxxxx xxxxxxx xxxxx xxxxxxxxx x xxxxxxx x).
(3) Xxxx-xx x xxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx audit v xxxxxxxxxxx xxxxx xxxxxxxx 2 písm. b) x c) x xxxxx xxxxxxx, je xxxxx xxxxx provádět xxxxxxxx po xxxxxxxxxxxxxx xxxxxxx. X takovém xxxxxxx xx xxxxx xxxxx v xxxxx xxxxxxx provést xxxxxxxxxx xx 5 xxx.
(4) Xxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx být xxxxxxxx xxxxxx vyhovující podmínkám xxxxxxxxxx v §7 xxxx. 4, která xxxxxxxxx xxxxxxx správnost x účinnost xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(5) Xxxxxxx xxxxx, xxxxx je xxxxxxxx provozovatelem, xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx daného xxxxxxxxxxxx x komunikačního xxxxxxx.
XXXXX XX
XXXXXXXXX XXXXXXXX
§17
Xxxxxxx xxxxxxxxxx
Xxxxxxx xxxxx x xxxxx fyzické xxxxxxxxxxx
x) xxxxxxxxx poškození, xxxxxxx xxxx zneužití xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx informačního x xxxxxxxxxxxxx xxxxxxx,
x) stanoví xxxxxxx bezpečnostní perimetr xxxxxxxxxxxx xxxxxx, xx xxxxx xxxx xxxxxxxxxx x zpracovávány xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx informačního x xxxxxxxxxxxxx xxxxxxx, a
c) x fyzického bezpečnostního xxxxxxxxx xxxxxxxxxxx podle xxxxxxx b) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxx prostředky xxxxxxx xxxxxxxxxxx
1. x xxxxxxxx xxxxxxxxxxxxx xxxxxx,
2. x xxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx a
3. xxx zajištění xxxxxxx xx xxxxxx xxxxxxx x x xxxxx xxxxxxx.
§18
Xxxxxxxxxx xxxxxxxxxxxxx xxxx
Xxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxx x xxxxxxx xxxxx §3 xxxx. x)
x) xxxxxxx segmentaci xxxxxxxxxxx sítě,
b) xxxxxxx xxxxxx xxxxxxxxxx v xxxxx komunikační xxxx x xxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxx a xxxxxxxxx xxx xxx xxxxxxxxx přístupu, xxxxxxxx xxxxxx nebo při xxxxxxxx do xxxxxxxxxxx xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxx x
x) xxx xxxxxxxxx xxxxxxxxxx xxxx x xxx xxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxxx využívá xxxxxxx, který xxxxxxx xxxxxxx integrity xxxxxxxxxxx xxxx.
§19
Xxxxxx x xxxxxxxxx xxxxxxx
(1) Xxxxxxx xxxxx xxxxxxx xxxxxxx xxx xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx, administrátorů x aplikací informačního x komunikačního xxxxxxx.
(2) Xxxxxxx xxx správu x xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx zajišťuje
a) ověření xxxxxxxx před xxxxxxxxx xxxxxxx v xxxxxxxxxxx x komunikačním systému,
b) xxxxxx xxxxx xxxxxxx xxxxxxxxxxx pokusů x xxxxxxxxxx,
x) odolnost xxxxxxxxx xxxx xxxxxxxxxxx autentizačních xxxxx xxxxx xxxxxxxxxxxxx xxxxxxxx x xxxxxxxx,
x) xxxxxxxx autentizačních xxxxx xx formě xxxxxx xxxxx xxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxx xx určené xxxx xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx údajů xxx xxxxxx xxxxxxxx x
x) xxxxxxxxxxxxxxx správu xxxxxxx.
(3) Xxxxxxx osoba pro xxxxxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx x aplikací xxxxxxx xxxxxxxxxxxx mechanizmus, xxxxx není xxxxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxxxx účtu x xxxxx, xxxxx xx xxxxxxxxxxxxx autentizaci x xxxxxxx xxxxx xxxxxxx xxxx xxxxxxx.
(4) Do xxxx xxxxxxx požadavku xxxxx odstavce 3 xxxx xxxxxxx pro xxxxxxx identity uživatelů, xxxxxxxxxxxxxx a xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx klíčů x xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx.
(5) Do doby xxxxxxx požadavků podle xxxxxxxx 3 xxxx 4 xxxx nástroj xxx ověření xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx, xxxxx xxxxxxx x autentizaci xxxxxxxxxxxxx xxxx a xxxxx, xxxxxxxxx xxxxxxxx
x) xxxxx xxxxx alespoň
1. 12 xxxxx x xxxxxxxxx x
2. 17 xxxxx x administrátorů x xxxxxxxx,
x) xxxxxxxxxx xxxxx xxxxx x xxxxx xxxxxxx 64 xxxxx,
x) xxxxxxxxxxx použití malých x xxxxxxx xxxxxx, xxxxxx a speciálních xxxxx,
x) xxxxxxxxxx uživatelům xxxxx hesla, xxxxxxx xxxxxx mezi xxxxx xxxxxxx hesla xxxxx xxx xxxxxx než 30 minut,
e) xxxxxxxxxxxx xxxxxxxxxx x administrátorům
1. xxxxxx si nejčastěji xxxxxxxxx hesla,
2. xxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, xxxxxxxxxxxxxx xxxxx, x-xxxxx, xxxxx systému xxxx xxxxxxxx xxxxxxxx x
3. opětovné xxxxxxx xxxxx používaných xxxxx x xxxxxx xxxxxxx 12 xxxxxxxxxxx xxxxx x
x) pro povinnou xxxxx hesla x xxxxxxxxx maximálně xx 18 xxxxxxxx, přičemž xxxx xxxxxxxx xx xxxxxxxxxx na xxxx xxxxxxxx k xxxxxx xxxxxxx x případě xxxxxxx.
(6) Xxxxxxx xxxxx x xxxxxxx používání xxxxxxxxxxx xxxxx xxxxx x heslem xxxx
x) xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxx xx xxxx xxxxxx použití,
b) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx x xxxxxxxx xxxxxxxx po jeho xxxxxx použití xxxx xxxxxxxxx xxxxxxx 60 xxxxx xx xxxx xxxxxxxxx x
x) xxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxxxxxxx hesel xx xxxxx xxxxxxx bezpečnostního xxxxxxxx podle §9.
§20
Řízení xxxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxx xxx řízení xxxxxxxxxxxx oprávnění, xxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) xxx přístup k xxxxxxxxxxx aktivům xxxxxxxxxxxx x komunikačního systému x
x) xxx xxxxx xxx, zápis xxx x xxxxx xxxxxxxxx.
§21
Ochrana xxxx xxxxxxxxx xxxxx
(1) Povinná xxxxx xxxxxxx v §3 xxxx. c), x) x x) xxxxxx x rámci xxxxxxx xxxx xxxxxxxxx kódem
a) x ohledem xx xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxxx ochranu
1. xxxxxxxxx xxxxxx,
2. mobilních xxxxxxxx,
3. xxxxxxx,
4. xxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx nosičů,
5. xxxxxxxxxxx xxxx x prvků xxxxxxxxxxx xxxx x
6. xxxxxxxxx zařízení,
b) xxxxxxxxxx x řídí xxxxxxxxx xxxxxxxxx xxxxxxxx a xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxxxx xxxxxxxxx obsahu xxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,
x) řídí xxxxxxxxx ke xxxxxxxxx xxxx x
x) xxxxxxx xxxxxxxxxxx x účinnou xxxxxxxxxxx xxxxxxxx pro xxxxxxx xxxx xxxxxxxxx xxxxx.
(2) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. e) xxxxxx xxxxxxxxx podle odstavce 1 xxxxxxxxx.
§22
Xxxxxxxxxxxxx událostí xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, xxxx uživatelů x xxxxxxxxxxxxxx
(1) Povinná xxxxx
x) xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxx provozní xxxxxxxx xxxxxxxxxx xxxxx informačního x xxxxxxxxxxxxx systému x
x) xx základě xxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxx xxxxxx xxxxx, x kterých je xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx identifikaci xxxxxxxx xxxxxxx, xx-xx x xxxxxxxxxxx xxxx xxxxxx xxxxxxx, xxxxx xxxx xxxx xxxxxxx xxxxxxxxxxxx,
x) xxxx informací x xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx; xxxxxxx xxxxxxxxxxx
1. datum x xxx xxxxxx xxxxxxxxxxx xxxxxxxx pásma,
2. typ xxxxxxxx,
3. identifikaci technického xxxxxx, které xxxxxxx xxxxxxxxxxx,
4. xxxxxxxxxxxx identifikaci xxxx, xxx xxxxxx xxxx xxxxxxx provedena,
5. xxxxxxxxxxxx xxxxxxx identifikaci xxxxxxxx původce a
6. xxxxxxxxx xxxx neúspěšnost xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx podle xxxxxx x) a x) xxxx neoprávněným čtením x xxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx
1. přihlašování a xxxxxxxxxxx xx všem xxxxx, x xx xxxxxx xxxxxxxxxxx pokusů,
2. xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx,
3. xxxxxxx x xxxxxxxxx xxxxxxxxxx x xxxx, xxxxxxxxxxx x xxxxx,
4. xxxxxxxxxxx xxxxxxxx v xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxx x oprávnění,
5. xxxxxxxx xxxxxxxxx, které xxxxx mít xxxx xx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
6. xxxxxxxx a xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx,
7. xxxxxxxxxx i xxxxxxxxx xxxxxxx technických aktiv x
8. xxxxxxxx x xxxxxxxx x událostech, xxxxxx x xxxxxxxxxx xx záznamy o xxxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxxx za 24 xxxxx.
(3) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x), x) x x) zákona xxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx po xxxx 18 měsíců.
(4) Xxxxxxx osoba xxxxxxx x §3 písm. x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx zaznamenaných xxxxx xxxxxxxx 2 xxxxxxx xx dobu 12 xxxxxx.
§23
Detekce xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
(1) Povinná xxxxx x xxxxx komunikační xxxx, xxxxx součástí xx xxxxxxxxxx a xxxxxxxxxxx xxxxxx, používá xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx x kontrolu xxxxxxxxxxx xxx v xxxxx xxxxxxxxxxx sítě a xxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx x kontrolu xxxxxxxxxxx xxx xx xxxxxxxxx komunikační sítě x
x) blokování xxxxxxxxx xxxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. c), x) x f) xxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí přiměřeně x ohledem na xxxxxxxxxx xxxxx x xxxxx
x) koncových xxxxxx,
x) xxxxxxxxx xxxxxxxx,
x) xxxxxxx,
x) xxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxx x
x) xxxxxxxxx xxxxx.
§24
Xxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
Xxxxxxx xxxxx xxxxxxx x §3 písm. x), x) a x) xxxxxx používá nástroj xxx sběr x xxxxxxxxxxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí, který xxxxxx
x) sběr a xxxxxxxxxxxxx událostí xxxxxxxxxxxxx xxxxx §22 x 23,
x) xxxxxxxxxxx a xxxxxxxxxxx souvisejících xxxxxxx,
x) xxxxxxxxxxx informací xxx xxxxxx bezpečnostní xxxx x detekovaných xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx,
x) vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x cílem xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx bezpečnostních xxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx pravidelnou xxxxxxxxxxx nastavení xxxxxxxx xxx
1. xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x
2. xxxxxx xxxxxxxx a
f) xxxxxxxxx informací xxxxxxxxx xxxxxxxxx pro sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx.
§25
Xxxxxxxxx xxxxxxxxxx
(1) Xxxxxxx xxxxx provádí xxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xx xxxxxxxxx na xxxxxxxx xxxxxx, x xx
x) xxxx jejich uvedením xx xxxxxxx a
b) x souvislosti s xxxxxxxxx změnou xxxxx §11 xxxx. 3.
(2) Xxxxxxx osoba xxxx x xxxxx aplikační xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxxx, xxxxxxxxx x transakcí xxxx
x) xxxxxxxxxxxx činností x
x) xxxxxxxx xxxxxxxxxxx činností.
§26
Xxxxxxxxxxxxxx xxxxxxxxxx
Xxxxxxx osoba xxx xxxxxxx aktiv xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx
x) xxxxxxx aktuálně xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxx správy xxxxx x xxxxxxxxxxx, xxxxx
1. xxxxxxx xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, xxxxx, xxxxxxx platnosti, zneplatnění xxxxxxxxxxx x xxxxxxxxx xxxxx a
2. xxxxxx xxxxxxxx x xxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx prostředky x
x) xxxxxxxxxx doporučení x oblasti xxxxxxxxxxxxxxxx xxxxxxxxxx vydaná Xxxxxx, xxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx.
§27
Xxxxxxxxxxx úrovně xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx zavede xxxxxxxx pro zajišťování xxxxxx dostupnosti, kterými xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému xxx splnění xxxx xxxxx §15,
x) xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx vůči kybernetickým xxxxxxxxxxxxx xxxxxxxxxx, které xx xxxxx xxxxxx xxxx xxxxxxxxxx,
x) dostupnost xxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxx xxxxx xxxxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x komunikačního systému.
§28
Průmyslové, xxxxxx a xxxxxxx xxxxxxxxxx systémy
Povinná xxxxx xxx zajištění xxxxxxxxxxxx xxxxxxxxxxx průmyslových, xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx systémů používá xxxxxxxx a xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxx xxxxxx xx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx fyzického xxxxxxxx x xxxxxxxxx xxxxxx xxxxxxx x xx xxxxxxxxxxx síti,
c) xxxxxxxxx xxxxxxxxxxx sítě xxxxxx xxx xxxx xxxxxxx xx xxxxxxx xxxxxxxxxxxxxx,
x) omezení a xxxxxx xxxxxxxxxx xxxxxxxx x těmto xxxxxxxx,
x) xxxxxxx jednotlivých xxxxxxxxxxx xxxxx těchto systémů xxxx xxxxxxxx známých xxxxxxxxxxxxx a
f) xxxxxxxx xxxxx těchto xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
§29
Xxxxxxxxx xxxxxx
(1) Xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx zavede bezpečnostní xxxxxxxx podle xxxxxxxxxxx xxxxxxxx Xxxxxx (XX) 2018/151 ze xxx 30. ledna 2018, xxxxxx se xxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxx Evropského parlamentu x Xxxx (XX) 2016/1148, xxxxx xxx x xxxxxx upřesnění xxxxx, xxxxx xxxx xxxxxxxxxxxxx digitálních xxxxxx xxxxxxxxxxx při řízení xxxxxxxxxxxxxx xxxxx, jimiž xxxx xxxxxxxxx xxxx x informační xxxxxxx, x xxxxxxxxx pro xxxxxxxxxx xxxx, zda xx dopad xxxxxxxxx xxxxxxxx; ustanovení §3 xx 28 se xx xxxx xxxxxxxx xxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 písm. h) xxxxxx hlásí kontaktní xxxxx xxxxx §34 xxxx. 2.
(3) Xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx podle §32 odst. 2 x 3.
HLAVA XXX
XXXXXXXXXXXX XXXXXXXX X BEZPEČNOSTNÍ DOKUMENTACE
§30
Bezpečnostní xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx
(1) Povinná xxxxx
x) xxxxxxx xxxxxxxxxxxx xxxxxxxx x vede bezpečnostní xxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx x příloze č. 5,
b) xxxxxxxxxx xxxxxxxxxxx bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx a
c) xxxxxxx, xxx xxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx aktuální.
(2) Xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx
x) xxxxxxxx v xxxxxxxx xxxx xxxxxxxxxxxx podobě,
b) xxxxxxxxxxxx v xxxxx xxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxx dotčeným xxxxxxx,
x) xxxxxx,
x) xxxxxxxx z xxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti a
f) xxxxxx xxx, xxx xxxxxxxxx v nich xxxxxxxx byly xxxxx, xxxxxxx, xxxxxx identifikovatelné x xxxxxx vyhledatelné.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§31
Xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Jednotlivé kybernetické xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxx významnosti xxx zohlednění
a) xxxxxx xxxxxxxxxx v xxxxxxxxxx xxxxxxxxxx kritériích, xxxxx xxxxxxx xxxx povinné xxxxx xxxxxx,
x) xxxxx xxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxx xxxxxxxxxxxxx škody,
d) xxxxxxxxxxx xxxxxxxxx aktiv xxxxxxxxxxxx x komunikačního xxxxxxx,
x) dopadů xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx na služby xxxxxxxxxxx jinými informačními x xxxxxxxxxxxxx xxxxxxx,
x) xxxxx xxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxx dotčené xxxxxxx x
x) xxxxxxx xxxxxx.
(2) Xxx xxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx xx xxxxxxx xxxxxxxxxx podle odstavce 1 xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx zařadí xx xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx kterém xx přímo x xxxxxxxx narušena xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx být xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxx,
x) Xxxxxxxxx XX - xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx narušena xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx s xxx, xx xxxx xxx xxxxxxxx prostředky xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu včetně xxxxxxxxxxxx xxxxxxxxx xxxx, xxxx
x) Xxxxxxxxx X - méně xxxxxxxx xxxxxxxxxxxx bezpečnostní incident, xxx kterém dochází x xxxx významnému xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx xxxxxx vyžaduje xxxxxx obsluhy x xxx, xx musí xxx xxxxxxxx xxxxxxxxxx xxxxxxx další xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx xxxxxxxxxxxx vzniklých xxxx.
(3) Typy xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxx jsou
a) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobující xxxxxxxx xxxxxxxxxx aktiv,
b) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx narušení xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobující narušení xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx v písmenech x) až x).
(4) Xxxx xxxxxxxxxx se xxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx.
§32
Xxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxxxx bezpečnostní xxxxxxxx xx Úřadu xxxxx xx elektronickém xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu xxxxxxxx
x) na adresu xxxxxxxxxxxx pošty Xxxxx xxxxxxx pro příjem xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx,
x) xx datové xxxxxxxx Xxxxx, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxx rozhraní, xxxxx xx xxxxxxxxx, jehož xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Kybernetický xxxxxxxxxxxx xxxxxxxx se xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxx xx xxxxxxxxxxxxx formuláři xxxxxxxxxxx na internetových xxxxxxxxx provozovatele národního XXXX xxxxxxxx
x) na xxxxxx elektronické xxxxx xxxxxxxxxxxxx národního CERT xxxxxxx pro xxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, zveřejněnou xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx xxxxxx schránky xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx národního XXXX.
(3) Xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxx x x xxxxxxxx xxxxxx, xxxxx xxxxx v xxxxxxxxx, xxx xxxxx xxxxxx xxxxx xx xxxxxxx xxxxxxxxx x xxxxxxxxxx 1 x 2.
(4) Náležitosti xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
c) xxxxx x xxx xxxxxxxx xxxxxxxxx x
x) popis xxxxxxxxx.
ČÁST XXXXXX
XXXXXXXXX OPATŘENÍ X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
(1) Povinná osoba, xxxxx Úřad uložil xxxxxxx xxxxxxxxx opatření,
a) xxxxxxx očekávané xxxxxx xxxxxxxxxxx xxxxxxxx na xxxxxxxxxx x xxxxxxxxxxx xxxxxx a na xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxx xxxxxxxxx xxxxxx a
b) xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxx, xxxxx minimalizuje xxxx xxxxx negativní xxxxxx, x určí časový xxxx xxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx, xxxxx Xxxx uložil provést xxxxxxxxx opatření, xxxxxx xxxxxx provedení xxxxxxxxxxx xxxxxxxx a jeho xxxxxxxx ve xxxxx xxxxxxx xx internetových xxxxxxxxx Xxxxx.
§34
Kontaktní xxxxx
(1) Xxxxxxxxx xxxxx xx Xxxxx xxxxxxxx xx elektronickém xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx xxxxxxxx
x) xx adresu xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx xxx příjem xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx xxxxxx schránky Xxxxx, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, pokud xx xxxxxxxxx, xxxxx xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu.
(2) Xxxxxxxxx xxxxx se xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx
x) xx adresu xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx národního XXXX xxxxxxx xxx xxxxxx xxxxxxxx kontaktních xxxxx, xxxxxxxxxxx xx xxxx xxxxxxxxxxxxx stránkách,
b) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx národního XXXX, xxxx
x) prostřednictvím xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Hlášení xxxxxxxxxxx xxxxx je možné xxxxxx x x xxxxxxxx podobě, avšak xxxxx v xxxxxxxxx, xxx xxxxx xxxxxx xxxxx ze xxxxxxx xxxxxxxxx x xxxxxxxxxx 1 x 2.
(4) Xxxx xxxxxxxx xxxxxxxxxxx xxxxx xx xxxxxx x příloze č. 8 k xxxx xxxxxxxx.
(5) Xxxxxxx xxxxx uvedená x §3 písm. c) xx x) xxxxxx, xxxxx xx xxxxxxxxxxxxxx, xxxx x xxxxxxx xxxxxxxxxxx xxxxx podle xxxxxxxx 1 přikládá xxxxxxxx, xxxxxx ji xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §8 odst. 1 písm. x).
XXXX XXXX
XXXXXXXXX XXXXXXXXXX
§35
Xxxxxxxxx xxxxxxxxxx
(1) X xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxx xxxx xxxxxx přede xxxx nabytí xxxxxxxxx xxxx xxxxxxxx, a x xxxxxxx významných xxxxxxxxxxxx xxxxxxx, u xxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx kritérií xxxxx dnem nabytí xxxxxxxxx této xxxxxxxx, xx do jednoho xxxx ode xxx xxxxxx xxxxxxxxx této xxxxxxxx xxx obsah x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x obsah x xxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx vyhlášky č. 316/2014 Sb., x bezpečnostních xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech, xxxxxxxxxxx xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx xxxxxx v oblasti xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x kybernetické xxxxxxxxxxx).
(2) X xxxxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx byly xxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, a x xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x xxxxxxx xxxxx k xxxxxxxx xxxxxxxxxx kritérií xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, xx xx jednoho xxxx xxx xxx xxxxxx xxxxxxxxx této xxxxxxxx xxx způsob xxxxxxxxx xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx tato xxxxxxxx xxxxxxxxx.
§36
Xxxxxxxxx ustanovení
Zrušuje xx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx xxxxxx x oblasti xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx o xxxxxxxxxxxx xxxxxxxxxxx).
§37
Xxxxxxxx
Xxxx vyhláška xxxxxx xxxxxxxxx xxxx xxxxxxxxx.
Xxxxxxx:
Xxx. Xxxxxxxx v. x.
Xxxxxxx x. 1 x vyhlášce x. 82/2018 Sb.
Hodnocení aktiv
(1) Xxx xxxxxxxxx důležitosti xxxxx jsou x xxxxx xxxxxxx použity xxxxxxxx x čtyřech xxxxxxxx x posuzuje xx, jaký xxxxx xx xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxx. Xxxxxxx xxxxx xxxx xxxxxxxx xxxxxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxx xxxx xx uveden v xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx vazby mezi xxxx používaným způsobem xxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx x xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxx, které xxxx xxxxxxx x xxxx xxxxxxx.
(2) Xx xxxxxxxxxx, aby si xxxxx povinná xxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxx potřebám.
Tab. 1: Stupnice xxx xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Příklady xxxxxxxxx xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx xxxxxxxxx xxxx xxxx určena xx zveřejnění. Xxxxxxxx xxxxxxxxxx xxxxx neohrožuje xxxxxxxxx xxxxx povinné xxxxx. X případě sdílení xxxxxxxx xxxxxx x xxxxxxx stranami x xxxxxxx klasifikace xxxxx xxx. traffic xxxxx xxxxxxxxx (dále xxx "XXX") xx xxxxxxxxx xxxxxxxx XXX:XXXXX. |
Xxxx xxxxxxxxxx xxxxx ochrana. |
|
Xxxxxxx |
Xxxxxx xxxxxx veřejně xxxxxxxxx x xxxxx know-how xxxxxxx osoby, xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxxxx ujednáním. V xxxxxxx xxxxxxx xxxxxxxx xxxxxx s xxxxxxx xxxxxxxx a použití xxxxxxxxxxx podle XXX xx využíváno zejména xxxxxxxx TLP:GREEN xxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxx řízení xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxx xxxxxxx xx xxxxxxxxxx xxxxxxxx předpisy, jinými xxxxxxxx xxxx smluvními xxxxxxxxxx (například xxxxxxxx xxxxxxxxx, osobní xxxxx). X xxxxxxx xxxxxxx xxxxxxxx xxxxxx s xxxxxxx xxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxx TLP xx využíváno xxxxxxx xxxxxxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxxxxx. Přenosy xxxxxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx nejsou xxxxxxx přístupná x xxxxxxxx xxxxxxxxxxxxx míru xxxxxxx nad rámec xxxxxxxxx kategorie (například xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxx xxxxxxxxx osobních xxxxx). X xxxxxxx sdílení xxxxxxxx xxxxxx x xxxxxxx stranami x xxxxxxx xxxxxxxxxxx podle XXX xx využíváno xxxxxxx xxxxxxxx XXX:XXX xxxx XXX:XXXXX. |
Xxx ochranu xxxxxxxxxx xxxx využívány xxxxxxxxxx, xxxxx xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxx metody xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xx xxxxxx xxxxxxxxxxxxxx. Přenosy xxxxxxxxx xxxx xxxxxxxx pomocí xxxxxxxxxxxxxxxx prostředků. |
Xxx. 2: Stupnice xxx xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx aktiva |
|
Nízká |
Aktivum xxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx xxxxxx neohrožuje xxxxxxxxx xxxxx xxxxxxx xxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx vyžadovat xxxxxxx z hlediska xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx vést x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxx xx xxxxxxxx méně xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx integrity xxxx využívány xxxxxxxxxx xxxxxxxx (například xxxxxxx xxxxxxxxxxxx xxxx pro xxxxx). |
|
Xxxxxx |
Xxxxxxx vyžaduje xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx s podstatnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx integrity xxxx využívány speciální xxxxxxxxxx, xxxxx dovolují xxxxxxxx xxxxxxxx provedených xxxx x xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxx. Ochrana integrity xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx prostředků. |
|
Kritická |
Aktivum xxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx vede x xxxxx vážnému poškození xxxxxxxxxxx xxxxx povinné xxxxx s xxxxxxx x velmi xxxxxxx xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx speciální xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxx. 3: Xxxxxxxx xxx hodnocení xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx na xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx důležité x x případě xxxxxxx je xxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx pro nápravu (xxx xx 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xx xxxxxx xxxxxxxxx xxxx xxxxxxxxxx xxx, xxxxxxxxxxxxx xxxxxxx xxxx x možnému xxxxxxxx xxxxxxxxxxx zájmů povinné xxxxx. |
Xxx ochranu dostupnosti xxxx využívány xxxxx xxxxxx zálohování a xxxxxx. |
|
Xxxxxx |
Xxxxxxxx dostupnosti xxxxxx xx xxxxxx xxxxxxxxx xxxx několika xxxxx. Xxxxxxxx výpadek je xxxxx řešit xxxxxxxxxx, xxxxxxx vede x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx povinné osoby. Xxxxxx xxxx považována xx velmi důležitá. |
Pro xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx záložní xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx může xxx xxxxxxxxx zásahy xxxxxxx xxxx xxxxxxx technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xxxx xxxxxxxxx x x xxxxxxxxxx xxxxxxxxxxxx (x xxxx xxxxxxxx xxxxx) xxxx x xxxxxxx ohrožení xxxxxxxxxxx xxxxx xxxxxxx xxxxx. Xxxxxx xxxx xxxxxxxxxx xx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx služeb xx krátkodobá x xxxxxxxxxxxxxx. |
Xxxxxxx č. 2 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx rizik
(1) Xxxxxxxxxxx stanovení xxxxxx xxx xxxxxx xxxxxx xx xxxxxxxxx xxxxxxxx xxxxxxxx xxx hodnocení xxxxx podle §5.
(2) Xxxxxxx rizika je xxxxxxxxxx vyjádřena xxxx xxxxxx, xxxxxx ovlivňuje xxxxx, xxxxxx x xxxxxxxxxxxx.
(3) Pro xxxxxxxxx xxxxx lze xxxxxx xxxxxxxxx tuto xxxxxx:
Xxxxxx = xxxxx x xxxxxx x xxxxxxxxxxxx.
(4) Xxxxx je v xxxxx xxxxxxx odvozen x hodnocení xxxxx xxxxx přílohy č. 1.
(5) V xxxxxxx, že povinná xxxxx xxxxxxx metodu xxx hodnocení rizik, xxxxx xxxxxxxxxxx hodnocení xxxxxx x xxxxxxxxxxxxx, xx xxxxx stupnice xxx hodnocení hrozeb x xxxxxxxxxxxxx sloučit. Xxxxxxxx xxxxxxx xx xxxxxx xxxx xx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxx hrozby a xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx použít xxxxxxxxx komentář, xxxxx xxxxxxxx xxxxxxx jak xxxxxx hrozby, tak x xxxxxx zranitelnosti. Xxxxxxx se postupuje x v xxxxxxxxx, xxx xxxxxxx osoba xxxxxxx xxxx xxxxx xxxxxx pro hodnocení xxxxxx, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Xxx. 1: Xxxxxxxx pro xxxxxxxxx xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx xxxx xxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xx málo pravděpodobná xx xxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx je xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. |
|
Kritická |
Hrozba xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. |
Xxx. 2: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx nebo xx xxxxxxxx zranitelnosti xxxx xxxxxxxxxxxxx. Jsou xxxxxxxx xxxxxxxxxxxx xxxxxxxx, která xxxx xxxxxxx včas xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, jejichž xxxxxxxx xx pravidelně xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx opatření xxxx xxxxxxxxx možné xxxxxxxxxxxxx xxxx xxxxxxxx xxxxxx o xxxxxxxxx xxxxxxxx xx omezena. Xxxxxx xxxxx xxxxx xxxxxxx xxxxxx o xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Vysoká |
Zneužití xxxxxxxxxxxxx je xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxx, xxx jejich xxxxxxxx nepokrývá xxxxxxx xxxxxxxx aspekty x xxxx pravidelně xxxxxxxxxxxx. Xxxx xxxxx xxxxx xxxxxxx pokusy x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx velmi xxxxxxxxxxxxx xx xxxxxxxx xxxxx. Xxxxxxxxxxxx opatření xxxxxx xxxxxxxxxxx nebo xx xxxxxx účinnost xxxxxx omezena. Xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Xxxx známé xxxxxxx pokusy xxxxxxxxx xxxxxxxxxxxxxx opatření. |
Tab. 3: Xxxxxxxx pro xxxxxxxxx xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx považováno xx xxxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx xxxxxxx méně xxxxxxxxx opatřeními nebo x případě xxxxx xxxxxxxxxx xxxxxxxx je xxxxxx akceptovatelné. |
|
Vysoké |
Riziko je xxxxxxxxxx xxxxxxxxxxx x xxxx být xxxxxxxx xxxxxxxxxxxx kroky x xxxx odstranění. |
|
Kritické |
Riziko je xxxxxxxxxxx x xxxx xxx xxxxxxxxxx zahájeny xxxxx x xxxx xxxxxxxxxx. |
Xxxxxxx x. 3 x vyhlášce x. 82/2018 Xx.
Xxxxxxxxxxxxx a xxxxxx
Xxxxxxxxxx: Xxxx xxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxx x xxxxxx. Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxx xx xxxxxxxxxxxx povinné xxxxx.
Xxxxxxxxxxxxx
1. nedostatečná xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
2. xxxxxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
3. xxxxxxxxxxxx ochrana xxxxxxxx xxxxxxxxx,
4. nedostatečné xxxxxxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
5. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
6. xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
7. nedostatečné xxxxxxx xxx identifikování x xxxxxxxx negativních xxxxxxxxxxxxxx xxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,
8. xxxxxxxxxxxx xxxxxxxxxxxx činnosti xxxxxxxxx a administrátorů x neschopnost xxxxxxx xxxxxx nevhodné xxxx xxxxxxx xxxxxxx chování,
9. xxxxxxxxxxxx stanovení bezpečnostních xxxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxxx vymezení xxxx x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxxxxxxxx xxxx,
10. nedostatečná ochrana xxxxx,
11. nevhodná xxxxxxxxxxxx xxxxxxxxxxxx,
12. xxxxxxxxxxxx xxxx xxxxxxxxx kontroly,
13. xxxxxxxxxxx xxxxxxxx xxxxxxxx pochybení xx xxxxxx xxxxxxxxxxx.
Xxxxxx
1. xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx neoprávněných činností, xxxxxxxx oprávnění ze xxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
2. poškození nebo xxxxxxx technického xxxxx xxxxxxxxxxxx xxxxxxxx,
3. zneužití xxxxxxxx,
4. užívání programového xxxxxxxx x rozporu x xxxxxxxxxx xxxxxxxxxx,
5. xxxxxxxx xxx (xxxxxxxxx xxxx, spyware, trojské xxxx),
6. xxxxxxxx xxxxxxx xxxxxxxxxxx,
7. přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx komunikací xxxx dodávek xxxxxxxxxx xxxxxxx,
8. zneužití xxxx xxxxxxxxxxx xxxxxxxxxx xxxxx,
9. xxxxxx, xxxxxxxx xxxx xxxxxxxxx xxxxxx,
10. nedodržení xxxxxxxxx závazku xx xxxxxx xxxxxxxxxx,
11. xxxxxxxxx xx xxxxxx xxxxxxxxxxx,
12. xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
13. dlouhodobé přerušení xxxxxxxxxxx služeb xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx nebo xxxxxx xxxxxxxxxx xxxxxx,
14. nedostatek xxxxxxxxxxx x xxxxxxxxx xxxxxxxx úrovní,
15. xxxxxx xxxxxxxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx,
16. xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nosičů xxx,
17. xxxxxxxx elektronické xxxxxxxxxx (xxxxxxxxx, xxxxxxxxxx).
Xxxxxxx č. 4 x vyhlášce č. 82/2018 Xx.
Xxxxxxxxx xxx
(1) Xxxx xxxxxxx udává xxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému x xxxxxxxxxx xxxxxxx xxxxxx xxx a xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx.
(2) Xxxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx xx xxxxxxx xxxxxxxx xxx xxxxxx xxx x xxxxxxxxx xxxxxxxxxxx nosičů xxx x xxxxxxx x xxxxx xxxxxxxx. Xxx xxxxxx dotčeny xxxxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx. Je xxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx bezpečnostní xxxxxxxx, xxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxx dat x xxxxxxxxx xxxxxxxxxxx xxxxxx dat, vzhledem x xxxxxxx x xxxxxxxxxxx xxxxx.
(3) Xxxxxxxx xxx xxxxxxxxx dat xx xxxx být xxxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxx x xxxx by xxxxxxx xxxxxxxxxxx
x) xxxxxxx xxxxxx (xxxxxxx z xxxxxxx důvěrnosti),
b) technologii (xxxx x xxxxxxxx xxxxxx xxxxxxxxx),
x) xxx xx xxxxx informace xxxxxxx xxx xxxxxxxxx xxxxxxxxxx xx xxxxxxx,
x) xxx jsou data xxxxxxxx xxxxxxxxxxxx nebo xxxxxxxxxxxxxxx prostředí,
e) xxx xxxx likvidaci dat xxxxxxxx (xxxxxxx zaměstnanec, xxxx dodavatel),
f) xxxxxxxxxx xxxxxxxx x xxxxxxxx xxx xxxxxxxxx,
x) kapacitu xxxxxxxxxxxxx nosičů,
h) xxx xx x xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxxx x xxxxxxx xx xxxxxxxx, xxxxxxx, xxxxxxxx, xxxxxxxx využití xxxxxx xxxxxxxxx
x) xxxxx xxxxxxx likvidace xxx (xxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxxxxxx přepsáním nosiče xxx, znečitelněním xxx xxxxxx šifrováním a xxxxxxx),
x) xxxxxxxxxx xxxxxxx xxxxxxxxx xxx xxxxxxxx xx xxxxx nosiče xxxxxxxxx (například xxx xxxxxxxxx xxxxxxxx xxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxx informace, ale xxxxxxx xx xxxxxxx xxxxxxx likvidace).
(4) Xxxxxxx xxxxxxxxx technických xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx a xxxxxx xxxxx:
x) Xxxxxxxxxx
1. Xxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxx dat tak, xxx byla xxx xxxxxx nedostupná (například xxxxxxxxxx xxxxxxxx xxxxxxx, xxxxxxxx tištěného dokumentu xx xxxxxx).
2. Jde x nejméně bezpečný xxxxxx likvidace dat. X xxxxxxx získání xxxxxx xxxxxxxxx xx xxxxx x xxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxx xxxxxxx.
3. Tato xxxxxx xxxx použitelná xxx xxxxxx xxxxxxxxxxx dat xxxxxxxxxxxx xxxxxxxx xxxxx.
4. Xxxxxxxxxx xxxxxx pro xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx z přílohy č. 1): xxxxx.
x) Přepsání
1. Způsob xxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxx informace xxxxxxxxxx xxxxxxxxx.
2. Xxx x středně xxxxxxxx xxxxxx xxxxxxxxx dat. Xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx.
3. Xxxxxxxx může xxx xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx x xxxxxxxxxxx informaci.
4. Tato xxxxxx xxxx xxxxxx xxx poškozená xxxxx, xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx, případně xxx xxxxx x velkou xxxxxxxxx.
5. Xxxxxxxxxx xxxxxx xxx xxxxxx důvěrnosti xxxxxx (vychází x přílohy č. 1): nízká xx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx
1. Xxxxxx xxxxxxxxx xxxxxxxxxxx ve xxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxx x xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx (xxxxxxxxxxx, xxxxxxxxx xx xxxxxxxx působením).
2. Xxx x nejbezpečnější xxxxxx xxxxxxxxx xxx. Xxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxx nelze xxxxx xxxxxx xxx xxxxxxx xxxx. Xxxxxxx informace xxxx možné xxxxxxx xxx xxx xxxxxxxxxx xxxxxxx množství prostředků x xxxxx.
3. Xxxxxxxxxx xxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx z přílohy č. 1): xxxxxxx xx xxxxxxxx.
Xxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxx úrovně xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1)
|
Xxxxxxxxx xxxxxx xxxxxxxxx xxxxx úrovně xxxxxxxxxxx xxxxxx |
|||||
|
Xxxxx xxxxxxxxx |
1. Xxxxx |
2. Xxxxxxx |
3. Vysoká |
4. Kritická |
|
|
Informace xx xxxxxx čitelném xxxxxx (tištěné dokumenty, xxxxxxxx a podobně) |
Odstranění: Xxxxxxxx do xxxxxx. |
Xxxxxxxx: Xxxxxxxxx. |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxxx xxxxxxxxx: |
|||||
|
Mobilní xxxxxxxx (xxxxxxx xxxxxxxx, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx likvidace: |
||
|
Xxxxxx xxxxxxxx (xxxxxx, xxxxxx, xxxxx x xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Kancelářské xxxxxxxx (xxxxxxx, tiskárny, xxx) |
|||||
|
Xxxxxxxxxx xxxxx (magnetické xxxxx, xxxxx, XXX [Xxxx Disk Xxxxx]) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Xxxxxxx xxxxx (CD, XXX, HD-DVD, XXX-XXX) |
Xxxxxxx xxxxxxxxx: |
||||
|
Xxxxxxx xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx xxxxx (xxxxx xxxxxx) |
|||||
|
Xxxxxxxxxxx a xxxxx |
Xxxxxxxxx xxxxxx xxxxxxxxx xxx xx měl být xxxxxxxx xxxxxxxx xxxxxxxxx. |
||||
|
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxxx: |
Přepsání/fyzická xxxxxxxxx: |
||
|
Xxxxxxxxxxxx v xxxxxxx dedikovaného paměťového xxxxx xx xxxxx xxxx po xxxxxxxx xxxxxx xxxxxxx. |
|||||
Příloha x. 5 x xxxxxxxx x. 82/2018 Sb.
Obsah bezpečnostní xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx
1. Bezpečnostní xxxxxxxx
1.1. Xxxxxxxx systému řízení xxxxxxxxxxx informací
a) Xxxx, xxxxxxxx a xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxx xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx provádění xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxx x zlepšování xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
1.2. Xxxxxxxx xxxxxx xxxxx
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx aktiv
1. xxxxxx a xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. hodnocení důležitosti xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, integrity x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx x evidence xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx jednotlivých xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx xxxxx mezi xxxxxxxxxx a xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx aktiv
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx xxxxxxxxxx a xxxxxxxx aktiv xxxxx xxxxxx xxxxx,
3. xxxxxxxxx xxxxxxx používání xxxxx.
x) Xxxxxxx spolehlivého mazání xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx, informací, xxxxxxxxxx údajů x xxxxxx xxxxx.
1.3. Politika xxxxxxxxxxx bezpečnosti
a) Xxxxxx xxxxxxxxxxxxxx xxxx x xxxxxx xxxx x xxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx činností xxxxxxxxxxxx bezpečnostních xxxx.
x) Xxxxxxxxx xx oddělení xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxx.
1.4. Xxxxxxxx xxxxxx dodavatelů
a) Xxxxxxxx x xxxxxxxx pro xxxxx dodavatelů.
b) Xxxxxxxx xxx hodnocení xxxxx xxxxxxxxxxxxx x dodavateli.
c) Xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxx a xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření x x xxxxxx xxxxxxxx smluvní xxxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx dodavatelů.
1.5. Xxxxxxxx xxxxxxxxxxx lidských zdrojů
a) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x způsoby xxxx xxxxxxxxx
1. způsoby x formy xxxxxxx xxxxxxxxx,
2. xxxxxxx x xxxxx poučení xxxxxxx xxxxx,
3. xxxxxxx a xxxxx poučení administrátorů,
4. xxxxxxx x formy xxxxxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx pracovního xxxxxx xxxx xxxxx xxxxxxxx pozice
1. vrácení xxxxxxxxx xxxxx x xxxxxxxx xxxx xxx xxxxxxxx pracovního xxxxxx,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxx xxxxxx.
1.6. Xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx
x) Xxxxxxxxx x odpovědnosti xxxxxxx s xxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Požadavky x xxxxxxxxx bezpečného provozu.
d) Xxxxxxxx a omezení xxx provádění xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxxxxxxxxxx testů.
1.7. Xxxxxxxx xxxxxx xxxxxxxx
x) Xxxxxxx xxxxxxxxxxx oprávnění/potřeba xxxx (xxxx to xxxx).
x) Xxxxxxxxx xx řízení xxxxxxxx.
x) Xxxxxxx cyklus xxxxxx přístupu.
d) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Pravidelné xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx jednotlivých xxxxxxxxx x přístupových skupinách.
1.8. Xxxxxxxx bezpečného chování xxxxxxxxx
x) Pravidla xxx xxxxxxxx nakládání x xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxxx elektronické pošty x xxxxxxxx xx xxxxxxxx.
x) Xxxxxxxx vzdálený xxxxxxx.
x) Bezpečné chování xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx xxxxxx x xxxxxxxx xxxxxxxxx.
1.9. Xxxxxxxx xxxxxxxxxx a xxxxxx a xxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxxx na xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx.
x) Pravidla x xxxxxxx dlouhodobého ukládání.
d) Xxxxxxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxx xxxxxxxxxx a xxxxxx.
x) Xxxxxxxx přístupu x xxxxxxx, xxxxxxxxx xxxxxxxxxx.
1.10. Xxxxxxxx bezpečného xxxxxxxxx x výměny informací
a) Xxxxxxxx a xxxxxxx xxx xxxxxxx předávaných xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx výměny xxxxxxxxx.
x) Xxxxxxxx pro využívání xxxxxxxxxxxxxx xxxxxxx.
1.11. Xxxxxxxx xxxxxx technických xxxxxxxxxxxxx
x) Xxxxxxxx xxx omezení xxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxxx opravných xxxxxxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx testování oprav xxxxxxxxxxxx vybavení.
d) Xxxxxxxx x postupy xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
1.12. Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx
x) Xxxxxxxx x postupy pro xxxxxxxx používání mobilních xxxxxxxx.
x) Pravidla a xxxxxxx xxx zajištění xxxxxxxxxxx zařízení, xxxxx xxxxxxx xxxxx xxxx xx xxx xxxxxx.
1.13. Xxxxxxxx akvizice, vývoje x xxxxxx
x) Xxxxxxxxxxxx xxxxxxxxx pro xxxxxxxx, xxxxx x xxxxxx.
x) Xxxxxx xxxxxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
1. xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,
2. xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
1.14. Xxxxxxxx xxxxxxx xxxxxxxx xxxxx
x) Charakteristika xxxxxxxxxxxxxx osobních údajů.
b) Xxxxx přijatých a xxxxxxxxxxx organizačních xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx údajů.
1.15. Politika xxxxxxx xxxxxxxxxxx
x) Xxxxxxxx xxx xxxxxxx objektů.
b) Xxxxxxxx pro kontrolu xxxxxx xxxx.
x) Pravidla xxx xxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxx fyzické xxxxxxxxxxx.
1.16. Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx sítě
a) Xxxxxxxx x postupy pro xxxxxxxxx bezpečnosti xxxx.
x) Xxxxxx práv x xxxxxxxxxx xx xxxxxxxx xxxxxx sítě.
c) Xxxxxxxx x xxxxxxx pro xxxxxx xxxxxxxx x xxxxx sítě.
d) Xxxxxxxx x postupy xxx xxxxxxx xxxxxxxxxx xxxxxxxx x síti.
e) Pravidla x xxxxxxx pro xxxxxxxxxxxx xxxx x xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
1.17. Xxxxxxxx ochrany před xxxxxxxxx xxxxx
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxx komunikace.
b) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxx x sdílených xxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxxxxx stanic.
1.18. Politika xxxxxxxx x používání xxxxxxxx xxx detekci xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
x) Xxxxxxxx a xxxxxxx xxxxxxxx nástroje xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx xxxxxxxxxxxxx a xxxxxxxxx na detekované xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx nastavení xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.19. Xxxxxxxx využití x xxxxxx xxxxxxxx xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx optimální nastavení xxxxxxxxxxxxxx vlastností nástroje xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.20. Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx
x) Xxxxxx xxxxxxx x xxxxxxx na xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx kryptografické xxxxxxx informací
1. xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx xx xxxxxxx zařízení xxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxx.
x) Xxxxxx xxxxxx xxxxx.
1.21. Xxxxxxxx xxxxxx změn
a) Xxxxxx x principy řízení xxxxxxxxxx xxxx x xxxxx xxxxxxx osoby, xxxxxx xxxxxxxxx, xxxxxxxxxxxx x komunikačních xxxxxxxxx.
x) Xxxxxxxxxxxxx xxxxxx významných xxxx.
x) Xxxxxx vedení xxxxxxxx a xxxxxxxxx xxxxxxxxxx xxxx.
1.22. Politika xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
x) Definování xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu.
b) Xxxxxxxx x postupy xxx xxxxxxxxxxxx, xxxxxxxx x zvládání xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Pravidla x xxxxxxx testování xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxx zlepšování xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx.
1.23. Xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx
x) Xxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Cíle xxxxxx xxxxxxxxxx xxxxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx služeb,
2. xxxx xxxxxxxx xxxxx,
3. xxx obnovení xxx.
x) Xxxxxxxx řízení xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů na xxxxxxxxxx x posuzování xxxxxxxxxxxxx xxxxx.
x) Xxxxxx x xxxxx xxxxxxxxxx xxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxx.
x) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Úřadem.
2. Xxxxx xxxxxxxxxxxx xxxxxxxxxxx
2.1. Zpráva x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) Xxxx auditu xxxxxxxxxxxx bezpečnosti.
b) Předmět xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx x xxxx, xxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx zúčastnily.
e) Xxxxx x xxxxx, xxx xxxx xxxxxxxxx xxxxxxxx xxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Závěry xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
2.2. Zpráva x xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx
x) Xxxxxxxxxxx opatření x xxxxxxxxxxx xxxxxxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxxxxxx xxxx a xxxxxxxxx, xxxxx mohou xxx xxxx na xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxx x výkonnosti řízení xxxxxxxxxxx xxxxxxxxx
1. neshody x xxxxxxxx xxxxxxxx,
2. xxxxxxxx monitorování a xxxxxx,
3. xxxxxxxx auditu,
4. xxxxxxxx cílů xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx hodnocení rizik x xxxx xxxxx xxxxxxxx rizik.
e) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx potřebných xxxxxxxxxx, xxxxxxxxx opatření x osob zajišťujících xxxxx jednotlivých xxxxxxxx.
2.3. Xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxx xxxxx
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxx
1. určení xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx integrity xxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx dostupnosti xxxxx.
x) Určení xxxxxxxx xxx xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxx.
x) Xxxxxx a xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx schvalování xxxxxxxxxxxxxxxx xxxxx.
2.4. Xxxxxx x xxxxxxxxx aktiv a xxxxx
x) Xxxxxxx primárních xxxxx
1. xxxxxxxxxxxx x xxxxx primárních xxxxx,
2. xxxxxx garantů xxxxxxxxxx xxxxx,
3. hodnocení primárních xxxxx z hlediska xxxxxxxxxx, integrity a xxxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx a xxxxx xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx aktivy.
c) Hodnocení xxxxx
1. posouzení možných xxxxxx xx xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx existujících xxxxxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx úrovně rizika, xxxxxxxxx této xxxxxx x kritérii pro xxxxxxxxxxxxxxxx xxxxx,
5. xxxxxx x xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. xxxxx xxxxxxxx x xxxxxx realizace.
2.5. Xxxxxxxxxx x xxxxxxxxxxxxxxxx
x) Xxxxxxx vyloučených bezpečnostních xxxxxxxx požadovaných touto xxxxxxxxx včetně zdůvodnění, xxxx xxxxxx xxxxxxxxxx.
x) Xxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx xxxxxx způsobu xxxxxx xxxxxxxxxxxx.
2.6. Xxxx xxxxxxxx rizik
a) Xxxxx x xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx xxxxxx xxxxx na konkrétní xxxxxx.
x) Xxxxxxxx zdroje xxx jednotlivá bezpečnostní xxxxxxxx pro zvládání xxxxx.
x) Xxxxx xxxxxxxxxxx xxxxxxxxxx bezpečnostní opatření xxx zvládání xxxxx.
x) Xxxxxxx zavedení jednotlivých xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
2.7. Xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx bezpečnostní xxxx.
x) Xxxxx x xxxxxxx xxxxxxx nových xxxxxxxxxxx.
x) Xxxxxxxx, které xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx x seznam xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxxxx xxxxx.
2.8. Xxxxxxxx změn
a) Xxxxxxxx xxxxxxxxx cyklu významných xxxx.
x) Xxxxxxx o xxxxxxx konfigurace podpůrných xxxxx.
2.9. Hlášené kontaktní xxxxx
Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx.
2.10. Přehled xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx předpisů x xxxxxx předpisů a xxxxxxxxx xxxxxxx
x) Přehled xxxxxx závazných xxxxxxxx xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxx.
2.11. Xxxxx xxxxxxxxxx xxxxxxxxxxx
x) Xxxxxxxxx xxxxxxxxxxxxxx.
x) Xxxxxxx síťových zařízení.
Příloha x. 6 x vyhlášce x. 82/2018 Xx.
Xxxxx pro xxxxxx kybernetické xxxxxxxxxxx x bezpečnostní xxxx
Xxxx xxxxxxx obsahuje xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx a xxxxxxxxxxxx role xxxxxxx x §6 x 7.
Xxx. 1: Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxx xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxx povinné osoby. |
|
Další podmínky: |
a) Xxxx výboru pro xxxxxx kybernetické xxxxxxxxxxx xxxx být xxxxxxx |
Xxx. 2: Xxxxxxx xxxxxxxxxxxx bezpečnosti
|
Role: |
Manažer xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx činnosti: |
a) Xxxxxxxxxxx xx řízení systému xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx xxxx XXX/XXX 27000 x xxxxxxx xxxxx x oblasti xxxxxxxxxxx a ICT. |
|
Zkušenosti: |
a) Xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx a xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx x xxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxx (XXXX), Certified xx Xxxx and Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Xxxxxxxxx Information Xxxxxxx Xxxxxxxx Professional (XXXXX), Manažer BI (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx s xxxxxx xxxxxxxxxxx za provoz xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x x xxxxxxx xxxxxxxxxx xx xxxxxxxx xxxxxx. |
Xxx. 3: Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxxx informačních x xxxxxxxxxxxxx xxxxxxx x xxxx navrhování. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx v xxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, nebo |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxx Xxxxxx (XXX), CompTIA Xxxxxxxx +, Xxxxxxxxx Information Xxxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx xx Xxxx xxx Information Xxxxxxx Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Systems Xxxxxxxx Xxxxxxxxxxxx (XXXXX), Manažer XX (xxxxxxxxxxx schéma XXX). |
|
Xxxxx xxxxxxxx: |
Xxxx xxxx xxxxxxxxxx x xxxxxx xxxxxxxxxxx za xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx. |
Xxx. 4: Auditor xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx činnosti: |
Provádění xxxxxx xxxxxxxxxxxx bezpečnosti. |
|
Znalosti: |
a) Xxxxxxxxxxx x xxxxx xxxxxx xxxxxxxxxx bezpečnosti. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxx xxxxxx informační nebo xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx a xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx x xxxxxxx xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, nebo |
|
Relevantní xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Systems Xxxxxxx (XXXX), Xxxxxxxxx Xxxxxxxx Xxxxxxx (XXX), Certified xx Xxxx and Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Xxxx Xxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxxxxx Xxxxxx (Lead Auditor XXXX), Xxxxxxx BI (xxxxxxxxxxx xxxxxx ČIA). |
|
Další xxxxxxxx: |
x) Xxxx není xxxxxxxxxx x rolemi |
Xxx. 5: Xxxxxx xxxxxx
|
Xxxx: |
Xxxxxx xxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Odpovědnost xx xxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxxxxx aktiva. |
|
Xxxxxxxx: |
x) Dobrá xxxxxxx xxxxxx, jehož xx xxxxxxxx. |
* Xxxxxxxxxxx může xxx x xxxx xxx xxxxxxx, jestliže xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx způsobilost xxxxxxxxxxxxxx xxxx splňuje xxxxxxxxx ISO 17 024.
Xxxxxxx x. 7 x vyhlášce č. 82/2018 Xx.
Xxxxxx xxxxxxxxxx - xxxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxx
Xxxxx xxxxxxx xxxxxxxxx s xxxxxxxxxx xxxxxxxxxx:
x) xxxxxxxxxx x bezpečnosti xxxxxxxxx (x xxxxxxx důvěrnosti, xxxxxxxxxxx x xxxxxxxxx),
x) xxxxxxxxxx x oprávnění xxxxxx xxxx,
x) ustanovení x autorství xxxxxxxxxxxx xxxx, popřípadě o xxxxxxxxxxxx licencích,
d) xxxxxxxxxx x xxxxxxxx a xxxxxx dodavatele (xxxxxxxx xxxxxxxxxxxx xxxxxx),
x) xxxxxxxxxx xxxxxxxxxx řetězení dodavatelů, xxxxxxx musí být xxxxxxxxx, xx xxxxxxxxxxxxx xx zaváží xxxxxxxxx x xxxxx xxxxxxx xxxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxxxx x nebudou x xxxxxxx x xxxxxxxxx xxxxxxx osoby na xxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx dodavatele xxxxxxxxx xxxxxxxxxxxx politiky xxxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxxxx x xxxxxx změn,
h) xxxxxxxxxx x xxxxxxx xxxxx x xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x povinnosti xxxxxxxxxx xxxxxxxxxx povinnou osobu x
1. kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx s xxxxxxx xxxxxxx,
2. xxxxxxx xxxxxx rizik xx xxxxxx xxxxxxxxxx a x zbytkových xxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxx,
3. xxxxxxxx změně xxxxxxxx xxxxxx dodavatele xxxxx xxxxxx x xxxxxxxxxx korporacích xxxx xxxxx vlastnictví xxxxxxxxx xxxxx, popřípadě xxxxx xxxxxxxxx nakládat x xxxxxx aktivy, xxxxxxxxxxx xxxxx dodavatelem x xxxxxx podle xxxxxxx xx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx při xxxxxxxx xxxxxxx (xxxxxxxxx xxxxxxxxx xxxxxx xxx xxxxxxxx xxxxxxxxxx, xxx xx xxxxx xxxxx xxxxxxxx xxxxxx před nasazením xxxxxx xxxxxx, migrace xxx x xxxxxxx),
x) xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxx xxxxxxxx x xxxxxxxxxxx s xxxxxxxxxx (například xxxxxxxx xxxxxxxxxx do xxxxxxxxxxx xxxxx, úkoly xxxxxxxxxx xxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx),
x) xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxx xxx, xxxxxxxxxx xxxxx x informací xx vyžádání xxxxxxxx,
x) xxxxxxxx xxx xxxxxxxxx xxx,
x) ustanovení x xxxxx xxxxxxxxxxxx odstoupit xx xxxxxxx v xxxxxxx xxxxxxxx změny xxxxxxxx xxx xxxxxxxxxxx xxxx xxxxx kontroly xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx k xxxxxx podle smlouvy x
x) xxxxxxxxxx x xxxxxxxx xx xxxxxxxx xxxxxxxxxx.
Příloha č. 8 x xxxxxxxx x. 82/2018 Xx.
Xxxx Xxxxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxx
Xxxxxxxxx
Xxxxxx xxxxxxx x. 82/2018 Xx. nabyl xxxxxxxxx xxxx 28.5.2018.
Xx xxx uzávěrky právní xxxxxxx xxxxx xxxxx xx doplňován.
Znění jednotlivých xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx xx jich xxxxxx xxxxxxxxx změna xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) Xxxxxxxx Evropského xxxxxxxxxx x Rady (XX) 2016/1148 ze xxx 6. xxxxxxxx 2016 o opatřeních x xxxxxxxxx xxxxxx xxxxxxxx xxxxxx bezpečnosti xxxx x xxxxxxxxxxxx xxxxxxx x Xxxx.