Právní předpis byl sestaven k datu 19.04.2025.
Zobrazené znění právního předpisu je účinné od 28.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
VYHLÁŠKA
ze xxx 21. xxxxxx 2018
x xxxxxxxxxxxxxx xxxxxxxxxx, kybernetických bezpečnostních xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxx podání x xxxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxx xxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxx pro xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx stanoví podle §28 xxxx. 2 xxxx. a) xx x) x x) xxxxxx č. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx x x xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx o xxxxxxxxxxxx xxxxxxxxxxx), xx xxxxx xxxxxx x. 104/2017 Xx. x zákona x. 205/2017 Xx., (xxxx jen "xxxxx"):
XXXX XXXXX
XXXXXX USTANOVENÍ
§1
Předmět xxxxxx
Xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx Xxxxxxxx xxxx1) x pro xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, významný informační xxxxxx, xxxxxxxxxx systém xxxxxxxx xxxxxx xxxxx xxxxxxxxxx xxxxxx nebo xxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, (xxxx xxx "xxxxxxxxxx x xxxxxxxxxxx systém") xxxxxxxx
x) xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxx x rozsah bezpečnostních xxxxxxxx,
x) xxxx, xxxxxxxxx x xxxxxxxxx významnosti xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
d) xxxxxxxxxxx x způsob xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx oznámení x provedení reaktivního xxxxxxxx x jeho xxxxxxxx,
x) vzor xxxxxxxx xxxxxxxxxxx xxxxx x xxxx xxxxx a
g) xxxxxx xxxxxxxxx xxx, xxxxxxxxxx údajů, xxxxxxxxx x xxxxxx kopií.
§2
Vymezení pojmů
Pro účely xxxx vyhlášky se xxxxxx
x) xxxxxxxxxxxxxxx osoba xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx xxxxxxxxxxx aktiva,
b) xxxxxxxxxxxxxxx xxxxxxx riziko, xxxxx je xxxxxxxxxx xxx xxxxx xxxx xxxxx, xxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx zákona, (xxxx xxx "xxxxxxx xxxxx") a xxxx xxxxx xxx xxxxxxx xxxxxx dalších xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxx xxxxxx zásad x xxxxxxxx, které určují xxxxxx xxxxxxxxx xxxxxxx xxxxx,
x) hodnocením xxxxx xxxxxxx xxxxxx identifikace, xxxxxxx x vyhodnocení xxxxx,
x) hrozbou xxxxxxxxxxx xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxx nebo xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu, xxxxx xxxx způsobit xxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx podílející xx xx xxxxxxx, rozvoji, xxxxxx nebo xxxxxxxxxxx xxxxxxxxxxxx a komunikačního xxxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxxx xxxx xxxxxxxxx informační x xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxx, xx určitá xxxxxx xxxxxxx zranitelnosti xxxxxx x xxxxxxx xxxxx,
x) řízením xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx x xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx x xxxxxx x xxxxxxxxx a xxxxxxxxxxx xxxxx,
x) xxxxxxxx xxxxxx xxxxxxxxxxx informací xxxx systému xxxxxx xxxxxxx xxxxx založená xx přístupu x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx, která xxxxxxx xxxxxx xxxxxxxx, xxxxxxxx, provozování, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx informací x xxx,
x) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx a komunikačního xxxxxxx x xxxxxxx, xx xxxxxxx jsou xxxx systémy xxxxxxxx, xxxxxxx xxxxxxx xxxx xxx dopad xx xxxxxxxxxx x komunikační xxxxxx,
x) xxxxxxxxxx fyzická xxxx xxxxxxxxx osoba xxxxx xxxxx xxxxxxx xxxx, xxxxx využívají xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx xxxx, xxxxx xxxx xxxxxxxx xxxxx, xxxx xxxxxxxxxx xxxxx povinné xxxxx,
x) xxxxxxxxx dodavatelem xxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxxxxxxxxx") x xxxxx, xxx x xxxxxxxx xxxxxx xxxxxxxx xx xxxxxxxx vztahu, xxxxx xx významný x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxx xxxxx, která xx xxxx xxxx mít xxxx xx xxxxxxxxxxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxxx xxxxxx,
x) zranitelností xxxxx místo aktiva xxxx xxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxx, které xxxx xxx zneužito xxxxxx nebo více xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX OPATŘENÍ
§3
Systém xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx x rámci systému xxxxxx xxxxxxxxxxx informací
a) xxxxxxx x xxxxxxx xx xxxxxxxxx dotčených xxxxx x organizační xxxxxxxxxx rozsah xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xx xxxxxx xxxx xxxxxxxxxxx části a xxxxxx, xxxxx se xxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx,
x) stanoví xxxx xxxxxxx řízení xxxxxxxxxxx informací,
c) xxx xxxxxxxxx xxxxxx systému xxxxxx bezpečnosti informací xx základě xxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, bezpečnostních xxxxxx x xxxxxxxxx rizik xxxxxx přiměřená xxxxxxxxxxxx xxxxxxxx,
x) řídí xxxxxx xxxxx §5,
e) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx x oblasti xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, která xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx xx xxxxxx x řízení xxxxxxxxxxx informací, a xx xxxxxxx bezpečnostních xxxxxx a výsledků xxxxxxxxx rizik xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx oblastech xxxxx §30 a zavede xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx provedení auditu xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx a komunikačního xxxxxxx (dále xxx "xxxxx xxxxxxxxxxxx xxxxxxxxxxx") xxxxx §16,
g) zajistí xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx obsahuje xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx x následně xxxxx §11 řídí xxxxxxxx xxxxx, které xxxxx xx xxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxx bezpečnosti xxxxxxxxx x příslušnou xxxxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxx kybernetické bezpečnosti, xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx s xxxxxxxxxxx xxxxxxxxxx xxxxxxx x
x) xxxx xxxxxx x xxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxxxxxx xxxxxxxx xxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx.
§4
Xxxxxx xxxxx
(1) Povinná xxxxx x xxxxx xxxxxx xxxxx
x) stanoví xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) stanoví metodiku xxx xxxxxxxxx aktiv xxxxxxx v xxxxxxx xxxxxxxx x příloze č. 1 x této xxxxxxxx,
x) xxxxxxxxxxxx x eviduje xxxxxx,
x) xxxx x xxxxxxx garanty aktiv,
e) xxxxxxx a xxxxxxx xxxxxxxx xxxxxx x xxxxxxxx důvěrnosti, xxxxxxxxx x dostupnosti a xxxxxx xx do xxxxxxxxxxxx xxxxxx xxxxx xxxxxxx x),
x) určí x xxxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxx závislostí xxxx primárními x xxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxxx aktiva x xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxx x),
x) na xxxxxxx xxxxxxxxx xxxxx xxxxxxxxx x xxxxxx xxxxxxxx xxxxxxx xxxxx xxx xxxxxxxxxxx jednotlivých xxxxxx xxxxx,
x) stanoví xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx a pravidla xxx manipulaci x xxxxxx s ohledem xx úroveň xxxxx, xxxxxx pravidel xxx xxxxxxxx elektronické xxxxxxx x xxxxxxx přenášení xxxxx, x
x) xxxx xxxxxx xxxxxxxxx dat, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx kopií xxxx likvidaci technických xxxxxx xxx x xxxxxxx xx xxxxxx xxxxx x xxxxxxx x přílohou č. 4 x xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx důležitosti xxxxxxxxxx xxxxx xx třeba xxxxxxxx xxxxxxx
x) xxxxxx x důležitost xxxxxxxx xxxxx, zvláštních xxxxxxxxx xxxxxxxx xxxxx nebo xxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx vnitřních xxxxxxxx a kontrolních xxxxxxxx,
x) xxxxxxxxx veřejných, xxxxxxxxxx nebo xxxxxxxxxxxx xxxxx x xxxxx xxxxxxxx ztráty,
e) dopady xx poskytování xxxxxxxxxx xxxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx,
x) xxxxxx xx zachování xxxxxxx xxxxx xxxx xxxxxxx xxxxx pověsti,
h) dopady xx xxxxxxxxxx x xxxxxx xxxx,
x) xxxxxx xx xxxxxxxxxxx vztahy x
x) dopady xx xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
§5
Xxxxxx xxxxx
(1) Povinná xxxxx x xxxxx xxxxxx rizik x xxxxxxxxxx na §4
a) xxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx, xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxxxxx xxxxx,
x) s xxxxxxx xx xxxxxx xxxxxxxxxxxx relevantní xxxxxx x xxxxxxxxxxxxx; xxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxxxxxx v příloze č. 3 x této xxxxxxxx,
x) xxxxxxx xxxxxxxxx rizik x xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 x xxx významných xxxxxxx,
x) při hodnocení xxxxx xxxxxxxx xxxxxxxxxx xxxxxx x zranitelnosti x xxxxxxx xxxxx xxxxxx xx xxxxxx; xxxx xxxxxx xxxxxxx xxxxxxx x rozsahu přílohy č. 2 x xxxx xxxxxxxx,
x) xxxxxxxx zprávu x hodnocení xxxxx,
x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x aplikovatelnosti, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx, která
1. xxxxxx xxxxxxxxxx, xxxxxx xxxxxxxxxx,
2. xxxx xxxxxxxxxx, xxxxxx xxxxxxx xxxxxx,
x) xxxxxxxx x zavede xxxx zvládání rizik, xxxxx xxxxxxxx cíle x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxxxxxxxxx rizik, určení xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x informační zdroje, xxxxxx xxxxxx xxxxxxxx, xxxxx xxxxx mezi xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) při hodnocení xxxxx x x xxxxx zvládání xxxxx xxxxxxxx
1. xxxxxxxx xxxxx,
2. xxxxx xxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx,
3. xxxxxxxx podle §11 xxxxxx x
4. xxxxxxxxxxxx xxxxxxxxxxxx incidenty, xxxxxx xxxxx xxxxxxxx, x
x) x xxxxxxx s xxxxxx xxxxxxxx rizik xxxxxx xxxxxxxxxxxx opatření.
(2) Xxxxxxx osoba uvedená x §3 xxxx. x), x) x x) xxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxx x xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx xxxxxxx xxxxxx xx xxx xxxx.
(3) Xxxxxx xxxxx xxxx xxx xxxxxxxxx x jinými xxxxxxx, xxx xxx je xxxxxxxxx x xxxxxxxx 1 písm. d), xxxxx xxxxxxx osoba xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxxx xxxxxx xxxxx.
§6
Organizační bezpečnost
(1) Povinná xxxxx s ohledem xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx
x) zajistí xxxxxxxxx bezpečnostní politiky x xxxx systému xxxxxx bezpečnosti xxxxxxxxx xxxxx §3 xxxxxxxxxxxx xx strategickým směřováním xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací xx xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx xxx xxxxxx xxxxxx xxxxxxxxxxx informací,
d) xxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací x xxxxxxx xxxxxxxx shody x xxxx xxxxxxxxx xx všemi xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxx x xxxxxxxx zamýšlených xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxxxxx k rozvíjení xxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxx xx xxx xxxxx rozvíjení,
g) prosazuje xxxxxxxx zlepšování xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx osoby xxxxxxxxxxx xxxxxxxxxxxx xxxx xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x oblastech xxxxxx xxxxxxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxxxxxxxxx x osob, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx role,
j) xxxxxxx, xxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx,
x) xxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx role xxxxxxx příslušné xxxxxxxxx x zdroje xxxxxx xxxxxxxxxxxx prostředků x xxxxxxxxxx xxxxxx rolí x plnění souvisejících xxxxx x
x) zajistí xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, obnovy a xxxxxxx spojených xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Povinná xxxxx x rámci systému xxxxxx bezpečnosti informací xxxx xxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx a xxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxx xx xxxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
(3) Xxxxxxx osoba xxxxxxx x §3 xxxx. x), x) a x) xxxxxx xxxx xxxxx, xxxxx bude xxxxxxxx xxxxxxxxxxxx roli
a) xxxxxxxx kybernetické bezpečnosti,
b) xxxxxxxxxx kybernetické xxxxxxxxxxx,
x) xxxxxxx aktiva a
d) xxxxxxxx kybernetické bezpečnosti.
(4) Xxxxxxx xxxxx uvedená x §3 xxxx. x) xxxxxx xxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxx. Xxxxxxx xxxxxxxxxxxx xxxx xxxxx xxxxxxxx 3 xxxx xxxxxxxxx xxxxxxxx x rozsahu x potřebám systému xxxxxx bezpečnosti informací.
(5) Xxxxxxx xxxxx xxxxxxx x §3 písm. x), x) x x) xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxx xxxxxxxxx x xxxxxxxx 3 xxxx. x) x x).
(6) Xxxxxxx xxxxx uvedená x §3 xxxx. x) xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxxxx bezpečnosti.
(7) Xxxxx xxx xxxxxx kybernetické xxxxxxxxxxx xx tvořen xxxxxxx x xxxxxxxxxxx xxxxxxxxxxx x odbornou xxxxxxxxxxxx xxx xxxxxxx xxxxxx a rozvoj xxxxxxx xxxxxx bezpečnosti xxxxxxxxx x xxxxxxx xxxxxxxx xx xxxxxxxxxxxx xx xxxxxx x xxxxxxxxxx xxxxxxxx spojených x kybernetickou bezpečností, xxxxx xxxxxx xxxx xxx alespoň xxxxx xxxxxxxx vrcholového xxxxxx xxxx xxx pověřená xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx. Povinná xxxxx u xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx přihlédne k xxxxxxxxxxx uvedeným x příloze č. 6 k xxxx xxxxxxxx.
§7
Bezpečnostní xxxx
(1) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx role odpovědná xx xxxxxx xxxxxx xxxxxxxxxxx informací, xxxxxxx xxxxxxx xxxx xxxx xxxx xxx xxxxxxxx xxxxx, která je xxx tuto xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx způsobilost praxí x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx nebo x xxxxxxx bezpečnosti xxxxxxxxx
1. xx xxxx nejméně xxx xxx, xxxx
2. xx xxxx xxxxxxx xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx xxxxxx xxxxx,
x) odpovídá xx xxxxxxxxxx xxxxxxxxxxx vrcholového xxxxxx o
1. xxxxxxxxxx xxxxxxxxxxxxx z rozsahu xxxx xxxxxxxxxxxx a
2. xxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací a
c) xxxxx být pověřen xxxxxxx rolí odpovědných xx provoz xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxxxx xxxxxxxxxxxx bezpečnosti xx bezpečnostní xxxx xxxxxxxxx za xxxxxxxxx xxxxxx implementace xxxxxxxxxxxxxx xxxxxxxx tak, xxx xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému, xxxxxxx xxxxxxx xxxx xxxx xxxx xxx pověřena xxxxx, xxxxx je xxx xxxx činnost xxxxxxxxx x prokáže xxxxxxxx xxxxxxxxxxx xxxxx x navrhováním xxxxxxxxxxxx xxxxxxxxxxxxxx opatření x xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxx nejméně xxx let, xxxx
x) xx xxxx xxxxxxx xxxx, pokud xxxxxxxxxxx xxxxxxx xx xxxxxx xxxxx.
(3) Xxxxxx xxxxxx xx xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxxxx xxxxxx.
(4) Auditor xxxxxxxxxxxx xxxxxxxxxxx
x) je xxxxxxxxxxxx role odpovědná xx xxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx, přičemž xxxxxxx této role xxxx xxx pověřena xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x prokáže xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx
1. xx xxxx nejméně tří xxx, nebo
2. po xxxx xxxxxxx xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx xxxxxx xxxxx,
x) xxxxxxxx, že xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx nestranné, x
x) xxxxx být xxxxxxx xxxxxxx jiných xxxxxxxxxxxxxx xxxx.
(5) Xxxxxxx xxxxx xxx určování osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxx k xxxxxxxxxxx xxxxxxxx x příloze č. 6 x xxxx xxxxxxxx.
§8
Řízení xxxxxxxxxx
(1) Povinná xxxxx
x) stanoví pravidla xxx dodavatele, xxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxx xxx xxxxxxxx dodavatele x xxxxxx evidenci xxxxx xxxxxxx x),
x) xxxxxxxxx xxx xxxxxxxxxx x xxxxxxxx podle písmene x) x xxxxxxxx xxxxxx xxxxxx xxxxxxxx,
x) xxxx rizika xxxxxxx x xxxxxxxxxx,
x) v xxxxxxxxxxx x řízením xxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxx, xxx xxxxxxx uzavírané x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx x příloze č. 7 x xxxx xxxxxxxx, x
x) xxxxxxxxxx přezkoumává xxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx x významných xxxxxxxxxx dále
a) v xxxxx xxxxxxxxxx xxxxxx x xxxx uzavřením xxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx přiměřeně xxxxx přílohy č. 2 k této xxxxxxxx,
x) x xxxxx xxxxxxxxxxx xxxxxxxxx vztahů xxxxxxx způsoby a xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx za zavedení x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxx rizik a xxxxxxxxxxx kontrolu xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx u xxxxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxx xxxx xxxxxx třetí xxxxxx x
x) v reakci xx xxxxxx x xxxxxxxx nedostatky zajistí xxxxxx xxxxxx.
(3) Náležitosti xxxxxxxxxxxxxx informování podle xxxxxxxx 1 xxxx. x) jsou
a) identifikace xxxxxxx xxxx xxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) identifikace xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxxx, že xxxxxxxxx xx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxx, x popřípadě xxxx x xxx, xx xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx, a
e) xxxxx pravidel xxxxx xxxxxxxx 1 xxxx. x).
(4) Xxxxxxx osoba xxxxxxx v §3 xxxx. x) až x) zákona, xxxxx xx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 xxxx. c), xxxxx xxxxxxxxx údaje formou xxxxxxxx x §34.
§9
Xxxxxxxxxx xxxxxxxx zdrojů
(1) Xxxxxxx osoba v xxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
x) x xxxxxxx xx xxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx plán xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxx xx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx bezpečnostního xxxxxxxx x xxxxx xxxxxxxx xxxxx, xxxxx x xxxxxx
1. xxxxxxx uživatelů, xxxxxxxxxxxxxx, osob xxxxxxxxxxxxx xxxxxxxxxxxx role x xxxxxxxxxx x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx politice a
2. xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx uživatelů, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxx xxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx x xxxxx xxxxxxx,
x) x xxxxxxx s xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx zajistí poučení xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxx x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx politice xxxxxx vstupních x xxxxxxxxxxxx xxxxxxx,
x) pro xxxxx xxxxxxxxxxx bezpečnostní xxxx v xxxxxxx x plánem xxxxxxx xxxxxxxxxxxxxx povědomí zajistí xxxxxxxxxx xxxxxxx xxxxxxx, xxxxxxx xxxxxxx x xxxxxxxxxx xxxxxx xxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx bezpečnosti,
e) v xxxxxxx s xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx v xxxxxxx x xxxxxx xxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx ze strany xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) x případě xxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxxx x xxxxxxx zastávajícími xxxxxxxxxxxx xxxx zajistí xxxxxxx xxxxxxxxxxxx,
x) hodnotí účinnost xxxxx xxxxxxx bezpečnostního xxxxxxxx, xxxxxxxxxxx školení x xxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx povědomí a
i) xxxx xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx ze xxxxxx uživatelů, administrátorů x xxxx zastávajících xxxxxxxxxxxx xxxx.
(2) Xxxxxxx xxxxx xxxx x xxxxxxx xxxxx odstavce 1 přehledy, xxxxx xxxxxxxx xxxxxxx školení x xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
§10
Řízení xxxxxxx x xxxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx řízení xxxxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx a xxxxxxx, které obsahují xxxxxxx
x) xxxxx x xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx,
x) xxxxxxx xxx spuštění a xxxxxxxx xxxxx systému, xxx restart xxxx xxxxxxxx xxxxx systému xx xxxxxxx a xxx xxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxx xxx xxxxxxx xxxxxxxx x xxxxxxxx o xxxxxx xxxxxxxxxx,
x) pravidla x xxxxxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxx,
x) xxxxxx technických xxxxxxxxxxxxx,
x) xxxxxxx xx xxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxx výkonem xxxxxxxxx a xxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxxx, xxxxxxxxx x xxxxxx kapacity lidských x xxxxxxxxxxx xxxxxx,
x) xxxxxxxx x xxxxxxx xxx ochranu xxxxxxxxx x xxx v xxxxxxx xxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxx a xxxxxxx xxx instalaci xxxxxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx použitelnosti xxxxxxxxxxx xxxxx x
x) pravidla x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx síťových xxxxxx.
(2) Xxxxxxx xxxxx x xxxxx řízení xxxxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx podle xxxxxxxx 1 x xxxx xxxxxxxx x xxxxxxx aktualizuje x xxxxxxxxxxx x prováděnými xxxx xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx xxxxx xxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxx prostředí.
§11
Xxxxxx změn
(1) Xxxxxxx xxxxx v rámci xxxxxx xxxx x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx
x) xxxxxxxxxxx možné xxxxxx xxxx a
b) xxxxxx významné xxxxx.
(2) Xxxxxxx xxxxx u xxxxxxxxxx změn
a) xxxxxxxxxxx xxxxxx xxxxxx,
x) provádí xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxx xx xxxxxx xxxxxxx xxxxx nepříznivých xxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx dokumentaci,
e) xxxxxxx xxxxxx testování a
f) xxxxxxx xxxxxxx navrácení xx xxxxxxxxx stavu.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) a x) xxxxxx na xxxxxxx xxxxxxxx analýzy xxxxx podle xxxxxxxx 2 xxxx. x) xxxxxxxxx o xxxxxxxxx xxxxxxxxxxxx testování xxxx xxxxxxxxx zranitelností; xxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxx §25 xxxx. 1 a xxxxxxx xx xxxxxxxx xxxxxxxxxx.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) zákona se xxxx požadavky podle xxxxxxxx 3 xxxxxxxxx.
§12
Řízení xxxxxxxx
(1) Xxxxxxx xxxxx xx xxxxxxx xxxxxxxxxx x bezpečnostních xxxxxx xxxx přístup x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x xxxxxxx opatření, která xxxxxx k zajištění xxxxxxx údajů, xxxxx xxxx xxxxxxxxx pro xxxxxxxxxx xxxxx §19 x 20, a xxxxx xxxxx xx xxxxxxxx xxxxxx údajů xxxxxxxxxxxx osobou.
(2) Povinná xxxxx xxxx x xxxxx xxxxxx přístupu x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxxx na základě xxxxxx x rolí,
b) xxxxxxx každému xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxx a oprávnění x xxxxxxxxx xxxxxxxxxxxxx,
x) xxxx xxxxxxxxxxxxxx, xxxxxxxxxx xxxxx x xxxxxxxxx xxxxxxxx x technických xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxx zařízení x xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
e) xxxxxx xxxxxxxxxxxx opatření potřebná xxx bezpečné xxxxxxxxx xxxxxxxxx zařízení x xxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxxxx x bezpečnostní xxxxxxxx spojená x xxxxxxxx xxxxxxxxxxx zařízení, xxxxx xxxxxxx osoba xxxx xx xxx xxxxxx,
x) xxxxx přidělování xxxxxxxxxxxxxxx oprávnění na xxxxxx xxxxxxxx xxxxxx x výkonu xxxxxx xxxxx,
x) xxxxx a xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx s xxxxxxxxx řízení xxxxxxxx,
x) xxxxxxx pravidelné přezkoumání xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xx přístupových xxxxxx x xxxx,
x) využívá xxxxxxx pro správu x xxxxxxxxx identity xxxxx §19 x xxxxxxx pro řízení xxxxxxxxxxxx oprávnění podle §20,
x) xxxxxxxxx, aby xxxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx,
x) xxxxxxx odebrání xxxx xxxxx přístupových xxxxxxxxx xxx změně xxxxxx xxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx oprávnění xxx xxxxxxxx xxxx xxxxx smluvního xxxxxx x
x) xxxxxxxxxxx xxxxxxxxxxx x odebírání přístupových xxxxxxxxx.
§13
Xxxxxxxx, xxxxx a xxxxxx
Xxxxxxx osoba v xxxxxxxxxxx s xxxxxxxxxx xxxxxxxx, xxxxxxx a xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému
a) xxxx xxxxxx xxxxx §5,
x) xxxx xxxxxxxx změny xxxxx §11,
x) stanoví xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxxx požadavky do xxxxxxxx xxxxxxxx, vývoje x údržby,
e) zajistí xxxxxxxxxx vývojového x xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx používaných xxxxxxxxxxx xxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxx před xxxxxx xxxxxxxxx xx xxxxxxx x
x) plní xxxxxxxxx xxxxx §19 odst. 3, je-li xxxxx xxxxxxxxx akvizice xxxx xxxxxx nástroj xxx xxxxxx x ověřování xxxxxxxx.
§14
Xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxx x vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x zvládání kybernetických xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx x xxxxxxx xxxxxxx pro
1. xxxxxxx x xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí a xxxxxxxxx x
2. koordinaci x zvládání kybernetických xxxxxxxxxxxxxx incidentů,
c) xxxxxxxx x xxxxxxxx xxxxxxx xxx identifikaci, xxxx, xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx,
x) xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xx xxxx řídí §22 x 23,
x) xxxxxxx, xx xxxxxxxxx, xxxxxxxxxxxxxx, osoby xxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxx xxxxxxxxxxx x dodavatelé xxxxx xxxxxxxxx xxxxxxxxx xxxxxxx informačního a xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx xx jakékoliv xxxxxxxxxxxxx,
x) xxxxxxx posuzování xxxxxxxxxxxxxx bezpečnostních událostí, xxx kterém xxxx xxx xxxxxxxxxx, zda xxxx být xxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §31,
x) xxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxx,
x) přijímá xxxxxxxx xxx odvrácení x xxxxxxxx dopadu xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu,
j) xxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx podle §32,
k) xxxx xxxxxxx x xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx x x xxxxxx xxxxxxxx,
x) xxxxxxxx a xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu x na xxxxxxx xxxxxxxxxxx stanoví xxxxx xxxxxxxxxxxx xxxxxxxx, popřípadě xxxxxxxxxxx stávající bezpečnostní xxxxxxxx x xxxxxxxx xxxxxxxxx řešeného xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Povinná xxxxx xxxxxxx v §3 písm. x), x) x x) xxxxxx dále xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx používá xxxxxxx xxxxx §24.
§15
Řízení xxxxxxxxxx činností
Povinná xxxxx x rámci xxxxxx kontinuity xxxxxxxx
x) xxxxxxx práva x xxxxxxxxxx xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx,
x) xxxxxx hodnocení xxxxx x xxxxxxx xxxxxx xxxxxxxxx a xxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostních incidentů x posoudí xxxxx xxxxxx související x xxxxxxxxx xxxxxxxxxx xxxxxxxx,
x) xx xxxxxxx výstupů xxxxxxxxx rizik a xxxxxxx xxxxxx podle xxxxxxx x) stanoví xxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx xxx xxxxxxx, xxxxxx a xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. xxxx xxxxxxxx xxxxx, xxxxx které xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, x
3. xxxx obnovení xxx xxxx časové xxxxxx, xx xxxxx xxxx xxx xxxxxx xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu xxxx xx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxx kontinuity xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx x),
x) vypracuje, xxxxxxxxxxx x pravidelně xxxxxxx plány kontinuity xxxxxxxx x havarijní xxxxx xxxxxxxxxxx x xxxxxxxxxxxx informačního a xxxxxxxxxxxxx xxxxxxx x xxxxxxxxxxxxx služeb x
x) xxxxxxxxx opatření pro xxxxxxx odolnosti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxxxxxx x vychází xxx xxx z xxxxxxxxx xxxxx §27.
§16
Audit xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) provádí x xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxxxx politiky, včetně xxxxxxxxxxx technické shody, x výsledky xxxxxx xxxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx povědomí x xxxxx zvládání xxxxx x
x) xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx x nejlepší praxí, xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx, jinými předpisy x xxxxxxxxx xxxxxxx xxxxxxxxxxxx se x xxxxxxxxxxxx x komunikačnímu xxxxxxx x xxxx xxxxxxxx xxxxxxxx xxxxxxxx xxx zajištění xxxxxxx.
(2) Xxxxx xxxxx odstavce 1 xx xxxxxxxx
x) xxx významných změnách, x rámci xxxxxx xxxxxxx,
x) x pravidelných xxxxxxxxxxx xxxxxxx xx 3 xxxxxx x xxxxxxx xxxxxxx xxxxx xxxxxxx x §3 xxxx. e) zákona x
x) x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xx 2 xxxxxx x xxxxxxx povinné xxxxx xxxxxxxxx v písmenu x).
(3) Xxxx-xx x xxxxxxxxxxxx případech xxxxx xxxxxxx xxxxx x xxxxxxxxxxx podle xxxxxxxx 2 xxxx. x) x c) x xxxxx rozsahu, je xxxxx audit xxxxxxxx xxxxxxxx xx xxxxxxxxxxxxxx xxxxxxx. X xxxxxxx xxxxxxx xx nutno xxxxx x celém xxxxxxx xxxxxxx xxxxxxxxxx xx 5 xxx.
(4) Xxxxx xxxxxxxxxxxx bezpečnosti xxxx xxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx x §7 xxxx. 4, xxxxx xxxxxxxxx xxxxxxx xxxxxxxxx x účinnost zavedených xxxxxxxxxxxxxx xxxxxxxx.
(5) Xxxxxxx xxxxx, xxxxx xx xxxxxxxx provozovatelem, předkládá xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx.
XXXXX II
TECHNICKÁ OPATŘENÍ
§17
Fyzická xxxxxxxxxx
Xxxxxxx xxxxx x xxxxx fyzické bezpečnosti
a) xxxxxxxxx poškození, krádeži xxxx xxxxxxxx aktiv xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxxx perimetr xxxxxxxxxxxx xxxxxx, xx xxxxx jsou xxxxxxxxxx x xxxxxxxxxxxx informace x xxxxxxxx technická xxxxxx informačního a xxxxxxxxxxxxx systému, x
x) x fyzického xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx podle xxxxxxx x) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxx prostředky fyzické xxxxxxxxxxx
1. k xxxxxxxx xxxxxxxxxxxxx vstupu,
2. k xxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx a
3. xxx xxxxxxxxx ochrany xx úrovni objektů x x xxxxx xxxxxxx.
§18
Xxxxxxxxxx komunikačních xxxx
Xxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxx x xxxxxxx xxxxx §3 xxxx. x)
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx sítě,
b) xxxxxxx xxxxxx komunikace x xxxxx komunikační sítě x perimetru xxxxxxxxxxx xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxx a xxxxxxxxx xxx xxx xxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxx xxxx xxx xxxxxxxx xx xxxxxxxxxxx xxxx xxxxxx bezdrátových xxxxxxxxxxx,
x) xxxxxxx blokuje xxxxxxxxx xxxxxxxxxx x
x) xxx xxxxxxxxx xxxxxxxxxx xxxx x pro xxxxxx xxxxxxxxxx xxxx xxxxxx segmenty využívá xxxxxxx, xxxxx zajistí xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
§19
Správa x xxxxxxxxx xxxxxxx
(1) Xxxxxxx xxxxx xxxxxxx nástroj xxx xxxxxx a ověření xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxxxx x komunikačního systému.
(2) Xxxxxxx xxx správu x xxxxxxx identity xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx xxxxxxxxx
x) xxxxxxx xxxxxxxx před zahájením xxxxxxx x informačním x xxxxxxxxxxxx systému,
b) xxxxxx xxxxx xxxxxxx xxxxxxxxxxx pokusů x xxxxxxxxxx,
x) odolnost xxxxxxxxx xxxx přenášených autentizačních xxxxx xxxxx xxxxxxxxxxxxx xxxxxxxx x xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxxx údajů xx xxxxx odolné xxxxx xxxxxxx útokům,
e) xxxxxxxx ověření xxxxxxxx xx xxxxxx xxxx xxxxxxxxxx,
x) dodržení xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxx xxxxxx xxxxxxxx a
g) xxxxxxxxxxxxxxx xxxxxx identit.
(3) Xxxxxxx osoba xxx xxxxxxx identity xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx není xxxxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxxxx účtu a xxxxx, nýbrž xx xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx dvěma xxxxxxx xxxx xxxxxxx.
(4) Do xxxx splnění xxxxxxxxx xxxxx xxxxxxxx 3 xxxx xxxxxxx pro xxxxxxx identity xxxxxxxxx, xxxxxxxxxxxxxx x aplikací, xxxxxxxx autentizaci pomocí xxxxxxxxxxxxxxxx xxxxx a xxxxxxx obdobnou úroveň xxxxxxxxxxx.
(5) Do doby xxxxxxx požadavků podle xxxxxxxx 3 xxxx 4 xxxx xxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx, který xxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxx x xxxxx, xxxxxxxxx xxxxxxxx
x) xxxxx xxxxx xxxxxxx
1. 12 xxxxx x xxxxxxxxx x
2. 17 xxxxx x xxxxxxxxxxxxxx a xxxxxxxx,
x) xxxxxxxxxx xxxxx xxxxx x xxxxx xxxxxxx 64 xxxxx,
x) xxxxxxxxxxx xxxxxxx xxxxxx x xxxxxxx xxxxxx, xxxxxx x xxxxxxxxxxx xxxxx,
x) umožňující uživatelům xxxxx hesla, xxxxxxx xxxxxx xxxx xxxxx xxxxxxx hesla nesmí xxx xxxxxx než 30 minut,
e) xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxxxxxxxxx
1. xxxxxx xx xxxxxxxxxx xxxxxxxxx xxxxx,
2. tvořit xxxxx na xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx se xxxxx, xxxxxxxxxxxxxx xxxxx, x-xxxxx, názvu xxxxxxx xxxx xxxxxxxx způsobem x
3. xxxxxxxx xxxxxxx xxxxx xxxxxxxxxxx xxxxx x pamětí alespoň 12 předchozích xxxxx x
x) pro xxxxxxxx xxxxx hesla x xxxxxxxxx xxxxxxxxx xx 18 xxxxxxxx, přičemž xxxx pravidlo xx xxxxxxxxxx xx účty xxxxxxxx x obnově xxxxxxx x případě xxxxxxx.
(6) Xxxxxxx xxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxxx pouze xxxxx x heslem xxxx
x) xxxxxx bezodkladnou xxxxx xxxxxxxxx hesla po xxxx xxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx x xxxxxxxx xxxxxxxx xx jeho xxxxxx xxxxxxx nebo xxxxxxxxx xxxxxxx 60 xxxxx xx xxxx xxxxxxxxx a
c) povinně xxxxxx pravidla xxxxxx xxxxxxxxxx xxxxx xx xxxxx rozvoje bezpečnostního xxxxxxxx podle §9.
§20
Xxxxxx xxxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx používá xxxxxxxxxxxxxx xxxxxxx xxx řízení xxxxxxxxxxxx oprávnění, xxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) xxx xxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) xxx xxxxx xxx, xxxxx dat x změnu xxxxxxxxx.
§21
Xxxxxxx xxxx xxxxxxxxx xxxxx
(1) Povinná xxxxx xxxxxxx x §3 xxxx. c), x) x x) zákona x rámci xxxxxxx xxxx xxxxxxxxx xxxxx
x) x xxxxxxx xx xxxxxxxxxx xxxxx zajišťuje xxxxxxx xxxxxxxx pro xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx
1. xxxxxxxxx xxxxxx,
2. xxxxxxxxx xxxxxxxx,
3. xxxxxxx,
4. xxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx nosičů,
5. xxxxxxxxxxx xxxx x xxxxx xxxxxxxxxxx xxxx x
6. xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x xxxx xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,
x) řídí xxxxxxxxxxx spouštění xxxxxx xxxxxxxxx xxxxxxxx a xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxx xx spouštění xxxx x
x) xxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx před škodlivým xxxxx.
(2) Povinná osoba xxxxxxx v §3 xxxx. x) xxxxxx xxxxxxxxx podle xxxxxxxx 1 přiměřeně.
§22
Zaznamenávání xxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx, xxxx xxxxxxxxx x xxxxxxxxxxxxxx
(1) Povinná xxxxx
x) xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxx provozní xxxxxxxx xxxxxxxxxx aktiv xxxxxxxxxxxx x xxxxxxxxxxxxx systému x
x) xx xxxxxxx xxxxxxxxx důležitosti xxxxx xxxxxxxxxxx rozsah xxxxx, x xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx událostí xxxxxxxxx.
(2) Xxxxxxx xxxxx xxx xxxxxxxxxxxxx bezpečnostních x xxxxxxxxxx událostí xxxxx xxxxxxxx 1 zajišťuje
a) xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx, xx-xx x xxxxxxxxxxx síti xxxxxx nástroj, xxxxx xxxx xxxx síťovou xxxxxxxxxxxx,
x) xxxx xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx; zejména xxxxxxxxxxx
1. xxxxx a xxx xxxxxx specifikace xxxxxxxx xxxxx,
2. xxx xxxxxxxx,
3. identifikaci xxxxxxxxxxx xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx,
4. jednoznačnou xxxxxxxxxxxx xxxx, pod xxxxxx xxxx xxxxxxx provedena,
5. xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx x
6. xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx,
x) ochranu xxxxxxxxx xxxxxxxxx podle xxxxxx x) x x) xxxx neoprávněným xxxxxx x xxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx
1. xxxxxxxxxxxx x xxxxxxxxxxx xx všem xxxxx, a xx xxxxxx neúspěšných pokusů,
2. xxxxxxxx provedených xxxxxxxxxxxxxx,
3. xxxxxxx i neúspěšné xxxxxxxxxx x účty, xxxxxxxxxxx x xxxxx,
4. xxxxxxxxxxx činností x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxx,
5. xxxxxxxx xxxxxxxxx, xxxxx xxxxx xxx vliv xx xxxxxxxxxx informačního x xxxxxxxxxxxxx systému,
6. xxxxxxxx x xxxxxxxx xxxxxxxx technických aktiv,
7. xxxxxxxxxx x chybových xxxxxxx xxxxxxxxxxx aktiv x
8. xxxxxxxx x xxxxxxxx x událostech, xxxxxx x xxxxxxxxxx xx xxxxxxx o xxxxxxxxxx x změny xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx událostí x
x) xxxxxxxxxxxxx jednotného xxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxxx xx 24 xxxxx.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx xx xxxx 18 xxxxxx.
(4) Xxxxxxx xxxxx xxxxxxx x §3 písm. x) zákona xxxxxxxx xxxxxxx událostí zaznamenaných xxxxx odstavce 2 xxxxxxx po xxxx 12 měsíců.
§23
Xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Povinná xxxxx x xxxxx xxxxxxxxxxx xxxx, xxxxx xxxxxxxx xx informační x xxxxxxxxxxx systém, xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí, xxxxx xxxxxxx
x) xxxxxxx x xxxxxxxx xxxxxxxxxxx xxx x rámci xxxxxxxxxxx xxxx a xxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx x xxxxxxxx xxxxxxxxxxx xxx xx xxxxxxxxx komunikační xxxx x
x) xxxxxxxxx xxxxxxxxx xxxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. c), d) x f) zákona xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xxxxxxxxx x xxxxxxx na xxxxxxxxxx xxxxx x xxxxx
x) xxxxxxxxx xxxxxx,
x) xxxxxxxxx xxxxxxxx,
x) xxxxxxx,
x) xxxxxxxx úložišť a xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxx x
x) xxxxxxxxx xxxxx.
§24
Xxxx a xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
Xxxxxxx xxxxx uvedená x §3 xxxx. c), x) x x) xxxxxx používá xxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx
x) xxxx a xxxxxxxxxxxxx xxxxxxxx zaznamenaných xxxxx §22 x 23,
x) xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx pro xxxxxx xxxxxxxxxxxx role x detekovaných xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxx identifikace xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx varování xxxxxxxx bezpečnostních xxxx,
x) xxxxxxx případů xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx pravidelnou xxxxxxxxxxx xxxxxxxxx pravidel xxx
1. vyhodnocování kybernetických xxxxxxxxxxxxxx xxxxxxxx a
2. xxxxxx xxxxxxxx x
x) xxxxxxxxx xxxxxxxxx získaných xxxxxxxxx pro xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému.
§25
Xxxxxxxxx xxxxxxxxxx
(1) Xxxxxxx xxxxx provádí penetrační xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx se xxxxxxxxx na důležitá xxxxxx, x xx
x) xxxx xxxxxx uvedením xx provozu a
b) x xxxxxxxxxxx x xxxxxxxxx změnou xxxxx §11 odst. 3.
(2) Xxxxxxx osoba dále x xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxxx, xxxxxxxxx x xxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxx a
b) xxxxxxxx xxxxxxxxxxx xxxxxxxx.
§26
Kryptografické prostředky
Povinná xxxxx xxx ochranu xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx algoritmy x xxxxxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxx xxxxxx xxxxx x certifikátů, xxxxx
1. xxxxxxx xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, xxxxx, xxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxx x
2. xxxxxx xxxxxxxx x xxxxx,
x) xxxxxxxxx xxxxxxxx nakládání x xxxxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxxxx xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx Úřadem, xxxxxxxxxx na xxxx xxxxxxxxxxxxx stránkách.
§27
Xxxxxxxxxxx xxxxxx dostupnosti xxxxxxxxx
Xxxxxxx xxxxx zavede xxxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx, kterými xxxxxxx
x) dostupnost xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxx xxxxxxx xxxx xxxxx §15,
b) odolnost xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx vůči xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx xxxxx xxxxxx xxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxx technických xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxx xxxxx xxxxxxxxxx pro xxxxxxxxx xxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx.
§28
Průmyslové, xxxxxx x xxxxxxx specifické xxxxxxx
Xxxxxxx xxxxx xxx xxxxxxxxx xxxxxxxxxxxx bezpečnosti xxxxxxxxxxxx, xxxxxxxx a xxxxxxxxx xxxxxxxxxxxx xxxxxxx používá xxxxxxxx a xxxxxxxx, xxxxx zajistí
a) použití xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx, které xxxx xxxxxx xx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxx x zařízením xxxxxx xxxxxxx a xx xxxxxxxxxxx xxxx,
x) xxxxxxxxx xxxxxxxxxxx sítě xxxxxx xxx xxxx xxxxxxx xx xxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxx x xxxxxx xxxxxxxxxx přístupu x xxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx technických xxxxx xxxxxx xxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx xxxxxx systémů xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
§29
Xxxxxxxxx služby
(1) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx zavede xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxx Komise (XX) 2018/151 xx xxx 30. xxxxx 2018, xxxxxx xx xxxxxxx xxxxxxxx pro xxxxxxxxxxx xxxxxxxx Evropského xxxxxxxxxx x Xxxx (EU) 2016/1148, xxxxx xxx x bližší upřesnění xxxxx, xxxxx xxxx xxxxxxxxxxxxx digitálních služeb xxxxxxxxxxx při xxxxxx xxxxxxxxxxxxxx xxxxx, jimiž xxxx vystaveny sítě x xxxxxxxxxx xxxxxxx, x xxxxxxxxx xxx xxxxxxxxxx toho, zda xx dopad incidentu xxxxxxxx; ustanovení §3 xx 28 xx xx xxxx xxxxxxxx xxxxx nepoužijí.
(2) Povinná xxxxx uvedená x §3 xxxx. x) xxxxxx xxxxx xxxxxxxxx xxxxx xxxxx §34 xxxx. 2.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §32 xxxx. 2 x 3.
XXXXX III
BEZPEČNOSTNÍ XXXXXXXX X XXXXXXXXXXXX DOKUMENTACE
§30
Bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxx bezpečnostní politiku x xxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx v příloze č. 5,
x) xxxxxxxxxx přezkoumává bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxxx, xxx xxxx xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx xxxx být
a) xxxxxxxx v xxxxxxxx xxxx xxxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx x xxxxx xxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxx,
x) xxxxxx,
x) xxxxxxxx x xxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti a
f) xxxxxx xxx, xxx xxxxxxxxx x xxxx xxxxxxxx xxxx úplné, xxxxxxx, snadno xxxxxxxxxxxxxxxxx x xxxxxx vyhledatelné.
ČÁST XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§31
Xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Jednotlivé xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxx podle xxxxxxxxxxx xxx xxxxxxxxxx
x) xxxxxx xxxxxxxxxx v xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, podle xxxxxxx xxxx povinné xxxxx xxxxxx,
x) xxxxx xxxxxxxxx xxxxxxxxx,
x) způsobené xxxx xxxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxxxxx aktiv xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx informačního x xxxxxxxxxxxxx systému,
f) xxxxxx xx xxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxx xxxxxx incidentu,
h) xxxxxxxxxxx xxxxxxx dotčené xxxxxxx x
x) xxxxxxx xxxxxx.
(2) Pro potřeby xxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xx xxxxxxx xxxxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - velmi xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx xxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx neprodlené xxxxxx xxxxxxx s tím, xx xxxx xxx xxxxx dostupnými xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxx,
x) Xxxxxxxxx XX - xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, při xxxxxx xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx xxxxxxxxxx zásahy xxxxxxx s tím, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx šíření kybernetického xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx, xxxx
x) Xxxxxxxxx X - xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxx x méně významnému xxxxxxxx bezpečnosti xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx xxx xxxxxxxx prostředky xxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
(3) Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle xxxxxx jsou
a) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx aktiv,
b) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx narušení integrity xxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx způsobující narušení xxxxxxxxxxx xxxxx, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx x písmenech x) xx c).
(4) Xxxx xxxxxxxxxx xx xxxxxxxxxx na xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx.
§32
Forma x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxxxxxxxxxxx bezpečnostní xxxxxxxx xx Xxxxx xxxxx xx elektronickém xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx stránkách Úřadu xxxxxxxx
x) na xxxxxx xxxxxxxxxxxx pošty Xxxxx xxxxxxx pro xxxxxx xxxxxxx kybernetických bezpečnostních xxxxxxxxx, xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx xxxxxx xxxxxxxx Xxxxx, nebo
c) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, pokud xx xxxxxxxxx, xxxxx xxxxx je xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx se provozovateli xxxxxxxxx XXXX xxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx provozovatele xxxxxxxxx XXXX xxxxxxxx
x) na xxxxxx elektronické xxxxx xxxxxxxxxxxxx xxxxxxxxx CERT xxxxxxx pro xxxxxx xxxxxxx kybernetických bezpečnostních xxxxxxxxx, xxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx
x) prostřednictvím xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu je xxxxx xxxxxx i x xxxxxxxx podobě, xxxxx pouze v xxxxxxxxx, kdy xxxxx xxxxxx žádný xx xxxxxxx uvedených x xxxxxxxxxx 1 x 2.
(4) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
c) xxxxx x xxx xxxxxxxx xxxxxxxxx a
d) xxxxx xxxxxxxxx.
ČÁST ČTVRTÁ
REAKTIVNÍ XXXXXXXX X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
(1) Xxxxxxx xxxxx, xxxxx Xxxx uložil xxxxxxx reaktivní opatření,
a) xxxxxxx očekávané xxxxxx xxxxxxxxxxx xxxxxxxx xx xxxxxxxxxx a komunikační xxxxxx a xx xxxxxxxx bezpečnostní xxxxxxxx x vyhodnotí xxxxx xxxxxxxxx účinky a
b) xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx tohoto xxxxxxxx, xxxxx xxxxxxxxxxxx xxxx xxxxx xxxxxxxxx xxxxxx, x xxxx xxxxxx xxxx jeho xxxxxxxxx.
(2) Xxxxxxx xxxxx, které Xxxx uložil provést xxxxxxxxx xxxxxxxx, xxxxxx xxxxxx provedení xxxxxxxxxxx xxxxxxxx a xxxx xxxxxxxx xx xxxxx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu.
§34
Xxxxxxxxx xxxxx
(1) Xxxxxxxxx xxxxx se Xxxxx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx stránkách Xxxxx xxxxxxxx
x) xx adresu xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx pro příjem xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx xxxxxx xxxxxxxx Xxxxx, xxxx
x) prostřednictvím xxxxxxxx xxxxxxxx, xxxxx xx xxxxxxxxx, xxxxx popis xx xxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxxxx xxxxx xx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx CERT xxxxxxxx
x) xx xxxxxx elektronické xxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxx xxx xxxxxx oznámení kontaktních xxxxx, xxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx datové schránky xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx provozovatele xxxxxxxxx XXXX.
(3) Xxxxxxx xxxxxxxxxxx xxxxx xx xxxxx xxxxxx i x xxxxxxxx xxxxxx, xxxxx xxxxx x případech, xxx xxxxx využít xxxxx ze způsobů xxxxxxxxx x odstavcích 1 x 2.
(4) Xxxx xxxxxxxx xxxxxxxxxxx xxxxx xx xxxxxx x příloze č. 8 k xxxx xxxxxxxx.
(5) Povinná xxxxx xxxxxxx x §3 xxxx. c) xx f) xxxxxx, xxxxx xx provozovatelem, xxxx x xxxxxxx xxxxxxxxxxx xxxxx xxxxx xxxxxxxx 1 přikládá xxxxxxxx, xxxxxx xx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §8 xxxx. 1 xxxx. x).
ČÁST XXXX
XXXXXXXXX USTANOVENÍ
§35
Přechodná xxxxxxxxxx
(1) V xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxx xxxx xxxxxx xxxxx xxxx xxxxxx účinnosti xxxx xxxxxxxx, a x xxxxxxx významných xxxxxxxxxxxx xxxxxxx, x xxxxxxx došlo x xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, xx xx xxxxxxx xxxx xxx xxx xxxxxx xxxxxxxxx této xxxxxxxx xxx xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxx x xxxxxx xxxxxxxxxx xxxxxxxxxxxxxx opatření xxxxxxx xxxxxxxxxx vyhlášky č. 316/2014 Sb., x bezpečnostních xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx opatřeních x x xxxxxxxxx náležitostí xxxxxx x oblasti xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x kybernetické xxxxxxxxxxx).
(2) X případě xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx xxxx xxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, a v xxxxxxx významných informačních xxxxxxx, x kterých xxxxx x naplnění xxxxxxxxxx kritérií xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, xx xx xxxxxxx xxxx xxx xxx nabytí xxxxxxxxx xxxx xxxxxxxx xxx xxxxxx likvidace xxx, provozních xxxxx, xxxxxxxxx x jejich xxxxx xxxx xxxxxxxx xxxxxxxxx.
§36
Xxxxxxxxx xxxxxxxxxx
Xxxxxxx xx xxxxxxxx č. 316/2014 Sb., o xxxxxxxxxxxxxx opatřeních, kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x x xxxxxxxxx náležitostí xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx).
§37
Účinnost
Tato xxxxxxxx xxxxxx xxxxxxxxx xxxx vyhlášení.
Ředitel:
Ing. Xxxxxxxx x. r.
Xxxxxxx x. 1 x xxxxxxxx x. 82/2018 Sb.
Hodnocení aktiv
(1) Xxx xxxxxxxxx důležitosti xxxxx jsou x xxxxx xxxxxxx použity xxxxxxxx x xxxxxxx xxxxxxxx x posuzuje xx, xxxx xxxxx xx xxxx xxxxxxxx xxxxxxxxxxx informací u xxxxxxxxxxxx xxxxx. Xxxxxxx xxxxx může používat xxxxxxx počet xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, než xxxx xx uveden v xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx x xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxx x xxxx xxxxxxx.
(2) Xx xxxxxxxxxx, xxx si xxxxx xxxxxxx xxxxx xxxx dopadové matice xxxxxxxxxxxx svým xxxxxxxx.
Xxx. 1: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx aktiva |
|
Nízká |
Aktiva xxxx veřejně xxxxxxxxx xxxx xxxx určena xx zveřejnění. Xxxxxxxx xxxxxxxxxx aktiv xxxxxxxxxx xxxxxxxxx zájmy xxxxxxx xxxxx. X případě xxxxxxx xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx xxx. xxxxxxx xxxxx xxxxxxxxx (dále xxx "XXX") je xxxxxxxxx xxxxxxxx XXX:XXXXX. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Střední |
Aktiva xxxxxx xxxxxxx xxxxxxxxx x xxxxx xxxx-xxx xxxxxxx xxxxx, xxxxxxx xxxxx xxxx vyžadována xxxxxx xxxxxxx předpisem xxxx xxxxxxxx ujednáním. V xxxxxxx xxxxxxx takového xxxxxx x xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx podle XXX xx xxxxxxxxx zejména xxxxxxxx XXX:XXXXX xxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx prostředky xxx řízení xxxxxxxx. |
|
Xxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx a xxxxxx xxxxxxx je xxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxx xxxxx). X xxxxxxx sdílení takového xxxxxx x xxxxxxx xxxxxxxx a použití xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx xxxxxxx xxxxxxxx TLP:AMBER. |
Pro xxxxxxx xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx, které zajistí xxxxxx a xxxxxxxxxxxxx xxxxxxxx. Přenosy xxxxxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxx nad rámec xxxxxxxxx xxxxxxxxx (například xxxxxxxxxxx obchodní xxxxxxxxx, xxxxxxxx kategorie osobních xxxxx). X případě xxxxxxx xxxxxxxx xxxxxx x xxxxxxx stranami x xxxxxxx xxxxxxxxxxx xxxxx XXX xx využíváno xxxxxxx označení XXX:XXX xxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx jsou využívány xxxxxxxxxx, xxxxx xxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxxxxx. Dále xxxxxx xxxxxxx xxxxxxxxxxx zneužití xxxxx xx xxxxxx xxxxxxxxxxxxxx. Xxxxxxx informací xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxx. 2: Xxxxxxxx pro xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx požadavků xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx ochranu x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxxxx neohrožuje xxxxxxxxx zájmy xxxxxxx xxxxx. |
Xxxx xxxxxxxxxx žádná xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx vyžadovat xxxxxxx z hlediska xxxxxxxxx. Narušení xxxxxxxxx xxxxxx xxxx vést x poškození xxxxxxxxxxx xxxxx povinné osoby x xxxx xx xxxxxxxx xxxx xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxxx xxxxxxxx (xxxxxxxxx xxxxxxx xxxxxxxxxxxx práv xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx vyžaduje xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxx x poškození xxxxxxxxxxx zájmů xxxxxxx xxxxx s xxxxxxxxxxx xxxxxx xx primární xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx využívány xxxxxxxxx xxxxxxxxxx, xxxxx dovolují xxxxxxxx xxxxxxxx provedených xxxx x xxxxxxxxxx xxxxxxxx osoby xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx je zajištěna xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx vede x xxxxx xxxxxxx poškození xxxxxxxxxxx xxxxx xxxxxxx xxxxx x přímými x xxxxx xxxxxxx xxxxxx na primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx speciální xxxxxxxxxx jednoznačné identifikace xxxxx xxxxxxxxxxx xxxxx (xxxxxxxxx xxxxxx technologie xxxxxxxxxxx podpisu). |
Tab. 3: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx není xxxxxxxx x x xxxxxxx xxxxxxx je běžně xxxxxxxxxx delší xxxxxx xxxxxx pro nápravu (xxx xx 1 xxxxx). |
Xxx ochranu dostupnosti xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx překročit xxxx xxxxxxxxxx dne, xxxxxxxxxxxxx výpadek xxxx x možnému ohrožení xxxxxxxxxxx xxxxx xxxxxxx xxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx běžné xxxxxx xxxxxxxxxx a xxxxxx. |
|
Xxxxxx |
Xxxxxxxx dostupnosti xxxxxx xx xxxxxx xxxxxxxxx xxxx několika hodin. Xxxxxxxx výpadek xx xxxxx xxxxx neprodleně, xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx povinné osoby. Xxxxxx jsou xxxxxxxxxx xx xxxxx důležitá. |
Pro xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx poskytování xxxxxx xxxx být xxxxxxxxx xxxxxx xxxxxxx xxxx výměnou xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx a x xxxxxxxxxx nedostupnost (x xxxx několika xxxxx) xxxx k xxxxxxx ohrožení xxxxxxxxxxx xxxxx xxxxxxx osoby. Xxxxxx xxxx xxxxxxxxxx xx kritická. |
Pro xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx xxxxxxx a xxxxxx poskytování xxxxxx xx krátkodobá x xxxxxxxxxxxxxx. |
Xxxxxxx č. 2 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx rizik
(1) Xxxxxxxxxxx stanovení xxxxxx xxx určení rizika xx nezbytnou xxxxxxxx xxxxxxxx xxx hodnocení xxxxx podle §5.
(2) Xxxxxxx xxxxxx xx xxxxxxxxxx xxxxxxxxx jako xxxxxx, kterou ovlivňuje xxxxx, xxxxxx x xxxxxxxxxxxx.
(3) Xxx xxxxxxxxx xxxxx xxx xxxxxx xxxxxxxxx xxxx xxxxxx:
Xxxxxx = xxxxx x xxxxxx x xxxxxxxxxxxx.
(4) Xxxxx xx x xxxxx případě xxxxxxx x xxxxxxxxx aktiv xxxxx přílohy č. 1.
(5) V xxxxxxx, xx povinná xxxxx xxxxxxx xxxxxx xxx hodnocení rizik, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, xx xxxxx stupnice xxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxx xx xxxxxx vést xx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxx hrozby x xxxxxxxxxxxxx. Za tímto xxxxxx lze xxxxxx xxxxxxxxx xxxxxxxx, který xxxxxxxx xxxxxxx xxx xxxxxx hrozby, xxx x úroveň zranitelnosti. Xxxxxxx xx xxxxxxxxx x v případech, xxx povinná osoba xxxxxxx jiný počet xxxxxx xxx xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Xxx. 1: Xxxxxxxx xxx xxxxxxxxx xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx málo pravděpodobná. |
|
Střední |
Hrozba xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx pravděpodobná xx xxxxx xxxxxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. |
Xxx. 2: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx je xxxxxxxx zranitelnosti xxxx xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, která xxxx xxxxxxx včas xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx xxxxxxxx xxxxxx x jejich xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxxxxx xx xxxxxxxxxx kontrolována. Xxxxxxxxx bezpečnostních xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx nebo xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx xx xxxxxxx. Xxxxxx známé žádné xxxxxxx pokusy o xxxxxxxxx bezpečnostních opatření. |
|
Vysoká |
Zneužití xxxxxxxxxxxxx je xxxxxxxxxxxxx xx xxxxx pravděpodobné. Xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxx, xxx jejich xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx aspekty a xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx xxxxx xxxxx xxxxxxx xxxxxx o xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Kritická |
Zneužití xxxxxxxxxxxxx je xxxxx xxxxxxxxxxxxx až xxxxxxxx xxxxx. Xxxxxxxxxxxx opatření xxxxxx xxxxxxxxxxx xxxx xx jejich xxxxxxxx xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Xxxx známé xxxxxxx pokusy xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
Xxx. 3: Xxxxxxxx xxx hodnocení xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx považováno xx xxxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx sníženo méně xxxxxxxxx opatřeními xxxx x xxxxxxx vyšší xxxxxxxxxx opatření xx xxxxxx xxxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxx nepřípustné x xxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxx k xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx x musí xxx xxxxxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
Xxxxxxx x. 3 x vyhlášce x. 82/2018 Xx.
Xxxxxxxxxxxxx x xxxxxx
Xxxxxxxxxx: Xxxx xxxxxxx xxxxxxxx xxx vybrané xxxxxxxxx zranitelností x xxxxxx. Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x hrozeb xx xxxxxxxxxxxx xxxxxxx xxxxx.
Xxxxxxxxxxxxx
1. xxxxxxxxxxxx údržba xxxxxxxxxxxx x komunikačního xxxxxxx,
2. zastaralost informačního x xxxxxxxxxxxxx xxxxxxx,
3. xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx,
4. xxxxxxxxxxxx bezpečnostní xxxxxxxx uživatelů a xxxxxxxxxxxxxx,
5. nedostatečná údržba xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
6. xxxxxxxx xxxxxxxxx xxxxxxxxxxxx oprávnění,
7. nedostatečné xxxxxxx xxx identifikování x xxxxxxxx negativních xxxxxxxxxxxxxx xxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
8. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx x neschopnost xxxxxxx xxxxxx xxxxxxxx nebo xxxxxxx způsoby xxxxxxx,
9. xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxxx vymezení práv x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxxxxxxxx xxxx,
10. xxxxxxxxxxxx xxxxxxx xxxxx,
11. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
12. xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
13. xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx strany zaměstnanců.
Hrozby
1. xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx neoprávněných xxxxxxxx, xxxxxxxx xxxxxxxxx ze xxxxxx uživatelů x xxxxxxxxxxxxxx,
2. xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
3. zneužití xxxxxxxx,
4. xxxxxxx programového xxxxxxxx x rozporu x xxxxxxxxxx xxxxxxxxxx,
5. xxxxxxxx xxx (xxxxxxxxx xxxx, xxxxxxx, trojské xxxx),
6. xxxxxxxx xxxxxxx xxxxxxxxxxx,
7. přerušení poskytování xxxxxx xxxxxxxxxxxxxx komunikací xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
8. xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxxx xxxxx,
9. xxxxxx, odcizení xxxx xxxxxxxxx xxxxxx,
10. nedodržení xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxxxxx,
11. pochybení xx xxxxxx xxxxxxxxxxx,
12. xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
13. dlouhodobé přerušení xxxxxxxxxxx xxxxxx elektronických xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx xxxx jiných xxxxxxxxxx služeb,
14. nedostatek xxxxxxxxxxx s xxxxxxxxx xxxxxxxx úrovní,
15. cílený xxxxxxxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx technik,
16. zneužití xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx,
17. napadení elektronické xxxxxxxxxx (xxxxxxxxx, modifikace).
Xxxxxxx x. 4 x vyhlášce x. 82/2018 Xx.
Xxxxxxxxx xxx
(1) Xxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx xxx x xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx, provozních xxxxx, informací x xxxxxx xxxxx.
(2) Xxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému xx xxxxxxx pravidla pro xxxxxx xxx a xxxxxxxxx xxxxxxxxxxx xxxxxx xxx v souladu x touto xxxxxxxx. Xxx nejsou dotčeny xxxxxxxxxx xxxxx xxxxxx xxxxxxxx předpisů. Xx xxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxx dat x xxxxxxxxx xxxxxxxxxxx xxxxxx xxx, xxxxxxxx x xxxxxxx x xxxxxxxxxxx xxxxx.
(3) Pravidla xxx xxxxxxxxx dat xx měla xxx xxxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxxx aktiv x xxxx xx xxxxxxx xxxxxxxxxxx
x) hodnotu xxxxxx (xxxxxxx x xxxxxxx xxxxxxxxxx),
x) xxxxxxxxxxx (xxxx a xxxxxxxx xxxxxx informace),
c) xxx xx xxxxx xxxxxxxxx xxxxxxx pod xxxxxxxxx xxxxxxxxxx xx nikoliv,
d) xxx xxxx xxxx xxxxxxxx xxxxxxxxxxxx nebo xxxxxxxxxxxxxxx xxxxxxxxx,
x) xxx xxxx xxxxxxxxx dat xxxxxxxx (xxxxxxx xxxxxxxxxxx, xxxx xxxxxxxxx),
x) dostupnost xxxxxxxx x nástrojů xxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxx nosičů,
h) xxx xx x xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) časovou xxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxxx x xxxxxxx xx nástroje, xxxxxxx, xxxxxxxx, opětovné xxxxxxx xxxxxx informace
k) xxxxx xxxxxxx xxxxxxxxx dat (xxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxx, znečitelněním dat xxxxxx šifrováním x xxxxxxx),
x) xxxxxxxxxx xxxxxxx xxxxxxxxx xxx xxxxxxxx xx stavu xxxxxx xxxxxxxxx (xxxxxxxxx při xxxxxxxxx xxxxxxxx nebude xxxxx xxxxxx variantu xxxxxxx xxxxxxxxx, xxx xxxxxxx xx xxxxxxx xxxxxxx likvidace).
(4) Způsoby xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxxx údajů, xxxxxxxxx x xxxxxx xxxxx:
x) Odstranění
1. Způsob xxxxxxxxx spočívá v xxxxxxxxxx xxx xxx, xxx byla pro xxxxxx xxxxxxxxxx (xxxxxxxxx xxxxxxxxxx xxxxxxxx souboru, xxxxxxxx tištěného xxxxxxxxx xx odpadu).
2. Jde x nejméně xxxxxxxx xxxxxx likvidace xxx. X xxxxxxx xxxxxxx xxxxxx informace xx xxxxx x xxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxx xxxxxxx.
3. Xxxx xxxxxx xxxx xxxxxxxxxx pro xxxxxx digitálních dat xxxxxxxxxxxx xxxxxxxx xxxxx.
4. Xxxxxxxxxx xxxxxx xxx xxxxxx důvěrnosti xxxxxx (xxxxxxx x přílohy č. 1): xxxxx.
x) Přepsání
1. Způsob xxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx.
2. Xxx x xxxxxxx xxxxxxxx xxxxxx xxxxxxxxx dat. Xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx obnovení xxxxxxxxxx xxxxxxxxx.
3. Přepsání může xxx xxxxxxxxx xxxx xxxxxxxxxxx bezpečnou xxxxxxxxx xxxxxxxxxxxxxxxx klíčů x xxxxxxxxxxx xxxxxxxxx.
4. Tato xxxxxx xxxx vhodná xxx poškozená xxxxx, xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx, xxxxxxxx xxx xxxxx s xxxxxx xxxxxxxxx.
5. Xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): nízká xx xxxxxxxx.
x) Fyzická likvidace xxxxxx informace
1. Xxxxxx xxxxxxxxx spočívající xx xxxxxxx xxxxxx informace, xxxxxxxxx x xxxxxxxxx xxxxxxxx x následném xxxxxxx nosiče xxxxxxxxx (xxxxxxxxxxx, chemickým xx xxxxxxxx xxxxxxxxx).
2. Jde x xxxxxxxxxxxxxx xxxxxx xxxxxxxxx dat. Xxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxx xxxxx znovu xxxxxx pro xxxxxxx xxxx. Xxxxxxx xxxxxxxxx xxxx xxxxx obnovit xxx xxx vynaložení xxxxxxx xxxxxxxx xxxxxxxxxx x xxxxx.
3. Použitelný xxxxxx xxxxxxxxx pro xxxxxx xxxxxxxxxx aktiva (xxxxxxx x přílohy č. 1): xxxxxxx xx xxxxxxxx.
Xxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx z přílohy č. 1)
|
Xxxxxxxxx xxxxxx xxxxxxxxx xxxxx úrovně xxxxxxxxxxx xxxxxx |
|||||
|
Xxxxx informace |
1. Xxxxx |
2. Xxxxxxx |
3. Vysoká |
4. Kritická |
|
|
Informace xx xxxxxx čitelném xxxxxx (tištěné xxxxxxxxx, xxxxxxxx x xxxxxxx) |
Xxxxxxxxxx: Xxxxxxxx xx odpadu. |
Přepsání: Xxxxxxxxx. |
Xxxxxxx xxxxxxxxx: |
||
|
Fyzická xxxxxxxxx: |
|||||
|
Xxxxxxx xxxxxxxx (mobilní telefony, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx likvidace: |
||
|
Xxxxxx xxxxxxxx (router, xxxxxx, xxxxx a xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Xxxxxxxxxxx xxxxxxxx (scanery, xxxxxxxx, xxx) |
|||||
|
Xxxxxxxxxx xxxxx (xxxxxxxxxx xxxxx, disky, HDD [Xxxx Disk Xxxxx]) |
Xxxxxxxxxx: |
Přepsání: |
|||
|
Xxxxxxx xxxxx (CD, XXX, XX-XXX, BLU-RAY) |
Fyzická xxxxxxxxx: |
||||
|
Fyzická xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx média (flash xxxxxx) |
|||||
|
Xxxxxxxxxxx a xxxxx |
Xxxxxxxxx xxxxxx likvidace xxx xx xxx xxx xxxxxxxx xxxxxxxx xxxxxxxxx. |
||||
|
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxxx: |
Xxxxxxxx/xxxxxxx xxxxxxxxx: |
||
|
Alternativně x xxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xx možné xxxx po xxxxxxxx xxxxxx přepsat. |
|||||
Xxxxxxx x. 5 x xxxxxxxx č. 82/2018 Sb.
Obsah xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
1. Xxxxxxxxxxxx politika
1.1. Xxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací
a) Cíle, xxxxxxxx a potřeby xxxxxx xxxxxxxxxxx informací.
b) Xxxxxx a xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Pravidla a xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxx xxxxxx x provozu xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxx xxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
1.2. Xxxxxxxx řízení xxxxx
x) Xxxxxxxxxxxx, xxxxxxxxx a xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx aktiv xxxxxx xxxxxx jejich xxxxxxx,
2. xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx z xxxxxxxx xxxxxxxxxx, integrity x dostupnosti.
b) Identifikace, xxxxxxxxx a xxxxxxxx xxxxxxxxxx aktiv
1. určení x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx aktiv xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx vazeb mezi xxxxxxxxxx a xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. pravidla xxx xxxxxxxxxx a xxxxxxxx aktiv xxxxx xxxxxx aktiv,
3. přípustné xxxxxxx používání xxxxx.
x) Xxxxxxx xxxxxxxxxxxx mazání xxxx ničení technických xxxxxx xxx, xxxxxxxxx, xxxxxxxxxx údajů x xxxxxx kopií.
1.3. Politika xxxxxxxxxxx xxxxxxxxxxx
x) Určení xxxxxxxxxxxxxx rolí x xxxxxx xxxx a xxxxxxxxxx.
x) Požadavky na xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx rolí.
c) Xxxxxxxxx na oddělení xxxxxx bezpečnostních x xxxxxxxxxx rolí.
1.4. Xxxxxxxx xxxxxx xxxxxxxxxx
x) Pravidla x xxxxxxxx xxx xxxxx xxxxxxxxxx.
x) Xxxxxxxx xxx hodnocení xxxxx xxxxxxxxxxxxx x xxxxxxxxxx.
x) Xxxxxxxxxxx smlouvy x xxxxxx xxxxxx a xxxxxxx x úrovní xxxxxxxxx bezpečnostních opatření x x xxxxxx xxxxxxxx smluvní xxxxxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx xxxxxxxx zavedení bezpečnostních xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx dodavatelů.
1.5. Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
x) Xxxxxxxx xxxxxxx bezpečnostního xxxxxxxx x způsoby xxxx xxxxxxxxx
1. xxxxxxx x formy xxxxxxx xxxxxxxxx,
2. způsoby a xxxxx poučení xxxxxxx xxxxx,
3. xxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx xxxxxxx xxxx zastávajících xxxxxxxxxxxx xxxx.
x) Xxxxxxxxxxxx xxxxxxx nových xxxxxxxxxxx.
x) Xxxxxxxx xxx řešení xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
d) Xxxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx změnu xxxxxxxx pozice
1. xxxxxxx xxxxxxxxx aktiv a xxxxxxxx práv xxx xxxxxxxx xxxxxxxxxx vztahu,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx pracovní xxxxxx.
1.6. Xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx
x) Xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx x xxxxxxxxx bezpečného provozu.
d) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
1.7. Xxxxxxxx xxxxxx přístupu
a) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx znát (xxxx xx xxxx).
x) Xxxxxxxxx na řízení xxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxx xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx mimořádné xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx skupinách.
1.8. Xxxxxxxx bezpečného xxxxxxx xxxxxxxxx
x) Pravidla xxx xxxxxxxx nakládání x xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx pošty x xxxxxxxx xx xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Bezpečné xxxxxxx xx sociálních xxxxxx.
x) Xxxxxxxxxx ve xxxxxx x xxxxxxxx xxxxxxxxx.
1.9. Xxxxxxxx xxxxxxxxxx x xxxxxx x xxxxxxxxxxxx xxxxxxxx
x) Požadavky xx xxxxxxxxxx a xxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxxx.
x) Pravidla a xxxxxxx xxxxxxxxxxxx ukládání.
d) Xxxxxxxx xxxxxxxxxx zálohování x xxxxxxxxxxxx ukládání xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxx.
x) Pravidla x postupy xxxxxxxxx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx xxxxxxxx x xxxxxxx, xxxxxxxxx xxxxxxxxxx.
1.10. Xxxxxxxx xxxxxxxxxx předávání x výměny xxxxxxxxx
x) Xxxxxxxx x postupy xxx xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Způsoby xxxxxxx xxxxxxxxxxxx xxxxxx informací.
c) Xxxxxxxx xxx využívání xxxxxxxxxxxxxx xxxxxxx.
1.11. Xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx
x) Xxxxxxxx xxx omezení xxxxxxxxx programového xxxxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx nasazení xxxxx xxxxxxxxxxxx vybavení.
1.12. Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx
x) Pravidla x postupy pro xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, která xxxxxxx xxxxx xxxx xx xxx xxxxxx.
1.13. Xxxxxxxx akvizice, xxxxxx x údržby
a) Xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx, xxxxx a xxxxxx.
x) Xxxxxx xxxxxxxxxxxxx.
x) Politika xxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx vybavení x informací
1. pravidla x xxxxxxx nasazení xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,
2. pravidla x xxxxxxx pro xxxxxxxx dodržování xxxxxxxxxx xxxxxxxx.
1.14. Xxxxxxxx ochrany xxxxxxxx xxxxx
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx ochranu xxxxxxxx xxxxx.
x) Popis xxxxxxxxx x provedených xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx údajů.
1.15. Xxxxxxxx xxxxxxx bezpečnosti
a) Xxxxxxxx xxx xxxxxxx objektů.
b) Xxxxxxxx pro xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx xxx ochranu xxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxx.
1.16. Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx
x) Xxxxxxxx x postupy xxx xxxxxxxxx xxxxxxxxxxx sítě.
b) Xxxxxx xxxx a xxxxxxxxxx xx xxxxxxxx xxxxxx sítě.
c) Xxxxxxxx x xxxxxxx pro xxxxxx xxxxxxxx v xxxxx sítě.
d) Xxxxxxxx x postupy xxx xxxxxxx xxxxxxxxxx xxxxxxxx x síti.
e) Pravidla x xxxxxxx xxx xxxxxxxxxxxx sítě a xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
1.17. Xxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxx xxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxx x sdílených xxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxxx xxxxxx.
1.18. Xxxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
x) Xxxxxxxx a xxxxxxx xxxxxxxx nástroje xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx postupy xxx xxxxxxxxxxxxx a xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx události.
c) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.19. Xxxxxxxx využití x xxxxxx nástroje xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxx x xxxxxxx xxx evidenci a xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
c) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx nastavení xxxxxxxxxxxxxx vlastností nástroje xxx xxxx x xxxxxxxxxxx kybernetických bezpečnostních xxxxxxxx.
1.20. Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx
x) Xxxxxx xxxxxxx s xxxxxxx xx xxx x xxxx kryptografického xxxxxxxxx.
x) Pravidla xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx xx mobilní xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxx dat.
c) Xxxxxx xxxxxx klíčů.
1.21. Politika xxxxxx změn
a) Způsob x xxxxxxxx řízení xxxxxxxxxx xxxx v xxxxx xxxxxxx xxxxx, xxxxxx xxxxxxxxx, informačních x komunikačních xxxxxxxxx.
x) Xxxxxxxxxxxxx xxxxxx xxxxxxxxxx xxxx.
x) Xxxxxx xxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxxxx xxxx.
1.22. Xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxxx kategorií xxxxxxxxxxxxxx bezpečnostního incidentu.
b) Xxxxxxxx x xxxxxxx xxx identifikaci, xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx testování systému xxxxxxxx kybernetických bezpečnostních xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x pro xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx.
1.23. Politika xxxxxx xxxxxxxxxx činností
a) Práva x xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Cíle xxxxxx xxxxxxxxxx xxxxxxxx
1. xxxxxxxxx xxxxxx poskytovaných xxxxxx,
2. xxxx xxxxxxxx xxxxx,
3. xxx xxxxxxxx dat.
c) Xxxxxxxx řízení kontinuity xxxxxxxx pro naplnění xxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx x xxxxx xxxxxxxxxx xxxxx kontinuity x xxxxxxxxxxx xxxxx.
x) Postupy xxx realizaci opatření xxxxxxxx Xxxxxx.
2. Obsah xxxxxxxxxxxx dokumentace
2.1. Xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) Cíle xxxxxx xxxxxxxxxxxx bezpečnosti.
b) Xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx týmu xxxxxxxx x xxxx, xxxxx xx xxxxxx xxxxxxxxxxxx bezpečnosti xxxxxxxxxx.
x) Xxxxx a xxxxx, xxx byly xxxxxxxxx xxxxxxxx xxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Zjištění x auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
2.2. Xxxxxx x přezkoumání xxxxxxx xxxxxx bezpečnosti xxxxxxxxx
x) Xxxxxxxxxxx opatření x xxxxxxxxxxx přezkoumání xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxxxxxx změn x xxxxxxxxx, xxxxx mohou xxx xxxx na xxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx vazba x xxxxxxxxxx xxxxxx xxxxxxxxxxx informací
1. xxxxxxx x xxxxxxxx xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,
3. xxxxxxxx auditu,
4. xxxxxxxx xxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx xxxxx x xxxx xxxxx xxxxxxxx rizik.
e) Identifikace xxxxxxxx pro xxxxxxxx xxxxxxxxxx.
x) Doporučení potřebných xxxxxxxxxx, xxxxxxxxx xxxxxxxx x osob zajišťujících xxxxx xxxxxxxxxxxx xxxxxxxx.
2.3. Xxxxxxxx pro identifikaci x xxxxxxxxx xxxxx x xxx hodnocení xxxxx
x) Xxxxxx xxxxxxxx xxx hodnocení xxxxxxxxxx xxxxx
1. xxxxxx stupnice xxx xxxxxxxxx úrovní xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx dostupnosti xxxxx.
x) Xxxxxx xxxxxxxx xxx hodnocení xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní dopadu,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxx,
3. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxx.
x) Xxxxxx a xxxxxxxx xxx zvládání xxxxx.
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.
2.4. Zpráva x xxxxxxxxx xxxxx a xxxxx
x) Xxxxxxx primárních xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. hodnocení xxxxxxxxxx xxxxx x hlediska xxxxxxxxxx, integrity x xxxxxxxxxxx.
x) Přehled podpůrných xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxx vazeb xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
x) Xxxxxxxxx xxxxx
1. xxxxxxxxx možných xxxxxx xx xxxxxx,
2. xxxxxxxxx existujících hrozeb,
3. xxxxxxxxx xxxxxxxxxxxx zranitelností, xxxxxxxxx xxxxxxxxxxxx opatření,
4. xxxxxxxxx xxxxxx rizika, xxxxxxxxx xxxx xxxxxx x kritérii pro xxxxxxxxxxxxxxxx rizik,
5. xxxxxx x xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. návrh xxxxxxxx x xxxxxx xxxxxxxxx.
2.5. Xxxxxxxxxx o xxxxxxxxxxxxxxxx
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx požadovaných xxxxx xxxxxxxxx xxxxxx xxxxxxxxxx, xxxx nebyla aplikována.
b) Xxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx xxxxxx xxxxxxx xxxxxx implementace.
2.6. Xxxx xxxxxxxx rizik
a) Xxxxx x xxxx vybraných xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx včetně xxxxx xx xxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxx xxx jednotlivá bezpečnostní xxxxxxxx xxx xxxxxxxx xxxxx.
x) Osoby xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
d) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Způsob xxxxxxxxx xxxxxxxxxxxxxx opatření.
f) Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
2.7. Plán xxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Obsah x termíny xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Obsah a xxxxxxx xxxxxxx nových xxxxxxxxxxx.
x) Xxxxxxxx, které xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxx xxxx, které školení xxxxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxxxx xxxxx.
2.8. Xxxxxxxx změn
a) Xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xxxx.
x) Záznamy x xxxxxxx konfigurace xxxxxxxxxx xxxxx.
2.9. Hlášené kontaktní xxxxx
Xxxxxxx hlášených xxxxxxxxxxx xxxxx.
2.10. Xxxxxxx xxxxxx xxxxxxxxx právních xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx a xxxxxxxxx xxxxxxx
x) Přehled xxxxxx závazných xxxxxxxx xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxx.
x) Přehled smluvních xxxxxxx.
2.11. Xxxxx doporučená xxxxxxxxxxx
x) Xxxxxxxxx xxxxxxxxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxx.
Xxxxxxx x. 6 x xxxxxxxx č. 82/2018 Xx.
Xxxxx pro xxxxxx kybernetické bezpečnosti x bezpečnostní role
Tato xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx xxxxxxx x §6 a 7.
Xxx. 1: Výbor xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxx pro řízení xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxx xxxxxx a rozvoj xxxxxxxxxxxx bezpečnosti x xxxxx povinné xxxxx. |
|
Xxxxx podmínky: |
a) Xxxx xxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx xxxx xxx alespoň |
Xxx. 2: Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxx xxxxxxx xxxxxx bezpečnosti informací. |
|
Xxxxxxxx: |
x) Xxxxx xxxx XXX/XXX 27000 a xxxxxxx xxxxx x oblasti xxxxxxxxxxx a XXX. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 roky xxxxx x xxxxx xxxxxxxxxx xxxx kybernetické xxxxxxxxxxx, xxxx |
|
Relevantní xxxxxxxxxxx*: |
Xxxxxxxxx Information Xxxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx xx Xxxx and Xxxxxxxxxxx Xxxxxxx Control (XXXXX), Xxxxxxxxx Information Xxxxxxx Security Xxxxxxxxxxxx (XXXXX), Xxxxxxx BI (xxxxxxxxxxx schéma XXX). |
|
Xxxxx xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx x xxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a s xxxxxxx provozními či xxxxxxxx rolemi. |
Xxx. 3: Architekt kybernetické xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx xxxxxxxxxxxx bezpečnosti |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx za xxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxxxx. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxx implementace bezpečnostních xxxxxxxx. |
|
Xxxxxxxx a xxxxx: |
x) Xxxxxxx 3 roky xxxxx v xxxxx xxxxxxxxxx xxxx kybernetické xxxxxxxxxxx, nebo |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxx Xxxxxx (XXX), XxxxXXX Security +, Xxxxxxxxx Xxxxxxxxxxx Xxxxxxxx Manager (XXXX), Xxxxxxxxx in Xxxx xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Certified Xxxxxxxxxxx Systems Security Xxxxxxxxxxxx (XXXXX), Xxxxxxx XX (akreditační xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
Xxxx xxxx xxxxxxxxxx x xxxxxx xxxxxxxxxxx za xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx. |
Xxx. 4: Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
Xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx x xxxxxxx xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx bezpečnosti, xxxx |
|
Xxxxxxxxxx certifikace*: |
Certified Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx Internal Xxxxxxx (XXX), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Systems Xxxxxxx (XXXXX), Xxxx Auditor Xxxxxxxxxxx Xxxxxxxx Management Xxxxxx (Xxxx Xxxxxxx XXXX), Auditor XX (xxxxxxxxxxx xxxxxx ČIA). |
|
Další xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx s rolemi |
Xxx. 5: Xxxxxx aktiva
|
Role: |
Garant xxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxxxx xxxxxxx, použití x bezpečnosti aktiva. |
|
Xxxxxxxx: |
x) Dobrá xxxxxxx xxxxxx, xxxxx je xxxxxxxx. |
* Xxxxxxxxxxx může být x xxxx xxx xxxxxxx, jestliže xxxxxxxxxxx xxxxxxxxxxx odbornou xxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx XXX 17 024.
Xxxxxxx x. 7 x xxxxxxxx x. 82/2018 Xx.
Xxxxxx dodavatelů - bezpečnostní opatření xxx smluvní xxxxxx
Xxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx:
x) xxxxxxxxxx x bezpečnosti xxxxxxxxx (x xxxxxxx důvěrnosti, xxxxxxxxxxx a xxxxxxxxx),
x) xxxxxxxxxx x oprávnění xxxxxx xxxx,
x) xxxxxxxxxx x autorství xxxxxxxxxxxx xxxx, xxxxxxxxx x xxxxxxxxxxxx licencích,
d) xxxxxxxxxx x xxxxxxxx x xxxxxx xxxxxxxxxx (pravidla xxxxxxxxxxxx xxxxxx),
x) ustanovení xxxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxx xxxx xxx xxxxxxxxx, že poddodavatelé xx xxxxxx xxxxxxxxx x plném rozsahu xxxxxxxx xxxx povinnou xxxxxx x dodavatelem x xxxxxxx x xxxxxxx x xxxxxxxxx xxxxxxx xxxxx xx xxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx dodržovat xxxxxxxxxxxx politiky xxxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx dodavatele xxxxxxxx xxxxxx,
x) xxxxxxxxxx x xxxxxx změn,
h) xxxxxxxxxx x xxxxxxx xxxxx x obecně xxxxxxxxx xxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx x
1. xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx xxxxxxxxxxxxx s xxxxxxx xxxxxxx,
2. způsobu xxxxxx xxxxx xx xxxxxx dodavatele x x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx s xxxxxxx xxxxxxx,
3. xxxxxxxx xxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxx xxxxxx o xxxxxxxxxx xxxxxxxxxxx nebo xxxxx xxxxxxxxxxx xxxxxxxxx xxxxx, xxxxxxxxx xxxxx xxxxxxxxx xxxxxxxx s xxxxxx aktivy, xxxxxxxxxxx xxxxx xxxxxxxxxxx x xxxxxx podle xxxxxxx xx správcem,
j) xxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx při xxxxxxxx xxxxxxx (xxxxxxxxx přechodné xxxxxx xxx xxxxxxxx xxxxxxxxxx, kdy xx xxxxx xxxxx udržovat xxxxxx před xxxxxxxxx xxxxxx řešení, xxxxxxx xxx x xxxxxxx),
x) xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxx xxxxxxxx x souvislosti x xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxxx xx xxxxxxxxxxx xxxxx, úkoly dodavatelů xxx aktivaci xxxxxx xxxxxxxxxx činností),
l) xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxx xxx, xxxxxxxxxx xxxxx a xxxxxxxxx xx xxxxxxxx správcem,
m) xxxxxxxx xxx likvidaci xxx,
x) xxxxxxxxxx o xxxxx jednostranně xxxxxxxxx xx smlouvy x xxxxxxx významné xxxxx xxxxxxxx xxx dodavatelem xxxx xxxxx kontroly xxx zásadními xxxxxx xxxxxxxxxxx dodavatelem x xxxxxx podle xxxxxxx x
x) xxxxxxxxxx x xxxxxxxx za xxxxxxxx xxxxxxxxxx.
Příloha x. 8 x xxxxxxxx č. 82/2018 Sb.
Vzor Formuláře xxx xxxxxxx xxxxxxxxxxx xxxxx
Xxxxxxxxx
Xxxxxx xxxxxxx x. 82/2018 Sb. nabyl xxxxxxxxx xxxx 28.5.2018.
Ke xxx uzávěrky právní xxxxxxx xxxxx xxxxx xx doplňován.
Znění jednotlivých xxxxxxxx norem xxxxxx xxxxxxxx předpisů x xxxxxxxx xxxx aktualizováno, xxxxx se xxxx xxxxxx xxxxxxxxx změna xxxxx uvedeného právního xxxxxxxx.
1) Xxxxxxxx Xxxxxxxxxx xxxxxxxxxx a Rady (XX) 2016/1148 xx xxx 6. července 2016 o xxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxx x Xxxx.