Právní předpis byl sestaven k datu 23.01.2025.
Zobrazené znění právního předpisu je účinné od 28.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
VYHLÁŠKA
ze xxx 21. xxxxxx 2018
o xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx opatřeních, xxxxxxxxxxxxx xxxxxx v xxxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxx xxx (xxxxxxxx o xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxx xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxx podle §28 xxxx. 2 xxxx. a) až x) a x) xxxxxx x. 181/2014 Xx., o xxxxxxxxxxxx xxxxxxxxxxx x o xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx x kybernetické xxxxxxxxxxx), xx xxxxx xxxxxx x. 104/2017 Xx. a xxxxxx x. 205/2017 Xx., (xxxx xxx "xxxxx"):
XXXX XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx Evropské xxxx1) a pro xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, významný informační xxxxxx, informační systém xxxxxxxx xxxxxx xxxxx xxxxxxxxxx xxxxxx xxxx xxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, (xxxx xxx "informační a xxxxxxxxxxx xxxxxx") xxxxxxxx
x) xxxxx a strukturu xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxx x xxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx, kategorie x xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,
x) xxxxxxxxxxx x xxxxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x provedení xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,
x) xxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxx xxxxx a
g) xxxxxx xxxxxxxxx xxx, xxxxxxxxxx údajů, xxxxxxxxx x xxxxxx xxxxx.
§2
Vymezení xxxxx
Xxx xxxxx xxxx xxxxxxxx xx xxxxxx
x) xxxxxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx, provoz, xxxxxxx, údržbu x xxxxxxxxxx technického aktiva,
b) xxxxxxxxxxxxxxx xxxxxxx xxxxxx, xxxxx je xxxxxxxxxx xxx orgán xxxx xxxxx, xxxxx jsou xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx podle zákona, (xxxx xxx "xxxxxxx xxxxx") x není xxxxx xxx xxxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx politikou xxxxxx xxxxx a xxxxxxxx, xxxxx xxxxxx xxxxxx zajištění xxxxxxx xxxxx,
x) hodnocením xxxxx xxxxxxx xxxxxx xxxxxxxxxxxx, xxxxxxx a xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxx xxxx způsobit xxxxx,
x) xxxxxxxxx xxxxxxx technické xxxxxxx, zaměstnanci x xxxxxxxxxx xxxxxxxxxx xx xx provozu, xxxxxxx, xxxxxx xxxx bezpečnosti xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) primárním aktivem xxxxxxxxx xxxx xxxxxx, xxxxxx zpracovává nebo xxxxxxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxx, xx xxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxx,
x) xxxxxxx xxxxx xxxxxxx xxxxxxxxxx hodnocení xxxxx, výběr a xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx x xxxxxx x xxxxxxxxx a xxxxxxxxxxx xxxxx,
x) xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx systému xxxxxx xxxxxxx osoby xxxxxxxx xx přístupu x xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx, která xxxxxxx xxxxxx xxxxxxxx, xxxxxxxx, provozování, monitorování, xxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxx,
x) technickým xxxxxxx takové technické xxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x programové xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a xxxxxxx, xx kterých xxxx xxxx xxxxxxx umístěny, xxxxxxx selhání xxxx xxx xxxxx na xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) uživatelem xxxxxxx xxxx xxxxxxxxx osoba xxxxx xxxxx veřejné xxxx, které xxxxxxxxx xxxxxx,
x) vrcholovým xxxxxxx xxxxx xxxx xxxxxxx xxxx, xxxxx xxxx xxxxxxxx xxxxx, xxxx xxxxxxxxxx orgán xxxxxxx xxxxx,
x) významným xxxxxxxxxxx xxxxxxxxxxxx informačního nebo xxxxxxxxxxxxx xxxxxxx (xxxx xxx "provozovatel") a xxxxx, kdo s xxxxxxxx osobou xxxxxxxx xx xxxxxxxx xxxxxx, xxxxx xx xxxxxxxx x xxxxxxxx bezpečnosti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxx xxxxx, xxxxx xx xxxx xxxx mít xxxx xx kybernetickou xxxxxxxxxx a představuje xxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxx xxxxx xxxxxx xxxx xxxxx místo xxxxxxxxxxxxxx opatření, xxxxx xxxx být xxxxxxxx xxxxxx nebo více xxxxxxxx.
ČÁST XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx řízení xxxxxxxxxxx xxxxxxxxx
Xxxxxxx osoba x xxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx
x) xxxxxxx x xxxxxxx xx xxxxxxxxx xxxxxxxxx xxxxx a xxxxxxxxxxx xxxxxxxxxx rozsah systému xxxxxx bezpečnosti informací, xx xxxxxx určí xxxxxxxxxxx xxxxx x xxxxxx, jichž se xxxxxx řízení xxxxxxxxxxx xxxxxxxxx xxxx,
x) stanoví xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxx xxxxxxxxx rozsah xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xx základě cílů xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, bezpečnostních xxxxxx x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) řídí rizika xxxxx §5,
x) xxxxxxx x schválí xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, která xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx potřeby, práva x xxxxxxxxxx xx xxxxxx x xxxxxx xxxxxxxxxxx informací, x xx xxxxxxx bezpečnostních xxxxxx x xxxxxxxx xxxxxxxxx xxxxx stanoví xxxxxxxxxxxx xxxxxxxx v xxxxxxx oblastech xxxxx §30 x zavede xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx (xxxx jen "xxxxx xxxxxxxxxxxx xxxxxxxxxxx") xxxxx §16,
x) xxxxxxx xxxxxxxxxx vyhodnocování účinnosti xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, které obsahuje xxxxxxxxx xxxxx systému xxxxxx bezpečnosti xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx výsledků xxxxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx a dopadů xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx systém řízení xxxxxxxxxxx informací,
h) xxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxx §11 xxxx xxxxxxxx xxxxx, xxxxx xxxxx xx xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxxxx systém xxxxxx bezpečnosti informací x příslušnou xxxxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx x x xxxxxxxxxxx s xxxxxxxxxxx xxxxxxxxxx xxxxxxx x
x) xxxx xxxxxx a xxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx činnosti xxxxxxx xx systémem xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx.
§4
Xxxxxx xxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx aktiv
a) xxxxxxx xxxxxxxx pro identifikaci xxxxx,
x) stanoví metodiku xxx hodnocení xxxxx xxxxxxx x xxxxxxx xxxxxxxx v příloze č. 1 x xxxx vyhlášce,
c) xxxxxxxxxxxx x xxxxxxx xxxxxx,
x) určí x xxxxxxx xxxxxxx aktiv,
e) xxxxxxx a xxxxxxx xxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x xxxxxx xx xx xxxxxxxxxxxx úrovní xxxxx xxxxxxx x),
x) xxxx x xxxxxxx vazby xxxx primárními x xxxxxxxxxx xxxxxx a xxxxxxx xxxxxxxx závislostí xxxx primárními x xxxxxxxxxx aktivy,
g) xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxx x),
x) na xxxxxxx xxxxxxxxx xxxxx xxxxxxxxx a xxxxxx xxxxxxxx xxxxxxx xxxxx xxx zabezpečení jednotlivých xxxxxx xxxxx,
x) stanoví xxxxxxxxx způsoby xxxxxxxxx xxxxx x xxxxxxxx xxx xxxxxxxxxx s xxxxxx s xxxxxxx xx xxxxxx aktiv, xxxxxx xxxxxxxx xxx xxxxxxxx elektronické sdílení x fyzické xxxxxxxxx xxxxx, a
j) xxxx xxxxxx likvidace xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx xxxx xxxxxxxxx technických xxxxxx xxx x xxxxxxx na úroveň xxxxx x xxxxxxx x přílohou č. 4 k xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx je xxxxx xxxxxxxx xxxxxxx
x) rozsah x xxxxxxxxxx xxxxxxxx xxxxx, zvláštních xxxxxxxxx xxxxxxxx xxxxx nebo xxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxx právních xxxxxxxxxx xxxx jiných xxxxxxx,
x) xxxxxx narušení xxxxxxxxx xxxxxxxx a xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx nebo ekonomických xxxxx x xxxxx xxxxxxxx ztráty,
e) xxxxxx xx xxxxxxxxxxx důležitých xxxxxx,
x) rozsah narušení xxxxxxx činností,
g) dopady xx zachování dobrého xxxxx xxxx xxxxxxx xxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxx a xxxxxx xxxx,
x) dopady xx mezinárodní xxxxxx x
x) dopady na xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
§5
Xxxxxx xxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxx x xxxxxxxxxx na §4
x) xxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx, xxxxxx xxxxxxxxx kritérií pro xxxxxxxxxxxxxxxx rizik,
b) x xxxxxxx na xxxxxx xxxxxxxxxxxx relevantní hrozby x zranitelnosti; xxxxxx xxxxxxx zejména xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxxx x příloze č. 3 x této xxxxxxxx,
x) xxxxxxx hodnocení xxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 x při významných xxxxxxx,
x) xxx hodnocení xxxxx xxxxxxxx relevantní xxxxxx x xxxxxxxxxxxxx x xxxxxxx možné xxxxxx xx xxxxxx; xxxx xxxxxx hodnotí xxxxxxx v xxxxxxx přílohy č. 2 x této xxxxxxxx,
x) xxxxxxxx xxxxxx x hodnocení rizik,
f) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx požadovaných xxxxx vyhláškou, která
1. xxxxxx aplikována, xxxxxx xxxxxxxxxx,
2. byla xxxxxxxxxx, xxxxxx xxxxxxx xxxxxx,
x) xxxxxxxx a xxxxxx xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx xxxx x přínosy xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx rizik, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx, potřebné xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx zdroje, xxxxxx jejich zavedení, xxxxx vazeb mezi xxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními a xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx,
x) xxx hodnocení xxxxx a x xxxxx zvládání xxxxx xxxxxxxx
1. xxxxxxxx xxxxx,
2. xxxxx rozsahu xxxxxxx xxxxxx bezpečnosti informací,
3. xxxxxxxx xxxxx §11 xxxxxx x
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxx xxxxxxxx, x
x) x xxxxxxx x xxxxxx zvládání xxxxx xxxxxx bezpečnostní xxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 písm. x), x) x x) xxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxx a xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxx xxxxxx za xxx xxxx.
(3) Xxxxxx rizik xxxx xxx xxxxxxxxx x jinými xxxxxxx, xxx jak je xxxxxxxxx x xxxxxxxx 1 xxxx. d), xxxxx povinná osoba xxxxxxxxx, xx xxxxxxx xxxxxxxx zajistí xxxxxxx xxxx xxxxx xxxxxx xxxxxxx xxxxxx xxxxx.
§6
Organizační bezpečnost
(1) Xxxxxxx xxxxx s xxxxxxx xx systém xxxxxx xxxxxxxxxxx informací
a) zajistí xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx systému xxxxxx bezpečnosti xxxxxxxxx xxxxx §3 slučitelných xx xxxxxxxxxxxx směřováním xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx do xxxxxxx povinné osoby,
c) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx pro xxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxx zaměstnance o xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxx dosažení xxxxx x xxxx požadavky xx xxxxx dotčenými xxxxxxxx,
x) zajistí podporu x xxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) vede xxxxxxxxxxx x rozvíjení xxxxxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxxxx xx xxx xxxxx xxxxxxxxx,
x) prosazuje xxxxxxxx zlepšování xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxx osoby xxxxxxxxxxx xxxxxxxxxxxx xxxx xxx xxxxxxxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxx xxxxxx xxxxxxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxxxxxxxxx x osob, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx role,
j) xxxxxxx, xxx byla xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxx příslušné xxxxxxxxx x xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx xxxx x xxxxxx souvisejících xxxxx x
x) zajistí xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, xxxxxx a xxxxxxx spojených xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx x rámci xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx výboru xxx řízení xxxxxxxxxxxx xxxxxxxxxxx a bezpečnostní xxxx x xxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxx se xxxxxxxx xxxxxx xxxxxxxxxxx informací.
(3) Xxxxxxx xxxxx xxxxxxx x §3 písm. x), x) x x) xxxxxx xxxx xxxxx, xxxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx aktiva x
x) xxxxxxxx xxxxxxxxxxxx bezpečnosti.
(4) Xxxxxxx osoba uvedená x §3 xxxx. x) xxxxxx xxxx xxxx xxxxxxxx kybernetické xxxxxxxxxxx a xxxxxxx xxxxxx. Xxxxxxx xxxxxxxxxxxx xxxx xxxxx odstavce 3 xxxx xxxxxxxxx xxxxxxxx k xxxxxxx x xxxxxxxx systému xxxxxx xxxxxxxxxxx informací.
(5) Xxxxxxx osoba xxxxxxx x §3 písm. x), x) x x) xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxx xxxxxxxxx x xxxxxxxx 3 xxxx. x) x x).
(6) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x) xxxxxx xxxxxxx zastupitelnost xxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(7) Xxxxx xxx xxxxxx kybernetické xxxxxxxxxxx je tvořen xxxxxxx s xxxxxxxxxxx xxxxxxxxxxx a xxxxxxxx xxxxxxxxxxxx xxx xxxxxxx xxxxxx a xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a osobami xxxxxxxx xx podílejícími xx řízení x xxxxxxxxxx xxxxxxxx spojených x xxxxxxxxxxxxx bezpečností, xxxxx členem musí xxx xxxxxxx xxxxx xxxxxxxx vrcholového vedení xxxx jím pověřená xxxxx x xxxxxxx xxxxxxxxxxxx bezpečnosti. Povinná xxxxx x xxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx přihlédne x xxxxxxxxxxx uvedeným x příloze č. 6 x xxxx xxxxxxxx.
§7
Bezpečnostní xxxx
(1) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx xxxx odpovědná xx systém řízení xxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxx role xxxx xxx xxxxxxxx xxxxx, xxxxx je xxx tuto xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x řízením kybernetické xxxxxxxxxxx nebo x xxxxxxx xxxxxxxxxxx informací
1. xx dobu xxxxxxx xxx xxx, xxxx
2. xx xxxx xxxxxxx xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx xxxxxx xxxxx,
x) xxxxxxxx za xxxxxxxxxx xxxxxxxxxxx vrcholového xxxxxx o
1. činnostech xxxxxxxxxxxxx x rozsahu xxxx xxxxxxxxxxxx x
2. xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x
x) xxxxx xxx xxxxxxx xxxxxxx xxxx odpovědných xx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému.
(2) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx role xxxxxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx tak, aby xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, xxxxxxx xxxxxxx xxxx xxxx xxxx xxx xxxxxxxx xxxxx, xxxxx je xxx xxxx xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxx implementace xxxxxxxxxxxxxx opatření x xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxx xxxxxxx xxx xxx, xxxx
x) xx xxxx xxxxxxx xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx vysoké xxxxx.
(3) Xxxxxx aktiva xx xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxxxx xxxxxx.
(4) Auditor xxxxxxxxxxxx bezpečnosti
a) xx xxxxxxxxxxxx xxxx odpovědná xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, přičemž xxxxxxx xxxx xxxx xxxx xxx xxxxxxxx xxxxx, která xx xxx xxxx xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x prováděním xxxxxx xxxxxxxxxxxx xxxxxxxxxxx nebo xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací
1. po xxxx nejméně xxx xxx, nebo
2. xx xxxx xxxxxxx roku, xxxxx absolvovala xxxxxxx xx xxxxxx škole,
b) xxxxxxxx, xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx, a
c) xxxxx xxx xxxxxxx xxxxxxx jiných xxxxxxxxxxxxxx xxxx.
(5) Xxxxxxx xxxxx xxx určování osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx x příloze č. 6 x xxxx xxxxxxxx.
§8
Xxxxxx xxxxxxxxxx
(1) Povinná xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxx, která xxxxxxxxxx požadavky systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxx svých xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxx své xxxxxxxx xxxxxxxxxx x xxxxxx evidenci xxxxx xxxxxxx x),
x) xxxxxxxxx xxx dodavatele s xxxxxxxx xxxxx xxxxxxx x) x xxxxxxxx xxxxxx xxxxxx xxxxxxxx,
x) xxxx xxxxxx spojená x dodavateli,
f) x xxxxxxxxxxx x xxxxxxx xxxxx spojených x xxxxxxxxxx dodavateli xxxxxxx, xxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx x příloze č. 7 x xxxx xxxxxxxx, x
x) pravidelně xxxxxxxxxxx xxxxxx xxxxx x xxxxxxxxxx dodavateli x xxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Povinná xxxxx x xxxxxxxxxx xxxxxxxxxx xxxx
x) v xxxxx xxxxxxxxxx xxxxxx x před xxxxxxxxx xxxxxxx xxxxxxx hodnocení xxxxx xxxxxxxxxxxxx s xxxxxxx předmětu xxxxxxxxxx xxxxxx přiměřeně xxxxx přílohy č. 2 x xxxx xxxxxxxx,
x) v rámci xxxxxxxxxxx smluvních xxxxxx xxxxxxx způsoby x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x určí xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxx rizik x xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx u xxxxxxxxxxxxx xxxxxx pomocí xxxxxxxxx zdrojů xxxx xxxxxx xxxxx xxxxxx x
x) v xxxxxx xx rizika x xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxx.
(3) Xxxxxxxxxxx xxxxxxxxxxxxxx informování xxxxx xxxxxxxx 1 písm. x) jsou
a) xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
c) xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxxx, že xxxxxxxxx je xxx xxxxxxx xxxxxxxxx dodavatelem, x xxxxxxxxx také x xxx, xx xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx, x
x) xxxxx xxxxxxxx xxxxx xxxxxxxx 1 písm. x).
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxxx xx xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 xxxx. x), xxxxx xxxxxxxxx xxxxx formou xxxxxxxx x §34.
§9
Bezpečnost lidských xxxxxx
(1) Xxxxxxx osoba x xxxxx řízení xxxxxxxxxxx xxxxxxxx xxxxxx
x) s xxxxxxx xx xxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxx xx zajistit xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx xxxxx, xxxxx x xxxxxx
1. xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, osob zastávajících xxxxxxxxxxxx xxxx x xxxxxxxxxx x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx x
2. xxxxxxxxxx teoretických i xxxxxxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx role,
b) xxxx xxxxx xxxxxxxxx xx realizaci jednotlivých xxxxxxxx, xxxxx jsou x xxxxx xxxxxxx,
x) x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx poučení xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxx o xxxxxx povinnostech x x xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx a xxxxxxxxxxxx školení,
d) xxx xxxxx xxxxxxxxxxx bezpečnostní xxxx v xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx odborná xxxxxxx, xxxxxxx xxxxxxx x xxxxxxxxxx xxxxxx povinné xxxxx x xxxxxxx xxxxxxxxxxxx bezpečnosti,
e) x xxxxxxx s xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx v xxxxxxx s xxxxxx xxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx strany xxxxxxxxx, administrátorů a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) x xxxxxxx xxxxxxxx xxxxxxxxx xxxxxx x administrátory x xxxxxxx xxxxxxxxxxxxx bezpečnostní xxxx xxxxxxx předání xxxxxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, provedených xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx se zlepšováním xxxxxxxxxxxxxx xxxxxxxx x
x) xxxx pravidla x xxxxxxx xxx xxxxxx xxxxxxx porušení xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx ze xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
(2) Xxxxxxx xxxxx vede x xxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx předmět xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
§10
Xxxxxx xxxxxxx x xxxxxxxxxx
(1) Povinná osoba x xxxxx xxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxx provoz xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx, xxxxx xxxxxxxx xxxxxxx
x) xxxxx a xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx,
x) xxxxxxx xxx spuštění x xxxxxxxx xxxxx xxxxxxx, xxx xxxxxxx nebo xxxxxxxx xxxxx xxxxxxx xx xxxxxxx x xxx xxxxxxxx chybových xxxxx nebo xxxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxx xxxxxxx xxxxxxxx x xxxxxxxx x xxxxxx xxxxxxxxxx,
x) xxxxxxxx x xxxxxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx,
x) spojení na xxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxx x schvalování provozních xxxx,
x) xxxxxxx pro xxxxxxxxx, plánování a xxxxxx xxxxxxxx xxxxxxxx x technických xxxxxx,
x) xxxxxxxx x postupy xxx xxxxxxx xxxxxxxxx x xxx v xxxxxxx xxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxx a xxxxxxx xxx instalaci xxxxxxxxxxx aktiv,
k) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxx xxxxxxxxxxxxx provedených xxxxx x
x) pravidla x postupy xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx.
(2) Xxxxxxx xxxxx x xxxxx řízení xxxxxxx a xxxxxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 x xxxx xxxxxxxx x xxxxxxx aktualizuje x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx změnami.
(3) Xxxxxxx xxxxx xxxxxxx xxxxxxxx vývojového, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx.
§11
Řízení změn
(1) Xxxxxxx xxxxx v xxxxx xxxxxx xxxx x xxxxxxxxxxxx x komunikačního xxxxxxx
x) xxxxxxxxxxx xxxxx xxxxxx změn x
x) xxxxxx xxxxxxxx změny.
(2) Xxxxxxx xxxxx x xxxxxxxxxx změn
a) xxxxxxxxxxx xxxxxx xxxxxx,
x) xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxx xx xxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxx xxxxxxxxx a
f) xxxxxxx xxxxxxx navrácení xx původního xxxxx.
(3) Xxxxxxx osoba xxxxxxx x §3 xxxx. x), d) a x) xxxxxx xx xxxxxxx xxxxxxxx xxxxxxx xxxxx podle odstavce 2 xxxx. b) xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx testování xxxx xxxxxxxxx xxxxxxxxxxxxx; xxxxx xxxxxxxx o xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx nebo xxxxxxxxx zranitelností, xxxxxxxxx xxxxx §25 xxxx. 1 a xxxxxxx xx xxxxxxxx xxxxxxxxxx.
(4) Xxxxxxx osoba uvedená x §3 písm. x) xxxxxx xx xxxx požadavky podle xxxxxxxx 3 xxxxxxxxx.
§12
Řízení xxxxxxxx
(1) Povinná xxxxx xx základě xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxx opatření, která xxxxxx k xxxxxxxxx xxxxxxx údajů, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx podle §19 x 20, x xxxxx xxxxx xx xxxxxxxx xxxxxx údajů xxxxxxxxxxxx osobou.
(2) Xxxxxxx xxxxx xxxx x xxxxx xxxxxx xxxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx systému
a) řídí xxxxxxx xx xxxxxxx xxxxxx x rolí,
b) xxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx přistupujícímu x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxx x xxxxxxxxx x jedinečný identifikátor,
c) xxxx xxxxxxxxxxxxxx, xxxxxxxxxx xxxxx a xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxx,
x) zavádí bezpečnostní xxxxxxxx xxx xxxxxx xxxxxxxx zařízení x xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxx používání xxxxxxxxx zařízení x xxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx spojená s xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx povinná osoba xxxx xx xxx xxxxxx,
x) omezí xxxxxxxxxxx xxxxxxxxxxxxxxx oprávnění na xxxxxx nezbytně xxxxxx x xxxxxx xxxxxx xxxxx,
x) xxxxx x xxxxxxxxxx používání xxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx xxxx aplikační xxxxxxxx,
x) xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx s xxxxxxxxx řízení přístupu,
i) xxxxxxx xxxxxxxxxx přezkoumání xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxx x xxxx,
x) xxxxxxx xxxxxxx pro správu x xxxxxxxxx identity xxxxx §19 x xxxxxxx xxx xxxxxx xxxxxxxxxxxx oprávnění podle §20,
x) prosazuje, xxx xxxxxxxxx xxx xxxxxxxxx xxxxxxxxxx autentizačních informací xxxxxxxxxx stanovené xxxxxxx,
x) xxxxxxx odebrání nebo xxxxx přístupových oprávnění xxx změně xxxxxx xxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxxxx xxxx xxxxx přístupových xxxxxxxxx xxx xxxxxxxx xxxx xxxxx xxxxxxxxx vztahu x
x) xxxxxxxxxxx přidělování x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx.
§13
Xxxxxxxx, xxxxx x xxxxxx
Xxxxxxx osoba x xxxxxxxxxxx x plánovanou xxxxxxxx, xxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxx podle §5,
x) xxxx xxxxxxxx xxxxx xxxxx §11,
x) xxxxxxx xxxxxxxxxxxx požadavky,
d) zahrne xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxx xxxxxxxx, xxxxxx x údržby,
e) zajistí xxxxxxxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxxxxxx x xxxxxxx ochranu xxxxxxxxxxx xxxxxxxxxxx dat,
f) xxxxxxx xxxxxxxxxxxx testování xxxxxxxxxx xxxx xxxx xxxxxx xxxxxxxxx xx xxxxxxx x
x) xxxx xxxxxxxxx xxxxx §19 xxxx. 3, xx-xx cílem xxxxxxxxx xxxxxxxx xxxx xxxxxx nástroj xxx xxxxxx x xxxxxxxxx xxxxxxxx.
§14
Zvládání xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxxx
(1) Xxxxxxx xxxxx v xxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
x) xxxxxx proces xxxxxxx a vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
b) přidělí xxxxxxxxxxxx x xxxxxxx xxxxxxx pro
1. xxxxxxx x vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx x
2. koordinaci x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxxxxxx xxxxxxx xxx xxxxxxxxxxxx, sběr, xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu,
d) zajistí xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx xx dále xxxx §22 a 23,
f) xxxxxxx, xx xxxxxxxxx, xxxxxxxxxxxxxx, osoby xxxxxxxxxxx xxxxxxxxxxxx xxxx, další xxxxxxxxxxx x xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx a xxxxxxxxx xx jakékoliv xxxxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xxxx xxx rozhodnuto, xxx xxxx xxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx podle §31,
x) xxxxxxx zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx postupů,
i) xxxxxxx xxxxxxxx xxx odvrácení x xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §32,
x) xxxx záznamy o xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx x x xxxxxx xxxxxxxx,
x) prošetří a xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu a
m) xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx x xx xxxxxxx xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxx xxxxxxxxx bezpečnostní xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu.
(2) Xxxxxxx xxxxx uvedená x §3 xxxx. x), x) x x) xxxxxx xxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx xxxxxxx xxxxxxx xxxxx §24.
§15
Xxxxxx xxxxxxxxxx xxxxxxxx
Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxx
x) xxxxxxx práva x xxxxxxxxxx administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) pomocí xxxxxxxxx xxxxx x xxxxxxx xxxxxx xxxxxxxxx a xxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxxx,
x) xx základě xxxxxxx xxxxxxxxx xxxxx x xxxxxxx xxxxxx xxxxx xxxxxxx x) xxxxxxx xxxx řízení xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx úrovně xxxxxxxxxxxxx xxxxxx, která xx xxxxxxxxxx xxx užívání, xxxxxx x xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. doby xxxxxxxx xxxxx, xxxxx xxxxx xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx úroveň poskytovaných xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx, a
3. xxxx obnovení xxx xxxx xxxxxx xxxxxx, xx xxxxx musí xxx xxxxxx obnovena xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxx xx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, která obsahuje xxxxxxxx xxxx podle xxxxxxx x),
x) xxxxxxxxx, xxxxxxxxxxx a pravidelně xxxxxxx plány xxxxxxxxxx xxxxxxxx a xxxxxxxxx xxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x xxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx opatření xxx xxxxxxx odolnosti xxxxxxxxxxxx x komunikačního systému xxxx kybernetickým xxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxxxxxx a xxxxxxx xxx xxx x xxxxxxxxx xxxxx §27.
§16
Xxxxx xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx osoba x xxxxx auditu kybernetické xxxxxxxxxxx
x) xxxxxxx a xxxxxxxxxxx audit dodržování xxxxxxxxxxxx politiky, včetně xxxxxxxxxxx technické xxxxx, x výsledky xxxxxx xxxxxxxx x xxxxx xxxxxxx bezpečnostního xxxxxxxx x plánu xxxxxxxx xxxxx x
x) posuzuje xxxxxx xxxxxxxxxxxxxx xxxxxxxx x nejlepší xxxxx, xxxxxxxx předpisy, vnitřními xxxxxxxx, jinými předpisy x xxxxxxxxx xxxxxxx xxxxxxxxxxxx se x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxx nápravná xxxxxxxx xxx zajištění xxxxxxx.
(2) Xxxxx podle odstavce 1 xx xxxxxxxx
x) xxx xxxxxxxxxx xxxxxxx, x rámci xxxxxx xxxxxxx,
x) x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx po 3 xxxxxx x xxxxxxx xxxxxxx osoby xxxxxxx v §3 xxxx. x) xxxxxx x
x) x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xx 2 xxxxxx x xxxxxxx xxxxxxx xxxxx xxxxxxxxx x písmenu x).
(3) Xxxx-xx v xxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx audit x xxxxxxxxxxx xxxxx xxxxxxxx 2 xxxx. x) x x) x xxxxx xxxxxxx, xx xxxxx xxxxx provádět xxxxxxxx xx xxxxxxxxxxxxxx xxxxxxx. X xxxxxxx xxxxxxx xx xxxxx xxxxx x celém xxxxxxx provést xxxxxxxxxx xx 5 xxx.
(4) Xxxxx kybernetické xxxxxxxxxxx xxxx xxx xxxxxxxx xxxxxx xxxxxxxxxx podmínkám xxxxxxxxxx v §7 xxxx. 4, xxxxx xxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(5) Xxxxxxx xxxxx, která xx xxxxxxxx provozovatelem, předkládá xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx správci xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
XXXXX XX
XXXXXXXXX XXXXXXXX
§17
Xxxxxxx xxxxxxxxxx
Xxxxxxx xxxxx x xxxxx fyzické xxxxxxxxxxx
x) xxxxxxxxx xxxxxxxxx, xxxxxxx xxxx zneužití xxxxx xxxx přerušení poskytování xxxxxx informačního x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxxx xxxxxx, ve xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx, x
x) x fyzického xxxxxxxxxxxxxx xxxxxxxxx stanoveného xxxxx xxxxxxx x) xxxxxx xxxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
1. x xxxxxxxx xxxxxxxxxxxxx vstupu,
2. k xxxxxxxx xxxxxxxxx a xxxxxxxxxxxx xxxxxxx x
3. xxx xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxx x v xxxxx xxxxxxx.
§18
Bezpečnost komunikačních xxxx
Xxxxxxx xxxxx pro xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxx x rozsahu xxxxx §3 xxxx. x)
x) zajistí xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxx komunikace x xxxxx xxxxxxxxxxx sítě x xxxxxxxxx komunikační xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxx dat při xxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxx nebo při xxxxxxxx xx komunikační xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx komunikaci x
x) xxx zajištění xxxxxxxxxx xxxx a xxx xxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxxx využívá xxxxxxx, xxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
§19
Správa x xxxxxxxxx xxxxxxx
(1) Xxxxxxx xxxxx xxxxxxx nástroj pro xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx pro xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxx
x) ověření xxxxxxxx před xxxxxxxxx xxxxxxx x xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxx xxxxxxx xxxxxxxxxxx pokusů o xxxxxxxxxx,
x) odolnost xxxxxxxxx xxxx přenášených xxxxxxxxxxxxxx xxxxx proti xxxxxxxxxxxxx xxxxxxxx a zneužití,
d) xxxxxxxx autentizačních xxxxx xx xxxxx xxxxxx xxxxx offline útokům,
e) xxxxxxxx ověření xxxxxxxx xx určené xxxx xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx při xxxxxx přístupu a
g) xxxxxxxxxxxxxxx xxxxxx xxxxxxx.
(3) Xxxxxxx xxxxx xxx xxxxxxx identity xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx není založený xxxxx xx použití xxxxxxxxxxxxxx xxxx x xxxxx, nýbrž na xxxxxxxxxxxxx autentizaci s xxxxxxx xxxxx xxxxxxx xxxx xxxxxxx.
(4) Do xxxx splnění požadavku xxxxx xxxxxxxx 3 xxxx xxxxxxx xxx xxxxxxx identity xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx klíčů x xxxxxxx xxxxxxxx úroveň xxxxxxxxxxx.
(5) Xx doby xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx 4 musí xxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx, administrátorů x xxxxxxxx, xxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxx x xxxxx, xxxxxxxxx pravidla
a) xxxxx xxxxx alespoň
1. 12 xxxxx x xxxxxxxxx x
2. 17 xxxxx x xxxxxxxxxxxxxx x xxxxxxxx,
x) umožňující xxxxx xxxxx x xxxxx xxxxxxx 64 xxxxx,
x) xxxxxxxxxxx použití xxxxxx x xxxxxxx písmen, xxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxx xxxxx, xxxxxxx xxxxxx xxxx xxxxx xxxxxxx hesla xxxxx xxx kratší xxx 30 minut,
e) xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxxx
1. xxxxxx xx xxxxxxxxxx xxxxxxxxx hesla,
2. xxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxx opakujících se xxxxx, xxxxxxxxxxxxxx xxxxx, x-xxxxx, názvu systému xxxx xxxxxxxx způsobem x
3. opětovné xxxxxxx xxxxx xxxxxxxxxxx xxxxx x xxxxxx alespoň 12 předchozích xxxxx x
x) pro povinnou xxxxx xxxxx v xxxxxxxxx xxxxxxxxx xx 18 měsících, xxxxxxx xxxx xxxxxxxx xx xxxxxxxxxx xx xxxx xxxxxxxx k xxxxxx xxxxxxx v xxxxxxx xxxxxxx.
(6) Xxxxxxx osoba x xxxxxxx xxxxxxxxx xxxxxxxxxxx pouze xxxxx x heslem dále
a) xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx hesla po xxxx xxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx heslo xxxxxxxx x xxxxxxxx xxxxxxxx po xxxx xxxxxx použití xxxx xxxxxxxxx xxxxxxx 60 xxxxx xx xxxx xxxxxxxxx x
x) xxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxx xx xxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxx §9.
§20
Řízení xxxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx xxxxxxx centralizovaný xxxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx xxxxxx oprávnění
a) xxx xxxxxxx k xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) pro xxxxx xxx, xxxxx dat x změnu xxxxxxxxx.
§21
Xxxxxxx xxxx škodlivým xxxxx
(1) Povinná osoba xxxxxxx v §3 xxxx. x), x) x f) xxxxxx x rámci xxxxxxx xxxx xxxxxxxxx xxxxx
x) x xxxxxxx xx xxxxxxxxxx aktiv zajišťuje xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx automatickou ochranu
1. xxxxxxxxx xxxxxx,
2. mobilních xxxxxxxx,
3. serverů,
4. datových xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
5. xxxxxxxxxxx xxxx a prvků xxxxxxxxxxx sítě x
6. xxxxxxxxx xxxxxxxx,
x) monitoruje x xxxx používání xxxxxxxxx xxxxxxxx x xxxxxxxx nosičů,
c) xxxx xxxxxxxxxxx spouštění xxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx nosičů,
d) řídí xxxxxxxxx ke xxxxxxxxx xxxx a
e) provádí xxxxxxxxxxx a účinnou xxxxxxxxxxx xxxxxxxx pro xxxxxxx xxxx xxxxxxxxx xxxxx.
(2) Povinná xxxxx xxxxxxx x §3 xxxx. x) zákona xxxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxx.
§22
Xxxxxxxxxxxxx událostí informačního x komunikačního xxxxxxx, xxxx uživatelů x xxxxxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxx provozní xxxxxxxx xxxxxxxxxx aktiv xxxxxxxxxxxx x xxxxxxxxxxxxx systému x
x) na xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx xxxxx, x kterých je xxxxxxxxxxxxx bezpečnostních x xxxxxxxxxx xxxxxxxx xxxxxxxxx.
(2) Xxxxxxx osoba pro xxxxxxxxxxxxx bezpečnostních x xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 1 zajišťuje
a) xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx původce, je-li x xxxxxxxxxxx síti xxxxxx nástroj, který xxxx jeho xxxxxxx xxxxxxxxxxxx,
x) xxxx informací x xxxxxxxxxxxxxx a xxxxxxxxxx událostech; zejména xxxxxxxxxxx
1. xxxxx x xxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxx,
2. xxx xxxxxxxx,
3. xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, které xxxxxxx xxxxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxx xxxxxx xxxx xxxxxxx provedena,
5. xxxxxxxxxxxx síťovou xxxxxxxxxxxx xxxxxxxx původce a
6. xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx,
x) ochranu informací xxxxxxxxx xxxxx písmen x) a x) xxxx xxxxxxxxxxxx xxxxxx x jakoukoli xxxxxx,
x) xxxxxxxxxxxxx
1. přihlašování a xxxxxxxxxxx ke xxxx xxxxx, x to xxxxxx xxxxxxxxxxx pokusů,
2. xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx,
3. xxxxxxx x xxxxxxxxx xxxxxxxxxx s xxxx, xxxxxxxxxxx a xxxxx,
4. xxxxxxxxxxx činností x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxx,
5. xxxxxxxx uživatelů, které xxxxx mít xxxx xx xxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx,
6. xxxxxxxx a xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx,
7. xxxxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxx aktiv x
8. přístupů x xxxxxxxx o xxxxxxxxxx, xxxxxx x xxxxxxxxxx xx xxxxxxx x xxxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx pro xxxxxxxxxxxxx xxxxxxxx a
e) xxxxxxxxxxxxx xxxxxxxxxx času xxxxxxxxxxx aktiv xxxxxxx xxxxxx xx 24 xxxxx.
(3) Xxxxxxx osoba xxxxxxx x §3 xxxx. x), x) x f) zákona xxxxxxxx záznamy xxxxxxxx xxxxxxxxxxxxx xxxxx odstavce 2 xxxxxxx xx xxxx 18 xxxxxx.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxxx xxxxxxx událostí zaznamenaných xxxxx xxxxxxxx 2 xxxxxxx xx xxxx 12 xxxxxx.
§23
Detekce kybernetických xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxx xxxxx x rámci komunikační xxxx, xxxxx součástí xx xxxxxxxxxx x xxxxxxxxxxx systém, xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx xxxxxxx
x) xxxxxxx x kontrolu přenášených xxx v xxxxx xxxxxxxxxxx xxxx x xxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx x xxxxxxxx xxxxxxxxxxx dat xx xxxxxxxxx xxxxxxxxxxx xxxx x
x) blokování xxxxxxxxx xxxxxxxxxx.
(2) Povinná xxxxx xxxxxxx x §3 xxxx. x), x) x f) xxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí přiměřeně x ohledem xx xxxxxxxxxx xxxxx x xxxxx
x) xxxxxxxxx stanic,
b) xxxxxxxxx xxxxxxxx,
x) xxxxxxx,
x) xxxxxxxx úložišť x xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxxxx prvků x
x) obdobných xxxxx.
§24
Xxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xxxxxxx nástroj xxx sběr a xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx
x) xxxx x xxxxxxxxxxxxx xxxxxxxx zaznamenaných xxxxx §22 x 23,
x) xxxxxxxxxxx x xxxxxxxxxxx souvisejících xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxx xxxxxx bezpečnostní role x xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxxx,
x) vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxx,
x) xxxxxxx případů xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx nastavení xxxxxxxx xxx
1. xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x
2. xxxxxx varování a
f) xxxxxxxxx xxxxxxxxx získaných xxxxxxxxx xxx xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému.
§25
Xxxxxxxxx bezpečnost
(1) Xxxxxxx xxxxx xxxxxxx penetrační xxxxx informačního x xxxxxxxxxxxxx xxxxxxx xx xxxxxxxxx xx xxxxxxxx xxxxxx, x xx
x) xxxx jejich uvedením xx provozu x
x) x souvislosti x xxxxxxxxx změnou xxxxx §11 xxxx. 3.
(2) Xxxxxxx xxxxx xxxx x xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxxx, informací x xxxxxxxxx xxxx
x) xxxxxxxxxxxx činností x
x) xxxxxxxx provedených xxxxxxxx.
§26
Kryptografické xxxxxxxxxx
Xxxxxxx osoba xxx xxxxxxx aktiv xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) používá aktuálně xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x kryptografické xxxxx,
x) xxxxxxx xxxxxx xxxxxx xxxxx a xxxxxxxxxxx, xxxxx
1. xxxxxxx xxxxxxxxxx, xxxxxxxxxx, ukládání, xxxxx, xxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxxxxx x likvidaci xxxxx a
2. xxxxxx xxxxxxxx a xxxxx,
x) xxxxxxxxx xxxxxxxx nakládání x xxxxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxxxx xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx Xxxxxx, xxxxxxxxxx na xxxx xxxxxxxxxxxxx xxxxxxxxx.
§27
Zajišťování xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx xxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx
x) xxxxxxxxxx informačního x komunikačního xxxxxxx xxx xxxxxxx xxxx xxxxx §15,
x) odolnost xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxx kybernetickým xxxxxxxxxxxxx incidentům, xxxxx xx xxxxx xxxxxx xxxx xxxxxxxxxx,
x) dostupnost xxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxx xxxxx xxxxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx.
§28
Xxxxxxxxxx, xxxxxx x xxxxxxx xxxxxxxxxx xxxxxxx
Xxxxxxx xxxxx pro xxxxxxxxx xxxxxxxxxxxx bezpečnosti průmyslových, xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxx a opatření, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxxxx a programových xxxxxxxxxx, xxxxx jsou xxxxxx xx specifického xxxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxx k xxxxxxxxx xxxxxx xxxxxxx x xx xxxxxxxxxxx xxxx,
x) xxxxxxxxx xxxxxxxxxxx sítě xxxxxx xxx xxxx xxxxxxx xx xxxxxxx xxxxxxxxxxxxxx,
x) omezení x xxxxxx vzdáleného xxxxxxxx x xxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx systémů xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx těchto xxxxxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx.
§29
Xxxxxxxxx xxxxxx
(1) Povinná xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx podle xxxxxxxxxxx xxxxxxxx Xxxxxx (XX) 2018/151 xx xxx 30. xxxxx 2018, xxxxxx se stanoví xxxxxxxx xxx xxxxxxxxxxx xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Xxxx (EU) 2016/1148, pokud jde x xxxxxx xxxxxxxxx xxxxx, které xxxx xxxxxxxxxxxxx digitálních xxxxxx xxxxxxxxxxx při xxxxxx xxxxxxxxxxxxxx xxxxx, xxxxx xxxx vystaveny xxxx x informační systémy, x xxxxxxxxx pro xxxxxxxxxx toho, xxx xx xxxxx xxxxxxxxx xxxxxxxx; xxxxxxxxxx §3 xx 28 xx xx xxxx povinnou xxxxx nepoužijí.
(2) Povinná xxxxx xxxxxxx v §3 xxxx. h) xxxxxx hlásí xxxxxxxxx xxxxx podle §34 xxxx. 2.
(3) Xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx hlásí kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxx §32 odst. 2 x 3.
XXXXX XXX
XXXXXXXXXXXX POLITIKA X XXXXXXXXXXXX DOKUMENTACE
§30
Bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx x příloze č. 5,
x) xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxxx, xxx byla xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx aktuální.
(2) Xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxx být
a) xxxxxxxx x xxxxxxxx xxxx elektronické xxxxxx,
x) xxxxxxxxxxxx v xxxxx xxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxx,
x) xxxxxx,
x) xxxxxxxx z xxxxxxx xxxxxxxxxx, integrity x xxxxxxxxxxx x
x) xxxxxx xxx, aby xxxxxxxxx x xxxx xxxxxxxx byly xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x xxxxxx xxxxxxxxxxxx.
XXXX TŘETÍ
KYBERNETICKÝ XXXXXXXXXXXX XXXXXXXX
§31
Xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxx významnosti xxx xxxxxxxxxx
x) xxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxx povinné xxxxx xxxxxx,
x) xxxxx xxxxxxxxx xxxxxxxxx,
x) způsobené xxxx xxxxxxxxxxxxx škody,
d) xxxxxxxxxxx dotčených xxxxx xxxxxxxxxxxx a komunikačního xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx služby xxxxxxxxxxxx x komunikačního xxxxxxx,
x) xxxxxx xx xxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x komunikačními xxxxxxx,
x) xxxxx xxxxxx incidentu,
h) xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx a
i) xxxxxxx xxxxxx.
(2) Xxx xxxxxxx xxxxxxx x zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx xx základě xxxxxxxxxx podle xxxxxxxx 1 kybernetické xxxxxxxxxxxx xxxxxxxxx zařadí xx xxxxxxxxxxxxx kategorií
a) Xxxxxxxxx XXX - xxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx přímo x xxxxxxxx xxxxxxxx bezpečnost xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx xxxxxx xxxxxxxx neprodlené xxxxxx xxxxxxx x xxx, xx musí být xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx dalšímu xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx x xxxxxxxxxxxxx xxxx,
x) Xxxxxxxxx XX - xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx kterém xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx neprodlené xxxxxx xxxxxxx s xxx, xx musí xxx xxxxxxxx prostředky xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxxxxx xxxxxxxxx škod, xxxx
x) Kategorie X - xxxx významný xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx kterém dochází x méně významnému xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx vyžaduje xxxxxx obsluhy x xxx, xx musí xxx xxxxxxxx prostředky xxxxxxx další šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx vzniklých xxxx.
(3) Typy xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle xxxxxx jsou
a) kybernetický xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxx důvěrnosti xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx narušení integrity xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx aktiv, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx v xxxxxxxxx x) až c).
(4) Xxxx ustanovení se xxxxxxxxxx xx kybernetické xxxxxxxxxxxx xxxxxxxxx u xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx.
§32
Forma x náležitosti xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxxxxxxxxxxx bezpečnostní xxxxxxxx xx Úřadu xxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx xxxxxxxx
x) xx adresu xxxxxxxxxxxx pošty Úřadu xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx xxxxxx xxxxxxxx Xxxxx, xxxx
x) prostřednictvím xxxxxxxx xxxxxxxx, pokud xx používáno, jehož xxxxx xx xxxxxxxxx xx internetových xxxxxxxxx Xxxxx.
(2) Xxxxxxxxxxxx bezpečnostní xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx CERT xxxxx xx xxxxxxxxxxxxx formuláři xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX zaslaném
a) xx xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx národního CERT xxxxxxx pro příjem xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx na xxxx internetových xxxxxxxxx,
x) xx datové schránky xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx
x) prostřednictvím internetových xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu je xxxxx xxxxxx x x listinné xxxxxx, xxxxx xxxxx x xxxxxxxxx, kdy xxxxx xxxxxx žádný xx xxxxxxx xxxxxxxxx x xxxxxxxxxx 1 x 2.
(4) Náležitosti xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx
x) identifikace odesilatele,
b) xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) datum x xxx xxxxxxxx xxxxxxxxx x
x) xxxxx xxxxxxxxx.
XXXX XXXXXX
XXXXXXXXX OPATŘENÍ X KONTAKTNÍ XXXXX
§33
Xxxxxxxxx xxxxxxxx
(1) Xxxxxxx xxxxx, xxxxx Xxxx uložil xxxxxxx xxxxxxxxx opatření,
a) xxxxxxx očekávané xxxxxx xxxxxxxxxxx xxxxxxxx xx xxxxxxxxxx a komunikační xxxxxx a xx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxx xxxxxxxxx účinky x
x) xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx tohoto xxxxxxxx, xxxxx xxxxxxxxxxxx jeho xxxxx xxxxxxxxx účinky, x xxxx časový xxxx xxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx, xxxxx Xxxx xxxxxx xxxxxxx xxxxxxxxx xxxxxxxx, oznámí xxxxxx provedení xxxxxxxxxxx xxxxxxxx x jeho xxxxxxxx xx xxxxx xxxxxxx xx internetových xxxxxxxxx Xxxxx.
§34
Xxxxxxxxx údaje
(1) Xxxxxxxxx xxxxx xx Úřadu xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx xxxxxxxx
x) na adresu xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx xxx xxxxxx xxxxxxxx kontaktních xxxxx, xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx xxxxxx schránky Xxxxx, xxxx
x) xxxxxxxxxxxxxxx datového xxxxxxxx, xxxxx xx xxxxxxxxx, jehož xxxxx xx zveřejněn xx xxxxxxxxxxxxx xxxxxxxxx Úřadu.
(2) Xxxxxxxxx xxxxx se xxxxxxxxxxxxx xxxxxxxxx CERT xxxxxxxx xx elektronickém xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx
x) xx adresu xxxxxxxxxxxx xxxxx provozovatele národního XXXX xxxxxxx xxx xxxxxx xxxxxxxx kontaktních xxxxx, zveřejněnou xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxx CERT, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx národního XXXX.
(3) Xxxxxxx kontaktních xxxxx xx xxxxx xxxxxx x x xxxxxxxx podobě, avšak xxxxx v xxxxxxxxx, xxx xxxxx využít xxxxx xx způsobů xxxxxxxxx x xxxxxxxxxx 1 x 2.
(4) Xxxx xxxxxxxx xxxxxxxxxxx xxxxx xx uveden x příloze č. 8 x xxxx vyhlášce.
(5) Povinná xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona, xxxxx je xxxxxxxxxxxxxx, xxxx k hlášení xxxxxxxxxxx xxxxx podle xxxxxxxx 1 xxxxxxxx xxxxxxxx, kterým xx xxxxxxx prokazatelně informuje xxxxx §8 xxxx. 1 xxxx. c).
ČÁST PÁTÁ
ZÁVĚREČNÁ XXXXXXXXXX
§35
Xxxxxxxxx xxxxxxxxxx
(1) V xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, které xxxx xxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, a x xxxxxxx xxxxxxxxxx xxxxxxxxxxxx systémů, u xxxxxxx došlo x xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, xx do xxxxxxx xxxx xxx dne xxxxxx xxxxxxxxx xxxx xxxxxxxx xxx xxxxx x strukturu bezpečnostní xxxxxxxxxxx x xxxxx x rozsah xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx použijí xxxxxxxxxx vyhlášky č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx opatřeních x x stanovení náležitostí xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (vyhláška x kybernetické xxxxxxxxxxx).
(2) X xxxxxxx informačních xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxx xxxx xxxxxx xxxxx dnem xxxxxx xxxxxxxxx této xxxxxxxx, x x xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x xxxxxxx xxxxx k xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxx nabytí účinnosti xxxx xxxxxxxx, xx xx xxxxxxx xxxx xxx xxx nabytí xxxxxxxxx xxxx vyhlášky xxx xxxxxx xxxxxxxxx xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx xxxx vyhláška xxxxxxxxx.
§36
Xxxxxxxxx xxxxxxxxxx
Xxxxxxx se xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech, xxxxxxxxxxx xxxxxxxxxx a x xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (vyhláška o xxxxxxxxxxxx xxxxxxxxxxx).
§37
Xxxxxxxx
Xxxx vyhláška nabývá xxxxxxxxx xxxx xxxxxxxxx.
Xxxxxxx:
Xxx. Xxxxxxxx v. x.
Xxxxxxx x. 1 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx xxxxx
(1) Xxx xxxxxxxxx xxxxxxxxxxx xxxxx jsou v xxxxx xxxxxxx použity xxxxxxxx x xxxxxxx xxxxxxxx x xxxxxxxx xx, xxxx xxxxx xx xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx u xxxxxxxxxxxx aktiv. Xxxxxxx xxxxx xxxx xxxxxxxx xxxxxxx xxxxx úrovní xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxx jaký xx xxxxxx x xxxx příloze, xxxxxx-xx xxxxxxxxxxx vazby xxxx xxxx používaným xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx x xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxx v xxxx příloze.
(2) Je xxxxxxxxxx, xxx xx xxxxx povinná osoba xxxx xxxxxxxx matice xxxxxxxxxxxx xxxx xxxxxxxx.
Xxx. 1: Stupnice xxx xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Příklady xxxxxxxxx xx ochranu xxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx xxxxxxxxx xxxx xxxx xxxxxx xx xxxxxxxxxx. Xxxxxxxx xxxxxxxxxx aktiv neohrožuje xxxxxxxxx zájmy xxxxxxx xxxxx. X xxxxxxx xxxxxxx xxxxxxxx aktiva x xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx xxx. xxxxxxx light xxxxxxxxx (dále xxx "XXX") je využíváno xxxxxxxx TLP:WHITE. |
Není xxxxxxxxxx xxxxx ochrana. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxx xxxx-xxx xxxxxxx xxxxx, ochrana xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxx předpisem xxxx smluvním ujednáním. V xxxxxxx sdílení takového xxxxxx x xxxxxxx xxxxxxxx a použití xxxxxxxxxxx xxxxx TLP xx xxxxxxxxx xxxxxxx xxxxxxxx XXX:XXXXX xxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx využívány prostředky xxx řízení xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x jejich xxxxxxx je vyžadována xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (xxxxxxxxx obchodní xxxxxxxxx, osobní xxxxx). X xxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx x použití xxxxxxxxxxx xxxxx TLP xx xxxxxxxxx xxxxxxx xxxxxxxx TLP:AMBER. |
Pro ochranu xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx a zaznamenávání xxxxxxxx. Přenosy xxxxxxxxx xxxxxxxxxxx xxxx jsou xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx a xxxxxxxx nadstandardní xxxx xxxxxxx xxx xxxxx xxxxxxxxx kategorie (xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxx kategorie osobních xxxxx). X xxxxxxx xxxxxxx xxxxxxxx xxxxxx s xxxxxxx stranami x xxxxxxx xxxxxxxxxxx xxxxx XXX xx využíváno xxxxxxx označení XXX:XXX xxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx x zaznamenávání xxxxxxxx. Xxxx xxxxxx xxxxxxx zabraňující xxxxxxxx xxxxx xx xxxxxx xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxx. 2: Xxxxxxxx pro xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx požadavků xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx neohrožuje xxxxxxxxx xxxxx povinné xxxxx. |
Xxxx vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx vyžadovat xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx vést x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxx xx xxxxxxxx xxxx xxxxxxxxx xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxxx xxxxxxxx (například xxxxxxx xxxxxxxxxxxx xxxx pro xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx aktiva xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx x xxxxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu integrity xxxx využívány speciální xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx a xxxxxxxxxx xxxxxxxx xxxxx provádějící xxxxx. Ochrana integrity xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx je zajištěna xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx xxxx x xxxxx xxxxxxx poškození xxxxxxxxxxx xxxxx xxxxxxx xxxxx s xxxxxxx x xxxxx vážnými xxxxxx na xxxxxxxx xxxxxx. |
Xxx ochranu integrity xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx identifikace xxxxx provádějící xxxxx (xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx podpisu). |
Tab. 3: Xxxxxxxx xxx hodnocení xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx požadavků na xxxxxxx aktiva |
|
Nízká |
Narušení xxxxxxxxxxx xxxxxx není důležité x x případě xxxxxxx je xxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx pro xxxxxxx (xxx do 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx xx postačující pravidelné xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xx nemělo xxxxxxxxx xxxx pracovního xxx, xxxxxxxxxxxxx výpadek xxxx x xxxxxxx ohrožení xxxxxxxxxxx zájmů xxxxxxx xxxxx. |
Xxx ochranu xxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx dostupnosti xxxxxx xx xxxxxx překročit xxxx několika hodin. Xxxxxxxx xxxxxxx xx xxxxx xxxxx xxxxxxxxxx, xxxxxxx xxxx k xxxxxxx xxxxxxxx oprávněných xxxxx povinné xxxxx. Xxxxxx xxxx považována xx xxxxx důležitá. |
Pro xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx xxxxxxx x obnova xxxxxxxxxxx xxxxxx může xxx xxxxxxxxx zásahy xxxxxxx xxxx výměnou xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xxxx xxxxxxxxx x x krátkodobá xxxxxxxxxxxx (x xxxx xxxxxxxx xxxxx) vede x xxxxxxx xxxxxxxx oprávněných xxxxx povinné xxxxx. Xxxxxx jsou xxxxxxxxxx xx kritická. |
Pro xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx poskytování služeb xx krátkodobá a xxxxxxxxxxxxxx. |
Příloha x. 2 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx xxxxx
(1) Xxxxxxxxxxx xxxxxxxxx xxxxxx xxx xxxxxx xxxxxx xx nezbytnou xxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx podle §5.
(2) Xxxxxxx rizika je xxxxxxxxxx vyjádřena jako xxxxxx, xxxxxx xxxxxxxxx xxxxx, hrozba x xxxxxxxxxxxx.
(3) Xxx xxxxxxxxx xxxxx xxx xxxxxx xxxxxxxxx xxxx xxxxxx:
Xxxxxx = xxxxx x xxxxxx x zranitelnost.
(4) Xxxxx xx v xxxxx xxxxxxx xxxxxxx x hodnocení xxxxx xxxxx přílohy č. 1.
(5) X xxxxxxx, že xxxxxxx xxxxx využívá xxxxxx xxx xxxxxxxxx rizik, xxxxx nerozlišuje hodnocení xxxxxx a zranitelnosti, xx xxxxx stupnice xxx xxxxxxxxx xxxxxx x zranitelností xxxxxxx. Xxxxxxxx xxxxxxx xx xxxxxx vést xx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxx hrozby x xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx vyjádří xxx xxxxxx xxxxxx, xxx x úroveň xxxxxxxxxxxxx. Xxxxxxx xx postupuje x x případech, xxx xxxxxxx xxxxx xxxxxxx xxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx x rizik.
Tab. 1: Xxxxxxxx pro xxxxxxxxx xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx neexistuje nebo xx xxxx pravděpodobná. |
|
Střední |
Hrozba xx xxxx xxxxxxxxxxxxx xx pravděpodobná. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx velmi xxxxxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx je xxxxx xxxxxxxxxxxxx až xxxxxxxx xxxxx. |
Xxx. 2: Stupnice xxx xxxxxxxxx xxxxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx nebo je xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxx zavedena xxxxxxxxxxxx xxxxxxxx, která xxxx schopna xxxx xxxxxxxxx možné xxxxxxxxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxxxxxxxxxx až xxxxxxxxxxxxx. Xxxx zavedena xxxxxxxxxxxx xxxxxxxx, xxxxxxx účinnost xx xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx opatření xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx nebo xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx xx xxxxxxx. Xxxxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxxxx je xxxxxxxxxxxxx xx velmi xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx všechny xxxxxxxx xxxxxxx x xxxx pravidelně xxxxxxxxxxxx. Xxxx známé dílčí xxxxxxx pokusy x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx je xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx realizována nebo xx jejich xxxxxxxx xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Jsou xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
Xxx. 3: Xxxxxxxx xxx xxxxxxxxx xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx je xxxxxxxxxx xx akceptovatelné. |
|
Střední |
Riziko xxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx x případě vyšší xxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxx xxxxxxxxxxx x xxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx x xxxx xxx xxxxxxxxxx xxxxxxxx xxxxx x jeho xxxxxxxxxx. |
Příloha č. 3 x xxxxxxxx č. 82/2018 Sb.
Zranitelnosti x xxxxxx
Xxxxxxxxxx: Xxxx příloha xxxxxxxx jen vybrané xxxxxxxxx xxxxxxxxxxxxx x xxxxxx. Xxxxxxxxxxxx konkrétních xxxxxxxxxxxxx x xxxxxx xx odpovědností xxxxxxx xxxxx.
Xxxxxxxxxxxxx
1. nedostatečná údržba xxxxxxxxxxxx a komunikačního xxxxxxx,
2. xxxxxxxxxxx informačního x komunikačního xxxxxxx,
3. xxxxxxxxxxxx ochrana vnějšího xxxxxxxxx,
4. nedostatečné bezpečnostní xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
5. xxxxxxxxxxxx údržba xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
6. xxxxxxxx nastavení xxxxxxxxxxxx xxxxxxxxx,
7. nedostatečné xxxxxxx xxx identifikování x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, kybernetických xxxxxxxxxxxxxx událostí a xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
8. xxxxxxxxxxxx xxxxxxxxxxxx činnosti xxxxxxxxx x xxxxxxxxxxxxxx x neschopnost xxxxxxx xxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxx,
9. xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, nepřesné nebo xxxxxxxxxxxxx xxxxxxxx práv x povinností xxxxxxxxx, xxxxxxxxxxxxxx a bezpečnostních xxxx,
10. nedostatečná xxxxxxx xxxxx,
11. nevhodná bezpečnostní xxxxxxxxxxxx,
12. xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
13. xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx zaměstnanců.
Hrozby
1. xxxxxxxx bezpečnostní politiky, xxxxxxxxx neoprávněných xxxxxxxx, xxxxxxxx xxxxxxxxx ze xxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
2. poškození xxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
3. zneužití xxxxxxxx,
4. užívání xxxxxxxxxxxx xxxxxxxx v xxxxxxx x xxxxxxxxxx podmínkami,
5. xxxxxxxx kód (xxxxxxxxx xxxx, xxxxxxx, xxxxxxx xxxx),
6. xxxxxxxx xxxxxxx xxxxxxxxxxx,
7. xxxxxxxxx poskytování xxxxxx elektronických xxxxxxxxxx xxxx dodávek elektrické xxxxxxx,
8. xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxx xxxxx,
9. xxxxxx, odcizení xxxx xxxxxxxxx xxxxxx,
10. xxxxxxxxxx xxxxxxxxx závazku xx xxxxxx dodavatele,
11. xxxxxxxxx xx xxxxxx zaměstnanců,
12. xxxxxxxx vnitřních prostředků, xxxxxxx,
13. dlouhodobé xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx nebo xxxxxx xxxxxxxxxx xxxxxx,
14. nedostatek xxxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
15. xxxxxx xxxxxxxxxxxx útok xxxxxx xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx,
16. xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nosičů xxx,
17. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx (xxxxxxxxx, xxxxxxxxxx).
Xxxxxxx x. 4 x vyhlášce x. 82/2018 Sb.
Likvidace xxx
(1) Xxxx příloha xxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx xxx x xxxxxxx xxxxxxxxx technických xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx.
(2) Xxxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx xx xxxxxxx xxxxxxxx xxx xxxxxx xxx a xxxxxxxxx xxxxxxxxxxx nosičů xxx x xxxxxxx x xxxxx xxxxxxxx. Xxx xxxxxx xxxxxxx xxxxxxxxxx podle jiných xxxxxxxx xxxxxxxx. Xx xxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxx pravidel xxx mazání xxx x likvidaci technických xxxxxx xxx, xxxxxxxx x xxxxxxx x xxxxxxxxxxx aktiv.
(3) Xxxxxxxx xxx xxxxxxxxx xxx xx xxxx být xxxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxx x měla by xxxxxxx zohledňovat
a) xxxxxxx xxxxxx (xxxxxxx x xxxxxxx xxxxxxxxxx),
x) xxxxxxxxxxx (xxxx a velikost xxxxxx informace),
c) xxx xx xxxxx informace xxxxxxx xxx xxxxxxxxx xxxxxxxxxx či xxxxxxx,
x) xxx jsou data xxxxxxxx dedikovaného xxxx xxxxxxxxxxxxxxx xxxxxxxxx,
x) xxx xxxx xxxxxxxxx dat xxxxxxxx (interní xxxxxxxxxxx, xxxx xxxxxxxxx),
x) xxxxxxxxxx xxxxxxxx x nástrojů xxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) xxx xx x xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) časovou xxxxxxxxx xxxxxxxxx,
x) cenu xxxxxxxxx s ohledem xx nástroje, xxxxxxx, xxxxxxxx, xxxxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) možné xxxxxxx xxxxxxxxx xxx (xxxxxxxxx zničením nosiče, xxxxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxx, znečitelněním xxx xxxxxx šifrováním x xxxxxxx),
x) použitelné xxxxxxx xxxxxxxxx xxx xxxxxxxx xx xxxxx nosiče xxxxxxxxx (xxxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxx xxxxx použít xxxxxxxx xxxxxxx informace, xxx xxxxxxx xx xxxxxxx xxxxxxx xxxxxxxxx).
(4) Xxxxxxx xxxxxxxxx xxxxxxxxxxx nosičů xxxxxxxxx, provozních údajů, xxxxxxxxx x xxxxxx xxxxx:
x) Odstranění
1. Xxxxxx xxxxxxxxx spočívá v xxxxxxxxxx xxx xxx, xxx xxxx xxx xxxxxx nedostupná (xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxx, xxxxxxxx tištěného dokumentu xx odpadu).
2. Jde x xxxxxxx bezpečný xxxxxx likvidace xxx. X xxxxxxx získání xxxxxx xxxxxxxxx je xxxxx s xxxxxxxxxxx xxxxxxxx úsilí xxxxxxxxx xxxxxxx.
3. Xxxx xxxxxx xxxx použitelná xxx xxxxxx xxxxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxx xxxxx.
4. Xxxxxxxxxx xxxxxx xxx xxxxxx důvěrnosti xxxxxx (xxxxxxx x přílohy č. 1): xxxxx.
x) Přepsání
1. Xxxxxx xxxxxxxxx spočívá v xxxxxxxx xxxxxxxx informace xxxxxxxxxx xxxxxxxxx.
2. Jde x středně bezpečný xxxxxx xxxxxxxxx xxx. Xxxxx dostupné nástroje xxxxxxxxxx obnovení xxxxxxxxxx xxxxxxxxx.
3. Xxxxxxxx může xxx xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxxx klíčů x xxxxxxxxxxx xxxxxxxxx.
4. Xxxx xxxxxx xxxx vhodná xxx xxxxxxxxx média, xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx, případně pro xxxxx x velkou xxxxxxxxx.
5. Xxxxxxxxxx způsob xxx xxxxxx důvěrnosti xxxxxx (xxxxxxx x přílohy č. 1): xxxxx xx xxxxxxxx.
x) Fyzická xxxxxxxxx xxxxxx xxxxxxxxx
1. Způsob xxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxx v xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx nosiče informace (xxxxxxxxxxx, xxxxxxxxx xx xxxxxxxx působením).
2. Jde x xxxxxxxxxxxxxx metodu xxxxxxxxx xxx. Nosič xxxxxxxxx xx xxxxxxx xxxxxxxxx nelze xxxxx xxxxxx xxx původní xxxx. Původní informace xxxx možné xxxxxxx xxx xxx vynaložení xxxxxxx xxxxxxxx prostředků x xxxxx.
3. Použitelný xxxxxx xxxxxxxxx pro xxxxxx důvěrnosti xxxxxx (xxxxxxx x přílohy č. 1): xxxxxxx až xxxxxxxx.
Xxxxxxx xxxxxxx způsobů likvidace xxxxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1)
|
Xxxxxxxxx xxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxxx xxxxxx |
|||||
|
Xxxxx xxxxxxxxx |
1. Nízká |
2. Xxxxxxx |
3. Xxxxxx |
4. Kritická |
|
|
Informace xx xxxxxx xxxxxxxx xxxxxx (xxxxxxx xxxxxxxxx, xxxxxxxx x xxxxxxx) |
Xxxxxxxxxx: Xxxxxxxx xx odpadu. |
Přepsání: Xxxxxxxxx. |
Xxxxxxx likvidace: |
||
|
Xxxxxxx xxxxxxxxx: |
|||||
|
Xxxxxxx xxxxxxxx (xxxxxxx telefony, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxx xxxxxxxx (xxxxxx, xxxxxx, modem x xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Kancelářské xxxxxxxx (xxxxxxx, xxxxxxxx, xxx) |
|||||
|
Xxxxxxxxxx xxxxx (xxxxxxxxxx xxxxx, xxxxx, XXX [Xxxx Xxxx Xxxxx]) |
Xxxxxxxxxx: |
Přepsání: |
|||
|
Xxxxxxx xxxxx (XX, XXX, HD-DVD, XXX-XXX) |
Xxxxxxx xxxxxxxxx: |
||||
|
Xxxxxxx xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx xxxxx (flash xxxxxx) |
|||||
|
Xxxxxxxxxxx x xxxxx |
Xxxxxxxxx xxxxxx xxxxxxxxx xxx xx xxx xxx xxxxxxxx xxxxxxxx xxxxxxxxx. |
||||
|
Xxxxxxxxxx: |
Xxxxxxxx: |
Přepsání: |
Xxxxxxxx/xxxxxxx xxxxxxxxx: |
||
|
Xxxxxxxxxxxx x xxxxxxx dedikovaného xxxxxxxxxx xxxxx xx xxxxx xxxx xx xxxxxxxx xxxxxx přepsat. |
|||||
Xxxxxxx x. 5 x xxxxxxxx x. 82/2018 Sb.
Obsah xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx
1. Xxxxxxxxxxxx xxxxxxxx
1.1. Xxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Xxxx, xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx x hranice xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Pravidla a xxxxxxx xxx xxxxxx xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti.
f) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx nápravná xxxxxxxx x zlepšování systému xxxxxx bezpečnosti informací.
1.2. Xxxxxxxx xxxxxx xxxxx
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx aktiv
1. xxxxxx x evidence xxxxxxxxxxxx primárních xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. hodnocení xxxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx důvěrnosti, integrity x xxxxxxxxxxx.
x) Identifikace, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x evidence xxxxxxxxxxxx xxxxxxxxxx aktiv xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx xxxxx mezi xxxxxxxxxx x podpůrnými xxxxxx.
x) Xxxxxxxx ochrany xxxxxxxxxxxx xxxxxx aktiv
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx aktiv,
2. pravidla xxx xxxxxxxxxx x xxxxxxxx xxxxx podle xxxxxx aktiv,
3. xxxxxxxxx xxxxxxx xxxxxxxxx aktiv.
d) Xxxxxxx xxxxxxxxxxxx xxxxxx xxxx ničení xxxxxxxxxxx xxxxxx dat, xxxxxxxxx, xxxxxxxxxx xxxxx a xxxxxx xxxxx.
1.3. Xxxxxxxx xxxxxxxxxxx bezpečnosti
a) Xxxxxx xxxxxxxxxxxxxx rolí a xxxxxx práv x xxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx výkonu xxxxxxxx xxxxxxxxxxxx bezpečnostních xxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx rolí.
1.4. Xxxxxxxx xxxxxx xxxxxxxxxx
x) Pravidla x xxxxxxxx pro xxxxx xxxxxxxxxx.
x) Pravidla xxx xxxxxxxxx xxxxx xxxxxxxxxxxxx s xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx o xxxxxx služeb x xxxxxxx a xxxxxx xxxxxxxxx bezpečnostních xxxxxxxx x x xxxxxx xxxxxxxx smluvní xxxxxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.
1.5. Xxxxxxxx xxxxxxxxxxx lidských zdrojů
a) Xxxxxxxx rozvoje bezpečnostního xxxxxxxx x xxxxxxx xxxx hodnocení
1. xxxxxxx x xxxxx xxxxxxx xxxxxxxxx,
2. xxxxxxx x xxxxx xxxxxxx garantů xxxxx,
3. způsoby x xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx xxxxxxx xxxx zastávajících xxxxxxxxxxxx xxxx.
x) Bezpečnostní xxxxxxx xxxxxx zaměstnanců.
c) Xxxxxxxx pro řešení xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx ukončení pracovního xxxxxx xxxx xxxxx xxxxxxxx xxxxxx
1. xxxxxxx xxxxxxxxx xxxxx a xxxxxxxx práv xxx xxxxxxxx pracovního xxxxxx,
2. xxxxx přístupových xxxxxxxxx xxx xxxxx pracovní xxxxxx.
1.6. Xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx
x) Xxxxxxxxx a xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx.
x) Postupy xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx a xxxxxxxxx xxxxxxxxxx provozu.
d) Xxxxxxxx a omezení xxx provádění xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxxxx testů.
1.7. Xxxxxxxx xxxxxx xxxxxxxx
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx to know).
b) Xxxxxxxxx xx xxxxxx xxxxxxxx.
x) Xxxxxxx cyklus xxxxxx přístupu.
d) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxxx.
x) Pravidelné přezkoumání xxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxx jednotlivých uživatelů x xxxxxxxxxxxx xxxxxxxxx.
1.8. Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx
x) Xxxxxxxx pro xxxxxxxx nakládání s xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx x přístupu na xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx xxxxxxx xx sociálních xxxxxx.
x) Xxxxxxxxxx xx vztahu x xxxxxxxx xxxxxxxxx.
1.9. Xxxxxxxx xxxxxxxxxx x xxxxxx a dlouhodobého xxxxxxxx
x) Požadavky xx xxxxxxxxxx a obnovu.
b) Xxxxxxxx a xxxxxxx xxxxxxxxxx.
x) Pravidla x xxxxxxx dlouhodobého ukládání.
d) Xxxxxxxx xxxxxxxxxx zálohování x dlouhodobého xxxxxxxx xxxxxxxxx.
x) Pravidla a xxxxxxx xxxxxx.
x) Pravidla x postupy testování xxxxxxxxxx a xxxxxx.
x) Xxxxxxxx xxxxxxxx x xxxxxxx, xxxxxxxxx xxxxxxxxxx.
1.10. Xxxxxxxx bezpečného předávání x xxxxxx informací
a) Xxxxxxxx a xxxxxxx xxx ochranu xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx ochrany.
1.11. Politika xxxxxx technických zranitelností
a) Xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a postupy xxxxxxxxxxx opravných programových xxxxxxx.
x) Xxxxxxxx x xxxxxxx testování oprav xxxxxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxx xxxxx programového xxxxxxxx.
1.12. Xxxxxxxx xxxxxxxxxx používání xxxxxxxxx xxxxxxxx
x) Xxxxxxxx x postupy xxx xxxxxxxx používání mobilních xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx zajištění xxxxxxxxxxx xxxxxxxx, která xxxxxxx xxxxx xxxx xx své správě.
1.13. Xxxxxxxx xxxxxxxx, xxxxxx x údržby
a) Bezpečnostní xxxxxxxxx xxx xxxxxxxx, xxxxx a xxxxxx.
x) Xxxxxx xxxxxxxxxxxxx.
x) Politika xxxxxxxxxxx x nabývání xxxxxxx xxxxxxxxxxxx vybavení x xxxxxxxxx
1. xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxxx vybavení x xxxx evidence,
2. xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
1.14. Politika xxxxxxx xxxxxxxx xxxxx
x) Charakteristika xxxxxxxxxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx organizačních xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
x) Popis přijatých x xxxxxxxxxxx technických xxxxxxxx xxx ochranu xxxxxxxx xxxxx.
1.15. Xxxxxxxx xxxxxxx bezpečnosti
a) Pravidla xxx ochranu xxxxxxx.
x) Xxxxxxxx pro xxxxxxxx xxxxxx osob.
c) Pravidla xxx xxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxx fyzické xxxxxxxxxxx.
1.16. Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx sítě
a) Pravidla x postupy xxx xxxxxxxxx xxxxxxxxxxx sítě.
b) Xxxxxx xxxx x xxxxxxxxxx xx xxxxxxxx xxxxxx sítě.
c) Xxxxxxxx x postupy xxx xxxxxx xxxxxxxx v xxxxx xxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxxx přístupu x síti.
e) Xxxxxxxx x xxxxxxx pro xxxxxxxxxxxx xxxx a xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
1.17. Xxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx
x) Xxxxxxxx x postupy xxx xxxxxxx xxxxxx xxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxx x sdílených xxxxxxxx xxxxxxx.
x) Pravidla a xxxxxxx pro xxxxxxx xxxxxxxxxx xxxxxx.
1.18. Politika xxxxxxxx x používání xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
x) Xxxxxxxx a xxxxxxx xxxxxxxx nástroje xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx xxxxxxxxxxxxx x xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx události.
c) Xxxxxxxx x xxxxxxx xxx optimalizaci xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.19. Xxxxxxxx xxxxxxx a xxxxxx nástroje xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí
a) Xxxxxxxx x postupy xxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxx nastavení xxxxxxxxxxxxxx xxxxxxxxxx nástroje xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.20. Politika xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx ochrany
a) Xxxxxx xxxxxxx s xxxxxxx xx typ x sílu xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx xxxxxxx po xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx xx xxxxxxx xxxxxxxx xxxx vyměnitelný xxxxxxxxx xxxxx dat.
c) Xxxxxx xxxxxx klíčů.
1.21. Xxxxxxxx xxxxxx xxxx
x) Xxxxxx x principy xxxxxx xxxxxxxxxx xxxx v xxxxx xxxxxxx xxxxx, xxxxxx xxxxxxxxx, xxxxxxxxxxxx x komunikačních xxxxxxxxx.
x) Xxxxxxxxxxxxx xxxxxx xxxxxxxxxx xxxx.
x) Xxxxxx xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxx změn.
1.22. Xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
x) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu.
b) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx kybernetických bezpečnostních xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx systému xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x pro xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Evidence xxxxxxxxx.
1.23. Xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx
x) Práva x xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxx xxxxxx xxxxxxxxxx xxxxxxxx
1. minimální xxxxxx poskytovaných služeb,
2. xxxx xxxxxxxx xxxxx,
3. xxx obnovení dat.
c) Xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxx naplnění xxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx na xxxxxxxxxx x posuzování xxxxxxxxxxxxx xxxxx.
x) Xxxxxx x obsah xxxxxxxxxx xxxxx kontinuity x xxxxxxxxxxx plánů.
f) Xxxxxxx xxx xxxxxxxxx opatření xxxxxxxx Xxxxxx.
2. Xxxxx xxxxxxxxxxxx xxxxxxxxxxx
2.1. Xxxxxx x auditu kybernetické xxxxxxxxxxx
x) Xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Identifikování xxxx xxxxxxxx a osob, xxxxx xx auditu xxxxxxxxxxxx bezpečnosti xxxxxxxxxx.
x) Xxxxx x místo, xxx xxxx prováděny xxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Zjištění x auditu kybernetické xxxxxxxxxxx.
x) Xxxxxx auditu xxxxxxxxxxxx bezpečnosti.
2.2. Xxxxxx x přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx informací
a) Xxxxxxxxxxx opatření z xxxxxxxxxxx xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxxxx xxxx a xxxxxxxxx, které xxxxx xxx xxxx xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Zpětná vazba x výkonnosti řízení xxxxxxxxxxx informací
1. neshody x nápravná opatření,
2. xxxxxxxx xxxxxxxxxxxx a xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx xxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx xxxxx x stav xxxxx xxxxxxxx xxxxx.
x) Identifikace xxxxxxxx xxx neustálé xxxxxxxxxx.
x) Doporučení xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
2.3. Xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxx xxxxx
x) Xxxxxx stupnice xxx xxxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxxx xxxxx,
2. určení xxxxxxxx xxx hodnocení xxxxxx integrity xxxxx,
3. xxxxxx stupnice xxx xxxxxxxxx xxxxxx dostupnosti xxxxx.
x) Xxxxxx stupnice xxx xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxx,
2. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxx.
x) Xxxxxx x přístupy xxx xxxxxxxx rizik.
d) Xxxxxxx xxxxxxxxxxx akceptovatelných xxxxx.
2.4. Xxxxxx x xxxxxxxxx xxxxx a xxxxx
x) Přehled xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx garantů xxxxxxxxxx xxxxx,
3. xxxxxxxxx primárních xxxxx z xxxxxxxx xxxxxxxxxx, integrity x xxxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx x xxxxx podpůrných aktiv,
2. xxxxxx xxxxxxx podpůrných xxxxx,
3. xxxxxx xxxxx xxxx primárními x xxxxxxxxxx xxxxxx.
x) Xxxxxxxxx xxxxx
1. posouzení možných xxxxxx na aktiva,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx existujících xxxxxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx úrovně xxxxxx, xxxxxxxxx xxxx xxxxxx x kritérii pro xxxxxxxxxxxxxxxx rizik,
5. xxxxxx x schválení xxxxxxxxxxxxxxxx xxxxx.
x) Zvládání rizik
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. návrh xxxxxxxx x xxxxxx realizace.
2.5. Xxxxxxxxxx x xxxxxxxxxxxxxxxx
x) Xxxxxxx xxxxxxxxxxx bezpečnostních xxxxxxxx požadovaných touto xxxxxxxxx xxxxxx zdůvodnění, xxxx nebyla xxxxxxxxxx.
x) Xxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxxx.
2.6. Xxxx xxxxxxxx xxxxx
x) Xxxxx x xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx xxxxxx xxxxx xx xxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxx zajišťující xxxxxxxxxx bezpečnostní opatření xxx xxxxxxxx xxxxx.
x) Xxxxxxx zavedení xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Způsob xxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxx hodnocení úspěšnosti xxxxxxxx jednotlivých xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
2.7. Xxxx rozvoje xxxxxxxxxxxxxx povědomí
a) Obsah x termíny xxxxxxx xxxxxxxxx, administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxx a xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
x) Xxxxx x xxxxxxx hodnocení plánu.
2.8. Xxxxxxxx xxxx
x) Evidence xxxxxxxxx xxxxx xxxxxxxxxx xxxx.
x) Záznamy x xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx.
2.9. Xxxxxxx xxxxxxxxx xxxxx
Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx.
2.10. Xxxxxxx xxxxxx xxxxxxxxx právních xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx předpisů a xxxxxxxxx xxxxxxx
x) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxx.
2.11. Další xxxxxxxxxx xxxxxxxxxxx
x) Topologie infrastruktury.
b) Xxxxxxx síťových xxxxxxxx.
Xxxxxxx č. 6 x vyhlášce x. 82/2018 Xx.
Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x bezpečnostní xxxx
Xxxx xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx požadavků xxx xxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx role uvedené x §6 a 7.
Xxx. 1: Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxx xxxxxx a xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxx xxxxxxx xxxxx. |
|
Další xxxxxxxx: |
x) Xxxx xxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx xxxx xxx xxxxxxx |
Xxx. 2: Xxxxxxx xxxxxxxxxxxx bezpečnosti
|
Role: |
Manažer kybernetické xxxxxxxxxxx |
|
Xxxxxxx činnosti: |
a) Odpovědnost xx xxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx řady XXX/XXX 27000 a xxxxxxx xxxxx x xxxxxxx xxxxxxxxxxx x ICT. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx v xxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Information Xxxxxxxx Xxxxxxx (CISM), Certified xx Xxxx and Xxxxxxxxxxx Systems Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Security Xxxxxxxxxxxx (XXXXX), Xxxxxxx XX (xxxxxxxxxxx xxxxxx ČIA). |
|
Další xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx x xxxxxx xxxxxxxxxxx xx provoz xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx a s xxxxxxx xxxxxxxxxx xx xxxxxxxx rolemi. |
Xxx. 3: Xxxxxxxxx kybernetické xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx kybernetické xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Odpovědnost za xxxxx implementace bezpečnostních xxxxxxxx. |
|
Xxxxxxxx: |
x) Architektura xxxxxxxxxxxx x komunikačních xxxxxxx x xxxx navrhování. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx v oboru xxxxxxxxxx xxxx kybernetické xxxxxxxxxxx, nebo |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxx Xxxxxx (XXX), CompTIA Security +, Xxxxxxxxx Information Xxxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx xx Risk xxx Information Xxxxxxx Xxxxxxx (CRISC), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Xxxxxxxx Xxxxxxxxxxxx (XXXXX), Xxxxxxx XX (akreditační schéma XXX). |
|
Xxxxx xxxxxxxx: |
Xxxx xxxx xxxxxxxxxx x rolemi xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx x komunikačních xxxxxxx. |
Xxx. 4: Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
Xxxxxxxxx auditu xxxxxxxxxxxx bezpečnosti. |
|
Znalosti: |
a) Xxxxxxxxxxx x rámce xxxxxx xxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxx xxxxxx xxxxxxxxxx nebo xxxxxxxxxxxx bezpečnosti. |
|
Xxxxxxxx a xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx v xxxxxxx xxxxxx xxxxxxxxxx nebo xxxxxxxxxxxx bezpečnosti, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXX), Certified Xxxxxxxx Xxxxxxx (XXX), Xxxxxxxxx xx Xxxx and Xxxxxxxxxxx Systems Control (XXXXX), Xxxx Xxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxxxxx Xxxxxx (Xxxx Xxxxxxx XXXX), Xxxxxxx BI (xxxxxxxxxxx schéma XXX). |
|
Xxxxx xxxxxxxx: |
x) Role xxxx xxxxxxxxxx x xxxxxx |
Xxx. 5: Xxxxxx aktiva
|
Role: |
Garant aktiva |
|
Klíčové xxxxxxxx: |
x) Odpovědnost xx xxxxxxxxx xxxxxxx, použití x xxxxxxxxxxx xxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx xxxxxxx xxxxxx, xxxxx je xxxxxxxx. |
* Xxxxxxxxxxx xxxx xxx x xxxx xxx xxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx odbornou xxxxxxxxxxx xxxxxxxxxxxxxx xxxx splňuje xxxxxxxxx XXX 17 024.
Příloha x. 7 x xxxxxxxx x. 82/2018 Xx.
Xxxxxx xxxxxxxxxx - bezpečnostní opatření xxx xxxxxxx vztahy
Obsah xxxxxxx xxxxxxxxx x xxxxxxxxxx dodavateli:
a) xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx (x pohledu důvěrnosti, xxxxxxxxxxx x xxxxxxxxx),
x) xxxxxxxxxx x xxxxxxxxx xxxxxx xxxx,
x) xxxxxxxxxx x xxxxxxxxx programového xxxx, popřípadě o xxxxxxxxxxxx licencích,
d) xxxxxxxxxx x xxxxxxxx x xxxxxx xxxxxxxxxx (xxxxxxxx xxxxxxxxxxxx auditu),
e) ustanovení xxxxxxxxxx řetězení dodavatelů, xxxxxxx xxxx xxx xxxxxxxxx, že xxxxxxxxxxxxx xx xxxxxx xxxxxxxxx x xxxxx xxxxxxx xxxxxxxx mezi xxxxxxxx xxxxxx a dodavatelem x nebudou x xxxxxxx s požadavky xxxxxxx xxxxx xx xxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx dodavatele xxxxxxxxx xxxxxxxxxxxx politiky xxxxxxx xxxxx xxxx ustanovení x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxx,
x) ustanovení o xxxxxx xxxx,
x) xxxxxxxxxx x xxxxxxx xxxxx x obecně xxxxxxxxx xxxxxxxx xxxxxxxx,
x) ustanovení x povinnosti xxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx x
1. xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx s xxxxxxx xxxxxxx,
2. způsobu xxxxxx xxxxx xx xxxxxx dodavatele x x zbytkových xxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxx,
3. xxxxxxxx xxxxx xxxxxxxx tohoto xxxxxxxxxx xxxxx zákona x xxxxxxxxxx xxxxxxxxxxx xxxx xxxxx vlastnictví xxxxxxxxx xxxxx, xxxxxxxxx xxxxx xxxxxxxxx xxxxxxxx x xxxxxx aktivy, xxxxxxxxxxx xxxxx xxxxxxxxxxx k xxxxxx xxxxx xxxxxxx xx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx z xxxxxxx xxxxxxxxxxx xxx xxxxxxxx xxxxxxx (například xxxxxxxxx xxxxxx při xxxxxxxx xxxxxxxxxx, kdy xx xxxxx xxxxx xxxxxxxx xxxxxx xxxx xxxxxxxxx xxxxxx řešení, xxxxxxx xxx x podobně),
k) xxxxxxxxxxx podmínek xxx xxxxxx kontinuity činností x souvislosti x xxxxxxxxxx (například zahrnutí xxxxxxxxxx xx xxxxxxxxxxx xxxxx, xxxxx xxxxxxxxxx xxx aktivaci řízení xxxxxxxxxx xxxxxxxx),
x) xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxx xxx, xxxxxxxxxx xxxxx x xxxxxxxxx xx vyžádání xxxxxxxx,
x) xxxxxxxx xxx likvidaci xxx,
x) xxxxxxxxxx o xxxxx jednostranně xxxxxxxxx xx smlouvy x xxxxxxx významné xxxxx xxxxxxxx xxx xxxxxxxxxxx xxxx změny xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxx xxxxxxx x
x) xxxxxxxxxx o xxxxxxxx xx xxxxxxxx xxxxxxxxxx.
Xxxxxxx x. 8 x vyhlášce č. 82/2018 Xx.
Xxxx Xxxxxxxxx xxx hlášení kontaktních xxxxx
Informace
Právní předpis x. 82/2018 Xx. xxxxx xxxxxxxxx dnem 28.5.2018.
Ke xxx xxxxxxxx xxxxxx xxxxxxx nebyl xxxxx xx xxxxxxxxx.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx jiných xxxxxxxx předpisů v xxxxxxxx xxxx aktualizováno, xxxxx xx xxxx xxxxxx xxxxxxxxx xxxxx xxxxx uvedeného xxxxxxxx xxxxxxxx.
1) Xxxxxxxx Evropského xxxxxxxxxx x Xxxx (XX) 2016/1148 xx xxx 6. července 2016 x xxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx úrovně xxxxxxxxxxx xxxx a xxxxxxxxxxxx xxxxxxx x Unii.