Právní předpis byl sestaven k datu 23.02.2025.
Zobrazené znění právního předpisu je účinné od 28.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
VYHLÁŠKA
ze dne 21. xxxxxx 2018
o xxxxxxxxxxxxxx xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx, reaktivních opatřeních, xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxx xxx xxxxxxxxxxxxx x informační xxxxxxxxxx xxxxxxx xxxxx §28 odst. 2 xxxx. x) xx x) x f) xxxxxx č. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx x x xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), ve xxxxx xxxxxx č. 104/2017 Xx. x zákona x. 205/2017 Xx., (xxxx jen "xxxxx"):
ČÁST XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxx vyhláška xxxxxxxxxxx xxxxxxxxx předpis Evropské xxxx1) x xxx xxxxxxxxxx systém xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, významný xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxx xxxxxxxx xxxxxx anebo xxxxxxxxxx systém xxxx xxx elektronických xxxxxxxxxx, xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx služeb, (xxxx xxx "informační x xxxxxxxxxxx xxxxxx") xxxxxxxx
x) xxxxx x strukturu xxxxxxxxxxxx xxxxxxxxxxx,
x) obsah x rozsah xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx, xxxxxxxxx x hodnocení xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x provedení reaktivního xxxxxxxx x xxxx xxxxxxxx,
x) xxxx xxxxxxxx xxxxxxxxxxx údajů x xxxx xxxxx x
x) xxxxxx xxxxxxxxx dat, xxxxxxxxxx xxxxx, xxxxxxxxx x jejich xxxxx.
§2
Xxxxxxxx xxxxx
Xxx xxxxx xxxx vyhlášky xx xxxxxx
x) xxxxxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, údržbu x xxxxxxxxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx xxx orgán xxxx xxxxx, které xxxx xxxxxxx xxxxxx bezpečnostní xxxxxxxx podle zákona, (xxxx jen "povinná xxxxx") a xxxx xxxxx jej zvládat xxxxxx dalších bezpečnostních xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxx x xxxxxxxx, které xxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxx,
x) xxxxxxxxxx xxxxx xxxxxxx proces xxxxxxxxxxxx, xxxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxx potenciální xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx nebo xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, která xxxx xxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx a xxxxxxxxxx podílející xx xx xxxxxxx, xxxxxxx, xxxxxx xxxx bezpečnosti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) primárním aktivem xxxxxxxxx nebo xxxxxx, xxxxxx xxxxxxxxxx xxxx xxxxxxxxx informační x xxxxxxxxxxx systém,
h) xxxxxxx xxxxxxx, xx určitá xxxxxx xxxxxxx zranitelnosti xxxxxx x xxxxxxx xxxxx,
x) xxxxxxx rizik xxxxxxx zahrnující xxxxxxxxx xxxxx, xxxxx x xxxxxxxx xxxxxxxx ke xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx x xxxxxx x xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxxx xxxxxx xxxxxxxxxxx informací xxxx xxxxxxx xxxxxx xxxxxxx xxxxx xxxxxxxx xx přístupu x xxxxxxx informačního a xxxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxxx xxxxxxxx, xxxxxxxx, xxxxxxxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, udržování x xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x dat,
k) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx, komunikační xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx x xxxxxxx, xx xxxxxxx xxxx xxxx systémy xxxxxxxx, xxxxxxx selhání může xxx xxxxx xx xxxxxxxxxx a komunikační xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx osoba xxxxx orgán xxxxxxx xxxx, xxxxx xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx xxxx, xxxxx xxxx xxxxxxxx xxxxx, xxxx xxxxxxxxxx xxxxx xxxxxxx xxxxx,
x) významným xxxxxxxxxxx xxxxxxxxxxxx informačního xxxx xxxxxxxxxxxxx xxxxxxx (dále xxx "provozovatel") a xxxxx, xxx s xxxxxxxx osobou xxxxxxxx xx xxxxxxxx vztahu, xxxxx xx významný x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxx xxxxx, xxxxx xx xxxx může mít xxxx xx xxxxxxxxxxxxx xxxxxxxxxx x představuje xxxxxx riziko,
p) xxxxxxxxxxxxx xxxxx xxxxx xxxxxx xxxx slabé xxxxx xxxxxxxxxxxxxx opatření, xxxxx xxxx xxx xxxxxxxx xxxxxx nebo více xxxxxxxx.
ČÁST DRUHÁ
BEZPEČNOSTNÍ OPATŘENÍ
HLAVA X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx x xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx x xxxxxxx xx požadavky xxxxxxxxx xxxxx a xxxxxxxxxxx xxxxxxxxxx rozsah systému xxxxxx bezpečnosti xxxxxxxxx, xx xxxxxx xxxx xxxxxxxxxxx části x xxxxxx, jichž xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,
x) xxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) pro xxxxxxxxx xxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xx xxxxxxx xxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, bezpečnostních potřeb x xxxxxxxxx rizik xxxxxx přiměřená bezpečnostní xxxxxxxx,
x) xxxx xxxxxx xxxxx §5,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, která xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx xx xxxxxx k xxxxxx xxxxxxxxxxx xxxxxxxxx, x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x výsledků xxxxxxxxx rizik xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx oblastech podle §30 x xxxxxx xxxxxxxxx bezpečnostní opatření,
f) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx (dále jen "xxxxx xxxxxxxxxxxx bezpečnosti") xxxxx §16,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx obsahuje xxxxxxxxx stavu systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx revize xxxxxxxxx xxxxx, posouzení xxxxxxxx xxxxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx x xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxx §11 xxxx xxxxxxxx změny, xxxxx xxxxx xx rozsahu xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xx základě zjištění xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx vyhodnocení xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxx a
j) xxxx provoz a xxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx.
§4
Xxxxxx xxxxx
(1) Povinná xxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx identifikaci xxxxx,
x) xxxxxxx metodiku xxx xxxxxxxxx xxxxx xxxxxxx v rozsahu xxxxxxxx v příloze č. 1 x xxxx xxxxxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxx,
x) určí x xxxxxxx xxxxxxx aktiv,
e) xxxxxxx a xxxxxxx xxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx a xxxxxx xx xx xxxxxxxxxxxx xxxxxx xxxxx xxxxxxx x),
x) xxxx x xxxxxxx xxxxx xxxx primárními x xxxxxxxxxx aktivy x xxxxxxx xxxxxxxx xxxxxxxxxx xxxx primárními x xxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxxx aktiva x xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxx x),
x) xx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxx x xxxxxx xxxxxxxx xxxxxxx xxxxx xxx zabezpečení xxxxxxxxxxxx xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx x pravidla xxx xxxxxxxxxx s xxxxxx x ohledem xx xxxxxx xxxxx, xxxxxx pravidel pro xxxxxxxx elektronické xxxxxxx x xxxxxxx xxxxxxxxx xxxxx, x
x) xxxx xxxxxx likvidace dat, xxxxxxxxxx údajů, xxxxxxxxx x xxxxxx xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxx x xxxxxxx na xxxxxx xxxxx x xxxxxxx x přílohou č. 4 x xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx důležitosti primárních xxxxx xx třeba xxxxxxxx xxxxxxx
x) xxxxxx x xxxxxxxxxx osobních xxxxx, xxxxxxxxxx kategorií xxxxxxxx xxxxx nebo xxxxxxxxxx xxxxxxxxx,
x) rozsah xxxxxxxxx právních xxxxxxxxxx xxxx jiných závazků,
c) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxx ekonomických xxxxx x xxxxx xxxxxxxx xxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxx,
x) rozsah narušení xxxxxxx xxxxxxxx,
x) dopady xx xxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx xxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxx a xxxxxx xxxx,
x) xxxxxx xx mezinárodní vztahy x
x) dopady xx xxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx.
§5
Xxxxxx rizik
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxx v xxxxxxxxxx xx §4
a) xxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx, včetně xxxxxxxxx xxxxxxxx pro xxxxxxxxxxxxxxxx xxxxx,
x) x xxxxxxx xx xxxxxx xxxxxxxxxxxx relevantní xxxxxx x xxxxxxxxxxxxx; xxxxxx xxxxxxx zejména kategorie xxxxxx a xxxxxxxxxxxxx xxxxxxxxx x příloze č. 3 x této xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 x xxx xxxxxxxxxx xxxxxxx,
x) při xxxxxxxxx xxxxx xxxxxxxx xxxxxxxxxx xxxxxx x zranitelnosti x posoudí možné xxxxxx xx xxxxxx; xxxx xxxxxx xxxxxxx xxxxxxx x xxxxxxx přílohy č. 2 x xxxx xxxxxxxx,
x) xxxxxxxx xxxxxx x xxxxxxxxx xxxxx,
x) xxxxxxxx na xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení xxxxx xxxxxxxxxx o aplikovatelnosti, xxxxx obsahuje xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx, která
1. xxxxxx xxxxxxxxxx, xxxxxx xxxxxxxxxx,
2. xxxx aplikována, xxxxxx xxxxxxx xxxxxx,
x) xxxxxxxx x xxxxxx xxxx zvládání rizik, xxxxx obsahuje xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxxxxxxxxx rizik, xxxxxx xxxxx zajišťující prosazování xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx, potřebné xxxxxxxx, technické, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxx jejich zavedení, xxxxx xxxxx xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxx hodnocení xxxxx x v xxxxx zvládání rizik xxxxxxxx
1. xxxxxxxx xxxxx,
2. xxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
3. xxxxxxxx xxxxx §11 xxxxxx x
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxx xxxxxxxx, x
x) x xxxxxxx x xxxxxx zvládání rizik xxxxxx xxxxxxxxxxxx xxxxxxxx.
(2) Xxxxxxx xxxxx uvedená x §3 xxxx. x), d) a x) xxxxxx xxxxxxx xxxxxxxxx xxxxx alespoň xxxxxx ročně x xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx alespoň xxxxxx xx tři xxxx.
(3) Řízení xxxxx xxxx xxx xxxxxxxxx x xxxxxx xxxxxxx, xxx xxx je xxxxxxxxx x odstavci 1 písm. d), xxxxx xxxxxxx osoba xxxxxxxxx, že xxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxxx xxxxxx xxxxx.
§6
Xxxxxxxxxxx xxxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxxxx xx systém xxxxxx xxxxxxxxxxx informací
a) zajistí xxxxxxxxx bezpečnostní xxxxxxxx x cílů systému xxxxxx xxxxxxxxxxx informací xxxxx §3 xxxxxxxxxxxx xx strategickým směřováním xxxxxxx osoby,
b) xxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxx povinné xxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx xxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx zaměstnance x xxxxxxx xxxxxxx řízení xxxxxxxxxxx informací x xxxxxxx xxxxxxxx xxxxx x xxxx požadavky xx všemi dotčenými xxxxxxxx,
x) xxxxxxx podporu x dosažení zamýšlených xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) vede xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací a xxxxxxxxx je xxx xxxxx xxxxxxxxx,
x) prosazuje xxxxxxxx zlepšování xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx role při xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx x xxxx, xxxxx xxxxx zastávat xxxxxxxxxxxx role,
j) zajistí, xxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) pro xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx pravomoci x xxxxxx včetně xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx xxxx x xxxxxx xxxxxxxxxxxxx xxxxx a
l) xxxxxxx xxxxxxxxx plánů kontinuity xxxxxxxx, xxxxxx a xxxxxxx spojených se xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
(2) Xxxxxxx osoba x xxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx xxxxxxx výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx x xxxxxx xxxxx x povinnosti xxxxxxxxxxx se xxxxxxxx xxxxxx xxxxxxxxxxx informací.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx určí xxxxx, xxxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx kybernetické bezpečnosti,
c) xxxxxxx xxxxxx a
d) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxx osoba xxxxxxx x §3 písm. x) xxxxxx určí xxxx manažera xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxx. Xxxxxxx xxxxxxxxxxxx xxxx xxxxx odstavce 3 xxxx xxxxxxxxx xxxxxxxx k rozsahu x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(5) Xxxxxxx osoba uvedená x §3 písm. x), x) x x) zákona zajistí xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx x odstavci 3 xxxx. x) x b).
(6) Xxxxxxx xxxxx uvedená v §3 xxxx. e) xxxxxx xxxxxxx zastupitelnost xxxxxxxxxxxx role manažera xxxxxxxxxxxx xxxxxxxxxxx.
(7) Xxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx xx tvořen xxxxxxx s xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxxxxxxx pro xxxxxxx xxxxxx x xxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx x xxxxxxx xxxxxxxx se xxxxxxxxxxxx xx xxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx bezpečností, xxxxx xxxxxx xxxx xxx xxxxxxx jeden xxxxxxxx vrcholového vedení xxxx xxx xxxxxxxx xxxxx a xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx. Povinná xxxxx x xxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx xxxxxxxxx k xxxxxxxxxxx uvedeným x příloze č. 6 k xxxx xxxxxxxx.
§7
Bezpečnostní role
(1) Xxxxxxx xxxxxxxxxxxx bezpečnosti
a) xx xxxxxxxxxxxx xxxx xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx informací, xxxxxxx xxxxxxx xxxx role xxxx xxx xxxxxxxx xxxxx, která xx xxx xxxx činnost xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x řízením kybernetické xxxxxxxxxxx xxxx s xxxxxxx xxxxxxxxxxx informací
1. xx xxxx nejméně xxx xxx, xxxx
2. xx dobu xxxxxxx xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx vysoké xxxxx,
x) odpovídá xx xxxxxxxxxx informování xxxxxxxxxxx xxxxxx x
1. xxxxxxxxxx xxxxxxxxxxxxx z xxxxxxx xxxx xxxxxxxxxxxx x
2. xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx a
c) xxxxx xxx xxxxxxx xxxxxxx xxxx odpovědných xx xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx.
(2) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx xxxx xxxxxxxxx za xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx xxx, xxx xxxx zajištěna bezpečná xxxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx, xxxxxxx xxxxxxx této xxxx xxxx xxx xxxxxxxx xxxxx, xxxxx xx xxx xxxx činnost xxxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxx implementace xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx dobu xxxxxxx xxx xxx, xxxx
x) xx dobu xxxxxxx xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx xxxxxx xxxxx.
(3) Garant aktiva xx bezpečnostní xxxx xxxxxxxxx xx xxxxxxxxx xxxxxxx, použití x xxxxxxxxxx xxxxxx.
(4) Auditor xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx xxxx odpovědná xx xxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx xxxx role xxxx xxx pověřena xxxxx, která xx xxx tuto činnost xxxxxxxxx x xxxxxxx xxxxxxxx způsobilost xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti xxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací
1. xx xxxx xxxxxxx xxx xxx, nebo
2. xx xxxx xxxxxxx xxxx, xxxxx absolvovala studium xx vysoké xxxxx,
x) xxxxxxxx, xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx, x
x) xxxxx xxx pověřen xxxxxxx xxxxxx bezpečnostních xxxx.
(5) Xxxxxxx xxxxx xxx určování osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx v příloze č. 6 x xxxx xxxxxxxx.
§8
Řízení xxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxx pravidla xxx xxxxxxxxxx, která xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxx evidenci xxxxx xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx informuje xxx xxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxx xxxxx xxxxxxx x),
x) seznamuje xxx xxxxxxxxxx s xxxxxxxx podle písmene x) x xxxxxxxx xxxxxx těchto xxxxxxxx,
x) xxxx rizika xxxxxxx x dodavateli,
f) x xxxxxxxxxxx s xxxxxxx xxxxx xxxxxxxxx s xxxxxxxxxx xxxxxxxxxx zajistí, xxx xxxxxxx uzavírané x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx x příloze č. 7 x xxxx xxxxxxxx, x
x) pravidelně přezkoumává xxxxxx xxxxx s xxxxxxxxxx xxxxxxxxxx x xxxxxxxx systému řízení xxxxxxxxxxx informací.
(2) Xxxxxxx xxxxx x významných xxxxxxxxxx xxxx
x) x xxxxx xxxxxxxxxx xxxxxx x xxxx xxxxxxxxx xxxxxxx provádí xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxxx výběrového xxxxxx přiměřeně podle přílohy č. 2 k této xxxxxxxx,
x) x xxxxx xxxxxxxxxxx xxxxxxxxx vztahů xxxxxxx xxxxxxx x xxxxxx realizace bezpečnostních xxxxxxxx x xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xx zavedení x kontrolu xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx pravidelné xxxxxxxxx xxxxx a xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx xxxxxx pomocí xxxxxxxxx zdrojů nebo xxxxxx xxxxx xxxxxx x
x) v reakci xx xxxxxx a xxxxxxxx xxxxxxxxxx zajistí xxxxxx xxxxxx.
(3) Xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 písm. x) xxxx
x) xxxxxxxxxxxx xxxxxxx nebo provozovatele,
b) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxxx, xx xxxxxxxxx xx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxx, x xxxxxxxxx xxxx x tom, xx xxxxxxxx dodavatel xx xxxxxxx xxxxxxxxxxxxxx, x
x) xxxxx xxxxxxxx xxxxx xxxxxxxx 1 písm. x).
(4) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x) až x) xxxxxx, xxxxx xx provozovatelem x xxxx prokazatelně xxxxxxxxxxx xxxxx odstavce 1 xxxx. c), hlásí xxxxxxxxx údaje xxxxxx xxxxxxxx v §34.
§9
Xxxxxxxxxx lidských xxxxxx
(1) Xxxxxxx xxxxx v xxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
x) s xxxxxxx na xxxx x xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxxxx plán xxxxxxx xxxxxxxxxxxxxx povědomí, jehož xxxxx xx zajistit xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx bezpečnostního xxxxxxxx x xxxxx xxxxxxxx xxxxx, xxxxx x xxxxxx
1. xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxx o jejich xxxxxxxxxxxx x o xxxxxxxxxxxx xxxxxxxx a
2. xxxxxxxxxx teoretických x xxxxxxxxxxx školení xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role,
b) xxxx xxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx x plánu xxxxxxx,
x) x xxxxxxx s xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxxxx poučení xxxxxxxxx, administrátorů, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role x xxxxxxxxxx o xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) pro xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx v xxxxxxx x xxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxx školení, xxxxxxx xxxxxxx x xxxxxxxxxx potřeb xxxxxxx xxxxx x oblasti xxxxxxxxxxxx bezpečnosti,
e) x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx povědomí xxxxxxx xxxxxxxxxx xxxxxxx x ověřování xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx x xxxxxxx s jejich xxxxxxxx xxxxxx,
x) zajistí xxxxxxxx dodržování bezpečnostní xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) x xxxxxxx xxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxxx x xxxxxxx zastávajícími xxxxxxxxxxxx xxxx xxxxxxx předání xxxxxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a
i) xxxx xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx pravidel xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Povinná xxxxx xxxx x xxxxxxx podle xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx absolvovaly.
§10
Xxxxxx provozu a xxxxxxxxxx
(1) Xxxxxxx xxxxx x rámci xxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x stanoví xxxxxxxx xxxxxxxx a xxxxxxx, které xxxxxxxx xxxxxxx
x) práva a xxxxxxxxxx administrátorů, uživatelů x xxxx zastávajících xxxxxxxxxxxx xxxx,
x) postupy xxx xxxxxxxx x xxxxxxxx xxxxx systému, xxx xxxxxxx xxxx xxxxxxxx chodu xxxxxxx xx selhání a xxx xxxxxxxx chybových xxxxx xxxx mimořádných xxxx,
x) xxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x opatření xxx xxxxxxx xxxxxxxx x xxxxxxxx x xxxxxx xxxxxxxxxx,
x) xxxxxxxx x xxxxxxx pro xxxxxxx xxxx xxxxxxxxx xxxxx,
x) řízení xxxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxx xx xxxxxxxxx osoby, xxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxxx, xxxxxxxxx a xxxxxx kapacity xxxxxxxx x xxxxxxxxxxx zdrojů,
i) xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxx x dat x xxxxxxx xxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxx a xxxxxxx pro instalaci xxxxxxxxxxx aktiv,
k) provádění xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx provedených xxxxx x
x) xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx síťových xxxxxx.
(2) Xxxxxxx xxxxx x rámci xxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx stanovené xxxxx xxxxxxxx 1 x xxxx xxxxxxxx x xxxxxxx aktualizuje v xxxxxxxxxxx s prováděnými xxxx plánovanými xxxxxxx.
(3) Xxxxxxx xxxxx zajistí xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx.
§11
Řízení xxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxx u xxxxxxxxxxxx a komunikačního xxxxxxx
x) přezkoumává možné xxxxxx změn a
b) xxxxxx xxxxxxxx změny.
(2) Xxxxxxx xxxxx x xxxxxxxxxx změn
a) xxxxxxxxxxx xxxxxx xxxxxx,
x) provádí xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxx za xxxxxx xxxxxxx všech xxxxxxxxxxxx xxxxxx spojených x xxxxxxxxxx změnami,
d) xxxxxxxxxxx xxxxxxxxxxxx politiku x xxxxxxxxxxxx xxxxxxxxxxx,
x) zajistí xxxxxx xxxxxxxxx a
f) xxxxxxx xxxxxxx navrácení xx xxxxxxxxx xxxxx.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) zákona na xxxxxxx xxxxxxxx analýzy xxxxx xxxxx xxxxxxxx 2 xxxx. b) xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx testování xxxx xxxxxxxxx xxxxxxxxxxxxx; xxxxx xxxxxxxx o xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxx §25 xxxx. 1 x reaguje xx xxxxxxxx xxxxxxxxxx.
(4) Xxxxxxx osoba xxxxxxx x §3 xxxx. x) xxxxxx xx xxxx požadavky xxxxx xxxxxxxx 3 xxxxxxxxx.
§12
Xxxxxx xxxxxxxx
(1) Povinná xxxxx xx xxxxxxx xxxxxxxxxx x bezpečnostních xxxxxx řídí xxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxx, xxxxx xxxxxx k xxxxxxxxx xxxxxxx údajů, xxxxx xxxx xxxxxxxxx pro xxxxxxxxxx podle §19 x 20, a xxxxx xxxxx ve xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx osobou.
(2) Povinná xxxxx xxxx x xxxxx xxxxxx přístupu x informačnímu a xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxxx xx xxxxxxx xxxxxx x xxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxxxxxxx x informačnímu a xxxxxxxxxxxxx systému xxxxxxxxxx xxxxx a oprávnění x jedinečný xxxxxxxxxxxxx,
x) xxxx identifikátory, xxxxxxxxxx xxxxx a oprávnění xxxxxxxx a xxxxxxxxxxx xxxx,
x) zavádí xxxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
e) zavádí xxxxxxxxxxxx xxxxxxxx potřebná xxx bezpečné xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxxxxx zařízení, xxxxxxxxx i bezpečnostní xxxxxxxx xxxxxxx s xxxxxxxx technických xxxxxxxx, xxxxx povinná osoba xxxx xx xxx xxxxxx,
x) omezí xxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx nezbytně xxxxxx x xxxxxx xxxxxx xxxxx,
x) xxxxx x xxxxxxxxxx používání programových xxxxxxxxxx, které xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx xxxx aplikační xxxxxxxx,
x) xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx s xxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxx x xxxx,
x) xxxxxxx xxxxxxx pro xxxxxx x xxxxxxxxx xxxxxxxx xxxxx §19 a xxxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxx xxxxx §20,
x) xxxxxxxxx, aby xxxxxxxxx při xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx informací xxxxxxxxxx stanovené xxxxxxx,
x) xxxxxxx xxxxxxxx nebo xxxxx xxxxxxxxxxxx xxxxxxxxx xxx změně pozice xxxx zařazení xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx oprávnění xxx xxxxxxxx xxxx xxxxx xxxxxxxxx xxxxxx x
x) xxxxxxxxxxx přidělování x odebírání xxxxxxxxxxxx xxxxxxxxx.
§13
Xxxxxxxx, xxxxx x xxxxxx
Xxxxxxx osoba x xxxxxxxxxxx x plánovanou xxxxxxxx, xxxxxxx x xxxxxxx informačního x xxxxxxxxxxxxx systému
a) xxxx xxxxxx xxxxx §5,
x) xxxx xxxxxxxx změny xxxxx §11,
x) stanoví xxxxxxxxxxxx požadavky,
d) xxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxx xxxxxxxx, vývoje x xxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxxxxx používaných xxxxxxxxxxx xxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxx před xxxxxx xxxxxxxxx do xxxxxxx x
x) plní xxxxxxxxx xxxxx §19 xxxx. 3, je-li xxxxx xxxxxxxxx xxxxxxxx nebo xxxxxx xxxxxxx xxx xxxxxx a xxxxxxxxx xxxxxxxx.
§14
Xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx a incidentů
(1) Xxxxxxx xxxxx x xxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxx
x) zavede proces xxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
b) xxxxxxx xxxxxxxxxxxx x xxxxxxx xxxxxxx pro
1. detekci x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx x
2. xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxxxxxx postupy xxx identifikaci, xxxx, xxxxxxx a xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) zajistí xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxx xxxx §22 a 23,
x) xxxxxxx, xx xxxxxxxxx, xxxxxxxxxxxxxx, osoby zastávající xxxxxxxxxxxx xxxx, další xxxxxxxxxxx x xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému x xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxx,
x) zajistí xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx kterém xxxx xxx xxxxxxxxxx, xxx xxxx xxx klasifikovány xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §31,
x) xxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxx odvrácení x xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu,
j) xxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxx §32,
x) xxxx záznamy x xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech x x xxxxxx xxxxxxxx,
x) xxxxxxxx x xxxx příčiny xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxx účinnost xxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu x na xxxxxxx xxxxxxxxxxx xxxxxxx nutná xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxx stávající bezpečnostní xxxxxxxx k zamezení xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Povinná xxxxx uvedená x §3 xxxx. x), x) x f) xxxxxx xxxx při xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxx §24.
§15
Xxxxxx xxxxxxxxxx činností
Povinná xxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxx
x) xxxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxxxxx x xxxx zastávajících bezpečnostní xxxx,
x) pomocí xxxxxxxxx xxxxx x xxxxxxx xxxxxx vyhodnotí a xxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x xxxxxxx xxxxx xxxxxx související s xxxxxxxxx kontinuity činností,
c) xx základě xxxxxxx xxxxxxxxx xxxxx x xxxxxxx xxxxxx podle xxxxxxx b) xxxxxxx xxxx řízení xxxxxxxxxx xxxxxxxx xxxxxx určení
1. xxxxxxxxx xxxxxx poskytovaných xxxxxx, xxxxx je xxxxxxxxxx pro xxxxxxx, xxxxxx x xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. xxxx xxxxxxxx xxxxx, během xxxxx xxxx po kybernetickém xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx poskytovaných xxxxxx informačního x xxxxxxxxxxxxx systému, a
3. xxxx obnovení dat xxxx xxxxxx xxxxxx, xx xxxxx xxxx xxx xxxxxx xxxxxxxx xxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxx xx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxx kontinuity xxxxxxxx, xxxxx obsahuje xxxxxxxx xxxx podle xxxxxxx c),
e) xxxxxxxxx, xxxxxxxxxxx a pravidelně xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx a xxxxxxxxx xxxxx xxxxxxxxxxx s xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx informačního x komunikačního xxxxxxx xxxx kybernetickým xxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxxxxxx x xxxxxxx xxx xxx x xxxxxxxxx xxxxx §27.
§16
Xxxxx xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx osoba x xxxxx xxxxxx kybernetické xxxxxxxxxxx
x) xxxxxxx x xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, včetně xxxxxxxxxxx xxxxxxxxx xxxxx, x xxxxxxxx xxxxxx xxxxxxxx x plánu xxxxxxx xxxxxxxxxxxxxx povědomí x plánu xxxxxxxx xxxxx a
b) posuzuje xxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx x xxxxxxxxx závazky xxxxxxxxxxxx se x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a určí xxxxxxxx nápravná xxxxxxxx xxx xxxxxxxxx xxxxxxx.
(2) Xxxxx xxxxx odstavce 1 xx prováděn
a) xxx významných xxxxxxx, x xxxxx xxxxxx xxxxxxx,
x) v xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xx 3 xxxxxx v xxxxxxx xxxxxxx osoby xxxxxxx x §3 xxxx. e) zákona x
x) v xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx po 2 letech x xxxxxxx xxxxxxx xxxxx xxxxxxxxx v písmenu x).
(3) Xxxx-xx x xxxxxxxxxxxx případech xxxxx xxxxxxx audit v xxxxxxxxxxx xxxxx odstavce 2 písm. x) x x) x xxxxx xxxxxxx, xx xxxxx xxxxx xxxxxxxx xxxxxxxx xx systematických xxxxxxx. X takovém xxxxxxx je xxxxx xxxxx v celém xxxxxxx xxxxxxx xxxxxxxxxx xx 5 let.
(4) Xxxxx xxxxxxxxxxxx bezpečnosti xxxx být xxxxxxxx xxxxxx vyhovující xxxxxxxxx xxxxxxxxxx x §7 xxxx. 4, xxxxx xxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(5) Xxxxxxx xxxxx, která xx xxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx správci xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx.
XXXXX XX
XXXXXXXXX OPATŘENÍ
§17
Fyzická xxxxxxxxxx
Xxxxxxx xxxxx x xxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxx poškození, krádeži xxxx xxxxxxxx aktiv xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
b) stanoví xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxx, xx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx x umístěna technická xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, a
c) x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx stanoveného podle xxxxxxx b) xxxxxx xxxxxxxx opatření a xxxxxxxxx prostředky xxxxxxx xxxxxxxxxxx
1. k xxxxxxxx xxxxxxxxxxxxx xxxxxx,
2. x xxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx a
3. xxx xxxxxxxxx xxxxxxx xx xxxxxx objektů x x xxxxx xxxxxxx.
§18
Bezpečnost xxxxxxxxxxxxx xxxx
Xxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxx v xxxxxxx xxxxx §3 xxxx. x)
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxx komunikace v xxxxx xxxxxxxxxxx xxxx x perimetru komunikační xxxx,
x) pomocí xxxxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxx dat xxx xxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxx xxxx xxx xxxxxxxx do xxxxxxxxxxx xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) aktivně xxxxxxx xxxxxxxxx komunikaci x
x) xxx xxxxxxxxx xxxxxxxxxx xxxx a pro xxxxxx xxxxxxxxxx mezi xxxxxx xxxxxxxx xxxxxxx xxxxxxx, který zajistí xxxxxxx integrity xxxxxxxxxxx xxxx.
§19
Správa a xxxxxxxxx xxxxxxx
(1) Povinná xxxxx xxxxxxx xxxxxxx xxx xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx informačního x komunikačního systému.
(2) Xxxxxxx xxx xxxxxx x ověření xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxx
x) xxxxxxx xxxxxxxx xxxx zahájením xxxxxxx v xxxxxxxxxxx x xxxxxxxxxxxx systému,
b) xxxxxx počtu xxxxxxx xxxxxxxxxxx pokusů x xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxx proti xxxxxxxxxxxxx xxxxxxxx a xxxxxxxx,
x) xxxxxxxx autentizačních xxxxx xx xxxxx xxxxxx xxxxx xxxxxxx útokům,
e) xxxxxxxx ověření identity xx určené xxxx xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxx xxxxxx přístupu a
g) xxxxxxxxxxxxxxx xxxxxx identit.
(3) Xxxxxxx xxxxx pro xxxxxxx identity uživatelů, xxxxxxxxxxxxxx a aplikací xxxxxxx autentizační xxxxxxxxxxx, xxxxx xxxx xxxxxxxx xxxxx xx použití xxxxxxxxxxxxxx účtu x xxxxx, nýbrž na xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxx různými xxxx faktorů.
(4) Xx xxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx xxxxxxx xxx xxxxxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx x xxxxxxxx, xxxxxxxx autentizaci pomocí xxxxxxxxxxxxxxxx xxxxx a xxxxxxx obdobnou xxxxxx xxxxxxxxxxx.
(5) Do xxxx xxxxxxx požadavků xxxxx xxxxxxxx 3 xxxx 4 xxxx xxxxxxx xxx xxxxxxx identity xxxxxxxxx, administrátorů x xxxxxxxx, xxxxx xxxxxxx x autentizaci xxxxxxxxxxxxx xxxx x xxxxx, xxxxxxxxx pravidla
a) xxxxx xxxxx xxxxxxx
1. 12 xxxxx x xxxxxxxxx x
2. 17 znaků x administrátorů x xxxxxxxx,
x) umožňující xxxxx xxxxx o xxxxx xxxxxxx 64 xxxxx,
x) xxxxxxxxxxx xxxxxxx xxxxxx x xxxxxxx xxxxxx, xxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxx hesla, přičemž xxxxxx xxxx xxxxx xxxxxxx xxxxx xxxxx xxx xxxxxx xxx 30 minut,
e) neumožňující xxxxxxxxxx x xxxxxxxxxxxxxxx
1. xxxxxx xx xxxxxxxxxx xxxxxxxxx hesla,
2. xxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxx opakujících xx xxxxx, xxxxxxxxxxxxxx xxxxx, x-xxxxx, xxxxx xxxxxxx xxxx obdobným xxxxxxxx x
3. opětovné xxxxxxx xxxxx používaných xxxxx x xxxxxx alespoň 12 předchozích xxxxx x
x) xxx xxxxxxxx xxxxx hesla x xxxxxxxxx xxxxxxxxx xx 18 xxxxxxxx, xxxxxxx xxxx xxxxxxxx se xxxxxxxxxx xx účty xxxxxxxx x xxxxxx xxxxxxx v xxxxxxx xxxxxxx.
(6) Povinná osoba x xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxx x heslem dále
a) xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx hesla po xxxx xxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx x xxxxxxxx xxxxxxxx xx jeho xxxxxx xxxxxxx nebo xxxxxxxxx xxxxxxx 60 xxxxx xx xxxx xxxxxxxxx x
x) povinně xxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxx do xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx podle §9.
§20
Řízení přístupových xxxxxxxxx
Xxxxxxx xxxxx xxxxxxx centralizovaný xxxxxxx pro řízení xxxxxxxxxxxx oprávnění, xxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) xxx xxxxxxx k xxxxxxxxxxx aktivům xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) pro xxxxx xxx, xxxxx xxx x změnu xxxxxxxxx.
§21
Ochrana před škodlivým xxxxx
(1) Povinná xxxxx xxxxxxx x §3 xxxx. x), x) x f) zákona x xxxxx ochrany xxxx škodlivým xxxxx
x) x xxxxxxx xx xxxxxxxxxx aktiv xxxxxxxxx xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx
1. xxxxxxxxx stanic,
2. xxxxxxxxx xxxxxxxx,
3. xxxxxxx,
4. datových xxxxxxx x xxxxxxxxx xxxxxxxx nosičů,
5. komunikační xxxx x xxxxx xxxxxxxxxxx xxxx x
6. xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x xxxx xxxxxxxxx xxxxxxxxx zařízení x xxxxxxxx nosičů,
c) řídí xxxxxxxxxxx spouštění xxxxxx xxxxxxxxx xxxxxxxx a xxxxxxxx nosičů,
d) xxxx xxxxxxxxx ke spouštění xxxx a
e) xxxxxxx xxxxxxxxxxx x účinnou xxxxxxxxxxx xxxxxxxx xxx xxxxxxx před škodlivým xxxxx.
(2) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. e) xxxxxx xxxxxxxxx podle odstavce 1 xxxxxxxxx.
§22
Xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému, xxxx xxxxxxxxx a xxxxxxxxxxxxxx
(1) Povinná osoba
a) xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxxx události xxxxxxxxxx xxxxx xxxxxxxxxxxx x komunikačního systému x
x) xx xxxxxxx xxxxxxxxx důležitosti xxxxx xxxxxxxxxxx xxxxxx xxxxx, x xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx událostí prováděno.
(2) Xxxxxxx xxxxx xxx xxxxxxxxxxxxx bezpečnostních x xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx identifikaci xxxxxxxx původce, je-li x komunikační xxxx xxxxxx nástroj, xxxxx xxxx xxxx síťovou xxxxxxxxxxxx,
x) xxxx informací x xxxxxxxxxxxxxx a xxxxxxxxxx událostech; zejména xxxxxxxxxxx
1. xxxxx a xxx xxxxxx xxxxxxxxxxx xxxxxxxx pásma,
2. xxx xxxxxxxx,
3. xxxxxxxxxxxx technického xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxx xxxxxx xxxx činnost xxxxxxxxx,
5. xxxxxxxxxxxx xxxxxxx identifikaci xxxxxxxx xxxxxxx x
6. xxxxxxxxx xxxx neúspěšnost xxxxxxxx,
x) ochranu xxxxxxxxx xxxxxxxxx xxxxx xxxxxx x) a x) xxxx xxxxxxxxxxxx xxxxxx x xxxxxxxxx změnou,
d) xxxxxxxxxxxxx
1. xxxxxxxxxxxx x xxxxxxxxxxx ke xxxx xxxxx, a to xxxxxx neúspěšných pokusů,
2. xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx,
3. xxxxxxx i xxxxxxxxx xxxxxxxxxx x xxxx, xxxxxxxxxxx a xxxxx,
4. xxxxxxxxxxx xxxxxxxx v xxxxxxxx xxxxxxxxxx přístupových xxxx x xxxxxxxxx,
5. xxxxxxxx uživatelů, xxxxx xxxxx mít xxxx xx xxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx,
6. xxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx,
7. xxxxxxxxxx i xxxxxxxxx xxxxxxx xxxxxxxxxxx aktiv x
8. přístupů x xxxxxxxx x xxxxxxxxxx, xxxxxx o xxxxxxxxxx xx xxxxxxx x xxxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx událostí x
x) xxxxxxxxxxxxx xxxxxxxxxx času xxxxxxxxxxx xxxxx nejméně xxxxxx xx 24 xxxxx.
(3) Povinná xxxxx xxxxxxx v §3 xxxx. x), x) x f) zákona xxxxxxxx xxxxxxx událostí xxxxxxxxxxxxx xxxxx xxxxxxxx 2 nejméně po xxxx 18 xxxxxx.
(4) Xxxxxxx osoba xxxxxxx x §3 xxxx. x) xxxxxx uchovává xxxxxxx událostí xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx xx xxxx 12 xxxxxx.
§23
Detekce xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxx osoba x xxxxx xxxxxxxxxxx xxxx, xxxxx xxxxxxxx xx informační x xxxxxxxxxxx systém, používá xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx zajistí
a) ověření x xxxxxxxx xxxxxxxxxxx xxx x xxxxx xxxxxxxxxxx xxxx x xxxx xxxxxxxxxxxxx sítěmi,
b) xxxxxxx a xxxxxxxx xxxxxxxxxxx xxx na xxxxxxxxx komunikační sítě x
x) xxxxxxxxx xxxxxxxxx xxxxxxxxxx.
(2) Xxxxxxx osoba xxxxxxx v §3 xxxx. x), d) x x) zákona xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xxxxxxxxx x xxxxxxx na xxxxxxxxxx xxxxx x xxxxx
x) koncových xxxxxx,
x) xxxxxxxxx xxxxxxxx,
x) xxxxxxx,
x) xxxxxxxx xxxxxxx a xxxxxxxxx datových xxxxxx,
x) xxxxxxxx aktivních xxxxx x
x) xxxxxxxxx xxxxx.
§24
Xxxx x vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
Xxxxxxx xxxxx uvedená x §3 písm. c), x) x f) xxxxxx používá nástroj xxx sběr x xxxxxxxxxxx vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, který xxxxxx
x) xxxx a xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx §22 a 23,
x) xxxxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx pro xxxxxx bezpečnostní role x xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx včasného xxxxxxxx xxxxxxxx bezpečnostních xxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx nastavení xxxxxxxx xxx
1. xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí a
2. xxxxxx xxxxxxxx x
x) xxxxxxxxx xxxxxxxxx získaných xxxxxxxxx pro xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx.
§25
Xxxxxxxxx bezpečnost
(1) Xxxxxxx xxxxx xxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx se xxxxxxxxx xx xxxxxxxx xxxxxx, x xx
x) xxxx xxxxxx uvedením xx xxxxxxx a
b) x souvislosti s xxxxxxxxx xxxxxx xxxxx §11 xxxx. 3.
(2) Xxxxxxx xxxxx xxxx x xxxxx aplikační xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxxx, xxxxxxxxx x transakcí před
a) xxxxxxxxxxxx činností x
x) xxxxxxxx provedených xxxxxxxx.
§26
Xxxxxxxxxxxxxx xxxxxxxxxx
Xxxxxxx xxxxx xxx xxxxxxx xxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx
x) xxxxxxx xxxxxxxx xxxxxx kryptografické xxxxxxxxx x kryptografické klíče,
b) xxxxxxx xxxxxx xxxxxx xxxxx x xxxxxxxxxxx, xxxxx
1. xxxxxxx xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, změny, xxxxxxx xxxxxxxxx, zneplatnění xxxxxxxxxxx x xxxxxxxxx xxxxx x
2. xxxxxx xxxxxxxx x xxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxxxx xxxxxxxxxx x xxxxxxx kryptografických xxxxxxxxxx vydaná Xxxxxx, xxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx.
§27
Xxxxxxxxxxx úrovně xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx zavede xxxxxxxx xxx zajišťování xxxxxx dostupnosti, xxxxxxx xxxxxxx
x) xxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx xxx xxxxxxx cílů xxxxx §15,
x) odolnost xxxxxxxxxxxx x komunikačního xxxxxxx vůči kybernetickým xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx xxxxx xxxxxx xxxx dostupnost,
c) dostupnost xxxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx a komunikačního xxxxxxx x
x) xxxxxxxxxx xxxxx xxxxxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x komunikačního systému.
§28
Xxxxxxxxxx, xxxxxx x xxxxxxx specifické systémy
Povinná xxxxx xxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx, xxxxxxxx a obdobných xxxxxxxxxxxx xxxxxxx používá xxxxxxxx a opatření, xxxxx zajistí
a) xxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxx xxxxxx do xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxx xxxxxxx x xx xxxxxxxxxxx xxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxx xxxxxx xxx xxxx xxxxxxx od xxxxxxx xxxxxxxxxxxxxx,
x) omezení a xxxxxx vzdáleného přístupu x těmto xxxxxxxx,
x) xxxxxxx jednotlivých technických xxxxx xxxxxx systémů xxxx využitím xxxxxxx xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx xxxxxx systémů xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
§29
Digitální xxxxxx
(1) Povinná xxxxx xxxxxxx x §3 xxxx. x) xxxxxx zavede bezpečnostní xxxxxxxx podle xxxxxxxxxxx xxxxxxxx Komise (XX) 2018/151 ze xxx 30. xxxxx 2018, xxxxxx xx xxxxxxx xxxxxxxx pro xxxxxxxxxxx xxxxxxxx Xxxxxxxxxx parlamentu x Xxxx (EU) 2016/1148, pokud jde x xxxxxx upřesnění xxxxx, xxxxx xxxx xxxxxxxxxxxxx digitálních xxxxxx xxxxxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx rizik, xxxxx xxxx xxxxxxxxx xxxx x informační systémy, x xxxxxxxxx xxx xxxxxxxxxx xxxx, zda xx xxxxx xxxxxxxxx xxxxxxxx; xxxxxxxxxx §3 xx 28 xx xx xxxx xxxxxxxx xxxxx nepoužijí.
(2) Xxxxxxx xxxxx uvedená x §3 písm. x) xxxxxx xxxxx xxxxxxxxx xxxxx podle §34 xxxx. 2.
(3) Xxxxxxx xxxxx xxxxxxx v §3 písm. x) xxxxxx hlásí xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx podle §32 xxxx. 2 x 3.
XXXXX III
BEZPEČNOSTNÍ POLITIKA X XXXXXXXXXXXX XXXXXXXXXXX
§30
Xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxx xxxxxxxxxxx zahrnující oblasti xxxxxxx x příloze č. 5,
x) xxxxxxxxxx přezkoumává xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxxx, xxx byla xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx aktuální.
(2) Xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx
x) xxxxxxxx v xxxxxxxx xxxx xxxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx x xxxxx xxxxxxx xxxxx,
x) přiměřeně xxxxxxxx xxxxxxxx xxxxxxx,
x) xxxxxx,
x) xxxxxxxx x xxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti x
x) xxxxxx xxx, xxx xxxxxxxxx x xxxx xxxxxxxx xxxx xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x xxxxxx vyhledatelné.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§31
Xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Jednotlivé kybernetické xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxx xxxxxxxxxx
x) xxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxx xxxxxxx xxxxx xxxxxx,
x) xxxxx xxxxxxxxx xxxxxxxxx,
x) způsobené xxxx xxxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx služby xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
f) xxxxxx xx služby xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systémy,
g) xxxxx xxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxx dotčené xxxxxxx x
x) xxxxxxx xxxxxx.
(2) Xxx xxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xx xxxxxxx xxxxxxxxxx xxxxx xxxxxxxx 1 kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxxx kategorií
a) Kategorie XXX - xxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx xxxxxx xx xxxxx x xxxxxxxx xxxxxxxx bezpečnost xxxxxxxxxxxxx služeb xxxx xxxxx. Jeho xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx s tím, xx xxxx být xxxxx dostupnými xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx xxxxxxxxxxxx xxxxxxxxx x potenciálních xxxx,
x) Xxxxxxxxx XX - xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx s tím, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx vzniklých xxxx, xxxx
x) Xxxxxxxxx X - xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx incident, xxx xxxxxx xxxxxxx x xxxx významnému xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo aktiv. Xxxx řešení xxxxxxxx xxxxxx obsluhy x xxx, xx xxxx xxx xxxxxxxx prostředky xxxxxxx xxxxx šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
(3) Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident způsobující xxxxxxxx xxxxxxxxxx aktiv,
b) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx narušení xxxxxxxxxxx xxxxx, nebo
d) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxx x) až x).
(4) Xxxx xxxxxxxxxx xx xxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxxxxx incidenty x xxxxxxx osoby uvedené x §3 písm. x) xxxxxx.
§32
Xxxxx x xxxxxxxxxxx xxxxxxx kybernetických bezpečnostních xxxxxxxxx
(1) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx Úřadu xxxxx xx xxxxxxxxxxxxx xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx xxxxxxxx
x) xx adresu xxxxxxxxxxxx xxxxx Úřadu xxxxxxx xxx xxxxxx xxxxxxx kybernetických bezpečnostních xxxxxxxxx, xxxxxxxxxxx na xxxxxxxxxxxxx stránkách Xxxxx,
x) xx xxxxxx schránky Xxxxx, nebo
c) xxxxxxxxxxxxxxx xxxxxxxx rozhraní, xxxxx xx xxxxxxxxx, xxxxx xxxxx je zveřejněn xx internetových xxxxxxxxx Xxxxx.
(2) Kybernetický xxxxxxxxxxxx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx CERT hlásí xx elektronickém xxxxxxxxx xxxxxxxxxxx xx internetových xxxxxxxxx xxxxxxxxxxxxx národního XXXX xxxxxxxx
x) na xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxxx CERT xxxxxxx xxx xxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, zveřejněnou xx xxxx internetových stránkách,
b) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx
x) xxxxxxxxxxxxxxx internetových xxxxxxx provozovatele xxxxxxxxx XXXX.
(3) Hlášení kybernetického xxxxxxxxxxxxxx incidentu xx xxxxx zaslat x x listinné xxxxxx, xxxxx xxxxx x xxxxxxxxx, xxx xxxxx xxxxxx xxxxx xx xxxxxxx uvedených x xxxxxxxxxx 1 x 2.
(4) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému,
c) datum x čas xxxxxxxx xxxxxxxxx x
x) xxxxx xxxxxxxxx.
XXXX ČTVRTÁ
REAKTIVNÍ XXXXXXXX X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
(1) Xxxxxxx osoba, xxxxx Úřad xxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx očekávané dopady xxxxxxxxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx a xx xxxxxxxx bezpečnostní opatření x xxxxxxxxx xxxxx xxxxxxxxx xxxxxx a
b) xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx jeho xxxxx xxxxxxxxx účinky, x xxxx časový xxxx jeho xxxxxxxxx.
(2) Xxxxxxx xxxxx, které Xxxx uložil provést xxxxxxxxx xxxxxxxx, oznámí xxxxxx provedení xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx ve xxxxx xxxxxxx xx internetových xxxxxxxxx Xxxxx.
§34
Xxxxxxxxx xxxxx
(1) Kontaktní xxxxx xx Úřadu xxxxxxxx xx elektronickém xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu xxxxxxxx
x) na adresu xxxxxxxxxxxx pošty Xxxxx xxxxxxx xxx příjem xxxxxxxx kontaktních xxxxx, xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx xxxxxx xxxxxxxx Xxxxx, xxxx
x) prostřednictvím datového xxxxxxxx, xxxxx xx xxxxxxxxx, xxxxx xxxxx xx zveřejněn xx xxxxxxxxxxxxx stránkách Xxxxx.
(2) Xxxxxxxxx xxxxx xx xxxxxxxxxxxxx národního XXXX xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx
x) xx xxxxxx elektronické xxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxx pro xxxxxx oznámení kontaktních xxxxx, zveřejněnou xx xxxx xxxxxxxxxxxxx stránkách,
b) xx datové xxxxxxxx xxxxxxxxxxxxx xxxxxxxxx CERT, xxxx
x) prostřednictvím xxxxxxxxxxxxx xxxxxxx provozovatele národního XXXX.
(3) Xxxxxxx kontaktních xxxxx xx xxxxx xxxxxx i x xxxxxxxx podobě, xxxxx xxxxx x xxxxxxxxx, xxx xxxxx xxxxxx xxxxx xx xxxxxxx xxxxxxxxx x odstavcích 1 a 2.
(4) Xxxx xxxxxxxx xxxxxxxxxxx xxxxx xx uveden x příloze č. 8 x xxxx xxxxxxxx.
(5) Xxxxxxx xxxxx uvedená v §3 písm. x) xx x) xxxxxx, xxxxx xx xxxxxxxxxxxxxx, xxxx k xxxxxxx xxxxxxxxxxx xxxxx podle xxxxxxxx 1 xxxxxxxx xxxxxxxx, xxxxxx xx xxxxxxx prokazatelně informuje xxxxx §8 xxxx. 1 xxxx. x).
XXXX XXXX
XXXXXXXXX XXXXXXXXXX
§35
Xxxxxxxxx xxxxxxxxxx
(1) X xxxxxxx xxxxxxxxxxxx systémů kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systémů kritické xxxxxxxxxx xxxxxxxxxxxxxx, které xxxx xxxxxx xxxxx xxxx xxxxxx účinnosti xxxx xxxxxxxx, x x případě významných xxxxxxxxxxxx systémů, x xxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxx nabytí xxxxxxxxx této xxxxxxxx, xx xx xxxxxxx xxxx xxx xxx xxxxxx xxxxxxxxx xxxx xxxxxxxx pro xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxx x xxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx použijí xxxxxxxxxx xxxxxxxx č. 316/2014 Sb., x bezpečnostních xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx a x xxxxxxxxx náležitostí xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (vyhláška x xxxxxxxxxxxx xxxxxxxxxxx).
(2) X xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x komunikačních xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxx byly xxxxxx xxxxx dnem xxxxxx xxxxxxxxx xxxx xxxxxxxx, a x xxxxxxx významných informačních xxxxxxx, x xxxxxxx xxxxx k xxxxxxxx xxxxxxxxxx xxxxxxxx přede xxxx nabytí účinnosti xxxx vyhlášky, xx xx xxxxxxx xxxx xxx xxx nabytí xxxxxxxxx této xxxxxxxx xxx xxxxxx xxxxxxxxx xxx, xxxxxxxxxx údajů, xxxxxxxxx x jejich xxxxx xxxx vyhláška xxxxxxxxx.
§36
Zrušovací xxxxxxxxxx
Xxxxxxx xx xxxxxxxx č. 316/2014 Sb., o xxxxxxxxxxxxxx xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx incidentech, xxxxxxxxxxx xxxxxxxxxx a x xxxxxxxxx xxxxxxxxxxx podání x oblasti kybernetické xxxxxxxxxxx (xxxxxxxx o xxxxxxxxxxxx bezpečnosti).
§37
Účinnost
Tato xxxxxxxx xxxxxx xxxxxxxxx xxxx xxxxxxxxx.
Xxxxxxx:
Xxx. Xxxxxxxx x. x.
Xxxxxxx x. 1 x xxxxxxxx č. 82/2018 Xx.
Xxxxxxxxx aktiv
(1) Xxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxx x xxxxx xxxxxxx xxxxxxx xxxxxxxx o xxxxxxx xxxxxxxx x posuzuje xx, xxxx xxxxx xx xxxx xxxxxxxx xxxxxxxxxxx informací x xxxxxxxxxxxx xxxxx. Xxxxxxx xxxxx může xxxxxxxx xxxxxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxx xxxx xx xxxxxx x xxxx xxxxxxx, dodrží-li xxxxxxxxxxx xxxxx mezi xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx x stupnicemi x xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx aktiv, xxxxx xxxx xxxxxxx v xxxx xxxxxxx.
(2) Xx xxxxxxxxxx, xxx xx xxxxx xxxxxxx xxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxx potřebám.
Tab. 1: Stupnice xxx xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Příklady xxxxxxxxx xx ochranu xxxxxx |
|
Xxxxx |
Xxxxxx xxxx veřejně xxxxxxxxx xxxx xxxx xxxxxx xx zveřejnění. Narušení xxxxxxxxxx aktiv neohrožuje xxxxxxxxx xxxxx xxxxxxx xxxxx. X xxxxxxx xxxxxxx xxxxxxxx xxxxxx s xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx xxx. xxxxxxx light xxxxxxxxx (xxxx jen "XXX") xx xxxxxxxxx xxxxxxxx TLP:WHITE. |
Není xxxxxxxxxx xxxxx ochrana. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx přístupná x xxxxx know-how xxxxxxx xxxxx, xxxxxxx xxxxx není xxxxxxxxxx xxxxxx právním xxxxxxxxx xxxx xxxxxxxx xxxxxxxxx. X xxxxxxx sdílení xxxxxxxx xxxxxx x třetími xxxxxxxx x xxxxxxx xxxxxxxxxxx podle TLP xx využíváno zejména xxxxxxxx XXX:XXXXX nebo XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxx řízení xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx a xxxxxx xxxxxxx xx xxxxxxxxxx xxxxxxxx předpisy, xxxxxx xxxxxxxx xxxx smluvními xxxxxxxxxx (xxxxxxxxx obchodní xxxxxxxxx, xxxxxx údaje). V xxxxxxx xxxxxxx takového xxxxxx x xxxxxxx xxxxxxxx x použití xxxxxxxxxxx podle XXX xx xxxxxxxxx xxxxxxx xxxxxxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx využívány xxxxxxxxxx, které xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx jsou xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Kritická |
Aktiva nejsou xxxxxxx xxxxxxxxx x xxxxxxxx nadstandardní xxxx xxxxxxx nad rámec xxxxxxxxx xxxxxxxxx (xxxxxxxxx xxxxxxxxxxx obchodní xxxxxxxxx, xxxxxxxx xxxxxxxxx osobních xxxxx). X xxxxxxx sdílení xxxxxxxx xxxxxx s xxxxxxx stranami x xxxxxxx klasifikace xxxxx XXX xx využíváno xxxxxxx xxxxxxxx XXX:XXX xxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxxxxx. Xxxx metody xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx ze strany xxxxxxxxxxxxxx. Přenosy informací xxxx xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxx. 2: Stupnice xxx xxxxxxxxx integrity
|
Úroveň |
Popis |
Příklady xxxxxxxxx xx ochranu xxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx ochranu z xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx zájmy xxxxxxx xxxxx. |
Xxxx vyžadována žádná xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx xxxxxxxxx xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx může xxxx x poškození xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxx se xxxxxxxx méně xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (xxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxx pro xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx ochranu x hlediska xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx x podstatnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, které dovolují xxxxxxxx historii xxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxx osoby xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx přenášených xxxxxxxxxxxxx xxxxxx xx xxxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx vede x xxxxx vážnému poškození xxxxxxxxxxx zájmů xxxxxxx xxxxx x xxxxxxx x xxxxx xxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx identifikace xxxxx xxxxxxxxxxx xxxxx (xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxx. 3: Xxxxxxxx pro hodnocení xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx aktiva |
|
Nízká |
Narušení xxxxxxxxxxx xxxxxx xxxx xxxxxxxx x v xxxxxxx xxxxxxx xx xxxxx xxxxxxxxxx delší xxxxxx xxxxxx xxx xxxxxxx (xxx xx 1 xxxxx). |
Xxx xxxxxxx dostupnosti xx postačující xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx dostupnosti aktiva xx nemělo překročit xxxx xxxxxxxxxx dne, xxxxxxxxxxxxx xxxxxxx vede x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx. |
Xxx ochranu dostupnosti xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx a xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx je xxxxx xxxxx xxxxxxxxxx, xxxxxxx xxxx x xxxxxxx ohrožení xxxxxxxxxxx xxxxx povinné osoby. Xxxxxx jsou považována xx xxxxx xxxxxxxx. |
Xxx xxxxxxx dostupnosti xxxx xxxxxxxxx záložní systémy x xxxxxx xxxxxxxxxxx xxxxxx xxxx být xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx dostupnosti aktiva xxxx xxxxxxxxx x x xxxxxxxxxx xxxxxxxxxxxx (x řádu několika xxxxx) xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx osoby. Xxxxxx xxxx považována xx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx využívány xxxxxxx xxxxxxx a xxxxxx poskytování služeb xx krátkodobá x xxxxxxxxxxxxxx. |
Xxxxxxx č. 2 x xxxxxxxx x. 82/2018 Sb.
Hodnocení xxxxx
(1) Xxxxxxxxxxx stanovení xxxxxx xxx určení xxxxxx xx xxxxxxxxx součástí xxxxxxxx xxx hodnocení xxxxx podle §5.
(2) Xxxxxxx xxxxxx xx xxxxxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxx xxxxx, xxxxxx x xxxxxxxxxxxx.
(3) Pro xxxxxxxxx xxxxx lze použít xxxxxxxxx xxxx funkci:
Riziko = xxxxx x xxxxxx x xxxxxxxxxxxx.
(4) Xxxxx xx v xxxxx xxxxxxx xxxxxxx x xxxxxxxxx aktiv xxxxx přílohy č. 1.
(5) X xxxxxxx, xx povinná xxxxx využívá xxxxxx xxx xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxx hodnocení xxxxxx x xxxxxxxxxxxxx, xx xxxxx xxxxxxxx xxx xxxxxxxxx hrozeb x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx stupnic xx xxxxxx vést xx xxxxxx xxxxxxxxxx rozlišení xxxxxx hrozby a xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx xxxxxx xxxxxxxxx komentář, který xxxxxxxx xxxxxxx xxx xxxxxx xxxxxx, tak x xxxxxx zranitelnosti. Xxxxxxx se postupuje x x případech, xxx povinná osoba xxxxxxx xxxx xxxxx xxxxxx xxx hodnocení xxxxxx, hrozeb, xxxxxxxxxxxxx x xxxxx.
Xxx. 1: Xxxxxxxx pro hodnocení xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx neexistuje xxxx xx málo xxxxxxxxxxxxx. |
|
Střední |
Hrozba xx xxxx pravděpodobná xx xxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx je xxxxx pravděpodobná xx xxxxxxxx xxxxx. |
Xxx. 2: Xxxxxxxx xxx xxxxxxxxx zranitelností
|
Úroveň |
Popis |
|
Nízká |
Zranitelnost xxxxxxxxxx nebo je xxxxxxxx zranitelnosti xxxx xxxxxxxxxxxxx. Jsou zavedena xxxxxxxxxxxx opatření, xxxxx xxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx xxxxxxxx pokusy x jejich xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx je málo xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxx zavedena xxxxxxxxxxxx xxxxxxxx, jejichž účinnost xx pravidelně kontrolována. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx xx xxxxxxx. Xxxxxx známé žádné xxxxxxx pokusy x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxxxx je pravděpodobné xx velmi pravděpodobné. Xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx všechny xxxxxxxx xxxxxxx a xxxx pravidelně xxxxxxxxxxxx. Xxxx xxxxx xxxxx xxxxxxx xxxxxx o xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx je xxxxx xxxxxxxxxxxxx xx víceméně xxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx nebo xx xxxxxx xxxxxxxx xxxxxx xxxxxxx. Neprobíhá xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Jsou xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
Xxx. 3: Xxxxxxxx pro xxxxxxxxx xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx akceptovatelné. |
|
Střední |
Riziko může xxx xxxxxxx méně xxxxxxxxx opatřeními xxxx x xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx je xxxxxx xxxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxx nepřípustné x xxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxx k xxxx odstranění. |
|
Kritické |
Riziko xx xxxxxxxxxxx x xxxx xxx neprodleně zahájeny xxxxx k xxxx xxxxxxxxxx. |
Xxxxxxx x. 3 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxxxxxx a xxxxxx
Xxxxxxxxxx: Xxxx příloha xxxxxxxx xxx vybrané xxxxxxxxx xxxxxxxxxxxxx a xxxxxx. Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x hrozeb xx xxxxxxxxxxxx xxxxxxx xxxxx.
Xxxxxxxxxxxxx
1. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. zastaralost informačního x xxxxxxxxxxxxx xxxxxxx,
3. xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
5. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
6. xxxxxxxx xxxxxxxxx xxxxxxxxxxxx oprávnění,
7. nedostatečné xxxxxxx při xxxxxxxxxxxxxx x xxxxxxxx negativních xxxxxxxxxxxxxx jevů, xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx bezpečnostních incidentů,
8. xxxxxxxxxxxx monitorování xxxxxxxx xxxxxxxxx x administrátorů x neschopnost xxxxxxx xxxxxx xxxxxxxx nebo xxxxxxx xxxxxxx xxxxxxx,
9. xxxxxxxxxxxx stanovení xxxxxxxxxxxxxx xxxxxxxx, nepřesné nebo xxxxxxxxxxxxx xxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx,
10. xxxxxxxxxxxx xxxxxxx xxxxx,
11. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
12. xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
13. xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx zaměstnanců.
Hrozby
1. xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx oprávnění xx xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
2. poškození nebo xxxxxxx technického xxxxx xxxxxxxxxxxx xxxxxxxx,
3. xxxxxxxx xxxxxxxx,
4. xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx x licenčními xxxxxxxxxx,
5. xxxxxxxx xxx (xxxxxxxxx xxxx, xxxxxxx, xxxxxxx xxxx),
6. xxxxxxxx xxxxxxx xxxxxxxxxxx,
7. xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx dodávek xxxxxxxxxx xxxxxxx,
8. xxxxxxxx xxxx xxxxxxxxxxx modifikace údajů,
9. xxxxxx, xxxxxxxx nebo xxxxxxxxx xxxxxx,
10. xxxxxxxxxx xxxxxxxxx xxxxxxx ze xxxxxx xxxxxxxxxx,
11. xxxxxxxxx xx strany zaměstnanců,
12. xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
13. dlouhodobé xxxxxxxxx xxxxxxxxxxx služeb xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxx,
14. xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxx úrovní,
15. cílený xxxxxxxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx technik,
16. xxxxxxxx xxxxxxxxxxxxx technických xxxxxx xxx,
17. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx (odposlech, xxxxxxxxxx).
Příloha x. 4 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx xxx
(1) Xxxx xxxxxxx xxxxx xxxxxxxxxx správce informačního x komunikačního systému x definování způsobů xxxxxx dat x xxxxxxx likvidace technických xxxxxx xxxxxxxxx, provozních xxxxx, informací x xxxxxx xxxxx.
(2) Xxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx si xxxxxxx xxxxxxxx xxx xxxxxx xxx x xxxxxxxxx xxxxxxxxxxx xxxxxx xxx v xxxxxxx x xxxxx přílohou. Xxx xxxxxx xxxxxxx xxxxxxxxxx xxxxx jiných xxxxxxxx xxxxxxxx. Xx xxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxx adekvátních xxxxxxxx xxx xxxxxx dat x xxxxxxxxx xxxxxxxxxxx xxxxxx xxx, vzhledem x hodnotě x xxxxxxxxxxx xxxxx.
(3) Xxxxxxxx xxx xxxxxxxxx dat xx měla xxx xxxxxxxxx xxxxxxxxx hodnotě x důležitosti aktiv x xxxx by xxxxxxx xxxxxxxxxxx
x) xxxxxxx xxxxxx (xxxxxxx x xxxxxxx xxxxxxxxxx),
x) technologii (xxxx x velikost xxxxxx xxxxxxxxx),
x) xxx xx nosič xxxxxxxxx xxxxxxx pod xxxxxxxxx xxxxxxxxxx xx xxxxxxx,
x) xxx xxxx xxxx xxxxxxxx xxxxxxxxxxxx nebo xxxxxxxxxxxxxxx prostředí,
e) xxx xxxx xxxxxxxxx xxx xxxxxxxx (interní xxxxxxxxxxx, xxxx xxxxxxxxx),
x) dostupnost xxxxxxxx x nástrojů xxx likvidaci,
g) kapacitu xxxxxxxxxxxxx xxxxxx,
x) xxx xx x dispozici xxxxxxxxx personál,
i) xxxxxxx xxxxxxxxx xxxxxxxxx,
x) cenu xxxxxxxxx s xxxxxxx xx xxxxxxxx, xxxxxxx, xxxxxxxx, xxxxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) možné xxxxxxx xxxxxxxxx dat (xxxxxxxxx zničením nosiče, xxxxxxxxxxxxxxxx přepsáním xxxxxx xxx, znečitelněním dat xxxxxx xxxxxxxxxx a xxxxxxx),
x) xxxxxxxxxx xxxxxxx xxxxxxxxx xxx xxxxxxxx xx xxxxx xxxxxx xxxxxxxxx (xxxxxxxxx při xxxxxxxxx xxxxxxxx xxxxxx xxxxx xxxxxx variantu xxxxxxx informace, ale xxxxxxx ze xxxxxxx xxxxxxx xxxxxxxxx).
(4) Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx, provozních údajů, xxxxxxxxx x xxxxxx xxxxx:
x) Xxxxxxxxxx
1. Xxxxxx xxxxxxxxx spočívá x xxxxxxxxxx xxx tak, xxx xxxx xxx xxxxxx xxxxxxxxxx (například xxxxxxxxxx xxxxxxxx souboru, xxxxxxxx tištěného xxxxxxxxx xx xxxxxx).
2. Xxx x nejméně xxxxxxxx xxxxxx likvidace dat. X xxxxxxx xxxxxxx xxxxxx informace je xxxxx x xxxxxxxxxxx xxxxxxxx úsilí xxxxxxxxx xxxxxxx.
3. Tato metoda xxxx použitelná xxx xxxxxx xxxxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxx xxxxx.
4. Xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx z přílohy č. 1): xxxxx.
x) Xxxxxxxx
1. Xxxxxx xxxxxxxxx spočívá v xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx.
2. Xxx x středně xxxxxxxx xxxxxx likvidace xxx. Xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxx přepsaných xxxxxxxxx.
3. Přepsání může xxx xxxxxxxxx nebo xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxxx klíčů x xxxxxxxxxxx xxxxxxxxx.
4. Xxxx xxxxxx není vhodná xxx xxxxxxxxx média, xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx, xxxxxxxx pro xxxxx s xxxxxx xxxxxxxxx.
5. Xxxxxxxxxx xxxxxx xxx úroveň xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): xxxxx xx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx
1. Xxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxx informace, xxxxxxxxx x xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx (xxxxxxxxxxx, chemickým xx xxxxxxxx xxxxxxxxx).
2. Xxx x xxxxxxxxxxxxxx metodu xxxxxxxxx dat. Xxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxx xxxxx znovu xxxxxx pro původní xxxx. Xxxxxxx xxxxxxxxx xxxx xxxxx xxxxxxx xxx xxx vynaložení xxxxxxx xxxxxxxx xxxxxxxxxx x xxxxx.
3. Xxxxxxxxxx xxxxxx likvidace pro xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): xxxxxxx xx xxxxxxxx.
Xxxxxxx xxxxxxx xxxxxxx likvidace xxxxx úrovně xxxxxxxxxx xxxxxx (vychází z přílohy č. 1)
|
Xxxxxxxxx způsob likvidace xxxxx úrovně xxxxxxxxxxx xxxxxx |
|||||
|
Xxxxx informace |
1. Xxxxx |
2. Xxxxxxx |
3. Xxxxxx |
4. Xxxxxxxx |
|
|
Xxxxxxxxx xx xxxxxx xxxxxxxx xxxxxx (tištěné xxxxxxxxx, xxxxxxxx x xxxxxxx) |
Xxxxxxxxxx: Xxxxxxxx xx xxxxxx. |
Xxxxxxxx: Xxxxxxxxx. |
Xxxxxxx likvidace: |
||
|
Xxxxxxx xxxxxxxxx: |
|||||
|
Mobilní xxxxxxxx (mobilní xxxxxxxx, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx likvidace: |
||
|
Xxxxxx xxxxxxxx (router, xxxxxx, xxxxx x xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Xxxxxxxxxxx xxxxxxxx (xxxxxxx, xxxxxxxx, xxx) |
|||||
|
Xxxxxxxxxx média (xxxxxxxxxx xxxxx, xxxxx, XXX [Xxxx Disk Drive]) |
Odstranění: |
Přepsání: |
|||
|
Xxxxxxx xxxxx (XX, XXX, XX-XXX, BLU-RAY) |
Fyzická xxxxxxxxx: |
||||
|
Xxxxxxx xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx xxxxx (xxxxx xxxxxx) |
|||||
|
Xxxxxxxxxxx x xxxxx |
Xxxxxxxxx xxxxxx xxxxxxxxx dat xx xxx xxx xxxxxxxx xxxxxxxx xxxxxxxxx. |
||||
|
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxxx: |
Xxxxxxxx/xxxxxxx xxxxxxxxx: |
||
|
Xxxxxxxxxxxx x xxxxxxx dedikovaného paměťového xxxxx xx xxxxx xxxx po xxxxxxxx xxxxxx přepsat. |
|||||
Příloha x. 5 x xxxxxxxx x. 82/2018 Xx.
Xxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
1. Bezpečnostní xxxxxxxx
1.1. Xxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Xxxx, xxxxxxxx x potřeby xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx x hranice xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx řízení xxxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx řízení xxxxxx x xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a postupy xxx xxxxxxxx opatření x xxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
1.2. Xxxxxxxx řízení xxxxx
x) Xxxxxxxxxxxx, hodnocení x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxxxxx důležitosti xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Identifikace, xxxxxxxxx x evidence xxxxxxxxxx aktiv
1. určení x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx aktiv včetně xxxxxx xxxxxx garanta,
2. xxxxxx xxxxx xxxx xxxxxxxxxx x podpůrnými xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx úrovní aktiv
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx manipulaci a xxxxxxxx aktiv podle xxxxxx xxxxx,
3. přípustné xxxxxxx xxxxxxxxx xxxxx.
x) Xxxxxxx spolehlivého xxxxxx xxxx xxxxxx technických xxxxxx dat, xxxxxxxxx, xxxxxxxxxx xxxxx x xxxxxx kopií.
1.3. Xxxxxxxx xxxxxxxxxxx bezpečnosti
a) Xxxxxx xxxxxxxxxxxxxx rolí x xxxxxx práv x xxxxxxxxxx.
x) Požadavky xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx xx oddělení xxxxxx bezpečnostních a xxxxxxxxxx xxxx.
1.4. Xxxxxxxx xxxxxx dodavatelů
a) Xxxxxxxx x xxxxxxxx xxx xxxxx dodavatelů.
b) Pravidla xxx xxxxxxxxx rizik xxxxxxxxxxxxx x xxxxxxxxxx.
x) Xxxxxxxxxxx smlouvy x xxxxxx xxxxxx x xxxxxxx x xxxxxx xxxxxxxxx bezpečnostních xxxxxxxx x o určení xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx xxx provádění xxxxxxxx xxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx dodavatelů.
1.5. Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
x) Xxxxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxx xxxxxxxxx
1. xxxxxxx x xxxxx xxxxxxx xxxxxxxxx,
2. způsoby a xxxxx xxxxxxx xxxxxxx xxxxx,
3. způsoby x xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx a xxxxx xxxxxxx osob zastávajících xxxxxxxxxxxx role.
b) Bezpečnostní xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx pro řešení xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla xxx ukončení xxxxxxxxxx xxxxxx xxxx xxxxx xxxxxxxx xxxxxx
1. vrácení xxxxxxxxx xxxxx x xxxxxxxx xxxx xxx xxxxxxxx pracovního vztahu,
2. xxxxx xxxxxxxxxxxx oprávnění xxx xxxxx pracovní xxxxxx.
1.6. Xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx
x) Xxxxxxxxx a xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx x xxxxxxxxx xxxxxxxxxx provozu.
d) Xxxxxxxx x omezení xxx provádění xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
1.7. Politika xxxxxx xxxxxxxx
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx xx know).
b) Xxxxxxxxx xx řízení xxxxxxxx.
x) Životní xxxxxx xxxxxx xxxxxxxx.
x) Řízení xxxxxxxxxxxxxxx oprávnění.
e) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x přístupových skupinách.
1.8. Xxxxxxxx xxxxxxxxxx chování xxxxxxxxx
x) Pravidla pro xxxxxxxx xxxxxxxxx x xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx x xxxxxxxx xx xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx chování xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx xxxxxx x xxxxxxxx zařízením.
1.9. Xxxxxxxx xxxxxxxxxx x xxxxxx x xxxxxxxxxxxx xxxxxxxx
x) Požadavky xx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx.
x) Pravidla a xxxxxxx dlouhodobého xxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxx ukládání xxxxxxxxx.
x) Pravidla x xxxxxxx obnovy.
f) Pravidla x xxxxxxx xxxxxxxxx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx xxxxxxxx k xxxxxxx, xxxxxxxxx xxxxxxxxxx.
1.10. Xxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxx informací
a) Xxxxxxxx x postupy xxx xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx informací.
c) Xxxxxxxx xxx využívání xxxxxxxxxxxxxx ochrany.
1.11. Politika xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx
x) Xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx vybavení.
b) Xxxxxxxx x postupy xxxxxxxxxxx opravných xxxxxxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx nasazení xxxxx xxxxxxxxxxxx xxxxxxxx.
1.12. Xxxxxxxx bezpečného používání xxxxxxxxx zařízení
a) Xxxxxxxx x xxxxxxx pro xxxxxxxx používání xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, která xxxxxxx xxxxx xxxx xx své xxxxxx.
1.13. Xxxxxxxx akvizice, vývoje x xxxxxx
x) Xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx, xxxxx a údržbu.
b) Xxxxxx zranitelností.
c) Politika xxxxxxxxxxx a xxxxxxxx xxxxxxx programového vybavení x xxxxxxxxx
1. pravidla x postupy xxxxxxxx xxxxxxxxxxxx vybavení x xxxx xxxxxxxx,
2. xxxxxxxx x postupy xxx xxxxxxxx dodržování xxxxxxxxxx xxxxxxxx.
1.14. Xxxxxxxx xxxxxxx xxxxxxxx xxxxx
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx údajů.
b) Xxxxx přijatých a xxxxxxxxxxx organizačních opatření xxx ochranu osobních xxxxx.
x) Popis xxxxxxxxx x xxxxxxxxxxx technických xxxxxxxx pro ochranu xxxxxxxx údajů.
1.15. Xxxxxxxx xxxxxxx xxxxxxxxxxx
x) Pravidla xxx xxxxxxx xxxxxxx.
x) Xxxxxxxx pro xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx xxx xxxxxxx xxxxxxxx.
x) Xxxxxxx narušení xxxxxxx xxxxxxxxxxx.
1.16. Xxxxxxxx bezpečnosti xxxxxxxxxxx xxxx
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx bezpečnosti sítě.
b) Xxxxxx xxxx x xxxxxxxxxx xx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxx přístupů x xxxxx xxxx.
x) Pravidla x postupy xxx xxxxxxx vzdáleného xxxxxxxx x síti.
e) Pravidla x xxxxxxx xxx xxxxxxxxxxxx xxxx a xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
1.17. Xxxxxxxx xxxxxxx xxxx xxxxxxxxx kódem
a) Pravidla x postupy pro xxxxxxx xxxxxx xxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxx x sdílených datových xxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxxx xxxxxxxxxx xxxxxx.
1.18. Politika xxxxxxxx x používání xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx xxxxxxxxxxxxx a xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.19. Xxxxxxxx xxxxxxx a xxxxxx xxxxxxxx xxx xxxx a vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
a) Xxxxxxxx x xxxxxxx xxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Pravidla a xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí.
c) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx nastavení xxxxxxxxxxxxxx vlastností xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
1.20. Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx ochrany
a) Xxxxxx xxxxxxx x xxxxxxx xx typ x sílu kryptografického xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx informací
1. xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx,
2. xxx uložení xx mobilní zařízení xxxx xxxxxxxxxxx xxxxxxxxx xxxxx dat.
c) Xxxxxx xxxxxx xxxxx.
1.21. Xxxxxxxx xxxxxx xxxx
x) Způsob x xxxxxxxx xxxxxx xxxxxxxxxx xxxx v xxxxx povinné osoby, xxxxxx xxxxxxxxx, xxxxxxxxxxxx x komunikačních xxxxxxxxx.
x) Xxxxxxxxxxxxx dopadů xxxxxxxxxx xxxx.
x) Způsob xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxx.
1.22. Xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
x) Definování xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx, evidenci x xxxxxxxx jednotlivých xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx systému xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x pro zlepšování xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx.
1.23. Xxxxxxxx xxxxxx xxxxxxxxxx činností
a) Xxxxx x xxxxxxxxxx zúčastněných xxxx.
x) Cíle xxxxxx xxxxxxxxxx činností
1. xxxxxxxxx xxxxxx poskytovaných xxxxxx,
2. xxxx obnovení xxxxx,
3. xxx obnovení dat.
c) Xxxxxxxx xxxxxx kontinuity xxxxxxxx xxx xxxxxxxx xxxx xxxxxxxxxx.
x) Způsoby xxxxxxxxx xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx x xxxxx xxxxxxxxxx xxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxx.
x) Xxxxxxx xxx realizaci opatření xxxxxxxx Xxxxxx.
2. Xxxxx xxxxxxxxxxxx xxxxxxxxxxx
2.1. Xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) Xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx x xxxx, xxxxx xx auditu xxxxxxxxxxxx xxxxxxxxxxx zúčastnily.
e) Xxxxx x xxxxx, xxx xxxx xxxxxxxxx xxxxxxxx při xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
2.2. Xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací
a) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxxxx změn a xxxxxxxxx, které xxxxx xxx xxxx xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx vazba x xxxxxxxxxx řízení xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x xxxxxxxx opatření,
2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
d) Xxxxxxxx xxxxxxxxx xxxxx x stav xxxxx xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx potřebných xxxxxxxxxx, stanovení xxxxxxxx x xxxx xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx činností.
2.3. Xxxxxxxx pro xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx hodnocení xxxxx
x) Xxxxxx stupnice xxx xxxxxxxxx primárních xxxxx
1. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxx aktiv,
3. xxxxxx xxxxxxxx pro xxxxxxxxx úrovní xxxxxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxx,
3. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. xxxxxx stupnice xxx xxxxxxxxx úrovní rizik.
c) Xxxxxx a přístupy xxx zvládání rizik.
d) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.
2.4. Xxxxxx o xxxxxxxxx aktiv x xxxxx
x) Přehled primárních xxxxx
1. xxxxxxxxxxxx x xxxxx primárních aktiv,
2. xxxxxx xxxxxxx primárních xxxxx,
3. xxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. určení xxxxx xxxx primárními x xxxxxxxxxx xxxxxx.
x) Xxxxxxxxx xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx na xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx existujících zranitelností, xxxxxxxxx xxxxxxxxxxxx opatření,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx xxxx xxxxxx x xxxxxxxx xxx xxxxxxxxxxxxxxxx rizik,
5. xxxxxx x xxxxxxxxx akceptovatelných xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx xxxxxxx zvládání xxxxx,
2. xxxxx xxxxxxxx x jejich realizace.
2.5. Xxxxxxxxxx x xxxxxxxxxxxxxxxx
x) Xxxxxxx xxxxxxxxxxx bezpečnostních xxxxxxxx xxxxxxxxxxxx touto xxxxxxxxx včetně xxxxxxxxxx, xxxx xxxxxx xxxxxxxxxx.
x) Xxxxxxx zavedených bezpečnostních xxxxxxxx včetně způsobu xxxxxx xxxxxxxxxxxx.
2.6. Xxxx xxxxxxxx xxxxx
x) Xxxxx x xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx xxxxxx xxxxx na xxxxxxxxx xxxxxx.
x) Potřebné xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx opatření xxx xxxxxxxx rizik.
d) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Způsob xxxxxxxxx bezpečnostních opatření.
f) Xxxxxxx hodnocení xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
2.7. Xxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx
x) Obsah x xxxxxxx poučení xxxxxxxxx, xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx.
x) Xxxxx a xxxxxxx poučení xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx, xxxxx xxxxxxxx předmět xxxxxxxxxxxx xxxxxxx x xxxxxx xxxx, které xxxxxxx xxxxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxxxx xxxxx.
2.8. Xxxxxxxx změn
a) Xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xxxx.
x) Xxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx.
2.9. Hlášené xxxxxxxxx xxxxx
Xxxxxxx hlášených xxxxxxxxxxx xxxxx.
2.10. Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx
x) Xxxxxxx xxxxxx závazných právních xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx.
x) Xxxxxxx smluvních xxxxxxx.
2.11. Xxxxx xxxxxxxxxx xxxxxxxxxxx
x) Xxxxxxxxx infrastruktury.
b) Xxxxxxx xxxxxxxx xxxxxxxx.
Xxxxxxx x. 6 x vyhlášce č. 82/2018 Sb.
Výbor xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x bezpečnostní role
Tato xxxxxxx obsahuje xxxxx xxxxxxxxxxxx xxxxxxxxx pro xxxxx pro řízení xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx role xxxxxxx x §6 a 7.
Xxx. 1: Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx činnosti: |
a) Xxxxxxxxxxx xx xxxxxxx xxxxxx x rozvoj xxxxxxxxxxxx xxxxxxxxxxx x xxxxx xxxxxxx osoby. |
|
Další xxxxxxxx: |
x) Xxxx výboru xxx xxxxxx kybernetické xxxxxxxxxxx xxxx xxx xxxxxxx |
Xxx. 2: Manažer xxxxxxxxxxxx bezpečnosti
|
Role: |
Manažer xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Odpovědnost xx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx řady ISO/IEC 27000 a xxxxxxx xxxxx x xxxxxxx xxxxxxxxxxx x XXX. |
|
Zkušenosti: |
a) Prosazování xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 roky xxxxx x xxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, nebo |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Security Xxxxxxx (XXXX), Xxxxxxxxx xx Xxxx and Xxxxxxxxxxx Systems Control (XXXXX), Xxxxxxxxx Information Xxxxxxx Security Xxxxxxxxxxxx (XXXXX), Xxxxxxx XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Role není xxxxxxxxxx x rolemi xxxxxxxxxxx za xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x x xxxxxxx xxxxxxxxxx xx xxxxxxxx rolemi. |
Xxx. 3: Architekt kybernetické xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx kybernetické bezpečnosti |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x její xxxxxxxxxx. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxxxx a xxxxx: |
x) Xxxxxxx 3 roky xxxxx v xxxxx xxxxxxxxxx xxxx kybernetické xxxxxxxxxxx, nebo |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxx Xxxxxx (XXX), XxxxXXX Security +, Xxxxxxxxx Information Xxxxxxxx Manager (CISM), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Security Xxxxxxxxxxxx (XXXXX), Manažer XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
Xxxx xxxx xxxxxxxxxx s xxxxxx xxxxxxxxxxx za xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx. |
Xxx. 4: Auditor xxxxxxxxxxxx bezpečnosti
|
Role: |
Auditor kybernetické xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
Xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxx x xxxxx xxxxxx xxxxxxxxxx bezpečnosti. |
|
Zkušenosti: |
a) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx x praxe: |
a) Xxxxxxx 3 roky xxxxx x oblasti xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Relevantní xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXX), Certified Xxxxxxxx Xxxxxxx (CIA), Xxxxxxxxx xx Xxxx and Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Xxxx Xxxxxxx Xxxxxxxxxxx Security Xxxxxxxxxx Xxxxxx (Xxxx Xxxxxxx XXXX), Auditor XX (xxxxxxxxxxx xxxxxx ČIA). |
|
Další xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx x xxxxxx |
Tab. 5: Xxxxxx xxxxxx
|
Xxxx: |
Xxxxxx aktiva |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxxxx xxxxxxx, použití x bezpečnosti aktiva. |
|
Xxxxxxxx: |
x) Xxxxx znalost xxxxxx, xxxxx je xxxxxxxx. |
* Xxxxxxxxxxx xxxx xxx x xxxx xxx xxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx odbornou způsobilost xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx XXX 17 024.
Příloha x. 7 x vyhlášce x. 82/2018 Xx.
Xxxxxx dodavatelů - xxxxxxxxxxxx xxxxxxxx xxx xxxxxxx vztahy
Obsah xxxxxxx xxxxxxxxx x xxxxxxxxxx dodavateli:
a) ustanovení x bezpečnosti xxxxxxxxx (x pohledu xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxx),
x) xxxxxxxxxx x xxxxxxxxx xxxxxx xxxx,
x) xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxx, popřípadě x xxxxxxxxxxxx xxxxxxxxx,
x) ustanovení x kontrole x xxxxxx xxxxxxxxxx (xxxxxxxx xxxxxxxxxxxx auditu),
e) xxxxxxxxxx xxxxxxxxxx řetězení xxxxxxxxxx, xxxxxxx musí xxx xxxxxxxxx, xx xxxxxxxxxxxxx xx zaváží dodržovat x xxxxx xxxxxxx xxxxxxxx xxxx povinnou xxxxxx a xxxxxxxxxxx x xxxxxxx x xxxxxxx s požadavky xxxxxxx xxxxx xx xxxxxxxxxx,
x) ustanovení x xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx politiky xxxxxxx xxxxx xxxx xxxxxxxxxx x odsouhlasení xxxxxxxxxxxxxx xxxxxxx xxxxxxxxxx povinnou xxxxxx,
x) ustanovení o xxxxxx xxxx,
x) xxxxxxxxxx x souladu smluv x xxxxxx závaznými xxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx dodavatele xxxxxxxxxx xxxxxxxx osobu x
1. xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx souvisejících s xxxxxxx xxxxxxx,
2. způsobu xxxxxx xxxxx na xxxxxx xxxxxxxxxx x x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx s xxxxxxx xxxxxxx,
3. významné změně xxxxxxxx xxxxxx xxxxxxxxxx xxxxx zákona x xxxxxxxxxx korporacích xxxx xxxxx xxxxxxxxxxx xxxxxxxxx xxxxx, popřípadě xxxxx xxxxxxxxx xxxxxxxx x xxxxxx aktivy, využívaných xxxxx xxxxxxxxxxx k xxxxxx podle xxxxxxx xx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x pohledu xxxxxxxxxxx při ukončení xxxxxxx (xxxxxxxxx xxxxxxxxx xxxxxx při xxxxxxxx xxxxxxxxxx, xxx xx xxxxx ještě udržovat xxxxxx před xxxxxxxxx xxxxxx xxxxxx, xxxxxxx xxx x xxxxxxx),
x) xxxxxxxxxxx podmínek xxx xxxxxx xxxxxxxxxx xxxxxxxx x xxxxxxxxxxx x xxxxxxxxxx (xxxxxxxxx zahrnutí xxxxxxxxxx do havarijních xxxxx, xxxxx xxxxxxxxxx xxx xxxxxxxx řízení xxxxxxxxxx xxxxxxxx),
x) specifikace xxxxxxxx xxx xxxxxx xxxxxxx xxx, xxxxxxxxxx xxxxx a xxxxxxxxx xx vyžádání xxxxxxxx,
x) xxxxxxxx xxx likvidaci xxx,
x) xxxxxxxxxx x xxxxx jednostranně xxxxxxxxx xx xxxxxxx x xxxxxxx xxxxxxxx xxxxx xxxxxxxx xxx xxxxxxxxxxx xxxx xxxxx kontroly xxx xxxxxxxxx xxxxxx xxxxxxxxxxx dodavatelem x xxxxxx xxxxx smlouvy x
x) ustanovení x xxxxxxxx xx xxxxxxxx xxxxxxxxxx.
Xxxxxxx x. 8 x xxxxxxxx x. 82/2018 Xx.
Xxxx Xxxxxxxxx xxx xxxxxxx kontaktních xxxxx
Informace
Právní předpis č. 82/2018 Xx. nabyl xxxxxxxxx xxxx 28.5.2018.
Xx xxx xxxxxxxx právní xxxxxxx xxxxx xxxxx xx doplňován.
Znění xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx není aktualizováno, xxxxx xx xxxx xxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) Směrnice Xxxxxxxxxx xxxxxxxxxx a Xxxx (XX) 2016/1148 xx xxx 6. xxxxxxxx 2016 x xxxxxxxxxx x xxxxxxxxx vysoké xxxxxxxx xxxxxx xxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxx x Xxxx.