Právní předpis byl sestaven k datu 23.11.2024.
Zobrazené znění právního předpisu je účinné od 28.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
XXXXXXXX
xx xxx 21. xxxxxx 2018
x bezpečnostních xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxx xxxxxx v xxxxxxx xxxxxxxxxxxx bezpečnosti x likvidaci dat (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxx xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxx §28 xxxx. 2 xxxx. x) xx x) a f) xxxxxx č. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx x x xxxxx xxxxxxxxxxxxx zákonů (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), xx znění xxxxxx č. 104/2017 Xx. x xxxxxx x. 205/2017 Xx., (xxxx jen "xxxxx"):
XXXX PRVNÍ
ÚVODNÍ XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx předpis Xxxxxxxx xxxx1) x pro xxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikační xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, významný informační xxxxxx, informační systém xxxxxxxx xxxxxx anebo xxxxxxxxxx xxxxxx xxxx xxx elektronických xxxxxxxxxx, xxxxx xxxxxxx poskytovatel xxxxxxxxxxx služeb, (dále xxx "informační a xxxxxxxxxxx systém") upravuje
a) xxxxx x xxxxxxxxx xxxxxxxxxxxx dokumentace,
b) xxxxx x rozsah bezpečnostních xxxxxxxx,
x) xxxx, xxxxxxxxx x hodnocení významnosti xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx x xxxxxx xxxxxxx kybernetického bezpečnostního xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x provedení xxxxxxxxxxx xxxxxxxx x jeho xxxxxxxx,
x) vzor xxxxxxxx xxxxxxxxxxx údajů x xxxx formu a
g) xxxxxx likvidace xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x jejich kopií.
§2
Xxxxxxxx xxxxx
Xxx xxxxx xxxx xxxxxxxx se xxxxxx
x) administrátorem osoba xxxxxxxxxxx správu, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx technického aktiva,
b) xxxxxxxxxxxxxxx xxxxxxx riziko, xxxxx je xxxxxxxxxx xxx xxxxx nebo xxxxx, xxxxx jsou xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx zákona, (xxxx xxx "xxxxxxx xxxxx") x xxxx xxxxx xxx xxxxxxx xxxxxx dalších xxxxxxxxxxxxxx xxxxxxxx,
x) bezpečnostní xxxxxxxxx xxxxxx zásad x xxxxxxxx, které xxxxxx xxxxxx zajištění ochrany xxxxx,
x) xxxxxxxxxx xxxxx xxxxxxx proces xxxxxxxxxxxx, xxxxxxx a vyhodnocení xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxx xxxx způsobit xxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx xx xx xxxxxxx, xxxxxxx, xxxxxx nebo bezpečnosti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) primárním xxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx zpracovává xxxx xxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxx, že určitá xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxx a xxxxxxx xxxxx,
x) xxxxxxx rizik xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx, výběr x xxxxxxxx opatření xx xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx x xxxxxx x xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) systémem xxxxxx bezpečnosti xxxxxxxxx xxxx systému xxxxxx xxxxxxx osoby založená xx přístupu x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx způsob xxxxxxxx, xxxxxxxx, xxxxxxxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x dat,
k) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx, komunikační xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x objekty, xx xxxxxxx xxxx xxxx xxxxxxx xxxxxxxx, xxxxxxx xxxxxxx xxxx xxx xxxxx na xxxxxxxxxx a komunikační xxxxxx,
x) xxxxxxxxxx fyzická xxxx právnická osoba xxxxx xxxxx xxxxxxx xxxx, xxxxx xxxxxxxxx xxxxxx,
x) vrcholovým xxxxxxx xxxxx nebo skupina xxxx, xxxxx xxxx xxxxxxxx xxxxx, xxxx xxxxxxxxxx xxxxx xxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxx systému (xxxx xxx "provozovatel") a xxxxx, xxx x xxxxxxxx xxxxxx vstupuje xx xxxxxxxx xxxxxx, xxxxx je významný x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
x) xxxxxxxxx xxxxxx xxxxx, xxxxx xx xxxx xxxx xxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxxx xxxxxx,
x) zranitelností xxxxx xxxxx aktiva xxxx xxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxx, které xxxx xxx xxxxxxxx xxxxxx nebo xxxx xxxxxxxx.
ČÁST DRUHÁ
BEZPEČNOSTNÍ XXXXXXXX
XXXXX X
XXXXXXXXXXX OPATŘENÍ
§3
Systém xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx x xxxxx systému xxxxxx xxxxxxxxxxx informací
a) xxxxxxx x xxxxxxx xx požadavky xxxxxxxxx xxxxx a xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xx kterém xxxx xxxxxxxxxxx xxxxx x xxxxxx, xxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,
x) xxxxxxx xxxx systému xxxxxx xxxxxxxxxxx informací,
c) xxx xxxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxx cílů xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx potřeb x hodnocení rizik xxxxxx přiměřená bezpečnostní xxxxxxxx,
x) xxxx xxxxxx xxxxx §5,
x) vytvoří x xxxxxxx bezpečnostní xxxxxxxx x xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, která obsahuje xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx potřeby, xxxxx x xxxxxxxxxx xx xxxxxx k xxxxxx xxxxxxxxxxx informací, a xx základě bezpečnostních xxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §30 a xxxxxx xxxxxxxxx xxxxxxxxxxxx opatření,
f) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxx xxxxxxxxxxxx xxxxxxxxxxx") xxxxx §16,
g) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxx xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x dopadů xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx informací,
h) xxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxx §11 xxxx xxxxxxxx xxxxx, které xxxxx xx xxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xx xxxxxxx zjištění xxxxxx xxxxxxxxxxxx bezpečnosti, xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx x x xxxxxxxxxxx s prováděnými xxxxxxxxxx xxxxxxx a
j) xxxx provoz x xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací x xxxxxxxxxxx xxxxxxxx spojené xx xxxxxxxx xxxxxx xxxxxxxxxxx informací x xxxxxxx xxxxx.
§4
Xxxxxx xxxxx
(1) Povinná xxxxx v xxxxx xxxxxx aktiv
a) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx xxxxxxx v rozsahu xxxxxxxx v příloze č. 1 x xxxx xxxxxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxx,
x) xxxx a xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx x xxxxxxx xxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti a xxxxxx je do xxxxxxxxxxxx xxxxxx xxxxx xxxxxxx x),
x) určí x xxxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx aktivy x xxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxx přitom xxxxxxx xxxxxxxx xxxxxxxxxx podle xxxxxxx f),
h) na xxxxxxx xxxxxxxxx xxxxx xxxxxxxxx x zavádí xxxxxxxx xxxxxxx xxxxx xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx aktiv,
i) xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx a xxxxxxxx xxx xxxxxxxxxx x xxxxxx s xxxxxxx xx xxxxxx xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx sdílení x fyzické xxxxxxxxx xxxxx, a
j) xxxx xxxxxx xxxxxxxxx xxx, xxxxxxxxxx údajů, xxxxxxxxx x jejich xxxxx xxxx likvidaci xxxxxxxxxxx xxxxxx dat x xxxxxxx na úroveň xxxxx x xxxxxxx x přílohou č. 4 k xxxx xxxxxxxx.
(2) Při xxxxxxxxx důležitosti xxxxxxxxxx xxxxx xx xxxxx xxxxxxxx xxxxxxx
x) xxxxxx x xxxxxxxxxx xxxxxxxx xxxxx, zvláštních xxxxxxxxx xxxxxxxx xxxxx nebo xxxxxxxxxx tajemství,
b) xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxx,
x) poškození xxxxxxxxx, xxxxxxxxxx xxxx ekonomických xxxxx x xxxxx xxxxxxxx xxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxx,
x) rozsah xxxxxxxx xxxxxxx xxxxxxxx,
x) xxxxxx xx zachování xxxxxxx xxxxx nebo xxxxxxx xxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxx a xxxxxx xxxx,
x) xxxxxx xx xxxxxxxxxxx vztahy x
x) xxxxxx xx xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
§5
Xxxxxx xxxxx
(1) Xxxxxxx xxxxx v xxxxx xxxxxx rizik v xxxxxxxxxx xx §4
x) xxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx, xxxxxx xxxxxxxxx kritérií xxx xxxxxxxxxxxxxxxx rizik,
b) s xxxxxxx na xxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxxxxx; xxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxxx x příloze č. 3 x xxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxxx intervalech xxxxx xxxxxxxx 2 x xxx xxxxxxxxxx xxxxxxx,
x) xxx xxxxxxxxx xxxxx xxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxxxxx x xxxxxxx xxxxx xxxxxx na aktiva; xxxx rizika hodnotí xxxxxxx x xxxxxxx přílohy č. 2 x xxxx xxxxxxxx,
x) xxxxxxxx xxxxxx x xxxxxxxxx xxxxx,
x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx vyhláškou, xxxxx
1. xxxxxx xxxxxxxxxx, včetně xxxxxxxxxx,
2. xxxx xxxxxxxxxx, xxxxxx způsobu plnění,
g) xxxxxxxx a zavede xxxx xxxxxxxx rizik, xxxxx obsahuje xxxx x xxxxxxx bezpečnostních xxxxxxxx xxx zvládání xxxxxxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxx jejich xxxxxxxx, xxxxx xxxxx mezi xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx a xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxx xxxxxxxxx xxxxx a x xxxxx xxxxxxxx xxxxx xxxxxxxx
1. xxxxxxxx změny,
2. xxxxx rozsahu systému xxxxxx bezpečnosti informací,
3. xxxxxxxx xxxxx §11 xxxxxx a
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxx xxxxxxxx, a
i) x xxxxxxx s xxxxxx xxxxxxxx rizik xxxxxx bezpečnostní opatření.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx provádí xxxxxxxxx xxxxx alespoň xxxxxx ročně a xxxxxxx xxxxx uvedená x §3 xxxx. x) xxxxxx alespoň xxxxxx za tři xxxx.
(3) Xxxxxx xxxxx xxxx xxx xxxxxxxxx x jinými xxxxxxx, xxx xxx xx xxxxxxxxx v xxxxxxxx 1 xxxx. x), xxxxx xxxxxxx osoba xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxx stejnou xxxx xxxxx úroveň xxxxxxx xxxxxx xxxxx.
§6
Xxxxxxxxxxx xxxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxxxx xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx
x) zajistí xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x cílů xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxx §3 slučitelných xx xxxxxxxxxxxx směřováním xxxxxxx osoby,
b) xxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx do xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx xxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxx řízení xxxxxxxxxxx informací x xxxxxxx xxxxxxxx shody x xxxx xxxxxxxxx xx všemi xxxxxxxxx xxxxxxxx,
x) zajistí podporu x dosažení zamýšlených xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) vede xxxxxxxxxxx x rozvíjení xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací a xxxxxxxxx je xxx xxxxx xxxxxxxxx,
x) prosazuje xxxxxxxx zlepšování systému xxxxxx bezpečnosti informací,
h) xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxxxxxx,
x) xxxxxxx stanovení xxxxxxxx xxx určení xxxxxxxxxxxxxx a osob, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx role,
j) xxxxxxx, xxx byla zachována xxxxxxxxxxx xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx,
x) xxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxx příslušné xxxxxxxxx x xxxxxx xxxxxx xxxxxxxxxxxx prostředků x xxxxxxxxxx xxxxxx rolí x xxxxxx souvisejících xxxxx x
x) xxxxxxx xxxxxxxxx xxxxx kontinuity xxxxxxxx, obnovy x xxxxxxx spojených xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx x rámci xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx výboru xxx řízení xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx x jejich xxxxx x povinnosti xxxxxxxxxxx xx xxxxxxxx xxxxxx bezpečnosti informací.
(3) Xxxxxxx osoba xxxxxxx x §3 písm. x), x) x x) xxxxxx xxxx xxxxx, která xxxx xxxxxxxx xxxxxxxxxxxx xxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx kybernetické xxxxxxxxxxx,
x) xxxxxxx xxxxxx x
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxx osoba xxxxxxx x §3 písm. x) zákona xxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx a garanta xxxxxx. Xxxxxxx xxxxxxxxxxxx xxxx xxxxx xxxxxxxx 3 xxxx xxxxxxxxx xxxxxxxx k rozsahu x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(5) Xxxxxxx xxxxx uvedená x §3 xxxx. x), x) a x) xxxxxx zajistí xxxxxxxxxxxxxx xxxxxxxxxxxxxx rolí xxxxxxxxx v xxxxxxxx 3 písm. x) x x).
(6) Xxxxxxx xxxxx uvedená x §3 písm. x) xxxxxx xxxxxxx zastupitelnost xxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(7) Xxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx je xxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxx celkové xxxxxx a xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xx podílejícími xx xxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxx členem xxxx xxx alespoň xxxxx xxxxxxxx vrcholového xxxxxx xxxx xxx xxxxxxxx xxxxx x manažer xxxxxxxxxxxx xxxxxxxxxxx. Povinná xxxxx x xxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx přihlédne x xxxxxxxxxxx xxxxxxxx x příloze č. 6 x xxxx xxxxxxxx.
§7
Xxxxxxxxxxxx xxxx
(1) Manažer xxxxxxxxxxxx bezpečnosti
a) xx xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxx xxxx xxxx xxx xxxxxxxx xxxxx, xxxxx je xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx praxí x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx nebo s xxxxxxx bezpečnosti xxxxxxxxx
1. xx dobu xxxxxxx xxx xxx, xxxx
2. xx xxxx xxxxxxx xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx xxxxxx xxxxx,
x) xxxxxxxx xx xxxxxxxxxx informování xxxxxxxxxxx xxxxxx o
1. činnostech xxxxxxxxxxxxx x xxxxxxx xxxx xxxxxxxxxxxx x
2. xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx x
x) xxxxx být xxxxxxx xxxxxxx xxxx odpovědných xx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému.
(2) Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx bezpečnostní xxxx xxxxxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx xxx, aby xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, přičemž xxxxxxx xxxx xxxx xxxx xxx xxxxxxxx xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx a prokáže xxxxxxxx způsobilost xxxxx x xxxxxxxxxxx implementace xxxxxxxxxxxxxx opatření x xxxxxxxxxxxx xxxxxxxxxxxx bezpečnosti
a) xx dobu xxxxxxx xxx xxx, xxxx
x) xx xxxx xxxxxxx xxxx, xxxxx absolvovala xxxxxxx na xxxxxx xxxxx.
(3) Garant xxxxxx xx xxxxxxxxxxxx role xxxxxxxxx xx xxxxxxxxx xxxxxxx, xxxxxxx a xxxxxxxxxx xxxxxx.
(4) Xxxxxxx xxxxxxxxxxxx bezpečnosti
a) xx xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx xxxx xxxx xxxx xxx xxxxxxxx xxxxx, xxxxx xx xxx tuto xxxxxxx xxxxxxxxx a prokáže xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxx systému xxxxxx xxxxxxxxxxx informací
1. xx xxxx nejméně xxx xxx, xxxx
2. xx xxxx xxxxxxx xxxx, xxxxx absolvovala xxxxxxx xx xxxxxx xxxxx,
x) xxxxxxxx, xx xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx xx xxxxxxxxx, a
c) xxxxx xxx pověřen xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxx.
(5) Povinná xxxxx xxx xxxxxxxx osob xxxxxxxxxxxxx bezpečnostní xxxx xxxxxxxxx x doporučením xxxxxxxx x příloze č. 6 x této xxxxxxxx.
§8
Xxxxxx dodavatelů
(1) Povinná xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxx, která xxxxxxxxxx požadavky xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxx xxxxxxxx svých xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxx xxx xxxxxxxx dodavatele o xxxxxx xxxxxxxx podle xxxxxxx b),
d) seznamuje xxx dodavatele s xxxxxxxx xxxxx xxxxxxx x) a vyžaduje xxxxxx xxxxxx pravidel,
e) xxxx xxxxxx spojená x dodavateli,
f) x xxxxxxxxxxx x xxxxxxx xxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx zajistí, xxx smlouvy uzavírané x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx relevantní xxxxxxx xxxxxxx x příloze č. 7 x xxxx xxxxxxxx, x
x) xxxxxxxxxx přezkoumává xxxxxx smluv x xxxxxxxxxx xxxxxxxxxx z xxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx u xxxxxxxxxx xxxxxxxxxx dále
a) x xxxxx xxxxxxxxxx xxxxxx x xxxx uzavřením xxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxxxxx předmětu xxxxxxxxxx xxxxxx xxxxxxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx,
x) x rámci xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxx bezpečnostních xxxxxxxx x xxxx xxxxx vzájemné xxxxxxx xxxxxxxxxxxx xx zavedení x xxxxxxxx bezpečnostních xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxx zdrojů xxxx xxxxxx xxxxx xxxxxx x
x) v xxxxxx xx xxxxxx a xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxx.
(3) Xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx podle xxxxxxxx 1 písm. x) xxxx
x) xxxxxxxxxxxx xxxxxxx nebo provozovatele,
b) xxxxxxxxxxxx informačního a xxxxxxxxxxxxx systému,
c) xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx x skutečnosti, xx xxxxxxxxx xx pro xxxxxxx významným xxxxxxxxxxx, x xxxxxxxxx xxxx x tom, xx xxxxxxxx xxxxxxxxx xx xxxxxxx provozovatelem, x
x) xxxxx xxxxxxxx xxxxx xxxxxxxx 1 xxxx. x).
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxxx xx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 xxxx. x), xxxxx xxxxxxxxx údaje xxxxxx xxxxxxxx x §34.
§9
Xxxxxxxxxx lidských xxxxxx
(1) Xxxxxxx xxxxx x xxxxx řízení xxxxxxxxxxx xxxxxxxx zdrojů
a) x xxxxxxx xx xxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxx xx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx povědomí x xxxxx xxxxxxxx xxxxx, obsah x xxxxxx
1. xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx zastávajících xxxxxxxxxxxx role x xxxxxxxxxx x xxxxxx xxxxxxxxxxxx x o xxxxxxxxxxxx xxxxxxxx x
2. xxxxxxxxxx teoretických x xxxxxxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx role,
b) xxxx osoby xxxxxxxxx xx xxxxxxxxx jednotlivých xxxxxxxx, xxxxx xxxx x plánu xxxxxxx,
x) x souladu s xxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxxxx poučení xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxx x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx politice xxxxxx vstupních x xxxxxxxxxxxx xxxxxxx,
x) xxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx v souladu x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx odborná xxxxxxx, xxxxxxx xxxxxxx z xxxxxxxxxx xxxxxx xxxxxxx xxxxx v oblasti xxxxxxxxxxxx xxxxxxxxxxx,
x) x xxxxxxx s plánem xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx v xxxxxxx x xxxxxx xxxxxxxx xxxxxx,
x) zajistí xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx,
x) x xxxxxxx xxxxxxxx xxxxxxxxx vztahu x administrátory x xxxxxxx zastávajícími xxxxxxxxxxxx xxxx zajistí xxxxxxx xxxxxxxxxxxx,
x) xxxxxxx účinnost xxxxx xxxxxxx bezpečnostního xxxxxxxx, provedených xxxxxxx x xxxxxxx činností xxxxxxxxx se zlepšováním xxxxxxxxxxxxxx povědomí a
i) xxxx pravidla x xxxxxxx pro xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx pravidel ze xxxxxx uživatelů, administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
(2) Xxxxxxx xxxxx xxxx o xxxxxxx xxxxx xxxxxxxx 1 přehledy, xxxxx xxxxxxxx předmět xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
§10
Xxxxxx provozu x xxxxxxxxxx
(1) Xxxxxxx xxxxx x rámci řízení xxxxxxx a xxxxxxxxxx xxxxxxxxx bezpečný xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx a xxxxxxx xxxxxxxx pravidla x xxxxxxx, xxxxx obsahují xxxxxxx
x) xxxxx x xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx role,
b) xxxxxxx xxx xxxxxxxx x xxxxxxxx chodu systému, xxx xxxxxxx xxxx xxxxxxxx chodu xxxxxxx xx xxxxxxx a xxx xxxxxxxx xxxxxxxxx xxxxx nebo mimořádných xxxx,
x) xxxxxxx xxx xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxx xxxxxxx xxxxxxxx x xxxxxxxx x xxxxxx xxxxxxxxxx,
x) pravidla x postupy xxx xxxxxxx xxxx škodlivým xxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxx na xxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxx,
x) xxxxxxx řízení x schvalování xxxxxxxxxx xxxx,
x) postupy pro xxxxxxxxx, plánování x xxxxxx xxxxxxxx lidských x xxxxxxxxxxx xxxxxx,
x) xxxxxxxx x xxxxxxx xxx ochranu informací x dat v xxxxxxx xxxxxx xxxxxxxxx xxxxx,
x) pravidla x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx aktiv,
k) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx a
l) pravidla x postupy xxx xxxxxxxxx xxxxxxxxxxx síťových xxxxxx.
(2) Xxxxxxx osoba x rámci xxxxxx xxxxxxx x komunikací xxxxxxxx xxxxxxxx a xxxxxxx stanovené podle xxxxxxxx 1 a xxxx xxxxxxxx a xxxxxxx xxxxxxxxxxx v xxxxxxxxxxx x xxxxxxxxxxx xxxx plánovanými xxxxxxx.
(3) Xxxxxxx osoba zajistí xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxx prostředí.
§11
Xxxxxx xxxx
(1) Xxxxxxx xxxxx v rámci xxxxxx xxxx x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx
x) xxxxxxxxxxx možné xxxxxx xxxx x
x) xxxxxx významné xxxxx.
(2) Xxxxxxx xxxxx x xxxxxxxxxx změn
a) xxxxxxxxxxx xxxxxx xxxxxx,
x) xxxxxxx xxxxxxx rizik,
c) xxxxxxx xxxxxxxx xx xxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxx,
x) aktualizuje xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx,
x) zajistí xxxxxx testování x
x) xxxxxxx xxxxxxx xxxxxxxxx xx xxxxxxxxx stavu.
(3) Xxxxxxx osoba uvedená x §3 xxxx. x), x) a x) xxxxxx xx xxxxxxx xxxxxxxx xxxxxxx xxxxx xxxxx xxxxxxxx 2 xxxx. x) xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx testování nebo xxxxxxxxx xxxxxxxxxxxxx; pokud xxxxxxxx x provedení xxxxxxxxxxxx testování nebo xxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxx §25 xxxx. 1 a reaguje xx xxxxxxxx xxxxxxxxxx.
(4) Xxxxxxx osoba xxxxxxx x §3 písm. x) xxxxxx xx xxxx xxxxxxxxx podle xxxxxxxx 3 xxxxxxxxx.
§12
Xxxxxx přístupu
(1) Xxxxxxx xxxxx xx xxxxxxx xxxxxxxxxx x bezpečnostních xxxxxx xxxx xxxxxxx x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx a xxxxxxx opatření, xxxxx xxxxxx x xxxxxxxxx xxxxxxx xxxxx, xxxxx xxxx používány xxx xxxxxxxxxx xxxxx §19 x 20, a xxxxx brání xx xxxxxxxx těchto xxxxx xxxxxxxxxxxx xxxxxx.
(2) Povinná xxxxx xxxx x xxxxx xxxxxx xxxxxxxx x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx
x) řídí xxxxxxx xx xxxxxxx xxxxxx x rolí,
b) xxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxx x xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx,
x) xxxx identifikátory, xxxxxxxxxx xxxxx a xxxxxxxxx xxxxxxxx a xxxxxxxxxxx xxxx,
x) xxxxxx bezpečnostní xxxxxxxx xxx xxxxxx xxxxxxxx xxxxxxxx k xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
e) xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxx používání xxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxxxx i xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxx xxxx xx své xxxxxx,
x) omezí přidělování xxxxxxxxxxxxxxx oprávnění xx xxxxxx nezbytně xxxxxx x xxxxxx xxxxxx xxxxx,
x) xxxxx a xxxxxxxxxx xxxxxxxxx programových xxxxxxxxxx, xxxxx mohou xxx xxxxxxx překonat xxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
x) přiděluje a xxxxxxx přístupová xxxxxxxxx x souladu x xxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx rozdělení xx xxxxxxxxxxxx xxxxxx x xxxx,
x) využívá xxxxxxx pro xxxxxx x xxxxxxxxx xxxxxxxx xxxxx §19 a xxxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxx xxxxx §20,
x) prosazuje, xxx xxxxxxxxx xxx používání xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx nebo xxxxx přístupových xxxxxxxxx xxx xxxxx xxxxxx xxxx zařazení xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxxxxxx odebrání xxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx ukončení xxxx xxxxx smluvního vztahu x
x) dokumentuje xxxxxxxxxxx x odebírání přístupových xxxxxxxxx.
§13
Akvizice, vývoj x xxxxxx
Xxxxxxx osoba x xxxxxxxxxxx x plánovanou xxxxxxxx, xxxxxxx x xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxx xxxxx §5,
x) xxxx významné xxxxx xxxxx §11,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) zahrne xxxxxxxxxxxx xxxxxxxxx do xxxxxxxx xxxxxxxx, xxxxxx x údržby,
e) zajistí xxxxxxxxxx xxxxxxxxxx a xxxxxxxxxxx prostředí a xxxxxxx ochranu používaných xxxxxxxxxxx xxx,
x) provádí xxxxxxxxxxxx xxxxxxxxx významných xxxx před xxxxxx xxxxxxxxx do provozu x
x) plní xxxxxxxxx xxxxx §19 xxxx. 3, je-li xxxxx xxxxxxxxx akvizice nebo xxxxxx nástroj xxx xxxxxx x xxxxxxxxx xxxxxxxx.
§14
Xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
(1) Xxxxxxx xxxxx v xxxxx zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx x xxxxxxx xxxxxxx pro
1. xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxx x
2. koordinaci x zvládání kybernetických xxxxxxxxxxxxxx incidentů,
c) xxxxxxxx x xxxxxxxx xxxxxxx xxx xxxxxxxxxxxx, xxxx, xxxxxxx x xxxxxxxx xxxxxxxxxxx podkladů xxxxxxxxxx xxx analýzu kybernetického xxxxxxxxxxxxxx incidentu,
d) xxxxxxx xxxxxxx kybernetických bezpečnostních xxxxxxxx,
x) xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx xx xxxx řídí §22 a 23,
x) xxxxxxx, že xxxxxxxxx, xxxxxxxxxxxxxx, xxxxx zastávající xxxxxxxxxxxx xxxx, další xxxxxxxxxxx a xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx a xxxxxxxxx na xxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxx posuzování xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxx xxxxxx xxxx xxx xxxxxxxxxx, xxx xxxx být xxxxxxxxxxxxx xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxx §31,
x) xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle xxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxx xxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx podle §32,
k) xxxx xxxxxxx x xxxxxxxxxxxxxx bezpečnostních incidentech x o xxxxxx xxxxxxxx,
x) xxxxxxxx x xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a
m) xxxxxxxxx účinnost řešení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxx xxxxxxx nutná xxxxxxxxxxxx xxxxxxxx, popřípadě xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx k xxxxxxxx xxxxxxxxx řešeného kybernetického xxxxxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx uvedená x §3 písm. x), x) a x) xxxxxx xxxx při xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxx §24.
§15
Xxxxxx kontinuity xxxxxxxx
Xxxxxxx xxxxx x xxxxx xxxxxx kontinuity xxxxxxxx
x) xxxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxxxxx xxxxxxxxx xxxxx a xxxxxxx xxxxxx vyhodnotí x xxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x xxxxxxx xxxxx xxxxxx související x xxxxxxxxx xxxxxxxxxx xxxxxxxx,
x) xx xxxxxxx výstupů xxxxxxxxx xxxxx x xxxxxxx xxxxxx xxxxx xxxxxxx x) xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, která xx xxxxxxxxxx xxx xxxxxxx, xxxxxx x xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
2. doby obnovení xxxxx, xxxxx xxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, x
3. xxxx xxxxxxxx dat xxxx xxxxxx období, xx které musí xxx xxxxxx xxxxxxxx xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx xxxx xx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx cílů xxxxx xxxxxxx c),
e) xxxxxxxxx, xxxxxxxxxxx a xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxx související x xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému a xxxxxxxxxxxxx služeb x
x) xxxxxxxxx xxxxxxxx pro xxxxxxx odolnosti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxxxxxx x xxxxxxx xxx xxx x xxxxxxxxx podle §27.
§16
Xxxxx xxxxxxxxxxxx bezpečnosti
(1) Xxxxxxx xxxxx v xxxxx auditu kybernetické xxxxxxxxxxx
x) xxxxxxx x xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxxxx politiky, včetně xxxxxxxxxxx xxxxxxxxx shody, x xxxxxxxx auditu xxxxxxxx v xxxxx xxxxxxx bezpečnostního xxxxxxxx x xxxxx zvládání xxxxx a
b) xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx x nejlepší xxxxx, xxxxxxxx předpisy, xxxxxxxxx xxxxxxxx, xxxxxx předpisy x xxxxxxxxx xxxxxxx xxxxxxxxxxxx xx k xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxx xxxxxxxx opatření xxx zajištění souladu.
(2) Xxxxx podle xxxxxxxx 1 xx prováděn
a) xxx významných změnách, x rámci jejich xxxxxxx,
x) x xxxxxxxxxxxx xxxxxxxxxxx alespoň po 3 xxxxxx x xxxxxxx xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx x
x) x pravidelných xxxxxxxxxxx xxxxxxx xx 2 xxxxxx x xxxxxxx xxxxxxx xxxxx xxxxxxxxx x xxxxxxx x).
(3) Xxxx-xx x xxxxxxxxxxxx xxxxxxxxx možné xxxxxxx xxxxx v xxxxxxxxxxx podle xxxxxxxx 2 xxxx. x) x c) x xxxxx xxxxxxx, je xxxxx audit xxxxxxxx xxxxxxxx po xxxxxxxxxxxxxx xxxxxxx. V takovém xxxxxxx xx xxxxx xxxxx x xxxxx xxxxxxx provést nejpozději xx 5 let.
(4) Xxxxx kybernetické xxxxxxxxxxx xxxx xxx xxxxxxxx xxxxxx vyhovující xxxxxxxxx xxxxxxxxxx v §7 xxxx. 4, xxxxx xxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx opatření.
(5) Xxxxxxx xxxxx, xxxxx xx xxxxxxxx xxxxxxxxxxxxxx, předkládá xxxxxxxx auditu kybernetické xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
XXXXX XX
XXXXXXXXX XXXXXXXX
§17
Xxxxxxx xxxxxxxxxx
Xxxxxxx xxxxx x xxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxx poškození, krádeži xxxx xxxxxxxx xxxxx xxxx přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
b) xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxx, xx xxxxx jsou xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, a
c) x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx stanoveného xxxxx xxxxxxx b) xxxxxx xxxxxxxx opatření x xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
1. x xxxxxxxx xxxxxxxxxxxxx xxxxxx,
2. x xxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx a
3. xxx zajištění xxxxxxx xx xxxxxx objektů x v xxxxx xxxxxxx.
§18
Xxxxxxxxxx xxxxxxxxxxxxx xxxx
Xxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxx x xxxxxxx xxxxx §3 xxxx. x)
x) zajistí xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxx komunikace v xxxxx xxxxxxxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxx důvěrnost x xxxxxxxxx xxx xxx xxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxx nebo při xxxxxxxx xx komunikační xxxx pomocí bezdrátových xxxxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxx a
e) xxx zajištění segmentace xxxx x xxx xxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxxx využívá xxxxxxx, který xxxxxxx xxxxxxx xxxxxxxxx komunikační xxxx.
§19
Xxxxxx x xxxxxxxxx xxxxxxx
(1) Xxxxxxx xxxxx xxxxxxx xxxxxxx pro xxxxxx a ověření xxxxxxxx xxxxxxxxx, administrátorů x aplikací xxxxxxxxxxxx x xxxxxxxxxxxxx systému.
(2) Xxxxxxx xxx xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxx
x) xxxxxxx xxxxxxxx před xxxxxxxxx xxxxxxx x xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxx možných xxxxxxxxxxx xxxxxx o xxxxxxxxxx,
x) odolnost xxxxxxxxx xxxx xxxxxxxxxxx autentizačních xxxxx proti xxxxxxxxxxxxx xxxxxxxx x xxxxxxxx,
x) xxxxxxxx autentizačních xxxxx xx xxxxx odolné xxxxx xxxxxxx xxxxxx,
x) xxxxxxxx ověření xxxxxxxx xx xxxxxx xxxx xxxxxxxxxx,
x) xxxxxxxx důvěrnosti xxxxxxxxxxxxxx xxxxx při xxxxxx xxxxxxxx x
x) xxxxxxxxxxxxxxx xxxxxx identit.
(3) Xxxxxxx xxxxx pro xxxxxxx identity uživatelů, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxx založený xxxxx xx xxxxxxx xxxxxxxxxxxxxx účtu a xxxxx, xxxxx na xxxxxxxxxxxxx autentizaci x xxxxxxx xxxxx xxxxxxx xxxx xxxxxxx.
(4) Do xxxx xxxxxxx xxxxxxxxx xxxxx odstavce 3 xxxx xxxxxxx xxx xxxxxxx identity uživatelů, xxxxxxxxxxxxxx a xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx klíčů x xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx.
(5) Xx xxxx xxxxxxx požadavků xxxxx xxxxxxxx 3 nebo 4 xxxx xxxxxxx xxx ověření xxxxxxxx xxxxxxxxx, administrátorů a xxxxxxxx, xxxxx používá x xxxxxxxxxxx xxxxxxxxxxxxx xxxx a heslo, xxxxxxxxx xxxxxxxx
x) xxxxx xxxxx xxxxxxx
1. 12 xxxxx x xxxxxxxxx x
2. 17 xxxxx x xxxxxxxxxxxxxx a xxxxxxxx,
x) umožňující xxxxx xxxxx x xxxxx xxxxxxx 64 xxxxx,
x) xxxxxxxxxxx použití xxxxxx x xxxxxxx xxxxxx, xxxxxx x xxxxxxxxxxx xxxxx,
x) umožňující uživatelům xxxxx xxxxx, xxxxxxx xxxxxx mezi xxxxx xxxxxxx xxxxx xxxxx xxx xxxxxx xxx 30 xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxxx
1. xxxxxx xx nejčastěji xxxxxxxxx xxxxx,
2. xxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, přihlašovacího xxxxx, x-xxxxx, názvu xxxxxxx xxxx xxxxxxxx xxxxxxxx x
3. xxxxxxxx xxxxxxx xxxxx používaných xxxxx x pamětí alespoň 12 xxxxxxxxxxx xxxxx x
x) xxx xxxxxxxx xxxxx xxxxx x xxxxxxxxx maximálně xx 18 měsících, xxxxxxx xxxx xxxxxxxx xx xxxxxxxxxx xx xxxx xxxxxxxx k xxxxxx xxxxxxx v xxxxxxx xxxxxxx.
(6) Povinná osoba x případě xxxxxxxxx xxxxxxxxxxx pouze účtem x xxxxxx xxxx
x) xxxxxx bezodkladnou změnu xxxxxxxxx xxxxx po xxxx xxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx heslo xxxxxxxx k obnovení xxxxxxxx xx xxxx xxxxxx xxxxxxx xxxx xxxxxxxxx nejvýše 60 xxxxx od xxxx xxxxxxxxx x
x) povinně xxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxx do xxxxx rozvoje bezpečnostního xxxxxxxx podle §9.
§20
Xxxxxx xxxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxx pro řízení xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx řízení xxxxxxxxx
x) xxx xxxxxxx k xxxxxxxxxxx aktivům xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) pro xxxxx xxx, xxxxx xxx x xxxxx xxxxxxxxx.
§21
Ochrana xxxx škodlivým xxxxx
(1) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. c), x) x x) zákona x xxxxx xxxxxxx xxxx xxxxxxxxx xxxxx
x) x xxxxxxx xx xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxx xxxxxxxx pro xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx
1. xxxxxxxxx xxxxxx,
2. xxxxxxxxx xxxxxxxx,
3. serverů,
4. datových xxxxxxx x výměnných xxxxxxxx nosičů,
5. xxxxxxxxxxx xxxx x xxxxx xxxxxxxxxxx xxxx x
6. xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x xxxx xxxxxxxxx xxxxxxxxx zařízení a xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx nosičů,
d) řídí xxxxxxxxx xx spouštění xxxx a
e) provádí xxxxxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxxxxx pro xxxxxxx xxxx xxxxxxxxx xxxxx.
(2) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. e) xxxxxx xxxxxxxxx xxxxx odstavce 1 xxxxxxxxx.
§22
Xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x komunikačního systému, xxxx xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému x
x) na xxxxxxx xxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxx xxxxxx aktiv, x xxxxxxx je xxxxxxxxxxxxx bezpečnostních x xxxxxxxxxx xxxxxxxx xxxxxxxxx.
(2) Xxxxxxx osoba xxx xxxxxxxxxxxxx bezpečnostních x xxxxxxxxxx xxxxxxxx podle xxxxxxxx 1 xxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx identifikaci xxxxxxxx původce, xx-xx x komunikační xxxx xxxxxx nástroj, který xxxx xxxx síťovou xxxxxxxxxxxx,
x) xxxx xxxxxxxxx x xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx; zejména xxxxxxxxxxx
1. xxxxx x xxx xxxxxx xxxxxxxxxxx xxxxxxxx pásma,
2. typ xxxxxxxx,
3. xxxxxxxxxxxx technického xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxx, pod kterým xxxx xxxxxxx provedena,
5. xxxxxxxxxxxx síťovou xxxxxxxxxxxx xxxxxxxx xxxxxxx a
6. xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxxx x) x x) xxxx xxxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx
1. přihlašování x xxxxxxxxxxx ke xxxx xxxxx, a xx xxxxxx neúspěšných pokusů,
2. xxxxxxxx provedených administrátory,
3. xxxxxxx i xxxxxxxxx xxxxxxxxxx x xxxx, xxxxxxxxxxx a xxxxx,
4. xxxxxxxxxxx xxxxxxxx x xxxxxxxx nedostatku xxxxxxxxxxxx xxxx a oprávnění,
5. xxxxxxxx xxxxxxxxx, které xxxxx xxx xxxx xx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
6. xxxxxxxx x ukončení xxxxxxxx technických xxxxx,
7. xxxxxxxxxx x chybových xxxxxxx xxxxxxxxxxx xxxxx x
8. xxxxxxxx k xxxxxxxx x xxxxxxxxxx, xxxxxx o xxxxxxxxxx xx xxxxxxx x xxxxxxxxxx a xxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx a
e) xxxxxxxxxxxxx jednotného xxxx xxxxxxxxxxx xxxxx nejméně xxxxxx xx 24 xxxxx.
(3) Xxxxxxx osoba xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xxxxxxxx záznamy xxxxxxxx xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx xx xxxx 18 xxxxxx.
(4) Xxxxxxx osoba xxxxxxx x §3 xxxx. x) xxxxxx uchovává xxxxxxx událostí xxxxxxxxxxxxx xxxxx odstavce 2 xxxxxxx xx xxxx 12 xxxxxx.
§23
Xxxxxxx kybernetických bezpečnostních xxxxxxxx
(1) Povinná xxxxx x xxxxx xxxxxxxxxxx xxxx, xxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx x kontrolu xxxxxxxxxxx xxx v xxxxx xxxxxxxxxxx xxxx x xxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx x kontrolu xxxxxxxxxxx dat xx xxxxxxxxx xxxxxxxxxxx xxxx x
x) blokování xxxxxxxxx xxxxxxxxxx.
(2) Povinná osoba xxxxxxx v §3 xxxx. x), x) x x) xxxxxx xxxxxxx detekci kybernetických xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxx x ohledem xx xxxxxxxxxx xxxxx x xxxxx
x) xxxxxxxxx stanic,
b) xxxxxxxxx xxxxxxxx,
x) xxxxxxx,
x) xxxxxxxx úložišť x xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxx aktivních prvků x
x) xxxxxxxxx xxxxx.
§24
Xxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí
Povinná xxxxx xxxxxxx x §3 písm. x), x) a x) xxxxxx xxxxxxx xxxxxxx xxx xxxx x xxxxxxxxxxx vyhodnocení kybernetických xxxxxxxxxxxxxx událostí, xxxxx xxxxxx
x) xxxx a xxxxxxxxxxxxx událostí xxxxxxxxxxxxx xxxxx §22 a 23,
x) xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx záznamů,
c) xxxxxxxxxxx xxxxxxxxx pro xxxxxx bezpečnostní xxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx bezpečnostních rolí,
e) xxxxxxx případů xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx
1. vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x
2. xxxxxx xxxxxxxx a
f) xxxxxxxxx informací xxxxxxxxx xxxxxxxxx xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx informačního x xxxxxxxxxxxxx systému.
§25
Aplikační xxxxxxxxxx
(1) Xxxxxxx xxxxx provádí penetrační xxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx se xxxxxxxxx xx xxxxxxxx xxxxxx, x xx
x) xxxx jejich xxxxxxxx xx provozu x
x) x souvislosti x xxxxxxxxx xxxxxx xxxxx §11 xxxx. 3.
(2) Xxxxxxx xxxxx dále x rámci xxxxxxxxx xxxxxxxxxxx zajistí xxxxxxx xxxxxxx aplikací, xxxxxxxxx x transakcí xxxx
x) xxxxxxxxxxxx činností x
x) xxxxxxxx xxxxxxxxxxx xxxxxxxx.
§26
Xxxxxxxxxxxxxx prostředky
Povinná osoba xxx xxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) používá xxxxxxxx xxxxxx xxxxxxxxxxxxxx algoritmy x kryptografické klíče,
b) xxxxxxx systém xxxxxx xxxxx x xxxxxxxxxxx, xxxxx
1. xxxxxxx xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, změny, xxxxxxx platnosti, xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxx x
2. xxxxxx xxxxxxxx x xxxxx,
x) xxxxxxxxx xxxxxxxx nakládání x kryptografickými prostředky x
x) xxxxxxxxxx xxxxxxxxxx x xxxxxxx kryptografických xxxxxxxxxx xxxxxx Xxxxxx, xxxxxxxxxx na xxxx xxxxxxxxxxxxx xxxxxxxxx.
§27
Xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx zavede xxxxxxxx pro xxxxxxxxxxx xxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx xxx xxxxxxx cílů xxxxx §15,
x) xxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx vůči xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx xxxxx xxxxxx xxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx x komunikačního xxxxxxx x
x) redundanci xxxxx xxxxxxxxxx xxx xxxxxxxxx dostupnosti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
§28
Průmyslové, xxxxxx x xxxxxxx specifické xxxxxxx
Xxxxxxx xxxxx xxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx, xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxx používá xxxxxxxx x xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxxxx a xxxxxxxxxxxx xxxxxxxxxx, které jsou xxxxxx xx specifického xxxxxxxxx,
x) omezení xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxx xxxxxxx x xx xxxxxxxxxxx síti,
c) xxxxxxxxx xxxxxxxxxxx xxxx xxxxxx xxx xxxx xxxxxxx xx xxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxx x xxxxxx xxxxxxxxxx xxxxxxxx x xxxxx systémům,
e) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx systémů xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx xxxxxx systémů xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx.
§29
Xxxxxxxxx xxxxxx
(1) Xxxxxxx xxxxx uvedená v §3 xxxx. h) xxxxxx xxxxxx bezpečnostní xxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxx Xxxxxx (XX) 2018/151 xx dne 30. xxxxx 2018, xxxxxx xx stanoví xxxxxxxx pro xxxxxxxxxxx xxxxxxxx Xxxxxxxxxx parlamentu x Xxxx (XX) 2016/1148, pokud xxx x xxxxxx xxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxx služeb xxxxxxxxxxx při xxxxxx xxxxxxxxxxxxxx rizik, xxxxx xxxx vystaveny xxxx x xxxxxxxxxx xxxxxxx, x xxxxxxxxx pro xxxxxxxxxx xxxx, xxx xx dopad xxxxxxxxx xxxxxxxx; ustanovení §3 xx 28 se xx xxxx xxxxxxxx xxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx hlásí xxxxxxxxx xxxxx xxxxx §34 xxxx. 2.
(3) Povinná xxxxx xxxxxxx x §3 písm. x) xxxxxx hlásí xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §32 xxxx. 2 x 3.
HLAVA III
BEZPEČNOSTNÍ XXXXXXXX X BEZPEČNOSTNÍ XXXXXXXXXXX
§30
Xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
(1) Povinná xxxxx
x) xxxxxxx xxxxxxxxxxxx politiku x xxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx oblasti xxxxxxx v příloze č. 5,
b) xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx a
c) xxxxxxx, xxx byla xxxxxxxxxxxx xxxxxxxx x bezpečnostní xxxxxxxxxxx xxxxxxxx.
(2) Xxxxxxxxxxxx xxxxxxxx x bezpečnostní xxxxxxxxxxx musí být
a) xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx x xxxxx xxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxx dotčeným xxxxxxx,
x) xxxxxx,
x) chráněny x xxxxxxx důvěrnosti, integrity x dostupnosti x
x) xxxxxx xxx, xxx xxxxxxxxx x nich xxxxxxxx xxxx xxxxx, xxxxxxx, xxxxxx identifikovatelné x xxxxxx xxxxxxxxxxxx.
XXXX TŘETÍ
KYBERNETICKÝ BEZPEČNOSTNÍ XXXXXXXX
§31
Xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Jednotlivé xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxx podle xxxxxxxxxxx xxx xxxxxxxxxx
x) xxxxxx xxxxxxxxxx x dopadových xxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxx xxxxxxx xxxxx určeny,
b) počtu xxxxxxxxx xxxxxxxxx,
x) způsobené xxxx předpokládané xxxxx,
x) xxxxxxxxxxx dotčených xxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
f) xxxxxx xx xxxxxx xxxxxxxxxxx jinými xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxx xxxxxx incidentu,
h) xxxxxxxxxxx rozsahu xxxxxxx xxxxxxx x
x) xxxxxxx xxxxxx.
(2) Xxx xxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx xx xxxxxxx xxxxxxxxxx xxxxx odstavce 1 xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx zařadí do xxxxxxxxxxxxx xxxxxxxxx
x) Kategorie XXX - velmi xxxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx xxxxx a xxxxxxxx xxxxxxxx bezpečnost xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx řešení xxxxxxxx xxxxxxxxxx zásahy xxxxxxx x xxx, xx xxxx být xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace vzniklých x xxxxxxxxxxxxx xxxx,
x) Xxxxxxxxx XX - xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx xxxxxxxx bezpečnost xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx zásahy xxxxxxx x xxx, xx musí xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx šíření kybernetického xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx, xxxx
x) Xxxxxxxxx I - xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxx x méně xxxxxxxxxx xxxxxxxx bezpečnosti xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx řešení xxxxxxxx xxxxxx obsluhy x xxx, že musí xxx xxxxxxxx prostředky xxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx minimalizace xxxxxxxxx xxxx.
(3) Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxx xxxx
x) kybernetický xxxxxxxxxxxx xxxxxxxx způsobující xxxxxxxx důvěrnosti xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx narušení xxxxxxxxx xxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, nebo
d) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx kombinaci xxxxxx xxxxxxxxx v xxxxxxxxx x) xx c).
(4) Xxxx xxxxxxxxxx xx xxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxxxxx incidenty u xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) zákona.
§32
Forma x náležitosti xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx se Xxxxx xxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu xxxxxxxx
x) na xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx xxx příjem xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, zveřejněnou xx xxxxxxxxxxxxx xxxxxxxxx Úřadu,
b) xx xxxxxx xxxxxxxx Xxxxx, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xx xxxxxxxxx, xxxxx xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Kybernetický bezpečnostní xxxxxxxx xx provozovateli xxxxxxxxx XXXX xxxxx xx xxxxxxxxxxxxx formuláři xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx
x) na xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxxx CERT xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, zveřejněnou xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx datové schránky xxxxxxxxxxxxx národního XXXX, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx národního XXXX.
(3) Xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx xx xxxxx xxxxxx x x xxxxxxxx xxxxxx, xxxxx xxxxx x xxxxxxxxx, kdy nelze xxxxxx xxxxx xx xxxxxxx xxxxxxxxx x xxxxxxxxxx 1 x 2.
(4) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního incidentu xxxx
x) identifikace xxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxx x xxx xxxxxxxx xxxxxxxxx a
d) popis xxxxxxxxx.
ČÁST XXXXXX
XXXXXXXXX XXXXXXXX X KONTAKTNÍ XXXXX
§33
Xxxxxxxxx xxxxxxxx
(1) Xxxxxxx osoba, xxxxx Xxxx xxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx x xx xxxxxxxx bezpečnostní xxxxxxxx x xxxxxxxxx možné xxxxxxxxx xxxxxx x
x) xxxxxxx způsob rychlého xxxxxxxxx xxxxxx xxxxxxxx, xxxxx minimalizuje xxxx xxxxx negativní xxxxxx, x xxxx časový xxxx xxxx xxxxxxxxx.
(2) Xxxxxxx osoba, xxxxx Xxxx xxxxxx xxxxxxx xxxxxxxxx xxxxxxxx, oznámí xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx x jeho xxxxxxxx xx xxxxx xxxxxxx xx internetových xxxxxxxxx Xxxxx.
§34
Kontaktní xxxxx
(1) Kontaktní xxxxx xx Xxxxx xxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx xxxxxxxx
x) na xxxxxx xxxxxxxxxxxx pošty Xxxxx xxxxxxx xxx xxxxxx xxxxxxxx kontaktních xxxxx, xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx xxxxxx xxxxxxxx Xxxxx, xxxx
x) prostřednictvím xxxxxxxx xxxxxxxx, xxxxx xx xxxxxxxxx, jehož popis xx xxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx.
(2) Xxxxxxxxx xxxxx se xxxxxxxxxxxxx xxxxxxxxx CERT xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx zveřejněném na xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx národního XXXX xxxxxxx xxx xxxxxx oznámení xxxxxxxxxxx xxxxx, zveřejněnou na xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx datové xxxxxxxx xxxxxxxxxxxxx národního XXXX, xxxx
x) prostřednictvím xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Xxxxxxx xxxxxxxxxxx xxxxx xx možné xxxxxx x v xxxxxxxx podobě, xxxxx xxxxx x xxxxxxxxx, xxx xxxxx xxxxxx xxxxx xx xxxxxxx xxxxxxxxx x xxxxxxxxxx 1 x 2.
(4) Xxxx xxxxxxxx xxxxxxxxxxx xxxxx je xxxxxx x příloze č. 8 k xxxx vyhlášce.
(5) Xxxxxxx xxxxx xxxxxxx x §3 písm. c) xx f) zákona, xxxxx xx xxxxxxxxxxxxxx, xxxx x hlášení xxxxxxxxxxx xxxxx xxxxx xxxxxxxx 1 přikládá xxxxxxxx, xxxxxx xx xxxxxxx xxxxxxxxxxxx informuje xxxxx §8 odst. 1 xxxx. x).
XXXX XXXX
XXXXXXXXX XXXXXXXXXX
§35
Xxxxxxxxx xxxxxxxxxx
(1) X xxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx xxxx xxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, a x xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, u xxxxxxx došlo x xxxxxxxx určujících kritérií xxxxx xxxx xxxxxx xxxxxxxxx xxxx vyhlášky, xx do jednoho xxxx xxx xxx xxxxxx xxxxxxxxx této xxxxxxxx xxx xxxxx x strukturu xxxxxxxxxxxx xxxxxxxxxxx x obsah x xxxxxx zavedených xxxxxxxxxxxxxx opatření xxxxxxx xxxxxxxxxx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x x stanovení náležitostí xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx).
(2) X xxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxx xxxx xxxxxx xxxxx dnem xxxxxx xxxxxxxxx této xxxxxxxx, a x xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x kterých xxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx vyhlášky, xx xx xxxxxxx xxxx xxx dne nabytí xxxxxxxxx xxxx xxxxxxxx xxx xxxxxx likvidace xxx, provozních xxxxx, xxxxxxxxx a jejich xxxxx xxxx xxxxxxxx xxxxxxxxx.
§36
Xxxxxxxxx xxxxxxxxxx
Xxxxxxx xx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx a x xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx).
§37
Xxxxxxxx
Xxxx xxxxxxxx xxxxxx xxxxxxxxx xxxx xxxxxxxxx.
Xxxxxxx:
Xxx. Xxxxxxxx x. r.
Xxxxxxx x. 1 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx aktiv
(1) Xxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxx x xxxxx případě xxxxxxx xxxxxxxx o xxxxxxx xxxxxxxx a xxxxxxxx xx, xxxx dopad xx xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx u xxxxxxxxxxxx xxxxx. Povinná xxxxx může xxxxxxxx xxxxxxx počet xxxxxx xxx hodnocení důležitosti xxxxx, xxx xxxx xx xxxxxx x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx vazby xxxx xxxx používaným xxxxxxxx xxxxxxxxx důležitosti xxxxx x stupnicemi a xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx aktiv, xxxxx xxxx uvedeny x xxxx xxxxxxx.
(2) Xx xxxxxxxxxx, aby si xxxxx povinná xxxxx xxxx xxxxxxxx matice xxxxxxxxxxxx xxxx potřebám.
Tab. 1: Stupnice xxx xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx přístupná xxxx xxxx xxxxxx xx zveřejnění. Narušení xxxxxxxxxx aktiv xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxx. X případě xxxxxxx xxxxxxxx aktiva x xxxxxxx xxxxxxxx x xxxxxxx klasifikace podle xxx. xxxxxxx xxxxx xxxxxxxxx (xxxx xxx "XXX") xx xxxxxxxxx xxxxxxxx TLP:WHITE. |
Není xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx veřejně xxxxxxxxx x xxxxx xxxx-xxx xxxxxxx osoby, xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx xxxx smluvním ujednáním. V xxxxxxx xxxxxxx xxxxxxxx xxxxxx x třetími xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx xxxxxxx xxxxxxxx XXX:XXXXX nebo XXX:XXXXX. |
Xxx xxxxxxx důvěrnosti xxxx xxxxxxxxx xxxxxxxxxx xxx řízení xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxx xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxx, jinými xxxxxxxx xxxx smluvními xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxx xxxxx). X xxxxxxx sdílení xxxxxxxx xxxxxx x třetími xxxxxxxx a použití xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx xxxxxxx xxxxxxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx využívány xxxxxxxxxx, xxxxx zajistí xxxxxx a zaznamenávání xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx jsou xxxxxxxx pomocí kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx a xxxxxxxx nadstandardní xxxx xxxxxxx xxx rámec xxxxxxxxx xxxxxxxxx (xxxxxxxxx xxxxxxxxxxx xxxxxxxx tajemství, xxxxxxxx xxxxxxxxx xxxxxxxx xxxxx). X xxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx x xxxxxxx klasifikace xxxxx XXX xx využíváno xxxxxxx xxxxxxxx TLP:RED xxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx x zaznamenávání xxxxxxxx. Dále xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xx xxxxxx xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxx chráněny pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Tab. 2: Xxxxxxxx pro xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx xxxxxx neohrožuje xxxxxxxxx zájmy povinné xxxxx. |
Xxxx vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx vyžadovat xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx osoby x může xx xxxxxxxx xxxx xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx xxxxxxxxx standardní xxxxxxxx (xxxxxxxxx xxxxxxx xxxxxxxxxxxx práv xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x hlediska integrity. Xxxxxxxx xxxxxxxxx xxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx s podstatnými xxxxxx na primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxx osoby xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx komunikačními xxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx xxxx x xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxxxxx x xxxxx xxxxxxx xxxxxx na primární xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx využívány xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx identifikace xxxxx provádějící xxxxx (xxxxxxxxx pomocí xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxx. 3: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx požadavků xx xxxxxxx aktiva |
|
Nízká |
Narušení dostupnosti xxxxxx xxxx důležité x v případě xxxxxxx xx xxxxx xxxxxxxxxx xxxxx časové xxxxxx xxx nápravu (xxx xx 1 xxxxx). |
Xxx ochranu xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx dostupnosti aktiva xx xxxxxx xxxxxxxxx xxxx xxxxxxxxxx xxx, xxxxxxxxxxxxx výpadek xxxx x xxxxxxx ohrožení xxxxxxxxxxx zájmů povinné xxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx běžné xxxxxx xxxxxxxxxx a xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx xx xxxxx xxxxx xxxxxxxxxx, xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx osoby. Xxxxxx xxxx xxxxxxxxxx xx xxxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx systémy x obnova xxxxxxxxxxx xxxxxx xxxx být xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx x x krátkodobá nedostupnost (x xxxx xxxxxxxx xxxxx) xxxx x xxxxxxx ohrožení xxxxxxxxxxx xxxxx xxxxxxx xxxxx. Xxxxxx xxxx považována xx xxxxxxxx. |
Xxx ochranu xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx služeb xx xxxxxxxxxx x xxxxxxxxxxxxxx. |
Xxxxxxx č. 2 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx rizik
(1) Xxxxxxxxxxx stanovení xxxxxx xxx určení rizika xx xxxxxxxxx součástí xxxxxxxx xxx xxxxxxxxx xxxxx xxxxx §5.
(2) Xxxxxxx xxxxxx xx xxxxxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx ovlivňuje xxxxx, xxxxxx x xxxxxxxxxxxx.
(3) Pro xxxxxxxxx xxxxx xxx xxxxxx xxxxxxxxx tuto xxxxxx:
Xxxxxx = xxxxx x xxxxxx x xxxxxxxxxxxx.
(4) Xxxxx xx x xxxxx xxxxxxx xxxxxxx x xxxxxxxxx aktiv xxxxx přílohy č. 1.
(5) V xxxxxxx, xx xxxxxxx xxxxx xxxxxxx xxxxxx xxx hodnocení xxxxx, xxxxx nerozlišuje xxxxxxxxx xxxxxx a zranitelnosti, xx xxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxx xx xxxxxx vést ke xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxx hrozby x xxxxxxxxxxxxx. Xx xxxxx xxxxxx lze xxxxxx xxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx vyjádří xxx xxxxxx xxxxxx, tak x xxxxxx zranitelnosti. Xxxxxxx xx xxxxxxxxx x v případech, xxx xxxxxxx osoba xxxxxxx xxxx počet xxxxxx xxx hodnocení xxxxxx, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Xxx. 1: Xxxxxxxx pro hodnocení xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx xxxx xxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xx málo pravděpodobná xx xxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx je xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. |
Xxx. 2: Stupnice xxx xxxxxxxxx zranitelností
|
Úroveň |
Popis |
|
Nízká |
Zranitelnost xxxxxxxxxx xxxx je xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx opatření, xxxxx xxxx schopna xxxx xxxxxxxxx xxxxx zranitelnosti xxxx případné pokusy x xxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx málo xxxxxxxxxxxxx až xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxx účinnost xx pravidelně kontrolována. Xxxxxxxxx xxxxxxxxxxxxxx opatření xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx případné xxxxxx x xxxxxxxxx xxxxxxxx xx xxxxxxx. Xxxxxx xxxxx xxxxx xxxxxxx pokusy x xxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxxxx je pravděpodobné xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx jsou xxxxxxxx, xxx jejich xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx kontrolována. Xxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx bezpečnostních opatření. |
|
Kritická |
Zneužití xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx až víceméně xxxxx. Bezpečnostní xxxxxxxx xxxxxx realizována nebo xx xxxxxx xxxxxxxx xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx. Xxxx xxxxx xxxxxxx pokusy překonání xxxxxxxxxxxxxx xxxxxxxx. |
Xxx. 3: Xxxxxxxx pro hodnocení xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx xxxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx xxxxxxx xxxx xxxxxxxxx opatřeními xxxx x xxxxxxx vyšší xxxxxxxxxx opatření xx xxxxxx akceptovatelné. |
|
Vysoké |
Riziko je xxxxxxxxxx xxxxxxxxxxx x xxxx být xxxxxxxx xxxxxxxxxxxx kroky x xxxx odstranění. |
|
Kritické |
Riziko xx xxxxxxxxxxx x xxxx xxx xxxxxxxxxx zahájeny xxxxx x jeho xxxxxxxxxx. |
Xxxxxxx x. 3 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxxxxxx a xxxxxx
Xxxxxxxxxx: Xxxx xxxxxxx xxxxxxxx xxx vybrané xxxxxxxxx xxxxxxxxxxxxx x xxxxxx. Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx a hrozeb xx xxxxxxxxxxxx povinné xxxxx.
Xxxxxxxxxxxxx
1. nedostatečná xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
2. xxxxxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
3. xxxxxxxxxxxx ochrana xxxxxxxx xxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
5. xxxxxxxxxxxx údržba xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
6. nevhodné xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
7. nedostatečné xxxxxxx při xxxxxxxxxxxxxx x xxxxxxxx negativních xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx bezpečnostních incidentů,
8. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxxx odhalit xxxxxx xxxxxxxx nebo xxxxxxx xxxxxxx xxxxxxx,
9. xxxxxxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx, nepřesné nebo xxxxxxxxxxxxx vymezení xxxx x xxxxxxxxxx uživatelů, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx,
10. xxxxxxxxxxxx ochrana xxxxx,
11. nevhodná xxxxxxxxxxxx xxxxxxxxxxxx,
12. xxxxxxxxxxxx míra xxxxxxxxx xxxxxxxx,
13. xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx strany xxxxxxxxxxx.
Xxxxxx
1. xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx neoprávněných xxxxxxxx, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
2. poškození xxxx xxxxxxx technického xxxxx xxxxxxxxxxxx xxxxxxxx,
3. xxxxxxxx xxxxxxxx,
4. xxxxxxx xxxxxxxxxxxx xxxxxxxx v xxxxxxx x licenčními xxxxxxxxxx,
5. xxxxxxxx xxx (xxxxxxxxx xxxx, xxxxxxx, xxxxxxx xxxx),
6. xxxxxxxx fyzické xxxxxxxxxxx,
7. přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx elektrické xxxxxxx,
8. xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxxx údajů,
9. xxxxxx, odcizení nebo xxxxxxxxx xxxxxx,
10. nedodržení xxxxxxxxx závazku xx xxxxxx dodavatele,
11. xxxxxxxxx xx xxxxxx xxxxxxxxxxx,
12. xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
13. xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx xxxx jiných xxxxxxxxxx služeb,
14. nedostatek xxxxxxxxxxx s xxxxxxxxx xxxxxxxx úrovní,
15. xxxxxx xxxxxxxxxxxx xxxx xxxxxx xxxxxxxxxx inženýrství, xxxxxxx xxxxxxxxxxx xxxxxxx,
16. zneužití xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx,
17. napadení xxxxxxxxxxxx xxxxxxxxxx (xxxxxxxxx, xxxxxxxxxx).
Xxxxxxx x. 4 x xxxxxxxx č. 82/2018 Sb.
Likvidace xxx
(1) Xxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x definování xxxxxxx xxxxxx xxx a xxxxxxx xxxxxxxxx technických xxxxxx xxxxxxxxx, provozních xxxxx, informací x xxxxxx xxxxx.
(2) Xxxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx xx xxxxxxx xxxxxxxx xxx xxxxxx xxx a xxxxxxxxx xxxxxxxxxxx xxxxxx xxx x xxxxxxx x touto xxxxxxxx. Xxx xxxxxx dotčeny xxxxxxxxxx podle xxxxxx xxxxxxxx předpisů. Xx xxxxx zvolit xxxxxxxxx xxxxxx služby xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxx dat x xxxxxxxxx xxxxxxxxxxx xxxxxx dat, vzhledem x hodnotě x xxxxxxxxxxx aktiv.
(3) Xxxxxxxx xxx xxxxxxxxx xxx xx měla být xxxxxxxxx přiměřeně xxxxxxx x xxxxxxxxxxx aktiv x měla xx xxxxxxx zohledňovat
a) xxxxxxx xxxxxx (xxxxxxx x xxxxxxx xxxxxxxxxx),
x) xxxxxxxxxxx (xxxx x xxxxxxxx xxxxxx xxxxxxxxx),
x) zda xx xxxxx xxxxxxxxx xxxxxxx pod xxxxxxxxx xxxxxxxxxx xx nikoliv,
d) xxx xxxx xxxx xxxxxxxx dedikovaného xxxx xxxxxxxxxxxxxxx xxxxxxxxx,
x) xxx xxxx xxxxxxxxx dat xxxxxxxx (xxxxxxx xxxxxxxxxxx, xxxx xxxxxxxxx),
x) dostupnost xxxxxxxx x xxxxxxxx xxx likvidaci,
g) xxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) xxx xx k dispozici xxxxxxxxx xxxxxxxx,
x) časovou xxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxxx x ohledem xx xxxxxxxx, školení, xxxxxxxx, xxxxxxxx využití xxxxxx xxxxxxxxx
x) xxxxx xxxxxxx xxxxxxxxx xxx (xxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxxxxxx xxxxxxxxx nosiče xxx, xxxxxxxxxxxxx xxx xxxxxx xxxxxxxxxx x xxxxxxx),
x) xxxxxxxxxx způsoby xxxxxxxxx xxx xxxxxxxx xx xxxxx nosiče xxxxxxxxx (xxxxxxxxx xxx xxxxxxxxx xxxxxxxx nebude xxxxx použít xxxxxxxx xxxxxxx xxxxxxxxx, xxx xxxxxxx xx xxxxxxx xxxxxxx xxxxxxxxx).
(4) Xxxxxxx xxxxxxxxx xxxxxxxxxxx nosičů xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx:
x) Xxxxxxxxxx
1. Xxxxxx xxxxxxxxx xxxxxxx v xxxxxxxxxx dat xxx, xxx xxxx pro xxxxxx nedostupná (xxxxxxxxx xxxxxxxxxx xxxxxxxx souboru, xxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxx).
2. Jde x nejméně xxxxxxxx xxxxxx likvidace xxx. X xxxxxxx získání xxxxxx informace je xxxxx x xxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxx xxxxxxx.
3. Xxxx xxxxxx xxxx xxxxxxxxxx xxx xxxxxx xxxxxxxxxxx dat xxxxxxxxxxxx opětovný xxxxx.
4. Xxxxxxxxxx xxxxxx pro xxxxxx xxxxxxxxxx aktiva (xxxxxxx x přílohy č. 1): xxxxx.
x) Přepsání
1. Xxxxxx xxxxxxxxx xxxxxxx v xxxxxxxx chráněné informace xxxxxxxxxx hodnotami.
2. Xxx x xxxxxxx xxxxxxxx xxxxxx likvidace xxx. Xxxxx xxxxxxxx nástroje xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx.
3. Xxxxxxxx xxxx xxx xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxx.
4. Xxxx xxxxxx není xxxxxx xxx xxxxxxxxx média, xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx, xxxxxxxx xxx xxxxx x xxxxxx xxxxxxxxx.
5. Xxxxxxxxxx xxxxxx xxx úroveň důvěrnosti xxxxxx (vychází x přílohy č. 1): nízká xx xxxxxxxx.
x) Fyzická likvidace xxxxxx xxxxxxxxx
1. Způsob xxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxx informace, xxxxxxxxx x xxxxxxxxx xxxxxxxx a následném xxxxxxx nosiče xxxxxxxxx (xxxxxxxxxxx, xxxxxxxxx či xxxxxxxx xxxxxxxxx).
2. Xxx x nejbezpečnější xxxxxx xxxxxxxxx dat. Xxxxx xxxxxxxxx xx fyzické xxxxxxxxx nelze znovu xxxxxx xxx xxxxxxx xxxx. Xxxxxxx informace xxxx xxxxx obnovit xxx xxx xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx x xxxxx.
3. Použitelný xxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): xxxxxxx až xxxxxxxx.
Xxxxxxx xxxxxxx způsobů likvidace xxxxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1)
|
Xxxxxxxxx xxxxxx likvidace xxxxx úrovně xxxxxxxxxxx xxxxxx |
|||||
|
Xxxxx xxxxxxxxx |
1. Xxxxx |
2. Xxxxxxx |
3. Vysoká |
4. Xxxxxxxx |
|
|
Xxxxxxxxx xx xxxxxx čitelném xxxxxx (xxxxxxx xxxxxxxxx, xxxxxxxx x podobně) |
Odstranění: Xxxxxxxx xx xxxxxx. |
Xxxxxxxx: Xxxxxxxxx. |
Xxxxxxx likvidace: |
||
|
Xxxxxxx xxxxxxxxx: |
|||||
|
Xxxxxxx xxxxxxxx (mobilní xxxxxxxx, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxx xxxxxxxx (xxxxxx, xxxxxx, xxxxx x xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Kancelářské xxxxxxxx (scanery, xxxxxxxx, xxx) |
|||||
|
Xxxxxxxxxx média (xxxxxxxxxx xxxxx, xxxxx, XXX [Xxxx Disk Drive]) |
Odstranění: |
Xxxxxxxx: |
|||
|
Xxxxxxx média (CD, XXX, XX-XXX, BLU-RAY) |
Fyzická xxxxxxxxx: |
||||
|
Xxxxxxx xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx xxxxx (xxxxx xxxxxx) |
|||||
|
Xxxxxxxxxxx x cloud |
Přípustný xxxxxx xxxxxxxxx xxx xx xxx být xxxxxxxx xxxxxxxx ujednáním. |
||||
|
Odstranění: |
Xxxxxxxx: |
Xxxxxxxx: |
Xxxxxxxx/xxxxxxx xxxxxxxxx: |
||
|
Xxxxxxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xx xxxxx xxxx po ukončení xxxxxx xxxxxxx. |
|||||
Xxxxxxx x. 5 x xxxxxxxx x. 82/2018 Xx.
Xxxxx xxxxxxxxxxxx xxxxxxxx a bezpečnostní xxxxxxxxxxx
1. Xxxxxxxxxxxx xxxxxxxx
1.1. Xxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx
x) Xxxx, xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx informací.
b) Xxxxxx a xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Pravidla x xxxxxxx pro řízení xxxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx řízení xxxxxx x xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxxxx systému xxxxxx bezpečnosti informací.
g) Xxxxxxxx x postupy xxx xxxxxxxx xxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
1.2. Xxxxxxxx xxxxxx xxxxx
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx aktiv
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. hodnocení xxxxxxxxxxx xxxxxxxxxx aktiv x xxxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx aktiv
1. určení x evidence xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx xxxxx mezi xxxxxxxxxx x podpůrnými xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx xxxxx xxxxx xxxxxx aktiv,
3. přípustné xxxxxxx xxxxxxxxx aktiv.
d) Xxxxxxx spolehlivého xxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx, xxxxxxxxx, xxxxxxxxxx xxxxx x xxxxxx xxxxx.
1.3. Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx
x) Určení xxxxxxxxxxxxxx rolí x xxxxxx xxxx x xxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostních rolí.
c) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxx.
1.4. Xxxxxxxx xxxxxx dodavatelů
a) Xxxxxxxx x xxxxxxxx xxx xxxxx xxxxxxxxxx.
x) Pravidla xxx xxxxxxxxx xxxxx xxxxxxxxxxxxx s xxxxxxxxxx.
x) Xxxxxxxxxxx smlouvy o xxxxxx xxxxxx x xxxxxxx x úrovní xxxxxxxxx bezpečnostních xxxxxxxx x x xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Pravidla pro xxxxxxxxx dodavatelů.
1.5. Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
x) Xxxxxxxx xxxxxxx bezpečnostního xxxxxxxx x xxxxxxx xxxx xxxxxxxxx
1. xxxxxxx x xxxxx xxxxxxx xxxxxxxxx,
2. xxxxxxx x xxxxx poučení xxxxxxx xxxxx,
3. xxxxxxx x xxxxx xxxxxxx administrátorů,
4. xxxxxxx x formy xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
b) Xxxxxxxxxxxx xxxxxxx nových xxxxxxxxxxx.
x) Xxxxxxxx xxx řešení xxxxxxx xxxxxxxx bezpečnostní xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
d) Pravidla xxx xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxx xxxxxxxx pozice
1. xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx práv xxx xxxxxxxx xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx oprávnění xxx xxxxx xxxxxxxx xxxxxx.
1.6. Xxxxxxxx xxxxxx xxxxxxx a xxxxxxxxxx
x) Xxxxxxxxx a xxxxxxxxxxxx xxxxxxx s xxxxxxxxx xxxxxxxx.
x) Xxxxxxx bezpečného xxxxxxx.
x) Xxxxxxxxx a xxxxxxxxx xxxxxxxxxx provozu.
d) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxx testů.
1.7. Politika xxxxxx xxxxxxxx
x) Xxxxxxx xxxxxxxxxxx oprávnění/potřeba xxxx (xxxx xx xxxx).
x) Xxxxxxxxx xx xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxx xxxxxxxx.
x) Řízení xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx pro mimořádné xxxxxxx.
x) Pravidelné přezkoumání xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx uživatelů x přístupových skupinách.
1.8. Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx
x) Xxxxxxxx pro xxxxxxxx xxxxxxxxx x xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx hesla.
c) Xxxxxxxx xxxxxxx elektronické xxxxx x přístupu xx xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx chování xx xxxxxxxxxx sítích.
f) Xxxxxxxxxx xx xxxxxx x mobilním zařízením.
1.9. Xxxxxxxx zálohování x xxxxxx x xxxxxxxxxxxx xxxxxxxx
x) Požadavky xx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx a postupy xxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx dlouhodobého xxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxx ukládání xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx obnovy.
f) Xxxxxxxx x xxxxxxx testování xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx xxxxxxxx x xxxxxxx, xxxxxxxxx informacím.
1.10. Xxxxxxxx xxxxxxxxxx předávání x xxxxxx xxxxxxxxx
x) Xxxxxxxx a postupy xxx ochranu xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx ochrany xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxx ochrany.
1.11. Xxxxxxxx xxxxxx technických zranitelností
a) Xxxxxxxx xxx xxxxxxx xxxxxxxxx programového vybavení.
b) Xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx programových xxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxx programového xxxxxxxx.
1.12. Xxxxxxxx bezpečného xxxxxxxxx xxxxxxxxx xxxxxxxx
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx používání xxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx zařízení, xxxxx xxxxxxx xxxxx nemá xx své správě.
1.13. Xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx
x) Xxxxxxxxxxxx xxxxxxxxx xxx akvizici, xxxxx x xxxxxx.
x) Xxxxxx xxxxxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxx programového vybavení x xxxxxxxxx
1. pravidla x xxxxxxx nasazení xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,
2. xxxxxxxx x xxxxxxx pro xxxxxxxx dodržování xxxxxxxxxx xxxxxxxx.
1.14. Politika ochrany xxxxxxxx údajů
a) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx.
x) Xxxxx přijatých x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
x) Xxxxx přijatých x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
1.15. Xxxxxxxx xxxxxxx xxxxxxxxxxx
x) Pravidla xxx ochranu objektů.
b) Xxxxxxxx pro xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx xxx xxxxxxx zařízení.
d) Xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxx.
1.16. Politika bezpečnosti xxxxxxxxxxx xxxx
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxx bezpečnosti xxxx.
x) Xxxxxx práv a xxxxxxxxxx xx bezpečný xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxx xxxxxxxx x xxxxx xxxx.
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxxx přístupu x síti.
e) Pravidla x xxxxxxx pro xxxxxxxxxxxx sítě x xxxxxxxxxxxxx provozních xxxxxxx.
1.17. Xxxxxxxx ochrany xxxx xxxxxxxxx xxxxx
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx síťové xxxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxx xxxxxxx x xxxxxxxxx datových xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxx.
1.18. Politika xxxxxxxx x používání xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxx kybernetických bezpečnostních xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx xxxxxxxxxxxxx a xxxxxxxxx xx detekované xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx nastavení xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.19. Xxxxxxxx využití x xxxxxx nástroje xxx xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
a) Xxxxxxxx x xxxxxxx xxx xxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx optimální xxxxxxxxx xxxxxxxxxxxxxx vlastností xxxxxxxx xxx sběr x xxxxxxxxxxx kybernetických bezpečnostních xxxxxxxx.
1.20. Politika bezpečného xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx
x) Xxxxxx xxxxxxx x xxxxxxx na xxx x xxxx kryptografického xxxxxxxxx.
x) Pravidla xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx xxxxxxx po xxxxxxxxxxxxx xxxxxx,
2. při uložení xx mobilní zařízení xxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxx.
x) Systém xxxxxx xxxxx.
1.21. Xxxxxxxx xxxxxx xxxx
x) Xxxxxx x principy řízení xxxxxxxxxx změn v xxxxx xxxxxxx xxxxx, xxxxxx procesech, xxxxxxxxxxxx x komunikačních xxxxxxxxx.
x) Xxxxxxxxxxxxx xxxxxx významných xxxx.
x) Způsob xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxx změn.
1.22. Xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx vyhodnocení xxxxxxxxxxxxxx bezpečnostních incidentů x xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Evidence xxxxxxxxx.
1.23. Xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx
x) Práva x xxxxxxxxxx zúčastněných xxxx.
x) Xxxx řízení xxxxxxxxxx xxxxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx služeb,
2. xxxx obnovení chodu,
3. xxx xxxxxxxx dat.
c) Xxxxxxxx řízení xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxx kontinuity.
d) Xxxxxxx xxxxxxxxx xxxxxx kybernetických xxxxxxxxxxxxxx incidentů xx xxxxxxxxxx x posuzování xxxxxxxxxxxxx rizik.
e) Určení x obsah xxxxxxxxxx xxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxx.
x) Xxxxxxx xxx xxxxxxxxx opatření xxxxxxxx Úřadem.
2. Xxxxx xxxxxxxxxxxx xxxxxxxxxxx
2.1. Xxxxxx x auditu xxxxxxxxxxxx xxxxxxxxxxx
x) Xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx x xxxx, xxxxx xx auditu xxxxxxxxxxxx bezpečnosti xxxxxxxxxx.
x) Xxxxx a xxxxx, xxx xxxx xxxxxxxxx xxxxxxxx xxx auditu xxxxxxxxxxxx bezpečnosti.
f) Xxxxxxxx x xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
2.2. Xxxxxx x xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxxxx opatření x xxxxxxxxxxx přezkoumání systému xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxxxxxx změn x xxxxxxxxx, xxxxx xxxxx xxx vliv xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx vazba x výkonnosti řízení xxxxxxxxxxx informací
1. neshody x nápravná opatření,
2. xxxxxxxx monitorování a xxxxxx,
3. výsledky auditu,
4. xxxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
d) Xxxxxxxx hodnocení xxxxx x xxxx xxxxx xxxxxxxx rizik.
e) Xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx opatření x osob zajišťujících xxxxx xxxxxxxxxxxx xxxxxxxx.
2.3. Xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx aktiv x pro hodnocení xxxxx
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx primárních xxxxx
1. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxx,
2. určení xxxxxxxx xxx hodnocení xxxxxx integrity aktiv,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx stupnice xxx xxxxxxxxx xxxxx
1. xxxxxx stupnice pro xxxxxxxxx xxxxxx xxxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx pro xxxxxxxxx úrovní rizik.
c) Xxxxxx x xxxxxxxx xxx zvládání xxxxx.
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.
2.4. Zpráva o xxxxxxxxx xxxxx x xxxxx
x) Xxxxxxx xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx a xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxxxxx xxxxxxxxxx xxxxx z hlediska xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx.
x) Přehled xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx garantů podpůrných xxxxx,
3. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx aktivy.
c) Hodnocení xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx xx xxxxxx,
2. xxxxxxxxx existujících xxxxxx,
3. xxxxxxxxx existujících xxxxxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx opatření,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx xxxx xxxxxx x kritérii xxx xxxxxxxxxxxxxxxx xxxxx,
5. určení x xxxxxxxxx akceptovatelných xxxxx.
x) Zvládání rizik
1. xxxxx způsobu xxxxxxxx xxxxx,
2. xxxxx xxxxxxxx x jejich xxxxxxxxx.
2.5. Xxxxxxxxxx x xxxxxxxxxxxxxxxx
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx zdůvodnění, xxxx nebyla aplikována.
b) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx včetně xxxxxxx xxxxxx implementace.
2.6. Xxxx xxxxxxxx xxxxx
x) Xxxxx x cíle xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik včetně xxxxx xx konkrétní xxxxxx.
x) Xxxxxxxx xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxx zajišťující xxxxxxxxxx xxxxxxxxxxxx opatření xxx zvládání xxxxx.
x) Xxxxxxx zavedení xxxxxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
x) Xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx úspěšnosti xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
2.7. Xxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxx x termíny poučení xxxxxxxxx, administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Obsah a xxxxxxx poučení xxxxxx xxxxxxxxxxx.
x) Přehledy, xxxxx xxxxxxxx předmět jednotlivých xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
x) Xxxxx a xxxxxxx xxxxxxxxx plánu.
2.8. Xxxxxxxx xxxx
x) Xxxxxxxx xxxxxxxxx cyklu významných xxxx.
x) Xxxxxxx o xxxxxxx konfigurace xxxxxxxxxx xxxxx.
2.9. Hlášené xxxxxxxxx xxxxx
Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx.
2.10. Xxxxxxx xxxxxx xxxxxxxxx právních předpisů, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx
x) Xxxxxxx xxxxxx xxxxxxxxx právních xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxx a jiných xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxx.
2.11. Xxxxx xxxxxxxxxx xxxxxxxxxxx
x) Topologie xxxxxxxxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxx.
Xxxxxxx x. 6 x xxxxxxxx č. 82/2018 Xx.
Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x bezpečnostní xxxx
Xxxx xxxxxxx obsahuje xxxxx xxxxxxxxxxxx požadavků xxx xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx role uvedené x §6 a 7.
Xxx. 1: Xxxxx xxx xxxxxx kybernetické xxxxxxxxxxx
|
Xxxx: |
Xxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxx xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx v xxxxx povinné xxxxx. |
|
Xxxxx podmínky: |
a) Xxxx xxxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti xxxx být alespoň |
Xxx. 2: Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx kybernetické xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxx systému xxxxxx bezpečnosti informací. |
|
Xxxxxxxx: |
x) Xxxxx řady ISO/IEC 27000 a xxxxxxx xxxxx z oblasti xxxxxxxxxxx x XXX. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx x praxe: |
a) Xxxxxxx 3 xxxx xxxxx x xxxxx xxxxxxxxxx xxxx kybernetické xxxxxxxxxxx, xxxx |
|
Relevantní xxxxxxxxxxx*: |
Xxxxxxxxx Information Security Xxxxxxx (XXXX), Xxxxxxxxx xx Risk xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Security Xxxxxxxxxxxx (XXXXX), Xxxxxxx XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx x rolemi xxxxxxxxxxx xx provoz xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a x xxxxxxx xxxxxxxxxx xx xxxxxxxx rolemi. |
Xxx. 3: Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx xxxxxxxxxxxx bezpečnosti |
|
Klíčové xxxxxxxx: |
x) Odpovědnost xx xxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxxxx: |
x) Architektura informačních x komunikačních systémů x její navrhování. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx a xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx x xxxxx xxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxxxxx, nebo |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Ethical Xxxxxx (XXX), XxxxXXX Xxxxxxxx +, Xxxxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Systems Xxxxxxx (XXXXX), Certified Xxxxxxxxxxx Xxxxxxx Security Xxxxxxxxxxxx (CISSP), Xxxxxxx XX (xxxxxxxxxxx schéma XXX). |
|
Xxxxx podmínky: |
Role není xxxxxxxxxx s rolemi xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx a komunikačních xxxxxxx. |
Xxx. 4: Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
Xxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx. |
|
Zkušenosti: |
a) Plánování xxxxxx xxxxxxxxxx nebo xxxxxxxxxxxx bezpečnosti. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 roky xxxxx x oblasti xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, nebo |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Systems Auditor (XXXX), Certified Xxxxxxxx Xxxxxxx (XXX), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Xxxxxxx Control (XXXXX), Lead Xxxxxxx Xxxxxxxxxxx Xxxxxxxx Management Xxxxxx (Xxxx Xxxxxxx XXXX), Xxxxxxx XX (xxxxxxxxxxx xxxxxx ČIA). |
|
Další xxxxxxxx: |
x) Xxxx není xxxxxxxxxx x rolemi |
Tab. 5: Xxxxxx aktiva
|
Role: |
Garant aktiva |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx za xxxxxxxxx xxxxxxx, použití x xxxxxxxxxxx xxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx xxxxxxx xxxxxx, xxxxx xx xxxxxxxx. |
* Xxxxxxxxxxx může xxx x jiná než xxxxxxx, jestliže xxxxxxxxxxx xxxxxxxxxxx odbornou xxxxxxxxxxx xxxxxxxxxxxxxx xxxx splňuje xxxxxxxxx XXX 17 024.
Xxxxxxx č. 7 x xxxxxxxx x. 82/2018 Xx.
Xxxxxx xxxxxxxxxx - xxxxxxxxxxxx opatření xxx xxxxxxx vztahy
Obsah xxxxxxx uzavírané x xxxxxxxxxx dodavateli:
a) ustanovení x xxxxxxxxxxx xxxxxxxxx (x xxxxxxx xxxxxxxxxx, xxxxxxxxxxx a xxxxxxxxx),
x) xxxxxxxxxx x xxxxxxxxx xxxxxx xxxx,
x) ustanovení x autorství programového xxxx, popřípadě x xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x kontrole x xxxxxx dodavatele (xxxxxxxx xxxxxxxxxxxx xxxxxx),
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxx musí xxx xxxxxxxxx, xx xxxxxxxxxxxxx xx zaváží xxxxxxxxx x xxxxx xxxxxxx xxxxxxxx xxxx povinnou xxxxxx x xxxxxxxxxxx x xxxxxxx x xxxxxxx s požadavky xxxxxxx xxxxx na xxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx dodavatele xxxxxxxxx xxxxxxxxxxxx politiky xxxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx bezpečnostních xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxx,
x) ustanovení x xxxxxx xxxx,
x) xxxxxxxxxx x xxxxxxx smluv x xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x povinnosti xxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx x
1. xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxx,
2. xxxxxxx xxxxxx xxxxx na xxxxxx dodavatele x x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxx,
3. xxxxxxxx xxxxx xxxxxxxx xxxxxx dodavatele xxxxx zákona x xxxxxxxxxx xxxxxxxxxxx xxxx xxxxx xxxxxxxxxxx xxxxxxxxx xxxxx, popřípadě xxxxx xxxxxxxxx xxxxxxxx s xxxxxx aktivy, xxxxxxxxxxx xxxxx xxxxxxxxxxx k xxxxxx xxxxx xxxxxxx xx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx při xxxxxxxx xxxxxxx (xxxxxxxxx xxxxxxxxx xxxxxx xxx xxxxxxxx xxxxxxxxxx, xxx xx xxxxx ještě udržovat xxxxxx xxxx xxxxxxxxx xxxxxx xxxxxx, migrace xxx a xxxxxxx),
x) xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxx xxxxxxxx x xxxxxxxxxxx x xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxxx do xxxxxxxxxxx xxxxx, úkoly xxxxxxxxxx xxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx),
x) specifikace xxxxxxxx xxx xxxxxx xxxxxxx xxx, provozních xxxxx x xxxxxxxxx xx xxxxxxxx správcem,
m) xxxxxxxx xxx xxxxxxxxx xxx,
x) ustanovení x xxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxx x xxxxxxx xxxxxxxx xxxxx xxxxxxxx xxx xxxxxxxxxxx xxxx změny kontroly xxx xxxxxxxxx aktivy xxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxx xxxxxxx x
x) xxxxxxxxxx x xxxxxxxx xx xxxxxxxx xxxxxxxxxx.
Příloha x. 8 x xxxxxxxx č. 82/2018 Xx.
Xxxx Xxxxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxx
Xxxxxxxxx
Xxxxxx xxxxxxx x. 82/2018 Xx. xxxxx xxxxxxxxx xxxx 28.5.2018.
Ke xxx xxxxxxxx právní xxxxxxx xxxxx měněn xx xxxxxxxxx.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx se jich xxxxxx xxxxxxxxx xxxxx xxxxx uvedeného xxxxxxxx xxxxxxxx.
1) Xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Rady (XX) 2016/1148 xx xxx 6. xxxxxxxx 2016 x xxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx úrovně xxxxxxxxxxx xxxx a xxxxxxxxxxxx xxxxxxx v Xxxx.