Právní předpis byl sestaven k datu 01.01.2015.
Zobrazené znění právního předpisu je účinné od 01.01.2015 do 27.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
316/2014 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení rizik §4
Bezpečnostní politika §5
Organizační bezpečnost §6
Stanovení bezpečnostních požadavků pro dodavatele §7
Řízení aktiv §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení přístupu a bezpečné chování uživatelů §11
Akvizice, vývoj a údržba §12
Zvládání kybernetických bezpečnostních událostí a incidentů §13
Řízení kontinuity činností §14
Kontrola a audit kritické informační infrastruktury a významných informačních systémů §15
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §16
Nástroj pro ochranu integrity komunikačních sítí §17
Nástroj pro ověřování identity uživatelů §18
Nástroj pro řízení přístupových oprávnění §19
Nástroj pro ochranu před škodlivým kódem §20
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů §21
Nástroj pro detekci kybernetických bezpečnostních událostí §22
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §23
Aplikační bezpečnost §24
Kryptografické prostředky §25
Nástroj pro zajišťování úrovně dostupnosti §26
Bezpečnost průmyslových a řídicích systémů §27
HLAVA III - BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní dokumentace §28
Prokázání certifikace §29
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Typy kybernetických bezpečnostních incidentů §30
Kategorie kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ÚČINNOST §35
Příloha č. 1 - Hodnocení a úrovně důležitosti aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Minimální požadavky na kryptografické algoritmy
Příloha č. 4 - Struktura bezpečnostní dokumentace
Příloha č. 5 - Formulář hlášení kybernetického bezpečnostního incidentu
Příloha č. 6 - Formulář oznámení o provedení reaktivního opatření a jeho výsledku
Příloha č. 7 - Formulář pro hlášení kontaktních údajů
316
XXXXXXXX
xx dne 15. xxxxxxxx 2014
x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x x stanovení xxxxxxxxxxx xxxxxx v xxxxxxx kybernetické xxxxxxxxxxx (xxxxxxxx o xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxxxxxxxxxx xxxx xxxxxxx xxxxx §28 xxxx. 2 xxxxxx x. 181/2014 Sb., x xxxxxxxxxxxx xxxxxxxxxxx x o xxxxx xxxxxxxxxxxxx zákonů (zákon x kybernetické xxxxxxxxxxx), (xxxx xxx "xxxxx") x xxxxxxxxx §6 xxxx. x) xx x), §8 xxxx. 4, §13 odst. 4 x §16 xxxx. 6 zákona.
XXXX XXXXX
XXXXXX USTANOVENÍ
§1
Předmět xxxxxx
Xxxxx xxxxxxxxx xx xxxxxxx obsah x xxxxxxxxx xxxxxxxxxxxx dokumentace xxx informační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxx informační xxxxxx, xxxxx xxxxxxxxxxxxxx opatření, xxxxxx jejich zavedení, xxxx a kategorie xxxxxxxxxxxxxx bezpečnostních incidentů, xxxxxxxxxxx a xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, náležitosti oznámení x provedení xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx x xxxx xxxxxxxx xxxxxxxxxxx údajů x jeho xxxxx.
§2
Xxxxxxxx xxxxx
X xxxx xxxxxxxx se rozumí
a) xxxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx xxxxxxx xxxxxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) xxxxxx xxxxxxxx na xxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného informačního xxxxxxx, která xxxxxxx xxxxxx xxxxxxxx, zavádění, xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxx a xxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxx informace nebo xxxxxx, xxxxxx zpracovává xxxx xxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významný informační xxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, zaměstnanci x dodavatelé podílející xx xx provozu, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx informačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxx xxxxxxx technické xxxxxxxx, komunikační xxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx, xx kterých xxxx xxxx systémy xxxxxxxx,
x) xxxxxxx xxxxxxx, xx xxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx x způsobí xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxx xxxxxx, xxx xxxx xx xxxxxxxx xxxxxxxxxx rizik a xxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxxx rizik xxxxxxx xxxxxxxxxx hodnocení rizik, xxxxx x xxxxxxxx xxxxxxxx xx zvládání xxxxx, xxxxxxx xxxxxxxxx x xxxxxx a xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) hrozbou potencionální xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, jejímž xxxxxxxxx xxxx xxx xxxxxxxxx xxxxxx,
x) zranitelností xxxxx místo xxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxx xxxxxxxx xxxxxx nebo xxxx hrozbami,
k) xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xx xxxxxxxxx bezpečnostních xxxxxxxx, jehož xxxxxx xxxxxxxx kritériím xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxx xxxxxx zásad x xxxxxxxx, které xxxxxx xxxxxx xxxxxxxxx xxxxxxx aktiv xxxxxxx x xxxxxx xxxxxxxx x §3 xxxx. x) až x) xxxxxx,
x) xxxxxxxx xxxxxx xxxxxxx osoba pověřená xxxxxxx xxxx xxxxxx xxxxxxxx x §3 xxxx. x) xx x) zákona x xxxxxxxxx rozvoje, použití x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx fyzická xxxx xxxxxxxxx xxxxx xxxxx xxxxx xxxxxxx moci, xxxxx využívá xxxxxxxx xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx xxxxx xxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx správu, xxxxxx, použití, xxxxxx x bezpečnost xxxxxxxxxxx xxxxxx.
ČÁST DRUHÁ
BEZPEČNOSTNÍ XXXXXXXX
XXXXX X
XXXXXXXXXXX OPATŘENÍ
§3
Systém xxxxxx xxxxxxxxxxx xxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) a d) xxxxxx x xxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx
x) xxxxxxx x xxxxxxx na aktiva x organizační bezpečnost xxxxxx a hranice xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xx kterém xxxx, xxxxxxx xxxxxxxxxxxxx xxxxx a technických xxxxx xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,
x) xxxx xxxxxx xxxxx §4 odst. 1,
x) xxxxxxx a xxxxxxx bezpečnostní xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, cíle, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx xx xxxxxx x řízení xxxxxxxxxxx xxxxxxxxx x na xxxxxxx xxxxxxxxxxxxxx potřeb x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §5 x xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx xxxxxxxx bezpečnostních xxxxxxxx,
x) xxxxxxxxxxx vhodnost x xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx §5,
x) xxxxxxx xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx podle §15, x to xxxxxxx xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx rizik, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxx a auditů xxxxxxxxxxxx xxxxxxxxxxx a xxxxxx kybernetických bezpečnostních xxxxxxxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx, x xx nejméně xxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxx xxxxxx bezpečnosti xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx na základě xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx x
x) řídí xxxxxx a zdroje xxxxxxx řízení bezpečnosti xxxxxxxxx, zaznamenává xxxxxxxx xxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x řízením xxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) zákona x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxx xxxxxx podle §4 odst. 2,
b) xxxxxxx x xxxxxxx xxxxxxxxxxxx politiku x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, xxxxx xxxxxxxx hlavní xxxxxx, xxxx, xxxxxxxxxxxx potřeby, xxxxx a povinnosti xx xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx a xxxxxxxx hodnocení xxxxx xxxxxxx bezpečnostní politiku x xxxxxxx oblastech xxxxx §5, x xxxxxx příslušná xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxx xxxxxxxxxxx zprávy o xxxxxxxxx xxxxx x xxxxx, xxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxx x plánu xxxxxxx xxxxxxxxxxxxxx povědomí, x xx nejméně jednou xx xxx xxxx xxxx x xxxxxxxxxxx x prováděnými xxxx xxxxxxxxxxx xxxxxxx.
§4
Xxxxxx xxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a x) xxxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx x pro identifikaci x xxxxxxxxx rizik xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx a xxxxxxx xxxxxxxxxx xxxxx, xxxxx xxxxx xx rozsahu xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, podle §8 x xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x xxxxxxx xxxxxxxxx xx zprávy x xxxxxxxxx xxxxx a xxxxx,
x) xxxxxxxxxxxx rizika, xxx kterých xxxxxxxx xxxxxx x xxxxxxxxxxxxx, xxxxxxx možné xxxxxx xx xxxxxx, xxxxxxx xxxx xxxxxx xxxxxxxxx x xxxxxxx xxxxx přílohy č. 2 x xxxx xxxxxxxx, určí a xxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxx xxxxxx x xxxxxxxxx aktiv x xxxxx,
x) xxxxxxxx xx základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx prohlášení x aplikovatelnosti, které xxxxxxxx xxxxxxx vybraných x zavedených bezpečnostních xxxxxxxx,
x) zpracuje x xxxxxx xxxx zvládání xxxxx, xxxxx obsahuje xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx, určení xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx zdroje, xxxxxx jejich xxxxxxxx x xxxxx vazeb xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x
x) zohlední xxx xxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx (dále xxx "Xxxx") x hodnocení xxxxx x v xxxxxxx, xx xxxxxxxxx xxxxx aktualizované o xxxx zranitelnosti spojené x xxxxxxxxx reaktivního xxxx xxxxxxxxxx opatření xxxxxxxx stanovená xxxxxxxx xxx přijatelnost xxxxx, xxxxxx xxxx zvládání xxxxx.
(2) Orgán x xxxxx xxxxxxx x §3 písm. e) xxxxxx v rámci xxxxxx xxxxx
x) xxxxxxx xxxxxxxx pro xxxxxxxxxxxx x hodnocení xxxxx x xxx xxxxxxxxxxxx x hodnocení xxxxx xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxxxxxx primárních aktiv, xxxxx xxxxx do xxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx, podle §8 xxxxxxxxx x xxxxxxx přílohy č. 1 x xxxx xxxxxxxx x xxxxxxx xxxxxxxxx xx xxxxxx x xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxxxxxx xxxxxx, xxx xxxxxxx zohlední hrozby x xxxxxxxxxxxxx, posoudí xxxxx dopady na xxxxxxxx xxxxxx, hodnotí xxxx xxxxxx xxxxxxxxx x xxxxxxx xxxxx přílohy č. 2 k xxxx xxxxxxxx x xxxxxxxx xxxxxx o xxxxxxxxx xxxxx x xxxxx,
x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx o xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxx x zavedených xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx x zavede xxxx xxxxxxxx xxxxx, který xxxxxxxx xxxx x xxxxxxx bezpečnostních opatření xxx xxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxxx jejich xxxxxxxx x xxxxx xxxxx xxxx xxxxxxxxxxxxxxxx xxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními a
f) xxxxxxxx xxx xxxxxxxxxx xxxxxxx reaktivní a xxxxxxxx opatření vydaná Xxxxxx x xxxxxxxxx xxxxx x x xxxxxxx, xx xxxxxxxxx xxxxx xxxxxxxxxxxxx o xxxx zranitelnosti xxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxxxx opatření xxxxxxxx stanovená xxxxxxxx xxx xxxxxxxxxxxx xxxxx, xxxxxx xxxx xxxxxxxx xxxxx.
(3) Xxxxxx xxxxx xxxx xxx zajištěno x jinými xxxxxxx, xxx xxx xx xxxxxxxxx v odstavcích 1 x 2, xxxxx xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxxx, xx používá xxxxxxxx xxxxxxxxxxx stejnou xxxx xxxxx xxxxxx xxxxxx xxxxx.
(4) Orgán x xxxxx uvedená x §3 xxxx. x) až x) xxxxxx při xxxxxxxxx xxxxx zvažuje zejména xxxx xxxxxx
x) porušení xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx a administrátorů,
b) xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxx identity xxxxxxx xxxxx,
x) užívání xxxxxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxx x komunikační sítě,
f) xxxxxxxx xxx (xxxxxxxxx xxxx, xxxxxxx, trojské xxxx),
x) xxxxxxxxxx při xxxxxxxxxxx služeb xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx informačního xxxxxxx,
x) narušení xxxxxxx xxxxxxxxxxx,
x) xxxxxxxxx poskytování xxxxxx xxxxxxxxxxxxxx komunikací xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
x) xxxxxxxx xxxx xxxxxxxxxxx modifikace údajů,
k) xxxxxx xxxxxxxx xxxxxx x
x) xxxxxxxx xxxx xxxxxxxxx xxxxxx.
(5) Xxxxx x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx xxx xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxxx zranitelnosti
a) xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx bezpečnostní povědomí xxxxxxxxx a administrátorů,
c) xxxxxxxxxxxx údržba xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx významného xxxxxxxxxxxx xxxxxxx,
x) nevhodné nastavení xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxx identifikování x xxxxxxxx negativních xxxxxxxxxxxxxx jevů, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x administrátorů x xxxxxxxxxxx xxxxxxx xxxxxx nevhodné xxxx xxxxxxx xxxxxxx xxxxxxx x
x) nedostatečné xxxxxxxxx xxxxxxxxxxxxxx pravidel, xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxxxxxxxx rolí.
(6) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxx xxxxxxxxx xxxxx xxxx xxxxxxx xxxx hrozby
a) xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx činností, zneužití xxxxxxxxx ze xxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxx ze xxxxxx xxxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
x) xxxxxxxxxx xxxxxxxxx poskytování xxxxxx xxxxxxxxxxxxxx komunikací, xxxxxxx xxxxxxxxxx xxxxxxx xxxx jiných důležitých xxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx x potřebnou xxxxxxxx xxxxxx,
x) xxxxxx kybernetický xxxx pomocí xxxxxxxxxx xxxxxxxxxxx, použití xxxxxxxxxxx xxxxxxx a
g) xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx.
(7) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxx xxxxxxxxx xxxxx xxxx xxxxxxx xxxx xxxxxxxxxxxxx
x) nedostatečná xxxxxxx xxxxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxx bezpečnostní xxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx x
x) xxxxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxxxx.
§5
Xxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxxxxx bezpečnostní xxxxxxxx v oblastech
a) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx xxxxxx s xxxxxxxxxx,
x) xxxxxxxxxxx aktiv,
e) xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxx provozu x xxxxxxxxxx,
x) xxxxxx přístupu,
h) xxxxxxxx xxxxxxx xxxxxxxxx,
x) xxxxxxxxxx a xxxxxx,
x) xxxxxxxx předávání x xxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx,
x) bezpečné xxxxxxxxx mobilních xxxxxxxx,
x) xxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x informací,
n) dlouhodobé xxxxxxxx x xxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxxx škodlivým xxxxx,
x) xxxxxxxx x xxxxxxxxx nástroje pro xxxxxxx kybernetických bezpečnostních xxxxxxxx,
x) xxxxxxx x xxxxxx nástroje pro xxxx x vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) používání xxxxxxxxxxxxxx xxxxxxx.
(2) Xxxxx a xxxxx uvedená x §3 xxxx. x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxx,
x) xxxxxx xxxxxxxxxx,
x) klasifikace xxxxx,
x) bezpečnost xxxxxxxx xxxxxx,
x) řízení provozu x xxxxxxxxxx,
x) xxxxxx xxxxxxxx,
x) bezpečné chování xxxxxxxxx,
x) zálohování x xxxxxx,
x) xxxxxxxxxxx x xxxxxxxx xxxxxxx programového xxxxxxxx x xxxxxxxxx,
x) xxxxxxx osobních xxxxx,
x) xxxxxxxxx kryptografické ochrany,
m) xxxxxxx xxxx škodlivým xxxxx a
n) nasazení x xxxxxxxxx nástroje xxx detekci kybernetických xxxxxxxxxxxxxx xxxxxxxx.
(3) Orgán x xxxxx uvedená x §3 xxxx. x) xx e) xxxxxx pravidelně hodnotí xxxxxxxx xxxxxxxxxxxx politiky x xxxxxxxxxxx ji.
§6
Xxxxxxxxxxx xxxxxxxxxx
(1) Orgán x osoba xxxxxxx x §3 xxxx. x) až e) xxxxxx zavede xxxxxxxxxx xxxxxx xxxxxxxxxxx informací, x rámci xxxxx xxxx xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx x jejich práva x xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxxx informační infrastruktury, xxxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx systémem.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx určí xxxxxxxxxxxx role
a) xxxxxxx xxxxxxxxxxxx bezpečnosti,
b) architekt xxxxxxxxxxxx bezpečnosti,
c) auditor xxxxxxxxxxxx bezpečnosti a
d) xxxxxx xxxxxx xxxxx §2 xxxx. x).
(3) Xxxxx x xxxxx xxxxxxx v §3 xxxx. x) xxxx xxxxxxxxxxxx role xxxxxxxxx xxxxx xxxxxxxx 2.
(4) Xxxxxxx kybernetické xxxxxxxxxxx xx xxxxx, xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx informací, xxxxx xx xxx tuto xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx s xxxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxx xxxxxxx xxx xxx.
(5) Architekt xxxxxxxxxxxx xxxxxxxxxxx xx osoba xxxxxxxxxxx xxxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xx xxx xxxx činnost vyškolena x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx s xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xx xxxx xxxxxxx xxx xxx.
(6) Xxxxxxx xxxxxxxxxxxx bezpečnosti xx xxxxx provádějící xxxxx xxxxxxxxxxxx xxxxxxxxxxx, která xx xxx tuto xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx s xxxxxxxxxx xxxxxx kybernetické bezpečnosti xx dobu nejméně xxx xxx. Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx vykonává xxxxx xxxx xxxxxxxxx x výkon jeho xxxx je xxxxxxx xx xxxxxx xxxx xxxxxxxxx x xxxxxxxx 2 písm. a), x) xxxx d).
(7) Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx, xxxxx xxxx xxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxx se xxxxxxxx xxxxxxxx xx xxxxxx x koordinaci xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxx.
(8) Xxxxx a xxxxx xxxxxxx v §3 písm. x) xx x) xxxxxx xxxxxxx xxxxxxx školení xxxx, xxxxx xxxxxxxxx xxxxxxxxxxxx xxxx v xxxxxxx s xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxx §9 xxxx. 1 písm. b).
§7
Xxxxxxxxx xxxxxxxxxxxxxx požadavků xxx dodavatele
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) až e) xxxxxx xxxxxx pravidla xxx dodavatele, která xxxxxxxxxx potřeby xxxxxx xxxxxxxxxxx xxxxxxxxx, a xxxxxxxx je u xxxxxxxxxx xxxx jiných xxxx, které se xxxxxxxx xx xxxxxxx, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx. Xxxxxx xxxxxxxx dodavatelů xx xxxxxxx, xxxxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx orgán a xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxxx, xxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx x xxxxxxxxxx xxxxxxxxx x xxxxxxxx 1 dále
a) xxxx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx rizik xxxxx přílohy č. 2 k této xxxxxxxx, xxxxx jsou xxxxxxx s xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx x úrovni xxxxxx, xxxxx xxxxxxx způsoby x xxxxxx realizace xxxxxxxxxxxxxx opatření a xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, x
x) xxxxxxx pravidelné xxxxxxxxx xxxxx a xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx u xxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxx s xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxx.
§8
Xxxxxx xxxxx
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) xx x) xxxxxx x xxxxx xxxxxx aktiv
a) identifikuje x eviduje xxxxxxxx xxxxxx,
x) xxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx za xxxxxxxx xxxxxx, a
c) hodnotí xxxxxxxxxx xxxxxxxxxx xxxxx x hlediska xxxxxxxxxx, xxxxxxxxx x dostupnosti x zařadí je xx xxxxxxxxxxxx úrovní xxxxxxxxx x rozsahu xxxxx přílohy č. 1 k xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx xxxxxxxxxxx primárních xxxxx xx třeba xxxxxxxxx xxxxxxxx
x) xxxxxx x důležitost osobních xxxxx nebo xxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx vnitřních xxxxxxxx x kontrolních xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxx,
x) xxxxx xxxxxxxx ztráty,
f) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) zákona,
g) xxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti x
x) xxxxxx xx xxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx dobré xxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) a x) xxxxxx xxxx
x) xxxxxxxxxxxx a xxxxxxx xxxxxxxx xxxxxx,
x) xxxx xxxxxxx aktiv, kteří xxxx odpovědní xx xxxxxxxx xxxxxx, a
c) xxxx vazby mezi xxxxxxxxxx x podpůrnými xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxx mezi xxxxxxxxxx x xxxxxxxxxx xxxxxx.
(4) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx e) zákona xxxx
x) xxxxxxx xxxxxxxx xxxxxxx, nutná xxx xxxxxxxxxxx xxxxxxxxxxxx úrovní xxxxx xxx, xx
1. xxxx způsoby xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxx xxxxxxxx pro xxxxxxxxxx x xxxxxxxx x xxxxxx podle xxxxxx aktiv, včetně xxxxxxxx pro xxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx přenášení xxxxx x
3. xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx,
x) xxxxxx pravidla xxxxxxx xxxxxxxxxxxx xxxxxx aktiv x
x) xxxx xxxxxxx xxx xxxxxxxxxx xxxxxxx xxxx ničení xxxxxxxxxxx xxxxxx xxx s xxxxxxx na xxxxxx xxxxx.
§9
Xxxxxxxxxx xxxxxxxx xxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) xx x) xxxxxx x xxxxx řízení xxxxxxxxxxx xxxxxxxx xxxxxx
x) stanoví xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx obsahuje xxxxx, xxxxx x xxxxxx xxxxxxxxxx xxxxxxx x xxxx osoby xxxxxxxxxxx realizaci jednotlivých xxxxxxxx, xxxxx jsou x xxxxx xxxxxxx,
x) x souladu x xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx bezpečnostní xxxx o xxxxxx xxxxxxxxxxxx x o xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx a pravidelných xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx bezpečnostní xxxx x
x) xxxxxxx xxxxxxx xxxxxxxxx xxxxx a xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxx x osoba xxxxxxx x §3 xxxx. c) až x) xxxxxx vede x xxxxxxx xxxxx xxxxxxxx 1 přehledy, xxxxx obsahují xxxxxxx xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxx
x) xxxxxxx pravidla xxx určení xxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx xxxx, xxxx xxxxxxxxxxxxxx xxxx uživatelů,
b) xxxxxxx xxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx pravidel xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x
x) xxxxxxx xxxxx xxxxxxxxxxxx oprávnění xxx xxxxx postavení xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx bezpečnostní role.
§10
Řízení xxxxxxx x xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) zákona x xxxxx xxxxxx xxxxxxx x komunikací xxxxxx technických nástrojů xxxxxxxxx x §21 xx 23 xxxxxxxx xxxxxxxxxxxx bezpečnostní události, xxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxx x xx xxxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxx x §13.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx x) zákona x xxxxx řízení xxxxxxx x komunikací xxxx xxxxxxxxx bezpečný xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxx informačního xxxxxxx. Xx xxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx.
(3) Xxxxxxxx xxxxxxxx x xxxxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) x x) xxxxxx obsahují
a) xxxxx a xxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx, administrátorů x xxxxxxxxx,
x) postupy xxx xxxxxxxx x xxxxxxxx xxxxx systému, xxx xxxxxxx xxxx obnovení xxxxx systému xx xxxxxxx x xxx xxxxxxxx xxxxxxxxx stavů xxxx xxxxxxxxxxx jevů,
c) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxx xxxxxxx xxxxxxxx x záznamům x xxxxxx činnostech,
d) xxxxxxx xx xxxxxxxxx xxxxx, xxxxx xxxx xxxxxx jako xxxxxxx xxx xxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nebo xxxxxxxxxxx xxxxxx,
x) postupy xxxxxx x xxxxxxxxxxx provozních xxxx a
f) xxxxxxx xxx sledování, xxxxxxxxx x řízení xxxxxxxx xxxxxxxx a technických xxxxxx.
(4) Řízení xxxxxxx xxxxxx a osoby xxxxxxx v §3 xxxx. x) až x) xxxxxx spočívá x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx.
(5) Xxxxxx provozu orgánu x osoby uvedené x §3 xxxx. x) x x) xxxxxx spočívá x
x) xxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx a produkčního xxxxxxxxx,
x) řešení xxxxxxxxxxx xxxxxxxx xxxxxxxx Úřadem xxx, xx xxxxx x osoba uvedená x §3 xxxx. x) x x) xxxxxx
1. posoudí očekávané xxxxxx xxxxxxxxxxx opatření xx xxxxxxxxxx xxxxxx xxxxxxxx informační infrastruktury xxxx xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxx xxxxxxxxx xxxxxx x xxx xxxxxxxxxx xxxxxxx xx xxxxxx Xxxxx x
2. xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx možné xxxxxxxxx xxxxxx, a xxxx xxxxxx xxxx xxxx xxxxxxxxx.
(6) Orgán x xxxxx uvedená v §3 xxxx. x) x d) xxxxxx x rámci řízení xxxxxxxxxx
x) zajišťuje xxxxxxxxxx x integritu xxxxxxxxxxxxx xxxx x bezpečnost xxxxxxxxxxxxx služeb xxxxx §17,
x) xxxx xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxxxxx, které xxxx přenášeny xxxxxxxxxxxxx xxxxxx,
x) provádí výměnu x předávání xxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxx xx xxxxxxxxxx zajištění xxxxxxxxxxx xxxxxxxxx a xxxx pravidla dokumentuje x
x) x xxxxxxx xx xxxxxxxxxxx xxxxx xxxxxxx výměnu x xxxxxxxxx xxxxxxxxx xx xxxxxxx písemných xxxxx, xxxxxxx součástí je xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx.
§11
Xxxxxx xxxxxxxx x xxxxxxxx xxxxxxx uživatelů
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. x) xx x) zákona na xxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx informačnímu xxxxxxx x xxxxxxx xxxxxxx uživateli xxxxxxxxxxx xxxxxxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona xxxxxx xxxxxxxx, xxxxx xxxxxx k zajištění xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx pro xxxxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxx §18 x 19, x xxxxx xxxxx xx zneužití xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(3) Orgán x xxxxx uvedená v §3 xxxx. x) x d) zákona xxxx x rámci xxxxxx xxxxxxxx
x) xxxxxxx xxxxxxxxxxxxx xxxxxxxxx samostatný xxxxxxxxxxxxx,
x) xxxxx přidělování xxxxxxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx v xxxxxxx x politikou řízení xxxxxxxx,
x) xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxxx přístupových xxxxxxxxx xxxxxx rozdělení xxxxxxxxxxxx uživatelů x xxxxxxxxxxxx skupinách xxxx xxxxxx,
x) xxxxxxx nástroj xxx xxxxxxxxx identity xxxxxxxxx podle §18 x nástroj xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §19 a
f) xxxxxx bezpečnostní xxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxx x bezpečnostní xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxx x xxxxx uvedená x §3 xxxx. x) x d) xxxxxx xxxxxxxxxxx.
§12
Xxxxxxxx, xxxxx x xxxxxx
(1) Orgán a xxxxx xxxxxxx v §3 xxxx. c) xx e) xxxxxx xxxxxxx bezpečnostní požadavky xx xxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx x xxxxxx akvizicí, vývojem x xxxxxxx x xxxxxx xx xx xxxxxxxx xxxxxxxx, vývoje x xxxxxx xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) x x) zákona xxxx
x) xxxxxxxxxxxx, xxxxxxx a xxxx xxxxxx související x akvizicí, vývojem x xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx; pro xxxxxxx xxxxxxxxx a xxxxxx xxxxx xx xxxxxxxx xxxxx §4 xxxx. 1 písm. x) xxxxxxx xxxxxxx,
x) zajistí xxxxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxx x
x) provádí xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxx jejich xxxxxxxxx do xxxxxxx.
§13
Zvládání xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxxx
Xxxxx x osoba uvedená x §3 písm. x) xx x) xxxxxx xxx xxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxx
x) xxxxxx xxxxxxxx xxxxxxxx, xxxxx zajistí xxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx u informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xx xxxxxx xxxxxxxxx, administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x x xxxxxxxxxx xxxx xxxxxxx,
x) xxxxxxxx xxxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx §21 xx 23, provádí jejich xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx,
x) xxxxxxx klasifikaci kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxxx xxx odvrácení x xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu, xxxxxxx hlášení kybernetického xxxxxxxxxxxxxx xxxxxxxxx xxxxx §32 x xxxxxxx xxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu,
d) xxxxxxxx x xxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, vyhodnotí účinnost xxxxxx kybernetického bezpečnostního xxxxxxxxx x xx xxxxxxx xxxxxxxxxxx stanoví xxxxx bezpečnostní xxxxxxxx x xxxxxxxx opakování xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x
x) dokumentuje xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
§14
Xxxxxx kontinuity činností
(1) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx v xxxxx xxxxxx xxxxxxxxxx xxxxxxxx stanoví
a) xxxxx x xxxxxxxxxx xxxxxxx xxxxx, administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) cíle xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx úrovně xxxxxxxxxxxxx xxxxxx, která xx přijatelná xxx xxxxxxx, provoz x xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
2. xxxx xxxxxxxx xxxxx, xxxxx xxxxx bude xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx minimální xxxxxx xxxxxxxxxxxxx služeb xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x
3. xxxx xxxxxxxx dat xxxx xxxxxxx, xx xxxxxxx budou obnovena xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx, a
c) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx podle xxxxxxx b).
(2) Xxxxx x osoba uvedená x §3 písm. x) x x) xxxxxx xxxx
x) xxxxxxxxx x xxxxxxxxxxx xxxxx xxxxxx kybernetických bezpečnostních xxxxxxxxx x xxxxxxx xxxxx xxxxxx související x xxxxxxxxx kontinuity xxxxxxxx,
x) stanoví, xxxxxxxxxxx x xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury,
c) xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx informačního xxxxxxx xxxxxxxx informační infrastruktury x xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a využívá xxxxxxx pro zajišťování xxxxxx xxxxxxxxxxx podle §26 x
x) xxxxxxx x xxxxxxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx podle §13 x 14 xxxxxx, xx xxxxxxx xxxxxxxx
1. výsledky xxxxxxxxx xxxxx xxxxxxxxx xxxxxxxx,
2. xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
3. vyhodnocení xxxxxxxxxx xxxxxxxxxxx xxxxxx xx provoz a xxxxxxxxxx informačního xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§15
Xxxxxxxx x audit xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx
(1) Orgán x xxxxx uvedená x §3 xxxx. c) xx x) xxxxxx x rámci kontroly x xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systémů (xxxx xxx "audit xxxxxxxxxxxx bezpečnosti")
a) xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx předpisy, xxxxxxxxx xxxxxxxx, jinými xxxxxxxx x smluvními xxxxxxx xxxxxxxxxxxx se x informačnímu xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx informačnímu xxxxxxx x xxxx opatření xxx jeho prosazování x
x) xxxxxxx a xxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostní politiky x výsledky xxxxxx xxxxxxx zohlední v xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx rizik.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) a d) xxxxxx zajišťuje xxxxxxxxx xxxxxx kybernetické bezpečnosti xxxxxx x xxxxxxxx xxxxxxxxxxx xxxxx §6 xxxx. 6, která xxxxxxx správnost x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 písm. c) x x) zákona xxxx xxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a komunikační xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx provádí xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxx x xxxxxxx xx zjištěné xxxxxxxxxxxxx.
HLAVA XX
XXXXXXXXX XXXXXXXX
§16
Xxxxxxx xxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx v §3 písm. x) xx e) xxxxxx x xxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxx nezbytná xxxxxxxx x zamezení xxxxxxxxxxxxx vstupu xx xxxxxxxxxx xxxxxxx, kde xxxx xxxxxxxxxxxx informace x umístěna technická xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxxx xxxxxxxxxxxx systému,
b) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxx poškození x zásahům xx xxxxxxxxxx prostor, xxx xxxx xxxxxxxx informace x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x
x) předchází poškození, xxxxxxx xxxx xxxxxxxx xxxxx nebo xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx významného xxxxxxxxxxxx xxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx v §3 xxxx. c) x x) xxxxxx xxxx xxxxxxxxx prostředky xxxxxxx bezpečnosti
a) xxx xxxxxxxxx xxxxxxx xx xxxxxx objektů x
x) xxx xxxxxxxxx xxxxxxx x rámci objektů xxxxxxxxxx zvýšené xxxxxxxxxxx xxxxxxxxxx prostor, xx xxxxxxx xxxx xxxxxxxx xxxxxxxxx aktiva informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
(3) Prostředky fyzické xxxxxxxxxxx xxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxx xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx zabezpečovací xxxxxxxxxxx,
x) xxxxxxxxxx omezující xxxxxxxx xxxxxx,
x) prostředky xxxxxxxxx xxxxxxxx projevů xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxx kontrolu vstupu,
f) xxxxxxxx systémy,
g) zařízení xxx zajištění ochrany xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx napájení a
h) xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx provozních xxxxxxxx.
§17
Nástroj xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona xxx xxxxxxx integrity xxxxxxxx xxxxxx xxxxxxxxxxx xxxx, xxxxx xxxx pod xxxxxxx orgánu nebo xxxxx, a xxxxxxx xxxxxxxxxxx xxxx, xxxxx xx pod správou xxxxxx xxxx osoby, xxxxxx
x) xxxxxx bezpečného xxxxxxxx mezi xxxxxx x xxxxxxx xxxx,
x) xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxxxxxx xxx jako xxxxxxxxxxx typu xxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx x xxxxxx xxxx x k xxxxxxxx xxxxx komunikace xxxxxxx xxxx x xxxxxx xxxx,
x) xxxxxxxxxxxxxx xxxxxxxxxx (§25) xxx xxxxxxxx xxxxxxx, vzdálenou správu xxxx xxx xxxxxxx xxxxxx xxxxxxxxxxxx technologií x
x) opatření pro xxxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxx dat, které xxxxxxxxxxxx xxxxxxxxxx na xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x d) xxxxxx xxxx xxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxxx sítě, xxxxx zajistí její xxxxxxxxxx.
§18
Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx
(1) Xxxxx x osoba xxxxxxx x §3 písm. x) až x) xxxxxx používá xxxxxxxx xxx xxxxxxx identity xxxxxxxxx x administrátorů xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx xxxxxxx identity xxxxxxxxx a administrátorů xxxx xxxxxxxxx jejich xxxxxxx v xxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury x významném xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx xxx xxxxxxxxx xxxxxxxx uživatelů, xxxxx xxxxxxx xxxxxxxxxxx xxxxx heslem, zajišťuje
a) xxxxxxxxx xxxxx xxxxx xxx xxxxx,
x) xxxxxxxxx xxxxxxxxx hesla tak, xx xxxxx xxxx xxxxxxxxx xxxxxxx 3 x xxxxxxxxxxxxx xxxx xxxxxxxxx
1. xxxxxxx xxxxx xxxxx xxxxxxx,
2. xxxxxxx xxxxx malé xxxxxxx,
3. xxxxxxx xxxxx xxxxxxx, xxxx
4. xxxxxxx jeden xxxxxxxxx xxxx xxxxxxx xx požadavků xxxxxxxxx x bodech 1 xx 3,
x) maximální xxxx pro povinnou xxxxxx xxxxx nepřesahující xxx dnů; xxxxx xxxxxxxxx není xxxxxxxxx xxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(4) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) zákona xxxx
x) xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxx, xxxxx
1. xxxxxx opětovnému xxxxxxxxx xxxxx xxxxxxxxxxx xxxxx a xxxxxxxx xxxx xxxx xxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx období, xxxxx xxxx xxx nejméně 24 xxxxx, a
2. xxxxxxx opětovné xxxxxxx xxxxxxxx xx xxxxxx xxxx xxxxxxxxxx a
b) xxxxxxx nástroj xxx xxxxxxxxx xxxxxxxx administrátorů. X případě, že xxxxx xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxx patnáct xxxxx xxx xxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx. x) a x).
(5) Xxxxxxx pro xxxxxxxxx identity xxxxxxxxx xxxx xxx xxxxxxxx x xxxxxx xxxxxxx, xxx xxxx xxxx xxxxxxxxx x odstavcích 3 xx 5, xxxxx xxxxx x xxxxx uvedená x §3 xxxx. x) xx x) zákona xxxxxxxxx, xx xxxxxxx xxxxxxxx zajišťující stejnou xxxx xxxxx xxxxxx xxxxxxxxx xxxxx.
§19
Nástroj xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx
(1) Orgán x osoba uvedená x §3 xxxx. x) až x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx zajistí xxxxxx xxxxxxxxx
x) xxx xxxxxxx x xxxxxxxxxxx xxxxxxxxx a datům x
x) xxx čtení xxx, pro xxxxx xxx x xxx xxxxx xxxxxxxxx.
(2) Xxxxx x xxxxx uvedená x §3 písm. x) a x) xxxxxx xxxx xxxxxxx xxxxxxx pro xxxxxx xxxxxxxxxxxx oprávnění, xxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxx v xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x výsledky xxxxxxxxx xxxxx.
§20
Xxxxxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxx
Xxxxx x xxxxx xxxxxxx x §3 písm. x) xx e) xxxxxx xxx xxxxxx xxxxx spojených x xxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxx pro xxxxxxx xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx, xxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxx
x) xxxxxxxxxx mezi vnitřní xxxx a xxxxxx xxxx,
x) serverů x xxxxxxxxx xxxxxxxx úložišť x
x) xxxxxxxxxx xxxxxx,
xxxxxxx xxxxxxx pravidelnou x xxxxxxx aktualizaci nástroje xxx xxxxxxx před xxxxxxxxx xxxxx, xxxx xxxxxxx a signatur.
§21
Xxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, xxxxxx xxxxxxxxx x administrátorů
(1) Xxxxx x osoba xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxx xxxxxxx pro xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx systému xxxxxxxx informační infrastruktury, xxxxxxxxxxxxx systému kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx systému, xxxxx xxxxxxx
x) sběr xxxxxxxxx o xxxxxxxxxx x xxxxxxxxxxxxxx činnostech, xxxxxxx typ xxxxxxxx, xxxxx x xxx, xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx, xxxxxxxxxxxx původce x xxxxx xxxxxxxx x xxxxxxxxx nebo xxxxxxxxxxx xxxxxxxx a
b) xxxxxxx xxxxxxxxx informací xxxx xxxxxxxxxxxx xxxxxx xxxx xxxxxx.
(2) Orgán x xxxxx uvedená v §3 xxxx. x) xx e) zákona xxxx pomocí nástroje xxx zaznamenávání xxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, komunikačního xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxxx x xxxxxxxxx xxxxxxxxx x administrátorů,
b) xxxxxxxx provedené xxxxxxxxxxxxxx,
x) xxxxxxxx xxxxxxx xx xxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxxx nedostatku přístupových xxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx,
x) xxxxxxxx x ukončení xxxxxxxx technických aktiv xxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx infrastruktury, komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxxxxxx aktiv,
g) xxxxxxxx k xxxxxxxx x xxxxxxxxxx, xxxxxx x xxxxxxxxxx xx xxxxxxx x činnostech x xxxxx nastavení xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx a
h) xxxxxxx xxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxx xxxxxx xxxxx xxxxx, které xxxxxx x xxxxxxxxxx.
(3) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx odstavce 2 xxxxxxxx xxxxxxx xx xxxx 3 xxxxxx.
(4) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx xxxxxxxxx nejméně xxxxxx xx 24 xxxxx xxxxxxxxxxxxx jednotného systémového xxxx xxxxxxxxxxx aktiv xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx.
§22
Nástroj xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
(1) Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) až x) xxxxxx xxxxxxx xxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx a xxxxx xxxxxxx ověření, xxxxxxxx x xxxxxxxx zablokování xxxxxxxxxx mezi xxxxxxx xxxxxxxxxxx xxxx a xxxxxx xxxx.
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) x d) xxxxxx dále používá xxxxxxx xxx detekci xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxxxx xxxxxxx xxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxx komunikace
a) x xxxxx xxxxxxx xxxxxxxxxxx xxxx x
x) serverů xxxxxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§23
Nástroj pro sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) a x) xxxxxx xxxxxxx xxxxxxx xxx xxxx x xxxxxxxx vyhodnocení kybernetických xxxxxxxxxxxxxx xxxxxxxx, který x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxx xxxxx xxxxxxx
x) xxxxxxxxxxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxx určené xxxxxxxxxxxx xxxx x xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxxx v xxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo komunikačním xxxxxxx xxxx é xxxxxxxxxx infrastruktury x
x) xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx identifikace xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx varování xxxxxxxx xxxxxxxxxxxxxx rolí.
(2) Orgán x xxxxx uvedená x §3 písm. x) a d) xxxxxx xxxx xxxxxxx
x) xxxxxxxxxxx aktualizaci nastavení xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx, xxx xxxx xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx nebo xxxxxxx xxxxxxxxx varování, x
x) xxxxxxxxx xxxxxxxxx, xxxxx xxxx připraveny xxxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx optimální xxxxxxxxx bezpečnostních xxxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx.
§24
Aplikační xxxxxxxxxx
(1) Orgán x osoba uvedená x §3 xxxx. x) xx x) xxxxxx xxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxx jsou xxxxxxxxx x vnější sítě, x to xxxx xxxxxx xxxxxxxx xx xxxxxxx x xx xxxxx xxxxxxx změně xxxxxxxxxxxxxx xxxxxxxxxx.
(2) Xxxxx x xxxxx xxxxxxx x §3 písm. x) x x) xxxxxx xxxx x xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx trvalou xxxxxxx
x) xxxxxxxx x xxxxxxxxx xxxxxxxxxx x xxxxxx xxxx před neoprávněnou xxxxxxxx, xxxxxxxx provedených xxxxxxxx, xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxx a
b) xxxxxxxxx xxxx jejich xxxxxxxxxxxx, xxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxxx změnou xxxxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxx, xxxxxxxxxxxxxxx duplikováním xxxx xxxxxxxxxx.
§25
Xxxxxxxxxxxxxx xxxxxxxxxx
(1) Orgán x xxxxx xxxxxxx x §3 xxxx. x) xx e) xxxxxx
x) xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxx
1. xxxxxx xxxxxxx x xxxxxxx xx typ x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx x
2. pravidla xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx xxx přenosu xx xxxxxxxxxxxxx xxxxxx nebo xxx xxxxxxx xx xxxxxxx zařízení xxxx xxxxxxxxxxx technické xxxxxx xxx a
b) x xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxx x výsledky xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxxx xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxx ukládaných xxx x průkaznou xxxxxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxxx.
(2) Xxxxx a xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxx
x) stanoví pro xxxxxxxxx kryptografických prostředků xxxxxx správy xxxxx, xxxxx zajistí generování, xxxxxxxxxx, ukládání, archivaci, xxxxx, xxxxxx, kontrolu x audit xxxxx, x
x) xxxxxxx xxxxxx xxxxxxxxxxxxxx algoritmy x xxxxxxxxxxxxxx xxxxx; x xxxxxxx nesouladu s xxxxxxxxxxx požadavky na xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxx x příloze č. 3 x xxxx xxxxxxxx xxxx xxxxxx xxxxxxx x xxxxx xxxxxxxxxx.
§26
Xxxxxxx pro xxxxxxxxxxx xxxxxx xxxxxxxxxxx
(1) Xxxxx x xxxxx xxxxxxx x §3 písm. x) až e) xxxxxx x souladu x xxxxxxxxxxxxxx xxxxxxxxx x výsledky xxxxxxxxx xxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxx úrovně xxxxxxxxxxx informací.
(2) Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) x x) xxxxxx xxxxxxx xxxxxxx xxx xxxxxxxxxxx úrovně xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxx
x) xxxxxxxxxx informačního xxxxxxx kritické informační xxxxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx xxx splnění xxxx xxxxxx kontinuity xxxxxxxx,
x) odolnost xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x komunikačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxx kybernetickým xxxxxxxxxxxxx xxxxxxxxxx, které xx mohly xxxxxx xxxxxxxxxx, x
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx systému xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx
1. xxxxxxxx xxxxxxxxxx x návrhu xxxxxx x
2. xxxxxxxxxx xxxxxxxxxx technických xxxxx x xxxxxxx xxxx.
§27
Xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx
Xxxxx a xxxxx uvedená v §3 xxxx. c) x x) zákona xxx xxxxxxxxxx průmyslových x xxxxxxxx systémů, xxxxx xxxx xxxxxxxxxxx xxxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx xxxxx xxxx xxxxxx xxxxxxxx, xxxxxxx xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx fyzického přístupu x síti a xxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx,
x) omezení xxxxxxxxx x xxxxxxxxxx xxxxxxxx k xxxx xxxxxxxxxxxx a řídicích xxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxx využitím xxxxxxx xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx průmyslových a xxxxxxxx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
HLAVA XXX
XXXXXXXXXXXX DOKUMENTACE
§28
Bezpečnostní xxxxxxxxxxx
(1) Xxxxx x xxxxx uvedená x §3 xxxx. x) x x) zákona xxxx x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, která xxxxxxxx
x) xxxxxxxxxxxx xxxxxxxx xxxxx §5 odst. 1,
x) zprávy x xxxxxx kybernetické xxxxxxxxxxx xxxxx §3 odst. 1 písm. f),
c) xxxxxx x přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx §3 xxxx. 1 xxxx. x),
x) xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x pro xxxxxxxxxxxx a hodnocení xxxxx,
x) xxxxxx x xxxxxxxxx xxxxx a xxxxx,
x) prohlášení x xxxxxxxxxxxxxxxx,
x) xxxx zvládání xxxxx,
x) plán xxxxxxx xxxxxxxxxxxxxx povědomí xxxxx §9 xxxx. 1 xxxx. x),
x) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx §13 xxxx. x),
x) xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxx §14 odst. 1 xxxx. x) a
k) xxxxxxx xxxxxxxx předpisů, xxxxxxxxx předpisů x xxxxxx xxxxxxxx a xxxxxxxxx xxxxxxx xxxxx §15 xxxx. 1 xxxx. x).
(2) Orgán x xxxxx xxxxxxx x §3 xxxx. x) zákona xxxx x aktualizuje bezpečnostní xxxxxxxxxxx, která obsahuje
a) xxxxxxxxxxxx xxxxxxxx podle §5 odst. 2,
x) xxxxxxxx xxx xxxxxxxxxxxx x hodnocení aktiv x pro xxxxxxxxxxxx x hodnocení xxxxx xxxxx §4 xxxx. 2 písm. x),
x) xxxxxx x xxxxxxxxx xxxxx x xxxxx xxxxx §4 xxxx. 2 xxxx. x) x x),
x) xxxxxxxxxx x xxxxxxxxxxxxxxxx xxxxx §4 xxxx. 2 xxxx. x),
x) plán xxxxxxxx xxxxx xxxxx §4 odst. 2 xxxx. x),
x) xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9 xxxx. 1 písm. x),
x) xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle §13 xxxx. e),
h) xxxxxxxxx xxxxxx kontinuity činností xxxxx §14 odst. 1 xxxx. c) x
x) xxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxx §15 odst. 1 písm. a).
(3) Xxxxx x osoba xxxxxxx x §3 xxxx. c) xx x) xxxxxx vede xxxxxxxxxxxx xxxxxxxxxxx tak, xxx xxxxxxx x xxxxxxxxxxx činnostech byly xxxxx, čitelné, snadno xxxxxxxxxxxxxxxxx x xxx xx daly xxxxxx xxxxxxxx. Xxxxxxxx potřebná x xxxxxxxxxxxx, xxxxxxx, xxxxxxx, vyhledání, xxxx xxxxxxxxx x xxxxxxxxxx xxxxxxx o provedených xxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx x příloze č. 4 x xxxx xxxxxxxx.
§29
Prokázání certifikace
Orgán a xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxxx xxxxxxxxxx systém xxxxxxxx informační infrastruktury, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx nebo xxxxxxxx informační systém xx xxxxx zahrnut xx xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxx certifikován xxxxx příslušné xxxxxxxxx xxxxx1) xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx, x xxxxx xxxx xxxxxxxxx xxxxxxxxxx
x) xxxxx xxxxxxx systému xxxxxx xxxxxxxxxxx informací,
b) xxxxxxxxxx politiky a xxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxx x xxxxxx x hodnocení rizik,
d) xxxxxxxxxx x xxxxxxxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxx příslušné technické xxxxx zabývající xx xxxxxxxxxxx xxxxxxxxx1),
x) xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx x výstupů xxxxxxxxxxx x
x) zprávu x xxxxxx xxxxxxxxxxx certifikačním xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx o nápravě xxxxxxxxxx xxxxxx s xxxxxxxxxx xxxxxx,
xxxxxxx požadavky xx zavedení bezpečnostních xxxxxxxx xxxxx xxxxxx x této vyhlášky.
XXXX TŘETÍ
KYBERNETICKÝ BEZPEČNOSTNÍ XXXXXXXX
§30
Xxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Podle xxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx xxxxxxxx xxxxxxx x průniku do xxxxxxx xxxx k xxxxxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx způsobený xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx spojený x xxxxxxxx xxxxxx xxxxxxxxxx xxxxxx x
x) xxxxxxx kybernetické bezpečnostní xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxx.
(2) Xxxxx dopadu xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxxxxxx do xxxxxxxxxxxxx xxxx
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx způsobující xxxxxxxx xxxxxxxxxxx aktiv, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx v xxxxxxxxx x) xx x).
§31
Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Pro potřeby xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx xxxxx xxxxxxxx x negativních xxxxxxx kybernetické bezpečnostní xxxxxxxxx xxxx xx xxxxxxxxxxxxx kategorií
a) Xxxxxxxxx XXX - velmi xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx xxxxxx xx přímo x xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx neprodlené xxxxxx xxxxxxx x xxx, xx xxxx xxx xxxxx dostupnými xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx II - xxxxxxx kybernetický bezpečnostní xxxxxxxx, xxx kterém xx narušena xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx být xxxxxxxx prostředky xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxxxxx xxxxxxxxx xxxx.
x) Xxxxxxxxx X - xxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, při xxxxxx xxxxxxx k xxxx xxxxxxxxxx narušení xxxxxxxxxxx xxxxxxxxxxxxx služeb nebo xxxxx. Xxxx xxxxxx xxxxxxxx zásahy obsluhy x tím, že xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxx další xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx xxxx.
(2) Orgán x xxxxx uvedená x §3 xxxx. x) až e) xxxxxx při xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 zohlední
a) důležitost xxxxxxxxx aktiv informačního xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační xxxxxxxxxxxxxx xxxx významného informačního xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx služby xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx systému xxxxxxxx informační infrastruktury, xxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxx poskytované jinými xxxxxxxxxxxx systémy xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxx významnými xxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxxxxx xxxxx a xxxxx xxxxxx.
§32
Xxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxx a xxxxx uvedená v §3 xxxx. c) xx e) zákona xxxxx kybernetický xxxxxxxxxxxx xxxxxxxx
x) v xxxxxxxxxxxx xxxxxx prostřednictvím
1. xxxxxxxxxxxxxx xxxxxxxxx zveřejněného xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
2. xxxxxx xx xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxx pro xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, zveřejněné xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
3. xxxxxx xxxxxx do xxxxxx schránky Úřadu, xxxx
4. prostřednictvím xxxxxxxx xxxxxxxx rozhraní, jehož xxxxx xx zveřejněn xx internetových stránkách Xxxxx, anebo
b) v xxxxxxxx xxxxxx xx xxxxxx Národního xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxx xx internetových xxxxxxxxx Xxxxx.
(2) Xxxxxxx v xxxxxxxx podobě se xxxxxx pouze x xxxxxxxxx, xxx xxxxx xxxxxx xxxxx xx xxxxxxx uvedených x xxxxxxxx 1 xxxx. x).
(3) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx x příloze č. 5 k této xxxxxxxx.
XXXX ČTVRTÁ
REAKTIVNÍ OPATŘENÍ X KONTAKTNÍ XXXXX
§33
Xxxxxxxxx xxxxxxxx
Xxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx oznámí xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx xx xxxxxxxxx, jehož xxxx xx uveden x příloze č. 6 k xxxx xxxxxxxx.
§34
Xxxxxxxxx xxxxx
Xxxxx x xxxxx uvedená x §3 xxxxxx oznamuje xxxxxxxxx xxxxx xx xxxxxxxxx, xxxxx vzor xx xxxxxx x příloze č. 7 k xxxx xxxxxxxx. Xxxxx x xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx xxxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxx x §32 odst. 1 xxxx. x).
XXXX XXXX
XXXXXXXX
§35
Xxxx vyhláška xxxxxx xxxxxxxxx dnem 1. xxxxx 2015.
Xxxxxxx:
Xxx. Xxxxxxxx x. x.
Xxxxxxx č. 1 x xxxxxxxx č. 316/2014 Sb.
Hodnocení x xxxxxx důležitosti xxxxx
Xxx xxxxxxxxx xxxxxxxxxxx aktiv xxxx použity xxxxxxxx x xxxxxxx úrovních. Xxxxx xxxx xxxxx xxxxxxx v §3 xxxx. x) až x) zákona xxxx xxxxxxxx xxxxxxx xxxxx xxxxxx xxx hodnocení xxxxxxxxxxx aktiv, než xxxx xx xxxxxx x této xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx jí používaným xxxxxxxx hodnocení xxxxxxxxxxx xxxxx x xxxxxxxxxx x úrovněmi xxx xxxxxxxxx důležitosti xxxxx, xxxxx jsou xxxxxxx x xxxx xxxxxxx.
X xxxxxxx použití xxx xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xx xxxxxxxxx xxxxxxx xxx úrovně xxxxx x střední, xxxx xxxxxx xxxxxx x xxxxxxxx.
Xxxxxxxx pro xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxx jsou xxxxxxx xxxxxxxxx xxxx xxxx xxxxxx ke xxxxxxxxxx (xxxx. xx xxxxxxx zákona č. 106/1999 Sb., x xxxxxxxxx xxxxxxxx x xxxxxxxxxx, xx xxxxx xxxxxxxxxx předpisů). Xxxxxxxx xxxxxxxxxx aktiv xxxxxxxxxx xxxxxxxxx xxxxx xxxxxx a osoby xxxxxxx v §3 xxxx. x) až x) xxxxxx. |
Xxxx xxxxxxxxxx xxxxx ochrana. |
|
Střední |
Aktiva xxxxxx xxxxxxx xxxxxxxxx a xxxxx xxxx-xxx xxxxxx x xxxxx xxxxxxx x §3 písm. x) až e) xxxxxx, xxxxxxx aktiv xxxx vyžadována xxxxxx xxxxxxx předpisem nebo xxxxxxxx xxxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx pro xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxx xxxxxxx xx xxxxxxxxxx xxxxxxxx předpisy, xxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (např. xxxxxxxx xxxxxxxxx xxxxx zákona č. 89/2012 Sb., občanský xxxxxxx, xxxxxx xxxxx podle xxxxxx č. 101/2000 Sb., o xxxxxxx xxxxxxxx xxxxx, xx xxxxx xxxxxxxxxx xxxxxxxx). |
Xxx xxxxxxx důvěrnosti xxxx xxxxxxxxx xxxxxxxxxx, xxxxx zajistí xxxxxx x zaznamenávání přístupu. Xxxxxxx xxxxxxxxx vnější xxxxxxxxxxx sítí jsou xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx veřejně xxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx míru ochrany xxx xxxxx předchozí xxxxxxxxx (např. xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxx údaje). |
Pro xxxxxxx xxxxxxxxxx xx požadována xxxxxxxx xxxx, které x xxxxxxx xxxxxxxxxxx, x xxxxxx ochrany xxxxxxxxxxx zneužití xxxxx xx xxxxxx xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx jsou xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxxxxxxx xxx xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx aktiva xxxxxxxxxx oprávněné xxxxx xxxxxx a xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx. |
Xxxx vyžadována xxxxx ochrana. |
|
Střední |
Aktivum může xxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx aktiva může xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx x xxxxx uvedené x §3 xxxx. x) xx x) xxxxxx x xxxx se xxxxxxxx xxxx xxxxxxxxx xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (xxxx. xxxxxxx xxxxxxxxxxxx xxxx pro xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx ochranu x xxxxxxxx integrity. Xxxxxxxx integrity xxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx zájmů orgánu x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx x podstatnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, které dovolují xxxxxxxx historii xxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxx osoby xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx informací xxxxxxxxxxx vnějšími komunikačními xxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx z hlediska xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx x xxxxx xxxxxxx xxxxxxxxx oprávněných xxxxx orgánu x xxxxx xxxxxxx x §3 písm. c) xx e) zákona x xxxxxxx a xxxxx xxxxxxx dopady na xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxx prostředky xxxxxxxxxxx xxxxxxxxxxxx xxxxx provádějící xxxxx (xxxx. xxxxxx xxxxxxxxxxx digitálního podpisu). |
Stupnice xxx hodnocení xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxx x v xxxxxxx výpadku je xxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxx xxxxxxx (cca do 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx nemělo xxxxxxxxx dobu xxxxxxxxxx xxx, xxxxxxxxxxxxx xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxx xxxxxx x osoby xxxxxxx x §3 xxxx. x) xx x) xxxxxx. |
Xxx xxxxxxx dostupnosti xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx x obnovy. |
|
Vysoká |
Narušení xxxxxxxxxxx aktiva by xxxxxx xxxxxxxxx dobu xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx je xxxxx xxxxx xxxxxxxxxx, xxxxxxx xxxx x přímému xxxxxxxx zájmů xxxxxx x xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx. Xxxxxx jsou xxxxxxxxxx xxxx velmi xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx záložní xxxxxxx x obnova poskytování xxxxxx xxxx xxx xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xxxx přípustné x x xxxxxxxxxx xxxxxxxxxxxx (x xxxx několika xxxxx) vede k xxxxxxx xxxxxxxx zájmů orgánu x xxxxx uvedené x §3 xxxx. x) xx x) xxxxxx. Xxxxxx xxxx xxxxxxxxxx xxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx xxxxxx je krátkodobá x xxxxxxxxxxxxxx. |
Xxxxxxx x. 2 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxxx xxxxx
Xxxxxxxxx xxxxx je xxxxxxxxx xxxx funkce, xxxxxx xxxxxxxxx xxxxx, xxxxxx x xxxxxxxxxxxx.
Xxx xxxxxxxxx xxxxx xxx xxxxxx xxxxxxx tuto funkci
riziko = dopad x xxxxxx x zranitelnost.
Jednoznačné xxxxxx xxxxxx pro xxxxxx xxxxxx xx xxxxxxxxx součástí xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxxx
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxx je x xxxxxxxx xxxxxxx xxxxxx x xxxxxx xxxxxxx a xxxxx xxx katastrofický. Rozsah xxxxxxxxxx xxxx xxxxxxxxxxx x) 10 xxxxxxxxx xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx xxxxx xxx 24 xxxxx xxxx x) xxxxxxxx xxxx xxxxxxxxxx xxxxxx do 5&xxxx;000&xxxx;000 Xx anebo c) xxxxxxxxxxx xxxxx na xxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxxxxx služeb xxxx xxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxx života xxxxxxxxxxxxx nejvýše 250 xxxx. |
|
Xxxxxxx |
Xxxxx je omezeného xxxxxxx x x xxxxxxxx xxxxxxx období. Rozsah xxxxxxxxxx xxxx se xxxxxxxx x xxxxxxx x) xx 10 mrtvých xxxx xx 11 xx 100 osob x xxxxxxxxx hospitalizací xx xxxx delší xxx 24 xxxxx xxxx x) xxxxxxxx nebo xxxxxxxxxx ztráty xx 5&xxxx;000&xxxx;000 Xx xx 50&xxxx;000&xxxx;000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx s rozsáhlým xxxxxxxx nezbytných xxxxxx xxxx jiného xxxxxxxxx xxxxxx do každodenního xxxxxx xxxxxxxxxxxxx xx 251 do 2 500 xxxx. |
|
Xxxxxx |
Xxxxx xx xxxxxxxxx xxxxxxx, xxx trvalý xxxx xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx se xxxxxxxx x xxxxxxx x) xx 11 xx 100 xxxxxxx xxxx xx 101 xx 1 000 xxxx x xxxxxxxxx xxxxxxxxxxxxx xx xxxx delší xxx 24 xxxxx nebo b) xxxxxxxx nebo xxxxxxxxxx xxxxxx xx 50&xxxx;000&xxxx;000 Xx xx 500 000 000 Xx xxxxx x) xxxxxxxxxxx xxxxx xx xxxxxxxxx x rozsáhlým xxxxxxxx xxxxxxxxxx služeb xxxx xxxxxx xxxxxxxxx zásahu xx každodenního života xxxxxxxxxxxxx od 2&xxxx;501 xx 25 000 xxxx. |
|
Xxxxxxxx |
Xxxxx xx plošný xxxxxxxx, xxxxxx x xxxxxxxxxxxxx. Xxxxxx xxxxxxxxxx xxxx xx xxxxxxxx x xxxxxxx x) 10 x xxxx xxxxxxx x 1 001 a xxxx xxxx x xxxxxxxxx xxxxxxxxxxxxx xx dobu xxxxx než 24 xxxxx nebo b) xxxxxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxxxxxx 500 000 000 Kč xxxxx x) xxxxxxxxxxx xxxxx xx veřejnost x xxxxxxxxx xxxxxxxx nezbytných xxxxxx xxxx xxxxxx xxxxxxxxx xxxxxx do xxxxxxxxxxxx xxxxxx postihujícího xxxx než 25&xxxx;000 xxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx málo xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxx častější xxx xxxxxx xx 5 xxx. |
|
Xxxxxxx |
Xxxxxx je xxxx xxxxxxxxxxxxx xx pravděpodobná. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x xxxxxxx xx 1 xxxx xx 5 xxx. |
|
Xxxxxx |
Xxxxxx xx pravděpodobná až xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx x xxxxxxx xx 1 xxxxxx xx 1 roku. |
|
Kritická |
Hrozba xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. Xxxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxx xxx jednou xx xxxxx. |
|
Xxxxxxxx pro xxxxxxxxx xxxxxxxxxxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx xxxx xx xxxxxxxx xxxxxxxxxxxxx málo pravděpodobné. Xxxxxxxx xxxxxxxx bezpečnostní xxxxxxxx, které jsou xxxxxxx xxxx detekovat xxxxx xxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxx opatření. |
|
Střední |
Zranitelnost xx xxxx xxxxxxxxxxxxx až xxxxxxxxxxxxx. Xxxxxxxx kvalitní xxxxxxxxxxxx xxxxxxxx, xxxxxxx xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx bezpečnostních xxxxxxxx xxxx xxxxxxxxx xxxxx slabiny xxxx xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx je xxxxxxx. Xxxxxx známé xxxxx úspěšné xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxxxxxx je xxxxxxxxxxxxx xx velmi xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x není xxxxxxxxxx kontrolována. Jsou xxxxx xxxxx xxxxxxx xxxxxx o xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx xx xx xxxxxxxx jisté xxxxxxxx. Bezpečnostní xxxxxxxx xxxxxx xxxxxxxxxxx anebo xx xxxxxx xxxxxxxx xxxxxx xxxxxxx. Neprobíhá xxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx. Jsou známé xxxxxxx xxxxxx překonání xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx xxx xxxxxxxxx xxxxx |
|
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx v případě xxxxx xxxxxxxxxx xxxxxxxx xx xxxxxx přijatelné. |
|
Vysoké |
Riziko xx xxxxxxxxxx xxxxxxxxxxx x musí xxx xxxxxxxx xxxxxxxxxxxx xxxxx x jeho xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxxxxxxxx x xxxx xxx neprodleně xxxxxxxx kroky x xxxx odstranění. |
V xxxxxxx, xx orgán xxxx xxxxx uvedená x §3 xxxx. c) xx x) zákona xxxxxxx metodu xxx xxxxxxxxxxxx x hodnocení xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx hrozby x xxxxxxxxxxxxx, xx xxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxx xx nemělo vést xx ztrátě xxxxxxxxxx xxxxxxxxx míry hrozby x xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx xxxxxx například komentář, xxxxx zřetelně xxxxxxx xxx xxxxxx hrozby, xxx x xxxxxx xxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx x xxxxx xxxx xxxxx xxxxxxx x §3 písm. c) xx e) xxxxxx, xxxxx xxxxxxx xxxx xxxxx úrovní xxx xxxxxxxxx xxxxxx, xxxxxx, xxxxxxxxxxxxx a rizik.
Příloha č. 3 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxx
x) Xxxxxxx x proudové xxxxx xxx xxxxxxx xxxxxxxxxx x xxxxxxxxx
1. Xxxxxxxx Xxxxxxxxxx Xxxxxxxx (AES) x využitím délky xxxxx 128, 192 x 256 bitů Xxxxxx Data Xxxxxxxxxx Xxxxxxxx (3XXX) s xxxxxxxx xxxxx klíčů 168 bitů, xxxxxxx xxxxxxx xxx se xxxxxxxxx klíče menším xxx 10 XX, xxxxxxxx xxxxxxxxx xx XXX.
2. Xxxxxx Data Xxxxxxxxxx Xxxxxxxx (3XXX) x využitím délky xxxxx 112 xxxx, xxxxxxx xxxxxxx jen xx xxxxxxxxx klíče xxxxxx xxx 10 XX, xxxxxxxx xxxxxxxxx xx XXX. Xxxxxxxxxx xxxxxxx jedinečného xxxxx xxx každou xxxxxx.
3. Xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxx klíčů 128 xxxx, xxxxxxx xxxxxxx xxx se xxxxxxxxx klíče xxxxxx xxx 10 XX.
4. Xxxxxx x xxxxxxxx xxxxx xxxxx 128 xxxx, xxxxxxx použití xxx se xxxxxxxxx xxxxx xxxxxx xxx 10 GB.
5. Xxxxxxx x využitím xxxxx xxxxx 128 xx 256 bitů.
6. Xxxxxxx x xxxxxxxx xxxxx xxxxx 128, 192, 256 bitů.
7. Camellia x využitím xxxxx xxxxx 128, 192 x 256 bitů.
8. XXXX 2.0, XXXX 3X x xxxxxxxx xxxxx xxxxx 128, 256 bitů.
b) Módy xxxxxxxxx s ochranou xxxxxxxxx
1. XXX,
2. XXX,
3. XXX,
4. Xxxxxxx schémata xxxx "Xxxxxxx-xxxx-XXX".
Xxxxxxxx:
Xxxxxxxx typu "Xxxxxxx-xxxx-XXX",xxxx xxxxxxxx x xxxxxxxxx xxxxx xxxxxxx xxxxxxxxx xxxx a x xxxxxxx XXX xxxxx xxxxxxx xxxx xxx xxxxxxx xxxxxxxxx.
x) Xxxx xxxxxxxxx
1. CTR,
2. XXX,
3. XXX,
4. XXX,
Xxxxxxxx:
Xxxx XXX x XXX xxxx být xxxxxxx x náhodným, pro xxxxxxxx xxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxxx xxxx XXX xx xxx daný xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxxx vektoru, při xxxxxxx xxxx CTR xx xxx xxxx xxxx nesmí xxxxxxxx xxxxxxx čítače, x xxxxxxx xxxxxxx CBC xxxx x šifrování xxx ochrany xxxxxxxxx xx xxxxx xxxxxx xxxxxxxx proti xxxxx xx padding XXX xxxx.
x) Módy xxx xxxxxxx xxxxxxxxx
1. HMAC,
2. XXX-XXX-X9.19, xxxxxxx xxxxxxx xxx xx xxxxxxxxx xxxxxx xxx 109 XXX,
3. CBC-MAC-EMAC,
4. XXXX.
(2) Xxxxxxxxxxx xxxxxxxxx
x) Xxx xxxxxxxxxxx digitálního podpisu
1. Xxxxxxx Xxxxxxxxx Xxxxxxxxx (XXX) x xxxxxxxx xxxxx xxxxx 2048 xxxx x xxxx, xxxxx parametru xxxxxxxx xxxxxxxx 224 bitů x xxxx.
2. Xxxxxxxx Xxxxx Xxxxxxx Signature Xxxxxxxxx (XX-XXX) x xxxxxxxx xxxxx xxxxx 224 bitů a xxxx.
3. Rivest-Shamir-Adleman Xxxxxxxxxxxx Xxxxxxxxx Xxxxxx (RSA-PSS) x využitím xxxxx xxxxx 2048 xxxx x xxxx.
x) Xxx xxxxxxx dohod xx xxxxx x xxxxxxxxx xxxxx
1. Xxxxxx-Xxxxxxx (DH) x využitím xxxxx xxxxx 2048 xxxx x xxxx, xxxxx xxxxxxxxx cylické xxxxxxxx 224 xxxx x xxxx.
2. Elliptic Xxxxx Xxxxxx-Xxxxxxx (XXXX) x xxxxxxxx xxxxx xxxxx 224 xxxx x xxxx.
3. Elliptic Curve Xxxxxxxxxx Encryption System - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (ECIES-KEM) x xxxxxxxx délky xxxxx 256 xxxx x xxxx.
4. Xxxxxxxx Xxxxxx Xxxxxxxx Xxxxx - Xxx Xxxxxxxxxxxxx Xxxxxxxxx (XXXX-XXX) x xxxxxxxx xxxxx klíčů 256 xxxx xxxx.
5. Xxxxxxxxx Xxxxxxx and Xxx Xxxxxxxxxxxxx Mechanism (XXX-XXX) x využitím xxxxx xxxxx 256 bitů x xxxx.
6. Rivest Xxxxxx Xxxxxxx - Xxxxxxx Xxxxxxxxx Encryption Xxxxxxx (XXX-XXXX) x xxxxxxxx délky xxxxx 2048 x xxxx.
7. Xxxxxx Xxxxxx Xxxxxxx - Key Encapculation Xxxxxxxxx (RSA-KEM) s xxxxxxxx xxxxx klíčů 2048 x xxxx.
(3) Xxxxxxxxx xxxx funkcí
a) XXX-2
1. SHA-224,
2. XXX-256,
3. XXX-384,
4. XXX-512,
5. XXX-512/224,
6. XXX-512/256.
x) SHA-3
1. XXX3-224,
2. XXX3-256,
3. SHA3-384,
4. SHA3-512,
5. XXXXX-128,
6. XXXXX-256.
x) Xxxxxxx xxxxxxxx funkce
1. Xxxxxxxx,
2. XXXXXX-160,
3. XXX 1 x xxxxxxxx použitím.
Poznámka x. 1:
XXX-1 xx xxxxx používat xxx xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxx, xxxxxxxx razítek, xxxxxxxxx xxxx xxxxxxxx xxxxxxxxxx nekolizní XXX-1.
Xxxxxxxx x. 2:
XXX-1 xxx xxxxxxxx xxxxx xxx xxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxx, generování x ověřování HMAC-SHA1, xxxxxx pro odvozování xxxxx x pseudonáhodné xxxxxxxxxx.
Xxxxxxx x. 4 x xxxxxxxx č. 316/2014 Sb.
Struktura xxxxxxxxxxxx xxxxxxxxxxx
Xxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxxxxx struktury xxxxxxxxxxxx xxxxxxxxx zahrnují xxxxxx, xxxxx xxxxxxxxxx xxxxxxxxx podle xxxx xxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx a xx na xxxxxx xxxx xxxxx uvedené x §3 xxxx. x) xx x) xxxxxx, jaký xxxxxxx x tvorbě xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx. Xxxxxxxxx xx i xxxxx xxxxx jednotlivých dokumentů xxxx xxxxxxxxxxx xxxx xxxxx xx jednoho xxxxxxxxx.
X. Struktura bezpečnostní xxxxxxxx
(1) Xxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxx, principy x xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Rozsah x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxx dokumentace.
d) Pravidla x xxxxxxx xxx xxxxxx zdrojů a xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x postupy pro xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Pravidla a xxxxxxx xxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx nápravná xxxxxxxx x zlepšování xxxxxxx řízení bezpečnosti xxxxxxxxx.
(2) Politika organizační xxxxxxxxxxx**
[§5 xxxx. 1 xxxx. b), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx bezpečnostních xxxx x xxxxxx xxxx a xxxxxxxxxx,
1. xxxxx x povinnosti xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
2. xxxxx a xxxxxxxxxx xxxxxxxxxx kybernetické xxxxxxxxxxx,
3. xxxxx a xxxxxxxxxx xxxxxxxx kybernetické xxxxxxxxxxx,
4. xxxxx x xxxxxxxxxx xxxxxxx aktiv,
5. xxxxx x xxxxxxxxxx výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxx na xxxxxxxx výkonu činností xxxxxxxxxxxx bezpečnostních rolí.
(3) Xxxxxxxx řízení dodavatelů**
[§5 xxxx. 1 písm. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxx x principy xxx xxxxx xxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxx xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx x úrovni xxxxxx x způsobů x úrovní xxxxxxxxx xxxxxxxxxxxxxx opatření x x xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Pravidla xxx xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxx hodnocení xxxxxxxxxx.
(4) Xxxxxxxx xxxxxxxxxxx xxxxx**
[§5 odst. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxxxxxxx, hodnocení x xxxxxxxx xxxxxxxxxx xxxxx
1. určení a xxxxxxxx jednotlivých xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. hodnocení xxxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx a xxxxxxxx xxxxxxxxxx aktiv
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx xxxxx xxxx xxxxxxxxxx a xxxxxxxxxx aktivy.
c) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. způsoby xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx manipulaci x xxxxxxxx xxxxx xxxxx úrovní xxxxx,
3. xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx.
(5) Xxxxxxxx bezpečnosti lidských xxxxxx**
[§5 xxxx. 1 xxxx. e), §5 xxxx. 2 xxxx. x)]
x) Pravidla rozvoje xxxxxxxxxxxxxx povědomí x xxxxxxx xxxx xxxxxxxxx
1. xxxxxxx a xxxxx xxxxxxx uživatelů,
2. xxxxxxx x formy xxxxxxx xxxxxxx xxxxx,
3. způsoby x formy xxxxxxx xxxxxxxxxxxxxx,
4. způsoby a xxxxx poučení xxxxxxx xxxx zastávajících xxxxxxxxxxxx xxxx.
x) Bezpečnostní školení xxxxxx xxxxxxxxxxx.
x) Pravidla xxx xxxxxx případů xxxxxxxx bezpečnostní xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxx pracovního vztahu xxxx xxxxx xxxxxxxx xxxxxx.
1. xxxxxxx xxxxxxxxx xxxxx a odebrání xxxx při ukončení xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx oprávnění při xxxxx xxxxxxxx xxxxxx.
(6) Xxxxxxxx xxxxxx provozu x xxxxxxxxxx**
[§5 xxxx. 1 xxxx. f), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxxx x odpovědnosti spojené x xxxxxxxxx provozem.
b) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxx xxxxxxxxxxx zranitelností.
e) Xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
(7) Xxxxxxxx xxxxxx xxxxxxxx**
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 písm. x)]
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx xx xxxx).
x) Xxxxxxxxx xx xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxx řízení xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx přístupu xxx mimořádné xxxxxxx.
x) Xxxxxxxxxx přezkoumání xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx v xxxxxxxxxxxx xxxxxxxxx.
(8) Xxxxxxxx xxxxxxxxxx chování xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxx x aktivy.
b) Xxxxxxxx použití přístupového xxxxx.
x) Bezpečné použití xxxxxxxxxxxx xxxxx x xxxxxxxx xx internet.
d) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx xxxxxxx xx xxxxxxxxxx sítích.
f) Xxxxxxxxxx xx xxxxxx x xxxxxxxx xxxxxxxxx.
(9) Xxxxxxxx xxxxxxxxxx a xxxxxx**
[§5 xxxx. 1 písm. x), §5 odst. 2 písm. x)]
x) Xxxxxxxxx na xxxxxxxxxx x obnovu.
b) Pravidla x xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx bezpečného xxxxxxx xxxxx.
x) Pravidla x xxxxxxx xxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxx xxxxxxxxxx a xxxxxx.
(10) Xxxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxx xxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Pravidla a xxxxxxx pro ochranu xxxxxxxxxxx xxxxxxxxx.
x) Způsoby xxxxxxx xxxxxxxxxxxx výměny xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
(11) Xxxxxxxx řízení xxxxxxxxxxx xxxxxxxxxxxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx xxx omezení xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x xxxxxxx vyhledávání xxxxxxxxx xxxxxxxxxxxx balíčků,
c) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
(12) Xxxxxxxx xxxxxxxxxx xxxxxxxxx mobilních xxxxxxxx*
[§5 xxxx. 1 xxxx. 1)]
x) Pravidla x xxxxxxx xxx xxxxxxxx xxxxxxxxx mobilních xxxxxxxx.
x) Pravidla a xxxxxxx pro xxxxxxxxx xxxxxxxxxxx zařízení, xxxxxxx xxxxx x xxxxx xxxxxxx v §3 xxxx. c) x x) xxxxxx xxxxxxxxxxx.
(13) Xxxxxxxx poskytování a xxxxxxxx xxxxxxx programového xxxxxxxx a xxxxxxxxx*
[§5 xxxx. 1 xxxx. x), §5 odst. 2 xxxx. j)]
a) Xxxxxxxx x postupy xxxxxxxx programového vybavení x xxxx xxxxxxxx.
x) Xxxxxxxx x postupy xxx kontrolu xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
(14) Politika xxxxxxxxxxxx xxxxxxxx a xxxxxxxxx informací*
[§5 odst. x písm. n)]
a) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxxx.
x) Ochrana xxxxxxxxxxxxx xxxxxxxxx a xxxxxxx.
x) Xxxxxxxx xxxxxxxx k xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx.
(15) Xxxxxxxx xxxxxxx xxxxxxxx údajů*
[§5 xxxx. x xxxx. x), §5 odst. 2 xxxx. x)]
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx osobních údajů.
b) Xxxxx xxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx osobních xxxxx.
x) Popis xxxxxxxxx x provedených technických xxxxxxxx pro xxxxxxx xxxxxxxx xxxxx.
(16) Politika xxxxxxx bezpečnosti**
[§5 xxxx. x xxxx. x)]
x) Xxxxxxxx pro xxxxxxx xxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx vstupu osob.
c) Xxxxxxxx pro xxxxxxx xxxxxxxx.
x) Xxxxxxx narušení xxxxxxx bezpečnosti.
(17) Politika xxxxxxxxxxx xxxxxxxxxxx xxxx**
[§5 xxxx. 1 xxxx. x)]
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxx.
x) Xxxxxx xxxx x xxxxxxxxxx xx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx řízení xxxxxxxx x rámci xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxxxx k xxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxxxxx xxxx x vyhodnocování xxxxxxxxxx xxxxxxx.
(18) Politika xxxxxxx před xxxxxxxxx xxxxx*
[§5 odst. x xxxx. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxx vnitřní x xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx pro ochranu xxxxxxxxxx xxxxxx.
(19) Politika xxxxxxxx a používání xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 písm. x), §5 xxxx. 2 xxxx. x)]
x) Xxxxxxxx x postupy xxxxxxxx nástroje xxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx xxxxxxxxxxxxx x xxxxxxxxx xx detekované xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
(20) Xxxxxxxx využití a xxxxxx xxxxxxxx pro xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx**
[§5 xxxx. 1 písm. x)]
x) Pravidla x xxxxxxx pro xxxxxxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx pravidelné xxxxxxxxxxx pravidel xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx pro optimální xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx pro xxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
(21) Xxxxxxxx xxxxxxxxxx používání xxxxxxxxxxxxxx xxxxxxx**
[§5 odst. 1 xxxx. u), §5 xxxx. 2 xxxx. x)]
x) Xxxxxx xxxxxxx x xxxxxxx na xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx ochrany informací
1. xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx,
2. při xxxxxxx na mobilní xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxx nosič xxx,
x) Xxxxxx xxxxxx klíčů.
II. Xxxxxxxxx xxxxx xxxxxxxxxxx
(1) Xxxxxx z auditu xxxxxxxxxxxx xxxxxxxxxxx**
[§28 xxxx. 1 xxxx. x)]
x) Xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Kritéria xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx x osob, xxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx x xxxxx, xxx xxxx xxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Zjištění z xxxxxx xxxxxxxxxxxx bezpečnosti.
g) Xxxxxx xxxxxx kybernetické xxxxxxxxxxx.
(2) Xxxxxx x xxxxxxxxxxx systému řízení xxxxxxxxxxx informací**
[§28 xxxx. 1 xxxx. x)]
x) Xxxxxxxxxxx opatření x xxxxxxxxxxx xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) Xxxxxxxxxxxx xxxx x xxxxxxxxx, které xxxxx xxx xxxx xx xxxxxx řízení bezpečnosti xxxxxxxxx.
x) Xxxxxx xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x xxxxxxxx xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx cílů xxxxxxxxxxx,
x) Xxxxxxxx hodnocení xxxxx x xxxx xxxxx xxxxxxxx xxxxx.
x) Identifikace xxxxxxxx pro xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx opatření x xxxx zajišťujících xxxxx jednotlivých xxxxxxxx.
(3) Xxxxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx x xxx xxxxxxxxxxxx x hodnocení xxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 písm. x)]
x) Xxxxxx stupnice xxx xxxxxxxxx primárních aktiv
1. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx důvěrnosti xxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxx xxxxx,
3. určení xxxxxxxx xxx xxxxxxxxx xxxxxx dostupnosti xxxxx.
x) Xxxxxx stupnice xxx xxxxxxxxx xxxxx
1. určení xxxxxxxx xxx hodnocení xxxxxx xxxxxx,
2. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
3. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxx,
x) Metody x přístupy pro xxxxxxxx xxxxx.
x) Způsoby xxxxxxxxxxx přijatelných xxxxx.
(4) Xxxxxx x xxxxxxxxx xxxxx x xxxxx**
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. x)]
x) Xxxxxxx primárních aktiv
1. xxxxxxxxxxxx a xxxxx xxxxxxxxxx xxxxx,
2. určení xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxxxxx primárních xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti.
b) Xxxxxxx xxxxxxxxxx xxxxx (xxxxxxx xxx orgány x osoby xxxxxxx x §3 písm. x) xxxxxx)
1. xxxxxxxxxxxx x xxxxx podpůrných xxxxx,
2. xxxxxx garantů xxxxxxxxxx xxxxx,
3. xxxxxx xxxxx xxxx primárními x xxxxxxxxxx xxxxxx,
x) Xxxxxxxxxxxxxx a hodnocení xxxxx
1. posouzení možných xxxxxx xx aktiva,
2. xxxxxxxxx existujících hrozeb,
3. xxxxxxxxx existujících xxxxxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx této xxxxxx x xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
5. xxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxx.
x) Zvládání xxxxx
1. xxxxx xxxxxxx zvládání xxxxx,
2. xxxxx xxxxxxxx x xxxxxx xxxxxxxxx.
(5) Xxxxxxxxxx x xxxxxxxxxxxxxxxx*
[§28 xxxx. 1 písm. x), §28 xxxx. 2 písm. x)]
x) Xxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx včetně xxxxxxxxxx xxxxxx xxxxxx x xxxxxx xxxxx na xxxxxxxxxxxxxx xxxxxx.
x) Xxxxxxx xxxxxxxxxx bezpečnostních opatření.
(6) Xxxx xxxxxxxx rizik**
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. e)]
a) Xxxxx a cíle xxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx rizik.
b) Xxxxxxxx xxxxxx xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx zvládání rizik.
c) Xxxxx zajišťující xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxxxx zavedení xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
(7) Xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx*
[§28 xxxx. 1 xxxx. x), §28 xxxx. 2 xxxx. f)]
a) Xxxxx x termíny xxxxxxx xxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxx xxxxx (xxxxxxx xxx xxxxxx x xxxxx xxxxxxx v §3 písm. x) xxxxxx).
x) Xxxxx a xxxxxxx xxxxxxx administrátorů (xxxxxxx xxx orgány x xxxxx xxxxxxx x §3 písm. x) zákona).
d) Xxxxx x xxxxxxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxx x xxxxxxx poučení xxxxxx xxxxxxxxxxx.
x) Xxxxx x způsoby hodnocení xxxxx.
(8) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů**
[§28 odst. 1 písm. x), §28 xxxx. 2 xxxx. x)]
x) Xxxxxxxxxx xxxxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla a xxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxx zlepšování xxxxxxxxxxxx bezpečnosti.
(9) Xxxxxxxxx xxxxxx kontinuity činností**
[§28 xxxx. 1 písm. x), §28 xxxx. 2 xxxx. h)]
a) Xxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Cíle xxxxxx kontinuity činností
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx,
2. doba xxxxxxxx xxxxx,
3. xxx obnovení xxxxx.
x) Xxxxxxxxx řízení xxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx xxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxx rizik.
e) Xxxxxx a xxxxx xxxxxxxxxx xxxxx xxxxxxxxxx.
x) Xxxxxxx xxx realizaci xxxxxxxx xxxxxxxx Xxxxxxxx xxxxxxxxxxxxx xxxxxx.
(10) Xxxxxxx xxxxxx závazných právních xxxxxxxx, xxxxxxxxx xxxxxxxx x jiných xxxxxxxx x xxxxxxxxx závazků*
[§28 xxxx. 1 xxxx. x), §28 odst. 2 xxxx. x)]
x) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxx.
Xxxxxxxx:
* Očekávaná xxxxxxxxx dokumentu je xx xxxxxx xxxxxxx xxxxx xxxxxxxx xxxxxxx x příloze č. 1: Xxxxxxxxx x úroveň xxxxx.
** Xxxxxxxxx xxxxxxxxx dokumentu xx xx xxxxxx xxxxxx podle stupnice xxxxxxx x příloze č. 1: Xxxxxxxxx x xxxxxx xxxxx.
Xxxxxxx x. 5 x xxxxxxxx č. 316/2014 Xx.
Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 6 x xxxxxxxx č. 316/2014 Sb.
Formulář xxxxxxxx x provedení reaktivního xxxxxxxx x jeho xxxxxxxx
Vyplnitelný formulář ve formátu PDF
Xxxxxxx x. 7 x vyhlášce x. 316/2014 Xx.
Xxxxxxxx pro xxxxxxx xxxxxxxxxxx údajů
Vyplnitelný formulář ve formátu PDF
Informace
Právní xxxxxxx x. 316/2014 Sb. xxxxx xxxxxxxxx xxxx 1.1.2015.
Xx xxx xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxx xx xxxxxxxxx.
Xxxxxx xxxxxxx x. 316/2014 Sb. xxx xxxxxx xxxxxxx xxxxxxxxx č. 82/2018 Sb. x xxxxxxxxx xx 28.5.2018.
Xxxxx xxxxxxxxxxxx xxxxxxxx norem xxxxxx xxxxxxxx předpisů x xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx derogační xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) XXX/XXX 27001:2013, xxxxxxxx XXX XXX/XXX 27001:2014