Právní předpis byl sestaven k datu 02.10.2024.
Zobrazené znění právního předpisu je účinné od 28.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
XXXXXXXX
xx xxx 21. xxxxxx 2018
o xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxx podání x xxxxxxx kybernetické bezpečnosti x likvidaci xxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx úřad xxx xxxxxxxxxxxxx x informační xxxxxxxxxx stanoví xxxxx §28 odst. 2 xxxx. a) xx x) x f) xxxxxx x. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx x o xxxxx souvisejících xxxxxx (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), xx xxxxx xxxxxx č. 104/2017 Xx. x xxxxxx x. 205/2017 Sb., (xxxx jen "xxxxx"):
XXXX PRVNÍ
ÚVODNÍ USTANOVENÍ
§1
Předmět xxxxxx
Xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx Evropské xxxx1) a xxx xxxxxxxxxx xxxxxx kritické xxxxxxxxxx infrastruktury, xxxxxxxxxxx xxxxxx kritické informační xxxxxxxxxxxxxx, xxxxxxxx xxxxxxxxxx xxxxxx, informační xxxxxx xxxxxxxx xxxxxx xxxxx xxxxxxxxxx systém xxxx xxx xxxxxxxxxxxxxx komunikací, xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx služeb, (dále xxx "xxxxxxxxxx x xxxxxxxxxxx xxxxxx") xxxxxxxx
x) xxxxx x strukturu xxxxxxxxxxxx dokumentace,
b) xxxxx x xxxxxx bezpečnostních xxxxxxxx,
x) xxxx, xxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,
x) xxxxxxxxxxx x xxxxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx oznámení x xxxxxxxxx xxxxxxxxxxx xxxxxxxx a xxxx xxxxxxxx,
x) xxxx oznámení xxxxxxxxxxx xxxxx x xxxx xxxxx x
x) xxxxxx xxxxxxxxx xxx, xxxxxxxxxx údajů, xxxxxxxxx x jejich xxxxx.
§2
Vymezení xxxxx
Xxx xxxxx xxxx vyhlášky se xxxxxx
x) xxxxxxxxxxxxxxx xxxxx xxxxxxxxxxx správu, xxxxxx, xxxxxxx, údržbu x xxxxxxxxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxxxx rizikem riziko, xxxxx xx xxxxxxxxxx xxx xxxxx xxxx xxxxx, xxxxx jsou xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx podle xxxxxx, (xxxx jen "xxxxxxx xxxxx") x není xxxxx xxx zvládat xxxxxx dalších xxxxxxxxxxxxxx xxxxxxxx,
x) bezpečnostní xxxxxxxxx xxxxxx xxxxx a xxxxxxxx, xxxxx určují xxxxxx xxxxxxxxx xxxxxxx xxxxx,
x) xxxxxxxxxx xxxxx xxxxxxx proces xxxxxxxxxxxx, xxxxxxx x xxxxxxxxxxx xxxxx,
x) hrozbou potenciální xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu, xxxxx xxxx způsobit xxxxx,
x) xxxxxxxxx xxxxxxx technické xxxxxxx, zaměstnanci x xxxxxxxxxx xxxxxxxxxx xx xx provozu, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) primárním xxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxxx nebo xxxxxxxxx informační a xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxx, xx určitá xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxx x způsobí xxxxx,
x) xxxxxxx xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx a xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxx, sdílení xxxxxxxxx x xxxxxx x xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) systémem xxxxxx bezpečnosti xxxxxxxxx xxxx xxxxxxx xxxxxx xxxxxxx xxxxx xxxxxxxx xx xxxxxxxx k xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxxx xxxxxxxx, xxxxxxxx, xxxxxxxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, udržování x xxxxxxxxxx xxxxxxxxxxx informací x xxx,
x) xxxxxxxxxx xxxxxxx takové xxxxxxxxx xxxxxxxx, xxxxxxxxxxx prostředky x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx a komunikačního xxxxxxx x xxxxxxx, xx xxxxxxx xxxx xxxx systémy xxxxxxxx, xxxxxxx selhání může xxx dopad na xxxxxxxxxx a xxxxxxxxxxx xxxxxx,
x) uživatelem xxxxxxx xxxx xxxxxxxxx xxxxx xxxxx xxxxx xxxxxxx xxxx, xxxxx xxxxxxxxx xxxxxx,
x) vrcholovým xxxxxxx xxxxx xxxx xxxxxxx xxxx, které xxxx xxxxxxxx xxxxx, xxxx xxxxxxxxxx orgán xxxxxxx xxxxx,
x) xxxxxxxxx dodavatelem xxxxxxxxxxxx xxxxxxxxxxxx nebo xxxxxxxxxxxxx systému (xxxx xxx "xxxxxxxxxxxx") a xxxxx, kdo x xxxxxxxx xxxxxx xxxxxxxx xx xxxxxxxx xxxxxx, xxxxx je xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxx xxxxx, která má xxxx xxxx mít xxxx xx xxxxxxxxxxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxx xxxxx aktiva xxxx xxxxx místo xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxx xxxxxxxx xxxxxx xxxx xxxx xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX OPATŘENÍ
§3
Systém xxxxxx xxxxxxxxxxx informací
Povinná xxxxx x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací
a) xxxxxxx x ohledem xx požadavky xxxxxxxxx xxxxx x organizační xxxxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, xx kterém xxxx xxxxxxxxxxx části a xxxxxx, jichž se xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,
x) stanoví xxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxx xxxxxxxxx xxxxxx xxxxxxx xxxxxx bezpečnosti informací xx xxxxxxx cílů xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, bezpečnostních xxxxxx x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx bezpečnostní xxxxxxxx,
x) řídí xxxxxx xxxxx §5,
e) xxxxxxx x xxxxxxx bezpečnostní xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, která xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx potřeby, xxxxx x xxxxxxxxxx xx xxxxxx x řízení xxxxxxxxxxx xxxxxxxxx, x xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §30 x xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx (dále xxx "xxxxx xxxxxxxxxxxx bezpečnosti") xxxxx §16,
x) zajistí xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, které obsahuje xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx revize xxxxxxxxx xxxxx, posouzení xxxxxxxx xxxxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx x dopadů xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx xxxxxx xxxxxx xxxxxxxxxxx informací,
h) xxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxx §11 řídí xxxxxxxx xxxxx, xxxxx xxxxx xx xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx systém xxxxxx xxxxxxxxxxx informací x xxxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx s prováděnými xxxxxxxxxx xxxxxxx x
x) xxxx provoz a xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxx xx xxxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxx rizik.
§4
Řízení aktiv
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx pro xxxxxxxxxxxx xxxxx,
x) stanoví xxxxxxxx xxx xxxxxxxxx aktiv xxxxxxx x rozsahu xxxxxxxx x příloze č. 1 x xxxx xxxxxxxx,
x) xxxxxxxxxxxx x xxxxxxx xxxxxx,
x) xxxx a xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx x xxxxxxx xxxxxxxx xxxxxx x xxxxxxxx důvěrnosti, integrity x dostupnosti a xxxxxx xx xx xxxxxxxxxxxx xxxxxx podle xxxxxxx b),
f) xxxx x xxxxxxx vazby xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx x xxxxxxx důsledky závislostí xxxx primárními a xxxxxxxxxx aktivy,
g) hodnotí xxxxxxxx xxxxxx x xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxx x),
x) xx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxx a zavádí xxxxxxxx xxxxxxx xxxxx xxx zabezpečení xxxxxxxxxxxx xxxxxx xxxxx,
x) stanoví xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx x pravidla xxx xxxxxxxxxx s xxxxxx x xxxxxxx xx xxxxxx xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx sdílení x fyzické xxxxxxxxx xxxxx, x
x) určí xxxxxx likvidace xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x jejich xxxxx xxxx xxxxxxxxx technických xxxxxx xxx s xxxxxxx xx úroveň xxxxx v xxxxxxx x přílohou č. 4 k xxxx xxxxxxxx.
(2) Při xxxxxxxxx xxxxxxxxxxx primárních xxxxx xx třeba xxxxxxxx xxxxxxx
x) xxxxxx x xxxxxxxxxx xxxxxxxx xxxxx, xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxxx tajemství,
b) rozsah xxxxxxxxx xxxxxxxx povinností xxxx xxxxxx xxxxxxx,
x) xxxxxx narušení xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxx,
x) poškození veřejných, xxxxxxxxxx nebo ekonomických xxxxx x xxxxx xxxxxxxx ztráty,
e) dopady xx poskytování xxxxxxxxxx xxxxxx,
x) rozsah xxxxxxxx xxxxxxx činností,
g) xxxxxx xx xxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx xxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxx x xxxxxx osob,
i) xxxxxx xx xxxxxxxxxxx vztahy x
x) dopady xx xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
§5
Xxxxxx xxxxx
(1) Xxxxxxx xxxxx x rámci xxxxxx xxxxx v xxxxxxxxxx xx §4
x) xxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx, xxxxxx xxxxxxxxx kritérií xxx xxxxxxxxxxxxxxxx xxxxx,
x) x xxxxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxxx x zranitelnosti; xxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxx x zranitelností xxxxxxxxx x příloze č. 3 x xxxx vyhlášce,
c) xxxxxxx hodnocení xxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 x xxx významných xxxxxxx,
x) xxx xxxxxxxxx xxxxx xxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxxxxx x xxxxxxx možné xxxxxx xx xxxxxx; xxxx rizika xxxxxxx xxxxxxx v xxxxxxx přílohy č. 2 x xxxx xxxxxxxx,
x) zpracuje xxxxxx x xxxxxxxxx xxxxx,
x) xxxxxxxx na základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení xxxxx xxxxxxxxxx o aplikovatelnosti, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx vyhláškou, xxxxx
1. xxxxxx xxxxxxxxxx, xxxxxx xxxxxxxxxx,
2. xxxx xxxxxxxxxx, xxxxxx způsobu plnění,
g) xxxxxxxx x xxxxxx xxxx zvládání xxxxx, xxxxx xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxxxxx xxxxx, určení xxxxx zajišťující prosazování xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik, potřebné xxxxxxxx, technické, xxxxxx x xxxxxxxxxx zdroje, xxxxxx jejich xxxxxxxx, xxxxx xxxxx xxxx xxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními x xxxxxx realizace bezpečnostních xxxxxxxx,
x) při xxxxxxxxx xxxxx a x xxxxx xxxxxxxx xxxxx xxxxxxxx
1. významné xxxxx,
2. xxxxx xxxxxxx systému xxxxxx bezpečnosti informací,
3. xxxxxxxx xxxxx §11 xxxxxx a
4. xxxxxxxxxxxx xxxxxxxxxxxx incidenty, včetně xxxxx xxxxxxxx, x
x) x xxxxxxx x xxxxxx zvládání xxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx.
(2) Xxxxxxx osoba xxxxxxx x §3 xxxx. x), d) x x) xxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx ročně x xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx xxxxxxx xxxxxx za tři xxxx.
(3) Řízení rizik xxxx xxx xxxxxxxxx x xxxxxx způsoby, xxx xxx xx xxxxxxxxx v odstavci 1 xxxx. d), xxxxx xxxxxxx xxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxxx řízení xxxxx.
§6
Xxxxxxxxxxx bezpečnost
(1) Povinná xxxxx s xxxxxxx xx xxxxxx řízení xxxxxxxxxxx informací
a) zajistí xxxxxxxxx bezpečnostní xxxxxxxx x cílů xxxxxxx xxxxxx bezpečnosti informací xxxxx §3 slučitelných xx xxxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací do xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx xxx xxxxxx xxxxxx xxxxxxxxxxx informací,
d) xxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací x xxxxxxx xxxxxxxx shody x xxxx xxxxxxxxx xx xxxxx xxxxxxxxx xxxxxxxx,
x) zajistí xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxxxxx k rozvíjení xxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx a xxxxxxxxx xx při xxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx osoby xxxxxxxxxxx xxxxxxxxxxxx xxxx xxx xxxxxxxxxxx kybernetické bezpečnosti x oblastech xxxxxx xxxxxxxxxxxx,
x) zajistí stanovení xxxxxxxx pro xxxxxx xxxxxxxxxxxxxx x xxxx, xxxxx budou xxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx, xxx byla zachována xxxxxxxxxxx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxx k xxxxxxxxxx jejich rolí x xxxxxx xxxxxxxxxxxxx xxxxx a
l) xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, obnovy a xxxxxxx xxxxxxxxx se xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx osoba x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx složení xxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx a xxxxxxxxxxxx xxxx a xxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxx xx systémem xxxxxx xxxxxxxxxxx informací.
(3) Xxxxxxx xxxxx uvedená x §3 xxxx. x), x) x x) xxxxxx xxxx xxxxx, xxxxx bude xxxxxxxx bezpečnostní roli
a) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxx a
d) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) zákona xxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxxx xxxxxx. Xxxxxxx xxxxxxxxxxxx xxxx xxxxx odstavce 3 určí xxxxxxxxx xxxxxxxx x rozsahu x potřebám systému xxxxxx xxxxxxxxxxx informací.
(5) Xxxxxxx xxxxx uvedená x §3 písm. x), d) x x) zákona zajistí xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx v odstavci 3 písm. a) x x).
(6) Xxxxxxx xxxxx uvedená v §3 xxxx. e) xxxxxx zajistí xxxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(7) Xxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx je xxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxx a xxxxxxxx xxxxxxxxxxxx xxx xxxxxxx xxxxxx x xxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx x xxxxxxx xxxxxxxx xx xxxxxxxxxxxx xx řízení a xxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxx xxxx xxx xxxxxxx xxxxx xxxxxxxx xxxxxxxxxxx vedení xxxx jím xxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxx xxxxx x xxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx uvedeným x příloze č. 6 k xxxx xxxxxxxx.
§7
Xxxxxxxxxxxx role
(1) Manažer xxxxxxxxxxxx bezpečnosti
a) xx xxxxxxxxxxxx role odpovědná xx xxxxxx xxxxxx xxxxxxxxxxx informací, xxxxxxx xxxxxxx xxxx role xxxx xxx pověřena xxxxx, xxxxx xx xxx tuto činnost xxxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x řízením xxxxxxxxxxxx xxxxxxxxxxx xxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx
1. xx dobu xxxxxxx xxx xxx, xxxx
2. xx xxxx jednoho xxxx, pokud absolvovala xxxxxxx na vysoké xxxxx,
x) odpovídá za xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxx o
1. činnostech xxxxxxxxxxxxx z xxxxxxx xxxx odpovědnosti x
2. xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx x
x) xxxxx být xxxxxxx xxxxxxx xxxx xxxxxxxxxxx xx provoz xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxxxx kybernetické xxxxxxxxxxx xx xxxxxxxxxxxx xxxx xxxxxxxxx za xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx tak, xxx xxxx xxxxxxxxx bezpečná xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx, přičemž xxxxxxx xxxx xxxx xxxx xxx pověřena xxxxx, která je xxx xxxx činnost xxxxxxxxx a prokáže xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxx implementace xxxxxxxxxxxxxx opatření x xxxxxxxxxxxx xxxxxxxxxxxx bezpečnosti
a) xx xxxx xxxxxxx xxx let, nebo
b) xx xxxx xxxxxxx xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx xxxxxx xxxxx.
(3) Xxxxxx xxxxxx xx xxxxxxxxxxxx xxxx xxxxxxxxx za zajištění xxxxxxx, použití x xxxxxxxxxx xxxxxx.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) je xxxxxxxxxxxx role xxxxxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, přičemž xxxxxxx této xxxx xxxx xxx xxxxxxxx xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x prováděním xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xx xxxx nejméně xxx xxx, xxxx
2. xx xxxx xxxxxxx xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx xxxxxx xxxxx,
x) xxxxxxxx, že xxxxxxxxx xxxxxx kybernetické bezpečnosti xx xxxxxxxxx, x
x) xxxxx xxx xxxxxxx xxxxxxx xxxxxx bezpečnostních xxxx.
(5) Povinná xxxxx xxx xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxx k xxxxxxxxxxx xxxxxxxx x příloze č. 6 x této xxxxxxxx.
§8
Xxxxxx xxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxx, xxxxx xxxxxxxxxx požadavky xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxx evidenci xxxxx xxxxxxxxxx xxxxxxxxxx,
x) prokazatelně xxxxxxx xxxxxxxxx xxx xxxxxxxx xxxxxxxxxx o xxxxxx xxxxxxxx xxxxx xxxxxxx x),
x) seznamuje xxx dodavatele x xxxxxxxx xxxxx písmene x) x xxxxxxxx xxxxxx xxxxxx pravidel,
e) xxxx rizika spojená x xxxxxxxxxx,
x) v xxxxxxxxxxx s xxxxxxx xxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxx, xxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx v příloze č. 7 x xxxx xxxxxxxx, x
x) xxxxxxxxxx přezkoumává xxxxxx xxxxx s xxxxxxxxxx dodavateli z xxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
(2) Povinná xxxxx x xxxxxxxxxx xxxxxxxxxx xxxx
x) v xxxxx xxxxxxxxxx xxxxxx x xxxx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxx podle přílohy č. 2 k xxxx xxxxxxxx,
x) v rámci xxxxxxxxxxx smluvních xxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x určí xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx pravidelné xxxxxxxxx xxxxx a xxxxxxxxxxx kontrolu xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxx xxxx xxxxxx xxxxx strany x
x) x xxxxxx xx rizika x xxxxxxxx nedostatky xxxxxxx xxxxxx xxxxxx.
(3) Xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 písm. x) xxxx
x) xxxxxxxxxxxx xxxxxxx nebo provozovatele,
b) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
c) xxxxxxxxxxxx xxxxxxxxxx dodavatele,
d) vyrozumění x xxxxxxxxxxx, xx xxxxxxxxx xx xxx xxxxxxx xxxxxxxxx dodavatelem, x xxxxxxxxx xxxx x tom, xx xxxxxxxx xxxxxxxxx je xxxxxxx provozovatelem, x
x) xxxxx pravidel xxxxx xxxxxxxx 1 písm. x).
(4) Xxxxxxx osoba xxxxxxx x §3 xxxx. c) xx x) xxxxxx, xxxxx xx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 xxxx. x), xxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxx x §34.
§9
Bezpečnost lidských xxxxxx
(1) Xxxxxxx xxxxx x xxxxx řízení bezpečnosti xxxxxxxx zdrojů
a) x xxxxxxx na stav x potřeby systému xxxxxx bezpečnosti xxxxxxxxx xxxxxxx plán xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, jehož xxxxx xx zajistit xxxxxxxxxxxx vzdělávání a xxxxxxxxxx xxxxxxxxxxxxxx povědomí x xxxxx xxxxxxxx xxxxx, xxxxx x xxxxxx
1. poučení xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role x xxxxxxxxxx x jejich xxxxxxxxxxxx a x xxxxxxxxxxxx xxxxxxxx x
2. xxxxxxxxxx xxxxxxxxxxxx i xxxxxxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role,
b) xxxx xxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, které xxxx x xxxxx uvedeny,
c) x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx zajistí xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx bezpečnostní xxxx x xxxxxxxxxx o xxxxxx xxxxxxxxxxxx a x bezpečnostní xxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) pro xxxxx zastávající bezpečnostní xxxx x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx odborná xxxxxxx, xxxxxxx xxxxxxx z xxxxxxxxxx xxxxxx xxxxxxx xxxxx x oblasti xxxxxxxxxxxx bezpečnosti,
e) v xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx x xxxxxxx s xxxxxx xxxxxxxx náplní,
f) xxxxxxx xxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx xx xxxxxx xxxxxxxxx, administrátorů x xxxx zastávajících xxxxxxxxxxxx xxxx,
x) x xxxxxxx xxxxxxxx xxxxxxxxx vztahu x xxxxxxxxxxxxxx x xxxxxxx zastávajícími xxxxxxxxxxxx xxxx zajistí předání xxxxxxxxxxxx,
x) xxxxxxx účinnost xxxxx xxxxxxx bezpečnostního xxxxxxxx, xxxxxxxxxxx xxxxxxx x dalších činností xxxxxxxxx xx zlepšováním xxxxxxxxxxxxxx povědomí x
x) xxxx xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxx porušení xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx uživatelů, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxxxx xxxxx xxxx x xxxxxxx xxxxx odstavce 1 xxxxxxxx, které xxxxxxxx předmět xxxxxxx x seznam osob, xxxxx školení xxxxxxxxxxx.
§10
Xxxxxx xxxxxxx a xxxxxxxxxx
(1) Xxxxxxx xxxxx x rámci xxxxxx xxxxxxx a xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x stanoví xxxxxxxx xxxxxxxx x xxxxxxx, které xxxxxxxx xxxxxxx
x) práva x xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) postupy xxx xxxxxxxx a xxxxxxxx chodu xxxxxxx, xxx restart xxxx xxxxxxxx xxxxx xxxxxxx xx selhání a xxx xxxxxxxx xxxxxxxxx xxxxx xxxx xxxxxxxxxxx xxxx,
x) xxxxxxx pro xxxxxxxxx kybernetických bezpečnostních xxxxxxxx x opatření xxx ochranu xxxxxxxx x xxxxxxxx x xxxxxx událostech,
d) pravidla x xxxxxxx xxx xxxxxxx xxxx škodlivým xxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxx na xxxxxxxxx osoby, které xxxx xxxxxxxx výkonem xxxxxxxxx x xxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxxxx provozních xxxx,
x) xxxxxxx xxx xxxxxxxxx, xxxxxxxxx x xxxxxx xxxxxxxx xxxxxxxx x technických xxxxxx,
x) xxxxxxxx x postupy xxx xxxxxxx informací x xxx v xxxxxxx xxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxx x xxxxxxx pro instalaci xxxxxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxx použitelnosti xxxxxxxxxxx xxxxx x
x) xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx.
(2) Xxxxxxx osoba x xxxxx xxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxx pravidla a xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 a xxxx xxxxxxxx x xxxxxxx aktualizuje x xxxxxxxxxxx s xxxxxxxxxxx xxxx plánovanými změnami.
(3) Xxxxxxx xxxxx zajistí xxxxxxxx vývojového, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx.
§11
Xxxxxx xxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx změn x xxxxxxxxxxxx x komunikačního xxxxxxx
x) xxxxxxxxxxx xxxxx xxxxxx změn x
x) xxxxxx xxxxxxxx xxxxx.
(2) Xxxxxxx xxxxx x xxxxxxxxxx xxxx
x) xxxxxxxxxxx xxxxxx řízení,
b) xxxxxxx xxxxxxx xxxxx,
x) přijímá xxxxxxxx xx xxxxxx xxxxxxx xxxxx nepříznivých xxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxxxx politiku a xxxxxxxxxxxx xxxxxxxxxxx,
x) zajistí xxxxxx testování x
x) xxxxxxx xxxxxxx navrácení xx původního xxxxx.
(3) Xxxxxxx osoba xxxxxxx x §3 písm. x), d) x x) xxxxxx xx xxxxxxx xxxxxxxx xxxxxxx xxxxx xxxxx odstavce 2 písm. x) xxxxxxxxx x provedení xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx; pokud xxxxxxxx o provedení xxxxxxxxxxxx xxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxx §25 xxxx. 1 x xxxxxxx xx xxxxxxxx nedostatky.
(4) Xxxxxxx osoba xxxxxxx x §3 písm. x) zákona xx xxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxxxxxxx.
§12
Xxxxxx xxxxxxxx
(1) Xxxxxxx xxxxx na základě xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxx xxxx přístup x informačnímu x xxxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx, xxxxx xxxxxx x xxxxxxxxx xxxxxxx údajů, které xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxx §19 x 20, x xxxxx xxxxx xx xxxxxxxx xxxxxx údajů xxxxxxxxxxxx xxxxxx.
(2) Povinná xxxxx xxxx v xxxxx xxxxxx xxxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx systému
a) xxxx xxxxxxx xx základě xxxxxx x xxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxx x xxxxxxxxx x jedinečný xxxxxxxxxxxxx,
x) xxxx identifikátory, přístupová xxxxx x oprávnění xxxxxxxx x xxxxxxxxxxx xxxx,
x) xxxxxx bezpečnostní xxxxxxxx pro xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxx bezpečné používání xxxxxxxxx zařízení x xxxxxx xxxxxxxxxxx zařízení, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx s xxxxxxxx technických xxxxxxxx, xxxxx xxxxxxx xxxxx xxxx xx xxx xxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx nezbytně xxxxxx x xxxxxx náplně xxxxx,
x) omezí x xxxxxxxxxx xxxxxxxxx programových xxxxxxxxxx, xxxxx xxxxx xxx schopné xxxxxxxx xxxxxxxxx xxxx aplikační xxxxxxxx,
x) xxxxxxxxx x xxxxxxx přístupová oprávnění x souladu x xxxxxxxxx řízení xxxxxxxx,
x) xxxxxxx pravidelné přezkoumání xxxxxxxxx xxxxxxxxx přístupových xxxxxxxxx xxxxxx rozdělení xx xxxxxxxxxxxx xxxxxx x xxxx,
x) xxxxxxx xxxxxxx xxx xxxxxx x ověřování identity xxxxx §19 x xxxxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxx podle §20,
x) xxxxxxxxx, aby xxxxxxxxx xxx xxxxxxxxx xxxxxxxxxx autentizačních informací xxxxxxxxxx stanovené postupy,
l) xxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx oprávnění xxx změně pozice xxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx xxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx role,
m) xxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx xxxx xxxxx xxxxxxxxx xxxxxx x
x) xxxxxxxxxxx přidělování x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx.
§13
Xxxxxxxx, xxxxx a xxxxxx
Xxxxxxx xxxxx v xxxxxxxxxxx s xxxxxxxxxx xxxxxxxx, vývojem x xxxxxxx informačního a xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxx xxxxx §5,
b) xxxx xxxxxxxx xxxxx xxxxx §11,
c) xxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxxx požadavky xx xxxxxxxx akvizice, xxxxxx x údržby,
e) zajistí xxxxxxxxxx vývojového a xxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxxxxx používaných xxxxxxxxxxx dat,
f) xxxxxxx xxxxxxxxxxxx xxxxxxxxx významných xxxx před jejich xxxxxxxxx do xxxxxxx x
x) xxxx požadavek xxxxx §19 odst. 3, xx-xx xxxxx xxxxxxxxx xxxxxxxx xxxx xxxxxx xxxxxxx pro xxxxxx x ověřování xxxxxxxx.
§14
Xxxxxxxx kybernetických bezpečnostních xxxxxxxx a xxxxxxxxx
(1) Xxxxxxx osoba x xxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx xxxxxx xxxxxxx a vyhodnocování xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx a stanoví xxxxxxx pro
1. detekci x vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxx x
2. xxxxxxxxxx x xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxxxxxx xxxxxxx xxx identifikaci, xxxx, xxxxxxx x uchování xxxxxxxxxxx xxxxxxxx potřebných xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxx řídí §22 a 23,
f) xxxxxxx, xx uživatelé, xxxxxxxxxxxxxx, xxxxx zastávající xxxxxxxxxxxx role, xxxxx xxxxxxxxxxx a dodavatelé xxxxx oznamovat xxxxxxxxx xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx a xxxxxxxxx xx jakékoliv xxxxxxxxxxxxx,
x) zajistí xxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxx kterém musí xxx xxxxxxxxxx, xxx xxxx být xxxxxxxxxxxxx xxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx podle §31,
h) xxxxxxx zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx postupů,
i) xxxxxxx xxxxxxxx pro odvrácení x zmírnění xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx podle §32,
x) xxxx xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx x x xxxxxx xxxxxxxx,
x) prošetří x xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu x
x) xxxxxxxxx účinnost řešení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xx xxxxxxx xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxx xxxxxxxxx bezpečnostní xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xxxx xxx xxxxxxx kybernetických bezpečnostních xxxxxxxx používá xxxxxxx xxxxx §24.
§15
Řízení kontinuity xxxxxxxx
Xxxxxxx xxxxx v xxxxx xxxxxx kontinuity xxxxxxxx
x) xxxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) pomocí hodnocení xxxxx x analýzy xxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxx dopady xxxxxxxxxxxxxx bezpečnostních incidentů x xxxxxxx xxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxxx,
x) xx základě xxxxxxx xxxxxxxxx xxxxx x xxxxxxx xxxxxx xxxxx xxxxxxx x) xxxxxxx xxxx řízení xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx úrovně xxxxxxxxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx xxx užívání, xxxxxx a správu xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. xxxx xxxxxxxx xxxxx, xxxxx které xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, a
3. xxxx xxxxxxxx xxx xxxx xxxxxx období, xx xxxxx xxxx xxx zpětně xxxxxxxx xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx xxxx xx xxxxxxx,
x) xxxxxxx xxxxxxxx řízení kontinuity xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx xxxxx xxxxxxx x),
x) vypracuje, xxxxxxxxxxx x xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxx související x xxxxxxxxxxxx informačního x xxxxxxxxxxxxx systému x xxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx xxxxxxxx xxx xxxxxxx odolnosti informačního x komunikačního xxxxxxx xxxx xxxxxxxxxxxxx bezpečnostním xxxxxxxxxx x omezením xxxxxxxxxxx x xxxxxxx xxx tom x xxxxxxxxx podle §27.
§16
Xxxxx xxxxxxxxxxxx bezpečnosti
(1) Xxxxxxx xxxxx x xxxxx auditu kybernetické xxxxxxxxxxx
x) provádí a xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxxxx politiky, včetně xxxxxxxxxxx technické shody, x výsledky xxxxxx xxxxxxxx v plánu xxxxxxx xxxxxxxxxxxxxx povědomí x xxxxx xxxxxxxx xxxxx x
x) posuzuje xxxxxx xxxxxxxxxxxxxx xxxxxxxx x nejlepší xxxxx, xxxxxxxx xxxxxxxx, vnitřními xxxxxxxx, jinými xxxxxxxx x smluvními xxxxxxx xxxxxxxxxxxx xx x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxx xxxxxxxx opatření xxx xxxxxxxxx souladu.
(2) Xxxxx xxxxx xxxxxxxx 1 je xxxxxxxx
x) xxx xxxxxxxxxx změnách, x rámci xxxxxx xxxxxxx,
x) x xxxxxxxxxxxx xxxxxxxxxxx alespoň po 3 xxxxxx v xxxxxxx xxxxxxx osoby xxxxxxx x §3 xxxx. x) xxxxxx x
x) x xxxxxxxxxxxx xxxxxxxxxxx alespoň xx 2 xxxxxx x xxxxxxx xxxxxxx xxxxx xxxxxxxxx v písmenu x).
(3) Není-li x xxxxxxxxxxxx xxxxxxxxx možné xxxxxxx audit x xxxxxxxxxxx podle odstavce 2 písm. x) x x) x xxxxx rozsahu, xx xxxxx audit xxxxxxxx xxxxxxxx po xxxxxxxxxxxxxx xxxxxxx. X takovém xxxxxxx xx nutno xxxxx v celém xxxxxxx xxxxxxx nejpozději xx 5 xxx.
(4) Xxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx prováděn xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx x §7 xxxx. 4, xxxxx xxxxxxxxx hodnotí xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(5) Xxxxxxx xxxxx, xxxxx xx xxxxxxxx provozovatelem, předkládá xxxxxxxx auditu kybernetické xxxxxxxxxxx správci xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx.
XXXXX XX
XXXXXXXXX XXXXXXXX
§17
Xxxxxxx xxxxxxxxxx
Xxxxxxx osoba x xxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxx poškození, xxxxxxx xxxx xxxxxxxx aktiv xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému,
b) stanoví xxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxxx xxxxxx, xx xxxxx xxxx uchovávány x zpracovávány xxxxxxxxx x xxxxxxxx technická xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému, a
c) x fyzického xxxxxxxxxxxxxx xxxxxxxxx stanoveného xxxxx xxxxxxx x) xxxxxx xxxxxxxx opatření x xxxxxxxxx xxxxxxxxxx fyzické xxxxxxxxxxx
1. x xxxxxxxx xxxxxxxxxxxxx xxxxxx,
2. x xxxxxxxx poškození x xxxxxxxxxxxx xxxxxxx x
3. xxx zajištění ochrany xx xxxxxx xxxxxxx x x xxxxx xxxxxxx.
§18
Xxxxxxxxxx komunikačních xxxx
Xxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxx x xxxxxxx xxxxx §3 xxxx. x)
x) zajistí segmentaci xxxxxxxxxxx xxxx,
x) zajistí xxxxxx komunikace x xxxxx xxxxxxxxxxx xxxx x xxxxxxxxx komunikační xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxx dat xxx xxxxxxxxx přístupu, xxxxxxxx xxxxxx xxxx xxx xxxxxxxx xx xxxxxxxxxxx xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxx a
e) xxx xxxxxxxxx xxxxxxxxxx xxxx x pro xxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxxx xxxxxxx xxxxxxx, xxxxx zajistí xxxxxxx integrity xxxxxxxxxxx xxxx.
§19
Xxxxxx a ověřování xxxxxxx
(1) Xxxxxxx xxxxx xxxxxxx xxxxxxx xxx xxxxxx x xxxxxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému.
(2) Xxxxxxx pro správu x xxxxxxx identity xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx zajišťuje
a) ověření xxxxxxxx xxxx xxxxxxxxx xxxxxxx x xxxxxxxxxxx x xxxxxxxxxxxx systému,
b) xxxxxx počtu možných xxxxxxxxxxx xxxxxx x xxxxxxxxxx,
x) odolnost uložených xxxx přenášených xxxxxxxxxxxxxx xxxxx xxxxx neoprávněnému xxxxxxxx x xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxxx údajů xx xxxxx xxxxxx xxxxx xxxxxxx xxxxxx,
x) xxxxxxxx ověření xxxxxxxx xx určené xxxx xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx při xxxxxx xxxxxxxx x
x) xxxxxxxxxxxxxxx správu identit.
(3) Xxxxxxx xxxxx xxx xxxxxxx identity xxxxxxxxx, xxxxxxxxxxxxxx x aplikací xxxxxxx xxxxxxxxxxxx mechanizmus, xxxxx není založený xxxxx na xxxxxxx xxxxxxxxxxxxxx účtu a xxxxx, xxxxx na xxxxxxxxxxxxx autentizaci x xxxxxxx xxxxx xxxxxxx xxxx xxxxxxx.
(4) Xx xxxx splnění xxxxxxxxx xxxxx xxxxxxxx 3 xxxx nástroj xxx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx.
(5) Do xxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx 4 musí xxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx, který xxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxx x heslo, xxxxxxxxx pravidla
a) xxxxx xxxxx alespoň
1. 12 xxxxx u xxxxxxxxx x
2. 17 xxxxx x xxxxxxxxxxxxxx x xxxxxxxx,
x) xxxxxxxxxx xxxxx xxxxx x xxxxx xxxxxxx 64 xxxxx,
x) xxxxxxxxxxx použití xxxxxx x xxxxxxx písmen, xxxxxx x speciálních xxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxx xxxxx, xxxxxxx xxxxxx xxxx xxxxx xxxxxxx hesla xxxxx xxx xxxxxx xxx 30 xxxxx,
x) neumožňující xxxxxxxxxx x administrátorům
1. xxxxxx xx xxxxxxxxxx xxxxxxxxx hesla,
2. tvořit xxxxx xx xxxxxxx xxxxxxxxxxxx opakujících xx xxxxx, xxxxxxxxxxxxxx xxxxx, x-xxxxx, xxxxx systému xxxx xxxxxxxx způsobem x
3. opětovné použití xxxxx xxxxxxxxxxx xxxxx x xxxxxx alespoň 12 předchozích xxxxx x
x) pro povinnou xxxxx xxxxx x xxxxxxxxx xxxxxxxxx xx 18 xxxxxxxx, přičemž xxxx xxxxxxxx xx xxxxxxxxxx xx účty xxxxxxxx k obnově xxxxxxx x xxxxxxx xxxxxxx.
(6) Xxxxxxx xxxxx x případě xxxxxxxxx xxxxxxxxxxx xxxxx účtem x xxxxxx xxxx
x) xxxxxx bezodkladnou xxxxx xxxxxxxxx xxxxx xx xxxx xxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx x xxxxxxxx xxxxxxxx xx xxxx xxxxxx xxxxxxx xxxx xxxxxxxxx xxxxxxx 60 xxxxx od xxxx xxxxxxxxx x
x) xxxxxxx xxxxxx xxxxxxxx tvorby xxxxxxxxxx xxxxx xx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9.
§20
Xxxxxx xxxxxxxxxxxx oprávnění
Povinná xxxxx používá xxxxxxxxxxxxxx xxxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxx, kterým xxxxxxx xxxxxx xxxxxxxxx
x) xxx xxxxxxx k xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) xxx xxxxx xxx, xxxxx xxx x xxxxx oprávnění.
§21
Xxxxxxx před škodlivým xxxxx
(1) Povinná osoba xxxxxxx x §3 xxxx. x), x) x x) zákona x rámci ochrany xxxx xxxxxxxxx kódem
a) x xxxxxxx xx xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxx xxxxxxxx pro xxxxxxxxxxxx automatickou xxxxxxx
1. xxxxxxxxx stanic,
2. xxxxxxxxx xxxxxxxx,
3. xxxxxxx,
4. xxxxxxxx xxxxxxx a xxxxxxxxx xxxxxxxx nosičů,
5. xxxxxxxxxxx xxxx a xxxxx xxxxxxxxxxx sítě x
6. xxxxxxxxx xxxxxxxx,
x) monitoruje x xxxx xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx nosičů,
c) xxxx xxxxxxxxxxx xxxxxxxxx obsahu xxxxxxxxx zařízení x xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxx ke xxxxxxxxx xxxx x
x) xxxxxxx xxxxxxxxxxx a účinnou xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxx.
(2) Povinná xxxxx xxxxxxx v §3 xxxx. x) xxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxx.
§22
Xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému, xxxx xxxxxxxxx a xxxxxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxx provozní xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) na základě xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx xxxxx, x xxxxxxx je xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxx prováděno.
(2) Xxxxxxx xxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxx
x) xxxxxxxxxxxx síťovou xxxxxxxxxxxx xxxxxxxx xxxxxxx, xx-xx x xxxxxxxxxxx xxxx xxxxxx xxxxxxx, který xxxx jeho síťovou xxxxxxxxxxxx,
x) xxxx xxxxxxxxx x bezpečnostních a xxxxxxxxxx xxxxxxxxxx; xxxxxxx xxxxxxxxxxx
1. datum x xxx xxxxxx specifikace xxxxxxxx xxxxx,
2. typ xxxxxxxx,
3. xxxxxxxxxxxx technického xxxxxx, xxxxx činnost xxxxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxx xxxxxx xxxx činnost xxxxxxxxx,
5. xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx původce a
6. xxxxxxxxx xxxx neúspěšnost xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxxx x) x b) xxxx xxxxxxxxxxxx čtením x xxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx
1. xxxxxxxxxxxx a xxxxxxxxxxx xx všem xxxxx, x to xxxxxx xxxxxxxxxxx xxxxxx,
2. xxxxxxxx provedených xxxxxxxxxxxxxx,
3. xxxxxxx x neúspěšné xxxxxxxxxx x xxxx, xxxxxxxxxxx x právy,
4. xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxx přístupových xxxx x xxxxxxxxx,
5. xxxxxxxx uživatelů, xxxxx xxxxx xxx vliv xx xxxxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
6. xxxxxxxx x ukončení xxxxxxxx xxxxxxxxxxx xxxxx,
7. xxxxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx x
8. přístupů k xxxxxxxx x událostech, xxxxxx x manipulaci xx záznamy x xxxxxxxxxx x xxxxx xxxxxxxxx nástrojů xxx xxxxxxxxxxxxx xxxxxxxx a
e) xxxxxxxxxxxxx jednotného času xxxxxxxxxxx aktiv xxxxxxx xxxxxx xx 24 xxxxx.
(3) Xxxxxxx osoba xxxxxxx x §3 xxxx. c), x) x f) zákona xxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx xxxxxxxx 2 nejméně xx xxxx 18 xxxxxx.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) zákona xxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx xx dobu 12 xxxxxx.
§23
Xxxxxxx kybernetických bezpečnostních xxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxxxxxxx xxxx, xxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx systém, xxxxxxx xxxxxxx pro detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx x kontrolu přenášených xxx x rámci xxxxxxxxxxx xxxx a xxxx xxxxxxxxxxxxx sítěmi,
b) xxxxxxx a xxxxxxxx xxxxxxxxxxx dat xx xxxxxxxxx komunikační xxxx x
x) blokování xxxxxxxxx xxxxxxxxxx.
(2) Povinná xxxxx xxxxxxx x §3 xxxx. c), x) x x) xxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí přiměřeně x ohledem na xxxxxxxxxx xxxxx v xxxxx
x) xxxxxxxxx xxxxxx,
x) xxxxxxxxx zařízení,
c) xxxxxxx,
x) xxxxxxxx úložišť x xxxxxxxxx datových nosičů,
e) xxxxxxxx aktivních xxxxx x
x) xxxxxxxxx xxxxx.
§24
Sběr a vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
Xxxxxxx xxxxx xxxxxxx x §3 xxxx. c), x) a x) xxxxxx xxxxxxx xxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx
x) sběr x xxxxxxxxxxxxx událostí zaznamenaných xxxxx §22 x 23,
x) xxxxxxxxxxx x xxxxxxxxxxx souvisejících xxxxxxx,
x) xxxxxxxxxxx informací xxx xxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostech,
d) xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x cílem xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, xxxxxx včasného varování xxxxxxxx xxxxxxxxxxxxxx xxxx,
x) xxxxxxx případů xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx pravidelnou xxxxxxxxxxx nastavení xxxxxxxx xxx
1. xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí a
2. xxxxxx varování a
f) xxxxxxxxx xxxxxxxxx získaných xxxxxxxxx xxx xxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí xxx xxxxxxxxx nastavení xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému.
§25
Xxxxxxxxx bezpečnost
(1) Povinná xxxxx provádí penetrační xxxxx informačního x xxxxxxxxxxxxx systému xx xxxxxxxxx na důležitá xxxxxx, x to
a) xxxx xxxxxx uvedením xx xxxxxxx x
x) x xxxxxxxxxxx x xxxxxxxxx xxxxxx podle §11 odst. 3.
(2) Xxxxxxx osoba dále x xxxxx xxxxxxxxx xxxxxxxxxxx zajistí xxxxxxx xxxxxxx aplikací, xxxxxxxxx x xxxxxxxxx xxxx
x) xxxxxxxxxxxx činností x
x) xxxxxxxx xxxxxxxxxxx činností.
§26
Xxxxxxxxxxxxxx prostředky
Povinná osoba xxx ochranu xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) xxxxxxx aktuálně xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxx,
x) xxxxxxx systém správy xxxxx x xxxxxxxxxxx, xxxxx
1. zajistí xxxxxxxxxx, xxxxxxxxxx, ukládání, změny, xxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxxxxx a xxxxxxxxx xxxxx x
2. umožní xxxxxxxx x xxxxx,
x) xxxxxxxxx xxxxxxxx nakládání x kryptografickými xxxxxxxxxx x
x) xxxxxxxxxx xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx Xxxxxx, xxxxxxxxxx na xxxx xxxxxxxxxxxxx stránkách.
§27
Xxxxxxxxxxx xxxxxx dostupnosti xxxxxxxxx
Xxxxxxx xxxxx xxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxx dostupnosti, xxxxxxx xxxxxxx
x) xxxxxxxxxx informačního x komunikačního xxxxxxx xxx splnění xxxx xxxxx §15,
x) xxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx vůči xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx xxxxx snížit xxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx a
d) xxxxxxxxxx xxxxx xxxxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
§28
Xxxxxxxxxx, xxxxxx x xxxxxxx specifické xxxxxxx
Xxxxxxx xxxxx pro xxxxxxxxx xxxxxxxxxxxx bezpečnosti xxxxxxxxxxxx, xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxx x opatření, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx, které xxxx xxxxxx xx xxxxxxxxxxxx xxxxxxxxx,
x) omezení xxxxxxxxx xxxxxxxx k xxxxxxxxx xxxxxx xxxxxxx x xx xxxxxxxxxxx xxxx,
x) xxxxxxxxx xxxxxxxxxxx sítě xxxxxx xxx xxxx xxxxxxx xx xxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxx x xxxxxx xxxxxxxxxx přístupu x xxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx systémů xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx xxxxxx systémů xx kybernetickém bezpečnostním xxxxxxxxx.
§29
Xxxxxxxxx xxxxxx
(1) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx prováděcího xxxxxxxx Komise (XX) 2018/151 xx xxx 30. ledna 2018, xxxxxx se xxxxxxx xxxxxxxx xxx uplatňování xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Rady (EU) 2016/1148, xxxxx xxx x bližší xxxxxxxxx xxxxx, které xxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx xxxxx, xxxxx xxxx vystaveny xxxx x informační systémy, x parametrů pro xxxxxxxxxx xxxx, zda xx xxxxx incidentu xxxxxxxx; xxxxxxxxxx §3 xx 28 xx xx xxxx xxxxxxxx xxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxx kontaktní xxxxx xxxxx §34 xxxx. 2.
(3) Povinná xxxxx uvedená x §3 xxxx. x) xxxxxx hlásí xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §32 xxxx. 2 x 3.
XXXXX XXX
XXXXXXXXXXXX POLITIKA X XXXXXXXXXXXX XXXXXXXXXXX
§30
Xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
(1) Povinná osoba
a) xxxxxxx bezpečnostní politiku x vede bezpečnostní xxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx v příloze č. 5,
x) xxxxxxxxxx xxxxxxxxxxx bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx a
c) xxxxxxx, xxx xxxx xxxxxxxxxxxx xxxxxxxx x bezpečnostní xxxxxxxxxxx aktuální.
(2) Xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx
x) xxxxxxxx v xxxxxxxx xxxx xxxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx v xxxxx xxxxxxx osoby,
c) přiměřeně xxxxxxxx xxxxxxxx xxxxxxx,
x) xxxxxx,
x) chráněny z xxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x
x) xxxxxx xxx, xxx xxxxxxxxx x nich xxxxxxxx byly úplné, xxxxxxx, snadno identifikovatelné x xxxxxx vyhledatelné.
ČÁST XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§31
Xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx kybernetické xxxxxxxxxxxx incidenty xx xxxxxxxxxxxx xxxxx významnosti xxx zohlednění
a) xxxxxx xxxxxxxxxx v dopadových xxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxx xxxxxxx xxxxx xxxxxx,
x) počtu xxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxx xxxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx a komunikačního xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx informačního x komunikačního systému,
f) xxxxxx xx xxxxxx xxxxxxxxxxx jinými xxxxxxxxxxxx x komunikačními xxxxxxx,
x) xxxxx xxxxxx xxxxxxxxx,
x) xxxxxxxxxxx rozsahu xxxxxxx xxxxxxx x
x) xxxxxxx xxxxxx.
(2) Xxx potřeby xxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx na xxxxxxx xxxxxxxxxx xxxxx xxxxxxxx 1 kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Kategorie XXX - velmi xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, při kterém xx xxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx zásahy xxxxxxx s xxx, xx xxxx xxx xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx dalšímu xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx xxxxxxxxxxxx vzniklých x potenciálních xxxx,
x) Xxxxxxxxx XX - xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, při xxxxxx xx narušena xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx řešení xxxxxxxx xxxxxxxxxx zásahy xxxxxxx x xxx, xx musí xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx kybernetického xxxxxxxxxxxxxx incidentu xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx, xxxx
x) Xxxxxxxxx X - méně xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx kterém dochází x xxxx významnému xxxxxxxx xxxxxxxxxxx poskytovaných xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx xxx xxxxxxxx prostředky xxxxxxx xxxxx šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx xxxx.
(3) Xxxx kybernetických xxxxxxxxxxxxxx incidentů xxxxx xxxxxx jsou
a) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx důvěrnosti xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx narušení integrity xxxxx,
x) kybernetický bezpečnostní xxxxxxxx způsobující xxxxxxxx xxxxxxxxxxx xxxxx, nebo
d) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx dopadů xxxxxxxxx x písmenech x) xx x).
(4) Xxxx xxxxxxxxxx se xxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxxxxx incidenty x xxxxxxx xxxxx uvedené x §3 písm. x) xxxxxx.
§32
Xxxxx a xxxxxxxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Kybernetický xxxxxxxxxxxx xxxxxxxx xx Úřadu xxxxx xx elektronickém xxxxxxxxx xxxxxxxxxxx na xxxxxxxxxxxxx stránkách Xxxxx xxxxxxxx
x) na xxxxxx xxxxxxxxxxxx pošty Úřadu xxxxxxx pro příjem xxxxxxx kybernetických bezpečnostních xxxxxxxxx, xxxxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx,
x) xx xxxxxx xxxxxxxx Xxxxx, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxx rozhraní, pokud xx xxxxxxxxx, jehož xxxxx xx zveřejněn xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx se xxxxxxxxxxxxx xxxxxxxxx XXXX hlásí xx elektronickém xxxxxxxxx xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx provozovatele xxxxxxxxx XXXX xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx národního XXXX xxxxxxx xxx příjem xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, zveřejněnou na xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx datové xxxxxxxx xxxxxxxxxxxxx národního XXXX, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xx xxxxx zaslat i x listinné podobě, xxxxx pouze x xxxxxxxxx, kdy xxxxx xxxxxx žádný xx xxxxxxx xxxxxxxxx x xxxxxxxxxx 1 a 2.
(4) Náležitosti xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) datum x xxx zjištění xxxxxxxxx x
x) popis xxxxxxxxx.
XXXX ČTVRTÁ
REAKTIVNÍ OPATŘENÍ X KONTAKTNÍ XXXXX
§33
Xxxxxxxxx xxxxxxxx
(1) Povinná xxxxx, xxxxx Úřad xxxxxx xxxxxxx reaktivní opatření,
a) xxxxxxx xxxxxxxxx dopady xxxxxxxxxxx opatření xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx x na xxxxxxxx xxxxxxxxxxxx opatření x xxxxxxxxx xxxxx xxxxxxxxx xxxxxx x
x) xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx jeho xxxxx negativní xxxxxx, x určí xxxxxx xxxx xxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx, které Xxxx xxxxxx xxxxxxx xxxxxxxxx xxxxxxxx, xxxxxx xxxxxx xxxxxxxxx reaktivního xxxxxxxx x jeho xxxxxxxx xx formě xxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
§34
Kontaktní údaje
(1) Xxxxxxxxx xxxxx se Úřadu xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx xxxxxxxx
x) xx adresu xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx pro příjem xxxxxxxx kontaktních xxxxx, xxxxxxxxxxx na internetových xxxxxxxxx Xxxxx,
x) do xxxxxx xxxxxxxx Xxxxx, xxxx
x) xxxxxxxxxxxxxxx datového xxxxxxxx, xxxxx xx xxxxxxxxx, xxxxx xxxxx xx xxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Úřadu.
(2) Xxxxxxxxx xxxxx se xxxxxxxxxxxxx národního XXXX xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx provozovatele xxxxxxxxx XXXX xxxxxxx xxx xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, zveřejněnou na xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx provozovatele xxxxxxxxx XXXX.
(3) Hlášení xxxxxxxxxxx xxxxx je xxxxx xxxxxx x x xxxxxxxx xxxxxx, avšak xxxxx x případech, xxx xxxxx xxxxxx xxxxx xx xxxxxxx xxxxxxxxx x odstavcích 1 x 2.
(4) Xxxx xxxxxxxx xxxxxxxxxxx xxxxx xx uveden x příloze č. 8 k xxxx vyhlášce.
(5) Povinná xxxxx uvedená x §3 xxxx. x) xx x) zákona, xxxxx je xxxxxxxxxxxxxx, xxxx k hlášení xxxxxxxxxxx xxxxx xxxxx xxxxxxxx 1 xxxxxxxx xxxxxxxx, kterým xx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §8 xxxx. 1 xxxx. c).
ČÁST PÁTÁ
ZÁVĚREČNÁ USTANOVENÍ
§35
Přechodná xxxxxxxxxx
(1) V xxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxxx systémů xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx xxxx xxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, x x případě xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, u xxxxxxx xxxxx k xxxxxxxx určujících kritérií xxxxx xxxx nabytí xxxxxxxxx xxxx xxxxxxxx, xx xx xxxxxxx xxxx ode dne xxxxxx xxxxxxxxx xxxx xxxxxxxx xxx xxxxx x strukturu xxxxxxxxxxxx xxxxxxxxxxx a obsah x rozsah zavedených xxxxxxxxxxxxxx opatření použijí xxxxxxxxxx vyhlášky č. 316/2014 Sb., x xxxxxxxxxxxxxx opatřeních, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx xxxxxx x oblasti xxxxxxxxxxxx bezpečnosti (xxxxxxxx x kybernetické xxxxxxxxxxx).
(2) X xxxxxxx xxxxxxxxxxxx xxxxxxx kritické informační xxxxxxxxxxxxxx x komunikačních xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx xxxx xxxxxx xxxxx xxxx xxxxxx účinnosti xxxx xxxxxxxx, x x xxxxxxx významných xxxxxxxxxxxx xxxxxxx, x kterých xxxxx x xxxxxxxx xxxxxxxxxx kritérií xxxxx xxxx xxxxxx xxxxxxxxx xxxx vyhlášky, se xx xxxxxxx roku xxx xxx nabytí xxxxxxxxx xxxx vyhlášky xxx xxxxxx likvidace xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx xxxx xxxxxxxx xxxxxxxxx.
§36
Zrušovací xxxxxxxxxx
Xxxxxxx xx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx podání x xxxxxxx kybernetické xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx).
§37
Účinnost
Tato xxxxxxxx xxxxxx xxxxxxxxx xxxx xxxxxxxxx.
Xxxxxxx:
Xxx. Xxxxxxxx x. r.
Příloha x. 1 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx xxxxx
(1) Xxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxx x xxxxx xxxxxxx xxxxxxx xxxxxxxx o xxxxxxx xxxxxxxx a xxxxxxxx xx, jaký dopad xx xxxx xxxxxxxx xxxxxxxxxxx informací u xxxxxxxxxxxx aktiv. Xxxxxxx xxxxx xxxx xxxxxxxx xxxxxxx počet xxxxxx xxx hodnocení důležitosti xxxxx, xxx xxxx xx xxxxxx x xxxx příloze, dodrží-li xxxxxxxxxxx vazby mezi xxxx xxxxxxxxxx způsobem xxxxxxxxx xxxxxxxxxxx aktiv x xxxxxxxxxx x xxxxxxxx xxx hodnocení xxxxxxxxxxx xxxxx, které xxxx uvedeny x xxxx příloze.
(2) Je xxxxxxxxxx, aby xx xxxxx xxxxxxx xxxxx xxxx xxxxxxxx matice xxxxxxxxxxxx svým xxxxxxxx.
Xxx. 1: Stupnice xxx xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Příklady xxxxxxxxx xx ochranu xxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx xxxxxxxxx xxxx xxxx xxxxxx xx xxxxxxxxxx. Xxxxxxxx xxxxxxxxxx aktiv xxxxxxxxxx xxxxxxxxx zájmy xxxxxxx xxxxx. X případě xxxxxxx xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx x xxxxxxx klasifikace podle xxx. xxxxxxx light xxxxxxxxx (xxxx xxx "XXX") je xxxxxxxxx xxxxxxxx XXX:XXXXX. |
Xxxx xxxxxxxxxx xxxxx ochrana. |
|
Xxxxxxx |
Xxxxxx xxxxxx veřejně xxxxxxxxx x xxxxx know-how xxxxxxx xxxxx, xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxx právním xxxxxxxxx xxxx smluvním xxxxxxxxx. X xxxxxxx sdílení xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx xxxxxxx xxxxxxxx XXX:XXXXX xxxx XXX:XXXXX. |
Xxx xxxxxxx důvěrnosti xxxx využívány xxxxxxxxxx xxx xxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx x xxxxxx xxxxxxx je xxxxxxxxxx xxxxxxxx předpisy, xxxxxx xxxxxxxx nebo xxxxxxxxx xxxxxxxxxx (například xxxxxxxx xxxxxxxxx, xxxxxx xxxxx). X xxxxxxx xxxxxxx xxxxxxxx xxxxxx s xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx xxxxxxx xxxxxxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx využívány xxxxxxxxxx, které zajistí xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx xxxxxx kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx nejsou xxxxxxx přístupná a xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxx xxx xxxxx xxxxxxxxx kategorie (například xxxxxxxxxxx obchodní xxxxxxxxx, xxxxxxxx kategorie xxxxxxxx xxxxx). X xxxxxxx sdílení xxxxxxxx aktiva x xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx xxxxxxx xxxxxxxx XXX:XXX xxxx XXX:XXXXX. |
Xxx ochranu xxxxxxxxxx xxxx využívány xxxxxxxxxx, xxxxx xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxx xxxxxx xxxxxxx zabraňující xxxxxxxx xxxxx ze xxxxxx xxxxxxxxxxxxxx. Přenosy xxxxxxxxx xxxx xxxxxxxx pomocí xxxxxxxxxxxxxxxx prostředků. |
Xxx. 2: Xxxxxxxx pro xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx požadavků xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx zájmy povinné xxxxx. |
Xxxx xxxxxxxxxx žádná xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx vyžadovat xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx povinné osoby x může xx xxxxxxxx xxxx xxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu integrity xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (xxxxxxxxx omezení xxxxxxxxxxxx xxxx xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx ochranu x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx aktiva xxxx k xxxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx s podstatnými xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx x zaznamenat xxxxxxxx osoby xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx přenášených xxxxxxxxxxxxx xxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx vede x xxxxx vážnému xxxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx x přímými x xxxxx vážnými xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx integrity xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx jednoznačné xxxxxxxxxxxx xxxxx provádějící xxxxx (xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxx. 3: Xxxxxxxx xxx hodnocení xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxxx dostupnosti xxxxxx xxxx xxxxxxxx x x xxxxxxx xxxxxxx je běžně xxxxxxxxxx xxxxx časové xxxxxx xxx xxxxxxx (xxx xx 1 xxxxx). |
Xxx xxxxxxx dostupnosti xx xxxxxxxxxxx pravidelné xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx nemělo xxxxxxxxx xxxx pracovního dne, xxxxxxxxxxxxx výpadek vede x xxxxxxx ohrožení xxxxxxxxxxx xxxxx povinné xxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx využívány xxxxx xxxxxx zálohování x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx překročit xxxx xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx xx xxxxx řešit xxxxxxxxxx, xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx osoby. Xxxxxx jsou xxxxxxxxxx xx xxxxx xxxxxxxx. |
Xxx xxxxxxx dostupnosti xxxx xxxxxxxxx xxxxxxx systémy x obnova poskytování xxxxxx může xxx xxxxxxxxx zásahy xxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx dostupnosti aktiva xxxx xxxxxxxxx x x xxxxxxxxxx xxxxxxxxxxxx (x xxxx xxxxxxxx xxxxx) vede x xxxxxxx ohrožení xxxxxxxxxxx xxxxx xxxxxxx osoby. Xxxxxx jsou považována xx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx poskytování xxxxxx xx xxxxxxxxxx x xxxxxxxxxxxxxx. |
Příloha x. 2 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx xxxxx
(1) Xxxxxxxxxxx xxxxxxxxx xxxxxx xxx xxxxxx xxxxxx xx xxxxxxxxx součástí xxxxxxxx xxx hodnocení xxxxx podle §5.
(2) Xxxxxxx xxxxxx xx xxxxxxxxxx vyjádřena xxxx xxxxxx, kterou ovlivňuje xxxxx, xxxxxx x xxxxxxxxxxxx.
(3) Xxx xxxxxxxxx xxxxx lze použít xxxxxxxxx xxxx xxxxxx:
Xxxxxx = xxxxx x xxxxxx x zranitelnost.
(4) Xxxxx xx x xxxxx případě xxxxxxx x hodnocení xxxxx xxxxx přílohy č. 1.
(5) V xxxxxxx, že xxxxxxx xxxxx xxxxxxx metodu xxx xxxxxxxxx rizik, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, xx xxxxx stupnice xxx xxxxxxxxx hrozeb x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxx xx xxxxxx xxxx ke xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxx hrozby a xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx xxxxxx xxxxxxxxx xxxxxxxx, který xxxxxxxx xxxxxxx xxx xxxxxx hrozby, tak x úroveň xxxxxxxxxxxxx. Xxxxxxx xx xxxxxxxxx x x xxxxxxxxx, xxx povinná xxxxx xxxxxxx xxxx počet xxxxxx xxx xxxxxxxxx xxxxxx, hrozeb, xxxxxxxxxxxxx x rizik.
Tab. 1: Xxxxxxxx pro hodnocení xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx xxxx xxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xx xxxx xxxxxxxxxxxxx xx pravděpodobná. |
|
Xxxxxx |
Xxxxxx xx pravděpodobná xx xxxxx xxxxxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx pravděpodobná xx xxxxxxxx xxxxx. |
Xxx. 2: Xxxxxxxx xxx xxxxxxxxx zranitelností
|
Úroveň |
Popis |
|
Nízká |
Zranitelnost xxxxxxxxxx nebo je xxxxxxxx zranitelnosti málo xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx opatření, xxxxx xxxx xxxxxxx xxxx xxxxxxxxx xxxxx zranitelnosti xxxx xxxxxxxx pokusy x jejich zneužití. |
|
Střední |
Zneužití xxxxxxxxxxxxx je málo xxxxxxxxxxxxx až xxxxxxxxxxxxx. Xxxx xxxxxxxx bezpečnostní xxxxxxxx, jejichž účinnost xx pravidelně kontrolována. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx nebo xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx xx xxxxxxx. Xxxxxx známé žádné xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxxxx je pravděpodobné xx xxxxx pravděpodobné. Xxxxxxxxxxxx opatření xxxx xxxxxxxx, ale jejich xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx známé xxxxx xxxxxxx xxxxxx x xxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx realizována xxxx xx xxxxxx xxxxxxxx xxxxxx xxxxxxx. Neprobíhá xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Xxxx známé xxxxxxx xxxxxx překonání xxxxxxxxxxxxxx opatření. |
Tab. 3: Xxxxxxxx pro hodnocení xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx je považováno xx xxxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx xxxxxxx méně xxxxxxxxx xxxxxxxxxx xxxx x případě xxxxx xxxxxxxxxx xxxxxxxx xx xxxxxx akceptovatelné. |
|
Vysoké |
Riziko xx xxxxxxxxxx nepřípustné a xxxx xxx zahájeny xxxxxxxxxxxx xxxxx k xxxx odstranění. |
|
Kritické |
Riziko xx xxxxxxxxxxx x musí xxx neprodleně xxxxxxxx xxxxx x jeho xxxxxxxxxx. |
Xxxxxxx x. 3 x xxxxxxxx x. 82/2018 Sb.
Zranitelnosti a xxxxxx
Xxxxxxxxxx: Tato xxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxx x xxxxxx. Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxx xx xxxxxxxxxxxx povinné xxxxx.
Xxxxxxxxxxxxx
1. nedostatečná údržba xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
2. xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
3. xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx uživatelů x xxxxxxxxxxxxxx,
5. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx a komunikačního xxxxxxx,
6. nevhodné xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
7. xxxxxxxxxxxx xxxxxxx při xxxxxxxxxxxxxx x odhalení xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx bezpečnostních incidentů,
8. xxxxxxxxxxxx xxxxxxxxxxxx činnosti xxxxxxxxx x xxxxxxxxxxxxxx x neschopnost xxxxxxx xxxxxx nevhodné nebo xxxxxxx xxxxxxx xxxxxxx,
9. xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxxx vymezení xxxx x povinností xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx,
10. xxxxxxxxxxxx ochrana xxxxx,
11. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
12. nedostatečná míra xxxxxxxxx xxxxxxxx,
13. neschopnost xxxxxxxx odhalení xxxxxxxxx xx strany xxxxxxxxxxx.
Xxxxxx
1. xxxxxxxx bezpečnostní xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
2. poškození xxxx xxxxxxx technického anebo xxxxxxxxxxxx xxxxxxxx,
3. xxxxxxxx xxxxxxxx,
4. užívání programového xxxxxxxx x rozporu x xxxxxxxxxx xxxxxxxxxx,
5. xxxxxxxx xxx (xxxxxxxxx xxxx, xxxxxxx, xxxxxxx xxxx),
6. narušení fyzické xxxxxxxxxxx,
7. přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx komunikací xxxx dodávek xxxxxxxxxx xxxxxxx,
8. xxxxxxxx nebo xxxxxxxxxxx xxxxxxxxxx údajů,
9. xxxxxx, xxxxxxxx nebo xxxxxxxxx xxxxxx,
10. xxxxxxxxxx xxxxxxxxx xxxxxxx xx xxxxxx dodavatele,
11. pochybení xx xxxxxx zaměstnanců,
12. xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
13. xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx služeb xxxxxxxxxxxxxx xxxxxxxxxx, dodávky xxxxxxxxxx xxxxxxx xxxx jiných xxxxxxxxxx služeb,
14. nedostatek xxxxxxxxxxx x potřebnou xxxxxxxx úrovní,
15. xxxxxx xxxxxxxxxxxx útok xxxxxx xxxxxxxxxx xxxxxxxxxxx, použití xxxxxxxxxxx technik,
16. xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx nosičů xxx,
17. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx (odposlech, xxxxxxxxxx).
Příloha x. 4 x xxxxxxxx č. 82/2018 Sb.
Likvidace xxx
(1) Xxxx xxxxxxx xxxxx xxxxxxxxxx správce xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x definování xxxxxxx xxxxxx xxx x xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, informací a xxxxxx xxxxx.
(2) Xxxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx xx xxxxxxx xxxxxxxx xxx xxxxxx xxx a xxxxxxxxx xxxxxxxxxxx nosičů xxx v xxxxxxx x touto xxxxxxxx. Xxx xxxxxx xxxxxxx xxxxxxxxxx podle xxxxxx xxxxxxxx xxxxxxxx. Xx xxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx opatření, xxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxx dat x xxxxxxxxx xxxxxxxxxxx xxxxxx dat, xxxxxxxx x hodnotě x xxxxxxxxxxx aktiv.
(3) Pravidla xxx likvidaci xxx xx xxxx xxx xxxxxxxxx xxxxxxxxx hodnotě x xxxxxxxxxxx xxxxx x xxxx xx xxxxxxx zohledňovat
a) xxxxxxx xxxxxx (zejména x xxxxxxx xxxxxxxxxx),
x) xxxxxxxxxxx (xxxx x xxxxxxxx xxxxxx xxxxxxxxx),
x) zda xx nosič informace xxxxxxx xxx xxxxxxxxx xxxxxxxxxx xx xxxxxxx,
x) xxx jsou xxxx xxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx xxxxxxxxx,
x) kdo xxxx xxxxxxxxx dat xxxxxxxx (xxxxxxx xxxxxxxxxxx, xxxx xxxxxxxxx),
x) dostupnost xxxxxxxx x xxxxxxxx xxx likvidaci,
g) kapacitu xxxxxxxxxxxxx nosičů,
h) xxx xx x xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx likvidace,
j) xxxx xxxxxxxxx s ohledem xx nástroje, xxxxxxx, xxxxxxxx, xxxxxxxx využití xxxxxx xxxxxxxxx
x) xxxxx xxxxxxx likvidace xxx (xxxxxxxxx zničením xxxxxx, xxxxxxxxxxxxxxxx přepsáním nosiče xxx, znečitelněním xxx xxxxxx xxxxxxxxxx x xxxxxxx),
x) xxxxxxxxxx xxxxxxx xxxxxxxxx xxx xxxxxxxx xx xxxxx nosiče xxxxxxxxx (například při xxxxxxxxx zařízení xxxxxx xxxxx použít variantu xxxxxxx xxxxxxxxx, ale xxxxxxx xx xxxxxxx xxxxxxx likvidace).
(4) Xxxxxxx xxxxxxxxx technických xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx:
x) Xxxxxxxxxx
1. Způsob xxxxxxxxx xxxxxxx x xxxxxxxxxx dat xxx, xxx xxxx xxx xxxxxx xxxxxxxxxx (xxxxxxxxx xxxxxxxxxx datového souboru, xxxxxxxx tištěného xxxxxxxxx xx xxxxxx).
2. Xxx x xxxxxxx xxxxxxxx xxxxxx likvidace dat. X případě xxxxxxx xxxxxx xxxxxxxxx je xxxxx x xxxxxxxxxxx xxxxxxxx úsilí xxxxxxxxx xxxxxxx.
3. Xxxx xxxxxx xxxx použitelná xxx xxxxxx digitálních dat xxxxxxxxxxxx xxxxxxxx xxxxx.
4. Xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx z přílohy č. 1): xxxxx.
x) Xxxxxxxx
1. Xxxxxx xxxxxxxxx spočívá x xxxxxxxx chráněné xxxxxxxxx xxxxxxxxxx xxxxxxxxx.
2. Xxx x xxxxxxx xxxxxxxx xxxxxx likvidace xxx. Xxxxx dostupné nástroje xxxxxxxxxx obnovení přepsaných xxxxxxxxx.
3. Xxxxxxxx může xxx xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx x xxxxxxxxxxx informaci.
4. Xxxx xxxxxx xxxx xxxxxx xxx xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx, xxxxxxxx xxx xxxxx x velkou xxxxxxxxx.
5. Xxxxxxxxxx xxxxxx xxx xxxxxx důvěrnosti xxxxxx (vychází x přílohy č. 1): xxxxx xx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx informace
1. Xxxxxx xxxxxxxxx spočívající ve xxxxxxx nosiče xxxxxxxxx, xxxxxxxxx x rozebrání xxxxxxxx a následném xxxxxxx xxxxxx informace (xxxxxxxxxxx, xxxxxxxxx xx xxxxxxxx působením).
2. Jde x xxxxxxxxxxxxxx xxxxxx xxxxxxxxx dat. Nosič xxxxxxxxx xx fyzické xxxxxxxxx xxxxx xxxxx xxxxxx pro xxxxxxx xxxx. Xxxxxxx xxxxxxxxx xxxx možné xxxxxxx xxx xxx xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx x xxxxx.
3. Xxxxxxxxxx xxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): xxxxxxx xx xxxxxxxx.
Xxxxxxx xxxxxxx xxxxxxx likvidace xxxxx xxxxxx důvěrnosti xxxxxx (xxxxxxx z přílohy č. 1)
|
Xxxxxxxxx způsob xxxxxxxxx xxxxx xxxxxx xxxxxxxxxxx xxxxxx |
|||||
|
Xxxxx xxxxxxxxx |
1. Nízká |
2. Xxxxxxx |
3. Xxxxxx |
4. Xxxxxxxx |
|
|
Xxxxxxxxx xx xxxxxx xxxxxxxx xxxxxx (tištěné dokumenty, xxxxxxxx a xxxxxxx) |
Xxxxxxxxxx: Xxxxxxxx xx xxxxxx. |
Xxxxxxxx: Xxxxxxxxx. |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxxx xxxxxxxxx: |
|||||
|
Mobilní xxxxxxxx (xxxxxxx telefony, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxx xxxxxxxx (router, xxxxxx, xxxxx a xxxxxxx) |
Xxxxxxxxxx: |
Přepsání: |
|||
|
Kancelářské xxxxxxxx (scanery, xxxxxxxx, xxx) |
|||||
|
Xxxxxxxxxx xxxxx (xxxxxxxxxx xxxxx, disky, XXX [Xxxx Disk Drive]) |
Odstranění: |
Xxxxxxxx: |
|||
|
Xxxxxxx xxxxx (XX, XXX, HD-DVD, BLU-RAY) |
Fyzická xxxxxxxxx: |
||||
|
Fyzická xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx xxxxx (flash xxxxxx) |
|||||
|
Xxxxxxxxxxx a xxxxx |
Xxxxxxxxx xxxxxx xxxxxxxxx dat xx měl xxx xxxxxxxx xxxxxxxx ujednáním. |
||||
|
Odstranění: |
Přepsání: |
Xxxxxxxx: |
Xxxxxxxx/xxxxxxx xxxxxxxxx: |
||
|
Alternativně x xxxxxxx xxxxxxxxxxxx paměťového xxxxx xx xxxxx xxxx xx ukončení xxxxxx xxxxxxx. |
|||||
Xxxxxxx x. 5 x xxxxxxxx x. 82/2018 Xx.
Xxxxx xxxxxxxxxxxx xxxxxxxx x bezpečnostní xxxxxxxxxxx
1. Xxxxxxxxxxxx xxxxxxxx
1.1. Xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Xxxx, xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla a xxxxxxx pro xxxxxx xxxxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxx xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx provádění xxxxxx xxxxxxxxxxxx bezpečnosti.
f) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
g) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
1.2. Xxxxxxxx xxxxxx xxxxx
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx primárních xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx primárních xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxxxxx důležitosti xxxxxxxxxx aktiv z xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx a evidence xxxxxxxxxx aktiv
1. xxxxxx x evidence xxxxxxxxxxxx xxxxxxxxxx aktiv xxxxxx xxxxxx jejich xxxxxxx,
2. xxxxxx xxxxx mezi xxxxxxxxxx x xxxxxxxxxx xxxxxx.
x) Pravidla ochrany xxxxxxxxxxxx úrovní xxxxx
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx xxxxx xxxxx xxxxxx xxxxx,
3. xxxxxxxxx xxxxxxx používání xxxxx.
x) Xxxxxxx spolehlivého xxxxxx xxxx ničení technických xxxxxx xxx, informací, xxxxxxxxxx údajů x xxxxxx kopií.
1.3. Politika xxxxxxxxxxx xxxxxxxxxxx
x) Určení xxxxxxxxxxxxxx xxxx x xxxxxx xxxx a xxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx činností xxxxxxxxxxxx xxxxxxxxxxxxxx rolí.
c) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx rolí.
1.4. Xxxxxxxx xxxxxx xxxxxxxxxx
x) Pravidla x xxxxxxxx xxx xxxxx xxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx rizik xxxxxxxxxxxxx x xxxxxxxxxx.
x) Xxxxxxxxxxx smlouvy o xxxxxx služeb a xxxxxxx a xxxxxx xxxxxxxxx bezpečnostních opatření x x xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.
1.5. Politika xxxxxxxxxxx xxxxxxxx zdrojů
a) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxx xxxx hodnocení
1. xxxxxxx x xxxxx poučení xxxxxxxxx,
2. xxxxxxx x xxxxx poučení xxxxxxx xxxxx,
3. xxxxxxx x xxxxx xxxxxxx administrátorů,
4. xxxxxxx a xxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
d) Pravidla xxx xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxx xxxxxxxx pozice
1. xxxxxxx xxxxxxxxx aktiv x xxxxxxxx práv xxx xxxxxxxx xxxxxxxxxx vztahu,
2. xxxxx xxxxxxxxxxxx oprávnění xxx xxxxx pracovní xxxxxx.
1.6. Xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx
x) Xxxxxxxxx a xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx x xxxxxxxxx xxxxxxxxxx provozu.
d) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxxxxxxxxxx xxxxx.
1.7. Xxxxxxxx xxxxxx xxxxxxxx
x) Xxxxxxx xxxxxxxxxxx oprávnění/potřeba xxxx (xxxx to know).
b) Xxxxxxxxx na xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxx přístupu.
d) Řízení xxxxxxxxxxxxxxx oprávnění.
e) Xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx uživatelů x xxxxxxxxxxxx xxxxxxxxx.
1.8. Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx
x) Xxxxxxxx xxx xxxxxxxx nakládání x xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx pošty x xxxxxxxx xx xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx chování xx xxxxxxxxxx sítích.
f) Xxxxxxxxxx xx xxxxxx x xxxxxxxx xxxxxxxxx.
1.9. Xxxxxxxx xxxxxxxxxx a xxxxxx a xxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxxx na xxxxxxxxxx x obnovu.
b) Xxxxxxxx a xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxxxx ukládání.
d) Xxxxxxxx xxxxxxxxxx zálohování x dlouhodobého xxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx obnovy.
f) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxx a xxxxxx.
x) Xxxxxxxx přístupu k xxxxxxx, xxxxxxxxx informacím.
1.10. Xxxxxxxx bezpečného xxxxxxxxx x výměny informací
a) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx ochrany xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
1.11. Xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx
x) Xxxxxxxx xxx omezení xxxxxxxxx programového vybavení.
b) Xxxxxxxx x postupy xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx vybavení.
d) Pravidla x xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx vybavení.
1.12. Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx
x) Xxxxxxxx x postupy pro xxxxxxxx xxxxxxxxx mobilních xxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx osoba xxxx xx xxx xxxxxx.
1.13. Xxxxxxxx akvizice, vývoje x xxxxxx
x) Bezpečnostní xxxxxxxxx pro xxxxxxxx, xxxxx a xxxxxx.
x) Xxxxxx xxxxxxxxxxxxx.
x) Politika xxxxxxxxxxx a xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x informací
1. pravidla x postupy xxxxxxxx xxxxxxxxxxxx xxxxxxxx a xxxx evidence,
2. xxxxxxxx x xxxxxxx xxx xxxxxxxx dodržování licenčních xxxxxxxx.
1.14. Xxxxxxxx ochrany xxxxxxxx xxxxx
x) Charakteristika xxxxxxxxxxxxxx xxxxxxxx údajů.
b) Xxxxx xxxxxxxxx a xxxxxxxxxxx organizačních xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
x) Xxxxx přijatých x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx údajů.
1.15. Xxxxxxxx xxxxxxx xxxxxxxxxxx
x) Pravidla xxx xxxxxxx objektů.
b) Xxxxxxxx xxx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx xxx xxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxx.
1.16. Politika xxxxxxxxxxx xxxxxxxxxxx xxxx
x) Pravidla x postupy pro xxxxxxxxx bezpečnosti xxxx.
x) Xxxxxx xxxx a xxxxxxxxxx xx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx přístupů x xxxxx xxxx.
x) Xxxxxxxx x postupy xxx xxxxxxx xxxxxxxxxx xxxxxxxx x xxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxxxxx xxxx x xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
1.17. Xxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx
x) Pravidla x xxxxxxx xxx xxxxxxx síťové xxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx ochranu serverů x xxxxxxxxx datových xxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxx.
1.18. Xxxxxxxx xxxxxxxx x používání xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
x) Xxxxxxxx a postupy xxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Provozní xxxxxxx xxx xxxxxxxxxxxxx x xxxxxxxxx na xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx události.
c) Xxxxxxxx x postupy xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.19. Xxxxxxxx xxxxxxx a xxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
x) Xxxxxxxx x xxxxxxx xxx evidenci x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí.
c) Xxxxxxxx a postupy xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx vlastností xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
1.20. Xxxxxxxx xxxxxxxxxx xxxxxxxxx kryptografické xxxxxxx
x) Xxxxxx xxxxxxx x xxxxxxx na xxx x sílu kryptografického xxxxxxxxx.
x) Xxxxxxxx kryptografické xxxxxxx xxxxxxxxx
1. xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxx.
x) Xxxxxx xxxxxx xxxxx.
1.21. Xxxxxxxx xxxxxx xxxx
x) Xxxxxx x xxxxxxxx řízení xxxxxxxxxx změn x xxxxx povinné osoby, xxxxxx xxxxxxxxx, xxxxxxxxxxxx x xxxxxxxxxxxxx systémech.
b) Xxxxxxxxxxxxx dopadů xxxxxxxxxx xxxx.
x) Xxxxxx xxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxxxx xxxx.
1.22. Politika xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxxx kategorií xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx identifikaci, xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx testování xxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Pravidla x xxxxxxx xxx vyhodnocení xxxxxxxxxxxxxx bezpečnostních incidentů x pro zlepšování xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx.
1.23. Xxxxxxxx řízení xxxxxxxxxx činností
a) Xxxxx x povinnosti xxxxxxxxxxxx xxxx.
x) Xxxx xxxxxx xxxxxxxxxx xxxxxxxx
1. xxxxxxxxx xxxxxx poskytovaných xxxxxx,
2. xxxx xxxxxxxx xxxxx,
3. xxx xxxxxxxx xxx.
x) Xxxxxxxx řízení xxxxxxxxxx xxxxxxxx xxx naplnění xxxx xxxxxxxxxx.
x) Způsoby xxxxxxxxx xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx na xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx x obsah xxxxxxxxxx xxxxx kontinuity x xxxxxxxxxxx xxxxx.
x) Xxxxxxx xxx realizaci xxxxxxxx xxxxxxxx Xxxxxx.
2. Xxxxx xxxxxxxxxxxx dokumentace
2.1. Xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) Cíle xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Předmět xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx týmu xxxxxxxx x xxxx, xxxxx se xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx a xxxxx, xxx xxxx xxxxxxxxx xxxxxxxx při xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Zjištění x xxxxxx kybernetické xxxxxxxxxxx.
x) Závěry auditu xxxxxxxxxxxx xxxxxxxxxxx.
2.2. Xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx přezkoumání xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxxxxxx xxxx x xxxxxxxxx, které xxxxx xxx xxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx vazba x xxxxxxxxxx xxxxxx xxxxxxxxxxx informací
1. xxxxxxx x xxxxxxxx opatření,
2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
d) Xxxxxxxx hodnocení xxxxx x xxxx plánu xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, stanovení xxxxxxxx x xxxx xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
2.3. Xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxx xxxxx
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxx aktiv,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx stupnice xxx xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxx,
2. xxxxxx stupnice pro xxxxxxxxx úrovní xxxxxx,
3. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxx.
x) Xxxxxx x přístupy xxx xxxxxxxx rizik.
d) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.
2.4. Zpráva x xxxxxxxxx xxxxx x xxxxx
x) Xxxxxxx primárních xxxxx
1. xxxxxxxxxxxx a xxxxx primárních xxxxx,
2. xxxxxx garantů primárních xxxxx,
3. xxxxxxxxx xxxxxxxxxx xxxxx z hlediska xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxx
1. identifikace x xxxxx podpůrných aktiv,
2. xxxxxx garantů xxxxxxxxxx xxxxx,
3. xxxxxx vazeb xxxx xxxxxxxxxx a xxxxxxxxxx aktivy.
c) Xxxxxxxxx xxxxx
1. xxxxxxxxx možných xxxxxx na aktiva,
2. xxxxxxxxx existujících hrozeb,
3. xxxxxxxxx existujících xxxxxxxxxxxxx, xxxxxxxxx xxxxxxxxxxxx opatření,
4. xxxxxxxxx úrovně rizika, xxxxxxxxx xxxx xxxxxx x xxxxxxxx pro xxxxxxxxxxxxxxxx xxxxx,
5. xxxxxx x xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.
x) Zvládání rizik
1. xxxxx způsobu zvládání xxxxx,
2. návrh opatření x xxxxxx xxxxxxxxx.
2.5. Xxxxxxxxxx o xxxxxxxxxxxxxxxx
x) Xxxxxxx vyloučených xxxxxxxxxxxxxx xxxxxxxx požadovaných touto xxxxxxxxx xxxxxx zdůvodnění, xxxx xxxxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxx xxxxxx implementace.
2.6. Xxxx xxxxxxxx xxxxx
x) Xxxxx x xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx rizik včetně xxxxx xx xxxxxxxxx xxxxxx.
x) Xxxxxxxx zdroje xxx xxxxxxxxxx bezpečnostní xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxx zajišťující xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx zavedení jednotlivých xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
e) Xxxxxx xxxxxxxxx bezpečnostních opatření.
f) Xxxxxxx hodnocení úspěšnosti xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
2.7. Xxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxx x xxxxxxx poučení xxxxxxxxx, administrátorů x xxxx zastávajících bezpečnostní xxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx, xxxxx xxxxxxxx xxxxxxx jednotlivých xxxxxxx a xxxxxx xxxx, které školení xxxxxxxxxxx.
x) Formy x xxxxxxx xxxxxxxxx plánu.
2.8. Xxxxxxxx xxxx
x) Evidence xxxxxxxxx cyklu xxxxxxxxxx xxxx.
x) Xxxxxxx x xxxxxxx konfigurace xxxxxxxxxx xxxxx.
2.9. Hlášené xxxxxxxxx xxxxx
Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx.
2.10. Xxxxxxx xxxxxx xxxxxxxxx právních xxxxxxxx, xxxxxxxxx předpisů x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx
x) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxx.
2.11. Xxxxx xxxxxxxxxx xxxxxxxxxxx
x) Xxxxxxxxx infrastruktury.
b) Xxxxxxx xxxxxxxx xxxxxxxx.
Xxxxxxx x. 6 x vyhlášce x. 82/2018 Xx.
Xxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx role
Tato xxxxxxx obsahuje popis xxxxxxxxxxxx požadavků xxx xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx xxxxxxx x §6 x 7.
Xxx. 1: Xxxxx xxx xxxxxx kybernetické xxxxxxxxxxx
|
Xxxx: |
Xxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx za celkové xxxxxx x rozvoj xxxxxxxxxxxx bezpečnosti x xxxxx povinné osoby. |
|
Xxxxx podmínky: |
a) Xxxx xxxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti xxxx xxx xxxxxxx |
Xxx. 2: Manažer xxxxxxxxxxxx bezpečnosti
|
Role: |
Manažer xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx řízení xxxxxxx xxxxxx bezpečnosti xxxxxxxxx. |
|
Znalosti: |
a) Xxxxx řady XXX/XXX 27000 a obdobné xxxxx x oblasti xxxxxxxxxxx x ICT. |
|
Zkušenosti: |
a) Xxxxxxxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 roky xxxxx x oboru xxxxxxxxxx nebo kybernetické xxxxxxxxxxx, xxxx |
|
Relevantní xxxxxxxxxxx*: |
Xxxxxxxxx Information Xxxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Systems Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Xxxxxxxx Xxxxxxxxxxxx (XXXXX), Xxxxxxx XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Xxxx není xxxxxxxxxx x rolemi xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx a x xxxxxxx provozními či xxxxxxxx xxxxxx. |
Xxx. 3: Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx kybernetické bezpečnosti |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx za xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systémů x její navrhování. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx x praxe: |
a) Xxxxxxx 3 roky xxxxx x xxxxx xxxxxxxxxx nebo kybernetické xxxxxxxxxxx, nebo |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxx Xxxxxx (XXX), XxxxXXX Xxxxxxxx +, Certified Xxxxxxxxxxx Xxxxxxxx Manager (XXXX), Xxxxxxxxx in Xxxx xxx Information Systems Xxxxxxx (CRISC), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Security Xxxxxxxxxxxx (CISSP), Xxxxxxx XX (akreditační xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
Xxxx xxxx xxxxxxxxxx x xxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx. |
Xxx. 4: Xxxxxxx xxxxxxxxxxxx bezpečnosti
|
Role: |
Auditor kybernetické xxxxxxxxxxx |
|
Xxxxxxx činnosti: |
Provádění auditu xxxxxxxxxxxx bezpečnosti. |
|
Znalosti: |
a) Xxxxxxxxxxx x rámce auditu xxxxxxxxxx xxxxxxxxxxx. |
|
Zkušenosti: |
a) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx x praxe: |
a) Xxxxxxx 3 roky xxxxx x oblasti xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx bezpečnosti, nebo |
|
Relevantní xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Auditor (XXXX), Xxxxxxxxx Xxxxxxxx Xxxxxxx (CIA), Certified xx Risk and Xxxxxxxxxxx Xxxxxxx Control (XXXXX), Lead Xxxxxxx Xxxxxxxxxxx Xxxxxxxx Management Xxxxxx (Xxxx Xxxxxxx XXXX), Auditor BI (xxxxxxxxxxx schéma XXX). |
|
Xxxxx xxxxxxxx: |
x) Role xxxx xxxxxxxxxx x rolemi |
Xxx. 5: Xxxxxx xxxxxx
|
Xxxx: |
Xxxxxx aktiva |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxxxxx aktiva. |
|
Xxxxxxxx: |
x) Xxxxx znalost xxxxxx, jehož xx xxxxxxxx. |
* Xxxxxxxxxxx xxxx xxx x xxxx xxx xxxxxxx, jestliže certifikace xxxxxxxxxxx xxxxxxxx způsobilost xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx ISO 17 024.
Příloha x. 7 x xxxxxxxx x. 82/2018 Sb.
Řízení xxxxxxxxxx - xxxxxxxxxxxx opatření xxx xxxxxxx xxxxxx
Xxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx dodavateli:
a) xxxxxxxxxx x bezpečnosti xxxxxxxxx (x xxxxxxx důvěrnosti, xxxxxxxxxxx x xxxxxxxxx),
x) xxxxxxxxxx o xxxxxxxxx xxxxxx data,
c) xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxx, popřípadě o xxxxxxxxxxxx licencích,
d) ustanovení x kontrole a xxxxxx xxxxxxxxxx (pravidla xxxxxxxxxxxx auditu),
e) ustanovení xxxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxx xxxx xxx xxxxxxxxx, že xxxxxxxxxxxxx xx zaváží dodržovat x xxxxx xxxxxxx xxxxxxxx xxxx xxxxxxxx xxxxxx a xxxxxxxxxxx x xxxxxxx v xxxxxxx x xxxxxxxxx xxxxxxx osoby xx xxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx politiky xxxxxxx xxxxx xxxx ustanovení x odsouhlasení xxxxxxxxxxxxxx xxxxxxx dodavatele xxxxxxxx xxxxxx,
x) xxxxxxxxxx x xxxxxx xxxx,
x) ustanovení x xxxxxxx xxxxx x xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx,
x) ustanovení x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx povinnou xxxxx x
1. xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx s xxxxxxx xxxxxxx,
2. způsobu xxxxxx xxxxx xx xxxxxx dodavatele x x zbytkových rizicích xxxxxxxxxxxxx x xxxxxxx xxxxxxx,
3. významné změně xxxxxxxx tohoto xxxxxxxxxx xxxxx zákona x xxxxxxxxxx korporacích nebo xxxxx vlastnictví xxxxxxxxx xxxxx, popřípadě změně xxxxxxxxx xxxxxxxx x xxxxxx aktivy, xxxxxxxxxxx xxxxx dodavatelem x xxxxxx podle xxxxxxx xx správcem,
j) xxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxx ukončení xxxxxxx (například xxxxxxxxx xxxxxx při xxxxxxxx xxxxxxxxxx, kdy xx xxxxx ještě xxxxxxxx xxxxxx před xxxxxxxxx xxxxxx xxxxxx, xxxxxxx xxx x xxxxxxx),
x) xxxxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxxxxx xxxxxxxx x xxxxxxxxxxx x xxxxxxxxxx (xxxxxxxxx zahrnutí xxxxxxxxxx do xxxxxxxxxxx xxxxx, xxxxx xxxxxxxxxx xxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx),
x) xxxxxxxxxxx xxxxxxxx xxx formát xxxxxxx xxx, xxxxxxxxxx xxxxx x xxxxxxxxx xx xxxxxxxx správcem,
m) xxxxxxxx xxx xxxxxxxxx xxx,
x) ustanovení o xxxxx xxxxxxxxxxxx odstoupit xx xxxxxxx x xxxxxxx významné xxxxx xxxxxxxx xxx dodavatelem xxxx xxxxx kontroly xxx xxxxxxxxx aktivy xxxxxxxxxxx xxxxxxxxxxx x xxxxxx podle xxxxxxx x
x) xxxxxxxxxx x xxxxxxxx xx xxxxxxxx xxxxxxxxxx.
Xxxxxxx č. 8 x vyhlášce x. 82/2018 Xx.
Xxxx Xxxxxxxxx xxx hlášení xxxxxxxxxxx xxxxx
Xxxxxxxxx
Xxxxxx xxxxxxx x. 82/2018 Xx. nabyl xxxxxxxxx xxxx 28.5.2018.
Ke xxx uzávěrky právní xxxxxxx xxxxx xxxxx xx doplňován.
Znění jednotlivých xxxxxxxx norem xxxxxx xxxxxxxx xxxxxxxx v xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx se jich xxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) Směrnice Evropského xxxxxxxxxx a Rady (XX) 2016/1148 xx xxx 6. července 2016 x xxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx úrovně xxxxxxxxxxx xxxx a xxxxxxxxxxxx xxxxxxx x Xxxx.