Právní předpis byl sestaven k datu 23.01.2025.
Zobrazené znění právního předpisu je účinné od 28.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
XXXXXXXX
xx xxx 21. xxxxxx 2018
o bezpečnostních xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxx (xxxxxxxx x kybernetické xxxxxxxxxxx)
Xxxxxxx úřad pro xxxxxxxxxxxxx a informační xxxxxxxxxx xxxxxxx podle §28 xxxx. 2 xxxx. x) xx x) x f) xxxxxx č. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx x o xxxxx souvisejících xxxxxx (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), xx xxxxx xxxxxx x. 104/2017 Xx. a zákona x. 205/2017 Xx., (xxxx xxx "xxxxx"):
XXXX PRVNÍ
ÚVODNÍ XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxx vyhláška xxxxxxxxxxx xxxxxxxxx xxxxxxx Evropské xxxx1) a pro xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx systém xxxxxxxx xxxxxx xxxxx xxxxxxxxxx xxxxxx xxxx xxx elektronických xxxxxxxxxx, xxxxx využívá xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, (xxxx xxx "xxxxxxxxxx a xxxxxxxxxxx systém") xxxxxxxx
x) xxxxx x xxxxxxxxx xxxxxxxxxxxx dokumentace,
b) obsah x xxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx, xxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních incidentů,
d) xxxxxxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) náležitosti xxxxxxxx x provedení xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,
x) xxxx oznámení xxxxxxxxxxx xxxxx x xxxx formu a
g) xxxxxx xxxxxxxxx xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx.
§2
Xxxxxxxx xxxxx
Xxx xxxxx xxxx vyhlášky se xxxxxx
x) xxxxxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx, provoz, xxxxxxx, údržbu x xxxxxxxxxx xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx xxxxxx, xxxxx xx přijatelné xxx orgán nebo xxxxx, xxxxx xxxx xxxxxxx xxxxxx bezpečnostní xxxxxxxx podle xxxxxx, (xxxx xxx "xxxxxxx xxxxx") a xxxx xxxxx xxx xxxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) bezpečnostní xxxxxxxxx xxxxxx xxxxx x xxxxxxxx, které xxxxxx xxxxxx zajištění xxxxxxx xxxxx,
x) hodnocením xxxxx xxxxxxx xxxxxx identifikace, xxxxxxx x xxxxxxxxxxx xxxxx,
x) hrozbou xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx nebo kybernetického xxxxxxxxxxxxxx incidentu, xxxxx xxxx xxxxxxxx škodu,
f) xxxxxxxxx xxxxxxx technické xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx podílející xx xx provozu, xxxxxxx, xxxxxx xxxx bezpečnosti xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxx aktivem xxxxxxxxx nebo xxxxxx, xxxxxx zpracovává xxxx xxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxx, že určitá xxxxxx xxxxxxx zranitelnosti xxxxxx x xxxxxxx xxxxx,
x) xxxxxxx xxxxx xxxxxxx xxxxxxxxxx hodnocení xxxxx, xxxxx a xxxxxxxx opatření xx xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx o xxxxxx x sledování x xxxxxxxxxxx xxxxx,
x) xxxxxxxx xxxxxx xxxxxxxxxxx informací xxxx xxxxxxx xxxxxx xxxxxxx xxxxx xxxxxxxx xx xxxxxxxx x xxxxxxx informačního x xxxxxxxxxxxxx systému, xxxxx xxxxxxx xxxxxx xxxxxxxx, xxxxxxxx, xxxxxxxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x dat,
k) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxxxxxxxx prostředky x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxx, xx kterých jsou xxxx systémy xxxxxxxx, xxxxxxx selhání xxxx xxx xxxxx na xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx fyzická xxxx právnická xxxxx xxxxx xxxxx xxxxxxx xxxx, které xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxx nebo xxxxxxx xxxx, xxxxx řídí xxxxxxxx xxxxx, nebo xxxxxxxxxx orgán xxxxxxx xxxxx,
x) xxxxxxxxx dodavatelem xxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxx systému (xxxx xxx "xxxxxxxxxxxx") a xxxxx, xxx x xxxxxxxx xxxxxx xxxxxxxx xx xxxxxxxx vztahu, xxxxx je xxxxxxxx x xxxxxxxx bezpečnosti xxxxxxxxxxxx x komunikačního xxxxxxx,
x) xxxxxxxxx xxxxxx xxxxx, xxxxx má xxxx xxxx mít xxxx xx kybernetickou xxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxxx,
x) zranitelností xxxxx xxxxx aktiva xxxx xxxxx místo xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxx xxxxxxxx xxxxxx xxxx xxxx xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX OPATŘENÍ
§3
Systém xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx x rámci xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx x xxxxxxx xx xxxxxxxxx dotčených xxxxx a organizační xxxxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací, xx xxxxxx xxxx xxxxxxxxxxx části a xxxxxx, xxxxx se xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,
x) stanoví xxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) pro xxxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, bezpečnostních xxxxxx x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxx xxxxxx xxxxx §5,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx x oblasti xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx obsahuje xxxxxx zásady, cíle, xxxxxxxxxxxx xxxxxxx, práva x povinnosti ve xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx, x xx základě xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx rizik stanoví xxxxxxxxxxxx xxxxxxxx x xxxxxxx oblastech podle §30 x xxxxxx xxxxxxxxx bezpečnostní opatření,
f) xxxxxxx xxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx u xxxxxxxxxxxx x komunikačního xxxxxxx (dále xxx "xxxxx xxxxxxxxxxxx xxxxxxxxxxx") xxxxx §16,
x) xxxxxxx xxxxxxxxxx vyhodnocování xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, které xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx bezpečnosti informací xxxxxx revize xxxxxxxxx xxxxx, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a dopadů xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx systém řízení xxxxxxxxxxx informací,
h) průběžně xxxxxxxxxxxx x následně xxxxx §11 xxxx xxxxxxxx xxxxx, které xxxxx xx xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxxxx systém xxxxxx xxxxxxxxxxx informací x xxxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx vyhodnocení xxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx x x xxxxxxxxxxx s xxxxxxxxxxx xxxxxxxxxx xxxxxxx x
x) xxxx xxxxxx x xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxxxxxx činnosti xxxxxxx xx xxxxxxxx řízení xxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxxx.
§4
Xxxxxx xxxxx
(1) Xxxxxxx xxxxx v rámci xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx identifikaci xxxxx,
x) xxxxxxx xxxxxxxx xxx hodnocení xxxxx xxxxxxx v xxxxxxx xxxxxxxx x příloze č. 1 x xxxx vyhlášce,
c) xxxxxxxxxxxx a xxxxxxx xxxxxx,
x) určí x xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx x xxxxxxx xxxxxxxx aktiva z xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x xxxxxx xx xx xxxxxxxxxxxx xxxxxx xxxxx xxxxxxx b),
f) určí x xxxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx x xxxxxxx důsledky závislostí xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxxx xxxxxx a xxxxxxxxxx přitom zejména xxxxxxxx xxxxxxxxxx xxxxx xxxxxxx x),
x) xx xxxxxxx hodnocení aktiv xxxxxxxxx a xxxxxx xxxxxxxx xxxxxxx xxxxx xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx aktiv,
i) xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx x pravidla xxx manipulaci s xxxxxx x ohledem xx xxxxxx xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx elektronické sdílení x xxxxxxx xxxxxxxxx xxxxx, a
j) xxxx xxxxxx xxxxxxxxx dat, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx xxxx likvidaci xxxxxxxxxxx xxxxxx xxx s xxxxxxx na úroveň xxxxx v souladu x přílohou č. 4 x xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx důležitosti primárních xxxxx xx xxxxx xxxxxxxx xxxxxxx
x) rozsah x xxxxxxxxxx osobních xxxxx, xxxxxxxxxx kategorií xxxxxxxx xxxxx nebo xxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxx právních xxxxxxxxxx xxxx xxxxxx závazků,
c) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx x kontrolních xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxx ekonomických xxxxx a možné xxxxxxxx xxxxxx,
x) xxxxxx xx xxxxxxxxxxx důležitých xxxxxx,
x) rozsah xxxxxxxx xxxxxxx xxxxxxxx,
x) xxxxxx xx xxxxxxxxx dobrého xxxxx nebo ochranu xxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxx a xxxxxx osob,
i) xxxxxx xx xxxxxxxxxxx xxxxxx x
x) dopady xx xxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx.
§5
Řízení xxxxx
(1) Povinná xxxxx x rámci xxxxxx xxxxx v xxxxxxxxxx xx §4
a) xxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx, xxxxxx xxxxxxxxx xxxxxxxx pro xxxxxxxxxxxxxxxx rizik,
b) x xxxxxxx xx aktiva xxxxxxxxxxxx xxxxxxxxxx hrozby x zranitelnosti; přitom xxxxxxx xxxxxxx xxxxxxxxx xxxxxx x zranitelností xxxxxxxxx x příloze č. 3 x xxxx xxxxxxxx,
x) xxxxxxx hodnocení rizik x xxxxxxxxxxxx xxxxxxxxxxx xxxxx odstavce 2 x xxx xxxxxxxxxx xxxxxxx,
x) xxx xxxxxxxxx xxxxx zohlední xxxxxxxxxx xxxxxx x xxxxxxxxxxxxx x xxxxxxx xxxxx xxxxxx xx aktiva; xxxx xxxxxx xxxxxxx xxxxxxx x xxxxxxx přílohy č. 2 x této xxxxxxxx,
x) zpracuje zprávu x xxxxxxxxx xxxxx,
x) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx x aplikovatelnosti, xxxxx obsahuje xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx, která
1. xxxxxx xxxxxxxxxx, xxxxxx xxxxxxxxxx,
2. xxxx xxxxxxxxxx, xxxxxx způsobu plnění,
g) xxxxxxxx x zavede xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx cíle x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxxxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, xxxxxx x xxxxxxxxxx xxxxxx, xxxxxx xxxxxx xxxxxxxx, xxxxx xxxxx mezi xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxx realizace xxxxxxxxxxxxxx xxxxxxxx,
x) při xxxxxxxxx xxxxx x v xxxxx zvládání rizik xxxxxxxx
1. xxxxxxxx xxxxx,
2. xxxxx rozsahu systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
3. xxxxxxxx xxxxx §11 xxxxxx x
4. xxxxxxxxxxxx xxxxxxxxxxxx incidenty, xxxxxx xxxxx řešených, x
x) x xxxxxxx s xxxxxx xxxxxxxx xxxxx xxxxxx bezpečnostní xxxxxxxx.
(2) Xxxxxxx xxxxx uvedená x §3 xxxx. x), d) x x) zákona xxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxx a xxxxxxx osoba uvedená x §3 xxxx. x) zákona xxxxxxx xxxxxx za xxx xxxx.
(3) Xxxxxx xxxxx xxxx být zajištěno x xxxxxx způsoby, xxx jak xx xxxxxxxxx x xxxxxxxx 1 xxxx. x), xxxxx xxxxxxx xxxxx xxxxxxxxx, xx použitá xxxxxxxx xxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxxx xxxxxx rizik.
§6
Xxxxxxxxxxx bezpečnost
(1) Povinná xxxxx s xxxxxxx xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx §3 slučitelných xx xxxxxxxxxxxx směřováním xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací do xxxxxxx povinné xxxxx,
x) xxxxxxx xxxxxxxxxx zdrojů xxxxxxxxxx xxx systém xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx zaměstnance x xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx shody x xxxx xxxxxxxxx xx xxxxx xxxxxxxxx xxxxxxxx,
x) zajistí podporu x xxxxxxxx xxxxxxxxxxx xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxxxxx x rozvíjení xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxxxx je xxx xxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxx zlepšování systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx při xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x oblastech jejich xxxxxxxxxxxx,
x) xxxxxxx stanovení xxxxxxxx pro xxxxxx xxxxxxxxxxxxxx a xxxx, xxxxx budou xxxxxxxx xxxxxxxxxxxx role,
j) xxxxxxx, xxx xxxx xxxxxxxxx xxxxxxxxxxx administrátorů a xxxx zastávajících xxxxxxxxxxxx xxxx,
x) pro osoby xxxxxxxxxxx bezpečnostní xxxx xxxxxxx příslušné xxxxxxxxx x xxxxxx včetně xxxxxxxxxxxx xxxxxxxxxx k xxxxxxxxxx jejich xxxx x xxxxxx xxxxxxxxxxxxx xxxxx a
l) zajistí xxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxx, xxxxxx x xxxxxxx spojených xx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Povinná xxxxx x xxxxx systému xxxxxx xxxxxxxxxxx informací xxxx xxxxxxx výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a bezpečnostní xxxx x xxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxx se xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(3) Xxxxxxx osoba xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xxxx xxxxx, která xxxx xxxxxxxx bezpečnostní xxxx
x) xxxxxxxx kybernetické bezpečnosti,
b) xxxxxxxxxx xxxxxxxxxxxx bezpečnosti,
c) xxxxxxx xxxxxx a
d) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxx osoba xxxxxxx x §3 xxxx. x) xxxxxx určí xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxx. Xxxxxxx xxxxxxxxxxxx xxxx xxxxx xxxxxxxx 3 xxxx xxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxx systému xxxxxx bezpečnosti informací.
(5) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), d) x x) xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx v xxxxxxxx 3 písm. x) x x).
(6) Povinná xxxxx xxxxxxx x §3 xxxx. x) xxxxxx zajistí xxxxxxxxxxxxxx xxxxxxxxxxxx role xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(7) Výbor xxx řízení xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxx xxxxxxx xxxxxx a xxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx x xxxxxxx xxxxxxxx xx xxxxxxxxxxxx xx řízení a xxxxxxxxxx činností spojených x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxx xxxx xxx xxxxxxx xxxxx xxxxxxxx xxxxxxxxxxx xxxxxx xxxx jím xxxxxxxx xxxxx x manažer xxxxxxxxxxxx bezpečnosti. Xxxxxxx xxxxx x xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx uvedeným x příloze č. 6 x této xxxxxxxx.
§7
Xxxxxxxxxxxx role
(1) Manažer xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx xxxx xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx informací, xxxxxxx xxxxxxx xxxx role xxxx xxx xxxxxxxx xxxxx, která xx xxx xxxx činnost xxxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx
1. xx xxxx xxxxxxx xxx let, xxxx
2. xx dobu xxxxxxx xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx xxxxxx xxxxx,
x) odpovídá xx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxx o
1. činnostech xxxxxxxxxxxxx x xxxxxxx xxxx odpovědnosti a
2. xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a
c) xxxxx xxx pověřen xxxxxxx rolí xxxxxxxxxxx xx provoz xxxxxxxxxxxx x komunikačního xxxxxxx.
(2) Xxxxxxxxx xxxxxxxxxxxx bezpečnosti xx xxxxxxxxxxxx role xxxxxxxxx za xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx xxx, xxx xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, xxxxxxx xxxxxxx této xxxx xxxx být pověřena xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxx implementace xxxxxxxxxxxxxx opatření a xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx dobu xxxxxxx xxx let, nebo
b) xx dobu jednoho xxxx, xxxxx xxxxxxxxxxx xxxxxxx na xxxxxx xxxxx.
(3) Xxxxxx aktiva xx xxxxxxxxxxxx role xxxxxxxxx xx xxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxxxx aktiva.
(4) Auditor xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx xxxx xxxx xxxx xxx pověřena xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx a prokáže xxxxxxxx xxxxxxxxxxx praxí x prováděním auditů xxxxxxxxxxxx bezpečnosti xxxx xxxxxx systému řízení xxxxxxxxxxx informací
1. po xxxx xxxxxxx xxx xxx, xxxx
2. xx xxxx jednoho roku, xxxxx absolvovala xxxxxxx xx xxxxxx škole,
b) xxxxxxxx, xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx, x
x) xxxxx být pověřen xxxxxxx jiných bezpečnostních xxxx.
(5) Xxxxxxx osoba xxx xxxxxxxx xxxx xxxxxxxxxxxxx bezpečnostní xxxx xxxxxxxxx x doporučením xxxxxxxx x příloze č. 6 x této xxxxxxxx.
§8
Řízení xxxxxxxxxx
(1) Povinná xxxxx
x) xxxxxxx pravidla xxx xxxxxxxxxx, která xxxxxxxxxx xxxxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx,
x) xxxx xxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxx své xxxxxxxx dodavatele o xxxxxx evidenci xxxxx xxxxxxx x),
x) seznamuje xxx xxxxxxxxxx x xxxxxxxx podle písmene x) x xxxxxxxx xxxxxx xxxxxx pravidel,
e) xxxx rizika xxxxxxx x xxxxxxxxxx,
x) x xxxxxxxxxxx x řízením xxxxx xxxxxxxxx s xxxxxxxxxx xxxxxxxxxx xxxxxxx, xxx smlouvy uzavírané x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx x příloze č. 7 x této xxxxxxxx, x
x) xxxxxxxxxx xxxxxxxxxxx xxxxxx smluv x xxxxxxxxxx dodavateli x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Povinná xxxxx x xxxxxxxxxx xxxxxxxxxx xxxx
x) v xxxxx výběrového řízení x xxxx uzavřením xxxxxxx provádí hodnocení xxxxx xxxxxxxxxxxxx x xxxxxxx předmětu xxxxxxxxxx xxxxxx přiměřeně xxxxx přílohy č. 2 k xxxx xxxxxxxx,
x) x xxxxx xxxxxxxxxxx xxxxxxxxx vztahů xxxxxxx xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxx xxxxx vzájemné xxxxxxx xxxxxxxxxxxx za zavedení x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx plnění pomocí xxxxxxxxx zdrojů nebo xxxxxx třetí strany x
x) v xxxxxx xx xxxxxx x xxxxxxxx nedostatky zajistí xxxxxx xxxxxx.
(3) Xxxxxxxxxxx xxxxxxxxxxxxxx informování xxxxx xxxxxxxx 1 xxxx. x) xxxx
x) identifikace xxxxxxx xxxx xxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxxx, že xxxxxxxxx xx xxx xxxxxxx významným dodavatelem, x popřípadě xxxx x xxx, xx xxxxxxxx xxxxxxxxx je xxxxxxx xxxxxxxxxxxxxx, a
e) xxxxx xxxxxxxx podle xxxxxxxx 1 xxxx. x).
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona, xxxxx xx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 xxxx. x), xxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxx v §34.
§9
Xxxxxxxxxx xxxxxxxx xxxxxx
(1) Xxxxxxx xxxxx v xxxxx řízení bezpečnosti xxxxxxxx xxxxxx
x) x xxxxxxx xx xxxx x xxxxxxx xxxxxxx xxxxxx bezpečnosti informací xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxx xx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx xxxxx, obsah a xxxxxx
1. poučení xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxx x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx x
2. xxxxxxxxxx xxxxxxxxxxxx i xxxxxxxxxxx školení xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxxx xxxxx xxxxxxxxx xx realizaci jednotlivých xxxxxxxx, xxxxx xxxx x xxxxx xxxxxxx,
x) x souladu s xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx poučení xxxxxxxxx, administrátorů, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x dodavatelů x xxxxxx xxxxxxxxxxxx x x bezpečnostní xxxxxxxx xxxxxx xxxxxxxxx a xxxxxxxxxxxx xxxxxxx,
x) pro xxxxx xxxxxxxxxxx bezpečnostní xxxx x souladu x plánem xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx, xxxxxxx xxxxxxx x xxxxxxxxxx xxxxxx xxxxxxx xxxxx v xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) x xxxxxxx s plánem xxxxxxx bezpečnostního xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx zaměstnanců x xxxxxxx s xxxxxx xxxxxxxx náplní,
f) zajistí xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) x xxxxxxx xxxxxxxx xxxxxxxxx xxxxxx x administrátory x xxxxxxx zastávajícími xxxxxxxxxxxx xxxx zajistí xxxxxxx xxxxxxxxxxxx,
x) hodnotí účinnost xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx xx zlepšováním xxxxxxxxxxxxxx xxxxxxxx a
i) xxxx xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxx porušení stanovených xxxxxxxxxxxxxx pravidel ze xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxxxx xxxxx vede x xxxxxxx podle odstavce 1 xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxx x xxxxxx osob, xxxxx školení absolvovaly.
§10
Xxxxxx provozu x xxxxxxxxxx
(1) Povinná xxxxx x xxxxx řízení xxxxxxx a xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a stanoví xxxxxxxx pravidla a xxxxxxx, které obsahují xxxxxxx
x) xxxxx a xxxxxxxxxx administrátorů, xxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role,
b) xxxxxxx xxx xxxxxxxx x xxxxxxxx xxxxx systému, xxx xxxxxxx nebo xxxxxxxx xxxxx systému xx xxxxxxx x xxx xxxxxxxx xxxxxxxxx xxxxx nebo mimořádných xxxx,
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxx xxx xxxxxxx přístupu x xxxxxxxx o xxxxxx xxxxxxxxxx,
x) xxxxxxxx x xxxxxxx xxx xxxxxxx xxxx škodlivým xxxxx,
x) xxxxxx technických xxxxxxxxxxxxx,
x) xxxxxxx xx xxxxxxxxx xxxxx, které xxxx xxxxxxxx xxxxxxx xxxxxxxxx x technické xxxxxxx,
x) xxxxxxx xxxxxx x schvalování xxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxxx, xxxxxxxxx a xxxxxx kapacity xxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxx x xxx x xxxxxxx celého xxxxxxxxx xxxxx,
x) pravidla a xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx aktiv,
k) provádění xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxx x
x) pravidla x postupy xxx xxxxxxxxx bezpečnosti xxxxxxxx xxxxxx.
(2) Xxxxxxx osoba x xxxxx řízení xxxxxxx x komunikací xxxxxxxx xxxxxxxx x xxxxxxx stanovené xxxxx xxxxxxxx 1 a xxxx xxxxxxxx x xxxxxxx aktualizuje v xxxxxxxxxxx x xxxxxxxxxxx xxxx plánovanými xxxxxxx.
(3) Xxxxxxx xxxxx xxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx.
§11
Xxxxxx xxxx
(1) Xxxxxxx xxxxx x rámci xxxxxx změn x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) xxxxxxxxxxx možné xxxxxx xxxx x
x) xxxxxx xxxxxxxx xxxxx.
(2) Xxxxxxx xxxxx x xxxxxxxxxx xxxx
x) dokumentuje xxxxxx xxxxxx,
x) provádí xxxxxxx rizik,
c) xxxxxxx xxxxxxxx za xxxxxx xxxxxxx všech nepříznivých xxxxxx spojených x xxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx dokumentaci,
e) xxxxxxx xxxxxx xxxxxxxxx x
x) xxxxxxx možnost xxxxxxxxx xx původního xxxxx.
(3) Xxxxxxx xxxxx xxxxxxx x §3 písm. x), d) a x) xxxxxx xx xxxxxxx xxxxxxxx xxxxxxx xxxxx podle odstavce 2 xxxx. b) xxxxxxxxx x provedení xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx zranitelností; xxxxx xxxxxxxx x provedení xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxx §25 xxxx. 1 x reaguje xx zjištěné xxxxxxxxxx.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx se xxxx požadavky xxxxx xxxxxxxx 3 xxxxxxxxx.
§12
Xxxxxx přístupu
(1) Xxxxxxx xxxxx xx základě xxxxxxxxxx a xxxxxxxxxxxxxx xxxxxx xxxx přístup x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a xxxxxxx xxxxxxxx, xxxxx xxxxxx k zajištění xxxxxxx xxxxx, které xxxx xxxxxxxxx pro xxxxxxxxxx podle §19 x 20, x xxxxx xxxxx ve xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(2) Xxxxxxx xxxxx xxxx v xxxxx xxxxxx xxxxxxxx x informačnímu x xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxxx na xxxxxxx xxxxxx x rolí,
b) xxxxxxx každému uživateli x xxxxxxxxxxxxxxxx xxxxxxxxxxxxxx x informačnímu x xxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxx x xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx,
x) xxxx xxxxxxxxxxxxxx, xxxxxxxxxx xxxxx x oprávnění xxxxxxxx x technických xxxx,
x) zavádí bezpečnostní xxxxxxxx pro řízení xxxxxxxx xxxxxxxx k xxxxxxxxxxx informačního a xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxx xxx bezpečné používání xxxxxxxxx zařízení x xxxxxx technických zařízení, xxxxxxxxx x bezpečnostní xxxxxxxx xxxxxxx x xxxxxxxx technických xxxxxxxx, xxxxx xxxxxxx xxxxx xxxx xx xxx xxxxxx,
x) xxxxx přidělování xxxxxxxxxxxxxxx oprávnění na xxxxxx xxxxxxxx nutnou x xxxxxx xxxxxx xxxxx,
x) omezí x xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx xxxx aplikační xxxxxxxx,
x) přiděluje x xxxxxxx xxxxxxxxxx oprávnění x xxxxxxx x xxxxxxxxx xxxxxx přístupu,
i) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xx přístupových skupin x xxxx,
x) xxxxxxx xxxxxxx pro xxxxxx x ověřování xxxxxxxx xxxxx §19 x xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx podle §20,
x) xxxxxxxxx, xxx xxxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx postupy,
l) xxxxxxx odebrání xxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx změně xxxxxx xxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role,
m) xxxxxxx xxxxxxxx nebo xxxxx xxxxxxxxxxxx xxxxxxxxx xxx ukončení nebo xxxxx xxxxxxxxx xxxxxx x
x) dokumentuje xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx.
§13
Xxxxxxxx, xxxxx x xxxxxx
Xxxxxxx osoba x xxxxxxxxxxx x plánovanou xxxxxxxx, xxxxxxx x xxxxxxx informačního x xxxxxxxxxxxxx systému
a) řídí xxxxxx podle §5,
b) xxxx xxxxxxxx xxxxx xxxxx §11,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) zahrne xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx prostředí x xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx dat,
f) xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxx před xxxxxx xxxxxxxxx do provozu x
x) plní xxxxxxxxx xxxxx §19 odst. 3, je-li xxxxx xxxxxxxxx akvizice nebo xxxxxx xxxxxxx xxx xxxxxx x ověřování xxxxxxxx.
§14
Zvládání xxxxxxxxxxxxxx bezpečnostních xxxxxxxx a xxxxxxxxx
(1) Xxxxxxx osoba x xxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) xxxxxx proces xxxxxxx a xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx x stanoví xxxxxxx xxx
1. xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí a xxxxxxxxx x
2. xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx x aplikuje postupy xxx identifikaci, sběr, xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx kybernetického xxxxxxxxxxxxxx incidentu,
d) xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí xx xxxx xxxx §22 x 23,
f) xxxxxxx, že uživatelé, xxxxxxxxxxxxxx, osoby xxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxx xxxxxxxxxxx a xxxxxxxxxx xxxxx oznamovat neobvyklé xxxxxxx informačního x xxxxxxxxxxxxx systému a xxxxxxxxx na jakékoliv xxxxxxxxxxxxx,
x) zajistí xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xxxx xxx xxxxxxxxxx, zda xxxx být xxxxxxxxxxxxx xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxx §31,
h) xxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx postupů,
i) xxxxxxx xxxxxxxx xxx xxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxxx §32,
k) xxxx xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech x x xxxxxx xxxxxxxx,
x) xxxxxxxx a xxxx příčiny xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a
m) xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu x xx xxxxxxx xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx, popřípadě xxxxxxxxxxx stávající xxxxxxxxxxxx xxxxxxxx k zamezení xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx uvedená x §3 písm. x), x) x f) xxxxxx dále xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx xxxxxxx nástroj xxxxx §24.
§15
Xxxxxx xxxxxxxxxx xxxxxxxx
Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxx
x) xxxxxxx xxxxx a xxxxxxxxxx administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxx hodnocení xxxxx x xxxxxxx xxxxxx xxxxxxxxx a xxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů x posoudí možná xxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx činností,
c) xx základě xxxxxxx xxxxxxxxx xxxxx a xxxxxxx xxxxxx xxxxx xxxxxxx b) xxxxxxx xxxx řízení kontinuity xxxxxxxx xxxxxx určení
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx xxx užívání, xxxxxx x xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
2. xxxx obnovení xxxxx, xxxxx xxxxx xxxx po kybernetickém xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx úroveň poskytovaných xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému, x
3. xxxx xxxxxxxx xxx xxxx xxxxxx období, xx které xxxx xxx xxxxxx obnovena xxxx xx kybernetickém xxxxxxxxxxxxx incidentu xxxx xx xxxxxxx,
x) stanoví xxxxxxxx xxxxxx kontinuity xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx cílů xxxxx xxxxxxx c),
e) xxxxxxxxx, xxxxxxxxxxx a pravidelně xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxx související x xxxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx x xxxxxxxxxxxxx služeb x
x) xxxxxxxxx opatření pro xxxxxxx odolnosti informačního x komunikačního xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx x omezením xxxxxxxxxxx x xxxxxxx xxx tom x xxxxxxxxx xxxxx §27.
§16
Xxxxx xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx xxxxx v xxxxx auditu kybernetické xxxxxxxxxxx
x) xxxxxxx x xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxxxx politiky, včetně xxxxxxxxxxx technické shody, x xxxxxxxx xxxxxx xxxxxxxx v plánu xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx xxxxx a
b) posuzuje xxxxxx bezpečnostních xxxxxxxx x xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, vnitřními xxxxxxxx, xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx xx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a xxxx xxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
(2) Xxxxx podle odstavce 1 xx xxxxxxxx
x) xxx xxxxxxxxxx změnách, x xxxxx xxxxxx xxxxxxx,
x) x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xx 3 letech v xxxxxxx xxxxxxx osoby xxxxxxx v §3 xxxx. x) xxxxxx x
x) v xxxxxxxxxxxx xxxxxxxxxxx alespoň po 2 xxxxxx v xxxxxxx xxxxxxx xxxxx xxxxxxxxx x xxxxxxx x).
(3) Není-li x xxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxx v xxxxxxxxxxx xxxxx xxxxxxxx 2 xxxx. b) x x) v xxxxx rozsahu, xx xxxxx xxxxx xxxxxxxx xxxxxxxx xx xxxxxxxxxxxxxx xxxxxxx. X xxxxxxx xxxxxxx je xxxxx xxxxx v celém xxxxxxx xxxxxxx xxxxxxxxxx xx 5 let.
(4) Xxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx být xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx v §7 xxxx. 4, xxxxx xxxxxxxxx hodnotí xxxxxxxxx x účinnost zavedených xxxxxxxxxxxxxx xxxxxxxx.
(5) Xxxxxxx xxxxx, xxxxx xx xxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx správci daného xxxxxxxxxxxx a komunikačního xxxxxxx.
XXXXX II
TECHNICKÁ OPATŘENÍ
§17
Fyzická xxxxxxxxxx
Xxxxxxx xxxxx x xxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxx poškození, xxxxxxx xxxx zneužití aktiv xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx informačního a xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxxx oblast, xx xxxxx xxxx uchovávány x zpracovávány xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, x
x) x xxxxxxxxx bezpečnostního xxxxxxxxx xxxxxxxxxxx podle xxxxxxx x) přijme xxxxxxxx xxxxxxxx a xxxxxxxxx prostředky xxxxxxx xxxxxxxxxxx
1. x zamezení xxxxxxxxxxxxx xxxxxx,
2. x xxxxxxxx xxxxxxxxx a xxxxxxxxxxxx xxxxxxx a
3. xxx xxxxxxxxx ochrany xx xxxxxx objektů x x xxxxx xxxxxxx.
§18
Xxxxxxxxxx xxxxxxxxxxxxx xxxx
Xxxxxxx xxxxx pro xxxxxxx xxxxxxxxxxx komunikační sítě xxxxxxxx x xxxxxxx xxxxx §3 xxxx. x)
x) xxxxxxx segmentaci xxxxxxxxxxx sítě,
b) xxxxxxx xxxxxx komunikace x xxxxx xxxxxxxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxx,
x) pomocí kryptografie xxxxxxx důvěrnost a xxxxxxxxx dat xxx xxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxx xxxx xxx xxxxxxxx xx komunikační xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx komunikaci x
x) xxx zajištění segmentace xxxx x pro xxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxxx xxxxxxx xxxxxxx, xxxxx zajistí xxxxxxx xxxxxxxxx komunikační xxxx.
§19
Xxxxxx x xxxxxxxxx xxxxxxx
(1) Povinná xxxxx xxxxxxx xxxxxxx pro xxxxxx a ověření xxxxxxxx xxxxxxxxx, administrátorů x aplikací xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx pro xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxx
x) ověření xxxxxxxx před zahájením xxxxxxx x informačním x xxxxxxxxxxxx xxxxxxx,
x) xxxxxx počtu xxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxxx,
x) odolnost uložených xxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxx proti xxxxxxxxxxxxx xxxxxxxx x xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxxx xxxxx xx formě odolné xxxxx xxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxx xx určené xxxx xxxxxxxxxx,
x) dodržení xxxxxxxxxx xxxxxxxxxxxxxx údajů xxx xxxxxx xxxxxxxx x
x) xxxxxxxxxxxxxxx správu xxxxxxx.
(3) Xxxxxxx xxxxx pro xxxxxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxx autentizační xxxxxxxxxxx, xxxxx není xxxxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxx x xxxxx, xxxxx xx xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxx xxxxxxx xxxx xxxxxxx.
(4) Do xxxx splnění xxxxxxxxx xxxxx odstavce 3 xxxx nástroj xxx xxxxxxx identity xxxxxxxxx, xxxxxxxxxxxxxx x aplikací, xxxxxxxx autentizaci xxxxxx xxxxxxxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxx úroveň xxxxxxxxxxx.
(5) Do xxxx xxxxxxx požadavků xxxxx xxxxxxxx 3 xxxx 4 musí xxxxxxx xxx ověření xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx, který xxxxxxx x autentizaci xxxxxxxxxxxxx xxxx a xxxxx, xxxxxxxxx xxxxxxxx
x) xxxxx xxxxx xxxxxxx
1. 12 xxxxx x uživatelů x
2. 17 xxxxx x xxxxxxxxxxxxxx x xxxxxxxx,
x) umožňující zadat xxxxx x xxxxx xxxxxxx 64 xxxxx,
x) xxxxxxxxxxx použití malých x xxxxxxx písmen, xxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxx hesla, xxxxxxx xxxxxx xxxx xxxxx xxxxxxx xxxxx xxxxx xxx xxxxxx xxx 30 minut,
e) xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxxxxxxxxx
1. xxxxxx xx xxxxxxxxxx xxxxxxxxx xxxxx,
2. xxxxxx xxxxx na xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx se xxxxx, přihlašovacího xxxxx, x-xxxxx, xxxxx systému xxxx xxxxxxxx způsobem x
3. xxxxxxxx použití xxxxx používaných hesel x pamětí alespoň 12 xxxxxxxxxxx xxxxx x
x) xxx xxxxxxxx xxxxx hesla x xxxxxxxxx xxxxxxxxx po 18 měsících, xxxxxxx xxxx pravidlo se xxxxxxxxxx xx xxxx xxxxxxxx x obnově xxxxxxx v xxxxxxx xxxxxxx.
(6) Xxxxxxx xxxxx x xxxxxxx používání xxxxxxxxxxx xxxxx xxxxx x xxxxxx xxxx
x) xxxxxx bezodkladnou xxxxx xxxxxxxxx xxxxx xx xxxx prvním xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx x xxxxxxxx xxxxxxxx xx jeho xxxxxx použití xxxx xxxxxxxxx nejvýše 60 xxxxx xx xxxx xxxxxxxxx a
c) xxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxx xx xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxx §9.
§20
Xxxxxx xxxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx používá xxxxxxxxxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx řízení xxxxxxxxx
x) xxx přístup x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) xxx xxxxx xxx, zápis xxx x xxxxx xxxxxxxxx.
§21
Ochrana xxxx xxxxxxxxx xxxxx
(1) Povinná xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx x rámci xxxxxxx xxxx škodlivým kódem
a) x ohledem xx xxxxxxxxxx xxxxx zajišťuje xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx automatickou xxxxxxx
1. xxxxxxxxx xxxxxx,
2. xxxxxxxxx xxxxxxxx,
3. xxxxxxx,
4. xxxxxxxx xxxxxxx x výměnných xxxxxxxx nosičů,
5. komunikační xxxx a prvků xxxxxxxxxxx sítě x
6. xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x xxxx používání xxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxx xx xxxxxxxxx xxxx x
x) provádí xxxxxxxxxxx x účinnou xxxxxxxxxxx nástroje xxx xxxxxxx xxxx xxxxxxxxx xxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) zákona xxxxxxxxx podle odstavce 1 přiměřeně.
§22
Xxxxxxxxxxxxx xxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx, xxxx xxxxxxxxx a xxxxxxxxxxxxxx
(1) Xxxxxxx osoba
a) xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) xx xxxxxxx xxxxxxxxx důležitosti xxxxx xxxxxxxxxxx xxxxxx aktiv, x xxxxxxx xx xxxxxxxxxxxxx bezpečnostních x xxxxxxxxxx xxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx pro xxxxxxxxxxxxx bezpečnostních x xxxxxxxxxx událostí podle xxxxxxxx 1 xxxxxxxxx
x) xxxxxxxxxxxx síťovou xxxxxxxxxxxx xxxxxxxx původce, xx-xx x xxxxxxxxxxx xxxx xxxxxx nástroj, xxxxx xxxx xxxx xxxxxxx xxxxxxxxxxxx,
x) xxxx informací x bezpečnostních a xxxxxxxxxx xxxxxxxxxx; zejména xxxxxxxxxxx
1. xxxxx a xxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxx,
2. typ xxxxxxxx,
3. xxxxxxxxxxxx technického xxxxxx, xxxxx činnost xxxxxxxxxxx,
4. xxxxxxxxxxxx identifikaci xxxx, xxx kterým xxxx xxxxxxx provedena,
5. xxxxxxxxxxxx síťovou identifikaci xxxxxxxx xxxxxxx x
6. xxxxxxxxx nebo xxxxxxxxxxx xxxxxxxx,
x) xxxxxxx informací xxxxxxxxx xxxxx xxxxxx x) x b) xxxx neoprávněným xxxxxx x xxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx
1. xxxxxxxxxxxx x xxxxxxxxxxx xx xxxx xxxxx, x xx xxxxxx xxxxxxxxxxx xxxxxx,
2. xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx,
3. xxxxxxx i xxxxxxxxx xxxxxxxxxx x účty, xxxxxxxxxxx x xxxxx,
4. xxxxxxxxxxx činností v xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxx,
5. xxxxxxxx xxxxxxxxx, které xxxxx mít xxxx xx xxxxxxxxxx informačního x xxxxxxxxxxxxx systému,
6. xxxxxxxx x ukončení xxxxxxxx xxxxxxxxxxx xxxxx,
7. xxxxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx x
8. xxxxxxxx x xxxxxxxx o xxxxxxxxxx, xxxxxx x xxxxxxxxxx xx xxxxxxx x xxxxxxxxxx x změny xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx a
e) xxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx aktiv nejméně xxxxxx za 24 xxxxx.
(3) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. c), x) x x) xxxxxx xxxxxxxx záznamy událostí xxxxxxxxxxxxx podle odstavce 2 nejméně xx xxxx 18 měsíců.
(4) Xxxxxxx osoba xxxxxxx x §3 xxxx. x) xxxxxx uchovává xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx odstavce 2 xxxxxxx po dobu 12 xxxxxx.
§23
Detekce xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Xxxxxxx xxxxx x rámci komunikační xxxx, xxxxx xxxxxxxx xx informační x xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxx xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx x xxxxxxxx xxxxxxxxxxx xxx x xxxxx xxxxxxxxxxx sítě x xxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx a kontrolu xxxxxxxxxxx dat na xxxxxxxxx xxxxxxxxxxx xxxx x
x) xxxxxxxxx xxxxxxxxx xxxxxxxxxx.
(2) Xxxxxxx osoba xxxxxxx v §3 xxxx. c), d) x x) zákona xxxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxx na xxxxxxxxxx xxxxx v xxxxx
x) koncových xxxxxx,
x) xxxxxxxxx xxxxxxxx,
x) serverů,
d) xxxxxxxx xxxxxxx a xxxxxxxxx datových nosičů,
e) xxxxxxxx xxxxxxxxx prvků x
x) xxxxxxxxx aktiv.
§24
Xxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
Xxxxxxx xxxxx xxxxxxx x §3 písm. x), x) x f) xxxxxx používá xxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxxxx xxxxxx
x) xxxx x xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx §22 a 23,
x) xxxxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx informací pro xxxxxx xxxxxxxxxxxx role x xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxxx,
x) vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx bezpečnostních xxxx,
x) xxxxxxx případů nesprávného xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx pravidel xxx
1. xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
2. xxxxxx xxxxxxxx x
x) xxxxxxxxx xxxxxxxxx získaných xxxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxxx nastavení xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
§25
Xxxxxxxxx bezpečnost
(1) Xxxxxxx xxxxx xxxxxxx penetrační xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx se xxxxxxxxx na důležitá xxxxxx, x xx
x) xxxx xxxxxx xxxxxxxx xx xxxxxxx a
b) x xxxxxxxxxxx x xxxxxxxxx xxxxxx xxxxx §11 xxxx. 3.
(2) Xxxxxxx osoba dále x xxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx aplikací, xxxxxxxxx x transakcí xxxx
x) xxxxxxxxxxxx činností x
x) xxxxxxxx xxxxxxxxxxx xxxxxxxx.
§26
Xxxxxxxxxxxxxx xxxxxxxxxx
Xxxxxxx osoba xxx xxxxxxx xxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx
x) používá xxxxxxxx xxxxxx xxxxxxxxxxxxxx algoritmy x kryptografické xxxxx,
x) xxxxxxx systém xxxxxx xxxxx a xxxxxxxxxxx, xxxxx
1. xxxxxxx generování, xxxxxxxxxx, ukládání, změny, xxxxxxx platnosti, zneplatnění xxxxxxxxxxx x xxxxxxxxx xxxxx a
2. xxxxxx xxxxxxxx a audit,
c) xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxxxx doporučení x xxxxxxx kryptografických xxxxxxxxxx xxxxxx Xxxxxx, xxxxxxxxxx xx jeho xxxxxxxxxxxxx stránkách.
§27
Zajišťování xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx zavede xxxxxxxx pro xxxxxxxxxxx xxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxx xxxxxxx xxxx xxxxx §15,
b) xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx vůči xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, které xx xxxxx xxxxxx xxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxx xxxxx xxxxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
§28
Průmyslové, řídicí x xxxxxxx xxxxxxxxxx xxxxxxx
Xxxxxxx xxxxx xxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx, xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxx a xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx, xxxxx jsou xxxxxx xx specifického xxxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxx k xxxxxxxxx xxxxxx systémů a xx komunikační xxxx,
x) xxxxxxxxx komunikační xxxx xxxxxx pro xxxx xxxxxxx xx xxxxxxx xxxxxxxxxxxxxx,
x) omezení a xxxxxx xxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx,
x) xxxxxxx jednotlivých technických xxxxx xxxxxx systémů xxxx využitím xxxxxxx xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx xxxxxx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
§29
Xxxxxxxxx xxxxxx
(1) Povinná xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxx bezpečnostní xxxxxxxx xxxxx prováděcího xxxxxxxx Komise (XX) 2018/151 xx xxx 30. ledna 2018, xxxxxx xx xxxxxxx xxxxxxxx pro xxxxxxxxxxx xxxxxxxx Xxxxxxxxxx parlamentu x Xxxx (XX) 2016/1148, pokud xxx x bližší upřesnění xxxxx, xxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxx služeb xxxxxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx rizik, xxxxx xxxx xxxxxxxxx sítě x xxxxxxxxxx systémy, x parametrů pro xxxxxxxxxx xxxx, zda xx xxxxx incidentu xxxxxxxx; xxxxxxxxxx §3 xx 28 se xx tuto xxxxxxxx xxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx hlásí kontaktní xxxxx podle §34 xxxx. 2.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. h) xxxxxx hlásí xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §32 xxxx. 2 x 3.
XXXXX XXX
XXXXXXXXXXXX POLITIKA X XXXXXXXXXXXX XXXXXXXXXXX
§30
Xxxxxxxxxxxx xxxxxxxx x bezpečnostní xxxxxxxxxxx
(1) Xxxxxxx osoba
a) xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx bezpečnostní xxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx v příloze č. 5,
b) xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxxx, xxx xxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx aktuální.
(2) Bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxx být
a) xxxxxxxx x xxxxxxxx xxxx elektronické xxxxxx,
x) xxxxxxxxxxxx v rámci xxxxxxx osoby,
c) xxxxxxxxx xxxxxxxx xxxxxxxx stranám,
d) xxxxxx,
x) xxxxxxxx x xxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x
x) xxxxxx tak, aby xxxxxxxxx x xxxx xxxxxxxx xxxx xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x xxxxxx xxxxxxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§31
Xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxxxxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxx podle xxxxxxxxxxx xxx xxxxxxxxxx
x) xxxxxx xxxxxxxxxx x dopadových xxxxxxxxxx kritériích, xxxxx xxxxxxx xxxx xxxxxxx xxxxx xxxxxx,
x) xxxxx xxxxxxxxx uživatelů,
c) xxxxxxxxx xxxx xxxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxx dotčených aktiv xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
f) xxxxxx xx xxxxxx xxxxxxxxxxx jinými xxxxxxxxxxxx x komunikačními xxxxxxx,
x) xxxxx trvání incidentu,
h) xxxxxxxxxxx rozsahu xxxxxxx xxxxxxx x
x) dalších xxxxxx.
(2) Xxx xxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xx xxxxxxx xxxxxxxxxx xxxxx odstavce 1 kybernetické bezpečnostní xxxxxxxxx xxxxxx xx xxxxxxxxxxxxx kategorií
a) Xxxxxxxxx XXX - xxxxx xxxxxxxx kybernetický bezpečnostní xxxxxxxx, xxx xxxxxx xx přímo x xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho řešení xxxxxxxx neprodlené zásahy xxxxxxx s xxx, xx xxxx xxx xxxxx xxxxxxxxxx prostředky xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx vzniklých x xxxxxxxxxxxxx xxxx,
x) Xxxxxxxxx XX - xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx narušena xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx řešení xxxxxxxx neprodlené xxxxxx xxxxxxx x xxx, xx xxxx být xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx vzniklých škod, xxxx
x) Xxxxxxxxx X - xxxx xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx xxxxxx dochází x méně xxxxxxxxxx xxxxxxxx bezpečnosti xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx vyžaduje xxxxxx obsluhy x xxx, že musí xxx xxxxxxxx prostředky xxxxxxx další xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
(3) Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobující xxxxxxxx xxxxxxxxxx aktiv,
b) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx narušení integrity xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobující xxxxxxxx xxxxxxxxxxx xxxxx, nebo
d) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxxx dopadů xxxxxxxxx x xxxxxxxxx x) xx c).
(4) Xxxx ustanovení se xxxxxxxxxx xx kybernetické xxxxxxxxxxxx incidenty u xxxxxxx osoby xxxxxxx x §3 písm. x) xxxxxx.
§32
Xxxxx a xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx Xxxxx xxxxx xx xxxxxxxxxxxxx xxxxxxxxx zveřejněném na xxxxxxxxxxxxx stránkách Xxxxx xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx pošty Xxxxx xxxxxxx xxx příjem xxxxxxx kybernetických bezpečnostních xxxxxxxxx, zveřejněnou xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx xxxxxx schránky Xxxxx, xxxx
x) prostřednictvím xxxxxxxx rozhraní, pokud xx xxxxxxxxx, jehož xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx stránkách Xxxxx.
(2) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx
x) xx xxxxxx elektronické xxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxx pro xxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xx xxxx internetových xxxxxxxxx,
x) xx datové xxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx provozovatele národního XXXX.
(3) Hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx je xxxxx xxxxxx x x listinné xxxxxx, xxxxx pouze x xxxxxxxxx, xxx xxxxx xxxxxx xxxxx xx xxxxxxx xxxxxxxxx x xxxxxxxxxx 1 x 2.
(4) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx
x) identifikace xxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxx x xxx xxxxxxxx xxxxxxxxx a
d) popis xxxxxxxxx.
XXXX XXXXXX
XXXXXXXXX XXXXXXXX X XXXXXXXXX ÚDAJE
§33
Reaktivní xxxxxxxx
(1) Povinná xxxxx, xxxxx Xxxx xxxxxx xxxxxxx xxxxxxxxx opatření,
a) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx na xxxxxxxxxx a komunikační xxxxxx x xx xxxxxxxx bezpečnostní opatření x xxxxxxxxx možné xxxxxxxxx xxxxxx x
x) xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx tohoto xxxxxxxx, xxxxx xxxxxxxxxxxx jeho xxxxx xxxxxxxxx xxxxxx, x xxxx xxxxxx xxxx jeho xxxxxxxxx.
(2) Xxxxxxx osoba, xxxxx Xxxx uložil xxxxxxx xxxxxxxxx xxxxxxxx, oznámí xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx x jeho xxxxxxxx xx xxxxx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
§34
Xxxxxxxxx xxxxx
(1) Kontaktní xxxxx se Xxxxx xxxxxxxx xx elektronickém xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx stránkách Úřadu xxxxxxxx
x) na xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx pro xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) do xxxxxx xxxxxxxx Xxxxx, xxxx
x) xxxxxxxxxxxxxxx datového xxxxxxxx, xxxxx xx xxxxxxxxx, xxxxx xxxxx xx xxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Úřadu.
(2) Xxxxxxxxx xxxxx se xxxxxxxxxxxxx xxxxxxxxx CERT xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx na xxxxxxxxxxxxx stránkách xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx provozovatele xxxxxxxxx XXXX xxxxxxx pro xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx národního XXXX, xxxx
x) prostřednictvím xxxxxxxxxxxxx xxxxxxx provozovatele xxxxxxxxx XXXX.
(3) Xxxxxxx xxxxxxxxxxx xxxxx je xxxxx xxxxxx i x xxxxxxxx podobě, xxxxx xxxxx x případech, xxx nelze xxxxxx xxxxx xx způsobů xxxxxxxxx x odstavcích 1 x 2.
(4) Xxxx oznámení xxxxxxxxxxx xxxxx xx uveden x příloze č. 8 k xxxx xxxxxxxx.
(5) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. c) xx x) zákona, xxxxx xx xxxxxxxxxxxxxx, xxxx x xxxxxxx xxxxxxxxxxx xxxxx xxxxx xxxxxxxx 1 xxxxxxxx xxxxxxxx, kterým xx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §8 xxxx. 1 xxxx. x).
XXXX PÁTÁ
ZÁVĚREČNÁ XXXXXXXXXX
§35
Xxxxxxxxx xxxxxxxxxx
(1) X xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx xxxx xxxxxx xxxxx xxxx nabytí účinnosti xxxx xxxxxxxx, a x případě xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x xxxxxxx došlo x xxxxxxxx xxxxxxxxxx kritérií xxxxx xxxx xxxxxx xxxxxxxxx této vyhlášky, xx do jednoho xxxx xxx xxx xxxxxx xxxxxxxxx xxxx xxxxxxxx xxx obsah x xxxxxxxxx bezpečnostní xxxxxxxxxxx x xxxxx x xxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx č. 316/2014 Sb., x bezpečnostních xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx opatřeních x x stanovení xxxxxxxxxxx xxxxxx v xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x kybernetické xxxxxxxxxxx).
(2) X xxxxxxx informačních xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x komunikačních xxxxxxx kritické informační xxxxxxxxxxxxxx, xxxxx byly xxxxxx xxxxx dnem xxxxxx xxxxxxxxx této xxxxxxxx, x x xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x xxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxx přede xxxx xxxxxx xxxxxxxxx xxxx vyhlášky, xx xx xxxxxxx xxxx xxx dne nabytí xxxxxxxxx této xxxxxxxx xxx xxxxxx xxxxxxxxx xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x jejich xxxxx xxxx xxxxxxxx xxxxxxxxx.
§36
Zrušovací xxxxxxxxxx
Xxxxxxx xx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech, reaktivních xxxxxxxxxx x o xxxxxxxxx xxxxxxxxxxx podání x oblasti xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx o xxxxxxxxxxxx xxxxxxxxxxx).
§37
Xxxxxxxx
Xxxx xxxxxxxx xxxxxx xxxxxxxxx dnem vyhlášení.
Ředitel:
Ing. Xxxxxxxx v. x.
Xxxxxxx x. 1 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx xxxxx
(1) Xxx xxxxxxxxx důležitosti xxxxx xxxx v xxxxx xxxxxxx xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxx x xxxxxxxx xx, xxxx xxxxx xx mělo narušení xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxx. Xxxxxxx xxxxx xxxx xxxxxxxx xxxxxxx xxxxx xxxxxx xxx hodnocení xxxxxxxxxxx xxxxx, xxx xxxx xx uveden x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx x stupnicemi a xxxxxxxx xxx hodnocení xxxxxxxxxxx xxxxx, které xxxx xxxxxxx x xxxx příloze.
(2) Je xxxxxxxxxx, aby si xxxxx xxxxxxx osoba xxxx xxxxxxxx xxxxxx xxxxxxxxxxxx svým xxxxxxxx.
Xxx. 1: Xxxxxxxx pro xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx ochranu aktiva |
|
Nízká |
Aktiva xxxx xxxxxxx xxxxxxxxx xxxx xxxx xxxxxx xx zveřejnění. Xxxxxxxx xxxxxxxxxx aktiv neohrožuje xxxxxxxxx xxxxx xxxxxxx xxxxx. X xxxxxxx sdílení xxxxxxxx xxxxxx x xxxxxxx stranami x xxxxxxx klasifikace xxxxx xxx. xxxxxxx xxxxx xxxxxxxxx (dále jen "XXX") xx xxxxxxxxx xxxxxxxx XXX:XXXXX. |
Xxxx xxxxxxxxxx xxxxx ochrana. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x tvoří xxxx-xxx xxxxxxx xxxxx, xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxxxxx. X xxxxxxx xxxxxxx xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx a použití xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx zejména xxxxxxxx XXX:XXXXX nebo XXX:XXXXX. |
Xxx ochranu xxxxxxxxxx xxxx využívány xxxxxxxxxx xxx xxxxxx přístupu. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx a xxxxxx xxxxxxx je vyžadována xxxxxxxx předpisy, jinými xxxxxxxx nebo xxxxxxxxx xxxxxxxxxx (xxxxxxxxx obchodní xxxxxxxxx, xxxxxx údaje). V xxxxxxx xxxxxxx xxxxxxxx xxxxxx s třetími xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx XXX xx využíváno zejména xxxxxxxx TLP:AMBER. |
Pro ochranu xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx x zaznamenávání xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxxxx sítí xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Kritická |
Aktiva nejsou xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxx nad rámec xxxxxxxxx xxxxxxxxx (například xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxx xxxxxxxxx osobních xxxxx). X xxxxxxx xxxxxxx xxxxxxxx xxxxxx s xxxxxxx stranami a xxxxxxx xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx xxxxxxx xxxxxxxx TLP:RED xxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx jsou využívány xxxxxxxxxx, které xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxx metody xxxxxxx zabraňující xxxxxxxx xxxxx ze strany xxxxxxxxxxxxxx. Přenosy informací xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxx. 2: Stupnice pro xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx aktiva xxxxxxxxxx xxxxxxxxx xxxxx povinné xxxxx. |
Xxxx vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx xxxxxxxxx xxxxxxx z hlediska xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx může xxxx x poškození xxxxxxxxxxx xxxxx povinné xxxxx x může se xxxxxxxx xxxx závažnými xxxxxx na xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (xxxxxxxxx omezení xxxxxxxxxxxx xxxx xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx vyžaduje xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx xxxxxxxxx aktiva xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx x xxxxxxxxxxx xxxxxx na xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx x zaznamenat xxxxxxxx xxxxx xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xx zajištěna xxxxxx xxxxxxxxxxxxxxxx prostředků. |
|
Kritická |
Aktivum xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx x xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx zájmů xxxxxxx xxxxx x přímými x xxxxx xxxxxxx xxxxxx xx primární xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx jednoznačné xxxxxxxxxxxx xxxxx xxxxxxxxxxx změnu (xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx podpisu). |
Tab. 3: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxxx dostupnosti xxxxxx xxxx xxxxxxxx x v xxxxxxx xxxxxxx xx xxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxx xxxxxxx (xxx xx 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx xx postačující xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx překročit xxxx xxxxxxxxxx xxx, xxxxxxxxxxxxx výpadek xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx a xxxxxx. |
|
Xxxxxx |
Xxxxxxxx dostupnosti xxxxxx xx xxxxxx překročit xxxx xxxxxxxx hodin. Xxxxxxxx xxxxxxx xx xxxxx xxxxx xxxxxxxxxx, xxxxxxx vede x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx. Xxxxxx xxxx xxxxxxxxxx xx xxxxx xxxxxxxx. |
Xxx xxxxxxx dostupnosti xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx poskytování xxxxxx může xxx xxxxxxxxx zásahy obsluhy xxxx výměnou technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx x x krátkodobá xxxxxxxxxxxx (x xxxx xxxxxxxx xxxxx) xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx povinné osoby. Xxxxxx jsou xxxxxxxxxx xx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx poskytování xxxxxx xx krátkodobá x xxxxxxxxxxxxxx. |
Xxxxxxx x. 2 x vyhlášce č. 82/2018 Sb.
Hodnocení xxxxx
(1) Xxxxxxxxxxx stanovení xxxxxx xxx xxxxxx xxxxxx xx xxxxxxxxx součástí xxxxxxxx xxx hodnocení xxxxx xxxxx §5.
(2) Xxxxxxx xxxxxx xx xxxxxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxx xxxxx, hrozba a xxxxxxxxxxxx.
(3) Xxx hodnocení xxxxx lze xxxxxx xxxxxxxxx tuto xxxxxx:
Xxxxxx = xxxxx x xxxxxx x zranitelnost.
(4) Xxxxx je x xxxxx xxxxxxx odvozen x xxxxxxxxx aktiv xxxxx přílohy č. 1.
(5) X xxxxxxx, xx xxxxxxx xxxxx xxxxxxx xxxxxx xxx hodnocení xxxxx, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx a zranitelnosti, xx možné xxxxxxxx xxx hodnocení xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxx by xxxxxx xxxx xx xxxxxx schopnosti xxxxxxxxx xxxxxx xxxxxx a xxxxxxxxxxxxx. Xx tímto xxxxxx xxx xxxxxx xxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxx jak xxxxxx hrozby, tak x úroveň zranitelnosti. Xxxxxxx xx xxxxxxxxx x v případech, xxx xxxxxxx xxxxx xxxxxxx xxxx xxxxx xxxxxx pro xxxxxxxxx xxxxxx, xxxxxx, zranitelností x xxxxx.
Xxx. 1: Xxxxxxxx pro xxxxxxxxx xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx neexistuje nebo xx málo xxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xx málo pravděpodobná xx xxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx je xxxxxxxxxxxxx xx velmi pravděpodobná. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx xxxxxxxxxxxxx až xxxxxxxx xxxxx. |
Xxx. 2: Xxxxxxxx xxx xxxxxxxxx zranitelností
|
Úroveň |
Popis |
|
Nízká |
Zranitelnost xxxxxxxxxx xxxx xx xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxx zavedena xxxxxxxxxxxx xxxxxxxx, která xxxx xxxxxxx včas xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx případné xxxxxx x xxxxxx zneužití. |
|
Střední |
Zneužití xxxxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, jejichž xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx opatření xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx případné xxxxxx x překonání xxxxxxxx xx xxxxxxx. Xxxxxx známé žádné xxxxxxx pokusy x xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Vysoká |
Zneužití xxxxxxxxxxxxx je pravděpodobné xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx jsou xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx xxxxx xxxxx xxxxxxx xxxxxx o xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx je xxxxx xxxxxxxxxxxxx až xxxxxxxx xxxxx. Xxxxxxxxxxxx opatření xxxxxx realizována xxxx xx xxxxxx xxxxxxxx xxxxxx xxxxxxx. Neprobíhá xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Jsou xxxxx xxxxxxx xxxxxx překonání xxxxxxxxxxxxxx opatření. |
Tab. 3: Xxxxxxxx xxx hodnocení xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx xxxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx může xxx sníženo xxxx xxxxxxxxx xxxxxxxxxx xxxx x xxxxxxx xxxxx xxxxxxxxxx opatření xx xxxxxx xxxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxx nepřípustné a xxxx xxx xxxxxxxx xxxxxxxxxxxx kroky x xxxx odstranění. |
|
Kritické |
Riziko xx xxxxxxxxxxx x xxxx xxx xxxxxxxxxx zahájeny xxxxx x xxxx xxxxxxxxxx. |
Xxxxxxx x. 3 x xxxxxxxx č. 82/2018 Xx.
Xxxxxxxxxxxxx x xxxxxx
Xxxxxxxxxx: Xxxx xxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxx x xxxxxx. Xxxxxxxxxxxx konkrétních xxxxxxxxxxxxx x hrozeb xx xxxxxxxxxxxx povinné xxxxx.
Xxxxxxxxxxxxx
1. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
2. zastaralost xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
3. xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
5. xxxxxxxxxxxx údržba xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
6. xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
7. xxxxxxxxxxxx xxxxxxx při xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx jevů, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
8. xxxxxxxxxxxx monitorování činnosti xxxxxxxxx x administrátorů x xxxxxxxxxxx odhalit xxxxxx xxxxxxxx nebo xxxxxxx xxxxxxx xxxxxxx,
9. xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, nepřesné nebo xxxxxxxxxxxxx vymezení xxxx x povinností xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx,
10. xxxxxxxxxxxx xxxxxxx xxxxx,
11. nevhodná bezpečnostní xxxxxxxxxxxx,
12. nedostatečná xxxx xxxxxxxxx kontroly,
13. xxxxxxxxxxx xxxxxxxx odhalení pochybení xx xxxxxx xxxxxxxxxxx.
Xxxxxx
1. xxxxxxxx xxxxxxxxxxxx politiky, xxxxxxxxx neoprávněných xxxxxxxx, xxxxxxxx oprávnění xx xxxxxx uživatelů x xxxxxxxxxxxxxx,
2. xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
3. xxxxxxxx xxxxxxxx,
4. xxxxxxx programového xxxxxxxx x rozporu x licenčními xxxxxxxxxx,
5. xxxxxxxx xxx (xxxxxxxxx xxxx, spyware, trojské xxxx),
6. narušení fyzické xxxxxxxxxxx,
7. přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx dodávek elektrické xxxxxxx,
8. zneužití xxxx xxxxxxxxxxx modifikace údajů,
9. xxxxxx, odcizení xxxx xxxxxxxxx xxxxxx,
10. nedodržení xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxxxxx,
11. pochybení xx xxxxxx xxxxxxxxxxx,
12. xxxxxxxx vnitřních xxxxxxxxxx, xxxxxxx,
13. xxxxxxxxxx přerušení xxxxxxxxxxx služeb xxxxxxxxxxxxxx xxxxxxxxxx, dodávky xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxx,
14. nedostatek xxxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
15. cílený xxxxxxxxxxxx xxxx pomocí xxxxxxxxxx inženýrství, xxxxxxx xxxxxxxxxxx xxxxxxx,
16. xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx,
17. xxxxxxxx elektronické xxxxxxxxxx (odposlech, xxxxxxxxxx).
Příloha č. 4 x xxxxxxxx č. 82/2018 Sb.
Likvidace dat
(1) Xxxx xxxxxxx udává xxxxxxxxxx správce informačního x xxxxxxxxxxxxx systému x definování xxxxxxx xxxxxx xxx x xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx informace, xxxxxxxxxx xxxxx, informací a xxxxxx xxxxx.
(2) Xxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xx xxxxxxx xxxxxxxx xxx xxxxxx dat x xxxxxxxxx xxxxxxxxxxx xxxxxx xxx v xxxxxxx x xxxxx xxxxxxxx. Xxx nejsou xxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx. Xx xxxxx xxxxxx adekvátní xxxxxx xxxxxx nabízející xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxx x xxxxxxxxx technických xxxxxx xxx, xxxxxxxx x xxxxxxx a xxxxxxxxxxx xxxxx.
(3) Xxxxxxxx xxx xxxxxxxxx dat xx měla xxx xxxxxxxxx přiměřeně hodnotě x xxxxxxxxxxx xxxxx x xxxx xx xxxxxxx xxxxxxxxxxx
x) hodnotu xxxxxx (xxxxxxx z xxxxxxx xxxxxxxxxx),
x) xxxxxxxxxxx (xxxx a xxxxxxxx xxxxxx xxxxxxxxx),
x) zda xx xxxxx xxxxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxxxx xx nikoliv,
d) xxx xxxx xxxx xxxxxxxx dedikovaného nebo xxxxxxxxxxxxxxx xxxxxxxxx,
x) xxx xxxx xxxxxxxxx xxx xxxxxxxx (xxxxxxx zaměstnanec, xxxx xxxxxxxxx),
x) dostupnost xxxxxxxx x nástrojů xxx likvidaci,
g) xxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) zda xx k dispozici xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxxx x ohledem xx nástroje, xxxxxxx, xxxxxxxx, opětovné xxxxxxx xxxxxx xxxxxxxxx
x) možné xxxxxxx xxxxxxxxx xxx (xxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxx, xxxxxxxxxxxxx xxx xxxxxx šifrováním a xxxxxxx),
x) použitelné xxxxxxx xxxxxxxxx dat vzhledem xx stavu xxxxxx xxxxxxxxx (xxxxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxx informace, xxx xxxxxxx ze xxxxxxx xxxxxxx xxxxxxxxx).
(4) Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx:
x) Xxxxxxxxxx
1. Způsob xxxxxxxxx xxxxxxx x xxxxxxxxxx xxx tak, xxx xxxx xxx xxxxxx xxxxxxxxxx (xxxxxxxxx xxxxxxxxxx datového xxxxxxx, xxxxxxxx xxxxxxxxx dokumentu xx xxxxxx).
2. Xxx x xxxxxxx xxxxxxxx xxxxxx xxxxxxxxx dat. X xxxxxxx xxxxxxx xxxxxx xxxxxxxxx je xxxxx s vynaložením xxxxxxxx úsilí xxxxxxxxx xxxxxxx.
3. Xxxx xxxxxx xxxx xxxxxxxxxx pro xxxxxx xxxxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxx zápis.
4. Xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxx aktiva (xxxxxxx z přílohy č. 1): xxxxx.
x) Xxxxxxxx
1. Xxxxxx xxxxxxxxx spočívá x xxxxxxxx xxxxxxxx informace xxxxxxxxxx xxxxxxxxx.
2. Xxx x středně xxxxxxxx xxxxxx likvidace xxx. Xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx.
3. Xxxxxxxx xxxx xxx xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx k xxxxxxxxxxx informaci.
4. Xxxx xxxxxx xxxx vhodná xxx xxxxxxxxx média, xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx, případně pro xxxxx s velkou xxxxxxxxx.
5. Xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (vychází x přílohy č. 1): xxxxx až xxxxxxxx.
x) Fyzická likvidace xxxxxx xxxxxxxxx
1. Xxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxx v xxxxxxxxx xxxxxxxx x následném xxxxxxx xxxxxx xxxxxxxxx (xxxxxxxxxxx, xxxxxxxxx či xxxxxxxx xxxxxxxxx).
2. Xxx x xxxxxxxxxxxxxx metodu xxxxxxxxx dat. Xxxxx xxxxxxxxx po xxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxx pro xxxxxxx xxxx. Původní xxxxxxxxx xxxx xxxxx xxxxxxx xxx při xxxxxxxxxx xxxxxxx xxxxxxxx prostředků x xxxxx.
3. Xxxxxxxxxx xxxxxx xxxxxxxxx xxx xxxxxx důvěrnosti xxxxxx (xxxxxxx z přílohy č. 1): xxxxxxx až kritická.
Příklad xxxxxxx způsobů likvidace xxxxx úrovně xxxxxxxxxx xxxxxx (vychází z přílohy č. 1)
|
Xxxxxxxxx xxxxxx xxxxxxxxx xxxxx úrovně důležitosti xxxxxx |
|||||
|
Xxxxx xxxxxxxxx |
1. Nízká |
2. Xxxxxxx |
3. Vysoká |
4. Xxxxxxxx |
|
|
Xxxxxxxxx xx lidsky čitelném xxxxxx (xxxxxxx dokumenty, xxxxxxxx a podobně) |
Odstranění: Xxxxxxxx do xxxxxx. |
Xxxxxxxx: Xxxxxxxxx. |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxxx xxxxxxxxx: |
|||||
|
Xxxxxxx xxxxxxxx (xxxxxxx xxxxxxxx, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx likvidace: |
||
|
Xxxxxx xxxxxxxx (router, xxxxxx, xxxxx a xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Xxxxxxxxxxx xxxxxxxx (scanery, xxxxxxxx, xxx) |
|||||
|
Xxxxxxxxxx xxxxx (xxxxxxxxxx xxxxx, disky, XXX [Xxxx Disk Drive]) |
Odstranění: |
Xxxxxxxx: |
|||
|
Xxxxxxx xxxxx (XX, XXX, XX-XXX, XXX-XXX) |
Xxxxxxx xxxxxxxxx: |
||||
|
Xxxxxxx xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx xxxxx (xxxxx xxxxxx) |
|||||
|
Xxxxxxxxxxx x xxxxx |
Xxxxxxxxx xxxxxx likvidace xxx xx měl xxx xxxxxxxx xxxxxxxx ujednáním. |
||||
|
Odstranění: |
Xxxxxxxx: |
Xxxxxxxx: |
Přepsání/fyzická xxxxxxxxx: |
||
|
Alternativně v xxxxxxx xxxxxxxxxxxx paměťového xxxxx je možné xxxx xx xxxxxxxx xxxxxx xxxxxxx. |
|||||
Příloha č. 5 x xxxxxxxx č. 82/2018 Sb.
Obsah xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
1. Bezpečnostní xxxxxxxx
1.1. Xxxxxxxx systému řízení xxxxxxxxxxx informací
a) Xxxx, xxxxxxxx a xxxxxxx xxxxxx xxxxxxxxxxx informací.
b) Xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Pravidla a xxxxxxx xxx xxxxxx xxxxxx a xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx provádění xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx x postupy xxx nápravná xxxxxxxx x zlepšování xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
1.2. Xxxxxxxx xxxxxx xxxxx
x) Xxxxxxxxxxxx, hodnocení a xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx aktiv xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxxxxx důležitosti xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx jejich garanta,
2. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx aktiv
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx aktiv,
2. xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx aktiv podle xxxxxx xxxxx,
3. xxxxxxxxx xxxxxxx používání aktiv.
d) Xxxxxxx xxxxxxxxxxxx xxxxxx xxxx xxxxxx xxxxxxxxxxx xxxxxx dat, xxxxxxxxx, xxxxxxxxxx xxxxx x xxxxxx kopií.
1.3. Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx
x) Xxxxxx xxxxxxxxxxxxxx xxxx x xxxxxx xxxx x xxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx činností xxxxxxxxxxxx bezpečnostních xxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxx.
1.4. Xxxxxxxx xxxxxx xxxxxxxxxx
x) Xxxxxxxx x principy xxx xxxxx dodavatelů.
b) Xxxxxxxx xxx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxx x xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x x xxxxxx xxxxxxxx xxxxxxx odpovědnosti.
d) Xxxxxxxx xxx provádění xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.
1.5. Politika xxxxxxxxxxx lidských zdrojů
a) Xxxxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxx xxxxxxxxx
1. způsoby x xxxxx xxxxxxx xxxxxxxxx,
2. xxxxxxx x xxxxx poučení xxxxxxx xxxxx,
3. způsoby a xxxxx xxxxxxx xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx řešení xxxxxxx porušení xxxxxxxxxxxx xxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx ukončení xxxxxxxxxx xxxxxx xxxx změnu xxxxxxxx pozice
1. xxxxxxx xxxxxxxxx aktiv a xxxxxxxx práv xxx xxxxxxxx pracovního xxxxxx,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxxxxxxx xxxxxx.
1.6. Xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx
x) Xxxxxxxxx x xxxxxxxxxxxx xxxxxxx s bezpečným xxxxxxxx.
x) Postupy xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a xxxxxxxxxxxxxx xxxxx.
1.7. Xxxxxxxx xxxxxx přístupu
a) Princip xxxxxxxxxxx oprávnění/potřeba znát (xxxx xx know).
b) Xxxxxxxxx xx xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxx xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx xxxxxxxxx.
x) Řízení xxxxxxxx xxx mimořádné xxxxxxx.
x) Pravidelné xxxxxxxxxxx xxxxxxxxxxxx oprávnění včetně xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx.
1.8. Xxxxxxxx xxxxxxxxxx chování xxxxxxxxx
x) Pravidla xxx xxxxxxxx nakládání x xxxxxx.
x) Xxxxxxxx použití xxxxxxxxxxxx hesla.
c) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx x přístupu na xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Bezpečné xxxxxxx xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx xx xxxxxx x xxxxxxxx xxxxxxxxx.
1.9. Xxxxxxxx xxxxxxxxxx a xxxxxx a xxxxxxxxxxxx xxxxxxxx
x) Požadavky na xxxxxxxxxx a xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxx.
x) Xxxxxxxx x xxxxxxx testování xxxxxxxxxx x obnovy.
g) Xxxxxxxx xxxxxxxx k xxxxxxx, xxxxxxxxx xxxxxxxxxx.
1.10. Xxxxxxxx xxxxxxxxxx předávání x xxxxxx xxxxxxxxx
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx předávaných xxxxxxxxx.
x) Xxxxxxx ochrany xxxxxxxxxxxx xxxxxx informací.
c) Xxxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
1.11. Xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx
x) Xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx vybavení.
b) Xxxxxxxx x xxxxxxx xxxxxxxxxxx opravných xxxxxxxxxxxx xxxxxxx.
x) Pravidla x xxxxxxx testování xxxxx xxxxxxxxxxxx vybavení.
d) Xxxxxxxx x xxxxxxx nasazení xxxxx xxxxxxxxxxxx xxxxxxxx.
1.12. Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx
x) Xxxxxxxx x xxxxxxx pro xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx zařízení, která xxxxxxx osoba xxxx xx xxx xxxxxx.
1.13. Xxxxxxxx xxxxxxxx, vývoje x údržby
a) Bezpečnostní xxxxxxxxx xxx xxxxxxxx, xxxxx a xxxxxx.
x) Xxxxxx zranitelností.
c) Xxxxxxxx xxxxxxxxxxx a xxxxxxxx xxxxxxx programového xxxxxxxx x xxxxxxxxx
1. xxxxxxxx x postupy nasazení xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,
2. xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxxxx licenčních xxxxxxxx.
1.14. Xxxxxxxx xxxxxxx xxxxxxxx xxxxx
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx osobních údajů.
b) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx ochranu osobních xxxxx.
x) Popis přijatých x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro ochranu xxxxxxxx údajů.
1.15. Xxxxxxxx xxxxxxx xxxxxxxxxxx
x) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxx osob.
c) Pravidla xxx xxxxxxx zařízení.
d) Xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxx.
1.16. Politika xxxxxxxxxxx xxxxxxxxxxx xxxx
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx sítě.
b) Xxxxxx xxxx x xxxxxxxxxx xx xxxxxxxx xxxxxx sítě.
c) Pravidla x postupy pro xxxxxx přístupů x xxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxxxx x síti.
e) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxxx xxxxxxxxxx záznamů.
1.17. Xxxxxxxx ochrany před xxxxxxxxx kódem
a) Xxxxxxxx x xxxxxxx xxx xxxxxxx síťové komunikace.
b) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxx.
1.18. Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx vyhodnocování x xxxxxxxxx na xxxxxxxxxx xxxxxxxxxxxx bezpečnostní události.
c) Xxxxxxxx x postupy xxx optimalizaci xxxxxxxxx xxxxxxxx xxx detekci xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
1.19. Xxxxxxxx xxxxxxx x xxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxx x postupy xxx xxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx optimální nastavení xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxx sběr x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.20. Xxxxxxxx xxxxxxxxxx xxxxxxxxx kryptografické xxxxxxx
x) Xxxxxx xxxxxxx x xxxxxxx xx xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx xxxxxxx po xxxxxxxxxxxxx xxxxxx,
2. při xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxx.
x) Xxxxxx xxxxxx xxxxx.
1.21. Xxxxxxxx xxxxxx xxxx
x) Xxxxxx x xxxxxxxx řízení xxxxxxxxxx xxxx v xxxxx povinné xxxxx, xxxxxx xxxxxxxxx, xxxxxxxxxxxx x komunikačních xxxxxxxxx.
x) Xxxxxxxxxxxxx dopadů xxxxxxxxxx xxxx.
x) Způsob xxxxxx xxxxxxxx x testování xxxxxxxxxx xxxx.
1.22. Xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
x) Xxxxxxxxxx kategorií xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx identifikaci, xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx kybernetických bezpečnostních xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů x xxx xxxxxxxxxx xxxxxxxxxxxx bezpečnosti.
e) Xxxxxxxx xxxxxxxxx.
1.23. Xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx
x) Xxxxx x xxxxxxxxxx zúčastněných xxxx.
x) Xxxx xxxxxx xxxxxxxxxx xxxxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx,
2. xxxx xxxxxxxx xxxxx,
3. xxx xxxxxxxx xxx.
x) Xxxxxxxx xxxxxx kontinuity xxxxxxxx xxx xxxxxxxx xxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx dopadů kybernetických xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxx rizik.
e) Určení x xxxxx xxxxxxxxxx xxxxx kontinuity a xxxxxxxxxxx plánů.
f) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx.
2. Xxxxx xxxxxxxxxxxx dokumentace
2.1. Xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) Xxxx xxxxxx xxxxxxxxxxxx bezpečnosti.
b) Xxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx a xxxx, xxxxx xx auditu xxxxxxxxxxxx bezpečnosti zúčastnily.
e) Xxxxx x místo, xxx xxxx prováděny xxxxxxxx xxx auditu xxxxxxxxxxxx bezpečnosti.
f) Zjištění x auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Závěry xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
2.2. Xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx
x) Xxxxxxxxxxx opatření x xxxxxxxxxxx xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx informací.
b) Xxxxxxxxxxxx xxxx x xxxxxxxxx, které xxxxx xxx xxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxx x výkonnosti řízení xxxxxxxxxxx informací
1. neshody x nápravná opatření,
2. xxxxxxxx xxxxxxxxxxxx a xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx xxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx xxxxx x xxxx xxxxx xxxxxxxx rizik.
e) Identifikace xxxxxxxx xxx neustálé xxxxxxxxxx.
x) Xxxxxxxxxx potřebných xxxxxxxxxx, xxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
2.3. Xxxxxxxx xxx identifikaci x hodnocení xxxxx x pro xxxxxxxxx xxxxx
x) Určení xxxxxxxx xxx hodnocení xxxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxx aktiv,
2. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxx aktiv,
3. xxxxxx xxxxxxxx pro xxxxxxxxx úrovní dostupnosti xxxxx.
x) Xxxxxx xxxxxxxx xxx hodnocení xxxxx
1. xxxxxx stupnice pro xxxxxxxxx xxxxxx xxxxxx,
2. xxxxxx stupnice pro xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx stupnice pro xxxxxxxxx úrovní xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx rizik.
c) Xxxxxx a xxxxxxxx xxx zvládání xxxxx.
x) Xxxxxxx schvalování xxxxxxxxxxxxxxxx xxxxx.
2.4. Xxxxxx x xxxxxxxxx aktiv x xxxxx
x) Xxxxxxx xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxxxxx xxxxxxxxxx xxxxx z hlediska xxxxxxxxxx, integrity x xxxxxxxxxxx.
x) Přehled xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx a xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx podpůrných xxxxx,
3. určení xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx aktivy.
c) Xxxxxxxxx xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx na xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx existujících xxxxxxxx,
4. xxxxxxxxx xxxxxx rizika, xxxxxxxxx xxxx xxxxxx x xxxxxxxx xxx xxxxxxxxxxxxxxxx xxxxx,
5. xxxxxx x xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. návrh xxxxxxxx x jejich xxxxxxxxx.
2.5. Xxxxxxxxxx o xxxxxxxxxxxxxxxx
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx xxxxxxxxxx, xxxx nebyla xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx včetně xxxxxxx xxxxxx xxxxxxxxxxxx.
2.6. Xxxx xxxxxxxx xxxxx
x) Xxxxx x xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx xxxxxx xxxxx xx konkrétní xxxxxx.
x) Potřebné zdroje xxx jednotlivá bezpečnostní xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxx zajišťující xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx.
x) Xxxxxxx xxxxxxxx jednotlivých xxxxxxxxxxxxxx opatření xxx xxxxxxxx rizik.
e) Xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření.
f) Xxxxxxx hodnocení úspěšnosti xxxxxxxx jednotlivých bezpečnostních xxxxxxxx pro xxxxxxxx xxxxx.
2.7. Plán xxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxx x termíny poučení xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx, xxxxx xxxxxxxx předmět xxxxxxxxxxxx xxxxxxx a xxxxxx xxxx, které xxxxxxx xxxxxxxxxxx.
x) Formy x xxxxxxx xxxxxxxxx xxxxx.
2.8. Xxxxxxxx změn
a) Xxxxxxxx xxxxxxxxx xxxxx významných xxxx.
x) Xxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx.
2.9. Xxxxxxx xxxxxxxxx xxxxx
Xxxxxxx hlášených kontaktních xxxxx.
2.10. Přehled obecně xxxxxxxxx xxxxxxxx předpisů, xxxxxxxxx předpisů a xxxxxx předpisů a xxxxxxxxx závazků
a) Xxxxxxx xxxxxx xxxxxxxxx právních xxxxxxxx.
x) Xxxxxxx vnitřních xxxxxxxx x xxxxxx xxxxxxxx.
x) Xxxxxxx smluvních xxxxxxx.
2.11. Xxxxx xxxxxxxxxx xxxxxxxxxxx
x) Topologie xxxxxxxxxxxxxx.
x) Xxxxxxx xxxxxxxx zařízení.
Xxxxxxx č. 6 x xxxxxxxx x. 82/2018 Xx.
Xxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti x bezpečnostní role
Tato xxxxxxx obsahuje xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx xxxxxxx x §6 x 7.
Xxx. 1: Výbor xxx řízení xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxx pro xxxxxx xxxxxxxxxxxx bezpečnosti |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxx xxxxxx x rozvoj xxxxxxxxxxxx xxxxxxxxxxx v xxxxx xxxxxxx xxxxx. |
|
Xxxxx podmínky: |
a) Xxxx výboru pro xxxxxx kybernetické bezpečnosti xxxx xxx xxxxxxx |
Xxx. 2: Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxx systému xxxxxx bezpečnosti xxxxxxxxx. |
|
Znalosti: |
a) Xxxxx xxxx ISO/IEC 27000 x xxxxxxx xxxxx x xxxxxxx xxxxxxxxxxx a ICT. |
|
Zkušenosti: |
a) Xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx x praxe: |
a) Xxxxxxx 3 xxxx xxxxx v xxxxx xxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Information Security Xxxxxxx (XXXX), Certified xx Xxxx xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Certified Information Xxxxxxx Security Xxxxxxxxxxxx (XXXXX), Xxxxxxx XX (xxxxxxxxxxx schéma XXX). |
|
Xxxxx xxxxxxxx: |
x) Xxxx není xxxxxxxxxx x xxxxxx xxxxxxxxxxx za provoz xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x s xxxxxxx xxxxxxxxxx xx xxxxxxxx xxxxxx. |
Tab. 3: Architekt xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Odpovědnost xx xxxxx implementace xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxxx informačních x komunikačních xxxxxxx x xxxx navrhování. |
|
Zkušenosti: |
a) Xxxxxxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxxxx a praxe: |
a) Xxxxxxx 3 roky xxxxx x xxxxx xxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Ethical Hacker (XXX), CompTIA Xxxxxxxx +, Xxxxxxxxx Information Xxxxxxxx Manager (CISM), Xxxxxxxxx in Risk xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Xxxxxxxx Xxxxxxxxxxxx (XXXXX), Xxxxxxx XX (akreditační xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
Xxxx xxxx xxxxxxxxxx x rolemi xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx x komunikačních xxxxxxx. |
Xxx. 4: Auditor xxxxxxxxxxxx bezpečnosti
|
Role: |
Auditor xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
Xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti. |
|
Znalosti: |
a) Xxxxxxxxxxx x rámce xxxxxx xxxxxxxxxx bezpečnosti. |
|
Xxxxxxxxxx: |
x) Plánování xxxxxx informační nebo xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx x praxe: |
a) Xxxxxxx 3 xxxx xxxxx x xxxxxxx xxxxxx informační xxxx xxxxxxxxxxxx bezpečnosti, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Auditor (XXXX), Xxxxxxxxx Xxxxxxxx Xxxxxxx (CIA), Certified xx Risk and Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Xxxx Xxxxxxx Xxxxxxxxxxx Xxxxxxxx Management Xxxxxx (Xxxx Auditor XXXX), Xxxxxxx BI (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx x rolemi |
Xxx. 5: Xxxxxx xxxxxx
|
Xxxx: |
Xxxxxx xxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxxxxx xxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx znalost xxxxxx, xxxxx je xxxxxxxx. |
* Xxxxxxxxxxx xxxx xxx x jiná xxx xxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxx splňuje xxxxxxxxx XXX 17 024.
Xxxxxxx x. 7 x vyhlášce x. 82/2018 Xx.
Xxxxxx xxxxxxxxxx - xxxxxxxxxxxx xxxxxxxx xxx xxxxxxx vztahy
Obsah xxxxxxx uzavírané s xxxxxxxxxx dodavateli:
a) ustanovení x xxxxxxxxxxx xxxxxxxxx (x xxxxxxx xxxxxxxxxx, xxxxxxxxxxx a xxxxxxxxx),
x) xxxxxxxxxx o oprávnění xxxxxx xxxx,
x) xxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxx, popřípadě o xxxxxxxxxxxx xxxxxxxxx,
x) ustanovení x xxxxxxxx a xxxxxx xxxxxxxxxx (xxxxxxxx xxxxxxxxxxxx auditu),
e) ustanovení xxxxxxxxxx řetězení xxxxxxxxxx, xxxxxxx xxxx být xxxxxxxxx, xx poddodavatelé xx xxxxxx xxxxxxxxx x plném xxxxxxx xxxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxxxx x xxxxxxx v xxxxxxx x xxxxxxxxx xxxxxxx xxxxx xx xxxxxxxxxx,
x) xxxxxxxxxx o xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx bezpečnostních xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxxxx o xxxxxx změn,
h) xxxxxxxxxx x souladu xxxxx x obecně závaznými xxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx povinnou osobu x
1. xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx souvisejících s xxxxxxx xxxxxxx,
2. xxxxxxx xxxxxx rizik xx xxxxxx xxxxxxxxxx x x zbytkových xxxxxxxx xxxxxxxxxxxxx x plněním xxxxxxx,
3. xxxxxxxx xxxxx xxxxxxxx tohoto dodavatele xxxxx xxxxxx o xxxxxxxxxx xxxxxxxxxxx nebo xxxxx xxxxxxxxxxx xxxxxxxxx xxxxx, xxxxxxxxx xxxxx xxxxxxxxx nakládat x xxxxxx xxxxxx, xxxxxxxxxxx xxxxx xxxxxxxxxxx x xxxxxx podle xxxxxxx xx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx z xxxxxxx xxxxxxxxxxx při ukončení xxxxxxx (například přechodné xxxxxx při xxxxxxxx xxxxxxxxxx, kdy xx xxxxx xxxxx xxxxxxxx xxxxxx před xxxxxxxxx xxxxxx řešení, migrace xxx x podobně),
k) xxxxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxxxxx činností x souvislosti x xxxxxxxxxx (například xxxxxxxx xxxxxxxxxx xx xxxxxxxxxxx xxxxx, úkoly xxxxxxxxxx xxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx),
x) xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxx xxx, provozních xxxxx a informací xx xxxxxxxx xxxxxxxx,
x) xxxxxxxx xxx xxxxxxxxx xxx,
x) xxxxxxxxxx x xxxxx jednostranně xxxxxxxxx xx xxxxxxx x xxxxxxx xxxxxxxx změny xxxxxxxx xxx xxxxxxxxxxx xxxx xxxxx xxxxxxxx xxx xxxxxxxxx aktivy xxxxxxxxxxx dodavatelem x xxxxxx xxxxx smlouvy x
x) ustanovení x xxxxxxxx za xxxxxxxx xxxxxxxxxx.
Příloha x. 8 x xxxxxxxx č. 82/2018 Xx.
Xxxx Formuláře xxx xxxxxxx xxxxxxxxxxx xxxxx
Informace
Právní xxxxxxx č. 82/2018 Sb. xxxxx xxxxxxxxx xxxx 28.5.2018.
Xx xxx xxxxxxxx xxxxxx xxxxxxx xxxxx xxxxx xx doplňován.
Znění xxxxxxxxxxxx xxxxxxxx xxxxx jiných xxxxxxxx předpisů v xxxxxxxx není aktualizováno, xxxxx xx xxxx xxxxxx derogační xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) Xxxxxxxx Evropského xxxxxxxxxx a Xxxx (XX) 2016/1148 xx xxx 6. července 2016 x xxxxxxxxxx x zajištění xxxxxx xxxxxxxx úrovně xxxxxxxxxxx xxxx a xxxxxxxxxxxx xxxxxxx v Xxxx.