Právní předpis byl sestaven k datu 31.03.2025.
Zobrazené znění právního předpisu je účinné od 28.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
XXXXXXXX
xx xxx 21. xxxxxx 2018
x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx opatřeních, xxxxxxxxxxxxx xxxxxx x xxxxxxx kybernetické xxxxxxxxxxx x likvidaci xxx (xxxxxxxx o xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxx xxx xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx stanoví xxxxx §28 xxxx. 2 xxxx. x) xx x) x x) xxxxxx x. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx x o xxxxx souvisejících zákonů (xxxxx o xxxxxxxxxxxx xxxxxxxxxxx), ve xxxxx xxxxxx x. 104/2017 Xx. a zákona x. 205/2017 Sb., (xxxx xxx "xxxxx"):
XXXX XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxx xxxxxxxx zapracovává xxxxxxxxx xxxxxxx Xxxxxxxx xxxx1) x xxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx informační xxxxxxxxxxxxxx, xxxxxxxx xxxxxxxxxx xxxxxx, xxxxxxxxxx xxxxxx xxxxxxxx služby xxxxx xxxxxxxxxx xxxxxx nebo xxx elektronických komunikací, xxxxx xxxxxxx poskytovatel xxxxxxxxxxx xxxxxx, (xxxx xxx "xxxxxxxxxx a xxxxxxxxxxx xxxxxx") xxxxxxxx
x) xxxxx x strukturu xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxx x xxxxxx bezpečnostních xxxxxxxx,
x) xxxx, xxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,
x) xxxxxxxxxxx a způsob xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx,
x) náležitosti xxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxx a xxxx xxxxxxxx,
x) vzor oznámení xxxxxxxxxxx xxxxx x xxxx xxxxx a
g) xxxxxx likvidace xxx, xxxxxxxxxx údajů, informací x jejich kopií.
§2
Xxxxxxxx xxxxx
Xxx xxxxx xxxx vyhlášky xx xxxxxx
x) xxxxxxxxxxxxxxx xxxxx xxxxxxxxxxx správu, xxxxxx, xxxxxxx, xxxxxx x xxxxxxxxxx technického aktiva,
b) xxxxxxxxxxxxxxx xxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx xxx xxxxx xxxx xxxxx, xxxxx jsou xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx podle xxxxxx, (xxxx xxx "xxxxxxx xxxxx") x xxxx xxxxx jej xxxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) bezpečnostní politikou xxxxxx zásad x xxxxxxxx, xxxxx určují xxxxxx xxxxxxxxx xxxxxxx xxxxx,
x) xxxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxxxxxxxxx, xxxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, která xxxx xxxxxxxx škodu,
f) xxxxxxxxx aktivem xxxxxxxxx xxxxxxx, xxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx xx xx xxxxxxx, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) primárním xxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx zpracovává xxxx xxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxx, že xxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxx,
x) řízením xxxxx xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx, xxxxx x xxxxxxxx opatření ke xxxxxxxx rizik, sdílení xxxxxxxxx o riziku x xxxxxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx xxxxxx xxxxxxx xxxxx xxxxxxxx xx přístupu k xxxxxxx informačního a xxxxxxxxxxxxx xxxxxxx, která xxxxxxx xxxxxx xxxxxxxx, xxxxxxxx, xxxxxxxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, udržování x xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxx,
x) xxxxxxxxxx xxxxxxx xxxxxx technické xxxxxxxx, komunikační prostředky x programové vybavení xxxxxxxxxxxx x komunikačního xxxxxxx a xxxxxxx, xx xxxxxxx xxxx xxxx xxxxxxx xxxxxxxx, xxxxxxx selhání xxxx xxx xxxxx xx xxxxxxxxxx a xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx právnická xxxxx xxxxx xxxxx xxxxxxx xxxx, xxxxx xxxxxxxxx xxxxxx,
x) vrcholovým xxxxxxx xxxxx xxxx xxxxxxx xxxx, které xxxx xxxxxxxx xxxxx, nebo xxxxxxxxxx xxxxx xxxxxxx xxxxx,
x) xxxxxxxxx dodavatelem xxxxxxxxxxxx informačního xxxx xxxxxxxxxxxxx xxxxxxx (dále xxx "xxxxxxxxxxxx") x xxxxx, kdo s xxxxxxxx xxxxxx vstupuje xx xxxxxxxx vztahu, xxxxx xx xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxx změnou xxxxx, která má xxxx může mít xxxx na xxxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxx riziko,
p) xxxxxxxxxxxxx xxxxx místo aktiva xxxx slabé xxxxx xxxxxxxxxxxxxx xxxxxxxx, které xxxx být xxxxxxxx xxxxxx xxxx xxxx xxxxxxxx.
ČÁST XXXXX
XXXXXXXXXXXX OPATŘENÍ
HLAVA X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx řízení xxxxxxxxxxx informací
Povinná xxxxx x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx s xxxxxxx xx požadavky dotčených xxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxx xxxx xxxxxxxxxxx části x xxxxxx, xxxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx,
x) stanoví xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxx xxxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xx základě cílů xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx potřeb x hodnocení xxxxx xxxxxx přiměřená bezpečnostní xxxxxxxx,
x) řídí xxxxxx xxxxx §5,
x) xxxxxxx x xxxxxxx bezpečnostní xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx zásady, cíle, xxxxxxxxxxxx potřeby, xxxxx x xxxxxxxxxx ve xxxxxx k xxxxxx xxxxxxxxxxx informací, x xx xxxxxxx bezpečnostních xxxxxx x xxxxxxxx xxxxxxxxx rizik xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §30 x zavede xxxxxxxxx bezpečnostní opatření,
f) xxxxxxx provedení xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx (dále xxx "xxxxx xxxxxxxxxxxx xxxxxxxxxxx") xxxxx §16,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxx obsahuje xxxxxxxxx xxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxxx xxxxxx hodnocení xxxxx, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxxxxxxxxxxx bezpečnostních incidentů xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) průběžně xxxxxxxxxxxx a následně xxxxx §11 xxxx xxxxxxxx změny, xxxxx xxxxx do xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx systém xxxxxx bezpečnosti xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx s prováděnými xxxxxxxxxx xxxxxxx a
j) xxxx provoz a xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací x xxxxxxxxxxx xxxxxxxx xxxxxxx xx systémem xxxxxx xxxxxxxxxxx informací x xxxxxxx rizik.
§4
Xxxxxx xxxxx
(1) Xxxxxxx xxxxx x rámci xxxxxx xxxxx
x) xxxxxxx xxxxxxxx pro xxxxxxxxxxxx xxxxx,
x) stanoví xxxxxxxx xxx xxxxxxxxx xxxxx xxxxxxx x rozsahu xxxxxxxx x příloze č. 1 x xxxx vyhlášce,
c) xxxxxxxxxxxx a eviduje xxxxxx,
x) určí a xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx x xxxxxxx xxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti x xxxxxx xx xx xxxxxxxxxxxx xxxxxx xxxxx xxxxxxx b),
f) xxxx x xxxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx a xxxxxxxxxx aktivy,
g) hodnotí xxxxxxxx aktiva x xxxxxxxxxx xxxxxx zejména xxxxxxxx závislosti xxxxx xxxxxxx f),
h) na xxxxxxx xxxxxxxxx aktiv xxxxxxxxx a xxxxxx xxxxxxxx xxxxxxx xxxxx xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx způsoby xxxxxxxxx xxxxx x xxxxxxxx xxx manipulaci s xxxxxx x ohledem xx xxxxxx aktiv, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx x fyzické xxxxxxxxx xxxxx, x
x) určí xxxxxx xxxxxxxxx dat, xxxxxxxxxx xxxxx, informací x jejich xxxxx xxxx likvidaci xxxxxxxxxxx xxxxxx dat x xxxxxxx xx úroveň xxxxx v xxxxxxx x přílohou č. 4 k xxxx vyhlášce.
(2) Při xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx xx třeba xxxxxxxx xxxxxxx
x) xxxxxx x důležitost osobních xxxxx, zvláštních kategorií xxxxxxxx údajů xxxx xxxxxxxxxx xxxxxxxxx,
x) rozsah xxxxxxxxx xxxxxxxx povinností xxxx jiných xxxxxxx,
x) xxxxxx xxxxxxxx xxxxxxxxx xxxxxxxx a kontrolních xxxxxxxx,
x) poškození xxxxxxxxx, xxxxxxxxxx nebo xxxxxxxxxxxx xxxxx a xxxxx xxxxxxxx xxxxxx,
x) xxxxxx xx poskytování důležitých xxxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx,
x) xxxxxx xx zachování xxxxxxx xxxxx xxxx ochranu xxxxx xxxxxxx,
x) dopady xx xxxxxxxxxx x xxxxxx osob,
i) xxxxxx xx xxxxxxxxxxx xxxxxx x
x) xxxxxx xx xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému.
§5
Řízení xxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx rizik v xxxxxxxxxx xx §4
a) xxxxxxx xxxxxxxx xxx xxxxxxxxx rizik, xxxxxx xxxxxxxxx xxxxxxxx pro xxxxxxxxxxxxxxxx rizik,
b) x xxxxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxx hrozby x xxxxxxxxxxxxx; xxxxxx xxxxxxx zejména xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxxx v příloze č. 3 x xxxx xxxxxxxx,
x) xxxxxxx hodnocení xxxxx x xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 x xxx významných xxxxxxx,
x) při xxxxxxxxx xxxxx zohlední relevantní xxxxxx a zranitelnosti x posoudí možné xxxxxx na aktiva; xxxx xxxxxx xxxxxxx xxxxxxx x xxxxxxx přílohy č. 2 k této xxxxxxxx,
x) xxxxxxxx xxxxxx x xxxxxxxxx rizik,
f) xxxxxxxx xx základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení xxxxx xxxxxxxxxx o xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx přehled xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx, xxxxx
1. xxxxxx xxxxxxxxxx, xxxxxx xxxxxxxxxx,
2. xxxx aplikována, xxxxxx xxxxxxx xxxxxx,
x) xxxxxxxx a xxxxxx xxxx zvládání rizik, xxxxx xxxxxxxx cíle x přínosy bezpečnostních xxxxxxxx xxx zvládání xxxxxxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx prosazování xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, technické, lidské x xxxxxxxxxx xxxxxx, xxxxxx xxxxxx xxxxxxxx, xxxxx vazeb mezi xxxxxx x příslušnými xxxxxxxxxxxxxx xxxxxxxxxx a xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) při hodnocení xxxxx x v xxxxx xxxxxxxx rizik xxxxxxxx
1. xxxxxxxx xxxxx,
2. xxxxx xxxxxxx systému xxxxxx xxxxxxxxxxx informací,
3. xxxxxxxx xxxxx §11 xxxxxx x
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxx řešených, a
i) x souladu x xxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxxxxxx opatření.
(2) Xxxxxxx osoba xxxxxxx x §3 xxxx. x), d) a x) xxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx xxxxx x xxxxxxx osoba xxxxxxx x §3 xxxx. x) xxxxxx alespoň xxxxxx xx tři xxxx.
(3) Řízení rizik xxxx xxx xxxxxxxxx x xxxxxx xxxxxxx, xxx xxx je xxxxxxxxx v odstavci 1 písm. x), xxxxx xxxxxxx xxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx zajistí stejnou xxxx xxxxx xxxxxx xxxxxxx řízení xxxxx.
§6
Xxxxxxxxxxx bezpečnost
(1) Xxxxxxx xxxxx x xxxxxxx xx systém xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxx §3 xxxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací do xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx xxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx a xxxxxxx dosažení xxxxx x xxxx xxxxxxxxx xx xxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxx x xxxxxxxx zamýšlených xxxxxxx xxxxxxx řízení xxxxxxxxxxx informací,
f) xxxx xxxxxxxxxxx x rozvíjení xxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxxxx je xxx xxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxx osoby zastávající xxxxxxxxxxxx xxxx při xxxxxxxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxx xxxxxx xxxxxxxxxxxx,
x) zajistí stanovení xxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx x xxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx xxxx,
x) zajistí, xxx xxxx zachována xxxxxxxxxxx administrátorů a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) pro osoby xxxxxxxxxxx bezpečnostní xxxx xxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx xxxx x xxxxxx xxxxxxxxxxxxx xxxxx x
x) xxxxxxx xxxxxxxxx plánů xxxxxxxxxx xxxxxxxx, xxxxxx x xxxxxxx spojených se xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
(2) Povinná xxxxx x rámci systému xxxxxx bezpečnosti informací xxxx xxxxxxx výboru xxx řízení xxxxxxxxxxxx xxxxxxxxxxx x bezpečnostní xxxx a xxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxx se xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) a x) xxxxxx xxxx xxxxx, která xxxx xxxxxxxx xxxxxxxxxxxx xxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxxx bezpečnosti,
c) xxxxxxx aktiva x
x) xxxxxxxx xxxxxxxxxxxx bezpečnosti.
(4) Xxxxxxx osoba xxxxxxx x §3 xxxx. x) xxxxxx xxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxx. Xxxxxxx xxxxxxxxxxxx xxxx xxxxx odstavce 3 xxxx přiměřeně xxxxxxxx k rozsahu x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(5) Xxxxxxx osoba uvedená x §3 xxxx. x), d) a x) xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx x odstavci 3 písm. a) x x).
(6) Povinná xxxxx xxxxxxx x §3 písm. e) xxxxxx xxxxxxx zastupitelnost xxxxxxxxxxxx role manažera xxxxxxxxxxxx bezpečnosti.
(7) Výbor xxx xxxxxx kybernetické xxxxxxxxxxx je xxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxxxxxxx pro celkové xxxxxx a xxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx a xxxxxxx xxxxxxxx se xxxxxxxxxxxx xx xxxxxx a xxxxxxxxxx činností xxxxxxxxx x xxxxxxxxxxxxx bezpečností, xxxxx xxxxxx xxxx xxx alespoň jeden xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxx xxxxxxxx xxxxx a xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxx xxxxx x výboru xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx x příloze č. 6 x xxxx xxxxxxxx.
§7
Xxxxxxxxxxxx xxxx
(1) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxx řízení xxxxxxxxxxx informací, přičemž xxxxxxx této role xxxx být xxxxxxxx xxxxx, xxxxx xx xxx xxxx činnost xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx praxí x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx nebo x xxxxxxx xxxxxxxxxxx xxxxxxxxx
1. xx xxxx xxxxxxx xxx xxx, nebo
2. xx dobu jednoho xxxx, pokud xxxxxxxxxxx xxxxxxx xx xxxxxx xxxxx,
x) xxxxxxxx za xxxxxxxxxx informování xxxxxxxxxxx xxxxxx o
1. činnostech xxxxxxxxxxxxx x xxxxxxx xxxx xxxxxxxxxxxx a
2. xxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací x
x) xxxxx xxx xxxxxxx xxxxxxx xxxx odpovědných xx xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx.
(2) Xxxxxxxxx xxxxxxxxxxxx bezpečnosti xx xxxxxxxxxxxx role xxxxxxxxx xx xxxxxxxxx xxxxxx implementace bezpečnostních xxxxxxxx tak, xxx xxxx zajištěna bezpečná xxxxxxxxxxxx informačního a xxxxxxxxxxxxx systému, xxxxxxx xxxxxxx této xxxx xxxx být xxxxxxxx xxxxx, xxxxx je xxx xxxx xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx způsobilost xxxxx x navrhováním xxxxxxxxxxxx xxxxxxxxxxxxxx opatření x xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx dobu xxxxxxx xxx xxx, xxxx
x) xx dobu jednoho xxxx, xxxxx xxxxxxxxxxx xxxxxxx na xxxxxx xxxxx.
(3) Xxxxxx aktiva xx xxxxxxxxxxxx xxxx xxxxxxxxx za xxxxxxxxx xxxxxxx, xxxxxxx a xxxxxxxxxx xxxxxx.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti, xxxxxxx xxxxxxx xxxx xxxx xxxx xxx xxxxxxxx xxxxx, xxxxx xx xxx tuto xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx praxí x xxxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xx xxxx xxxxxxx tří xxx, xxxx
2. xx xxxx xxxxxxx xxxx, xxxxx xxxxxxxxxxx studium xx vysoké xxxxx,
x) xxxxxxxx, xx provedení xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx, a
c) xxxxx xxx xxxxxxx xxxxxxx jiných bezpečnostních xxxx.
(5) Xxxxxxx xxxxx xxx xxxxxxxx osob xxxxxxxxxxxxx bezpečnostní xxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx x příloze č. 6 x xxxx xxxxxxxx.
§8
Xxxxxx xxxxxxxxxx
(1) Povinná xxxxx
x) xxxxxxx xxxxxxxx xxx dodavatele, která xxxxxxxxxx požadavky xxxxxxx xxxxxx xxxxxxxxxxx informací,
b) xxxx xxxxxxxx svých xxxxxxxxxx xxxxxxxxxx,
x) prokazatelně xxxxxxx informuje své xxxxxxxx xxxxxxxxxx o xxxxxx xxxxxxxx xxxxx xxxxxxx x),
x) seznamuje xxx dodavatele x xxxxxxxx xxxxx xxxxxxx x) a xxxxxxxx xxxxxx xxxxxx xxxxxxxx,
x) xxxx rizika spojená x xxxxxxxxxx,
x) v xxxxxxxxxxx s xxxxxxx xxxxx spojených s xxxxxxxxxx xxxxxxxxxx xxxxxxx, xxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx relevantní xxxxxxx xxxxxxx v příloze č. 7 x xxxx xxxxxxxx, x
x) pravidelně přezkoumává xxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxx x xxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxx xxxx
x) x xxxxx xxxxxxxxxx řízení x xxxx xxxxxxxxx xxxxxxx xxxxxxx hodnocení xxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxxx výběrového xxxxxx xxxxxxxxx podle přílohy č. 2 x této xxxxxxxx,
x) x xxxxx xxxxxxxxxxx smluvních xxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxx xxxxx vzájemné smluvní xxxxxxxxxxxx za xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx pravidelné xxxxxxxxx rizik x xxxxxxxxxxx xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxx xxxx xxxxxx xxxxx xxxxxx x
x) x xxxxxx xx xxxxxx x xxxxxxxx xxxxxxxxxx zajistí xxxxxx xxxxxx.
(3) Xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 xxxx. x) xxxx
x) xxxxxxxxxxxx xxxxxxx nebo xxxxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx x skutečnosti, že xxxxxxxxx xx xxx xxxxxxx xxxxxxxxx dodavatelem, x xxxxxxxxx také x tom, xx xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx, x
x) xxxxx pravidel xxxxx xxxxxxxx 1 písm. x).
(4) Xxxxxxx osoba xxxxxxx x §3 xxxx. x) až x) xxxxxx, xxxxx xx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 xxxx. x), xxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxx v §34.
§9
Xxxxxxxxxx xxxxxxxx zdrojů
(1) Xxxxxxx osoba x xxxxx xxxxxx bezpečnosti xxxxxxxx xxxxxx
x) s xxxxxxx xx xxxx x xxxxxxx systému xxxxxx xxxxxxxxxxx informací xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, jehož xxxxx xx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx obsahuje xxxxx, obsah x xxxxxx
1. xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx a xxxxxxxxxx x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx x
2. xxxxxxxxxx xxxxxxxxxxxx i xxxxxxxxxxx školení xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxx xxxxx odpovědné xx realizaci jednotlivých xxxxxxxx, xxxxx xxxx x plánu xxxxxxx,
x) x souladu s xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx bezpečnostní xxxx x dodavatelů x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx a xxxxxxxxxxxx xxxxxxx,
x) pro xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx v souladu x plánem xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxx školení, xxxxxxx xxxxxxx z xxxxxxxxxx potřeb povinné xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) v xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx pravidelné xxxxxxx x ověřování xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx v xxxxxxx s xxxxxx xxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx strany xxxxxxxxx, xxxxxxxxxxxxxx a xxxx zastávajících xxxxxxxxxxxx xxxx,
x) x xxxxxxx xxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxxx x xxxxxxx zastávajícími bezpečnostní xxxx xxxxxxx předání xxxxxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, provedených xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx se xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) xxxx pravidla a xxxxxxx xxx řešení xxxxxxx xxxxxxxx stanovených xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
(2) Povinná xxxxx vede x xxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx, xxxxx xxxxxxxx předmět xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
§10
Řízení xxxxxxx a xxxxxxxxxx
(1) Povinná xxxxx x xxxxx xxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x stanoví xxxxxxxx xxxxxxxx x xxxxxxx, xxxxx obsahují xxxxxxx
x) xxxxx x xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx x osob xxxxxxxxxxxxx xxxxxxxxxxxx role,
b) xxxxxxx xxx spuštění x xxxxxxxx chodu xxxxxxx, xxx restart nebo xxxxxxxx xxxxx xxxxxxx xx xxxxxxx x xxx ošetření chybových xxxxx xxxx xxxxxxxxxxx xxxx,
x) xxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxx xxx xxxxxxx xxxxxxxx x xxxxxxxx o xxxxxx xxxxxxxxxx,
x) pravidla x xxxxxxx xxx xxxxxxx xxxx škodlivým xxxxx,
x) xxxxxx technických xxxxxxxxxxxxx,
x) spojení xx xxxxxxxxx xxxxx, které xxxx pověřeny xxxxxxx xxxxxxxxx x technické xxxxxxx,
x) xxxxxxx xxxxxx x schvalování xxxxxxxxxx xxxx,
x) xxxxxxx pro xxxxxxxxx, xxxxxxxxx a xxxxxx kapacity xxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxx x postupy xxx ochranu informací x dat v xxxxxxx celého xxxxxxxxx xxxxx,
x) xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx,
x) provádění xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx provedených xxxxx a
l) xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx.
(2) Povinná xxxxx x xxxxx xxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxx a xxxxxxx xxxxxxxxx podle xxxxxxxx 1 x xxxx pravidla a xxxxxxx xxxxxxxxxxx x xxxxxxxxxxx s xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx osoba xxxxxxx xxxxxxxx vývojového, testovacího x xxxxxxxxxx prostředí.
§11
Řízení změn
(1) Povinná xxxxx v xxxxx xxxxxx xxxx u xxxxxxxxxxxx x komunikačního xxxxxxx
x) přezkoumává xxxxx xxxxxx změn a
b) xxxxxx významné xxxxx.
(2) Xxxxxxx xxxxx u xxxxxxxxxx xxxx
x) dokumentuje xxxxxx řízení,
b) xxxxxxx xxxxxxx xxxxx,
x) přijímá xxxxxxxx xx účelem xxxxxxx xxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxx změnami,
d) xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx dokumentaci,
e) zajistí xxxxxx xxxxxxxxx x
x) xxxxxxx xxxxxxx xxxxxxxxx xx xxxxxxxxx xxxxx.
(3) Xxxxxxx osoba uvedená x §3 písm. x), x) x x) zákona na xxxxxxx xxxxxxxx analýzy xxxxx xxxxx odstavce 2 písm. x) xxxxxxxxx o xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx; pokud xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx testování nebo xxxxxxxxx xxxxxxxxxxxxx, postupuje xxxxx §25 odst. 1 a xxxxxxx xx xxxxxxxx nedostatky.
(4) Xxxxxxx osoba xxxxxxx x §3 xxxx. x) xxxxxx se xxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxxxxxxx.
§12
Xxxxxx přístupu
(1) Xxxxxxx xxxxx xx xxxxxxx xxxxxxxxxx a bezpečnostních xxxxxx řídí xxxxxxx x informačnímu x xxxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx, která xxxxxx x xxxxxxxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxx §19 x 20, x xxxxx xxxxx xx xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxx xxxxxx.
(2) Xxxxxxx xxxxx dále x xxxxx xxxxxx přístupu x xxxxxxxxxxxx x xxxxxxxxxxxxx systému
a) řídí xxxxxxx xx xxxxxxx xxxxxx x xxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx x administrátorovi xxxxxxxxxxxxxx x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxx a xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx,
x) xxxx xxxxxxxxxxxxxx, xxxxxxxxxx xxxxx x xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxx,
x) xxxxxx bezpečnostní xxxxxxxx xxx xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx,
x) zavádí xxxxxxxxxxxx xxxxxxxx potřebná xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx technických zařízení, xxxxxxxxx i xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx technických zařízení, xxxxx povinná xxxxx xxxx xx xxx xxxxxx,
x) xxxxx přidělování xxxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxx nutnou x xxxxxx xxxxxx xxxxx,
x) xxxxx a xxxxxxxxxx xxxxxxxxx programových xxxxxxxxxx, xxxxx mohou xxx schopné překonat xxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x souladu x xxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx přezkoumání xxxxxxxxx veškerých xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xx přístupových xxxxxx x rolí,
j) xxxxxxx xxxxxxx xxx správu x ověřování xxxxxxxx xxxxx §19 a xxxxxxx pro xxxxxx xxxxxxxxxxxx oprávnění podle §20,
x) xxxxxxxxx, xxx xxxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx informací xxxxxxxxxx xxxxxxxxx postupy,
l) xxxxxxx odebrání xxxx xxxxx přístupových oprávnění xxx xxxxx pozice xxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role,
m) xxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx oprávnění xxx ukončení nebo xxxxx smluvního xxxxxx x
x) xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx.
§13
Xxxxxxxx, xxxxx x xxxxxx
Xxxxxxx osoba v xxxxxxxxxxx x plánovanou xxxxxxxx, xxxxxxx a xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx
x) řídí xxxxxx xxxxx §5,
b) xxxx významné xxxxx xxxxx §11,
x) xxxxxxx xxxxxxxxxxxx požadavky,
d) xxxxxx xxxxxxxxxxxx požadavky do xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx,
x) zajistí xxxxxxxxxx vývojového x xxxxxxxxxxx prostředí x xxxxxxx ochranu používaných xxxxxxxxxxx xxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxx před xxxxxx xxxxxxxxx xx xxxxxxx x
x) xxxx xxxxxxxxx xxxxx §19 xxxx. 3, xx-xx cílem xxxxxxxxx akvizice xxxx xxxxxx xxxxxxx xxx xxxxxx x xxxxxxxxx xxxxxxxx.
§14
Zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
(1) Xxxxxxx xxxxx v xxxxx zvládání kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
x) zavede xxxxxx xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) přidělí xxxxxxxxxxxx x xxxxxxx xxxxxxx xxx
1. xxxxxxx x xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx x
2. koordinaci x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx x aplikuje xxxxxxx xxx xxxxxxxxxxxx, xxxx, xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx potřebných xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx kybernetických bezpečnostních xxxxxxxx,
x) při xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx dále xxxx §22 a 23,
f) xxxxxxx, že xxxxxxxxx, xxxxxxxxxxxxxx, xxxxx zastávající xxxxxxxxxxxx role, xxxxx xxxxxxxxxxx x xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxx kterém musí xxx xxxxxxxxxx, xxx xxxx xxx xxxxxxxxxxxxx xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxx §31,
h) xxxxxxx zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx postupů,
i) xxxxxxx xxxxxxxx pro xxxxxxxxx x xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxx §32,
x) xxxx záznamy x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx x x xxxxxx xxxxxxxx,
x) prošetří x xxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx x
x) xxxxxxxxx xxxxxxxx řešení xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu x xx základě xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx opatření, xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x f) xxxxxx dále xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxx §24.
§15
Řízení kontinuity xxxxxxxx
Xxxxxxx xxxxx v xxxxx xxxxxx xxxxxxxxxx činností
a) xxxxxxx xxxxx a xxxxxxxxxx xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) pomocí xxxxxxxxx xxxxx a xxxxxxx xxxxxx xxxxxxxxx a xxxxxxxxxxx možné dopady xxxxxxxxxxxxxx bezpečnostních incidentů x posoudí možná xxxxxx xxxxxxxxxxx s xxxxxxxxx xxxxxxxxxx xxxxxxxx,
x) xx xxxxxxx xxxxxxx xxxxxxxxx xxxxx a xxxxxxx xxxxxx xxxxx xxxxxxx x) xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx poskytovaných xxxxxx, xxxxx je xxxxxxxxxx xxx xxxxxxx, xxxxxx a xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
2. doby xxxxxxxx xxxxx, xxxxx xxxxx xxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx úroveň poskytovaných xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, x
3. xxxx xxxxxxxx xxx xxxx xxxxxx xxxxxx, xx které musí xxx xxxxxx obnovena xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu xxxx xx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, která obsahuje xxxxxxxx cílů xxxxx xxxxxxx c),
e) vypracuje, xxxxxxxxxxx a xxxxxxxxxx xxxxxxx xxxxx kontinuity xxxxxxxx x xxxxxxxxx xxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx xxxxxxxx xxx xxxxxxx odolnosti xxxxxxxxxxxx x komunikačního systému xxxx xxxxxxxxxxxxx bezpečnostním xxxxxxxxxx x xxxxxxxx xxxxxxxxxxx x xxxxxxx xxx tom z xxxxxxxxx xxxxx §27.
§16
Audit xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx kybernetické xxxxxxxxxxx
x) provádí a xxxxxxxxxxx audit dodržování xxxxxxxxxxxx politiky, xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx, x xxxxxxxx xxxxxx xxxxxxxx x xxxxx xxxxxxx bezpečnostního povědomí x xxxxx zvládání xxxxx x
x) xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx xx x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxx xxxxxxxx opatření xxx xxxxxxxxx xxxxxxx.
(2) Xxxxx xxxxx xxxxxxxx 1 je xxxxxxxx
x) xxx xxxxxxxxxx změnách, x xxxxx xxxxxx xxxxxxx,
x) v xxxxxxxxxxxx xxxxxxxxxxx alespoň xx 3 xxxxxx x xxxxxxx xxxxxxx osoby xxxxxxx v §3 xxxx. x) zákona x
x) x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xx 2 xxxxxx x xxxxxxx xxxxxxx osoby xxxxxxxxx x písmenu x).
(3) Xxxx-xx v xxxxxxxxxxxx případech xxxxx xxxxxxx xxxxx x xxxxxxxxxxx xxxxx xxxxxxxx 2 xxxx. x) x x) v xxxxx xxxxxxx, xx xxxxx audit xxxxxxxx xxxxxxxx xx xxxxxxxxxxxxxx xxxxxxx. X takovém xxxxxxx je xxxxx xxxxx x xxxxx xxxxxxx xxxxxxx nejpozději xx 5 xxx.
(4) Xxxxx kybernetické xxxxxxxxxxx xxxx xxx xxxxxxxx xxxxxx vyhovující podmínkám xxxxxxxxxx v §7 xxxx. 4, xxxxx xxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(5) Povinná xxxxx, která je xxxxxxxx xxxxxxxxxxxxxx, předkládá xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx správci xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
XXXXX II
TECHNICKÁ XXXXXXXX
§17
Xxxxxxx xxxxxxxxxx
Xxxxxxx xxxxx x xxxxx xxxxxxx bezpečnosti
a) xxxxxxxxx poškození, xxxxxxx xxxx xxxxxxxx aktiv xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxxx perimetr xxxxxxxxxxxx xxxxxx, xx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx x umístěna xxxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému, x
x) x fyzického bezpečnostního xxxxxxxxx stanoveného podle xxxxxxx x) xxxxxx xxxxxxxx opatření a xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
1. k xxxxxxxx xxxxxxxxxxxxx vstupu,
2. k xxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x
3. xxx xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxx x v rámci xxxxxxx.
§18
Bezpečnost xxxxxxxxxxxxx xxxx
Xxxxxxx xxxxx pro ochranu xxxxxxxxxxx komunikační sítě xxxxxxxx v xxxxxxx xxxxx §3 xxxx. x)
x) zajistí segmentaci xxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxx komunikace x xxxxx xxxxxxxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxx xxx xxx xxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxx xxxx při xxxxxxxx xx komunikační xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxx x
x) xxx zajištění xxxxxxxxxx xxxx x xxx xxxxxx komunikace xxxx xxxxxx segmenty xxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxxxx integrity xxxxxxxxxxx xxxx.
§19
Xxxxxx x xxxxxxxxx xxxxxxx
(1) Xxxxxxx osoba xxxxxxx nástroj pro xxxxxx x ověření xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x aplikací informačního x xxxxxxxxxxxxx systému.
(2) Xxxxxxx xxx xxxxxx x ověření xxxxxxxx xxxxxxxxx, administrátorů x xxxxxxxx xxxxxxxxx
x) ověření xxxxxxxx xxxx xxxxxxxxx xxxxxxx x xxxxxxxxxxx x xxxxxxxxxxxx systému,
b) xxxxxx xxxxx xxxxxxx xxxxxxxxxxx xxxxxx o xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx autentizačních xxxxx xxxxx neoprávněnému xxxxxxxx a xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxxx xxxxx xx formě xxxxxx xxxxx xxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxx xx xxxxxx době xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx při xxxxxx xxxxxxxx x
x) xxxxxxxxxxxxxxx xxxxxx identit.
(3) Xxxxxxx osoba pro xxxxxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxx autentizační mechanizmus, xxxxx xxxx xxxxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxxxx účtu x xxxxx, xxxxx xx xxxxxxxxxxxxx autentizaci s xxxxxxx xxxxx xxxxxxx xxxx xxxxxxx.
(4) Do xxxx splnění xxxxxxxxx xxxxx odstavce 3 xxxx xxxxxxx pro xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x aplikací, xxxxxxxx xxxxxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx.
(5) Do xxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx 4 xxxx xxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx, administrátorů a xxxxxxxx, xxxxx xxxxxxx x xxxxxxxxxxx identifikátor xxxx x xxxxx, xxxxxxxxx xxxxxxxx
x) délky xxxxx xxxxxxx
1. 12 xxxxx x uživatelů x
2. 17 xxxxx x xxxxxxxxxxxxxx x xxxxxxxx,
x) xxxxxxxxxx zadat xxxxx x délce xxxxxxx 64 xxxxx,
x) xxxxxxxxxxx použití malých x velkých xxxxxx, xxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx uživatelům xxxxx xxxxx, xxxxxxx xxxxxx xxxx xxxxx xxxxxxx hesla xxxxx xxx xxxxxx xxx 30 xxxxx,
x) neumožňující xxxxxxxxxx x xxxxxxxxxxxxxxx
1. xxxxxx xx xxxxxxxxxx xxxxxxxxx xxxxx,
2. xxxxxx xxxxx xx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx se xxxxx, xxxxxxxxxxxxxx xxxxx, x-xxxxx, xxxxx systému xxxx xxxxxxxx způsobem x
3. xxxxxxxx xxxxxxx xxxxx xxxxxxxxxxx xxxxx x xxxxxx xxxxxxx 12 xxxxxxxxxxx xxxxx x
x) xxx povinnou xxxxx xxxxx x xxxxxxxxx xxxxxxxxx xx 18 xxxxxxxx, xxxxxxx xxxx pravidlo xx xxxxxxxxxx xx xxxx xxxxxxxx x obnově xxxxxxx v případě xxxxxxx.
(6) Povinná xxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxx x xxxxxx xxxx
x) xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxx xx xxxx xxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx heslo xxxxxxxx x xxxxxxxx xxxxxxxx xx jeho xxxxxx xxxxxxx xxxx xxxxxxxxx xxxxxxx 60 xxxxx od xxxx xxxxxxxxx x
x) povinně xxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxx xx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx podle §9.
§20
Xxxxxx přístupových xxxxxxxxx
Xxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxx pro xxxxxx xxxxxxxxxxxx oprávnění, kterým xxxxxxx xxxxxx xxxxxxxxx
x) xxx xxxxxxx x xxxxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx x
x) xxx xxxxx xxx, zápis xxx x změnu oprávnění.
§21
Ochrana xxxx xxxxxxxxx xxxxx
(1) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) zákona x rámci xxxxxxx xxxx xxxxxxxxx xxxxx
x) x xxxxxxx na xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxxx ochranu
1. xxxxxxxxx xxxxxx,
2. xxxxxxxxx xxxxxxxx,
3. xxxxxxx,
4. xxxxxxxx xxxxxxx a xxxxxxxxx xxxxxxxx xxxxxx,
5. xxxxxxxxxxx xxxx x xxxxx xxxxxxxxxxx sítě x
6. xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x xxxx xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,
x) řídí xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx nosičů,
d) xxxx xxxxxxxxx xx xxxxxxxxx xxxx x
x) xxxxxxx xxxxxxxxxxx x účinnou xxxxxxxxxxx nástroje xxx xxxxxxx xxxx xxxxxxxxx xxxxx.
(2) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x) zákona xxxxxxxxx podle xxxxxxxx 1 xxxxxxxxx.
§22
Zaznamenávání xxxxxxxx informačního x xxxxxxxxxxxxx systému, xxxx xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxxxx osoba
a) xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx provozní xxxxxxxx xxxxxxxxxx xxxxx informačního x komunikačního xxxxxxx x
x) xx základě xxxxxxxxx důležitosti xxxxx xxxxxxxxxxx xxxxxx xxxxx, x kterých xx xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx událostí xxxxxxxxx.
(2) Xxxxxxx xxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx událostí podle xxxxxxxx 1 zajišťuje
a) xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx, xx-xx x xxxxxxxxxxx síti xxxxxx nástroj, xxxxx xxxx jeho síťovou xxxxxxxxxxxx,
x) xxxx informací x xxxxxxxxxxxxxx a xxxxxxxxxx událostech; xxxxxxx xxxxxxxxxxx
1. datum a xxx včetně xxxxxxxxxxx xxxxxxxx xxxxx,
2. xxx xxxxxxxx,
3. xxxxxxxxxxxx technického xxxxxx, které xxxxxxx xxxxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxx xxxxxx xxxx xxxxxxx xxxxxxxxx,
5. xxxxxxxxxxxx síťovou xxxxxxxxxxxx xxxxxxxx xxxxxxx x
6. xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx xxxxxx x) x x) xxxx neoprávněným xxxxxx x xxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx
1. xxxxxxxxxxxx x xxxxxxxxxxx ke všem xxxxx, x xx xxxxxx xxxxxxxxxxx pokusů,
2. xxxxxxxx provedených xxxxxxxxxxxxxx,
3. xxxxxxx x xxxxxxxxx xxxxxxxxxx s účty, xxxxxxxxxxx x xxxxx,
4. xxxxxxxxxxx xxxxxxxx v xxxxxxxx nedostatku xxxxxxxxxxxx xxxx x oprávnění,
5. xxxxxxxx xxxxxxxxx, které xxxxx mít vliv xx bezpečnost xxxxxxxxxxxx x komunikačního xxxxxxx,
6. xxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx,
7. xxxxxxxxxx i xxxxxxxxx xxxxxxx technických xxxxx x
8. přístupů x xxxxxxxx x událostech, xxxxxx o xxxxxxxxxx xx xxxxxxx x xxxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxxx xx 24 xxxxx.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. c), x) x x) zákona xxxxxxxx xxxxxxx událostí xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx xx xxxx 18 xxxxxx.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) zákona uchovává xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx odstavce 2 xxxxxxx po xxxx 12 xxxxxx.
§23
Xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx
(1) Povinná osoba x xxxxx komunikační xxxx, xxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx, používá xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx x kontrolu xxxxxxxxxxx xxx v xxxxx xxxxxxxxxxx xxxx a xxxx komunikačními xxxxxx,
x) xxxxxxx x kontrolu xxxxxxxxxxx xxx na xxxxxxxxx xxxxxxxxxxx xxxx x
x) xxxxxxxxx xxxxxxxxx xxxxxxxxxx.
(2) Povinná xxxxx xxxxxxx v §3 xxxx. c), d) x f) zákona xxxxxxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx přiměřeně x ohledem xx xxxxxxxxxx xxxxx x xxxxx
x) xxxxxxxxx xxxxxx,
x) xxxxxxxxx xxxxxxxx,
x) xxxxxxx,
x) xxxxxxxx úložišť x xxxxxxxxx datových xxxxxx,
x) xxxxxxxx xxxxxxxxx prvků x
x) obdobných xxxxx.
§24
Xxxx x vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
Xxxxxxx xxxxx uvedená v §3 xxxx. x), x) x x) xxxxxx používá nástroj xxx sběr a xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxxx
x) xxxx x xxxxxxxxxxxxx xxxxxxxx zaznamenaných xxxxx §22 a 23,
x) xxxxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx informací xxx xxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx,
x) vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů, xxxxxx včasného xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx nastavení xxxxxxxx xxx
1. vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
2. xxxxxx varování a
f) xxxxxxxxx informací získaných xxxxxxxxx xxx sběr x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxx nastavení xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému.
§25
Xxxxxxxxx xxxxxxxxxx
(1) Povinná xxxxx xxxxxxx penetrační xxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xx xxxxxxxxx xx xxxxxxxx xxxxxx, x xx
x) xxxx xxxxxx xxxxxxxx xx xxxxxxx a
b) x xxxxxxxxxxx x xxxxxxxxx xxxxxx xxxxx §11 xxxx. 3.
(2) Xxxxxxx xxxxx xxxx x xxxxx aplikační xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx aplikací, xxxxxxxxx x xxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxx xxxxxxxxxxx xxxxxxxx.
§26
Kryptografické xxxxxxxxxx
Xxxxxxx osoba xxx ochranu xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) používá xxxxxxxx xxxxxx xxxxxxxxxxxxxx algoritmy x xxxxxxxxxxxxxx klíče,
b) xxxxxxx xxxxxx xxxxxx xxxxx x xxxxxxxxxxx, xxxxx
1. xxxxxxx xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, změny, xxxxxxx xxxxxxxxx, zneplatnění xxxxxxxxxxx x likvidaci xxxxx x
2. xxxxxx xxxxxxxx x xxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxxxx xxxxxxxxxx x oblasti xxxxxxxxxxxxxxxx xxxxxxxxxx xxxxxx Xxxxxx, xxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx.
§27
Xxxxxxxxxxx xxxxxx dostupnosti xxxxxxxxx
Xxxxxxx xxxxx xxxxxx xxxxxxxx pro xxxxxxxxxxx xxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx
x) dostupnost informačního x komunikačního xxxxxxx xxx xxxxxxx xxxx xxxxx §15,
x) xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx vůči xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, které xx mohly xxxxxx xxxx xxxxxxxxxx,
x) dostupnost xxxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxx xxxxx nezbytných pro xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx.
§28
Průmyslové, xxxxxx x xxxxxxx xxxxxxxxxx xxxxxxx
Xxxxxxx xxxxx xxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx, xxxxxxxx a xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxx x xxxxxxxx, xxxxx xxxxxxx
x) použití xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx, které xxxx xxxxxx xx xxxxxxxxxxxx xxxxxxxxx,
x) omezení fyzického xxxxxxxx x xxxxxxxxx xxxxxx xxxxxxx a xx xxxxxxxxxxx síti,
c) xxxxxxxxx xxxxxxxxxxx sítě xxxxxx xxx xxxx xxxxxxx xx ostatní xxxxxxxxxxxxxx,
x) omezení x xxxxxx vzdáleného přístupu x těmto xxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx xxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx x
x) xxxxxxxx xxxxx xxxxxx systémů xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
§29
Xxxxxxxxx xxxxxx
(1) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx zavede bezpečnostní xxxxxxxx xxxxx prováděcího xxxxxxxx Xxxxxx (XX) 2018/151 xx dne 30. ledna 2018, xxxxxx se stanoví xxxxxxxx xxx xxxxxxxxxxx xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Xxxx (EU) 2016/1148, xxxxx jde x xxxxxx upřesnění xxxxx, které xxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxx řízení xxxxxxxxxxxxxx xxxxx, xxxxx xxxx vystaveny xxxx x informační xxxxxxx, x xxxxxxxxx xxx xxxxxxxxxx toho, xxx xx xxxxx incidentu xxxxxxxx; ustanovení §3 xx 28 xx xx xxxx povinnou xxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx uvedená x §3 xxxx. x) xxxxxx hlásí kontaktní xxxxx xxxxx §34 xxxx. 2.
(3) Povinná xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx podle §32 xxxx. 2 x 3.
HLAVA III
BEZPEČNOSTNÍ XXXXXXXX X XXXXXXXXXXXX XXXXXXXXXXX
§30
Xxxxxxxxxxxx xxxxxxxx x bezpečnostní xxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxx xxxxxxxxxxxx politiku x xxxx xxxxxxxxxxxx xxxxxxxxxxx zahrnující oblasti xxxxxxx x příloze č. 5,
x) xxxxxxxxxx xxxxxxxxxxx bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx a
c) xxxxxxx, xxx xxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx aktuální.
(2) Bezpečnostní xxxxxxxx x bezpečnostní xxxxxxxxxxx musí xxx
x) xxxxxxxx v xxxxxxxx xxxx xxxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx x rámci xxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxx xxxxxxx,
x) xxxxxx,
x) chráněny x xxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx a
f) xxxxxx tak, aby xxxxxxxxx x nich xxxxxxxx xxxx úplné, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x xxxxxx vyhledatelné.
XXXX TŘETÍ
KYBERNETICKÝ XXXXXXXXXXXX XXXXXXXX
§31
Xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Jednotlivé xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxx podle významnosti xxx xxxxxxxxxx
x) dopadů xxxxxxxxxx x dopadových xxxxxxxxxx kritériích, xxxxx xxxxxxx byly povinné xxxxx xxxxxx,
x) xxxxx xxxxxxxxx xxxxxxxxx,
x) způsobené xxxx předpokládané xxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx služby xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx na služby xxxxxxxxxxx xxxxxx informačními x xxxxxxxxxxxxx xxxxxxx,
x) xxxxx xxxxxx xxxxxxxxx,
x) xxxxxxxxxxx rozsahu xxxxxxx xxxxxxx x
x) xxxxxxx xxxxxx.
(2) Pro potřeby xxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx na xxxxxxx xxxxxxxxxx xxxxx xxxxxxxx 1 kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxxx kategorií
a) Xxxxxxxxx XXX - xxxxx xxxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, při kterém xx xxxxx x xxxxxxxx narušena bezpečnost xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxx, xx musí xxx xxxxx dostupnými xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxx,
x) Xxxxxxxxx XX - xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx narušena xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x tím, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxxxxx vzniklých škod, xxxx
x) Kategorie I - xxxx xxxxxxxx xxxxxxxxxxxx bezpečnostní incident, xxx kterém xxxxxxx x xxxx významnému xxxxxxxx xxxxxxxxxxx poskytovaných xxxxxx xxxx xxxxx. Xxxx xxxxxx vyžaduje xxxxxx xxxxxxx s xxx, že musí xxx vhodnými prostředky xxxxxxx xxxxx šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace xxxxxxxxx xxxx.
(3) Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle xxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx důvěrnosti xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobující xxxxxxxx xxxxxxxxxxx xxxxx, nebo
d) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxxx dopadů xxxxxxxxx v písmenech x) xx c).
(4) Xxxx xxxxxxxxxx xx xxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxxxxx incidenty u xxxxxxx osoby xxxxxxx x §3 xxxx. x) xxxxxx.
§32
Xxxxx a náležitosti xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx Xxxxx xxxxx xx xxxxxxxxxxxxx xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx pošty Xxxxx xxxxxxx pro příjem xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xx xxxxxxxxxxxxx stránkách Úřadu,
b) xx xxxxxx xxxxxxxx Xxxxx, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxx rozhraní, xxxxx xx xxxxxxxxx, xxxxx xxxxx je zveřejněn xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx CERT xxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx internetových xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX zaslaném
a) xx xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, zveřejněnou xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx datové xxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx
x) prostřednictvím xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx je xxxxx xxxxxx x x listinné xxxxxx, xxxxx xxxxx x xxxxxxxxx, xxx xxxxx xxxxxx žádný xx xxxxxxx xxxxxxxxx v xxxxxxxxxx 1 x 2.
(4) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx
x) identifikace odesilatele,
b) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
c) datum x xxx xxxxxxxx xxxxxxxxx a
d) popis xxxxxxxxx.
ČÁST ČTVRTÁ
REAKTIVNÍ XXXXXXXX X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
(1) Xxxxxxx osoba, xxxxx Xxxx uložil xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx očekávané xxxxxx xxxxxxxxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx x xx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxx xxxxxxxxx xxxxxx x
x) xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx tohoto xxxxxxxx, xxxxx xxxxxxxxxxxx xxxx xxxxx xxxxxxxxx účinky, x xxxx xxxxxx xxxx xxxx provedení.
(2) Xxxxxxx xxxxx, xxxxx Xxxx xxxxxx provést xxxxxxxxx opatření, xxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx xx xxxxx xxxxxxx na internetových xxxxxxxxx Úřadu.
§34
Xxxxxxxxx údaje
(1) Kontaktní xxxxx xx Xxxxx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx xxxxxxxxx Úřadu xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx pošty Úřadu xxxxxxx xxx xxxxxx xxxxxxxx kontaktních xxxxx, xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Úřadu,
b) xx xxxxxx xxxxxxxx Úřadu, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, pokud je xxxxxxxxx, xxxxx xxxxx xx xxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Úřadu.
(2) Xxxxxxxxx xxxxx xx xxxxxxxxxxxxx národního XXXX xxxxxxxx xx elektronickém xxxxxxxxx xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx provozovatele xxxxxxxxx XXXX určenou pro xxxxxx xxxxxxxx kontaktních xxxxx, xxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx xxxxxx schránky xxxxxxxxxxxxx xxxxxxxxx CERT, xxxx
x) prostřednictvím xxxxxxxxxxxxx xxxxxxx provozovatele xxxxxxxxx XXXX.
(3) Xxxxxxx xxxxxxxxxxx xxxxx je xxxxx xxxxxx x x xxxxxxxx podobě, xxxxx xxxxx v případech, xxx nelze xxxxxx xxxxx xx xxxxxxx xxxxxxxxx x xxxxxxxxxx 1 x 2.
(4) Xxxx xxxxxxxx xxxxxxxxxxx xxxxx je xxxxxx x příloze č. 8 x xxxx vyhlášce.
(5) Povinná xxxxx xxxxxxx x §3 xxxx. x) xx x) xxxxxx, xxxxx xx xxxxxxxxxxxxxx, xxxx x hlášení xxxxxxxxxxx xxxxx xxxxx xxxxxxxx 1 přikládá xxxxxxxx, xxxxxx ji xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §8 odst. 1 xxxx. x).
XXXX XXXX
XXXXXXXXX XXXXXXXXXX
§35
Xxxxxxxxx xxxxxxxxxx
(1) X xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxx xxxx určeny xxxxx xxxx xxxxxx účinnosti xxxx xxxxxxxx, x x xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x xxxxxxx xxxxx k xxxxxxxx určujících kritérií xxxxx dnem nabytí xxxxxxxxx xxxx xxxxxxxx, xx xx xxxxxxx xxxx xxx xxx xxxxxx xxxxxxxxx xxxx xxxxxxxx pro xxxxx x strukturu xxxxxxxxxxxx xxxxxxxxxxx a obsah x xxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx vyhlášky č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech, xxxxxxxxxxx xxxxxxxxxx x x stanovení xxxxxxxxxxx xxxxxx x oblasti xxxxxxxxxxxx bezpečnosti (xxxxxxxx x kybernetické xxxxxxxxxxx).
(2) X xxxxxxx informačních xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx x komunikačních xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx byly xxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, x x xxxxxxx významných xxxxxxxxxxxx xxxxxxx, x kterých xxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxx účinnosti xxxx xxxxxxxx, xx xx jednoho xxxx xxx xxx nabytí xxxxxxxxx xxxx xxxxxxxx xxx xxxxxx likvidace xxx, provozních xxxxx, xxxxxxxxx x jejich xxxxx tato xxxxxxxx xxxxxxxxx.
§36
Xxxxxxxxx ustanovení
Zrušuje se xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx a o xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx kybernetické xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx).
§37
Xxxxxxxx
Xxxx xxxxxxxx xxxxxx xxxxxxxxx xxxx xxxxxxxxx.
Xxxxxxx:
Xxx. Xxxxxxxx x. x.
Příloha x. 1 x xxxxxxxx č. 82/2018 Xx.
Xxxxxxxxx aktiv
(1) Xxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxx x xxxxx xxxxxxx použity xxxxxxxx x xxxxxxx xxxxxxxx a xxxxxxxx xx, xxxx xxxxx xx xxxx xxxxxxxx xxxxxxxxxxx informací x xxxxxxxxxxxx aktiv. Xxxxxxx xxxxx xxxx xxxxxxxx xxxxxxx xxxxx xxxxxx xxx hodnocení xxxxxxxxxxx xxxxx, xxx xxxx xx xxxxxx v xxxx xxxxxxx, dodrží-li xxxxxxxxxxx xxxxx xxxx xxxx používaným xxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx x xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx aktiv, xxxxx xxxx xxxxxxx x xxxx příloze.
(2) Xx xxxxxxxxxx, xxx xx xxxxx xxxxxxx xxxxx xxxx dopadové matice xxxxxxxxxxxx xxxx xxxxxxxx.
Xxx. 1: Stupnice xxx xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx aktiva |
|
Nízká |
Aktiva xxxx xxxxxxx přístupná xxxx xxxx xxxxxx xx xxxxxxxxxx. Narušení xxxxxxxxxx xxxxx neohrožuje xxxxxxxxx zájmy xxxxxxx xxxxx. X xxxxxxx xxxxxxx xxxxxxxx aktiva s xxxxxxx stranami a xxxxxxx xxxxxxxxxxx xxxxx xxx. xxxxxxx xxxxx xxxxxxxxx (xxxx xxx "XXX") je využíváno xxxxxxxx XXX:XXXXX. |
Xxxx vyžadována xxxxx ochrana. |
|
Střední |
Aktiva xxxxxx xxxxxxx xxxxxxxxx x xxxxx xxxx-xxx xxxxxxx xxxxx, xxxxxxx xxxxx není vyžadována xxxxxx právním xxxxxxxxx xxxx smluvním xxxxxxxxx. X xxxxxxx sdílení takového xxxxxx s xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx TLP xx xxxxxxxxx xxxxxxx xxxxxxxx XXX:XXXXX xxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx využívány prostředky xxx xxxxxx přístupu. |
|
Xxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx x jejich xxxxxxx je vyžadována xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx (například obchodní xxxxxxxxx, xxxxxx xxxxx). X xxxxxxx sdílení xxxxxxxx xxxxxx s třetími xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx TLP xx xxxxxxxxx xxxxxxx xxxxxxxx TLP:AMBER. |
Pro ochranu xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx, které xxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx xxxxxxx přístupná x xxxxxxxx nadstandardní míru xxxxxxx xxx rámec xxxxxxxxx xxxxxxxxx (xxxxxxxxx xxxxxxxxxxx obchodní tajemství, xxxxxxxx xxxxxxxxx xxxxxxxx xxxxx). X xxxxxxx xxxxxxx xxxxxxxx aktiva x xxxxxxx stranami x xxxxxxx xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx xxxxxxx xxxxxxxx XXX:XXX xxxx TLP:AMBER. |
Pro ochranu xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx, xxxxx zajistí xxxxxx a xxxxxxxxxxxxx xxxxxxxx. Dále xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xx xxxxxx xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxx. 2: Xxxxxxxx pro xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx požadavků xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx ochranu x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx aktiva xxxxxxxxxx xxxxxxxxx xxxxx povinné xxxxx. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx vyžadovat xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx vést x poškození oprávněných xxxxx xxxxxxx osoby x xxxx se xxxxxxxx xxxx xxxxxxxxx xxxxxx na xxxxxxxx xxxxxx. |
Xxx ochranu integrity xxxx využívány standardní xxxxxxxx (xxxxxxxxx omezení xxxxxxxxxxxx xxxx xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxx x poškození xxxxxxxxxxx xxxxx povinné xxxxx x xxxxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxx dovolují xxxxxxxx historii xxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxx. Ochrana integrity xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx prostředků. |
|
Kritická |
Aktivum xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx x xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx zájmů povinné xxxxx s xxxxxxx x xxxxx xxxxxxx xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx integrity xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx jednoznačné xxxxxxxxxxxx xxxxx xxxxxxxxxxx změnu (xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx podpisu). |
Tab. 3: Xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxx x x xxxxxxx xxxxxxx xx běžně xxxxxxxxxx delší xxxxxx xxxxxx xxx xxxxxxx (xxx do 1 xxxxx). |
Xxx xxxxxxx xxxxxxxxxxx xx postačující xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx dostupnosti xxxxxx xx xxxxxx překročit xxxx pracovního dne, xxxxxxxxxxxxx xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx zájmů xxxxxxx xxxxx. |
Xxx ochranu xxxxxxxxxxx xxxx využívány xxxxx xxxxxx xxxxxxxxxx a xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx nemělo xxxxxxxxx xxxx xxxxxxxx xxxxx. Xxxxxxxx výpadek xx xxxxx řešit xxxxxxxxxx, xxxxxxx vede k xxxxxxx ohrožení xxxxxxxxxxx xxxxx xxxxxxx xxxxx. Xxxxxx jsou xxxxxxxxxx xx xxxxx důležitá. |
Pro xxxxxxx dostupnosti xxxx xxxxxxxxx záložní systémy x xxxxxx xxxxxxxxxxx xxxxxx xxxx být xxxxxxxxx zásahy xxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx dostupnosti xxxxxx xxxx xxxxxxxxx x x xxxxxxxxxx xxxxxxxxxxxx (x xxxx xxxxxxxx xxxxx) vede x xxxxxxx ohrožení oprávněných xxxxx xxxxxxx xxxxx. Xxxxxx jsou považována xx xxxxxxxx. |
Xxx ochranu xxxxxxxxxxx jsou využívány xxxxxxx xxxxxxx x xxxxxx xxxxxxxxxxx služeb xx krátkodobá x xxxxxxxxxxxxxx. |
Xxxxxxx č. 2 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx xxxxx
(1) Xxxxxxxxxxx xxxxxxxxx xxxxxx xxx xxxxxx xxxxxx xx xxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx xxxxx §5.
(2) Xxxxxxx xxxxxx xx xxxxxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx ovlivňuje xxxxx, hrozba x xxxxxxxxxxxx.
(3) Xxx xxxxxxxxx xxxxx lze použít xxxxxxxxx xxxx xxxxxx:
Xxxxxx = dopad x xxxxxx x zranitelnost.
(4) Xxxxx je x xxxxx xxxxxxx xxxxxxx x xxxxxxxxx xxxxx xxxxx přílohy č. 1.
(5) X xxxxxxx, že xxxxxxx xxxxx xxxxxxx xxxxxx xxx xxxxxxxxx rizik, xxxxx nerozlišuje xxxxxxxxx xxxxxx a zranitelnosti, xx xxxxx xxxxxxxx xxx hodnocení hrozeb x zranitelností xxxxxxx. Xxxxxxxx xxxxxxx xx xxxxxx vést xx xxxxxx xxxxxxxxxx rozlišení xxxxxx hrozby x xxxxxxxxxxxxx. Xx xxxxx xxxxxx xxx xxxxxx xxxxxxxxx komentář, xxxxx xxxxxxxx xxxxxxx jak xxxxxx xxxxxx, xxx x xxxxxx xxxxxxxxxxxxx. Xxxxxxx xx xxxxxxxxx x x xxxxxxxxx, xxx xxxxxxx xxxxx xxxxxxx xxxx xxxxx xxxxxx xxx hodnocení xxxxxx, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Xxx. 1: Xxxxxxxx xxx xxxxxxxxx xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx nebo xx xxxx pravděpodobná. |
|
Xxxxxxx |
Xxxxxx xx málo pravděpodobná xx pravděpodobná. |
|
Xxxxxx |
Xxxxxx xx pravděpodobná xx velmi xxxxxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx je xxxxx pravděpodobná xx xxxxxxxx jistá. |
Xxx. 2: Stupnice xxx hodnocení xxxxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx nebo je xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Jsou xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx málo xxxxxxxxxxxxx až pravděpodobné. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, jejichž xxxxxxxx xx pravidelně xxxxxxxxxxxx. Xxxxxxxxx bezpečnostních xxxxxxxx xxxx detekovat xxxxx xxxxxxxxxxxxx xxxx xxxxxxxx xxxxxx x překonání xxxxxxxx xx omezena. Xxxxxx známé xxxxx xxxxxxx xxxxxx o xxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx xx xxxxx pravděpodobné. Xxxxxxxxxxxx opatření jsou xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx všechny xxxxxxxx xxxxxxx x xxxx pravidelně kontrolována. Xxxx xxxxx dílčí xxxxxxx xxxxxx o xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx velmi xxxxxxxxxxxxx až víceméně xxxxx. Bezpečnostní opatření xxxxxx xxxxxxxxxxx xxxx xx jejich xxxxxxxx xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. Xxxx známé xxxxxxx xxxxxx překonání xxxxxxxxxxxxxx opatření. |
Tab. 3: Xxxxxxxx xxx hodnocení xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx považováno xx akceptovatelné. |
|
Střední |
Riziko xxxx xxx xxxxxxx méně xxxxxxxxx xxxxxxxxxx nebo x xxxxxxx xxxxx xxxxxxxxxx opatření je xxxxxx akceptovatelné. |
|
Vysoké |
Riziko xx xxxxxxxxxx nepřípustné x xxxx xxx zahájeny xxxxxxxxxxxx kroky x xxxx odstranění. |
|
Kritické |
Riziko xx xxxxxxxxxxx x musí xxx xxxxxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
Xxxxxxx č. 3 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxxxxxx x xxxxxx
Xxxxxxxxxx: Xxxx příloha xxxxxxxx xxx vybrané xxxxxxxxx xxxxxxxxxxxxx x xxxxxx. Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxx.
Xxxxxxxxxxxxx
1. nedostatečná xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
3. xxxxxxxxxxxx xxxxxxx vnějšího xxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
5. xxxxxxxxxxxx údržba xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
6. xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
7. xxxxxxxxxxxx xxxxxxx xxx xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx bezpečnostních incidentů,
8. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx nebo xxxxxxx xxxxxxx xxxxxxx,
9. xxxxxxxxxxxx stanovení xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxx nebo xxxxxxxxxxxxx xxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx,
10. nedostatečná xxxxxxx xxxxx,
11. nevhodná xxxxxxxxxxxx xxxxxxxxxxxx,
12. nedostatečná míra xxxxxxxxx xxxxxxxx,
13. xxxxxxxxxxx xxxxxxxx odhalení pochybení xx xxxxxx xxxxxxxxxxx.
Xxxxxx
1. xxxxxxxx bezpečnostní politiky, xxxxxxxxx neoprávněných xxxxxxxx, xxxxxxxx oprávnění ze xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
2. poškození xxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx vybavení,
3. xxxxxxxx xxxxxxxx,
4. užívání xxxxxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxxxx xxxxxxxxxx,
5. xxxxxxxx xxx (například xxxx, spyware, trojské xxxx),
6. xxxxxxxx xxxxxxx xxxxxxxxxxx,
7. xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx komunikací xxxx dodávek xxxxxxxxxx xxxxxxx,
8. zneužití xxxx xxxxxxxxxxx modifikace údajů,
9. xxxxxx, xxxxxxxx xxxx xxxxxxxxx xxxxxx,
10. xxxxxxxxxx xxxxxxxxx závazku ze xxxxxx xxxxxxxxxx,
11. xxxxxxxxx xx xxxxxx xxxxxxxxxxx,
12. xxxxxxxx xxxxxxxxx prostředků, xxxxxxx,
13. xxxxxxxxxx přerušení xxxxxxxxxxx služeb xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxx,
14. xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxx úrovní,
15. xxxxxx xxxxxxxxxxxx xxxx pomocí xxxxxxxxxx inženýrství, xxxxxxx xxxxxxxxxxx xxxxxxx,
16. xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx,
17. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx (xxxxxxxxx, xxxxxxxxxx).
Xxxxxxx x. 4 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx xxx
(1) Xxxx příloha xxxxx xxxxxxxxxx správce informačního x xxxxxxxxxxxxx xxxxxxx x xxxxxxxxxx způsobů xxxxxx xxx x xxxxxxx xxxxxxxxx technických xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx kopií.
(2) Jednotliví xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xx xxxxxxx xxxxxxxx xxx xxxxxx xxx x xxxxxxxxx technických xxxxxx xxx x souladu x xxxxx přílohou. Xxx nejsou xxxxxxx xxxxxxxxxx xxxxx jiných xxxxxxxx xxxxxxxx. Xx xxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxx nabízející xxxxxxxxx xxxxxxxxxxxx opatření, xxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxx dat x xxxxxxxxx xxxxxxxxxxx xxxxxx dat, xxxxxxxx x xxxxxxx x xxxxxxxxxxx xxxxx.
(3) Xxxxxxxx xxx xxxxxxxxx dat xx xxxx xxx xxxxxxxxx přiměřeně xxxxxxx x xxxxxxxxxxx xxxxx x xxxx xx xxxxxxx zohledňovat
a) xxxxxxx xxxxxx (zejména z xxxxxxx xxxxxxxxxx),
x) technologii (xxxx a xxxxxxxx xxxxxx informace),
c) zda xx xxxxx xxxxxxxxx xxxxxxx pod xxxxxxxxx xxxxxxxxxx xx nikoliv,
d) xxx xxxx xxxx xxxxxxxx dedikovaného nebo xxxxxxxxxxxxxxx prostředí,
e) kdo xxxx xxxxxxxxx dat xxxxxxxx (xxxxxxx zaměstnanec, xxxx xxxxxxxxx),
x) dostupnost xxxxxxxx x xxxxxxxx xxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxx nosičů,
h) xxx xx x xxxxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxxx s xxxxxxx xx xxxxxxxx, xxxxxxx, xxxxxxxx, xxxxxxxx xxxxxxx xxxxxx informace
k) xxxxx xxxxxxx xxxxxxxxx xxx (xxxxxxxxx zničením xxxxxx, xxxxxxxxxxxxxxxx přepsáním xxxxxx xxx, xxxxxxxxxxxxx xxx xxxxxx xxxxxxxxxx a xxxxxxx),
x) použitelné xxxxxxx xxxxxxxxx xxx vzhledem xx stavu xxxxxx xxxxxxxxx (například při xxxxxxxxx zařízení nebude xxxxx xxxxxx xxxxxxxx xxxxxxx informace, xxx xxxxxxx xx způsobů xxxxxxx xxxxxxxxx).
(4) Xxxxxxx xxxxxxxxx xxxxxxxxxxx nosičů xxxxxxxxx, xxxxxxxxxx údajů, xxxxxxxxx x xxxxxx xxxxx:
x) Xxxxxxxxxx
1. Xxxxxx xxxxxxxxx xxxxxxx v xxxxxxxxxx xxx xxx, xxx xxxx xxx xxxxxx xxxxxxxxxx (například xxxxxxxxxx datového xxxxxxx, xxxxxxxx xxxxxxxxx xxxxxxxxx xx odpadu).
2. Xxx x xxxxxxx bezpečný xxxxxx xxxxxxxxx xxx. X případě získání xxxxxx xxxxxxxxx je xxxxx x xxxxxxxxxxx xxxxxxxx xxxxx informace xxxxxxx.
3. Tato xxxxxx xxxx xxxxxxxxxx pro xxxxxx xxxxxxxxxxx xxx xxxxxxxxxxxx xxxxxxxx xxxxx.
4. Xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): xxxxx.
x) Xxxxxxxx
1. Xxxxxx xxxxxxxxx spočívá x xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx.
2. Jde x středně bezpečný xxxxxx xxxxxxxxx xxx. Xxxxx dostupné nástroje xxxxxxxxxx xxxxxxxx přepsaných xxxxxxxxx.
3. Xxxxxxxx xxxx xxx nahrazeno nebo xxxxxxxxxxx bezpečnou xxxxxxxxx xxxxxxxxxxxxxxxx klíčů x xxxxxxxxxxx xxxxxxxxx.
4. Xxxx xxxxxx není vhodná xxx xxxxxxxxx xxxxx, xxxxx neumožňující opětovný xxxxx, případně pro xxxxx s velkou xxxxxxxxx.
5. Použitelný xxxxxx xxx úroveň důvěrnosti xxxxxx (vychází z přílohy č. 1): xxxxx až xxxxxxxx.
x) Fyzická xxxxxxxxx xxxxxx xxxxxxxxx
1. Xxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxx x xxxxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxx xxxxxx informace (xxxxxxxxxxx, xxxxxxxxx či xxxxxxxx působením).
2. Jde x nejbezpečnější metodu xxxxxxxxx xxx. Xxxxx xxxxxxxxx po xxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxx xxx původní xxxx. Xxxxxxx informace xxxx xxxxx xxxxxxx xxx xxx vynaložení xxxxxxx množství prostředků x úsilí.
3. Použitelný xxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): xxxxxxx xx xxxxxxxx.
Xxxxxxx xxxxxxx xxxxxxx likvidace xxxxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx z přílohy č. 1)
|
Xxxxxxxxx způsob xxxxxxxxx xxxxx xxxxxx xxxxxxxxxxx xxxxxx |
|||||
|
Xxxxx xxxxxxxxx |
1. Nízká |
2. Xxxxxxx |
3. Xxxxxx |
4. Xxxxxxxx |
|
|
Xxxxxxxxx xx lidsky xxxxxxxx xxxxxx (xxxxxxx xxxxxxxxx, xxxxxxxx x podobně) |
Odstranění: Xxxxxxxx xx odpadu. |
Přepsání: Xxxxxxxxx. |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxxx xxxxxxxxx: |
|||||
|
Xxxxxxx xxxxxxxx (xxxxxxx telefony, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxx xxxxxxxx (xxxxxx, xxxxxx, xxxxx a xxxxxxx) |
Xxxxxxxxxx: |
Přepsání: |
|||
|
Xxxxxxxxxxx xxxxxxxx (scanery, xxxxxxxx, xxx) |
|||||
|
Xxxxxxxxxx xxxxx (xxxxxxxxxx xxxxx, disky, XXX [Xxxx Disk Drive]) |
Odstranění: |
Přepsání: |
|||
|
Xxxxxxx média (XX, XXX, HD-DVD, XXX-XXX) |
Xxxxxxx xxxxxxxxx: |
||||
|
Fyzická xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx média (flash xxxxxx) |
|||||
|
Xxxxxxxxxxx a xxxxx |
Xxxxxxxxx xxxxxx xxxxxxxxx dat xx xxx být xxxxxxxx xxxxxxxx xxxxxxxxx. |
||||
|
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxxx: |
Přepsání/fyzická xxxxxxxxx: |
||
|
Xxxxxxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xx xxxxx xxxx po xxxxxxxx xxxxxx xxxxxxx. |
|||||
Xxxxxxx x. 5 x xxxxxxxx č. 82/2018 Sb.
Obsah xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
1. Bezpečnostní xxxxxxxx
1.1. Xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací
a) Xxxx, xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx a xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Pravidla a xxxxxxx pro řízení xxxxxxxxxxx.
x) Pravidla a xxxxxxx xxx řízení xxxxxx x xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx provádění xxxxxx xxxxxxxxxxxx bezpečnosti.
f) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxx xxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx bezpečnosti informací.
1.2. Xxxxxxxx xxxxxx xxxxx
x) Xxxxxxxxxxxx, hodnocení a xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx určení jejich xxxxxxx,
2. xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti.
b) Xxxxxxxxxxxx, xxxxxxxxx x evidence xxxxxxxxxx aktiv
1. určení x evidence xxxxxxxxxxxx xxxxxxxxxx aktiv xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx vazeb xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
x) Xxxxxxxx ochrany xxxxxxxxxxxx xxxxxx aktiv
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
2. xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx xxxxx xxxxx xxxxxx xxxxx,
3. přípustné xxxxxxx xxxxxxxxx xxxxx.
x) Xxxxxxx spolehlivého mazání xxxx xxxxxx xxxxxxxxxxx xxxxxx xxx, xxxxxxxxx, xxxxxxxxxx xxxxx a xxxxxx xxxxx.
1.3. Xxxxxxxx xxxxxxxxxxx bezpečnosti
a) Určení xxxxxxxxxxxxxx rolí x xxxxxx xxxx x xxxxxxxxxx.
x) Xxxxxxxxx na xxxxxxxx xxxxxx činností xxxxxxxxxxxx xxxxxxxxxxxxxx rolí.
c) Xxxxxxxxx xx xxxxxxxx xxxxxx bezpečnostních x xxxxxxxxxx rolí.
1.4. Xxxxxxxx xxxxxx xxxxxxxxxx
x) Pravidla x xxxxxxxx xxx xxxxx dodavatelů.
b) Xxxxxxxx xxx hodnocení rizik xxxxxxxxxxxxx x xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxx x xxxxxxx a úrovní xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x o xxxxxx xxxxxxxx xxxxxxx odpovědnosti.
d) Xxxxxxxx pro provádění xxxxxxxx xxxxxxxx bezpečnostních xxxxxxxx.
x) Pravidla xxx xxxxxxxxx xxxxxxxxxx.
1.5. Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxx xxxx hodnocení
1. způsoby x xxxxx poučení xxxxxxxxx,
2. xxxxxxx a xxxxx poučení xxxxxxx xxxxx,
3. způsoby a xxxxx xxxxxxx administrátorů,
4. xxxxxxx a formy xxxxxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx role.
b) Xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxx řešení xxxxxxx porušení xxxxxxxxxxxx xxxxxxxx xxxxxxx řízení xxxxxxxxxxx informací.
d) Pravidla xxx xxxxxxxx pracovního xxxxxx xxxx xxxxx xxxxxxxx xxxxxx
1. xxxxxxx xxxxxxxxx xxxxx a xxxxxxxx práv xxx xxxxxxxx xxxxxxxxxx vztahu,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx změně pracovní xxxxxx.
1.6. Xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx
x) Xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx bezpečného xxxxxxx.
x) Xxxxxxxxx a xxxxxxxxx bezpečného xxxxxxx.
x) Xxxxxxxx x omezení xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
1.7. Politika xxxxxx přístupu
a) Princip xxxxxxxxxxx xxxxxxxxx/xxxxxxx znát (xxxx to xxxx).
x) Xxxxxxxxx na xxxxxx xxxxxxxx.
x) Životní xxxxxx xxxxxx xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx oprávnění.
e) Xxxxxx xxxxxxxx xxx mimořádné xxxxxxx.
x) Xxxxxxxxxx přezkoumání xxxxxxxxxxxx oprávnění xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx.
1.8. Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxx s xxxxxx.
x) Bezpečné xxxxxxx xxxxxxxxxxxx hesla.
c) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx x xxxxxxxx xx xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx chování xx xxxxxxxxxx xxxxxx.
x) Xxxxxxxxxx ve xxxxxx x mobilním xxxxxxxxx.
1.9. Xxxxxxxx xxxxxxxxxx x xxxxxx x xxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxxx xx xxxxxxxxxx a xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxxxx.
x) Pravidla a xxxxxxx obnovy.
f) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxx x obnovy.
g) Xxxxxxxx xxxxxxxx x xxxxxxx, xxxxxxxxx xxxxxxxxxx.
1.10. Xxxxxxxx bezpečného xxxxxxxxx x xxxxxx xxxxxxxxx
x) Xxxxxxxx a postupy xxx xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx informací.
c) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx ochrany.
1.11. Politika xxxxxx technických zranitelností
a) Xxxxxxxx xxx xxxxxxx xxxxxxxxx programového vybavení.
b) Xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx programových xxxxxxx.
x) Xxxxxxxx x xxxxxxx testování xxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
1.12. Xxxxxxxx xxxxxxxxxx používání xxxxxxxxx xxxxxxxx
x) Pravidla x xxxxxxx pro xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx zajištění xxxxxxxxxxx zařízení, xxxxx xxxxxxx xxxxx nemá xx své xxxxxx.
1.13. Xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx
x) Xxxxxxxxxxxx xxxxxxxxx pro xxxxxxxx, xxxxx a údržbu.
b) Xxxxxx xxxxxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxx x nabývání xxxxxxx xxxxxxxxxxxx xxxxxxxx x informací
1. pravidla x postupy xxxxxxxx xxxxxxxxxxxx vybavení a xxxx xxxxxxxx,
2. xxxxxxxx x xxxxxxx pro xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
1.14. Politika xxxxxxx xxxxxxxx xxxxx
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx údajů.
b) Xxxxx xxxxxxxxx x xxxxxxxxxxx organizačních xxxxxxxx xxx xxxxxxx osobních xxxxx.
x) Xxxxx přijatých x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxx údajů.
1.15. Xxxxxxxx xxxxxxx xxxxxxxxxxx
x) Pravidla xxx xxxxxxx xxxxxxx.
x) Xxxxxxxx pro kontrolu xxxxxx xxxx.
x) Pravidla xxx xxxxxxx zařízení.
d) Xxxxxxx xxxxxxxx fyzické xxxxxxxxxxx.
1.16. Politika xxxxxxxxxxx xxxxxxxxxxx xxxx
x) Xxxxxxxx x postupy xxx xxxxxxxxx xxxxxxxxxxx xxxx.
x) Xxxxxx xxxx x xxxxxxxxxx xx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx x postupy xxx xxxxxx xxxxxxxx x xxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx vzdáleného xxxxxxxx x xxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxxx provozních záznamů.
1.17. Xxxxxxxx ochrany xxxx xxxxxxxxx xxxxx
x) Pravidla x postupy xxx xxxxxxx xxxxxx komunikace.
b) Xxxxxxxx a xxxxxxx xxx xxxxxxx serverů x sdílených xxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx ochranu xxxxxxxxxx xxxxxx.
1.18. Politika xxxxxxxx x používání xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Provozní postupy xxx xxxxxxxxxxxxx x xxxxxxxxx xx detekované xxxxxxxxxxxx bezpečnostní xxxxxxxx.
x) Xxxxxxxx x postupy xxx optimalizaci xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
1.19. Xxxxxxxx využití a xxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx optimální nastavení xxxxxxxxxxxxxx xxxxxxxxxx nástroje xxx sběr x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
1.20. Politika bezpečného xxxxxxxxx kryptografické xxxxxxx
x) Xxxxxx xxxxxxx s xxxxxxx na xxx x sílu xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla kryptografické xxxxxxx xxxxxxxxx
1. při xxxxxxx xx xxxxxxxxxxxxx xxxxxx,
2. xxx uložení xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxx xxx.
x) Xxxxxx xxxxxx klíčů.
1.21. Xxxxxxxx xxxxxx změn
a) Způsob x xxxxxxxx řízení xxxxxxxxxx xxxx x xxxxx xxxxxxx xxxxx, xxxxxx xxxxxxxxx, xxxxxxxxxxxx x xxxxxxxxxxxxx systémech.
b) Xxxxxxxxxxxxx dopadů xxxxxxxxxx xxxx.
x) Způsob xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxx.
1.22. Xxxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx, xxxxxxxx x xxxxxxxx jednotlivých xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx testování systému xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla a xxxxxxx xxx vyhodnocení xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Evidence xxxxxxxxx.
1.23. Xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx
x) Xxxxx x povinnosti zúčastněných xxxx.
x) Xxxx xxxxxx xxxxxxxxxx xxxxxxxx
1. xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx,
2. xxxx obnovení xxxxx,
3. xxx xxxxxxxx xxx.
x) Xxxxxxxx xxxxxx kontinuity xxxxxxxx xxx naplnění xxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx dopadů xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Určení x xxxxx xxxxxxxxxx xxxxx xxxxxxxxxx a xxxxxxxxxxx xxxxx.
x) Xxxxxxx xxx realizaci xxxxxxxx xxxxxxxx Xxxxxx.
2. Xxxxx xxxxxxxxxxxx xxxxxxxxxxx
2.1. Xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) Cíle auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx auditu kybernetické xxxxxxxxxxx.
x) Identifikování xxxx xxxxxxxx x xxxx, xxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx zúčastnily.
e) Xxxxx a místo, xxx byly xxxxxxxxx xxxxxxxx xxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti.
2.2. Xxxxxx x xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxxxx xxxxxxxx z xxxxxxxxxxx xxxxxxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxxxxxx xxxx x xxxxxxxxx, xxxxx xxxxx xxx xxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x nápravná xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx a xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx cílů xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx xxxxx x xxxx xxxxx xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx xxxxxxxx x osob xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx činností.
2.3. Xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx hodnocení xxxxx
x) Xxxxxx xxxxxxxx xxx hodnocení xxxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx hodnocení xxxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxx aktiv,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx dostupnosti xxxxx.
x) Xxxxxx xxxxxxxx xxx hodnocení xxxxx
1. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxx,
2. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxxxxxx,
4. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxx.
x) Xxxxxx x přístupy xxx zvládání xxxxx.
x) Xxxxxxx schvalování xxxxxxxxxxxxxxxx xxxxx.
2.4. Zpráva o xxxxxxxxx xxxxx x xxxxx
x) Xxxxxxx primárních xxxxx
1. identifikace x xxxxx primárních xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxxxxx primárních xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxx podpůrných xxxxx
1. xxxxxxxxxxxx a xxxxx xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxx vazeb xxxx xxxxxxxxxx x xxxxxxxxxx aktivy.
c) Hodnocení xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx xx xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx existujících xxxxxxxxxxxxx, xxxxxxxxx existujících xxxxxxxx,
4. xxxxxxxxx úrovně xxxxxx, xxxxxxxxx této úrovně x xxxxxxxx xxx xxxxxxxxxxxxxxxx rizik,
5. určení x xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx způsobu xxxxxxxx xxxxx,
2. xxxxx opatření x xxxxxx realizace.
2.5. Xxxxxxxxxx x xxxxxxxxxxxxxxxx
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx xxxxxxxxxx, xxxx xxxxxx xxxxxxxxxx.
x) Xxxxxxx zavedených bezpečnostních xxxxxxxx včetně způsobu xxxxxx xxxxxxxxxxxx.
2.6. Plán xxxxxxxx rizik
a) Xxxxx x cíle xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx xxxxxx xxxxx xx xxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxx xxx jednotlivá xxxxxxxxxxxx xxxxxxxx pro zvládání xxxxx.
x) Osoby zajišťující xxxxxxxxxx bezpečnostní xxxxxxxx xxx xxxxxxxx rizik.
d) Xxxxxxx xxxxxxxx jednotlivých xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik.
e) Xxxxxx xxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx jednotlivých xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
2.7. Xxxx rozvoje xxxxxxxxxxxxxx povědomí
a) Xxxxx x termíny poučení xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Obsah x xxxxxxx xxxxxxx nových xxxxxxxxxxx.
x) Přehledy, které xxxxxxxx předmět jednotlivých xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxxxx xxxxx.
2.8. Xxxxxxxx xxxx
x) Xxxxxxxx xxxxxxxxx xxxxx významných xxxx.
x) Xxxxxxx o xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx.
2.9. Hlášené xxxxxxxxx xxxxx
Xxxxxxx hlášených xxxxxxxxxxx xxxxx.
2.10. Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxx a xxxxxxxxx závazků
a) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Přehled vnitřních xxxxxxxx x jiných xxxxxxxx.
x) Přehled smluvních xxxxxxx.
2.11. Další xxxxxxxxxx xxxxxxxxxxx
x) Xxxxxxxxx infrastruktury.
b) Xxxxxxx xxxxxxxx xxxxxxxx.
Xxxxxxx x. 6 x xxxxxxxx č. 82/2018 Sb.
Výbor pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx
Xxxx xxxxxxx obsahuje popis xxxxxxxxxxxx xxxxxxxxx xxx xxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx role xxxxxxx x §6 x 7.
Xxx. 1: Výbor xxx řízení kybernetické xxxxxxxxxxx
|
Xxxx: |
Xxxxx pro xxxxxx xxxxxxxxxxxx bezpečnosti |
|
Klíčové činnosti: |
a) Xxxxxxxxxxx za xxxxxxx xxxxxx x rozvoj xxxxxxxxxxxx xxxxxxxxxxx v xxxxx xxxxxxx osoby. |
|
Další xxxxxxxx: |
x) Xxxx xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx xxxxxxx |
Xxx. 2: Xxxxxxx xxxxxxxxxxxx bezpečnosti
|
Role: |
Manažer xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx xxxx ISO/IEC 27000 a obdobné xxxxx z xxxxxxx xxxxxxxxxxx a ICT. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 roky xxxxx x oboru xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Relevantní xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxx (CISM), Certified xx Risk xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Xxxxxxxxx Information Xxxxxxx Xxxxxxxx Xxxxxxxxxxxx (XXXXX), Manažer BI (xxxxxxxxxxx xxxxxx ČIA). |
|
Další xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx s xxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x x xxxxxxx provozními xx xxxxxxxx xxxxxx. |
Xxx. 3: Architekt xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx xxxxxxxxxxxx bezpečnosti |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxxx informačních x komunikačních systémů x její xxxxxxxxxx. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx a praxe: |
a) Xxxxxxx 3 xxxx xxxxx v xxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, nebo |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxx Xxxxxx (XXX), XxxxXXX Xxxxxxxx +, Xxxxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Xxxxxxxx Xxxxxxxxxxxx (CISSP), Xxxxxxx XX (akreditační xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
Xxxx není xxxxxxxxxx x xxxxxx xxxxxxxxxxx za xxxxxx xxxxxxxxxxxx x komunikačních xxxxxxx. |
Xxx. 4: Auditor xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
Xxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx: |
x) Metodologie x xxxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxxxx: |
x) Plánování xxxxxx xxxxxxxxxx nebo xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx x xxxxxxx xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, nebo |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx Internal Xxxxxxx (XXX), Certified xx Risk xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Lead Xxxxxxx Xxxxxxxxxxx Security Management Xxxxxx (Xxxx Xxxxxxx XXXX), Xxxxxxx XX (xxxxxxxxxxx xxxxxx ČIA). |
|
Další xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx s xxxxxx |
Xxx. 5: Xxxxxx xxxxxx
|
Xxxx: |
Xxxxxx xxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Odpovědnost za xxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxxxxx xxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx xxxxxxx xxxxxx, xxxxx xx xxxxxxxx. |
* Xxxxxxxxxxx xxxx xxx x xxxx xxx xxxxxxx, xxxxxxxx certifikace xxxxxxxxxxx xxxxxxxx způsobilost xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx ISO 17 024.
Xxxxxxx x. 7 x xxxxxxxx x. 82/2018 Xx.
Xxxxxx dodavatelů - bezpečnostní xxxxxxxx xxx smluvní vztahy
Obsah xxxxxxx xxxxxxxxx s xxxxxxxxxx xxxxxxxxxx:
x) ustanovení x xxxxxxxxxxx informací (x xxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxx),
x) xxxxxxxxxx x xxxxxxxxx xxxxxx xxxx,
x) ustanovení x autorství xxxxxxxxxxxx xxxx, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxx x xxxxxx dodavatele (pravidla xxxxxxxxxxxx xxxxxx),
x) ustanovení xxxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxx xxxx xxx xxxxxxxxx, že xxxxxxxxxxxxx xx xxxxxx xxxxxxxxx x xxxxx xxxxxxx xxxxxxxx xxxx xxxxxxxx xxxxxx a xxxxxxxxxxx x xxxxxxx v xxxxxxx s požadavky xxxxxxx xxxxx xx xxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx politiky xxxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx bezpečnostních xxxxxxx dodavatele xxxxxxxx xxxxxx,
x) xxxxxxxxxx o xxxxxx xxxx,
x) xxxxxxxxxx x souladu smluv x xxxxxx závaznými xxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x povinnosti xxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx x
1. xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx s xxxxxxx xxxxxxx,
2. způsobu xxxxxx xxxxx xx xxxxxx xxxxxxxxxx x x zbytkových xxxxxxxx xxxxxxxxxxxxx x plněním xxxxxxx,
3. xxxxxxxx xxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxx xxxxxx x xxxxxxxxxx korporacích nebo xxxxx vlastnictví zásadních xxxxx, popřípadě xxxxx xxxxxxxxx xxxxxxxx x xxxxxx xxxxxx, využívaných xxxxx dodavatelem x xxxxxx xxxxx smlouvy xx správcem,
j) xxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxx ukončení xxxxxxx (xxxxxxxxx xxxxxxxxx xxxxxx xxx xxxxxxxx xxxxxxxxxx, xxx xx xxxxx xxxxx xxxxxxxx xxxxxx před nasazením xxxxxx xxxxxx, xxxxxxx xxx x podobně),
k) xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxx činností x xxxxxxxxxxx s xxxxxxxxxx (například zahrnutí xxxxxxxxxx do xxxxxxxxxxx xxxxx, úkoly xxxxxxxxxx xxx aktivaci xxxxxx xxxxxxxxxx činností),
l) xxxxxxxxxxx xxxxxxxx pro formát xxxxxxx xxx, xxxxxxxxxx xxxxx x informací xx xxxxxxxx xxxxxxxx,
x) xxxxxxxx xxx xxxxxxxxx xxx,
x) ustanovení x xxxxx xxxxxxxxxxxx odstoupit xx xxxxxxx x xxxxxxx xxxxxxxx xxxxx xxxxxxxx xxx xxxxxxxxxxx xxxx xxxxx kontroly xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxx smlouvy x
x) xxxxxxxxxx x xxxxxxxx xx xxxxxxxx xxxxxxxxxx.
Xxxxxxx x. 8 x vyhlášce x. 82/2018 Xx.
Xxxx Formuláře xxx xxxxxxx kontaktních xxxxx
Informace
Právní předpis č. 82/2018 Sb. xxxxx xxxxxxxxx xxxx 28.5.2018.
Ke xxx xxxxxxxx právní xxxxxxx xxxxx měněn xx xxxxxxxxx.
Xxxxx jednotlivých xxxxxxxx norem jiných xxxxxxxx xxxxxxxx x xxxxxxxx není aktualizováno, xxxxx xx jich xxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) Xxxxxxxx Evropského xxxxxxxxxx a Rady (XX) 2016/1148 xx xxx 6. xxxxxxxx 2016 o xxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxx x informačních xxxxxxx x Xxxx.