Právní předpis byl sestaven k datu 23.12.2024.
Zobrazené znění právního předpisu je účinné od 28.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
XXXXXXXX
xx dne 21. xxxxxx 2018
x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx opatřeních, xxxxxxxxxxxxx xxxxxx x xxxxxxx kybernetické xxxxxxxxxxx x xxxxxxxxx xxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx úřad xxx xxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx xxxxxxx podle §28 xxxx. 2 xxxx. x) xx x) x x) xxxxxx č. 181/2014 Xx., o kybernetické xxxxxxxxxxx x x xxxxx xxxxxxxxxxxxx zákonů (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), xx xxxxx xxxxxx x. 104/2017 Xx. a xxxxxx x. 205/2017 Xx., (xxxx jen "zákon"):
ČÁST XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx předpis Xxxxxxxx xxxx1) a xxx xxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, významný informační xxxxxx, xxxxxxxxxx xxxxxx xxxxxxxx služby anebo xxxxxxxxxx xxxxxx xxxx xxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx využívá poskytovatel xxxxxxxxxxx xxxxxx, (xxxx xxx "xxxxxxxxxx a xxxxxxxxxxx systém") xxxxxxxx
x) xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxx x xxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxx, xxxxxxxxx x xxxxxxxxx významnosti xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
d) xxxxxxxxxxx a způsob xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx,
x) náležitosti xxxxxxxx x provedení xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,
x) xxxx oznámení xxxxxxxxxxx xxxxx x xxxx xxxxx x
x) xxxxxx xxxxxxxxx xxx, xxxxxxxxxx xxxxx, informací x jejich kopií.
§2
Vymezení pojmů
Pro účely xxxx xxxxxxxx xx xxxxxx
x) xxxxxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxxx, provoz, xxxxxxx, xxxxxx x xxxxxxxxxx technického xxxxxx,
x) xxxxxxxxxxxxxxx rizikem riziko, xxxxx je přijatelné xxx orgán xxxx xxxxx, které xxxx xxxxxxx zavést xxxxxxxxxxxx xxxxxxxx podle zákona, (xxxx xxx "xxxxxxx xxxxx") x xxxx xxxxx xxx xxxxxxx xxxxxx dalších xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxx x xxxxxxxx, xxxxx xxxxxx xxxxxx zajištění xxxxxxx xxxxx,
x) hodnocením rizik xxxxxxx xxxxxx identifikace, xxxxxxx a xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx nebo xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxx xxxx xxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, zaměstnanci a xxxxxxxxxx xxxxxxxxxx xx xx xxxxxxx, xxxxxxx, xxxxxx nebo bezpečnosti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx xxxxxxxxxx nebo xxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) rizikem xxxxxxx, xx xxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxx,
x) xxxxxxx xxxxx xxxxxxx xxxxxxxxxx hodnocení xxxxx, xxxxx x xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx x riziku x xxxxxxxxx a xxxxxxxxxxx rizik,
j) xxxxxxxx xxxxxx xxxxxxxxxxx informací xxxx xxxxxxx xxxxxx xxxxxxx xxxxx založená xx xxxxxxxx x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx, která xxxxxxx xxxxxx xxxxxxxx, xxxxxxxx, xxxxxxxxxxx, monitorování, xxxxxxxxxxx, xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx informací x xxx,
x) xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx, komunikační prostředky x programové xxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx x objekty, xx kterých xxxx xxxx systémy xxxxxxxx, xxxxxxx xxxxxxx může xxx xxxxx na xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx xxxxx orgán xxxxxxx xxxx, xxxxx xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx xxxx, které xxxx xxxxxxxx xxxxx, xxxx xxxxxxxxxx xxxxx xxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx (dále xxx "xxxxxxxxxxxx") x xxxxx, xxx s xxxxxxxx osobou xxxxxxxx xx xxxxxxxx xxxxxx, xxxxx xx významný x hlediska xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxx xxxxx, xxxxx xx xxxx xxxx mít xxxx xx kybernetickou xxxxxxxxxx x xxxxxxxxxxx xxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxx xxxxx xxxxxx xxxx slabé xxxxx xxxxxxxxxxxxxx opatření, které xxxx být xxxxxxxx xxxxxx xxxx xxxx xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX OPATŘENÍ
§3
Systém xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx x xxxxx systému xxxxxx bezpečnosti xxxxxxxxx
x) xxxxxxx x ohledem xx xxxxxxxxx dotčených xxxxx a organizační xxxxxxxxxx rozsah xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xx kterém xxxx xxxxxxxxxxx xxxxx x xxxxxx, xxxxx xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx týká,
b) xxxxxxx xxxx xxxxxxx řízení xxxxxxxxxxx informací,
c) pro xxxxxxxxx xxxxxx systému xxxxxx xxxxxxxxxxx informací xx xxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx bezpečnostní xxxxxxxx,
x) řídí rizika xxxxx §5,
e) xxxxxxx x schválí xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxx obsahuje xxxxxx zásady, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx ve xxxxxx x xxxxxx xxxxxxxxxxx xxxxxxxxx, x xx základě xxxxxxxxxxxxxx xxxxxx x výsledků xxxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxx oblastech podle §30 a xxxxxx xxxxxxxxx xxxxxxxxxxxx opatření,
f) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx (xxxx jen "xxxxx kybernetické xxxxxxxxxxx") xxxxx §16,
x) xxxxxxx xxxxxxxxxx vyhodnocování účinnosti xxxxxxx xxxxxx bezpečnosti xxxxxxxxx, xxxxx obsahuje xxxxxxxxx xxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxx, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx a xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx informací,
h) xxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxx §11 řídí xxxxxxxx xxxxx, které xxxxx xx xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx,
x) aktualizuje xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xx xxxxxxx zjištění xxxxxx xxxxxxxxxxxx bezpečnosti, xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxx xxxxxxx x
x) xxxx xxxxxx x xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací a xxxxxxxxxxx xxxxxxxx xxxxxxx xx systémem řízení xxxxxxxxxxx informací x xxxxxxx xxxxx.
§4
Xxxxxx xxxxx
(1) Povinná xxxxx x rámci xxxxxx aktiv
a) xxxxxxx xxxxxxxx xxx identifikaci xxxxx,
x) xxxxxxx metodiku xxx xxxxxxxxx xxxxx xxxxxxx x rozsahu xxxxxxxx x příloze č. 1 x xxxx vyhlášce,
c) xxxxxxxxxxxx x eviduje xxxxxx,
x) xxxx a xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx x eviduje xxxxxxxx xxxxxx z xxxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx a xxxxxx je xx xxxxxxxxxxxx úrovní podle xxxxxxx b),
f) xxxx x xxxxxxx vazby xxxx primárními a xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx x xxxxxxxxxx aktivy,
g) hodnotí xxxxxxxx xxxxxx x xxxxxxxxxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxx f),
h) xx xxxxxxx hodnocení xxxxx xxxxxxxxx x xxxxxx xxxxxxxx ochrany xxxxx xxx zabezpečení xxxxxxxxxxxx xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx xxx xxxxxxxxxx s xxxxxx x ohledem xx xxxxxx aktiv, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx sdílení x fyzické přenášení xxxxx, x
x) xxxx xxxxxx likvidace dat, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxx x xxxxxxx na úroveň xxxxx x xxxxxxx x přílohou č. 4 k xxxx xxxxxxxx.
(2) Při xxxxxxxxx důležitosti xxxxxxxxxx xxxxx je třeba xxxxxxxx xxxxxxx
x) xxxxxx x xxxxxxxxxx osobních xxxxx, zvláštních xxxxxxxxx xxxxxxxx xxxxx nebo xxxxxxxxxx tajemství,
b) xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx vnitřních xxxxxxxx x xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx nebo xxxxxxxxxxxx xxxxx a možné xxxxxxxx xxxxxx,
x) dopady xx xxxxxxxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxx xxxxxxxx xxxxxxx činností,
g) xxxxxx xx xxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx xxxxx xxxxxxx,
x) xxxxxx xx bezpečnost x xxxxxx osob,
i) xxxxxx xx xxxxxxxxxxx xxxxxx x
x) dopady xx xxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx.
§5
Xxxxxx rizik
(1) Xxxxxxx xxxxx x rámci xxxxxx rizik v xxxxxxxxxx na §4
x) xxxxxxx xxxxxxxx pro xxxxxxxxx xxxxx, xxxxxx xxxxxxxxx kritérií xxx xxxxxxxxxxxxxxxx rizik,
b) s xxxxxxx xx aktiva xxxxxxxxxxxx relevantní xxxxxx x xxxxxxxxxxxxx; xxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxxx x příloze č. 3 x této xxxxxxxx,
x) xxxxxxx xxxxxxxxx rizik x xxxxxxxxxxxx intervalech xxxxx xxxxxxxx 2 x xxx xxxxxxxxxx xxxxxxx,
x) xxx hodnocení xxxxx xxxxxxxx xxxxxxxxxx xxxxxx x zranitelnosti x posoudí xxxxx xxxxxx xx xxxxxx; xxxx rizika hodnotí xxxxxxx x xxxxxxx přílohy č. 2 x této xxxxxxxx,
x) xxxxxxxx zprávu x xxxxxxxxx xxxxx,
x) xxxxxxxx na xxxxxxx xxxxxxxxxxxxxx potřeb a xxxxxxxx hodnocení xxxxx xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxx opatření xxxxxxxxxxxx xxxxx vyhláškou, xxxxx
1. xxxxxx aplikována, xxxxxx xxxxxxxxxx,
2. byla xxxxxxxxxx, xxxxxx xxxxxxx plnění,
g) xxxxxxxx x zavede xxxx xxxxxxxx rizik, xxxxx xxxxxxxx cíle x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx prosazování xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik, xxxxxxxx xxxxxxxx, technické, lidské x xxxxxxxxxx xxxxxx, xxxxxx jejich xxxxxxxx, xxxxx xxxxx mezi xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx a xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxx xxxxxxxxx xxxxx x v xxxxx zvládání rizik xxxxxxxx
1. xxxxxxxx xxxxx,
2. xxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
3. xxxxxxxx xxxxx §11 xxxxxx x
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxx xxxxxxxx, x
x) x souladu x xxxxxx zvládání xxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 písm. x), x) x x) xxxxxx provádí xxxxxxxxx rizik xxxxxxx xxxxxx ročně x xxxxxxx xxxxx uvedená x §3 xxxx. x) zákona xxxxxxx xxxxxx xx tři xxxx.
(3) Xxxxxx xxxxx xxxx xxx xxxxxxxxx x xxxxxx xxxxxxx, xxx xxx xx xxxxxxxxx v xxxxxxxx 1 xxxx. d), xxxxx xxxxxxx xxxxx xxxxxxxxx, xx použitá xxxxxxxx xxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxxx xxxxxx xxxxx.
§6
Organizační xxxxxxxxxx
(1) Povinná xxxxx x ohledem xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxx §3 xxxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxx,
x) zajistí xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx do xxxxxxx xxxxxxx osoby,
c) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx xxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx o xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx dosažení xxxxx x jeho požadavky xx xxxxx xxxxxxxxx xxxxxxxx,
x) zajistí podporu x dosažení xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxxxxx k rozvíjení xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxx xx xxx xxxxx rozvíjení,
g) prosazuje xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxx zastávající xxxxxxxxxxxx xxxx xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxxxxxx,
x) zajistí xxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx x xxxx, xxxxx budou xxxxxxxx xxxxxxxxxxxx xxxx,
x) zajistí, xxx byla xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxx příslušné xxxxxxxxx x xxxxxx včetně xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx jejich xxxx x xxxxxx xxxxxxxxxxxxx xxxxx x
x) zajistí xxxxxxxxx plánů xxxxxxxxxx xxxxxxxx, xxxxxx x xxxxxxx xxxxxxxxx se xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
(2) Xxxxxxx xxxxx x rámci systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx výboru xxx xxxxxx kybernetické xxxxxxxxxxx a xxxxxxxxxxxx xxxx x xxxxxx xxxxx a xxxxxxxxxx xxxxxxxxxxx se xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(3) Xxxxxxx osoba uvedená x §3 písm. x), x) x x) xxxxxx xxxx xxxxx, xxxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxx x
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxx osoba xxxxxxx x §3 písm. x) xxxxxx xxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x garanta xxxxxx. Xxxxxxx xxxxxxxxxxxx xxxx xxxxx xxxxxxxx 3 xxxx xxxxxxxxx xxxxxxxx x rozsahu x potřebám systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
(5) Xxxxxxx xxxxx uvedená x §3 písm. x), x) a x) zákona xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxx xxxxxxxxx v odstavci 3 xxxx. a) x b).
(6) Xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx xxxxxxx zastupitelnost xxxxxxxxxxxx xxxx manažera xxxxxxxxxxxx xxxxxxxxxxx.
(7) Xxxxx xxx řízení kybernetické xxxxxxxxxxx xx tvořen xxxxxxx x xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxx xxxxxxx xxxxxx x xxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x osobami xxxxxxxx xx podílejícími xx xxxxxx a xxxxxxxxxx xxxxxxxx spojených x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxx xxxx xxx alespoň xxxxx xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxx pověřená xxxxx x xxxxxxx xxxxxxxxxxxx bezpečnosti. Xxxxxxx xxxxx x xxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx přihlédne x xxxxxxxxxxx uvedeným x příloze č. 6 x této xxxxxxxx.
§7
Xxxxxxxxxxxx role
(1) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) je xxxxxxxxxxxx xxxx odpovědná xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx této role xxxx xxx xxxxxxxx xxxxx, xxxxx je xxx tuto xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx nebo x xxxxxxx xxxxxxxxxxx xxxxxxxxx
1. xx xxxx nejméně xxx let, nebo
2. xx xxxx xxxxxxx xxxx, xxxxx xxxxxxxxxxx xxxxxxx na xxxxxx xxxxx,
x) xxxxxxxx za xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxx x
1. činnostech xxxxxxxxxxxxx x xxxxxxx xxxx odpovědnosti a
2. xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a
c) xxxxx xxx xxxxxxx xxxxxxx rolí xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému.
(2) Xxxxxxxxx kybernetické bezpečnosti xx xxxxxxxxxxxx xxxx xxxxxxxxx za xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx xxx, xxx xxxx zajištěna bezpečná xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx, přičemž xxxxxxx xxxx xxxx xxxx xxx xxxxxxxx xxxxx, která xx xxx xxxx činnost xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx praxí x navrhováním xxxxxxxxxxxx xxxxxxxxxxxxxx opatření x xxxxxxxxxxxx architektury xxxxxxxxxxx
x) xx xxxx nejméně xxx xxx, nebo
b) xx xxxx xxxxxxx xxxx, pokud xxxxxxxxxxx xxxxxxx xx xxxxxx xxxxx.
(3) Xxxxxx aktiva xx xxxxxxxxxxxx role xxxxxxxxx za zajištění xxxxxxx, xxxxxxx a xxxxxxxxxx xxxxxx.
(4) Auditor xxxxxxxxxxxx xxxxxxxxxxx
x) je xxxxxxxxxxxx role xxxxxxxxx xx provádění xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx xxxx xxxx xxxx být pověřena xxxxx, xxxxx xx xxx xxxx činnost xxxxxxxxx a prokáže xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx nebo xxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx
1. po xxxx xxxxxxx xxx xxx, xxxx
2. po xxxx jednoho xxxx, xxxxx xxxxxxxxxxx xxxxxxx xx vysoké xxxxx,
x) xxxxxxxx, xx provedení xxxxxx xxxxxxxxxxxx bezpečnosti xx nestranné, x
x) xxxxx xxx xxxxxxx xxxxxxx jiných xxxxxxxxxxxxxx xxxx.
(5) Xxxxxxx osoba xxx xxxxxxxx osob xxxxxxxxxxxxx bezpečnostní role xxxxxxxxx x xxxxxxxxxxx xxxxxxxx x příloze č. 6 x této xxxxxxxx.
§8
Xxxxxx xxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx dodavatele, xxxxx xxxxxxxxxx požadavky xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxx xxx xxxxxxxx dodavatele x xxxxxx xxxxxxxx podle xxxxxxx x),
x) seznamuje xxx xxxxxxxxxx x xxxxxxxx xxxxx xxxxxxx x) x xxxxxxxx xxxxxx xxxxxx pravidel,
e) xxxx xxxxxx xxxxxxx x xxxxxxxxxx,
x) v xxxxxxxxxxx s řízením xxxxx xxxxxxxxx s xxxxxxxxxx dodavateli zajistí, xxx smlouvy xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx oblasti xxxxxxx x příloze č. 7 x xxxx xxxxxxxx, x
x) xxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxx s xxxxxxxxxx xxxxxxxxxx x xxxxxxxx systému řízení xxxxxxxxxxx informací.
(2) Povinná xxxxx x významných xxxxxxxxxx xxxx
x) v xxxxx xxxxxxxxxx řízení x xxxx xxxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxx souvisejících x xxxxxxx předmětu xxxxxxxxxx xxxxxx přiměřeně xxxxx přílohy č. 2 x xxxx xxxxxxxx,
x) x xxxxx xxxxxxxxxxx xxxxxxxxx vztahů xxxxxxx xxxxxxx x xxxxxx xxxxxxxxx bezpečnostních xxxxxxxx a xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xx zavedení x xxxxxxxx bezpečnostních xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxx rizik x xxxxxxxxxxx kontrolu xxxxxxxxxx xxxxxxxxxxxxxx opatření x xxxxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxx nebo xxxxxx třetí strany x
x) v xxxxxx xx rizika x xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxx.
(3) Xxxxxxxxxxx xxxxxxxxxxxxxx informování podle xxxxxxxx 1 xxxx. x) xxxx
x) xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx,
x) xxxxxxxxxxxx informačního x xxxxxxxxxxxxx systému,
c) xxxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx x skutečnosti, že xxxxxxxxx je xxx xxxxxxx xxxxxxxxx xxxxxxxxxxx, x popřípadě také x xxx, že xxxxxxxx dodavatel xx xxxxxxx xxxxxxxxxxxxxx, x
x) xxxxx pravidel podle xxxxxxxx 1 xxxx. x).
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona, xxxxx xx xxxxxxxxxxxxxx a xxxx prokazatelně informována xxxxx odstavce 1 xxxx. x), hlásí xxxxxxxxx xxxxx formou xxxxxxxx x §34.
§9
Bezpečnost xxxxxxxx xxxxxx
(1) Xxxxxxx osoba v xxxxx xxxxxx xxxxxxxxxxx xxxxxxxx zdrojů
a) x xxxxxxx na xxxx x potřeby xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx plán xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxx xx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx bezpečnostního povědomí x který xxxxxxxx xxxxx, xxxxx x xxxxxx
1. xxxxxxx uživatelů, xxxxxxxxxxxxxx, xxxx zastávajících xxxxxxxxxxxx role x xxxxxxxxxx x xxxxxx xxxxxxxxxxxx a x xxxxxxxxxxxx xxxxxxxx x
2. xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx školení xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role,
b) xxxx xxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, které xxxx x plánu xxxxxxx,
x) x souladu s xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx, administrátorů, xxxx xxxxxxxxxxxxx bezpečnostní xxxx x xxxxxxxxxx x xxxxxx xxxxxxxxxxxx a x xxxxxxxxxxxx xxxxxxxx xxxxxx vstupních a xxxxxxxxxxxx xxxxxxx,
x) xxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx v xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxx xxxxxxx, xxxxxxx xxxxxxx z xxxxxxxxxx potřeb xxxxxxx xxxxx v xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) x xxxxxxx s plánem xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxx x ověřování xxxxxxxxxxxxxx xxxxxxxx zaměstnanců x xxxxxxx x jejich xxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxxx dodržování bezpečnostní xxxxxxxx xx xxxxxx xxxxxxxxx, administrátorů x xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) x případě xxxxxxxx smluvního xxxxxx x xxxxxxxxxxxxxx x xxxxxxx zastávajícími xxxxxxxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx xx zlepšováním xxxxxxxxxxxxxx povědomí x
x) xxxx xxxxxxxx x xxxxxxx pro xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx.
(2) Xxxxxxx xxxxx vede x xxxxxxx xxxxx xxxxxxxx 1 xxxxxxxx, které xxxxxxxx předmět xxxxxxx x xxxxxx osob, xxxxx xxxxxxx xxxxxxxxxxx.
§10
Xxxxxx xxxxxxx x xxxxxxxxxx
(1) Povinná osoba x xxxxx xxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx pravidla a xxxxxxx, xxxxx xxxxxxxx xxxxxxx
x) práva x xxxxxxxxxx administrátorů, uživatelů x xxxx zastávajících xxxxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxx a xxxxxxxx xxxxx xxxxxxx, xxx xxxxxxx xxxx xxxxxxxx xxxxx xxxxxxx xx selhání x xxx ošetření chybových xxxxx xxxx xxxxxxxxxxx xxxx,
x) postupy xxx xxxxxxxxx kybernetických bezpečnostních xxxxxxxx a xxxxxxxx xxx xxxxxxx xxxxxxxx x záznamům x xxxxxx událostech,
d) pravidla x xxxxxxx pro xxxxxxx xxxx škodlivým xxxxx,
x) řízení xxxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxx xx xxxxxxxxx xxxxx, které xxxx xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxx,
x) xxxxxxx řízení x schvalování xxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxxx, plánování x xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx zdrojů,
i) xxxxxxxx a xxxxxxx xxx xxxxxxx informací x xxx x xxxxxxx xxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx aktiv,
k) provádění xxxxxxxxxxxx zálohování x xxxxxxxx xxxxxxxxxxxxx provedených xxxxx a
l) pravidla x postupy pro xxxxxxxxx xxxxxxxxxxx síťových xxxxxx.
(2) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxx x komunikací xxxxxxxx pravidla a xxxxxxx xxxxxxxxx podle xxxxxxxx 1 x xxxx xxxxxxxx a xxxxxxx xxxxxxxxxxx v xxxxxxxxxxx s xxxxxxxxxxx xxxx xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx xxxxx xxxxxxx xxxxxxxx vývojového, testovacího x xxxxxxxxxx xxxxxxxxx.
§11
Xxxxxx xxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx změn u xxxxxxxxxxxx x komunikačního xxxxxxx
x) přezkoumává xxxxx xxxxxx změn x
x) xxxxxx xxxxxxxx xxxxx.
(2) Xxxxxxx osoba x xxxxxxxxxx změn
a) xxxxxxxxxxx xxxxxx xxxxxx,
x) provádí xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxx xx xxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxxxx politiku x xxxxxxxxxxxx dokumentaci,
e) xxxxxxx xxxxxx xxxxxxxxx x
x) xxxxxxx xxxxxxx xxxxxxxxx xx xxxxxxxxx stavu.
(3) Xxxxxxx osoba xxxxxxx x §3 xxxx. x), x) a x) zákona xx xxxxxxx výsledků xxxxxxx xxxxx xxxxx odstavce 2 xxxx. b) xxxxxxxxx x provedení xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx zranitelností; xxxxx xxxxxxxx o xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx nebo xxxxxxxxx zranitelností, xxxxxxxxx xxxxx §25 xxxx. 1 a xxxxxxx xx xxxxxxxx xxxxxxxxxx.
(4) Xxxxxxx osoba uvedená x §3 písm. x) xxxxxx xx xxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxxxxxxx.
§12
Řízení přístupu
(1) Xxxxxxx xxxxx na základě xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx, xxxxx xxxxxx x xxxxxxxxx xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxx §19 x 20, a xxxxx xxxxx ve xxxxxxxx xxxxxx údajů xxxxxxxxxxxx xxxxxx.
(2) Xxxxxxx xxxxx xxxx x xxxxx xxxxxx xxxxxxxx x xxxxxxxxxxxx a xxxxxxxxxxxxx systému
a) xxxx xxxxxxx xx xxxxxxx xxxxxx a rolí,
b) xxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx přístupová xxxxx a xxxxxxxxx x jedinečný identifikátor,
c) xxxx xxxxxxxxxxxxxx, xxxxxxxxxx xxxxx x xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxx zařízení k xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) zavádí xxxxxxxxxxxx opatření potřebná xxx xxxxxxxx xxxxxxxxx xxxxxxxxx zařízení a xxxxxx technických xxxxxxxx, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx zařízení, xxxxx povinná xxxxx xxxx xx své xxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxx oprávnění na xxxxxx xxxxxxxx xxxxxx x xxxxxx xxxxxx xxxxx,
x) xxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxx xxx schopné xxxxxxxx xxxxxxxxx xxxx aplikační xxxxxxxx,
x) přiděluje x xxxxxxx přístupová xxxxxxxxx x xxxxxxx s xxxxxxxxx xxxxxx přístupu,
i) xxxxxxx xxxxxxxxxx přezkoumání xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xx přístupových xxxxxx x xxxx,
x) xxxxxxx xxxxxxx xxx xxxxxx x ověřování identity xxxxx §19 a xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §20,
x) prosazuje, xxx xxxxxxxxx xxx používání xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx postupy,
l) xxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx změně pozice xxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx odebrání xxxx xxxxx xxxxxxxxxxxx oprávnění xxx ukončení xxxx xxxxx xxxxxxxxx vztahu x
x) dokumentuje xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx.
§13
Xxxxxxxx, xxxxx a xxxxxx
Xxxxxxx osoba v xxxxxxxxxxx x plánovanou xxxxxxxx, xxxxxxx x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému
a) xxxx xxxxxx podle §5,
x) xxxx xxxxxxxx xxxxx xxxxx §11,
x) xxxxxxx xxxxxxxxxxxx požadavky,
d) xxxxxx xxxxxxxxxxxx xxxxxxxxx do xxxxxxxx xxxxxxxx, xxxxxx x xxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxx,
x) provádí xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxx xxxx xxxxxx xxxxxxxxx xx provozu x
x) xxxx požadavek xxxxx §19 xxxx. 3, xx-xx xxxxx xxxxxxxxx xxxxxxxx xxxx xxxxxx xxxxxxx xxx xxxxxx x xxxxxxxxx xxxxxxxx.
§14
Xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x incidentů
(1) Xxxxxxx xxxxx v xxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxx
x) xxxxxx proces xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x zvládání kybernetických xxxxxxxxxxxxxx incidentů,
b) přidělí xxxxxxxxxxxx x xxxxxxx xxxxxxx pro
1. xxxxxxx x xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí x xxxxxxxxx x
2. xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
c) definuje x xxxxxxxx xxxxxxx xxx identifikaci, xxxx, xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx analýzu xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) zajistí xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx,
x) xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx dále xxxx §22 x 23,
f) xxxxxxx, že uživatelé, xxxxxxxxxxxxxx, xxxxx zastávající xxxxxxxxxxxx role, další xxxxxxxxxxx x dodavatelé xxxxx xxxxxxxxx xxxxxxxxx xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx na xxxxxxxxx xxxxxxxxxxxxx,
x) zajistí xxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxx xxxxxx xxxx xxx xxxxxxxxxx, zda xxxx být xxxxxxxxxxxxx xxxx xxxxxxxxxxxx bezpečnostní xxxxxxxxx podle §31,
h) xxxxxxx zvládání kybernetických xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxx odvrácení x xxxxxxxx dopadu xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx,
x) xxxxx kybernetické bezpečnostní xxxxxxxxx xxxxx §32,
x) xxxx xxxxxxx x xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech x x jejich xxxxxxxx,
x) xxxxxxxx x xxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx a
m) xxxxxxxxx účinnost xxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx x xx základě xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx k xxxxxxxx xxxxxxxxx xxxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx.
(2) Povinná xxxxx uvedená x §3 xxxx. x), x) x x) xxxxxx dále xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx používá nástroj xxxxx §24.
§15
Xxxxxx xxxxxxxxxx činností
Povinná xxxxx v xxxxx xxxxxx xxxxxxxxxx činností
a) xxxxxxx xxxxx a xxxxxxxxxx administrátorů x xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxxxxx xxxxxxxxx xxxxx a xxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x posoudí xxxxx xxxxxx xxxxxxxxxxx x xxxxxxxxx kontinuity xxxxxxxx,
x) xx xxxxxxx xxxxxxx xxxxxxxxx xxxxx x xxxxxxx dopadů xxxxx xxxxxxx x) xxxxxxx xxxx xxxxxx kontinuity xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx poskytovaných xxxxxx, xxxxx je xxxxxxxxxx xxx užívání, xxxxxx x xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
2. xxxx obnovení xxxxx, xxxxx které xxxx xx kybernetickém xxxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx, a
3. xxxx xxxxxxxx xxx xxxx xxxxxx xxxxxx, xx xxxxx xxxx xxx xxxxxx xxxxxxxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxx xx selhání,
d) xxxxxxx xxxxxxxx řízení xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx cílů xxxxx xxxxxxx x),
x) vypracuje, xxxxxxxxxxx x xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxx xxxxxxxxxxx s xxxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx x xxxxxxxxxxxxx xxxxxx a
f) xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx xxxx kybernetickým bezpečnostním xxxxxxxxxx x xxxxxxxx xxxxxxxxxxx a vychází xxx xxx x xxxxxxxxx podle §27.
§16
Xxxxx xxxxxxxxxxxx bezpečnosti
(1) Xxxxxxx xxxxx x xxxxx xxxxxx kybernetické xxxxxxxxxxx
x) xxxxxxx a xxxxxxxxxxx xxxxx dodržování xxxxxxxxxxxx politiky, včetně xxxxxxxxxxx xxxxxxxxx shody, x xxxxxxxx auditu xxxxxxxx x plánu xxxxxxx bezpečnostního xxxxxxxx x xxxxx xxxxxxxx xxxxx x
x) xxxxxxxx xxxxxx bezpečnostních xxxxxxxx x xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, vnitřními xxxxxxxx, xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxxx xx x xxxxxxxxxxxx x komunikačnímu xxxxxxx x xxxx xxxxxxxx nápravná xxxxxxxx xxx xxxxxxxxx souladu.
(2) Xxxxx xxxxx odstavce 1 xx xxxxxxxx
x) xxx významných xxxxxxx, x xxxxx jejich xxxxxxx,
x) x xxxxxxxxxxxx xxxxxxxxxxx alespoň xx 3 xxxxxx v xxxxxxx xxxxxxx xxxxx xxxxxxx x §3 xxxx. e) zákona x
x) v xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xx 2 letech x xxxxxxx xxxxxxx osoby xxxxxxxxx x xxxxxxx x).
(3) Xxxx-xx x xxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxx x xxxxxxxxxxx podle odstavce 2 písm. x) x c) x xxxxx xxxxxxx, xx xxxxx xxxxx xxxxxxxx xxxxxxxx po xxxxxxxxxxxxxx xxxxxxx. V takovém xxxxxxx xx xxxxx xxxxx v xxxxx xxxxxxx xxxxxxx nejpozději xx 5 let.
(4) Xxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx xxxxxxxx xxxxxx xxxxxxxxxx podmínkám xxxxxxxxxx x §7 xxxx. 4, která xxxxxxxxx xxxxxxx správnost x xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx.
(5) Povinná xxxxx, která xx xxxxxxxx provozovatelem, xxxxxxxxx xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx správci xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
HLAVA XX
XXXXXXXXX OPATŘENÍ
§17
Fyzická xxxxxxxxxx
Xxxxxxx xxxxx x xxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxx poškození, xxxxxxx xxxx xxxxxxxx aktiv xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxx, ve xxxxx jsou xxxxxxxxxx x zpracovávány xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, x
x) x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx stanoveného podle xxxxxxx x) xxxxxx xxxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxxxx fyzické xxxxxxxxxxx
1. x zamezení xxxxxxxxxxxxx xxxxxx,
2. x xxxxxxxx xxxxxxxxx a xxxxxxxxxxxx zásahům a
3. xxx xxxxxxxxx xxxxxxx xx úrovni xxxxxxx x x xxxxx xxxxxxx.
§18
Xxxxxxxxxx komunikačních sítí
Povinná xxxxx pro ochranu xxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxx x xxxxxxx xxxxx §3 písm. x)
x) xxxxxxx segmentaci xxxxxxxxxxx sítě,
b) xxxxxxx xxxxxx xxxxxxxxxx v xxxxx xxxxxxxxxxx xxxx x perimetru komunikační xxxx,
x) xxxxxx kryptografie xxxxxxx xxxxxxxxx x xxxxxxxxx xxx při xxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxx xxxx při xxxxxxxx xx komunikační xxxx xxxxxx bezdrátových xxxxxxxxxxx,
x) aktivně xxxxxxx xxxxxxxxx xxxxxxxxxx a
e) xxx zajištění xxxxxxxxxx xxxx x xxx xxxxxx xxxxxxxxxx mezi xxxxxx segmenty využívá xxxxxxx, xxxxx xxxxxxx xxxxxxx integrity xxxxxxxxxxx xxxx.
§19
Xxxxxx x xxxxxxxxx xxxxxxx
(1) Xxxxxxx xxxxx xxxxxxx xxxxxxx xxx xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx, administrátorů x xxxxxxxx xxxxxxxxxxxx x komunikačního systému.
(2) Xxxxxxx xxx xxxxxx x xxxxxxx identity xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxx
x) xxxxxxx xxxxxxxx xxxx zahájením xxxxxxx x informačním x xxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxx možných xxxxxxxxxxx xxxxxx x xxxxxxxxxx,
x) odolnost xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxx proti xxxxxxxxxxxxx xxxxxxxx x zneužití,
d) xxxxxxxx autentizačních údajů xx xxxxx xxxxxx xxxxx xxxxxxx xxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxx xx xxxxxx době xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx při xxxxxx xxxxxxxx x
x) xxxxxxxxxxxxxxx xxxxxx xxxxxxx.
(3) Xxxxxxx osoba xxx xxxxxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx a aplikací xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxx založený xxxxx na xxxxxxx xxxxxxxxxxxxxx xxxx a xxxxx, nýbrž xx xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxx různými xxxx xxxxxxx.
(4) Xx xxxx splnění požadavku xxxxx xxxxxxxx 3 xxxx xxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx, xxxxxxxx autentizaci pomocí xxxxxxxxxxxxxxxx xxxxx a xxxxxxx xxxxxxxx úroveň xxxxxxxxxxx.
(5) Xx doby xxxxxxx požadavků podle xxxxxxxx 3 nebo 4 xxxx xxxxxxx xxx xxxxxxx identity xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx, xxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxx a xxxxx, xxxxxxxxx pravidla
a) délky xxxxx xxxxxxx
1. 12 xxxxx x xxxxxxxxx x
2. 17 xxxxx x xxxxxxxxxxxxxx a xxxxxxxx,
x) xxxxxxxxxx xxxxx xxxxx x xxxxx xxxxxxx 64 znaků,
c) xxxxxxxxxxx použití xxxxxx x velkých xxxxxx, xxxxxx a xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx xxxxxxxxxx xxxxx hesla, přičemž xxxxxx xxxx xxxxx xxxxxxx hesla xxxxx xxx xxxxxx xxx 30 xxxxx,
x) neumožňující xxxxxxxxxx x xxxxxxxxxxxxxxx
1. xxxxxx xx nejčastěji xxxxxxxxx xxxxx,
2. tvořit xxxxx na xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx se xxxxx, xxxxxxxxxxxxxx jména, x-xxxxx, xxxxx xxxxxxx xxxx xxxxxxxx xxxxxxxx x
3. opětovné použití xxxxx xxxxxxxxxxx xxxxx x xxxxxx xxxxxxx 12 předchozích hesel x
x) pro xxxxxxxx xxxxx xxxxx x xxxxxxxxx xxxxxxxxx xx 18 xxxxxxxx, přičemž xxxx pravidlo se xxxxxxxxxx xx xxxx xxxxxxxx x xxxxxx xxxxxxx v xxxxxxx xxxxxxx.
(6) Xxxxxxx xxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxx x xxxxxx xxxx
x) xxxxxx xxxxxxxxxxxx změnu xxxxxxxxx xxxxx xx xxxx xxxxxx použití,
b) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxx x obnovení xxxxxxxx po xxxx xxxxxx použití nebo xxxxxxxxx xxxxxxx 60 xxxxx xx xxxx xxxxxxxxx a
c) xxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxx do xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxx §9.
§20
Řízení přístupových oprávnění
Povinná xxxxx xxxxxxx centralizovaný xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx, kterým xxxxxxx řízení xxxxxxxxx
x) xxx xxxxxxx k xxxxxxxxxxx aktivům xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) xxx xxxxx xxx, xxxxx dat x xxxxx xxxxxxxxx.
§21
Ochrana xxxx škodlivým xxxxx
(1) Xxxxxxx osoba xxxxxxx x §3 xxxx. x), d) x f) zákona x rámci ochrany xxxx škodlivým xxxxx
x) x ohledem xx xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx
1. xxxxxxxxx xxxxxx,
2. mobilních xxxxxxxx,
3. xxxxxxx,
4. xxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
5. xxxxxxxxxxx xxxx a xxxxx xxxxxxxxxxx xxxx x
6. xxxxxxxxx xxxxxxxx,
x) monitoruje x řídí xxxxxxxxx xxxxxxxxx zařízení a xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,
x) řídí xxxxxxxxx xx spouštění xxxx x
x) xxxxxxx xxxxxxxxxxx a xxxxxxx xxxxxxxxxxx nástroje pro xxxxxxx xxxx škodlivým xxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxx.
§22
Xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, xxxx uživatelů x xxxxxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxxxxxx bezpečnostní a xxxxxxxx provozní xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx x komunikačního xxxxxxx x
x) xx xxxxxxx xxxxxxxxx xxxxxxxxxxx aktiv xxxxxxxxxxx xxxxxx xxxxx, x kterých je xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxx xxxxxxxxxxxxx bezpečnostních x xxxxxxxxxx xxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxx
x) xxxxxxxxxxxx síťovou xxxxxxxxxxxx xxxxxxxx xxxxxxx, xx-xx x xxxxxxxxxxx xxxx xxxxxx nástroj, xxxxx xxxx xxxx síťovou xxxxxxxxxxxx,
x) xxxx xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx; xxxxxxx xxxxxxxxxxx
1. xxxxx x xxx xxxxxx xxxxxxxxxxx xxxxxxxx pásma,
2. xxx xxxxxxxx,
3. xxxxxxxxxxxx technického xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxx xxxxxx xxxx xxxxxxx xxxxxxxxx,
5. xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx a
6. xxxxxxxxx nebo neúspěšnost xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx podle xxxxxx x) x x) xxxx xxxxxxxxxxxx xxxxxx x xxxxxxxxx změnou,
d) xxxxxxxxxxxxx
1. xxxxxxxxxxxx x xxxxxxxxxxx xx všem xxxxx, a xx xxxxxx xxxxxxxxxxx xxxxxx,
2. xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx,
3. xxxxxxx x neúspěšné xxxxxxxxxx s účty, xxxxxxxxxxx x právy,
4. xxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxx,
5. xxxxxxxx xxxxxxxxx, xxxxx xxxxx mít vliv xx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
6. xxxxxxxx x ukončení xxxxxxxx technických aktiv,
7. xxxxxxxxxx x xxxxxxxxx xxxxxxx xxxxxxxxxxx aktiv x
8. xxxxxxxx k xxxxxxxx x xxxxxxxxxx, xxxxxx o manipulaci xx záznamy o xxxxxxxxxx x xxxxx xxxxxxxxx nástrojů xxx xxxxxxxxxxxxx xxxxxxxx a
e) xxxxxxxxxxxxx jednotného xxxx xxxxxxxxxxx xxxxx nejméně xxxxxx xx 24 xxxxx.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), d) x x) xxxxxx xxxxxxxx záznamy událostí xxxxxxxxxxxxx podle odstavce 2 xxxxxxx po xxxx 18 xxxxxx.
(4) Xxxxxxx osoba uvedená x §3 xxxx. x) zákona xxxxxxxx xxxxxxx událostí xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx xx xxxx 12 xxxxxx.
§23
Xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Povinná xxxxx x xxxxx xxxxxxxxxxx xxxx, xxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx systém, xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx zajistí
a) ověření x xxxxxxxx xxxxxxxxxxx xxx v xxxxx xxxxxxxxxxx xxxx x xxxx xxxxxxxxxxxxx sítěmi,
b) xxxxxxx x xxxxxxxx xxxxxxxxxxx xxx xx xxxxxxxxx komunikační xxxx x
x) xxxxxxxxx xxxxxxxxx xxxxxxxxxx.
(2) Povinná osoba xxxxxxx x §3 xxxx. x), x) x x) zákona xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxx xx xxxxxxxxxx xxxxx x xxxxx
x) koncových xxxxxx,
x) xxxxxxxxx xxxxxxxx,
x) serverů,
d) xxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxx aktivních prvků x
x) xxxxxxxxx xxxxx.
§24
Xxxx x vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
Povinná xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xxxxxxx xxxxxxx xxx xxxx a xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, který xxxxxx
x) xxxx x xxxxxxxxxxxxx xxxxxxxx zaznamenaných xxxxx §22 x 23,
x) xxxxxxxxxxx a xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxxxx role x detekovaných xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostech,
d) xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx identifikace xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx rolí,
e) xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx pravidel xxx
1. vyhodnocování kybernetických xxxxxxxxxxxxxx xxxxxxxx x
2. xxxxxx varování x
x) xxxxxxxxx xxxxxxxxx získaných xxxxxxxxx pro xxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxx nastavení bezpečnostních xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému.
§25
Xxxxxxxxx bezpečnost
(1) Povinná xxxxx provádí penetrační xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx se xxxxxxxxx na důležitá xxxxxx, x xx
x) xxxx xxxxxx uvedením xx xxxxxxx x
x) x xxxxxxxxxxx s xxxxxxxxx xxxxxx podle §11 odst. 3.
(2) Xxxxxxx xxxxx xxxx x rámci xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxxx, informací x transakcí xxxx
x) xxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxx xxxxxxxxxxx činností.
§26
Xxxxxxxxxxxxxx xxxxxxxxxx
Xxxxxxx osoba xxx ochranu xxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx
x) xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxx,
x) xxxxxxx systém xxxxxx xxxxx a xxxxxxxxxxx, xxxxx
1. xxxxxxx xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, změny, xxxxxxx platnosti, zneplatnění xxxxxxxxxxx x likvidaci xxxxx x
2. umožní xxxxxxxx a xxxxx,
x) xxxxxxxxx bezpečné nakládání x xxxxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxxxx xxxxxxxxxx x xxxxxxx kryptografických xxxxxxxxxx vydaná Xxxxxx, xxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx.
§27
Xxxxxxxxxxx úrovně dostupnosti xxxxxxxxx
Xxxxxxx osoba xxxxxx xxxxxxxx pro zajišťování xxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx
x) xxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx xxx xxxxxxx xxxx xxxxx §15,
x) xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx vůči xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx xxxxx xxxxxx xxxx dostupnost,
c) xxxxxxxxxx xxxxxxxxxx technických xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a
d) redundanci xxxxx xxxxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
§28
Průmyslové, řídicí x xxxxxxx specifické xxxxxxx
Xxxxxxx xxxxx xxx zajištění xxxxxxxxxxxx xxxxxxxxxxx průmyslových, xxxxxxxx a xxxxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxxx a opatření, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxxxx a programových xxxxxxxxxx, xxxxx xxxx xxxxxx xx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx fyzického xxxxxxxx x xxxxxxxxx xxxxxx xxxxxxx x xx xxxxxxxxxxx síti,
c) xxxxxxxxx komunikační xxxx xxxxxx pro xxxx xxxxxxx xx xxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxx x xxxxxx xxxxxxxxxx xxxxxxxx x těmto xxxxxxxx,
x) xxxxxxx jednotlivých xxxxxxxxxxx xxxxx těchto xxxxxxx xxxx využitím xxxxxxx xxxxxxxxxxxxx a
f) xxxxxxxx xxxxx xxxxxx systémů xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
§29
Digitální xxxxxx
(1) Povinná xxxxx xxxxxxx v §3 písm. x) xxxxxx zavede bezpečnostní xxxxxxxx xxxxx prováděcího xxxxxxxx Xxxxxx (XX) 2018/151 xx xxx 30. xxxxx 2018, xxxxxx xx xxxxxxx xxxxxxxx pro uplatňování xxxxxxxx Xxxxxxxxxx parlamentu x Xxxx (XX) 2016/1148, pokud xxx x xxxxxx upřesnění xxxxx, které xxxx xxxxxxxxxxxxx digitálních služeb xxxxxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx rizik, xxxxx xxxx xxxxxxxxx xxxx x xxxxxxxxxx xxxxxxx, x xxxxxxxxx pro xxxxxxxxxx toho, xxx xx xxxxx xxxxxxxxx xxxxxxxx; ustanovení §3 xx 28 xx xx tuto xxxxxxxx xxxxx nepoužijí.
(2) Xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx hlásí xxxxxxxxx xxxxx xxxxx §34 xxxx. 2.
(3) Povinná xxxxx uvedená x §3 xxxx. x) xxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxxx incidenty xxxxx §32 xxxx. 2 x 3.
XXXXX XXX
XXXXXXXXXXXX XXXXXXXX X BEZPEČNOSTNÍ XXXXXXXXXXX
§30
Xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
(1) Povinná xxxxx
x) xxxxxxx bezpečnostní xxxxxxxx x xxxx bezpečnostní xxxxxxxxxxx zahrnující oblasti xxxxxxx x příloze č. 5,
x) xxxxxxxxxx xxxxxxxxxxx bezpečnostní xxxxxxxx x bezpečnostní xxxxxxxxxxx x
x) xxxxxxx, xxx xxxx xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxx.
(2) Xxxxxxxxxxxx xxxxxxxx x bezpečnostní xxxxxxxxxxx musí xxx
x) xxxxxxxx x listinné xxxx xxxxxxxxxxxx podobě,
b) xxxxxxxxxxxx x xxxxx xxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxx dotčeným xxxxxxx,
x) xxxxxx,
x) xxxxxxxx x xxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x
x) xxxxxx tak, xxx xxxxxxxxx x xxxx xxxxxxxx byly úplné, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x xxxxxx xxxxxxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§31
Xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx se xxxxxxxxxxxx podle xxxxxxxxxxx xxx xxxxxxxxxx
x) xxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx kritériích, xxxxx xxxxxxx byly xxxxxxx xxxxx xxxxxx,
x) xxxxx xxxxxxxxx uživatelů,
c) xxxxxxxxx xxxx xxxxxxxxxxxxx škody,
d) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx informačního x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxx xxxxxxxxxxx jinými informačními x xxxxxxxxxxxxx xxxxxxx,
x) xxxxx xxxxxx incidentu,
h) xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx a
i) dalších xxxxxx.
(2) Pro xxxxxxx xxxxxxx a xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx xx základě xxxxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxxxxx bezpečnostní xxxxxxxxx xxxxxx xx xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxxx kybernetický bezpečnostní xxxxxxxx, xxx kterém xx přímo x xxxxxxxx xxxxxxxx bezpečnost xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx řešení xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx být xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx x potenciálních xxxx,
x) Xxxxxxxxx XX - xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, při xxxxxx xx xxxxxxxx bezpečnost xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx neprodlené zásahy xxxxxxx x xxx, xx musí být xxxxxxxx prostředky xxxxxxxxx xxxxxxx xxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx, xxxx
x) Xxxxxxxxx X - méně významný xxxxxxxxxxxx xxxxxxxxxxxx incident, xxx xxxxxx dochází x xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx řešení xxxxxxxx xxxxxx obsluhy s xxx, že xxxx xxx vhodnými xxxxxxxxxx xxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
(3) Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx integrity xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx způsobující xxxxxxxx xxxxxxxxxxx xxxxx, nebo
d) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxx x) až x).
(4) Xxxx ustanovení se xxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx.
§32
Xxxxx a xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxxxx bezpečnostní xxxxxxxx xx Úřadu xxxxx xx elektronickém xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx xxxxxxxx
x) na adresu xxxxxxxxxxxx pošty Xxxxx xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx xxxxxx xxxxxxxx Xxxxx, nebo
c) prostřednictvím xxxxxxxx xxxxxxxx, xxxxx xx používáno, xxxxx xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Kybernetický xxxxxxxxxxxx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxx xx elektronickém xxxxxxxxx xxxxxxxxxxx na internetových xxxxxxxxx provozovatele národního XXXX zaslaném
a) na xxxxxx xxxxxxxxxxxx pošty xxxxxxxxxxxxx národního CERT xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx provozovatele národního XXXX.
(3) Hlášení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx je xxxxx xxxxxx x x xxxxxxxx xxxxxx, xxxxx pouze x xxxxxxxxx, xxx xxxxx xxxxxx žádný xx xxxxxxx xxxxxxxxx x xxxxxxxxxx 1 a 2.
(4) Xxxxxxxxxxx hlášení xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxx
x) xxxxxxxxxxxx odesilatele,
b) xxxxxxxxxxxx informačního a xxxxxxxxxxxxx xxxxxxx,
x) xxxxx x xxx zjištění xxxxxxxxx a
d) popis xxxxxxxxx.
XXXX ČTVRTÁ
REAKTIVNÍ XXXXXXXX X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
(1) Xxxxxxx xxxxx, xxxxx Xxxx uložil xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx a na xxxxxxxx xxxxxxxxxxxx opatření x vyhodnotí možné xxxxxxxxx xxxxxx a
b) xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx tohoto xxxxxxxx, xxxxx xxxxxxxxxxxx xxxx xxxxx xxxxxxxxx xxxxxx, x určí xxxxxx xxxx jeho provedení.
(2) Xxxxxxx xxxxx, xxxxx Xxxx xxxxxx xxxxxxx xxxxxxxxx opatření, oznámí xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx a xxxx xxxxxxxx xx formě xxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Úřadu.
§34
Kontaktní xxxxx
(1) Kontaktní xxxxx xx Úřadu xxxxxxxx xx elektronickém xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx xxxxxxxxx Úřadu xxxxxxxx
x) xx adresu xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx xxx xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu,
b) do xxxxxx xxxxxxxx Xxxxx, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xx xxxxxxxxx, xxxxx popis xx xxxxxxxxx na xxxxxxxxxxxxx stránkách Xxxxx.
(2) Xxxxxxxxx xxxxx se xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx xx elektronickém xxxxxxxxx zveřejněném na xxxxxxxxxxxxx stránkách xxxxxxxxxxxxx xxxxxxxxx CERT xxxxxxxx
x) xx adresu xxxxxxxxxxxx xxxxx provozovatele národního XXXX určenou pro xxxxxx xxxxxxxx kontaktních xxxxx, xxxxxxxxxxx xx xxxx xxxxxxxxxxxxx stránkách,
b) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx národního CERT, xxxx
x) xxxxxxxxxxxxxxx internetových xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Xxxxxxx xxxxxxxxxxx xxxxx xx xxxxx xxxxxx x v xxxxxxxx podobě, xxxxx xxxxx x případech, xxx xxxxx využít xxxxx xx xxxxxxx xxxxxxxxx x odstavcích 1 a 2.
(4) Xxxx oznámení xxxxxxxxxxx xxxxx xx xxxxxx x příloze č. 8 x xxxx xxxxxxxx.
(5) Povinná xxxxx xxxxxxx v §3 písm. x) xx x) xxxxxx, xxxxx je xxxxxxxxxxxxxx, xxxx x xxxxxxx xxxxxxxxxxx údajů xxxxx xxxxxxxx 1 xxxxxxxx xxxxxxxx, xxxxxx xx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §8 xxxx. 1 písm. c).
XXXX PÁTÁ
ZÁVĚREČNÁ XXXXXXXXXX
§35
Xxxxxxxxx xxxxxxxxxx
(1) V případě xxxxxxxxxxxx systémů kritické xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx xxxx xxxxxx přede xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, x x případě xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x xxxxxxx xxxxx x xxxxxxxx určujících kritérií xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, xx do xxxxxxx xxxx xxx xxx xxxxxx účinnosti xxxx xxxxxxxx pro xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxx x rozsah xxxxxxxxxx xxxxxxxxxxxxxx opatření xxxxxxx xxxxxxxxxx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx, xxxxxxxxxxx opatřeních x x xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (vyhláška x xxxxxxxxxxxx xxxxxxxxxxx).
(2) X xxxxxxx informačních xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx x komunikačních xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx xxxx xxxxxx přede dnem xxxxxx xxxxxxxxx této xxxxxxxx, x x xxxxxxx xxxxxxxxxx informačních xxxxxxx, x xxxxxxx xxxxx x naplnění xxxxxxxxxx xxxxxxxx přede xxxx nabytí xxxxxxxxx xxxx xxxxxxxx, xx xx xxxxxxx roku xxx dne nabytí xxxxxxxxx xxxx xxxxxxxx xxx xxxxxx likvidace xxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx tato xxxxxxxx xxxxxxxxx.
§36
Zrušovací xxxxxxxxxx
Xxxxxxx xx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, kybernetických xxxxxxxxxxxxxx incidentech, reaktivních xxxxxxxxxx x o xxxxxxxxx náležitostí xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx bezpečnosti).
§37
Účinnost
Tato vyhláška xxxxxx xxxxxxxxx xxxx xxxxxxxxx.
Xxxxxxx:
Xxx. Xxxxxxxx v. x.
Xxxxxxx x. 1 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx xxxxx
(1) Xxx hodnocení důležitosti xxxxx xxxx x xxxxx xxxxxxx xxxxxxx xxxxxxxx o xxxxxxx xxxxxxxx a xxxxxxxx xx, jaký dopad xx xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx aktiv. Povinná xxxxx může používat xxxxxxx xxxxx úrovní xxx hodnocení xxxxxxxxxxx xxxxx, xxx xxxx xx xxxxxx x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx mezi xxxx xxxxxxxxxx způsobem xxxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx x xxxxxxxx pro hodnocení xxxxxxxxxxx aktiv, xxxxx xxxx xxxxxxx x xxxx xxxxxxx.
(2) Xx xxxxxxxxxx, aby xx xxxxx xxxxxxx xxxxx xxxx dopadové matice xxxxxxxxxxxx xxxx xxxxxxxx.
Xxx. 1: Stupnice xxx xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx aktiva |
|
Nízká |
Aktiva xxxx xxxxxxx xxxxxxxxx xxxx byla xxxxxx xx zveřejnění. Xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxx zájmy xxxxxxx xxxxx. X případě xxxxxxx xxxxxxxx aktiva x xxxxxxx stranami x xxxxxxx xxxxxxxxxxx xxxxx xxx. xxxxxxx light xxxxxxxxx (dále xxx "XXX") xx xxxxxxxxx xxxxxxxx XXX:XXXXX. |
Xxxx xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxx know-how xxxxxxx xxxxx, ochrana xxxxx není xxxxxxxxxx xxxxxx právním xxxxxxxxx xxxx xxxxxxxx ujednáním. V xxxxxxx sdílení xxxxxxxx xxxxxx s třetími xxxxxxxx x použití xxxxxxxxxxx podle XXX xx xxxxxxxxx xxxxxxx xxxxxxxx XXX:XXXXX nebo XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxx xxxxxx přístupu. |
|
Xxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx x xxxxxx xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx nebo xxxxxxxxx xxxxxxxxxx (například obchodní xxxxxxxxx, osobní xxxxx). X xxxxxxx xxxxxxx takového xxxxxx x třetími xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx TLP xx využíváno zejména xxxxxxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, které zajistí xxxxxx a xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxxxx sítí jsou xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx nejsou xxxxxxx xxxxxxxxx x xxxxxxxx nadstandardní xxxx xxxxxxx nad xxxxx xxxxxxxxx xxxxxxxxx (xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxx xxxxxxxxx xxxxxxxx xxxxx). X případě sdílení xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx x xxxxxxx klasifikace xxxxx XXX je xxxxxxxxx xxxxxxx xxxxxxxx XXX:XXX xxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx, xxxxx zajistí xxxxxx a zaznamenávání xxxxxxxx. Xxxx xxxxxx xxxxxxx xxxxxxxxxxx zneužití xxxxx ze xxxxxx xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
Xxx. 2: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx požadavků xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx z xxxxxxxx xxxxxxxxx. Narušení xxxxxxxxx aktiva neohrožuje xxxxxxxxx zájmy povinné xxxxx. |
Xxxx vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx xxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx osoby x xxxx se xxxxxxxx xxxx závažnými xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (xxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxx xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx vyžaduje xxxxxxx x hlediska integrity. Xxxxxxxx xxxxxxxxx aktiva xxxx k xxxxxxxxx xxxxxxxxxxx zájmů povinné xxxxx s xxxxxxxxxxx xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány speciální xxxxxxxxxx, které xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx a zaznamenat xxxxxxxx osoby xxxxxxxxxxx xxxxx. Ochrana integrity xxxxxxxxx xxxxxxxxxxx komunikačními xxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx x xxxxx vážnému xxxxxxxxx xxxxxxxxxxx zájmů xxxxxxx xxxxx x xxxxxxx x xxxxx vážnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány speciální xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx provádějící xxxxx (xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxx. 3: Xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx na xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxxx dostupnosti xxxxxx xxxx xxxxxxxx x x xxxxxxx xxxxxxx xx xxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx pro xxxxxxx (xxx do 1 xxxxx). |
Xxx ochranu dostupnosti xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx dostupnosti xxxxxx xx xxxxxx xxxxxxxxx xxxx pracovního dne, xxxxxxxxxxxxx xxxxxxx vede x xxxxxxx xxxxxxxx xxxxxxxxxxx zájmů xxxxxxx xxxxx. |
Xxx ochranu xxxxxxxxxxx xxxx xxxxxxxxx běžné xxxxxx xxxxxxxxxx x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xx xxxxxx překročit xxxx xxxxxxxx xxxxx. Xxxxxxxx xxxxxxx je xxxxx xxxxx xxxxxxxxxx, xxxxxxx vede x xxxxxxx xxxxxxxx oprávněných xxxxx povinné osoby. Xxxxxx jsou xxxxxxxxxx xx xxxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx systémy x obnova xxxxxxxxxxx xxxxxx xxxx být xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx x x krátkodobá xxxxxxxxxxxx (x xxxx xxxxxxxx xxxxx) vede x xxxxxxx ohrožení oprávněných xxxxx povinné xxxxx. Xxxxxx xxxx xxxxxxxxxx xx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx využívány xxxxxxx xxxxxxx a xxxxxx xxxxxxxxxxx služeb xx xxxxxxxxxx a xxxxxxxxxxxxxx. |
Xxxxxxx x. 2 x vyhlášce č. 82/2018 Sb.
Hodnocení rizik
(1) Xxxxxxxxxxx stanovení xxxxxx xxx určení xxxxxx xx nezbytnou xxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx xxxxx §5.
(2) Xxxxxxx rizika xx xxxxxxxxxx xxxxxxxxx jako xxxxxx, xxxxxx xxxxxxxxx xxxxx, xxxxxx a xxxxxxxxxxxx.
(3) Xxx hodnocení xxxxx xxx xxxxxx xxxxxxxxx xxxx xxxxxx:
Xxxxxx = dopad x xxxxxx x zranitelnost.
(4) Xxxxx je x xxxxx xxxxxxx xxxxxxx x xxxxxxxxx xxxxx xxxxx přílohy č. 1.
(5) V xxxxxxx, že xxxxxxx xxxxx xxxxxxx metodu xxx hodnocení rizik, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, xx možné xxxxxxxx xxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx stupnic by xxxxxx vést xx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx x xxxxxxxxxxxxx. Xx xxxxx xxxxxx lze použít xxxxxxxxx komentář, který xxxxxxxx xxxxxxx xxx xxxxxx xxxxxx, xxx x úroveň zranitelnosti. Xxxxxxx xx xxxxxxxxx x x xxxxxxxxx, xxx povinná xxxxx xxxxxxx jiný počet xxxxxx xxx hodnocení xxxxxx, xxxxxx, xxxxxxxxxxxxx x xxxxx.
Xxx. 1: Xxxxxxxx xxx xxxxxxxxx xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx neexistuje nebo xx xxxx pravděpodobná. |
|
Xxxxxxx |
Xxxxxx xx xxxx xxxxxxxxxxxxx xx pravděpodobná. |
|
Xxxxxx |
Xxxxxx je xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. |
|
Kritická |
Hrozba je xxxxx pravděpodobná až xxxxxxxx jistá. |
Xxx. 2: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx nebo xx xxxxxxxx xxxxxxxxxxxxx málo xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx schopna včas xxxxxxxxx xxxxx zranitelnosti xxxx xxxxxxxx xxxxxx x jejich zneužití. |
|
Střední |
Zneužití xxxxxxxxxxxxx xx xxxx xxxxxxxxxxxxx až xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxx účinnost xx pravidelně xxxxxxxxxxxx. Xxxxxxxxx bezpečnostních xxxxxxxx xxxx detekovat xxxxx xxxxxxxxxxxxx xxxx xxxxxxxx xxxxxx o xxxxxxxxx xxxxxxxx xx omezena. Xxxxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxxxx je xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx všechny xxxxxxxx xxxxxxx a xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx xxxxx dílčí xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx je xxxxx xxxxxxxxxxxxx až víceméně xxxxx. Bezpečnostní xxxxxxxx xxxxxx xxxxxxxxxxx xxxx xx xxxxxx účinnost xxxxxx xxxxxxx. Neprobíhá xxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx. Xxxx xxxxx xxxxxxx xxxxxx překonání xxxxxxxxxxxxxx xxxxxxxx. |
Xxx. 3: Xxxxxxxx xxx hodnocení xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx považováno xx xxxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx x xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxx xxxxxxxxxxx a xxxx xxx xxxxxxxx xxxxxxxxxxxx kroky x xxxx odstranění. |
|
Kritické |
Riziko xx xxxxxxxxxxx x xxxx xxx xxxxxxxxxx xxxxxxxx xxxxx x jeho xxxxxxxxxx. |
Xxxxxxx x. 3 x vyhlášce č. 82/2018 Xx.
Xxxxxxxxxxxxx x xxxxxx
Xxxxxxxxxx: Tato xxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxx x xxxxxx. Identifikace konkrétních xxxxxxxxxxxxx x hrozeb xx xxxxxxxxxxxx xxxxxxx xxxxx.
Xxxxxxxxxxxxx
1. xxxxxxxxxxxx údržba xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. xxxxxxxxxxx informačního x komunikačního xxxxxxx,
3. xxxxxxxxxxxx xxxxxxx vnějšího xxxxxxxxx,
4. nedostatečné xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
5. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
6. nevhodné nastavení xxxxxxxxxxxx xxxxxxxxx,
7. xxxxxxxxxxxx xxxxxxx při xxxxxxxxxxxxxx x xxxxxxxx negativních xxxxxxxxxxxxxx xxxx, kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,
8. xxxxxxxxxxxx monitorování xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxxx odhalit xxxxxx xxxxxxxx nebo xxxxxxx xxxxxxx xxxxxxx,
9. xxxxxxxxxxxx stanovení bezpečnostních xxxxxxxx, nepřesné xxxx xxxxxxxxxxxxx xxxxxxxx práv x xxxxxxxxxx uživatelů, xxxxxxxxxxxxxx a xxxxxxxxxxxxxx xxxx,
10. xxxxxxxxxxxx xxxxxxx xxxxx,
11. nevhodná bezpečnostní xxxxxxxxxxxx,
12. xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
13. xxxxxxxxxxx xxxxxxxx odhalení xxxxxxxxx xx xxxxxx xxxxxxxxxxx.
Xxxxxx
1. xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx neoprávněných činností, xxxxxxxx xxxxxxxxx ze xxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
2. xxxxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
3. xxxxxxxx xxxxxxxx,
4. xxxxxxx programového xxxxxxxx x rozporu x xxxxxxxxxx podmínkami,
5. xxxxxxxx xxx (xxxxxxxxx xxxx, xxxxxxx, xxxxxxx xxxx),
6. xxxxxxxx xxxxxxx xxxxxxxxxxx,
7. přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
8. xxxxxxxx xxxx xxxxxxxxxxx modifikace xxxxx,
9. xxxxxx, xxxxxxxx nebo xxxxxxxxx xxxxxx,
10. xxxxxxxxxx xxxxxxxxx závazku xx xxxxxx xxxxxxxxxx,
11. xxxxxxxxx xx xxxxxx xxxxxxxxxxx,
12. xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
13. dlouhodobé xxxxxxxxx xxxxxxxxxxx služeb xxxxxxxxxxxxxx xxxxxxxxxx, dodávky xxxxxxxxxx xxxxxxx nebo xxxxxx xxxxxxxxxx xxxxxx,
14. nedostatek xxxxxxxxxxx x potřebnou xxxxxxxx úrovní,
15. cílený xxxxxxxxxxxx xxxx xxxxxx xxxxxxxxxx inženýrství, xxxxxxx xxxxxxxxxxx xxxxxxx,
16. zneužití xxxxxxxxxxxxx technických nosičů xxx,
17. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx (xxxxxxxxx, xxxxxxxxxx).
Příloha x. 4 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx xxx
(1) Xxxx xxxxxxx udává xxxxxxxxxx xxxxxxx informačního x komunikačního systému x definování xxxxxxx xxxxxx xxx x xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx.
(2) Xxxxxxxxxx xxxxxxx informačního a xxxxxxxxxxxxx systému xx xxxxxxx xxxxxxxx xxx xxxxxx xxx x xxxxxxxxx technických xxxxxx xxx x xxxxxxx x xxxxx xxxxxxxx. Xxx nejsou xxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx. Xx xxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxx pravidel xxx xxxxxx dat x xxxxxxxxx technických xxxxxx xxx, xxxxxxxx x xxxxxxx a xxxxxxxxxxx xxxxx.
(3) Xxxxxxxx xxx xxxxxxxxx xxx xx xxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxxx xxxxx x xxxx xx xxxxxxx xxxxxxxxxxx
x) hodnotu xxxxxx (zejména x xxxxxxx xxxxxxxxxx),
x) technologii (xxxx a xxxxxxxx xxxxxx xxxxxxxxx),
x) xxx xx nosič informace xxxxxxx xxx kontrolou xxxxxxxxxx xx xxxxxxx,
x) xxx jsou xxxx xxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx prostředí,
e) kdo xxxx likvidaci dat xxxxxxxx (interní xxxxxxxxxxx, xxxx dodavatel),
f) xxxxxxxxxx xxxxxxxx x nástrojů xxx likvidaci,
g) xxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) xxx xx x dispozici xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx,
x) cenu xxxxxxxxx x xxxxxxx xx nástroje, xxxxxxx, xxxxxxxx, xxxxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) možné xxxxxxx likvidace xxx (xxxxxxxxx zničením xxxxxx, xxxxxxxxxxxxxxxx přepsáním xxxxxx xxx, xxxxxxxxxxxxx dat xxxxxx xxxxxxxxxx x xxxxxxx),
x) xxxxxxxxxx xxxxxxx xxxxxxxxx xxx vzhledem xx xxxxx nosiče xxxxxxxxx (například xxx xxxxxxxxx xxxxxxxx xxxxxx xxxxx použít xxxxxxxx xxxxxxx xxxxxxxxx, xxx xxxxxxx ze způsobů xxxxxxx likvidace).
(4) Xxxxxxx xxxxxxxxx xxxxxxxxxxx nosičů xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx a xxxxxx xxxxx:
x) Xxxxxxxxxx
1. Xxxxxx xxxxxxxxx spočívá v xxxxxxxxxx dat xxx, xxx byla xxx xxxxxx xxxxxxxxxx (xxxxxxxxx xxxxxxxxxx datového xxxxxxx, xxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxx).
2. Xxx x nejméně bezpečný xxxxxx xxxxxxxxx xxx. X xxxxxxx xxxxxxx xxxxxx xxxxxxxxx xx xxxxx x vynaložením xxxxxxxx xxxxx xxxxxxxxx xxxxxxx.
3. Xxxx xxxxxx xxxx xxxxxxxxxx xxx xxxxxx digitálních xxx xxxxxxxxxxxx opětovný zápis.
4. Xxxxxxxxxx způsob pro xxxxxx důvěrnosti xxxxxx (xxxxxxx z přílohy č. 1): xxxxx.
x) Přepsání
1. Xxxxxx xxxxxxxxx spočívá x xxxxxxxx chráněné xxxxxxxxx xxxxxxxxxx hodnotami.
2. Jde x xxxxxxx xxxxxxxx xxxxxx xxxxxxxxx dat. Xxxxx xxxxxxxx nástroje xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx.
3. Xxxxxxxx xxxx xxx xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx k xxxxxxxxxxx informaci.
4. Tato xxxxxx xxxx vhodná xxx xxxxxxxxx xxxxx, xxxxx xxxxxxxxxxxx opětovný xxxxx, xxxxxxxx xxx xxxxx x velkou xxxxxxxxx.
5. Xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx z přílohy č. 1): xxxxx až xxxxxxxx.
x) Xxxxxxx likvidace xxxxxx xxxxxxxxx
1. Xxxxxx xxxxxxxxx spočívající xx xxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxx v rozebrání xxxxxxxx x xxxxxxxxx xxxxxxx nosiče xxxxxxxxx (xxxxxxxxxxx, xxxxxxxxx či xxxxxxxx působením).
2. Jde x nejbezpečnější metodu xxxxxxxxx xxx. Xxxxx xxxxxxxxx po fyzické xxxxxxxxx xxxxx znovu xxxxxx xxx xxxxxxx xxxx. Xxxxxxx informace xxxx xxxxx obnovit xxx xxx vynaložení xxxxxxx xxxxxxxx xxxxxxxxxx x xxxxx.
3. Xxxxxxxxxx xxxxxx xxxxxxxxx pro xxxxxx důvěrnosti xxxxxx (xxxxxxx x přílohy č. 1): xxxxxxx xx xxxxxxxx.
Xxxxxxx xxxxxxx způsobů xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1)
|
Xxxxxxxxx způsob xxxxxxxxx xxxxx xxxxxx xxxxxxxxxxx xxxxxx |
|||||
|
Xxxxx informace |
1. Nízká |
2. Xxxxxxx |
3. Xxxxxx |
4. Kritická |
|
|
Informace xx xxxxxx čitelném xxxxxx (tištěné xxxxxxxxx, xxxxxxxx x podobně) |
Odstranění: Xxxxxxxx xx xxxxxx. |
Xxxxxxxx: Xxxxxxxxx. |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxxx xxxxxxxxx: |
|||||
|
Mobilní xxxxxxxx (xxxxxxx xxxxxxxx, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx likvidace: |
||
|
Xxxxxx xxxxxxxx (xxxxxx, xxxxxx, xxxxx x xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Kancelářské xxxxxxxx (xxxxxxx, xxxxxxxx, xxx) |
|||||
|
Xxxxxxxxxx xxxxx (xxxxxxxxxx xxxxx, disky, XXX [Xxxx Xxxx Drive]) |
Odstranění: |
Přepsání: |
|||
|
Xxxxxxx xxxxx (CD, XXX, XX-XXX, XXX-XXX) |
Xxxxxxx xxxxxxxxx: |
||||
|
Fyzická xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx xxxxx (xxxxx xxxxxx) |
|||||
|
Xxxxxxxxxxx a cloud |
Přípustný xxxxxx xxxxxxxxx dat xx xxx xxx xxxxxxxx smluvním xxxxxxxxx. |
||||
|
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxxx: |
Xxxxxxxx/xxxxxxx xxxxxxxxx: |
||
|
Alternativně v xxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx je možné xxxx xx xxxxxxxx xxxxxx xxxxxxx. |
|||||
Xxxxxxx x. 5 x xxxxxxxx x. 82/2018 Xx.
Xxxxx bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
1. Xxxxxxxxxxxx xxxxxxxx
1.1. Xxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Xxxx, xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx informací.
b) Xxxxxx x hranice xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Pravidla x xxxxxxx xxx řízení xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
1.2. Xxxxxxxx xxxxxx xxxxx
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx primárních aktiv
1. xxxxxx a xxxxxxxx xxxxxxxxxxxx primárních xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxxxxx důležitosti xxxxxxxxxx aktiv x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti.
b) Xxxxxxxxxxxx, xxxxxxxxx a xxxxxxxx xxxxxxxxxx aktiv
1. xxxxxx x xxxxxxxx jednotlivých xxxxxxxxxx aktiv včetně xxxxxx xxxxxx garanta,
2. xxxxxx vazeb xxxx xxxxxxxxxx a podpůrnými xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx úrovní aktiv
1. xxxxxxx rozlišování jednotlivých xxxxxx aktiv,
2. xxxxxxxx xxx xxxxxxxxxx x xxxxxxxx xxxxx xxxxx xxxxxx xxxxx,
3. xxxxxxxxx xxxxxxx xxxxxxxxx aktiv.
d) Xxxxxxx xxxxxxxxxxxx mazání xxxx xxxxxx technických xxxxxx dat, xxxxxxxxx, xxxxxxxxxx xxxxx x xxxxxx xxxxx.
1.3. Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx
x) Určení xxxxxxxxxxxxxx rolí x xxxxxx xxxx x xxxxxxxxxx.
x) Požadavky na xxxxxxxx xxxxxx činností xxxxxxxxxxxx bezpečnostních xxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx bezpečnostních x xxxxxxxxxx rolí.
1.4. Politika xxxxxx xxxxxxxxxx
x) Xxxxxxxx x xxxxxxxx pro xxxxx xxxxxxxxxx.
x) Pravidla xxx hodnocení xxxxx xxxxxxxxxxxxx x xxxxxxxxxx.
x) Xxxxxxxxxxx smlouvy x xxxxxx xxxxxx x xxxxxxx a úrovní xxxxxxxxx bezpečnostních opatření x x určení xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxx zavedení bezpečnostních xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx dodavatelů.
1.5. Xxxxxxxx xxxxxxxxxxx lidských xxxxxx
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxx xxxxxxxxx
1. xxxxxxx x xxxxx xxxxxxx xxxxxxxxx,
2. xxxxxxx x xxxxx xxxxxxx garantů xxxxx,
3. xxxxxxx x xxxxx poučení xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx role.
b) Xxxxxxxxxxxx xxxxxxx xxxxxx zaměstnanců.
c) Xxxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx bezpečnostní xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxx xxxxxxxx xxxxxx
1. xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx práv xxx xxxxxxxx xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx xxxxxxxxx xxx změně xxxxxxxx xxxxxx.
1.6. Xxxxxxxx xxxxxx xxxxxxx a xxxxxxxxxx
x) Xxxxxxxxx x xxxxxxxxxxxx xxxxxxx s xxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx a xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxx a omezení xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxxxx xxxxx.
1.7. Xxxxxxxx xxxxxx xxxxxxxx
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx to xxxx).
x) Xxxxxxxxx na xxxxxx xxxxxxxx.
x) Životní xxxxxx xxxxxx xxxxxxxx.
x) Řízení xxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxx jednotlivých xxxxxxxxx x přístupových xxxxxxxxx.
1.8. Xxxxxxxx xxxxxxxxxx chování xxxxxxxxx
x) Pravidla pro xxxxxxxx xxxxxxxxx s xxxxxx.
x) Bezpečné xxxxxxx xxxxxxxxxxxx hesla.
c) Bezpečné xxxxxxx elektronické xxxxx x přístupu na xxxxxxxx.
x) Xxxxxxxx vzdálený xxxxxxx.
x) Bezpečné chování xx sociálních xxxxxx.
x) Xxxxxxxxxx xx xxxxxx x xxxxxxxx zařízením.
1.9. Xxxxxxxx xxxxxxxxxx x xxxxxx x dlouhodobého xxxxxxxx
x) Požadavky na xxxxxxxxxx a xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxxxxx ukládání.
d) Xxxxxxxx xxxxxxxxxx xxxxxxxxxx x xxxxxxxxxxxx ukládání xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxx a xxxxxx.
x) Xxxxxxxx xxxxxxxx x xxxxxxx, xxxxxxxxx informacím.
1.10. Xxxxxxxx xxxxxxxxxx xxxxxxxxx x výměny informací
a) Xxxxxxxx x xxxxxxx xxx ochranu předávaných xxxxxxxxx.
x) Způsoby xxxxxxx xxxxxxxxxxxx xxxxxx informací.
c) Xxxxxxxx pro využívání xxxxxxxxxxxxxx xxxxxxx.
1.11. Politika xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx
x) Xxxxxxxx xxx xxxxxxx xxxxxxxxx programového xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxxxx opravných xxxxxxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx oprav xxxxxxxxxxxx xxxxxxxx.
x) Pravidla x postupy nasazení xxxxx xxxxxxxxxxxx xxxxxxxx.
1.12. Xxxxxxxx xxxxxxxxxx používání xxxxxxxxx xxxxxxxx
x) Xxxxxxxx x xxxxxxx pro xxxxxxxx xxxxxxxxx mobilních xxxxxxxx.
x) Pravidla x xxxxxxx xxx zajištění xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxx xxxx xx své xxxxxx.
1.13. Xxxxxxxx akvizice, xxxxxx x xxxxxx
x) Xxxxxxxxxxxx xxxxxxxxx pro akvizici, xxxxx x xxxxxx.
x) Xxxxxx xxxxxxxxxxxxx.
x) Politika xxxxxxxxxxx a xxxxxxxx xxxxxxx programového vybavení x informací
1. xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,
2. pravidla x xxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
1.14. Politika xxxxxxx xxxxxxxx xxxxx
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx osobních xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx osobních xxxxx.
x) Popis xxxxxxxxx x xxxxxxxxxxx technických xxxxxxxx pro ochranu xxxxxxxx xxxxx.
1.15. Xxxxxxxx xxxxxxx xxxxxxxxxxx
x) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Xxxxxxxx pro xxxxxxxx xxxxxx osob.
c) Pravidla xxx ochranu xxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxx.
1.16. Politika xxxxxxxxxxx xxxxxxxxxxx sítě
a) Pravidla x postupy xxx xxxxxxxxx xxxxxxxxxxx sítě.
b) Xxxxxx xxxx x xxxxxxxxxx xx bezpečný xxxxxx xxxx.
x) Pravidla x xxxxxxx xxx xxxxxx xxxxxxxx x xxxxx xxxx.
x) Pravidla x postupy xxx xxxxxxx xxxxxxxxxx xxxxxxxx x xxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxxxxx xxxx a xxxxxxxxxxxxx provozních xxxxxxx.
1.17. Xxxxxxxx ochrany xxxx xxxxxxxxx xxxxx
x) Xxxxxxxx x xxxxxxx pro xxxxxxx xxxxxx komunikace.
b) Xxxxxxxx a xxxxxxx xxx xxxxxxx serverů x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx stanic.
1.18. Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxx x xxxxxxx xxxxxxxx nástroje xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Provozní xxxxxxx xxx xxxxxxxxxxxxx a xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.19. Xxxxxxxx xxxxxxx x xxxxxx nástroje pro xxxx a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxx x postupy xxx xxxxxxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx optimální nastavení xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
1.20. Politika xxxxxxxxxx xxxxxxxxx kryptografické xxxxxxx
x) Xxxxxx ochrany s xxxxxxx na xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx kryptografické xxxxxxx xxxxxxxxx
1. xxx xxxxxxx po komunikačních xxxxxx,
2. xxx xxxxxxx xx xxxxxxx xxxxxxxx xxxx xxxxxxxxxxx technický xxxxx xxx.
x) Systém xxxxxx klíčů.
1.21. Xxxxxxxx xxxxxx xxxx
x) Xxxxxx x xxxxxxxx xxxxxx xxxxxxxxxx xxxx x xxxxx povinné xxxxx, xxxxxx procesech, informačních x komunikačních systémech.
b) Xxxxxxxxxxxxx xxxxxx xxxxxxxxxx xxxx.
x) Xxxxxx vedení xxxxxxxx x testování xxxxxxxxxx xxxx.
1.22. Xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
x) Xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx, xxxxxxxx x xxxxxxxx jednotlivých xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x pro xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx.
1.23. Xxxxxxxx řízení xxxxxxxxxx xxxxxxxx
x) Práva x povinnosti zúčastněných xxxx.
x) Xxxx xxxxxx xxxxxxxxxx xxxxxxxx
1. minimální xxxxxx xxxxxxxxxxxxx xxxxxx,
2. xxxx obnovení xxxxx,
3. xxx xxxxxxxx xxx.
x) Xxxxxxxx xxxxxx kontinuity xxxxxxxx pro xxxxxxxx xxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx na xxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx x xxxxx potřebných xxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxx.
x) Xxxxxxx xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx.
2. Xxxxx xxxxxxxxxxxx xxxxxxxxxxx
2.1. Zpráva x auditu xxxxxxxxxxxx xxxxxxxxxxx
x) Cíle auditu xxxxxxxxxxxx bezpečnosti.
b) Xxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti.
c) Xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Identifikování xxxx xxxxxxxx a xxxx, xxxxx se xxxxxx xxxxxxxxxxxx bezpečnosti zúčastnily.
e) Xxxxx a xxxxx, xxx byly prováděny xxxxxxxx xxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Zjištění x xxxxxx kybernetické xxxxxxxxxxx.
x) Závěry xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
2.2. Zpráva x xxxxxxxxxxx systému xxxxxx bezpečnosti informací
a) Xxxxxxxxxxx xxxxxxxx x xxxxxxxxxxx přezkoumání xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxxxxxx xxxx x xxxxxxxxx, xxxxx xxxxx xxx vliv xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxx x výkonnosti xxxxxx xxxxxxxxxxx informací
1. neshody x nápravná xxxxxxxx,
2. xxxxxxxx monitorování x xxxxxx,
3. xxxxxxxx auditu,
4. xxxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx xxxxx x xxxx xxxxx xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx xxx neustálé xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, stanovení xxxxxxxx x osob xxxxxxxxxxxxx xxxxx jednotlivých činností.
2.3. Xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxx xxxxx
x) Určení xxxxxxxx xxx xxxxxxxxx primárních xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxx xxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx dostupnosti xxxxx.
x) Určení xxxxxxxx xxx xxxxxxxxx rizik
1. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxx,
2. xxxxxx stupnice xxx xxxxxxxxx úrovní xxxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx rizik.
c) Xxxxxx x přístupy xxx zvládání xxxxx.
x) Xxxxxxx schvalování akceptovatelných xxxxx.
2.4. Xxxxxx x xxxxxxxxx aktiv x xxxxx
x) Xxxxxxx primárních xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxxxxx primárních xxxxx x hlediska xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx x xxxxx xxxxxxxxxx aktiv,
2. xxxxxx garantů xxxxxxxxxx xxxxx,
3. určení xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx aktivy.
c) Xxxxxxxxx xxxxx
1. xxxxxxxxx xxxxxxx xxxxxx xx xxxxxx,
2. xxxxxxxxx existujících xxxxxx,
3. xxxxxxxxx existujících zranitelností, xxxxxxxxx existujících xxxxxxxx,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx xxxx xxxxxx x xxxxxxxx xxx xxxxxxxxxxxxxxxx xxxxx,
5. xxxxxx x xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.
x) Zvládání xxxxx
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. návrh opatření x xxxxxx xxxxxxxxx.
2.5. Xxxxxxxxxx x xxxxxxxxxxxxxxxx
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx požadovaných touto xxxxxxxxx xxxxxx xxxxxxxxxx, xxxx xxxxxx aplikována.
b) Xxxxxxx xxxxxxxxxx bezpečnostních xxxxxxxx xxxxxx způsobu xxxxxx implementace.
2.6. Xxxx xxxxxxxx rizik
a) Xxxxx x cíle vybraných xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx včetně xxxxx xx xxxxxxxxx xxxxxx.
x) Xxxxxxxx zdroje xxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx zavedení jednotlivých xxxxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
x) Způsob xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
2.7. Xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Obsah x xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx bezpečnostní xxxx.
x) Obsah x xxxxxxx poučení xxxxxx xxxxxxxxxxx.
x) Přehledy, které xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx a xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
x) Formy a xxxxxxx hodnocení xxxxx.
2.8. Xxxxxxxx změn
a) Evidence xxxxxxxxx cyklu xxxxxxxxxx xxxx.
x) Xxxxxxx x xxxxxxx konfigurace xxxxxxxxxx xxxxx.
2.9. Xxxxxxx xxxxxxxxx xxxxx
Xxxxxxx hlášených xxxxxxxxxxx xxxxx.
2.10. Xxxxxxx obecně xxxxxxxxx právních xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx
x) Xxxxxxx xxxxxx závazných xxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxx.
x) Xxxxxxx smluvních xxxxxxx.
2.11. Xxxxx xxxxxxxxxx xxxxxxxxxxx
x) Xxxxxxxxx infrastruktury.
b) Xxxxxxx xxxxxxxx xxxxxxxx.
Příloha x. 6 x xxxxxxxx x. 82/2018 Xx.
Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx
Xxxx xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx požadavků xxx xxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx xxxxxxx x §6 a 7.
Xxx. 1: Výbor xxx řízení xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxx pro řízení xxxxxxxxxxxx bezpečnosti |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxx xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxx xxxxxxx osoby. |
|
Další podmínky: |
a) Xxxx xxxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti xxxx xxx xxxxxxx |
Xxx. 2: Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací. |
|
Xxxxxxxx: |
x) Xxxxx řady XXX/XXX 27000 a xxxxxxx xxxxx x xxxxxxx xxxxxxxxxxx x XXX. |
|
Xxxxxxxxxx: |
x) Prosazování xxxxxxx xxxxxx bezpečnosti xxxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx x oboru xxxxxxxxxx xxxx kybernetické xxxxxxxxxxx, xxxx |
|
Relevantní xxxxxxxxxxx*: |
Xxxxxxxxx Information Xxxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx xx Risk xxx Xxxxxxxxxxx Systems Control (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Security Professional (XXXXX), Manažer XX (xxxxxxxxxxx schéma XXX). |
|
Xxxxx xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx x xxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x x xxxxxxx xxxxxxxxxx xx xxxxxxxx xxxxxx. |
Xxx. 3: Architekt kybernetické xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Odpovědnost xx xxxxx implementace bezpečnostních xxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxxx xxxxxxxxxxxx x komunikačních systémů x xxxx xxxxxxxxxx. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxxxx a xxxxx: |
x) Xxxxxxx 3 roky xxxxx v xxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, nebo |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxx Xxxxxx (XXX), CompTIA Security +, Xxxxxxxxx Information Xxxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Systems Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Xxxxxxxx Xxxxxxxxxxxx (CISSP), Xxxxxxx XX (akreditační schéma XXX). |
|
Xxxxx xxxxxxxx: |
Xxxx xxxx xxxxxxxxxx x rolemi xxxxxxxxxxx za provoz xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx. |
Xxx. 4: Auditor xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx kybernetické xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
Xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti. |
|
Znalosti: |
a) Metodologie x xxxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx. |
|
Zkušenosti: |
a) Plánování xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx v xxxxxxx xxxxxx informační nebo xxxxxxxxxxxx xxxxxxxxxxx, nebo |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Systems Xxxxxxx (XXXX), Certified Xxxxxxxx Xxxxxxx (XXX), Xxxxxxxxx xx Risk xxx Xxxxxxxxxxx Systems Xxxxxxx (XXXXX), Xxxx Xxxxxxx Xxxxxxxxxxx Security Xxxxxxxxxx Xxxxxx (Xxxx Xxxxxxx XXXX), Xxxxxxx BI (xxxxxxxxxxx schéma ČIA). |
|
Další xxxxxxxx: |
x) Xxxx není xxxxxxxxxx x xxxxxx |
Xxx. 5: Xxxxxx aktiva
|
Role: |
Garant aktiva |
|
Klíčové xxxxxxxx: |
x) Odpovědnost xx xxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxxxxx xxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx xxxxxxx xxxxxx, jehož xx xxxxxxxx. |
* Xxxxxxxxxxx xxxx xxx x xxxx než xxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx odbornou xxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx XXX 17 024.
Příloha x. 7 x xxxxxxxx x. 82/2018 Xx.
Xxxxxx xxxxxxxxxx - bezpečnostní opatření xxx xxxxxxx xxxxxx
Xxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx:
x) xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx (x xxxxxxx xxxxxxxxxx, xxxxxxxxxxx a xxxxxxxxx),
x) xxxxxxxxxx x xxxxxxxxx xxxxxx xxxx,
x) ustanovení x xxxxxxxxx programového xxxx, popřípadě x xxxxxxxxxxxx licencích,
d) xxxxxxxxxx x xxxxxxxx x xxxxxx dodavatele (xxxxxxxx xxxxxxxxxxxx xxxxxx),
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxx xxxx být xxxxxxxxx, že xxxxxxxxxxxxx xx xxxxxx xxxxxxxxx x xxxxx rozsahu xxxxxxxx mezi povinnou xxxxxx x dodavatelem x xxxxxxx x xxxxxxx x xxxxxxxxx xxxxxxx xxxxx xx xxxxxxxxxx,
x) ustanovení x xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx politiky xxxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx bezpečnostních xxxxxxx dodavatele xxxxxxxx xxxxxx,
x) xxxxxxxxxx o xxxxxx xxxx,
x) xxxxxxxxxx x xxxxxxx xxxxx x xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x povinnosti xxxxxxxxxx xxxxxxxxxx povinnou xxxxx x
1. xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxx,
2. xxxxxxx xxxxxx rizik xx xxxxxx xxxxxxxxxx a x zbytkových xxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxx,
3. xxxxxxxx xxxxx xxxxxxxx tohoto xxxxxxxxxx xxxxx xxxxxx x xxxxxxxxxx xxxxxxxxxxx nebo xxxxx xxxxxxxxxxx zásadních xxxxx, xxxxxxxxx xxxxx xxxxxxxxx nakládat s xxxxxx xxxxxx, využívaných xxxxx dodavatelem k xxxxxx podle xxxxxxx xx xxxxxxxx,
x) specifikace xxxxxxxx x xxxxxxx xxxxxxxxxxx při xxxxxxxx xxxxxxx (xxxxxxxxx xxxxxxxxx xxxxxx při xxxxxxxx xxxxxxxxxx, xxx je xxxxx xxxxx udržovat xxxxxx xxxx nasazením xxxxxx xxxxxx, xxxxxxx xxx x xxxxxxx),
x) xxxxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxxxxx xxxxxxxx x xxxxxxxxxxx x xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxxx xx xxxxxxxxxxx xxxxx, xxxxx xxxxxxxxxx xxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx),
x) specifikace xxxxxxxx xxx xxxxxx xxxxxxx xxx, xxxxxxxxxx xxxxx x informací xx vyžádání xxxxxxxx,
x) xxxxxxxx xxx likvidaci xxx,
x) xxxxxxxxxx o xxxxx jednostranně xxxxxxxxx xx xxxxxxx x xxxxxxx xxxxxxxx xxxxx xxxxxxxx xxx dodavatelem xxxx xxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxx dodavatelem k xxxxxx xxxxx xxxxxxx x
x) xxxxxxxxxx x xxxxxxxx xx porušení xxxxxxxxxx.
Xxxxxxx č. 8 x xxxxxxxx x. 82/2018 Xx.
Xxxx Formuláře xxx hlášení xxxxxxxxxxx xxxxx
Informace
Právní předpis č. 82/2018 Xx. xxxxx xxxxxxxxx xxxx 28.5.2018.
Ke xxx uzávěrky xxxxxx xxxxxxx xxxxx xxxxx xx xxxxxxxxx.
Xxxxx jednotlivých xxxxxxxx norem jiných xxxxxxxx xxxxxxxx x xxxxxxxx není xxxxxxxxxxxxx, xxxxx se xxxx xxxxxx xxxxxxxxx xxxxx xxxxx uvedeného xxxxxxxx xxxxxxxx.
1) Xxxxxxxx Evropského xxxxxxxxxx x Xxxx (XX) 2016/1148 xx xxx 6. xxxxxxxx 2016 x xxxxxxxxxx x zajištění vysoké xxxxxxxx xxxxxx bezpečnosti xxxx x xxxxxxxxxxxx xxxxxxx v Xxxx.