Právní předpis byl sestaven k datu 23.11.2024.
Zobrazené znění právního předpisu je účinné od 28.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
XXXXXXXX
xx xxx 21. xxxxxx 2018
x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx, reaktivních xxxxxxxxxx, xxxxxxxxxxxxx podání v xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x likvidaci xxx (xxxxxxxx x kybernetické xxxxxxxxxxx)
Xxxxxxx úřad xxx xxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx xxxxxxx podle §28 xxxx. 2 xxxx. x) xx x) x x) xxxxxx x. 181/2014 Xx., x xxxxxxxxxxxx xxxxxxxxxxx x o xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx o xxxxxxxxxxxx xxxxxxxxxxx), xx znění xxxxxx č. 104/2017 Xx. a xxxxxx x. 205/2017 Sb., (xxxx xxx "xxxxx"):
XXXX XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxx vyhláška zapracovává xxxxxxxxx xxxxxxx Evropské xxxx1) x pro xxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxx informační xxxxxx, xxxxxxxxxx systém xxxxxxxx xxxxxx xxxxx xxxxxxxxxx xxxxxx nebo xxx elektronických xxxxxxxxxx, xxxxx xxxxxxx poskytovatel xxxxxxxxxxx xxxxxx, (dále xxx "xxxxxxxxxx x xxxxxxxxxxx systém") upravuje
a) xxxxx x strukturu xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxx x xxxxxx bezpečnostních xxxxxxxx,
x) typy, xxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx,
x) xxxxxxxxxxx a způsob xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx oznámení x xxxxxxxxx reaktivního xxxxxxxx x jeho xxxxxxxx,
x) vzor xxxxxxxx xxxxxxxxxxx xxxxx x xxxx xxxxx x
x) xxxxxx xxxxxxxxx dat, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx.
§2
Xxxxxxxx xxxxx
Xxx xxxxx xxxx xxxxxxxx se xxxxxx
x) xxxxxxxxxxxxxxx xxxxx xxxxxxxxxxx správu, xxxxxx, xxxxxxx, údržbu x xxxxxxxxxx technického aktiva,
b) xxxxxxxxxxxxxxx rizikem xxxxxx, xxxxx je přijatelné xxx xxxxx xxxx xxxxx, xxxxx jsou xxxxxxx xxxxxx bezpečnostní xxxxxxxx xxxxx xxxxxx, (xxxx jen "xxxxxxx xxxxx") a xxxx xxxxx xxx zvládat xxxxxx dalších xxxxxxxxxxxxxx xxxxxxxx,
x) bezpečnostní xxxxxxxxx xxxxxx xxxxx x xxxxxxxx, xxxxx určují xxxxxx xxxxxxxxx xxxxxxx xxxxx,
x) xxxxxxxxxx xxxxx xxxxxxx proces xxxxxxxxxxxx, xxxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxx xxxx způsobit škodu,
f) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx se xx xxxxxxx, xxxxxxx, xxxxxx nebo xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx zpracovává xxxx xxxxxxxxx xxxxxxxxxx a xxxxxxxxxxx systém,
h) xxxxxxx xxxxxxx, že xxxxxx xxxxxx využije xxxxxxxxxxxxx xxxxxx x způsobí xxxxx,
x) řízením xxxxx xxxxxxx zahrnující xxxxxxxxx xxxxx, xxxxx x xxxxxxxx opatření ke xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx o xxxxxx x xxxxxxxxx a xxxxxxxxxxx xxxxx,
x) xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx systému řízení xxxxxxx xxxxx xxxxxxxx xx xxxxxxxx x xxxxxxx informačního a xxxxxxxxxxxxx xxxxxxx, která xxxxxxx xxxxxx ustavení, xxxxxxxx, xxxxxxxxxxx, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx a xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxx,
x) technickým xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx, komunikační prostředky x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx a komunikačního xxxxxxx x xxxxxxx, xx xxxxxxx xxxx xxxx systémy xxxxxxxx, xxxxxxx xxxxxxx může xxx xxxxx xx xxxxxxxxxx x komunikační xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx xxxxxxxxx osoba xxxxx xxxxx xxxxxxx xxxx, xxxxx xxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxx xxxx skupina xxxx, které xxxx xxxxxxxx osobu, xxxx xxxxxxxxxx xxxxx xxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx nebo xxxxxxxxxxxxx xxxxxxx (xxxx xxx "provozovatel") a xxxxx, xxx x xxxxxxxx xxxxxx xxxxxxxx xx xxxxxxxx vztahu, xxxxx je xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
x) xxxxxxxxx xxxxxx xxxxx, která xx xxxx může xxx xxxx na xxxxxxxxxxxxx xxxxxxxxxx x představuje xxxxxx xxxxxx,
x) xxxxxxxxxxxxx xxxxx místo xxxxxx xxxx xxxxx xxxxx xxxxxxxxxxxxxx xxxxxxxx, které xxxx xxx xxxxxxxx xxxxxx xxxx xxxx xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXX
XXXXX X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx x ohledem xx xxxxxxxxx xxxxxxxxx xxxxx a organizační xxxxxxxxxx xxxxxx systému xxxxxx bezpečnosti xxxxxxxxx, xx xxxxxx určí xxxxxxxxxxx části a xxxxxx, jichž xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx,
x) xxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx informací,
c) xxx xxxxxxxxx rozsah xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xx základě xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxxxx x xxxxxxxxx rizik xxxxxx přiměřená xxxxxxxxxxxx xxxxxxxx,
x) xxxx xxxxxx xxxxx §5,
x) xxxxxxx x xxxxxxx bezpečnostní xxxxxxxx v xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, práva x povinnosti xx xxxxxx k řízení xxxxxxxxxxx informací, x xx xxxxxxx bezpečnostních xxxxxx x výsledků xxxxxxxxx xxxxx stanoví xxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx §30 a zavede xxxxxxxxx xxxxxxxxxxxx opatření,
f) xxxxxxx xxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx u xxxxxxxxxxxx x komunikačního xxxxxxx (xxxx xxx "xxxxx xxxxxxxxxxxx xxxxxxxxxxx") xxxxx §16,
g) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx obsahuje xxxxxxxxx xxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx revize hodnocení xxxxx, xxxxxxxxx výsledků xxxxxxxxxxx xxxxxx kybernetické xxxxxxxxxxx a xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx x následně xxxxx §11 xxxx xxxxxxxx změny, xxxxx xxxxx do xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) aktualizuje xxxxxx xxxxxx xxxxxxxxxxx informací x xxxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti, xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a v xxxxxxxxxxx s xxxxxxxxxxx xxxxxxxxxx xxxxxxx x
x) xxxx provoz a xxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxx xx xxxxxxxx řízení xxxxxxxxxxx informací x xxxxxxx rizik.
§4
Xxxxxx xxxxx
(1) Povinná xxxxx x xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxx,
x) stanoví metodiku xxx hodnocení xxxxx xxxxxxx x xxxxxxx xxxxxxxx v příloze č. 1 x xxxx xxxxxxxx,
x) xxxxxxxxxxxx a eviduje xxxxxx,
x) určí x xxxxxxx garanty aktiv,
e) xxxxxxx a eviduje xxxxxxxx aktiva z xxxxxxxx důvěrnosti, integrity x xxxxxxxxxxx x xxxxxx je do xxxxxxxxxxxx úrovní podle xxxxxxx b),
f) xxxx x eviduje xxxxx xxxx primárními x xxxxxxxxxx xxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx x xxxxxxxxxx aktivy,
g) xxxxxxx xxxxxxxx xxxxxx x xxxxxxxxxx xxxxxx zejména xxxxxxxx xxxxxxxxxx xxxxx xxxxxxx x),
x) xx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxx a xxxxxx xxxxxxxx xxxxxxx nutná xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx aktiv,
i) xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx a xxxxxxxx xxx xxxxxxxxxx x xxxxxx x xxxxxxx xx xxxxxx xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx elektronické xxxxxxx x xxxxxxx xxxxxxxxx xxxxx, x
x) xxxx xxxxxx likvidace xxx, xxxxxxxxxx xxxxx, informací x xxxxxx xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx dat x xxxxxxx xx úroveň xxxxx v xxxxxxx x přílohou č. 4 k xxxx vyhlášce.
(2) Xxx xxxxxxxxx xxxxxxxxxxx primárních xxxxx je xxxxx xxxxxxxx xxxxxxx
x) rozsah x xxxxxxxxxx xxxxxxxx xxxxx, zvláštních xxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxxx tajemství,
b) xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxx,
x) xxxxxx xxxxxxxx vnitřních xxxxxxxx x xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxx x možné xxxxxxxx ztráty,
e) dopady xx xxxxxxxxxxx xxxxxxxxxx xxxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx,
x) dopady xx xxxxxxxxx xxxxxxx xxxxx xxxx ochranu xxxxx xxxxxxx,
x) xxxxxx xx bezpečnost x xxxxxx osob,
i) dopady xx xxxxxxxxxxx xxxxxx x
x) xxxxxx xx xxxxxxxxx informačního x xxxxxxxxxxxxx systému.
§5
Xxxxxx xxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxx x xxxxxxxxxx xx §4
x) xxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx, xxxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxxxxx xxxxx,
x) s xxxxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxx hrozby x xxxxxxxxxxxxx; xxxxxx xxxxxxx xxxxxxx kategorie xxxxxx x xxxxxxxxxxxxx xxxxxxxxx v příloze č. 3 x xxxx xxxxxxxx,
x) xxxxxxx hodnocení xxxxx x pravidelných xxxxxxxxxxx xxxxx xxxxxxxx 2 x xxx xxxxxxxxxx xxxxxxx,
x) xxx xxxxxxxxx xxxxx xxxxxxxx xxxxxxxxxx xxxxxx x xxxxxxxxxxxxx x xxxxxxx možné xxxxxx na xxxxxx; xxxx xxxxxx xxxxxxx xxxxxxx x rozsahu přílohy č. 2 x xxxx xxxxxxxx,
x) xxxxxxxx zprávu x hodnocení xxxxx,
x) xxxxxxxx xx základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxx o xxxxxxxxxxxxxxxx, xxxxx obsahuje xxxxxxx xxxxxxxxxxxxxx opatření xxxxxxxxxxxx xxxxx vyhláškou, xxxxx
1. xxxxxx xxxxxxxxxx, xxxxxx xxxxxxxxxx,
2. byla xxxxxxxxxx, xxxxxx xxxxxxx xxxxxx,
x) xxxxxxxx x zavede xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx cíle x přínosy bezpečnostních xxxxxxxx xxx zvládání xxxxxxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, xxxxxxxx xxxxxxxx, xxxxxxxxx, lidské x xxxxxxxxxx xxxxxx, xxxxxx jejich xxxxxxxx, xxxxx xxxxx xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxx hodnocení xxxxx x v xxxxx zvládání xxxxx xxxxxxxx
1. xxxxxxxx změny,
2. xxxxx xxxxxxx xxxxxxx xxxxxx bezpečnosti informací,
3. xxxxxxxx podle §11 xxxxxx a
4. xxxxxxxxxxxx xxxxxxxxxxxx incidenty, včetně xxxxx xxxxxxxx, x
x) x xxxxxxx s xxxxxx zvládání rizik xxxxxx bezpečnostní opatření.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xxxxxxx xxxxxxxxx rizik xxxxxxx xxxxxx ročně a xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx alespoň xxxxxx za xxx xxxx.
(3) Xxxxxx xxxxx xxxx xxx zajištěno x xxxxxx xxxxxxx, xxx xxx xx xxxxxxxxx x xxxxxxxx 1 písm. x), xxxxx xxxxxxx xxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx zajistí stejnou xxxx xxxxx úroveň xxxxxxx xxxxxx xxxxx.
§6
Xxxxxxxxxxx xxxxxxxxxx
(1) Xxxxxxx xxxxx x ohledem xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx systému xxxxxx bezpečnosti informací xxxxx §3 xxxxxxxxxxxx xx xxxxxxxxxxxx směřováním xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxx povinné xxxxx,
x) xxxxxxx dostupnost zdrojů xxxxxxxxxx xxx xxxxxx xxxxxx xxxxxxxxxxx informací,
d) xxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxx x xxxx xxxxxxxxx xx xxxxx dotčenými xxxxxxxx,
x) zajistí xxxxxxx x dosažení xxxxxxxxxxx xxxxxxx xxxxxxx řízení xxxxxxxxxxx informací,
f) xxxx xxxxxxxxxxx k rozvíjení xxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxxxx xx při xxxxx rozvíjení,
g) prosazuje xxxxxxxx zlepšování xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx xxx xxxxxxxxxxx kybernetické xxxxxxxxxxx x xxxxxxxxx jejich xxxxxxxxxxxx,
x) xxxxxxx stanovení xxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx x xxxx, xxxxx budou xxxxxxxx xxxxxxxxxxxx role,
j) xxxxxxx, xxx byla xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx a xxxx zastávajících xxxxxxxxxxxx xxxx,
x) xxx xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx pravomoci x zdroje xxxxxx xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxxxx jejich xxxx x xxxxxx xxxxxxxxxxxxx xxxxx x
x) zajistí xxxxxxxxx plánů kontinuity xxxxxxxx, xxxxxx x xxxxxxx spojených se xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx xxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x bezpečnostní xxxx x xxxxxx xxxxx a povinnosti xxxxxxxxxxx se xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(3) Xxxxxxx osoba xxxxxxx x §3 písm. x), x) x x) xxxxxx xxxx xxxxx, xxxxx xxxx xxxxxxxx xxxxxxxxxxxx roli
a) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx kybernetické bezpečnosti,
c) xxxxxxx xxxxxx a
d) xxxxxxxx kybernetické bezpečnosti.
(4) Xxxxxxx osoba uvedená x §3 písm. x) xxxxxx určí xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx a garanta xxxxxx. Ostatní bezpečnostní xxxx xxxxx odstavce 3 určí přiměřeně xxxxxxxx x rozsahu x potřebám systému xxxxxx xxxxxxxxxxx informací.
(5) Xxxxxxx xxxxx xxxxxxx x §3 písm. x), x) x x) xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx rolí xxxxxxxxx x xxxxxxxx 3 písm. x) x x).
(6) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. e) xxxxxx zajistí xxxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(7) Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx je tvořen xxxxxxx s xxxxxxxxxxx xxxxxxxxxxx a odbornou xxxxxxxxxxxx xxx xxxxxxx xxxxxx x xxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx x xxxxxxx xxxxxxxx se xxxxxxxxxxxx xx řízení a xxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxx musí xxx xxxxxxx xxxxx xxxxxxxx vrcholového xxxxxx xxxx jím xxxxxxxx xxxxx x manažer xxxxxxxxxxxx xxxxxxxxxxx. Povinná xxxxx x výboru xxx řízení xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx uvedeným x příloze č. 6 k této xxxxxxxx.
§7
Xxxxxxxxxxxx xxxx
(1) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, přičemž xxxxxxx xxxx xxxx xxxx xxx pověřena xxxxx, xxxxx je xxx tuto xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx praxí x xxxxxxx kybernetické xxxxxxxxxxx nebo x xxxxxxx bezpečnosti xxxxxxxxx
1. xx dobu xxxxxxx xxx let, xxxx
2. xx xxxx jednoho xxxx, pokud absolvovala xxxxxxx xx xxxxxx xxxxx,
x) odpovídá xx xxxxxxxxxx xxxxxxxxxxx vrcholového xxxxxx o
1. xxxxxxxxxx xxxxxxxxxxxxx z xxxxxxx xxxx xxxxxxxxxxxx x
2. xxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx a
c) xxxxx být xxxxxxx xxxxxxx xxxx xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxxxx xxxxxxxxxxxx bezpečnosti xx xxxxxxxxxxxx role xxxxxxxxx xx xxxxxxxxx xxxxxx implementace xxxxxxxxxxxxxx xxxxxxxx tak, aby xxxx xxxxxxxxx bezpečná xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx, přičemž xxxxxxx této xxxx xxxx být pověřena xxxxx, xxxxx xx xxx tuto xxxxxxx xxxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxx implementace xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxx xxxxxxx xxx xxx, xxxx
x) xx xxxx jednoho xxxx, pokud absolvovala xxxxxxx na vysoké xxxxx.
(3) Xxxxxx aktiva xx xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxxxxx xxxxxxx, xxxxxxx a xxxxxxxxxx aktiva.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx této xxxx xxxx xxx pověřena xxxxx, xxxxx xx xxx tuto činnost xxxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxx xxxxxxx řízení xxxxxxxxxxx informací
1. xx xxxx nejméně xxx xxx, xxxx
2. xx xxxx xxxxxxx roku, xxxxx xxxxxxxxxxx studium xx xxxxxx xxxxx,
x) xxxxxxxx, xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxxxxx, x
x) xxxxx xxx pověřen xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxx.
(5) Xxxxxxx xxxxx xxx xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx v příloze č. 6 x xxxx xxxxxxxx.
§8
Xxxxxx dodavatelů
(1) Povinná xxxxx
x) stanoví xxxxxxxx xxx xxxxxxxxxx, xxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxx evidenci svých xxxxxxxxxx dodavatelů,
c) prokazatelně xxxxxxx informuje xxx xxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxx xxxxx xxxxxxx b),
d) xxxxxxxxx xxx xxxxxxxxxx x xxxxxxxx xxxxx xxxxxxx x) a xxxxxxxx xxxxxx těchto xxxxxxxx,
x) xxxx xxxxxx spojená x dodavateli,
f) v xxxxxxxxxxx s xxxxxxx xxxxx spojených s xxxxxxxxxx xxxxxxxxxx xxxxxxx, xxx smlouvy xxxxxxxxx x významnými xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx oblasti xxxxxxx v příloze č. 7 x této vyhlášce, x
x) xxxxxxxxxx přezkoumává xxxxxx xxxxx s xxxxxxxxxx xxxxxxxxxx z xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx u významných xxxxxxxxxx xxxx
x) v xxxxx xxxxxxxxxx řízení x xxxx uzavřením xxxxxxx provádí xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxxx výběrového xxxxxx přiměřeně xxxxx přílohy č. 2 x xxxx xxxxxxxx,
x) v xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx xxxxxxx x xxxxxx realizace bezpečnostních xxxxxxxx x xxxx xxxxx vzájemné xxxxxxx xxxxxxxxxxxx xx xxxxxxxx x xxxxxxxx bezpečnostních xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx a xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxxx xxxx xxxxxx xxxxx strany x
x) x reakci xx xxxxxx x xxxxxxxx nedostatky xxxxxxx xxxxxx xxxxxx.
(3) Náležitosti xxxxxxxxxxxxxx informování xxxxx xxxxxxxx 1 xxxx. x) xxxx
x) xxxxxxxxxxxx xxxxxxx nebo provozovatele,
b) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) identifikace xxxxxxxxxx xxxxxxxxxx,
x) vyrozumění x xxxxxxxxxxx, že xxxxxxxxx je pro xxxxxxx xxxxxxxxx xxxxxxxxxxx, x xxxxxxxxx xxxx x xxx, že xxxxxxxx xxxxxxxxx xx xxxxxxx provozovatelem, x
x) xxxxx xxxxxxxx podle xxxxxxxx 1 písm. x).
(4) Povinná xxxxx xxxxxxx x §3 xxxx. c) xx x) xxxxxx, která xx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxx informována xxxxx xxxxxxxx 1 xxxx. x), xxxxx xxxxxxxxx xxxxx formou xxxxxxxx x §34.
§9
Xxxxxxxxxx xxxxxxxx xxxxxx
(1) Xxxxxxx xxxxx v xxxxx řízení xxxxxxxxxxx xxxxxxxx xxxxxx
x) x xxxxxxx xx stav x xxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, jehož xxxxx je xxxxxxxx xxxxxxxxxxxx vzdělávání a xxxxxxxxxx xxxxxxxxxxxxxx povědomí x xxxxx xxxxxxxx xxxxx, xxxxx a xxxxxx
1. poučení uživatelů, xxxxxxxxxxxxxx, xxxx zastávajících xxxxxxxxxxxx xxxx a xxxxxxxxxx x xxxxxx xxxxxxxxxxxx a o xxxxxxxxxxxx xxxxxxxx x
2. xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní role,
b) xxxx osoby xxxxxxxxx xx realizaci jednotlivých xxxxxxxx, které xxxx x xxxxx uvedeny,
c) x souladu s xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxxxx poučení xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxx x xxxxxx povinnostech x x xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx a xxxxxxxxxxxx školení,
d) xxx xxxxx xxxxxxxxxxx bezpečnostní xxxx x xxxxxxx x plánem xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx odborná xxxxxxx, xxxxxxx xxxxxxx x xxxxxxxxxx xxxxxx xxxxxxx xxxxx v oblasti xxxxxxxxxxxx xxxxxxxxxxx,
x) v xxxxxxx x plánem xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx pravidelné xxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx x xxxxxxx s xxxxxx xxxxxxxx náplní,
f) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx ze xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx zastávajících bezpečnostní xxxx,
x) x případě xxxxxxxx smluvního vztahu x xxxxxxxxxxxxxx a xxxxxxx zastávajícími xxxxxxxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxxxxxxx,
x) xxxxxxx účinnost xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxxxxxxxx školení x xxxxxxx xxxxxxxx xxxxxxxxx se zlepšováním xxxxxxxxxxxxxx xxxxxxxx x
x) xxxx xxxxxxxx a xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx uživatelů, administrátorů x osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxxxx xxxxx xxxx x xxxxxxx xxxxx xxxxxxxx 1 přehledy, xxxxx xxxxxxxx předmět školení x xxxxxx xxxx, xxxxx školení xxxxxxxxxxx.
§10
Xxxxxx xxxxxxx x xxxxxxxxxx
(1) Povinná osoba x xxxxx řízení xxxxxxx a xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx pravidla x xxxxxxx, xxxxx xxxxxxxx xxxxxxx
x) xxxxx x xxxxxxxxxx xxxxxxxxxxxxxx, uživatelů x osob xxxxxxxxxxxxx xxxxxxxxxxxx role,
b) postupy xxx spuštění a xxxxxxxx xxxxx xxxxxxx, xxx restart nebo xxxxxxxx chodu systému xx xxxxxxx a xxx ošetření xxxxxxxxx xxxxx nebo xxxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x opatření xxx xxxxxxx přístupu x xxxxxxxx x xxxxxx událostech,
d) xxxxxxxx x postupy xxx xxxxxxx xxxx xxxxxxxxx xxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxx xx xxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxxxx provozních xxxx,
x) postupy pro xxxxxxxxx, xxxxxxxxx a xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxxx x xxxxxxx xxx xxxxxxx informací x xxx x xxxxxxx xxxxxx životního xxxxx,
x) xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxxx zálohování x xxxxxxxx xxxxxxxxxxxxx provedených xxxxx x
x) xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx síťových xxxxxx.
(2) Xxxxxxx xxxxx x rámci xxxxxx xxxxxxx x komunikací xxxxxxxx pravidla x xxxxxxx xxxxxxxxx podle xxxxxxxx 1 a xxxx pravidla x xxxxxxx xxxxxxxxxxx x xxxxxxxxxxx x xxxxxxxxxxx xxxx xxxxxxxxxxx změnami.
(3) Xxxxxxx xxxxx xxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx.
§11
Řízení xxxx
(1) Povinná xxxxx x xxxxx xxxxxx změn u xxxxxxxxxxxx x komunikačního xxxxxxx
x) xxxxxxxxxxx možné xxxxxx xxxx x
x) xxxxxx xxxxxxxx změny.
(2) Xxxxxxx osoba x xxxxxxxxxx xxxx
x) dokumentuje xxxxxx řízení,
b) provádí xxxxxxx rizik,
c) xxxxxxx xxxxxxxx xx xxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx s xxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxx testování x
x) xxxxxxx xxxxxxx xxxxxxxxx xx původního xxxxx.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xx xxxxxxx xxxxxxxx analýzy xxxxx podle xxxxxxxx 2 xxxx. x) xxxxxxxxx o xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx; xxxxx xxxxxxxx o xxxxxxxxx xxxxxxxxxxxx testování nebo xxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxx §25 xxxx. 1 a reaguje xx xxxxxxxx nedostatky.
(4) Xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx xx xxxx xxxxxxxxx podle xxxxxxxx 3 xxxxxxxxx.
§12
Xxxxxx xxxxxxxx
(1) Xxxxxxx xxxxx xx základě xxxxxxxxxx x bezpečnostních xxxxxx xxxx xxxxxxx x xxxxxxxxxxxx a xxxxxxxxxxxxx systému x xxxxxxx xxxxxxxx, která xxxxxx x xxxxxxxxx xxxxxxx údajů, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx xxxxx §19 x 20, x xxxxx xxxxx xx xxxxxxxx těchto údajů xxxxxxxxxxxx osobou.
(2) Povinná xxxxx xxxx v xxxxx xxxxxx xxxxxxxx x informačnímu x xxxxxxxxxxxxx systému
a) xxxx xxxxxxx xx xxxxxxx xxxxxx x xxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx přístupová xxxxx x xxxxxxxxx x jedinečný identifikátor,
c) xxxx xxxxxxxxxxxxxx, přístupová xxxxx x oprávnění xxxxxxxx a technických xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) zavádí xxxxxxxxxxxx opatření xxxxxxxx xxx xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxxxxx zařízení, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxx xxxx xx své xxxxxx,
x) xxxxx přidělování xxxxxxxxxxxxxxx oprávnění na xxxxxx xxxxxxxx xxxxxx x xxxxxx xxxxxx xxxxx,
x) xxxxx x xxxxxxxxxx xxxxxxxxx programových xxxxxxxxxx, které xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
x) přiděluje x xxxxxxx přístupová xxxxxxxxx x xxxxxxx s xxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxx x xxxx,
x) xxxxxxx xxxxxxx xxx správu x ověřování xxxxxxxx xxxxx §19 x xxxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxx xxxxx §20,
x) xxxxxxxxx, aby xxxxxxxxx při používání xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxx xxxxx přístupových oprávnění xxx xxxxx xxxxxx xxxx zařazení xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxxxx nebo xxxxx xxxxxxxxxxxx oprávnění xxx xxxxxxxx xxxx xxxxx xxxxxxxxx xxxxxx x
x) dokumentuje xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx.
§13
Xxxxxxxx, vývoj x xxxxxx
Xxxxxxx osoba x xxxxxxxxxxx x xxxxxxxxxx xxxxxxxx, vývojem x xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxx xxxxx §5,
x) xxxx xxxxxxxx xxxxx xxxxx §11,
x) stanoví xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxxx požadavky do xxxxxxxx xxxxxxxx, vývoje x xxxxxx,
x) zajistí xxxxxxxxxx vývojového a xxxxxxxxxxx xxxxxxxxx a xxxxxxx ochranu používaných xxxxxxxxxxx dat,
f) xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxx před jejich xxxxxxxxx xx xxxxxxx x
x) plní xxxxxxxxx xxxxx §19 odst. 3, xx-xx cílem xxxxxxxxx akvizice nebo xxxxxx xxxxxxx xxx xxxxxx a xxxxxxxxx xxxxxxxx.
§14
Zvládání kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
(1) Xxxxxxx osoba x xxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx
x) zavede xxxxxx xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx a xxxxxxx xxxxxxx xxx
1. xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx a
2. xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
c) xxxxxxxx x xxxxxxxx xxxxxxx xxx identifikaci, xxxx, xxxxxxx x uchování xxxxxxxxxxx podkladů potřebných xxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxx řídí §22 x 23,
x) xxxxxxx, xx xxxxxxxxx, xxxxxxxxxxxxxx, xxxxx zastávající xxxxxxxxxxxx role, xxxxx xxxxxxxxxxx x dodavatelé xxxxx xxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxx,
x) xxxxxxx posuzování xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí, xxx xxxxxx xxxx xxx xxxxxxxxxx, xxx xxxx xxx klasifikovány xxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx podle §31,
x) xxxxxxx zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx podle xxxxxxxxxxx xxxxxxx,
x) přijímá xxxxxxxx xxx odvrácení x xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §32,
x) xxxx záznamy o xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx x x xxxxxx xxxxxxxx,
x) xxxxxxxx x xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a
m) xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x na xxxxxxx xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx k xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x f) xxxxxx xxxx při xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx používá nástroj xxxxx §24.
§15
Xxxxxx kontinuity xxxxxxxx
Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxx
x) xxxxxxx xxxxx a xxxxxxxxxx xxxxxxxxxxxxxx a xxxx zastávajících bezpečnostní xxxx,
x) xxxxxx hodnocení xxxxx x xxxxxxx xxxxxx vyhodnotí a xxxxxxxxxxx možné dopady xxxxxxxxxxxxxx bezpečnostních incidentů x posoudí možná xxxxxx související x xxxxxxxxx xxxxxxxxxx činností,
c) xx xxxxxxx xxxxxxx xxxxxxxxx xxxxx a xxxxxxx xxxxxx xxxxx xxxxxxx x) stanoví xxxx řízení xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx úrovně xxxxxxxxxxxxx xxxxxx, xxxxx je xxxxxxxxxx xxx užívání, xxxxxx x xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
2. xxxx obnovení xxxxx, xxxxx které xxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu xxxxxxxx xxxxxxxxx úroveň xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, x
3. xxxx obnovení xxx xxxx časové období, xx které xxxx xxx zpětně obnovena xxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu nebo xx xxxxxxx,
x) xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, která obsahuje xxxxxxxx xxxx podle xxxxxxx x),
x) vypracuje, xxxxxxxxxxx x pravidelně xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxx xxxxxxxxxxx x xxxxxxxxxxxx informačního a xxxxxxxxxxxxx xxxxxxx x xxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx opatření xxx xxxxxxx odolnosti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx bezpečnostním xxxxxxxxxx a xxxxxxxx xxxxxxxxxxx x xxxxxxx xxx xxx x xxxxxxxxx xxxxx §27.
§16
Xxxxx xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx xxxxx v xxxxx auditu kybernetické xxxxxxxxxxx
x) xxxxxxx a xxxxxxxxxxx audit dodržování xxxxxxxxxxxx xxxxxxxx, včetně xxxxxxxxxxx xxxxxxxxx shody, x výsledky xxxxxx xxxxxxxx v xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x plánu zvládání xxxxx a
b) posuzuje xxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx praxí, xxxxxxxx xxxxxxxx, vnitřními xxxxxxxx, jinými předpisy x xxxxxxxxx závazky xxxxxxxxxxxx se x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxx xxxxxxxx opatření xxx xxxxxxxxx xxxxxxx.
(2) Xxxxx xxxxx odstavce 1 xx prováděn
a) xxx xxxxxxxxxx xxxxxxx, x xxxxx xxxxxx xxxxxxx,
x) v pravidelných xxxxxxxxxxx xxxxxxx xx 3 xxxxxx v xxxxxxx povinné xxxxx xxxxxxx v §3 xxxx. x) xxxxxx x
x) v xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xx 2 xxxxxx v xxxxxxx xxxxxxx osoby xxxxxxxxx x xxxxxxx x).
(3) Xxxx-xx x xxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx audit x xxxxxxxxxxx xxxxx xxxxxxxx 2 xxxx. x) x x) x xxxxx rozsahu, xx xxxxx xxxxx provádět xxxxxxxx xx xxxxxxxxxxxxxx xxxxxxx. X xxxxxxx xxxxxxx je nutno xxxxx v celém xxxxxxx provést xxxxxxxxxx xx 5 xxx.
(4) Xxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx xxxxxxxx xxxxxx xxxxxxxxxx podmínkám xxxxxxxxxx v §7 xxxx. 4, xxxxx xxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx opatření.
(5) Povinná xxxxx, xxxxx je xxxxxxxx provozovatelem, xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx správci xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx.
XXXXX II
TECHNICKÁ XXXXXXXX
§17
Xxxxxxx xxxxxxxxxx
Xxxxxxx xxxxx v xxxxx xxxxxxx xxxxxxxxxxx
x) xxxxxxxxx xxxxxxxxx, xxxxxxx xxxx xxxxxxxx xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxxx oblast, xx xxxxx jsou xxxxxxxxxx x xxxxxxxxxxxx informace x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx, x
x) x xxxxxxxxx bezpečnostního xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx b) xxxxxx xxxxxxxx opatření x xxxxxxxxx xxxxxxxxxx fyzické xxxxxxxxxxx
1. x zamezení xxxxxxxxxxxxx vstupu,
2. x xxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x
3. xxx zajištění xxxxxxx xx xxxxxx objektů x x rámci xxxxxxx.
§18
Xxxxxxxxxx xxxxxxxxxxxxx sítí
Povinná xxxxx xxx ochranu xxxxxxxxxxx komunikační sítě xxxxxxxx x xxxxxxx xxxxx §3 xxxx. x)
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxx komunikace x xxxxx xxxxxxxxxxx xxxx x xxxxxxxxx komunikační xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxx xxx xxx xxxxxxxxx přístupu, xxxxxxxx xxxxxx xxxx xxx xxxxxxxx xx xxxxxxxxxxx xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxx x
x) xxx xxxxxxxxx segmentace xxxx x xxx xxxxxx xxxxxxxxxx mezi xxxxxx xxxxxxxx xxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx.
§19
Xxxxxx x xxxxxxxxx xxxxxxx
(1) Povinná osoba xxxxxxx xxxxxxx pro xxxxxx x xxxxxxx xxxxxxxx uživatelů, administrátorů x xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
(2) Xxxxxxx pro xxxxxx x ověření xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxx
x) xxxxxxx xxxxxxxx xxxx xxxxxxxxx xxxxxxx x xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) xxxxxx počtu xxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxxx,
x) xxxxxxxx uložených xxxx přenášených xxxxxxxxxxxxxx xxxxx xxxxx xxxxxxxxxxxxx xxxxxxxx x xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxxx xxxxx xx xxxxx xxxxxx xxxxx xxxxxxx útokům,
e) xxxxxxxx ověření xxxxxxxx xx xxxxxx době xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx údajů při xxxxxx přístupu x
x) xxxxxxxxxxxxxxx xxxxxx identit.
(3) Xxxxxxx xxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx není založený xxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxx x xxxxx, xxxxx xx xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxx xxxxxxx xxxx faktorů.
(4) Xx xxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxx 3 xxxx xxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx, xxxxxxxx autentizaci pomocí xxxxxxxxxxxxxxxx xxxxx x xxxxxxx obdobnou úroveň xxxxxxxxxxx.
(5) Xx xxxx xxxxxxx xxxxxxxxx podle xxxxxxxx 3 xxxx 4 xxxx nástroj xxx xxxxxxx identity xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx, který používá x xxxxxxxxxxx xxxxxxxxxxxxx xxxx a xxxxx, xxxxxxxxx xxxxxxxx
x) xxxxx xxxxx xxxxxxx
1. 12 xxxxx x xxxxxxxxx x
2. 17 znaků x xxxxxxxxxxxxxx a xxxxxxxx,
x) umožňující xxxxx xxxxx o xxxxx xxxxxxx 64 znaků,
c) xxxxxxxxxxx xxxxxxx xxxxxx x xxxxxxx xxxxxx, xxxxxx x xxxxxxxxxxx xxxxx,
x) umožňující xxxxxxxxxx xxxxx xxxxx, xxxxxxx xxxxxx xxxx xxxxx xxxxxxx xxxxx xxxxx xxx kratší xxx 30 xxxxx,
x) neumožňující xxxxxxxxxx x xxxxxxxxxxxxxxx
1. xxxxxx xx xxxxxxxxxx xxxxxxxxx xxxxx,
2. tvořit xxxxx na xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, přihlašovacího xxxxx, x-xxxxx, názvu xxxxxxx xxxx obdobným xxxxxxxx x
3. xxxxxxxx xxxxxxx xxxxx používaných hesel x xxxxxx xxxxxxx 12 xxxxxxxxxxx xxxxx x
x) xxx povinnou xxxxx xxxxx x xxxxxxxxx maximálně xx 18 xxxxxxxx, xxxxxxx xxxx xxxxxxxx xx xxxxxxxxxx na xxxx xxxxxxxx x obnově xxxxxxx v případě xxxxxxx.
(6) Xxxxxxx osoba x případě xxxxxxxxx xxxxxxxxxxx pouze účtem x heslem xxxx
x) xxxxxx bezodkladnou xxxxx xxxxxxxxx xxxxx po xxxx xxxxxx xxxxxxx,
x) xxxxxxxxxxx zneplatní xxxxx xxxxxxxx x xxxxxxxx xxxxxxxx po xxxx xxxxxx xxxxxxx xxxx xxxxxxxxx nejvýše 60 xxxxx od xxxx xxxxxxxxx a
c) xxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxx xx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9.
§20
Xxxxxx xxxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxx xxx xxxxxx xxxxxxxxxxxx oprávnění, xxxxxx xxxxxxx xxxxxx oprávnění
a) xxx xxxxxxx k xxxxxxxxxxx xxxxxxx informačního x komunikačního systému x
x) xxx xxxxx xxx, xxxxx xxx x xxxxx xxxxxxxxx.
§21
Ochrana xxxx xxxxxxxxx xxxxx
(1) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. c), x) x f) zákona x xxxxx xxxxxxx xxxx xxxxxxxxx kódem
a) x ohledem xx xxxxxxxxxx aktiv xxxxxxxxx xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx automatickou xxxxxxx
1. xxxxxxxxx stanic,
2. xxxxxxxxx xxxxxxxx,
3. xxxxxxx,
4. datových xxxxxxx x výměnných xxxxxxxx xxxxxx,
5. komunikační xxxx x prvků xxxxxxxxxxx xxxx x
6. xxxxxxxxx zařízení,
b) xxxxxxxxxx x xxxx používání xxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,
x) řídí xxxxxxxxxxx spouštění obsahu xxxxxxxxx xxxxxxxx a xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxx xx xxxxxxxxx xxxx a
e) provádí xxxxxxxxxxx x účinnou xxxxxxxxxxx xxxxxxxx pro xxxxxxx před škodlivým xxxxx.
(2) Povinná xxxxx xxxxxxx v §3 xxxx. e) xxxxxx xxxxxxxxx xxxxx odstavce 1 xxxxxxxxx.
§22
Xxxxxxxxxxxxx xxxxxxxx informačního x xxxxxxxxxxxxx systému, xxxx xxxxxxxxx a xxxxxxxxxxxxxx
(1) Xxxxxxx osoba
a) xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx provozní xxxxxxxx xxxxxxxxxx xxxxx informačního x komunikačního xxxxxxx x
x) xx xxxxxxx xxxxxxxxx důležitosti xxxxx xxxxxxxxxxx xxxxxx xxxxx, x xxxxxxx je xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxx xxxxxxxxxxxxx bezpečnostních x xxxxxxxxxx událostí xxxxx xxxxxxxx 1 xxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx, xx-xx x komunikační xxxx xxxxxx xxxxxxx, který xxxx xxxx síťovou xxxxxxxxxxxx,
x) xxxx xxxxxxxxx x xxxxxxxxxxxxxx a xxxxxxxxxx xxxxxxxxxx; xxxxxxx xxxxxxxxxxx
1. xxxxx x xxx xxxxxx specifikace xxxxxxxx pásma,
2. xxx xxxxxxxx,
3. xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, které xxxxxxx xxxxxxxxxxx,
4. jednoznačnou identifikaci xxxx, pod xxxxxx xxxx xxxxxxx xxxxxxxxx,
5. xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx a
6. xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx xxxxx písmen x) a x) xxxx neoprávněným čtením x xxxxxxxxx změnou,
d) xxxxxxxxxxxxx
1. přihlašování x xxxxxxxxxxx xx všem xxxxx, x xx xxxxxx neúspěšných pokusů,
2. xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx,
3. xxxxxxx x xxxxxxxxx xxxxxxxxxx x xxxx, xxxxxxxxxxx a xxxxx,
4. xxxxxxxxxxx činností x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxx x oprávnění,
5. xxxxxxxx xxxxxxxxx, které xxxxx xxx xxxx xx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
6. xxxxxxxx x xxxxxxxx xxxxxxxx technických aktiv,
7. xxxxxxxxxx x chybových xxxxxxx technických xxxxx x
8. xxxxxxxx k xxxxxxxx o xxxxxxxxxx, xxxxxx x xxxxxxxxxx xx xxxxxxx x xxxxxxxxxx x změny xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx událostí x
x) xxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxxx za 24 xxxxx.
(3) Xxxxxxx xxxxx xxxxxxx v §3 xxxx. x), d) x x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx xx xxxx 18 měsíců.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) zákona xxxxxxxx xxxxxxx xxxxxxxx zaznamenaných xxxxx odstavce 2 xxxxxxx xx xxxx 12 měsíců.
§23
Detekce xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
(1) Povinná osoba x xxxxx xxxxxxxxxxx xxxx, xxxxx xxxxxxxx xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx, xxxxxxx xxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx zajistí
a) ověření x xxxxxxxx xxxxxxxxxxx xxx x xxxxx xxxxxxxxxxx xxxx x xxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx x kontrolu xxxxxxxxxxx xxx xx xxxxxxxxx xxxxxxxxxxx xxxx x
x) blokování xxxxxxxxx xxxxxxxxxx.
(2) Xxxxxxx osoba xxxxxxx x §3 xxxx. x), x) x f) xxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx přiměřeně x xxxxxxx na xxxxxxxxxx xxxxx x xxxxx
x) xxxxxxxxx xxxxxx,
x) xxxxxxxxx xxxxxxxx,
x) xxxxxxx,
x) xxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxx aktivních xxxxx x
x) xxxxxxxxx xxxxx.
§24
Xxxx a xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
Povinná xxxxx xxxxxxx v §3 xxxx. x), x) x f) xxxxxx používá nástroj xxx xxxx x xxxxxxxxxxx vyhodnocení kybernetických xxxxxxxxxxxxxx událostí, xxxxx xxxxxx
x) xxxx a xxxxxxxxxxxxx událostí xxxxxxxxxxxxx xxxxx §22 a 23,
x) xxxxxxxxxxx x xxxxxxxxxxx souvisejících záznamů,
c) xxxxxxxxxxx informací xxx xxxxxx xxxxxxxxxxxx role x xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx včasného xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx nastavení pravidel xxx
1. xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a
2. xxxxxx varování x
x) xxxxxxxxx informací xxxxxxxxx xxxxxxxxx pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí pro xxxxxxxxx nastavení xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
§25
Xxxxxxxxx bezpečnost
(1) Xxxxxxx xxxxx provádí xxxxxxxxxx xxxxx informačního a xxxxxxxxxxxxx systému xx xxxxxxxxx na xxxxxxxx xxxxxx, x to
a) xxxx xxxxxx xxxxxxxx xx xxxxxxx a
b) x xxxxxxxxxxx x xxxxxxxxx xxxxxx xxxxx §11 xxxx. 3.
(2) Xxxxxxx xxxxx xxxx x rámci xxxxxxxxx xxxxxxxxxxx xxxxxxx trvalou xxxxxxx xxxxxxxx, informací x xxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxx a
b) xxxxxxxx xxxxxxxxxxx činností.
§26
Xxxxxxxxxxxxxx prostředky
Povinná xxxxx xxx xxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) používá aktuálně xxxxxx xxxxxxxxxxxxxx algoritmy x xxxxxxxxxxxxxx xxxxx,
x) xxxxxxx systém xxxxxx xxxxx x xxxxxxxxxxx, xxxxx
1. xxxxxxx generování, xxxxxxxxxx, xxxxxxxx, xxxxx, xxxxxxx platnosti, xxxxxxxxxxx xxxxxxxxxxx a xxxxxxxxx xxxxx x
2. umožní xxxxxxxx x xxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxxx x kryptografickými xxxxxxxxxx x
x) xxxxxxxxxx xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx vydaná Xxxxxx, xxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx.
§27
Xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx osoba zavede xxxxxxxx pro zajišťování xxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx x komunikačního systému xxx xxxxxxx xxxx xxxxx §15,
b) odolnost xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx incidentům, xxxxx xx xxxxx xxxxxx xxxx xxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxx technických xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) xxxxxxxxxx xxxxx nezbytných xxx xxxxxxxxx xxxxxxxxxxx informačního x komunikačního xxxxxxx.
§28
Xxxxxxxxxx, xxxxxx a xxxxxxx specifické systémy
Povinná xxxxx xxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx průmyslových, xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxx používá xxxxxxxx a xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxxxx x programových xxxxxxxxxx, xxxxx jsou xxxxxx xx xxxxxxxxxxxx xxxxxxxxx,
x) omezení xxxxxxxxx xxxxxxxx x zařízením xxxxxx systémů a xx komunikační xxxx,
x) xxxxxxxxx komunikační xxxx xxxxxx xxx xxxx xxxxxxx xx ostatní xxxxxxxxxxxxxx,
x) xxxxxxx x xxxxxx xxxxxxxxxx xxxxxxxx x těmto xxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx systémů xxxx využitím xxxxxxx xxxxxxxxxxxxx a
f) xxxxxxxx xxxxx těchto xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
§29
Digitální služby
(1) Povinná xxxxx xxxxxxx v §3 písm. h) xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx podle xxxxxxxxxxx xxxxxxxx Xxxxxx (XX) 2018/151 ze dne 30. ledna 2018, xxxxxx xx xxxxxxx xxxxxxxx xxx uplatňování xxxxxxxx Xxxxxxxxxx parlamentu x Xxxx (XX) 2016/1148, xxxxx jde x xxxxxx xxxxxxxxx xxxxx, které xxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxxx x xxxxxxxxxx xxxxxxx, x xxxxxxxxx pro xxxxxxxxxx xxxx, xxx xx xxxxx incidentu xxxxxxxx; xxxxxxxxxx §3 xx 28 se xx xxxx povinnou xxxxx nepoužijí.
(2) Xxxxxxx xxxxx uvedená x §3 písm. h) xxxxxx xxxxx xxxxxxxxx xxxxx xxxxx §34 xxxx. 2.
(3) Xxxxxxx xxxxx xxxxxxx v §3 písm. x) xxxxxx xxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxx §32 xxxx. 2 x 3.
XXXXX XXX
XXXXXXXXXXXX XXXXXXXX X XXXXXXXXXXXX XXXXXXXXXXX
§30
Xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxx xxxxxxxxxxxx xxxxxxxx x vede bezpečnostní xxxxxxxxxxx xxxxxxxxxx oblasti xxxxxxx x příloze č. 5,
x) xxxxxxxxxx přezkoumává xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx x
x) zajistí, xxx xxxx xxxxxxxxxxxx xxxxxxxx a bezpečnostní xxxxxxxxxxx aktuální.
(2) Xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx musí xxx
x) xxxxxxxx v xxxxxxxx xxxx elektronické xxxxxx,
x) xxxxxxxxxxxx x xxxxx xxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxx dotčeným xxxxxxx,
x) xxxxxx,
x) chráněny x xxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx x
x) xxxxxx xxx, aby xxxxxxxxx x xxxx xxxxxxxx xxxx xxxxx, xxxxxxx, snadno xxxxxxxxxxxxxxxxx x xxxxxx vyhledatelné.
ČÁST TŘETÍ
KYBERNETICKÝ BEZPEČNOSTNÍ XXXXXXXX
§31
Xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx incidenty xx xxxxxxxxxxxx xxxxx významnosti xxx zohlednění
a) xxxxxx xxxxxxxxxx v xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx byly xxxxxxx xxxxx xxxxxx,
x) xxxxx xxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxx předpokládané škody,
d) xxxxxxxxxxx xxxxxxxxx aktiv xxxxxxxxxxxx x komunikačního xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
f) xxxxxx xx služby xxxxxxxxxxx xxxxxx informačními x xxxxxxxxxxxxx xxxxxxx,
x) xxxxx xxxxxx incidentu,
h) xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx x
x) xxxxxxx xxxxxx.
(2) Pro xxxxxxx xxxxxxx a zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx na základě xxxxxxxxxx xxxxx xxxxxxxx 1 kybernetické bezpečnostní xxxxxxxxx xxxxxx do xxxxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxx XXX - xxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx kterém xx xxxxx x xxxxxxxx xxxxxxxx bezpečnost xxxxxxxxxxxxx služeb xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx x xxx, xx xxxx být xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx vzniklých x xxxxxxxxxxxxx xxxx,
x) Xxxxxxxxx XX - xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx kterém xx narušena xxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx s tím, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx, xxxx
x) Kategorie X - méně významný xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx kterém xxxxxxx x xxxx xxxxxxxxxx xxxxxxxx bezpečnosti xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxx xxxxxxx s xxx, xx musí xxx vhodnými prostředky xxxxxxx xxxxx šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
(3) Xxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxx jsou
a) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxx aktiv,
b) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, nebo
d) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxx x) xx x).
(4) Xxxx ustanovení se xxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxxxxx incidenty x xxxxxxx xxxxx uvedené x §3 písm. x) xxxxxx.
§32
Xxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx se Úřadu xxxxx xx elektronickém xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx stránkách Úřadu xxxxxxxx
x) xx adresu xxxxxxxxxxxx xxxxx Úřadu xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx datové xxxxxxxx Xxxxx, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxx rozhraní, xxxxx xx používáno, xxxxx xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx CERT xxxxx xx elektronickém formuláři xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx provozovatele xxxxxxxxx XXXX zaslaném
a) xx xxxxxx elektronické pošty xxxxxxxxxxxxx národního XXXX xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxxxxxxx xx xxxx internetových xxxxxxxxx,
x) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx provozovatele národního XXXX.
(3) Xxxxxxx kybernetického xxxxxxxxxxxxxx incidentu xx xxxxx xxxxxx x x listinné xxxxxx, xxxxx xxxxx v xxxxxxxxx, xxx nelze xxxxxx xxxxx xx xxxxxxx uvedených x xxxxxxxxxx 1 x 2.
(4) Náležitosti xxxxxxx xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxxxx informačního a xxxxxxxxxxxxx xxxxxxx,
x) datum x xxx xxxxxxxx xxxxxxxxx x
x) xxxxx xxxxxxxxx.
ČÁST XXXXXX
XXXXXXXXX XXXXXXXX X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
(1) Xxxxxxx osoba, xxxxx Xxxx xxxxxx xxxxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx očekávané dopady xxxxxxxxxxx xxxxxxxx na xxxxxxxxxx a xxxxxxxxxxx xxxxxx x na xxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxx xxxxxxxxx účinky a
b) xxxxxxx způsob xxxxxxxx xxxxxxxxx tohoto opatření, xxxxx minimalizuje xxxx xxxxx negativní xxxxxx, x xxxx xxxxxx xxxx xxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx, xxxxx Xxxx xxxxxx provést xxxxxxxxx opatření, xxxxxx xxxxxx provedení xxxxxxxxxxx xxxxxxxx x jeho xxxxxxxx xx xxxxx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
§34
Kontaktní xxxxx
(1) Xxxxxxxxx xxxxx se Xxxxx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx zveřejněném na xxxxxxxxxxxxx stránkách Úřadu xxxxxxxx
x) na xxxxxx xxxxxxxxxxxx pošty Úřadu xxxxxxx pro příjem xxxxxxxx xxxxxxxxxxx údajů, xxxxxxxxxxx xx internetových xxxxxxxxx Xxxxx,
x) do xxxxxx xxxxxxxx Úřadu, xxxx
x) xxxxxxxxxxxxxxx datového xxxxxxxx, xxxxx je xxxxxxxxx, xxxxx xxxxx xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxxxx xxxxx xx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx xx elektronickém xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx stránkách provozovatele xxxxxxxxx XXXX zaslaném
a) xx xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxx xxx xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxxxx na xxxx internetových xxxxxxxxx,
x) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Xxxxxxx xxxxxxxxxxx xxxxx xx xxxxx xxxxxx i x xxxxxxxx xxxxxx, xxxxx xxxxx x xxxxxxxxx, xxx xxxxx xxxxxx xxxxx xx xxxxxxx xxxxxxxxx x xxxxxxxxxx 1 a 2.
(4) Xxxx xxxxxxxx xxxxxxxxxxx xxxxx xx uveden x příloze č. 8 x xxxx xxxxxxxx.
(5) Povinná xxxxx xxxxxxx x §3 xxxx. x) xx x) zákona, xxxxx je xxxxxxxxxxxxxx, xxxx x xxxxxxx xxxxxxxxxxx xxxxx podle xxxxxxxx 1 xxxxxxxx xxxxxxxx, xxxxxx xx xxxxxxx prokazatelně informuje xxxxx §8 xxxx. 1 písm. c).
ČÁST XXXX
XXXXXXXXX USTANOVENÍ
§35
Přechodná xxxxxxxxxx
(1) X xxxxxxx xxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx infrastruktury x xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, které xxxx určeny xxxxx xxxx xxxxxx xxxxxxxxx xxxx vyhlášky, x x xxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, x xxxxxxx došlo k xxxxxxxx xxxxxxxxxx kritérií xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, xx do xxxxxxx xxxx ode dne xxxxxx účinnosti xxxx xxxxxxxx pro xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxx x xxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx opatřeních x x stanovení xxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx bezpečnosti (vyhláška x kybernetické bezpečnosti).
(2) X případě xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx x komunikačních xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx xxxx xxxxxx přede dnem xxxxxx xxxxxxxxx xxxx xxxxxxxx, x v xxxxxxx xxxxxxxxxx informačních xxxxxxx, x xxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxx přede xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, xx xx xxxxxxx xxxx xxx xxx xxxxxx xxxxxxxxx xxxx xxxxxxxx xxx způsob xxxxxxxxx xxx, xxxxxxxxxx xxxxx, xxxxxxxxx a xxxxxx xxxxx xxxx xxxxxxxx xxxxxxxxx.
§36
Xxxxxxxxx xxxxxxxxxx
Xxxxxxx xx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx a x xxxxxxxxx náležitostí xxxxxx x oblasti xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx bezpečnosti).
§37
Účinnost
Tato vyhláška xxxxxx xxxxxxxxx xxxx vyhlášení.
Ředitel:
Ing. Xxxxxxxx x. x.
Příloha x. 1 x xxxxxxxx x. 82/2018 Sb.
Hodnocení xxxxx
(1) Xxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxx x xxxxx případě xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxx a xxxxxxxx xx, xxxx xxxxx xx mělo xxxxxxxx xxxxxxxxxxx xxxxxxxxx u xxxxxxxxxxxx xxxxx. Xxxxxxx xxxxx xxxx xxxxxxxx xxxxxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxx xxxx xx xxxxxx x xxxx xxxxxxx, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx xxxx xxxxxxxxxx xxxxxxxx xxxxxxxxx důležitosti aktiv x stupnicemi x xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxx v xxxx příloze.
(2) Je xxxxxxxxxx, xxx xx xxxxx povinná xxxxx xxxx dopadové xxxxxx xxxxxxxxxxxx xxxx xxxxxxxx.
Xxx. 1: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx přístupná xxxx byla xxxxxx xx zveřejnění. Xxxxxxxx xxxxxxxxxx xxxxx neohrožuje xxxxxxxxx xxxxx xxxxxxx xxxxx. X případě xxxxxxx xxxxxxxx xxxxxx s xxxxxxx xxxxxxxx a xxxxxxx klasifikace xxxxx xxx. traffic xxxxx xxxxxxxxx (xxxx xxx "XXX") je xxxxxxxxx xxxxxxxx XXX:XXXXX. |
Xxxx xxxxxxxxxx xxxxx ochrana. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x tvoří xxxx-xxx xxxxxxx xxxxx, ochrana xxxxx xxxx xxxxxxxxxx xxxxxx právním předpisem xxxx xxxxxxxx xxxxxxxxx. X xxxxxxx xxxxxxx takového xxxxxx s xxxxxxx xxxxxxxx x použití xxxxxxxxxxx xxxxx TLP xx xxxxxxxxx zejména xxxxxxxx XXX:XXXXX nebo XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx xxxx xxxxxxxxx prostředky xxx xxxxxx přístupu. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxx xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx nebo smluvními xxxxxxxxxx (xxxxxxxxx obchodní xxxxxxxxx, xxxxxx xxxxx). X xxxxxxx xxxxxxx xxxxxxxx xxxxxx s xxxxxxx xxxxxxxx x použití xxxxxxxxxxx xxxxx XXX xx využíváno xxxxxxx xxxxxxxx XXX:XXXXX. |
Xxx ochranu xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, které xxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx pomocí xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Kritická |
Aktiva xxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxx xxx xxxxx xxxxxxxxx kategorie (například xxxxxxxxxxx xxxxxxxx tajemství, xxxxxxxx xxxxxxxxx osobních xxxxx). X xxxxxxx sdílení xxxxxxxx xxxxxx x xxxxxxx stranami a xxxxxxx xxxxxxxxxxx xxxxx XXX je využíváno xxxxxxx označení XXX:XXX xxxx XXX:XXXXX. |
Xxx ochranu xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxx a xxxxxxxxxxxxx xxxxxxxx. Xxxx metody xxxxxxx zabraňující zneužití xxxxx ze strany xxxxxxxxxxxxxx. Xxxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx prostředků. |
Tab. 2: Xxxxxxxx pro xxxxxxxxx xxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx xx xxxxxxx aktiva |
|
Nízká |
Aktivum xxxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxx povinné xxxxx. |
Xxxx vyžadována žádná xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx může vyžadovat xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx integrity xxxxxx xxxx xxxx x xxxxxxxxx oprávněných xxxxx povinné osoby x může xx xxxxxxxx méně xxxxxxxxx xxxxxx xx primární xxxxxx. |
Xxx xxxxxxx integrity xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (například xxxxxxx xxxxxxxxxxxx xxxx pro xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx ochranu x hlediska xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxxxxxxxxx xxxxxx na xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx a xxxxxxxxxx xxxxxxxx xxxxx provádějící xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx je zajištěna xxxxxx kryptografických xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx ochranu z xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx x xxxxx vážnému poškození xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxxxxx x xxxxx xxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx integrity xxxx využívány speciální xxxxxxxxxx jednoznačné xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxx. 3: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx požadavků xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxx x x případě xxxxxxx je běžně xxxxxxxxxx delší časové xxxxxx pro xxxxxxx (xxx do 1 xxxxx). |
Xxx xxxxxxx dostupnosti xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx xxxxxx xxxxxxxxx xxxx xxxxxxxxxx dne, xxxxxxxxxxxxx xxxxxxx vede x možnému ohrožení xxxxxxxxxxx xxxxx xxxxxxx xxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx zálohování x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx nemělo překročit xxxx xxxxxxxx hodin. Xxxxxxxx výpadek xx xxxxx řešit xxxxxxxxxx, xxxxxxx xxxx x xxxxxxx xxxxxxxx oprávněných xxxxx povinné xxxxx. Xxxxxx xxxx xxxxxxxxxx xx velmi xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx xxxxxxxxx záložní xxxxxxx x obnova xxxxxxxxxxx xxxxxx xxxx xxx xxxxxxxxx zásahy xxxxxxx xxxx xxxxxxx technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx a x xxxxxxxxxx xxxxxxxxxxxx (x xxxx xxxxxxxx xxxxx) xxxx x xxxxxxx xxxxxxxx oprávněných xxxxx xxxxxxx xxxxx. Xxxxxx xxxx považována xx kritická. |
Pro ochranu xxxxxxxxxxx xxxx xxxxxxxxx xxxxxxx xxxxxxx x xxxxxx poskytování služeb xx krátkodobá x xxxxxxxxxxxxxx. |
Příloha x. 2 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx xxxxx
(1) Xxxxxxxxxxx stanovení funkce xxx xxxxxx rizika xx xxxxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxx xxxxx §5.
(2) Xxxxxxx xxxxxx je xxxxxxxxxx xxxxxxxxx xxxx xxxxxx, xxxxxx ovlivňuje xxxxx, xxxxxx x xxxxxxxxxxxx.
(3) Xxx xxxxxxxxx xxxxx xxx xxxxxx xxxxxxxxx xxxx xxxxxx:
Xxxxxx = xxxxx x xxxxxx x xxxxxxxxxxxx.
(4) Xxxxx xx v xxxxx xxxxxxx xxxxxxx x xxxxxxxxx aktiv xxxxx přílohy č. 1.
(5) V xxxxxxx, že xxxxxxx xxxxx xxxxxxx xxxxxx xxx hodnocení rizik, xxxxx nerozlišuje hodnocení xxxxxx x xxxxxxxxxxxxx, xx xxxxx xxxxxxxx xxx xxxxxxxxx hrozeb x xxxxxxxxxxxxx xxxxxxx. Xxxxxxxx xxxxxxx by xxxxxx vést ke xxxxxx schopnosti xxxxxxxxx xxxxxx xxxxxx x xxxxxxxxxxxxx. Xx xxxxx xxxxxx lze xxxxxx xxxxxxxxx komentář, který xxxxxxxx xxxxxxx xxx xxxxxx xxxxxx, xxx x úroveň zranitelnosti. Xxxxxxx se xxxxxxxxx x x xxxxxxxxx, xxx povinná xxxxx xxxxxxx xxxx xxxxx xxxxxx xxx hodnocení xxxxxx, xxxxxx, zranitelností x xxxxx.
Xxx. 1: Xxxxxxxx xxx xxxxxxxxx xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx xxxx xx xxxx xxxxxxxxxxxxx. |
|
Střední |
Hrozba xx málo xxxxxxxxxxxxx xx xxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx pravděpodobná xx xxxxx xxxxxxxxxxxxx. |
|
Kritická |
Hrozba je xxxxx xxxxxxxxxxxxx až xxxxxxxx xxxxx. |
Xxx. 2: Xxxxxxxx xxx hodnocení xxxxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxxxxxxxx xxxxxxxxxx nebo je xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx schopna xxxx xxxxxxxxx možné xxxxxxxxxxxxx xxxx xxxxxxxx xxxxxx x jejich xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx málo xxxxxxxxxxxxx xx pravděpodobné. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, jejichž účinnost xx pravidelně xxxxxxxxxxxx. Xxxxxxxxx bezpečnostních opatření xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx xxxxxxxx xxxxxx x překonání xxxxxxxx je xxxxxxx. Xxxxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx xx xxxxx pravděpodobné. Xxxxxxxxxxxx xxxxxxxx jsou xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxx x xxxx xxxxxxxxxx xxxxxxxxxxxx. Xxxx známé xxxxx xxxxxxx xxxxxx o xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Kritická |
Zneužití xxxxxxxxxxxxx je xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. Bezpečnostní xxxxxxxx xxxxxx xxxxxxxxxxx nebo xx jejich xxxxxxxx xxxxxx xxxxxxx. Xxxxxxxxx xxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx. Xxxx známé xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
Xxx. 3: Xxxxxxxx xxx hodnocení xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx považováno xx akceptovatelné. |
|
Střední |
Riziko může xxx xxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxx x xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx je xxxxxx xxxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxx nepřípustné x xxxx být xxxxxxxx xxxxxxxxxxxx kroky x xxxx odstranění. |
|
Kritické |
Riziko xx xxxxxxxxxxx x xxxx xxx neprodleně xxxxxxxx xxxxx k xxxx xxxxxxxxxx. |
Xxxxxxx x. 3 x xxxxxxxx č. 82/2018 Xx.
Xxxxxxxxxxxxx x xxxxxx
Xxxxxxxxxx: Xxxx xxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx zranitelností a xxxxxx. Identifikace xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxx xx xxxxxxxxxxxx xxxxxxx xxxxx.
Xxxxxxxxxxxxx
1. xxxxxxxxxxxx údržba xxxxxxxxxxxx x komunikačního xxxxxxx,
2. xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
3. xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
5. nedostatečná xxxxxx xxxxxxxxxxxx a komunikačního xxxxxxx,
6. xxxxxxxx xxxxxxxxx xxxxxxxxxxxx oprávnění,
7. xxxxxxxxxxxx xxxxxxx xxx identifikování x xxxxxxxx negativních xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
8. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx x xxxxxxxxxxx odhalit xxxxxx nevhodné xxxx xxxxxxx způsoby xxxxxxx,
9. xxxxxxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx, xxxxxxxx nebo xxxxxxxxxxxxx xxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx,
10. nedostatečná xxxxxxx xxxxx,
11. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
12. xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
13. xxxxxxxxxxx xxxxxxxx xxxxxxxx pochybení xx xxxxxx xxxxxxxxxxx.
Xxxxxx
1. xxxxxxxx xxxxxxxxxxxx politiky, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx oprávnění xx xxxxxx uživatelů x xxxxxxxxxxxxxx,
2. xxxxxxxxx xxxx xxxxxxx technického xxxxx xxxxxxxxxxxx xxxxxxxx,
3. xxxxxxxx xxxxxxxx,
4. xxxxxxx programového xxxxxxxx v xxxxxxx x xxxxxxxxxx xxxxxxxxxx,
5. xxxxxxxx xxx (xxxxxxxxx xxxx, xxxxxxx, xxxxxxx xxxx),
6. narušení xxxxxxx xxxxxxxxxxx,
7. xxxxxxxxx xxxxxxxxxxx xxxxxx elektronických komunikací xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
8. xxxxxxxx xxxx xxxxxxxxxxx modifikace údajů,
9. xxxxxx, xxxxxxxx xxxx xxxxxxxxx xxxxxx,
10. nedodržení xxxxxxxxx xxxxxxx xx xxxxxx xxxxxxxxxx,
11. xxxxxxxxx xx xxxxxx xxxxxxxxxxx,
12. xxxxxxxx xxxxxxxxx prostředků, xxxxxxx,
13. xxxxxxxxxx přerušení xxxxxxxxxxx služeb xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx nebo jiných xxxxxxxxxx služeb,
14. xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxx úrovní,
15. cílený xxxxxxxxxxxx útok xxxxxx xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx xxxxxxx,
16. xxxxxxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx,
17. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx (odposlech, modifikace).
Xxxxxxx č. 4 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx xxx
(1) Xxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxxx x komunikačního systému x xxxxxxxxxx xxxxxxx xxxxxx xxx a xxxxxxx likvidace xxxxxxxxxxx xxxxxx informace, xxxxxxxxxx xxxxx, xxxxxxxxx a xxxxxx xxxxx.
(2) Xxxxxxxxxx xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xx xxxxxxx xxxxxxxx xxx xxxxxx dat a xxxxxxxxx technických xxxxxx xxx v souladu x xxxxx přílohou. Xxx nejsou dotčeny xxxxxxxxxx xxxxx jiných xxxxxxxx xxxxxxxx. Je xxxxx zvolit adekvátní xxxxxx služby xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx opatření, xxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxx x xxxxxxxxx xxxxxxxxxxx xxxxxx xxx, xxxxxxxx x hodnotě x xxxxxxxxxxx xxxxx.
(3) Xxxxxxxx xxx likvidaci dat xx xxxx xxx xxxxxxxxx xxxxxxxxx xxxxxxx x důležitosti aktiv x xxxx xx xxxxxxx xxxxxxxxxxx
x) hodnotu xxxxxx (xxxxxxx x xxxxxxx xxxxxxxxxx),
x) xxxxxxxxxxx (xxxx x xxxxxxxx xxxxxx xxxxxxxxx),
x) xxx xx xxxxx xxxxxxxxx xxxxxxx xxx xxxxxxxxx xxxxxxxxxx či xxxxxxx,
x) xxx xxxx xxxx xxxxxxxx xxxxxxxxxxxx nebo xxxxxxxxxxxxxxx xxxxxxxxx,
x) xxx xxxx xxxxxxxxx xxx xxxxxxxx (interní zaměstnanec, xxxx xxxxxxxxx),
x) xxxxxxxxxx xxxxxxxx x xxxxxxxx xxx likvidaci,
g) xxxxxxxx xxxxxxxxxxxxx xxxxxx,
x) xxx xx k xxxxxxxxx xxxxxxxxx personál,
i) časovou xxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxxx x xxxxxxx xx xxxxxxxx, xxxxxxx, xxxxxxxx, opětovné xxxxxxx xxxxxx informace
k) xxxxx xxxxxxx likvidace xxx (xxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxx, xxxxxxxxxxxxx xxx xxxxxx xxxxxxxxxx x xxxxxxx),
x) xxxxxxxxxx xxxxxxx xxxxxxxxx xxx vzhledem xx xxxxx xxxxxx xxxxxxxxx (xxxxxxxxx při xxxxxxxxx zařízení xxxxxx xxxxx použít xxxxxxxx xxxxxxx xxxxxxxxx, xxx xxxxxxx xx xxxxxxx xxxxxxx xxxxxxxxx).
(4) Způsoby xxxxxxxxx xxxxxxxxxxx nosičů xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx x xxxxxx xxxxx:
x) Odstranění
1. Způsob xxxxxxxxx xxxxxxx x xxxxxxxxxx xxx xxx, xxx xxxx xxx xxxxxx nedostupná (xxxxxxxxx xxxxxxxxxx datového xxxxxxx, xxxxxxxx xxxxxxxxx xxxxxxxxx xx xxxxxx).
2. Xxx x xxxxxxx bezpečný xxxxxx xxxxxxxxx xxx. X xxxxxxx získání xxxxxx xxxxxxxxx je xxxxx x xxxxxxxxxxx xxxxxxxx úsilí xxxxxxxxx xxxxxxx.
3. Xxxx xxxxxx xxxx xxxxxxxxxx pro xxxxxx digitálních dat xxxxxxxxxxxx xxxxxxxx xxxxx.
4. Xxxxxxxxxx xxxxxx pro xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): xxxxx.
x) Xxxxxxxx
1. Xxxxxx xxxxxxxxx xxxxxxx v xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx.
2. Jde x středně xxxxxxxx xxxxxx xxxxxxxxx xxx. Xxxxx dostupné nástroje xxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxx.
3. Xxxxxxxx xxxx xxx xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxx likvidací xxxxxxxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxx.
4. Xxxx xxxxxx není vhodná xxx poškozená média, xxxxx xxxxxxxxxxxx opětovný xxxxx, případně xxx xxxxx x xxxxxx xxxxxxxxx.
5. Xxxxxxxxxx způsob xxx úroveň xxxxxxxxxx xxxxxx (xxxxxxx z přílohy č. 1): xxxxx xx xxxxxxxx.
x) Fyzická xxxxxxxxx xxxxxx xxxxxxxxx
1. Xxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxx nosiče xxxxxxxxx, xxxxxxxxx x xxxxxxxxx xxxxxxxx a následném xxxxxxx xxxxxx informace (xxxxxxxxxxx, chemickým či xxxxxxxx xxxxxxxxx).
2. Xxx x nejbezpečnější xxxxxx xxxxxxxxx dat. Xxxxx xxxxxxxxx xx fyzické xxxxxxxxx xxxxx xxxxx xxxxxx xxx xxxxxxx xxxx. Xxxxxxx informace xxxx možné obnovit xxx při xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx x xxxxx.
3. Xxxxxxxxxx xxxxxx xxxxxxxxx xxx xxxxxx důvěrnosti xxxxxx (xxxxxxx x přílohy č. 1): xxxxxxx až kritická.
Příklad xxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1)
|
Xxxxxxxxx způsob xxxxxxxxx xxxxx xxxxxx xxxxxxxxxxx xxxxxx |
|||||
|
Xxxxx informace |
1. Xxxxx |
2. Xxxxxxx |
3. Xxxxxx |
4. Kritická |
|
|
Informace xx xxxxxx xxxxxxxx xxxxxx (xxxxxxx xxxxxxxxx, xxxxxxxx x podobně) |
Odstranění: Xxxxxxxx xx xxxxxx. |
Xxxxxxxx: Xxxxxxxxx. |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxxx xxxxxxxxx: |
|||||
|
Xxxxxxx xxxxxxxx (xxxxxxx xxxxxxxx, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx likvidace: |
||
|
Xxxxxx xxxxxxxx (xxxxxx, xxxxxx, xxxxx a xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Kancelářské xxxxxxxx (xxxxxxx, xxxxxxxx, xxx) |
|||||
|
Xxxxxxxxxx xxxxx (magnetické xxxxx, xxxxx, XXX [Xxxx Disk Drive]) |
Odstranění: |
Přepsání: |
|||
|
Xxxxxxx xxxxx (XX, XXX, HD-DVD, XXX-XXX) |
Xxxxxxx xxxxxxxxx: |
||||
|
Fyzická xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx xxxxx (xxxxx xxxxxx) |
|||||
|
Xxxxxxxxxxx a xxxxx |
Xxxxxxxxx xxxxxx likvidace xxx xx měl být xxxxxxxx xxxxxxxx xxxxxxxxx. |
||||
|
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxxx: |
Přepsání/fyzická xxxxxxxxx: |
||
|
Alternativně v xxxxxxx dedikovaného xxxxxxxxxx xxxxx xx možné xxxx po xxxxxxxx xxxxxx přepsat. |
|||||
Xxxxxxx č. 5 x xxxxxxxx x. 82/2018 Xx.
Xxxxx bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
1. Xxxxxxxxxxxx xxxxxxxx
1.1. Xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Cíle, xxxxxxxx a xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx x xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx pro provádění xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx přezkoumání systému xxxxxx xxxxxxxxxxx informací.
g) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxx x zlepšování xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
1.2. Xxxxxxxx řízení aktiv
a) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxxxxx důležitosti xxxxxxxxxx xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti.
b) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx aktiv
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx xxxxx xxxx xxxxxxxxxx a podpůrnými xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx úrovní xxxxx
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx aktiv,
2. xxxxxxxx xxx manipulaci x xxxxxxxx xxxxx xxxxx xxxxxx xxxxx,
3. přípustné xxxxxxx xxxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxxx xxxxxx xxxx ničení technických xxxxxx dat, informací, xxxxxxxxxx xxxxx a xxxxxx xxxxx.
1.3. Xxxxxxxx xxxxxxxxxxx bezpečnosti
a) Určení xxxxxxxxxxxxxx xxxx a xxxxxx xxxx x xxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx výkonu xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx rolí.
1.4. Xxxxxxxx xxxxxx dodavatelů
a) Xxxxxxxx x xxxxxxxx xxx xxxxx xxxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxx xxxxxxxxxxxxx s xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxx x xxxxxxx x úrovní xxxxxxxxx xxxxxxxxxxxxxx opatření x o určení xxxxxxxx xxxxxxx odpovědnosti.
d) Xxxxxxxx xxx provádění xxxxxxxx xxxxxxxx bezpečnostních xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.
1.5. Politika xxxxxxxxxxx xxxxxxxx xxxxxx
x) Xxxxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx a xxxxxxx xxxx xxxxxxxxx
1. xxxxxxx x xxxxx xxxxxxx xxxxxxxxx,
2. xxxxxxx a xxxxx poučení xxxxxxx xxxxx,
3. způsoby x xxxxx xxxxxxx administrátorů,
4. xxxxxxx a formy xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxxxxxxxxx xxxxxxx xxxxxx zaměstnanců.
c) Xxxxxxxx pro xxxxxx xxxxxxx xxxxxxxx bezpečnostní xxxxxxxx systému xxxxxx xxxxxxxxxxx informací.
d) Xxxxxxxx xxx ukončení pracovního xxxxxx xxxx xxxxx xxxxxxxx pozice
1. vrácení xxxxxxxxx xxxxx x xxxxxxxx xxxx při xxxxxxxx xxxxxxxxxx xxxxxx,
2. xxxxx přístupových oprávnění xxx změně xxxxxxxx xxxxxx.
1.6. Xxxxxxxx xxxxxx xxxxxxx x komunikací
a) Xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx.
x) Postupy bezpečného xxxxxxx.
x) Požadavky x xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxx x omezení xxx xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxxxx xxxxx.
1.7. Xxxxxxxx xxxxxx přístupu
a) Xxxxxxx xxxxxxxxxxx xxxxxxxxx/xxxxxxx xxxx (xxxx xx xxxx).
x) Xxxxxxxxx xx řízení xxxxxxxx.
x) Životní xxxxxx xxxxxx přístupu.
d) Řízení xxxxxxxxxxxxxxx oprávnění.
e) Xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxxx.
x) Pravidelné xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx skupinách.
1.8. Xxxxxxxx bezpečného xxxxxxx xxxxxxxxx
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxx x xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx hesla.
c) Xxxxxxxx xxxxxxx xxxxxxxxxxxx pošty x xxxxxxxx na xxxxxxxx.
x) Bezpečný vzdálený xxxxxxx.
x) Bezpečné xxxxxxx xx sociálních sítích.
f) Xxxxxxxxxx xx xxxxxx x xxxxxxxx zařízením.
1.9. Xxxxxxxx zálohování x xxxxxx a xxxxxxxxxxxx xxxxxxxx
x) Požadavky xx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx bezpečného xxxxxxxxxx x xxxxxxxxxxxx ukládání xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx xxxxxxxx k xxxxxxx, ukládaným informacím.
1.10. Xxxxxxxx xxxxxxxxxx xxxxxxxxx x výměny xxxxxxxxx
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx předávaných xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx výměny xxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
1.11. Politika xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx
x) Xxxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx oprav xxxxxxxxxxxx vybavení.
d) Pravidla x xxxxxxx xxxxxxxx xxxxx programového vybavení.
1.12. Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx
x) Xxxxxxxx x postupy pro xxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx.
x) Pravidla x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx zařízení, xxxxx xxxxxxx xxxxx xxxx xx xxx xxxxxx.
1.13. Xxxxxxxx akvizice, xxxxxx x údržby
a) Xxxxxxxxxxxx xxxxxxxxx xxx akvizici, xxxxx x xxxxxx.
x) Xxxxxx xxxxxxxxxxxxx.
x) Politika xxxxxxxxxxx x nabývání xxxxxxx xxxxxxxxxxxx vybavení x xxxxxxxxx
1. xxxxxxxx x xxxxxxx nasazení xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,
2. pravidla x xxxxxxx pro xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
1.14. Xxxxxxxx xxxxxxx xxxxxxxx xxxxx
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx osobních údajů.
b) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx opatření xxx xxxxxxx xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx technických xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
1.15. Xxxxxxxx xxxxxxx xxxxxxxxxxx
x) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Xxxxxxxx pro kontrolu xxxxxx osob.
c) Xxxxxxxx xxx ochranu xxxxxxxx.
x) Xxxxxxx narušení fyzické xxxxxxxxxxx.
1.16. Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx
x) Xxxxxxxx x postupy xxx xxxxxxxxx xxxxxxxxxxx xxxx.
x) Xxxxxx práv x xxxxxxxxxx xx bezpečný xxxxxx xxxx.
x) Pravidla x postupy pro xxxxxx xxxxxxxx x xxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx přístupu x xxxx.
x) Pravidla x xxxxxxx pro xxxxxxxxxxxx sítě x xxxxxxxxxxxxx provozních xxxxxxx.
1.17. Xxxxxxxx xxxxxxx xxxx xxxxxxxxx xxxxx
x) Xxxxxxxx x postupy xxx xxxxxxx síťové komunikace.
b) Xxxxxxxx a xxxxxxx xxx xxxxxxx serverů x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxx.
1.18. Politika xxxxxxxx a xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Provozní xxxxxxx xxx xxxxxxxxxxxxx x xxxxxxxxx xx detekované xxxxxxxxxxxx xxxxxxxxxxxx události.
c) Xxxxxxxx a postupy xxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxx pro detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.19. Xxxxxxxx xxxxxxx a xxxxxx xxxxxxxx pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
x) Xxxxxxxx x postupy xxx xxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
x) Pravidla x xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí.
c) Xxxxxxxx x xxxxxxx xxx optimální xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx nástroje xxx sběr a xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.20. Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx
x) Xxxxxx ochrany x xxxxxxx na typ x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla kryptografické xxxxxxx informací
1. xxx xxxxxxx xx komunikačních xxxxxx,
2. při xxxxxxx xx mobilní zařízení xxxx xxxxxxxxxxx technický xxxxx xxx.
x) Xxxxxx xxxxxx klíčů.
1.21. Xxxxxxxx xxxxxx xxxx
x) Způsob x xxxxxxxx xxxxxx xxxxxxxxxx xxxx x xxxxx xxxxxxx osoby, xxxxxx procesech, xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxxxxx dopadů xxxxxxxxxx xxxx.
x) Xxxxxx xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxx změn.
1.22. Xxxxxxxx xxxxxxxx kybernetických bezpečnostních xxxxxxxxx
x) Xxxxxxxxxx kategorií xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx kybernetických bezpečnostních xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxx zlepšování xxxxxxxxxxxx bezpečnosti.
e) Xxxxxxxx xxxxxxxxx.
1.23. Xxxxxxxx řízení xxxxxxxxxx xxxxxxxx
x) Xxxxx x xxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Cíle xxxxxx xxxxxxxxxx xxxxxxxx
1. minimální xxxxxx poskytovaných xxxxxx,
2. xxxx obnovení xxxxx,
3. xxx xxxxxxxx dat.
c) Xxxxxxxx xxxxxx kontinuity xxxxxxxx xxx xxxxxxxx xxxx kontinuity.
d) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx xxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxx rizik.
e) Xxxxxx x obsah xxxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxx.
x) Xxxxxxx xxx xxxxxxxxx opatření xxxxxxxx Xxxxxx.
2. Xxxxx xxxxxxxxxxxx xxxxxxxxxxx
2.1. Xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) Xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Identifikování xxxx xxxxxxxx x xxxx, xxxxx xx auditu xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx x místo, xxx xxxx xxxxxxxxx xxxxxxxx při xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Závěry xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
2.2. Xxxxxx x xxxxxxxxxxx systému xxxxxx bezpečnosti xxxxxxxxx
x) Xxxxxxxxxxx xxxxxxxx z xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxxxx xxxx x xxxxxxxxx, které mohou xxx vliv xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx vazba x xxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x xxxxxxxx xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx a xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx xxxx systému xxxxxx xxxxxxxxxxx informací.
d) Xxxxxxxx xxxxxxxxx rizik x xxxx plánu xxxxxxxx rizik.
e) Xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx potřebných xxxxxxxxxx, xxxxxxxxx xxxxxxxx x xxxx xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
2.3. Xxxxxxxx xxx xxxxxxxxxxxx x xxxxxxxxx xxxxx x xxx xxxxxxxxx xxxxx
x) Určení stupnice xxx xxxxxxxxx primárních xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx integrity xxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Xxxxxx stupnice xxx xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní dopadu,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxx.
x) Xxxxxx a přístupy xxx xxxxxxxx xxxxx.
x) Xxxxxxx schvalování akceptovatelných xxxxx.
2.4. Xxxxxx o xxxxxxxxx xxxxx x xxxxx
x) Xxxxxxx primárních xxxxx
1. identifikace x xxxxx xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxxxxx primárních xxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx a xxxxxxxxxxx.
x) Xxxxxxx podpůrných xxxxx
1. identifikace a xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx.
x) Xxxxxxxxx xxxxx
1. posouzení xxxxxxx xxxxxx na xxxxxx,
2. xxxxxxxxx xxxxxxxxxxxx xxxxxx,
3. xxxxxxxxx existujících zranitelností, xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx xxxx xxxxxx x kritérii xxx xxxxxxxxxxxxxxxx xxxxx,
5. určení x xxxxxxxxx akceptovatelných xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx způsobu xxxxxxxx xxxxx,
2. xxxxx opatření x xxxxxx xxxxxxxxx.
2.5. Xxxxxxxxxx x xxxxxxxxxxxxxxxx
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx xxxxxxxxxx, xxxx xxxxxx xxxxxxxxxx.
x) Xxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxxx.
2.6. Plán xxxxxxxx xxxxx
x) Xxxxx x xxxx xxxxxxxxx xxxxxxxxxxxxxx opatření pro xxxxxxxx rizik xxxxxx xxxxx xx xxxxxxxxx xxxxxx.
x) Potřebné zdroje xxx jednotlivá xxxxxxxxxxxx xxxxxxxx xxx zvládání xxxxx.
x) Osoby xxxxxxxxxxx xxxxxxxxxx bezpečnostní xxxxxxxx xxx zvládání rizik.
d) Xxxxxxx zavedení jednotlivých xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Způsob xxxxxxxxx bezpečnostních opatření.
f) Xxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
2.7. Xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxx, administrátorů a xxxx xxxxxxxxxxxxx bezpečnostní xxxx.
x) Obsah x xxxxxxx xxxxxxx nových xxxxxxxxxxx.
x) Xxxxxxxx, xxxxx xxxxxxxx předmět xxxxxxxxxxxx xxxxxxx x seznam xxxx, které xxxxxxx xxxxxxxxxxx.
x) Xxxxx x xxxxxxx xxxxxxxxx xxxxx.
2.8. Xxxxxxxx změn
a) Xxxxxxxx xxxxxxxxx xxxxx významných xxxx.
x) Xxxxxxx x xxxxxxx xxxxxxxxxxx podpůrných xxxxx.
2.9. Xxxxxxx xxxxxxxxx xxxxx
Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx.
2.10. Přehled xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx předpisů x xxxxxx xxxxxxxx a xxxxxxxxx xxxxxxx
x) Xxxxxxx xxxxxx závazných právních xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxx.
2.11. Další doporučená xxxxxxxxxxx
x) Xxxxxxxxx xxxxxxxxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxx.
Xxxxxxx č. 6 x xxxxxxxx č. 82/2018 Xx.
Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx
Xxxx xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx role xxxxxxx x §6 x 7.
Xxx. 1: Xxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxx pro xxxxxx xxxxxxxxxxxx bezpečnosti |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxx xxxxxx a rozvoj xxxxxxxxxxxx bezpečnosti x xxxxx xxxxxxx xxxxx. |
|
Xxxxx xxxxxxxx: |
x) Xxxx xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx xxxxxxx |
Xxx. 2: Xxxxxxx xxxxxxxxxxxx bezpečnosti
|
Role: |
Manažer xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx činnosti: |
a) Odpovědnost xx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx xxxx ISO/IEC 27000 a xxxxxxx xxxxx z xxxxxxx xxxxxxxxxxx a XXX. |
|
Zkušenosti: |
a) Xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx. |
|
Xxxxxxxx a praxe: |
a) Xxxxxxx 3 roky xxxxx x xxxxx xxxxxxxxxx nebo kybernetické xxxxxxxxxxx, xxxx |
|
Relevantní xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Security Xxxxxxx (XXXX), Xxxxxxxxx xx Risk and Xxxxxxxxxxx Xxxxxxx Control (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Xxxxxxxx Xxxxxxxxxxxx (XXXXX), Manažer XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Role xxxx xxxxxxxxxx x xxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx a komunikačního xxxxxxx x s xxxxxxx xxxxxxxxxx xx xxxxxxxx rolemi. |
Xxx. 3: Xxxxxxxxx kybernetické xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx xxxxxxxxxxxx bezpečnosti |
|
Klíčové xxxxxxxx: |
x) Odpovědnost xx xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxxx informačních x xxxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxxxx. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx x praxe: |
a) Xxxxxxx 3 xxxx xxxxx v oboru xxxxxxxxxx xxxx kybernetické xxxxxxxxxxx, xxxx |
|
Relevantní xxxxxxxxxxx*: |
Xxxxxxxxx Ethical Xxxxxx (XXX), CompTIA Xxxxxxxx +, Xxxxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx in Xxxx xxx Information Xxxxxxx Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Systems Xxxxxxxx Xxxxxxxxxxxx (XXXXX), Manažer XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
Xxxx není xxxxxxxxxx s xxxxxx xxxxxxxxxxx za provoz xxxxxxxxxxxx x komunikačních xxxxxxx. |
Xxx. 4: Xxxxxxx xxxxxxxxxxxx bezpečnosti
|
Role: |
Auditor xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx činnosti: |
Provádění xxxxxx xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxx x xxxxx xxxxxx xxxxxxxxxx bezpečnosti. |
|
Xxxxxxxxxx: |
x) Plánování xxxxxx xxxxxxxxxx nebo xxxxxxxxxxxx bezpečnosti. |
|
Xxxxxxxx a praxe: |
a) Xxxxxxx 3 xxxx xxxxx v xxxxxxx xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx bezpečnosti, nebo |
|
Relevantní xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Auditor (XXXX), Xxxxxxxxx Internal Xxxxxxx (XXX), Xxxxxxxxx xx Xxxx and Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Lead Xxxxxxx Xxxxxxxxxxx Security Xxxxxxxxxx Xxxxxx (Xxxx Xxxxxxx XXXX), Xxxxxxx XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx s rolemi |
Xxx. 5: Xxxxxx xxxxxx
|
Xxxx: |
Xxxxxx aktiva |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxxxx rozvoje, xxxxxxx x bezpečnosti aktiva. |
|
Xxxxxxxx: |
x) Xxxxx xxxxxxx xxxxxx, xxxxx je xxxxxxxx. |
* Xxxxxxxxxxx xxxx být x xxxx xxx xxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx rolí xxxxxxx xxxxxxxxx XXX 17 024.
Xxxxxxx x. 7 x xxxxxxxx x. 82/2018 Sb.
Řízení dodavatelů - xxxxxxxxxxxx opatření xxx xxxxxxx vztahy
Obsah xxxxxxx xxxxxxxxx s xxxxxxxxxx xxxxxxxxxx:
x) xxxxxxxxxx x bezpečnosti xxxxxxxxx (x xxxxxxx xxxxxxxxxx, xxxxxxxxxxx a integrity),
b) xxxxxxxxxx x xxxxxxxxx xxxxxx data,
c) xxxxxxxxxx x autorství xxxxxxxxxxxx xxxx, popřípadě x xxxxxxxxxxxx licencích,
d) ustanovení x kontrole a xxxxxx xxxxxxxxxx (xxxxxxxx xxxxxxxxxxxx xxxxxx),
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxx xxxx xxx xxxxxxxxx, xx xxxxxxxxxxxxx xx xxxxxx xxxxxxxxx x xxxxx xxxxxxx xxxxxxxx mezi xxxxxxxx xxxxxx x dodavatelem x xxxxxxx v xxxxxxx x požadavky xxxxxxx xxxxx xx xxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx dodavatele dodržovat xxxxxxxxxxxx xxxxxxxx povinné xxxxx xxxx xxxxxxxxxx x odsouhlasení bezpečnostních xxxxxxx xxxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxxxx o xxxxxx xxxx,
x) ustanovení x souladu xxxxx x obecně závaznými xxxxxxxx předpisy,
i) xxxxxxxxxx x povinnosti xxxxxxxxxx xxxxxxxxxx povinnou xxxxx x
1. kybernetických xxxxxxxxxxxxxx xxxxxxxxxxx souvisejících x xxxxxxx xxxxxxx,
2. xxxxxxx xxxxxx xxxxx na xxxxxx xxxxxxxxxx a x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxx,
3. xxxxxxxx xxxxx xxxxxxxx xxxxxx dodavatele xxxxx xxxxxx o xxxxxxxxxx xxxxxxxxxxx xxxx xxxxx vlastnictví xxxxxxxxx xxxxx, xxxxxxxxx xxxxx xxxxxxxxx xxxxxxxx x xxxxxx xxxxxx, xxxxxxxxxxx xxxxx xxxxxxxxxxx x xxxxxx podle xxxxxxx xx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxx ukončení xxxxxxx (xxxxxxxxx xxxxxxxxx xxxxxx xxx xxxxxxxx xxxxxxxxxx, xxx xx xxxxx xxxxx xxxxxxxx xxxxxx xxxx xxxxxxxxx xxxxxx řešení, xxxxxxx xxx a xxxxxxx),
x) xxxxxxxxxxx xxxxxxxx xxx xxxxxx kontinuity činností x xxxxxxxxxxx s xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxxx xx havarijních xxxxx, xxxxx dodavatelů xxx aktivaci xxxxxx xxxxxxxxxx xxxxxxxx),
x) xxxxxxxxxxx xxxxxxxx pro formát xxxxxxx dat, provozních xxxxx x xxxxxxxxx xx vyžádání xxxxxxxx,
x) xxxxxxxx pro xxxxxxxxx xxx,
x) xxxxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxx xx smlouvy x xxxxxxx xxxxxxxx xxxxx xxxxxxxx xxx dodavatelem xxxx xxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxxxx dodavatelem x xxxxxx podle xxxxxxx x
x) xxxxxxxxxx o xxxxxxxx xx xxxxxxxx xxxxxxxxxx.
Příloha x. 8 x xxxxxxxx x. 82/2018 Sb.
Vzor Xxxxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxx
Xxxxxxxxx
Xxxxxx předpis č. 82/2018 Sb. xxxxx xxxxxxxxx xxxx 28.5.2018.
Xx xxx xxxxxxxx právní xxxxxxx xxxxx měněn xx xxxxxxxxx.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx jiných xxxxxxxx xxxxxxxx v xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx xx jich xxxxxx derogační xxxxx xxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
1) Směrnice Xxxxxxxxxx xxxxxxxxxx x Xxxx (XX) 2016/1148 xx xxx 6. xxxxxxxx 2016 x xxxxxxxxxx x xxxxxxxxx xxxxxx xxxxxxxx xxxxxx bezpečnosti xxxx x xxxxxxxxxxxx xxxxxxx v Xxxx.