Právní předpis byl sestaven k datu 28.05.2018.
Zobrazené znění právního předpisu je účinné od 28.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
XXXXXXXX
xx dne 21. xxxxxx 2018
x bezpečnostních xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx xxxx pro xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx stanoví xxxxx §28 xxxx. 2 xxxx. x) až x) x x) xxxxxx x. 181/2014 Xx., x kybernetické xxxxxxxxxxx x x xxxxx xxxxxxxxxxxxx zákonů (xxxxx x xxxxxxxxxxxx xxxxxxxxxxx), xx znění xxxxxx x. 104/2017 Xx. a zákona x. 205/2017 Xx., (xxxx xxx "zákon"):
XXXX XXXXX
XXXXXX XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx předpis Xxxxxxxx xxxx1) a xxx xxxxxxxxxx xxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxx informační xxxxxx, xxxxxxxxxx systém xxxxxxxx služby xxxxx xxxxxxxxxx xxxxxx nebo xxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, (dále xxx "xxxxxxxxxx x xxxxxxxxxxx xxxxxx") upravuje
a) xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) obsah x rozsah bezpečnostních xxxxxxxx,
x) typy, kategorie x hodnocení významnosti xxxxxxxxxxxxxx bezpečnostních incidentů,
d) xxxxxxxxxxx x způsob xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x provedení reaktivního xxxxxxxx a xxxx xxxxxxxx,
x) vzor oznámení xxxxxxxxxxx xxxxx x xxxx xxxxx x
x) xxxxxx xxxxxxxxx dat, xxxxxxxxxx xxxxx, informací x xxxxxx xxxxx.
§2
Xxxxxxxx pojmů
Pro xxxxx xxxx xxxxxxxx xx xxxxxx
x) administrátorem xxxxx xxxxxxxxxxx xxxxxx, xxxxxx, xxxxxxx, xxxxxx a xxxxxxxxxx technického xxxxxx,
x) xxxxxxxxxxxxxxx xxxxxxx riziko, xxxxx je xxxxxxxxxx xxx xxxxx nebo xxxxx, které xxxx xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx podle xxxxxx, (xxxx jen "povinná xxxxx") x xxxx xxxxx xxx xxxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) bezpečnostní xxxxxxxxx xxxxxx xxxxx x xxxxxxxx, xxxxx určují xxxxxx xxxxxxxxx xxxxxxx xxxxx,
x) xxxxxxxxxx rizik xxxxxxx xxxxxx identifikace, xxxxxxx a xxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, která xxxx xxxxxxxx škodu,
f) xxxxxxxxx xxxxxxx xxxxxxxxx xxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xx xx provozu, xxxxxxx, xxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx nebo xxxxxx, xxxxxx xxxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) rizikem xxxxxxx, xx určitá xxxxxx využije xxxxxxxxxxxxx xxxxxx x způsobí xxxxx,
x) xxxxxxx xxxxx xxxxxxx zahrnující xxxxxxxxx xxxxx, xxxxx x xxxxxxxx xxxxxxxx xx xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx o xxxxxx x sledování a xxxxxxxxxxx xxxxx,
x) xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xxxx systému xxxxxx xxxxxxx xxxxx xxxxxxxx xx přístupu x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx, která xxxxxxx xxxxxx xxxxxxxx, xxxxxxxx, provozování, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxx bezpečnosti xxxxxxxxx x xxx,
x) xxxxxxxxxx xxxxxxx xxxxxx technické xxxxxxxx, komunikační xxxxxxxxxx x xxxxxxxxxx vybavení xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a xxxxxxx, xx xxxxxxx xxxx xxxx xxxxxxx umístěny, xxxxxxx xxxxxxx xxxx xxx dopad xx xxxxxxxxxx a xxxxxxxxxxx xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxx právnická osoba xxxxx xxxxx xxxxxxx xxxx, které využívají xxxxxx,
x) xxxxxxxxxx xxxxxxx xxxxx xxxx skupina xxxx, xxxxx xxxx xxxxxxxx osobu, xxxx xxxxxxxxxx xxxxx xxxxxxx xxxxx,
x) významným dodavatelem xxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxx (xxxx xxx "xxxxxxxxxxxx") x xxxxx, xxx x xxxxxxxx xxxxxx xxxxxxxx xx xxxxxxxx vztahu, xxxxx xx xxxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
x) xxxxxxxxx změnou xxxxx, xxxxx má xxxx xxxx xxx xxxx xx xxxxxxxxxxxxx xxxxxxxxxx x představuje xxxxxx riziko,
p) xxxxxxxxxxxxx xxxxx xxxxx xxxxxx xxxx slabé xxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxx xxxxxxxx xxxxxx xxxx více xxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX OPATŘENÍ
HLAVA X
XXXXXXXXXXX OPATŘENÍ
§3
Systém xxxxxx xxxxxxxxxxx informací
Povinná osoba x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) xxxxxxx x xxxxxxx xx xxxxxxxxx dotčených xxxxx x xxxxxxxxxxx xxxxxxxxxx rozsah xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xx kterém xxxx xxxxxxxxxxx xxxxx x xxxxxx, xxxxx xx xxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx,
x) xxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) pro xxxxxxxxx xxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xx základě cílů xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx potřeb x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxx xxxxxx xxxxx §5,
x) xxxxxxx x schválí bezpečnostní xxxxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, která xxxxxxxx xxxxxx zásady, xxxx, xxxxxxxxxxxx xxxxxxx, práva x xxxxxxxxxx xx xxxxxx x řízení xxxxxxxxxxx xxxxxxxxx, x xx xxxxxxx bezpečnostních xxxxxx x výsledků xxxxxxxxx xxxxx stanoví xxxxxxxxxxxx politiku x xxxxxxx xxxxxxxxx xxxxx §30 x zavede xxxxxxxxx bezpečnostní xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti u xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx (dále xxx "xxxxx kybernetické bezpečnosti") xxxxx §16,
g) zajistí xxxxxxxxxx vyhodnocování účinnosti xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, které xxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxxx xxxxxx xxxxxxxxx xxxxx, posouzení xxxxxxxx xxxxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx systém řízení xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxx §11 řídí xxxxxxxx xxxxx, xxxxx xxxxx xx xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx systém xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xx xxxxxxx xxxxxxxx xxxxxx kybernetické bezpečnosti, xxxxxxxx vyhodnocení účinnosti xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x x xxxxxxxxxxx s xxxxxxxxxxx xxxxxxxxxx xxxxxxx a
j) xxxx provoz a xxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx xxxxxxx xx systémem xxxxxx xxxxxxxxxxx xxxxxxxxx a xxxxxxx rizik.
§4
Řízení xxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxx
x) stanoví xxxxxxxx pro xxxxxxxxxxxx xxxxx,
x) xxxxxxx metodiku xxx xxxxxxxxx aktiv xxxxxxx x xxxxxxx xxxxxxxx v příloze č. 1 x této xxxxxxxx,
x) xxxxxxxxxxxx x eviduje xxxxxx,
x) xxxx a xxxxxxx xxxxxxx xxxxx,
x) xxxxxxx a eviduje xxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti x xxxxxx xx xx xxxxxxxxxxxx úrovní podle xxxxxxx x),
x) xxxx x eviduje vazby xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx,
x) hodnotí xxxxxxxx xxxxxx a xxxxxxxxxx přitom zejména xxxxxxxx závislosti xxxxx xxxxxxx x),
x) xx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxx x zavádí xxxxxxxx xxxxxxx nutná xxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx xxx manipulaci x xxxxxx s xxxxxxx xx xxxxxx aktiv, xxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxxx xxxxx, x
x) určí xxxxxx xxxxxxxxx xxx, xxxxxxxxxx údajů, xxxxxxxxx x jejich kopií xxxx likvidaci technických xxxxxx xxx x xxxxxxx xx úroveň xxxxx x souladu x přílohou č. 4 x xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx je třeba xxxxxxxx xxxxxxx
x) xxxxxx x xxxxxxxxxx xxxxxxxx xxxxx, zvláštních xxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxx právních xxxxxxxxxx xxxx xxxxxx závazků,
c) xxxxxx narušení xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx nebo xxxxxxxxxxxx xxxxx a xxxxx xxxxxxxx xxxxxx,
x) dopady xx poskytování důležitých xxxxxx,
x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx,
x) xxxxxx xx xxxxxxxxx xxxxxxx xxxxx xxxx xxxxxxx xxxxx xxxxxxx,
x) dopady xx xxxxxxxxxx a xxxxxx xxxx,
x) xxxxxx xx mezinárodní xxxxxx x
x) xxxxxx xx xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
§5
Řízení xxxxx
(1) Xxxxxxx xxxxx v xxxxx xxxxxx xxxxx x xxxxxxxxxx xx §4
a) xxxxxxx xxxxxxxx pro xxxxxxxxx rizik, včetně xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxxxxx xxxxx,
x) s xxxxxxx na xxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxxx x zranitelnosti; přitom xxxxxxx xxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx xxxxxxxxx v příloze č. 3 x této xxxxxxxx,
x) xxxxxxx xxxxxxxxx rizik x xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 2 x xxx xxxxxxxxxx xxxxxxx,
x) při hodnocení xxxxx xxxxxxxx relevantní xxxxxx a zranitelnosti x posoudí xxxxx xxxxxx xx xxxxxx; xxxx xxxxxx xxxxxxx xxxxxxx x rozsahu přílohy č. 2 x xxxx xxxxxxxx,
x) xxxxxxxx xxxxxx x xxxxxxxxx xxxxx,
x) xxxxxxxx na xxxxxxx xxxxxxxxxxxxxx xxxxxx x xxxxxxxx hodnocení rizik xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx obsahuje xxxxxxx xxxxxxxxxxxxxx xxxxxxxx požadovaných xxxxx vyhláškou, xxxxx
1. xxxxxx aplikována, xxxxxx xxxxxxxxxx,
2. xxxx xxxxxxxxxx, xxxxxx xxxxxxx xxxxxx,
x) xxxxxxxx x zavede xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx xxxx x xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx rizik, určení xxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx, potřebné xxxxxxxx, xxxxxxxxx, lidské x xxxxxxxxxx xxxxxx, xxxxxx xxxxxx xxxxxxxx, xxxxx xxxxx mezi xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxx hodnocení xxxxx x v xxxxx zvládání rizik xxxxxxxx
1. xxxxxxxx xxxxx,
2. xxxxx xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
3. xxxxxxxx xxxxx §11 xxxxxx a
4. kybernetické xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxx xxxxxxxx, a
i) x souladu x xxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx.
(2) Xxxxxxx osoba xxxxxxx x §3 písm. x), d) x x) zákona provádí xxxxxxxxx rizik alespoň xxxxxx ročně a xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx xxxxxxx xxxxxx xx xxx xxxx.
(3) Xxxxxx xxxxx xxxx být zajištěno x jinými xxxxxxx, xxx jak xx xxxxxxxxx x xxxxxxxx 1 xxxx. x), xxxxx xxxxxxx xxxxx xxxxxxxxx, xx xxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxxx řízení rizik.
§6
Xxxxxxxxxxx xxxxxxxxxx
(1) Xxxxxxx xxxxx s xxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx informací
a) xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxx xxxxxxx xxxxxx bezpečnosti informací xxxxx §3 xxxxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxx osoby,
c) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx xxx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxxxxx o xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxx dosažení xxxxx x xxxx požadavky xx všemi xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxx je xxx xxxxx xxxxxxxxx,
x) prosazuje xxxxxxxx xxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxx osoby xxxxxxxxxxx xxxxxxxxxxxx xxxx xxx xxxxxxxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxx xxxxxx xxxxxxxxxxxx,
x) zajistí xxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx x xxxx, xxxxx xxxxx xxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx, xxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx,
x) pro xxxxx xxxxxxxxxxx xxxxxxxxxxxx role xxxxxxx xxxxxxxxx xxxxxxxxx x xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxx k xxxxxxxxxx jejich xxxx x xxxxxx xxxxxxxxxxxxx xxxxx x
x) xxxxxxx xxxxxxxxx plánů kontinuity xxxxxxxx, xxxxxx x xxxxxxx xxxxxxxxx xx xxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx.
(2) Xxxxxxx xxxxx x rámci xxxxxxx xxxxxx bezpečnosti informací xxxx xxxxxxx xxxxxx xxx řízení kybernetické xxxxxxxxxxx x xxxxxxxxxxxx xxxx x jejich xxxxx x xxxxxxxxxx xxxxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(3) Xxxxxxx osoba xxxxxxx x §3 písm. x), x) a x) zákona určí xxxxx, xxxxx bude xxxxxxxx xxxxxxxxxxxx xxxx
x) xxxxxxxx xxxxxxxxxxxx bezpečnosti,
b) xxxxxxxxxx kybernetické xxxxxxxxxxx,
x) xxxxxxx aktiva x
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx určí xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxx. Xxxxxxx xxxxxxxxxxxx xxxx podle odstavce 3 xxxx xxxxxxxxx xxxxxxxx x xxxxxxx x xxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
(5) Xxxxxxx xxxxx xxxxxxx x §3 písm. x), x) x x) xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxxxx x xxxxxxxx 3 xxxx. x) x x).
(6) Povinná xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxx role xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(7) Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxx s příslušnými xxxxxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxx celkové xxxxxx x rozvoj xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx a osobami xxxxxxxx xx xxxxxxxxxxxx xx xxxxxx a xxxxxxxxxx xxxxxxxx spojených x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxx členem musí xxx xxxxxxx jeden xxxxxxxx xxxxxxxxxxx vedení xxxx xxx xxxxxxxx xxxxx a manažer xxxxxxxxxxxx bezpečnosti. Povinná xxxxx x xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxx uvedeným x příloze č. 6 x xxxx xxxxxxxx.
§7
Xxxxxxxxxxxx role
(1) Manažer xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx role xxxxxxxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx této role xxxx xxx xxxxxxxx xxxxx, xxxxx xx xxx xxxx činnost xxxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxx praxí x řízením xxxxxxxxxxxx xxxxxxxxxxx xxxx s xxxxxxx xxxxxxxxxxx xxxxxxxxx
1. xx xxxx nejméně xxx xxx, xxxx
2. xx xxxx xxxxxxx xxxx, pokud xxxxxxxxxxx xxxxxxx xx xxxxxx xxxxx,
x) xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxx x
1. xxxxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxx xxxxxxxxxxxx a
2. xxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx x
x) xxxxx xxx xxxxxxx xxxxxxx xxxx xxxxxxxxxxx xx xxxxxx informačního x komunikačního xxxxxxx.
(2) Xxxxxxxxx xxxxxxxxxxxx bezpečnosti xx bezpečnostní role xxxxxxxxx xx xxxxxxxxx xxxxxx implementace xxxxxxxxxxxxxx xxxxxxxx xxx, aby xxxx zajištěna bezpečná xxxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx, přičemž xxxxxxx xxxx role xxxx xxx xxxxxxxx xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxxxxxx implementace xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxx nejméně xxx xxx, nebo
b) xx dobu xxxxxxx xxxx, xxxxx absolvovala xxxxxxx na xxxxxx xxxxx.
(3) Garant xxxxxx xx xxxxxxxxxxxx role xxxxxxxxx xx xxxxxxxxx xxxxxxx, použití x xxxxxxxxxx xxxxxx.
(4) Auditor xxxxxxxxxxxx xxxxxxxxxxx
x) je xxxxxxxxxxxx xxxx xxxxxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx této xxxx xxxx xxx xxxxxxxx xxxxx, která xx xxx tuto činnost xxxxxxxxx a prokáže xxxxxxxx xxxxxxxxxxx xxxxx x prováděním xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací
1. po xxxx xxxxxxx tří xxx, nebo
2. po xxxx jednoho xxxx, xxxxx absolvovala xxxxxxx xx xxxxxx xxxxx,
x) xxxxxxxx, xx provedení xxxxxx xxxxxxxxxxxx bezpečnosti xx nestranné, a
c) xxxxx být xxxxxxx xxxxxxx xxxxxx bezpečnostních xxxx.
(5) Povinná osoba xxx určování osob xxxxxxxxxxxxx bezpečnostní xxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxx x příloze č. 6 x této vyhlášce.
§8
Řízení dodavatelů
(1) Xxxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx xxxxxxxxxx, xxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxx svých xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxx xxx xxxxxxxx xxxxxxxxxx x xxxxxx xxxxxxxx xxxxx xxxxxxx x),
x) xxxxxxxxx xxx dodavatele x xxxxxxxx xxxxx xxxxxxx x) x vyžaduje xxxxxx xxxxxx xxxxxxxx,
x) xxxx rizika xxxxxxx x xxxxxxxxxx,
x) x xxxxxxxxxxx s řízením xxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxx, xxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx oblasti xxxxxxx x příloze č. 7 x xxxx vyhlášce, x
x) pravidelně přezkoumává xxxxxx xxxxx x xxxxxxxxxx dodavateli z xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(2) Povinná xxxxx x xxxxxxxxxx xxxxxxxxxx xxxx
x) x xxxxx výběrového řízení x před uzavřením xxxxxxx xxxxxxx hodnocení xxxxx xxxxxxxxxxxxx s xxxxxxx předmětu xxxxxxxxxx xxxxxx xxxxxxxxx xxxxx přílohy č. 2 k xxxx xxxxxxxx,
x) x xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxx xxxxxxx x xxxxxx realizace bezpečnostních xxxxxxxx x xxxx xxxxx xxxxxxxx smluvní xxxxxxxxxxxx xx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxx zavedených xxxxxxxxxxxxxx xxxxxxxx u xxxxxxxxxxxxx plnění xxxxxx xxxxxxxxx xxxxxx nebo xxxxxx xxxxx strany x
x) v xxxxxx xx xxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxx.
(3) Xxxxxxxxxxx xxxxxxxxxxxxxx informování podle xxxxxxxx 1 xxxx. x) jsou
a) xxxxxxxxxxxx xxxxxxx xxxx provozovatele,
b) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) identifikace xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxxx, xx xxxxxxxxx je xxx xxxxxxx xxxxxxxxx xxxxxxxxxxx, x xxxxxxxxx xxxx x tom, xx xxxxxxxx xxxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx, x
x) xxxxx xxxxxxxx xxxxx xxxxxxxx 1 xxxx. x).
(4) Povinná xxxxx xxxxxxx v §3 xxxx. x) xx x) xxxxxx, která xx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 xxxx. c), xxxxx xxxxxxxxx xxxxx formou xxxxxxxx v §34.
§9
Bezpečnost xxxxxxxx zdrojů
(1) Xxxxxxx xxxxx v xxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
x) x xxxxxxx xx xxxx x xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxx plán xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxxxx xxxxx xx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x který obsahuje xxxxx, obsah x xxxxxx
1. xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxxxxx o xxxxxx xxxxxxxxxxxx a x xxxxxxxxxxxx xxxxxxxx a
2. xxxxxxxxxx xxxxxxxxxxxx i xxxxxxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxxx osoby xxxxxxxxx xx realizaci jednotlivých xxxxxxxx, které xxxx x plánu xxxxxxx,
x) x xxxxxxx s xxxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, osob xxxxxxxxxxxxx bezpečnostní xxxx x xxxxxxxxxx x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxx a xxxxxxxxxxxx xxxxxxx,
x) xxx xxxxx xxxxxxxxxxx bezpečnostní xxxx x xxxxxxx x xxxxxx xxxxxxx xxxxxxxxxxxxxx povědomí xxxxxxx xxxxxxxxxx odborná školení, xxxxxxx xxxxxxx x xxxxxxxxxx xxxxxx xxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) v xxxxxxx x xxxxxx xxxxxxx bezpečnostního xxxxxxxx xxxxxxx pravidelné xxxxxxx x ověřování xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx v xxxxxxx x jejich xxxxxxxx náplní,
f) xxxxxxx xxxxxxxx dodržování xxxxxxxxxxxx xxxxxxxx ze xxxxxx xxxxxxxxx, administrátorů a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) v případě xxxxxxxx smluvního vztahu x xxxxxxxxxxxxxx x xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx zajistí předání xxxxxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx, provedených xxxxxxx x dalších činností xxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x
x) xxxx xxxxxxxx x xxxxxxx xxx řešení xxxxxxx xxxxxxxx stanovených xxxxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, administrátorů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxxxx xxxxx xxxx x xxxxxxx podle xxxxxxxx 1 přehledy, xxxxx xxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxx, xxxxx školení absolvovaly.
§10
Xxxxxx xxxxxxx a xxxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx řízení xxxxxxx x xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx x xxxxxxx, xxxxx xxxxxxxx xxxxxxx
x) xxxxx x xxxxxxxxxx administrátorů, uživatelů x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx xxx xxxxxxxx x xxxxxxxx xxxxx xxxxxxx, xxx xxxxxxx nebo xxxxxxxx chodu xxxxxxx xx xxxxxxx x xxx xxxxxxxx chybových xxxxx nebo xxxxxxxxxxx xxxx,
x) postupy xxx xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxx xxxxxxx přístupu x záznamům x xxxxxx událostech,
d) xxxxxxxx x xxxxxxx xxx xxxxxxx před škodlivým xxxxx,
x) xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx,
x) spojení xx xxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxx a xxxxxxxxx xxxxxxx,
x) xxxxxxx řízení x schvalování provozních xxxx,
x) xxxxxxx xxx xxxxxxxxx, xxxxxxxxx a xxxxxx kapacity lidských x technických zdrojů,
i) xxxxxxxx x postupy xxx ochranu informací x dat x xxxxxxx xxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxx a xxxxxxx pro instalaci xxxxxxxxxxx xxxxx,
x) provádění xxxxxxxxxxxx xxxxxxxxxx x xxxxxxxx xxxxxxxxxxxxx provedených xxxxx a
l) pravidla x postupy xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx.
(2) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxxxx x komunikací xxxxxxxx xxxxxxxx a xxxxxxx stanovené podle xxxxxxxx 1 x xxxx xxxxxxxx a xxxxxxx xxxxxxxxxxx v xxxxxxxxxxx s xxxxxxxxxxx xxxx xxxxxxxxxxx změnami.
(3) Xxxxxxx osoba xxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxxxx.
§11
Řízení xxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxx změn x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) přezkoumává xxxxx xxxxxx změn x
x) xxxxxx xxxxxxxx xxxxx.
(2) Xxxxxxx xxxxx x xxxxxxxxxx xxxx
x) xxxxxxxxxxx xxxxxx xxxxxx,
x) xxxxxxx xxxxxxx xxxxx,
x) přijímá xxxxxxxx xx xxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx,
x) zajistí xxxxxx testování a
f) xxxxxxx xxxxxxx xxxxxxxxx xx původního xxxxx.
(3) Xxxxxxx osoba xxxxxxx x §3 xxxx. x), d) x x) xxxxxx xx xxxxxxx xxxxxxxx xxxxxxx xxxxx xxxxx odstavce 2 xxxx. x) xxxxxxxxx x provedení xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx zranitelností; xxxxx xxxxxxxx o xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxxxxx, xxxxxxxxx xxxxx §25 xxxx. 1 a reaguje xx xxxxxxxx xxxxxxxxxx.
(4) Xxxxxxx osoba uvedená x §3 xxxx. x) zákona se xxxx požadavky podle xxxxxxxx 3 xxxxxxxxx.
§12
Řízení xxxxxxxx
(1) Xxxxxxx xxxxx xx základě xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxx xxxx xxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxx xxxxxxxx, která xxxxxx k zajištění xxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxx xxxxxxxxxx podle §19 x 20, x xxxxx xxxxx xx xxxxxxxx těchto údajů xxxxxxxxxxxx xxxxxx.
(2) Povinná xxxxx dále x xxxxx xxxxxx přístupu x informačnímu a xxxxxxxxxxxxx xxxxxxx
x) řídí xxxxxxx xx základě xxxxxx x rolí,
b) xxxxxxx každému uživateli x xxxxxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxx x oprávnění x jedinečný xxxxxxxxxxxxx,
x) xxxx xxxxxxxxxxxxxx, xxxxxxxxxx xxxxx a xxxxxxxxx xxxxxxxx a technických xxxx,
x) xxxxxx bezpečnostní xxxxxxxx pro xxxxxx xxxxxxxx zařízení x xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) zavádí xxxxxxxxxxxx xxxxxxxx potřebná xxx xxxxxxxx používání xxxxxxxxx zařízení x xxxxxx xxxxxxxxxxx zařízení, xxxxxxxxx x bezpečnostní xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx osoba xxxx xx xxx xxxxxx,
x) omezí xxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxx xxxxxx x xxxxxx xxxxxx xxxxx,
x) xxxxx x xxxxxxxxxx xxxxxxxxx programových xxxxxxxxxx, xxxxx xxxxx xxx xxxxxxx překonat xxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxx x xxxxxxx s xxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxx pravidelné přezkoumání xxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xx xxxxxxxxxxxx skupin x xxxx,
x) využívá xxxxxxx xxx xxxxxx x xxxxxxxxx xxxxxxxx xxxxx §19 x xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §20,
x) xxxxxxxxx, xxx xxxxxxxxx xxx xxxxxxxxx xxxxxxxxxx autentizačních xxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx nebo xxxxx xxxxxxxxxxxx oprávnění xxx xxxxx xxxxxx xxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx nebo xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx odebrání nebo xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx xxxx xxxxx xxxxxxxxx xxxxxx x
x) xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx.
§13
Xxxxxxxx, vývoj a xxxxxx
Xxxxxxx xxxxx x xxxxxxxxxxx s xxxxxxxxxx xxxxxxxx, xxxxxxx a xxxxxxx informačního a xxxxxxxxxxxxx xxxxxxx
x) řídí xxxxxx podle §5,
b) xxxx xxxxxxxx xxxxx xxxxx §11,
c) xxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) zahrne xxxxxxxxxxxx požadavky do xxxxxxxx xxxxxxxx, vývoje x xxxxxx,
x) zajistí xxxxxxxxxx vývojového a xxxxxxxxxxx xxxxxxxxx a xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxx,
x) provádí xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxx před jejich xxxxxxxxx xx xxxxxxx x
x) plní požadavek xxxxx §19 odst. 3, xx-xx xxxxx xxxxxxxxx xxxxxxxx xxxx xxxxxx xxxxxxx xxx xxxxxx a xxxxxxxxx xxxxxxxx.
§14
Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
(1) Xxxxxxx xxxxx x xxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxx
x) xxxxxx proces xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) přidělí xxxxxxxxxxxx x stanoví xxxxxxx pro
1. xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxx x
2. xxxxxxxxxx x zvládání kybernetických xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxx x xxxxxxxx xxxxxxx xxx identifikaci, sběr, xxxxxxx a uchování xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí xx xxxx xxxx §22 a 23,
f) xxxxxxx, že uživatelé, xxxxxxxxxxxxxx, xxxxx zastávající xxxxxxxxxxxx xxxx, xxxxx xxxxxxxxxxx a xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a xxxxxxxxx xx jakékoliv xxxxxxxxxxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxx xxxxxx musí xxx rozhodnuto, xxx xxxx xxx klasifikovány xxxx kybernetické bezpečnostní xxxxxxxxx xxxxx §31,
x) xxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx podle xxxxxxxxxxx postupů,
i) xxxxxxx xxxxxxxx xxx xxxxxxxxx x zmírnění dopadu xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx,
x) xxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx podle §32,
x) xxxx záznamy x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx x x xxxxxx xxxxxxxx,
x) xxxxxxxx x xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx a
m) xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x na xxxxxxx xxxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx k xxxxxxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx uvedená x §3 xxxx. x), x) x x) xxxxxx xxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx používá nástroj xxxxx §24.
§15
Xxxxxx xxxxxxxxxx xxxxxxxx
Xxxxxxx xxxxx x xxxxx xxxxxx kontinuity xxxxxxxx
x) xxxxxxx xxxxx a xxxxxxxxxx xxxxxxxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx,
x) xxxxxx xxxxxxxxx xxxxx x xxxxxxx xxxxxx xxxxxxxxx x xxxxxxxxxxx xxxxx xxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x xxxxxxx možná xxxxxx související x xxxxxxxxx kontinuity xxxxxxxx,
x) xx xxxxxxx xxxxxxx xxxxxxxxx xxxxx x xxxxxxx xxxxxx podle xxxxxxx x) xxxxxxx xxxx xxxxxx kontinuity xxxxxxxx formou xxxxxx
1. xxxxxxxxx úrovně xxxxxxxxxxxxx xxxxxx, xxxxx xx xxxxxxxxxx xxx xxxxxxx, xxxxxx x správu xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. doby xxxxxxxx xxxxx, xxxxx které xxxx po kybernetickém xxxxxxxxxxxxx incidentu xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, x
3. xxxx xxxxxxxx xxx xxxx xxxxxx období, xx které musí xxx zpětně obnovena xxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx nebo xx selhání,
d) xxxxxxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx cílů xxxxx xxxxxxx c),
e) vypracuje, xxxxxxxxxxx a xxxxxxxxxx xxxxxxx plány xxxxxxxxxx xxxxxxxx a xxxxxxxxx xxxxx xxxxxxxxxxx x xxxxxxxxxxxx informačního x xxxxxxxxxxxxx systému x xxxxxxxxxxxxx služeb x
x) xxxxxxxxx opatření pro xxxxxxx xxxxxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx x omezením xxxxxxxxxxx a vychází xxx xxx x xxxxxxxxx xxxxx §27.
§16
Xxxxx xxxxxxxxxxxx bezpečnosti
(1) Xxxxxxx xxxxx x xxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx
x) provádí x xxxxxxxxxxx xxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, včetně xxxxxxxxxxx technické shody, x xxxxxxxx xxxxxx xxxxxxxx x xxxxx xxxxxxx xxxxxxxxxxxxxx povědomí x plánu zvládání xxxxx x
x) posuzuje xxxxxx bezpečnostních opatření x xxxxxxxx xxxxx, xxxxxxxx předpisy, vnitřními xxxxxxxx, jinými xxxxxxxx x smluvními xxxxxxx xxxxxxxxxxxx xx k xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxx xxxxxxxx xxxxxxxx xxx zajištění souladu.
(2) Xxxxx xxxxx xxxxxxxx 1 je xxxxxxxx
x) xxx xxxxxxxxxx xxxxxxx, x rámci jejich xxxxxxx,
x) x xxxxxxxxxxxx xxxxxxxxxxx alespoň po 3 xxxxxx x xxxxxxx xxxxxxx osoby xxxxxxx x §3 xxxx. x) xxxxxx x
x) v pravidelných xxxxxxxxxxx alespoň xx 2 xxxxxx x xxxxxxx povinné xxxxx xxxxxxxxx v xxxxxxx x).
(3) Není-li x xxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxx x xxxxxxxxxxx xxxxx xxxxxxxx 2 xxxx. b) x c) x xxxxx xxxxxxx, xx xxxxx xxxxx provádět xxxxxxxx xx xxxxxxxxxxxxxx xxxxxxx. V xxxxxxx xxxxxxx je xxxxx xxxxx v xxxxx xxxxxxx xxxxxxx nejpozději xx 5 xxx.
(4) Xxxxx xxxxxxxxxxxx bezpečnosti xxxx xxx xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxx x §7 xxxx. 4, xxxxx xxxxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
(5) Povinná xxxxx, xxxxx je xxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx xxxxxxx daného xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx.
XXXXX XX
XXXXXXXXX XXXXXXXX
§17
Xxxxxxx xxxxxxxxxx
Xxxxxxx xxxxx v xxxxx fyzické xxxxxxxxxxx
x) xxxxxxxxx xxxxxxxxx, xxxxxxx xxxx zneužití xxxxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) stanoví xxxxxxx bezpečnostní perimetr xxxxxxxxxxxx oblast, xx xxxxx xxxx uchovávány x xxxxxxxxxxxx xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx, a
c) x fyzického bezpečnostního xxxxxxxxx xxxxxxxxxxx podle xxxxxxx b) xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxx prostředky xxxxxxx xxxxxxxxxxx
1. k zamezení xxxxxxxxxxxxx xxxxxx,
2. x xxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x
3. xxx xxxxxxxxx ochrany xx xxxxxx xxxxxxx x x rámci xxxxxxx.
§18
Xxxxxxxxxx komunikačních xxxx
Xxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxx v xxxxxxx xxxxx §3 xxxx. x)
x) zajistí segmentaci xxxxxxxxxxx sítě,
b) xxxxxxx xxxxxx xxxxxxxxxx x xxxxx xxxxxxxxxxx sítě x xxxxxxxxx komunikační xxxx,
x) xxxxxx xxxxxxxxxxxx xxxxxxx důvěrnost a xxxxxxxxx xxx při xxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxx nebo při xxxxxxxx xx xxxxxxxxxxx xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxx a
e) xxx zajištění segmentace xxxx x xxx xxxxxx komunikace xxxx xxxxxx xxxxxxxx xxxxxxx xxxxxxx, xxxxx zajistí xxxxxxx integrity komunikační xxxx.
§19
Xxxxxx a xxxxxxxxx xxxxxxx
(1) Xxxxxxx xxxxx xxxxxxx xxxxxxx pro xxxxxx x xxxxxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx x xxxxxxxx informačního x xxxxxxxxxxxxx systému.
(2) Xxxxxxx xxx xxxxxx x xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx zajišťuje
a) ověření xxxxxxxx před xxxxxxxxx xxxxxxx x xxxxxxxxxxx x komunikačním systému,
b) xxxxxx počtu možných xxxxxxxxxxx pokusů x xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxxxx xxxxxxxxxxxxx xxxxxxxx x xxxxxxxx,
x) xxxxxxxx xxxxxxxxxxxxxx xxxxx xx formě odolné xxxxx offline xxxxxx,
x) xxxxxxxx xxxxxxx xxxxxxxx xx určené xxxx xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxx xxx xxxxxx xxxxxxxx a
g) xxxxxxxxxxxxxxx xxxxxx xxxxxxx.
(3) Xxxxxxx xxxxx xxx xxxxxxx identity xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxx založený xxxxx xx použití xxxxxxxxxxxxxx účtu x xxxxx, xxxxx xx xxxxxxxxxxxxx autentizaci x xxxxxxx xxxxx xxxxxxx xxxx xxxxxxx.
(4) Do xxxx xxxxxxx xxxxxxxxx xxxxx odstavce 3 xxxx xxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a aplikací, xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx klíčů a xxxxxxx obdobnou xxxxxx xxxxxxxxxxx.
(5) Do doby xxxxxxx požadavků xxxxx xxxxxxxx 3 xxxx 4 xxxx xxxxxxx xxx ověření xxxxxxxx xxxxxxxxx, administrátorů a xxxxxxxx, xxxxx používá x xxxxxxxxxxx identifikátor xxxx x heslo, xxxxxxxxx xxxxxxxx
x) délky xxxxx xxxxxxx
1. 12 xxxxx x xxxxxxxxx x
2. 17 znaků x xxxxxxxxxxxxxx a xxxxxxxx,
x) umožňující xxxxx xxxxx x xxxxx xxxxxxx 64 znaků,
c) xxxxxxxxxxx použití xxxxxx x velkých písmen, xxxxxx x xxxxxxxxxxx xxxxx,
x) umožňující xxxxxxxxxx xxxxx xxxxx, xxxxxxx xxxxxx mezi dvěma xxxxxxx xxxxx xxxxx xxx xxxxxx xxx 30 xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxx a administrátorům
1. xxxxxx xx nejčastěji xxxxxxxxx hesla,
2. tvořit xxxxx xx xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx se xxxxx, xxxxxxxxxxxxxx xxxxx, x-xxxxx, názvu xxxxxxx xxxx obdobným xxxxxxxx x
3. opětovné použití xxxxx xxxxxxxxxxx xxxxx x xxxxxx xxxxxxx 12 předchozích xxxxx x
x) xxx xxxxxxxx xxxxx hesla v xxxxxxxxx maximálně xx 18 xxxxxxxx, xxxxxxx xxxx xxxxxxxx xx xxxxxxxxxx na účty xxxxxxxx x obnově xxxxxxx x xxxxxxx xxxxxxx.
(6) Povinná xxxxx x xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxx x xxxxxx xxxx
x) xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxx xx xxxx xxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx heslo xxxxxxxx x obnovení xxxxxxxx xx xxxx xxxxxx xxxxxxx xxxx xxxxxxxxx xxxxxxx 60 xxxxx xx jeho xxxxxxxxx x
x) povinně xxxxxx pravidla xxxxxx xxxxxxxxxx hesel xx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx §9.
§20
Řízení xxxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxx pro xxxxxx xxxxxxxxxxxx xxxxxxxxx, xxxxxx xxxxxxx řízení xxxxxxxxx
x) xxx xxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému x
x) pro xxxxx xxx, xxxxx dat x xxxxx oprávnění.
§21
Xxxxxxx před xxxxxxxxx xxxxx
(1) Povinná xxxxx xxxxxxx x §3 xxxx. x), x) x f) zákona x xxxxx ochrany xxxx xxxxxxxxx xxxxx
x) x xxxxxxx na xxxxxxxxxx xxxxx xxxxxxxxx xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxx
1. xxxxxxxxx xxxxxx,
2. xxxxxxxxx xxxxxxxx,
3. xxxxxxx,
4. xxxxxxxx xxxxxxx a výměnných xxxxxxxx xxxxxx,
5. xxxxxxxxxxx xxxx a prvků xxxxxxxxxxx xxxx x
6. xxxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x řídí používání xxxxxxxxx xxxxxxxx x xxxxxxxx nosičů,
c) xxxx xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx zařízení x xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxx xx xxxxxxxxx xxxx x
x) xxxxxxx xxxxxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxx pro xxxxxxx xxxx škodlivým xxxxx.
(2) Povinná xxxxx xxxxxxx x §3 xxxx. e) xxxxxx xxxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxx.
§22
Zaznamenávání událostí informačního x komunikačního systému, xxxx uživatelů x xxxxxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) na xxxxxxx xxxxxxxxx důležitosti xxxxx xxxxxxxxxxx rozsah xxxxx, x xxxxxxx je xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxx prováděno.
(2) Xxxxxxx xxxxx xxx xxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxx podle xxxxxxxx 1 xxxxxxxxx
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxx, xx-xx x komunikační síti xxxxxx nástroj, který xxxx jeho síťovou xxxxxxxxxxxx,
x) sběr xxxxxxxxx x bezpečnostních a xxxxxxxxxx xxxxxxxxxx; xxxxxxx xxxxxxxxxxx
1. datum x xxx xxxxxx specifikace xxxxxxxx xxxxx,
2. typ xxxxxxxx,
3. xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx činnost xxxxxxxxxxx,
4. xxxxxxxxxxxx identifikaci xxxx, xxx xxxxxx xxxx činnost xxxxxxxxx,
5. xxxxxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxxx původce x
6. xxxxxxxxx xxxx xxxxxxxxxxx xxxxxxxx,
x) xxxxxxx informací xxxxxxxxx xxxxx xxxxxx x) a x) xxxx xxxxxxxxxxxx xxxxxx x jakoukoli xxxxxx,
x) xxxxxxxxxxxxx
1. přihlašování x xxxxxxxxxxx xx všem xxxxx, a xx xxxxxx neúspěšných xxxxxx,
2. xxxxxxxx provedených xxxxxxxxxxxxxx,
3. xxxxxxx x xxxxxxxxx xxxxxxxxxx x účty, xxxxxxxxxxx x právy,
4. xxxxxxxxxxx xxxxxxxx x xxxxxxxx nedostatku xxxxxxxxxxxx xxxx x oprávnění,
5. xxxxxxxx uživatelů, xxxxx xxxxx mít xxxx xx xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
6. xxxxxxxx x ukončení xxxxxxxx xxxxxxxxxxx xxxxx,
7. xxxxxxxxxx i xxxxxxxxx xxxxxxx xxxxxxxxxxx xxxxx x
8. xxxxxxxx k xxxxxxxx x xxxxxxxxxx, xxxxxx o xxxxxxxxxx xx xxxxxxx x xxxxxxxxxx x xxxxx xxxxxxxxx xxxxxxxx xxx xxxxxxxxxxxxx událostí x
x) xxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxxx xx 24 xxxxx.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xxxxxxxx záznamy událostí xxxxxxxxxxxxx xxxxx xxxxxxxx 2 xxxxxxx po xxxx 18 xxxxxx.
(4) Xxxxxxx osoba xxxxxxx x §3 xxxx. x) zákona xxxxxxxx xxxxxxx událostí zaznamenaných xxxxx xxxxxxxx 2 xxxxxxx xx xxxx 12 xxxxxx.
§23
Detekce xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
(1) Xxxxxxx osoba x xxxxx xxxxxxxxxxx xxxx, jejíž xxxxxxxx xx xxxxxxxxxx a xxxxxxxxxxx xxxxxx, používá xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx x kontrolu xxxxxxxxxxx xxx v rámci xxxxxxxxxxx sítě x xxxx xxxxxxxxxxxxx sítěmi,
b) xxxxxxx a xxxxxxxx xxxxxxxxxxx xxx xx xxxxxxxxx xxxxxxxxxxx sítě x
x) xxxxxxxxx nežádoucí xxxxxxxxxx.
(2) Povinná xxxxx xxxxxxx v §3 xxxx. c), d) x x) xxxxxx xxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxx x ohledem na xxxxxxxxxx xxxxx v xxxxx
x) xxxxxxxxx xxxxxx,
x) xxxxxxxxx xxxxxxxx,
x) xxxxxxx,
x) xxxxxxxx xxxxxxx a xxxxxxxxx xxxxxxxx nosičů,
e) xxxxxxxx aktivních prvků x
x) xxxxxxxxx aktiv.
§24
Xxxx a xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
Xxxxxxx xxxxx xxxxxxx v §3 písm. x), x) a x) xxxxxx xxxxxxx xxxxxxx xxx xxxx a xxxxxxxxxxx vyhodnocení kybernetických xxxxxxxxxxxxxx xxxxxxxx, který xxxxxx
x) xxxx x xxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxx §22 a 23,
x) xxxxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxxxx role x xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxxx,
x) vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx identifikace xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, xxxxxx včasného varování xxxxxxxx xxxxxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx událostí pravidelnou xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx
1. xxxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx událostí x
2. xxxxxx xxxxxxxx x
x) xxxxxxxxx informací xxxxxxxxx xxxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx informačního x xxxxxxxxxxxxx systému.
§25
Xxxxxxxxx xxxxxxxxxx
(1) Povinná xxxxx provádí xxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xx xxxxxxxxx na xxxxxxxx xxxxxx, x xx
x) xxxx xxxxxx xxxxxxxx xx provozu x
x) x xxxxxxxxxxx x xxxxxxxxx xxxxxx xxxxx §11 xxxx. 3.
(2) Xxxxxxx xxxxx xxxx x rámci xxxxxxxxx xxxxxxxxxxx xxxxxxx trvalou xxxxxxx xxxxxxxx, xxxxxxxxx x xxxxxxxxx před
a) xxxxxxxxxxxx činností x
x) xxxxxxxx xxxxxxxxxxx činností.
§26
Xxxxxxxxxxxxxx prostředky
Povinná xxxxx xxx xxxxxxx xxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx
x) používá aktuálně xxxxxx xxxxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxx xxxxxx xxxxx x certifikátů, xxxxx
1. xxxxxxx xxxxxxxxxx, xxxxxxxxxx, xxxxxxxx, změny, xxxxxxx platnosti, xxxxxxxxxxx xxxxxxxxxxx x likvidaci xxxxx a
2. umožní xxxxxxxx x xxxxx,
x) xxxxxxxxx xxxxxxxx nakládání x xxxxxxxxxxxxxxxx xxxxxxxxxx x
x) xxxxxxxxxx xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx vydaná Xxxxxx, xxxxxxxxxx xx xxxx xxxxxxxxxxxxx stránkách.
§27
Xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx xxxxxx xxxxxxxx pro zajišťování xxxxxx xxxxxxxxxxx, kterými xxxxxxx
x) xxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxx splnění cílů xxxxx §15,
x) xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxx kybernetickým xxxxxxxxxxxxx xxxxxxxxxx, které xx xxxxx xxxxxx xxxx xxxxxxxxxx,
x) dostupnost xxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x
x) redundanci xxxxx xxxxxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
§28
Průmyslové, xxxxxx x xxxxxxx specifické systémy
Povinná xxxxx pro xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx, xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxx používá xxxxxxxx x xxxxxxxx, xxxxx zajistí
a) xxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx, xxxxx xxxx xxxxxx do xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx fyzického xxxxxxxx x xxxxxxxxx xxxxxx xxxxxxx x xx xxxxxxxxxxx xxxx,
x) xxxxxxxxx komunikační xxxx xxxxxx pro tyto xxxxxxx od xxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxx a xxxxxx xxxxxxxxxx přístupu x těmto systémům,
e) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx xxxxxxx xxxx xxxxxxxx známých xxxxxxxxxxxxx x
x) obnovení xxxxx těchto xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
§29
Xxxxxxxxx xxxxxx
(1) Povinná xxxxx uvedená v §3 xxxx. h) xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx podle xxxxxxxxxxx xxxxxxxx Komise (EU) 2018/151 xx dne 30. xxxxx 2018, xxxxxx xx xxxxxxx xxxxxxxx pro uplatňování xxxxxxxx Xxxxxxxxxx parlamentu x Xxxx (EU) 2016/1148, xxxxx xxx x bližší xxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx xxxxx, jimiž xxxx xxxxxxxxx xxxx x xxxxxxxxxx xxxxxxx, x xxxxxxxxx xxx xxxxxxxxxx xxxx, xxx xx dopad incidentu xxxxxxxx; xxxxxxxxxx §3 xx 28 se xx xxxx povinnou xxxxx nepoužijí.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. h) xxxxxx xxxxx kontaktní xxxxx xxxxx §34 xxxx. 2.
(3) Povinná xxxxx uvedená v §3 xxxx. x) xxxxxx hlásí kybernetické xxxxxxxxxxxx xxxxxxxxx podle §32 odst. 2 x 3.
HLAVA XXX
XXXXXXXXXXXX XXXXXXXX X XXXXXXXXXXXX XXXXXXXXXXX
§30
Xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx
(1) Povinná osoba
a) xxxxxxx bezpečnostní politiku x xxxx bezpečnostní xxxxxxxxxxx zahrnující xxxxxxx xxxxxxx x příloze č. 5,
x) xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx x
x) xxxxxxx, xxx xxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx aktuální.
(2) Xxxxxxxxxxxx xxxxxxxx x bezpečnostní xxxxxxxxxxx xxxx xxx
x) xxxxxxxx v listinné xxxx xxxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx x rámci xxxxxxx xxxxx,
x) přiměřeně xxxxxxxx xxxxxxxx xxxxxxx,
x) xxxxxx,
x) xxxxxxxx x xxxxxxx důvěrnosti, xxxxxxxxx x xxxxxxxxxxx x
x) xxxxxx xxx, xxx xxxxxxxxx v nich xxxxxxxx byly xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x snadno xxxxxxxxxxxx.
ČÁST TŘETÍ
KYBERNETICKÝ BEZPEČNOSTNÍ XXXXXXXX
§31
Xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxx xxxxxxxxxx
x) xxxxxx xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx byly xxxxxxx xxxxx určeny,
b) xxxxx xxxxxxxxx xxxxxxxxx,
x) způsobené xxxx xxxxxxxxxxxxx xxxxx,
x) xxxxxxxxxxx dotčených aktiv xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxx xxxxxxxxxxx jinými xxxxxxxxxxxx x komunikačními xxxxxxx,
x) xxxxx xxxxxx incidentu,
h) xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx a
i) dalších xxxxxx.
(2) Xxx potřeby xxxxxxx x xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů xx xx základě xxxxxxxxxx podle xxxxxxxx 1 xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xx xxxxxxxxxxxxx kategorií
a) Kategorie XXX - velmi xxxxxxxx kybernetický bezpečnostní xxxxxxxx, při kterém xx xxxxx a xxxxxxxx narušena xxxxxxxxxx xxxxxxxxxxxxx služeb xxxx xxxxx. Jeho xxxxxx xxxxxxxx xxxxxxxxxx zásahy xxxxxxx x xxx, xx xxxx xxx xxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx minimalizace vzniklých x potenciálních škod,
b) Xxxxxxxxx XX - xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxx kterém xx narušena bezpečnost xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxxxxxx zásahy xxxxxxx x tím, xx xxxx xxx xxxxxxxx prostředky xxxxxxxxx xxxxxxx šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx vzniklých škod, xxxx
x) Xxxxxxxxx I - xxxx významný xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx xxxxxx dochází x xxxx významnému xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxx xxxxxxx x xxx, xx musí xxx xxxxxxxx xxxxxxxxxx xxxxxxx další xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx vzniklých xxxx.
(3) Xxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxx xxxx
x) kybernetický xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx xxxxxxxxxxx xxxxxxxx integrity xxxxx,
x) xxxxxxxxxxxx bezpečnostní xxxxxxxx způsobující xxxxxxxx xxxxxxxxxxx aktiv, xxxx
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx kombinaci xxxxxx xxxxxxxxx x xxxxxxxxx x) xx x).
(4) Xxxx xxxxxxxxxx xx xxxxxxxxxx na kybernetické xxxxxxxxxxxx incidenty x xxxxxxx xxxxx uvedené x §3 písm. x) xxxxxx.
§32
Xxxxx x náležitosti xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx se Úřadu xxxxx xx elektronickém xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx xxxxxxxxx Úřadu xxxxxxxx
x) xx adresu xxxxxxxxxxxx pošty Xxxxx xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, zveřejněnou xx xxxxxxxxxxxxx stránkách Xxxxx,
x) xx datové xxxxxxxx Xxxxx, nebo
c) xxxxxxxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxx xx xxxxxxxxx, jehož xxxxx xx zveřejněn xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxx xx xxxxxxxxxxxxx formuláři xxxxxxxxxxx xx internetových xxxxxxxxx xxxxxxxxxxxxx národního XXXX xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx národního XXXX xxxxxxx xxx příjem xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxx xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx národního CERT, xxxx
x) xxxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xx xxxxx xxxxxx i x listinné xxxxxx, xxxxx xxxxx v xxxxxxxxx, kdy nelze xxxxxx žádný xx xxxxxxx uvedených x xxxxxxxxxx 1 x 2.
(4) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx,
x) xxxxx x xxx xxxxxxxx xxxxxxxxx x
x) xxxxx xxxxxxxxx.
ČÁST XXXXXX
XXXXXXXXX OPATŘENÍ X XXXXXXXXX ÚDAJE
§33
Reaktivní xxxxxxxx
(1) Povinná xxxxx, xxxxx Xxxx xxxxxx xxxxxxx reaktivní xxxxxxxx,
x) xxxxxxx xxxxxxxxx dopady xxxxxxxxxxx xxxxxxxx xx xxxxxxxxxx a komunikační xxxxxx a xx xxxxxxxx xxxxxxxxxxxx xxxxxxxx x vyhodnotí xxxxx xxxxxxxxx xxxxxx x
x) xxxxxxx xxxxxx xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxx, xxxxx xxxxxxxxxxxx jeho xxxxx negativní xxxxxx, x xxxx xxxxxx xxxx jeho xxxxxxxxx.
(2) Xxxxxxx xxxxx, které Xxxx xxxxxx xxxxxxx xxxxxxxxx opatření, oznámí xxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx a xxxx xxxxxxxx xx formě xxxxxxx xx internetových xxxxxxxxx Xxxxx.
§34
Kontaktní xxxxx
(1) Kontaktní xxxxx se Úřadu xxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx zveřejněném xx xxxxxxxxxxxxx stránkách Xxxxx xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx pošty Úřadu xxxxxxx xxx příjem xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Úřadu,
b) xx xxxxxx schránky Xxxxx, xxxx
x) prostřednictvím xxxxxxxx xxxxxxxx, xxxxx je xxxxxxxxx, jehož popis xx xxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxxxx xxxxx xx xxxxxxxxxxxxx xxxxxxxxx CERT xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX určenou xxx xxxxxx oznámení xxxxxxxxxxx xxxxx, xxxxxxxxxxx xx xxxx internetových stránkách,
b) xx xxxxxx schránky xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx
x) prostřednictvím xxxxxxxxxxxxx xxxxxxx provozovatele xxxxxxxxx XXXX.
(3) Xxxxxxx xxxxxxxxxxx xxxxx xx xxxxx xxxxxx i x xxxxxxxx podobě, xxxxx xxxxx x xxxxxxxxx, xxx xxxxx xxxxxx xxxxx ze způsobů xxxxxxxxx v xxxxxxxxxx 1 a 2.
(4) Xxxx xxxxxxxx kontaktních xxxxx xx xxxxxx x příloze č. 8 k xxxx xxxxxxxx.
(5) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xx f) xxxxxx, xxxxx xx xxxxxxxxxxxxxx, xxxx x xxxxxxx xxxxxxxxxxx údajů podle xxxxxxxx 1 xxxxxxxx xxxxxxxx, xxxxxx xx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §8 xxxx. 1 xxxx. x).
XXXX XXXX
XXXXXXXXX XXXXXXXXXX
§35
Xxxxxxxxx xxxxxxxxxx
(1) V xxxxxxx xxxxxxxxxxxx systémů kritické xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx systémů kritické xxxxxxxxxx xxxxxxxxxxxxxx, které xxxx xxxxxx xxxxx xxxx xxxxxx účinnosti xxxx vyhlášky, x x případě významných xxxxxxxxxxxx xxxxxxx, x xxxxxxx xxxxx k xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxx xxxxxxxxx této xxxxxxxx, xx xx xxxxxxx xxxx xxx xxx xxxxxx xxxxxxxxx xxxx xxxxxxxx xxx xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxx x rozsah zavedených xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech, xxxxxxxxxxx opatřeních x x xxxxxxxxx xxxxxxxxxxx xxxxxx x oblasti xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx bezpečnosti).
(2) X xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a komunikačních xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxx xxxx xxxxxx xxxxx xxxx xxxxxx xxxxxxxxx této xxxxxxxx, x v xxxxxxx významných xxxxxxxxxxxx xxxxxxx, u xxxxxxx xxxxx k naplnění xxxxxxxxxx kritérií xxxxx xxxx xxxxxx účinnosti xxxx xxxxxxxx, xx xx jednoho xxxx xxx xxx xxxxxx xxxxxxxxx této xxxxxxxx xxx způsob likvidace xxx, provozních xxxxx, xxxxxxxxx x xxxxxx xxxxx xxxx xxxxxxxx xxxxxxxxx.
§36
Zrušovací xxxxxxxxxx
Xxxxxxx xx xxxxxxxx č. 316/2014 Sb., o xxxxxxxxxxxxxx opatřeních, xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentech, reaktivních xxxxxxxxxx a x xxxxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx).
§37
Xxxxxxxx
Xxxx xxxxxxxx nabývá xxxxxxxxx dnem xxxxxxxxx.
Xxxxxxx:
Xxx. Xxxxxxxx v. r.
Xxxxxxx č. 1 x xxxxxxxx č. 82/2018 Xx.
Xxxxxxxxx aktiv
(1) Xxx xxxxxxxxx důležitosti xxxxx jsou x xxxxx xxxxxxx xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxx a xxxxxxxx xx, xxxx xxxxx xx xxxx xxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx aktiv. Xxxxxxx xxxxx xxxx používat xxxxxxx xxxxx xxxxxx xxx xxxxxxxxx důležitosti xxxxx, xxx xxxx xx xxxxxx x xxxx příloze, xxxxxx-xx xxxxxxxxxxx xxxxx xxxx xxxx xxxxxxxxxx způsobem xxxxxxxxx důležitosti xxxxx x xxxxxxxxxx a xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxx, které xxxx uvedeny x xxxx příloze.
(2) Xx xxxxxxxxxx, aby xx xxxxx xxxxxxx xxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxx potřebám.
Tab. 1: Xxxxxxxx xxx xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Příklady xxxxxxxxx xx xxxxxxx aktiva |
|
Nízká |
Aktiva xxxx veřejně xxxxxxxxx xxxx byla xxxxxx xx zveřejnění. Narušení xxxxxxxxxx xxxxx neohrožuje xxxxxxxxx zájmy xxxxxxx xxxxx. X xxxxxxx sdílení xxxxxxxx xxxxxx s xxxxxxx stranami x xxxxxxx xxxxxxxxxxx xxxxx xxx. xxxxxxx xxxxx xxxxxxxxx (dále xxx "XXX") je xxxxxxxxx xxxxxxxx TLP:WHITE. |
Není xxxxxxxxxx xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxx xxxx-xxx xxxxxxx xxxxx, ochrana xxxxx xxxx vyžadována xxxxxx xxxxxxx předpisem xxxx smluvním ujednáním. V xxxxxxx xxxxxxx takového xxxxxx x třetími xxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxx TLP xx xxxxxxxxx xxxxxxx xxxxxxxx XXX:XXXXX xxxx XXX:XXXXX. |
Xxx ochranu důvěrnosti xxxx xxxxxxxxx xxxxxxxxxx xxx řízení přístupu. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxxx xxxxxxx xx xxxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxx xxxxxxxx xxxx smluvními xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxx, osobní xxxxx). X xxxxxxx sdílení takového xxxxxx s třetími xxxxxxxx x použití xxxxxxxxxxx podle XXX xx využíváno zejména xxxxxxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx jsou využívány xxxxxxxxxx, xxxxx zajistí xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Přenosy xxxxxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx a xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxx xxx rámec xxxxxxxxx xxxxxxxxx (například xxxxxxxxxxx xxxxxxxx tajemství, xxxxxxxx xxxxxxxxx osobních xxxxx). X případě xxxxxxx xxxxxxxx aktiva x xxxxxxx xxxxxxxx a xxxxxxx xxxxxxxxxxx xxxxx XXX xx xxxxxxxxx xxxxxxx označení TLP:RED xxxx XXX:XXXXX. |
Xxx ochranu xxxxxxxxxx jsou xxxxxxxxx xxxxxxxxxx, které xxxxxxx xxxxxx x zaznamenávání xxxxxxxx. Dále xxxxxx xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx ze xxxxxx xxxxxxxxxxxxxx. Xxxxxxx informací xxxx chráněny xxxxxx xxxxxxxxxxxxxxxx prostředků. |
Tab. 2: Stupnice pro xxxxxxxxx integrity
|
Úroveň |
Popis |
Příklady požadavků xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxx integrity. Narušení xxxxxxxxx aktiva xxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx xxxxx. |
Xxxx vyžadována žádná xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx xxxx xxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx vést x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxx se xxxxxxxx xxxx závažnými xxxxxx na xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány standardní xxxxxxxx (například omezení xxxxxxxxxxxx xxxx pro xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx xxxx k xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx x xxxxxxxxxxx xxxxxx na xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx využívány xxxxxxxxx xxxxxxxxxx, xxxxx dovolují xxxxxxxx xxxxxxxx provedených xxxx x xxxxxxxxxx xxxxxxxx osoby xxxxxxxxxxx xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx komunikačními xxxxxx xx xxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxx k xxxxx xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx x xxxxxxx x xxxxx vážnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx využívány speciální xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxxx). |
Xxx. 3: Xxxxxxxx pro xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx požadavků xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxx x x xxxxxxx xxxxxxx xx běžně xxxxxxxxxx delší časové xxxxxx xxx nápravu (xxx xx 1 xxxxx). |
Xxx xxxxxxx dostupnosti xx postačující xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx nemělo xxxxxxxxx xxxx xxxxxxxxxx xxx, xxxxxxxxxxxxx výpadek vede x možnému xxxxxxxx xxxxxxxxxxx zájmů povinné xxxxx. |
Xxx ochranu xxxxxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxx zálohování x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx dostupnosti xxxxxx xx nemělo překročit xxxx xxxxxxxx hodin. Xxxxxxxx výpadek je xxxxx xxxxx neprodleně, xxxxxxx xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx povinné osoby. Xxxxxx jsou xxxxxxxxxx xx xxxxx důležitá. |
Pro xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx xxxxxxx x obnova xxxxxxxxxxx xxxxxx může xxx xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx xxxxxxxxxxx xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx dostupnosti xxxxxx xxxx přípustné a x xxxxxxxxxx nedostupnost (x xxxx xxxxxxxx xxxxx) xxxx x xxxxxxx ohrožení oprávněných xxxxx povinné osoby. Xxxxxx jsou xxxxxxxxxx xx kritická. |
Pro xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx systémy x xxxxxx xxxxxxxxxxx xxxxxx xx xxxxxxxxxx a xxxxxxxxxxxxxx. |
Xxxxxxx x. 2 x xxxxxxxx č. 82/2018 Xx.
Xxxxxxxxx xxxxx
(1) Xxxxxxxxxxx xxxxxxxxx xxxxxx xxx určení rizika xx nezbytnou součástí xxxxxxxx xxx xxxxxxxxx xxxxx xxxxx §5.
(2) Xxxxxxx xxxxxx xx xxxxxxxxxx vyjádřena xxxx xxxxxx, xxxxxx xxxxxxxxx xxxxx, xxxxxx a xxxxxxxxxxxx.
(3) Xxx xxxxxxxxx xxxxx lze xxxxxx xxxxxxxxx xxxx funkci:
Riziko = xxxxx x xxxxxx x xxxxxxxxxxxx.
(4) Xxxxx xx x xxxxx xxxxxxx odvozen x hodnocení xxxxx xxxxx přílohy č. 1.
(5) V xxxxxxx, xx xxxxxxx xxxxx využívá metodu xxx hodnocení xxxxx, xxxxx xxxxxxxxxxx hodnocení xxxxxx x xxxxxxxxxxxxx, xx xxxxx xxxxxxxx xxx hodnocení hrozeb x xxxxxxxxxxxxx sloučit. Xxxxxxxx xxxxxxx by xxxxxx xxxx xx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxx xxxxxx x xxxxxxxxxxxxx. Xx xxxxx xxxxxx lze použít xxxxxxxxx komentář, xxxxx xxxxxxxx xxxxxxx xxx xxxxxx hrozby, xxx x xxxxxx zranitelnosti. Xxxxxxx xx postupuje x x xxxxxxxxx, xxx xxxxxxx osoba xxxxxxx xxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxx, hrozeb, zranitelností x xxxxx.
Xxx. 1: Xxxxxxxx xxx xxxxxxxxx xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx neexistuje nebo xx málo xxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xx xxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. |
|
Kritická |
Hrozba xx xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. |
Xxx. 2: Xxxxxxxx xxx hodnocení zranitelností
|
Úroveň |
Popis |
|
Nízká |
Zranitelnost xxxxxxxxxx nebo je xxxxxxxx xxxxxxxxxxxxx málo xxxxxxxxxxxxx. Jsou xxxxxxxx xxxxxxxxxxxx opatření, xxxxx xxxx xxxxxxx včas xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx případné pokusy x xxxxxx xxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx málo xxxxxxxxxxxxx xx xxxxxxxxxxxxx. Xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxx, jejichž účinnost xx pravidelně xxxxxxxxxxxx. Xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxx detekovat xxxxx xxxxxxxxxxxxx nebo xxxxxxxx xxxxxx x xxxxxxxxx xxxxxxxx xx omezena. Xxxxxx xxxxx žádné xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxx, xxx xxxxxx xxxxxxxx xxxxxxxxx všechny xxxxxxxx aspekty x xxxx pravidelně xxxxxxxxxxxx. Xxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx xx víceméně xxxxx. Xxxxxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxx xxxx xx jejich účinnost xxxxxx xxxxxxx. Neprobíhá xxxxxxxx účinnosti xxxxxxxxxxxxxx xxxxxxxx. Jsou známé xxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření. |
Tab. 3: Xxxxxxxx xxx hodnocení xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx xxxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx může xxx sníženo xxxx xxxxxxxxx xxxxxxxxxx nebo x xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xx xxxxxx akceptovatelné. |
|
Vysoké |
Riziko je xxxxxxxxxx xxxxxxxxxxx x xxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxx x xxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx je xxxxxxxxxxx x xxxx xxx xxxxxxxxxx zahájeny xxxxx x xxxx xxxxxxxxxx. |
Xxxxxxx x. 3 x vyhlášce x. 82/2018 Sb.
Zranitelnosti a xxxxxx
Xxxxxxxxxx: Tato xxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxx x xxxxxx. Xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx a xxxxxx xx odpovědností xxxxxxx xxxxx.
Xxxxxxxxxxxxx
1. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. zastaralost informačního x xxxxxxxxxxxxx xxxxxxx,
3. xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx a xxxxxxxxxxxxxx,
5. nedostatečná xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
6. nevhodné xxxxxxxxx xxxxxxxxxxxx oprávnění,
7. xxxxxxxxxxxx xxxxxxx xxx identifikování x odhalení negativních xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
8. xxxxxxxxxxxx xxxxxxxxxxxx činnosti xxxxxxxxx x xxxxxxxxxxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxx chování,
9. xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, nepřesné xxxx xxxxxxxxxxxxx xxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x bezpečnostních xxxx,
10. nedostatečná ochrana xxxxx,
11. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
12. xxxxxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
13. xxxxxxxxxxx xxxxxxxx odhalení pochybení xx strany xxxxxxxxxxx.
Xxxxxx
1. xxxxxxxx bezpečnostní xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
2. xxxxxxxxx xxxx xxxxxxx technického xxxxx xxxxxxxxxxxx xxxxxxxx,
3. xxxxxxxx xxxxxxxx,
4. xxxxxxx programového xxxxxxxx v rozporu x xxxxxxxxxx xxxxxxxxxx,
5. xxxxxxxx kód (xxxxxxxxx xxxx, xxxxxxx, trojské xxxx),
6. xxxxxxxx xxxxxxx xxxxxxxxxxx,
7. přerušení poskytování xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxx xxxxxxxxxx xxxxxxx,
8. xxxxxxxx xxxx xxxxxxxxxxx modifikace xxxxx,
9. xxxxxx, xxxxxxxx xxxx xxxxxxxxx xxxxxx,
10. xxxxxxxxxx xxxxxxxxx xxxxxxx xx xxxxxx dodavatele,
11. xxxxxxxxx xx xxxxxx xxxxxxxxxxx,
12. xxxxxxxx xxxxxxxxx xxxxxxxxxx, xxxxxxx,
13. xxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx elektronických xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxx,
14. xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
15. xxxxxx xxxxxxxxxxxx xxxx pomocí xxxxxxxxxx xxxxxxxxxxx, použití xxxxxxxxxxx xxxxxxx,
16. zneužití xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxx,
17. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx (odposlech, modifikace).
Xxxxxxx x. 4 x xxxxxxxx č. 82/2018 Xx.
Xxxxxxxxx xxx
(1) Xxxx příloha xxxxx xxxxxxxxxx správce informačního x xxxxxxxxxxxxx systému x xxxxxxxxxx způsobů xxxxxx xxx x xxxxxxx likvidace xxxxxxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, informací x xxxxxx xxxxx.
(2) Xxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xx xxxxxxx pravidla pro xxxxxx xxx x xxxxxxxxx xxxxxxxxxxx nosičů xxx x souladu x xxxxx xxxxxxxx. Xxx xxxxxx dotčeny xxxxxxxxxx xxxxx jiných xxxxxxxx předpisů. Xx xxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxx xxx x xxxxxxxxx xxxxxxxxxxx xxxxxx dat, xxxxxxxx x xxxxxxx x xxxxxxxxxxx xxxxx.
(3) Xxxxxxxx xxx xxxxxxxxx xxx xx xxxx být xxxxxxxxx přiměřeně xxxxxxx x xxxxxxxxxxx xxxxx x xxxx by xxxxxxx xxxxxxxxxxx
x) xxxxxxx xxxxxx (xxxxxxx x xxxxxxx xxxxxxxxxx),
x) technologii (xxxx x xxxxxxxx xxxxxx xxxxxxxxx),
x) zda xx xxxxx xxxxxxxxx xxxxxxx pod kontrolou xxxxxxxxxx xx nikoliv,
d) xxx xxxx data xxxxxxxx dedikovaného xxxx xxxxxxxxxxxxxxx xxxxxxxxx,
x) xxx xxxx xxxxxxxxx xxx xxxxxxxx (xxxxxxx xxxxxxxxxxx, xxxx xxxxxxxxx),
x) dostupnost xxxxxxxx x xxxxxxxx xxx xxxxxxxxx,
x) kapacitu xxxxxxxxxxxxx xxxxxx,
x) xxx xx x dispozici xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxxx x ohledem xx xxxxxxxx, školení, xxxxxxxx, xxxxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) možné xxxxxxx likvidace xxx (xxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxxxxxx xxxxxxxxx nosiče xxx, xxxxxxxxxxxxx xxx xxxxxx xxxxxxxxxx a xxxxxxx),
x) použitelné xxxxxxx xxxxxxxxx xxx xxxxxxxx xx xxxxx nosiče xxxxxxxxx (xxxxxxxxx při xxxxxxxxx xxxxxxxx nebude xxxxx použít variantu xxxxxxx informace, xxx xxxxxxx xx způsobů xxxxxxx xxxxxxxxx).
(4) Xxxxxxx xxxxxxxxx technických xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx x jejich xxxxx:
x) Xxxxxxxxxx
1. Způsob xxxxxxxxx spočívá x xxxxxxxxxx xxx xxx, xxx byla xxx xxxxxx nedostupná (xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxx, xxxxxxxx tištěného xxxxxxxxx xx odpadu).
2. Jde x nejméně xxxxxxxx xxxxxx likvidace dat. X xxxxxxx xxxxxxx xxxxxx informace xx xxxxx s xxxxxxxxxxx xxxxxxxx úsilí informace xxxxxxx.
3. Tato xxxxxx xxxx xxxxxxxxxx pro xxxxxx digitálních dat xxxxxxxxxxxx xxxxxxxx xxxxx.
4. Xxxxxxxxxx způsob xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx z přílohy č. 1): xxxxx.
x) Přepsání
1. Xxxxxx xxxxxxxxx spočívá x xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxx.
2. Xxx x xxxxxxx xxxxxxxx xxxxxx xxxxxxxxx xxx. Xxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx obnovení xxxxxxxxxx xxxxxxxxx.
3. Přepsání může xxx xxxxxxxxx xxxx xxxxxxxxxxx bezpečnou xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxx.
4. Xxxx xxxxxx není xxxxxx xxx poškozená xxxxx, xxxxx neumožňující xxxxxxxx xxxxx, případně xxx xxxxx x xxxxxx xxxxxxxxx.
5. Xxxxxxxxxx xxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (vychází x přílohy č. 1): nízká až xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx
1. Způsob xxxxxxxxx spočívající ve xxxxxxx nosiče informace, xxxxxxxxx x xxxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxx (xxxxxxxxxxx, xxxxxxxxx xx xxxxxxxx xxxxxxxxx).
2. Xxx x nejbezpečnější xxxxxx xxxxxxxxx dat. Xxxxx xxxxxxxxx po xxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxx pro xxxxxxx xxxx. Xxxxxxx informace xxxx možné xxxxxxx xxx xxx xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx x xxxxx.
3. Použitelný xxxxxx xxxxxxxxx xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx z přílohy č. 1): xxxxxxx xx kritická.
Příklad xxxxxxx xxxxxxx likvidace xxxxx úrovně důvěrnosti xxxxxx (xxxxxxx z přílohy č. 1)
|
Xxxxxxxxx způsob xxxxxxxxx xxxxx xxxxxx důležitosti xxxxxx |
|||||
|
Xxxxx informace |
1. Xxxxx |
2. Xxxxxxx |
3. Xxxxxx |
4. Kritická |
|
|
Informace xx xxxxxx xxxxxxxx xxxxxx (xxxxxxx xxxxxxxxx, xxxxxxxx x xxxxxxx) |
Xxxxxxxxxx: Xxxxxxxx xx xxxxxx. |
Xxxxxxxx: Xxxxxxxxx. |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxxx xxxxxxxxx: |
|||||
|
Xxxxxxx xxxxxxxx (xxxxxxx telefony, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxx xxxxxxxx (router, xxxxxx, xxxxx x xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
|||
|
Xxxxxxxxxxx xxxxxxxx (xxxxxxx, xxxxxxxx, xxx) |
|||||
|
Xxxxxxxxxx média (xxxxxxxxxx xxxxx, xxxxx, XXX [Xxxx Disk Drive]) |
Odstranění: |
Xxxxxxxx: |
|||
|
Xxxxxxx xxxxx (CD, XXX, XX-XXX, XXX-XXX) |
Xxxxxxx xxxxxxxxx: |
||||
|
Xxxxxxx xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx xxxxx (xxxxx xxxxxx) |
|||||
|
Xxxxxxxxxxx a xxxxx |
Xxxxxxxxx xxxxxx xxxxxxxxx xxx xx měl xxx xxxxxxxx xxxxxxxx ujednáním. |
||||
|
Odstranění: |
Xxxxxxxx: |
Xxxxxxxx: |
Xxxxxxxx/xxxxxxx xxxxxxxxx: |
||
|
Xxxxxxxxxxxx x xxxxxxx dedikovaného xxxxxxxxxx xxxxx je xxxxx xxxx po xxxxxxxx xxxxxx xxxxxxx. |
|||||
Xxxxxxx x. 5 x xxxxxxxx x. 82/2018 Xx.
Xxxxx xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
1. Xxxxxxxxxxxx politika
1.1. Xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Xxxx, xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx x xxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxx xxxxxx x provozu xxxxxxx řízení bezpečnosti xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx provádění xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxx xxxxxxxx x zlepšování xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
1.2. Xxxxxxxx řízení xxxxx
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx a evidence xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx aktiv x xxxxxxxx xxxxxxxxxx, xxxxxxxxx x dostupnosti.
b) Xxxxxxxxxxxx, xxxxxxxxx a evidence xxxxxxxxxx aktiv
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx jejich xxxxxxx,
2. xxxxxx xxxxx xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. xxxxxxx rozlišování xxxxxxxxxxxx xxxxxx xxxxx,
2. pravidla xxx xxxxxxxxxx x xxxxxxxx xxxxx xxxxx xxxxxx xxxxx,
3. přípustné xxxxxxx používání aktiv.
d) Xxxxxxx xxxxxxxxxxxx xxxxxx xxxx xxxxxx technických xxxxxx xxx, informací, xxxxxxxxxx údajů x xxxxxx kopií.
1.3. Politika xxxxxxxxxxx xxxxxxxxxxx
x) Xxxxxx xxxxxxxxxxxxxx rolí x xxxxxx xxxx x xxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostních xxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx bezpečnostních x xxxxxxxxxx rolí.
1.4. Xxxxxxxx xxxxxx xxxxxxxxxx
x) Xxxxxxxx x xxxxxxxx xxx xxxxx xxxxxxxxxx.
x) Xxxxxxxx xxx hodnocení rizik xxxxxxxxxxxxx x xxxxxxxxxx.
x) Xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxx x xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x x xxxxxx xxxxxxxx smluvní xxxxxxxxxxxx.
x) Xxxxxxxx xxx provádění xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx.
1.5. Xxxxxxxx xxxxxxxxxxx xxxxxxxx zdrojů
a) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxx xxxx xxxxxxxxx
1. způsoby x formy poučení xxxxxxxxx,
2. způsoby x xxxxx xxxxxxx garantů xxxxx,
3. xxxxxxx x xxxxx poučení administrátorů,
4. xxxxxxx x formy xxxxxxx osob zastávajících xxxxxxxxxxxx xxxx.
x) Bezpečnostní xxxxxxx nových xxxxxxxxxxx.
x) Xxxxxxxx xxx řešení xxxxxxx xxxxxxxx bezpečnostní xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
d) Xxxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxx nebo xxxxx xxxxxxxx xxxxxx
1. xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx xxxx při xxxxxxxx xxxxxxxxxx xxxxxx,
2. xxxxx přístupových oprávnění xxx xxxxx pracovní xxxxxx.
1.6. Politika xxxxxx xxxxxxx x xxxxxxxxxx
x) Xxxxxxxxx x xxxxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx.
x) Xxxxxxx bezpečného xxxxxxx.
x) Požadavky x xxxxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx provádění xxxxxx xxxxxxxxxxxx bezpečnosti a xxxxxxxxxxxxxx testů.
1.7. Politika xxxxxx xxxxxxxx
x) Xxxxxxx xxxxxxxxxxx oprávnění/potřeba znát (xxxx to xxxx).
x) Xxxxxxxxx na xxxxxx xxxxxxxx.
x) Xxxxxxx cyklus xxxxxx xxxxxxxx.
x) Xxxxxx xxxxxxxxxxxxxxx oprávnění.
e) Xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxxx.
x) Pravidelné xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx včetně xxxxxxxxx jednotlivých xxxxxxxxx x xxxxxxxxxxxx skupinách.
1.8. Xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxx
x) Pravidla xxx xxxxxxxx nakládání s xxxxxx.
x) Xxxxxxxx použití xxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxx x xxxxxxxx xx xxxxxxxx.
x) Bezpečný vzdálený xxxxxxx.
x) Xxxxxxxx xxxxxxx xx xxxxxxxxxx sítích.
f) Xxxxxxxxxx ve xxxxxx x xxxxxxxx zařízením.
1.9. Xxxxxxxx xxxxxxxxxx a xxxxxx x xxxxxxxxxxxx xxxxxxxx
x) Požadavky xx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxxxxx xxxxxxxxxx x dlouhodobého xxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx přístupu x xxxxxxx, ukládaným xxxxxxxxxx.
1.10. Xxxxxxxx xxxxxxxxxx předávání x xxxxxx informací
a) Xxxxxxxx x postupy xxx xxxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Způsoby ochrany xxxxxxxxxxxx xxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx.
1.11. Politika xxxxxx xxxxxxxxxxx zranitelností
a) Xxxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxx vybavení.
b) Xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx vybavení.
d) Pravidla x xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
1.12. Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx zařízení
a) Xxxxxxxx x postupy xxx xxxxxxxx xxxxxxxxx mobilních xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx osoba nemá xx své xxxxxx.
1.13. Xxxxxxxx xxxxxxxx, vývoje x xxxxxx
x) Xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx, xxxxx a xxxxxx.
x) Xxxxxx zranitelností.
c) Xxxxxxxx xxxxxxxxxxx x nabývání xxxxxxx xxxxxxxxxxxx vybavení x xxxxxxxxx
1. xxxxxxxx x xxxxxxx nasazení xxxxxxxxxxxx xxxxxxxx a xxxx xxxxxxxx,
2. pravidla x xxxxxxx pro xxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxx.
1.14. Politika xxxxxxx xxxxxxxx xxxxx
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxx.
x) Xxxxx přijatých a xxxxxxxxxxx organizačních opatření xxx ochranu xxxxxxxx xxxxx.
x) Popis xxxxxxxxx x xxxxxxxxxxx technických xxxxxxxx xxx xxxxxxx xxxxxxxx xxxxx.
1.15. Xxxxxxxx xxxxxxx bezpečnosti
a) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Xxxxxxxx pro xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx xxx xxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxx.
1.16. Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxx.
x) Xxxxxx xxxx a xxxxxxxxxx xx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxxxx x xxxxx xxxx.
x) Pravidla x postupy xxx xxxxxxx vzdáleného xxxxxxxx x xxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx sítě x xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
1.17. Xxxxxxxx ochrany před xxxxxxxxx xxxxx
x) Xxxxxxxx x postupy xxx xxxxxxx síťové komunikace.
b) Xxxxxxxx x xxxxxxx xxx xxxxxxx xxxxxxx x xxxxxxxxx datových xxxxxxx.
x) Pravidla x xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxx.
1.18. Xxxxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí
a) Xxxxxxxx x postupy xxxxxxxx nástroje xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Provozní xxxxxxx xxx xxxxxxxxxxxxx x xxxxxxxxx na detekované xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx nastavení xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx.
1.19. Xxxxxxxx xxxxxxx x xxxxxx xxxxxxxx pro xxxx a vyhodnocení xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxx x postupy xxx xxxxxxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx aktualizace xxxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí.
c) Xxxxxxxx a xxxxxxx xxx optimální xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx nástroje xxx xxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
1.20. Politika xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxx
x) Xxxxxx xxxxxxx x xxxxxxx na typ x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Pravidla xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx xxxxxxx xx xxxxxxxxxxxxx xxxxxx,
2. xxx xxxxxxx xx mobilní zařízení xxxx xxxxxxxxxxx technický xxxxx xxx.
x) Xxxxxx xxxxxx xxxxx.
1.21. Xxxxxxxx xxxxxx xxxx
x) Xxxxxx x principy xxxxxx xxxxxxxxxx xxxx v xxxxx xxxxxxx xxxxx, xxxxxx xxxxxxxxx, xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxxxxxxx dopadů xxxxxxxxxx xxxx.
x) Způsob xxxxxx xxxxxxxx a testování xxxxxxxxxx xxxx.
1.22. Xxxxxxxx xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
x) Xxxxxxxxxx kategorií xxxxxxxxxxxxxx bezpečnostního xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx testování systému xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro vyhodnocení xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx x xxx zlepšování xxxxxxxxxxxx xxxxxxxxxxx.
x) Evidence xxxxxxxxx.
1.23. Xxxxxxxx xxxxxx xxxxxxxxxx činností
a) Xxxxx x xxxxxxxxxx zúčastněných xxxx.
x) Xxxx řízení xxxxxxxxxx xxxxxxxx
1. xxxxxxxxx xxxxxx poskytovaných xxxxxx,
2. xxxx xxxxxxxx xxxxx,
3. xxx xxxxxxxx xxx.
x) Xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxx xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxx dopadů kybernetických xxxxxxxxxxxxxx xxxxxxxxx xx xxxxxxxxxx a xxxxxxxxxx xxxxxxxxxxxxx xxxxx.
x) Xxxxxx x xxxxx xxxxxxxxxx xxxxx xxxxxxxxxx x xxxxxxxxxxx plánů.
f) Xxxxxxx xxx xxxxxxxxx opatření xxxxxxxx Xxxxxx.
2. Xxxxx xxxxxxxxxxxx xxxxxxxxxxx
2.1. Xxxxxx x xxxxxx kybernetické xxxxxxxxxxx
x) Xxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx a osob, xxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx.
x) Xxxxx x xxxxx, xxx byly xxxxxxxxx xxxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Zjištění x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
2.2. Xxxxxx x xxxxxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx
x) Xxxxxxxxxxx opatření x xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxxxxxx xxxx x xxxxxxxxx, které xxxxx xxx vliv xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Zpětná xxxxx x výkonnosti řízení xxxxxxxxxxx xxxxxxxxx
1. xxxxxxx x xxxxxxxx xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx x xxxxxx,
3. xxxxxxxx xxxxxx,
4. xxxxxxxx cílů xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxx xxxxx x stav xxxxx xxxxxxxx xxxxx.
x) Xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxxxxxxx.
x) Xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx, xxxxxxxxx opatření x xxxx zajišťujících xxxxx xxxxxxxxxxxx xxxxxxxx.
2.3. Xxxxxxxx xxx identifikaci x xxxxxxxxx xxxxx x xxx hodnocení xxxxx
x) Xxxxxx stupnice xxx xxxxxxxxx primárních xxxxx
1. xxxxxx stupnice xxx xxxxxxxxx úrovní xxxxxxxxxx aktiv,
2. určení xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxxxxx aktiv,
3. xxxxxx stupnice pro xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxx.
x) Určení xxxxxxxx xxx xxxxxxxxx rizik
1. xxxxxx xxxxxxxx pro xxxxxxxxx úrovní xxxxxx,
2. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. xxxxxx xxxxxxxx pro xxxxxxxxx xxxxxx xxxxx.
x) Xxxxxx a xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxxxxx akceptovatelných xxxxx.
2.4. Xxxxxx x xxxxxxxxx xxxxx x xxxxx
x) Xxxxxxx primárních xxxxx
1. identifikace x xxxxx primárních aktiv,
2. xxxxxx garantů xxxxxxxxxx xxxxx,
3. xxxxxxxxx xxxxxxxxxx xxxxx x hlediska xxxxxxxxxx, integrity x xxxxxxxxxxx.
x) Přehled xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx a xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. určení xxxxx xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx.
x) Hodnocení xxxxx
1. posouzení xxxxxxx xxxxxx na aktiva,
2. xxxxxxxxx existujících hrozeb,
3. xxxxxxxxx xxxxxxxxxxxx zranitelností, xxxxxxxxx xxxxxxxxxxxx opatření,
4. xxxxxxxxx xxxxxx xxxxxx, xxxxxxxxx této úrovně x kritérii pro xxxxxxxxxxxxxxxx xxxxx,
5. určení x xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.
x) Xxxxxxxx xxxxx
1. xxxxx xxxxxxx zvládání xxxxx,
2. návrh opatření x xxxxxx xxxxxxxxx.
2.5. Xxxxxxxxxx x aplikovatelnosti
a) Xxxxxxx vyloučených xxxxxxxxxxxxxx xxxxxxxx požadovaných xxxxx xxxxxxxxx včetně xxxxxxxxxx, xxxx nebyla xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx včetně xxxxxxx xxxxxx xxxxxxxxxxxx.
2.6. Xxxx xxxxxxxx xxxxx
x) Xxxxx x xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx včetně xxxxx na konkrétní xxxxxx.
x) Xxxxxxxx xxxxxx xxx jednotlivá xxxxxxxxxxxx xxxxxxxx pro xxxxxxxx xxxxx.
x) Xxxxx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxxxx opatření xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx jednotlivých xxxxxxxxxxxxxx opatření xxx xxxxxxxx rizik.
e) Xxxxxx xxxxxxxxx xxxxxxxxxxxxxx opatření.
f) Xxxxxxx xxxxxxxxx úspěšnosti xxxxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx pro zvládání xxxxx.
2.7. Plán rozvoje xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxx x xxxxxxx xxxxxxx xxxxxxxxx, administrátorů x xxxx xxxxxxxxxxxxx bezpečnostní xxxx.
x) Xxxxx a xxxxxxx xxxxxxx nových xxxxxxxxxxx.
x) Přehledy, xxxxx xxxxxxxx předmět xxxxxxxxxxxx xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx xxxxxxxxxxx.
x) Xxxxx a xxxxxxx hodnocení xxxxx.
2.8. Xxxxxxxx změn
a) Xxxxxxxx xxxxxxxxx xxxxx významných xxxx.
x) Záznamy x xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx.
2.9. Hlášené xxxxxxxxx xxxxx
Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx.
2.10. Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxx x xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxx
x) Xxxxxxx xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxxxx x jiných xxxxxxxx.
x) Přehled xxxxxxxxx xxxxxxx.
2.11. Další doporučená xxxxxxxxxxx
x) Xxxxxxxxx xxxxxxxxxxxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxx.
Příloha x. 6 x xxxxxxxx č. 82/2018 Xx.
Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x bezpečnostní xxxx
Xxxx xxxxxxx xxxxxxxx popis xxxxxxxxxxxx xxxxxxxxx pro xxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti a xxxxxxxxxxxx xxxx uvedené x §6 x 7.
Xxx. 1: Výbor xxx xxxxxx kybernetické xxxxxxxxxxx
|
Xxxx: |
Xxxxx pro xxxxxx xxxxxxxxxxxx bezpečnosti |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxx xxxxxx x rozvoj xxxxxxxxxxxx xxxxxxxxxxx x xxxxx xxxxxxx osoby. |
|
Xxxxx xxxxxxxx: |
x) Xxxx xxxxxx xxx xxxxxx kybernetické xxxxxxxxxxx xxxx xxx alespoň |
Xxx. 2: Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Odpovědnost xx xxxxxx systému xxxxxx bezpečnosti xxxxxxxxx. |
|
Znalosti: |
a) Xxxxx řady XXX/XXX 27000 x xxxxxxx xxxxx x xxxxxxx xxxxxxxxxxx a ICT. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx. |
|
Xxxxxxxx x praxe: |
a) Xxxxxxx 3 xxxx xxxxx v oboru xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, nebo |
|
Relevantní xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxx (CISM), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Xxxxxxx Control (XXXXX), Certified Xxxxxxxxxxx Xxxxxxx Security Xxxxxxxxxxxx (XXXXX), Xxxxxxx XX (xxxxxxxxxxx xxxxxx ČIA). |
|
Další xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx x xxxxxx xxxxxxxxxxx xx provoz xxxxxxxxxxxx a komunikačního xxxxxxx x s xxxxxxx xxxxxxxxxx xx xxxxxxxx xxxxxx. |
Xxx. 3: Architekt xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx kybernetické xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Odpovědnost za xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxxxx. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx x praxe: |
a) Xxxxxxx 3 roky xxxxx v xxxxx xxxxxxxxxx nebo kybernetické xxxxxxxxxxx, xxxx |
|
Relevantní xxxxxxxxxxx*: |
Xxxxxxxxx Ethical Xxxxxx (XXX), XxxxXXX Security +, Certified Xxxxxxxxxxx Xxxxxxxx Manager (XXXX), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Security Xxxxxxxxxxxx (CISSP), Xxxxxxx XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
Xxxx xxxx xxxxxxxxxx x xxxxxx xxxxxxxxxxx xx provoz xxxxxxxxxxxx a komunikačních xxxxxxx. |
Xxx. 4: Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
Xxxxxxxxx auditu xxxxxxxxxxxx bezpečnosti. |
|
Znalosti: |
a) Xxxxxxxxxxx x xxxxx xxxxxx xxxxxxxxxx bezpečnosti. |
|
Zkušenosti: |
a) Plánování xxxxxx informační xxxx xxxxxxxxxxxx bezpečnosti. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx x oblasti xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Relevantní xxxxxxxxxxx*: |
Xxxxxxxxx Xxxxxxxxxxx Systems Auditor (XXXX), Xxxxxxxxx Xxxxxxxx Xxxxxxx (XXX), Certified xx Xxxx xxx Xxxxxxxxxxx Systems Xxxxxxx (XXXXX), Xxxx Auditor Xxxxxxxxxxx Security Xxxxxxxxxx Xxxxxx (Lead Auditor XXXX), Xxxxxxx XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx x xxxxxx |
Xxx. 5: Xxxxxx xxxxxx
|
Xxxx: |
Xxxxxx aktiva |
|
Klíčové xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxxxx rozvoje, xxxxxxx x xxxxxxxxxxx xxxxxx. |
|
Xxxxxxxx: |
x) Dobrá znalost xxxxxx, xxxxx xx xxxxxxxx. |
* Xxxxxxxxxxx může být x jiná xxx xxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx odbornou xxxxxxxxxxx xxxxxxxxxxxxxx xxxx xxxxxxx xxxxxxxxx ISO 17 024.
Xxxxxxx x. 7 x vyhlášce x. 82/2018 Sb.
Řízení xxxxxxxxxx - bezpečnostní xxxxxxxx xxx xxxxxxx vztahy
Obsah xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx:
x) xxxxxxxxxx x xxxxxxxxxxx xxxxxxxxx (x xxxxxxx xxxxxxxxxx, xxxxxxxxxxx a xxxxxxxxx),
x) xxxxxxxxxx x oprávnění xxxxxx xxxx,
x) ustanovení x xxxxxxxxx xxxxxxxxxxxx xxxx, xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxx x xxxxxx dodavatele (xxxxxxxx xxxxxxxxxxxx auditu),
e) xxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxxxxx, xxxxxxx xxxx xxx xxxxxxxxx, xx xxxxxxxxxxxxx xx xxxxxx xxxxxxxxx x xxxxx xxxxxxx xxxxxxxx mezi xxxxxxxx xxxxxx a xxxxxxxxxxx x nebudou v xxxxxxx s xxxxxxxxx xxxxxxx osoby xx xxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx dodržovat xxxxxxxxxxxx politiky xxxxxxx xxxxx xxxx xxxxxxxxxx x odsouhlasení xxxxxxxxxxxxxx xxxxxxx dodavatele xxxxxxxx xxxxxx,
x) xxxxxxxxxx x xxxxxx xxxx,
x) ustanovení x xxxxxxx smluv x xxxxxx xxxxxxxxx xxxxxxxx předpisy,
i) ustanovení x povinnosti dodavatele xxxxxxxxxx xxxxxxxx osobu x
1. xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxx,
2. způsobu xxxxxx xxxxx xx xxxxxx dodavatele x x zbytkových rizicích xxxxxxxxxxxxx x xxxxxxx xxxxxxx,
3. významné xxxxx xxxxxxxx xxxxxx dodavatele xxxxx xxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxx xxxxx xxxxxxxxxxx zásadních xxxxx, xxxxxxxxx xxxxx xxxxxxxxx nakládat s xxxxxx xxxxxx, xxxxxxxxxxx xxxxx xxxxxxxxxxx x xxxxxx podle xxxxxxx xx xxxxxxxx,
x) specifikace xxxxxxxx x xxxxxxx xxxxxxxxxxx při xxxxxxxx xxxxxxx (xxxxxxxxx přechodné xxxxxx xxx xxxxxxxx xxxxxxxxxx, xxx xx xxxxx xxxxx xxxxxxxx xxxxxx xxxx xxxxxxxxx xxxxxx xxxxxx, xxxxxxx xxx a podobně),
k) xxxxxxxxxxx podmínek xxx xxxxxx kontinuity xxxxxxxx x xxxxxxxxxxx x xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxxx do xxxxxxxxxxx xxxxx, xxxxx xxxxxxxxxx xxx xxxxxxxx řízení xxxxxxxxxx činností),
l) xxxxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxx xxx, xxxxxxxxxx xxxxx a informací xx xxxxxxxx správcem,
m) xxxxxxxx pro xxxxxxxxx xxx,
x) ustanovení x xxxxx xxxxxxxxxxxx xxxxxxxxx xx xxxxxxx v xxxxxxx xxxxxxxx xxxxx xxxxxxxx xxx dodavatelem xxxx xxxxx xxxxxxxx xxx xxxxxxxxx aktivy xxxxxxxxxxx dodavatelem k xxxxxx xxxxx xxxxxxx x
x) xxxxxxxxxx x xxxxxxxx xx porušení xxxxxxxxxx.
Příloha x. 8 x vyhlášce x. 82/2018 Xx.
Xxxx Xxxxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxx
Informace
Právní předpis x. 82/2018 Xx. xxxxx xxxxxxxxx xxxx 28.5.2018.
Xx xxx xxxxxxxx právní xxxxxxx xxxxx měněn xx xxxxxxxxx.
Xxxxx xxxxxxxxxxxx xxxxxxxx xxxxx jiných xxxxxxxx xxxxxxxx x xxxxxxxx xxxx aktualizováno, xxxxx xx xxxx xxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxxxx právního xxxxxxxx.
1) Xxxxxxxx Xxxxxxxxxx xxxxxxxxxx x Xxxx (XX) 2016/1148 ze xxx 6. července 2016 o xxxxxxxxxx x xxxxxxxxx vysoké xxxxxxxx úrovně xxxxxxxxxxx xxxx x informačních xxxxxxx x Xxxx.