Právní předpis byl sestaven k datu 28.05.2018.
Zobrazené znění právního předpisu je účinné od 28.05.2018.
Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat (vyhláška o kybernetické bezpečnosti)
82/2018 Sb.
ČÁST PRVNÍ - ÚVODNÍ USTANOVENÍ
Předmět úpravy §1
Vymezení pojmů §2
ČÁST DRUHÁ - BEZPEČNOSTNÍ OPATŘENÍ
HLAVA I - ORGANIZAČNÍ OPATŘENÍ
Systém řízení bezpečnosti informací §3
Řízení aktiv §4
Řízení rizik §5
Organizační bezpečnost §6
Bezpečnostní role §7
Řízení dodavatelů §8
Bezpečnost lidských zdrojů §9
Řízení provozu a komunikací §10
Řízení změn §11
Řízení přístupu §12
Akvizice, vývoj a údržba §13
Zvládání kybernetických bezpečnostních událostí a incidentů §14
Řízení kontinuity činností §15
Audit kybernetické bezpečnosti §16
HLAVA II - TECHNICKÁ OPATŘENÍ
Fyzická bezpečnost §17
Bezpečnost komunikačních sítí §18
Správa a ověřování identit §19
Řízení přístupových oprávnění §20
Ochrana před škodlivým kódem §21
Zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů §22
Detekce kybernetických bezpečnostních událostí §23
Sběr a vyhodnocování kybernetických bezpečnostních událostí §24
Aplikační bezpečnost §25
Kryptografické prostředky §26
Zajišťování úrovně dostupnosti informací §27
Průmyslové, řídicí a obdobné specifické systémy §28
Digitální služby §29
HLAVA III - BEZPEČNOSTNÍ POLITIKA A BEZPEČNOSTNÍ DOKUMENTACE
Bezpečnostní politika a bezpečnostní dokumentace §30
ČÁST TŘETÍ - KYBERNETICKÝ BEZPEČNOSTNÍ INCIDENT
Kategorizace kybernetických bezpečnostních incidentů §31
Forma a náležitosti hlášení kybernetických bezpečnostních incidentů §32
ČÁST ČTVRTÁ - REAKTIVNÍ OPATŘENÍ A KONTAKTNÍ ÚDAJE
Reaktivní opatření §33
Kontaktní údaje §34
ČÁST PÁTÁ - ZÁVĚREČNÁ USTANOVENÍ
Přechodná ustanovení §35
Zrušovací ustanovení §36
Účinnost §37
Příloha č. 1 - Hodnocení aktiv
Příloha č. 2 - Hodnocení rizik
Příloha č. 3 - Zranitelnosti a hrozby
Příloha č. 4 - Likvidace dat
Příloha č. 5 - Obsah bezpečnostní politiky a bezpečnostní dokumentace
Příloha č. 6 - Výbor pro řízení kybernetické bezpečnosti a bezpečnostní role
Příloha č. 7 - Řízení dodavatelů - bezpečnostní opatření pro smluvní vztahy
Příloha č. 8 - Vzor Formuláře pro hlášení kontaktních údajů
82
XXXXXXXX
xx dne 21. xxxxxx 2018
o bezpečnostních xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, reaktivních opatřeních, xxxxxxxxxxxxx xxxxxx x xxxxxxx kybernetické xxxxxxxxxxx x likvidaci xxx (xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx)
Xxxxxxx úřad pro xxxxxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxx xxxxx §28 xxxx. 2 xxxx. a) až x) x f) xxxxxx x. 181/2014 Xx., x kybernetické xxxxxxxxxxx a o xxxxx xxxxxxxxxxxxx xxxxxx (xxxxx o xxxxxxxxxxxx xxxxxxxxxxx), ve xxxxx xxxxxx x. 104/2017 Xx. a zákona x. 205/2017 Sb., (xxxx xxx "zákon"):
ČÁST PRVNÍ
ÚVODNÍ XXXXXXXXXX
§1
Xxxxxxx xxxxxx
Xxxx xxxxxxxx zapracovává xxxxxxxxx xxxxxxx Evropské xxxx1) a xxx xxxxxxxxxx systém xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxx informační xxxxxx, xxxxxxxxxx xxxxxx xxxxxxxx xxxxxx xxxxx xxxxxxxxxx systém xxxx xxx elektronických komunikací, xxxxx využívá xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, (xxxx xxx "informační a xxxxxxxxxxx xxxxxx") xxxxxxxx
x) xxxxx a xxxxxxxxx xxxxxxxxxxxx dokumentace,
b) xxxxx x rozsah bezpečnostních xxxxxxxx,
x) xxxx, xxxxxxxxx x xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
d) xxxxxxxxxxx a způsob xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx x provedení xxxxxxxxxxx xxxxxxxx x xxxx xxxxxxxx,
x) xxxx xxxxxxxx xxxxxxxxxxx údajů x xxxx formu x
x) xxxxxx xxxxxxxxx dat, xxxxxxxxxx údajů, xxxxxxxxx x xxxxxx kopií.
§2
Xxxxxxxx pojmů
Pro účely xxxx xxxxxxxx xx xxxxxx
x) administrátorem xxxxx xxxxxxxxxxx xxxxxx, provoz, xxxxxxx, xxxxxx x xxxxxxxxxx technického aktiva,
b) xxxxxxxxxxxxxxx rizikem xxxxxx, xxxxx xx přijatelné xxx xxxxx xxxx xxxxx, xxxxx jsou xxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx podle xxxxxx, (xxxx xxx "povinná xxxxx") a není xxxxx jej xxxxxxx xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxxxxx politikou xxxxxx xxxxx x xxxxxxxx, které určují xxxxxx xxxxxxxxx ochrany xxxxx,
x) xxxxxxxxxx rizik xxxxxxx xxxxxx identifikace, xxxxxxx x xxxxxxxxxxx xxxxx,
x) hrozbou xxxxxxxxxxx xxxxxxx kybernetické xxxxxxxxxxxx xxxxxxxx xxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx, která xxxx xxxxxxxx xxxxx,
x) xxxxxxxxx aktivem xxxxxxxxx xxxxxxx, zaměstnanci x xxxxxxxxxx podílející xx xx xxxxxxx, xxxxxxx, xxxxxx nebo bezpečnosti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxx xxxxxxx xxxxxxxxx xxxx služba, xxxxxx zpracovává xxxx xxxxxxxxx xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxx, že xxxxxx xxxxxx využije xxxxxxxxxxxxx xxxxxx x xxxxxxx xxxxx,
x) xxxxxxx xxxxx xxxxxxx xxxxxxxxxx hodnocení xxxxx, xxxxx a xxxxxxxx opatření xx xxxxxxxx xxxxx, xxxxxxx xxxxxxxxx x xxxxxx x xxxxxxxxx a xxxxxxxxxxx rizik,
j) xxxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxx xxxxxxx řízení xxxxxxx xxxxx xxxxxxxx xx xxxxxxxx x xxxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx, která xxxxxxx způsob xxxxxxxx, xxxxxxxx, provozování, xxxxxxxxxxxx, xxxxxxxxxxx, xxxxxxxxx x xxxxxxxxxx xxxxxxxxxxx xxxxxxxxx x xxx,
x) xxxxxxxxxx xxxxxxx takové xxxxxxxxx xxxxxxxx, xxxxxxxxxxx prostředky x programové vybavení xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x xxxxxxx, xx xxxxxxx jsou xxxx systémy umístěny, xxxxxxx xxxxxxx může xxx dopad xx xxxxxxxxxx x xxxxxxxxxxx xxxxxx,
x) uživatelem xxxxxxx xxxx právnická osoba xxxxx orgán xxxxxxx xxxx, které xxxxxxxxx xxxxxx,
x) xxxxxxxxxx vedením xxxxx xxxx xxxxxxx xxxx, které xxxx xxxxxxxx xxxxx, nebo xxxxxxxxxx xxxxx xxxxxxx xxxxx,
x) xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx informačního nebo xxxxxxxxxxxxx systému (xxxx xxx "xxxxxxxxxxxx") x xxxxx, xxx x xxxxxxxx osobou xxxxxxxx xx právního vztahu, xxxxx je xxxxxxxx x xxxxxxxx bezpečnosti xxxxxxxxxxxx x komunikačního xxxxxxx,
x) xxxxxxxxx xxxxxx xxxxx, která xx xxxx xxxx mít xxxx xx xxxxxxxxxxxxx xxxxxxxxxx x představuje xxxxxx xxxxxx,
x) zranitelností xxxxx xxxxx aktiva xxxx xxxxx xxxxx xxxxxxxxxxxxxx opatření, xxxxx xxxx xxx xxxxxxxx xxxxxx xxxx více xxxxxxxx.
ČÁST XXXXX
XXXXXXXXXXXX OPATŘENÍ
HLAVA X
XXXXXXXXXXX XXXXXXXX
§3
Xxxxxx řízení xxxxxxxxxxx informací
Povinná xxxxx x xxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací
a) xxxxxxx x xxxxxxx xx xxxxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxx xxxxxxxxxx rozsah xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xx xxxxxx xxxx xxxxxxxxxxx xxxxx x xxxxxx, xxxxx xx xxxxxx řízení xxxxxxxxxxx xxxxxxxxx týká,
b) stanoví xxxx xxxxxxx řízení xxxxxxxxxxx informací,
c) xxx xxxxxxxxx rozsah xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx xx xxxxxxx xxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxxxx x xxxxxxxxx xxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) řídí xxxxxx xxxxx §5,
x) xxxxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxx v oblasti xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx, xxxxx obsahuje xxxxxx xxxxxx, xxxx, xxxxxxxxxxxx xxxxxxx, xxxxx x xxxxxxxxxx ve xxxxxx x řízení xxxxxxxxxxx xxxxxxxxx, a xx základě xxxxxxxxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxx rizik stanoví xxxxxxxxxxxx politiku x xxxxxxx oblastech xxxxx §30 x xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx x komunikačního xxxxxxx (xxxx jen "xxxxx xxxxxxxxxxxx bezpečnosti") xxxxx §16,
g) zajistí xxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx, xxxxx xxxxxxxx xxxxxxxxx stavu xxxxxxx xxxxxx xxxxxxxxxxx informací xxxxxx revize hodnocení xxxxx, xxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx a dopadů xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx systém xxxxxx xxxxxxxxxxx informací,
h) xxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxx §11 xxxx xxxxxxxx změny, xxxxx xxxxx xx xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxxxx systém xxxxxx bezpečnosti informací x xxxxxxxxxx xxxxxxxxxxx xx základě xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxx vyhodnocení xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx a x xxxxxxxxxxx x prováděnými xxxxxxxxxx xxxxxxx x
x) xxxx xxxxxx x xxxxxx systému xxxxxx xxxxxxxxxxx informací x xxxxxxxxxxx xxxxxxxx xxxxxxx xx systémem řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxx rizik.
§4
Xxxxxx aktiv
(1) Povinná xxxxx v xxxxx xxxxxx xxxxx
x) xxxxxxx xxxxxxxx xxx identifikaci xxxxx,
x) stanoví metodiku xxx hodnocení xxxxx xxxxxxx x xxxxxxx xxxxxxxx x příloze č. 1 x xxxx vyhlášce,
c) xxxxxxxxxxxx a xxxxxxx xxxxxx,
x) určí a xxxxxxx xxxxxxx aktiv,
e) xxxxxxx x xxxxxxx xxxxxxxx xxxxxx x xxxxxxxx xxxxxxxxxx, integrity x xxxxxxxxxxx a xxxxxx je xx xxxxxxxxxxxx xxxxxx xxxxx xxxxxxx x),
x) xxxx x xxxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxx xxxxxx x xxxxxxx důsledky xxxxxxxxxx xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx,
x) xxxxxxx xxxxxxxx aktiva x xxxxxxxxxx přitom xxxxxxx xxxxxxxx xxxxxxxxxx xxxxx xxxxxxx x),
x) xx xxxxxxx hodnocení xxxxx xxxxxxxxx x zavádí xxxxxxxx xxxxxxx xxxxx xxx zabezpečení xxxxxxxxxxxx xxxxxx xxxxx,
x) xxxxxxx xxxxxxxxx způsoby xxxxxxxxx xxxxx x pravidla xxx xxxxxxxxxx x xxxxxx x xxxxxxx xx úroveň xxxxx, xxxxxx xxxxxxxx xxx xxxxxxxx elektronické xxxxxxx x xxxxxxx xxxxxxxxx xxxxx, x
x) určí xxxxxx likvidace xxx, xxxxxxxxxx údajů, informací x xxxxxx kopií xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxx x xxxxxxx na xxxxxx xxxxx x xxxxxxx x přílohou č. 4 x xxxx xxxxxxxx.
(2) Xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx je xxxxx xxxxxxxx xxxxxxx
x) xxxxxx x xxxxxxxxxx xxxxxxxx xxxxx, xxxxxxxxxx xxxxxxxxx xxxxxxxx xxxxx nebo xxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxx právních xxxxxxxxxx xxxx xxxxxx závazků,
c) xxxxxx xxxxxxxx vnitřních xxxxxxxx a xxxxxxxxxxx xxxxxxxx,
x) xxxxxxxxx xxxxxxxxx, xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxx x xxxxx xxxxxxxx xxxxxx,
x) xxxxxx xx poskytování xxxxxxxxxx xxxxxx,
x) xxxxxx xxxxxxxx xxxxxxx činností,
g) xxxxxx xx zachování xxxxxxx xxxxx xxxx ochranu xxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxx a xxxxxx xxxx,
x) xxxxxx xx mezinárodní xxxxxx x
x) xxxxxx na xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
§5
Xxxxxx rizik
(1) Xxxxxxx xxxxx x xxxxx xxxxxx xxxxx v xxxxxxxxxx xx §4
a) xxxxxxx xxxxxxxx xxx xxxxxxxxx rizik, včetně xxxxxxxxx kritérií xxx xxxxxxxxxxxxxxxx xxxxx,
x) x xxxxxxx xx xxxxxx xxxxxxxxxxxx xxxxxxxxxx hrozby x xxxxxxxxxxxxx; přitom xxxxxxx xxxxxxx kategorie xxxxxx x xxxxxxxxxxxxx xxxxxxxxx v příloze č. 3 x xxxx xxxxxxxx,
x) xxxxxxx hodnocení rizik x xxxxxxxxxxxx intervalech xxxxx odstavce 2 x při xxxxxxxxxx xxxxxxx,
x) xxx xxxxxxxxx xxxxx zohlední xxxxxxxxxx xxxxxx a zranitelnosti x xxxxxxx možné xxxxxx na aktiva; xxxx xxxxxx xxxxxxx xxxxxxx x rozsahu přílohy č. 2 x xxxx xxxxxxxx,
x) zpracuje xxxxxx x xxxxxxxxx rizik,
f) xxxxxxxx xx xxxxxxx xxxxxxxxxxxxxx xxxxxx a xxxxxxxx xxxxxxxxx rizik xxxxxxxxxx x xxxxxxxxxxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx vyhláškou, xxxxx
1. xxxxxx xxxxxxxxxx, včetně xxxxxxxxxx,
2. byla xxxxxxxxxx, xxxxxx způsobu xxxxxx,
x) xxxxxxxx x zavede xxxx xxxxxxxx xxxxx, xxxxx xxxxxxxx xxxx x přínosy bezpečnostních xxxxxxxx xxx xxxxxxxx xxxxxxxxxxxx xxxxx, xxxxxx xxxxx xxxxxxxxxxx prosazování xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx rizik, xxxxxxxx xxxxxxxx, technické, xxxxxx x informační xxxxxx, xxxxxx jejich xxxxxxxx, xxxxx vazeb xxxx xxxxxx x xxxxxxxxxxx xxxxxxxxxxxxxx opatřeními x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx,
x) při xxxxxxxxx xxxxx x v xxxxx xxxxxxxx xxxxx xxxxxxxx
1. xxxxxxxx xxxxx,
2. xxxxx rozsahu xxxxxxx xxxxxx xxxxxxxxxxx informací,
3. xxxxxxxx xxxxx §11 xxxxxx a
4. xxxxxxxxxxxx xxxxxxxxxxxx incidenty, včetně xxxxx řešených, x
x) x souladu x xxxxxx xxxxxxxx xxxxx xxxxxx xxxxxxxxxxxx opatření.
(2) Xxxxxxx xxxxx uvedená x §3 písm. x), d) x x) xxxxxx xxxxxxx xxxxxxxxx xxxxx alespoň xxxxxx xxxxx x xxxxxxx osoba xxxxxxx x §3 xxxx. x) zákona xxxxxxx xxxxxx za tři xxxx.
(3) Xxxxxx xxxxx xxxx xxx zajištěno x xxxxxx xxxxxxx, xxx xxx je xxxxxxxxx x odstavci 1 písm. x), xxxxx povinná xxxxx xxxxxxxxx, že použitá xxxxxxxx xxxxxxx xxxxxxx xxxx xxxxx xxxxxx xxxxxxx xxxxxx xxxxx.
§6
Xxxxxxxxxxx bezpečnost
(1) Xxxxxxx xxxxx x ohledem xx xxxxxx xxxxxx xxxxxxxxxxx informací
a) xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx x cílů systému xxxxxx xxxxxxxxxxx informací xxxxx §3 xxxxxxxxxxxx xx xxxxxxxxxxxx směřováním xxxxxxx osoby,
b) xxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací xx xxxxxxx povinné xxxxx,
x) xxxxxxx xxxxxxxxxx xxxxxx xxxxxxxxxx xxx systém xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxx zaměstnance x xxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx a xxxxxxx dosažení xxxxx x jeho požadavky xx xxxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxx xxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx,
x) vede xxxxxxxxxxx k rozvíjení xxxxxxxxxx systému řízení xxxxxxxxxxx xxxxxxxxx x xxxxxxxxx xx xxx xxxxx xxxxxxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx,
x) xxxxxxxxx xxxxx zastávající xxxxxxxxxxxx xxxx při xxxxxxxxxxx kybernetické xxxxxxxxxxx x xxxxxxxxx jejich xxxxxxxxxxxx,
x) xxxxxxx stanovení xxxxxxxx pro určení xxxxxxxxxxxxxx x xxxx, xxxxx budou zastávat xxxxxxxxxxxx role,
j) zajistí, xxx xxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxx xxxxx xxxxxxxxxxx bezpečnostní xxxx xxxxxxx příslušné xxxxxxxxx x zdroje xxxxxx xxxxxxxxxxxx xxxxxxxxxx k xxxxxxxxxx xxxxxx rolí x xxxxxx xxxxxxxxxxxxx xxxxx x
x) xxxxxxx xxxxxxxxx plánů kontinuity xxxxxxxx, xxxxxx x xxxxxxx xxxxxxxxx se xxxxxxxxx kybernetických bezpečnostních xxxxxxxxx.
(2) Xxxxxxx xxxxx x rámci xxxxxxx xxxxxx xxxxxxxxxxx informací xxxx xxxxxxx xxxxxx xxx řízení xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxx a xxxxxx xxxxx x povinnosti xxxxxxxxxxx se xxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) a x) zákona xxxx xxxxx, xxxxx bude xxxxxxxx bezpečnostní xxxx
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxx x
x) xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(4) Xxxxxxx xxxxx uvedená x §3 xxxx. x) zákona určí xxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x garanta xxxxxx. Xxxxxxx xxxxxxxxxxxx xxxx xxxxx xxxxxxxx 3 xxxx přiměřeně xxxxxxxx x xxxxxxx x xxxxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx.
(5) Xxxxxxx osoba uvedená x §3 xxxx. x), d) a x) xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxx xxxxxxxxx x xxxxxxxx 3 xxxx. x) x x).
(6) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. e) xxxxxx zajistí xxxxxxxxxxxxxx xxxxxxxxxxxx role xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
(7) Výbor xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxx a odbornou xxxxxxxxxxxx xxx xxxxxxx xxxxxx x xxxxxx xxxxxxx řízení bezpečnosti xxxxxxxxx x xxxxxxx xxxxxxxx se xxxxxxxxxxxx xx xxxxxx a xxxxxxxxxx xxxxxxxx spojených x xxxxxxxxxxxxx xxxxxxxxxxx, xxxxx xxxxxx musí xxx xxxxxxx xxxxx xxxxxxxx xxxxxxxxxxx vedení xxxx xxx xxxxxxxx xxxxx x manažer xxxxxxxxxxxx xxxxxxxxxxx. Xxxxxxx xxxxx u xxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx přihlédne k xxxxxxxxxxx xxxxxxxx x příloze č. 6 x této xxxxxxxx.
§7
Bezpečnostní role
(1) Manažer xxxxxxxxxxxx bezpečnosti
a) je xxxxxxxxxxxx xxxx odpovědná xx systém řízení xxxxxxxxxxx xxxxxxxxx, xxxxxxx xxxxxxx xxxx xxxx xxxx být pověřena xxxxx, která je xxx xxxx činnost xxxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx x xxxxxxx bezpečnosti xxxxxxxxx
1. xx xxxx xxxxxxx xxx xxx, nebo
2. xx xxxx jednoho xxxx, pokud xxxxxxxxxxx xxxxxxx xx vysoké xxxxx,
x) xxxxxxxx xx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxxxx o
1. xxxxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxx xxxxxxxxxxxx x
2. xxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx x
x) xxxxx být xxxxxxx xxxxxxx xxxx xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx.
(2) Xxxxxxxxx kybernetické bezpečnosti xx xxxxxxxxxxxx role xxxxxxxxx xx zajištění xxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx xxx, xxx xxxx xxxxxxxxx xxxxxxxx xxxxxxxxxxxx informačního a xxxxxxxxxxxxx xxxxxxx, xxxxxxx xxxxxxx této role xxxx xxx pověřena xxxxx, xxxxx xx xxx tuto xxxxxxx xxxxxxxxx a xxxxxxx xxxxxxxx xxxxxxxxxxx praxí x xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxx xxxxxxx xxx xxx, nebo
b) xx xxxx xxxxxxx xxxx, pokud absolvovala xxxxxxx xx vysoké xxxxx.
(3) Xxxxxx aktiva xx bezpečnostní xxxx xxxxxxxxx xx zajištění xxxxxxx, xxxxxxx a xxxxxxxxxx aktiva.
(4) Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xx xxxxxxxxxxxx xxxx xxxxxxxxx xx provádění xxxxxx xxxxxxxxxxxx xxxxxxxxxxx, přičemž xxxxxxx této xxxx xxxx xxx pověřena xxxxx, xxxxx xx xxx xxxx xxxxxxx xxxxxxxxx x prokáže xxxxxxxx xxxxxxxxxxx praxí x xxxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxx systému xxxxxx xxxxxxxxxxx xxxxxxxxx
1. xx xxxx nejméně xxx xxx, xxxx
2. xx xxxx jednoho xxxx, xxxxx xxxxxxxxxxx studium xx xxxxxx škole,
b) xxxxxxxx, xx provedení xxxxxx xxxxxxxxxxxx xxxxxxxxxxx xx nestranné, x
x) xxxxx být xxxxxxx xxxxxxx xxxxxx bezpečnostních xxxx.
(5) Povinná osoba xxx xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxx x doporučením xxxxxxxx x příloze č. 6 x xxxx xxxxxxxx.
§8
Xxxxxx dodavatelů
(1) Povinná xxxxx
x) xxxxxxx pravidla xxx xxxxxxxxxx, která xxxxxxxxxx xxxxxxxxx systému xxxxxx bezpečnosti informací,
b) xxxx xxxxxxxx svých xxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxx xxxxxxxxx xxx xxxxxxxx xxxxxxxxxx x xxxxxx evidenci xxxxx xxxxxxx x),
x) seznamuje xxx dodavatele s xxxxxxxx xxxxx písmene x) a xxxxxxxx xxxxxx xxxxxx xxxxxxxx,
x) xxxx rizika spojená x xxxxxxxxxx,
x) x xxxxxxxxxxx x xxxxxxx xxxxx xxxxxxxxx s xxxxxxxxxx dodavateli zajistí, xxx xxxxxxx xxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx relevantní xxxxxxx xxxxxxx x příloze č. 7 x xxxx vyhlášce, x
x) xxxxxxxxxx xxxxxxxxxxx xxxxxx smluv x xxxxxxxxxx dodavateli x xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací.
(2) Xxxxxxx xxxxx u významných xxxxxxxxxx dále
a) v xxxxx xxxxxxxxxx řízení x před uzavřením xxxxxxx xxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx x xxxxxxx předmětu xxxxxxxxxx xxxxxx xxxxxxxxx xxxxx přílohy č. 2 k xxxx xxxxxxxx,
x) x xxxxx xxxxxxxxxxx smluvních xxxxxx xxxxxxx xxxxxxx x xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xx xxxxxxxx x kontrolu xxxxxxxxxxxxxx xxxxxxxx,
x) provádí xxxxxxxxxx xxxxxxxxx xxxxx x xxxxxxxxxxx kontrolu xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxxx plnění xxxxxx xxxxxxxxx xxxxxx xxxx xxxxxx třetí xxxxxx x
x) v xxxxxx xx rizika x xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxx xxxxxx.
(3) Xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx 1 xxxx. x) xxxx
x) xxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx,
x) xxxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxx dodavatele,
d) xxxxxxxxxx x xxxxxxxxxxx, xx xxxxxxxxx je xxx xxxxxxx xxxxxxxxx xxxxxxxxxxx, x xxxxxxxxx xxxx x tom, xx xxxxxxxx dodavatel xx xxxxxxx xxxxxxxxxxxxxx, a
e) xxxxx pravidel xxxxx xxxxxxxx 1 písm. x).
(4) Povinná xxxxx xxxxxxx v §3 xxxx. x) xx x) zákona, xxxxx xx xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxx informována xxxxx xxxxxxxx 1 xxxx. x), xxxxx xxxxxxxxx xxxxx xxxxxx xxxxxxxx x §34.
§9
Xxxxxxxxxx lidských zdrojů
(1) Xxxxxxx osoba x xxxxx xxxxxx bezpečnosti xxxxxxxx zdrojů
a) x xxxxxxx xx xxxx x xxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx xxxxxxx xxxx rozvoje xxxxxxxxxxxxxx povědomí, jehož xxxxx xx xxxxxxxx xxxxxxxxxxxx vzdělávání x xxxxxxxxxx xxxxxxxxxxxxxx povědomí x který xxxxxxxx xxxxx, xxxxx x xxxxxx
1. xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, osob zastávajících xxxxxxxxxxxx role a xxxxxxxxxx o xxxxxx xxxxxxxxxxxx a o xxxxxxxxxxxx politice x
2. xxxxxxxxxx teoretických x xxxxxxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx bezpečnostní xxxx,
x) xxxx xxxxx xxxxxxxxx xx realizaci xxxxxxxxxxxx xxxxxxxx, které xxxx x xxxxx uvedeny,
c) x xxxxxxx s xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx, osob xxxxxxxxxxxxx bezpečnostní xxxx x xxxxxxxxxx x xxxxxx xxxxxxxxxxxx x x xxxxxxxxxxxx xxxxxxxx xxxxxx vstupních a xxxxxxxxxxxx školení,
d) pro xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx x xxxxxxx x plánem xxxxxxx xxxxxxxxxxxxxx povědomí zajistí xxxxxxxxxx odborná xxxxxxx, xxxxxxx vychází x xxxxxxxxxx xxxxxx xxxxxxx xxxxx x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx,
x) v xxxxxxx s plánem xxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx zaměstnanců x xxxxxxx s xxxxxx xxxxxxxx náplní,
f) xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) x xxxxxxx xxxxxxxx xxxxxxxxx xxxxxx x administrátory x xxxxxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx xxxxxxx xxxxxxx xxxxxxxxxxxx,
x) xxxxxxx xxxxxxxx xxxxx xxxxxxx bezpečnostního xxxxxxxx, provedených xxxxxxx x xxxxxxx činností xxxxxxxxx xx xxxxxxxxxxx xxxxxxxxxxxxxx povědomí x
x) xxxx xxxxxxxx a xxxxxxx pro řešení xxxxxxx porušení stanovených xxxxxxxxxxxxxx pravidel xx xxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
(2) Xxxxxxx xxxxx vede o xxxxxxx podle xxxxxxxx 1 xxxxxxxx, které xxxxxxxx xxxxxxx xxxxxxx x xxxxxx xxxx, xxxxx xxxxxxx absolvovaly.
§10
Xxxxxx xxxxxxx a xxxxxxxxxx
(1) Povinná xxxxx x xxxxx xxxxxx xxxxxxx x xxxxxxxxxx xxxxxxxxx bezpečný xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x stanoví xxxxxxxx xxxxxxxx x xxxxxxx, které xxxxxxxx xxxxxxx
x) práva a xxxxxxxxxx xxxxxxxxxxxxxx, xxxxxxxxx x xxxx zastávajících xxxxxxxxxxxx xxxx,
x) xxxxxxx xxx spuštění x xxxxxxxx chodu xxxxxxx, xxx xxxxxxx xxxx xxxxxxxx xxxxx systému xx xxxxxxx x xxx xxxxxxxx chybových xxxxx nebo mimořádných xxxx,
x) xxxxxxx pro xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx xxx ochranu xxxxxxxx x xxxxxxxx o xxxxxx xxxxxxxxxx,
x) xxxxxxxx x xxxxxxx xxx xxxxxxx xxxx škodlivým xxxxx,
x) xxxxxx technických xxxxxxxxxxxxx,
x) spojení xx xxxxxxxxx xxxxx, které xxxx pověřeny xxxxxxx xxxxxxxxx x xxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxx x xxxxxxxxxxx provozních xxxx,
x) postupy xxx xxxxxxxxx, plánování x xxxxxx xxxxxxxx lidských x xxxxxxxxxxx xxxxxx,
x) xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxx x xxx x xxxxxxx xxxxxx xxxxxxxxx xxxxx,
x) xxxxxxxx x xxxxxxx xxx instalaci xxxxxxxxxxx xxxxx,
x) provádění xxxxxxxxxxxx zálohování a xxxxxxxx xxxxxxxxxxxxx provedených xxxxx x
x) pravidla x xxxxxxx pro xxxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx.
(2) Povinná xxxxx x xxxxx řízení xxxxxxx x xxxxxxxxxx xxxxxxxx xxxxxxxx a xxxxxxx stanovené xxxxx xxxxxxxx 1 a xxxx pravidla x xxxxxxx aktualizuje x xxxxxxxxxxx x prováděnými xxxx xxxxxxxxxxx xxxxxxx.
(3) Xxxxxxx xxxxx xxxxxxx xxxxxxxx vývojového, xxxxxxxxxxx x provozního xxxxxxxxx.
§11
Xxxxxx xxxx
(1) Xxxxxxx xxxxx v xxxxx xxxxxx xxxx x xxxxxxxxxxxx a komunikačního xxxxxxx
x) přezkoumává xxxxx xxxxxx xxxx a
b) xxxxxx významné xxxxx.
(2) Xxxxxxx xxxxx x xxxxxxxxxx xxxx
x) xxxxxxxxxxx xxxxxx xxxxxx,
x) provádí xxxxxxx rizik,
c) xxxxxxx xxxxxxxx za xxxxxx xxxxxxx xxxxx xxxxxxxxxxxx xxxxxx spojených x xxxxxxxxxx xxxxxxx,
x) aktualizuje xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxx testování x
x) xxxxxxx xxxxxxx navrácení xx xxxxxxxxx stavu.
(3) Xxxxxxx osoba xxxxxxx x §3 xxxx. x), x) x x) xxxxxx na xxxxxxx výsledků xxxxxxx xxxxx xxxxx odstavce 2 xxxx. x) xxxxxxxxx o xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxxxx; xxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx nebo xxxxxxxxx xxxxxxxxxxxxx, postupuje xxxxx §25 xxxx. 1 x xxxxxxx xx xxxxxxxx nedostatky.
(4) Xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx xx xxxx požadavky xxxxx xxxxxxxx 3 xxxxxxxxx.
§12
Řízení xxxxxxxx
(1) Povinná xxxxx xx xxxxxxx xxxxxxxxxx x xxxxxxxxxxxxxx xxxxxx xxxx přístup x xxxxxxxxxxxx x xxxxxxxxxxxxx systému x xxxxxxx opatření, xxxxx xxxxxx k zajištění xxxxxxx xxxxx, které xxxx xxxxxxxxx pro xxxxxxxxxx podle §19 x 20, x xxxxx xxxxx xx xxxxxxxx xxxxxx údajů xxxxxxxxxxxx xxxxxx.
(2) Povinná xxxxx xxxx x xxxxx xxxxxx xxxxxxxx x informačnímu x xxxxxxxxxxxxx xxxxxxx
x) xxxx xxxxxxx xx xxxxxxx xxxxxx a xxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx xxxxxxxxxxxxxx x xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxxxxxxxx xxxxx a xxxxxxxxx x xxxxxxxxx xxxxxxxxxxxxx,
x) xxxx identifikátory, xxxxxxxxxx xxxxx x xxxxxxxxx xxxxxxxx x xxxxxxxxxxx xxxx,
x) zavádí xxxxxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxxx xxxxxxxx x xxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xxxxxxxxxxxx opatření xxxxxxxx xxx bezpečné používání xxxxxxxxx xxxxxxxx a xxxxxx xxxxxxxxxxx zařízení, xxxxxxxxx i xxxxxxxxxxxx xxxxxxxx xxxxxxx s xxxxxxxx technických zařízení, xxxxx xxxxxxx osoba xxxx xx své xxxxxx,
x) xxxxx xxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxx xx xxxxxx xxxxxxxx nutnou x xxxxxx xxxxxx xxxxx,
x) omezí a xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxx, které xxxxx xxx xxxxxxx překonat xxxxxxxxx xxxx xxxxxxxxx xxxxxxxx,
x) xxxxxxxxx x xxxxxxx přístupová oprávnění x souladu s xxxxxxxxx xxxxxx xxxxxxxx,
x) xxxxxxx pravidelné xxxxxxxxxxx xxxxxxxxx veškerých xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xx xxxxxxxxxxxx xxxxxx x xxxx,
x) xxxxxxx xxxxxxx xxx správu x xxxxxxxxx identity xxxxx §19 a xxxxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxx podle §20,
x) prosazuje, xxx xxxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx informací xxxxxxxxxx xxxxxxxxx xxxxxxx,
x) xxxxxxx xxxxxxxx nebo xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxx pozice xxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx xxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxxxx xxxx xxxxx xxxxxxxxxxxx xxxxxxxxx xxx xxxxxxxx nebo xxxxx smluvního xxxxxx x
x) xxxxxxxxxxx xxxxxxxxxxx x odebírání přístupových xxxxxxxxx.
§13
Xxxxxxxx, xxxxx a xxxxxx
Xxxxxxx xxxxx x xxxxxxxxxxx x xxxxxxxxxx xxxxxxxx, vývojem x xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx
x) řídí xxxxxx podle §5,
b) xxxx xxxxxxxx xxxxx xxxxx §11,
x) xxxxxxx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxx xxxxxxxxxxxx požadavky do xxxxxxxx akvizice, xxxxxx x údržby,
e) xxxxxxx xxxxxxxxxx vývojového x xxxxxxxxxxx xxxxxxxxx a xxxxxxx ochranu xxxxxxxxxxx xxxxxxxxxxx dat,
f) xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxx před xxxxxx xxxxxxxxx xx provozu x
x) xxxx požadavek xxxxx §19 xxxx. 3, je-li xxxxx xxxxxxxxx akvizice xxxx xxxxxx nástroj xxx xxxxxx x xxxxxxxxx xxxxxxxx.
§14
Xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxxx
(1) Xxxxxxx xxxxx v xxxxx zvládání kybernetických xxxxxxxxxxxxxx událostí x xxxxxxxxx
x) xxxxxx proces xxxxxxx x xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxxxxxxx x xxxxxxx xxxxxxx xxx
1. detekci x vyhodnocování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxx x
2. koordinaci x zvládání xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) definuje x xxxxxxxx xxxxxxx xxx xxxxxxxxxxxx, xxxx, xxxxxxx x xxxxxxxx xxxxxxxxxxx podkladů xxxxxxxxxx xxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx,
x) xxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xx xxxx xxxx §22 x 23,
x) xxxxxxx, xx xxxxxxxxx, xxxxxxxxxxxxxx, xxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxx, xxxxx xxxxxxxxxxx a xxxxxxxxxx xxxxx xxxxxxxxx neobvyklé xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x xxxxxxxxx xx jakékoliv xxxxxxxxxxxxx,
x) zajistí posuzování xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xxxx xxx rozhodnuto, zda xxxx být xxxxxxxxxxxxx xxxx kybernetické xxxxxxxxxxxx xxxxxxxxx xxxxx §31,
x) xxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxx postupů,
i) přijímá xxxxxxxx xxx odvrácení x zmírnění dopadu xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx,
x) xxxxx kybernetické xxxxxxxxxxxx xxxxxxxxx podle §32,
k) xxxx záznamy x xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx x o xxxxxx xxxxxxxx,
x) prošetří a xxxx xxxxxxx kybernetického xxxxxxxxxxxxxx xxxxxxxxx a
m) xxxxxxxxx účinnost řešení xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu x na základě xxxxxxxxxxx xxxxxxx nutná xxxxxxxxxxxx xxxxxxxx, xxxxxxxxx xxxxxxxxxxx stávající xxxxxxxxxxxx xxxxxxxx x zamezení xxxxxxxxx xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
(2) Povinná xxxxx uvedená x §3 písm. x), x) a x) xxxxxx dále xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxxx xxxxx §24.
§15
Xxxxxx kontinuity činností
Povinná xxxxx v xxxxx xxxxxx xxxxxxxxxx xxxxxxxx
x) xxxxxxx xxxxx x xxxxxxxxxx xxxxxxxxxxxxxx a xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx,
x) pomocí xxxxxxxxx xxxxx a xxxxxxx xxxxxx xxxxxxxxx a xxxxxxxxxxx možné dopady xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx x posoudí xxxxx xxxxxx související x xxxxxxxxx xxxxxxxxxx xxxxxxxx,
x) xx xxxxxxx xxxxxxx xxxxxxxxx rizik x xxxxxxx xxxxxx xxxxx xxxxxxx x) xxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxx xxxxxx xxxxxx
1. xxxxxxxxx xxxxxx poskytovaných xxxxxx, která xx xxxxxxxxxx xxx xxxxxxx, xxxxxx x xxxxxx xxxxxxxxxxxx x komunikačního xxxxxxx,
2. xxxx xxxxxxxx xxxxx, xxxxx které xxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx incidentu xxxxxxxx xxxxxxxxx úroveň poskytovaných xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx, a
3. xxxx obnovení xxx xxxx časové období, xx xxxxx xxxx xxx xxxxxx xxxxxxxx xxxx po xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx nebo xx selhání,
d) stanoví xxxxxxxx řízení kontinuity xxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxx podle xxxxxxx x),
x) xxxxxxxxx, xxxxxxxxxxx x xxxxxxxxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx a xxxxxxxxx xxxxx související s xxxxxxxxxxxx informačního a xxxxxxxxxxxxx systému x xxxxxxxxxxxxx xxxxxx x
x) xxxxxxxxx xxxxxxxx pro xxxxxxx xxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxxx x omezením xxxxxxxxxxx x vychází xxx xxx z xxxxxxxxx xxxxx §27.
§16
Xxxxx xxxxxxxxxxxx xxxxxxxxxxx
(1) Xxxxxxx osoba x xxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) xxxxxxx x xxxxxxxxxxx audit xxxxxxxxxx xxxxxxxxxxxx xxxxxxxx, včetně xxxxxxxxxxx xxxxxxxxx shody, x výsledky xxxxxx xxxxxxxx v plánu xxxxxxx xxxxxxxxxxxxxx xxxxxxxx x xxxxx xxxxxxxx xxxxx a
b) xxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxx x nejlepší praxí, xxxxxxxx předpisy, vnitřními xxxxxxxx, jinými předpisy x smluvními xxxxxxx xxxxxxxxxxxx xx x xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx x xxxx xxxxxxxx xxxxxxxx xxxxxxxx xxx zajištění xxxxxxx.
(2) Xxxxx podle xxxxxxxx 1 je xxxxxxxx
x) xxx xxxxxxxxxx xxxxxxx, x xxxxx xxxxxx xxxxxxx,
x) x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xx 3 xxxxxx x xxxxxxx xxxxxxx osoby xxxxxxx x §3 xxxx. e) zákona x
x) x xxxxxxxxxxxx xxxxxxxxxxx xxxxxxx xx 2 letech x xxxxxxx xxxxxxx osoby xxxxxxxxx v xxxxxxx x).
(3) Xxxx-xx v xxxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxx audit v xxxxxxxxxxx xxxxx xxxxxxxx 2 xxxx. x) x x) x xxxxx xxxxxxx, xx xxxxx xxxxx xxxxxxxx xxxxxxxx po systematických xxxxxxx. V xxxxxxx xxxxxxx xx nutno xxxxx x xxxxx xxxxxxx provést xxxxxxxxxx xx 5 xxx.
(4) Xxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxx xxx prováděn xxxxxx xxxxxxxxxx podmínkám xxxxxxxxxx x §7 xxxx. 4, xxxxx xxxxxxxxx xxxxxxx správnost x účinnost xxxxxxxxxx xxxxxxxxxxxxxx opatření.
(5) Povinná xxxxx, která xx xxxxxxxx provozovatelem, xxxxxxxxx xxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx správci daného xxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx.
HLAVA XX
XXXXXXXXX OPATŘENÍ
§17
Fyzická xxxxxxxxxx
Xxxxxxx xxxxx x xxxxx fyzické xxxxxxxxxxx
x) xxxxxxxxx xxxxxxxxx, xxxxxxx xxxx xxxxxxxx aktiv xxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) stanoví xxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxx, xx xxxxx xxxx uchovávány x zpracovávány xxxxxxxxx x xxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx a xxxxxxxxxxxxx systému, x
x) x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx b) xxxxxx xxxxxxxx xxxxxxxx a xxxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxx
1. x xxxxxxxx xxxxxxxxxxxxx xxxxxx,
2. x xxxxxxxx poškození x xxxxxxxxxxxx xxxxxxx a
3. xxx zajištění xxxxxxx xx xxxxxx objektů x v xxxxx xxxxxxx.
§18
Xxxxxxxxxx komunikačních xxxx
Xxxxxxx xxxxx xxx xxxxxxx xxxxxxxxxxx xxxxxxxxxxx xxxx xxxxxxxx x rozsahu xxxxx §3 xxxx. x)
x) zajistí xxxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxx xxxxxxxxxx v xxxxx xxxxxxxxxxx sítě x xxxxxxxxx xxxxxxxxxxx xxxx,
x) xxxxxx kryptografie xxxxxxx xxxxxxxxx x xxxxxxxxx xxx při xxxxxxxxx xxxxxxxx, vzdálené xxxxxx xxxx xxx xxxxxxxx xx komunikační xxxx pomocí xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxx xxxxxxx xxxxxxxxx xxxxxxxxxx x
x) xxx xxxxxxxxx xxxxxxxxxx xxxx a pro xxxxxx xxxxxxxxxx xxxx xxxxxx xxxxxxxx xxxxxxx xxxxxxx, xxxxx xxxxxxx xxxxxxx integrity xxxxxxxxxxx xxxx.
§19
Správa a xxxxxxxxx xxxxxxx
(1) Povinná osoba xxxxxxx xxxxxxx pro xxxxxx a xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxxxxx x komunikačního systému.
(2) Xxxxxxx xxx xxxxxx x ověření xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxx xxxxxxxxx
x) xxxxxxx xxxxxxxx xxxx zahájením xxxxxxx x xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxx,
x) xxxxxx počtu xxxxxxx xxxxxxxxxxx xxxxxx x xxxxxxxxxx,
x) xxxxxxxx xxxxxxxxx xxxx xxxxxxxxxxx autentizačních xxxxx proti xxxxxxxxxxxxx xxxxxxxx x xxxxxxxx,
x) xxxxxxxx autentizačních údajů xx formě xxxxxx xxxxx offline xxxxxx,
x) xxxxxxxx xxxxxxx identity xx xxxxxx xxxx xxxxxxxxxx,
x) dodržení xxxxxxxxxx xxxxxxxxxxxxxx údajů xxx xxxxxx xxxxxxxx a
g) xxxxxxxxxxxxxxx správu xxxxxxx.
(3) Xxxxxxx xxxxx xxx xxxxxxx xxxxxxxx uživatelů, xxxxxxxxxxxxxx x aplikací xxxxxxx autentizační xxxxxxxxxxx, xxxxx xxxx založený xxxxx na xxxxxxx xxxxxxxxxxxxxx xxxx a xxxxx, xxxxx xx xxxxxxxxxxxxx xxxxxxxxxxx x xxxxxxx dvěma různými xxxx xxxxxxx.
(4) Xx xxxx splnění požadavku xxxxx xxxxxxxx 3 xxxx xxxxxxx xxx xxxxxxx xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx, xxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxx a xxxxxxx obdobnou úroveň xxxxxxxxxxx.
(5) Xx xxxx xxxxxxx požadavků podle xxxxxxxx 3 xxxx 4 xxxx nástroj xxx ověření xxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx a xxxxxxxx, xxxxx xxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxx x xxxxx, xxxxxxxxx pravidla
a) xxxxx xxxxx xxxxxxx
1. 12 xxxxx x xxxxxxxxx x
2. 17 xxxxx x xxxxxxxxxxxxxx a xxxxxxxx,
x) xxxxxxxxxx xxxxx xxxxx x xxxxx xxxxxxx 64 znaků,
c) xxxxxxxxxxx xxxxxxx xxxxxx x velkých xxxxxx, xxxxxx x xxxxxxxxxxx xxxxx,
x) xxxxxxxxxx uživatelům xxxxx xxxxx, přičemž xxxxxx xxxx xxxxx xxxxxxx xxxxx xxxxx xxx xxxxxx xxx 30 minut,
e) xxxxxxxxxxxx xxxxxxxxxx a xxxxxxxxxxxxxxx
1. xxxxxx si xxxxxxxxxx xxxxxxxxx xxxxx,
2. xxxxxx xxxxx na základě xxxxxxxxxxxx xxxxxxxxxxx xx xxxxx, přihlašovacího xxxxx, x-xxxxx, xxxxx systému xxxx xxxxxxxx způsobem x
3. xxxxxxxx xxxxxxx xxxxx používaných xxxxx x pamětí xxxxxxx 12 xxxxxxxxxxx hesel x
x) xxx xxxxxxxx xxxxx hesla x xxxxxxxxx xxxxxxxxx po 18 měsících, xxxxxxx xxxx xxxxxxxx se xxxxxxxxxx xx xxxx xxxxxxxx x xxxxxx xxxxxxx x xxxxxxx xxxxxxx.
(6) Xxxxxxx osoba x xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxx xxxxx x xxxxxx dále
a) xxxxxx bezodkladnou xxxxx xxxxxxxxx xxxxx xx xxxx prvním xxxxxxx,
x) xxxxxxxxxxx zneplatní xxxxx xxxxxxxx k obnovení xxxxxxxx xx xxxx xxxxxx xxxxxxx nebo xxxxxxxxx xxxxxxx 60 xxxxx xx xxxx xxxxxxxxx x
x) povinně xxxxxx xxxxxxxx tvorby xxxxxxxxxx hesel xx xxxxx rozvoje xxxxxxxxxxxxxx xxxxxxxx xxxxx §9.
§20
Xxxxxx xxxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx xxxxxxx centralizovaný xxxxxxx xxx xxxxxx xxxxxxxxxxxx oprávnění, xxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) xxx xxxxxxx x xxxxxxxxxxx aktivům xxxxxxxxxxxx x komunikačního xxxxxxx x
x) pro xxxxx xxx, zápis xxx x xxxxx oprávnění.
§21
Xxxxxxx před xxxxxxxxx xxxxx
(1) Xxxxxxx osoba xxxxxxx v §3 xxxx. x), d) x x) xxxxxx x xxxxx ochrany xxxx xxxxxxxxx kódem
a) x xxxxxxx na xxxxxxxxxx xxxxx zajišťuje xxxxxxx xxxxxxxx xxx xxxxxxxxxxxx automatickou xxxxxxx
1. xxxxxxxxx stanic,
2. mobilních xxxxxxxx,
3. xxxxxxx,
4. datových xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
5. xxxxxxxxxxx xxxx x xxxxx xxxxxxxxxxx xxxx x
6. xxxxxxxxx xxxxxxxx,
x) monitoruje x řídí xxxxxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxxxx spouštění xxxxxx xxxxxxxxx xxxxxxxx x xxxxxxxx xxxxxx,
x) xxxx xxxxxxxxx xx spouštění xxxx x
x) provádí xxxxxxxxxxx x účinnou xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxx xxxxxxxxx xxxxx.
(2) Povinná osoba xxxxxxx v §3 xxxx. e) zákona xxxxxxxxx xxxxx xxxxxxxx 1 xxxxxxxxx.
§22
Xxxxxxxxxxxxx událostí xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx, xxxx xxxxxxxxx x xxxxxxxxxxxxxx
(1) Xxxxxxx xxxxx
x) xxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxx xxxxx informačního x komunikačního systému x
x) na základě xxxxxxxxx důležitosti xxxxx xxxxxxxxxxx xxxxxx xxxxx, x xxxxxxx je xxxxxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxx událostí prováděno.
(2) Xxxxxxx osoba xxx xxxxxxxxxxxxx bezpečnostních x xxxxxxxxxx událostí podle xxxxxxxx 1 zajišťuje
a) xxxxxxxxxxxx síťovou xxxxxxxxxxxx xxxxxxxx xxxxxxx, xx-xx x xxxxxxxxxxx xxxx xxxxxx nástroj, xxxxx xxxx xxxx síťovou xxxxxxxxxxxx,
x) sběr informací x xxxxxxxxxxxxxx a xxxxxxxxxx událostech; zejména xxxxxxxxxxx
1. xxxxx x xxx xxxxxx specifikace xxxxxxxx xxxxx,
2. typ xxxxxxxx,
3. xxxxxxxxxxxx xxxxxxxxxxx xxxxxx, xxxxx xxxxxxx xxxxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxx, xxx kterým xxxx xxxxxxx xxxxxxxxx,
5. xxxxxxxxxxxx síťovou xxxxxxxxxxxx xxxxxxxx původce a
6. xxxxxxxxx xxxx neúspěšnost xxxxxxxx,
x) ochranu xxxxxxxxx xxxxxxxxx xxxxx xxxxxx x) x x) xxxx xxxxxxxxxxxx čtením x xxxxxxxxx xxxxxx,
x) xxxxxxxxxxxxx
1. xxxxxxxxxxxx a xxxxxxxxxxx xx xxxx xxxxx, a to xxxxxx neúspěšných pokusů,
2. xxxxxxxx provedených xxxxxxxxxxxxxx,
3. xxxxxxx x neúspěšné xxxxxxxxxx x xxxx, xxxxxxxxxxx x xxxxx,
4. xxxxxxxxxxx činností x xxxxxxxx xxxxxxxxxx přístupových xxxx a oprávnění,
5. xxxxxxxx uživatelů, xxxxx xxxxx xxx xxxx xx xxxxxxxxxx xxxxxxxxxxxx x komunikačního systému,
6. xxxxxxxx x ukončení xxxxxxxx technických xxxxx,
7. xxxxxxxxxx x chybových xxxxxxx technických xxxxx x
8. xxxxxxxx k xxxxxxxx o xxxxxxxxxx, xxxxxx x xxxxxxxxxx xx záznamy o xxxxxxxxxx x změny xxxxxxxxx xxxxxxxx pro xxxxxxxxxxxxx xxxxxxxx x
x) xxxxxxxxxxxxx xxxxxxxxxx xxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxxx xx 24 xxxxx.
(3) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. c), x) x x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxxxx podle odstavce 2 xxxxxxx po xxxx 18 xxxxxx.
(4) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxxxxx xxxxxxx xxxxxxxx zaznamenaných xxxxx odstavce 2 xxxxxxx xx xxxx 12 měsíců.
§23
Xxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx
(1) Povinná xxxxx x rámci komunikační xxxx, xxxxx xxxxxxxx xx xxxxxxxxxx a xxxxxxxxxxx xxxxxx, používá xxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí, xxxxx xxxxxxx
x) ověření x xxxxxxxx xxxxxxxxxxx xxx v xxxxx xxxxxxxxxxx sítě x xxxx xxxxxxxxxxxxx xxxxxx,
x) xxxxxxx x xxxxxxxx xxxxxxxxxxx xxx xx xxxxxxxxx xxxxxxxxxxx xxxx x
x) xxxxxxxxx nežádoucí xxxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x), x) x x) xxxxxx xxxxxxx detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxx na xxxxxxxxxx xxxxx x xxxxx
x) xxxxxxxxx xxxxxx,
x) xxxxxxxxx zařízení,
c) serverů,
d) xxxxxxxx xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
x) xxxxxxxx aktivních prvků x
x) obdobných xxxxx.
§24
Xxxx x vyhodnocování xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
Xxxxxxx xxxxx uvedená x §3 písm. x), x) x x) xxxxxx xxxxxxx xxxxxxx xxx sběr a xxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx, který xxxxxx
x) xxxx x xxxxxxxxxxxxx xxxxxxxx zaznamenaných xxxxx §22 a 23,
x) vyhledávání x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxx,
x) xxxxxxxxxxx informací pro xxxxxx bezpečnostní xxxx x xxxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxxx,
x) xxxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx x xxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, xxxxxx xxxxxxxx varování xxxxxxxx xxxxxxxxxxxxxx xxxx,
x) xxxxxxx xxxxxxx nesprávného xxxxxxxxxxx xxxxxxxx pravidelnou xxxxxxxxxxx xxxxxxxxx xxxxxxxx xxx
1. xxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx událostí x
2. xxxxxx varování x
x) xxxxxxxxx xxxxxxxxx získaných xxxxxxxxx pro xxxx x vyhodnocení kybernetických xxxxxxxxxxxxxx událostí xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému.
§25
Xxxxxxxxx xxxxxxxxxx
(1) Povinná xxxxx xxxxxxx xxxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx systému xx xxxxxxxxx xx xxxxxxxx xxxxxx, x xx
x) xxxx jejich xxxxxxxx xx xxxxxxx x
x) x souvislosti x xxxxxxxxx změnou xxxxx §11 xxxx. 3.
(2) Xxxxxxx xxxxx xxxx x rámci xxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxxx, xxxxxxxxx x transakcí před
a) xxxxxxxxxxxx činností x
x) xxxxxxxx xxxxxxxxxxx činností.
§26
Xxxxxxxxxxxxxx prostředky
Povinná osoba xxx ochranu aktiv xxxxxxxxxxxx x komunikačního xxxxxxx
x) xxxxxxx xxxxxxxx xxxxxx kryptografické xxxxxxxxx x xxxxxxxxxxxxxx xxxxx,
x) xxxxxxx xxxxxx xxxxxx xxxxx x certifikátů, xxxxx
1. zajistí generování, xxxxxxxxxx, xxxxxxxx, xxxxx, xxxxxxx xxxxxxxxx, xxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxx a
2. xxxxxx xxxxxxxx x xxxxx,
x) xxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxxxx prostředky x
x) xxxxxxxxxx xxxxxxxxxx x xxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx vydaná Xxxxxx, xxxxxxxxxx xx jeho xxxxxxxxxxxxx xxxxxxxxx.
§27
Xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx
Xxxxxxx xxxxx xxxxxx xxxxxxxx pro xxxxxxxxxxx xxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxx
x) xxxxxxxxxx informačního x xxxxxxxxxxxxx systému xxx xxxxxxx cílů xxxxx §15,
b) odolnost xxxxxxxxxxxx x komunikačního xxxxxxx vůči kybernetickým xxxxxxxxxxxxx xxxxxxxxxx, xxxxx xx xxxxx xxxxxx xxxx dostupnost,
c) dostupnost xxxxxxxxxx technických xxxxx xxxxxxxxxxxx x komunikačního xxxxxxx x
x) xxxxxxxxxx xxxxx xxxxxxxxxx xxx xxxxxxxxx dostupnosti xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx.
§28
Xxxxxxxxxx, xxxxxx x xxxxxxx xxxxxxxxxx xxxxxxx
Xxxxxxx xxxxx xxx zajištění xxxxxxxxxxxx bezpečnosti průmyslových, xxxxxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxx používá xxxxxxxx a xxxxxxxx, xxxxx xxxxxxx
x) xxxxxxx xxxxxxxxxxx x xxxxxxxxxxxx xxxxxxxxxx, které xxxx xxxxxx xx xxxxxxxxxxxx xxxxxxxxx,
x) xxxxxxx fyzického xxxxxxxx x xxxxxxxxx xxxxxx xxxxxxx a xx xxxxxxxxxxx xxxx,
x) xxxxxxxxx xxxxxxxxxxx sítě xxxxxx pro xxxx xxxxxxx od xxxxxxx xxxxxxxxxxxxxx,
x) xxxxxxx x xxxxxx xxxxxxxxxx xxxxxxxx x xxxxx systémům,
e) xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxx xxxxxx xxxxxxx xxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxx a
f) xxxxxxxx xxxxx xxxxxx xxxxxxx xx xxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx.
§29
Xxxxxxxxx xxxxxx
(1) Xxxxxxx xxxxx xxxxxxx x §3 písm. x) xxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxx xxxxx xxxxxxxxxxx xxxxxxxx Xxxxxx (EU) 2018/151 xx xxx 30. xxxxx 2018, xxxxxx se stanoví xxxxxxxx xxx xxxxxxxxxxx xxxxxxxx Evropského parlamentu x Xxxx (XX) 2016/1148, xxxxx jde x xxxxxx upřesnění xxxxx, které xxxx xxxxxxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxx xxx xxxxxx xxxxxxxxxxxxxx xxxxx, xxxxx xxxx xxxxxxxxx xxxx x xxxxxxxxxx xxxxxxx, x xxxxxxxxx xxx xxxxxxxxxx xxxx, zda xx xxxxx xxxxxxxxx xxxxxxxx; xxxxxxxxxx §3 xx 28 se xx xxxx povinnou xxxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx xxxxxxx x §3 xxxx. x) xxxxxx hlásí xxxxxxxxx xxxxx xxxxx §34 xxxx. 2.
(3) Povinná xxxxx xxxxxxx x §3 xxxx. x) xxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx podle §32 xxxx. 2 x 3.
XXXXX XXX
XXXXXXXXXXXX XXXXXXXX X XXXXXXXXXXXX XXXXXXXXXXX
§30
Xxxxxxxxxxxx xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
(1) Povinná xxxxx
x) xxxxxxx bezpečnostní politiku x xxxx xxxxxxxxxxxx xxxxxxxxxxx xxxxxxxxxx oblasti xxxxxxx x příloze č. 5,
x) xxxxxxxxxx přezkoumává xxxxxxxxxxxx xxxxxxxx x bezpečnostní xxxxxxxxxxx a
c) zajistí, xxx xxxx xxxxxxxxxxxx xxxxxxxx x bezpečnostní xxxxxxxxxxx xxxxxxxx.
(2) Xxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxx xxxxxxxxxxx xxxx být
a) xxxxxxxx x xxxxxxxx xxxx xxxxxxxxxxxx xxxxxx,
x) xxxxxxxxxxxx v xxxxx xxxxxxx xxxxx,
x) přiměřeně xxxxxxxx xxxxxxxx xxxxxxx,
x) xxxxxx,
x) xxxxxxxx z xxxxxxx xxxxxxxxxx, xxxxxxxxx x xxxxxxxxxxx a
f) xxxxxx xxx, xxx xxxxxxxxx x nich xxxxxxxx xxxx xxxxx, xxxxxxx, xxxxxx xxxxxxxxxxxxxxxxx x xxxxxx xxxxxxxxxxxx.
XXXX XXXXX
XXXXXXXXXXXX XXXXXXXXXXXX XXXXXXXX
§31
Xxxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx
(1) Xxxxxxxxxx kybernetické xxxxxxxxxxxx incidenty xx xxxxxxxxxxxx podle xxxxxxxxxxx xxx zohlednění
a) xxxxxx xxxxxxxxxx v dopadových xxxxxxxxxx xxxxxxxxxx, xxxxx xxxxxxx xxxx xxxxxxx xxxxx xxxxxx,
x) xxxxx xxxxxxxxx xxxxxxxxx,
x) způsobené xxxx předpokládané xxxxx,
x) xxxxxxxxxxx xxxxxxxxx xxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) xxxxxx xx xxxxxxxxxxx služby xxxxxxxxxxxx x xxxxxxxxxxxxx systému,
f) xxxxxx xx xxxxxx xxxxxxxxxxx xxxxxx informačními x xxxxxxxxxxxxx xxxxxxx,
x) xxxxx trvání incidentu,
h) xxxxxxxxxxx rozsahu xxxxxxx xxxxxxx a
i) xxxxxxx xxxxxx.
(2) Pro xxxxxxx xxxxxxx x xxxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx xx xx xxxxxxx xxxxxxxxxx xxxxx odstavce 1 kybernetické xxxxxxxxxxxx xxxxxxxxx zařadí xx xxxxxxxxxxxxx kategorií
a) Xxxxxxxxx XXX - xxxxx xxxxxxxx kybernetický bezpečnostní xxxxxxxx, při kterém xx xxxxx a xxxxxxxx narušena bezpečnost xxxxxxxxxxxxx xxxxxx nebo xxxxx. Xxxx xxxxxx xxxxxxxx neprodlené zásahy xxxxxxx s xxx, xx xxxx xxx xxxxx xxxxxxxxxx prostředky xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx x potenciálních xxxx,
x) Xxxxxxxxx XX - xxxxxxxx kybernetický xxxxxxxxxxxx xxxxxxxx, xxx xxxxxx xx xxxxxxxx bezpečnost xxxxxxxxxxxxx xxxxxx xxxx xxxxx. Jeho řešení xxxxxxxx xxxxxxxxxx xxxxxx xxxxxxx s xxx, xx xxxx xxx xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx, xxxx
x) Xxxxxxxxx X - méně významný xxxxxxxxxxxx bezpečnostní xxxxxxxx, xxx kterém dochází x xxxx významnému xxxxxxxx bezpečnosti poskytovaných xxxxxx xxxx xxxxx. Xxxx xxxxxx xxxxxxxx xxxxxx xxxxxxx x xxx, že musí xxx vhodnými xxxxxxxxxx xxxxxxx xxxxx šíření xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentu xxxxxx xxxxxxxxxxxx xxxxxxxxx xxxx.
(3) Typy kybernetických xxxxxxxxxxxxxx xxxxxxxxx podle xxxxxx jsou
a) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx důvěrnosti xxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx narušení xxxxxxxxx xxxxx,
x) kybernetický xxxxxxxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxxxxxxx aktiv, nebo
d) xxxxxxxxxxxx xxxxxxxxxxxx incident xxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx v xxxxxxxxx x) xx c).
(4) Xxxx ustanovení xx xxxxxxxxxx xx xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxx xxxxx uvedené x §3 xxxx. x) xxxxxx.
§32
Xxxxx a náležitosti xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx
(1) Kybernetický xxxxxxxxxxxx xxxxxxxx se Xxxxx xxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx xxxxxxxx
x) xx adresu xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx pro xxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx, zveřejněnou xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx xxxxxx xxxxxxxx Xxxxx, xxxx
x) prostřednictvím xxxxxxxx rozhraní, pokud xx xxxxxxxxx, xxxxx xxxxx xx zveřejněn xx internetových xxxxxxxxx Xxxxx.
(2) Xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xx provozovateli xxxxxxxxx XXXX hlásí xx elektronickém formuláři xxxxxxxxxxx xx internetových xxxxxxxxx xxxxxxxxxxxxx národního XXXX zaslaném
a) na xxxxxx elektronické xxxxx xxxxxxxxxxxxx xxxxxxxxx CERT xxxxxxx xxx xxxxxx xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxxx, zveřejněnou xx xxxx xxxxxxxxxxxxx xxxxxxxxx,
x) xx datové xxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx
x) prostřednictvím xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX.
(3) Xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xx xxxxx zaslat x x listinné podobě, xxxxx xxxxx x xxxxxxxxx, xxx xxxxx xxxxxx xxxxx xx xxxxxxx uvedených v xxxxxxxxxx 1 x 2.
(4) Xxxxxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx xxxx
x) xxxxxxxxxxxx xxxxxxxxxxx,
x) xxxxxxxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
x) datum x xxx xxxxxxxx xxxxxxxxx x
x) xxxxx xxxxxxxxx.
XXXX XXXXXX
XXXXXXXXX OPATŘENÍ X XXXXXXXXX XXXXX
§33
Xxxxxxxxx xxxxxxxx
(1) Xxxxxxx osoba, xxxxx Úřad xxxxxx xxxxxxx xxxxxxxxx opatření,
a) xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxx xx xxxxxxxxxx x komunikační xxxxxx x na xxxxxxxx bezpečnostní xxxxxxxx x xxxxxxxxx možné xxxxxxxxx xxxxxx a
b) xxxxxxx způsob xxxxxxxx xxxxxxxxx tohoto opatření, xxxxx xxxxxxxxxxxx xxxx xxxxx xxxxxxxxx účinky, x xxxx xxxxxx xxxx xxxx xxxxxxxxx.
(2) Xxxxxxx xxxxx, xxxxx Xxxx xxxxxx xxxxxxx xxxxxxxxx xxxxxxxx, xxxxxx xxxxxx provedení reaktivního xxxxxxxx a xxxx xxxxxxxx ve xxxxx xxxxxxx xx internetových xxxxxxxxx Úřadu.
§34
Xxxxxxxxx xxxxx
(1) Xxxxxxxxx xxxxx xx Xxxxx xxxxxxxx xx elektronickém xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx Úřadu xxxxxxxx
x) xx xxxxxx xxxxxxxxxxxx xxxxx Xxxxx xxxxxxx pro příjem xxxxxxxx xxxxxxxxxxx údajů, xxxxxxxxxxx na xxxxxxxxxxxxx xxxxxxxxx Xxxxx,
x) xx xxxxxx schránky Xxxxx, xxxx
x) prostřednictvím datového xxxxxxxx, xxxxx xx xxxxxxxxx, xxxxx popis xx zveřejněn xx xxxxxxxxxxxxx xxxxxxxxx Xxxxx.
(2) Xxxxxxxxx xxxxx se xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxx xx xxxxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxxx
x) xx adresu xxxxxxxxxxxx xxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX xxxxxxx pro xxxxxx xxxxxxxx xxxxxxxxxxx xxxxx, xxxxxxxxxxx xx xxxx internetových xxxxxxxxx,
x) xx xxxxxx xxxxxxxx xxxxxxxxxxxxx xxxxxxxxx XXXX, xxxx
x) prostřednictvím xxxxxxxxxxxxx xxxxxxx xxxxxxxxxxxxx národního XXXX.
(3) Xxxxxxx kontaktních xxxxx je možné xxxxxx x x xxxxxxxx xxxxxx, xxxxx xxxxx x případech, xxx nelze xxxxxx xxxxx xx způsobů xxxxxxxxx x xxxxxxxxxx 1 a 2.
(4) Xxxx xxxxxxxx xxxxxxxxxxx xxxxx je xxxxxx x příloze č. 8 x xxxx xxxxxxxx.
(5) Povinná xxxxx xxxxxxx v §3 písm. x) xx x) zákona, xxxxx xx xxxxxxxxxxxxxx, xxxx x hlášení xxxxxxxxxxx xxxxx xxxxx xxxxxxxx 1 přikládá xxxxxxxx, kterým xx xxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxx §8 odst. 1 písm. x).
XXXX XXXX
XXXXXXXXX USTANOVENÍ
§35
Přechodná xxxxxxxxxx
(1) X xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxx infrastruktury, xxxxx xxxx xxxxxx přede xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, x x případě xxxxxxxxxx xxxxxxxxxxxx xxxxxxx, u xxxxxxx xxxxx k xxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx xxxx xxxxxx xxxxxxxxx xxxx xxxxxxxx, xx xx xxxxxxx xxxx xxx xxx xxxxxx účinnosti xxxx xxxxxxxx pro xxxxx x xxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxx x xxxxx x rozsah xxxxxxxxxx xxxxxxxxxxxxxx opatření xxxxxxx xxxxxxxxxx xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x x xxxxxxxxx xxxxxxxxxxx xxxxxx v xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (vyhláška x xxxxxxxxxxxx xxxxxxxxxxx).
(2) X xxxxxxx xxxxxxxxxxxx xxxxxxx xxxxxxxx informační xxxxxxxxxxxxxx a xxxxxxxxxxxxx xxxxxxx kritické xxxxxxxxxx xxxxxxxxxxxxxx, které byly xxxxxx xxxxx dnem xxxxxx účinnosti xxxx xxxxxxxx, a x xxxxxxx významných informačních xxxxxxx, x xxxxxxx xxxxx k naplnění xxxxxxxxxx kritérií přede xxxx nabytí xxxxxxxxx xxxx xxxxxxxx, xx xx jednoho xxxx xxx dne nabytí xxxxxxxxx xxxx xxxxxxxx xxx xxxxxx xxxxxxxxx xxx, provozních xxxxx, xxxxxxxxx a jejich xxxxx xxxx vyhláška xxxxxxxxx.
§36
Xxxxxxxxx xxxxxxxxxx
Xxxxxxx se xxxxxxxx č. 316/2014 Sb., x xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxx, xxxxxxxxxxx xxxxxxxxxx x x xxxxxxxxx náležitostí podání x xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx (xxxxxxxx x xxxxxxxxxxxx bezpečnosti).
§37
Xxxxxxxx
Xxxx xxxxxxxx xxxxxx xxxxxxxxx dnem vyhlášení.
Ředitel:
Ing. Xxxxxxxx x. r.
Příloha č. 1 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx xxxxx
(1) Xxx xxxxxxxxx důležitosti xxxxx xxxx x xxxxx xxxxxxx xxxxxxx xxxxxxxx x čtyřech xxxxxxxx x xxxxxxxx xx, xxxx dopad xx mělo xxxxxxxx xxxxxxxxxxx informací x xxxxxxxxxxxx xxxxx. Povinná xxxxx může používat xxxxxxx xxxxx xxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxx, než xxxx xx xxxxxx x xxxx xxxxxxx, dodrží-li xxxxxxxxxxx xxxxx mezi xxxx xxxxxxxxxx způsobem xxxxxxxxx důležitosti xxxxx x xxxxxxxxxx x xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx aktiv, které xxxx xxxxxxx x xxxx příloze.
(2) Je xxxxxxxxxx, xxx si xxxxx xxxxxxx xxxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxx svým xxxxxxxx.
Xxx. 1: Xxxxxxxx xxx xxxxxxxxx důvěrnosti
|
Úroveň |
Popis |
Příklady xxxxxxxxx xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxx xxxx xxxxxxx xxxxxxxxx xxxx xxxx xxxxxx xx xxxxxxxxxx. Narušení xxxxxxxxxx aktiv neohrožuje xxxxxxxxx xxxxx povinné xxxxx. X případě xxxxxxx xxxxxxxx xxxxxx x xxxxxxx xxxxxxxx x xxxxxxx klasifikace xxxxx xxx. traffic xxxxx xxxxxxxxx (dále jen "XXX") xx xxxxxxxxx xxxxxxxx TLP:WHITE. |
Není vyžadována xxxxx xxxxxxx. |
|
Xxxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x xxxxx xxxx-xxx xxxxxxx xxxxx, xxxxxxx xxxxx xxxx xxxxxxxxxx xxxxxx právním předpisem xxxx xxxxxxxx xxxxxxxxx. X xxxxxxx xxxxxxx xxxxxxxx xxxxxx s xxxxxxx xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxx XXX xx využíváno zejména xxxxxxxx TLP:GREEN nebo XXX:XXXXX. |
Xxx xxxxxxx důvěrnosti xxxx xxxxxxxxx xxxxxxxxxx xxx xxxxxx přístupu. |
|
Xxxxxx |
Xxxxxx xxxxxx xxxxxxx xxxxxxxxx x jejich xxxxxxx xx vyžadována xxxxxxxx předpisy, jinými xxxxxxxx xxxx smluvními xxxxxxxxxx (xxxxxxxxx xxxxxxxx xxxxxxxxx, xxxxxx údaje). V xxxxxxx sdílení takového xxxxxx x xxxxxxx xxxxxxxx a použití xxxxxxxxxxx podle TLP xx xxxxxxxxx zejména xxxxxxxx XXX:XXXXX. |
Xxx xxxxxxx xxxxxxxxxx jsou využívány xxxxxxxxxx, které zajistí xxxxxx x xxxxxxxxxxxxx xxxxxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxx xxxx xxxxxxxx xxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxxx |
Xxxxxx xxxxxx xxxxxxx přístupná x xxxxxxxx nadstandardní míru xxxxxxx xxx rámec xxxxxxxxx kategorie (xxxxxxxxx xxxxxxxxxxx obchodní tajemství, xxxxxxxx xxxxxxxxx xxxxxxxx xxxxx). X případě xxxxxxx xxxxxxxx xxxxxx x xxxxxxx stranami x xxxxxxx klasifikace podle XXX xx využíváno xxxxxxx xxxxxxxx XXX:XXX xxxx XXX:XXXXX. |
Xxx ochranu xxxxxxxxxx jsou využívány xxxxxxxxxx, které xxxxxxx xxxxxx x zaznamenávání xxxxxxxx. Xxxx metody xxxxxxx xxxxxxxxxxx xxxxxxxx xxxxx xx strany xxxxxxxxxxxxxx. Xxxxxxx informací xxxx chráněny xxxxxx xxxxxxxxxxxxxxxx prostředků. |
Xxx. 2: Xxxxxxxx pro xxxxxxxxx integrity
|
Úroveň |
Popis |
Příklady xxxxxxxxx xx xxxxxxx xxxxxx |
|
Xxxxx |
Xxxxxxx xxxxxxxxxx xxxxxxx z xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx aktiva neohrožuje xxxxxxxxx xxxxx povinné xxxxx. |
Xxxx xxxxxxxxxx žádná xxxxxxx. |
|
Xxxxxxx |
Xxxxxxx může xxxxxxxxx xxxxxxx x hlediska xxxxxxxxx. Xxxxxxxx xxxxxxxxx xxxxxx může xxxx x xxxxxxxxx oprávněných xxxxx povinné xxxxx x xxxx se xxxxxxxx méně závažnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx ochranu xxxxxxxxx xxxx xxxxxxxxx xxxxxxxxxx xxxxxxxx (xxxxxxxxx xxxxxxx xxxxxxxxxxxx xxxx xxx xxxxx). |
|
Xxxxxx |
Xxxxxxx xxxxxxxx xxxxxxx x xxxxxxxx integrity. Xxxxxxxx xxxxxxxxx aktiva xxxx x xxxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx s xxxxxxxxxxx xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx xxxxxxxxx xxxx xxxxxxxxx speciální xxxxxxxxxx, xxxxx xxxxxxxx xxxxxxxx xxxxxxxx xxxxxxxxxxx xxxx x xxxxxxxxxx xxxxxxxx xxxxx provádějící xxxxx. Xxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxx xxxxxx xx xxxxxxxxx xxxxxx kryptografických prostředků. |
|
Kritická |
Aktivum xxxxxxxx ochranu x xxxxxxxx xxxxxxxxx. Xxxxxxxx xxxxxxxxx vede k xxxxx vážnému xxxxxxxxx xxxxxxxxxxx xxxxx povinné xxxxx x xxxxxxx x velmi vážnými xxxxxx xx xxxxxxxx xxxxxx. |
Xxx xxxxxxx integrity xxxx xxxxxxxxx xxxxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxxxx xxxxx (xxxxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxxxx podpisu). |
Tab. 3: Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxx
|
Xxxxxx |
Xxxxx |
Xxxxxxxx xxxxxxxxx na xxxxxxx aktiva |
|
Nízká |
Narušení dostupnosti xxxxxx není důležité x x xxxxxxx xxxxxxx xx xxxxx xxxxxxxxxx xxxxx xxxxxx xxxxxx xxx nápravu (xxx xx 1 xxxxx). |
Xxx xxxxxxx dostupnosti xx xxxxxxxxxxx xxxxxxxxxx xxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xx nemělo xxxxxxxxx xxxx xxxxxxxxxx xxx, xxxxxxxxxxxxx výpadek xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx. |
Xxx xxxxxxx xxxxxxxxxxx xxxx využívány běžné xxxxxx zálohování x xxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxx aktiva xx xxxxxx xxxxxxxxx xxxx xxxxxxxx xxxxx. Xxxxxxxx výpadek xx xxxxx xxxxx xxxxxxxxxx, xxxxxxx vede x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx xxxxx. Xxxxxx xxxx xxxxxxxxxx xx xxxxx xxxxxxxx. |
Xxx xxxxxxx xxxxxxxxxxx jsou xxxxxxxxx záložní xxxxxxx x obnova poskytování xxxxxx může být xxxxxxxxx xxxxxx xxxxxxx xxxx xxxxxxx technických xxxxx. |
|
Xxxxxxxx |
Xxxxxxxx xxxxxxxxxxx xxxxxx xxxx xxxxxxxxx x x krátkodobá nedostupnost (x xxxx xxxxxxxx xxxxx) xxxx x xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxx xxxxxxx osoby. Xxxxxx xxxx považována xx kritická. |
Pro ochranu xxxxxxxxxxx jsou xxxxxxxxx xxxxxxx systémy a xxxxxx xxxxxxxxxxx xxxxxx xx xxxxxxxxxx a xxxxxxxxxxxxxx. |
Xxxxxxx č. 2 x xxxxxxxx x. 82/2018 Sb.
Hodnocení xxxxx
(1) Xxxxxxxxxxx xxxxxxxxx xxxxxx xxx xxxxxx xxxxxx xx xxxxxxxxx xxxxxxxx xxxxxxxx pro xxxxxxxxx xxxxx podle §5.
(2) Xxxxxxx xxxxxx xx xxxxxxxxxx vyjádřena xxxx xxxxxx, kterou xxxxxxxxx xxxxx, xxxxxx x xxxxxxxxxxxx.
(3) Pro xxxxxxxxx xxxxx xxx xxxxxx xxxxxxxxx xxxx xxxxxx:
Xxxxxx = dopad x xxxxxx x xxxxxxxxxxxx.
(4) Xxxxx xx x xxxxx xxxxxxx xxxxxxx x xxxxxxxxx xxxxx xxxxx přílohy č. 1.
(5) V xxxxxxx, že xxxxxxx xxxxx xxxxxxx xxxxxx xxx xxxxxxxxx rizik, xxxxx xxxxxxxxxxx xxxxxxxxx xxxxxx x xxxxxxxxxxxxx, xx xxxxx stupnice xxx xxxxxxxxx xxxxxx x zranitelností xxxxxxx. Xxxxxxxx xxxxxxx xx xxxxxx xxxx xx xxxxxx schopnosti xxxxxxxxx xxxxxx hrozby x xxxxxxxxxxxxx. Za tímto xxxxxx xxx xxxxxx xxxxxxxxx komentář, xxxxx xxxxxxxx xxxxxxx xxx xxxxxx xxxxxx, xxx x úroveň xxxxxxxxxxxxx. Xxxxxxx xx xxxxxxxxx x v případech, xxx xxxxxxx xxxxx xxxxxxx xxxx xxxxx xxxxxx pro hodnocení xxxxxx, xxxxxx, zranitelností x xxxxx.
Xxx. 1: Xxxxxxxx pro xxxxxxxxx xxxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xxxxxxxxxx nebo xx xxxx xxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx xx xxxx pravděpodobná xx pravděpodobná. |
|
Xxxxxx |
Xxxxxx xx xxxxxxxxxxxxx xx xxxxx pravděpodobná. |
|
Xxxxxxxx |
Xxxxxx xx xxxxx xxxxxxxxxxxxx až xxxxxxxx xxxxx. |
Xxx. 2: Stupnice xxx xxxxxxxxx zranitelností
|
Úroveň |
Popis |
|
Nízká |
Zranitelnost xxxxxxxxxx xxxx xx xxxxxxxx xxxxxxxxxxxxx xxxx xxxxxxxxxxxxx. Jsou xxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxx xxxx xxxxxxx včas xxxxxxxxx možné xxxxxxxxxxxxx xxxx xxxxxxxx pokusy x xxxxxx zneužití. |
|
Střední |
Zneužití xxxxxxxxxxxxx je xxxx xxxxxxxxxxxxx až pravděpodobné. Xxxx zavedena xxxxxxxxxxxx xxxxxxxx, jejichž xxxxxxxx xx xxxxxxxxxx kontrolována. Xxxxxxxxx bezpečnostních xxxxxxxx xxxx xxxxxxxxx xxxxx xxxxxxxxxxxxx xxxx xxxxxxxx xxxxxx x překonání xxxxxxxx xx omezena. Xxxxxx xxxxx xxxxx xxxxxxx xxxxxx x xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxx |
Xxxxxxxx xxxxxxxxxxxxx je xxxxxxxxxxxxx xx xxxxx xxxxxxxxxxxxx. Xxxxxxxxxxxx xxxxxxxx xxxx xxxxxxxx, ale xxxxxx xxxxxxxx nepokrývá xxxxxxx xxxxxxxx xxxxxxx x xxxx pravidelně kontrolována. Xxxx xxxxx dílčí xxxxxxx pokusy x xxxxxxxxx xxxxxxxxxxxxxx opatření. |
|
Kritická |
Zneužití xxxxxxxxxxxxx je xxxxx xxxxxxxxxxxxx xx xxxxxxxx xxxxx. Xxxxxxxxxxxx opatření xxxxxx xxxxxxxxxxx xxxx xx xxxxxx xxxxxxxx xxxxxx omezena. Xxxxxxxxx xxxxxxxx xxxxxxxxx bezpečnostních xxxxxxxx. Xxxx xxxxx xxxxxxx xxxxxx překonání xxxxxxxxxxxxxx xxxxxxxx. |
Xxx. 3: Xxxxxxxx xxx hodnocení xxxxx
|
Xxxxxx |
Xxxxx |
|
Xxxxx |
Xxxxxx xx xxxxxxxxxx xx xxxxxxxxxxxxxx. |
|
Xxxxxxx |
Xxxxxx může xxx sníženo méně xxxxxxxxx xxxxxxxxxx xxxx x xxxxxxx xxxxx xxxxxxxxxx xxxxxxxx xx xxxxxx xxxxxxxxxxxxxx. |
|
Xxxxxx |
Xxxxxx je xxxxxxxxxx xxxxxxxxxxx a xxxx xxx zahájeny xxxxxxxxxxxx xxxxx x xxxx odstranění. |
|
Kritické |
Riziko je xxxxxxxxxxx x musí xxx neprodleně zahájeny xxxxx k xxxx xxxxxxxxxx. |
Xxxxxxx č. 3 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxxxxxx a xxxxxx
Xxxxxxxxxx: Tato příloha xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxxx x xxxxxx. Xxxxxxxxxxxx konkrétních xxxxxxxxxxxxx a hrozeb xx odpovědností xxxxxxx xxxxx.
Xxxxxxxxxxxxx
1. nedostatečná údržba xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
2. xxxxxxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx,
3. xxxxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxx,
4. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
5. xxxxxxxxxxxx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx,
6. xxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx,
7. xxxxxxxxxxxx xxxxxxx xxx identifikování x xxxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxx, xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx a xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů,
8. xxxxxxxxxxxx xxxxxxxxxxxx xxxxxxxx xxxxxxxxx a administrátorů x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxx xxxx xxxxxxx xxxxxxx chování,
9. xxxxxxxxxxxx stanovení bezpečnostních xxxxxxxx, xxxxxxxx xxxx xxxxxxxxxxxxx xxxxxxxx xxxx x xxxxxxxxxx xxxxxxxxx, xxxxxxxxxxxxxx x xxxxxxxxxxxxxx xxxx,
10. xxxxxxxxxxxx xxxxxxx xxxxx,
11. xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx,
12. xxxxxxxxxxxx míra xxxxxxxxx kontroly,
13. xxxxxxxxxxx xxxxxxxx xxxxxxxx pochybení xx strany xxxxxxxxxxx.
Xxxxxx
1. xxxxxxxx bezpečnostní xxxxxxxx, xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx, xxxxxxxx oprávnění xx xxxxxx xxxxxxxxx x xxxxxxxxxxxxxx,
2. xxxxxxxxx nebo xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx,
3. xxxxxxxx xxxxxxxx,
4. xxxxxxx xxxxxxxxxxxx xxxxxxxx x rozporu x xxxxxxxxxx xxxxxxxxxx,
5. xxxxxxxx xxx (xxxxxxxxx xxxx, xxxxxxx, xxxxxxx xxxx),
6. xxxxxxxx fyzické xxxxxxxxxxx,
7. xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxx dodávek xxxxxxxxxx xxxxxxx,
8. zneužití xxxx xxxxxxxxxxx modifikace xxxxx,
9. xxxxxx, xxxxxxxx nebo xxxxxxxxx aktiva,
10. nedodržení xxxxxxxxx xxxxxxx ze xxxxxx xxxxxxxxxx,
11. xxxxxxxxx xx strany xxxxxxxxxxx,
12. xxxxxxxx xxxxxxxxx prostředků, xxxxxxx,
13. dlouhodobé přerušení xxxxxxxxxxx xxxxxx xxxxxxxxxxxxxx xxxxxxxxxx, xxxxxxx xxxxxxxxxx xxxxxxx xxxx xxxxxx xxxxxxxxxx služeb,
14. xxxxxxxxxx xxxxxxxxxxx x xxxxxxxxx xxxxxxxx xxxxxx,
15. xxxxxx xxxxxxxxxxxx xxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx, xxxxxxx xxxxxxxxxxx technik,
16. xxxxxxxx xxxxxxxxxxxxx technických xxxxxx xxx,
17. xxxxxxxx elektronické xxxxxxxxxx (odposlech, xxxxxxxxxx).
Xxxxxxx č. 4 x xxxxxxxx x. 82/2018 Xx.
Xxxxxxxxx xxx
(1) Xxxx xxxxxxx xxxxx xxxxxxxxxx xxxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx x definování xxxxxxx xxxxxx dat x xxxxxxx likvidace xxxxxxxxxxx xxxxxx xxxxxxxxx, xxxxxxxxxx xxxxx, xxxxxxxxx a xxxxxx kopií.
(2) Jednotliví xxxxxxx informačního x xxxxxxxxxxxxx xxxxxxx xx xxxxxxx xxxxxxxx xxx xxxxxx xxx a xxxxxxxxx xxxxxxxxxxx nosičů xxx v souladu x xxxxx xxxxxxxx. Xxx xxxxxx dotčeny xxxxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx. Je xxxxx xxxxxx xxxxxxxxx xxxxxx xxxxxx nabízející xxxxxxxxx xxxxxxxxxxxx xxxxxxxx, xxxxxx adekvátních xxxxxxxx xxx xxxxxx dat x xxxxxxxxx xxxxxxxxxxx xxxxxx xxx, xxxxxxxx x xxxxxxx x xxxxxxxxxxx xxxxx.
(3) Xxxxxxxx xxx xxxxxxxxx xxx xx xxxx xxx xxxxxxxxx přiměřeně xxxxxxx x xxxxxxxxxxx aktiv x xxxx xx xxxxxxx zohledňovat
a) xxxxxxx xxxxxx (xxxxxxx z xxxxxxx xxxxxxxxxx),
x) technologii (xxxx x xxxxxxxx xxxxxx informace),
c) xxx xx xxxxx informace xxxxxxx xxx xxxxxxxxx xxxxxxxxxx xx xxxxxxx,
x) xxx xxxx data xxxxxxxx xxxxxxxxxxxx xxxx xxxxxxxxxxxxxxx prostředí,
e) kdo xxxx xxxxxxxxx xxx xxxxxxxx (interní xxxxxxxxxxx, xxxx xxxxxxxxx),
x) dostupnost xxxxxxxx a nástrojů xxx xxxxxxxxx,
x) kapacitu xxxxxxxxxxxxx nosičů,
h) xxx xx x xxxxxxxxx xxxxxxxxx personál,
i) xxxxxxx xxxxxxxxx xxxxxxxxx,
x) xxxx xxxxxxxxx s xxxxxxx xx xxxxxxxx, xxxxxxx, xxxxxxxx, xxxxxxxx xxxxxxx xxxxxx xxxxxxxxx
x) xxxxx xxxxxxx likvidace dat (xxxxxxxxx xxxxxxxx xxxxxx, xxxxxxxxxxxxxxxx xxxxxxxxx xxxxxx xxx, xxxxxxxxxxxxx dat xxxxxx xxxxxxxxxx x xxxxxxx),
x) xxxxxxxxxx způsoby xxxxxxxxx dat xxxxxxxx xx stavu nosiče xxxxxxxxx (xxxxxxxxx xxx xxxxxxxxx zařízení xxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxx xxxxxxxxx, xxx xxxxxxx xx xxxxxxx xxxxxxx xxxxxxxxx).
(4) Xxxxxxx xxxxxxxxx xxxxxxxxxxx xxxxxx xxxxxxxxx, provozních xxxxx, xxxxxxxxx x xxxxxx xxxxx:
x) Xxxxxxxxxx
1. Xxxxxx xxxxxxxxx xxxxxxx x xxxxxxxxxx dat xxx, xxx xxxx pro xxxxxx xxxxxxxxxx (xxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxxxx, xxxxxxxx tištěného dokumentu xx odpadu).
2. Xxx x xxxxxxx xxxxxxxx xxxxxx likvidace dat. X xxxxxxx xxxxxxx xxxxxx xxxxxxxxx xx xxxxx s xxxxxxxxxxx xxxxxxxx úsilí xxxxxxxxx xxxxxxx.
3. Xxxx metoda xxxx použitelná xxx xxxxxx xxxxxxxxxxx xxx xxxxxxxxxxxx opětovný zápis.
4. Xxxxxxxxxx způsob xxx xxxxxx xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): xxxxx.
x) Přepsání
1. Xxxxxx xxxxxxxxx xxxxxxx x xxxxxxxx xxxxxxxx xxxxxxxxx xxxxxxxxxx hodnotami.
2. Xxx x xxxxxxx bezpečný xxxxxx xxxxxxxxx dat. Xxxxx xxxxxxxx nástroje xxxxxxxxxx xxxxxxxx přepsaných xxxxxxxxx.
3. Xxxxxxxx xxxx xxx xxxxxxxxx xxxx xxxxxxxxxxx bezpečnou xxxxxxxxx xxxxxxxxxxxxxxxx klíčů x xxxxxxxxxxx xxxxxxxxx.
4. Xxxx xxxxxx xxxx xxxxxx xxx poškozená xxxxx, xxxxx xxxxxxxxxxxx opětovný xxxxx, případně pro xxxxx x xxxxxx xxxxxxxxx.
5. Xxxxxxxxxx způsob xxx úroveň xxxxxxxxxx xxxxxx (xxxxxxx x přílohy č. 1): nízká xx xxxxxxxx.
x) Xxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx
1. Způsob xxxxxxxxx spočívající xx xxxxxxx nosiče informace, xxxxxxxxx x xxxxxxxxx xxxxxxxx a následném xxxxxxx xxxxxx xxxxxxxxx (xxxxxxxxxxx, xxxxxxxxx xx xxxxxxxx xxxxxxxxx).
2. Xxx x xxxxxxxxxxxxxx metodu xxxxxxxxx dat. Xxxxx xxxxxxxxx po xxxxxxx xxxxxxxxx xxxxx xxxxx xxxxxx xxx xxxxxxx xxxx. Původní xxxxxxxxx xxxx xxxxx xxxxxxx xxx xxx vynaložení xxxxxxx xxxxxxxx prostředků x xxxxx.
3. Použitelný xxxxxx xxxxxxxxx xxx xxxxxx důvěrnosti xxxxxx (xxxxxxx x přílohy č. 1): xxxxxxx xx xxxxxxxx.
Xxxxxxx xxxxxxx způsobů xxxxxxxxx xxxxx xxxxxx xxxxxxxxxx xxxxxx (vychází z přílohy č. 1)
|
Xxxxxxxxx způsob xxxxxxxxx xxxxx xxxxxx xxxxxxxxxxx xxxxxx |
|||||
|
Xxxxx xxxxxxxxx |
1. Xxxxx |
2. Xxxxxxx |
3. Xxxxxx |
4. Kritická |
|
|
Informace xx xxxxxx čitelném xxxxxx (xxxxxxx xxxxxxxxx, xxxxxxxx x xxxxxxx) |
Xxxxxxxxxx: Xxxxxxxx xx xxxxxx. |
Xxxxxxxx: Xxxxxxxxx. |
Xxxxxxx xxxxxxxxx: |
||
|
Fyzická xxxxxxxxx: |
|||||
|
Mobilní xxxxxxxx (xxxxxxx xxxxxxxx, xxxxxxx) |
Xxxxxxxxxx: |
Xxxxxxxx: |
Xxxxxxx xxxxxxxxx: |
||
|
Xxxxxx zařízení (xxxxxx, xxxxxx, xxxxx x xxxxxxx) |
Xxxxxxxxxx: |
Přepsání: |
|||
|
Kancelářské xxxxxxxx (scanery, tiskárny, xxx) |
|||||
|
Xxxxxxxxxx xxxxx (xxxxxxxxxx xxxxx, disky, XXX [Xxxx Xxxx Drive]) |
Odstranění: |
Xxxxxxxx: |
|||
|
Xxxxxxx xxxxx (XX, XXX, XX-XXX, XXX-XXX) |
Xxxxxxx xxxxxxxxx: |
||||
|
Fyzická xxxxxxxxx. |
|||||
|
Xxxxxxxxxxxx xxxxx (xxxxx xxxxxx) |
|||||
|
Xxxxxxxxxxx x xxxxx |
Xxxxxxxxx xxxxxx xxxxxxxxx xxx xx xxx být xxxxxxxx smluvním xxxxxxxxx. |
||||
|
Xxxxxxxxxx: |
Xxxxxxxx: |
Přepsání: |
Xxxxxxxx/xxxxxxx xxxxxxxxx: |
||
|
Alternativně x xxxxxxx dedikovaného xxxxxxxxxx xxxxx xx xxxxx xxxx xx xxxxxxxx xxxxxx xxxxxxx. |
|||||
Příloha x. 5 x xxxxxxxx č. 82/2018 Xx.
Xxxxx bezpečnostní xxxxxxxx x xxxxxxxxxxxx xxxxxxxxxxx
1. Xxxxxxxxxxxx xxxxxxxx
1.1. Xxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx
x) Xxxx, xxxxxxxx x xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx x hranice xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxx xxxxxx x provozu xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx pro xxxxxxxxx xxxxxx xxxxxxxxxxxx bezpečnosti.
f) Xxxxxxxx x postupy xxx přezkoumání xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxx xxxxxxxx x xxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
1.2. Xxxxxxxx xxxxxx aktiv
a) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx aktiv
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx aktiv xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx z xxxxxxxx xxxxxxxxxx, integrity x xxxxxxxxxxx.
x) Xxxxxxxxxxxx, xxxxxxxxx x xxxxxxxx xxxxxxxxxx xxxxx
1. xxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxxx aktiv xxxxxx xxxxxx xxxxxx xxxxxxx,
2. xxxxxx xxxxx mezi xxxxxxxxxx x xxxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxx xxxxx
1. xxxxxxx xxxxxxxxxxx xxxxxxxxxxxx xxxxxx aktiv,
2. xxxxxxxx xxx manipulaci a xxxxxxxx aktiv podle xxxxxx xxxxx,
3. xxxxxxxxx xxxxxxx používání aktiv.
d) Xxxxxxx xxxxxxxxxxxx xxxxxx xxxx ničení xxxxxxxxxxx xxxxxx dat, xxxxxxxxx, xxxxxxxxxx údajů a xxxxxx xxxxx.
1.3. Xxxxxxxx xxxxxxxxxxx xxxxxxxxxxx
x) Xxxxxx xxxxxxxxxxxxxx xxxx x xxxxxx práv a xxxxxxxxxx.
x) Xxxxxxxxx xx xxxxxxxx xxxxxx xxxxxxxx xxxxxxxxxxxx bezpečnostních xxxx.
x) Xxxxxxxxx na xxxxxxxx xxxxxx bezpečnostních x xxxxxxxxxx xxxx.
1.4. Politika xxxxxx dodavatelů
a) Xxxxxxxx x principy pro xxxxx xxxxxxxxxx.
x) Xxxxxxxx xxx hodnocení xxxxx xxxxxxxxxxxxx s dodavateli.
c) Xxxxxxxxxxx xxxxxxx x xxxxxx xxxxxx x xxxxxxx a xxxxxx xxxxxxxxx bezpečnostních xxxxxxxx x x xxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx.
x) Xxxxxxxx pro xxxxxxxxx xxxxxxxx xxxxxxxx bezpečnostních xxxxxxxx.
x) Pravidla xxx xxxxxxxxx xxxxxxxxxx.
1.5. Xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
x) Xxxxxxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx a způsoby xxxx hodnocení
1. xxxxxxx x xxxxx poučení xxxxxxxxx,
2. xxxxxxx a xxxxx poučení garantů xxxxx,
3. xxxxxxx x xxxxx poučení xxxxxxxxxxxxxx,
4. xxxxxxx x xxxxx xxxxxxx osob xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Xxxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx pro řešení xxxxxxx porušení xxxxxxxxxxxx xxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxxxxxx xxxxxx xxxx změnu xxxxxxxx xxxxxx
1. xxxxxxx xxxxxxxxx xxxxx x xxxxxxxx xxxx při xxxxxxxx xxxxxxxxxx xxxxxx,
2. xxxxx xxxxxxxxxxxx oprávnění xxx xxxxx pracovní xxxxxx.
1.6. Xxxxxxxx xxxxxx xxxxxxx x xxxxxxxxxx
x) Xxxxxxxxx a xxxxxxxxxxxx xxxxxxx x bezpečným xxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxx.
x) Xxxxxxxxx x xxxxxxxxx bezpečného xxxxxxx.
x) Xxxxxxxx x omezení xxx xxxxxxxxx auditů xxxxxxxxxxxx xxxxxxxxxxx x xxxxxxxxxxxxxx xxxxx.
1.7. Xxxxxxxx xxxxxx přístupu
a) Princip xxxxxxxxxxx xxxxxxxxx/xxxxxxx znát (xxxx xx xxxx).
x) Xxxxxxxxx xx xxxxxx xxxxxxxx.
x) Xxxxxxx cyklus xxxxxx xxxxxxxx.
x) Řízení xxxxxxxxxxxxxxx oprávnění.
e) Xxxxxx xxxxxxxx pro mimořádné xxxxxxx.
x) Pravidelné xxxxxxxxxxx xxxxxxxxxxxx xxxxxxxxx xxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxxx x xxxxxxxxxxxx xxxxxxxxx.
1.8. Xxxxxxxx bezpečného chování xxxxxxxxx
x) Xxxxxxxx pro xxxxxxxx xxxxxxxxx s xxxxxx.
x) Xxxxxxxx použití xxxxxxxxxxxx hesla.
c) Bezpečné xxxxxxx xxxxxxxxxxxx xxxxx x xxxxxxxx xx xxxxxxxx.
x) Xxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx chování xx xxxxxxxxxx sítích.
f) Xxxxxxxxxx ve vztahu x xxxxxxxx xxxxxxxxx.
1.9. Xxxxxxxx zálohování a xxxxxx x xxxxxxxxxxxx xxxxxxxx
x) Xxxxxxxxx xx xxxxxxxxxx x xxxxxx.
x) Xxxxxxxx x postupy xxxxxxxxxx.
x) Xxxxxxxx a xxxxxxx dlouhodobého xxxxxxxx.
x) Xxxxxxxx bezpečného xxxxxxxxxx x xxxxxxxxxxxx ukládání xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx obnovy.
f) Xxxxxxxx x postupy xxxxxxxxx xxxxxxxxxx a xxxxxx.
x) Xxxxxxxx xxxxxxxx x xxxxxxx, xxxxxxxxx xxxxxxxxxx.
1.10. Xxxxxxxx bezpečného xxxxxxxxx x výměny xxxxxxxxx
x) Xxxxxxxx x postupy xxx ochranu xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxx xxxxxxx xxxxxxxxxxxx výměny xxxxxxxxx.
x) Xxxxxxxx xxx xxxxxxxxx xxxxxxxxxxxxxx ochrany.
1.11. Politika xxxxxx xxxxxxxxxxx xxxxxxxxxxxxx
x) Xxxxxxxx xxx xxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx xxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxx oprav xxxxxxxxxxxx vybavení.
d) Pravidla x xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx vybavení.
1.12. Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxx xxxxxxxx
x) Pravidla x xxxxxxx xxx xxxxxxxx používání mobilních xxxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxxxx xxxxxxxxxxx xxxxxxxx, xxxxx xxxxxxx xxxxx xxxx xx xxx xxxxxx.
1.13. Xxxxxxxx xxxxxxxx, vývoje x xxxxxx
x) Xxxxxxxxxxxx xxxxxxxxx xxx akvizici, xxxxx x xxxxxx.
x) Xxxxxx xxxxxxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxx x xxxxxxxx xxxxxxx programového xxxxxxxx x informací
1. xxxxxxxx x postupy nasazení xxxxxxxxxxxx xxxxxxxx a xxxx evidence,
2. xxxxxxxx x xxxxxxx xxx xxxxxxxx dodržování xxxxxxxxxx xxxxxxxx.
1.14. Xxxxxxxx ochrany xxxxxxxx xxxxx
x) Xxxxxxxxxxxxxxx xxxxxxxxxxxxxx osobních xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx xxxxxxx osobních xxxxx.
x) Xxxxx xxxxxxxxx x xxxxxxxxxxx xxxxxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxx údajů.
1.15. Xxxxxxxx xxxxxxx bezpečnosti
a) Xxxxxxxx xxx xxxxxxx xxxxxxx.
x) Xxxxxxxx xxx xxxxxxxx xxxxxx xxxx.
x) Xxxxxxxx xxx xxxxxxx zařízení.
d) Xxxxxxx xxxxxxxx xxxxxxx xxxxxxxxxxx.
1.16. Politika bezpečnosti xxxxxxxxxxx xxxx
x) Xxxxxxxx x postupy xxx xxxxxxxxx bezpečnosti xxxx.
x) Xxxxxx xxxx a xxxxxxxxxx xx xxxxxxxx xxxxxx xxxx.
x) Pravidla x xxxxxxx xxx xxxxxx xxxxxxxx x xxxxx xxxx.
x) Pravidla x postupy pro xxxxxxx xxxxxxxxxx přístupu x síti.
e) Xxxxxxxx x postupy xxx xxxxxxxxxxxx xxxx x xxxxxxxxxxxxx xxxxxxxxxx xxxxxxx.
1.17. Xxxxxxxx ochrany xxxx xxxxxxxxx xxxxx
x) Xxxxxxxx x postupy xxx xxxxxxx síťové xxxxxxxxxx.
x) Xxxxxxxx x postupy xxx ochranu xxxxxxx x xxxxxxxxx xxxxxxxx xxxxxxx.
x) Xxxxxxxx a xxxxxxx xxx xxxxxxx xxxxxxxxxx xxxxxx.
1.18. Politika xxxxxxxx x používání xxxxxxxx pro xxxxxxx xxxxxxxxxxxxxx bezpečnostních xxxxxxxx
x) Xxxxxxxx x xxxxxxx xxxxxxxx xxxxxxxx xxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx xxxxxxx xxx vyhodnocování x xxxxxxxxx xx xxxxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxx události.
c) Xxxxxxxx a xxxxxxx xxx xxxxxxxxxxxx nastavení xxxxxxxx pro detekci xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.19. Xxxxxxxx využití x xxxxxx xxxxxxxx pro xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx bezpečnostních událostí
a) Xxxxxxxx x xxxxxxx xxx xxxxxxxx x xxxxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxxxxxxxxx xxxxxxxxxxx xxxxxxxx pro xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxxx a postupy xxx xxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxx xxxxxxxx xxx xxxx x xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
1.20. Xxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxxxx ochrany
a) Xxxxxx xxxxxxx x xxxxxxx xx xxx x xxxx xxxxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx xxxxxxxxxxxxxx xxxxxxx xxxxxxxxx
1. xxx xxxxxxx xx komunikačních xxxxxx,
2. xxx uložení xx mobilní xxxxxxxx xxxx vyměnitelný xxxxxxxxx xxxxx dat.
c) Xxxxxx xxxxxx xxxxx.
1.21. Xxxxxxxx xxxxxx xxxx
x) Xxxxxx x xxxxxxxx řízení xxxxxxxxxx změn v xxxxx xxxxxxx xxxxx, xxxxxx procesech, xxxxxxxxxxxx x komunikačních systémech.
b) Xxxxxxxxxxxxx xxxxxx významných xxxx.
x) Xxxxxx xxxxxx xxxxxxxx x xxxxxxxxx xxxxxxxxxx změn.
1.22. Xxxxxxxx xxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx
x) Definování kategorií xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x postupy xxx xxxxxxxxxxxx, xxxxxxxx x xxxxxxxx xxxxxxxxxxxx xxxxxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx a xxxxxxx testování systému xxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxx.
x) Xxxxxxxx x xxxxxxx xxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxxxxxxxx incidentů x pro xxxxxxxxxx xxxxxxxxxxxx bezpečnosti.
e) Xxxxxxxx xxxxxxxxx.
1.23. Xxxxxxxx xxxxxx xxxxxxxxxx xxxxxxxx
x) Xxxxx x povinnosti zúčastněných xxxx.
x) Xxxx řízení xxxxxxxxxx činností
1. xxxxxxxxx xxxxxx poskytovaných xxxxxx,
2. xxxx xxxxxxxx chodu,
3. xxx xxxxxxxx xxx.
x) Xxxxxxxx xxxxxx kontinuity xxxxxxxx pro naplnění xxxx xxxxxxxxxx.
x) Způsoby xxxxxxxxx xxxxxx kybernetických xxxxxxxxxxxxxx xxxxxxxxx na xxxxxxxxxx x posuzování xxxxxxxxxxxxx xxxxx.
x) Xxxxxx x xxxxx xxxxxxxxxx xxxxx xxxxxxxxxx a xxxxxxxxxxx plánů.
f) Postupy xxx xxxxxxxxx xxxxxxxx xxxxxxxx Xxxxxx.
2. Obsah xxxxxxxxxxxx xxxxxxxxxxx
2.1. Xxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
x) Xxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxx xxxxxx kybernetické xxxxxxxxxxx.
x) Xxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxxxxxxxxxx xxxx xxxxxxxx x xxxx, xxxxx xx auditu xxxxxxxxxxxx bezpečnosti xxxxxxxxxx.
x) Xxxxx a xxxxx, xxx xxxx prováděny xxxxxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti.
f) Xxxxxxxx x xxxxxx xxxxxxxxxxxx xxxxxxxxxxx.
x) Xxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx.
2.2. Xxxxxx x xxxxxxxxxxx xxxxxxx xxxxxx xxxxxxxxxxx informací
a) Xxxxxxxxxxx opatření z xxxxxxxxxxx xxxxxxxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx.
x) Xxxxxxxxxxxx změn x xxxxxxxxx, které xxxxx xxx xxxx xx xxxxxx xxxxxx xxxxxxxxxxx xxxxxxxxx.
x) Xxxxxx xxxxx x výkonnosti xxxxxx xxxxxxxxxxx xxxxxxxxx
1. neshody x xxxxxxxx xxxxxxxx,
2. xxxxxxxx xxxxxxxxxxxx a xxxxxx,
3. xxxxxxxx auditu,
4. xxxxxxxx cílů systému xxxxxx xxxxxxxxxxx informací.
d) Xxxxxxxx xxxxxxxxx xxxxx x xxxx xxxxx xxxxxxxx rizik.
e) Identifikace xxxxxxxx pro neustálé xxxxxxxxxx.
x) Xxxxxxxxxx potřebných xxxxxxxxxx, xxxxxxxxx opatření x xxxx xxxxxxxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxx.
2.3. Xxxxxxxx xxx xxxxxxxxxxxx x hodnocení xxxxx x xxx xxxxxxxxx xxxxx
x) Xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxxxxxx xxxxx
1. určení xxxxxxxx xxx xxxxxxxxx úrovní xxxxxxxxxx aktiv,
2. xxxxxx xxxxxxxx xxx hodnocení xxxxxx integrity xxxxx,
3. xxxxxx stupnice xxx xxxxxxxxx úrovní xxxxxxxxxxx xxxxx.
x) Xxxxxx stupnice xxx xxxxxxxxx xxxxx
1. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
2. xxxxxx xxxxxxxx xxx xxxxxxxxx xxxxxx xxxxxx,
3. xxxxxx stupnice xxx xxxxxxxxx xxxxxx xxxxxxxxxxxxx,
4. xxxxxx stupnice xxx xxxxxxxxx úrovní rizik.
c) Xxxxxx x xxxxxxxx xxx xxxxxxxx xxxxx.
x) Xxxxxxx schvalování akceptovatelných xxxxx.
2.4. Xxxxxx x xxxxxxxxx xxxxx a xxxxx
x) Přehled xxxxxxxxxx xxxxx
1. xxxxxxxxxxxx x xxxxx primárních xxxxx,
2. xxxxxx xxxxxxx primárních xxxxx,
3. hodnocení xxxxxxxxxx xxxxx x hlediska xxxxxxxxxx, integrity a xxxxxxxxxxx.
x) Xxxxxxx podpůrných xxxxx
1. xxxxxxxxxxxx a xxxxx xxxxxxxxxx xxxxx,
2. xxxxxx xxxxxxx xxxxxxxxxx xxxxx,
3. xxxxxx vazeb xxxx xxxxxxxxxx a xxxxxxxxxx xxxxxx.
x) Xxxxxxxxx xxxxx
1. posouzení xxxxxxx xxxxxx xx xxxxxx,
2. xxxxxxxxx existujících xxxxxx,
3. xxxxxxxxx xxxxxxxxxxxx zranitelností, xxxxxxxxx existujících xxxxxxxx,
4. xxxxxxxxx úrovně xxxxxx, xxxxxxxxx této xxxxxx x xxxxxxxx pro xxxxxxxxxxxxxxxx xxxxx,
5. xxxxxx x xxxxxxxxx xxxxxxxxxxxxxxxx xxxxx.
x) Zvládání xxxxx
1. xxxxx xxxxxxx xxxxxxxx xxxxx,
2. návrh xxxxxxxx x xxxxxx xxxxxxxxx.
2.5. Xxxxxxxxxx x xxxxxxxxxxxxxxxx
x) Xxxxxxx xxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxx xxxxxxxxx xxxxxx xxxxxxxxxx, xxxx nebyla xxxxxxxxxx.
x) Xxxxxxx xxxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxxxxx způsobu xxxxxx xxxxxxxxxxxx.
2.6. Xxxx xxxxxxxx xxxxx
x) Xxxxx x xxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx včetně xxxxx xx xxxxxxxxx xxxxxx.
x) Xxxxxxxx xxxxxx xxx jednotlivá xxxxxxxxxxxx xxxxxxxx pro zvládání xxxxx.
x) Xxxxx xxxxxxxxxxx xxxxxxxxxx bezpečnostní opatření xxx xxxxxxxx xxxxx.
x) Xxxxxxx xxxxxxxx xxxxxxxxxxxx xxxxxxxxxxxxxx opatření xxx xxxxxxxx rizik.
e) Xxxxxx xxxxxxxxx xxxxxxxxxxxxxx xxxxxxxx.
x) Xxxxxxx hodnocení xxxxxxxxxx xxxxxxxx jednotlivých xxxxxxxxxxxxxx xxxxxxxx xxx xxxxxxxx xxxxx.
2.7. Xxxx xxxxxxx xxxxxxxxxxxxxx xxxxxxxx
x) Xxxxx x termíny poučení xxxxxxxxx, xxxxxxxxxxxxxx x xxxx xxxxxxxxxxxxx xxxxxxxxxxxx xxxx.
x) Obsah x xxxxxxx poučení xxxxxx xxxxxxxxxxx.
x) Xxxxxxxx, xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxx xxxxxxx a seznam xxxx, xxxxx školení xxxxxxxxxxx.
x) Formy x xxxxxxx xxxxxxxxx xxxxx.
2.8. Xxxxxxxx xxxx
x) Xxxxxxxx xxxxxxxxx cyklu významných xxxx.
x) Xxxxxxx x xxxxxxx xxxxxxxxxxx xxxxxxxxxx xxxxx.
2.9. Xxxxxxx kontaktní xxxxx
Xxxxxxx hlášených xxxxxxxxxxx xxxxx.
2.10. Přehled obecně xxxxxxxxx právních xxxxxxxx, xxxxxxxxx předpisů x xxxxxx xxxxxxxx a xxxxxxxxx xxxxxxx
x) Xxxxxxx xxxxxx xxxxxxxxx právních xxxxxxxx.
x) Xxxxxxx vnitřních xxxxxxxx x xxxxxx xxxxxxxx.
x) Xxxxxxx smluvních xxxxxxx.
2.11. Xxxxx xxxxxxxxxx xxxxxxxxxxx
x) Topologie xxxxxxxxxxxxxx.
x) Xxxxxxx síťových xxxxxxxx.
Příloha č. 6 x vyhlášce x. 82/2018 Sb.
Výbor xxx xxxxxx xxxxxxxxxxxx bezpečnosti x xxxxxxxxxxxx xxxx
Xxxx xxxxxxx xxxxxxxx xxxxx xxxxxxxxxxxx xxxxxxxxx pro xxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti a xxxxxxxxxxxx role uvedené x §6 x 7.
Xxx. 1: Xxxxx xxx xxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxx xxx xxxxxx xxxxxxxxxxxx bezpečnosti |
|
Klíčové činnosti: |
a) Xxxxxxxxxxx xx xxxxxxx xxxxxx x rozvoj xxxxxxxxxxxx bezpečnosti v xxxxx xxxxxxx osoby. |
|
Xxxxx podmínky: |
a) Xxxx xxxxxx pro xxxxxx xxxxxxxxxxxx bezpečnosti xxxx xxx xxxxxxx |
Xxx. 2: Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx kybernetické xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxx xxxxxxx xxxxxx bezpečnosti xxxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx řady ISO/IEC 27000 x obdobné xxxxx z xxxxxxx xxxxxxxxxxx x ICT. |
|
Zkušenosti: |
a) Xxxxxxxxxxx xxxxxxx řízení xxxxxxxxxxx xxxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 xxxx xxxxx x oboru xxxxxxxxxx xxxx kybernetické xxxxxxxxxxx, xxxx |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Information Xxxxxxxx Xxxxxxx (CISM), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Xxxxxxxxx Xxxxxxxxxxx Xxxxxxx Security Xxxxxxxxxxxx (XXXXX), Manažer XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Xxxx xxxx xxxxxxxxxx x xxxxxx xxxxxxxxxxx xx xxxxxx xxxxxxxxxxxx x xxxxxxxxxxxxx xxxxxxx a x xxxxxxx provozními xx xxxxxxxx rolemi. |
Tab. 3: Architekt xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxxxx kybernetické xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxx implementace xxxxxxxxxxxxxx xxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxxx informačních x xxxxxxxxxxxxx xxxxxxx x xxxx navrhování. |
|
Zkušenosti: |
a) Xxxxxxxxxx xxxxxxxxxxxx bezpečnostních xxxxxxxx. |
|
Xxxxxxxx x xxxxx: |
x) Xxxxxxx 3 roky xxxxx v oboru xxxxxxxxxx xxxx kybernetické xxxxxxxxxxx, nebo |
|
Xxxxxxxxxx xxxxxxxxxxx*: |
Xxxxxxxxx Ethical Xxxxxx (XXX), CompTIA Xxxxxxxx +, Xxxxxxxxx Xxxxxxxxxxx Xxxxxxxx Xxxxxxx (XXXX), Xxxxxxxxx in Xxxx xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Certified Xxxxxxxxxxx Systems Security Xxxxxxxxxxxx (XXXXX), Xxxxxxx XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx podmínky: |
Role xxxx xxxxxxxxxx x xxxxxx xxxxxxxxxxx za xxxxxx xxxxxxxxxxxx x komunikačních xxxxxxx. |
Xxx. 4: Auditor xxxxxxxxxxxx xxxxxxxxxxx
|
Xxxx: |
Xxxxxxx xxxxxxxxxxxx xxxxxxxxxxx |
|
Xxxxxxx xxxxxxxx: |
Xxxxxxxxx auditu xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx: |
x) Xxxxxxxxxxx x xxxxx xxxxxx xxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxxxx: |
x) Xxxxxxxxx xxxxxx xxxxxxxxxx xxxx xxxxxxxxxxxx xxxxxxxxxxx. |
|
Xxxxxxxx x praxe: |
a) Xxxxxxx 3 xxxx xxxxx x oblasti xxxxxx informační xxxx xxxxxxxxxxxx xxxxxxxxxxx, xxxx |
|
Relevantní certifikace*: |
Certified Xxxxxxxxxxx Systems Auditor (XXXX), Certified Xxxxxxxx Xxxxxxx (XXX), Xxxxxxxxx xx Xxxx xxx Xxxxxxxxxxx Xxxxxxx Xxxxxxx (XXXXX), Xxxx Auditor Xxxxxxxxxxx Security Xxxxxxxxxx Xxxxxx (Xxxx Xxxxxxx XXXX), Auditor XX (xxxxxxxxxxx xxxxxx XXX). |
|
Xxxxx xxxxxxxx: |
x) Xxxx není xxxxxxxxxx x xxxxxx |
Xxx. 5: Xxxxxx xxxxxx
|
Xxxx: |
Xxxxxx xxxxxx |
|
Xxxxxxx xxxxxxxx: |
x) Xxxxxxxxxxx xx xxxxxxxxx xxxxxxx, xxxxxxx x xxxxxxxxxxx xxxxxx. |
|
Xxxxxxxx: |
x) Xxxxx xxxxxxx xxxxxx, xxxxx xx xxxxxxxx. |
* Xxxxxxxxxxx může xxx x jiná xxx xxxxxxx, jestliže xxxxxxxxxxx xxxxxxxxxxx odbornou xxxxxxxxxxx xxxxxxxxxxxxxx rolí splňuje xxxxxxxxx ISO 17 024.
Xxxxxxx č. 7 x xxxxxxxx x. 82/2018 Xx.
Xxxxxx dodavatelů - xxxxxxxxxxxx xxxxxxxx xxx xxxxxxx vztahy
Obsah xxxxxxx uzavírané s xxxxxxxxxx dodavateli:
a) xxxxxxxxxx x xxxxxxxxxxx informací (x xxxxxxx xxxxxxxxxx, xxxxxxxxxxx x xxxxxxxxx),
x) xxxxxxxxxx x xxxxxxxxx xxxxxx xxxx,
x) ustanovení x autorství xxxxxxxxxxxx xxxx, popřípadě x xxxxxxxxxxxx xxxxxxxxx,
x) ustanovení x xxxxxxxx x xxxxxx xxxxxxxxxx (xxxxxxxx xxxxxxxxxxxx xxxxxx),
x) xxxxxxxxxx xxxxxxxxxx xxxxxxxx dodavatelů, xxxxxxx xxxx xxx xxxxxxxxx, že poddodavatelé xx xxxxxx xxxxxxxxx x plném xxxxxxx xxxxxxxx xxxx xxxxxxxx xxxxxx x xxxxxxxxxxx x xxxxxxx v xxxxxxx s xxxxxxxxx xxxxxxx xxxxx na xxxxxxxxxx,
x) xxxxxxxxxx x xxxxxxxxxx xxxxxxxxxx xxxxxxxxx xxxxxxxxxxxx politiky xxxxxxx xxxxx xxxx xxxxxxxxxx x xxxxxxxxxxxx bezpečnostních xxxxxxx dodavatele xxxxxxxx xxxxxx,
x) xxxxxxxxxx x xxxxxx xxxx,
x) ustanovení x souladu xxxxx x xxxxxx xxxxxxxxx xxxxxxxx xxxxxxxx,
x) xxxxxxxxxx x povinnosti xxxxxxxxxx xxxxxxxxxx xxxxxxxx xxxxx x
1. xxxxxxxxxxxxxx bezpečnostních xxxxxxxxxxx xxxxxxxxxxxxx s xxxxxxx smlouvy,
2. xxxxxxx xxxxxx xxxxx xx xxxxxx dodavatele a x xxxxxxxxxx xxxxxxxx xxxxxxxxxxxxx x xxxxxxx xxxxxxx,
3. významné xxxxx xxxxxxxx xxxxxx dodavatele xxxxx zákona o xxxxxxxxxx korporacích xxxx xxxxx vlastnictví xxxxxxxxx xxxxx, popřípadě xxxxx xxxxxxxxx nakládat s xxxxxx xxxxxx, využívaných xxxxx dodavatelem k xxxxxx podle xxxxxxx xx xxxxxxxx,
x) xxxxxxxxxxx xxxxxxxx z xxxxxxx xxxxxxxxxxx při xxxxxxxx xxxxxxx (xxxxxxxxx xxxxxxxxx xxxxxx xxx ukončení xxxxxxxxxx, kdy xx xxxxx xxxxx xxxxxxxx xxxxxx xxxx xxxxxxxxx xxxxxx xxxxxx, migrace xxx x podobně),
k) xxxxxxxxxxx xxxxxxxx pro xxxxxx xxxxxxxxxx činností x xxxxxxxxxxx x xxxxxxxxxx (xxxxxxxxx zahrnutí xxxxxxxxxx do havarijních xxxxx, úkoly dodavatelů xxx aktivaci xxxxxx xxxxxxxxxx xxxxxxxx),
x) specifikace xxxxxxxx pro formát xxxxxxx xxx, xxxxxxxxxx xxxxx x xxxxxxxxx xx xxxxxxxx správcem,
m) xxxxxxxx pro xxxxxxxxx xxx,
x) xxxxxxxxxx o xxxxx xxxxxxxxxxxx odstoupit xx xxxxxxx x xxxxxxx xxxxxxxx xxxxx xxxxxxxx xxx xxxxxxxxxxx xxxx změny xxxxxxxx xxx xxxxxxxxx aktivy xxxxxxxxxxx xxxxxxxxxxx x xxxxxx xxxxx xxxxxxx x
x) xxxxxxxxxx o xxxxxxxx za xxxxxxxx xxxxxxxxxx.
Xxxxxxx x. 8 x xxxxxxxx x. 82/2018 Xx.
Xxxx Xxxxxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxx
Informace
Právní předpis x. 82/2018 Xx. nabyl xxxxxxxxx dnem 28.5.2018.
Ke xxx uzávěrky právní xxxxxxx nebyl měněn xx xxxxxxxxx.
Xxxxx jednotlivých xxxxxxxx xxxxx xxxxxx xxxxxxxx xxxxxxxx v xxxxxxxx xxxx xxxxxxxxxxxxx, xxxxx xx xxxx xxxxxx xxxxxxxxx xxxxx xxxxx xxxxxxxxx právního xxxxxxxx.
1) Směrnice Xxxxxxxxxx xxxxxxxxxx a Rady (XX) 2016/1148 ze xxx 6. xxxxxxxx 2016 x xxxxxxxxxx x xxxxxxxxx vysoké xxxxxxxx xxxxxx xxxxxxxxxxx xxxx x informačních xxxxxxx v Xxxx.